ซ้อมรับภัยการโจมตีไซเบอร์ด้วย Cyber Drill

Cyber Attack ภัยร้ายจะไม่ใช่เรื่องไกลตัวอีกต่อไปแล้ว เพราะในช่วงหลายเดือนที่ผ่านมา เราจะพบเห็นข่าวองค์กรชั้นนำระดับโลกหรือแม้กระทั่งในประเทศไทยเอง ต่างก็ตกเป็นเหยื่อของ Cyber Attack ที่ส่งผลกระทบในระดับรุนแรงและก่อให้เกิดความเสียหายต่อองค์กรทั้งในด้านทรัพย์สินและภาพลักษณ์ ดังนั้นการป้องกันและรับมือจึงเป็นสิ่งที่สำคัญอย่างยิ่ง องค์กรจะเตรียมพร้อมรับมือกับภัยคุกคามไซเบอร์ได้อย่างไร? คือโจทย์ที่ทุกองค์กรต้องนำมาพิจารณาและวางแผนรับมือให้ดี

ปัจจุบัน ภัยคุกคามไซเบอร์ไม่ใช่เรื่องของของแผนกไอทีอย่างเดียวอีกต่อไป จากสถิติพบว่าการโจมตีมักเริ่มจากกลุ่มที่เป็นพนักงานทั่วไป และกลุ่มผู้บริหารระดับสูง เนื่องจากผู้บริหารระดับสูงมักเป็นแหล่งข้อมูลที่สำคัญขององค์กร ดังนั้นการสร้างความคุ้นเคยกับ Cyber Attack ให้กับพนักงานทุกคนในองค์กรนั้น จึงเป็นสิ่งที่จำเป็นอย่างยิ่ง บทความนี้ CAT cyfence แนะนำการซ้อมรับมือกับสถานการณ์จริงหรือที่เรียกว่า Cyber Drill

Cyber Drill คืออะไร แล้วทำไมองค์กรถึงจำเป็นต้องทำ?

Cyber Drill (หรือบางคนเรียกว่า Cyber Exercise) คือ การจำลอง Cyber Attack ขึ้นมาเพื่อให้องค์กรสามารถซ้อมรับมือกับการโจมตีที่อาจจะเกิดขึ้น หากเปรียบเทียบให้เห็นภาพก็เหมือนกับการซ้อมหนีไฟที่ให้พนักงานทุกคนได้มีส่วนร่วมและได้ลองปฎิบัติจริง ซึ่งจะต้องมีการซักซ้อมทำความเข้าใจและจำลองสถานการณ์ว่าเมื่อเกิดเหตุการณ์แล้วผู้ที่ตกเป็นเหยื่อ จะต้องดำเนินการอย่างไร เจ้าหน้าที่ในแผนกไอทีและผู้มีส่วนเกี่ยวข้องจะต้องดำเนินการอย่างไร เพื่อให้สามารถตอบสนองต่อเหตุการณ์ที่เกิดขึ้น (Incident response) ได้อย่างถูกต้อง รวดเร็ว และส่งผลให้เกิดผลกระทบกับองค์กรน้อยที่สุด

Cyber Drill แบ่งออก เป็น 3 แบบ มีวิธีทำดังนี้

แบบที่ 1 : คือการทดสอบข้อเขียน ทำได้โดยการแจกแบบทดสอบให้พนักงาน ซึ่งแบบทดสอบจะจำลองสถานการณ์และให้พนักงานเลือกวิธีปฏิบัติที่พึงกระทบ รวมถึงการทดสอบความรู้เบื้องต้นเกี่ยวกับภัยคุกคาม เช่น Email Phishing หรือ Ransomware การทดสอบข้อเขียนนี้สามารถทำได้ง่าย ประหยัดค่าใช้จ่าย และสามารถคัดกรองพนักงานที่ทดสอบได้คะแนนต่ำเพื่อมาอบรมให้ความรู้เพิ่มเติมได้ด้วย ซึ่งโดยทั่วไปใช้เวลาเตรียมแผนไม่มากนัก จะใช้เวลาปฎิบัติการสั้น ๆ 1-3 วัน การทดสอบในแบบนี้จึงเหมาะเป็นการเริ่มต้นสำหรับองค์กรที่ยังไม่เคยทำ Cyber drill มาก่อน

แบบที่2 : คือ การทดสอบแบบข้อเขียน ควบคู่ไปกับการทดสอบเชิงปฏิบัติที่จะให้พนักงานทดสอบบนโปรแกรมคอมพิวเตอร์ที่สร้างสถานการณ์จำลองการโจมตีในรูปแบบต่าง ๆ เช่น Email Spoofing, Email Phishing, Malicious Website ในแบบจำลองนั้นอาจจะจำลองความเสียหายที่เกิดจากการโจมตีเช่น ข้อมูลถูกขโมย บัญชีถูกเข้ารหัส เป็นต้น พนักงานที่ผิดพลาดในการทดสอบจะได้เห็นภาพของภัยคุกคามด้วยตัวเองชัดเจนมากยิ่งขึ้น การทดสอบแบบที่2 นี้มักต้องใช้เวลาในการเตรียมการณ์นานกว่าแบบที่1 โดยมักใช้เวลาปฎิบัติการประมาณ 3-5 วัน โดยพนักงานในองค์กรควรมีความรู้เกี่ยวกับภัยคุกคามทางไซเบอร์เบื้องต้นอยู่แล้ว

แบบที่3 : คือ การโจมตีเสมือนจริง การทดสอบแบบนี้จะไม่มีการบอกพนักงานล่วงหน้าว่ามีการทดสอบ จะทำการโจมตีเครือข่ายภายในองค์กรโดยผู้ทดสอบ เพื่อทดสอบทั้งระบบและพนักงานว่าพร้อมสำหรับการโจมตีหรือไม่และควรปรับปรุงเพิ่มเติมอย่างไร การโจมตีเสมือนจริงมีค่าใช้จ่ายสูงและต้องมีผู้เกี่ยวข้องเป็นจำนวนมาก เหมาะสำหรับองค์กรขนาดใหญ่ที่อาจตกเป็นเป้าการโจมตี การทดสอบประเภทนี้ต้องวางแผนเป็นเวลานานและมักใช้เวลาในการปฎิบัติการประมาณ 7-14 วัน

การทำ Cyber drill ไม่มีข้อกำหนดตายตัว สามารถปรับให้เหมาะสมกับแต่ละองค์กรได้ โดยทั่วไปแนะนำให้ทำ 2-3 ครั้งต่อปี ซึ่งอาจจะเริ่มต้นจากแบบที่หนึ่ง ก็คือการทดสอบข้อเขียนและคัดเลือกพนักงานที่มีความเสี่ยง ออกมาอบรมให้ความรู้เพิ่มเติม หลังจากนั้นอาจใช้การทดสอบแบบที่สอง (การทดสอบแบบข้อเขียนควบคู่ไปกับการทดสอบเชิงปฏิบัติ) และแบบที่สาม (การโจมตีเสมือนจริง) โดยในแต่ละครั้งควรเว้นระยะห่างกันพอสมควร เพื่อเป็นการตรวจสอบว่า เมื่อเวลาผ่านไประยะหนึ่งแล้วการตระหนักรู้ของพนักงานยังคงอยู่หรือไม่และควรจัดทำสรุปผล เพื่อเปรียบเทียบให้เห็นพัฒนาการจากการทดสอบแต่ละครั้ง ว่าการตระหนักรู้ถึงภัยคุกคามของพนักงานในองค์กรเพิ่มขึ้นมากน้อยเพียงใด

ทำไมองค์กรถึงจำเป็นต้องทำ Cyber drill?

การทำ Cyber drill นั้น นอกจากจะทำให้พนักงานทั่วไปได้เห็นภาพของภัยคุกคามชัดเจนมากขึ้นและรู้วิธีเบื้องต้นในการรับมือแล้ว ยังเป็นโอกาสที่ให้ผู้ดูแลระบบได้ซักซ้อมวิธีการแก้ไขปัญหาและวิธีปฎิบัติที่ถูกต้องและซักซ้อมการทำงานร่วมกันระหว่างผู้มีส่วนเกี่ยวข้องทั้งหมด เมื่อเกิดเหตุการณ์การโจมตี ได้ทบทวน Policy Process และขั้นตอนต่าง ๆ ว่ายังสามารถใช้งานได้จริงหรือไม่หากเกิด Cyber Attack แล้วธุรกิจยังคงดำเนินต่อไปได้หรือไม่ หากพบปัญหาหรืออุปสรรคก็จะสามารถทำการแก้ไขหรือปิดช่องโหว่ที่พบได้อย่างทันท่วงที ซึ่งการทำเช่นนี้จะส่งผลให้องค์กรสามารถวิเคราะห์ผลกระทบที่จะเกิดขึ้นได้ชัดเจนและเป็นรูปธรรมมากขึ้น ในส่วนของผู้บริหารก็จะได้เห็นภาพรวมขององค์กร การรับมือ เพื่อที่จะนำไปกำหนดทิศทาง วางนโยบายและแนวทางการป้องกันต่อไป

ดังนั้น การซักซ้อมเพื่อจำลองการรับมือภัยคุกคาม หรือที่เรียกว่า Cyber drill นั้นเป็นสิ่งที่จำเป็นอย่างมากในทุก ๆ องค์กร หากองค์กรใดที่สนใจอยากมองหาทีมงานที่เข้ามาช่วยเหลือทางด้านนี้ สามารถติดต่อกับทีมงาน CAT cyfence ได้โดยตรง ได้ที่นี่ หรือโทร 1332

Reference :
https://www.mitre.org/sites/default/files/publications/pr_14-3929-cyber-exercise-playbook.pdf
https://www.first.org/resources/papers/conf2015/first_2015-dileepa-lathsara_sector-based-cyber-security-drills_20150618.pdf



เนื้อหาที่เกี่ยวข้อง

1. Ransomware โดนได้อย่างไร รุนแรงแค่ไหน แก้ไขอย่างไร

2. 10 วิธีตั้งค่าความปลอดภัย Windows Server

3. เลือก Firewall องค์กร Fortinet หรือ MikroTik แบบไหนดี?

4. สาย Developer ต้องรู้ OWASP API Security Top 10 มีอะไรบ้าง พร้อมตัวอย่าง

5. พรีออเดอร์เว็บนอก อย่างไรให้ปลอดภัย ไม่โดนแฮกโดนโกง