ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer...
Transcript of ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer...
1
CSIRTESTABLISHING A¤Ù ‹Á ×Í¡ÒèѴµÑ §«Õà«Ôà �µ
¤Ù ‹Á ×Í¡ÒèѴµÑ §ÈÙ¹Â�»ÃÐÊÒ¹¡ÒÃÃѺÁ×ÍÀѤء¤ÒÁ¤ÇÒÁÁÑ ¹¤§»ÅÍ´ÀѤÍÁ¾ÔÇàµÍÃ�ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE TEAM
COMPUTER SECURITY INCIDENT RESPONSE TEAM
สำนกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)
อาคารเดอะ ไนน ทาวเวอร แกรนดพระรามเกา (อาคารบ) ชน 21 เลขท 33/4 ถนนพระราม 9
แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร 10310โทรศพท 0 2123 1212 | โทรสาร 0 2123 1200
WWW.ETDA.OR.TH | WWW.THAICERT.OR.TH : ETDA Thailand
978-616-7956-28-2
ESTABLISHING A CSIRT¤Ù‹Á×Í¡ÒèѴµÑ§«Õà«ÔÃ�µ
3
4
ชอเรอง : คมอการจดตงซเซรต(EstablishingaCSIRT)เรยบเรยงโดย : ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย (Thailand Computer Emergency Response Team)พมพครงท1 : มกราคม 2561พมพจำานวน : 500 เลม
จดพมพและเผยแพรโดย:ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย (Thailand Computer Emergency Response Team)สำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)กระทรวงดจทลเพอเศรษฐกจและสงคมอาคารเดอะ ไนน ทาวเวอร แกรนด พระรามเกา (อาคารบ) ชน 20 เลขท 33/4 ถนนพระราม 9 แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร 10310
โทรศพท: 0 2123 1234 โทรสาร: 0 2123 1200อเมล: [email protected]เวบไซตไทยเซรต: www.thaicert.or.thเวบไซตสำานกงานพฒนาธรกรรมทางอเลกทรอนกส(องคการมหาชน):www.etda.or.thเวบไซตกระทรวงดจทลเพอเศรษฐกจและสงคม: www.mdes.go.th
สงวนลขสทธตามพระราชบญญตลขสทธพ.ศ.2537All Rights Reserved. CopyrighT © 2018 Electronic Transactions Development Agency (Public Organization)
CSIRTESTABLISHING A
ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE TEAM
¤Ù ‹Á ×Í¡ÒèѴµÑ §«Õà«Ôà �µ
¤Ù ‹Á ×Í¡ÒèѴµÑ §ÈÙ¹Â�»ÃÐÊÒ¹¡ÒÃÃѺÁ×ÍÀѤء¤ÒÁ¤ÇÒÁÁÑ ¹¤§»ÅÍ´ÀѤÍÁ¾ÔÇàµÍÃ�
5
CSIRTESTABLISHING A
ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE TEAM
¤Ù ‹Á ×Í¡ÒèѴµÑ §«Õà«Ôà �µ
¤Ù ‹Á ×Í¡ÒèѴµÑ §ÈÙ¹Â�»ÃÐÊÒ¹¡ÒÃÃѺÁ×ÍÀѤء¤ÒÁ¤ÇÒÁÁÑ ¹¤§»ÅÍ´ÀѤÍÁ¾ÔÇàµÍÃ�
6
สารบญบทนำา 10 อภธานศพท 12 โครงสรางเนอหาของเอกสาร 14 ผทจะไดรบประโยชนจากเอกสารฉบบน 14 คำาชแจงทางกฎหมาย 15 กตตกรรมประกาศ 16
1.การบรหารจดการวงจรการทำางานของทมและขดความสามารถ 17
2.การรางกรอบงานCSIRT 25 2.1 พนธกจ 26 2.2 ผรบบรการ 26 2.3 อำานาจหนาท 29 2.4 ความรบผดชอบ 29 2.5 โครงสรางบรหาร 30
2.5.1 รปแบบธรกจอสระ 30 2.5.2 รปแบบฝงตว 30 2.5.3 รปแบบแคมปส 31
2.6 ความพรอมในการใหบรการ 32
7
2.7 บรการหลก 33 2.8 ขอกำาหนดดานบคลากร 34
2.8.1 อตราเจาหนาท 34 2.8.2 ความสามารถ 35 2.8.3 แนวปฏบต แนวทางการดำาเนนงาน จรรยาบรรณ 36 2.8.4 การฝกอบรม 37
2.9 โครงสรางพนฐานและเครองมอ 38 2.10 ความสมพนธภายในและภายนอกองคกร 40 2.11 รปแบบการรบเงนทนสนบสนนคาใชจาย 41
3.การขออนมตจดตงCSIRTจากผบรหารระดบสง 44 3.1 รปแบบการรายงานผลการปฏบตงานของ CSIRT 45
4.การจดตงCSIRTและสภาวะแวดลอมในการทำางาน 47 4.1 รวบรวมและจดทำารายการแหลงขอมลดานตาง ๆ 47 4.2 จดทำานโยบายการรบมอและแกไขเหตภยคกคาม 48 4.3 จดทำานโยบายการจดการและแลกเปลยนขอมล 49
4.3.1 กฎหมายและกฎระเบยบตาง ๆ 49 4.3.2 การสอสารอยางมนคงปลอดภยดวย PGP 52
4.4 การสำารวจซอฟตแวรและฮารดแวรทใชงานในองคกร 53 4.5 การประชาสมพนธ 54 4.6 การสรางเครอขาย 55 4.7 การซอมรบมอเหตภยคกคาม 56
8
5.กระบวนการรบมอและแกไขเหตภยคกคาม 58 5.1 การรบแจงเหตภยคกคาม 59
5.1.1 การแจงเตอน 59 5.1.2 การบนทกขอมล 60
5.2 การตรวจสอบและประเมนเหตภยคกคาม 61 5.2.1 การระบประเภทและความเรงดวนของ เหตภยคกคาม 62
5.3 การแกไขเหตภยคกคาม 64 5.3.1 การวเคราะหขอมล 64 5.3.2 การหาแนวทางแกไขปญหา 66 5.3.3 การเสนอแนวทางปฏบต 66 5.3.4 ปฏบตตามแนวทางแกไขปญหา 68 5.3.5 การกำาจดปญหาและการฟนฟระบบ 68
5.4 การจบการแกไขเหตภยคกคาม 68 5.4.1 การจดการขอมลครงสดทาย 69 5.4.2 การตรวจสอบและแกไขประเภทภยคกคาม ครงสดทาย 69 5.4.3 การจดเกบขอมลในฐานขอมล 69
5.5 การวเคราะหภายหลงการเกดเหตภยคกคาม 70
6.บรการเพมเตม 72 6.1 คำาอธบายบรการตาง ๆ ของ CSIRT 73
6.1.1 บรการเชงรบเพอตอบสนองภยคกคาม 73 6.1.2 บรการเชงรกเพอปองกนภยคกคาม 80 6.1.3 บรการบรหารคณภาพทาง ดานความมนคงปลอดภย 84
9
ภาคผนวกก:แมแบบกรอบงานCSIRT 88ภาคผนวกข:ตวอยางแบบฟอรมการรายงาน
เหตภยคกคาม 90ภาคผนวกค:เครองมอดานความมนคงปลอดภย 92ภาคผนวกง:แหลงทมาของขอมล 96ภาคผนวกจ:เชกลสตการจดตงCSIRT 98คณะผจดทำา 100
10
บทนำาปจจบน เสถยรภาพ ความมนคง และความพรอมใชงานของอนเทอรเนตนนสำาคญยงตอการทำางานของหนวยงานและองคกรตาง ๆ โดยเฉพาะทเปนโครงสรางพนฐานสำาคญ อาท ภาคการเงน ภาคพลงงาน ภาคการขนสง หรอภาครฐ ซงจะใหบรการไดอยางเตมทนน ประชาชนจะตองสามารถเขาถงอนเทอรเนตได สวนผดแลระบบโครงสรางพนฐานเองกตองพงพาอนเทอรเนตมากขนเรอย ๆ เพอใหบรการและตดตอสอสารระหวางกน
เวลาน หากการเชอมตออนเทอรเนตขดของเพยงไมกนาทคงเปนเรองทรบไมได และหากการเชอมตอขดของเปนเวลานานกอาจสงผลกระทบตอเสถยรภาพของระบบเศรษฐกจ โดยเฉพาะองคกรตาง ๆ ทใชประโยชนจากเวบไซตในการทำาธรกรรมซอขาย ยอมจะไดรบผลกระทบทรนแรง แมอนเทอรเนตจะไมสามารถใหบรการไปเพยงระยะเวลาสน ๆ กตาม ดงเชนการหยดใหบรการของ Facebook ทเคยปรากฏเปนขาวใหญโตมาแลว
นอกจากกรณขางตนแลว กยงมรายงานขอมลรวไหลทเกดขนกบองคกรตาง ๆ ทวโลกอยทกวน ในหลายกรณกพบวาขอมลหรอทรพยสนทางปญญาถกขโมย ซงการกระทำาเหลานถอวาเปน การจารกรรมระดบองคกร
หากพดถงความเสยหายทเกดจากเหตภยคกคามอาจแบงออกเปน 2 ลกษณะคอ (1) ความเสยหายทางตรงทเกยวของกบรายไดและกำาไรทสญเสยไป รวมถงคาใชจายในการจำากดขอบเขตความเสยหายและแกปญหาทเกดจากเหตภยคกคามนน และ (2) ความเสยหายทางออมทเกดตอภาพลกษณ การสญเสยลกคา หรอคาปรบจากองคกรกำากบดแล
11
ทผานมา มกรณศกษาใหเหนอยหลายกรณทเหตภยคกคามดานความมนคงปลอดภยทำาใหองคกรลมละลาย เพราะไมสามารถฟนตวใหกลบมาเหมอนเดมไดภายหลงเกดเหต ดงนน จงตองมการรบมอทเหมาะสมและทนทวงทเมอมเหตภยคกคามไซเบอรเกดขน และนคอเหตผลทตองจดตง CSIRT
CSIRTคอทมผเชยวชาญดานความมนคงปลอดภยไซเบอรทสามารถรบมอและแกไขเหตภยคกคาม
ประกอบดวยบคลากรทมความรและทกษะในการรบมอเหตภยคกคาม ใหความชวยเหลอผรบบรการในการฟนตวจากการเจาะระบบ นอกจากนในการดำาเนนการเชงรก CSIRT ใหบรการตรวจสอบและประเมนชองโหวของระบบสารสนเทศและ ความเสยงตาง ๆ รวมทงสรางความตระหนกและใหความรแกผเกยวของในการพฒนาและปรบปรงการบรการเพอใหเกดความมนคงปลอดภยบนโลกไซเบอร
สรางคณาวายภาพผอำานวยการสำานกงานพฒนาธรกรรม ทางอเลกทรอนกส (องคการมหาชน)
12
อภธานศพทคำาศพทเฉพาะทเกยวของกบความมนคงปลอดภยทางไซเบอรทควรรจก มดงน
CERTหรอComputerEmergencyResponseTeam
คำาวา "CERT” เปนเครองหมายการคาจดทะเบยนของ CERT Coordination Center (CERT/CC)1 หมายถงหนวยงานรบมอเหตภยคกคามทอยภายใตสถาบนวศวกรรมซอฟตแวร (Software Engineering Institute – SEI) แหงมหาวทยาลย Carnegie Mellon ในสหรฐอเมรกา และเนองจาก CERT เปนเครองหมาย การคาจดทะเบยน ดงนน ศนยททำาหนาทประสานและรบมอเหตภยคกคามดานความมนคงทางไซเบอรทจดตงขนใหมและตองการใชชอทมคำาวา CERT จะตองยนขอใบอนญาตเสยกอน2 ทงน CERT แหงแรกจดตงขนเพอรบมอและแกไขเหตการเชอมตออนเทอรเนตขดของทมผลกระทบในวงกวางซงเกดจาก worm ชอ Morris3 ในป พ.ศ. 2531
CSIRTหรอComputerSecurityIncidentResponseTeam
เปนศพททวไปทใชเรยกทมรบมอเหตภยคกคามและมภารกจ เชนเดยวกบ CERT อยางไรกด เนองจาก CERT เปนเครองหมาย การคาจดทะเบยน ในเอกสารฉบบนจงใชคำาวา CSIRT แทน
1 CERT/CC: <https://www.cert.org/>2 รายละเอยดเพมเตมและขนตอนการยนขอใบอนญาต สามารถศกษาไดท <https://www.cert.
org/incident-management/csirt-development/cert-authorized.cfm>3 The Morris Worm: <https://en.wikipedia.org/wiki/Morris_worm>
13
ISACหรอInformationSharingandAnalysisCenter
คอศนยแลกเปลยนและวเคราะหขอมล ทมหนาทสรางความรวมมอระหวางทมดานความมนคงปลอดภยทางไซเบอรทมลกษณะคลายคลงกนหรออยในภาคสวนเดยวกน ซงศนยแลกเปลยนและวเคราะหขอมลนอาจมหนาทความรบผดชอบคลายกบ CSIRT เพยงแตจะขาดภารกจในการรบมอและแกไขเหตภยคกคาม
SOCหรอSecurityOperatingCenter
คอศนยปฏบตการทางไซเบอร ซงเปนพนทหรอหองในอาคารทเปนศนยกลางสำาหรบการเฝาระวงเหตภยคกคามแบบเรยลไทม การสงทมรบมอและแกไขเหตภยคกคามไปยงทเกดเหต และการประสานงานเพอรบมอและแกไขเหตภยคกคาม คลายกบทบรษทผใหบรการอนเทอรเนต (ISPs) ม NOC หรอ Network Operating Centers ซงเปนศนยปฏบตการสำาหรบดแลเครอขาย แตความแตกตางคอ SOC จดตงขนเพอรบมอเหตภยคกคามโดยเฉพาะ โดยปกตแลว มเพยง CSIRT ชนแนวหนาหรอองคกรใหญ ๆ ทมระบบเทคโนโลยสารสนเทศกระจายอยหลายพนทเทานน ทจำาเปนตองม SOC
การดำาเนนงานของ CSIRT และ SOC ไมแตกตางกนมากนกเพราะมภารกจทคลายคลงและทบซอนกนอยมาก ในบางกรณอาจพบ CSIRT ตงอยใน SOC ในขณะท CSIRT บางแหงกกำาหนดให SOC เปนเสมอนทมหนาดานในการรบมอเมอเกดเหตภยคกคาม ซงรายละเอยดและความสมพนธระหวาง CSIRT และ SOC จะปรากฏในบทท 6
ทงน ไมวาจะใชคำาวาอะไร หรอศนยทจดตงขนจะไดชอวาอะไร ทายทสดแลวสงทสำาคญสำาหรบองคกรทเกยวของกคอขดความสามารถในการรบมอเหตภยคกคาม
14
โครงสรางเนอหาของเอกสารบทท 1 อธบายวงจรการทำางานและขดความสามารถของ
CSIRTบทท 2-4 รายละเอยดขนตอนตาง ๆ ทจำาเปนในการจดทำาแผน
การขอใหผบรหารอนมตจดตง CSIRTบทท 5 รายละเอยดการใหบรการรบมอและแกไขเหตภยคกคามบทท 6 อธบายบรการอน ๆ ท CSIRT อาจมหมายเหต เพอประโยชนตอผอานในการทำาความเขาใจกบคำาแนะนำาในคมอฉบบน จงไดยกตวอยางของไทยเซรต เปนขอความในกลองสเหลยม
ตวอยางไทยเซรต
ผทจะไดรบประโยชนจากเอกสารฉบบนคมอฉบบนไดรบการออกแบบมาสำาหรบองคกรตาง ๆ ทตองการ จะเรยนรเพมเตมเกยวกบ CSIRT และตองการจดตง CSIRT ขนมาภายในองคกร โดยคมอจะมรายละเอยดเกยวกบกระบวนการจดตง CSIRT และขอกำาหนดตาง ๆ รวมทงสอดแทรกตวอยาง เพอใหเขาใจและเหนภาพวาจะดำาเนนการตามขนตอนแตละขนใหสำาเรจไดอยางไร เอกสารฉบบนเหมาะสำาหรบเจาหนาทในระดบบรหาร แตเจาหนาทดานเทคนคกสามารถใชประโยชนในการอางองจากคมอฉบบนไดเชนกน
15
คำาชแจงทางกฎหมายคมอนมจดประสงคเพอชวยองคกรในการจดตง CSIRT ตงแตเรมตนจนถงขนทสามารถปฏบตงานได เนอหาทปรากฏในเลมน มาจากทงองคความรและประสบการณของไทยเซรต และสำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) และจากเครอขาย CSIRT อน ๆ ทงนเนอหาของคมอเปนเนอหาทรวบรวม ณ เวลาทจดทำา ไมไดเปนคมอทสมบรณแบบทสด อาจจำาเปนตองปรบปรงใหทนสมยเหมาะสมตามกาลเวลา
คมอนอางองเนอหาจากแหลงขอมลตาง ๆ ซงไทยเซรตขอสงวนสทธในการรบผดชอบตอเนอหาดงกลาว รวมถงรบรองวาเวบไซตทไดอางองหรอระบไวในคมอนจะยงสามารถเขาถงได และหากเนอหาสวนใดมการระบถงชอผลตภณฑ ไมไดหมายความวาไทยเซรตสนบสนนผลตภณฑดงกลาว เพยงแตเปนการยกตวอยางเทานน
คมอนจดทำาขนเพอการศกษาและอางองเทานน ไทยเซรตหรอบคคลใด ๆ ทปฏบตหนาทในนามไทยเซรตจะไมรบผดชอบตอผลลพธของการใชงานขอมลทปรากฏในคมอน ขอมลทกอยางทปรากฏในคมอนอาจเปลยนแปลงไปตามกาลเวลา จงขอสงวนสทธเกยวกบความถกตองของขอมลตาง ๆ
คมอนจดพมพขนภายใตลขสทธ Creative Commons Attribution- NonCommercial- Sharealike 4.0 International4
ลขสทธถกตองตามกฎหมาย© สำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) 2559
4 Creative Commons License: <https://creativecommons.org/licenses/by-nc-sa/4.0/>
16
กตตกรรมประกาศไทยเซรตขอขอบคณสถาบนและบคคลตาง ๆ ทใหความอนเคราะหจนประสบความสำาเรจในการจดทำาคมอฉบบน โดยขอแสดงความขอบคณเปนพเศษแด
• CERT/CC โดยเฉพาะอยางยงทมพฒนา CSIRT ซงใหขอมลประกอบในบทท 6
• ENISA สำาหรบขอมลเชงลกเกยวกบบคคล กฎหมายและ กฎระเบยบ
• TRANSITS สำาหรบขอเสนอในกระบวนการรบมอและแกไข เหตภยคกคาม
• ผทไดกรณาตรวจสอบการแปลและความถกตองของคมอน
17
1.การบรหารจดการวงจรการทำางานของทมและขดความสามารถการจดตง CSIRT มหลายองคประกอบและปจจยทตองคำานงถง ดงนน จงควรนำาวงจร วางแผน-ลงมอทำา -ตรวจสอบ-ปฏบต (Plan-Do-Check-Act หรอ PDCA5 มาปรบใชเพอใหการจดตงและการทำางานเปนไปอยางราบรน มการพฒนาปรบปรงอยางตอเนอง สมำาเสมอ
รปภาพท1: แสดงวงจร PDCA (หรอวงจร Deming) เปนแนวทางชวยใหการดำาเนนการมการพฒนาคณภาพอยางตอเนอง
5 วงจร PDCA : <https://en.wikipedia.org/wiki/PDCA>
การพฒน
าอยางต
อเนอง
ปฏบต วางแผน
ตรวจสอบ ลงมอทำ
ปฏบต วางแผน
ตรวจสอบ
การผนวกค
วามกาวหน
า
ในขนตอนก
อนหนาผาน
กระบวนกา
รจดทำมาต
รฐาน
มาตรฐาน
มาตรฐาน
ลงมอทำ
การพฒนาคณ
ภาพ
เวลา
18
ในการจดตงและดำาเนนภารกจของ CSIRT ควรจะมทปรกษาระดบสงทมประสบการณในการบรหารองคกร ในระดบสงสด มประสบการณกบการกำาหนดเปาหมายและยทธศาสตรทางธรกจ รวมทงสามารถสนบสนน แผนงานตาง ๆ เขามามบทบาทใหคำาแนะนำาดวย นอกจากน ยงม CSIRT ทพรอมแบงปนประสบการณและองคความรรวมทงตวอยางตาง ๆ เพอสนบสนนการจดตง CSIRT ใหม ๆ
• AusCERT6
• สถาบนการเงน7
• CERT Polska8
วางแผน(Plan)การจดทำากรอบงานCSIRT
• คำาอธบายโดยละเอยดจะปรากฏในบทท 2 และในภาคผนวก ก: แมแบบกรอบงาน CSIRT
การกำาหนดงบประมาณ
• กำาหนดงบประมาณสำาหรบการดำาเนนการตอเนองเปนเวลาหลายป โดยตองแยกงบประมาณดานการปฏบตการและ งบประมาณทใชสำาหรบการลงทนออกจากกน
6 AusCERT: <https://www.auscert.org/au/render.html?it=2252>7 สถาบนการเงน: <http://www.cert.org/incident-management/publications/case-studies/
afi-case-study.cfm>8 CERT Polska: <https://www.terena.org/activities/tf-csirt/meeting9/jaroszewski-
assistance-csirt.pdf>
19
• ไมควรกำาหนดงบประมาณในลกษณะทเปนการผกมดจนเกนไปและไมควรประเมนงบประมาณสงกวาความเปนจรง
• จดทำางบประมาณใหกระชบทสดเทาทจะกระทำาไดและควรชแจงเกยวกบสงทเปนรปธรรม และนามธรรมในขอเสนออยางตรงไปตรงมา
การจดทำาแผนธรกจแผนประกอบการ
• ศกษาจากตวอยางและเวบไซตทใหคำาแนะนำาเกยวกบแผนธรกจตาง ๆ
• ขอรบการสนบสนนจากทปรกษาระดบสง• แผนธรกจ แผนประกอบการควรสะทอนเปาหมายของ CSIRT ท
มตอองคกร และความเชอมโยงระหวางเปาหมายกบงบประมาณ• ควรระบผลตอบแทนจากการลงทนในแผนฯ ดวย (Return on
Investment : ROI)การนำาเสนองบประมาณและแผนงาน
• คำาอธบายปรากฏในบทท 3• ศกษาอยางรอบคอบเพอใหสามารถอธบายและชแจงเหตผล
ความจำาเปนของงบประมาณแตละรายการได• นำาเสนอแผนตอทปรกษาระดบสงกอนเพอรบฟงขอคดเหนและ
ขอเสนอแนะ• จากนนจงนำาเสนอตอบคคลทมอำานาจอนมตแผนและคาใชจาย
ตาง ๆ ในการจดตง CSIRT
20
ลงมอทำา(Do)การดำาเนนการตามแผน
• คำาอธบายปรากฏในบทท 4 - สรปขอมลภาพรวมเกยวกบแหลงขอมล - รางนโยบายการรบมอและแกไขเหตภยคกคาม - รางนโยบายการจดการและแลกเปลยนขอมล - ประเมนขดความสามารถพนฐานของผรบบรการ - ประชาสมพนธการจดตง CSIRT - สรางเครอขายความรวมมอจากการเขารวมการประชมและ
การเสวนาตาง ๆ - ซอมรบมอเหตภยคกคาม• ดำาเนนการรบมอและแกไขเหตภยคกคาม (บทท 5) รวมทงให
บรการตามภารกจหลกอน ๆ (บทท 6)
ตรวจสอบ(Check)วเคราะหการทำางานของCSIRT• ใหความสำาคญกบผงขนตอนการทำางาน (workflow)
กระบวนการและภารกจทสำาคญ - การดำาเนนการไมตอเนอง ไมสมำาเสมอหรอไม - การดำาเนนการตาง ๆ สามารถทจะพฒนาและปรบปรงไดด
ยงขนไดอยางไร
21
• ใชวธการประเมนผลทเหมาะสม• ใหบคลากรเขามามสวนรวม - การมสวนรวมนำาไปสความมงมนและพนธกจรวมกน - แลกเปลยนในสงทดำาเนนการไดดแลวและสงทยง
ปรบปรงไดอก - ทำางานรวมกบสวนตรวจสอบคณภาพในองคกร (หากม) - อาจพจารณาจางทปรกษาจากภายนอกเขามาชวย• สมภาษณผรบบรการ เกยวกบ - สงท CSIRT ดำาเนนการไดดอยแลว - ชองทางในการปรบปรงและพฒนา• บรหารจดการคณภาพทวไป - CSIRT ทำางานตามกระบวนการและมาตรฐานทวางไวหรอไม - ไดมการบนทกการปฏบตงานเปนลายลกษณอกษรหรอไม - ทกคนทราบวาเอกสารทเกยวของอยทใดหรอไม - มผลการประชมทกอยางทเกยวของเกบไวเพอการอางองใน
ภายหลงหรอไม - ทกคนทำางานรวมกนอยางไร ทกคนแบงปนขอมลเกยวกบ
เหตภยคกคามทดำาเนนอยไดทราบอยางไร - วางแผนใหบคลากรในทมเขารวมการฝกอบรม การประชม
และการสมมนาตาง ๆ
22
ปฏบต(Act)ตดสนใจเกยวกบภารกจ บรการเพมเตมและการพฒนาปรบปรง• นำาผลทไดจากขนการตรวจสอบ (check) ไปปรบปรง
การปฏบตงาน• เมอ CSIRT มขดความสามารถเพมขน กอาจใหบรการอน ๆ
เพมเตม ดงรายละเอยดทปรากฏ ในบทท 6• เรมตนจากขนการวางแผนใหมและดำาเนนการตามขนตอน
และวงจรจากนนจงดำาเนนการตามวงจรเพอใหมการพฒนา และปรบปรงอยางตอเนองสมำาเสมอ
หลงจากจดตง CSIRT แลว การดำาเนนการตามวงจรมกใชเวลาประมาณหนงป ซงจะพอดกบปงบประมาณขององคกร ทงน เพอใหสามารถบรรจความจำาเปนหรอความตองการตาง ๆ ของ CSIRT ในการหารอเพอกำาหนดหรอยกรางขอเสนองบประมาณไดตามกรอบเวลา
ปจจยการพจารณาการใหบรการของ CSIRT ประการหนงคอระดบขดความสามารถของ CSIRT ซงมตงแตระดบทจำากดเพยงการรบมอเหตภยคกคามจนถงการใหบรการเชงรกเพอปองกนและการบรหารจดการคณภาพ ในคมอฉบบน CSIRT ขนตำาสดทจะกลาวถงคอ CSIRT ทมขดความสามารถระดบ 2 (พนฐาน)
23
ระดบขดความสามารถ(MaturityLevel) คำาอธบาย
1. ระดบเบองตน
CSIRT ตงขนเพอเปนผตดตอ (Point of Contact: POC) สำาหรบประสานแจงเหตและแกไขเหตภยคกคาม มกฎ ระเบยบ และขอบงคบสำาหรบการแจงเตอนและรายงานไปยงองคกร ทเกยวของตาง ๆ
2. ระดบพนฐาน
ระดบท 1 + มกระบวนการรบมอเหตภยคกคามรปแบบใหม และใชระบบสำาหรบรบแจงเหตและตดตามการดำาเนนการ (ticketing system) รวมถงใหคำาแนะนำาดานความมนคงปลอดภยแกองคกร
3. ระดบพรอมรบมอ ระดบท 2 + มเครองมอวเคราะหเหตภยคกคามและมกระบวนการจดประเภทและจดการขอมล
4. ระดบเชงรก
ระดบท 3 + เผยแพรขอมลขาวสารเกยวกบความมนคงปลอดภย ใชเครองมอตรวจสอบและเฝาระวงเหตภยคกคามอยางสมำาเสมอ รวมถงวางแผนการฝกอบรมแกบคลากร
5. ระดบครบวงจร
ระดบท 4 + เฝาระวงและตรวจจบเหตภยคกคามแบบเรยลไทม รวมถงเมอพบเหตภยคกคามประเภทใหม จะมการรางคมอปองกนเหตภยคกคามและแบงปนแกทงภายในและภายนอกองคกร
24
25
2.การรางกรอบงานCSIRTกรอบงานของ CSIRT กำาหนดรายละเอยดเกยวกบภารกจของ CSIRT ไมวาจะเปนจำานวน และประเภทภารกจของ CSIRT ผไดรบประโยชนจากการทำางานของ CSIRT และทรพยากรทตองใชในการดำาเนนภารกจ ซงสามารถนำามาปรบใชกบ CSIRT แตละแหงได เพราะแมวาจะมความแตกตางกน แต CSIRT ทกแหงกมองคประกอบพนฐานทคลายคลงกน ตวอยางของกรอบงานทจะชวยใหเหนภาพชดขนนนปรากฏอยใน ภาคผนวก ก: แมแบบกรอบงาน CSIRT (CSIRT framework template)
ขอมลเกยวกบการจดตง CSIRT ในเอกสารฉบบนอางองมาจากแนวปฏบตทไดรบการยอมรบในระดบนานาชาต หากปฏบตตามกรอบงานดงกลาว จะชวยใหเขาเปนสมาชกของเครอขายความรวมมอตาง ๆ ไดงายขน เพราะขอกำาหนดของการเขาเปนสมาชกเครอขายความรวมมอตาง ๆ ลวนสอดคลองกบแนวปฏบตทไดรบ การยอมรบ
องคกรสามารถนำา CSIRT framework ไปใชประชาสมพนธการจดตง CSIRT ใหผมสวนเกยวของ ผรบบรการ และสาธารณชนรบทราบ (โปรดอานขอ 4.5 ประกอบ) เพอใหเหนภาพ เอกสารฉบบนจะยกตวอยางไทยเซรตประกอบในสวนประกอบของ CSIRT framework ทจะอธบายถดไป
26
2.1พนธกจเมอจดตง CSIRT ควรบนทกพนธกจ (mission statement) ของ CSIRT ไวเปนลายลกษณอกษร โดยพนธกจจะตองกำาหนดวตถประสงคและหนาทของ CSIRT ใหชดเจนและควรระบในภาพรวมเกยวกบเปาหมายระยะยาวและเปาหมายหลกของ CSIRT ดวย
พนธกจควรกระชบ (2-3 ประโยค) แตกไมควรสนเกนไปจนทำาใหเกดความคลมเครอเมอคำานงวา พนธกจนจะไมเปลยนแปลงไปอกหลายป
ไทยเซรตเปน CSIRT ระดบประเทศของไทยทจดตงขนเพอสงเสรมใหธรกรรมทางอเลกทรอนกส มความมนคงปลอดภย โดยเปนหนวยงานกลางในการรบแจง ประสานเพอรบมอและแกไขเหต ภยคกคามในขอบเขตครอบคลมระบบเครอขายอนเทอรเนตภายในประเทศไทย และระบบคอมพวเตอรภายใตโดเมนเนมประเทศไทย (.th)
2.2ผรบบรการการทำาความเขาใจกบขอบเขต (scope) ผรบบรการ จะชวยให CSIRT สามารถกำาหนดความตองการพนฐาน เชน สนทรพยทตองไดรบการปกปองและรปแบบการใหบรการ
CSIRT ของแตละองคกรจะตองกำาหนดขอบเขตของผรบบรการใหชดเจน ในกรณทขอบเขตผรบบรการคาบเกยวกบ CSIRT ขององคกรอน จะตองกำาหนดใหชดเจนและแจงใหทราบโดยทวกนวา เมอเกดเหตภยคกคาม ทมใดทจะตองดำาเนนการและผรบบรการตองตดตอใคร
27
ทงน ENISA9 ไดจำาแนกประเภทของ CSIRT ตามขอบเขต ผรบบรการไว ดงน
ภาคสวน เปาหมาย ผรบบรการ
CSIRT ภาคการศกษา
สถาบนวชาการและการศกษา เชน มหาวทยาลยหรอหนวยงานวจย
บคลากรของมหาวทยาลยหรอโรงเรยน นกเรยน นกศกษา
CSIRT ภาคการพาณชย
องคกรดานการพาณชย ซงอาจเปนบรษทตาง ๆ ผใหบรการอนเทอรเนต (ISP) หรอผใหบรการอน ๆ
ลกคาทชำาระเงน เพอรบบรการ
CSIRT ภาคโครงสรางพนฐานสำาคญของประเทศ/ โครงสรางพนฐานทางสารสนเทศทสำาคญของประเทศ
การปกปองขอมลสำาคญและระบบเทคโนโลยสารสนเทศของโครงสรางพนฐานสำาคญตาง ๆ ในประเทศ
รฐบาล ภาคสวนสำาคญ และพลเมอง
CSIRT องคกรภาครฐ
รฐบาล องคกรภาครฐ
CSIRT ภายในองคกร องคกรหรอหนวยงานนน ๆ
บคลากรภายในและ สวนงานดานเทคโนโลยสารสนเทศ ขององคกร
9 ศกษาเพมเตมไดท "A Step-by-step approach on how to set up a CSIRT” ปรากฏในหนาเวบไซต ENISA หนา 8
28
ภาคสวน เปาหมาย ผรบบรการ
CSIRT ทหาร หนวยงานทหารท รบผดชอบโครงสรางดานสารสนเทศ
บคลากรของสถาบนทหารและหนวยงานใกลชด อาท กระทรวงกลาโหม
CSIRT ระดบประเทศ เนนการบรการระดบประเทศ โดยถอวาเปน ผประสานงานเพอรบมอและแกไขเหตภยคกคาม
ไมมผรบบรการโดยตรง อยางไรกด CERT ระดบประเทศอาจมบทบาท ในฐานะองคกรรฐทดแล และใหบรการภาครฐดวย
CSIRT ภาค SME จดตงขนเพอใหบรการแกสาขาธรกจขององคกร
SME และเจาหนาท
CSIRT/ PSIRT10 ของ vendor
เนนไปทผลตภณฑเฉพาะของ vendor สวนมากมกจะเปนการแกไข ชองโหว หรอใหคำาแนะนำาเพอลดผลกระทบกรณพบการโจมตผลตภณฑ
เจาของผลตภณฑ
ไทยเซรตเปน CERT ระดบประเทศของไทยและยงปฏบตหนาทเปน CSIRT ทใหบรการองคกรภาครฐอกดวย ดงนน ผรบบรการจงประกอบดวยประชาชน เครอขายและองคกรตาง ๆ ภายในประเทศไทย10
10
10 ยอมาจาก Product Security Incident Response Team
29
2.3อำานาจหนาทอำานาจหนาท (authority) ของ CSIRT เปนสงทกำาหนดวา CSIRT ไดรบอนญาตใหทำาอะไรไดบาง ซงมตงแตการมอำานาจเพยงการใหคำาแนะนำา จนถงหยดบรการทพบวามชองโหวหรอถกเจาะระบบแลว โดยทวไป CSIRT ควรมหนาทรบผดชอบในดานเทคนคและไมควรมอำานาจในการปราบปรามหรอลงโทษ เนองจากผทเกยวของกบเหตภยคกคามอาจเกรงกลวและไมยอมแจงเหต
ไทยเซรตทำาหนาทประสานเกยวกบเหตภยคกคามกบผทเกยวของ และไมมอำานาจหนาทอน
2.4ความรบผดชอบโดยปกตความรบผดชอบของ CSIRT ครอบคลมการใหบรการตาง ๆ ซงรายการบรการของ CSIRT จะระบในบทท 6 ทงน CSIRT อาจมหนาทเพมเตม เชน ทำางานรวมกบองคกรกำากบดแลหรอหนวยงานบงคบใชกฎหมาย
เมอมหนาทเพมเตม CSIRT จะตองระมดระวงอยางยงไมใหเกดผลประโยชนทบซอน เชน กรณท CSIRT ไดรบมอบหมายหนาทในการปฏบตการควบคกบการกำากบดแลภารกจ นอกจากน หากเปน CSIRT ระดบประเทศหรอ CSIRT ภาครฐ กควรมการกำาหนดบทบาทความรบผดชอบของหนวยงานดงกลาวในกฎหมายใหชดเจนดวย
ไทยเซรตรบมอกบเหตภยคกคามไซเบอรตาง ๆ นอกจากนน ยงใหบรการปรกษา ใหคำาแนะนำาเชงเทคนค สรางความตระหนกรและจดการฝกอบรม
30
2.5โครงสรางบรหารโครงสรางบรหารของ CSIRT ภายในองคกรมกจะขนอยกบองคกรหลกทกำากบดแล เชน CSIRT ระดบชาตมกจะอยภายใตองคกรภาครฐ โดย CSIRT อาจจดตงตามโครงสรางรปแบบตาง ๆ ดงน
2.5.1รปแบบธรกจอสระ(independentbusinessmodel)
CSIRT เปนองคกรอสระในตวเอง มสวนบรหารจดการ ลกจาง และเจาหนาทสนบสนนของตนเอง โดยรปแบบนอาจใชสำาหรบ CSIRT ในภาคการพาณชย
2.5.2รปแบบฝงตว(embeddedmodel)
CSIRT ภายในองคกรมกไดรบการกำาหนดใหอยในสวนงานดานเทคโนโลยสารสนเทศขององคกรนน ซงกนบวาสมเหตสมผลเนองจาก CSIRT มภารกจเกยวของโดยตรงกบระบบเทคโนโลยสารสนเทศ อยางไรกด ในกรณทเปนองคกรขนาดใหญ อาจพจารณาแยกสวน CSIRT ออกมาเพอใหสามารถดแลความมนคงปลอดภยของระบบและขอมลขององคกรอยางทวถง
หาก CSIRT ไดรบการกำาหนดใหอยในโครงสรางองคกรท "ตำาเกนไป" CSIRT กอาจเปนหนวยงานทโดดเดยว กลายเปน "ของเลน IT” ทไมมความสำาคญและไมไดรบการสนบสนนจากหนวยงานอนในองคกร ในขณะเดยวกน หาก CSIRT อยในโครงสรางองคกรท "สง" พนกงานและเจาหนาทขององคกรนนอาจเหน CSIRT เปนหอคอยงาชางและไมมปฏสมพนธกบ CSIRT ในระยะหลง CSIRT เรมไดรบการยอมรบและไดรบการปรบใหขนไปอยในโครงสรางองคกรทสงขนเพอใหสามารถใหบรการองคกรไดสะดวก รวดเรว และมประสทธภาพ
31
การออกแบบตำาแหนงทตงของ CSIRT อาจทำาไดหลายรปแบบขนอยกบโครงสรางขององคกรนน โดยสามารถจำาแนกตามลกษณะดงน
• รปแบบรวมศนย: บคลากรของ CSIRT ทงหมดอยในสำานกงานเดยวกน
• รปแบบกระจาย: บคลากรของ CSIRT กระจายตามสำานกงานตาง ๆ ในกรณทมองคกรหลายสาขา โดยรปแบบนอาจจำาเปนตองทำางานรวมกนและมการประสานงานกนเปนประจำา
• รปแบบกระจายตามเขตเวลา: เปนรปแบบทพฒนามาจากรปแบบกระจาย บางครงกเรยกวาเปน ”รปแบบตามพระอาทตย” (follow the sun) กลาวคอ เมอพระอาทตยตกในประเทศหนงและ CSIRT ในประเทศนนเลกงาน CSIRT ในอกประเทศหนงกจะรบชวงทำางานตอ ดงนน CSIRT แตละแหงจงไมจำาเปนตองทำางานเปนกะ
2.5.3รปแบบแคมปส(CSIRTหลก/รอง)
สถาบนวชาการ เชน มหาวทยาลย นยมใชรปแบบน แตกอาจนำามาปรบใชกบ CSIRT ในหนวยงานทหารและ SME ได
รปแบบมลกษณะตามรปภาพท 2 องคกรทอยในภาคสวนเดยวกนจดตง CSIRT กลางเพอใหบรการองคกรสมาชก และเปนหนวยงานกลางประสานกบองคกรภายนอก อาจอยในรปแบบขององคกรอสระหรอรปแบบฝงตว สวนองคกรสมาชกอาจมหรอไมม CSIRT เปนของตวเอง
32
รปภาพท2:โครงสรางรปแบบแคมปส
ไทยเซรตเปนสวนหนงขององคกรรฐ ปฏบตงานตามภารกจของสำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) ดงนน ไทยเซรตจงม รปแบบฝงตวและรวมศนย
2.6ความพรอมในการใหบรการ
ความพรอมในการใหบรการ (availability) ของ CSIRT สวนใหญจะขนอยกบชวโมงการทำางานขององคกรหลกท CSIRT ตงอยดวย โดยหาก CSIRT ไมทำางานตลอดยสบสชวโมงทกวนกจะตองมแนวปฏบตในการจดการเหตภยคกคามทไดรบแจงนอกเวลาทำางาน ซงอาจเปนแนวทางงาย ๆ อาท การกำาหนดใหบคลากร CSIRT เปดอานขอความในอเมลทสงเขามาในแตละวนใหหมดภายในวนทำาการถดไป นอกจากนน อาจกำาหนดใหมบคลากรเขาเวรเฝาระวงเหตภยคกคาม ซงมอำานาจตดสนใจวาในกรณเกดเหตภยคกคาม จะรอถงวน
33
ทำาการถดไปไดหรอไม หรอจำาเปนตองดำาเนนการทนท
การกำาหนดชวงเวลาใหบรการของ CSIRT ควรตองพจารณา สภาพแวดลอมขององคกรดวย เชน หากสวนงานดานเทคโนโลยสารสนเทศขององคกรเปดทำาการในเวลาทำาการเทานน การท CSIRT จะใหบรการตลอด 24 ชวโมงทกวนกอาจไมเกดประโยชนเพราะปญหาตาง ๆ ทเกดขนไมไดรบ การแกไขนอกเวลางาน
ทงน การใหบคลากรทำางานนอกเวลางานอาจทำาใหมตนทนเพมขนในรปแบบคาลวงเวลา
ในอดต ไทยเซรตเปดทำาการระหวาง 08:30–17:30 วนจนทรถงศกร จนกระทงเมอตนป 2558 ไทยเซรตเรมเปดใหบรการตลอด 24 ชวโมงทกวน
2.7บรการหลกCSIRT สามารถใหบรการไดหลากหลาย แตในชวงเรมตน อาจจำากดการใหบรการอยเพยง 1 ถง 2 รายการ และเพมตามความจำาเปนในอนาคต โดยจะกลาวถงอยางละเอยดในบทท 6 อยางไรกตาม หวใจหลกของบรการ CSIRT คอการรบมอและแกไขปญหาเหตภยคกคาม (จะไดกลาวถงตอไปในบทท 5) ในขณะทบรการทสำาคญรองลงมาคอบรการแจงเตอน และเผยแพรขอมลขาวสาร
ไทยเซรตใหบรการเกอบทกรายการทระบในบทท 6
34
2.8ขอกำาหนดดานบคลากร
2.8.1อตราเจาหนาท
CSIRT ไมไดกำาหนดตายตววา ควรมบคลากรทางเทคนคจำานวนเทาใด เพราะ CSIRT แตละแหงยอมมความแตกตางทงในเรองสภาพแวดลอมในการทำางาน ผรบบรการ และผทมสวนเกยวของตาง ๆ อยางไรกด อาจใชแนวทางตอไปนเปนแนวทางเบองตนในการกำาหนดจำานวนบคลากร
• เพอให CSIRT สามารถใหบรการภารกจหลก 2 รายการ ไดแก (1) การรบมอและแกไขเหต ภยคกคามและ (2) การแจงเตอนและเผยแพรขอมลขาวสาร CSIRT ควรมพนกงานเตมเวลา อยางนอย 4 คน
• สำาหรบ CSIRT ทใหบรการมากกวา 2 รายการและปฏบตงานเฉพาะในเวลาทำาการและดแลระบบของตนเอง ควรมเจาหนาทเตมเวลาอยางนอย 6-8 คน
• สำาหรบ CSIRT ครบวงจรทบคลากรทำางานตลอดยสบสชวโมงโดยไมมวนหยด (3 กะตอวน) ควรมพนกงานเตมเวลาอยางนอย 12 คน
แนวทางขางตนไดพจารณาครอบคลมถงสทธประโยชนเรองวนลาปวยและวนลาพกผอนของพนกงานแลว
ไทยเซรตมบคลากรทงสน 43 คน
2.8.2ความสามารถ
35
ENISA11 กำาหนดความสามารถหลก (key competencies) สำาหรบผเชยวชาญทางเทคนคใน CSIRT ไวหลายประการ โดยในการรบบคคลเขาทำางานอาจตองตรวจสอบคณวฒทางเทคนค จาก ใบประกาศนยบตรและวฒการศกษา นอกจากน บคลากรของ CSIRT ยงอาจจำาเปนตองมทกษะเฉพาะดานอน ๆ เพอใหบรการ ดานอน ๆ ของ CSIRT ดวย
ความสามารถสำาหรบเจาหนาทดานเทคนคทวไปประกอบดวย
ขดความสามารถสวนบคคล• มความยดหยน สรางสรรค และสามารถทำางานเปนทม• มทกษะการคดวเคราะห• สามารถสอสารเรองเทคนคทยากใหเปนเรองงาย• สามารถรกษาความลบและทำางานอยางเปนระบบ• มทกษะในการบรหารจดการ• สามารถทำางานในสภาวะกดดนได• มทกษะในการเขยนและการสอสาร• เปดใจแจะพรอมเรยนรสงใหม ๆขดความสามารถเชงเทคนค
• มความรพนฐานเกยวกบอนเทอรเนตและโปรโตคอลตาง ๆ• มความรเกยวกบระบบ Linux และ Unix
(ขนอยกบระบบปฏบตการและเครองมอทองคกรใช)
11 ศกษาเพมเตมไดท "A Step-by-step approach on how to set up a CSIRT” ปรากฏในหนาเวบไซต ENISA หนา 25
36
• มความรเกยวกบระบบ Windows (ขนอยกบระบบปฏบตการและเครองมอทองคกรใช)
• มความรเกยวกบอปกรณเครอขายตาง ๆ (router, switches, DNS, Proxy, Mail และอน ๆ)
• มความรเกยวกบ internet applications (SMTP, HTTP(S), FTP, telnet, SSH และอน ๆ)
• มความรเกยวกบภยคกคามทางไซเบอร (DDoS, Phishing, Defacement, Sniffing และอน ๆ)
• มความรเกยวกบการประเมนความเสยงและการนำาองคความรไปใชปฏบตงาน
ขดความสามารถอน ๆ
• สามารถทำางานในรปแบบตลอด 24 ชวโมง หรอพรอมปฏบตการเมอมเหตฉกเฉน หรอสถานการณ (ขนอยกบหนาทความรบผดชอบ)
• ระยะทางและเวลาทใชเดนทางมาทำางานในกรณฉกเฉนอยในเกณฑทยอมรบได
• ระดบการศกษา• ประสบการณการทำางานดานความมนคงปลอดภยทางไซเบอร2.8.3แนวปฏบตแนวทางการดำาเนนงานจรรยาบรรณ
แนวปฏบต แนวทางการดำาเนนงาน จรรยาบรรณเปนระเบยบหรอแนวทางสำาหรบเจาหนาทใน CSIRT ใหทำางานอยางเปนมออาชพโดยอาจครอบคลมถงการปฏบตตนเมออยนอกเวลางาน ซงมความสำาคญไมนอยไปกวากนเนองจากอาจสงผลกระทบตอความมนคงปลอดภยของขอมลและระบบทดแล ทงน CSIRT อาจนำาแนวปฏบตท
37
จดทำาขนโดย Trusted Introducer12 มาปรบใชได
เจาหนาทของ CSIRT ตองมความนาเชอถอ องคกรควรหลกเลยงการวาจางผทมประวตไมด เชน เคยเจาะระบบหรอขโมยขอมลองคกร เนองจากการสรางความไวเนอเชอใจให CSIRT อาจใชเวลาหลายป แตความนาเชอถอนนอาจหายไปในชวขามคนกได ดงนน แนวปฏบตจงใหความสำาคญกบการคดกรองบคลากรทจะเขามาทำางาน
ไทยเซรตใชแนวปฏบต CSIRT จาก Trusted Introducer
2.8.4การฝกอบรม
ม 2 รปแบบ: (1) การฝกอบรมภายในสำาหรบเจาหนาท CSIRT บรรจใหมเพอแนะนำา ใหทราบวา CSIRT ทำางานอยางไร และ (2) การฝกอบรมภายนอกสำาหรบเจาหนาทประจำาเพอพฒนาทกษะอยางตอเนอง และเรยนรพฒนาการทางเทคโนโลย รวมถงภยคกคามใหม ๆ
องคกรตอไปนมหลกสตรการฝกอบรมทมคณภาพสำาหรบเจาหนาทของ CSIRT
• TRANSITS13
• CERT/CC14
12 Trusted Introducer CSIRT Code of Practice: <https://www.trusted-introducer.org/CCoPv21.pdf>
13 TRANSITS: <https://www.terena.org/activities/transits/>14 CERT/CC: <http://cert.org/training/>
38
• SANS15
• FIRST16
ทงน CSIRT ควรพจารณาจดสรรงบประมาณไวจำานวนหนงสำาหรบการเขารวมการประชมและการสมมนาตาง ๆ ซงถอเปนสวนหนงของการฝกอบรมตอเนองเชนกน (ศกษาเพมเตมไดทขอ 4.6)
ไทยเซรตใชประโยชนจากการอบรมขององคกรทงหมดทกลาวมาขางตน
2.9โครงสรางพนฐานและเครองมอสถานท สงอำานวยความสะดวก เครอขายและโครงสรางพนฐานดานโทรคมนาคมของ CSIRT ควรออกแบบอยางรอบคอบเพอปกปองขอมลสำาคญทจดเกบ และเพอคมครองความปลอดภย ของเจาหนาท ดงนน CSIRT ควรสรางพนทจดเกบขอมลและพนทใชสอยของเจาหนาทใหมระบบปองกนทเปนไปตามขอกำาหนดเดยวกนกบ ศนยขอมล (data center)
ขอควรพจารณาดานความมนคงปลอดภยทางกายภาพ
• มพนทปฏบตงานทปลอดภยหรอมศนยปฏบตการดานความมนคงปลอดภย (SOC) เปนทตงเซรฟเวอรของ CSIRT และสำาหรบ จดเกบขอมล
• มหองปฏบตงานทปลอดภยและเกบเสยงสำาหรบการสบสวนและ
15 SANS Institute: <https://www.sans.org/>16 FIRST: <https://www.first.org/>
39
หารอเกยวกบการดำาเนนงานของ CSIRT• มหองทสามารถเกบรกษาขอมลและเอกสารในรปแบบทไมใช
อเลกทรอนกส• มเครองทำาลายเอกสารและมอปกรณทสามารถทำาลายสอเกบ
ขอมลทไมใชแลว• ควรแยกบคลากรของ CSIRT ออกจากสวนอน ๆ ขององคกร
และควบคมพนทเขาออก• มนโยบายเกยวกบผเขามาเยยมชม โดยอาจกำาหนดรวมเปน
นโยบายควบคมพนทเขาออก
ขอควรพจารณาเกยวกบอปกรณดานเทคโนโลยสารสนเทศ
• มกลไกการสอสารทมความมนคงปลอดภย เชน โทรศพท โทรสาร และอเมล
• มการตงคาเพอเพมความมนคงปลอดภย (hardening) แกระบบตาง ๆ รวมถงเครองคอมพวเตอรทใชในการทำางาน
• มเครอขาย CSIRT แยกจากเครอขายของสำานกงานอน ๆ ในองคกร
• มเครองมอชวยตดตงโปรแกรมและระบบตาง ๆ ในอปกรณไดอยางรวดเรว ในกรณทตองตดตงระบบและโปรแกรมใหม เนองจาก นำาอปกรณออกไปนอกพนทมนคงปลอดภยหรอนำาไปใชในการวเคราะหมลแวร เพอใหมนใจวาไมมมลแวรอยในเครอง หลงเสรจสนการวเคราะห
ขอควรพจารณาเกยวกบอปกรณเฉพาะทางของ CSIRT
• มระบบสำาหรบรบแจงเหตและตดตามการดำาเนนการ (ticketing system)
40
• มฐานขอมลการตดตอของบคลากร ผทมสวนเกยวของ ผรบบรการและผตดตออน ๆ
• มอปกรณอน ๆ ท CSIRT จำาเปนตองใชในการใหบรการ• มอปกรณตาม ภาคผนวก ค: อปกรณดานความมนคง
ปลอดภยทใชทวไปทงน บรการของ CSIRT บางประเภท เชน การตรวจพสจนพยานหลกฐานดจทลอาจตองมขอกำาหนดเพมเตมเกยวกบพนทปฏบตการและเทคโนโลยสารสนเทศทใชงาน
ไทยเซรตดำาเนนการตามองคประกอบทกขอขางตน
2.10ความสมพนธภายในและภายนอกองคกร
CSIRT ควรสรางความสมพนธทดเพอใหไดรบการสนบสนนและ การยอมรบจากองคกรทกำากบดแล เมอมเหตภยคกคามเกดขน ทง CSIRT และองคกรเหลานจะตองรวมมอกนเพอแกไขปญหา หารอถงการดำาเนนการตาง ๆ ความสมพนธทดจะชวยใหการทำางานเปนไปอยางรวดเรวและราบรน ทงน CSIRT ควรมความสมพนธทด ไมเฉพาะตอสวนงานสารสนเทศขององคกร แตยงตองไมลมสวนงานดานอน ๆ เชน ดานความมนคงปลอดภยทางกายภาพ ดานการสอสาร ดานกฎหมาย และดานบคลากร
ความสมพนธภายนอกทเปนประโยชนตอ CSIRT ไดแก ความสมพนธกบ CSIRT ระดบประเทศ ผบงคบใชกฎหมาย และหนวยงาน
41
กำากบดแล หากมเครอขาย CSIRT ขององคกรทอยในภาคสวนเดยวกน (sector-based CSIRT) หรอเครอขาย ISAC ในภาคสวนท CSIRT ปฏบตงานอย17 กควรพจารณาเขารวมเปนสมาชกเครอขายเหลานดวย
ทงน โปรดศกษาเพมเตมในขอ 4.6 สำาหรบตวอยางความรวมมอระหวางประเทศทอาจเปนประโยชนตอ CSIRT ขององคกร
ไทยเซรตสรางความสมพนธทงภายในและภายนอกกบหนวยงานตาง ๆ ตามทระบขางตน
2.11รปแบบการรบเงนทนสนบสนนคาใชจาย
องคกรตองมแนวทางชดเจนในการสนบสนนดานงบประมาณแก CSIRT เพอสามารถใหบรการในระยะยาวไดอยางราบรน ควรมแผนจดสรรงบประมาณสำาหรบจดตงทม และการปฏบตงาน ซงจำาแนกเปน คาใชจาย ดานบคลากร สถานท สงอำานวยความสะดวก ซอฟตแวร ฮารดแวร ตลอดจนตนทนในการใหบรการตาง ๆ
รปแบบการสนบสนนงบประมาณ:
• องคกรหรอหนวยงานท CSIRT อยภายใต เปนผรบผดชอบ คาใชจายทงหมดและ CSIRT ไมมรายไดใด ๆ
17 ศกษาเพมเตมจาก "Establishing a Sector-based ISAC” โดย ThaiCERT
42
• CSIRT อาจไดรบการสนบสนนจากองคกรอนเตมจำานวนหรอบางสวนแบบใหเปลา โดยหากเปนเชนนน ตองพจารณาวา
- ใครเปนผสนบสนน - จดประสงคของการสนบสนนคออะไร - การสนบสนนมมลคาเทาใดและจะครอบคลม
การปฏบตการมากนอยเพยงใด - แหลงทนมความมนคงเพยงใด - การสนบสนนจากแหลงทนมระยะเวลานานเทาใด
43
CSIRT ควรระบรายละเอยดเกยวกบการสนบสนนงบประมาณ แบบใหเปลา โดยมขอมลตาง ๆ อาท ผใหและแหลงทน จดประสงค จำานวนเงน ระยะเวลาของการสนบสนน
• CSIRT อาจคดคาบรการจากการใหบรการทงภายในและภายนอกองคกร หรอไดรบการสนบสนนผานสมาคมขององคกรตาง ๆ เชน มหาวทยาลยในเครอขาย การวจย หรอชองทางการสนบสนนทางการเงนทผสมผสานระหวางรปแบบใดรปแบบหนงดงทไดกลาวมาแลว
ไทยเซรตไดรบการสนบสนนทางการเงนทงหมดจากรฐบาลและยงมรายไดบางสวนจากการใหบรการเฉพาะดาน
44
3.การขออนมตจดตงCSIRTจากผบรหารระดบสงการจดตง CSIRT ควรไดรบการสนบสนนจากผบรหารระดบสงสดในหนวยงาน (สำาหรบวสาหกจเชงพาณชย ภาคเอกชน ผบรหาร ดงกลาวอาจเปนคณะกรรมการบรษท และสำาหรบ CSIRT ภาครฐ ผบรหารดงกลาวหมายถงคณะรฐมนตร) ทงน การสนบสนนดงกลาวมความจำาเปนเพอให
• นโยบายทเกยวของตาง ๆ มผลบงคบใชและปฏบตทวทงองคกร• ไดรบการสนบสนนในการดำาเนนการสำาคญหรอมคาใชจายสง• เกดความตอเนองในการปฏบตการตาง ๆ แมในชวงทมการ
เปลยนโครงสรางองคกรหรอการตดงบประมาณผบรหารขององคกรจะมองสวนงานดานเทคโนโลยสารสนเทศแตกตางออกไปจากบคลากรททำางานดานเทคนค การโนมนาวให ผบรหารระดบสงเชอวา CSIRT จะชวยใหองคกรบรรลเปาหมายขององคกร จำาเปนตองปรบการใชภาษา โดยหลกเลยงการใชศพท และการอธบายทางเทคนค
ตวอยางของเหตผลตาง ๆ ทควรนำามาใชเพอโนมนาวผบรหาร ระดบสง ไดแก
• ขอกำาหนดดานกฎหมายหรอสญญาทกำาหนดใหระบบขององคกรตองมความมนคงปลอดภยในระดบหนง
45
• CSIRT ทไดรบการฝกอบรมและมอปกรณพรอมจะชวยลดความเสยหายทอาจเกดขนจากเหตภยคกคาม (ทงในแงของความเสยหายจากการหยดทำางานและในแงของความเสยหายตอภาพลกษณ ชอเสยง) เนองจากองคกรสามารถจำากดขอบเขตความเสยหายและฟนตวจากการโจมตไดอยางรวดเรว ดงนน CSIRT จะชวยประหยดงบประมาณขององคกรได
• บรการเชงปองกนของ CSIRT อาจชวยลดชองโหวและความเสยงในการเกดเหตภยคกคามกอนทจะระบบขององคกรจะถกโจมต
• การรวมงานดานความมนคงปลอดภยไซเบอรใน CSIRT จะชวยลดความซำาซอนของงานดานนในสวนงานตาง ๆ ขององคกร รวมทงยงชวยใหองคกรมมาตรฐานดานความมนคงปลอดภยเพมขน
• การม CSIRT อาจเปนจดเดนทเปนเอกลกษณขององคกร โดยแสดงใหเหนถงความมงมนขององคกรในการรกษาความมนคงปลอดภย (ชวยใหสามารถประชาสมพนธไดวา “ขอมลของคณปลอดภยเมออยกบเรา")
• ใชคำาพดโนมนาวงาย ๆ แตสงผลกระทบทางจตวทยา เชน “คแขงของเรากทำาแบบนเหมอนกน"
3.1รปแบบการรายงานผลการปฏบตงานของCSIRT
การรายงานผลการปฏบตงานขององคกร โดยทวไปมกอยในรปแบบการจดประชมอยางสมำาเสมอ หรอการจดทำารายงาน รายไตรมาสหรอรายป อยางไรกด CSIRT มกถกมองวาใชตนทนใน
46
การดำาเนนงานสง ซงแทจรงแลว CSIRT อาจชวยองคกรประหยดงบประมาณได ดงนน CSIRT จงไมเพยงแคใชรปแบบการรายงานผลการปฏบตงานตามปกต แตควรเพมตวเลขมลคาความเสยหายทลดลงจากการดำาเนนการรบมอ หรอปองกนไมใหเกดความเสยหายลงในรายงานดวยเพอแสดงใหเหนวา CSIRT มสวนชวยในเรองงบประมาณขององคกรเพยงใด
ไทยเซรตยดหลกการความโปรงใสของหนวยงานภาครฐ จงจดทำารายงานสถตเหตภยคกคามทไดรบแจงประจำาเดอนและเผยแพรบนเวบไซต อกทงยงไดนำาสถตมาวเคราะห เผยแพรเปนรายงานประจำาปทงในรปแบบอเลกทรอนกสและรปแบบเอกสาร
47
4.การจดตงCSIRTและสภาวะแวดลอมในการทำางาน
4.1รวบรวมและจดทำารายการแหลงขอมลดานตางๆ
รวบรวมแหลงขอมลดานตาง ๆ เชน ขอมลทเกยวกบภยคกคาม ขอมลตดตอองคกร ซงเปนประโยชนตอภารกจดงน
• การเฝาระวงเหตภยคกคามดวยระบบทรวบรวมขอมลอตโนมต• การแจงเตอนเหตภยคกคามจากแหลงอน ๆ (อาท อเมล
โทรศพท แบบฟอรมบนเวบไซต)• การรบขอมลเกยวกบภยคกคามและชองโหวตาง ๆ• การสอสารทางตรงกบผมสวนเกยวของ ผรบบรกา/ องคกร ใน
ระหวางเกดเหตภยคกคาม (การจดทำาบญชผตดตอ)• การสอสารทวไปกบผมสวนเกยวของ ผรบบรการ องคกร (การ
สรางความตระหนกรและการประชาสมพนธ)
48
4.2จดทำานโยบายรบมอและแกไขเหตภยคกคาม
นโยบายรบมอและแกไขเหตภยคกคามควรระบผรบผดชอบในการรบมอเหตภยคกคามแตละรปแบบ และระบองคกรภายนอกทสามารถชวยเหลอ
รายละเอยดทควรกำาหนดในนโยบาย มดงน
• ประเภทเหตภยคกคามทอยภายใตขอบเขตบรการรบมอ ของ CSIRT
• ผททำาหนาทวเคราะห รบมอเหตภยคกคาม• สงตองดำาเนนการดานกฎหมาย• การรายงานและการปฏบตทอยนอกเหนอขอบเขตของ CSIRTนโยบายควรมรายละเอยดพนฐานในการรบมอและแกไขปญหา เหตภยคกคามโดยครอบคลมถงประเดนตอไปน
• กรอบเวลาในการรบมอและแกไขปญหา• แนวทางสำาหรบการยกระดบการรบมอ• การจดหมวดหมและการจดลำาดบความสำาคญของเหตภย
คกคาม• การตดตามและเกบขอมลเหตภยคกคาม• การจบการรบมอเหตภยคกคาม• การแสวงหาความชวยเหลอเพมเตมเพอประโยชนในการวเคราะห
หรอเพอฟนฟระบบภายหลงเกดเหตภยคกคาม
49
ภาพรวมขนตอนการรบมอและแกไขเหตภยคกคามทสมบรณจะกลาวถงตอไปในบทท 5
4.3จดทำานโยบายการจดการและแลกเปลยนขอมล
กำาหนดชนความลบของขอมลทงทอยในรปแบบอเลกทรอนกสและเอกสาร โดยอาจแบงเปน ขอมลทมความละเอยดออน (sensitive information) ขอมลลบ หรอขอมลทเปดเผยตอสาธารณชน รวมถงกำาหนดวธการจดการขอมลเหลานนทงในแงของการจดเกบ การรบสง การเขาถง ฯลฯ ทงน รปแบบชนความลบของขอมลทนยมใชคอ traffic light protocol18
นโยบายการจดการและแลกเปลยนขอมลควรกำาหนด (1) ประเภทของขอมลทไมควรเผยแพรออกไปนอก CSIRT (2) ประเภทของขอมลทสามารถเกบบนอปกรณสอสารเคลอนทหรออปกรณทไมปลอดภย (3) ประเภทของขอมลทตองรบสงและจดเกบอยางมนคงปลอดภย รวมถงไมควรนำามาแบงปนกบบคคลทไมไดรบอนญาต และ (4) การจดการและแบงปนขอมลทไดรบจาก CSIRT อน ภายใน CSIRT และภายในองคกร
4.3.1กฎหมายและกฎระเบยบตางๆ
เนองจากอนเทอรเนตเปนสภาพแวดลอมทมพฒนาการไปอยาง รวดเรวในขณะทกฎหมายยงคงคอย ๆ ปรบตวตามหลงเทคโนโลย ในหลาย ๆ ประเดนจงยงไมมกฎหมายใดรองรบ และแมจะมกฎหมาย
18 traffic light protocol : <http://www.us-cert.gov/>
50
ครอบคลมในบางประเดนแลวกยงไมเคยนำาขอบทกฎหมายนนมาใชในกระบวนการยตธรรม นอกจากนน ยงอาจมกรณทเนอความในกฎหมายบางฉบบขดแยงกบกฎหมายอน ๆ อกดวย
CSIRT มหนาทปฏบตตามกฎหมายของประเทศและความตกลงระหวางประเทศ รวมถงมาตรฐานตาง ๆ ทรฐบาลแนะนำาหรอบงคบใช และมาตรฐานทกำาหนดในสญญากบลกคา บางประเทศมกฎหมายทตองแจงองคกรกำากบดแลในกรณทเกดเหตภยคกคาม ทสงผลกระผลกบขอมล ซงการแจงควรอยในกระบวนการรบมอเหตภยคกคาม (ศกษาเพมเตมไดทขอ 2.4)
มตดานกฎหมายไมเพยงจะมผลบงคบใชกบการจดการขอมลภายในประเทศเทานน แตยงรวมถงการแลกเปลยนขอมลระหวางประเทศดวย อกทงยงอาจจำากดสงท CSIRT สามารถดำาเนนการไดในระหวางการรบมอและแกไขเหตภยคกคาม (เชน อาจไมอนญาตให ดกรบขอมลเพอนำาไปวเคราะหการโจมตเนองจากเหตผลดานสทธสวนบคคล)
องคกรควรปรกษาผเชยวชาญทางกฎหมายและตรวจสอบวาการดำาเนนการของ CSIRT นนสอดคลองกบกฎหมายทงในระดบชาตและระดบนานาชาตหรอไม
กฎหมายและนโยบายทเกยวของอาจประกอบดวย:19
กฎหมายระดบประเทศ
• กฎหมายทเกยวของกบเทคโนโลยสารสนเทศ การโทรคมนาคมและสอมวลชน
19 ดเพมเตมไดท "A Step-by-step approach on how to set up a CSIRT” ปรากฏในหนาเวบไซต ENISA หนา 25
51
• กฎหมายเกยวกบการปกปองคมครองขอมลและสทธสวนบคคล• กฎหมายและกฎระเบยบเกยวกบการเกบรกษา/ ถอครองขอมล• กฎหมายเกยวกบการเงน การบญช และการบรหารองคกร• แนวปฏบตและหลกการเกยวกบบรรษทภบาลและการอภบาล
เทคโนโลยสารสนเทศ• สำาหรบประเทศไทย: พระราชบญญตวาดวยการกระทำาความผด
เกยวกบคอมพวเตอรและพระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส (มาตรา 35)20
กฎหมายและสญญาระหวางประเทศ
• ความตกลง Basel II โดยเฉพาะสวนทเกยวกบการจดการความเสยงในการปฏบตการ (Basel II Agreement)
• อนสญญาวาดวยอาชญากรรมทางไซเบอรโดยคณะมนตรแหงสหภาพยโรป (Council of Europe - Convention on Cybercrime)
• อนสญญาวาดวยสทธมนษยชนโดยคณะมนตรแหงสหภาพยโรป สวนมาตรา 8 เกยวกบสทธสวนบคคล (Council of Europe - Convention on Human Rights)
• มาตรฐานการบญชระหวางประเทศ (International Accounting Standards หรอ IAS มสวนทกลาวถงการควบคมดานเทคโนโลยสารสนเทศ)
20 ศกษาเพมเตมเกยวกบแนวทางการบงคบใช พ.ร.บ. วาดวยการทำาธรกรรมทางอเลกทรอนกส ไดท https://www.etda.or.th/publishing-detail/information-technology-law-7-edition.html
52
มาตรฐานตาง ๆ
• มาตรฐานสหราชอาณาจกร (British Standard) BS7799 สวนความมนคงปลอดภยทางสารสนเทศ
• มาตรฐานระหวางประเทศ ISO2700x เกยวกบระบบการบรหารจดการความมนคงปลอดภยทางสารสนเทศ (ISMS - Information Security Management Systems)
• มาตรฐานเยอรมน IT-Grundschutzbuch มาตรฐานฝรงเศส EBIOS และมาตรฐานระดบชาตของประเทศอน ๆ
4.3.2การสอสารอยางมนคงปลอดภยดวยPGP
PGP (Pretty Good Privacy) หรอ GPG (GNU Privacy Guard) เปนโปรแกรมท CSIRT นยมใชเพอรกษาความความมนคงปลอดภยในการรบสงขอมลประเภทตาง ๆ โดยเฉพาะอเมล ดวยการเขารหสลบ (encryption) ถอดรหสลบ (decryption) และลงลายมอชอ (sign) กระบวนการทง 3 อาศยชดรหสทเรยกวากญแจสาธารณะ (public key) และกญแจสวนตว (private key) ซงกญแจสวนตว ผใชงาน PGP ควรเกบเปนความลบ21
PGP ถอเปนเครองมอทสำาคญ CSIRT ทตองการเขาเปนสมาชก FIRST หรอ Trusted Introducer จำาเปนตองสามารถใชงานโปรแกรมดงกลาวในการสอสาร
ในการนำา PGP มาใชงานในทมควรพจารณาประเดนตาง ๆ ดงน
• ผทเกบรกษากญแจสวนตว (private key) อาจเปนผบรหาร หรอ เจาหนารบมอเหตภยคกคาม
21 ศกษาการใชงาน PGP เพมเตมไดท https://www.thaicert.or.th/papers/general/2011/pa2011ge002.html
53
• การดำาเนนการเกยวกบกญแจ ตงแตการสราง การจดเกบ และการเผยแพร
• ประเดนสำาคญในจดการกญแจ เชน - ใครจะเปนผสรางกญแจ - ควรสรางกญแจประเภทใด - กญแจควรมขนาดเทาใด - กญแจควรมอายการใชงานนานเทาใด - ควรม revocation certificate หรอไม เพอประกาศหยดการ
ใชงานกญแจในกรณทกญแจสวนตวถกขโมย - ควรเกบกญแจและ revocation certificate ไวทใด - ใครเปนผลงลายมอชอ (sign) กญแจ - นโยบายในการจดการรหสผานและระบบเกบรหสผาน - ใครเปนผบรหารจดการกญแจ รวมถงนโยบายและ
กระบวนการทเกยวของในการบรหารจดการกญแจ
4.4การสำารวจซอฟตแวรและฮารดแวรทใชงานในองคกร
CSIRT สำารวจและจดทำาขอมลสรปเกยวกบผลตภณฑซอฟตแวรและฮารดแวรพรอมเวอรชนทใชงานในองคกร เพอใหคำาแนะนำาเกยวกบผลตภณฑไดอยางเหมาะสม
54
นอกจากนน หาก CSIRT ใหบรการแจงเตอนและเผยแพรขอมลขาวสารดวย กอาจขอใหพนกงานในองคกรสมครรบขาวสาร แจงเตอนโดยระบรายการผลตภณฑใชงานอยเพอรบคำาแนะนำา ทเกยวกบผลตภณฑเหลานน
4.5การประชาสมพนธเมอจดตง CSIRT เรยบรอยแลว ควรแจงใหผมสวนเกยวของและผรบบรการทราบถงแนวทางการตดตอและบรการ และหาก CSIRT จะเปนผตดตอ (Point of Contact) หลกในการรบแจงและประสานงาน เพอรบมอเหตภยคกคาม CSIRT ควรแจงใหผรบบรการและผมสวนเกยวของทงหมดใหทราบวาตองรายงานเหตภยคกคามไปท CSIRT โดยตรง
รปแบบการประชาสมพนธโดยทวไปคอการจดทำาเอกสารขอมลและบรการตาง ๆ ของ CSIRT และเผยแพรบนอนทราเนต (สำาหรบ CSIRT ภายในองคกร) หรอบนอนเทอรเนต โดยตวอยางรปแบบเอกสารดงกลาวสามารถศกษาจาก RFC235022
ในการปฏบตงานไดอยางมประสทธภาพจำาเปนตองอาศยความไวเนอเชอใจและความเคารพจากผรบบรการ โดยความไวเนอเชอใจอาจเรมตนจากสงเลก ๆ และขยายผลตอไป เมอ CSIRT เรมไดรบความเชอมน และไววางใจ ผรบบรการเหลานนกจะเรมตระหนกและสนบสนน CSIRT มากขน
นอกจากน CSIRT อาจเผยแพรขาวสารเปนประจำาหรอตามโอกาส
22 RFC2350 <https://www.ietf.org/rfc/rfc2350.txt>
55
เกยวกบเหตภยคกคามทไดรบแจง บทเรยนทไดจากการรบมอ รวมถงหวขอนาสนใจตาง ๆ เพอสรางความตระหนกดานความมนคงปลอดภยไซเบอรใหกบผรบบรการในองคกร
4.6การสรางเครอขายแตละองคกรสวนใหญเผชญกบเหตภยคกคามลกษณะคลาย ๆ กนและสามารถ แลกเปลยน เรยนรจากเหตภยคกคามตาง ๆ ทเกดขน การแบงปนประสบการณและบทเรยนทไดรบจะเปนประโยชนสำาหรบทกฝายในการพฒนาแนวปฏบต ปรบปรงความมนคงปลอดภยของระบบ
นอยครงนกทเหตภยคกคามจะเกยวของกบองกรคเดยว สวนมากเหตภยคกคามมกจะเชอมโยงกบทอน ๆ โดยผอยเบองหลงการโจมตมกจะอยคนละท อยคนละประเทศ และยงไปกวานน การโจมตครงหนงอาจมทมาจากหลายแหงในเวลาเดยวกน เชน การโจมตแบบ DDoS ดงนน ในการรบมอและแกปญหาเหตภยคกคามลกษณะน CSIRT จะตองทำางานรวมกบทมอน ๆ โดยเฉพาะทมทดแลเครอขายทเปนแหลงทมาของการโจมต
ปจจบน มหลายเครอขายทรวมมอในดานตาง ๆ เชน การอบรม การรบมอเหตภยคกคาม ตวอยางทเหนไดชดคอ FIRST23 (Forum of Incident Response and Security Teams) ซงม CSIRT หลายรอยแหงทวโลกเปนสมาชก APCERT24 (Asia Pacific CERT) ซงเปนเครอขายความรวมมอสำาหรบ CSIRT ระดบประเทศในภมภาคเอเชย
23 FIRST: <http://www.first.org/>24 APCERT: <http://www.apcert.org>
56
แปซฟก Trusted Introducer25 สำาหรบ CSIRT ทงหมดในยโรป หรอ Africa CERT26 เครอขาย CSIRT ในทวปแอฟรกา ซงการเปนสมาชกในเครอขายเหลานลวนเปนประโยชนอยางมาก
เครอขายเหลาน รวมถง CSIRT ทมขนาดใหญยงจดการประชมและสมมนาทเปดใหผสนใจเขารวมเปนประจำาเพอฝกอบรมและยงเปนโอกาสอนดทบคลากรของ CSIRT จะสรางเครอขายและความสมพนธกบเจาหนาท CSIRT อน ๆ ดวย
4.7การซอมรบมอเหตภยคกคามเนองจากเหตภยคกคามขนาดใหญไมไดเกดขนเปนประจำา CSIRT จงอาจยงไมมประสบการณเพยงพอในการดำาเนนการตามขนตอนและกระบวนการทวางไว เมอเกดเหตภยคกคามขนจรงอาจเปนปญหาได
CSIRT ควรจดการซอมรบมอเหตภยคกคามในลกษณะ table-top exercise ซงเปนการจำาลองสถานการณเกดเหตภยคกคาม ผเขารวมการซอมจะไดรบบทบาทสมมตและตองแกไขเหตการณ การซอมรบมอจะชวยใหเกดความชำานาญ และเหนชองทางในการปรบปรงกระบวนการใหมประสทธภาพยงขน
ทงน ENISA ไดเผยแพรเอกสารและเครองมอทจำาเปนสำาหรบการซอมรบมอโดยไมเสยคาใชจายบนเวบไซต ผทสนใจสามารถดาวนโหลดไดท https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material
25 Trusted Introducer: <https://www.trusted-introducer.org/>26 AfricaCERT: <http://www.africacert.org/>
57
58
5.กระบวนการรบมอและแกไขเหตภยคกคามในบทท 5 จะอธบายกระบวนการพนฐานทจำาเปนในการรบมอและแกไขเหตภยคกคามโดยมแผนผงขนตอนตามรปภาพท 3 สวนเครองมอแนะนำาทอาจพจารณานำามาใช จะระบไวใน ภาคผนวก ค: เครองมอดานความมนคงปลอดภย
รปภาพท3: แผนผงขนตอนการรบมอและแกไขเหตภยคกคาม
การรบแจงเหตภยคกคาม
การบนทกขอมล
การตรวจสอบและประเมนเหตภยคกคาม
การแกไขเหตภยคกคาม
การเสนอแนวทางแกไขปญหา
การจบการแกไขเหตภยคกคาม
การตรวจสอบและแกไขประเภทภยคกคามครงสดทาย
การจดเกบขอมลในฐานขอมล
การจดการขอมลครงสดทาย
การวเคราะหหลงจบการดำเนนการแกไขเหตภยคกคาม
ขอเสนอแนะเพอการปรบปรง
ปฏบตตามแนวทางแกไขปญหา
การกำจดเหตภยคกคามและ
การฟนฟระบบ
การวเคราะหขอมล
การหาแนวทางแกไขปญหา
59
5.1การรบแจงเหตภยคกคาม5.1.1การแจงเตอน
CSIRT ไดรบแจงเหตภยคกคาม ซงมทมาจากหลายแหลงโดยอาจมาจากการพบเองหรอแหลงอน ๆ แจงมา เชน
• การแจงโดยระบบเฝาระวงเครอขาย• สมครเพอรบขาวสารทางอเมลกลมเครอขายดานความมนคง
ปลอดภยไซเบอร• การสมครเพอรบขอมลในรปแบบ automatic feed โดยสามารถ
ศกษาเพมเตมท ภาคผนวก ง: แหลงขอมล• วทย โทรทศน และหนงสอพมพ
CSIRT สามารถศกษาภาคผนวก ข: ตวอยางแบบฟอรมการรายงานเหตภยคกคาม ซงจะระบขอมลตาง ๆ ทจำาเปนในการรายงานเหตภยคกคาม และเพอใหการตดตอเปนไปอยางสะดวกและคลองตว CSIRT อาจสรางชองทางตดตอรบแจงเหตภยคกคาม ไดแก
• อเมล• โทรศพท• แบบฟอรมตดตอทางเวบไซต• สอสงคมออนไลน
อยางไรกด ชองทางการตดตอทเหลานเกอบทงหมดตองใชอนเทอรเนต โดยเฉพาะหากใช VoIP ในการตดตอทางโทรศพท ซงหากการเชอมตออนเทอรเนตมปญหากอาจสงผลใหไมสามารถตดตอ CSIRT ดงนนจงตองคำานงถงชองทางการตดตอสำารองไวดวย
60
5.1.2การบนทกขอมล
เหตภยคกคามทงหมดทไดรบแจงควรจะไดรบการบนทกใน ticketing system ซงเปนระบบสำาหรบรบแจงเหตและตดตามการดำาเนนการ โดยจะมการระบหมายเลข ticket สำาหรบแตละเหตภยคกคามทไดรบแจง เพอใชอางองเวลาตดตอสอสาร
ticket system จากผพฒนาบางรายสามารถรบแจงเหตภยคกคามทางอเมล โดยจะสรางหมายเลข ticket ใหกบอเมลทเขามาโดยอตโนมต
ขอมลเหตภยคกคามทไดรบแจงควรจดการใหอยในทเดยวกน เนองจากขอมลอาจมความสมพนธกบขอมลทไดรบแจงกอนหนา เชน การแพรกระจายของมลแวรในสวนงานขององคกรโดยกอนหนานไดรบแจงการแพรระบาดของมลแวรเดยวกนจากอกสวนงาน จะเหนไดวาเปนเหตการณทความสมพนธกน และอาจจดใหอยใน ticket หมายเลขเดยวกน
ขอดอกอยางของการมศนยกลางในการจดการขอมลคอ ในกรณทพบวาเหตภยคกคามทไดรบแจงมความคลายคลงกบทไดรบแจงกอนหนา กอาจนำาชองทางการตดตอหรอวธการจดการเดมมาใชงานได
ticket system ท CSIRT นยมใชและไมเสยคาใชจาย ไดแก RITR (Request Tracker for Incident Response)27 และ OTRS (Open Technology Real Services)28
27 RITR: <https://bestpractical.com/>28 OTRS: <https://www.otrs.com/>
61
ไทยเซรตใชระบบ ticket system ทชอ RTIR
5.2การตรวจสอบและประเมนเหตภยคกคาม
ขนตอนนถอวาเปนหนงในขนตอนทสำาคญทสดในกระบวนการรบมอและแกไขเหตภยคกคามเพราะเปนขนตอนทตองมการตดสนใจสำาคญ อนดบแรก CSIRT ตองตรวจสอบวาเหตภยคกคามทไดรบแจงเปนเหตภยคกคามจรงหรอไม แหลงทมาของรายงานเชอถอไดมากนอยเพยงใด จากนนควรพจารณา ดงน
• เหตภยคกคามทเกดขนอยใตขอบเขตการทำางานและความรบผดชอบของ CSIRT หรอไมมความเกยวของกบผรบบรการหรอไม
• เกดผลกระทบอะไรบาง• เกดความเสยหายรายแรงเพยงใด• มความเรงดวนมากนอยแคไหน ความเสยหายจะเพมขนตาม
เวลาทดำาเนนไปหรอไม จะลกลามไปยงผรบบรการ ผมสวนเกยวของอน ๆ หรอไม
หลงจากตรวจสอบ เปนการตอบสนองตอผแจง โดยมเนอหาดงน
• ตอบรบทราบการแจงเตอน• อธบายสงทจะดำาเนนการ• สงทผแจงควรกระทำาในระหวางรอ CSIRT รบมอและแกปญหา
เหตภยคกคามจนสำาเรจ
62
CSIRT อาจพจารณาจดทำา template ขอความทใชในการตอบสนองผแจงเพอชวยประหยดเวลาของผปฏบต
5.2.1การระบประเภทและความเรงดวนของเหตภยคกคามเปนการระบเบองตนวาเหตภยคกคามทไดรบแจงวาอยในประเภทใด สามารถกลบมาแกไขเมอมขอมลเพมเตม และเมอพจารณาประเภทของเหตภยคกคามรวมกบประเภทผแจง จะสามารถระบความเรงดวนในการดำาเนนการรวมถงทรพยากรทจำาเปนในการรบมอเหตภยคกคาม
ตวอยาง การกำาหนดความรนแรงและความเรงดวนของเหตภยคกคามทใชโดยหนวยงานภาครฐและองคกรขนาดใหญบางแหง ดงตารางท 1 เชน หากไดรบรายงานการแพรระบาดของ trojan โดยหนวยงานภาครฐถอวามความเรงดวนเปนอนดบ 2 ในขณะทหากผแจงเปนองคกรลกคาถอวามความเรงดวนเปนอนดบ 1
กลมส ความรนแรง ตวอยางแดง สงมาก DDoS, เวบไซต
Phishingสม สง Trojan การเขาถง
โดยไมไดรบอนญาตเหลอง ปกต Spam ประเดนการละเมด
ลขสทธ
ลำาดบความเรงดวน ภาครฐ ลกคา SLA อน ๆสแดง 1 1 2สสม 2 1 3สเหลอง 3 2 3
ตารางท1:ตวอยางการกำาหนดความรนแรงและความเรงดวนของเหตภยคกคามทใชโดยหนวยงานภาครฐและองคกรขนาดใหญบางแหง
63
การจดประเภทเหตภยคกคามยงมประโยชนเชงสถตอกดวย โดยชวยให CSIRT สามารถ
• ระบแนวโนมของเหตภยคกคามแตละประเภท• จดทำาสถตรายงานผบรหาร• เปรยบเทยบกบขอมลของ CSIRT อน ๆการจดประเภทเหตภยคกคามทนยมใช ไดแก
• ประเภทเหตภยคกคามโดย LatvianCERT29
• ประเภทเหตภยคกคามโดย eCSIRT.net30
• กำาหนดโดย CSIRT เองทงน แมการกำาหนดประเภทเหตภยคกคามดวยตนเองอาจเหมาะสมกบองคกร แตอาจมปญหาในการนำาขอมลไปเปรยบเทยบกบ CSIRT ขององคกรอน
หากตองการกำาหนดเอง ไมควรสรางประเภททซบซอนหรอละเอยดเกนไป (เชน กำาหนดประเภทของเหตภยคกคามสำาหรบมลแวรทกชนด) เนองจากถงแมจะชวยใหสามารถมองภาพรวมประเภทของเหตภยคกคามท CSIRT รบมอไดอยางละเอยดมาก แตกหมายความวาตองใชเวลาอยางมากในการกำาหนดประเภทของเหตภยคกคามแทนทจะใชเวลานนมาแกไขปญหา
29 <https://www.enisa.europa.eu/topics/csirt-cert-services/community-projects/existing-taxonomies>
30 <https://www.enisa.europa.eu/topics/csirt-cert-services/community-projects/existing-taxonomies>
64
ไทยเซรตใชประเภทเหตภยคกคามของ eCSIRT.net และเผยแพรสถตเหตภยคกคามทไดรบแจงรายเดอนบนเวบไซต31
31
รปภาพท4: สถตเหตภยคกคามรายเดอนทไทยเซรตไดรบแจงในป 2558
ขนตอนสดทายในสวนน คอการกำาหนดผรบผดชอบเหตภยคกคามซงจะเปนผดำาเนนการตอไป
5.3การแกไขเหตภยคกคาม5.3.1การวเคราะหขอมล
สงทสำาคญในขนตอนนคอการรวบรวมขอมลใหไดมากทสดเทาทจะทำาไดจากรายงานและระบบทไดรบผลกระทบ เพอใหทมไดภาพรวมเกยวกบเหตภยคกคามและสาเหตการเกดเหตภยคกคามทสมบรณทสด ตวอยางขอมลทรวบรวม เชน
31 สถตรายเดอนของ ThaiCERT: <https://www.thaicert.or.th/statistics/statistics-en.html>
อน ๆ
โปรแกรมไมพงประสงค
การเจาะระบบ
ความพยายามจะบกรกเขาระบบ
ความพยายามรวบรวมขอมลของระบบ
การฉอโกง
การโจมตสภาพความพรอมใชงานของระบบ
เนอหาทเปนภย
การเขาถงหรอเปลยนแปลงแกไขขอมลสำคญโดยไมไดรบอนญาต
65
• ขอมลตดตอโดยละเอยด• รายละเอยดของเหตภยคกคามทเกด• ประเภทของเหตภยคกคามทเสนอโดยผแจงเหตภยคกคาม• ขอมลเกยวกบระบบปฏบตการและเครอขายทเกยวของ• ขอมลเวลาและเขตเวลาของเหตภยคกคาม• ขอมลระบบรกษาความมนคงปลอดภยทตดตง• ความรนแรงของเหตภยคกคาม• ไฟลลอกทแนบมากบรายงานแจงเหตภยคกคามนอกจากน อาจหาขอมลทเกยวของกบเหตภยคกคามจากฐานขอมลของระบบหรออปกรณตาง ๆ เชน
• Netflow data• ลอกในเราเตอร• ลอกใน proxy server• ลอกในเวบแอปพลเคชน• ลอกในเมลเซรฟเวอร• ลอกใน DHCP เซรฟเวอร• ลอกในเซรฟเวอรทใหบรการยนยนตวตน (authentication
server)• ฐานขอมลตาง ๆ ทเกยวของ• อปกรณเกยวกบความมนคงปลอดภย เชน Firewall หรอ IDS
(Intrusion Detection System)
66
เมอแหลงทมาของการโจมตทางไซเบอรอยนอกขอบเขต นอกองคกรหรอหนวยงาน CSIRT อาจจำาเปนตองใชขอมลจากแหลงอน ๆ มาประกอบการวเคราะหดวย ในการขอขอมลเพมเตม CSIRT ตอง
• ระบแหลงขอมล• ตดตอประสานงานแหลงขอมล เพอขอขอมลทจำาเปน
แมการหาขอมล รายละเอยดใหไดมากทสดนนเปนสงสำาคญ แตกตองคำานงถงความเปนไปไดในทางปฏบตดวยโดยไมควรรอขอมลจากแหลงอนนานจนเกนไป เนองจากเหตภยคกคามอาจดำาเนนไปเรอย ๆ และความลาชาทเกดจากการรอขอมลจนครบถวนกอาจกลายเปนปญหาหรอทำาใหผบกรกมเวลาเพมขนในการปกปดรองรอย โดยทวไปแลว ขอมลทหาไดเพยงรอยละ 20 ถอเปนสในหาขององคความรทจำาเปนตองใชในการแกไขเหตภยคกคาม
5.3.2การหาแนวทางแกไขปญหา
ภายหลงจากทไดขอมลทงหมดจากขนตอนกอนหนาน จะเปนการหาแนวทางแกไขปญหาทดทสดจากทางเลอกตาง ๆ โดยพจารณาขอสงเกตและขอสรปจากการวเคราะหขอมลทรวบรวมหรอจากการหารอระดมสมอง ตวอยางผลลพธอาจเปนแนวทางการตงคาอปกรณหรอเครองมอเพอแกไขหรอลดผลกระทบของปญหา
5.3.3การเสนอแนวทางปฏบต
ในการแกไขเหตภยคกคาม CSIRT อาจตองเสนอแนวทางปฏบตหนงหรอสองแนวทาง ทงน ขนอยกบความซบซอนของเหตภยคกคามนน ๆ ดวย ในการนำาเสนอ จะตองคำานงถงผฟง บคลากรดานเทคนคยอมเขาใจแนวทางแกปญหาเชงเทคนค แตหากจำาเปนตองดำาเนนการอน ๆ หรอหากแนวทางปฏบตมคาใชจายสง กอาจตอง
67
ปรบเนอหานำาเสนอใหฝายบรหารหรอฝายการเงนเขาใจดวย
ตวอยางของแนวทางปฏบต เชน
• การยตการใหบรการชวคราว• การตรวจหามลแวรในเครอขาย• การแกไขชองโหวในระบบ• การตงคาระบบเพอเพมความมนคงปลอดภย• การแยกระบบออกจากเครอขาย• การตรวจสอบระบบ• การหาขอมลเพมเตม (อาจวาจางบคคลภายนอก)• การซอบรการเสรม เชน บรการปองกนจากการโจมต DDoS• การยกระดบการแกปญหาใหผบรหารหรอคณะกรรมการดาน
กฎหมายรวมตดสนใจ• การรวมมอแกไขปญหากบฝายสอสารองคกรหรอฝาย
ประชาสมพนธ• การรวมมอกบหนวยงานบงคบใชกฎหมายในกระบวนการ
สบสวนอาชญากรรม• หากระบบหรอแอปพลเคชนทองคกรใชงาน มการดแลโดย
องคกรภายนอก เชน ระบบบนคลาวด CSIRT กอาจจำาเปนตองสงคำาแจงเตอนหรอทำางานรวมกบองคกรเหลานน
68
5.3.4ปฏบตตามแนวทางแกไขปญหา
ประเดนทควรพจารณาหลงจากปฏบตตามแนวทางแกไขปญหาทดำาเนนการเสรจสนแลว
• ระบบสามารถใหบรการตามปกตไดหรอไม• การปฏบตนนสามารถแกไขปญหาไดเสรจสนหรอไม• ทราฟฟกในเครอขายไดรบการเฝาระวงอยางเหมาะสมหรอไมหากสวนทตกเปนเปาหมายของการโจมตยงมชองโหวหรอแนวทางการแกไขปญหาไมสามารถแกไขเหตภยคกคามอยางสมบรณ ตองทำาตามขนตอนกอนหนาอกครงเพอหาแนวทางการแกไขปญหาทเหมาะสมตอไป
5.3.5การกำาจดปญหาและการฟนฟระบบ
หลงจากทแกไขตนตอปญหาทสรางความเสยหายใหกบระบบเรยบรอย เปนการฟนฟระบบใหสามารถใหบรการตามปกต อยางไรกตาม ในบางกรณ อาจตองใชเวลาเพมเตมพอสมควร เชน กรณทมการดำาเนนการทางกฎหมายเพอสบสวนทางอาญา นอกจากน สวนงานทรบผดชอบดานการสอสารองคกรหรอการประชาสมพนธอาจเขามามสวนรวมประชาสมพนธขอมลใหสาธารณชนทราบความคบหนาของการดำาเนนการอยางตอเนอง
5.4การจบการแกไขเหตภยคกคามCSIRT ควรมนโยบายทชดเจนวาจะจบการดำาเนนการรบมอและแกไขเหตภยคกคามเมอใดและอยางไร เนองจากระยะเวลาทเหตภยคกคามดำาเนนไปมกมการใชเปนปจจยในการประเมนการทำางานดวย
69
CSIRT บางแหงเลอกทจะปลอยใหสถานะ ticket ของเหตภยคกคามทไดรบแจงใน ticket system คงสถานะเปน open หรอ “ระหวางการดำาเนนการ” มการอปเดตสถานะเพมรายละเอยดการดำาเนนการเรอย ๆ จนกวาเหตภยคกคามจะไดรบการแกไขโดยสมบรณ บางแหงตดสนใจจบการดำาเนนการปด ticket (เปลยนสถานะเปน closed) เมอไดรบการแกไขในเชงเทคนคตามขนตอนทกำาหนด ซงอาจเลอกดำาเนนการถงการตดตามประเมนผล (follow-up) แลวจงจบการดำาเนนการ
5.4.1การจดการขอมลครงสดทาย
แนบเอกสารทเกยวของทกอยางเขาไปใน ticket จากนนจงดำาเนนการแจงฝายตาง ๆ ทเกยวของตามประเดน ดงน
• คำาอธบายสน ๆ เกยวกบเหตการณ• ผลลพธจากการดำาเนนการรบมอและแกไขเหตภยคกคาม• สงทพบและขอเสนอแนะ5.4.2การตรวจสอบและแกไขประเภทภยคกคามครงสดทาย
เมอมขอมลเกยวกบเหตภยคกคามทไดรบแจงครบถวนแลว ควรตรวจสอบความถกตองของประเภทภยคกคามทไดระบไว หากไมถกตองใหแกไขและปรบปรงการระบประเภทภยคกคามใหแมนยำายงขน
5.4.3การจดเกบขอมลในฐานขอมล
ในการจดเกบขอมลทอยใน ticket ทมสถานะ “closed” หรอจบการดำาเนนการ หลงการดำาเนนการรบมอเหตภยคกคามเสรจสน ควรเกบในลกษณะทสามารถสบคนไดในภายหลง เพอใชอางองวธการรบมอกรณทเกดเหตภยคกคามลกษณะใกลเคยงกนในอนาคต
70
5.5การวเคราะหหลงจบการดำาเนนการแกไขเหตภยคกคาม
ควรเรยนรจากบทเรยนทไดรบจากเหตภยคกคามทเกดขนเพอปองกนไมใหเกดเหตเชนนขนอกในอนาคตหรอปรบปรงกระบวนการใหรบมอและแกไขเหตภยคกคามตาง ๆ ไดรวดเรวขน
ตวอยางของบทเรยนทไดและขอเสนอแนะเพอนำาไปปรบปรงและพฒนา ไดแก
• การเพมเตมเนอหาหรอคำาอธบายในนโยบายความมนคงปลอดภยขององคกร
• การพฒนาปรบปรงโครงสราง สถาปตยกรรมของเครอขาย• การพฒนาปรบปรงกลไกการตรวจจบเหตภยคกคาม• การจดหาเครองมอเพอเพมความสามารถวเคราะห• การไดเรยนรวธรบมอเหตภยคกคามรปแบบใหม ๆ
CSIRT อาจแบงปนบทเรยนทไดรบแกเครอขายความรวมมอเพอใหสมาชกไดรบประโยชนจากองคความรใหม ๆ ดวย (ศกษาเพมเตมทขอ 4.6)
71
72
6.บรการเพมเตมตารางดานลางแสดงบรการตาง ๆ ท CSIRT มกใหบรการ ทงน ตามท CERT/CC32 ระบไว
บรการเชงรบเพอตอบสนองภยคกคาม
บรการเชงรกเพอปองกนภยคกคาม
บรการบรหารคณภาพทางดานความมนคงปลอดภย
•การแจงเหตภยคกคาม•การรบมอและแกไขเหตภยคกคาม -การวเคราะหเหตภย
คกคาม -การรบมอและแกไขเหตภย
คกคามณสถานทเกดเหต(onsite)
-การสนบสนนการรบมอและแกไขเหตภยคกคาม
-การประสานงานเพอรบมอและแกไขเหตภยคกคาม
• การจดการกบชองโหวดานความมนคงปลอดภย
- การวเคราะหชองโหว - การแกไขชองโหว - การประสานงานเพอ
แกไขชองโหว• การจดการกบ artifact - การวเคราะห artifact - การดำาเนนการตอ
artifact - การประสานงานเพอ
จดการกบ artifact
•การแจงเตอนและเผยแพรขอมลขาวสาร
• การเฝาตดตามพฒนาการทางเทคโนโลย
• การตรวจสอบและประเมนดานความมนคงปลอดภย
• การตงคาและดแล เครองมอดานความมนคงปลอดภย แอปพลเคชน โครงสรางและบรการดานสารสนเทศ
• การพฒนาเครองมอดานความมนคงปลอดภย
• การบรการตรวจจบ การบกรก
• การเผยแพรขอมลทเกยวของกบความมนคงปลอดภย
• การวเคราะหความเสยง
• การวางแผนความตอเนองทางธรกจและการฟนตวจากเหตภยพบต
• การใหคำาปรกษาดานความมนคงปลอดภย
• การสรางความตระหนกเรองความมนคงปลอดภย
• บรการวชาการดานความมนคงปลอดภย
• การประเมนผลตภณฑหรอการออกใบรบรองประกาศนยบตร
32 อางองจาก.. "Handbook for Computer Security Incident Response Teams (CSIRTs), 2nd edition” หนา 25
73
การบรการทเปนตวอกษรสแดงคอบรการขนพนฐานท CSIRT ทจดตงขนใหมควรมพรอมใหบรการ สวนบรการอน ๆ อาจเพมเตมไดในอนาคตตามความจำาเปน
CSIRT ควรตดสนใจอยางรอบคอบในการวางแผนการใหบรการ เพอใหสอดคลองกบเปาหมายขององคกรภายใตงบประมาณทไดรบจดสรร ทงน เนองจากการใหบรการทเพมขนจำาเปนตองใชทรพยากร ทกษะ และความรวมมอจาก CSIRT อน การใหบรการทจำากดแตมคณภาพยอมดกวามบรการมากมายแตไมมคณภาพ
ในบางกรณ อาจพจารณา outsource บรการบางอยางใหกบหนวยงานทมภารกจ ในดานนน ๆ โดยเฉพาะ เนองจากบรการเหลานนอาจมตนทนสงและมการใชงานนอย เชน การตรวจพสจนพยานหลกฐานดจทล (digital forensics) ซง CSIRT สามารถทำาหนาทเปนผประสานงานในการจดหาบรการดงกลาวได
อนง ในปจจบน ยงไมพบ CSIRT ใดทใหบรการตามรายการขางตนครบทงหมด
6.1คำาอธบายบรการตางๆของCSIRT33
6.1.1บรการเชงรบเพอตอบสนองภยคกคาม
บรการทจะชวยใหหนวยงานสามารถรบมอและแกไขเหตภยคกคามท
33 อางองจาก.. "Handbook for Computer Security Incident Response Teams (CSIRTs), 2nd edition” หนา 25-34
74
สงผลกระทบตอระบบสารสนเทศตาง ๆ ทงขององคกรหรอของ CSIRT เอง โดยอาจไดรบแจงเหตจากการเฝาตดตาม การแจงเตอนจาก IDS logs และหนวยงานภายนอกอน ๆ
6.1.1.1 การแจงเหตภยคกคาม
ประกอบดวยการแจงขอมลตาง ๆ เชน ขอมลการโจมต ชองโหวดานความมนคงปลอดภย การถกเจาะระบบ มลแวร หรอขอความหลอกลวง CSIRT มหนาทแจงเตอนเหตภยคกคาม ใหคำาแนะนำา แนวทางปฏบตเบองตนแกผรบบรการเพอแกไขปญหาทเกดขน โดย CSIRT อาจเปนผจดทำาขอมลเองหรอนำาขอมลจากผเชยวชาญ vendors หรอ CSIRT อน ๆ มาเผยแพร
6.1.1.2 การรบมอและแกไขเหตภยคกคาม
ประกอบดวย การรบแจงเหตภยคกคาม การตรวจสอบและประเมนเหตภยคกคามการตอบกลบตอผแจง การวเคราะหเหตภยคกคาม โดย CSIRT อาจดำาเนนการตาง ๆ เชน
• ปกปองระบบและเครอขายทไดรบผลกระทบหรอถกขมข โดยผประสงคราย
• เตรยมมาตรการรบมอเหตภยคกคามตามคำาแนะนำาหรอการ แจงเตอนทไดรบ
• การตรวจสอบรองรอยการถกเจาะระบบในสวนอน ๆ ของเครอขาย
• การตรวจสอบและบลอก traffic ทผดปกต• การลางขอมลในเครองและตดตงระบบใหม• การแพตชหรอการซอมแซมระบบ
75
• การพฒนาแนวทางการรบมออน ๆ ในกรณทไมมวธการแกไขโดยตรงกจำาเปนตองหาแนวทางการรบมอทางออม (workaround)
การบรการนสามารถแบงยอยออกไปไดอก ดงน
o การวเคราะหเหตภยคกคาม
การวเคราะหเหตภยคกคามเองกอาจแบงไดหลายระดบ แตหวใจสำาคญคอการตรวจสอบขอมล หลกฐานสนบสนนหรอ artifact ทงหมดทเกยวของกบเหตภยคกคามเพอใหสามารถระบขอบเขต ระดบความเสยหาย ลกษณะของเหตภยคกคาม และแนวทางการรบมอหรอ workaround ได โดย CSIRT อาจใชผลลพธทไดจากการวเคราะหชองโหวและ artifact เพอชวยทำาความเขาใจและวเคราะหสงทเกดขนกบระบบนน ๆ นอกจากน ในกระบวนการวเคราะหเหตภยคกคาม CSIRT ควรหาความเชอมโยง แนวโนมการเกดเหตภยคกคาม แบบแผน หรอรองรอยของผบกรกโดยการเทยบเคยงระหวางเหตภยคกคามหนงกบอกเหตหนง
ทงน มบรการยอยสองประเภทท CSIRT อาจดำาเนนการโดยถอเปนสวนหนงของการวเคราะหเหตภยคกคาม ไดแก
- การจดเกบหลกฐานดจทล
จดเกบ บนทก และวเคราะหหลกฐานทไดจากคอมพวเตอรทถกเจาะระบบซงครอบคลมถงการทำาสำาเนาฮารดดสกในลกษณะ copy ขอมลแบบบตตอบต ตลอดจนการตรวจสอบความเปลยนแปลงทเกดขนกบระบบ เชน พบโปรแกรม ไฟล บรการ และบญชผใชทผดปกต การตรวจสอบการทำางานของระบบและพอรตทเปดอย การตรวจหา trojan
76
การจดเกบขอมลและหลกฐานตาง ๆ จะตองกระทำาอยางระมดระวงและรอบคอบเพอใหตรวจพสจนไดและเปนทยอมรบในชนศาล ทงน บคลากรของ CSIRT ทรบผดชอบบรการนอาจตองพรอมปฏบตหนาทเปนพยานผเชยวชาญ (expert witness) ในกระบวนการพจารณาของศาลดวย
- การตดตามหรอสบหารองรอย
ตดตามหรอสบหารองรอยวาผประสงครายเขาถงระบบทไดรบ ผลกระทบและเครอขายทเกยวของไดอยางไร ใชวธการหรอ เครองมอใดจงสามารถเขาถงระบบได การโจมตเกดขนจากทใด และระบบหรอเครอขายอนใดบางทถกใชเปนสวนหนงของการโจมตนอกจากนน การตดตามหรอสบหารองรอยยงอาจรวมถงการพยายามระบตวตนของผประสงคราย แมวาการใหบรการนอาจสามารถดำาเนนการไดโดย CSIRT เพยงลำาพง แตโดยทวไปแลวจะทำางานรวมกบองคกรบงคบใชกฎหมาย ผใหบรการอนเทอรเนต หรอองคกรอน ๆ ทเกยวของ
o การรบมอและแกไขเหตภยคกคาม ณ สถานทเกดเหต (on site)
ใหบรการนอกสถานทเกดเหตเพอวเคราะหและชวยฟนฟระบบกลบมาใหบรการหรอใชงานไดตามปกตโดยเรวทสด แทนทจะใหเพยงการสนบสนนทางโทรศพทหรออเมล บคลากรของ CSIRT อาจจำาเปนตองกจะเดนทางลงพนทเพอดำาเนนการแกไขปญหา แตในบางกรณพบวาม CSIRT ประจำาสถานทหรอผดแลระบบซงไดรบหนาทใหรบมอและแกไขเหตภยคกคามเปนประจำาอยแลว
o การสนบสนนการรบมอและแกไขเหตภยคกคาม
ใหความชวยเหลอและเสนอแนะแนวทางแกไขแกผเสยหายทถกโจมตเพอใหฟนตวจากเหตภยคกคามผานทางโทรศพท อเมล โทรสาร
77
หรอเอกสาร โดยอาจรวมถงการใหความชวยเหลอทางเทคนคในการวเคราะหขอมลทรวบรวม การจดหาขอมลตดตอ หรอการเผยแพรแนวทางการจำากดความเสยหายและการฟนฟระบบ การใหบรการในลกษณะนไมใชการรบมอและแกไขเหตภยคกคาม ณ สถานทเกดเหต แตจะเปนผใหความชวยเหลอจากระยะไกลเพอใหบคลากรในสถานทนนสามารถดำาเนนการรบมอเหตภยคกคามและฟนฟระบบไดดวยตนเอง
o การประสานงานเพอรบมอและแกไขเหตภยคกคาม
ประสานงานกบองคกรหรอบคคลทเกยวของกบเหตภยคกคาม เชน ผเสยหายทถกโจมต องคกรทอาจตองการความชวยเหลอในการวเคราะหการโจมต รวมถงองคกรอน ๆ ทเกยวของกบผเสยหาย อยาง ผดแลระบบ ผใหบรการอนเทอรเนต CSIRT อน ๆ หนาทของ CSIRT ในทนอาจรวมถงการจดเกบขอมลตดตอ การแจงเตอนองคกรอนทมแนวโนมเกยวของในฐานะผเสยหายหรอแหลงทมาของการโจมต การจดเกบสถตการดำาเนนการกบองคกรทเกยวของ การอำานวยความสะดวกในการแลกเปลยนขอมลและการวเคราะหขอมล การรวมมอกบผเชยวชาญทางกฎหมายขององคกร สวนงานทรพยากรบคคลหรอสวนงานประชาสมพนธ ตลอดจนผบงคบใชกฎหมาย ทงน การประสานงานดงกลาวไมถอเปนการรบมอและแกไขเหตภยคกคาม ณ สถานท
6.1.1.3 การจดการกบชองโหวดานความมนคงปลอดภย
ประกอบดวยการรบแจงและรวบรวมขอมลและรายงานทเกยวของกบชองโหวของฮารดแวรและซอฟตแวรตาง ๆ การวเคราะหลกษณะและผลกระทบของชองโหวทมตอระบบ การพฒนาวธการตรวจสอบและแกไขชองโหว ทงน มบรการยอยสองประเภทท CSIRT อาจดำาเนนการโดยถอเปนสวนหนงของการจดการกบชองโหวดานความมนคงปลอดภย ไดแก
78
o การวเคราะหชองโหว
ตรวจสอบยนยนขอมลชองโหววาเปนจรงหรอไม ดวยการทดสอบหาวธโจมตผานชองโหวในฮารดแวรหรอซอฟตแวรทไดรบผลกระทบ ในบรการนยงรวมถงการวเคราะหซอรสโคดและการใช debugger เพอหาชองโหว
o การตอบสนองตอชองโหว
เปนการหาแนวทางทเหมาะสมในการจดการชองโหวทพบ เชน การพฒนาและตดตงแพตชหรอ workaround เพอแกไขชองโหวดงกลาว รวมถงการแจงสวนงานและองคกรทไดรบผลกระทบทราบแนวทางแกไข
o การประสานงานเพอแกไขชองโหว
เปนการแจงทกหนวยงาน ทกฝายทเกยวของเกยวกบชองโหวและวธแกไข โดยการสอสารกบ vendors CSIRT อน ๆ ผเชยวชาญทางเทคนค ผมสวนเกยวของ ตลอดจนบคคลหรอกลมตาง ๆทเปนผคนพบหรอรายงานเกยวกบชองโหวนนตงแตแรก
บรการนยงรวมถง การประสานงานเพอใหการวเคราะหและออกรายงานชองโหวเปนไปอยางราบรน การประสานงานเพอกำาหนด วนเผยแพรแพตช workaround และเอกสารทเกยวของ รวมถงการสรางฐานขอมลจดเกบขอมลชองโหวและแนวทางการแกไขดวย
6.1.1.4 การจดการกบ artifact
artifact คอไฟลหรอรองรอยใด ๆ กตามทพบในระบบทเกยวของกบการโจมตระบบและเครอขาย อาจรวมถงไวรสคอมพวเตอร โทรจน เวรม สครปตหรอเครองมอตาง ๆ ทใชโจมต ในบรการน CSIRT
79
มหนาทรวบรวม artifact หรอขอมลทเกยวกบ artifact ทถกใชในการเจาะระบบ การสอดแนม การขดขวางการทำางานของระบบ
เมอไดรบ artifact มาแลว บคลากรใน CSIRT จะนำามาตรวจสอบในดานตาง ๆ เชน วเคราะหลกษณะ ฟงกชนการทำางาน เวอรชน จดประสงคของ artifact นน กอนจะหาแนวทางทเหมาะสมในการตรวจจบ กำาจด และปองกน artifact เหลาน
ในบรการนสามารถจำาแนกเปนบรการยอยไดแก
o การวเคราะห artifact
ตรวจสอบและวเคราะห artifact ทพบในระบบ อาจประกอบดวย การระบประเภทของไฟล โครงสรางของ artifact การเปรยบเทยบ artifact ใหมกบ artifact ทมอยแลวเพอหาความเหมอนและความแตกตาง การทำาวศวกรรมยอนกลบ (reverse engineering) การวเคราะหโคดเพอหาวตถประสงคและฟงกชนการทำางานของ artifact นน
o การดำาเนนการตอ artifact
ประกอบดวยการหาวธการตรวจจบ กำาจด และปองกน artifact โดยอาจสราง signature ใหกบแอนตไวรสหรอ IDS ใชในการตรวจจบ artifact
o การประสานงานเพอจดการกบ artifact
ประกอบดวยการประสานงานแบงปนขอมลจากการวเคราะห artifact ใหกบ CSIRT vendors ผเชยวชาญดานความมนคงปลอดภยและผทเกยวของอน ๆ และยงอาจรวมถงการดแล ฐานขอมลทรวบรวม artifact รวมถงขอมลผลกระทบและวธการรบมอ
80
6.1.2บรการเชงรกเพอปองกนภยคกคาม
บรการเชงรกมวตถประสงคเพอพฒนาระบบและกระบวนการดานความมนคงปลอดภยใหพรอม เพอปองกนตงแตกอนเกดเหตภยคกคาม หรอลดผลกระทบเมอเกดเหตภยคกคาม
6.1.2.1 การแจงเตอนและเผยแพรขอมลขาวสาร
อาจประกอบดวยการแจงเตอนการโจมต การแจงเตอนชองโหวและการออกคำาแนะนำา เกยวกบความมนคงปลอดภย ซงจะชวยใหผรบบรการสามารถปกปองระบบและเครอขายกอนทจะถกโจมต
6.1.2.2 การเฝาตดตามพฒนาการทางเทคโนโลย
ตดตามพฒนาการทางเทคโนโลยใหม ๆ ซงอาจประกอบดวยการศกษาวธการของผประสงคราย แนวโนมของภยคกคามในอนาคต และอาจขยายขอบเขตการตดตาม รวมไปถงคำาตดสนคดและการออกกฎหมายทเกยวของกบความมนคงปลอดภยไซเบอร ภยคกคามทางสงคมหรอทางการเมอง รปแบบของการตดตาม เชน การสมครอเมลรบขาวสาร ศกษาขอมลบนเวบไซตอานขาวและบทความในวารสารดานความมนปลอดภย รวมทงการตดตามขอมลในสาขาอนอยาง วทยาศาสตร เทคโนโลย การเมองและการปกครอง แลวนำามาวเคราะหหาขอมลทอาจสงผลกระทบตอความมนคงปลอดภยของระบบและเครอขายขององคกร โดย CSIRT อาจขอความชวยเหลอจากสวนงานอน ๆ ทมความเชยวชาญในแขนงเหลานเพอใหมนใจวาขอมลหรอการตความทไดมานนมความถกตอง
6.1.2.3 การตรวจสอบและประเมนดานความมนคงปลอดภย
ประกอบดวยการตรวจสอบและวเคราะหความมนคงปลอดภยของ
81
ระบบและเครอขายขององคกรวาเปนไปตามขอกำาหนดขององคกรหรอมาตรฐานทเกยวของหรอไม นอกจากนนยงอาจรวมถงการทบทวนแนวปฏบตดานความมนคงปลอดภยทใชในองคกร
การตรวจสอบและประเมนดานความมนคงปลอดภยสามารถแบงไดดงน
• การตรวจสอบระบบและเครอขาย: ตรวจสอบการตงคาซอฟตแวรและฮารดแวรอยาง เราเตอรไฟรวอลล เซรฟเวอร และอปกรณตาง ๆ เพอใหเปนไปตามนโยบายดานความมนคงปลอดภยขององคกรหรอมาตรฐานทสากลยอมรบ
• การตรวจสอบแนวปฏบต: สมภาษณพนกงานและผดแลระบบเพอสำารวจวาสงทปฏบตหรอดำาเนนการอยนนสอดคลองกบนโยบายหรอมาตรฐานดานความมนคงปลอดภยทนำามาใชหรอไม
• การสแกน: ใชเครองมอตรวจสอบหาชองโหวหรอมลแวรในระบบหรอเครอขาย
• การทดสอบเจาะระบบ: ทดสอบความมนคงปลอดภยโดยการทดสอบเจาะระบบสารสนเทศจรง
CSIRT ควรจดทำาแนวปฏบต รวมทงสงเสรมใหบคลากรสรางทกษะทจำาเปนและสอบประกาศนยบตรรบรองความสามารถในการตรวจสอบขางตน หรออาจ outsource ใหผเชยวชาญดำาเนนการภารกจเหลานแทนภายใตการกำากบดแลของ CSIRT
อนง กอนทจะดำาเนนการตรวจสอบ CSIRT ตองไดรบการอนมตจากผบรหาร เนองจากนโยบายขององคกรอาจหามไมใหดำาเนนการตรวจสอบบางประเภท
82
6.1.2.4 การตงคาและดแลเครองมอดานความมนคงปลอดภย แอปพลเคชน โครงสรางและบรการดานสารสนเทศ
แนะนำาแนวทางทเหมาะสมในการตงคาและดแล เครองมอ applications และโครงสรางและบรการดานสารสนเทศ และอาจมบทบาทเขามาปรบตงคาและดแลเครองมอดานความมนคงปลอดภยตาง ๆ เชน IDS, filter, wrapper, firewalls, VPN และระบบยนยนตวตนตาง ๆ รวมถงอปกรณทวไปอยาง เซรฟเวอร เดสกทอป แลปทอป แทบเลต สมารตโฟน และอปกรณไรสายอน ๆ ใหเปนไปตามแนวทางทกำาหนด
ทงน CSIRT ควรแจงใหผบรหารรบทราบหากพบปญหาในการตงคาหรอใชงานเครองมอ/ แอปพลเคชนทสงผลใหระบบมชองโหวหรอถกโจมตได
6.1.2.5 การพฒนาเครองมอดานความมนคงปลอดภย
CSIRT พฒนาเครองมอใหม ๆ อาจเปนเครองมอเฉพาะสำาหรบ CSIRT เครองมอสำาหรบกลมผรบบรการตามความจำาเปน บรการอาจประกอบดวยการพฒนาแพตชสำาหรบซอฟตแวรทผรบบรการใชงาน การจดเตรยมชดซอฟตแวรทมนคงปลอดภยสำาหรบตดตงเครองคอมพวเตอรใหม การพฒนาเครองมอหรอสครปตสำาหรบเครองมอดานความมนคงปลอดภยทมอย เชน plug-in สำาหรบเครองมอตรวจสอบชองโหว กลไกการตดตงแพตชอตโนมต เปนตน
6.1.2.6 บรการตรวจจบการเจาะระบบ
ประกอบดวยการตรวจสอบโดยการวเคราะหลอกจากซอฟตแวรหรออปกรณสำาหรบเฝาเหตภยคกคาม เชน IDS, SIEM ซงเปนงานททาทายและตองใชความพยายาม เนองจากไมเพยงตองกำาหนดวาจะวางเซนเซอรสำาหรบเฝาระวงเหตภยคกคามไวทใด แตยงตองเกบและ
83
วเคราะหขอมลปรมาณมหาศาล ในหลายกรณจำาเปนตองใช เครองมอเฉพาะหรอความเชยวชาญในวเคราะหขอมลเพอระบยนยนความถกตองของการแจงเตอนพบเหตภยคกคาม ซงบอยครงทอาจพบวาไมใชเหตภยคกคามจรง จงจำาเปนตองมมาตรการหรอตงคาเครองมอของอปกรณสำาหรบเฝาระวงใหลดการเกดเหตการณเหลานนลงไดใหมากทสด บางองคกรเลอกทจะ outsource ภารกจนแกองคกรอนทมความเชยวชาญมากกวาโดยอยภายใตการกำากบดแลของ CSIRT
6.1.2.7 การเผยแพรขอมลทเกยวของกบความมนคงปลอดภย
CSIRT รวบรวมและเผยแพรชดขอมลดานความมนคงปลอดภยทเปนประโยชนและงายตอการสบคนแกผรบบรการและผมสวนเกยวของ อาท
• แนวทางการรายงานและขอมลตดตอสำาหรบ CSIRT• ฐานขอมลทมขอมลการแจงเหต การเตอนและขาวสารตาง ๆ• แนวปฏบตดานความมนคงปลอดภยทใชในปจจบน• แนวทางการใชงานคอมพวเตอรอยางมนคงปลอดภย• นโยบาย กระบวนการ และเชกลสต• การพฒนาแพตชและ distribution ของซอฟตแวรตาง ๆ• ลงกเวบไซตทางการของ vendors• สถตปจจบนและแนวโนมในการรายงานเหตภยคกคาม• ขอมลอน ๆ ทอาจชวยปรบปรงแนวปฏบตดานความมนคง
ปลอดภยโดยรวม
84
ขอมลเหลานอาจจดทำาและจดพมพโดย CSIRT หรอสวนงานอน ๆ ขององคกร (สวนงาน IT ทรพยากรบคคลหรอสอมวลชนสมพนธ) และอาจผนวกขอมลจากแหลงขอมลภายนอก อาท จาก vendors CSIRT อน ๆ หรอผเชยวชาญดานความมนคงปลอดภยดวย
6.1.3บรการบรหารคณภาพทางดานความมนคงปลอดภย
เปนบรการทมเปาหมายเพอปรบปรงและพฒนาความมนคงปลอดภยโดยรวมขององคกร แมบรการนจะไมเกยวของกบการรบมอและแกไขเหตภยคกคามหรอภารกจของ CSIRT โดยตรง แตเปนการนำาบทเรยนและประสบการณทงจากการใหบรการเชงรบเพอรบมอเหตภยคกคามและบรการเชงรกเพอปองกนเหตภยคกคามมาสนบสนนการบรหารการรกษาความมนคงปลอดภยขององคกรในระยะยาว ทงน CSIRT อาจเปนหนวยงานหลกหรอเปนสวนหนงรวมกบสวนงานอนในการดำาเนนภารกจบรหารคณภาพทางดานความมนคงปลอดภยในระดบองคกร ขนอยกบโครงสรางและการแบงความรบผดชอบภายในองคกรนน ๆ
บรการยอยท CSIRT ดำาเนนการภายใตบรการบรหารคณภาพทางดานความมนคงปลอดภย มดงน
6.1.3.1 การวเคราะหความเสยง
ประเมนหรอชวยสนบสนนหรอการประเมนความเสยงดานความมนคงปลอดภยสำาหรบระบบและธรกจใหม ประเมนภยคกคามและความเปนไปไดทจะเกดการโจมตทสงผลกระทบตอสนทรพยของผรบบรการ ผมสวนเกยวของ ตลอดจนระบบตาง ๆ ทงในแงของคณภาพและปรมาณ และชวยในการประเมนแนวทางการปองกน รบมอและแกไขเหตภยคกคามไดอยางมประสทธภาพ
85
6.1.3.2 การวางแผนความตอเนองทางธรกจและการฟนตวจากเหตภยพบต
จากขอมลในอดตและการคาดการณเกยวกบแนวโนมดานความมนคงปลอดภยพบวา เหตภยคกคามสามารถสรางความเสยหายอยางรายแรงตอธรกจ ดงนน CSIRT จงมบทบาทในการนำาประสบการณและขอเสนอแนะมารวมวางแผนความตอเนองทางธรกจและการฟนตวจากเหตภยพบต (business continuity and disaster recovery planning) รวมถงการฟนตวจากเหตภยคกคามเพอใหธรกจขององคกรเปนไปอยางตอเนอง
6.1.3.3 การใหคำาปรกษาดานความมนคงปลอดภย
ใหคำาแนะนำาและแนวทางปฏบตดานความมนคงปลอดภย ในการจดซอ ตดตง ตงคา ระบบ อปกรณเครอขาย แอปพลเคชน รวมถงใหคำาแนะนำาในการรางนโยบายดานความมนคงปลอดภยสำาหรบองคกร ตลอดจนการใหการชนศาล หรอใหคำาแนะนำาแกองคกรดานนตบญญต
6.1.3.4 การสรางความตระหนกเรองความมนคงปลอดภย
สรางความตระหนกรดานความมนคงปลอดภยผานการเขยนบทความ จดทำาโปสเตอร บรการเผยแพรขาวสารทางอเมล เวบไซต ใหขอมลแนวปฏบตรวมถงคำาแนะนำาและขอควรระวงตาง ๆ CSIRT ควรทราบวาผรบบรการยงขาดขอมลสวนใดและพฒนาความรความเขาใจในสวนดงกลาว เมอพนกงานททกษะและความรจะทำาใหลดโอกาสการตกเปนเหยอของเหตภยคกคาม และเพมโอกาสทพนกงานจะตรวจพบและรายงานการถกโจมต ทำาใหสามารถจำากดความเสยหายไดอยางมประสทธภาพ34
34 ไทยเซรตไดจดทำาเอกสารใหความรและสรางความตระหนกดานความมนคงปลอดภยสำาหรบเผยแพรใหประชาชนและองครกรทสนใจ โดยสามารถดาวนโหลดไดท https://www.thaicert.or.th/downloads/downloads.html
86
6.1.3.5 บรการวชาการดานความมนคงปลอดภย
ใหความรผานการจดหลกสตรอบรม สมมนา ประชมเชงปฏบตการเพอใหความรและสรางความตระหนกเรองความมนคงปลอดภย โดยองคความรตาง ๆ อาจประกอบดวย การรายงานเหตภยคกคาม วธการรบมอและแกไขทเหมาะสม เครองมอทใชในการรบมอและแกไขเหตภยคกคาม วธการปองกนเหตภยคกคามและขอมลอน ๆ ทจำาเปน
6.1.3.6 การประเมนหรอการออกประกาศนยบตรรบรองผลตภณฑ
CSIRT ประเมนเครองมอ อปกรณ แอปพลเคชนหรอบรการตาง ๆ เพอตรวจสอบวาผลตภณฑเหลานนมความมนคงปลอดภยและสอดคลองกบแนวปฏบตดานความมนคงปลอดภยในระดบองคกรหรอตามท CSIRT กำาหนดหรอไม โดยอาจออกประกาศนยบตรเพอรบรองผลตภณฑ
87
88
ภาคผนวกก:แมแบบกรอบงานCSIRTกรอบงาน CSIRT
ชอของ CSIRT: ......................................................................................................
พนธกจ: ...........................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
ผรบบรการ: ...........................................................................................................
อำานาจหนาท: .........................................................................................................
ความรบผดชอบ: ....................................................................................................
โครงสรางของ CSIRT: ...........................................................................................
ความพรอมในการใหบรการ: ..................................................................................
................................................................................................................................
บรการตาง ๆ ของ CSIRT: .....................................................................................
89
................................................................................................................................
................................................................................................................................
บคลากร: ................................................................................................................
................................................................................................................................
โครงสรางพนฐานสารสนเทศและเครองมอ: ..........................................................
................................................................................................................................
................................................................................................................................
ความสมพนธภายในและภายนอกองคกร: .............................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
รปแบบการรบเงนทนสนบสนนคาใชจาย: ...............................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
90
ภาคผนวกข:ตวอยางแบบฟอรมการรายงานเหตภยคกคามแบบฟอรมการรายงานเหตภยคกคามกรณากรอกแบบฟอรมนและสงทางโทรสารหรออเมลไปท ….................. กรณากรอกขอมลในสวนทมเครองหมาย * ใหครบ
ผแจงและองคกร
1. ชอ*:2. ชอองคกร*:3. ภาคสวนหรอประเภทขององคกร:4. ประเทศ*:5. เมอง:6. ทอยอเมล*:7. หมายเลขโทรศพท*:8. ขอมลอน ๆ:ระบบทไดรบผลกระทบ
9. จำานวนของระบบ:10. Host name และ IP*:11. หนาทของระบบ*:
91
12. Time-zone:13. ฮารดแวร:14. ระบบปฏบตการ:15. ซอฟตแวรทไดรบผลกระทบ:16. ไฟลทไดรบผลกระทบ:17. โปรโตคอล/ พอรต:เหตภยคกคาม
18. หมายเลขอางอง ref#:19. ประเภทของเหตภยคกคาม:20. เหตภยคกคามเกดขนเมอ:21. เหตภยคกคามตอเนองมาจากเหตภยคกคามกอนหนาหรอไม:
ใช ไมใช22. เวลาและวธการคนพบเหตภยคกคาม:23. ชองโหวทเกยวของ:24. ไฟลทนาสงสย:25. มาตรการรบมอ:26. รายละเอยด:
92
ภาคผนวกค:เครองมอดานความมนคงปลอดภย ตารางดานลางแสดงเครองมอท CSIRT และผทเกยวของใชอยเปนประจำา ซงเครองมอสวนใหญทระบในตารางถกเผยแพรใหใชงานโดยไมเสยคาใชจาย
Domain and IP address query tools
DomainTools <https://www.domaintools.com/>
Domain Dossier <http://centralops.net/co/DomainDossier.aspx>
IP to ASN Mapping
<http://www.team-cymru.org/IP-ASN-mapping.html>
GeoLite2 <http://dev.maxmind.com/geoip/geoip2/geolite2/>
RIPEstat <https://stat.ripe.net/>
E-mail header analysis tools
Google Apps Messageheader
<https://toolbox.googleapps.com/apps/messageheader/>
MXToolbox <http://mxtoolbox.com/EmailHeaders.aspx>
Network monitoring tools
nfdump <http://nfdump.sourceforge.net/>
nfsen <http://nfsen.sourceforge.net/>
Network auditing tools
93
nmap <https://nmap.org/>
AutoScan-Network
<http://autoscan-network.com/>
Wireshark <https://www.wireshark.org/>
AbuseHelper <https://github.com/abusesa/abusehelper>
Vulnerability assessment tools
Nessus <http://www.tenable.com/products/nessus-vulnerability-scanner>
Metasploit <https://www.metasploit.com/>
Vega <https://subgraph.com/vega/index.en.html>
OWASP ZAP <https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project>
SQLcheck <http://www.softpedia.com/get/Internet/Servers/Database-Utils/SQL-Check.shtml>
Burp Suite <https://portswigger.net/burp/>
Kali <https://www.kali.org/>
Intrusion detection tools
Snort <https://www.snort.org/>
Tripwire <https://sourceforge.net/projects/tripwire/>
Forensic tools
Sleuth Kit <http://www.sleuthkit.org/>
Autopsy <http://www.sleuthkit.org/autopsy/>
94
Tcpxtract <http://tcpxtract.sourceforge.net/>
EnCase <https://www.guidancesoftware.com/encase-forensic>
FTK, Forensic Toolkit
<http://accessdata.com/solutions/digital-forensics/forensic-toolkit-ftk>
Malware analysis tools
VirusTotal <https://www.virustotal.com/>
Malware Domain List
<http://www.malwaredomainlist.com/>
Malware Hash Registry
<http://www.team-cymru.org/MHR.html>
MISP, Malware Information Sharing Platform
<https://misppriv.circl.lu/>
AlienVault Open Threat Exchange
<https://otx.alienvault.com/>
Malwr <https://malwr.com/>
Honeypots
honeyd <http://www.honeyd.org/index.php>
WiFi tools
inSSIDer <http://www.metageek.com/products/inssider/>
95
Acrylic WiFi Scanner
<https://www.acrylicwifi.com/en/wlan-software/wlan-scanner-acrylic-wifi-free/>
SIEM tools
Splunk <http://www.splunk.com/>
Encryption tools
GnuPG <https://www.gnupg.org/>
VeraCrypt <https://veracrypt.codeplex.com/>
Incident-tracking tools
RTIR <https://bestpractical.com/>
OTRS <https://www.otrs.com/>
Databases
SQLite <https://www.sqlite.org/>
MySQL <https://www.mysql.com/>
PostgreSQL <https://www.postgresql.org/>
นอกเหนอเครองมอขางตน ในการนำาไฟลลอกมาวเคราะห CSIRT สามารถใชเครองมอคำาสงตาง ๆ เชน sed/ awk และ grep เพอคนหาไฟลลอกในเครอง ซงสวนใหญเกบอยในรปแบบ plain text และสามารถใชคำาสงดงกลาวในการแปลงไฟลลอกจากแหลงทมาทแตกตางกนใหอยรปแบบเดยวกน ทำาใหสามารถใชเครองมอวเคราะหได
96
ภาคผนวกง:แหลงทมาของขอมลCSIRT อาจพจารณาสมครรบขอมลจากจากแหลงขอมลตอไปนเพอประโยชนในการแจงเตอนเหตภยคกคาม โดยสวนใหญไมมคาใชจาย
การแจงเตอนเหตภยคกคาม
APWG, Anti-Phishing Working Group
http://apwg.org/ Phishing
Phish Tank http://www.phishtank.com/ Phishing
Dark-H http://dark-h.org/ Web defacements
Mirror-Zone http://mirror-zone.org Web defacementsZone-H http://zone-h.org/ Web defacementsZone-HC http://zone-hc.com Web defacementsShadowserver https://www.shadowserver.org Botnet
Open DNS resolver
Open proxy server
etc.
97
Team Cymru http://www.team-cymru.org/services.html
BotnetBrute forceDDoSMalware URLOpen DNS resolverOpen proxy serverPhishingScanning
นอกจากนในกรณทเกดเหตภยคกคาม CSIRT อาจตดตอเครอขายความรวมมอทเกยวของ เพอขอความชวยเหลอ
ขอมลตดตอ (CSIRT สมาชก)
FIRST, Forum of Incident Response and Security Teams
https://www.first.org/
APCERT, Asia Pacific CERT http://www.apcert.org/
Trusted Introducer https://www.trusted-introducer.org/
AfricaCERT http://www.africacert.org/
Latin American CSIRTs http://www.lacnic.net/en/web/lacnic/csirts
OIC-CERT, Organisation of the Islamic Cooperation CERT
http://www.oic-cert.org/
NatCSIRT, National CSIRTs http://www.cert.org/incident-management/national-csierts/national-csirts.cfm
98
ภาคผนวกจ:เชกลสตการจดตงCSIRT
ขนตอน อางอง
Plan
1. ราง CSIRT framework และแผนธรกจ รวมถงกำาหนดงบประมาณ บทท 1 หนาท 18 และบทท 2
2. ขอผทมอำานาจอนมตแผนงานและงบประมาณในขอท 1 บทท 1 หนาท 19 และบทท 3
Do
3. รวบรวมและจดทำารายการแหลงขอมลดานตาง ๆ
บทท 1 หนาท 20 และบทท 4 หวขอ 4.1
4. รางนโยบายการรบมอและแกไขเหตภยคกคาม
บทท 1 หนาท 20 และบทท 4 หวขอ 4.2
5. รางนโยบายการจดการและแลกเปลยนขอมล
บทท 1 หนาท 20 และบทท 4 หวขอ 4.3
6. สำารวจและจดทำารายการซอฟตแวรและฮารดแวรทใชในองคกร
บทท 1 หนาท 20 และบทท 4 หวขอ 4.4
7. ประชาสมพนธการจดตง CSIRT บทท 1 หนาท 20 และบทท 4 หวขอ 4.5
99
8. สรางเครอขายความรวมมอจากการเขารวมการประชมและการเสวนาตาง ๆ
บทท 1 หนาท 20 และบทท 4 หวขอ 4.6
9. ซอมรบมอเหตภยคกคาม บทท 1 หนาท 20 และบทท 4 หวขอ 4.7
10. ดำาเนนการรบมอและแกไขเหตภยคกคาม และใหบรการตามภารกจหลกอน ๆ
บทท 1 หนาท 20 บทท 5 และบทท 6
Check
11. ประเมนคณภาพและประสทธภาพของการใหบรการ บทท 1 หนาท 20
Act
12. นำาผลการประเมนไปปรบปรงแผนงานและการดำาเนนการ. บทท 1 หนาท 22
13. ขยายขดความสามารถในการใหบรการ บทท 1 หนาท 22 และบทท 6
100
สรางคณาวายภาพผอำานวยการสำานกงานพฒนาธรกรรม ทางอเลกทรอนกส (องคการมหาชน)
ชยชนะมตรพนธรองผอำานวยการสำานกงานพฒนาธรกรรม ทางอเลกทรอนกส (องคการมหาชน)
พสจนอกษรทศพร โขมพตร
ฝายศลปนภดล อษณบญศร
พรพรหมประภากตตกลผอำานวยการสำานกความมนคงปลอดภย
MartijnVanDerHeideThaiCERT Specialist
ณฐโชตดสตานนทวศวกรความมนคงปลอดภย
คณะผจดท�า
101
COMPUTER SECURITY INCIDENT RESPONSE TEAM
ESTABLISHING A
104
CSIRTESTABLISHING A¤Ù ‹Á ×Í¡ÒèѴµÑ §«Õà«Ôà �µ
¤Ù ‹Á ×Í¡ÒèѴµÑ §ÈÙ¹Â�»ÃÐÊÒ¹¡ÒÃÃѺÁ×ÍÀѤء¤ÒÁ¤ÇÒÁÁÑ ¹¤§»ÅÍ´ÀѤÍÁ¾ÔÇàµÍÃ�ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE TEAM
COMPUTER SECURITY INCIDENT RESPONSE TEAM
สำนกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)
อาคารเดอะ ไนน ทาวเวอร แกรนดพระรามเกา (อาคารบ) ชน 21 เลขท 33/4 ถนนพระราม 9
แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร 10310โทรศพท 0 2123 1212 | โทรสาร 0 2123 1200
WWW.ETDA.OR.TH | WWW.THAICERT.OR.TH : ETDA Thailand
978-616-7956-28-2
ESTABLISHING A CSIRT¤Ù‹Á×Í¡ÒèѴµÑ§«Õà«ÔÃ�µ