- หลังเกิดเหตุการณ์ จำเป็นอย่างยิ่งที่จะต้องระบุประเภทของการโจมตี ขอบเขตที่แท้จริง และทรัพย์สินที่ได้รับผลกระทบ ก่อนที่จะดำเนินการใดๆ
- การรักษาหลักฐานและการจัดทำเอกสารอย่างละเอียดเป็นสิ่งสำคัญยิ่งต่อการวิเคราะห์ทางนิติวิทยาศาสตร์และการปฏิบัติตามกฎหมาย
- การกู้คืนข้อมูลต้องมีความปลอดภัยและให้ความสำคัญเป็นอันดับแรก โดยได้รับการสนับสนุนจากข้อมูลสำรองที่ได้รับการตรวจสอบแล้วและระบบที่มีความปลอดภัยสูง
- การปิดท้ายกระบวนการด้วยการทบทวนหลังเกิดเหตุจะช่วยให้สามารถปรับปรุงการควบคุม แผนการรับมือ และการฝึกอบรมบุคลากรได้
การค้นพบว่าองค์กรของคุณเพิ่งประสบกับเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ มันไม่ใช่การเริ่มต้นวันใหม่ที่ดีที่สุดเลย: ระบบถูกล็อก บริการหยุดชะงัก โทรศัพท์จากลูกค้าที่กังวล และทีมเทคนิคดูหวาดกลัว แต่สิ่งที่สำคัญกว่าความตกใจในตอนแรก คือสิ่งที่คุณทำในชั่วโมงต่อๆ ไป: คุณตรวจสอบอะไร คุณแจ้งใคร คุณเก็บอะไรไว้เป็นหลักฐาน และคุณจะกู้คืนระบบได้อย่างไรโดยไม่เปิดช่องโหว่ให้ผู้โจมตี
ตอบสนองด้วยความใจเย็น รวดเร็ว และเป็นระบบ นี่เป็นกุญแจสำคัญในการทำให้แน่ใจว่าการโจมตีจะยังคงเป็นเพียงเรื่องน่ากลัวและไม่ลุกลามบานปลายกลายเป็นหายนะทางการเงิน ทางกฎหมาย และชื่อเสียง ในส่วนต่อไปนี้ คุณจะพบกับคู่มือที่ครอบคลุมซึ่งอิงตามแนวปฏิบัติที่ดีที่สุดสำหรับการรับมือกับเหตุการณ์ การตรวจสอบทางดิจิทัล และการวางแผนความต่อเนื่องทางธุรกิจ ครอบคลุมทุกสิ่งที่คุณควรตรวจสอบหลังจากเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ และวิธีการจัดระเบียบการตรวจสอบนั้นเพื่อเรียนรู้จากประสบการณ์ เสริมสร้างการป้องกัน และปฏิบัติตามข้อผูกพันทางกฎหมาย
สิ่งที่เกิดขึ้นจริง: ทำความเข้าใจเหตุการณ์และความร้ายแรงของมัน
ก่อนที่จะแตะต้องสิ่งใดโดยไม่รู้เท่าทัน คุณต้องเข้าใจก่อนว่าคุณกำลังเผชิญกับการโจมตีประเภทใดมัลแวร์เรียกค่าไถ่ที่เข้ารหัสเซิร์ฟเวอร์สำคัญนั้นไม่เหมือนกับการบุกรุกเงียบๆ เพื่อขโมยข้อมูลหรือการเข้าถึงเว็บไซต์ขององค์กรโดยไม่ได้รับอนุญาต การระบุอย่างถูกต้องจะเป็นตัวกำหนดทุกสิ่งที่จะตามมา
หนึ่งในภารกิจแรกคือการจำแนกประเภทของเหตุการณ์ ขึ้นอยู่กับการโจมตีหลักๆ เช่น แรนซัมแวร์ การขโมยข้อมูลลับ การเจาะระบบบัญชีองค์กร การแก้ไขเว็บไซต์ การใช้ช่องโหว่ ฯลฯ เมื่อการวิเคราะห์ดำเนินไปและพบสินทรัพย์ที่ได้รับผลกระทบ การจัดประเภทเบื้องต้นมักจะเปลี่ยนแปลงไป ดังนั้นจึงควรบันทึกการเปลี่ยนแปลงนี้ไว้
การระบุตำแหน่งของเวกเตอร์อินพุตก็มีความสำคัญอย่างยิ่งเช่นกันข้อความฟิชชิ่งพร้อมไฟล์แนบที่เป็นอันตราย ลิงก์หลอกลวง ไดรฟ์ USB ที่ติดไวรัส RDP ที่เปิดเผยสู่อินเทอร์เน็ต ช่องโหว่ของเซิร์ฟเวอร์ที่ไม่ได้แก้ไข ข้อมูลประจำตัวที่ถูกขโมย การกำหนดค่าระบบคลาวด์ที่ไม่ถูกต้อง... การระบุจุดเข้าถึงเหล่านี้จะช่วยให้คุณกำหนดขอบเขตได้ดียิ่งขึ้น และที่สำคัญที่สุดคือ ปิดประตูเพื่อป้องกันไม่ให้เกิดขึ้นอีก
อีกแง่มุมหนึ่งที่ควรพิจารณาอย่างถี่ถ้วนคือ การโจมตีนั้นดูเหมือนเป็นการโจมตีแบบเจาะจงเป้าหมายหรือเป็นการฉวยโอกาสการส่งอีเมลจำนวนมากโดยไม่เจาะจงเป้าหมาย การสแกนหาช่องโหว่ที่รู้จักโดยอัตโนมัติ หรือบอทที่ใช้ประโยชน์จากบริการที่เปิดเผย มักบ่งชี้ว่าเป็นการโจมตีแบบสุ่ม อย่างไรก็ตาม หากพบข้อมูลรายละเอียดเกี่ยวกับสภาพแวดล้อม การอ้างอิงถึงบริษัทโดยเฉพาะ หรือการใช้เครื่องมือเฉพาะอุตสาหกรรม ก็มีแนวโน้มว่าเป็นการโจมตีแบบเจาะจงเป้าหมาย
จากนั้น จะต้องระบุรายการทรัพย์สินที่มีความเสี่ยงทั้งหมด: เวิร์กสเตชัน เซิร์ฟเวอร์ Linuxฐานข้อมูล บริการคลาวด์ แอปพลิเคชันทางธุรกิจ อุปกรณ์เคลื่อนที่ และระบบใดๆ ก็ตามที่ใช้เครือข่ายหรือข้อมูลประจำตัวร่วมกับทีมที่ได้รับผลกระทบในเบื้องต้น ยิ่งรายการนี้มีความแม่นยำมากเท่าใด ก็ยิ่งทำให้กำหนดขอบเขตที่แท้จริงของเหตุการณ์และจัดลำดับความสำคัญของการตอบสนองได้ง่ายขึ้นเท่านั้น
รวบรวมและรักษาหลักฐานโดยไม่ทำให้หลักฐานนั้นเสียหาย
เมื่อตรวจพบเหตุการณ์ดังกล่าวแล้ว สิ่งแรกที่มักทำคือการฟอร์แมต ลบข้อมูล และเริ่มต้นใหม่ทั้งหมดแต่โดยปกติแล้วนั่นเป็นความผิดพลาดครั้งใหญ่จากมุมมองทางนิติวิทยาศาสตร์และกฎหมาย หากคุณต้องการยื่นเรื่องร้องเรียน เรียกร้องค่าสินไหมทดแทน หรือเพียงแค่ต้องการเข้าใจว่าเกิดอะไรขึ้น คุณจำเป็นต้องเก็บรักษาหลักฐานที่ถูกต้องไว้
ขั้นตอนแรกคือการแยกระบบที่ได้รับผลกระทบโดยไม่ต้องปิดระบบเหล่านั้นอย่างกะทันหันเพื่อป้องกันการสูญเสียข้อมูลในหน่วยความจำหรือการเปลี่ยนแปลงข้อมูลสำคัญ ขั้นตอนปกติคือการตัดการเชื่อมต่อจากเครือข่าย ปิดกั้นการเข้าถึงจากระยะไกล และหยุดบริการที่ไม่จำเป็น แต่ให้เปิดอุปกรณ์ไว้จนกว่าจะได้รับภาพสำเนาสำหรับการตรวจสอบทางนิติวิทยาศาสตร์
การสร้างสำเนาเต็มรูปแบบของดิสก์และระบบเป็นแนวปฏิบัติพื้นฐานขอแนะนำอย่างยิ่งให้สร้างสำเนาอย่างน้อยสองชุด: ชุดหนึ่งบนสื่อบันทึกข้อมูลแบบเขียนได้อย่างเดียว (เช่น DVD-R หรือ BD-R) สำหรับการเก็บรักษาทางนิติวิทยาศาสตร์ และอีกชุดหนึ่งบนสื่อบันทึกข้อมูลใหม่เพื่อใช้ในการประมวลผล วิเคราะห์ และหากจำเป็น ก็ใช้สำหรับการกู้คืนข้อมูล ฮาร์ดไดรฟ์ที่ถอดออกจากระบบควรเก็บไว้ในสถานที่ที่ปลอดภัย พร้อมกับสำเนาที่สร้างไว้ทั้งหมด
ข้อมูลสำคัญจะต้องได้รับการบันทึกไว้สำหรับสื่อแต่ละประเภทที่ใช้ใครเป็นผู้คัดลอก เมื่อไหร่ บนระบบใด ด้วยเครื่องมืออะไร และใครบ้างที่เข้าถึงสื่อเหล่านั้นในภายหลัง การรักษาห่วงโซ่การควบคุมหลักฐานอย่างเข้มงวดมีความสำคัญอย่างยิ่ง หากจำเป็นต้องนำเสนอหลักฐานนี้ต่อผู้พิพากษาหรือบริษัทประกันภัยในภายหลัง
นอกเหนือจากอิมเมจดิสก์แล้ว บันทึกและข้อมูลการติดตามต่างๆ ก็ต้องได้รับการรักษาความปลอดภัยด้วยเช่นกัน บันทึกทุกประเภท: บันทึกระบบ, แอปพลิเคชัน, ไฟร์วอลล์, VPN, เซิร์ฟเวอร์อีเมล, พร็อกซี, อุปกรณ์เครือข่าย, โซลูชัน EDR/XDR, SIEM เป็นต้น บันทึกเหล่านี้ใช้ทั้งในการสร้างเหตุการณ์โจมตีขึ้นใหม่ และเพื่อระบุการเคลื่อนที่ในแนวนอน การขโมยข้อมูล หรือการคงอยู่ของผู้โจมตี
ควรประเมินโดยเร็วที่สุดว่าควรดำเนินการทางกฎหมายหรือไม่ในกรณีเช่นนั้น ขอแนะนำอย่างยิ่งให้จ้างผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์เฉพาะทาง ซึ่งสามารถกำกับการเก็บรวบรวมหลักฐาน ใช้เครื่องมือที่เหมาะสม และจัดทำรายงานทางเทคนิคที่ถูกต้องตามกฎหมายได้ ยิ่งมีผู้เชี่ยวชาญเข้ามาเกี่ยวข้องเร็วเท่าไหร่ ความเสี่ยงในการปนเปื้อนหรือสูญหายของหลักฐานสำคัญก็จะยิ่งน้อยลงเท่านั้น
การบันทึกเหตุการณ์: สิ่งที่ต้องจดบันทึก
ในขณะที่กำลังควบคุมการโจมตีและกู้คืนระบบ การมองข้ามเอกสารประกอบอาจเป็นเรื่องง่ายแต่แล้วก็พลาดไปทั้งในแง่ของการวิเคราะห์ในภายหลังและการปฏิบัติตามข้อกำหนดทางกฎหมาย นั่นเป็นเหตุผลว่าทำไมการเขียนทุกอย่างลงไปตั้งแต่เริ่มต้นจึงสำคัญมาก
การตั้งวันที่และเวลาตรวจจับให้ถูกต้องแม่นยำนั้นมีประโยชน์มากรวมทั้งอาการแรกที่สังเกตเห็น เช่น การแจ้งเตือนจากเครื่องมือรักษาความปลอดภัย ความผิดปกติของประสิทธิภาพ บัญชีถูกล็อก ข้อความเรียกค่าไถ่ การร้องเรียนจากผู้ใช้ เป็นต้น หากทราบ ควรบันทึกเวลาโดยประมาณของการเริ่มต้นการโจมตีหรือการละเมิดความปลอดภัยด้วย
ในขณะเดียวกัน ก็ต้องรวบรวมรายชื่อระบบ บริการ และข้อมูลที่ได้รับผลกระทบด้วยระบุว่าสินทรัพย์เหล่านั้นเป็นสินทรัพย์ที่สำคัญต่อธุรกิจหรือเป็นสินทรัพย์สนับสนุน ข้อมูลนี้มีความสำคัญอย่างยิ่งต่อการจัดลำดับความสำคัญในการกู้คืนและคำนวณผลกระทบทางเศรษฐกิจและการดำเนินงานของเหตุการณ์
ทุกการกระทำที่เกิดขึ้นระหว่างการตอบสนองจะต้องถูกบันทึกไว้อะไรบ้างที่ถูกปิดใช้งาน มีการเปลี่ยนแปลงรหัสผ่านอะไรบ้าง มีการติดตั้งแพทช์อะไรบ้าง บริการใดบ้างที่ถูกหยุดหรือเปิดใช้งานอีกครั้ง มีการใช้มาตรการควบคุมอะไรบ้าง และเกิดขึ้นเมื่อใด นี่ไม่ใช่เรื่องราวที่ซับซ้อน แต่เป็นลำดับเหตุการณ์ที่ชัดเจนและเข้าใจง่าย
นอกจากนี้ยังจำเป็นต้องบันทึกชื่อของบุคคลทุกคนที่เกี่ยวข้องด้วย ในการจัดการวิกฤต: ใครเป็นผู้ประสานงาน ช่างเทคนิคคนใดบ้างที่เกี่ยวข้อง เจ้าของธุรกิจคนใดบ้างที่ได้รับแจ้ง ผู้ให้บริการภายนอกรายใดบ้างที่ให้ความช่วยเหลือ เป็นต้น ข้อมูลเหล่านี้จะช่วยในการตรวจสอบประสิทธิภาพของทีมและความเหมาะสมของบทบาทที่กำหนดไว้ในแผนการรับมือ
สิ่งหนึ่งที่มักถูกมองข้ามไปคือ การเก็บสำเนาเอกสารการติดต่อสื่อสารที่เกี่ยวข้องไว้อีเมลที่แลกเปลี่ยนกับลูกค้า ข้อความขอความช่วยเหลือ การสนทนากับบริษัทประกันภัย การติดต่อสื่อสารกับหน่วยงานราชการ การสนทนาภายในเกี่ยวกับการตัดสินใจที่สำคัญ ฯลฯ ข้อมูลเหล่านี้มีค่าอย่างยิ่งสำหรับการสืบสวนทางนิติวิทยาศาสตร์ การแสดงให้เห็นถึงความรอบคอบต่อหน่วยงานกำกับดูแล และการปรับปรุงระเบียบการสื่อสารในภาวะวิกฤต
แจ้งให้หน่วยงาน ลูกค้า และบุคคลที่เกี่ยวข้องทราบ
เมื่อฝุ่นละอองเริ่มจางลง ก็ถึงเวลาแจ้งให้บุคคลที่เกี่ยวข้องทราบเรื่องนี้ไม่ใช่เรื่องที่เลือกได้ ในหลายกรณี กฎระเบียบกำหนดไว้ และในบางกรณี ความโปร่งใสเป็นสิ่งสำคัญยิ่งในการรักษาความไว้วางใจ
หากเหตุการณ์ดังกล่าวเกี่ยวข้องกับข้อมูลส่วนบุคคล (ลูกค้า พนักงาน ผู้ใช้ ผู้ป่วย นักเรียน…) จำเป็นต้องตรวจสอบข้อผูกพันภายใต้ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) และกฎหมายท้องถิ่น ในสเปน หมายถึงการแจ้งสำนักงานคุ้มครองข้อมูลแห่งสเปน (AEPD) เมื่อมีความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล โดยปกติภายในเวลาสูงสุด 72 ชั่วโมงนับจากที่ทราบถึงการละเมิด
เมื่อเหตุการณ์ดังกล่าวอาจเข้าข่ายเป็นอาชญากรรม (เช่น มัลแวร์เรียกค่าไถ่ การกรรโชกทรัพย์ การฉ้อโกง การขโมยข้อมูลสำคัญ การคุกคามโครงสร้างพื้นฐานที่สำคัญ) ควรแจ้งเหตุการณ์เหล่านี้ต่อหน่วยงานความมั่นคงแห่งรัฐ ในสเปน หน่วยงานต่างๆ เช่น กองสืบสวนทางเทคโนโลยีของตำรวจแห่งชาติ หรือกลุ่มอาชญากรรมทางโทรคมนาคมของหน่วยพิทักษ์พลเรือน มักจะเข้ามาแทรกแซง และพวกเขายังสามารถประสานงานกับองค์กรระหว่างประเทศได้อีกด้วย
ในระดับรัฐ มีศูนย์เฉพาะทางที่น่าจับตามองอยู่หลายแห่งเช่น INCIBE-CERT สำหรับประชาชนและหน่วยงานเอกชน หรือ CSIRT เฉพาะด้านอื่นๆ การแจ้งให้หน่วยงานเหล่านี้ทราบจะช่วยให้ได้รับการสนับสนุนทางเทคนิคเพิ่มเติม เข้าถึงข้อมูลข่าวกรองเกี่ยวกับภัยคุกคามที่คล้ายคลึงกัน เครื่องมือถอดรหัส หรือเบาะแสเกี่ยวกับแคมเปญที่กำลังดำเนินอยู่
บริษัทที่มีกรมธรรม์ประกันภัยไซเบอร์ควรตรวจสอบเงื่อนไขการแจ้งเตือนเนื่องจากบริษัทประกันภัยหลายแห่งกำหนดให้ต้องได้รับแจ้งภายในกำหนดเวลาที่กระชับมาก และเงื่อนไขความคุ้มครองขึ้นอยู่กับการปฏิบัติตามแนวทางการตอบสนองบางประการ และการใช้ผู้ให้บริการที่ได้รับการอนุมัติเท่านั้น
สุดท้ายนี้ ถึงเวลาแล้วที่จะต้องคิดถึงเรื่องการสื่อสารกับลูกค้า คู่ค้า และพนักงานหากข้อมูลถูกละเมิดหรือบริการที่สำคัญได้รับผลกระทบ พนักงานควรได้รับแจ้งโดยตรงจากองค์กร มากกว่าที่จะได้รับแจ้งผ่านการรั่วไหลหรือรายงานข่าวจากสื่อ การสื่อสารที่ชัดเจนและตรงไปตรงมา อธิบายถึงสิ่งที่เกิดขึ้นโดยทั่วไป ข้อมูลใดบ้างที่อาจได้รับผลกระทบ มาตรการที่กำลังดำเนินการ และขั้นตอนที่แนะนำสำหรับผู้ที่ได้รับผลกระทบ มักเป็นกลยุทธ์ที่ดีที่สุดในการปกป้องชื่อเสียงขององค์กร
เพื่อควบคุม แยก และจำกัดการรุกคืบของผู้โจมตี
ทันทีที่ได้รับการยืนยันว่ามีเหตุการณ์เกิดขึ้นจริง การแข่งขันกับเวลาจึงเริ่มต้นขึ้น เพื่อป้องกันไม่ให้ผู้โจมตีรุกคืบต่อไป ขโมยข้อมูลเพิ่มเติม หรือก่อให้เกิดความเสียหายเพิ่มเติม เช่น การเข้ารหัสข้อมูลสำรอง หรือการเจาะระบบบัญชีผู้ใช้เพิ่มเติม
ขั้นตอนแรกคือการแยกระบบที่ได้รับผลกระทบออกจากเครือข่ายหลักการนี้ใช้ได้ทั้งกับการเชื่อมต่อแบบใช้สายและไร้สาย ในหลายกรณี การตัดการเชื่อมต่ออินเทอร์เฟซเครือข่าย การกำหนดค่า VLAN ใหม่ หรือการใช้กฎไฟร์วอลล์เฉพาะเพื่อบล็อกการสื่อสารที่น่าสงสัยก็เพียงพอแล้ว เป้าหมายคือการจำกัดการโจมตีโดยไม่ทำลายหลักฐานหรือปิดระบบโดยไม่เลือกปฏิบัติ
นอกเหนือจากการแยกส่วนทางกายภาพหรือทางตรรกะแล้ว การตรวจสอบการเข้าถึงระยะไกลก็เป็นสิ่งสำคัญเช่นกันVPN, เดสก์ท็อประยะไกล, การเชื่อมต่อจากบุคคลที่สาม, การเข้าถึงแบบพิเศษ ฯลฯ อาจจำเป็นต้องปิดใช้งานการเข้าถึงบางอย่างชั่วคราว จนกว่าจะแน่ใจว่าข้อมูลประจำตัวใดบ้างที่อาจถูกบุกรุก
การบล็อกบัญชีและข้อมูลประจำตัวที่น่าสงสัยจะต้องทำอย่างแม่นยำเมื่อสถานการณ์เริ่มคลี่คลายลงแล้ว ควรบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านในวงกว้าง โดยเริ่มจากบัญชีที่มีสิทธิ์สูง บัญชีบริการที่เสี่ยงต่อการถูกโจมตี ผู้ใช้ที่เกี่ยวข้องโดยตรงกับการบุกรุก หรือผู้ที่มีพฤติกรรมผิดปกติ โดยให้ความสำคัญกับบัญชีที่สำคัญก่อนเป็นอันดับแรก
ขั้นตอนที่เน้นด้านเทคนิคมากขึ้นคือการเสริมสร้างการแบ่งส่วนและการกรองปริมาณการรับส่งข้อมูลให้ดียิ่งขึ้น เพื่อป้องกันการเคลื่อนที่ในแนวนอนและการสื่อสารควบคุมสั่งการ ระบบไฟร์วอลล์, IDS/IPS, EDR/XDR และการควบคุมอื่นๆ จะเข้ามามีบทบาทในการบล็อกโดเมน IP และรูปแบบการรับส่งข้อมูลที่เป็นอันตรายซึ่งระบุได้ระหว่างการวิเคราะห์
ในขณะเดียวกัน ข้อมูลสำรองก็ต้องได้รับการรักษาความปลอดภัยด้วยเช่นกันหากไฟล์สำรองข้อมูลอยู่บนระบบออนไลน์หรือสามารถเข้าถึงได้จากระบบที่ถูกบุกรุก มีความเสี่ยงที่ไฟล์เหล่านั้นอาจถูกเข้ารหัสหรือถูกแก้ไขเปลี่ยนแปลงได้เช่นกัน ขอแนะนำให้ตัดการเชื่อมต่อไฟล์สำรองข้อมูล ตรวจสอบความสมบูรณ์ของไฟล์ และเก็บรักษาไฟล์เหล่านั้นไว้สำหรับขั้นตอนการกู้คืน เมื่อแน่ใจแล้วว่าไฟล์เหล่านั้นปลอดภัย
นิติวิทยาศาสตร์ดิจิทัล: การจำลองการโจมตีและการค้นหาช่องโหว่
เมื่อควบคุมภัยคุกคามได้แล้ว ขั้นตอน "การตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัล" ที่แท้จริงก็จะเริ่มต้นขึ้นงานที่ละเอียดถี่ถ้วนในการจำลองเหตุการณ์ทีละขั้นตอนว่าผู้โจมตีทำอะไรบ้าง เขาเข้าไปได้อย่างไร เขาสัมผัสอะไรบ้าง และเขาอยู่ข้างในนานแค่ไหน
การวิเคราะห์ทางนิติวิทยาศาสตร์เริ่มต้นด้วยการประมวลผลหลักฐานที่รวบรวมได้ไฟล์ภาพดิสก์, การบันทึกข้อมูลหน่วยความจำ, บันทึกระบบและเครือข่าย, ตัวอย่างมัลแวร์, ไฟล์ที่ถูกแก้ไข ฯลฯ รวมถึงการเรียนรู้จากเหตุการณ์จริง เช่น ความล้มเหลวในโซลูชัน EDRมีการใช้เครื่องมือเฉพาะทางเพื่อสร้างลำดับเหตุการณ์ขึ้นใหม่ ติดตามการเปลี่ยนแปลงการกำหนดค่า ระบุกระบวนการที่น่าสงสัย และสร้างแผนผังการเชื่อมต่อเครือข่ายที่ผิดปกติ
หนึ่งในเป้าหมายหลักคือการค้นหาช่องโหว่ที่ถูกใช้ประโยชน์และช่องโหว่ด้านความปลอดภัยสิ่งเหล่านี้อาจรวมถึงซอฟต์แวร์ที่ล้าสมัย การกำหนดค่าเริ่มต้น พอร์ตที่เปิดโดยไม่จำเป็น บัญชีที่ไม่มีการตรวจสอบสิทธิ์แบบสองขั้นตอน สิทธิ์ที่มากเกินไป ข้อผิดพลาดในการพัฒนา หรือความล้มเหลวในการแบ่งส่วนเครือข่าย รายการจุดอ่อนเหล่านี้จะกลายเป็นพื้นฐานสำหรับมาตรการแก้ไข ตลอดจนเครื่องมือต่างๆ การจัดการท่าทางความปลอดภัยของแอปพลิเคชัน (ASPM).
การวิเคราะห์นี้ยังช่วยระบุขอบเขตที่แท้จริงของการโจมตีได้อีกด้วยขั้นตอนนี้รวมถึงการตรวจสอบว่าระบบใดบ้างที่ถูกบุกรุก บัญชีใดบ้างที่ถูกใช้งาน ข้อมูลใดบ้างที่ถูกเข้าถึงหรือถูกขโมยออกไป และผู้โจมตีสามารถเคลื่อนไหวได้อย่างอิสระเป็นเวลานานเท่าใด ในสภาพแวดล้อมที่ซับซ้อน อาจต้องใช้เวลาหลายวันหรือหลายสัปดาห์ในการตรวจสอบอย่างละเอียด
เมื่อมีสัญญาณบ่งชี้ถึงการรั่วไหลของข้อมูล จะมีการตรวจสอบบันทึกเครือข่ายและฐานข้อมูลอย่างละเอียดมากขึ้น เพื่อประเมินปริมาณข้อมูลที่รั่วไหล ไปยังปลายทางใด และในรูปแบบใด ข้อมูลนี้มีความสำคัญอย่างยิ่งต่อการประเมินผลกระทบทางกฎหมายและชื่อเสียง รวมถึงภาระผูกพันในการแจ้งให้หน่วยงานที่เกี่ยวข้องและผู้ที่ได้รับผลกระทบทราบ
ผลงานทั้งหมดนี้สะท้อนให้เห็นในรายงานทางเทคนิคและรายงานสำหรับผู้บริหารรายงานเหล่านี้ควรอธิบายไม่เพียงแต่ด้านเทคนิคของการโจมตีเท่านั้น แต่ยังรวมถึงผลกระทบต่อธุรกิจและข้อเสนอแนะสำหรับการปรับปรุงด้วย รายงานเหล่านี้ใช้เป็นพื้นฐานในการสนับสนุนการลงทุนด้านความปลอดภัย การทบทวนกระบวนการภายใน และการเสริมสร้างการฝึกอบรมบุคลากร
ประเมินความเสียหาย ข้อมูลที่รั่วไหล และผลกระทบต่อธุรกิจ
นอกเหนือจากแง่มุมทางเทคนิคแล้ว หลังเกิดเหตุการณ์ ตัวเลขและผลกระทบจะต้องถูกนำมาพิจารณาอย่างรอบด้านกล่าวคือ เพื่อประเมินผลกระทบในด้านการดำเนินงาน เศรษฐกิจ กฎหมาย และชื่อเสียง
ขั้นแรก จะมีการวิเคราะห์ผลกระทบต่อการดำเนินงานซึ่งรวมถึง: บริการที่หยุดชะงัก การหยุดชะงักของการผลิต การหยุดทำงานของระบบที่สำคัญ ความล่าช้าในการส่งมอบหรือโครงการ การไม่สามารถออกใบแจ้งหนี้ การยกเลิกนัดหมายหรือการดำเนินการ ฯลฯ ข้อมูลเหล่านี้เป็นพื้นฐานในการประเมินความเสียหายเนื่องจากการหยุดชะงักทางธุรกิจ
จากนั้นจึงต้องตรวจสอบข้อมูลที่ได้รับผลกระทบอย่างละเอียดถี่ถ้วนข้อมูลส่วนบุคคลของลูกค้า พนักงาน ผู้จำหน่าย หรือผู้ป่วย; ข้อมูลทางการเงิน; ความลับทางการค้า; ทรัพย์สินทางปัญญา; สัญญา; เวชระเบียนเอกสารทางการศึกษา และอื่นๆ แต่ละประเภทของข้อมูลมีความเสี่ยงและภาระผูกพันที่แตกต่างกัน
สำหรับข้อมูลส่วนบุคคล จำเป็นต้องประเมินระดับความละเอียดอ่อนของข้อมูลนั้น (ตัวอย่างเช่น ข้อมูลด้านสุขภาพหรือข้อมูลทางการเงิน เทียบกับข้อมูลติดต่อทั่วไป) ปริมาณข้อมูลที่รั่วไหล และความเป็นไปได้ในการนำไปใช้ในทางที่ผิด เช่น การฉ้อโกง การขโมยข้อมูลส่วนบุคคล หรือการแบล็กเมล์ การประเมินนี้จะพิจารณาว่าควรแจ้งสำนักงานคุ้มครองข้อมูลแห่งสเปน (AEPD) และฝ่ายที่ได้รับผลกระทบหรือไม่ รวมถึงมาตรการชดเชยที่จะเสนอให้ด้วย
ประการที่สาม คือ การคำนวณผลกระทบทางเศรษฐกิจโดยตรงค่าใช้จ่ายเหล่านี้รวมถึงบริการรักษาความปลอดภัยทางไซเบอร์จากภายนอก ทนายความ การสื่อสารในภาวะวิกฤต การกู้คืนระบบ การจัดหาเครื่องมือรักษาความปลอดภัยใหม่โดยเร่งด่วน ค่าล่วงเวลา ค่าเดินทาง ฯลฯ นอกจากนี้ยังมีผลกระทบทางอ้อมซึ่งวัดได้ยากกว่า เช่น การสูญเสียลูกค้า ความเสียหายต่อชื่อเสียง ค่าปรับจากหน่วยงานกำกับดูแล หรือค่าปรับตามสัญญา
สุดท้ายนี้ จะมีการประเมินผลกระทบต่อชื่อเสียงและความไว้วางใจของผู้มีส่วนได้ส่วนเสียสิ่งนี้รวมถึงปฏิกิริยาของลูกค้า นักลงทุน พันธมิตร สื่อ และพนักงาน เหตุการณ์ที่จัดการไม่ดี ขาดความโปร่งใส หรือตอบสนองช้า อาจส่งผลเสียต่อชื่อเสียงในระยะยาว แม้ว่าจะแก้ไขปัญหาทางเทคนิคได้อย่างถูกต้องแล้วก็ตาม
การกู้คืนระบบอย่างปลอดภัย: การกู้คืนระบบโดยไม่นำศัตรูกลับเข้ามาอีก
เมื่อเข้าใจถึงสิ่งที่เกิดขึ้นและขับไล่ผู้โจมตีออกไปได้แล้ว ขั้นตอนการเริ่มต้นระบบใหม่ก็จะเริ่มต้นขึ้น และกลับสู่สภาวะปกติ ความเร่งรีบมักก่อให้เกิดผลเสีย หากคุณต้องการหลีกเลี่ยงการติดเชื้อซ้ำหรือการปล่อยให้ช่องโหว่ยังคงทำงานอยู่
ขั้นตอนแรกคือการกำหนดลำดับความสำคัญของการฟื้นฟูระบบทุกระบบไม่ได้มีความสำคัญเท่ากันสำหรับการดำเนินธุรกิจอย่างต่อเนื่อง จำเป็นต้องระบุว่าระบบใดมีความสำคัญอย่างแท้จริง (เช่น ระบบการเรียกเก็บเงิน การสั่งซื้อ ระบบสนับสนุน แพลตฟอร์มบริการลูกค้า การสื่อสารพื้นฐาน) และกู้คืนระบบเหล่านั้นก่อน โดยปล่อยให้ระบบที่มีความสำคัญรองลงมาหรือเป็นเพียงระบบบริหารจัดการไว้ทีหลัง
ก่อนทำการกู้คืนระบบ จำเป็นต้องทำความสะอาดหรือติดตั้งระบบใหม่ก่อนในหลายกรณี วิธีที่ปลอดภัยที่สุดคือการฟอร์แมตและติดตั้งระบบใหม่ทั้งหมด จากนั้นจึงใช้แพทช์และกำหนดค่าการป้องกันที่ปลอดภัย แทนที่จะพยายาม "ทำความสะอาด" ระบบที่เสียหายด้วยตนเอง ซึ่งรวมถึงการตรวจสอบสคริปต์เริ่มต้นระบบ งานที่กำหนดเวลาไว้ บัญชีบริการ คีย์รีจิสทรี และกลไกการคงอยู่ของมัลแวร์ที่เป็นไปได้ทั้งหมดอย่างละเอียด
การกู้คืนข้อมูลต้องทำจากข้อมูลสำรองที่ได้รับการตรวจสอบแล้วเท่านั้น เพื่อให้แน่ใจว่าข้อมูลสำรองไม่ถูกบุกรุก ในการทำเช่นนี้ จะมีการวิเคราะห์ข้อมูลสำรองด้วยเครื่องมือป้องกันมัลแวร์ และตรวจสอบวันที่เพื่อเลือกเวอร์ชันที่เก่ากว่าก่อนเกิดเหตุการณ์ เมื่อใดก็ตามที่เป็นไปได้ ขอแนะนำให้ทำการกู้คืนในสภาพแวดล้อมทดสอบที่แยกต่างหากก่อน และตรวจสอบว่าทุกอย่างทำงานได้อย่างถูกต้องและไม่มีสัญญาณของกิจกรรมที่เป็นอันตราย
ในช่วงที่ระบบและบริการต่างๆ กลับมาใช้งานอีกครั้ง การตรวจสอบจะต้องเข้มข้นเป็นพิเศษเป้าหมายคือการตรวจจับความพยายามใดๆ ของผู้โจมตีในการเชื่อมต่อใหม่ กิจกรรมที่ผิดปกติ ปริมาณการรับส่งข้อมูลที่เพิ่มขึ้นอย่างไม่คาดคิด หรือการเข้าถึงที่ไม่ปกติได้ทันที โซลูชันต่างๆ เช่น EDR/XDR, SIEM หรือบริการตรวจสอบแบบจัดการ (MDR) จะช่วยเพิ่มประสิทธิภาพการเฝ้าระวังนี้ได้อย่างมาก
ใช้ประโยชน์จากช่วงเวลาการบูรณะเพื่อปรับปรุงมาตรการควบคุมความปลอดภัย นับเป็นการตัดสินใจที่ชาญฉลาด ตัวอย่างเช่น สามารถเสริมความแข็งแกร่งให้กับนโยบายรหัสผ่านได้ การตรวจสอบสิทธิ์แบบหลายปัจจัยเสริมความแข็งแกร่งในการแบ่งส่วนเครือข่าย ลดสิทธิ์ที่มากเกินไป รวมรายการแอปพลิเคชันที่อนุญาต หรือติดตั้งเครื่องมือตรวจจับการบุกรุกและควบคุมการเข้าถึงเพิ่มเติม
บทเรียนที่ได้รับและการปรับปรุงอย่างต่อเนื่องหลังเหตุการณ์ดังกล่าว
เมื่อความเร่งรีบผ่านพ้นไปแล้ว ก็ถึงเวลาที่จะนั่งลงอย่างใจเย็น และวิเคราะห์ว่าอะไรทำได้ดี อะไรผิดพลาด และอะไรที่สามารถปรับปรุงได้ การจัดการกับเหตุการณ์นี้เสมือนเป็นแบบฝึกหัดจริง ๆ จะช่วยยกระดับความพร้อมด้านความปลอดภัยทางไซเบอร์ได้อย่างแท้จริง
โดยปกติแล้วจะมีการจัดประชุมทบทวนหลังเกิดเหตุการณ์ การประชุมนี้มีผู้แทนจากฝ่ายไอที ฝ่ายรักษาความปลอดภัย ฝ่ายธุรกิจ ฝ่ายกฎหมาย ฝ่ายสื่อสาร และหากเกี่ยวข้อง ก็รวมถึงผู้จำหน่ายภายนอกด้วย การประชุมนี้จะทบทวนกำหนดเวลา การตัดสินใจที่เกิดขึ้น ความท้าทายที่พบ ปัญหาคอขวด และจุดบอดในการตรวจจับหรือการตอบสนอง
ผลลัพธ์ประการหนึ่งจากการตรวจสอบครั้งนี้คือการปรับแผนรับมือเหตุการณ์ฉุกเฉิน: กำหนดบทบาทและผู้ติดต่อใหม่ ปรับปรุงแม่แบบการสื่อสาร ปรับปรุงขั้นตอนทางเทคนิค ชี้แจงเกณฑ์การยกระดับปัญหา หรือเพิ่มกรณีการใช้งานเฉพาะ (เช่น การโจมตีด้วยแรนซัมแวร์ การรั่วไหลของข้อมูล หรือเหตุการณ์ที่เกิดขึ้นบนคลาวด์)
อีกหนึ่งแนวทางแก้ไขที่สำคัญคือการให้ความสำคัญกับมาตรการด้านความปลอดภัยเชิงโครงสร้าง จากช่องโหว่ที่ตรวจพบ: อัปเดตระบบ เสริมความแข็งแกร่งของการกำหนดค่า แบ่งส่วนเครือข่าย ตรวจสอบกฎไฟร์วอลล์ ใช้งาน MFA ในกรณีที่ยังไม่ได้ใช้งาน จำกัดการเข้าถึงจากระยะไกล ใช้หลักการให้สิทธิ์ขั้นต่ำ และปรับปรุงรายการสินทรัพย์
ในขณะเดียวกัน เหตุการณ์ดังกล่าวมักเน้นย้ำถึงความจำเป็นในการฝึกอบรมและการสร้างความตระหนักรู้ให้มากขึ้นการฝึกซ้อมรับมือกับฟิชชิง การฝึกอบรมเชิงปฏิบัติการด้านการตอบสนอง การอบรมเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดสำหรับการจัดการข้อมูล และการฝึกซ้อมจำลองสถานการณ์ ช่วยให้พนักงานรู้วิธีการปฏิบัติตนและลดความเสี่ยงจากความผิดพลาดของมนุษย์ซึ่งเป็นสาเหตุของการละเมิดข้อมูลจำนวนมาก
องค์กรที่มีทรัพยากรภายในจำกัดอาจพิจารณาจ้างบริการจัดการจากภายนอก เช่น การเฝ้าระวังตลอด 24 ชั่วโมง การตรวจจับและตอบสนองแบบจัดการ (MDR) หรือทีมตอบสนองเหตุการณ์ภายนอกที่เสริมการทำงานของทีม CSIRT ภายในองค์กร สิ่งนี้มีความสำคัญอย่างยิ่งเมื่อไม่สามารถรักษาการเฝ้าระวังอย่างต่อเนื่องได้ หรือเมื่อสภาพแวดล้อมมีความซับซ้อนสูง
ท้ายที่สุดแล้ว ทุกเหตุการณ์ที่ได้รับการวิเคราะห์อย่างละเอียดถี่ถ้วน จะกลายเป็นแรงผลักดันไปสู่การปรับปรุง สิ่งนี้ช่วยเสริมสร้างความยืดหยุ่น เร่งขีดความสามารถในการตอบสนอง และลดโอกาสที่การโจมตีในลักษณะเดียวกันจะประสบความสำเร็จในอนาคต การมองการจัดการเหตุการณ์เป็นวงจรต่อเนื่องของการเตรียมการ การตรวจจับ การตอบสนอง และการเรียนรู้ คือสิ่งที่ทำให้องค์กรที่เพียงแค่ "ดับไฟ" แตกต่างจากองค์กรที่แข็งแกร่งขึ้นอย่างแท้จริงจากทุกอุปสรรค
การรักษาภาพรวมที่ครอบคลุมเกี่ยวกับสิ่งที่ต้องตรวจสอบหลังเกิดเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ —ตั้งแต่การระบุการโจมตี การรักษาหลักฐาน การสื่อสารกับบุคคลที่สาม การกู้คืนข้อมูลอย่างปลอดภัย และบทเรียนที่ได้รับ— ช่วยให้คุณเปลี่ยนจากความตื่นตระหนกที่เกิดขึ้นอย่างฉับพลันไปสู่การตอบสนองอย่างมืออาชีพและเป็นระบบ ซึ่งสามารถจำกัดความเสียหาย ปฏิบัติตามกฎระเบียบ และเสริมสร้างความปลอดภัยขององค์กรได้อย่างเป็นรูปธรรม
นักเขียนผู้หลงใหลเกี่ยวกับโลกแห่งไบต์และเทคโนโลยีโดยทั่วไป ฉันชอบแบ่งปันความรู้ผ่านการเขียน และนั่นคือสิ่งที่ฉันจะทำในบล็อกนี้ เพื่อแสดงให้คุณเห็นสิ่งที่น่าสนใจที่สุดเกี่ยวกับอุปกรณ์ ซอฟต์แวร์ ฮาร์ดแวร์ แนวโน้มทางเทคโนโลยี และอื่นๆ เป้าหมายของฉันคือการช่วยคุณนำทางโลกดิจิทัลด้วยวิธีที่เรียบง่ายและสนุกสนาน