อธิบายการตอบสนองต่อเหตุการณ์: ซอฟต์แวร์ขั้นตอนและโอเพ่นซอร์ส

ยุคปัจจุบันของซูเปอร์คอมพิวเตอร์อยู่ในกระเป๋าของเรา อย่างไรก็ตาม แม้จะใช้เครื่องมือรักษาความปลอดภัยที่ดีที่สุด อาชญากรก็ยังโจมตีแหล่งข้อมูลออนไลน์ต่อไป โพสต์นี้มีขึ้นเพื่อแนะนำให้คุณรู้จักกับIncident Response (IR)อธิบายขั้นตอนต่างๆ ของ IR จากนั้นแสดงรายการซอฟต์แวร์โอเพ่นซอร์สฟรีสามตัวที่ช่วยในเรื่อง IR

การตอบสนองต่อเหตุการณ์คืออะไร

การตอบสนองต่อเหตุการณ์

เหตุการณ์(Incident)คืออะไร? อาจเป็นอาชญากรไซเบอร์หรือมัลแวร์ที่เข้าควบคุมคอมพิวเตอร์ของคุณ คุณไม่ควรละเลย IR เพราะมันสามารถเกิดขึ้นได้กับทุกคน ถ้าคุณคิดว่าคุณจะไม่ได้รับผลกระทบ คุณอาจจะคิดถูก แต่ไม่นานเพราะไม่มีการรับประกันว่าสิ่งใดที่เชื่อมต่อกับอินเทอร์เน็ต(Internet)เช่นนั้น สิ่งประดิษฐ์ใด ๆ ที่นั่นอาจปลอมแปลงและติดตั้งมัลแวร์บางตัวหรืออนุญาตให้อาชญากรไซเบอร์เข้าถึงข้อมูลของคุณโดยตรง

คุณควรมีเทมเพลตการตอบสนองต่อเหตุการณ์(Incident Response Template)เพื่อให้คุณสามารถตอบสนองในกรณีที่มีการโจมตี กล่าวอีกนัยหนึ่งIRไม่ได้เกี่ยวกับIFแต่เกี่ยวข้องกับWHENและHOWของวิทยาการสารสนเทศ

การตอบสนองต่อเหตุการณ์(Incident Response)ยังนำไปใช้กับภัยธรรมชาติอีกด้วย คุณทราบดีว่ารัฐบาลและประชาชนทั้งหมดเตรียมพร้อมเมื่อเกิดภัยพิบัติ พวกเขาไม่สามารถจินตนาการได้ว่าพวกเขาปลอดภัยอยู่เสมอ ในเหตุการณ์ธรรมชาติเช่นนี้ รัฐบาล กองทัพบก และองค์กรพัฒนาเอกชน ( เอ็นจีโอ(NGOs) ) จำนวนมาก ใน ทำนองเดียวกัน(Likewise)คุณก็ไม่สามารถมองข้ามIncident Response (IR) ในด้านไอทีได้เช่นกัน

โดยพื้นฐานแล้ว IR หมายถึงการเตรียมพร้อมสำหรับการโจมตีทางไซเบอร์และหยุดการโจมตีก่อนที่จะทำอันตรายใดๆ

การตอบสนองต่อเหตุการณ์ – หกขั้นตอน

ผู้เชี่ยวชาญด้านไอที(IT Gurus)ส่วนใหญ่อ้างว่ามีหกขั้นตอนของการ ตอบสนอง ต่อเหตุการณ์ (Incident Response)บางคนเก็บไว้ที่ 5 แต่หกก็ดีเพราะอธิบายได้ง่ายกว่า ต่อไปนี้คือขั้นตอน IR ที่ควรให้ความสำคัญขณะวางแผนเทมเพลตการตอบสนองต่อเหตุการณ์(Incident Response)

  1. การตระเตรียม
  2. บัตรประจำตัว
  3. กักกัน
  4. การกำจัด
  5. การกู้คืนและ
  6. บทเรียนที่ได้รับ

1] การตอบสนองต่อเหตุการณ์ – การเตรียมการ(1] Incident Response – Preparation)

คุณต้องเตรียมพร้อมในการตรวจจับและจัดการกับการโจมตีทางไซเบอร์ นั่นหมายความว่าคุณควรมีแผน ควรรวมถึงผู้ที่มีทักษะบางอย่างด้วย อาจรวมถึงบุคลากรจากองค์กรภายนอกหากคุณขาดพรสวรรค์ในบริษัทของคุณ จะดีกว่าถ้ามีเทมเพลต IR ที่ระบุว่าต้องทำอย่างไรในกรณีที่มีการโจมตีทางไซเบอร์ คุณสามารถสร้าง เองหรือดาวน์โหลดจากอินเทอร์เน็ต (Internet)มีเทมเพลตการตอบสนองต่อเหตุการณ์(Incident Response)มากมาย บน อินเทอร์เน็ต (Internet)แต่จะดีกว่าถ้าให้ทีมไอทีของคุณมีส่วนร่วมกับเทมเพลต เนื่องจากพวกเขารู้ดีเกี่ยวกับเงื่อนไขของเครือข่ายของคุณ

2] IR – บัตรประจำตัว(2] IR – Identification)

หมายถึงการระบุปริมาณการใช้งานเครือข่ายธุรกิจของคุณสำหรับความผิดปกติใดๆ หากคุณพบความผิดปกติใดๆ ให้เริ่มดำเนินการตามแผน IR ของคุณ คุณอาจได้วางอุปกรณ์และซอฟต์แวร์รักษาความปลอดภัยไว้เพื่อป้องกันการโจมตี

3] IR – การกักกัน(3] IR – Containment)

เป้าหมายหลักของกระบวนการที่สามคือการจำกัดผลกระทบจากการโจมตี มีวิธีการลดผลกระทบและป้องกันการโจมตีทางไซเบอร์ก่อนที่จะสร้างความเสียหายใดๆ

Containment of Incident Responseระบุทั้งแผนระยะสั้นและระยะยาว (สมมติว่าคุณมีเทมเพลตหรือวางแผนที่จะตอบโต้เหตุการณ์)

4] IR – การกำจัด(4] IR – Eradication)

การกำจัด ในหกขั้นตอนของ Incident Response หมายถึงการกู้คืนเครือข่ายที่ได้รับผลกระทบจากการโจมตี สามารถทำได้ง่ายพอๆ กับภาพของเครือข่ายที่จัดเก็บไว้ในเซิร์ฟเวอร์แยกต่างหากที่ไม่ได้เชื่อมต่อกับเครือข่ายหรืออินเทอร์เน็ต(Internet) ใด ๆ สามารถใช้เพื่อกู้คืนเครือข่าย

5] IR – การกู้คืน(5] IR – Recovery)

ขั้นตอนที่ห้าในการตอบสนองต่อเหตุการณ์(Incident Response)คือการทำความสะอาดเครือข่ายเพื่อลบสิ่งใดก็ตามที่อาจหลงเหลืออยู่หลังการกำจัด นอกจากนี้ยังหมายถึงการนำเครือข่ายกลับมามีชีวิตอีกครั้ง ณ จุดนี้ คุณจะยังคงติดตามกิจกรรมที่ผิดปกติบนเครือข่าย

6] การตอบสนองต่อเหตุการณ์ – บทเรียนที่ได้รับ(6] Incident Response – Lessons Learned)

ขั้นตอนสุดท้ายของหกขั้นตอนของการตอบสนองต่อเหตุการณ์คือการตรวจสอบเหตุการณ์และสังเกตสิ่งที่ผิดพลาด ผู้คนมักจะพลาดขั้นตอนนี้ แต่จำเป็นต้องเรียนรู้ว่าอะไรผิดพลาดและจะหลีกเลี่ยงได้อย่างไรในอนาคต

ซอฟต์แวร์โอเพ่นซอร์ส(Open Source Software)สำหรับจัดการการตอบสนองต่อเหตุการณ์(Incident Response)

1] CimSweepเป็นชุดเครื่องมือแบบไม่ใช้เอเจนต์ที่ช่วยคุณ ในการตอบสนอง ต่อเหตุการณ์ (Incident Response)คุณสามารถทำได้จากระยะไกลเช่นกัน หากคุณไม่สามารถอยู่ในที่ที่มันเกิดขึ้นได้ ชุดนี้มีเครื่องมือสำหรับการระบุภัยคุกคามและการตอบสนองระยะไกล นอกจากนี้ยังมีเครื่องมือทางนิติวิทยาศาสตร์ที่ช่วยคุณตรวจสอบบันทึกเหตุการณ์ บริการ และกระบวนการที่ทำงานอยู่ ฯลฯรายละเอียดเพิ่มเติมที่(More details here)นี่

2] GRR Rapid Response Toolมีอยู่ในGitHubและช่วยให้คุณทำการตรวจสอบต่างๆ ในเครือข่ายของคุณ ( บ้าน(Home)หรือ ที่ ทำงาน(Office) ) เพื่อดูว่ามีช่องโหว่ใดๆ หรือไม่ มีเครื่องมือสำหรับการวิเคราะห์หน่วยความจำแบบเรียลไทม์ การค้นหารีจิสทรี ฯลฯ ซึ่งสร้างขึ้นในPythonดังนั้นจึงเข้ากันได้กับระบบปฏิบัติการ Windows ทั้งหมด – XP(Windows OS – XP)และรุ่นที่ใหม่กว่า รวมถึง Windows 10 ลอง ใช้Github(Check it out on Github)

3] TheHive เป็นอีกหนึ่ง เครื่องมือการตอบสนองต่อเหตุการณ์(Incident Response)ฟรีแบบโอเพ่นซอร์ส จะช่วยให้การทำงานเป็นทีม การทำงานเป็นทีมช่วยให้สามารถตอบโต้การโจมตีทางไซเบอร์ได้ง่ายขึ้น เนื่องจากงาน (หน้าที่) ถูกลดหย่อนให้กับคนที่มีความสามารถต่างกัน ดังนั้นจึงช่วยในการตรวจสอบ IR แบบเรียลไทม์ เครื่องมือนี้มี API ที่ทีมไอทีสามารถใช้ได้ เมื่อใช้กับซอฟต์แวร์อื่นTheHiveสามารถตรวจสอบตัวแปรได้มากถึงร้อยตัวในแต่ละครั้ง เพื่อให้ตรวจพบการโจมตีในทันที และการตอบสนองต่อเหตุการณ์(Incident Response)เริ่มต้นอย่างรวดเร็ว ข้อมูลเพิ่มเติมที่(More information here)นี่

ด้านบนจะอธิบายการตอบสนองต่อเหตุการณ์โดยสังเขป ตรวจสอบหกขั้นตอนของการตอบสนองต่อเหตุการณ์ และบอกชื่อเครื่องมือสามอย่างสำหรับความช่วยเหลือในการจัดการกับเหตุการณ์ หากคุณมีอะไรที่จะเพิ่มโปรดทำในส่วนความคิดเห็นด้านล่าง(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)



ขวัญแก้ว กำธรเจริญ

About the author

ฉันเป็นผู้ตรวจทานมืออาชีพและเพิ่มประสิทธิภาพการทำงาน ฉันชอบใช้เวลาออนไลน์เล่นวิดีโอเกม สำรวจสิ่งใหม่ ๆ และช่วยเหลือผู้คนเกี่ยวกับความต้องการด้านเทคโนโลยีของพวกเขา ฉันมีประสบการณ์กับ Xbox มาบ้างแล้วและได้ช่วยเหลือลูกค้าในการรักษาระบบของพวกเขาให้ปลอดภัยมาตั้งแต่ปี 2552


Related posts