การดำเนินการเมื่อระดับภัยคุกคามทางไซเบอร์สูงขึ้น

ภัยคุกคามทางไซเบอร์ที่มีต่อองค์กร มีการเปลี่ยนแปลงตลอดเวลา องค์กรจึงจำเป็นที่จะต้องปรับสมดุลระหว่างระดับความเสี่ยง ณ ขณะนั้นๆ ต่อมาตรการป้องกันภัยคุกคาม

หมายเหตุ บทความนี้แปลจากบทความ Actions to take when the cyber threat is heightened ที่เผยแพร่โดย National Cyber Security Centre สหราชอาณาจักร

การสร้างความสมดุลย์ระหว่างความเสี่ยงทางไซเบอร์กับระดับการระวังป้องกันทางไซเบอร์

ภัยคุกคามทางไซเบอร์ที่มีต่อองค์กร มีการเปลี่ยนแปลงตลอดเวลา องค์กรจึงจำเป็นที่จะต้องปรับสมดุลระหว่างระดับความเสี่ยง ณ ขณะนั้นๆ ต่อมาตรการป้องกันภัยคุกคาม ซึ่งรวมถึงค่าใช้จ่ายในการดำเนินการมาตรการนั้นๆ

บางช่วงเวลา ระดับของภัยคุกคามจะเพิ่มสูงขึ้นมากกว่าปกติ การยกระดับแจ้งเตือนภัยคุกคามทางไซเบอร์ มีประโยชน์ดังนี้

1. ช่วยให้สามารถกำหนดลำดับความสำคัญของการดำเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
2. ช่วยเพิ่มระดับการป้องกันได้เป็นการชั่วคราว
3. ช่วยให้องค์กรสามารถป้องกันการโจมตีทางไซเบอร์ที่มีโอกาสเกิดสูงขึ้น และสามารถทำให้ระบบสามารถกลับสู่สภาวะปกติ จากความเสียหายที่เกิดขึ้นได้อย่างรวดเร็ว

ซึ่งแนวทางที่ระบุในบทความนี้จะอธิบายถึงปัจจัยที่ทำให้ระดับภัยคุกคามทางไซเบอร์เปลี่ยนแปลง รวมถึงขั้นตอนที่องค์กรสามารถดำเนินการให้สอดคล้องกับระดับภัยคุกคามที่เพิ่มสูงขึ้น

ปัจจัยที่ส่งผลกระทบต่อระดับภัยคุกคามทางไซเบอร์ขององค์กร

มุมมองเกี่ยวกับภัยคุกคามทางไซเบอร์ขององค์กร อาจจะเปลี่ยนแปลงได้ตลอดเวลา จากการได้ข้อมูลเกี่ยวกับภัยคุกคามทางไซเบอร์ที่สูงขึ้น ซึ่งอาจมีสาเหตุจากการที่ฝ่ายตรงข้ามมีขีดความสามารถที่สูงขึ้น เช่นการค้นพบและใช้ประโยชน์จากจุดอ่อนประเภท Zero-day หรือเกิดจากสถานการณ์ความขัดแย้งด้านการเมืองเช่น hacktivism เป็นต้น ซึ่งสร้างแรงจูงใจให้มีการโจมตีทางไซเบอร์เพิ่มสูงขึ้น

จากปัจจัยข้างต้น องค์กรไม่ว่าจะขนาดเล็กหรือขนาดใหญ่ จำเป็นที่ต้องเตรียมความพร้อมในการตอบสนองต่อเหตุการณ์ที่เกิดขึ้น องค์กรไม่สามารถทำให้ระดับภัยคุกคามลดลงได้ ดังนั้นสิ่งที่ควรทำคือต้องทำให้จุดอ่อนที่สามารถถูกโจมตีได้ลดลง ซึ่งจะช่วยลดผลกระทบจากการโจมตีทางไซเบอร์ที่สำเร็จได้

ซึ่งแม้จะการโจมตีจะมีความบซ้อนและใช้เทคนิคขั้นสูง แต่จุดเริ่มต้นก็ยังคงต้องอาศัยจุดอ่อนของระบบสารสนเทศ การตั้งค่าระบบไม่ถูกต้อง การโจมตีบัญชีผู้ใช้งานระบบ ดังนั้นการกำจัดจุดอ่อน จึงช่วยจำกัดขีดความสามารถในการโจมตี และลดระดับความเสี่ยงด้านไซเบอร์ขององค์กรได้ในที่สุด

ขั้นตอนที่ควรดำเนินการ

สิ่งที่สำคัญที่องค์กรควรดำเนินการ คือการดำเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นพื้นฐาน เพื่อการป้องกันอุปกรณ์ เครือข่าย และระบบสารสนเทศ การดำเนินการดังต่อไปนี้ เป็นการดำเนินการด้านสุขอนามัยทางไซเบอร์ (Cyber hygiene) ขั้นพื้นฐาน ซึ่งองค์กรควรพยายามอย่างถึงที่สุดที่จะดำเนินการตามขั้นตอนที่กำหนดต่อไปนี้ให้มากที่สุด แม้ว่าจะไม่สามารถดำเนินการได้ทั้งหมดก็ตาม

1. การปรับปรุงระบบให้ทันสมัยอยู่เสมอ ในที่นี้ครอบคลุมทั้งซอฟท์แวร์ระบบปฏิบัติการ และซอฟท์แวร์ที่มีการใช้งานอื่นที่มีการใช้งานในองค์กร ทั้งที่ติดตั้งบนเครื่องผู้ใช้งานในองค์กร หรือติดตั้งบนอุปกรณ์เคลื่อนที่ต่างๆ ถ้าเป็นไปได้ ควรทำให้กระบวนการตรวจสอบและปรับปรุงซอฟท์แวร์ทำงานโดยอัตโนมัติ
2. การตรวจสอบมาตรการควบคุมการเข้าถึงระบบ
   2.1 การตรวจสอบการตั้งรหัสผ่าน ให้มีความซับซ้อน ยากต่อการคาดเดา และไม่ใช้ซ้ำ
   2.2 การตรวจสอบบัญชีผู้ใช้ โดยเฉพาะบัญชีสำคัญ (privileged account) ว่ามีการใช้งานที่ผิดปกติหรือไม่ และลบบัญชีที่ไม่ได้มีการใช้งานแล้ว รวมถึงการใช้เทคนิค multi-factor authentication เพื่อเพิ่มระดับความปลอดภัยอีกด้วย
3. การตรวจสอบว่ามาตรการป้องกันการโจมตีทางไซเบอร์ทำงานได้อย่างเป็นปกติ
   3.1 ตรวจสอบว่าระบบรักษาความมั่นคงปลอดภัยไซเบอร์ที่มี ทำงานได้เป็นปกติ มีการปรับปรุงฐานข้อมูลอย่างสม่ำเสมอ
   3.2 ตรวจสอบกฎการทำงานของอุปกรณ์ Firwall ว่ามีกฎที่อนุญาตให้เข้าถึงระบบหรือเครือข่ายแบบชั่วคราวอยู่หรือไม่
4. การตรวจสอบเฝ้าระวัง และการบันทึกการใช้งาน ทำความเข้าใจว่ามีการเก็บบันทึกการใช้งานอะไรบ้าง และเก็บที่ใด เป็นระยะเวลาเท่าใด
5. การตรวจสอบการสำรองข้อมูล
   5.1 ตรวจสอบว่ากระบวนการ และระบบที่ใช้ในการสำรองข้อมูล ทำงานได้เป็นปกติ และกระบวนการกู้คืนข้อมูลจากข้อมูลสำรองใช้งานได้และผู้ที่เกี่ยวข้องรับทราบขั้นตอนการปฏิบัติ
   5.2 ตรวจสอบวงรอบการสำรองข้อมูล ว่าสม่ำเสมอเพียงพอที่ในระดับความเสียหายที่ยอมรับได้
   5.3 ตรวจสอบว่าสถานของระบบที่สำคัญ รวมถึงข้อมูลที่สำคัญภายนอก ได้รับการสำรองข้อมูล ไม่เพียงแค่ตัวข้อมูลเท่านั้น
6. การมีแผนเผชิญเหตุการณ์ด้านไซเบอร์
   6.1 ตรวจสอบว่าแผนเผชิญเหตุการณ์ด้านไซเบอร์ที่มี ได้รับการปรับปรุงให้ทันสมัยอยู่เสมอ
   6.2 ตรวจสอบสายการปฏิบัติ ข้อมูลการติดต่อประสานงาน ให้ทันสมัยอยู่เสมอ
   6.3 ตรวจสอบว่าขั้นตอนการปฏิบัติต่างๆ ในแผน ระบุผู้รับผิดชอบชัดเจน โดยเฉพาะหากเกิดเหตุการณ์ในช่วงนอกเวลางาน
   6.4 ตรวจสอบเครื่องมือการดำเนินการ/การติดต่อสื่อสารที่จะต้องใช้ในแผนว่าสามารถใช้การได้ โดยเฉพาะอย่างยิ่งเมื่อระบบสารสนเทศใช้การไม่ได้
7. การตรวจสอบ Internet footprint
   7.1 ตรวจสอบข้อมูลต่างๆ ขององค์กร ที่อยู่ในฝั่งอินเทอร์เน็ต เช่น IP address, Domain Name
   7.2 ทำการทดสอบค้นหาจุดอ่อนจากภายนอกเสมือนว่าเป็นผู้โจมตี เพื่อให้ทราบว่าจะต้องมีการปรับปรุงซอฟท์แวร์ที่ระบบ/อุปกรณ์ใดเพิ่มเติม
8. การมีมาตรการรองรับการลวง เพื่อทดสอบความตระหนักรู้เกี่ยวกับภัยคุกคามทางไซเบอร์ของบุคลากรในองค์กร
9. การตรวจสอบการเข้าถึงของหน่วยงานภายนอก ถ้าหน่วยงานภายนอกสามารถเข้าถึงระบบสารสนเทศ/เครือข่ายขององค์กรได้ ให้ทำการตรวจสอบว่าการเข้าถึงดังกล่าวมีขอบเขต และสิทธิ์ในการเข้าถึงมากแค่ไหน และตัดการเข้าถึงที่ไม่จำเป็นและไม่มีการใช้งานออก รวมถึงทำความเข้าใจกระบวนการจัดการด้านความมั่นคงปลอดภัยของหน่วยงานภายนอกที่เราติดต่อด้วย
10. การเผยแพร่ข้อมูลสถานการณ์ภัยคุกคามด้านไซเบอร์ให้คนในองค์กรทราบ ทำให้หน่วยงานอื่นในองค์กร รับรู้สถานการณ์ด้านภัยคุกคามที่เพิ่มสูงขึ้น รวมถึงผลกระทบที่อาจจะเกิดขึ้นกับพวกเขาเหล่านั้น หากมีการโจมตีทางไซเบอร์ขึ้น และให้พวกเขารู้จักสังเกตและรายงานความผิดปกติที่อาจเกิดขึ้นซึ่งเป็นสิ่งบอกเหตุถึงการโจมตีทางไซเบอร์

การดำเนินการขั้นสูง

องค์กรขนาดใหญ่ควรดำเนินการตามขั้นตอนที่ระบุข้างต้นทั้งหมด ซึ่งขั้นตอนเหล่านี้ถูกกล่าวถึงใน Cyber Assessment Framework ซึ่งเป็นแนวทางที่จะช่วยให้องค์กรเข้าใจความเสี่ยงด้านไซเบอร์ นอกจากขั้นตอนดังกล่าวแล้ว องค์กรที่มีทรัพยากรเพียงพอ สามารถที่จะปฏิบัติตามขั้นตอนที่จะกล่าวถึงเพิ่มเติมดังนี้

1. ถ้าองค์กรมีแผนที่จะปรับปรุงระดับการรักษาความมั่นคงปลอดภัยไซเบอร์อยู่แล้ว อาจจะทบทวนแผนดังกล่าวว่ามีอะไรที่สามารถดำเนินการได้เร็วขึ้นที่จะช่วยเพิ่มขีดความสามารถในการรักษาความมั่นคงปลอดภัยไซเบอร์ รองรับภัยคุกคามทางไซเบอร์ที่เพิ่มสูงขึ้น
2. ในช่วงที่มีการยกระดับการเตือนภัยคุกคามทางไซเบอร์ องค์กรควรหลีกเลี่ยงการเป็นแปลงกับระบบที่สำคัญ ที่ไม่เกี่ยวข้องกับการปรับปรุงด้านความมั่นคงปลอดภัย
3. องค์กรที่มีหน่วยงานเฝ้าระวังภัยคุกคามทางไซเบอร์เช่น ทีมรักษาความมั่นคงปลอดภัยหรือ Security Operation Centre (SOC) อาจพิจารณาขยายเวลาและความเข้มข้นการปฏิบัติงานเฝ้าระวัง เพื่อให้สามารถตรวจจับและตอบสนองกับภัยคุกคามทางไซเบอร์ได้อย่างรวดเร็วมากยิ่งขึ้น
4. นอกจากนี้หากองค์กรมีระบบเฝ้าระวังที่สามารถใช้ประโยชน์จากข้อมูลข่าวกรองภัยคุกคามทางไซเบอร์ อาจจะมีการจัดหาข้อมูลข่าวกรองดังกล่าวมาใช้เพื่อเพิ่มขีดความสามารถของระบบเฝ้าระวังที่มี