Digital Forensics:Incident Response Plan & Playbook
เนื่องด้วย แอดได้ข้อมูลจาก Meetup ประจำเดือนมิถุนายนของ 2600Thailand x OWASP ใน ปี 2025
เรื่อง Incident Response Plan & Playbook
โดยคุณ Setthawhut Saennam จาก MFEC Co., Ltd เมื่อวันศุกร์ ที่ 27 มิถุนายน 2568
Info by :Setthawhut Saennam 2600Thailand x OWASP
Info by :Setthawhut Saennam
Info by :Setthawhut Saennam
https://www.mdes.go.th/law/detail/5049
Info by :Setthawhut Saennam
Info by :Setthawhut Saennam
Info by :Setthawhut Saennam
https://csrc.nist.gov/projects/incident-response
Info by :Setthawhut Saennam
Info by :Setthawhut Saennam
Detection and Response Roles Overview
Info by :Setthawhut Saennam
https://www.mdes.go.th/law/detail/5049
Info by :Setthawhut Saennam
DFIR Ransomware Cyber Extortion
https://www.sans.org/posters/ransomware-and-cyber-extortion/
Info by :Setthawhut Saennam
https://www.cisa.gov/resources-tools/resources/federal-government-cybersecurity-incident-and-vulnerability-response-playbooks
Info by :Setthawhut SaennamIncident Response vs Digital Forensics
- Incident Response (IR)is immediateandaimed at stopping threats and reducing impact during an incident to resume normal business operations.
- Digital Forensics (DF)is about precision—collecting, preserving, and analyzing evidence for legal or potential legal matters (civil or criminal).
https://brettshavers.com/brett-s-blog/entry/should-df-be-separated-from-ir-1
Info by :Setthawhut Saennam
Incident Response vs Digital Forensics
| Aspect | Incident Response (IR) | Digital Forensics (DF) |
| Primary Objective (วัตถุประสงค์หลัก) |
Manage and mitigate security incidents (จัดการและบรรเทาเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย) |
Collect, preserve, and analyze digital evidence |
| End Goal | Contain and recover from attacks quickly (ควบคุมและกู้คืนจากการโจมตีอย่างรวดเร็ว ) |
Provide evidence for legal proceedings (จัดเตรียมหลักฐานสำหรับกระบวนการทางกฎหมาย) |
| Role Focus | Incident responder or analyst (ผู้ตอบสนองเหตุการณ์หรือผู้วิเคราะห์) |
Examiner or analyst (ผู้ตรวจสอบหรือผู้วิเคราะห์) |
| Evidence Handling (การจัดการหลักฐาน) |
Focused on system recovery and containment (เน้นการกู้คืนและควบคุมระบบ) |
Strict chain of custody and preservation (ห่วงโซ่การควบคุมและการเก็บรักษาที่เข้มงวด) |
| Legal Standards (มาตรฐานทางกฎหมาย) |
May not meet legal standards unless specified (อาจไม่เป็นไปตามมาตรฐานทางกฎหมาย เว้นแต่จะระบุไว้) |
Meets courtroom admissibility standards (เป็นไปตามมาตรฐานการรับฟังความคิดเห็นของศาล) |
| Time Sensitivity | Highly time-sensitive for operational recovery (มีความอ่อนไหวต่อเวลาสูงสำหรับการกู้คืนการดำเนินงาน) |
Not as time-sensitive unless court deadlines (ไม่อ่อนไหวต่อเวลามากนัก เว้นแต่จะถึงกำหนดเส้นตายของศาล) |
| Typical Context | Cybersecurity incidents, breaches, and intrusions (เหตุการณ์ด้านความปลอดภัยทางไซเบอร์ การละเมิด และการบุกรุก) | Criminal, civil, or regulatory investigations (การสอบสวนทางอาญา ทางแพ่ง หรือทางกฎระเบียบ) |
| Use of Tools | Uses similar tools for rapid analysis (ใช้เครื่องมือที่คล้ายกันสำหรับการวิเคราะห์อย่างรวดเร็ว) |
Uses forensic tools for evidence extraction (ใช้เครื่องมือทางนิติเวชสำหรับการสกัดหลักฐาน) |
| Training Emphasis | Emphasizes quick action and recovery (เน้นการดำเนินการอย่างรวดเร็วและการฟื้นตัว) |
Emphasizes legal procedures and evidence integrity (เน้นขั้นตอนทางกฎหมายและความสมบูรณ์ของหลักฐาน) |
| Mindset | Operational and urgent (ปฏิบัติการและเร่งด่วน) |
Legal and methodical (กฎหมายและระเบียบวิธี) |
| Reporting | Reports focus on recovery steps and impact for business (รายงานเน้นที่ขั้นตอนการฟื้นฟูและผลกระทบต่อธุรกิจ) |
Detailed and legally sound reports for legal proceedings (รายงานรายละเอียดและถูกต้องตามกฎหมายสำหรับการดำเนินคดีทางกฎหมาย) |
ขออนุญาติแชร์บางส่วนครับ
แอดขอขอบคุณ Setthawhut Saennam(คุณต้า)จาก MFEC Co., Ltd. ผู้ให้ข้อมูลดีๆและมีประโยชน์ต่อชาว Security เสมอมาครับ
Download Incident Response Plan & Playbook
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
