การเสริมสร้างความปลอดภัยของระบบคอมพิวเตอร์เพื่อป้องกันการถูกโจมตีจากผู้ไม่หวังดีนั้น
สิ่งที่สำคัญคือองค์กรจะต้องทำการป้องกันเครือข่าย และระบบจากภัยคุกคามต่างๆ
ทั้งจากภายนอก และภายในองค์กรเอง ซึ่งองค์การจะต้องมีการดำเนินการดังต่อไปนี้
1. เตรียมความพร้อมในส่วนการตรวจสอบว่ามีการบุกรุกเข้ามาในระบบแล้วหรือไม่
2. ต้องหาวิธีการเพื่อที่จะทำการหยุดยั้งขัดขวางสิ่งที่จะก่อให้เกิดความเสียหายจากภัยคุกคามนั้นๆ
1. เตรียมความพร้อมในส่วนการตรวจสอบว่ามีการบุกรุกเข้ามาในระบบแล้วหรือไม่
2. ต้องหาวิธีการเพื่อที่จะทำการหยุดยั้งขัดขวางสิ่งที่จะก่อให้เกิดความเสียหายจากภัยคุกคามนั้นๆ
โดยในทางปฏิบัติแล้วจะมีแนวทางในการดำเนินการที่เรียกว่า "Prevention
is ideal but detection is a must" หรือ “การมีการป้องกันนั้นถือว่าดี
แต่การตรวจสอบนั้นถือว่ามีความจำเป็นต้องมีอย่างยิ่ง” และ "Offense
informs defense" หรือ “ถ้าหากเราทราบถึงวิธีหรือขั้นตอนในการกระทำผิดนั้นๆ
เราก็จะทราบถึงวิธีการป้องกันการกระทำผิดเหล่านั้นด้วย”
สำหรับเป้าหมายในการนำเสนอมาตรการที่สำคัญเพื่อการปกป้องระบบดังกล่าวคือ
เพื่อให้สามารถที่จะปกป้องทรัพย์สินที่มีความสำคัญๆ โครงสร้างพื้นฐานของระบบ รวมทั้งข้อมูลต่างๆ
ขององค์กรได้ เช่น
การเสริมสร้างความแข็งแกร่งให้กับระบบคอมพิวเตอร์ในองค์กรอย่างต่อเนื่อง
มีการใช้งานระบบอัตโนมัติเพื่อป้องกันระบบ รวมทั้งมีการตรวจสอบข้อมูลที่สำคัญๆ
ขององค์กรที่ดี เพื่อลดโอกาสหรือจำนวนการถูกโจมตี หรือใช้ระยะเวลาที่ใช้ในการกู้คืนระบบได้เร็วขึ้น
หรือแม้กระทั้งสามารถช่วยลดค่าใช้จ่ายในส่วนที่เกี่ยวข้องลงได้
หลักการแนวคิด 5 ข้อที่เกี่ยวข้องกับมาตรการควบคุมที่สำคัญเพื่อการปกป้องระบบคอมพิวเตอร์
1. Offense informs defense: ถ้าหากเราทราบถึงวิธีหรือขั้นตอนในการกระทำผิดนั้นๆ และเราก็จะทราบทราบถึงวิธีการป้องกันการกระทำผิดเหล่านั้นด้วย
2. Prioritization: ให้ลำดับความสำคัญที่จะดำเนินการกับความเสี่ยงที่สำคัญๆ ก่อน หรือทำการป้องกันในจุดที่จะก่อให้เกิดความเสียหายรุนแรง ตามลำดับก่อนหลัง
3. Metrics: นำเสนอข้อมูลตัวชี้วัดต่างๆ ที่เกี่ยวข้อง เช่น มูลค่าความเสียหายหากถูกโจมตีจากจุดอ่อนต่างๆ ความสำคัญของระบบ หรือข้อมูลในองค์กร และ ข้อมูลอื่นๆ ที่สามารถประเมินได้ให้กับผู้บริหาร ฝ่ายไอที ผู้ตรวจสอบ และบุคคลต่างๆ ที่เกี่ยวกับความมั่นคงปลอดภัยเพื่อช่วยกันประเมินและปรับปรุงข้อมูลเหล่าตัวชี้วัดนั้นได้รวดเร็วขึ้น
4. Continuous monitoring: ดำเนินการตรวจสอบอย่างต่อเนื่องเพื่อทดสอบและตรวจสอบประสิทธิผลของมาตรการรักษาความปลอดภัยในปัจจุบัน
5. Automation: ระบบอัตโนมัติสามารถเชื่อถือได้ และทำการขยายขีดความสามารถ รวมทั้งตรวจวัดได้อย่างต่อเนื่อง ตามข้อควรปฏิบัติในระเบียบวิธีการควบคุม และตัวชี้วัดที่เกี่ยวข้อง
1. Offense informs defense: ถ้าหากเราทราบถึงวิธีหรือขั้นตอนในการกระทำผิดนั้นๆ และเราก็จะทราบทราบถึงวิธีการป้องกันการกระทำผิดเหล่านั้นด้วย
2. Prioritization: ให้ลำดับความสำคัญที่จะดำเนินการกับความเสี่ยงที่สำคัญๆ ก่อน หรือทำการป้องกันในจุดที่จะก่อให้เกิดความเสียหายรุนแรง ตามลำดับก่อนหลัง
3. Metrics: นำเสนอข้อมูลตัวชี้วัดต่างๆ ที่เกี่ยวข้อง เช่น มูลค่าความเสียหายหากถูกโจมตีจากจุดอ่อนต่างๆ ความสำคัญของระบบ หรือข้อมูลในองค์กร และ ข้อมูลอื่นๆ ที่สามารถประเมินได้ให้กับผู้บริหาร ฝ่ายไอที ผู้ตรวจสอบ และบุคคลต่างๆ ที่เกี่ยวกับความมั่นคงปลอดภัยเพื่อช่วยกันประเมินและปรับปรุงข้อมูลเหล่าตัวชี้วัดนั้นได้รวดเร็วขึ้น
4. Continuous monitoring: ดำเนินการตรวจสอบอย่างต่อเนื่องเพื่อทดสอบและตรวจสอบประสิทธิผลของมาตรการรักษาความปลอดภัยในปัจจุบัน
5. Automation: ระบบอัตโนมัติสามารถเชื่อถือได้ และทำการขยายขีดความสามารถ รวมทั้งตรวจวัดได้อย่างต่อเนื่อง ตามข้อควรปฏิบัติในระเบียบวิธีการควบคุม และตัวชี้วัดที่เกี่ยวข้อง
แนวทางในการประยุกต์ใช้มาตรการควบคุมที่สำคัญในองค์กร
สำหรับการประยุกต์ใช้มาตรการควบคุมที่สำคัญในองค์กรต่างๆ ที่ผ่านมานั้น สามารถนำมาสรุปเป็นวิธีการหรือรูปแบบขั้นตอนเพื่อให้ง่ายต่อการประยุกต์ใช้งานในองค์กรของเราได้
สำหรับการประยุกต์ใช้มาตรการควบคุมที่สำคัญในองค์กรต่างๆ ที่ผ่านมานั้น สามารถนำมาสรุปเป็นวิธีการหรือรูปแบบขั้นตอนเพื่อให้ง่ายต่อการประยุกต์ใช้งานในองค์กรของเราได้
ขั้นตอนที่ 1: ตรวจสอบและวิเคราะห์ช่องโหว่ของระบบ (Gap
Assessment) ดำเนินการตรวจสอบและวิเคราะห์ช่องโหว่ของระบบเพื่อที่จะระบุให้ได้ว่าระบบมีช่องโหว่ใดที่เกี่ยวข้องในแต่ละมาตรการบ้าง
ขั้นตอนที่ 2: ดำเนินการและปรับปรุงแผนการดำเนินการ (Roadmap) เลือกมาตรการที่จะดำเนินการ และวางแผนระยะดำเนินการตามความสำคัญทางธุรกิจ
ขั้นตอนที่ 3: เริ่มดำเนินการตามแผนในระยะดำเนินการขั้นแรก (First Phase of Controls) ดำเนินการเลือกวิธีการ เครื่องมือ
และขั้นตอนการดำเนินงานตามแผนที่ได้วางไว้ และควรมีการปรังปรุงการดำเนินการข้างต้นให้เหมาะสมองค์กร
ขั้นตอนที่ 4: ประยุกต์มาตรการที่ได้วางไว้มาเป็นระเบียบวิธีปฏิบัติ (Operations) ดำเนินการประยุกต์มาตรการที่ได้วางไว้มาเป็นระเบียบวิธีปฏิบัติ เช่น มีระเบียบวิธีการตรวจสอบอย่างต่อเนื่อง สร้างและปรับปรุงการดำเนินงานต่างๆ ให้เป็นมาตรฐาน
ขั้นตอนที่ 2: ดำเนินการและปรับปรุงแผนการดำเนินการ (Roadmap) เลือกมาตรการที่จะดำเนินการ และวางแผนระยะดำเนินการตามความสำคัญทางธุรกิจ
ขั้นตอนที่ 3: เริ่มดำเนินการตามแผนในระยะดำเนินการขั้นแรก (First Phase of Controls) ดำเนินการเลือกวิธีการ เครื่องมือ
และขั้นตอนการดำเนินงานตามแผนที่ได้วางไว้ และควรมีการปรังปรุงการดำเนินการข้างต้นให้เหมาะสมองค์กร
ขั้นตอนที่ 4: ประยุกต์มาตรการที่ได้วางไว้มาเป็นระเบียบวิธีปฏิบัติ (Operations) ดำเนินการประยุกต์มาตรการที่ได้วางไว้มาเป็นระเบียบวิธีปฏิบัติ เช่น มีระเบียบวิธีการตรวจสอบอย่างต่อเนื่อง สร้างและปรับปรุงการดำเนินงานต่างๆ ให้เป็นมาตรฐาน
ในการปฏิบัติ
ขั้นตอนที่ 5: รายงานและปรับปรุงแผนการดำเนินการ (Improve Roadmap) รายงานและปรับปรุงแผนการดำเนินการที่ได้ทำใน
ขั้นตอนที่ 5: รายงานและปรับปรุงแผนการดำเนินการ (Improve Roadmap) รายงานและปรับปรุงแผนการดำเนินการที่ได้ทำใน
สำหรับ
20 มาตรการที่สำคัญเพื่อการปกป้องระบบคอมพิวเตอร์อย่างมีประสิทธิภาพ
มีดังนี้
มาตรการที่ 1: ทำรายการจัดเก็บชื่ออุปกรณ์ที่ได้มีการเข้าถึงเครือข่ายภายในองค์กรทั้งที่ได้รับอนุญาต และอุปกรณ์แปลกปลอม
อื่นๆ (Inventory of Authorized and Unauthorized Devices)
มาตรการที่ 2: ทำรายการจัดเก็บชื่อโปรแกรมที่ได้มีการติดตั้งภายในองค์กรทั้งที่ได้รับอนุญาต และไม่ได้รับอนุญาต
(Inventory of Authorized and Unauthorized Software)
มาตรการที่ 3: ปรับแต่งอุปกรณ์ และโปรแกรมต่างๆ ในองค์กรให้มีความมั่นคงปลอดภัย (Secure Configurations for Hardware
and Software on Mobile Devices, Laptops, Workstations, and Servers)
มาตรการที่ 4: ตรวจสอบ วิเคราะห์ และแก้ไขช่องโหว่ต่างๆ ของระบบอย่างต่อเนื่อง
(Continuous Vulnerability Assessment and Remediation)
มาตรการที่ 5: ป้องกันอุปกรณ์ และโปรแกรมต่างๆ จากโปรแกรมไม่ประสงค์ดี (Malware Defenses)
มาตรการที่ 6: ตรวจสอบ ป้องกัน และแก้ไขจุดอ่อนของโปรแกรมที่พัฒนาขึ้น หรือนำมาใช้งาน
(Application Software Security)
มาตรการที่ 7: ตรวจสอบ และป้องกันการใช้งานเครือข่ายไร้สายของอุปกรณ์ที่ไม่ได้รับอนุญาต (Wireless Device Control)
มาตรการที่ 8: ทำการสำรองข้อมูลที่สำคัญๆ และมีการซ้อมการกู้คืนระบบอย่างสม่ำเสมอ (Data Recovery Capability)
มาตรการที่ 9: มีการฝึกอบรมหรือทำความเข้าใจกับช่องโหว่ต่างๆ ที่มีอยู่ในองค์กร
(Security Skills Assessment and Appropriate Training to Fill Gaps)
มาตรการที่ 10: ปรับแต่งอุปกรณ์เครือข่ายให้มีการใช้งานตามที่ได้กำหนดไว้ เช่น กฎของไฟร์วอลล์
มาตรการที่ 1: ทำรายการจัดเก็บชื่ออุปกรณ์ที่ได้มีการเข้าถึงเครือข่ายภายในองค์กรทั้งที่ได้รับอนุญาต และอุปกรณ์แปลกปลอม
อื่นๆ (Inventory of Authorized and Unauthorized Devices)
มาตรการที่ 2: ทำรายการจัดเก็บชื่อโปรแกรมที่ได้มีการติดตั้งภายในองค์กรทั้งที่ได้รับอนุญาต และไม่ได้รับอนุญาต
(Inventory of Authorized and Unauthorized Software)
มาตรการที่ 3: ปรับแต่งอุปกรณ์ และโปรแกรมต่างๆ ในองค์กรให้มีความมั่นคงปลอดภัย (Secure Configurations for Hardware
and Software on Mobile Devices, Laptops, Workstations, and Servers)
มาตรการที่ 4: ตรวจสอบ วิเคราะห์ และแก้ไขช่องโหว่ต่างๆ ของระบบอย่างต่อเนื่อง
(Continuous Vulnerability Assessment and Remediation)
มาตรการที่ 5: ป้องกันอุปกรณ์ และโปรแกรมต่างๆ จากโปรแกรมไม่ประสงค์ดี (Malware Defenses)
มาตรการที่ 6: ตรวจสอบ ป้องกัน และแก้ไขจุดอ่อนของโปรแกรมที่พัฒนาขึ้น หรือนำมาใช้งาน
(Application Software Security)
มาตรการที่ 7: ตรวจสอบ และป้องกันการใช้งานเครือข่ายไร้สายของอุปกรณ์ที่ไม่ได้รับอนุญาต (Wireless Device Control)
มาตรการที่ 8: ทำการสำรองข้อมูลที่สำคัญๆ และมีการซ้อมการกู้คืนระบบอย่างสม่ำเสมอ (Data Recovery Capability)
มาตรการที่ 9: มีการฝึกอบรมหรือทำความเข้าใจกับช่องโหว่ต่างๆ ที่มีอยู่ในองค์กร
(Security Skills Assessment and Appropriate Training to Fill Gaps)
มาตรการที่ 10: ปรับแต่งอุปกรณ์เครือข่ายให้มีการใช้งานตามที่ได้กำหนดไว้ เช่น กฎของไฟร์วอลล์
การตั้งค่าเส้นทางอุปกรณ์ค้นหาเส้นทาง
(Secure Configurations for Network Devices such as
Firewalls, Routers, and Switches)
มาตรการที่ 11: จำกัด และควบคุมการใช้งานเครือข่ายและบริการต่างๆ อย่างเหมาะสม (Limitation and Control of Network Ports, Protocols, and Services)
มาตรการที่ 12: ควบคุมผู้ใช้งานที่ได้สิทธิ์สูง เช่น สิทธิ์เป็นผู้ดูแลระบบ (Controlled Use of Administrative Privileges)
มาตรการที่ 13: ควบคุมการเชื่อมต่อของแต่ละวงเครือข่ายที่มีระดับความลับของข้อมูลแตกต่างกัน (Boundary Defense)
มาตรการที่ 14: ตรวจสอบ และวิเคราะห์ข้อมูลสำหรับการตรวจสอบ (Maintenance, Monitoring, and Analysis of Audit Logs)
มาตรการที่ 15: ควบคุม และตรวจสอบการเข้าถึงข้อมูลที่มีความลับในลำดับชั้นต่างๆ ตามที่ได้รับอนุญาต
(Controlled Access Based on the Need to Know)
มาตรการที่ 16: ควบคุม และตรวจสอบชื่อผู้ใช้งานในระบบต่างๆ (Account Monitoring and Control)
มาตรการที่ 17: ควบคุม และตรวจสอบข้อมูลที่ผ่านเข้าออกระบบ (Data Loss Prevention)
มาตรการที่ 18: มีการควบคุม จัดการ และตอบสนอง ต่อเหตุการณ์ต่างๆ ทางคอมพิวเตอร์
(Incident Response and Management)
มาตรการที่ 19: ป้องกัน และควบคุมภัยคุมคามในรูปแบบอื่นๆ (Secure Network Engineering)
มาตรการที่ 20: ดำเนินการตรวจสอบ และซักซ้อมการทดสอบเจาะบุกรุกระบบ
(Penetration Tests and Red Team Exercises)
มาตรการที่ 11: จำกัด และควบคุมการใช้งานเครือข่ายและบริการต่างๆ อย่างเหมาะสม (Limitation and Control of Network Ports, Protocols, and Services)
มาตรการที่ 12: ควบคุมผู้ใช้งานที่ได้สิทธิ์สูง เช่น สิทธิ์เป็นผู้ดูแลระบบ (Controlled Use of Administrative Privileges)
มาตรการที่ 13: ควบคุมการเชื่อมต่อของแต่ละวงเครือข่ายที่มีระดับความลับของข้อมูลแตกต่างกัน (Boundary Defense)
มาตรการที่ 14: ตรวจสอบ และวิเคราะห์ข้อมูลสำหรับการตรวจสอบ (Maintenance, Monitoring, and Analysis of Audit Logs)
มาตรการที่ 15: ควบคุม และตรวจสอบการเข้าถึงข้อมูลที่มีความลับในลำดับชั้นต่างๆ ตามที่ได้รับอนุญาต
(Controlled Access Based on the Need to Know)
มาตรการที่ 16: ควบคุม และตรวจสอบชื่อผู้ใช้งานในระบบต่างๆ (Account Monitoring and Control)
มาตรการที่ 17: ควบคุม และตรวจสอบข้อมูลที่ผ่านเข้าออกระบบ (Data Loss Prevention)
มาตรการที่ 18: มีการควบคุม จัดการ และตอบสนอง ต่อเหตุการณ์ต่างๆ ทางคอมพิวเตอร์
(Incident Response and Management)
มาตรการที่ 19: ป้องกัน และควบคุมภัยคุมคามในรูปแบบอื่นๆ (Secure Network Engineering)
มาตรการที่ 20: ดำเนินการตรวจสอบ และซักซ้อมการทดสอบเจาะบุกรุกระบบ
(Penetration Tests and Red Team Exercises)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น