การตอบสนองต่อเหตุการณ์คืออะไร
สำรวจวิธีการที่การตอบสนองต่อเหตุการณ์อย่างมีประสิทธิภาพช่วยให้องค์กรสามารถตรวจหา รับมือ และหยุดยั้งการโจมตีทางไซเบอร์ได้
คำจำกัดความของการตอบสนองต่อเหตุการณ์
ก่อนที่จะให้คำจำกัดความการตอบสนองต่อเหตุการณ์ สิ่งสำคัญคือต้องมีความชัดเจนว่าเหตุการณ์คืออะไร มีคำศัพท์สามคำในแวดวงไอทีที่บางครั้งก็ใช้แทนกันได้ แต่มีความหมายที่แตกต่างกัน:
- กิจกรรมคือการดำเนินการที่ไม่มีอันตรายซึ่งเกิดขึ้นเป็นประจำ เช่น การสร้างไฟล์ การลบโฟลเดอร์ หรือการเปิดอีเมล โดยทั่วไปแล้วกิจกรรมเองไม่ได้เป็นตัวบ่งชี้ถึงการเจาะระบบ แต่เมื่อจับคู่กับกิจกรรมอื่นๆ ก็อาจส่งสัญญาณถึงภัยคุกคาม
- การแจ้งเตือนคือการแจ้งเตือนที่ทริกเกอร์โดยเหตุการณ์ซึ่งอาจเป็นภัยคุกคามหรือไม่ก็ได้
- เหตุการณ์คือกลุ่มของการแจ้งเตือนที่สัมพันธ์กันซึ่งมนุษย์หรือเครื่องมือระบบอัตโนมัติถือว่าเป็นภัยคุกคามที่แท้จริง การแจ้งเตือนแต่ละรายการเองอาจดูเหมือนไม่ใช่ภัยคุกคามหลัก แต่เมื่อรวมกันแล้ว การแจ้งเตือนเหล่านี้อาจบ่งชี้ถึงการเจาะระบบความปลอดภัยที่อาจเกิดขึ้นได้
การตอบสนองต่อเหตุการณ์คือการดำเนินการที่องค์กรดำเนินการเมื่อเชื่อว่าอาจมีการเจาะระบบไอทีหรือการรั่วไหลของข้อมูล ตัวอย่างเช่น ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยจะดำเนินการหากเห็นหลักฐานของผู้ใช้ที่ไม่ได้รับอนุญาต มัลแวร์ หรือมาตรการรักษาความปลอดภัยที่ล้มเหลว
เป้าหมายในการตอบสนองคือการยับยั้งการโจมตีทางไซเบอร์โดยเร็วที่สุด กู้คืน แจ้งให้ลูกค้าหรือหน่วยงานรัฐบาลทราบตามที่กฎหมายระดับภูมิภาคกำหนด และเรียนรู้วิธีการลดความเสี่ยงของการเจาะระบบความปลอดภัยที่คล้ายกันในอนาคต
การตอบสนองต่อเหตุการณ์ทำงานอย่างไร
โดยทั่วไปแล้วการตอบสนองต่อเหตุการณ์จะเริ่มขึ้นเมื่อทีมรักษาความปลอดภัยได้รับการแจ้งเตือนที่น่าเชื่อถือจากระบบ Security Information and Event Management (SIEM)
สมาชิกทีมจำเป็นต้องตรวจสอบว่ากิจกรรมดังกล่าวมีคุณสมบัติที่จะเป็นเหตุการณ์หรือไม่ แล้วจึงแยกระบบที่ติดไวรัสและกำจัดภัยคุกคาม หากเหตุการณ์รุนแรงหรือใช้เวลานานในการแก้ไข องค์กรอาจต้องคืนค่าข้อมูลสำรอง จัดการกับค่าไถ่ หรือแจ้งให้ลูกค้าทราบว่าข้อมูลมีช่องโหว่
ด้วยเหตุผลนี้ บุคคลอื่นนอกเหนือจากทีมการรักษาความปลอดภัยทางไซเบอร์จึงมักจะมีส่วนร่วมในการตอบสนองด้วย ผู้เชี่ยวชาญด้านความเป็นส่วนตัว นักกฎหมาย และผู้มีอำนาจตัดสินใจทางธุรกิจจะช่วยกำหนดแนวทางขององค์กรต่อเหตุการณ์และผลที่ตามมา
ประเภทของเหตุการณ์ด้านความปลอดภัย
มีหลายวิธีการที่ผู้โจมตีพยายามเข้าถึงข้อมูลของบริษัทหรือโจมตีระบบและการดำเนินธุรกิจของบริษัท โดยวิธีการที่พบได้บ่อยที่สุดมีดังต่อไปนี้:
-
ฟิชชิ่ง
ฟิชชิ่งเป็นการโจมตีแบบวิศวกรรมสังคมประเภทหนึ่งที่ผู้โจมตีใช้อีเมล ข้อความ หรือการสนทนาทางโทรศัพท์เพื่อแอบอ้างเป็นแบรนด์หรือบุคคลที่มีชื่อเสียง การโจมตีแบบฟิชชิ่งโดยทั่วไปจะพยายามโน้มน้าวให้ผู้รับดาวน์โหลดมัลแวร์หรือระบุรหัสผ่านของตน การโจมตีเหล่านี้ใช้ประโยชน์จากความไว้วางใจของบุคคลและใช้เทคนิคทางจิตวิทยา เช่น ความกลัว เพื่อบังคับให้บุคคลดำเนินการต่างๆ การโจมตีเหล่านี้หลายครั้งไม่มีการกำหนดเป้าหมาย โดยกระจายออกไปยังผู้คนหลายพันคนและหวังว่าจะมีสักคนที่ตอบรับ อย่างไรก็ตาม การโจมตีในแบบที่ซับซ้อนยิ่งขึ้นที่เรียกว่าสเปียร์ฟิชชิ่งจะใช้การวิจัยเชิงลึกเพื่อสร้างข้อความที่มีวัตถุประสงค์เพื่อโน้มน้าวใจบุคคลเพียงคนเดียว -
มัลแวร์
มัลแวร์หมายถึงซอฟต์แวร์ที่ออกแบบมาเพื่อทำอันตรายต่อระบบคอมพิวเตอร์หรือลักลอบถ่ายโอนข้อมูลออกจากระบบ ซึ่งมาในรูปแบบต่างๆ มากมาย รวมถึงไวรัส แรนซัมแวร์ สปายแวร์ และม้าโทรจัน ผู้ไม่หวังดีจะติดตั้งมัลแวร์โดยการใช้ประโยชน์จากช่องโหว่ของฮาร์ดแวร์และซอฟต์แวร์ หรือโดยการโน้มน้าวใจให้พนักงานดำเนินการเช่นนั้นโดยใช้เทคนิคการโจมตีแบบวิศวกรรมสังคม
-
แรนซัมแวร์
ในการโจมตีด้วยแรนซัมแวร์ ผู้ไม่หวังดีจะใช้มัลแวร์เพื่อเข้ารหัสลับข้อมูลและระบบที่สำคัญ แล้วจึงขู่ว่าจะเผยแพร่ข้อมูลดังกล่าวออกสู่สาธารณะหรือทำลายหากเหยื่อไม่ยอมจ่ายค่าไถ่
-
การโจมตีโดยปฏิเสธการให้บริการ
ในการโจมตีโดยปฏิเสธการให้บริการ (การโจมตีแบบ DDoS) ผู้ดำเนินการภัยคุกคามจะเพิ่มปริมาณการใช้งานในเครือข่ายหรือระบบจนกระทั่งทำงานได้ช้าลงหรือหยุดทำงาน โดยปกติแล้วผู้โจมตีจะมุ่งเป้าหมายไปยังบริษัทที่มีชื่อเสียง เช่น ธนาคารหรือรัฐบาล โดยมีเป้าหมายให้พวกเขาเสียเวลาและเงิน แต่องค์กรทุกขนาดสามารถตกเป็นเหยื่อของการโจมตีประเภทนี้ได้
-
การโจมตีแบบมีคนกลาง
อีกวิธีการหนึ่งที่อาชญากรไซเบอร์ใช้เพื่อขโมยข้อมูลส่วนบุคคลคือการแทรกซึมเข้าไปในการสนทนาออนไลน์ระหว่างบุคคลที่เชื่อว่าตนเองกำลังสื่อสารกันอย่างเป็นส่วนตัว พวกเขาพยายามหลอกล่อให้ผู้เข้าร่วมคนใดคนหนึ่งมอบข้อมูลที่มีค่าให้ โดยการดักรับข้อความและคัดลอกหรือเปลี่ยนแปลงข้อความก่อนส่งไปยังผู้รับที่ต้องการ
-
ภัยคุกคามจากภายใน
แม้ว่าการโจมตีส่วนใหญ่จะดำเนินการโดยบุคคลภายนอกองค์กร แต่ทีมรักษาความปลอดภัยก็จำเป็นต้องเฝ้าระวังภัยคุกคามจากภายในด้วยเช่นกัน พนักงานและบุคคลอื่นที่มีสิทธิ์เข้าถึงทรัพยากรที่ถูกจำกัดโดยชอบด้วยกฎหมายอาจทำให้ข้อมูลที่ละเอียดอ่อนรั่วไหลโดยไม่เจตนาหรือโดยเจตนาในบางกรณี
-
การเข้าถึงที่ไม่ได้รับอนุญาต
การเจาะระบบความปลอดภัยจำนวนมากเริ่มต้นด้วยข้อมูลประจำตัวของบัญชีที่ถูกขโมยมา ไม่ว่าผู้ไม่หวังดีจะได้รับรหัสผ่านจากแคมเปญฟิชชิ่งหรือโดยการเดารหัสผ่านทั่วไป เมื่อพวกเขาเข้าถึงระบบได้ ก็จะสามารถติดตั้งมัลแวร์ สอดแนมเครือข่าย หรือเลื่อนระดับสิทธิการใช้งานเพื่อให้สามารถเข้าถึงระบบและข้อมูลที่ละเอียดอ่อนยิ่งขึ้นได้
แผนการตอบสนองต่อเหตุการณ์คืออะไร
การตอบสนองต่อเหตุการณ์จำเป็นต้องอาศัยทีมที่ทำงานร่วมกันอย่างมีประสิทธิภาพและประสิทธิผลเพื่อกำจัดภัยคุกคามและปฏิบัติตามข้อกำหนดด้านระเบียบบังคับ ในสถานการณ์ที่มีความตึงเครียดสูงเหล่านี้ เป็นเรื่องง่ายที่บุคคลจะร้อนรนและก่อข้อผิดพลาด ซึ่งเป็นสาเหตุที่หลายบริษัทพัฒนาแผนการตอบสนองต่อเหตุการณ์ แผนดังกล่าวจะกำหนดบทบาทและหน้าที่ความรับผิดชอบ และประกอบด้วยขั้นตอนที่จำเป็นในการแก้ไข บันทึก และสื่อสารเกี่ยวกับเหตุการณ์อย่างเหมาะสม
ความสำคัญของแผนการตอบสนองต่อเหตุการณ์
การโจมตีครั้งใหญ่ไม่เพียงสร้างความเสียหายต่อการดำเนินงานขององค์กรเท่านั้น แต่ยังส่งผลกระทบต่อชื่อเสียงของธุรกิจในบรรดาลูกค้าและชุมชน และอาจส่งผลกระทบทางกฎหมายด้วยเช่นกัน ทุกสิ่งล้วนส่งผลต่อต้นทุนโดยรวม รวมถึงความรวดเร็วของทีมรักษาความปลอดภัยในการตอบสนองต่อการโจมตีและวิธีการที่ผู้บริหารสื่อสารเกี่ยวกับเหตุการณ์ดังกล่าว
บริษัทที่ซ่อนความเสียหายจากลูกค้าและรัฐบาล หรือบริษัทที่ไม่จริงจังกับภัยคุกคามมากพออาจละเมิดระเบียบบังคับ ข้อผิดพลาดประเภทนี้พบได้บ่อยเมื่อผู้เข้าร่วมไม่มีแผน ในช่วงเวลาหน้าสิ่วหน้าขวานเช่นนี้ มีความเสี่ยงที่บุคคลจะตัดสินใจอย่างหุนหันพลันแล่นด้วยความกลัวที่จะส่งผลร้ายต่อองค์กรในท้ายที่สุด
แผนที่คิดมาอย่างดีช่วยให้บุคคลรับทราบถึงสิ่งที่ต้องปฏิบัติเมื่อเผชิญการโจมตีแต่ละขั้น เพื่อให้ตนไม่ต้องตัดสินใจเองหน้างาน และหลังจากการกู้คืนหากมีคำถามจากสาธารณชน องค์กรจะสามารถแสดงวิธีการตอบสนองได้อย่างชัดเจน และช่วยให้ลูกค้าสบายใจว่าบริษัทให้ความสำคัญกับเหตุการณ์นี้อย่างจริงจังและดำเนินการตามขั้นตอนที่จำเป็นเพื่อป้องกันผลลัพธ์ที่เลวร้ายลง
ขั้นตอนในการตอบสนองต่อเหตุการณ์
มีหลายวิธีการในการจัดการการตอบสนองต่อเหตุการณ์ และหลายองค์กรพึ่งพาองค์กรมาตรฐานด้านการรักษาความปลอดภัยเพื่อเป็นแนวทางในการดำเนินการ SysAdmin Audit Network Security (SANS) เป็นองค์กรเอกชนที่มีเฟรมเวิร์กการตอบสนองในหกขั้นตอน ซึ่งระบุไว้ด้านล่าง หลายองค์กรยังนำเฟรมเวิร์กการกู้คืนหลังเกิดเหตุการณ์ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) มาใช้อีกด้วย
- การเตรียมการ - ก่อนเกิดเหตุการณ์ สิ่งสำคัญคือการลดช่องโหว่ และกำหนดนโยบายและกระบวนงานด้านความปลอดภัย ในขั้นการเตรียมการ องค์กรจะดำเนินการประเมินความเสี่ยงเพื่อพิจารณาระบุจุดที่มีจุดอ่อนและจัดลำดับความสำคัญของแอสเซท การดำเนินการขั้นนี้รวมถึงการเขียนและปรับแต่งกระบวนงานด้านการรักษาความปลอดภัย การกำหนดบทบาทและหน้าที่ความรับผิดชอบ และการอัปเดตระบบเพื่อลดความเสี่ยง องค์กรส่วนใหญ่มักดำเนินการในขั้นนี้ซ้ำเป็นประจำและปรับปรุงนโยบาย กระบวนงาน และระบบเมื่อได้เรียนรู้บทเรียนใหม่ๆ หรือเทคโนโลยีมีการเปลี่ยนแปลง
- การระบุภัยคุกคาม - ในวันหนึ่งๆ ทีมรักษาความปลอดภัยอาจได้รับการแจ้งเตือนหลายพันรายการที่บ่งชี้ถึงกิจกรรมที่น่าสงสัย กิจกรรมบางส่วนเป็นผลบวกลวงหรืออาจไม่ยกระดับขึ้นเป็นเหตุการณ์ เมื่อระบุเหตุการณ์ได้แล้ว ทีมจะเจาะลึกถึงลักษณะของการเจาะระบบความปลอดภัยและข้อมูลที่ค้นพบในเอกสาร รวมถึงที่มาของการเจาะระบบความปลอดภัย ประเภทของการโจมตี และเป้าหมายของผู้โจมตี ในขั้นนี้ ทีมยังจำเป็นต้องแจ้งให้ผู้เกี่ยวข้องรับทราบและสื่อสารถึงขั้นตอนถัดไปอีกด้วย
- การควบคุมภัยคุกคาม - การควบคุมภัยคุกคามให้เร็วที่สุดถือเป็นความสำคัญลำดับรองลงมา ยิ่งปล่อยให้ผู้ไม่หวังดีเข้าถึงได้นานเท่าใด พวกเขาก็จะยิ่งก่อความเสียหายได้มากขึ้นเท่านั้น ทีมรักษาความปลอดภัยจะทำงานเพื่อแยกแอปพลิเคชันหรือระบบที่ถูกโจมตีออกจากเครือข่ายส่วนที่เหลืออย่างรวดเร็ว ซึ่งช่วยป้องกันไม่ให้ผู้โจมตีเข้าถึงส่วนอื่นๆ ของธุรกิจได้
- การกำจัดภัยคุกคาม - เมื่อการควบคุมเสร็จสมบูรณ์ ทีมจะกำจัดผู้โจมตีและมัลแวร์ออกจากระบบและทรัพยากรที่ได้รับผลกระทบ ซึ่งอาจรวมถึงการปิดระบบเพื่อออฟไลน์ ทีมยังคงแจ้งให้ผู้เกี่ยวข้องรับทราบถึงความคืบหน้าอย่างต่อเนื่องอีกด้วย
- การกู้คืนและการคืนค่า - การกู้คืนจากเหตุการณ์อาจใช้เวลาหลายชั่วโมง เมื่อภัยคุกคามสิ้นสุดลง ทีมจะคืนค่าระบบ กู้คืนข้อมูลจากการสำรองข้อมูล และตรวจสอบจุดที่ได้รับผลกระทบเพื่อให้แน่ใจว่าผู้โจมตีจะไม่กลับมาอีก
- ข้อคิดเห็นและการปรับแต่ง - เมื่อเหตุการณ์ได้รับการแก้ไข ทีมจะตรวจสอบสิ่งที่เกิดขึ้นและระบุการปรับปรุงที่สามารถดำเนินการได้กับกระบวนการ การเรียนรู้จากขั้นนี้ช่วยให้ทีมปรับปรุงระบบการป้องกันขององค์กรได้
ทีมตอบสนองต่อเหตุการณ์คืออะไร
ทีมตอบสนองต่อเหตุการณ์ซึ่งเรียกอีกอย่างว่าทีมตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของคอมพิวเตอร์ (CSIRT), ทีมตอบสนองต่อเหตุการณ์ไซเบอร์ (CIRT), หรือทีมตอบสนองต่อเหตุฉุกเฉินเกี่ยวกับคอมพิวเตอร์ (CERT) ประกอบด้วยกลุ่มบุคลากรข้ามสายงานในองค์กรที่มีหน้าที่รับผิดชอบในการดำเนินการตามแผนตอบสนองต่อเหตุการณ์ ซึ่งไม่เพียงรวมถึงบุคคลที่กำจัดภัยคุกคามเท่านั้น แต่ยังรวมถึงบุคคลที่ตัดสินใจทางธุรกิจหรือทางกฎหมายที่เกี่ยวข้องกับเหตุการณ์ด้วย ทีมโดยทั่วไปประกอบด้วยสมาชิกดังต่อไปนี้:
ผู้จัดการการตอบสนองต่อเหตุการณ์ซึ่งมักจะเป็นผู้อำนวยการฝ่ายไอที จะกำกับดูแลการตอบสนองทุกขั้นและแจ้งให้ผู้เกี่ยวข้องภายในรับทราบ
นักวิเคราะห์ด้านการรักษาความปลอดภัยจะศึกษาเหตุการณ์ดังกล่าวเพื่อพยายามทำความเข้าใจถึงสิ่งที่เกิดขึ้น พร้อมทั้งบันทึกการค้นพบและรวบรวมหลักฐานการพิสูจน์อีกด้วย
นักวิจัยด้านภัยคุกคามจะศึกษาข้อมูลภายนอกองค์กรเพื่อรวบรวมข่าวกรองที่ให้บริบทเพิ่มเติม
บุคคลจากคณะผู้บริหาร เช่น ประธานเจ้าหน้าที่บริหารฝ่ายการรักษาความปลอดภัยของข้อมูลหรือประธานเจ้าหน้าที่บริหารฝ่ายสารสนเทศ ให้คำแนะนำและทำหน้าที่เป็นผู้ประสานงานกับผู้บริหารคนอื่นๆ
ผู้เชี่ยวชาญด้านทรัพยากรบุคคลจะช่วยจัดการภัยคุกคามจากภายใน
ที่ปรึกษาทั่วไปจะช่วยทีมสำรวจปัญหาด้านการรับผิดและตรวจสอบให้แน่ใจว่ามีการรวบรวมหลักฐานการพิสูจน์
- ผู้เชี่ยวชาญด้านการประชาสัมพันธ์จะประสานงานในการสื่อสารภายนอกที่ถูกต้องกับสื่อ ลูกค้า และผู้เกี่ยวข้องรายอื่นๆ
ทีมตอบสนองต่อเหตุการณ์อาจเป็นชุดย่อยของศูนย์การดำเนินการรักษาความปลอดภัย (SOC) ซึ่งจัดการการดำเนินการรักษาความปลอดภัยนอกเหนือจากการตอบสนองต่อเหตุการณ์
ระบบการตอบสนองต่อเหตุการณ์แบบอัตโนมัติ
ในองค์กรส่วนใหญ่ เครือข่ายและโซลูชันการรักษาความปลอดภัยสร้างการแจ้งเตือนด้านความปลอดภัยมากเกินกว่าที่ทีมตอบสนองต่อเหตุการณ์จะจัดการได้ตามความเป็นจริง เพื่อช่วยให้องค์กรมุ่งเน้นไปที่ภัยคุกคามที่ถูกต้อง ธุรกิจจำนวนมากจึงใช้ระบบอัตโนมัติในการตอบสนองต่อเหตุการณ์ ระบบอัตโนมัติใช้ AI และการเรียนรู้ของเครื่องเพื่อคัดกรองการแจ้งเตือน ระบุเหตุการณ์ และกำจัดภัยคุกคามโดยการดำเนินการตามคู่มือการวางแผนกลยุทธ์ในการตอบสนองตามสคริปต์ทางโปรแกรม
Security Orchestration, Automation and Response (SOAR) เป็นเครื่องมือรักษาความปลอดภัยประเภทหนึ่งที่ธุรกิจต่างๆ ใช้ในการตอบสนองต่อเหตุการณ์แบบอัตโนมัติ โซลูชันเหล่านี้มีความสามารถดังต่อไปนี้:
เชื่อมโยงข้อมูลระหว่างปลายทางและโซลูชันการรักษาความปลอดภัยต่างๆ เพื่อระบุเหตุการณ์ที่มนุษย์สามารถติดตามผลได้
เรียกใช้คู่มือการวางแผนกลยุทธ์ที่เขียนสคริปต์ไว้ล่วงหน้าเพื่อแยกและระบุประเภทเหตุการณ์ที่รู้จัก
สร้างไทม์ไลน์การตรวจสอบที่ประกอบด้วยการดำเนินการ การตัดสินใจ และหลักฐานการพิสูจน์ที่สามารถใช้สำหรับการวิเคราะห์ได้
นำข่าวกรองภายนอกที่เกี่ยวข้องเข้ามาใช้ในการวิเคราะห์โดยมนุษย์
วิธีการใช้งานแผนการตอบสนองต่อเหตุการณ์
การพัฒนาแผนการตอบสนองต่อเหตุการณ์อาจฟังดูน่ากลัว แต่วิธีการดังกล่าวสามารถลดความเสี่ยงที่ธุรกิจของคุณจะไม่มีความพร้อมในระหว่างเหตุการณ์สำคัญได้อย่างมาก วิธีการเริ่มต้นใช้งานมีดังนี้:
-
ระบุและจัดลำดับความสำคัญของแอสเซท
ขั้นตอนแรกในแผนการตอบสนองต่อเหตุการณ์คือการรับทราบถึงสิ่งที่คุณกำลังปกป้อง บันทึกข้อมูลที่สำคัญสำหรับองค์กรของคุณ รวมถึงตำแหน่งที่ตั้งของข้อมูลและระดับความสำคัญต่อธุรกิจ
-
ระบุความเสี่ยงที่อาจเกิดขึ้น
ทุกองค์กรมีความเสี่ยงที่แตกต่างกัน ทำความคุ้นเคยกับช่องโหว่ที่ใหญ่ที่สุดในองค์กรของคุณและประเมินวิธีการที่ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เหล่านั้นได้
-
พัฒนากระบวนงานในการตอบสนอง
ในระหว่างเหตุการณ์ที่ตึงเครียด กระบวนงานที่ชัดเจนจะช่วยให้มั่นใจว่าเหตุการณ์ได้รับการแก้ไขอย่างรวดเร็วและมีประสิทธิภาพ เริ่มต้นด้วยการให้คำจำกัดความสิ่งที่ถือเป็นเหตุการณ์ แล้วกำหนดขั้นตอนที่ทีมของคุณควรดำเนินการเพื่อตรวจจับ แยก และกู้คืนจากเหตุการณ์ รวมถึงกระบวนงานในการบันทึกการตัดสินใจและการรวบรวมหลักฐาน
-
สร้างทีมตอบสนองต่อเหตุการณ์
สร้างทีมข้ามสายงานที่มีหน้าที่รับผิดชอบในการทำความเข้าใจกระบวนงานในการตอบสนองและระดมกำลังหากมีเหตุการณ์เกิดขึ้น ตรวจสอบให้แน่ใจว่าได้กำหนดบทบาทและบัญชีสำหรับบทบาทที่ไม่ใช่ด้านเทคนิคอย่างชัดเจน ซึ่งสามารถช่วยในการตัดสินใจเกี่ยวกับการสื่อสารและการรับผิดได้ รวมบุคคลในทีมผู้บริหารที่จะเป็นผู้สนับสนุนทีมและความต้องการของทีมในระดับสูงสุดของบริษัท
-
กำหนดแผนการสื่อสารของคุณ
แผนการสื่อสารจะทำให้คุณไม่ต้องคาดเดาช่วงเวลาและวิธีการที่จะแจ้งให้ผู้อื่นทั้งภายในและภายนอกองค์กรรับทราบถึงสิ่งที่เกิดขึ้น คำนึงถึงสถานการณ์ต่างๆ เพื่อช่วยให้คุณระบุสถานการณ์ที่คุณต้องแจ้งให้ผู้บริหาร ทั้งองค์กร ลูกค้า และสื่อหรือผู้เกี่ยวข้องภายนอกรายอื่นๆ รับทราบ
-
ฝึกอบรมพนักงาน
ผู้ไม่หวังดีมุ่งเป้าไปที่พนักงานทุกระดับขององค์กร ซึ่งเป็นเหตุผลว่าเหตุใดทุกคนจึงควรเข้าใจแผนการตอบสนองของคุณ และรับทราบสิ่งที่ต้องปฏิบัติหากสงสัยว่าตนตกเป็นเหยื่อของการโจมตี ทดสอบพนักงานของคุณเป็นระยะเพื่อยืนยันว่าพวกเขารู้จักอีเมลฟิชชิ่ง และทำให้พนักงานสามารถแจ้งให้ทีมตอบสนองต่อเหตุการณ์รับทราบได้ง่าย หากบังเอิญคลิกลิงก์ที่ไม่ดีหรือเปิดไฟล์แนบที่ติดไวรัส
โซลูชันในการตอบสนองต่อเหตุการณ์
การเตรียมพร้อมสำหรับเหตุการณ์สำคัญถือเป็นส่วนสำคัญในการดูแลองค์กรของคุณให้ปลอดภัยจากภัยคุกคาม การจัดตั้งทีมตอบสนองต่อเหตุการณ์ภายในจะช่วยให้คุณมั่นใจได้ว่าคุณจะมีความพร้อมหากตกเป็นเหยื่อของผู้ไม่หวังดี
ใช้ประโยชน์จากโซลูชัน SIEM และ SOAR เช่น Microsoft Sentinel ที่ใช้ระบบอัตโนมัติเพื่อช่วยให้คุณระบุและตอบสนองต่อเหตุการณ์โดยอัตโนมัติ องค์กรที่มีทรัพยากรน้อยสามารถเสริมทีมของตนด้วยผู้ให้บริการที่สามารถจัดการการตอบสนองต่อเหตุการณ์ได้หลายขั้น แต่ไม่ว่าคุณจะจัดหาบุคลากรจากภายในหรือภายนอกเพื่อตอบสนองต่อเหตุการณ์ อย่าลืมว่าคุณต้องมีแผนเสมอ
เรียนรู้เพิ่มเติมเกี่ยวกับ Microsoft Security
Microsoft Threat Protection
ระบุและตอบสนองต่อเหตุการณ์ทั่วทั้งองค์กรของคุณด้วยการป้องกันภัยคุกคามที่อัปเดตล่าสุด
Microsoft Sentinel
ค้นพบภัยคุกคามที่ซับซ้อนและตอบสนองอย่างเด็ดขาดด้วยโซลูชัน SIEM ที่มีประสิทธิภาพซึ่งขับเคลื่อนโดยระบบคลาวด์และ AI
Microsoft Defender XDR
หยุดยั้งการโจมตีปลายทาง อีเมล ข้อมูลประจำตัว แอปพลิเคชัน และข้อมูลในจุดต่างๆ
คำถามที่ถามบ่อย
-
การตอบสนองต่อเหตุการณ์คือกิจกรรมทั้งหมดที่องค์กรดำเนินการเมื่อสงสัยว่ามีการเจาะระบบความปลอดภัย เป้าหมายคือการแยกและกำจัดผู้โจมตีโดยเร็วที่สุด ปฏิบัติตามระเบียบบังคับด้านความเป็นส่วนตัวของข้อมูล และกู้คืนอย่างปลอดภัยโดยองค์กรได้รับความเสียหายน้อยที่สุด
-
ทีมข้ามสายงานมีหน้าที่รับผิดชอบในการตอบสนองต่อเหตุการณ์ โดยทั่วไปแล้วฝ่ายไอทีจะรับผิดชอบในการระบุ แยก และกู้คืนจากภัยคุกคาม อย่างไรก็ตาม การตอบสนองต่อเหตุการณ์มีมากกว่าเพียงแค่การค้นหาและกำจัดผู้ไม่หวังดี บางคนอาจต้องดำเนินการตัดสินใจทางธุรกิจ เช่น วิธีจัดการกับค่าไถ่ ทั้งนี้ขึ้นอยู่กับประเภทของการโจมตี ที่ปรึกษาด้านกฎหมายและผู้เชี่ยวชาญด้านการประชาสัมพันธ์จะช่วยตรวจสอบให้แน่ว่าองค์กรปฏิบัติตามกฎหมายความเป็นส่วนตัวของข้อมูล รวมถึงการแจ้งเตือนลูกค้าและรัฐบาลอย่างเหมาะสม หากการคุกคามเกิดขึ้นจากพนักงาน ฝ่ายทรัพยากรบุคคลจะให้คำแนะนำเกี่ยวกับการดำเนินการที่เหมาะสม
-
CSIRT คืออีกชื่อหนึ่งของทีมตอบสนองต่อเหตุการณ์ ซึ่งประกอบด้วยทีมบุคลากรข้ามสายงานที่มีหน้าที่รับผิดชอบในการจัดการทุกด้านของการตอบสนองเหตุการณ์ รวมถึงการตรวจจับ แยก และกำจัดภัยคุกคาม การกู้คืน การสื่อสารภายในและภายนอก การบันทึกข้อมูล และการวิเคราะห์เพื่อการพิสูจน์
-
องค์กรส่วนใหญ่ใช้โซลูชัน SIEM หรือ SOAR เพื่อช่วยระบุและตอบสนองต่อภัยคุกคาม โดยทั่วไปแล้วโซลูชันเหล่านี้จะรวบรวมข้อมูลจากหลายระบบและใช้การเรียนรู้ของเครื่องเพื่อช่วยระบุภัยคุกคามที่แท้จริง ซึ่งยังสามารถตอบสนองต่อภัยคุกคามบางประเภทได้แบบอัตโนมัติตามคู่มือการวางแผนกลยุทธ์ที่เขียนสคริปต์ไว้ล่วงหน้าได้อีกด้วย
-
วงจรชีวิตของการตอบสนองต่อเหตุการณ์ประกอบด้วยหกขั้นตอน ได้แก่:
- การเตรียมการเกิดขึ้นก่อนที่จะมีการระบุเหตุการณ์และประกอบด้วยคำจำกัดความของสิ่งที่องค์กรพิจารณาว่าเป็นเหตุการณ์ รวมถึงนโยบายและกระบวนงานทั้งหมดที่จำเป็นในการป้องกัน ตรวจจับ กำจัด และกู้คืนจากการโจมตี
- การระบุภัยคุกคามเป็นกระบวนการที่ใช้ทั้งนักวิเคราะห์ที่เป็นมนุษย์และระบบอัตโนมัติเพื่อระบุว่าเหตุการณ์ใดเป็นภัยคุกคามที่แท้จริงที่ต้องได้รับการแก้ไข
- การควบคุมภัยคุกคามคือการดำเนินการที่ทีมดำเนินการเพื่อแยกภัยคุกคามออกและป้องกันไม่ให้ลามไปยังส่วนอื่นๆ ของธุรกิจ
- การกำจัดภัยคุกคามรวมถึงขั้นตอนในการกำจัดมัลแวร์และผู้โจมตีออกจากองค์กร
- การกู้คืนและการคืนค่ารวมถึงการรีสตาร์ตระบบและเครื่อง และการกู้คืนข้อมูลที่สูญหาย
- ข้อคิดเห็นและการปรับแต่งเป็นกระบวนการที่ทีมใช้เพื่อค้นหาบทเรียนจากเหตุการณ์ดังกล่าว และนำสิ่งที่ได้เรียนรู้มาเหล่านั้นไปใช้กับนโยบายและกระบวนงาน
ติดตาม Microsoft