1

CSIRTESTABLISHING A¤Ù ‹Á ×Í¡ÒèѴµÑ §«Õà«Ôà �µ

¤Ù ‹Á ×Í¡ÒèѴµÑ §ÈÙ¹Â�»ÃÐÊÒ¹¡ÒÃÃѺÁ×ÍÀѤء¤ÒÁ¤ÇÒÁÁÑ ¹¤§»ÅÍ´ÀѤÍÁ¾ÔÇàµÍÃ�ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE TEAM

COMPUTER SECURITY INCIDENT RESPONSE TEAM

สำนกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

อาคารเดอะ ไนน ทาวเวอร แกรนดพระรามเกา (อาคารบ) ชน 21 เลขท 33/4 ถนนพระราม 9

แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร 10310โทรศพท 0 2123 1212 | โทรสาร 0 2123 1200

WWW.ETDA.OR.TH | WWW.THAICERT.OR.TH : ETDA Thailand

978-616-7956-28-2

ESTABLISHING A CSIRT¤Ù‹Á×Í¡ÒèѴµÑ§«Õà«ÔÃ�µ

3

4

ชอเรอง : คมอการจดตงซเซรต(EstablishingaCSIRT)เรยบเรยงโดย : ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย (Thailand Computer Emergency Response Team)พมพครงท1 : มกราคม 2561พมพจำานวน : 500 เลม

จดพมพและเผยแพรโดย:ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย (Thailand Computer Emergency Response Team)สำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)กระทรวงดจทลเพอเศรษฐกจและสงคมอาคารเดอะ ไนน ทาวเวอร แกรนด พระรามเกา (อาคารบ) ชน 20 เลขท 33/4 ถนนพระราม 9 แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร 10310

โทรศพท: 0 2123 1234 โทรสาร: 0 2123 1200อเมล: office@thaicert.or.thเวบไซตไทยเซรต: www.thaicert.or.thเวบไซตสำานกงานพฒนาธรกรรมทางอเลกทรอนกส(องคการมหาชน):www.etda.or.thเวบไซตกระทรวงดจทลเพอเศรษฐกจและสงคม: www.mdes.go.th

สงวนลขสทธตามพระราชบญญตลขสทธพ.ศ.2537All Rights Reserved. CopyrighT © 2018 Electronic Transactions Development Agency (Public Organization)

CSIRTESTABLISHING A

ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE TEAM

¤Ù ‹Á ×Í¡ÒèѴµÑ §«Õà«Ôà �µ

¤Ù ‹Á ×Í¡ÒèѴµÑ §ÈÙ¹Â�»ÃÐÊÒ¹¡ÒÃÃѺÁ×ÍÀѤء¤ÒÁ¤ÇÒÁÁÑ ¹¤§»ÅÍ´ÀѤÍÁ¾ÔÇàµÍÃ�

5

CSIRTESTABLISHING A

ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE TEAM

¤Ù ‹Á ×Í¡ÒèѴµÑ §«Õà«Ôà �µ

¤Ù ‹Á ×Í¡ÒèѴµÑ §ÈÙ¹Â�»ÃÐÊÒ¹¡ÒÃÃѺÁ×ÍÀѤء¤ÒÁ¤ÇÒÁÁÑ ¹¤§»ÅÍ´ÀѤÍÁ¾ÔÇàµÍÃ�

6

สารบญบทนำา 10 อภธานศพท 12 โครงสรางเนอหาของเอกสาร 14 ผทจะไดรบประโยชนจากเอกสารฉบบน 14 คำาชแจงทางกฎหมาย 15 กตตกรรมประกาศ 16

1.การบรหารจดการวงจรการทำางานของทมและขดความสามารถ 17

2.การรางกรอบงานCSIRT 25 2.1 พนธกจ 26 2.2 ผรบบรการ 26 2.3 อำานาจหนาท 29 2.4 ความรบผดชอบ 29 2.5 โครงสรางบรหาร 30

2.5.1 รปแบบธรกจอสระ 30 2.5.2 รปแบบฝงตว 30 2.5.3 รปแบบแคมปส 31

2.6 ความพรอมในการใหบรการ 32

7

2.7 บรการหลก 33 2.8 ขอกำาหนดดานบคลากร 34

2.8.1 อตราเจาหนาท 34 2.8.2 ความสามารถ 35 2.8.3 แนวปฏบต แนวทางการดำาเนนงาน จรรยาบรรณ 36 2.8.4 การฝกอบรม 37

2.9 โครงสรางพนฐานและเครองมอ 38 2.10 ความสมพนธภายในและภายนอกองคกร 40 2.11 รปแบบการรบเงนทนสนบสนนคาใชจาย 41

3.การขออนมตจดตงCSIRTจากผบรหารระดบสง 44 3.1 รปแบบการรายงานผลการปฏบตงานของ CSIRT 45

4.การจดตงCSIRTและสภาวะแวดลอมในการทำางาน 47 4.1 รวบรวมและจดทำารายการแหลงขอมลดานตาง ๆ 47 4.2 จดทำานโยบายการรบมอและแกไขเหตภยคกคาม 48 4.3 จดทำานโยบายการจดการและแลกเปลยนขอมล 49

4.3.1 กฎหมายและกฎระเบยบตาง ๆ 49 4.3.2 การสอสารอยางมนคงปลอดภยดวย PGP 52

4.4 การสำารวจซอฟตแวรและฮารดแวรทใชงานในองคกร 53 4.5 การประชาสมพนธ 54 4.6 การสรางเครอขาย 55 4.7 การซอมรบมอเหตภยคกคาม 56

8

5.กระบวนการรบมอและแกไขเหตภยคกคาม 58 5.1 การรบแจงเหตภยคกคาม 59

5.1.1 การแจงเตอน 59 5.1.2 การบนทกขอมล 60

5.2 การตรวจสอบและประเมนเหตภยคกคาม 61 5.2.1 การระบประเภทและความเรงดวนของ เหตภยคกคาม 62

5.3 การแกไขเหตภยคกคาม 64 5.3.1 การวเคราะหขอมล 64 5.3.2 การหาแนวทางแกไขปญหา 66 5.3.3 การเสนอแนวทางปฏบต 66 5.3.4 ปฏบตตามแนวทางแกไขปญหา 68 5.3.5 การกำาจดปญหาและการฟนฟระบบ 68

5.4 การจบการแกไขเหตภยคกคาม 68 5.4.1 การจดการขอมลครงสดทาย 69 5.4.2 การตรวจสอบและแกไขประเภทภยคกคาม ครงสดทาย 69 5.4.3 การจดเกบขอมลในฐานขอมล 69

5.5 การวเคราะหภายหลงการเกดเหตภยคกคาม 70

6.บรการเพมเตม 72 6.1 คำาอธบายบรการตาง ๆ ของ CSIRT 73

6.1.1 บรการเชงรบเพอตอบสนองภยคกคาม 73 6.1.2 บรการเชงรกเพอปองกนภยคกคาม 80 6.1.3 บรการบรหารคณภาพทาง ดานความมนคงปลอดภย 84

9

ภาคผนวกก:แมแบบกรอบงานCSIRT 88ภาคผนวกข:ตวอยางแบบฟอรมการรายงาน

เหตภยคกคาม 90ภาคผนวกค:เครองมอดานความมนคงปลอดภย 92ภาคผนวกง:แหลงทมาของขอมล 96ภาคผนวกจ:เชกลสตการจดตงCSIRT 98คณะผจดทำา 100

10

บทนำาปจจบน เสถยรภาพ ความมนคง และความพรอมใชงานของอนเทอรเนตนนสำาคญยงตอการทำางานของหนวยงานและองคกรตาง ๆ โดยเฉพาะทเปนโครงสรางพนฐานสำาคญ อาท ภาคการเงน ภาคพลงงาน ภาคการขนสง หรอภาครฐ ซงจะใหบรการไดอยางเตมทนน ประชาชนจะตองสามารถเขาถงอนเทอรเนตได สวนผดแลระบบโครงสรางพนฐานเองกตองพงพาอนเทอรเนตมากขนเรอย ๆ เพอใหบรการและตดตอสอสารระหวางกน

เวลาน หากการเชอมตออนเทอรเนตขดของเพยงไมกนาทคงเปนเรองทรบไมได และหากการเชอมตอขดของเปนเวลานานกอาจสงผลกระทบตอเสถยรภาพของระบบเศรษฐกจ โดยเฉพาะองคกรตาง ๆ ทใชประโยชนจากเวบไซตในการทำาธรกรรมซอขาย ยอมจะไดรบผลกระทบทรนแรง แมอนเทอรเนตจะไมสามารถใหบรการไปเพยงระยะเวลาสน ๆ กตาม ดงเชนการหยดใหบรการของ Facebook ทเคยปรากฏเปนขาวใหญโตมาแลว

นอกจากกรณขางตนแลว กยงมรายงานขอมลรวไหลทเกดขนกบองคกรตาง ๆ ทวโลกอยทกวน ในหลายกรณกพบวาขอมลหรอทรพยสนทางปญญาถกขโมย ซงการกระทำาเหลานถอวาเปน การจารกรรมระดบองคกร

หากพดถงความเสยหายทเกดจากเหตภยคกคามอาจแบงออกเปน 2 ลกษณะคอ (1) ความเสยหายทางตรงทเกยวของกบรายไดและกำาไรทสญเสยไป รวมถงคาใชจายในการจำากดขอบเขตความเสยหายและแกปญหาทเกดจากเหตภยคกคามนน และ (2) ความเสยหายทางออมทเกดตอภาพลกษณ การสญเสยลกคา หรอคาปรบจากองคกรกำากบดแล

11

ทผานมา มกรณศกษาใหเหนอยหลายกรณทเหตภยคกคามดานความมนคงปลอดภยทำาใหองคกรลมละลาย เพราะไมสามารถฟนตวใหกลบมาเหมอนเดมไดภายหลงเกดเหต ดงนน จงตองมการรบมอทเหมาะสมและทนทวงทเมอมเหตภยคกคามไซเบอรเกดขน และนคอเหตผลทตองจดตง CSIRT

CSIRTคอทมผเชยวชาญดานความมนคงปลอดภยไซเบอรทสามารถรบมอและแกไขเหตภยคกคาม

ประกอบดวยบคลากรทมความรและทกษะในการรบมอเหตภยคกคาม ใหความชวยเหลอผรบบรการในการฟนตวจากการเจาะระบบ นอกจากนในการดำาเนนการเชงรก CSIRT ใหบรการตรวจสอบและประเมนชองโหวของระบบสารสนเทศและ ความเสยงตาง ๆ รวมทงสรางความตระหนกและใหความรแกผเกยวของในการพฒนาและปรบปรงการบรการเพอใหเกดความมนคงปลอดภยบนโลกไซเบอร

สรางคณาวายภาพผอำานวยการสำานกงานพฒนาธรกรรม ทางอเลกทรอนกส (องคการมหาชน)

12

อภธานศพทคำาศพทเฉพาะทเกยวของกบความมนคงปลอดภยทางไซเบอรทควรรจก มดงน

CERTหรอComputerEmergencyResponseTeam

คำาวา "CERT” เปนเครองหมายการคาจดทะเบยนของ CERT Coordination Center (CERT/CC)1 หมายถงหนวยงานรบมอเหตภยคกคามทอยภายใตสถาบนวศวกรรมซอฟตแวร (Software Engineering Institute – SEI) แหงมหาวทยาลย Carnegie Mellon ในสหรฐอเมรกา และเนองจาก CERT เปนเครองหมาย การคาจดทะเบยน ดงนน ศนยททำาหนาทประสานและรบมอเหตภยคกคามดานความมนคงทางไซเบอรทจดตงขนใหมและตองการใชชอทมคำาวา CERT จะตองยนขอใบอนญาตเสยกอน2 ทงน CERT แหงแรกจดตงขนเพอรบมอและแกไขเหตการเชอมตออนเทอรเนตขดของทมผลกระทบในวงกวางซงเกดจาก worm ชอ Morris3 ในป พ.ศ. 2531

CSIRTหรอComputerSecurityIncidentResponseTeam

เปนศพททวไปทใชเรยกทมรบมอเหตภยคกคามและมภารกจ เชนเดยวกบ CERT อยางไรกด เนองจาก CERT เปนเครองหมาย การคาจดทะเบยน ในเอกสารฉบบนจงใชคำาวา CSIRT แทน

1 CERT/CC: <https://www.cert.org/>2 รายละเอยดเพมเตมและขนตอนการยนขอใบอนญาต สามารถศกษาไดท <https://www.cert.

org/incident-management/csirt-development/cert-authorized.cfm>3 The Morris Worm: <https://en.wikipedia.org/wiki/Morris_worm>

13

ISACหรอInformationSharingandAnalysisCenter

คอศนยแลกเปลยนและวเคราะหขอมล ทมหนาทสรางความรวมมอระหวางทมดานความมนคงปลอดภยทางไซเบอรทมลกษณะคลายคลงกนหรออยในภาคสวนเดยวกน ซงศนยแลกเปลยนและวเคราะหขอมลนอาจมหนาทความรบผดชอบคลายกบ CSIRT เพยงแตจะขาดภารกจในการรบมอและแกไขเหตภยคกคาม

SOCหรอSecurityOperatingCenter

คอศนยปฏบตการทางไซเบอร ซงเปนพนทหรอหองในอาคารทเปนศนยกลางสำาหรบการเฝาระวงเหตภยคกคามแบบเรยลไทม การสงทมรบมอและแกไขเหตภยคกคามไปยงทเกดเหต และการประสานงานเพอรบมอและแกไขเหตภยคกคาม คลายกบทบรษทผใหบรการอนเทอรเนต (ISPs) ม NOC หรอ Network Operating Centers ซงเปนศนยปฏบตการสำาหรบดแลเครอขาย แตความแตกตางคอ SOC จดตงขนเพอรบมอเหตภยคกคามโดยเฉพาะ โดยปกตแลว มเพยง CSIRT ชนแนวหนาหรอองคกรใหญ ๆ ทมระบบเทคโนโลยสารสนเทศกระจายอยหลายพนทเทานน ทจำาเปนตองม SOC

การดำาเนนงานของ CSIRT และ SOC ไมแตกตางกนมากนกเพราะมภารกจทคลายคลงและทบซอนกนอยมาก ในบางกรณอาจพบ CSIRT ตงอยใน SOC ในขณะท CSIRT บางแหงกกำาหนดให SOC เปนเสมอนทมหนาดานในการรบมอเมอเกดเหตภยคกคาม ซงรายละเอยดและความสมพนธระหวาง CSIRT และ SOC จะปรากฏในบทท 6

ทงน ไมวาจะใชคำาวาอะไร หรอศนยทจดตงขนจะไดชอวาอะไร ทายทสดแลวสงทสำาคญสำาหรบองคกรทเกยวของกคอขดความสามารถในการรบมอเหตภยคกคาม

14

โครงสรางเนอหาของเอกสารบทท 1 อธบายวงจรการทำางานและขดความสามารถของ

CSIRTบทท 2-4 รายละเอยดขนตอนตาง ๆ ทจำาเปนในการจดทำาแผน

การขอใหผบรหารอนมตจดตง CSIRTบทท 5 รายละเอยดการใหบรการรบมอและแกไขเหตภยคกคามบทท 6 อธบายบรการอน ๆ ท CSIRT อาจมหมายเหต เพอประโยชนตอผอานในการทำาความเขาใจกบคำาแนะนำาในคมอฉบบน จงไดยกตวอยางของไทยเซรต เปนขอความในกลองสเหลยม

ตวอยางไทยเซรต

ผทจะไดรบประโยชนจากเอกสารฉบบนคมอฉบบนไดรบการออกแบบมาสำาหรบองคกรตาง ๆ ทตองการ จะเรยนรเพมเตมเกยวกบ CSIRT และตองการจดตง CSIRT ขนมาภายในองคกร โดยคมอจะมรายละเอยดเกยวกบกระบวนการจดตง CSIRT และขอกำาหนดตาง ๆ รวมทงสอดแทรกตวอยาง เพอใหเขาใจและเหนภาพวาจะดำาเนนการตามขนตอนแตละขนใหสำาเรจไดอยางไร เอกสารฉบบนเหมาะสำาหรบเจาหนาทในระดบบรหาร แตเจาหนาทดานเทคนคกสามารถใชประโยชนในการอางองจากคมอฉบบนไดเชนกน

15

คำาชแจงทางกฎหมายคมอนมจดประสงคเพอชวยองคกรในการจดตง CSIRT ตงแตเรมตนจนถงขนทสามารถปฏบตงานได เนอหาทปรากฏในเลมน มาจากทงองคความรและประสบการณของไทยเซรต และสำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) และจากเครอขาย CSIRT อน ๆ ทงนเนอหาของคมอเปนเนอหาทรวบรวม ณ เวลาทจดทำา ไมไดเปนคมอทสมบรณแบบทสด อาจจำาเปนตองปรบปรงใหทนสมยเหมาะสมตามกาลเวลา

คมอนอางองเนอหาจากแหลงขอมลตาง ๆ ซงไทยเซรตขอสงวนสทธในการรบผดชอบตอเนอหาดงกลาว รวมถงรบรองวาเวบไซตทไดอางองหรอระบไวในคมอนจะยงสามารถเขาถงได และหากเนอหาสวนใดมการระบถงชอผลตภณฑ ไมไดหมายความวาไทยเซรตสนบสนนผลตภณฑดงกลาว เพยงแตเปนการยกตวอยางเทานน

คมอนจดทำาขนเพอการศกษาและอางองเทานน ไทยเซรตหรอบคคลใด ๆ ทปฏบตหนาทในนามไทยเซรตจะไมรบผดชอบตอผลลพธของการใชงานขอมลทปรากฏในคมอน ขอมลทกอยางทปรากฏในคมอนอาจเปลยนแปลงไปตามกาลเวลา จงขอสงวนสทธเกยวกบความถกตองของขอมลตาง ๆ

คมอนจดพมพขนภายใตลขสทธ Creative Commons Attribution- NonCommercial- Sharealike 4.0 International4

ลขสทธถกตองตามกฎหมาย© สำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) 2559

4 Creative Commons License: <https://creativecommons.org/licenses/by-nc-sa/4.0/>

16

กตตกรรมประกาศไทยเซรตขอขอบคณสถาบนและบคคลตาง ๆ ทใหความอนเคราะหจนประสบความสำาเรจในการจดทำาคมอฉบบน โดยขอแสดงความขอบคณเปนพเศษแด

• CERT/CC โดยเฉพาะอยางยงทมพฒนา CSIRT ซงใหขอมลประกอบในบทท 6

• ENISA สำาหรบขอมลเชงลกเกยวกบบคคล กฎหมายและ กฎระเบยบ

• TRANSITS สำาหรบขอเสนอในกระบวนการรบมอและแกไข เหตภยคกคาม

• ผทไดกรณาตรวจสอบการแปลและความถกตองของคมอน

17

1.การบรหารจดการวงจรการทำางานของทมและขดความสามารถการจดตง CSIRT มหลายองคประกอบและปจจยทตองคำานงถง ดงนน จงควรนำาวงจร วางแผน-ลงมอทำา -ตรวจสอบ-ปฏบต (Plan-Do-Check-Act หรอ PDCA5 มาปรบใชเพอใหการจดตงและการทำางานเปนไปอยางราบรน มการพฒนาปรบปรงอยางตอเนอง สมำาเสมอ

รปภาพท1: แสดงวงจร PDCA (หรอวงจร Deming) เปนแนวทางชวยใหการดำาเนนการมการพฒนาคณภาพอยางตอเนอง

5 วงจร PDCA : <https://en.wikipedia.org/wiki/PDCA>

การพฒน

าอยางต

อเนอง

ปฏบต วางแผน

ตรวจสอบ ลงมอทำ

ปฏบต วางแผน

ตรวจสอบ

การผนวกค

วามกาวหน

า

ในขนตอนก

อนหนาผาน

กระบวนกา

รจดทำมาต

รฐาน

มาตรฐาน

มาตรฐาน

ลงมอทำ

การพฒนาคณ

ภาพ

เวลา

18

ในการจดตงและดำาเนนภารกจของ CSIRT ควรจะมทปรกษาระดบสงทมประสบการณในการบรหารองคกร ในระดบสงสด มประสบการณกบการกำาหนดเปาหมายและยทธศาสตรทางธรกจ รวมทงสามารถสนบสนน แผนงานตาง ๆ เขามามบทบาทใหคำาแนะนำาดวย นอกจากน ยงม CSIRT ทพรอมแบงปนประสบการณและองคความรรวมทงตวอยางตาง ๆ เพอสนบสนนการจดตง CSIRT ใหม ๆ

• AusCERT6

• สถาบนการเงน7

• CERT Polska8

วางแผน(Plan)การจดทำากรอบงานCSIRT

• คำาอธบายโดยละเอยดจะปรากฏในบทท 2 และในภาคผนวก ก: แมแบบกรอบงาน CSIRT

การกำาหนดงบประมาณ

• กำาหนดงบประมาณสำาหรบการดำาเนนการตอเนองเปนเวลาหลายป โดยตองแยกงบประมาณดานการปฏบตการและ งบประมาณทใชสำาหรบการลงทนออกจากกน

6 AusCERT: <https://www.auscert.org/au/render.html?it=2252>7 สถาบนการเงน: <http://www.cert.org/incident-management/publications/case-studies/

afi-case-study.cfm>8 CERT Polska: <https://www.terena.org/activities/tf-csirt/meeting9/jaroszewski-

assistance-csirt.pdf>

19

• ไมควรกำาหนดงบประมาณในลกษณะทเปนการผกมดจนเกนไปและไมควรประเมนงบประมาณสงกวาความเปนจรง

• จดทำางบประมาณใหกระชบทสดเทาทจะกระทำาไดและควรชแจงเกยวกบสงทเปนรปธรรม และนามธรรมในขอเสนออยางตรงไปตรงมา

การจดทำาแผนธรกจแผนประกอบการ

• ศกษาจากตวอยางและเวบไซตทใหคำาแนะนำาเกยวกบแผนธรกจตาง ๆ

• ขอรบการสนบสนนจากทปรกษาระดบสง• แผนธรกจ แผนประกอบการควรสะทอนเปาหมายของ CSIRT ท

มตอองคกร และความเชอมโยงระหวางเปาหมายกบงบประมาณ• ควรระบผลตอบแทนจากการลงทนในแผนฯ ดวย (Return on

Investment : ROI)การนำาเสนองบประมาณและแผนงาน

• คำาอธบายปรากฏในบทท 3• ศกษาอยางรอบคอบเพอใหสามารถอธบายและชแจงเหตผล

ความจำาเปนของงบประมาณแตละรายการได• นำาเสนอแผนตอทปรกษาระดบสงกอนเพอรบฟงขอคดเหนและ

ขอเสนอแนะ• จากนนจงนำาเสนอตอบคคลทมอำานาจอนมตแผนและคาใชจาย

ตาง ๆ ในการจดตง CSIRT

20

ลงมอทำา(Do)การดำาเนนการตามแผน

• คำาอธบายปรากฏในบทท 4 - สรปขอมลภาพรวมเกยวกบแหลงขอมล - รางนโยบายการรบมอและแกไขเหตภยคกคาม - รางนโยบายการจดการและแลกเปลยนขอมล - ประเมนขดความสามารถพนฐานของผรบบรการ - ประชาสมพนธการจดตง CSIRT - สรางเครอขายความรวมมอจากการเขารวมการประชมและ

การเสวนาตาง ๆ - ซอมรบมอเหตภยคกคาม• ดำาเนนการรบมอและแกไขเหตภยคกคาม (บทท 5) รวมทงให

บรการตามภารกจหลกอน ๆ (บทท 6)

ตรวจสอบ(Check)วเคราะหการทำางานของCSIRT• ใหความสำาคญกบผงขนตอนการทำางาน (workflow)

กระบวนการและภารกจทสำาคญ - การดำาเนนการไมตอเนอง ไมสมำาเสมอหรอไม - การดำาเนนการตาง ๆ สามารถทจะพฒนาและปรบปรงไดด

ยงขนไดอยางไร

21

• ใชวธการประเมนผลทเหมาะสม• ใหบคลากรเขามามสวนรวม - การมสวนรวมนำาไปสความมงมนและพนธกจรวมกน - แลกเปลยนในสงทดำาเนนการไดดแลวและสงทยง

ปรบปรงไดอก - ทำางานรวมกบสวนตรวจสอบคณภาพในองคกร (หากม) - อาจพจารณาจางทปรกษาจากภายนอกเขามาชวย• สมภาษณผรบบรการ เกยวกบ - สงท CSIRT ดำาเนนการไดดอยแลว - ชองทางในการปรบปรงและพฒนา• บรหารจดการคณภาพทวไป - CSIRT ทำางานตามกระบวนการและมาตรฐานทวางไวหรอไม - ไดมการบนทกการปฏบตงานเปนลายลกษณอกษรหรอไม - ทกคนทราบวาเอกสารทเกยวของอยทใดหรอไม - มผลการประชมทกอยางทเกยวของเกบไวเพอการอางองใน

ภายหลงหรอไม - ทกคนทำางานรวมกนอยางไร ทกคนแบงปนขอมลเกยวกบ

เหตภยคกคามทดำาเนนอยไดทราบอยางไร - วางแผนใหบคลากรในทมเขารวมการฝกอบรม การประชม

และการสมมนาตาง ๆ

22

ปฏบต(Act)ตดสนใจเกยวกบภารกจ บรการเพมเตมและการพฒนาปรบปรง• นำาผลทไดจากขนการตรวจสอบ (check) ไปปรบปรง

การปฏบตงาน• เมอ CSIRT มขดความสามารถเพมขน กอาจใหบรการอน ๆ

เพมเตม ดงรายละเอยดทปรากฏ ในบทท 6• เรมตนจากขนการวางแผนใหมและดำาเนนการตามขนตอน

และวงจรจากนนจงดำาเนนการตามวงจรเพอใหมการพฒนา และปรบปรงอยางตอเนองสมำาเสมอ

หลงจากจดตง CSIRT แลว การดำาเนนการตามวงจรมกใชเวลาประมาณหนงป ซงจะพอดกบปงบประมาณขององคกร ทงน เพอใหสามารถบรรจความจำาเปนหรอความตองการตาง ๆ ของ CSIRT ในการหารอเพอกำาหนดหรอยกรางขอเสนองบประมาณไดตามกรอบเวลา

ปจจยการพจารณาการใหบรการของ CSIRT ประการหนงคอระดบขดความสามารถของ CSIRT ซงมตงแตระดบทจำากดเพยงการรบมอเหตภยคกคามจนถงการใหบรการเชงรกเพอปองกนและการบรหารจดการคณภาพ ในคมอฉบบน CSIRT ขนตำาสดทจะกลาวถงคอ CSIRT ทมขดความสามารถระดบ 2 (พนฐาน)

23

ระดบขดความสามารถ(MaturityLevel) คำาอธบาย

1. ระดบเบองตน

CSIRT ตงขนเพอเปนผตดตอ (Point of Contact: POC) สำาหรบประสานแจงเหตและแกไขเหตภยคกคาม มกฎ ระเบยบ และขอบงคบสำาหรบการแจงเตอนและรายงานไปยงองคกร ทเกยวของตาง ๆ

2. ระดบพนฐาน

ระดบท 1 + มกระบวนการรบมอเหตภยคกคามรปแบบใหม และใชระบบสำาหรบรบแจงเหตและตดตามการดำาเนนการ (ticketing system) รวมถงใหคำาแนะนำาดานความมนคงปลอดภยแกองคกร

3. ระดบพรอมรบมอ ระดบท 2 + มเครองมอวเคราะหเหตภยคกคามและมกระบวนการจดประเภทและจดการขอมล

4. ระดบเชงรก

ระดบท 3 + เผยแพรขอมลขาวสารเกยวกบความมนคงปลอดภย ใชเครองมอตรวจสอบและเฝาระวงเหตภยคกคามอยางสมำาเสมอ รวมถงวางแผนการฝกอบรมแกบคลากร

5. ระดบครบวงจร

ระดบท 4 + เฝาระวงและตรวจจบเหตภยคกคามแบบเรยลไทม รวมถงเมอพบเหตภยคกคามประเภทใหม จะมการรางคมอปองกนเหตภยคกคามและแบงปนแกทงภายในและภายนอกองคกร

24

25

2.การรางกรอบงานCSIRTกรอบงานของ CSIRT กำาหนดรายละเอยดเกยวกบภารกจของ CSIRT ไมวาจะเปนจำานวน และประเภทภารกจของ CSIRT ผไดรบประโยชนจากการทำางานของ CSIRT และทรพยากรทตองใชในการดำาเนนภารกจ ซงสามารถนำามาปรบใชกบ CSIRT แตละแหงได เพราะแมวาจะมความแตกตางกน แต CSIRT ทกแหงกมองคประกอบพนฐานทคลายคลงกน ตวอยางของกรอบงานทจะชวยใหเหนภาพชดขนนนปรากฏอยใน ภาคผนวก ก: แมแบบกรอบงาน CSIRT (CSIRT framework template)

ขอมลเกยวกบการจดตง CSIRT ในเอกสารฉบบนอางองมาจากแนวปฏบตทไดรบการยอมรบในระดบนานาชาต หากปฏบตตามกรอบงานดงกลาว จะชวยใหเขาเปนสมาชกของเครอขายความรวมมอตาง ๆ ไดงายขน เพราะขอกำาหนดของการเขาเปนสมาชกเครอขายความรวมมอตาง ๆ ลวนสอดคลองกบแนวปฏบตทไดรบ การยอมรบ

องคกรสามารถนำา CSIRT framework ไปใชประชาสมพนธการจดตง CSIRT ใหผมสวนเกยวของ ผรบบรการ และสาธารณชนรบทราบ (โปรดอานขอ 4.5 ประกอบ) เพอใหเหนภาพ เอกสารฉบบนจะยกตวอยางไทยเซรตประกอบในสวนประกอบของ CSIRT framework ทจะอธบายถดไป

26

2.1พนธกจเมอจดตง CSIRT ควรบนทกพนธกจ (mission statement) ของ CSIRT ไวเปนลายลกษณอกษร โดยพนธกจจะตองกำาหนดวตถประสงคและหนาทของ CSIRT ใหชดเจนและควรระบในภาพรวมเกยวกบเปาหมายระยะยาวและเปาหมายหลกของ CSIRT ดวย

พนธกจควรกระชบ (2-3 ประโยค) แตกไมควรสนเกนไปจนทำาใหเกดความคลมเครอเมอคำานงวา พนธกจนจะไมเปลยนแปลงไปอกหลายป

ไทยเซรตเปน CSIRT ระดบประเทศของไทยทจดตงขนเพอสงเสรมใหธรกรรมทางอเลกทรอนกส มความมนคงปลอดภย โดยเปนหนวยงานกลางในการรบแจง ประสานเพอรบมอและแกไขเหต ภยคกคามในขอบเขตครอบคลมระบบเครอขายอนเทอรเนตภายในประเทศไทย และระบบคอมพวเตอรภายใตโดเมนเนมประเทศไทย (.th)

2.2ผรบบรการการทำาความเขาใจกบขอบเขต (scope) ผรบบรการ จะชวยให CSIRT สามารถกำาหนดความตองการพนฐาน เชน สนทรพยทตองไดรบการปกปองและรปแบบการใหบรการ

CSIRT ของแตละองคกรจะตองกำาหนดขอบเขตของผรบบรการใหชดเจน ในกรณทขอบเขตผรบบรการคาบเกยวกบ CSIRT ขององคกรอน จะตองกำาหนดใหชดเจนและแจงใหทราบโดยทวกนวา เมอเกดเหตภยคกคาม ทมใดทจะตองดำาเนนการและผรบบรการตองตดตอใคร

27

ทงน ENISA9 ไดจำาแนกประเภทของ CSIRT ตามขอบเขต ผรบบรการไว ดงน

ภาคสวน เปาหมาย ผรบบรการ

CSIRT ภาคการศกษา

สถาบนวชาการและการศกษา เชน มหาวทยาลยหรอหนวยงานวจย

บคลากรของมหาวทยาลยหรอโรงเรยน นกเรยน นกศกษา

CSIRT ภาคการพาณชย

องคกรดานการพาณชย ซงอาจเปนบรษทตาง ๆ ผใหบรการอนเทอรเนต (ISP) หรอผใหบรการอน ๆ

ลกคาทชำาระเงน เพอรบบรการ

CSIRT ภาคโครงสรางพนฐานสำาคญของประเทศ/ โครงสรางพนฐานทางสารสนเทศทสำาคญของประเทศ

การปกปองขอมลสำาคญและระบบเทคโนโลยสารสนเทศของโครงสรางพนฐานสำาคญตาง ๆ ในประเทศ

รฐบาล ภาคสวนสำาคญ และพลเมอง

CSIRT องคกรภาครฐ

รฐบาล องคกรภาครฐ

CSIRT ภายในองคกร องคกรหรอหนวยงานนน ๆ

บคลากรภายในและ สวนงานดานเทคโนโลยสารสนเทศ ขององคกร

9 ศกษาเพมเตมไดท "A Step-by-step approach on how to set up a CSIRT” ปรากฏในหนาเวบไซต ENISA หนา 8

28

ภาคสวน เปาหมาย ผรบบรการ

CSIRT ทหาร หนวยงานทหารท รบผดชอบโครงสรางดานสารสนเทศ

บคลากรของสถาบนทหารและหนวยงานใกลชด อาท กระทรวงกลาโหม

CSIRT ระดบประเทศ เนนการบรการระดบประเทศ โดยถอวาเปน ผประสานงานเพอรบมอและแกไขเหตภยคกคาม

ไมมผรบบรการโดยตรง อยางไรกด CERT ระดบประเทศอาจมบทบาท ในฐานะองคกรรฐทดแล และใหบรการภาครฐดวย

CSIRT ภาค SME จดตงขนเพอใหบรการแกสาขาธรกจขององคกร

SME และเจาหนาท

CSIRT/ PSIRT10 ของ vendor

เนนไปทผลตภณฑเฉพาะของ vendor สวนมากมกจะเปนการแกไข ชองโหว หรอใหคำาแนะนำาเพอลดผลกระทบกรณพบการโจมตผลตภณฑ

เจาของผลตภณฑ

ไทยเซรตเปน CERT ระดบประเทศของไทยและยงปฏบตหนาทเปน CSIRT ทใหบรการองคกรภาครฐอกดวย ดงนน ผรบบรการจงประกอบดวยประชาชน เครอขายและองคกรตาง ๆ ภายในประเทศไทย10

10

10 ยอมาจาก Product Security Incident Response Team

29

2.3อำานาจหนาทอำานาจหนาท (authority) ของ CSIRT เปนสงทกำาหนดวา CSIRT ไดรบอนญาตใหทำาอะไรไดบาง ซงมตงแตการมอำานาจเพยงการใหคำาแนะนำา จนถงหยดบรการทพบวามชองโหวหรอถกเจาะระบบแลว โดยทวไป CSIRT ควรมหนาทรบผดชอบในดานเทคนคและไมควรมอำานาจในการปราบปรามหรอลงโทษ เนองจากผทเกยวของกบเหตภยคกคามอาจเกรงกลวและไมยอมแจงเหต

ไทยเซรตทำาหนาทประสานเกยวกบเหตภยคกคามกบผทเกยวของ และไมมอำานาจหนาทอน

2.4ความรบผดชอบโดยปกตความรบผดชอบของ CSIRT ครอบคลมการใหบรการตาง ๆ ซงรายการบรการของ CSIRT จะระบในบทท 6 ทงน CSIRT อาจมหนาทเพมเตม เชน ทำางานรวมกบองคกรกำากบดแลหรอหนวยงานบงคบใชกฎหมาย

เมอมหนาทเพมเตม CSIRT จะตองระมดระวงอยางยงไมใหเกดผลประโยชนทบซอน เชน กรณท CSIRT ไดรบมอบหมายหนาทในการปฏบตการควบคกบการกำากบดแลภารกจ นอกจากน หากเปน CSIRT ระดบประเทศหรอ CSIRT ภาครฐ กควรมการกำาหนดบทบาทความรบผดชอบของหนวยงานดงกลาวในกฎหมายใหชดเจนดวย

ไทยเซรตรบมอกบเหตภยคกคามไซเบอรตาง ๆ นอกจากนน ยงใหบรการปรกษา ใหคำาแนะนำาเชงเทคนค สรางความตระหนกรและจดการฝกอบรม

30

2.5โครงสรางบรหารโครงสรางบรหารของ CSIRT ภายในองคกรมกจะขนอยกบองคกรหลกทกำากบดแล เชน CSIRT ระดบชาตมกจะอยภายใตองคกรภาครฐ โดย CSIRT อาจจดตงตามโครงสรางรปแบบตาง ๆ ดงน

2.5.1รปแบบธรกจอสระ(independentbusinessmodel)

CSIRT เปนองคกรอสระในตวเอง มสวนบรหารจดการ ลกจาง และเจาหนาทสนบสนนของตนเอง โดยรปแบบนอาจใชสำาหรบ CSIRT ในภาคการพาณชย

2.5.2รปแบบฝงตว(embeddedmodel)

CSIRT ภายในองคกรมกไดรบการกำาหนดใหอยในสวนงานดานเทคโนโลยสารสนเทศขององคกรนน ซงกนบวาสมเหตสมผลเนองจาก CSIRT มภารกจเกยวของโดยตรงกบระบบเทคโนโลยสารสนเทศ อยางไรกด ในกรณทเปนองคกรขนาดใหญ อาจพจารณาแยกสวน CSIRT ออกมาเพอใหสามารถดแลความมนคงปลอดภยของระบบและขอมลขององคกรอยางทวถง

หาก CSIRT ไดรบการกำาหนดใหอยในโครงสรางองคกรท "ตำาเกนไป" CSIRT กอาจเปนหนวยงานทโดดเดยว กลายเปน "ของเลน IT” ทไมมความสำาคญและไมไดรบการสนบสนนจากหนวยงานอนในองคกร ในขณะเดยวกน หาก CSIRT อยในโครงสรางองคกรท "สง" พนกงานและเจาหนาทขององคกรนนอาจเหน CSIRT เปนหอคอยงาชางและไมมปฏสมพนธกบ CSIRT ในระยะหลง CSIRT เรมไดรบการยอมรบและไดรบการปรบใหขนไปอยในโครงสรางองคกรทสงขนเพอใหสามารถใหบรการองคกรไดสะดวก รวดเรว และมประสทธภาพ

31

การออกแบบตำาแหนงทตงของ CSIRT อาจทำาไดหลายรปแบบขนอยกบโครงสรางขององคกรนน โดยสามารถจำาแนกตามลกษณะดงน

• รปแบบรวมศนย: บคลากรของ CSIRT ทงหมดอยในสำานกงานเดยวกน

• รปแบบกระจาย: บคลากรของ CSIRT กระจายตามสำานกงานตาง ๆ ในกรณทมองคกรหลายสาขา โดยรปแบบนอาจจำาเปนตองทำางานรวมกนและมการประสานงานกนเปนประจำา

• รปแบบกระจายตามเขตเวลา: เปนรปแบบทพฒนามาจากรปแบบกระจาย บางครงกเรยกวาเปน ”รปแบบตามพระอาทตย” (follow the sun) กลาวคอ เมอพระอาทตยตกในประเทศหนงและ CSIRT ในประเทศนนเลกงาน CSIRT ในอกประเทศหนงกจะรบชวงทำางานตอ ดงนน CSIRT แตละแหงจงไมจำาเปนตองทำางานเปนกะ

2.5.3รปแบบแคมปส(CSIRTหลก/รอง)

สถาบนวชาการ เชน มหาวทยาลย นยมใชรปแบบน แตกอาจนำามาปรบใชกบ CSIRT ในหนวยงานทหารและ SME ได

รปแบบมลกษณะตามรปภาพท 2 องคกรทอยในภาคสวนเดยวกนจดตง CSIRT กลางเพอใหบรการองคกรสมาชก และเปนหนวยงานกลางประสานกบองคกรภายนอก อาจอยในรปแบบขององคกรอสระหรอรปแบบฝงตว สวนองคกรสมาชกอาจมหรอไมม CSIRT เปนของตวเอง

32

รปภาพท2:โครงสรางรปแบบแคมปส

ไทยเซรตเปนสวนหนงขององคกรรฐ ปฏบตงานตามภารกจของสำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) ดงนน ไทยเซรตจงม รปแบบฝงตวและรวมศนย

2.6ความพรอมในการใหบรการ

ความพรอมในการใหบรการ (availability) ของ CSIRT สวนใหญจะขนอยกบชวโมงการทำางานขององคกรหลกท CSIRT ตงอยดวย โดยหาก CSIRT ไมทำางานตลอดยสบสชวโมงทกวนกจะตองมแนวปฏบตในการจดการเหตภยคกคามทไดรบแจงนอกเวลาทำางาน ซงอาจเปนแนวทางงาย ๆ อาท การกำาหนดใหบคลากร CSIRT เปดอานขอความในอเมลทสงเขามาในแตละวนใหหมดภายในวนทำาการถดไป นอกจากนน อาจกำาหนดใหมบคลากรเขาเวรเฝาระวงเหตภยคกคาม ซงมอำานาจตดสนใจวาในกรณเกดเหตภยคกคาม จะรอถงวน

33

ทำาการถดไปไดหรอไม หรอจำาเปนตองดำาเนนการทนท

การกำาหนดชวงเวลาใหบรการของ CSIRT ควรตองพจารณา สภาพแวดลอมขององคกรดวย เชน หากสวนงานดานเทคโนโลยสารสนเทศขององคกรเปดทำาการในเวลาทำาการเทานน การท CSIRT จะใหบรการตลอด 24 ชวโมงทกวนกอาจไมเกดประโยชนเพราะปญหาตาง ๆ ทเกดขนไมไดรบ การแกไขนอกเวลางาน

ทงน การใหบคลากรทำางานนอกเวลางานอาจทำาใหมตนทนเพมขนในรปแบบคาลวงเวลา

ในอดต ไทยเซรตเปดทำาการระหวาง 08:30–17:30 วนจนทรถงศกร จนกระทงเมอตนป 2558 ไทยเซรตเรมเปดใหบรการตลอด 24 ชวโมงทกวน

2.7บรการหลกCSIRT สามารถใหบรการไดหลากหลาย แตในชวงเรมตน อาจจำากดการใหบรการอยเพยง 1 ถง 2 รายการ และเพมตามความจำาเปนในอนาคต โดยจะกลาวถงอยางละเอยดในบทท 6 อยางไรกตาม หวใจหลกของบรการ CSIRT คอการรบมอและแกไขปญหาเหตภยคกคาม (จะไดกลาวถงตอไปในบทท 5) ในขณะทบรการทสำาคญรองลงมาคอบรการแจงเตอน และเผยแพรขอมลขาวสาร

ไทยเซรตใหบรการเกอบทกรายการทระบในบทท 6

34

2.8ขอกำาหนดดานบคลากร

2.8.1อตราเจาหนาท

CSIRT ไมไดกำาหนดตายตววา ควรมบคลากรทางเทคนคจำานวนเทาใด เพราะ CSIRT แตละแหงยอมมความแตกตางทงในเรองสภาพแวดลอมในการทำางาน ผรบบรการ และผทมสวนเกยวของตาง ๆ อยางไรกด อาจใชแนวทางตอไปนเปนแนวทางเบองตนในการกำาหนดจำานวนบคลากร

• เพอให CSIRT สามารถใหบรการภารกจหลก 2 รายการ ไดแก (1) การรบมอและแกไขเหต ภยคกคามและ (2) การแจงเตอนและเผยแพรขอมลขาวสาร CSIRT ควรมพนกงานเตมเวลา อยางนอย 4 คน

• สำาหรบ CSIRT ทใหบรการมากกวา 2 รายการและปฏบตงานเฉพาะในเวลาทำาการและดแลระบบของตนเอง ควรมเจาหนาทเตมเวลาอยางนอย 6-8 คน

• สำาหรบ CSIRT ครบวงจรทบคลากรทำางานตลอดยสบสชวโมงโดยไมมวนหยด (3 กะตอวน) ควรมพนกงานเตมเวลาอยางนอย 12 คน

แนวทางขางตนไดพจารณาครอบคลมถงสทธประโยชนเรองวนลาปวยและวนลาพกผอนของพนกงานแลว

ไทยเซรตมบคลากรทงสน 43 คน

2.8.2ความสามารถ

35

ENISA11 กำาหนดความสามารถหลก (key competencies) สำาหรบผเชยวชาญทางเทคนคใน CSIRT ไวหลายประการ โดยในการรบบคคลเขาทำางานอาจตองตรวจสอบคณวฒทางเทคนค จาก ใบประกาศนยบตรและวฒการศกษา นอกจากน บคลากรของ CSIRT ยงอาจจำาเปนตองมทกษะเฉพาะดานอน ๆ เพอใหบรการ ดานอน ๆ ของ CSIRT ดวย

ความสามารถสำาหรบเจาหนาทดานเทคนคทวไปประกอบดวย

ขดความสามารถสวนบคคล• มความยดหยน สรางสรรค และสามารถทำางานเปนทม• มทกษะการคดวเคราะห• สามารถสอสารเรองเทคนคทยากใหเปนเรองงาย• สามารถรกษาความลบและทำางานอยางเปนระบบ• มทกษะในการบรหารจดการ• สามารถทำางานในสภาวะกดดนได• มทกษะในการเขยนและการสอสาร• เปดใจแจะพรอมเรยนรสงใหม ๆขดความสามารถเชงเทคนค

• มความรพนฐานเกยวกบอนเทอรเนตและโปรโตคอลตาง ๆ• มความรเกยวกบระบบ Linux และ Unix

(ขนอยกบระบบปฏบตการและเครองมอทองคกรใช)

11 ศกษาเพมเตมไดท "A Step-by-step approach on how to set up a CSIRT” ปรากฏในหนาเวบไซต ENISA หนา 25

36

• มความรเกยวกบระบบ Windows (ขนอยกบระบบปฏบตการและเครองมอทองคกรใช)

• มความรเกยวกบอปกรณเครอขายตาง ๆ (router, switches, DNS, Proxy, Mail และอน ๆ)

• มความรเกยวกบ internet applications (SMTP, HTTP(S), FTP, telnet, SSH และอน ๆ)

• มความรเกยวกบภยคกคามทางไซเบอร (DDoS, Phishing, Defacement, Sniffing และอน ๆ)

• มความรเกยวกบการประเมนความเสยงและการนำาองคความรไปใชปฏบตงาน

ขดความสามารถอน ๆ

• สามารถทำางานในรปแบบตลอด 24 ชวโมง หรอพรอมปฏบตการเมอมเหตฉกเฉน หรอสถานการณ (ขนอยกบหนาทความรบผดชอบ)

• ระยะทางและเวลาทใชเดนทางมาทำางานในกรณฉกเฉนอยในเกณฑทยอมรบได

• ระดบการศกษา• ประสบการณการทำางานดานความมนคงปลอดภยทางไซเบอร2.8.3แนวปฏบตแนวทางการดำาเนนงานจรรยาบรรณ

แนวปฏบต แนวทางการดำาเนนงาน จรรยาบรรณเปนระเบยบหรอแนวทางสำาหรบเจาหนาทใน CSIRT ใหทำางานอยางเปนมออาชพโดยอาจครอบคลมถงการปฏบตตนเมออยนอกเวลางาน ซงมความสำาคญไมนอยไปกวากนเนองจากอาจสงผลกระทบตอความมนคงปลอดภยของขอมลและระบบทดแล ทงน CSIRT อาจนำาแนวปฏบตท

37

จดทำาขนโดย Trusted Introducer12 มาปรบใชได

เจาหนาทของ CSIRT ตองมความนาเชอถอ องคกรควรหลกเลยงการวาจางผทมประวตไมด เชน เคยเจาะระบบหรอขโมยขอมลองคกร เนองจากการสรางความไวเนอเชอใจให CSIRT อาจใชเวลาหลายป แตความนาเชอถอนนอาจหายไปในชวขามคนกได ดงนน แนวปฏบตจงใหความสำาคญกบการคดกรองบคลากรทจะเขามาทำางาน

ไทยเซรตใชแนวปฏบต CSIRT จาก Trusted Introducer

2.8.4การฝกอบรม

ม 2 รปแบบ: (1) การฝกอบรมภายในสำาหรบเจาหนาท CSIRT บรรจใหมเพอแนะนำา ใหทราบวา CSIRT ทำางานอยางไร และ (2) การฝกอบรมภายนอกสำาหรบเจาหนาทประจำาเพอพฒนาทกษะอยางตอเนอง และเรยนรพฒนาการทางเทคโนโลย รวมถงภยคกคามใหม ๆ

องคกรตอไปนมหลกสตรการฝกอบรมทมคณภาพสำาหรบเจาหนาทของ CSIRT

• TRANSITS13

• CERT/CC14

12 Trusted Introducer CSIRT Code of Practice: <https://www.trusted-introducer.org/CCoPv21.pdf>

13 TRANSITS: <https://www.terena.org/activities/transits/>14 CERT/CC: <http://cert.org/training/>

38

• SANS15

• FIRST16

ทงน CSIRT ควรพจารณาจดสรรงบประมาณไวจำานวนหนงสำาหรบการเขารวมการประชมและการสมมนาตาง ๆ ซงถอเปนสวนหนงของการฝกอบรมตอเนองเชนกน (ศกษาเพมเตมไดทขอ 4.6)

ไทยเซรตใชประโยชนจากการอบรมขององคกรทงหมดทกลาวมาขางตน

2.9โครงสรางพนฐานและเครองมอสถานท สงอำานวยความสะดวก เครอขายและโครงสรางพนฐานดานโทรคมนาคมของ CSIRT ควรออกแบบอยางรอบคอบเพอปกปองขอมลสำาคญทจดเกบ และเพอคมครองความปลอดภย ของเจาหนาท ดงนน CSIRT ควรสรางพนทจดเกบขอมลและพนทใชสอยของเจาหนาทใหมระบบปองกนทเปนไปตามขอกำาหนดเดยวกนกบ ศนยขอมล (data center)

ขอควรพจารณาดานความมนคงปลอดภยทางกายภาพ

• มพนทปฏบตงานทปลอดภยหรอมศนยปฏบตการดานความมนคงปลอดภย (SOC) เปนทตงเซรฟเวอรของ CSIRT และสำาหรบ จดเกบขอมล

• มหองปฏบตงานทปลอดภยและเกบเสยงสำาหรบการสบสวนและ

15 SANS Institute: <https://www.sans.org/>16 FIRST: <https://www.first.org/>

39

หารอเกยวกบการดำาเนนงานของ CSIRT• มหองทสามารถเกบรกษาขอมลและเอกสารในรปแบบทไมใช

อเลกทรอนกส• มเครองทำาลายเอกสารและมอปกรณทสามารถทำาลายสอเกบ

ขอมลทไมใชแลว• ควรแยกบคลากรของ CSIRT ออกจากสวนอน ๆ ขององคกร

และควบคมพนทเขาออก• มนโยบายเกยวกบผเขามาเยยมชม โดยอาจกำาหนดรวมเปน

นโยบายควบคมพนทเขาออก

ขอควรพจารณาเกยวกบอปกรณดานเทคโนโลยสารสนเทศ

• มกลไกการสอสารทมความมนคงปลอดภย เชน โทรศพท โทรสาร และอเมล

• มการตงคาเพอเพมความมนคงปลอดภย (hardening) แกระบบตาง ๆ รวมถงเครองคอมพวเตอรทใชในการทำางาน

• มเครอขาย CSIRT แยกจากเครอขายของสำานกงานอน ๆ ในองคกร

• มเครองมอชวยตดตงโปรแกรมและระบบตาง ๆ ในอปกรณไดอยางรวดเรว ในกรณทตองตดตงระบบและโปรแกรมใหม เนองจาก นำาอปกรณออกไปนอกพนทมนคงปลอดภยหรอนำาไปใชในการวเคราะหมลแวร เพอใหมนใจวาไมมมลแวรอยในเครอง หลงเสรจสนการวเคราะห

ขอควรพจารณาเกยวกบอปกรณเฉพาะทางของ CSIRT

• มระบบสำาหรบรบแจงเหตและตดตามการดำาเนนการ (ticketing system)

40

• มฐานขอมลการตดตอของบคลากร ผทมสวนเกยวของ ผรบบรการและผตดตออน ๆ

• มอปกรณอน ๆ ท CSIRT จำาเปนตองใชในการใหบรการ• มอปกรณตาม ภาคผนวก ค: อปกรณดานความมนคง

ปลอดภยทใชทวไปทงน บรการของ CSIRT บางประเภท เชน การตรวจพสจนพยานหลกฐานดจทลอาจตองมขอกำาหนดเพมเตมเกยวกบพนทปฏบตการและเทคโนโลยสารสนเทศทใชงาน

ไทยเซรตดำาเนนการตามองคประกอบทกขอขางตน

2.10ความสมพนธภายในและภายนอกองคกร

CSIRT ควรสรางความสมพนธทดเพอใหไดรบการสนบสนนและ การยอมรบจากองคกรทกำากบดแล เมอมเหตภยคกคามเกดขน ทง CSIRT และองคกรเหลานจะตองรวมมอกนเพอแกไขปญหา หารอถงการดำาเนนการตาง ๆ ความสมพนธทดจะชวยใหการทำางานเปนไปอยางรวดเรวและราบรน ทงน CSIRT ควรมความสมพนธทด ไมเฉพาะตอสวนงานสารสนเทศขององคกร แตยงตองไมลมสวนงานดานอน ๆ เชน ดานความมนคงปลอดภยทางกายภาพ ดานการสอสาร ดานกฎหมาย และดานบคลากร

ความสมพนธภายนอกทเปนประโยชนตอ CSIRT ไดแก ความสมพนธกบ CSIRT ระดบประเทศ ผบงคบใชกฎหมาย และหนวยงาน

41

กำากบดแล หากมเครอขาย CSIRT ขององคกรทอยในภาคสวนเดยวกน (sector-based CSIRT) หรอเครอขาย ISAC ในภาคสวนท CSIRT ปฏบตงานอย17 กควรพจารณาเขารวมเปนสมาชกเครอขายเหลานดวย

ทงน โปรดศกษาเพมเตมในขอ 4.6 สำาหรบตวอยางความรวมมอระหวางประเทศทอาจเปนประโยชนตอ CSIRT ขององคกร

ไทยเซรตสรางความสมพนธทงภายในและภายนอกกบหนวยงานตาง ๆ ตามทระบขางตน

2.11รปแบบการรบเงนทนสนบสนนคาใชจาย

องคกรตองมแนวทางชดเจนในการสนบสนนดานงบประมาณแก CSIRT เพอสามารถใหบรการในระยะยาวไดอยางราบรน ควรมแผนจดสรรงบประมาณสำาหรบจดตงทม และการปฏบตงาน ซงจำาแนกเปน คาใชจาย ดานบคลากร สถานท สงอำานวยความสะดวก ซอฟตแวร ฮารดแวร ตลอดจนตนทนในการใหบรการตาง ๆ

รปแบบการสนบสนนงบประมาณ:

• องคกรหรอหนวยงานท CSIRT อยภายใต เปนผรบผดชอบ คาใชจายทงหมดและ CSIRT ไมมรายไดใด ๆ

17 ศกษาเพมเตมจาก "Establishing a Sector-based ISAC” โดย ThaiCERT

42

• CSIRT อาจไดรบการสนบสนนจากองคกรอนเตมจำานวนหรอบางสวนแบบใหเปลา โดยหากเปนเชนนน ตองพจารณาวา

- ใครเปนผสนบสนน - จดประสงคของการสนบสนนคออะไร - การสนบสนนมมลคาเทาใดและจะครอบคลม

การปฏบตการมากนอยเพยงใด - แหลงทนมความมนคงเพยงใด - การสนบสนนจากแหลงทนมระยะเวลานานเทาใด

43

CSIRT ควรระบรายละเอยดเกยวกบการสนบสนนงบประมาณ แบบใหเปลา โดยมขอมลตาง ๆ อาท ผใหและแหลงทน จดประสงค จำานวนเงน ระยะเวลาของการสนบสนน

• CSIRT อาจคดคาบรการจากการใหบรการทงภายในและภายนอกองคกร หรอไดรบการสนบสนนผานสมาคมขององคกรตาง ๆ เชน มหาวทยาลยในเครอขาย การวจย หรอชองทางการสนบสนนทางการเงนทผสมผสานระหวางรปแบบใดรปแบบหนงดงทไดกลาวมาแลว

ไทยเซรตไดรบการสนบสนนทางการเงนทงหมดจากรฐบาลและยงมรายไดบางสวนจากการใหบรการเฉพาะดาน

44

3.การขออนมตจดตงCSIRTจากผบรหารระดบสงการจดตง CSIRT ควรไดรบการสนบสนนจากผบรหารระดบสงสดในหนวยงาน (สำาหรบวสาหกจเชงพาณชย ภาคเอกชน ผบรหาร ดงกลาวอาจเปนคณะกรรมการบรษท และสำาหรบ CSIRT ภาครฐ ผบรหารดงกลาวหมายถงคณะรฐมนตร) ทงน การสนบสนนดงกลาวมความจำาเปนเพอให

• นโยบายทเกยวของตาง ๆ มผลบงคบใชและปฏบตทวทงองคกร• ไดรบการสนบสนนในการดำาเนนการสำาคญหรอมคาใชจายสง• เกดความตอเนองในการปฏบตการตาง ๆ แมในชวงทมการ

เปลยนโครงสรางองคกรหรอการตดงบประมาณผบรหารขององคกรจะมองสวนงานดานเทคโนโลยสารสนเทศแตกตางออกไปจากบคลากรททำางานดานเทคนค การโนมนาวให ผบรหารระดบสงเชอวา CSIRT จะชวยใหองคกรบรรลเปาหมายขององคกร จำาเปนตองปรบการใชภาษา โดยหลกเลยงการใชศพท และการอธบายทางเทคนค

ตวอยางของเหตผลตาง ๆ ทควรนำามาใชเพอโนมนาวผบรหาร ระดบสง ไดแก

• ขอกำาหนดดานกฎหมายหรอสญญาทกำาหนดใหระบบขององคกรตองมความมนคงปลอดภยในระดบหนง

45

• CSIRT ทไดรบการฝกอบรมและมอปกรณพรอมจะชวยลดความเสยหายทอาจเกดขนจากเหตภยคกคาม (ทงในแงของความเสยหายจากการหยดทำางานและในแงของความเสยหายตอภาพลกษณ ชอเสยง) เนองจากองคกรสามารถจำากดขอบเขตความเสยหายและฟนตวจากการโจมตไดอยางรวดเรว ดงนน CSIRT จะชวยประหยดงบประมาณขององคกรได

• บรการเชงปองกนของ CSIRT อาจชวยลดชองโหวและความเสยงในการเกดเหตภยคกคามกอนทจะระบบขององคกรจะถกโจมต

• การรวมงานดานความมนคงปลอดภยไซเบอรใน CSIRT จะชวยลดความซำาซอนของงานดานนในสวนงานตาง ๆ ขององคกร รวมทงยงชวยใหองคกรมมาตรฐานดานความมนคงปลอดภยเพมขน

• การม CSIRT อาจเปนจดเดนทเปนเอกลกษณขององคกร โดยแสดงใหเหนถงความมงมนขององคกรในการรกษาความมนคงปลอดภย (ชวยใหสามารถประชาสมพนธไดวา “ขอมลของคณปลอดภยเมออยกบเรา")

• ใชคำาพดโนมนาวงาย ๆ แตสงผลกระทบทางจตวทยา เชน “คแขงของเรากทำาแบบนเหมอนกน"

3.1รปแบบการรายงานผลการปฏบตงานของCSIRT

การรายงานผลการปฏบตงานขององคกร โดยทวไปมกอยในรปแบบการจดประชมอยางสมำาเสมอ หรอการจดทำารายงาน รายไตรมาสหรอรายป อยางไรกด CSIRT มกถกมองวาใชตนทนใน

46

การดำาเนนงานสง ซงแทจรงแลว CSIRT อาจชวยองคกรประหยดงบประมาณได ดงนน CSIRT จงไมเพยงแคใชรปแบบการรายงานผลการปฏบตงานตามปกต แตควรเพมตวเลขมลคาความเสยหายทลดลงจากการดำาเนนการรบมอ หรอปองกนไมใหเกดความเสยหายลงในรายงานดวยเพอแสดงใหเหนวา CSIRT มสวนชวยในเรองงบประมาณขององคกรเพยงใด

ไทยเซรตยดหลกการความโปรงใสของหนวยงานภาครฐ จงจดทำารายงานสถตเหตภยคกคามทไดรบแจงประจำาเดอนและเผยแพรบนเวบไซต อกทงยงไดนำาสถตมาวเคราะห เผยแพรเปนรายงานประจำาปทงในรปแบบอเลกทรอนกสและรปแบบเอกสาร

47

4.การจดตงCSIRTและสภาวะแวดลอมในการทำางาน

4.1รวบรวมและจดทำารายการแหลงขอมลดานตางๆ

รวบรวมแหลงขอมลดานตาง ๆ เชน ขอมลทเกยวกบภยคกคาม ขอมลตดตอองคกร ซงเปนประโยชนตอภารกจดงน

• การเฝาระวงเหตภยคกคามดวยระบบทรวบรวมขอมลอตโนมต• การแจงเตอนเหตภยคกคามจากแหลงอน ๆ (อาท อเมล

โทรศพท แบบฟอรมบนเวบไซต)• การรบขอมลเกยวกบภยคกคามและชองโหวตาง ๆ• การสอสารทางตรงกบผมสวนเกยวของ ผรบบรกา/ องคกร ใน

ระหวางเกดเหตภยคกคาม (การจดทำาบญชผตดตอ)• การสอสารทวไปกบผมสวนเกยวของ ผรบบรการ องคกร (การ

สรางความตระหนกรและการประชาสมพนธ)

48

4.2จดทำานโยบายรบมอและแกไขเหตภยคกคาม

นโยบายรบมอและแกไขเหตภยคกคามควรระบผรบผดชอบในการรบมอเหตภยคกคามแตละรปแบบ และระบองคกรภายนอกทสามารถชวยเหลอ

รายละเอยดทควรกำาหนดในนโยบาย มดงน

• ประเภทเหตภยคกคามทอยภายใตขอบเขตบรการรบมอ ของ CSIRT

• ผททำาหนาทวเคราะห รบมอเหตภยคกคาม• สงตองดำาเนนการดานกฎหมาย• การรายงานและการปฏบตทอยนอกเหนอขอบเขตของ CSIRTนโยบายควรมรายละเอยดพนฐานในการรบมอและแกไขปญหา เหตภยคกคามโดยครอบคลมถงประเดนตอไปน

• กรอบเวลาในการรบมอและแกไขปญหา• แนวทางสำาหรบการยกระดบการรบมอ• การจดหมวดหมและการจดลำาดบความสำาคญของเหตภย

คกคาม• การตดตามและเกบขอมลเหตภยคกคาม• การจบการรบมอเหตภยคกคาม• การแสวงหาความชวยเหลอเพมเตมเพอประโยชนในการวเคราะห

หรอเพอฟนฟระบบภายหลงเกดเหตภยคกคาม

49

ภาพรวมขนตอนการรบมอและแกไขเหตภยคกคามทสมบรณจะกลาวถงตอไปในบทท 5

4.3จดทำานโยบายการจดการและแลกเปลยนขอมล

กำาหนดชนความลบของขอมลทงทอยในรปแบบอเลกทรอนกสและเอกสาร โดยอาจแบงเปน ขอมลทมความละเอยดออน (sensitive information) ขอมลลบ หรอขอมลทเปดเผยตอสาธารณชน รวมถงกำาหนดวธการจดการขอมลเหลานนทงในแงของการจดเกบ การรบสง การเขาถง ฯลฯ ทงน รปแบบชนความลบของขอมลทนยมใชคอ traffic light protocol18

นโยบายการจดการและแลกเปลยนขอมลควรกำาหนด (1) ประเภทของขอมลทไมควรเผยแพรออกไปนอก CSIRT (2) ประเภทของขอมลทสามารถเกบบนอปกรณสอสารเคลอนทหรออปกรณทไมปลอดภย (3) ประเภทของขอมลทตองรบสงและจดเกบอยางมนคงปลอดภย รวมถงไมควรนำามาแบงปนกบบคคลทไมไดรบอนญาต และ (4) การจดการและแบงปนขอมลทไดรบจาก CSIRT อน ภายใน CSIRT และภายในองคกร

4.3.1กฎหมายและกฎระเบยบตางๆ

เนองจากอนเทอรเนตเปนสภาพแวดลอมทมพฒนาการไปอยาง รวดเรวในขณะทกฎหมายยงคงคอย ๆ ปรบตวตามหลงเทคโนโลย ในหลาย ๆ ประเดนจงยงไมมกฎหมายใดรองรบ และแมจะมกฎหมาย

18 traffic light protocol : <http://www.us-cert.gov/>

50

ครอบคลมในบางประเดนแลวกยงไมเคยนำาขอบทกฎหมายนนมาใชในกระบวนการยตธรรม นอกจากนน ยงอาจมกรณทเนอความในกฎหมายบางฉบบขดแยงกบกฎหมายอน ๆ อกดวย

CSIRT มหนาทปฏบตตามกฎหมายของประเทศและความตกลงระหวางประเทศ รวมถงมาตรฐานตาง ๆ ทรฐบาลแนะนำาหรอบงคบใช และมาตรฐานทกำาหนดในสญญากบลกคา บางประเทศมกฎหมายทตองแจงองคกรกำากบดแลในกรณทเกดเหตภยคกคาม ทสงผลกระผลกบขอมล ซงการแจงควรอยในกระบวนการรบมอเหตภยคกคาม (ศกษาเพมเตมไดทขอ 2.4)

มตดานกฎหมายไมเพยงจะมผลบงคบใชกบการจดการขอมลภายในประเทศเทานน แตยงรวมถงการแลกเปลยนขอมลระหวางประเทศดวย อกทงยงอาจจำากดสงท CSIRT สามารถดำาเนนการไดในระหวางการรบมอและแกไขเหตภยคกคาม (เชน อาจไมอนญาตให ดกรบขอมลเพอนำาไปวเคราะหการโจมตเนองจากเหตผลดานสทธสวนบคคล)

องคกรควรปรกษาผเชยวชาญทางกฎหมายและตรวจสอบวาการดำาเนนการของ CSIRT นนสอดคลองกบกฎหมายทงในระดบชาตและระดบนานาชาตหรอไม

กฎหมายและนโยบายทเกยวของอาจประกอบดวย:19

กฎหมายระดบประเทศ

• กฎหมายทเกยวของกบเทคโนโลยสารสนเทศ การโทรคมนาคมและสอมวลชน

19 ดเพมเตมไดท "A Step-by-step approach on how to set up a CSIRT” ปรากฏในหนาเวบไซต ENISA หนา 25

51

• กฎหมายเกยวกบการปกปองคมครองขอมลและสทธสวนบคคล• กฎหมายและกฎระเบยบเกยวกบการเกบรกษา/ ถอครองขอมล• กฎหมายเกยวกบการเงน การบญช และการบรหารองคกร• แนวปฏบตและหลกการเกยวกบบรรษทภบาลและการอภบาล

เทคโนโลยสารสนเทศ• สำาหรบประเทศไทย: พระราชบญญตวาดวยการกระทำาความผด

เกยวกบคอมพวเตอรและพระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส (มาตรา 35)20

กฎหมายและสญญาระหวางประเทศ

• ความตกลง Basel II โดยเฉพาะสวนทเกยวกบการจดการความเสยงในการปฏบตการ (Basel II Agreement)

• อนสญญาวาดวยอาชญากรรมทางไซเบอรโดยคณะมนตรแหงสหภาพยโรป (Council of Europe - Convention on Cybercrime)

• อนสญญาวาดวยสทธมนษยชนโดยคณะมนตรแหงสหภาพยโรป สวนมาตรา 8 เกยวกบสทธสวนบคคล (Council of Europe - Convention on Human Rights)

• มาตรฐานการบญชระหวางประเทศ (International Accounting Standards หรอ IAS มสวนทกลาวถงการควบคมดานเทคโนโลยสารสนเทศ)

20 ศกษาเพมเตมเกยวกบแนวทางการบงคบใช พ.ร.บ. วาดวยการทำาธรกรรมทางอเลกทรอนกส ไดท https://www.etda.or.th/publishing-detail/information-technology-law-7-edition.html

52

มาตรฐานตาง ๆ

• มาตรฐานสหราชอาณาจกร (British Standard) BS7799 สวนความมนคงปลอดภยทางสารสนเทศ

• มาตรฐานระหวางประเทศ ISO2700x เกยวกบระบบการบรหารจดการความมนคงปลอดภยทางสารสนเทศ (ISMS - Information Security Management Systems)

• มาตรฐานเยอรมน IT-Grundschutzbuch มาตรฐานฝรงเศส EBIOS และมาตรฐานระดบชาตของประเทศอน ๆ

4.3.2การสอสารอยางมนคงปลอดภยดวยPGP

PGP (Pretty Good Privacy) หรอ GPG (GNU Privacy Guard) เปนโปรแกรมท CSIRT นยมใชเพอรกษาความความมนคงปลอดภยในการรบสงขอมลประเภทตาง ๆ โดยเฉพาะอเมล ดวยการเขารหสลบ (encryption) ถอดรหสลบ (decryption) และลงลายมอชอ (sign) กระบวนการทง 3 อาศยชดรหสทเรยกวากญแจสาธารณะ (public key) และกญแจสวนตว (private key) ซงกญแจสวนตว ผใชงาน PGP ควรเกบเปนความลบ21

PGP ถอเปนเครองมอทสำาคญ CSIRT ทตองการเขาเปนสมาชก FIRST หรอ Trusted Introducer จำาเปนตองสามารถใชงานโปรแกรมดงกลาวในการสอสาร

ในการนำา PGP มาใชงานในทมควรพจารณาประเดนตาง ๆ ดงน

• ผทเกบรกษากญแจสวนตว (private key) อาจเปนผบรหาร หรอ เจาหนารบมอเหตภยคกคาม

21 ศกษาการใชงาน PGP เพมเตมไดท https://www.thaicert.or.th/papers/general/2011/pa2011ge002.html

53

• การดำาเนนการเกยวกบกญแจ ตงแตการสราง การจดเกบ และการเผยแพร

• ประเดนสำาคญในจดการกญแจ เชน - ใครจะเปนผสรางกญแจ - ควรสรางกญแจประเภทใด - กญแจควรมขนาดเทาใด - กญแจควรมอายการใชงานนานเทาใด - ควรม revocation certificate หรอไม เพอประกาศหยดการ

ใชงานกญแจในกรณทกญแจสวนตวถกขโมย - ควรเกบกญแจและ revocation certificate ไวทใด - ใครเปนผลงลายมอชอ (sign) กญแจ - นโยบายในการจดการรหสผานและระบบเกบรหสผาน - ใครเปนผบรหารจดการกญแจ รวมถงนโยบายและ

กระบวนการทเกยวของในการบรหารจดการกญแจ

4.4การสำารวจซอฟตแวรและฮารดแวรทใชงานในองคกร

CSIRT สำารวจและจดทำาขอมลสรปเกยวกบผลตภณฑซอฟตแวรและฮารดแวรพรอมเวอรชนทใชงานในองคกร เพอใหคำาแนะนำาเกยวกบผลตภณฑไดอยางเหมาะสม

54

นอกจากนน หาก CSIRT ใหบรการแจงเตอนและเผยแพรขอมลขาวสารดวย กอาจขอใหพนกงานในองคกรสมครรบขาวสาร แจงเตอนโดยระบรายการผลตภณฑใชงานอยเพอรบคำาแนะนำา ทเกยวกบผลตภณฑเหลานน

4.5การประชาสมพนธเมอจดตง CSIRT เรยบรอยแลว ควรแจงใหผมสวนเกยวของและผรบบรการทราบถงแนวทางการตดตอและบรการ และหาก CSIRT จะเปนผตดตอ (Point of Contact) หลกในการรบแจงและประสานงาน เพอรบมอเหตภยคกคาม CSIRT ควรแจงใหผรบบรการและผมสวนเกยวของทงหมดใหทราบวาตองรายงานเหตภยคกคามไปท CSIRT โดยตรง

รปแบบการประชาสมพนธโดยทวไปคอการจดทำาเอกสารขอมลและบรการตาง ๆ ของ CSIRT และเผยแพรบนอนทราเนต (สำาหรบ CSIRT ภายในองคกร) หรอบนอนเทอรเนต โดยตวอยางรปแบบเอกสารดงกลาวสามารถศกษาจาก RFC235022

ในการปฏบตงานไดอยางมประสทธภาพจำาเปนตองอาศยความไวเนอเชอใจและความเคารพจากผรบบรการ โดยความไวเนอเชอใจอาจเรมตนจากสงเลก ๆ และขยายผลตอไป เมอ CSIRT เรมไดรบความเชอมน และไววางใจ ผรบบรการเหลานนกจะเรมตระหนกและสนบสนน CSIRT มากขน

นอกจากน CSIRT อาจเผยแพรขาวสารเปนประจำาหรอตามโอกาส

22 RFC2350 <https://www.ietf.org/rfc/rfc2350.txt>

55

เกยวกบเหตภยคกคามทไดรบแจง บทเรยนทไดจากการรบมอ รวมถงหวขอนาสนใจตาง ๆ เพอสรางความตระหนกดานความมนคงปลอดภยไซเบอรใหกบผรบบรการในองคกร

4.6การสรางเครอขายแตละองคกรสวนใหญเผชญกบเหตภยคกคามลกษณะคลาย ๆ กนและสามารถ แลกเปลยน เรยนรจากเหตภยคกคามตาง ๆ ทเกดขน การแบงปนประสบการณและบทเรยนทไดรบจะเปนประโยชนสำาหรบทกฝายในการพฒนาแนวปฏบต ปรบปรงความมนคงปลอดภยของระบบ

นอยครงนกทเหตภยคกคามจะเกยวของกบองกรคเดยว สวนมากเหตภยคกคามมกจะเชอมโยงกบทอน ๆ โดยผอยเบองหลงการโจมตมกจะอยคนละท อยคนละประเทศ และยงไปกวานน การโจมตครงหนงอาจมทมาจากหลายแหงในเวลาเดยวกน เชน การโจมตแบบ DDoS ดงนน ในการรบมอและแกปญหาเหตภยคกคามลกษณะน CSIRT จะตองทำางานรวมกบทมอน ๆ โดยเฉพาะทมทดแลเครอขายทเปนแหลงทมาของการโจมต

ปจจบน มหลายเครอขายทรวมมอในดานตาง ๆ เชน การอบรม การรบมอเหตภยคกคาม ตวอยางทเหนไดชดคอ FIRST23 (Forum of Incident Response and Security Teams) ซงม CSIRT หลายรอยแหงทวโลกเปนสมาชก APCERT24 (Asia Pacific CERT) ซงเปนเครอขายความรวมมอสำาหรบ CSIRT ระดบประเทศในภมภาคเอเชย

23 FIRST: <http://www.first.org/>24 APCERT: <http://www.apcert.org>

56

แปซฟก Trusted Introducer25 สำาหรบ CSIRT ทงหมดในยโรป หรอ Africa CERT26 เครอขาย CSIRT ในทวปแอฟรกา ซงการเปนสมาชกในเครอขายเหลานลวนเปนประโยชนอยางมาก

เครอขายเหลาน รวมถง CSIRT ทมขนาดใหญยงจดการประชมและสมมนาทเปดใหผสนใจเขารวมเปนประจำาเพอฝกอบรมและยงเปนโอกาสอนดทบคลากรของ CSIRT จะสรางเครอขายและความสมพนธกบเจาหนาท CSIRT อน ๆ ดวย

4.7การซอมรบมอเหตภยคกคามเนองจากเหตภยคกคามขนาดใหญไมไดเกดขนเปนประจำา CSIRT จงอาจยงไมมประสบการณเพยงพอในการดำาเนนการตามขนตอนและกระบวนการทวางไว เมอเกดเหตภยคกคามขนจรงอาจเปนปญหาได

CSIRT ควรจดการซอมรบมอเหตภยคกคามในลกษณะ table-top exercise ซงเปนการจำาลองสถานการณเกดเหตภยคกคาม ผเขารวมการซอมจะไดรบบทบาทสมมตและตองแกไขเหตการณ การซอมรบมอจะชวยใหเกดความชำานาญ และเหนชองทางในการปรบปรงกระบวนการใหมประสทธภาพยงขน

ทงน ENISA ไดเผยแพรเอกสารและเครองมอทจำาเปนสำาหรบการซอมรบมอโดยไมเสยคาใชจายบนเวบไซต ผทสนใจสามารถดาวนโหลดไดท https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material

25 Trusted Introducer: <https://www.trusted-introducer.org/>26 AfricaCERT: <http://www.africacert.org/>

57

58

5.กระบวนการรบมอและแกไขเหตภยคกคามในบทท 5 จะอธบายกระบวนการพนฐานทจำาเปนในการรบมอและแกไขเหตภยคกคามโดยมแผนผงขนตอนตามรปภาพท 3 สวนเครองมอแนะนำาทอาจพจารณานำามาใช จะระบไวใน ภาคผนวก ค: เครองมอดานความมนคงปลอดภย

รปภาพท3: แผนผงขนตอนการรบมอและแกไขเหตภยคกคาม

การรบแจงเหตภยคกคาม

การบนทกขอมล

การตรวจสอบและประเมนเหตภยคกคาม

การแกไขเหตภยคกคาม

การเสนอแนวทางแกไขปญหา

การจบการแกไขเหตภยคกคาม

การตรวจสอบและแกไขประเภทภยคกคามครงสดทาย

การจดเกบขอมลในฐานขอมล

การจดการขอมลครงสดทาย

การวเคราะหหลงจบการดำเนนการแกไขเหตภยคกคาม

ขอเสนอแนะเพอการปรบปรง

ปฏบตตามแนวทางแกไขปญหา

การกำจดเหตภยคกคามและ

การฟนฟระบบ

การวเคราะหขอมล

การหาแนวทางแกไขปญหา

59

5.1การรบแจงเหตภยคกคาม5.1.1การแจงเตอน

CSIRT ไดรบแจงเหตภยคกคาม ซงมทมาจากหลายแหลงโดยอาจมาจากการพบเองหรอแหลงอน ๆ แจงมา เชน

• การแจงโดยระบบเฝาระวงเครอขาย• สมครเพอรบขาวสารทางอเมลกลมเครอขายดานความมนคง

ปลอดภยไซเบอร• การสมครเพอรบขอมลในรปแบบ automatic feed โดยสามารถ

ศกษาเพมเตมท ภาคผนวก ง: แหลงขอมล• วทย โทรทศน และหนงสอพมพ

CSIRT สามารถศกษาภาคผนวก ข: ตวอยางแบบฟอรมการรายงานเหตภยคกคาม ซงจะระบขอมลตาง ๆ ทจำาเปนในการรายงานเหตภยคกคาม และเพอใหการตดตอเปนไปอยางสะดวกและคลองตว CSIRT อาจสรางชองทางตดตอรบแจงเหตภยคกคาม ไดแก

• อเมล• โทรศพท• แบบฟอรมตดตอทางเวบไซต• สอสงคมออนไลน

อยางไรกด ชองทางการตดตอทเหลานเกอบทงหมดตองใชอนเทอรเนต โดยเฉพาะหากใช VoIP ในการตดตอทางโทรศพท ซงหากการเชอมตออนเทอรเนตมปญหากอาจสงผลใหไมสามารถตดตอ CSIRT ดงนนจงตองคำานงถงชองทางการตดตอสำารองไวดวย

60

5.1.2การบนทกขอมล

เหตภยคกคามทงหมดทไดรบแจงควรจะไดรบการบนทกใน ticketing system ซงเปนระบบสำาหรบรบแจงเหตและตดตามการดำาเนนการ โดยจะมการระบหมายเลข ticket สำาหรบแตละเหตภยคกคามทไดรบแจง เพอใชอางองเวลาตดตอสอสาร

ticket system จากผพฒนาบางรายสามารถรบแจงเหตภยคกคามทางอเมล โดยจะสรางหมายเลข ticket ใหกบอเมลทเขามาโดยอตโนมต

ขอมลเหตภยคกคามทไดรบแจงควรจดการใหอยในทเดยวกน เนองจากขอมลอาจมความสมพนธกบขอมลทไดรบแจงกอนหนา เชน การแพรกระจายของมลแวรในสวนงานขององคกรโดยกอนหนานไดรบแจงการแพรระบาดของมลแวรเดยวกนจากอกสวนงาน จะเหนไดวาเปนเหตการณทความสมพนธกน และอาจจดใหอยใน ticket หมายเลขเดยวกน

ขอดอกอยางของการมศนยกลางในการจดการขอมลคอ ในกรณทพบวาเหตภยคกคามทไดรบแจงมความคลายคลงกบทไดรบแจงกอนหนา กอาจนำาชองทางการตดตอหรอวธการจดการเดมมาใชงานได

ticket system ท CSIRT นยมใชและไมเสยคาใชจาย ไดแก RITR (Request Tracker for Incident Response)27 และ OTRS (Open Technology Real Services)28

27 RITR: <https://bestpractical.com/>28 OTRS: <https://www.otrs.com/>

61

ไทยเซรตใชระบบ ticket system ทชอ RTIR

5.2การตรวจสอบและประเมนเหตภยคกคาม

ขนตอนนถอวาเปนหนงในขนตอนทสำาคญทสดในกระบวนการรบมอและแกไขเหตภยคกคามเพราะเปนขนตอนทตองมการตดสนใจสำาคญ อนดบแรก CSIRT ตองตรวจสอบวาเหตภยคกคามทไดรบแจงเปนเหตภยคกคามจรงหรอไม แหลงทมาของรายงานเชอถอไดมากนอยเพยงใด จากนนควรพจารณา ดงน

• เหตภยคกคามทเกดขนอยใตขอบเขตการทำางานและความรบผดชอบของ CSIRT หรอไมมความเกยวของกบผรบบรการหรอไม

• เกดผลกระทบอะไรบาง• เกดความเสยหายรายแรงเพยงใด• มความเรงดวนมากนอยแคไหน ความเสยหายจะเพมขนตาม

เวลาทดำาเนนไปหรอไม จะลกลามไปยงผรบบรการ ผมสวนเกยวของอน ๆ หรอไม

หลงจากตรวจสอบ เปนการตอบสนองตอผแจง โดยมเนอหาดงน

• ตอบรบทราบการแจงเตอน• อธบายสงทจะดำาเนนการ• สงทผแจงควรกระทำาในระหวางรอ CSIRT รบมอและแกปญหา

เหตภยคกคามจนสำาเรจ

62

CSIRT อาจพจารณาจดทำา template ขอความทใชในการตอบสนองผแจงเพอชวยประหยดเวลาของผปฏบต

5.2.1การระบประเภทและความเรงดวนของเหตภยคกคามเปนการระบเบองตนวาเหตภยคกคามทไดรบแจงวาอยในประเภทใด สามารถกลบมาแกไขเมอมขอมลเพมเตม และเมอพจารณาประเภทของเหตภยคกคามรวมกบประเภทผแจง จะสามารถระบความเรงดวนในการดำาเนนการรวมถงทรพยากรทจำาเปนในการรบมอเหตภยคกคาม

ตวอยาง การกำาหนดความรนแรงและความเรงดวนของเหตภยคกคามทใชโดยหนวยงานภาครฐและองคกรขนาดใหญบางแหง ดงตารางท 1 เชน หากไดรบรายงานการแพรระบาดของ trojan โดยหนวยงานภาครฐถอวามความเรงดวนเปนอนดบ 2 ในขณะทหากผแจงเปนองคกรลกคาถอวามความเรงดวนเปนอนดบ 1

กลมส ความรนแรง ตวอยางแดง สงมาก DDoS, เวบไซต

Phishingสม สง Trojan การเขาถง

โดยไมไดรบอนญาตเหลอง ปกต Spam ประเดนการละเมด

ลขสทธ

ลำาดบความเรงดวน ภาครฐ ลกคา SLA อน ๆสแดง 1 1 2สสม 2 1 3สเหลอง 3 2 3

ตารางท1:ตวอยางการกำาหนดความรนแรงและความเรงดวนของเหตภยคกคามทใชโดยหนวยงานภาครฐและองคกรขนาดใหญบางแหง

63

การจดประเภทเหตภยคกคามยงมประโยชนเชงสถตอกดวย โดยชวยให CSIRT สามารถ

• ระบแนวโนมของเหตภยคกคามแตละประเภท• จดทำาสถตรายงานผบรหาร• เปรยบเทยบกบขอมลของ CSIRT อน ๆการจดประเภทเหตภยคกคามทนยมใช ไดแก

• ประเภทเหตภยคกคามโดย LatvianCERT29

• ประเภทเหตภยคกคามโดย eCSIRT.net30

• กำาหนดโดย CSIRT เองทงน แมการกำาหนดประเภทเหตภยคกคามดวยตนเองอาจเหมาะสมกบองคกร แตอาจมปญหาในการนำาขอมลไปเปรยบเทยบกบ CSIRT ขององคกรอน

หากตองการกำาหนดเอง ไมควรสรางประเภททซบซอนหรอละเอยดเกนไป (เชน กำาหนดประเภทของเหตภยคกคามสำาหรบมลแวรทกชนด) เนองจากถงแมจะชวยใหสามารถมองภาพรวมประเภทของเหตภยคกคามท CSIRT รบมอไดอยางละเอยดมาก แตกหมายความวาตองใชเวลาอยางมากในการกำาหนดประเภทของเหตภยคกคามแทนทจะใชเวลานนมาแกไขปญหา

29 <https://www.enisa.europa.eu/topics/csirt-cert-services/community-projects/existing-taxonomies>

30 <https://www.enisa.europa.eu/topics/csirt-cert-services/community-projects/existing-taxonomies>

64

ไทยเซรตใชประเภทเหตภยคกคามของ eCSIRT.net และเผยแพรสถตเหตภยคกคามทไดรบแจงรายเดอนบนเวบไซต31

31

รปภาพท4: สถตเหตภยคกคามรายเดอนทไทยเซรตไดรบแจงในป 2558

ขนตอนสดทายในสวนน คอการกำาหนดผรบผดชอบเหตภยคกคามซงจะเปนผดำาเนนการตอไป

5.3การแกไขเหตภยคกคาม5.3.1การวเคราะหขอมล

สงทสำาคญในขนตอนนคอการรวบรวมขอมลใหไดมากทสดเทาทจะทำาไดจากรายงานและระบบทไดรบผลกระทบ เพอใหทมไดภาพรวมเกยวกบเหตภยคกคามและสาเหตการเกดเหตภยคกคามทสมบรณทสด ตวอยางขอมลทรวบรวม เชน

31 สถตรายเดอนของ ThaiCERT: <https://www.thaicert.or.th/statistics/statistics-en.html>

อน ๆ

โปรแกรมไมพงประสงค

การเจาะระบบ

ความพยายามจะบกรกเขาระบบ

ความพยายามรวบรวมขอมลของระบบ

การฉอโกง

การโจมตสภาพความพรอมใชงานของระบบ

เนอหาทเปนภย

การเขาถงหรอเปลยนแปลงแกไขขอมลสำคญโดยไมไดรบอนญาต

65

• ขอมลตดตอโดยละเอยด• รายละเอยดของเหตภยคกคามทเกด• ประเภทของเหตภยคกคามทเสนอโดยผแจงเหตภยคกคาม• ขอมลเกยวกบระบบปฏบตการและเครอขายทเกยวของ• ขอมลเวลาและเขตเวลาของเหตภยคกคาม• ขอมลระบบรกษาความมนคงปลอดภยทตดตง• ความรนแรงของเหตภยคกคาม• ไฟลลอกทแนบมากบรายงานแจงเหตภยคกคามนอกจากน อาจหาขอมลทเกยวของกบเหตภยคกคามจากฐานขอมลของระบบหรออปกรณตาง ๆ เชน

• Netflow data• ลอกในเราเตอร• ลอกใน proxy server• ลอกในเวบแอปพลเคชน• ลอกในเมลเซรฟเวอร• ลอกใน DHCP เซรฟเวอร• ลอกในเซรฟเวอรทใหบรการยนยนตวตน (authentication

server)• ฐานขอมลตาง ๆ ทเกยวของ• อปกรณเกยวกบความมนคงปลอดภย เชน Firewall หรอ IDS

(Intrusion Detection System)

66

เมอแหลงทมาของการโจมตทางไซเบอรอยนอกขอบเขต นอกองคกรหรอหนวยงาน CSIRT อาจจำาเปนตองใชขอมลจากแหลงอน ๆ มาประกอบการวเคราะหดวย ในการขอขอมลเพมเตม CSIRT ตอง

• ระบแหลงขอมล• ตดตอประสานงานแหลงขอมล เพอขอขอมลทจำาเปน

แมการหาขอมล รายละเอยดใหไดมากทสดนนเปนสงสำาคญ แตกตองคำานงถงความเปนไปไดในทางปฏบตดวยโดยไมควรรอขอมลจากแหลงอนนานจนเกนไป เนองจากเหตภยคกคามอาจดำาเนนไปเรอย ๆ และความลาชาทเกดจากการรอขอมลจนครบถวนกอาจกลายเปนปญหาหรอทำาใหผบกรกมเวลาเพมขนในการปกปดรองรอย โดยทวไปแลว ขอมลทหาไดเพยงรอยละ 20 ถอเปนสในหาขององคความรทจำาเปนตองใชในการแกไขเหตภยคกคาม

5.3.2การหาแนวทางแกไขปญหา

ภายหลงจากทไดขอมลทงหมดจากขนตอนกอนหนาน จะเปนการหาแนวทางแกไขปญหาทดทสดจากทางเลอกตาง ๆ โดยพจารณาขอสงเกตและขอสรปจากการวเคราะหขอมลทรวบรวมหรอจากการหารอระดมสมอง ตวอยางผลลพธอาจเปนแนวทางการตงคาอปกรณหรอเครองมอเพอแกไขหรอลดผลกระทบของปญหา

5.3.3การเสนอแนวทางปฏบต

ในการแกไขเหตภยคกคาม CSIRT อาจตองเสนอแนวทางปฏบตหนงหรอสองแนวทาง ทงน ขนอยกบความซบซอนของเหตภยคกคามนน ๆ ดวย ในการนำาเสนอ จะตองคำานงถงผฟง บคลากรดานเทคนคยอมเขาใจแนวทางแกปญหาเชงเทคนค แตหากจำาเปนตองดำาเนนการอน ๆ หรอหากแนวทางปฏบตมคาใชจายสง กอาจตอง

67

ปรบเนอหานำาเสนอใหฝายบรหารหรอฝายการเงนเขาใจดวย

ตวอยางของแนวทางปฏบต เชน

• การยตการใหบรการชวคราว• การตรวจหามลแวรในเครอขาย• การแกไขชองโหวในระบบ• การตงคาระบบเพอเพมความมนคงปลอดภย• การแยกระบบออกจากเครอขาย• การตรวจสอบระบบ• การหาขอมลเพมเตม (อาจวาจางบคคลภายนอก)• การซอบรการเสรม เชน บรการปองกนจากการโจมต DDoS• การยกระดบการแกปญหาใหผบรหารหรอคณะกรรมการดาน

กฎหมายรวมตดสนใจ• การรวมมอแกไขปญหากบฝายสอสารองคกรหรอฝาย

ประชาสมพนธ• การรวมมอกบหนวยงานบงคบใชกฎหมายในกระบวนการ

สบสวนอาชญากรรม• หากระบบหรอแอปพลเคชนทองคกรใชงาน มการดแลโดย

องคกรภายนอก เชน ระบบบนคลาวด CSIRT กอาจจำาเปนตองสงคำาแจงเตอนหรอทำางานรวมกบองคกรเหลานน

68

5.3.4ปฏบตตามแนวทางแกไขปญหา

ประเดนทควรพจารณาหลงจากปฏบตตามแนวทางแกไขปญหาทดำาเนนการเสรจสนแลว

• ระบบสามารถใหบรการตามปกตไดหรอไม• การปฏบตนนสามารถแกไขปญหาไดเสรจสนหรอไม• ทราฟฟกในเครอขายไดรบการเฝาระวงอยางเหมาะสมหรอไมหากสวนทตกเปนเปาหมายของการโจมตยงมชองโหวหรอแนวทางการแกไขปญหาไมสามารถแกไขเหตภยคกคามอยางสมบรณ ตองทำาตามขนตอนกอนหนาอกครงเพอหาแนวทางการแกไขปญหาทเหมาะสมตอไป

5.3.5การกำาจดปญหาและการฟนฟระบบ

หลงจากทแกไขตนตอปญหาทสรางความเสยหายใหกบระบบเรยบรอย เปนการฟนฟระบบใหสามารถใหบรการตามปกต อยางไรกตาม ในบางกรณ อาจตองใชเวลาเพมเตมพอสมควร เชน กรณทมการดำาเนนการทางกฎหมายเพอสบสวนทางอาญา นอกจากน สวนงานทรบผดชอบดานการสอสารองคกรหรอการประชาสมพนธอาจเขามามสวนรวมประชาสมพนธขอมลใหสาธารณชนทราบความคบหนาของการดำาเนนการอยางตอเนอง

5.4การจบการแกไขเหตภยคกคามCSIRT ควรมนโยบายทชดเจนวาจะจบการดำาเนนการรบมอและแกไขเหตภยคกคามเมอใดและอยางไร เนองจากระยะเวลาทเหตภยคกคามดำาเนนไปมกมการใชเปนปจจยในการประเมนการทำางานดวย

69

CSIRT บางแหงเลอกทจะปลอยใหสถานะ ticket ของเหตภยคกคามทไดรบแจงใน ticket system คงสถานะเปน open หรอ “ระหวางการดำาเนนการ” มการอปเดตสถานะเพมรายละเอยดการดำาเนนการเรอย ๆ จนกวาเหตภยคกคามจะไดรบการแกไขโดยสมบรณ บางแหงตดสนใจจบการดำาเนนการปด ticket (เปลยนสถานะเปน closed) เมอไดรบการแกไขในเชงเทคนคตามขนตอนทกำาหนด ซงอาจเลอกดำาเนนการถงการตดตามประเมนผล (follow-up) แลวจงจบการดำาเนนการ

5.4.1การจดการขอมลครงสดทาย

แนบเอกสารทเกยวของทกอยางเขาไปใน ticket จากนนจงดำาเนนการแจงฝายตาง ๆ ทเกยวของตามประเดน ดงน

• คำาอธบายสน ๆ เกยวกบเหตการณ• ผลลพธจากการดำาเนนการรบมอและแกไขเหตภยคกคาม• สงทพบและขอเสนอแนะ5.4.2การตรวจสอบและแกไขประเภทภยคกคามครงสดทาย

เมอมขอมลเกยวกบเหตภยคกคามทไดรบแจงครบถวนแลว ควรตรวจสอบความถกตองของประเภทภยคกคามทไดระบไว หากไมถกตองใหแกไขและปรบปรงการระบประเภทภยคกคามใหแมนยำายงขน

5.4.3การจดเกบขอมลในฐานขอมล

ในการจดเกบขอมลทอยใน ticket ทมสถานะ “closed” หรอจบการดำาเนนการ หลงการดำาเนนการรบมอเหตภยคกคามเสรจสน ควรเกบในลกษณะทสามารถสบคนไดในภายหลง เพอใชอางองวธการรบมอกรณทเกดเหตภยคกคามลกษณะใกลเคยงกนในอนาคต

70

5.5การวเคราะหหลงจบการดำาเนนการแกไขเหตภยคกคาม

ควรเรยนรจากบทเรยนทไดรบจากเหตภยคกคามทเกดขนเพอปองกนไมใหเกดเหตเชนนขนอกในอนาคตหรอปรบปรงกระบวนการใหรบมอและแกไขเหตภยคกคามตาง ๆ ไดรวดเรวขน

ตวอยางของบทเรยนทไดและขอเสนอแนะเพอนำาไปปรบปรงและพฒนา ไดแก

• การเพมเตมเนอหาหรอคำาอธบายในนโยบายความมนคงปลอดภยขององคกร

• การพฒนาปรบปรงโครงสราง สถาปตยกรรมของเครอขาย• การพฒนาปรบปรงกลไกการตรวจจบเหตภยคกคาม• การจดหาเครองมอเพอเพมความสามารถวเคราะห• การไดเรยนรวธรบมอเหตภยคกคามรปแบบใหม ๆ

CSIRT อาจแบงปนบทเรยนทไดรบแกเครอขายความรวมมอเพอใหสมาชกไดรบประโยชนจากองคความรใหม ๆ ดวย (ศกษาเพมเตมทขอ 4.6)

71

72

6.บรการเพมเตมตารางดานลางแสดงบรการตาง ๆ ท CSIRT มกใหบรการ ทงน ตามท CERT/CC32 ระบไว

บรการเชงรบเพอตอบสนองภยคกคาม

บรการเชงรกเพอปองกนภยคกคาม

บรการบรหารคณภาพทางดานความมนคงปลอดภย

•การแจงเหตภยคกคาม•การรบมอและแกไขเหตภยคกคาม -การวเคราะหเหตภย

คกคาม -การรบมอและแกไขเหตภย

คกคามณสถานทเกดเหต(onsite)

-การสนบสนนการรบมอและแกไขเหตภยคกคาม

-การประสานงานเพอรบมอและแกไขเหตภยคกคาม

• การจดการกบชองโหวดานความมนคงปลอดภย

- การวเคราะหชองโหว - การแกไขชองโหว - การประสานงานเพอ

แกไขชองโหว• การจดการกบ artifact - การวเคราะห artifact - การดำาเนนการตอ

artifact - การประสานงานเพอ

จดการกบ artifact

•การแจงเตอนและเผยแพรขอมลขาวสาร

• การเฝาตดตามพฒนาการทางเทคโนโลย

• การตรวจสอบและประเมนดานความมนคงปลอดภย

• การตงคาและดแล เครองมอดานความมนคงปลอดภย แอปพลเคชน โครงสรางและบรการดานสารสนเทศ

• การพฒนาเครองมอดานความมนคงปลอดภย

• การบรการตรวจจบ การบกรก

• การเผยแพรขอมลทเกยวของกบความมนคงปลอดภย

• การวเคราะหความเสยง

• การวางแผนความตอเนองทางธรกจและการฟนตวจากเหตภยพบต

• การใหคำาปรกษาดานความมนคงปลอดภย

• การสรางความตระหนกเรองความมนคงปลอดภย

• บรการวชาการดานความมนคงปลอดภย

• การประเมนผลตภณฑหรอการออกใบรบรองประกาศนยบตร

32 อางองจาก.. "Handbook for Computer Security Incident Response Teams (CSIRTs), 2nd edition” หนา 25

73

การบรการทเปนตวอกษรสแดงคอบรการขนพนฐานท CSIRT ทจดตงขนใหมควรมพรอมใหบรการ สวนบรการอน ๆ อาจเพมเตมไดในอนาคตตามความจำาเปน

CSIRT ควรตดสนใจอยางรอบคอบในการวางแผนการใหบรการ เพอใหสอดคลองกบเปาหมายขององคกรภายใตงบประมาณทไดรบจดสรร ทงน เนองจากการใหบรการทเพมขนจำาเปนตองใชทรพยากร ทกษะ และความรวมมอจาก CSIRT อน การใหบรการทจำากดแตมคณภาพยอมดกวามบรการมากมายแตไมมคณภาพ

ในบางกรณ อาจพจารณา outsource บรการบางอยางใหกบหนวยงานทมภารกจ ในดานนน ๆ โดยเฉพาะ เนองจากบรการเหลานนอาจมตนทนสงและมการใชงานนอย เชน การตรวจพสจนพยานหลกฐานดจทล (digital forensics) ซง CSIRT สามารถทำาหนาทเปนผประสานงานในการจดหาบรการดงกลาวได

อนง ในปจจบน ยงไมพบ CSIRT ใดทใหบรการตามรายการขางตนครบทงหมด

6.1คำาอธบายบรการตางๆของCSIRT33

6.1.1บรการเชงรบเพอตอบสนองภยคกคาม

บรการทจะชวยใหหนวยงานสามารถรบมอและแกไขเหตภยคกคามท

33 อางองจาก.. "Handbook for Computer Security Incident Response Teams (CSIRTs), 2nd edition” หนา 25-34

74

สงผลกระทบตอระบบสารสนเทศตาง ๆ ทงขององคกรหรอของ CSIRT เอง โดยอาจไดรบแจงเหตจากการเฝาตดตาม การแจงเตอนจาก IDS logs และหนวยงานภายนอกอน ๆ

6.1.1.1 การแจงเหตภยคกคาม

ประกอบดวยการแจงขอมลตาง ๆ เชน ขอมลการโจมต ชองโหวดานความมนคงปลอดภย การถกเจาะระบบ มลแวร หรอขอความหลอกลวง CSIRT มหนาทแจงเตอนเหตภยคกคาม ใหคำาแนะนำา แนวทางปฏบตเบองตนแกผรบบรการเพอแกไขปญหาทเกดขน โดย CSIRT อาจเปนผจดทำาขอมลเองหรอนำาขอมลจากผเชยวชาญ vendors หรอ CSIRT อน ๆ มาเผยแพร

6.1.1.2 การรบมอและแกไขเหตภยคกคาม

ประกอบดวย การรบแจงเหตภยคกคาม การตรวจสอบและประเมนเหตภยคกคามการตอบกลบตอผแจง การวเคราะหเหตภยคกคาม โดย CSIRT อาจดำาเนนการตาง ๆ เชน

• ปกปองระบบและเครอขายทไดรบผลกระทบหรอถกขมข โดยผประสงคราย

• เตรยมมาตรการรบมอเหตภยคกคามตามคำาแนะนำาหรอการ แจงเตอนทไดรบ

• การตรวจสอบรองรอยการถกเจาะระบบในสวนอน ๆ ของเครอขาย

• การตรวจสอบและบลอก traffic ทผดปกต• การลางขอมลในเครองและตดตงระบบใหม• การแพตชหรอการซอมแซมระบบ

75

• การพฒนาแนวทางการรบมออน ๆ ในกรณทไมมวธการแกไขโดยตรงกจำาเปนตองหาแนวทางการรบมอทางออม (workaround)

การบรการนสามารถแบงยอยออกไปไดอก ดงน

o การวเคราะหเหตภยคกคาม

การวเคราะหเหตภยคกคามเองกอาจแบงไดหลายระดบ แตหวใจสำาคญคอการตรวจสอบขอมล หลกฐานสนบสนนหรอ artifact ทงหมดทเกยวของกบเหตภยคกคามเพอใหสามารถระบขอบเขต ระดบความเสยหาย ลกษณะของเหตภยคกคาม และแนวทางการรบมอหรอ workaround ได โดย CSIRT อาจใชผลลพธทไดจากการวเคราะหชองโหวและ artifact เพอชวยทำาความเขาใจและวเคราะหสงทเกดขนกบระบบนน ๆ นอกจากน ในกระบวนการวเคราะหเหตภยคกคาม CSIRT ควรหาความเชอมโยง แนวโนมการเกดเหตภยคกคาม แบบแผน หรอรองรอยของผบกรกโดยการเทยบเคยงระหวางเหตภยคกคามหนงกบอกเหตหนง

ทงน มบรการยอยสองประเภทท CSIRT อาจดำาเนนการโดยถอเปนสวนหนงของการวเคราะหเหตภยคกคาม ไดแก

- การจดเกบหลกฐานดจทล

จดเกบ บนทก และวเคราะหหลกฐานทไดจากคอมพวเตอรทถกเจาะระบบซงครอบคลมถงการทำาสำาเนาฮารดดสกในลกษณะ copy ขอมลแบบบตตอบต ตลอดจนการตรวจสอบความเปลยนแปลงทเกดขนกบระบบ เชน พบโปรแกรม ไฟล บรการ และบญชผใชทผดปกต การตรวจสอบการทำางานของระบบและพอรตทเปดอย การตรวจหา trojan

76

การจดเกบขอมลและหลกฐานตาง ๆ จะตองกระทำาอยางระมดระวงและรอบคอบเพอใหตรวจพสจนไดและเปนทยอมรบในชนศาล ทงน บคลากรของ CSIRT ทรบผดชอบบรการนอาจตองพรอมปฏบตหนาทเปนพยานผเชยวชาญ (expert witness) ในกระบวนการพจารณาของศาลดวย

- การตดตามหรอสบหารองรอย

ตดตามหรอสบหารองรอยวาผประสงครายเขาถงระบบทไดรบ ผลกระทบและเครอขายทเกยวของไดอยางไร ใชวธการหรอ เครองมอใดจงสามารถเขาถงระบบได การโจมตเกดขนจากทใด และระบบหรอเครอขายอนใดบางทถกใชเปนสวนหนงของการโจมตนอกจากนน การตดตามหรอสบหารองรอยยงอาจรวมถงการพยายามระบตวตนของผประสงคราย แมวาการใหบรการนอาจสามารถดำาเนนการไดโดย CSIRT เพยงลำาพง แตโดยทวไปแลวจะทำางานรวมกบองคกรบงคบใชกฎหมาย ผใหบรการอนเทอรเนต หรอองคกรอน ๆ ทเกยวของ

o การรบมอและแกไขเหตภยคกคาม ณ สถานทเกดเหต (on site)

ใหบรการนอกสถานทเกดเหตเพอวเคราะหและชวยฟนฟระบบกลบมาใหบรการหรอใชงานไดตามปกตโดยเรวทสด แทนทจะใหเพยงการสนบสนนทางโทรศพทหรออเมล บคลากรของ CSIRT อาจจำาเปนตองกจะเดนทางลงพนทเพอดำาเนนการแกไขปญหา แตในบางกรณพบวาม CSIRT ประจำาสถานทหรอผดแลระบบซงไดรบหนาทใหรบมอและแกไขเหตภยคกคามเปนประจำาอยแลว

o การสนบสนนการรบมอและแกไขเหตภยคกคาม

ใหความชวยเหลอและเสนอแนะแนวทางแกไขแกผเสยหายทถกโจมตเพอใหฟนตวจากเหตภยคกคามผานทางโทรศพท อเมล โทรสาร

77

หรอเอกสาร โดยอาจรวมถงการใหความชวยเหลอทางเทคนคในการวเคราะหขอมลทรวบรวม การจดหาขอมลตดตอ หรอการเผยแพรแนวทางการจำากดความเสยหายและการฟนฟระบบ การใหบรการในลกษณะนไมใชการรบมอและแกไขเหตภยคกคาม ณ สถานทเกดเหต แตจะเปนผใหความชวยเหลอจากระยะไกลเพอใหบคลากรในสถานทนนสามารถดำาเนนการรบมอเหตภยคกคามและฟนฟระบบไดดวยตนเอง

o การประสานงานเพอรบมอและแกไขเหตภยคกคาม

ประสานงานกบองคกรหรอบคคลทเกยวของกบเหตภยคกคาม เชน ผเสยหายทถกโจมต องคกรทอาจตองการความชวยเหลอในการวเคราะหการโจมต รวมถงองคกรอน ๆ ทเกยวของกบผเสยหาย อยาง ผดแลระบบ ผใหบรการอนเทอรเนต CSIRT อน ๆ หนาทของ CSIRT ในทนอาจรวมถงการจดเกบขอมลตดตอ การแจงเตอนองคกรอนทมแนวโนมเกยวของในฐานะผเสยหายหรอแหลงทมาของการโจมต การจดเกบสถตการดำาเนนการกบองคกรทเกยวของ การอำานวยความสะดวกในการแลกเปลยนขอมลและการวเคราะหขอมล การรวมมอกบผเชยวชาญทางกฎหมายขององคกร สวนงานทรพยากรบคคลหรอสวนงานประชาสมพนธ ตลอดจนผบงคบใชกฎหมาย ทงน การประสานงานดงกลาวไมถอเปนการรบมอและแกไขเหตภยคกคาม ณ สถานท

6.1.1.3 การจดการกบชองโหวดานความมนคงปลอดภย

ประกอบดวยการรบแจงและรวบรวมขอมลและรายงานทเกยวของกบชองโหวของฮารดแวรและซอฟตแวรตาง ๆ การวเคราะหลกษณะและผลกระทบของชองโหวทมตอระบบ การพฒนาวธการตรวจสอบและแกไขชองโหว ทงน มบรการยอยสองประเภทท CSIRT อาจดำาเนนการโดยถอเปนสวนหนงของการจดการกบชองโหวดานความมนคงปลอดภย ไดแก

78

o การวเคราะหชองโหว

ตรวจสอบยนยนขอมลชองโหววาเปนจรงหรอไม ดวยการทดสอบหาวธโจมตผานชองโหวในฮารดแวรหรอซอฟตแวรทไดรบผลกระทบ ในบรการนยงรวมถงการวเคราะหซอรสโคดและการใช debugger เพอหาชองโหว

o การตอบสนองตอชองโหว

เปนการหาแนวทางทเหมาะสมในการจดการชองโหวทพบ เชน การพฒนาและตดตงแพตชหรอ workaround เพอแกไขชองโหวดงกลาว รวมถงการแจงสวนงานและองคกรทไดรบผลกระทบทราบแนวทางแกไข

o การประสานงานเพอแกไขชองโหว

เปนการแจงทกหนวยงาน ทกฝายทเกยวของเกยวกบชองโหวและวธแกไข โดยการสอสารกบ vendors CSIRT อน ๆ ผเชยวชาญทางเทคนค ผมสวนเกยวของ ตลอดจนบคคลหรอกลมตาง ๆทเปนผคนพบหรอรายงานเกยวกบชองโหวนนตงแตแรก

บรการนยงรวมถง การประสานงานเพอใหการวเคราะหและออกรายงานชองโหวเปนไปอยางราบรน การประสานงานเพอกำาหนด วนเผยแพรแพตช workaround และเอกสารทเกยวของ รวมถงการสรางฐานขอมลจดเกบขอมลชองโหวและแนวทางการแกไขดวย

6.1.1.4 การจดการกบ artifact

artifact คอไฟลหรอรองรอยใด ๆ กตามทพบในระบบทเกยวของกบการโจมตระบบและเครอขาย อาจรวมถงไวรสคอมพวเตอร โทรจน เวรม สครปตหรอเครองมอตาง ๆ ทใชโจมต ในบรการน CSIRT

79

มหนาทรวบรวม artifact หรอขอมลทเกยวกบ artifact ทถกใชในการเจาะระบบ การสอดแนม การขดขวางการทำางานของระบบ

เมอไดรบ artifact มาแลว บคลากรใน CSIRT จะนำามาตรวจสอบในดานตาง ๆ เชน วเคราะหลกษณะ ฟงกชนการทำางาน เวอรชน จดประสงคของ artifact นน กอนจะหาแนวทางทเหมาะสมในการตรวจจบ กำาจด และปองกน artifact เหลาน

ในบรการนสามารถจำาแนกเปนบรการยอยไดแก

o การวเคราะห artifact

ตรวจสอบและวเคราะห artifact ทพบในระบบ อาจประกอบดวย การระบประเภทของไฟล โครงสรางของ artifact การเปรยบเทยบ artifact ใหมกบ artifact ทมอยแลวเพอหาความเหมอนและความแตกตาง การทำาวศวกรรมยอนกลบ (reverse engineering) การวเคราะหโคดเพอหาวตถประสงคและฟงกชนการทำางานของ artifact นน

o การดำาเนนการตอ artifact

ประกอบดวยการหาวธการตรวจจบ กำาจด และปองกน artifact โดยอาจสราง signature ใหกบแอนตไวรสหรอ IDS ใชในการตรวจจบ artifact

o การประสานงานเพอจดการกบ artifact

ประกอบดวยการประสานงานแบงปนขอมลจากการวเคราะห artifact ใหกบ CSIRT vendors ผเชยวชาญดานความมนคงปลอดภยและผทเกยวของอน ๆ และยงอาจรวมถงการดแล ฐานขอมลทรวบรวม artifact รวมถงขอมลผลกระทบและวธการรบมอ

80

6.1.2บรการเชงรกเพอปองกนภยคกคาม

บรการเชงรกมวตถประสงคเพอพฒนาระบบและกระบวนการดานความมนคงปลอดภยใหพรอม เพอปองกนตงแตกอนเกดเหตภยคกคาม หรอลดผลกระทบเมอเกดเหตภยคกคาม

6.1.2.1 การแจงเตอนและเผยแพรขอมลขาวสาร

อาจประกอบดวยการแจงเตอนการโจมต การแจงเตอนชองโหวและการออกคำาแนะนำา เกยวกบความมนคงปลอดภย ซงจะชวยใหผรบบรการสามารถปกปองระบบและเครอขายกอนทจะถกโจมต

6.1.2.2 การเฝาตดตามพฒนาการทางเทคโนโลย

ตดตามพฒนาการทางเทคโนโลยใหม ๆ ซงอาจประกอบดวยการศกษาวธการของผประสงคราย แนวโนมของภยคกคามในอนาคต และอาจขยายขอบเขตการตดตาม รวมไปถงคำาตดสนคดและการออกกฎหมายทเกยวของกบความมนคงปลอดภยไซเบอร ภยคกคามทางสงคมหรอทางการเมอง รปแบบของการตดตาม เชน การสมครอเมลรบขาวสาร ศกษาขอมลบนเวบไซตอานขาวและบทความในวารสารดานความมนปลอดภย รวมทงการตดตามขอมลในสาขาอนอยาง วทยาศาสตร เทคโนโลย การเมองและการปกครอง แลวนำามาวเคราะหหาขอมลทอาจสงผลกระทบตอความมนคงปลอดภยของระบบและเครอขายขององคกร โดย CSIRT อาจขอความชวยเหลอจากสวนงานอน ๆ ทมความเชยวชาญในแขนงเหลานเพอใหมนใจวาขอมลหรอการตความทไดมานนมความถกตอง

6.1.2.3 การตรวจสอบและประเมนดานความมนคงปลอดภย

ประกอบดวยการตรวจสอบและวเคราะหความมนคงปลอดภยของ

81

ระบบและเครอขายขององคกรวาเปนไปตามขอกำาหนดขององคกรหรอมาตรฐานทเกยวของหรอไม นอกจากนนยงอาจรวมถงการทบทวนแนวปฏบตดานความมนคงปลอดภยทใชในองคกร

การตรวจสอบและประเมนดานความมนคงปลอดภยสามารถแบงไดดงน

• การตรวจสอบระบบและเครอขาย: ตรวจสอบการตงคาซอฟตแวรและฮารดแวรอยาง เราเตอรไฟรวอลล เซรฟเวอร และอปกรณตาง ๆ เพอใหเปนไปตามนโยบายดานความมนคงปลอดภยขององคกรหรอมาตรฐานทสากลยอมรบ

• การตรวจสอบแนวปฏบต: สมภาษณพนกงานและผดแลระบบเพอสำารวจวาสงทปฏบตหรอดำาเนนการอยนนสอดคลองกบนโยบายหรอมาตรฐานดานความมนคงปลอดภยทนำามาใชหรอไม

• การสแกน: ใชเครองมอตรวจสอบหาชองโหวหรอมลแวรในระบบหรอเครอขาย

• การทดสอบเจาะระบบ: ทดสอบความมนคงปลอดภยโดยการทดสอบเจาะระบบสารสนเทศจรง

CSIRT ควรจดทำาแนวปฏบต รวมทงสงเสรมใหบคลากรสรางทกษะทจำาเปนและสอบประกาศนยบตรรบรองความสามารถในการตรวจสอบขางตน หรออาจ outsource ใหผเชยวชาญดำาเนนการภารกจเหลานแทนภายใตการกำากบดแลของ CSIRT

อนง กอนทจะดำาเนนการตรวจสอบ CSIRT ตองไดรบการอนมตจากผบรหาร เนองจากนโยบายขององคกรอาจหามไมใหดำาเนนการตรวจสอบบางประเภท

82

6.1.2.4 การตงคาและดแลเครองมอดานความมนคงปลอดภย แอปพลเคชน โครงสรางและบรการดานสารสนเทศ

แนะนำาแนวทางทเหมาะสมในการตงคาและดแล เครองมอ applications และโครงสรางและบรการดานสารสนเทศ และอาจมบทบาทเขามาปรบตงคาและดแลเครองมอดานความมนคงปลอดภยตาง ๆ เชน IDS, filter, wrapper, firewalls, VPN และระบบยนยนตวตนตาง ๆ รวมถงอปกรณทวไปอยาง เซรฟเวอร เดสกทอป แลปทอป แทบเลต สมารตโฟน และอปกรณไรสายอน ๆ ใหเปนไปตามแนวทางทกำาหนด

ทงน CSIRT ควรแจงใหผบรหารรบทราบหากพบปญหาในการตงคาหรอใชงานเครองมอ/ แอปพลเคชนทสงผลใหระบบมชองโหวหรอถกโจมตได

6.1.2.5 การพฒนาเครองมอดานความมนคงปลอดภย

CSIRT พฒนาเครองมอใหม ๆ อาจเปนเครองมอเฉพาะสำาหรบ CSIRT เครองมอสำาหรบกลมผรบบรการตามความจำาเปน บรการอาจประกอบดวยการพฒนาแพตชสำาหรบซอฟตแวรทผรบบรการใชงาน การจดเตรยมชดซอฟตแวรทมนคงปลอดภยสำาหรบตดตงเครองคอมพวเตอรใหม การพฒนาเครองมอหรอสครปตสำาหรบเครองมอดานความมนคงปลอดภยทมอย เชน plug-in สำาหรบเครองมอตรวจสอบชองโหว กลไกการตดตงแพตชอตโนมต เปนตน

6.1.2.6 บรการตรวจจบการเจาะระบบ

ประกอบดวยการตรวจสอบโดยการวเคราะหลอกจากซอฟตแวรหรออปกรณสำาหรบเฝาเหตภยคกคาม เชน IDS, SIEM ซงเปนงานททาทายและตองใชความพยายาม เนองจากไมเพยงตองกำาหนดวาจะวางเซนเซอรสำาหรบเฝาระวงเหตภยคกคามไวทใด แตยงตองเกบและ

83

วเคราะหขอมลปรมาณมหาศาล ในหลายกรณจำาเปนตองใช เครองมอเฉพาะหรอความเชยวชาญในวเคราะหขอมลเพอระบยนยนความถกตองของการแจงเตอนพบเหตภยคกคาม ซงบอยครงทอาจพบวาไมใชเหตภยคกคามจรง จงจำาเปนตองมมาตรการหรอตงคาเครองมอของอปกรณสำาหรบเฝาระวงใหลดการเกดเหตการณเหลานนลงไดใหมากทสด บางองคกรเลอกทจะ outsource ภารกจนแกองคกรอนทมความเชยวชาญมากกวาโดยอยภายใตการกำากบดแลของ CSIRT

6.1.2.7 การเผยแพรขอมลทเกยวของกบความมนคงปลอดภย

CSIRT รวบรวมและเผยแพรชดขอมลดานความมนคงปลอดภยทเปนประโยชนและงายตอการสบคนแกผรบบรการและผมสวนเกยวของ อาท

• แนวทางการรายงานและขอมลตดตอสำาหรบ CSIRT• ฐานขอมลทมขอมลการแจงเหต การเตอนและขาวสารตาง ๆ• แนวปฏบตดานความมนคงปลอดภยทใชในปจจบน• แนวทางการใชงานคอมพวเตอรอยางมนคงปลอดภย• นโยบาย กระบวนการ และเชกลสต• การพฒนาแพตชและ distribution ของซอฟตแวรตาง ๆ• ลงกเวบไซตทางการของ vendors• สถตปจจบนและแนวโนมในการรายงานเหตภยคกคาม• ขอมลอน ๆ ทอาจชวยปรบปรงแนวปฏบตดานความมนคง

ปลอดภยโดยรวม

84

ขอมลเหลานอาจจดทำาและจดพมพโดย CSIRT หรอสวนงานอน ๆ ขององคกร (สวนงาน IT ทรพยากรบคคลหรอสอมวลชนสมพนธ) และอาจผนวกขอมลจากแหลงขอมลภายนอก อาท จาก vendors CSIRT อน ๆ หรอผเชยวชาญดานความมนคงปลอดภยดวย

6.1.3บรการบรหารคณภาพทางดานความมนคงปลอดภย

เปนบรการทมเปาหมายเพอปรบปรงและพฒนาความมนคงปลอดภยโดยรวมขององคกร แมบรการนจะไมเกยวของกบการรบมอและแกไขเหตภยคกคามหรอภารกจของ CSIRT โดยตรง แตเปนการนำาบทเรยนและประสบการณทงจากการใหบรการเชงรบเพอรบมอเหตภยคกคามและบรการเชงรกเพอปองกนเหตภยคกคามมาสนบสนนการบรหารการรกษาความมนคงปลอดภยขององคกรในระยะยาว ทงน CSIRT อาจเปนหนวยงานหลกหรอเปนสวนหนงรวมกบสวนงานอนในการดำาเนนภารกจบรหารคณภาพทางดานความมนคงปลอดภยในระดบองคกร ขนอยกบโครงสรางและการแบงความรบผดชอบภายในองคกรนน ๆ

บรการยอยท CSIRT ดำาเนนการภายใตบรการบรหารคณภาพทางดานความมนคงปลอดภย มดงน

6.1.3.1 การวเคราะหความเสยง

ประเมนหรอชวยสนบสนนหรอการประเมนความเสยงดานความมนคงปลอดภยสำาหรบระบบและธรกจใหม ประเมนภยคกคามและความเปนไปไดทจะเกดการโจมตทสงผลกระทบตอสนทรพยของผรบบรการ ผมสวนเกยวของ ตลอดจนระบบตาง ๆ ทงในแงของคณภาพและปรมาณ และชวยในการประเมนแนวทางการปองกน รบมอและแกไขเหตภยคกคามไดอยางมประสทธภาพ

85

6.1.3.2 การวางแผนความตอเนองทางธรกจและการฟนตวจากเหตภยพบต

จากขอมลในอดตและการคาดการณเกยวกบแนวโนมดานความมนคงปลอดภยพบวา เหตภยคกคามสามารถสรางความเสยหายอยางรายแรงตอธรกจ ดงนน CSIRT จงมบทบาทในการนำาประสบการณและขอเสนอแนะมารวมวางแผนความตอเนองทางธรกจและการฟนตวจากเหตภยพบต (business continuity and disaster recovery planning) รวมถงการฟนตวจากเหตภยคกคามเพอใหธรกจขององคกรเปนไปอยางตอเนอง

6.1.3.3 การใหคำาปรกษาดานความมนคงปลอดภย

ใหคำาแนะนำาและแนวทางปฏบตดานความมนคงปลอดภย ในการจดซอ ตดตง ตงคา ระบบ อปกรณเครอขาย แอปพลเคชน รวมถงใหคำาแนะนำาในการรางนโยบายดานความมนคงปลอดภยสำาหรบองคกร ตลอดจนการใหการชนศาล หรอใหคำาแนะนำาแกองคกรดานนตบญญต

6.1.3.4 การสรางความตระหนกเรองความมนคงปลอดภย

สรางความตระหนกรดานความมนคงปลอดภยผานการเขยนบทความ จดทำาโปสเตอร บรการเผยแพรขาวสารทางอเมล เวบไซต ใหขอมลแนวปฏบตรวมถงคำาแนะนำาและขอควรระวงตาง ๆ CSIRT ควรทราบวาผรบบรการยงขาดขอมลสวนใดและพฒนาความรความเขาใจในสวนดงกลาว เมอพนกงานททกษะและความรจะทำาใหลดโอกาสการตกเปนเหยอของเหตภยคกคาม และเพมโอกาสทพนกงานจะตรวจพบและรายงานการถกโจมต ทำาใหสามารถจำากดความเสยหายไดอยางมประสทธภาพ34

34 ไทยเซรตไดจดทำาเอกสารใหความรและสรางความตระหนกดานความมนคงปลอดภยสำาหรบเผยแพรใหประชาชนและองครกรทสนใจ โดยสามารถดาวนโหลดไดท https://www.thaicert.or.th/downloads/downloads.html

86

6.1.3.5 บรการวชาการดานความมนคงปลอดภย

ใหความรผานการจดหลกสตรอบรม สมมนา ประชมเชงปฏบตการเพอใหความรและสรางความตระหนกเรองความมนคงปลอดภย โดยองคความรตาง ๆ อาจประกอบดวย การรายงานเหตภยคกคาม วธการรบมอและแกไขทเหมาะสม เครองมอทใชในการรบมอและแกไขเหตภยคกคาม วธการปองกนเหตภยคกคามและขอมลอน ๆ ทจำาเปน

6.1.3.6 การประเมนหรอการออกประกาศนยบตรรบรองผลตภณฑ

CSIRT ประเมนเครองมอ อปกรณ แอปพลเคชนหรอบรการตาง ๆ เพอตรวจสอบวาผลตภณฑเหลานนมความมนคงปลอดภยและสอดคลองกบแนวปฏบตดานความมนคงปลอดภยในระดบองคกรหรอตามท CSIRT กำาหนดหรอไม โดยอาจออกประกาศนยบตรเพอรบรองผลตภณฑ

87

88

ภาคผนวกก:แมแบบกรอบงานCSIRTกรอบงาน CSIRT

ชอของ CSIRT: ......................................................................................................

พนธกจ: ...........................................................................................................

................................................................................................................................

................................................................................................................................

................................................................................................................................

ผรบบรการ: ...........................................................................................................

อำานาจหนาท: .........................................................................................................

ความรบผดชอบ: ....................................................................................................

โครงสรางของ CSIRT: ...........................................................................................

ความพรอมในการใหบรการ: ..................................................................................

................................................................................................................................

บรการตาง ๆ ของ CSIRT: .....................................................................................

89

................................................................................................................................

................................................................................................................................

บคลากร: ................................................................................................................

................................................................................................................................

โครงสรางพนฐานสารสนเทศและเครองมอ: ..........................................................

................................................................................................................................

................................................................................................................................

ความสมพนธภายในและภายนอกองคกร: .............................................................

................................................................................................................................

................................................................................................................................

................................................................................................................................

รปแบบการรบเงนทนสนบสนนคาใชจาย: ...............................................................

................................................................................................................................

................................................................................................................................

................................................................................................................................

................................................................................................................................

90

ภาคผนวกข:ตวอยางแบบฟอรมการรายงานเหตภยคกคามแบบฟอรมการรายงานเหตภยคกคามกรณากรอกแบบฟอรมนและสงทางโทรสารหรออเมลไปท ….................. กรณากรอกขอมลในสวนทมเครองหมาย * ใหครบ

ผแจงและองคกร

1. ชอ*:2. ชอองคกร*:3. ภาคสวนหรอประเภทขององคกร:4. ประเทศ*:5. เมอง:6. ทอยอเมล*:7. หมายเลขโทรศพท*:8. ขอมลอน ๆ:ระบบทไดรบผลกระทบ

9. จำานวนของระบบ:10. Host name และ IP*:11. หนาทของระบบ*:

91

12. Time-zone:13. ฮารดแวร:14. ระบบปฏบตการ:15. ซอฟตแวรทไดรบผลกระทบ:16. ไฟลทไดรบผลกระทบ:17. โปรโตคอล/ พอรต:เหตภยคกคาม

18. หมายเลขอางอง ref#:19. ประเภทของเหตภยคกคาม:20. เหตภยคกคามเกดขนเมอ:21. เหตภยคกคามตอเนองมาจากเหตภยคกคามกอนหนาหรอไม:

ใช ไมใช22. เวลาและวธการคนพบเหตภยคกคาม:23. ชองโหวทเกยวของ:24. ไฟลทนาสงสย:25. มาตรการรบมอ:26. รายละเอยด:

92

ภาคผนวกค:เครองมอดานความมนคงปลอดภย ตารางดานลางแสดงเครองมอท CSIRT และผทเกยวของใชอยเปนประจำา ซงเครองมอสวนใหญทระบในตารางถกเผยแพรใหใชงานโดยไมเสยคาใชจาย

Domain and IP address query tools

DomainTools <https://www.domaintools.com/>

Domain Dossier <http://centralops.net/co/DomainDossier.aspx>

IP to ASN Mapping

<http://www.team-cymru.org/IP-ASN-mapping.html>

GeoLite2 <http://dev.maxmind.com/geoip/geoip2/geolite2/>

RIPEstat <https://stat.ripe.net/>

E-mail header analysis tools

Google Apps Messageheader

<https://toolbox.googleapps.com/apps/messageheader/>

MXToolbox <http://mxtoolbox.com/EmailHeaders.aspx>

Network monitoring tools

nfdump <http://nfdump.sourceforge.net/>

nfsen <http://nfsen.sourceforge.net/>

Network auditing tools

93

nmap <https://nmap.org/>

AutoScan-Network

<http://autoscan-network.com/>

Wireshark <https://www.wireshark.org/>

AbuseHelper <https://github.com/abusesa/abusehelper>

Vulnerability assessment tools

Nessus <http://www.tenable.com/products/nessus-vulnerability-scanner>

Metasploit <https://www.metasploit.com/>

Vega <https://subgraph.com/vega/index.en.html>

OWASP ZAP <https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project>

SQLcheck <http://www.softpedia.com/get/Internet/Servers/Database-Utils/SQL-Check.shtml>

Burp Suite <https://portswigger.net/burp/>

Kali <https://www.kali.org/>

Intrusion detection tools

Snort <https://www.snort.org/>

Tripwire <https://sourceforge.net/projects/tripwire/>

Forensic tools

Sleuth Kit <http://www.sleuthkit.org/>

Autopsy <http://www.sleuthkit.org/autopsy/>

94

Tcpxtract <http://tcpxtract.sourceforge.net/>

EnCase <https://www.guidancesoftware.com/encase-forensic>

FTK, Forensic Toolkit

<http://accessdata.com/solutions/digital-forensics/forensic-toolkit-ftk>

Malware analysis tools

VirusTotal <https://www.virustotal.com/>

Malware Domain List

<http://www.malwaredomainlist.com/>

Malware Hash Registry

<http://www.team-cymru.org/MHR.html>

MISP, Malware Information Sharing Platform

<https://misppriv.circl.lu/>

AlienVault Open Threat Exchange

<https://otx.alienvault.com/>

Malwr <https://malwr.com/>

Honeypots

honeyd <http://www.honeyd.org/index.php>

WiFi tools

inSSIDer <http://www.metageek.com/products/inssider/>

95

Acrylic WiFi Scanner

<https://www.acrylicwifi.com/en/wlan-software/wlan-scanner-acrylic-wifi-free/>

SIEM tools

Splunk <http://www.splunk.com/>

Encryption tools

GnuPG <https://www.gnupg.org/>

VeraCrypt <https://veracrypt.codeplex.com/>

Incident-tracking tools

RTIR <https://bestpractical.com/>

OTRS <https://www.otrs.com/>

Databases

SQLite <https://www.sqlite.org/>

MySQL <https://www.mysql.com/>

PostgreSQL <https://www.postgresql.org/>

นอกเหนอเครองมอขางตน ในการนำาไฟลลอกมาวเคราะห CSIRT สามารถใชเครองมอคำาสงตาง ๆ เชน sed/ awk และ grep เพอคนหาไฟลลอกในเครอง ซงสวนใหญเกบอยในรปแบบ plain text และสามารถใชคำาสงดงกลาวในการแปลงไฟลลอกจากแหลงทมาทแตกตางกนใหอยรปแบบเดยวกน ทำาใหสามารถใชเครองมอวเคราะหได

96

ภาคผนวกง:แหลงทมาของขอมลCSIRT อาจพจารณาสมครรบขอมลจากจากแหลงขอมลตอไปนเพอประโยชนในการแจงเตอนเหตภยคกคาม โดยสวนใหญไมมคาใชจาย

การแจงเตอนเหตภยคกคาม

APWG, Anti-Phishing Working Group

http://apwg.org/ Phishing

Phish Tank http://www.phishtank.com/ Phishing

Dark-H http://dark-h.org/ Web defacements

Mirror-Zone http://mirror-zone.org Web defacementsZone-H http://zone-h.org/ Web defacementsZone-HC http://zone-hc.com Web defacementsShadowserver https://www.shadowserver.org Botnet

Open DNS resolver

Open proxy server

etc.

97

Team Cymru http://www.team-cymru.org/services.html

BotnetBrute forceDDoSMalware URLOpen DNS resolverOpen proxy serverPhishingScanning

นอกจากนในกรณทเกดเหตภยคกคาม CSIRT อาจตดตอเครอขายความรวมมอทเกยวของ เพอขอความชวยเหลอ

ขอมลตดตอ (CSIRT สมาชก)

FIRST, Forum of Incident Response and Security Teams

https://www.first.org/

APCERT, Asia Pacific CERT http://www.apcert.org/

Trusted Introducer https://www.trusted-introducer.org/

AfricaCERT http://www.africacert.org/

Latin American CSIRTs http://www.lacnic.net/en/web/lacnic/csirts

OIC-CERT, Organisation of the Islamic Cooperation CERT

http://www.oic-cert.org/

NatCSIRT, National CSIRTs http://www.cert.org/incident-management/national-csierts/national-csirts.cfm

98

ภาคผนวกจ:เชกลสตการจดตงCSIRT

ขนตอน อางอง

Plan

1. ราง CSIRT framework และแผนธรกจ รวมถงกำาหนดงบประมาณ บทท 1 หนาท 18 และบทท 2

2. ขอผทมอำานาจอนมตแผนงานและงบประมาณในขอท 1 บทท 1 หนาท 19 และบทท 3

Do

3. รวบรวมและจดทำารายการแหลงขอมลดานตาง ๆ

บทท 1 หนาท 20 และบทท 4 หวขอ 4.1

4. รางนโยบายการรบมอและแกไขเหตภยคกคาม

บทท 1 หนาท 20 และบทท 4 หวขอ 4.2

5. รางนโยบายการจดการและแลกเปลยนขอมล

บทท 1 หนาท 20 และบทท 4 หวขอ 4.3

6. สำารวจและจดทำารายการซอฟตแวรและฮารดแวรทใชในองคกร

บทท 1 หนาท 20 และบทท 4 หวขอ 4.4

7. ประชาสมพนธการจดตง CSIRT บทท 1 หนาท 20 และบทท 4 หวขอ 4.5

99

8. สรางเครอขายความรวมมอจากการเขารวมการประชมและการเสวนาตาง ๆ

บทท 1 หนาท 20 และบทท 4 หวขอ 4.6

9. ซอมรบมอเหตภยคกคาม บทท 1 หนาท 20 และบทท 4 หวขอ 4.7

10. ดำาเนนการรบมอและแกไขเหตภยคกคาม และใหบรการตามภารกจหลกอน ๆ

บทท 1 หนาท 20 บทท 5 และบทท 6

Check

11. ประเมนคณภาพและประสทธภาพของการใหบรการ บทท 1 หนาท 20

Act

12. นำาผลการประเมนไปปรบปรงแผนงานและการดำาเนนการ. บทท 1 หนาท 22

13. ขยายขดความสามารถในการใหบรการ บทท 1 หนาท 22 และบทท 6

100

สรางคณาวายภาพผอำานวยการสำานกงานพฒนาธรกรรม ทางอเลกทรอนกส (องคการมหาชน)

ชยชนะมตรพนธรองผอำานวยการสำานกงานพฒนาธรกรรม ทางอเลกทรอนกส (องคการมหาชน)

พสจนอกษรทศพร โขมพตร

ฝายศลปนภดล อษณบญศร

พรพรหมประภากตตกลผอำานวยการสำานกความมนคงปลอดภย

MartijnVanDerHeideThaiCERT Specialist

ณฐโชตดสตานนทวศวกรความมนคงปลอดภย

คณะผจดท�า

101

COMPUTER SECURITY INCIDENT RESPONSE TEAM

ESTABLISHING A

104

CSIRTESTABLISHING A¤Ù ‹Á ×Í¡ÒèѴµÑ §«Õà«Ôà �µ

¤Ù ‹Á ×Í¡ÒèѴµÑ §ÈÙ¹Â�»ÃÐÊÒ¹¡ÒÃÃѺÁ×ÍÀѤء¤ÒÁ¤ÇÒÁÁÑ ¹¤§»ÅÍ´ÀѤÍÁ¾ÔÇàµÍÃ�ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE TEAM

COMPUTER SECURITY INCIDENT RESPONSE TEAM

สำนกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

อาคารเดอะ ไนน ทาวเวอร แกรนดพระรามเกา (อาคารบ) ชน 21 เลขท 33/4 ถนนพระราม 9

แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร 10310โทรศพท 0 2123 1212 | โทรสาร 0 2123 1200

WWW.ETDA.OR.TH | WWW.THAICERT.OR.TH : ETDA Thailand

978-616-7956-28-2

ESTABLISHING A CSIRT¤Ù‹Á×Í¡ÒèѴµÑ§«Õà«ÔÃ�µ