บทความ IT เจ๋งๆ

เราจะพบว่ายิ่งมีการเติบโตในการใช้งาน internet มากขึ้นเท่าไร ก็มักจะพบว่ามีการโจมตีทางโลกไซเบอร์ หรือ cyber-attack กันมากยิ่งขึ้น ดังนั้นหน้าที่สำคัญของคนไอทีที่ทำงานด้าน Security คือการทำให้ระบบ Security ของคุณแข็งแกร่ง วันนี้ทีมงานมี 4 เคล็ดลับ การทำให้การตอบสนองต่อเหตุการณ์ด้าน Security ของคุณดีขึ้นมาฝากกัน มาดูกันเลยว่ามีเคล็ดลับอะไรบ้าง

มีการเผยแพร่จาก Bleepingcomputer.com ว่า จากเหตุการณ์ cyber-attack ในประเทศเยอรมนี ส่งผลต่อ 900,000 routers ในขณะเดียวกัน เหตุการณ์นี้ได้ส่งผลกระทบต่อการใช้ชีวิตประจำวันของผู้คนกว่า 20 ล้านคนอีกด้วย นั่นหมายความว่าผู้ใช้งาน ไม่สามารถเข้าถึง internet ได้ หากบริษัทที่ได้รับผลกระทบไม่ตอบสนองต่อการโจมตีด้วยความเร่งรีบ คงไม่ต้องพูดถึงความเสียหายที่จะเกิดขึ้นต่อชื่อเสียงของพวกเขา รวมทั้งประสบการณ์ด้านลบที่ลูกค้าจะได้รับ ดังนั้นกลยุทธ์ด้าน Security Incident Response หรือการตอบสนองต่อเหตุการณ์ด้านความปลอดภัย จึงเป็นเรื่องสำคัญมากสำหรับจัดการกับเหตุการณ์ดังกล่าว และยิ่งคุณมีระบบที่แข็งแกร่งเท่าใดก็ยิ่งส่งผลดีต่อธุรกิจของคุณมากเท่านั้น

นี่คือ 4 เคล็ดลับ การทำให้การตอบสนองต่อเหตุการณ์ด้าน Security ของคุณดีขึ้น

1. Detection & Communication

มีอะไรที่ส่งผลกระทบต่อประเภทของ logs และ events logged บน server บ้าง? ในขณะที่ log ปกติจะถูก register ใน server ของคุณเมื่อทุกอย่างทำงานได้ดีเป็นปกติ ส่วน error log และความผิดปกติต่างๆ จะถูกสร้างขึ้นในกรณีที่มีเหตุการณ์เกี่ยวกับการโจมตี การใช้เทคโนโลยีอย่าง Intrusion detection software จะช่วยระบุการละเมิด และช่วยแจ้งเตือนทีมงาน cybersecurity หรือผู้เชี่ยวชาญด้านไอทีของคุณ

ควรตรวจสอบให้แน่ใจว่า ได้มีการอธิบายนโยบายเกี่ยวกับวิธีที่ IT operations จะถูกใช้ในการ communicate รวมทั้ง backup plan ในกรณีที่วิธีการ communicate หลักเกิดล้มเหลวขึ้นมา ควรทำอย่างไร อย่างเช่น ถ้าการโจมตีส่งผลกระทบต่อระบบอีเมล คุณจะต้องเปลี่ยนไปใช้วิธีการ communicate แบบอื่น หากไม่มีการโจมตีครั้งที่ 2 ควรจะประชุมอย่างเร่งด่วน ในเรื่องนโยบายเกี่ยวกับสิ่งที่ควรทำก่อน-หลัง(priority) ในกรณีที่มีการโจมตีหลายๆ ครั้ง

2. Test & Improve

วิธีที่ดีในการช่วยเสริมให้แนวทางปฏิบัติในการตอบสนองต่อเหตุการณ์ของคุณแข็งแกร่งขึ้น คือการจำลองการโจมตี ด้วยการ Test การเจาะระบบ แล้วสังเกตดูว่า พนักงานของคุณตอบสนองต่อเหตุการณ์นั้นอย่างไร มีอะไรที่จะทำให้ดีกว่านี้ได้ไหม? กรณีมีบางแผนกที่ล่าช้าในการตอบสนอง ก็ให้ปรับเปลี่ยนบางอย่างซะ สลับบทบาทของพนักงาน(หากจำเป็นต้องทำ) เพื่อให้แน่ใจว่า พนักงานที่มีความสามารถจะสามารถเป็นแกนนำในแผนการตอบสนองต่อเหตุการณ์ดังกล่าวได้ โปรดจำไว้ว่าแผนงานที่รัดกุมและเตรียมพร้อมไว้แล้ว จะทำให้พนักงานของคุณตอบสนองต่อการโจมตีด้วยความร่วมมือ เพื่อหลีกเลี่ยงความเสียหายที่อาจเกิดขึ้น

3. Work With The Relevant Metrics

Log data จะช่วยให้ผู้เชี่ยวชาญด้าน IT & security ทราบถึงข้อมูลเชิงลึกที่มีความสำคัญต่อ system แต่ด้วยข้อมูลที่มีความหลากหลายที่ถูกนำเสนอออกมา อาจทำให้ยากที่จะตรวจสอบว่า ควรให้ความสนใจกับตัวชี้วัดใด ในระหว่างการโจมตี การที่รู้ว่าอะไรเป็นสิ่งที่ควรให้ความสำคัญ ก็เท่ากับเป็นการจัดการกับการโจมตีได้อย่างรวดเร็ว ดังนั้นเพื่อความปลอดภัย ให้วิเคราะห์ถึงผลกระทบของ cyber-attack ที่จะเกิดขึ้นกับส่วนต่างๆ ขององค์กร และให้สร้างระดับของความสำคัญ 

ตัวอย่างเช่น การรั่วไหลของข้อมูล ควรได้รับความสำคัญมากกว่า การโจมตีที่ล้มเหลว มุ่งให้ความสำคัญกับภัยคุกคามที่เกิดกับ สิ่งที่เป็นทรัพย์สินทางปัญญา, ข้อมูลลูกค้า, การปฏิบัติงานประจำวัน และโปรแกรมควบคุมรายได้ หลังจากนั้นคุณสามารถเลือก metrics ส่วนที่เหลือเพื่อเฝ้าติดตามได้

4. Avoid Alert Fatigue

Response analysts และ security engineers จะต้องสามารถเข้าถึง log data ต่างๆ เพื่อที่จะระบุภัยคุกคามที่อาจเป็นไปได้ ซึ่งปริมาณข้อมูลที่พวกเขาต้องวิเคราะห์อาจมีมากจนเกินไปโดยเฉพาะอย่างยิ่งในช่วงเวลาที่มีการคุกคามน้อยที่สุด แต่ถึงอย่างไรการวิเคราะห์ก็ยังเป็นสิ่งที่ต้องทำ แล้วทำไมไม่ใช้ประโยชน์จาก incident response automation ล่ะ?

เครื่องมือดังกล่าว สามารถช่วย monitor ข้อมูลเพื่อไม่ให้พนักงานที่ทำหน้าที่นี้รู้สึกเหนื่อยล้าเกินไป ในทางกลับกันพวกเขาเหล่านี้จะได้มีเวลามุ่งเน้นการจัดการภัยคุกคามที่แท้จริง แทนที่จะมานั่ง monitor แต่ log data

สรุป

การมีกลยุทธ์ Incident Response เป็นเพียงจุดเริ่มต้นของการต่อสู้กับ cyber-attack เท่านั้น สิ่งที่ควรให้ความสำคัญ ควรจะเป็นเรื่อง Incident Response Plan ว่ามีความน่าเชื่อถือและมีประสิทธิภาพมากแค่ไหนต่างหาก ลองทำตามเคล็ดลับข้างต้นดู น่าจะช่วยให้คุณมีความพร้อมในการรับมือกับสิ่งที่จะเกิดขึ้นโดยไม่คาดคิดได้

ที่มา:  https://www.technotification.com/

รับตำแหน่งงานไอทีใหม่ๆ ด้วยบริการ IT Job Alert

อัพเดทบทความจากคนวงในสายไอทีทาง LINE ก่อนใคร
อย่าลืมแอดไลน์ @techstarth เป็นเพื่อนนะคะ

บทความที่เกี่ยวข้อง

• เปิดตัว! หนังสือ PMBOKv6 ฉบับตีพิมพ์ภาษาไทย 
• 6 วิชาที่ยากที่สุดใน Computer Science 
• วิธีทำให้ Code อ่านง่าย ด้วยการใช้ Functional Programming