Digital Forensics:Incident Handling Cycle

Computer Security Incident Handling Guide NIST SP 800-61

ขั้นตอนที่ 1: การเตรียมการและป้องกันการเกิดภัยคุกคามทำงไซเบอร์

การดำเนินมาตรการเพื่อเตรียมการและป้องกันการเกิดภัยคุกคามทางไซเบอร์ (preparation)

เป็นสิ่งที่จะต้องทาในระยะเริ่มต้น เพื่อเตรียมความพร้อมเมื่อต้องเผชิญเหตุ ได้แก่ การจัดเตรียมข้อมูลให้พร้อมการจัดตั้งและฝึกอบรมบุคลากรหรือทีมงาน การจัดหาเครื่องมือและทรัพยากรต่าง ๆ ที่จ าเป็น การตั้งค่าระบบต่าง ๆให้ปลอดภัย การจัดทานโยบาย แผนงาน และกระบวนการที่เกี่ยวข้อง รวมถึงการสร้างเครือข่ายความร่วมมือ

ขั้นตอนที่ 2: กำรตรวจจับและวิเครำะห์ภัยคุกคำมทำงไซเบอร์

แม้ว่าหน่วยงานจะจัดให้มีมาตรการต่าง ๆ เพื่อป้องกันหรือควบคุมมิให้เกิดภัยคุกคามทางไซเบอร์

ขึ้นแล้วก็ตาม แต่หน่วยงานก็ยังคงต้องเตรียมความพร้อมอยู่เสมอเพื่อรับมือกับสถานการณ์ภัยคุกคามทางไซเบอร์ที่ไม่อาจหลีกเลี่ยงได้ การดาเนินมาตรการในการตรวจจับและวิเคราะห์ภัยคุกคามทางไซเบอร์

(detection and analysis) จึงเป็นสิ่งจำเป็นที่จะช่วยให้หน่วยงานสามารถบรรเทาความเสี่ยงที่ยังคงเหลืออยู่

และสามารถแจ้งเตือนได้อย่างทันท่วงทีเมื่อมีภัยคุกคามทางไซเบอร์เกิดขึ้น 

ขั้นตอนที่ 3: การระงับภัยคุกคามทำงไซเบอร์

1 ปราบปรำมภัยคุกคามทางไซเบอร์ 2 และการฟื้นฟูระบบงาน

ที่ได้รับผลกระทบเมื่อมีภัยคุกคามทางไซเบอร์เกิดขึ้นหรือเมื่อหน่วยงานได้รับแจ้งเตือนการเกิดภัยคุกคามทางไซเบอร์หน่วยงานควรกาหนดแนวทางการดาเนินมาตรการเพื่อระงับภัยคุกคามทางไซเบอร์ การปราบปรามภัยคุกคามทางไซเบอร์ และการฟื้นฟูระบบงานที่ได้รับผลกระทบ (containment, eradication, and recovery) โดยการดำเนินการดังกล่าว ควรกาหนดให้สอดคล้องกับความรุนแรงและระดับของภัยคุกคามทางไซเบอร์แต่ละระดับจนกระทั่งสามารถกู้คืนทรัพย์สินสาคัญทางสารสนเทศให้กลับมาดาเนินงานหรือให้บริการได้ตามปกติ การตรวจจับและวิเคราะห์ภัยคุกคามทางไซเบอร์ที่อาจมีการลุกลามหรือทวีความรุนแรงมากขึ้นเพื่อให้การระงับและการปราบปรามภัยคุกคามทางไซเบอร์ ตลอดจนการฟื้นฟูระบบงานที่ได้รับผลกระทบจากการเกิดภัยคุกคามทางไซเบอร์ สอดคล้องกับสถานการณ์ที่เปลี่ยนแปลงไป

ขั้นตอนที่ 4: กำรดำเนินการภายหลังกำรแก้ปัญหาภัยคุกคามทางไซเบอร์

การดำเนินกิจกรรมที่เกี่ยวข้องภายหลังการแก้ปัญหาภัยคุกคามทางไซเบอร์ (post-incident activity)นั้น หน่วยงานควรกำหนดขั้นตอน วิธีปฏิบัติ หรือกำหนดนโยบายภายในที่เกี่ยวข้องเพื่อให้มีแนวทางที่ชัดเจน  ซึ่งการปฏิบัติตามมาตรการดังกล่าว จะช่วยให้หน่วยงานสามารถเรียนรู้จากเหตุภัยคุกคามทางไซเบอร์ที่ผ่านมา และสามารถหาแนวทางเพื่อแก้ไขจุดบกพร่องและพัฒนาแนวทางรับมือกับภัยคุกคามทางไซเบอร์ต่อไปในอนาคต นอกจากนี้หน่วยงานต้องเก็บรักษาข้อมูลและพยานหลักฐานที่จำเป็น เพื่อใช้ในกระบวนการทางนิติวิทยาศาสตร์ หรือใช้ในกรณี

ที่ต้องการร้องทุกข์หรือดาเนินคดี เนื่องจากภัยคุกคามทางไซเบอร์ที่เกิดขึ้นนั้น อาจเข้าลักษณะเป็นความผิดตามประมวลกฎหมายอาญา หรือพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๖๐และที่แก้ไขเพิ่มเติม (ถ้ามี) หรือกฎหมายอื่น ๆ ที่เกี่ยวข้อง (โดยการเก็บข้อมูลบางประเภทนั้นอาจจำเป็นต้องดาเนินการตั้งแต่เมื่อมีการตรวจพบว่ามีภัยคุกคามทางไซเบอร์เกิดขึ้น เนื่องจากข้อมูลดังกล่าวอาจสูญหายไปในระหว่างที่ต้องระงับเหตุภัยคุกคามทางไซเบอร์นั้น หรืออาจถูกลบหรือทำลายโดยผู้โจมตี)เมื่อมีการเก็บรวบรวมข้อมูลและหลักฐานที่จำเป็นตามวรรคหนึ่งแล้ว หน่วยงานควรนำข้อมูลและหลักฐานที่รวบรวมได้มาใช้ในการจัดทำบันทึกข้อมูลสถิติภัยคุกคามทางไซเบอร์ โดยอาจจัดทำเป็นรายสัปดาห์หรือรายเดือน เพื่อเสนอต่อผู้ที่มีหน้าที่ดูแลและรับผิดชอบภายในหน่วยงาน และกาหนดขั้นตอนที่หน่วยงานควรดำเนินการ เพื่อป้องกันไม่ให้เกิดภัยคุกคามทางไซเบอร์ในลักษณะดังกล่าวขึ้นอีกในอนาคต

นิยามศัพท์

การวางแผนบริหารความต่อเนื่อง (Business Continuity Planning : BCP) หมายถึง

กระบวนการในการสร้างระบบการทํางานเพื่อการป้องกันและฟื้นฟู จากภาวะคุกคามต่าง ๆ ที่ส่ง

ผลกระทบต่อธุรกิจ โดยการวางแผนนั้นต้องมั่นใจว่าบุคลากรรวมไปถึงทรัพยากรและสินทรัพย์ต่าง ๆ

จะได้รับการปกป้องเป็นอย่างดี และพร้อมใช้งานได้อย่างดีในทุก ๆ สถานการณ์

การจัดการภาวะวิกฤติ (Crisis Management) หมายถึง การจัดการในลักษณะที่

ลดความเสียหายให้น้อยที่สุดและช่วยให้องค์กรที่ได้รับผลกระทบสามารถฟื้นตัวได้อย่างรวดเร็ว

Traffi c Light Protocol (TLP) หมายถึง การจัดระดับชั้นความลับและความละเอียดอ่อนของ

ข่าวสารที่ใช้แบ่งปัน โดยมักแบ่งตามลําดับชั้นของสี

Web Defacement หมายถึง การโจมตีเว็บไซต์ที่เปลี่ยนรูปลักษณ์ของเว็บไซต์หรือหน้าเว็บ

ซึ่งเจาะเข้าไปในเว็บเซิร์ฟเวอร์และแทนที่เว็บไซต์ที่โฮสต์ด้วยเว็บไซต์ของตนเอง

อ้างอิงจาก

• NIST 800-86  Guide to Integrating Forensic Techniques into Incident Response
• Incident Response Plan & Playbook
• สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)The National Cyber Incident Response Plan of Thailand

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD