establishing a computer security incident response … · 5 csirt ing a establishing a computer...
TRANSCRIPT
![Page 1: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/1.jpg)
1
CSIRTESTABLISHING A¤Ù ‹Á ×Í¡ÒèѴµÑ §«Õà«Ôà �µ
¤Ù ‹Á ×Í¡ÒèѴµÑ §ÈÙ¹Â�»ÃÐÊÒ¹¡ÒÃÃѺÁ×ÍÀѤء¤ÒÁ¤ÇÒÁÁÑ ¹¤§»ÅÍ´ÀѤÍÁ¾ÔÇàµÍÃ�ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE TEAM
COMPUTER SECURITY INCIDENT RESPONSE TEAM
สำนกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)
อาคารเดอะ ไนน ทาวเวอร แกรนดพระรามเกา (อาคารบ) ชน 21 เลขท 33/4 ถนนพระราม 9
แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร 10310โทรศพท 0 2123 1212 | โทรสาร 0 2123 1200
WWW.ETDA.OR.TH | WWW.THAICERT.OR.TH : ETDA Thailand
978-616-7956-28-2
ESTABLISHING A CSIRT¤Ù‹Á×Í¡ÒèѴµÑ§«Õà«ÔÃ�µ
![Page 2: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/2.jpg)
![Page 3: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/3.jpg)
3
![Page 4: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/4.jpg)
4
ชอเรอง : คมอการจดตงซเซรต(EstablishingaCSIRT)เรยบเรยงโดย : ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย (Thailand Computer Emergency Response Team)พมพครงท1 : มกราคม 2561พมพจำานวน : 500 เลม
จดพมพและเผยแพรโดย:ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย (Thailand Computer Emergency Response Team)สำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)กระทรวงดจทลเพอเศรษฐกจและสงคมอาคารเดอะ ไนน ทาวเวอร แกรนด พระรามเกา (อาคารบ) ชน 20 เลขท 33/4 ถนนพระราม 9 แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร 10310
โทรศพท: 0 2123 1234 โทรสาร: 0 2123 1200อเมล: [email protected]เวบไซตไทยเซรต: www.thaicert.or.thเวบไซตสำานกงานพฒนาธรกรรมทางอเลกทรอนกส(องคการมหาชน):www.etda.or.thเวบไซตกระทรวงดจทลเพอเศรษฐกจและสงคม: www.mdes.go.th
สงวนลขสทธตามพระราชบญญตลขสทธพ.ศ.2537All Rights Reserved. CopyrighT © 2018 Electronic Transactions Development Agency (Public Organization)
CSIRTESTABLISHING A
ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE TEAM
¤Ù ‹Á ×Í¡ÒèѴµÑ §«Õà«Ôà �µ
¤Ù ‹Á ×Í¡ÒèѴµÑ §ÈÙ¹Â�»ÃÐÊÒ¹¡ÒÃÃѺÁ×ÍÀѤء¤ÒÁ¤ÇÒÁÁÑ ¹¤§»ÅÍ´ÀѤÍÁ¾ÔÇàµÍÃ�
![Page 5: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/5.jpg)
5
CSIRTESTABLISHING A
ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE TEAM
¤Ù ‹Á ×Í¡ÒèѴµÑ §«Õà«Ôà �µ
¤Ù ‹Á ×Í¡ÒèѴµÑ §ÈÙ¹Â�»ÃÐÊÒ¹¡ÒÃÃѺÁ×ÍÀѤء¤ÒÁ¤ÇÒÁÁÑ ¹¤§»ÅÍ´ÀѤÍÁ¾ÔÇàµÍÃ�
![Page 6: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/6.jpg)
6
สารบญบทนำา 10 อภธานศพท 12 โครงสรางเนอหาของเอกสาร 14 ผทจะไดรบประโยชนจากเอกสารฉบบน 14 คำาชแจงทางกฎหมาย 15 กตตกรรมประกาศ 16
1.การบรหารจดการวงจรการทำางานของทมและขดความสามารถ 17
2.การรางกรอบงานCSIRT 25 2.1 พนธกจ 26 2.2 ผรบบรการ 26 2.3 อำานาจหนาท 29 2.4 ความรบผดชอบ 29 2.5 โครงสรางบรหาร 30
2.5.1 รปแบบธรกจอสระ 30 2.5.2 รปแบบฝงตว 30 2.5.3 รปแบบแคมปส 31
2.6 ความพรอมในการใหบรการ 32
![Page 7: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/7.jpg)
7
2.7 บรการหลก 33 2.8 ขอกำาหนดดานบคลากร 34
2.8.1 อตราเจาหนาท 34 2.8.2 ความสามารถ 35 2.8.3 แนวปฏบต แนวทางการดำาเนนงาน จรรยาบรรณ 36 2.8.4 การฝกอบรม 37
2.9 โครงสรางพนฐานและเครองมอ 38 2.10 ความสมพนธภายในและภายนอกองคกร 40 2.11 รปแบบการรบเงนทนสนบสนนคาใชจาย 41
3.การขออนมตจดตงCSIRTจากผบรหารระดบสง 44 3.1 รปแบบการรายงานผลการปฏบตงานของ CSIRT 45
4.การจดตงCSIRTและสภาวะแวดลอมในการทำางาน 47 4.1 รวบรวมและจดทำารายการแหลงขอมลดานตาง ๆ 47 4.2 จดทำานโยบายการรบมอและแกไขเหตภยคกคาม 48 4.3 จดทำานโยบายการจดการและแลกเปลยนขอมล 49
4.3.1 กฎหมายและกฎระเบยบตาง ๆ 49 4.3.2 การสอสารอยางมนคงปลอดภยดวย PGP 52
4.4 การสำารวจซอฟตแวรและฮารดแวรทใชงานในองคกร 53 4.5 การประชาสมพนธ 54 4.6 การสรางเครอขาย 55 4.7 การซอมรบมอเหตภยคกคาม 56
![Page 8: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/8.jpg)
8
5.กระบวนการรบมอและแกไขเหตภยคกคาม 58 5.1 การรบแจงเหตภยคกคาม 59
5.1.1 การแจงเตอน 59 5.1.2 การบนทกขอมล 60
5.2 การตรวจสอบและประเมนเหตภยคกคาม 61 5.2.1 การระบประเภทและความเรงดวนของ เหตภยคกคาม 62
5.3 การแกไขเหตภยคกคาม 64 5.3.1 การวเคราะหขอมล 64 5.3.2 การหาแนวทางแกไขปญหา 66 5.3.3 การเสนอแนวทางปฏบต 66 5.3.4 ปฏบตตามแนวทางแกไขปญหา 68 5.3.5 การกำาจดปญหาและการฟนฟระบบ 68
5.4 การจบการแกไขเหตภยคกคาม 68 5.4.1 การจดการขอมลครงสดทาย 69 5.4.2 การตรวจสอบและแกไขประเภทภยคกคาม ครงสดทาย 69 5.4.3 การจดเกบขอมลในฐานขอมล 69
5.5 การวเคราะหภายหลงการเกดเหตภยคกคาม 70
6.บรการเพมเตม 72 6.1 คำาอธบายบรการตาง ๆ ของ CSIRT 73
6.1.1 บรการเชงรบเพอตอบสนองภยคกคาม 73 6.1.2 บรการเชงรกเพอปองกนภยคกคาม 80 6.1.3 บรการบรหารคณภาพทาง ดานความมนคงปลอดภย 84
![Page 9: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/9.jpg)
9
ภาคผนวกก:แมแบบกรอบงานCSIRT 88ภาคผนวกข:ตวอยางแบบฟอรมการรายงาน
เหตภยคกคาม 90ภาคผนวกค:เครองมอดานความมนคงปลอดภย 92ภาคผนวกง:แหลงทมาของขอมล 96ภาคผนวกจ:เชกลสตการจดตงCSIRT 98คณะผจดทำา 100
![Page 10: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/10.jpg)
10
บทนำาปจจบน เสถยรภาพ ความมนคง และความพรอมใชงานของอนเทอรเนตนนสำาคญยงตอการทำางานของหนวยงานและองคกรตาง ๆ โดยเฉพาะทเปนโครงสรางพนฐานสำาคญ อาท ภาคการเงน ภาคพลงงาน ภาคการขนสง หรอภาครฐ ซงจะใหบรการไดอยางเตมทนน ประชาชนจะตองสามารถเขาถงอนเทอรเนตได สวนผดแลระบบโครงสรางพนฐานเองกตองพงพาอนเทอรเนตมากขนเรอย ๆ เพอใหบรการและตดตอสอสารระหวางกน
เวลาน หากการเชอมตออนเทอรเนตขดของเพยงไมกนาทคงเปนเรองทรบไมได และหากการเชอมตอขดของเปนเวลานานกอาจสงผลกระทบตอเสถยรภาพของระบบเศรษฐกจ โดยเฉพาะองคกรตาง ๆ ทใชประโยชนจากเวบไซตในการทำาธรกรรมซอขาย ยอมจะไดรบผลกระทบทรนแรง แมอนเทอรเนตจะไมสามารถใหบรการไปเพยงระยะเวลาสน ๆ กตาม ดงเชนการหยดใหบรการของ Facebook ทเคยปรากฏเปนขาวใหญโตมาแลว
นอกจากกรณขางตนแลว กยงมรายงานขอมลรวไหลทเกดขนกบองคกรตาง ๆ ทวโลกอยทกวน ในหลายกรณกพบวาขอมลหรอทรพยสนทางปญญาถกขโมย ซงการกระทำาเหลานถอวาเปน การจารกรรมระดบองคกร
หากพดถงความเสยหายทเกดจากเหตภยคกคามอาจแบงออกเปน 2 ลกษณะคอ (1) ความเสยหายทางตรงทเกยวของกบรายไดและกำาไรทสญเสยไป รวมถงคาใชจายในการจำากดขอบเขตความเสยหายและแกปญหาทเกดจากเหตภยคกคามนน และ (2) ความเสยหายทางออมทเกดตอภาพลกษณ การสญเสยลกคา หรอคาปรบจากองคกรกำากบดแล
![Page 11: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/11.jpg)
11
ทผานมา มกรณศกษาใหเหนอยหลายกรณทเหตภยคกคามดานความมนคงปลอดภยทำาใหองคกรลมละลาย เพราะไมสามารถฟนตวใหกลบมาเหมอนเดมไดภายหลงเกดเหต ดงนน จงตองมการรบมอทเหมาะสมและทนทวงทเมอมเหตภยคกคามไซเบอรเกดขน และนคอเหตผลทตองจดตง CSIRT
CSIRTคอทมผเชยวชาญดานความมนคงปลอดภยไซเบอรทสามารถรบมอและแกไขเหตภยคกคาม
ประกอบดวยบคลากรทมความรและทกษะในการรบมอเหตภยคกคาม ใหความชวยเหลอผรบบรการในการฟนตวจากการเจาะระบบ นอกจากนในการดำาเนนการเชงรก CSIRT ใหบรการตรวจสอบและประเมนชองโหวของระบบสารสนเทศและ ความเสยงตาง ๆ รวมทงสรางความตระหนกและใหความรแกผเกยวของในการพฒนาและปรบปรงการบรการเพอใหเกดความมนคงปลอดภยบนโลกไซเบอร
สรางคณาวายภาพผอำานวยการสำานกงานพฒนาธรกรรม ทางอเลกทรอนกส (องคการมหาชน)
![Page 12: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/12.jpg)
12
อภธานศพทคำาศพทเฉพาะทเกยวของกบความมนคงปลอดภยทางไซเบอรทควรรจก มดงน
CERTหรอComputerEmergencyResponseTeam
คำาวา "CERT” เปนเครองหมายการคาจดทะเบยนของ CERT Coordination Center (CERT/CC)1 หมายถงหนวยงานรบมอเหตภยคกคามทอยภายใตสถาบนวศวกรรมซอฟตแวร (Software Engineering Institute – SEI) แหงมหาวทยาลย Carnegie Mellon ในสหรฐอเมรกา และเนองจาก CERT เปนเครองหมาย การคาจดทะเบยน ดงนน ศนยททำาหนาทประสานและรบมอเหตภยคกคามดานความมนคงทางไซเบอรทจดตงขนใหมและตองการใชชอทมคำาวา CERT จะตองยนขอใบอนญาตเสยกอน2 ทงน CERT แหงแรกจดตงขนเพอรบมอและแกไขเหตการเชอมตออนเทอรเนตขดของทมผลกระทบในวงกวางซงเกดจาก worm ชอ Morris3 ในป พ.ศ. 2531
CSIRTหรอComputerSecurityIncidentResponseTeam
เปนศพททวไปทใชเรยกทมรบมอเหตภยคกคามและมภารกจ เชนเดยวกบ CERT อยางไรกด เนองจาก CERT เปนเครองหมาย การคาจดทะเบยน ในเอกสารฉบบนจงใชคำาวา CSIRT แทน
1 CERT/CC: <https://www.cert.org/>2 รายละเอยดเพมเตมและขนตอนการยนขอใบอนญาต สามารถศกษาไดท <https://www.cert.
org/incident-management/csirt-development/cert-authorized.cfm>3 The Morris Worm: <https://en.wikipedia.org/wiki/Morris_worm>
![Page 13: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/13.jpg)
13
ISACหรอInformationSharingandAnalysisCenter
คอศนยแลกเปลยนและวเคราะหขอมล ทมหนาทสรางความรวมมอระหวางทมดานความมนคงปลอดภยทางไซเบอรทมลกษณะคลายคลงกนหรออยในภาคสวนเดยวกน ซงศนยแลกเปลยนและวเคราะหขอมลนอาจมหนาทความรบผดชอบคลายกบ CSIRT เพยงแตจะขาดภารกจในการรบมอและแกไขเหตภยคกคาม
SOCหรอSecurityOperatingCenter
คอศนยปฏบตการทางไซเบอร ซงเปนพนทหรอหองในอาคารทเปนศนยกลางสำาหรบการเฝาระวงเหตภยคกคามแบบเรยลไทม การสงทมรบมอและแกไขเหตภยคกคามไปยงทเกดเหต และการประสานงานเพอรบมอและแกไขเหตภยคกคาม คลายกบทบรษทผใหบรการอนเทอรเนต (ISPs) ม NOC หรอ Network Operating Centers ซงเปนศนยปฏบตการสำาหรบดแลเครอขาย แตความแตกตางคอ SOC จดตงขนเพอรบมอเหตภยคกคามโดยเฉพาะ โดยปกตแลว มเพยง CSIRT ชนแนวหนาหรอองคกรใหญ ๆ ทมระบบเทคโนโลยสารสนเทศกระจายอยหลายพนทเทานน ทจำาเปนตองม SOC
การดำาเนนงานของ CSIRT และ SOC ไมแตกตางกนมากนกเพราะมภารกจทคลายคลงและทบซอนกนอยมาก ในบางกรณอาจพบ CSIRT ตงอยใน SOC ในขณะท CSIRT บางแหงกกำาหนดให SOC เปนเสมอนทมหนาดานในการรบมอเมอเกดเหตภยคกคาม ซงรายละเอยดและความสมพนธระหวาง CSIRT และ SOC จะปรากฏในบทท 6
ทงน ไมวาจะใชคำาวาอะไร หรอศนยทจดตงขนจะไดชอวาอะไร ทายทสดแลวสงทสำาคญสำาหรบองคกรทเกยวของกคอขดความสามารถในการรบมอเหตภยคกคาม
![Page 14: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/14.jpg)
14
โครงสรางเนอหาของเอกสารบทท 1 อธบายวงจรการทำางานและขดความสามารถของ
CSIRTบทท 2-4 รายละเอยดขนตอนตาง ๆ ทจำาเปนในการจดทำาแผน
การขอใหผบรหารอนมตจดตง CSIRTบทท 5 รายละเอยดการใหบรการรบมอและแกไขเหตภยคกคามบทท 6 อธบายบรการอน ๆ ท CSIRT อาจมหมายเหต เพอประโยชนตอผอานในการทำาความเขาใจกบคำาแนะนำาในคมอฉบบน จงไดยกตวอยางของไทยเซรต เปนขอความในกลองสเหลยม
ตวอยางไทยเซรต
ผทจะไดรบประโยชนจากเอกสารฉบบนคมอฉบบนไดรบการออกแบบมาสำาหรบองคกรตาง ๆ ทตองการ จะเรยนรเพมเตมเกยวกบ CSIRT และตองการจดตง CSIRT ขนมาภายในองคกร โดยคมอจะมรายละเอยดเกยวกบกระบวนการจดตง CSIRT และขอกำาหนดตาง ๆ รวมทงสอดแทรกตวอยาง เพอใหเขาใจและเหนภาพวาจะดำาเนนการตามขนตอนแตละขนใหสำาเรจไดอยางไร เอกสารฉบบนเหมาะสำาหรบเจาหนาทในระดบบรหาร แตเจาหนาทดานเทคนคกสามารถใชประโยชนในการอางองจากคมอฉบบนไดเชนกน
![Page 15: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/15.jpg)
15
คำาชแจงทางกฎหมายคมอนมจดประสงคเพอชวยองคกรในการจดตง CSIRT ตงแตเรมตนจนถงขนทสามารถปฏบตงานได เนอหาทปรากฏในเลมน มาจากทงองคความรและประสบการณของไทยเซรต และสำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) และจากเครอขาย CSIRT อน ๆ ทงนเนอหาของคมอเปนเนอหาทรวบรวม ณ เวลาทจดทำา ไมไดเปนคมอทสมบรณแบบทสด อาจจำาเปนตองปรบปรงใหทนสมยเหมาะสมตามกาลเวลา
คมอนอางองเนอหาจากแหลงขอมลตาง ๆ ซงไทยเซรตขอสงวนสทธในการรบผดชอบตอเนอหาดงกลาว รวมถงรบรองวาเวบไซตทไดอางองหรอระบไวในคมอนจะยงสามารถเขาถงได และหากเนอหาสวนใดมการระบถงชอผลตภณฑ ไมไดหมายความวาไทยเซรตสนบสนนผลตภณฑดงกลาว เพยงแตเปนการยกตวอยางเทานน
คมอนจดทำาขนเพอการศกษาและอางองเทานน ไทยเซรตหรอบคคลใด ๆ ทปฏบตหนาทในนามไทยเซรตจะไมรบผดชอบตอผลลพธของการใชงานขอมลทปรากฏในคมอน ขอมลทกอยางทปรากฏในคมอนอาจเปลยนแปลงไปตามกาลเวลา จงขอสงวนสทธเกยวกบความถกตองของขอมลตาง ๆ
คมอนจดพมพขนภายใตลขสทธ Creative Commons Attribution- NonCommercial- Sharealike 4.0 International4
ลขสทธถกตองตามกฎหมาย© สำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) 2559
4 Creative Commons License: <https://creativecommons.org/licenses/by-nc-sa/4.0/>
![Page 16: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/16.jpg)
16
กตตกรรมประกาศไทยเซรตขอขอบคณสถาบนและบคคลตาง ๆ ทใหความอนเคราะหจนประสบความสำาเรจในการจดทำาคมอฉบบน โดยขอแสดงความขอบคณเปนพเศษแด
• CERT/CC โดยเฉพาะอยางยงทมพฒนา CSIRT ซงใหขอมลประกอบในบทท 6
• ENISA สำาหรบขอมลเชงลกเกยวกบบคคล กฎหมายและ กฎระเบยบ
• TRANSITS สำาหรบขอเสนอในกระบวนการรบมอและแกไข เหตภยคกคาม
• ผทไดกรณาตรวจสอบการแปลและความถกตองของคมอน
![Page 17: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/17.jpg)
17
1.การบรหารจดการวงจรการทำางานของทมและขดความสามารถการจดตง CSIRT มหลายองคประกอบและปจจยทตองคำานงถง ดงนน จงควรนำาวงจร วางแผน-ลงมอทำา -ตรวจสอบ-ปฏบต (Plan-Do-Check-Act หรอ PDCA5 มาปรบใชเพอใหการจดตงและการทำางานเปนไปอยางราบรน มการพฒนาปรบปรงอยางตอเนอง สมำาเสมอ
รปภาพท1: แสดงวงจร PDCA (หรอวงจร Deming) เปนแนวทางชวยใหการดำาเนนการมการพฒนาคณภาพอยางตอเนอง
5 วงจร PDCA : <https://en.wikipedia.org/wiki/PDCA>
การพฒน
าอยางต
อเนอง
ปฏบต วางแผน
ตรวจสอบ ลงมอทำ
ปฏบต วางแผน
ตรวจสอบ
การผนวกค
วามกาวหน
า
ในขนตอนก
อนหนาผาน
กระบวนกา
รจดทำมาต
รฐาน
มาตรฐาน
มาตรฐาน
ลงมอทำ
การพฒนาคณ
ภาพ
เวลา
![Page 18: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/18.jpg)
18
ในการจดตงและดำาเนนภารกจของ CSIRT ควรจะมทปรกษาระดบสงทมประสบการณในการบรหารองคกร ในระดบสงสด มประสบการณกบการกำาหนดเปาหมายและยทธศาสตรทางธรกจ รวมทงสามารถสนบสนน แผนงานตาง ๆ เขามามบทบาทใหคำาแนะนำาดวย นอกจากน ยงม CSIRT ทพรอมแบงปนประสบการณและองคความรรวมทงตวอยางตาง ๆ เพอสนบสนนการจดตง CSIRT ใหม ๆ
• AusCERT6
• สถาบนการเงน7
• CERT Polska8
วางแผน(Plan)การจดทำากรอบงานCSIRT
• คำาอธบายโดยละเอยดจะปรากฏในบทท 2 และในภาคผนวก ก: แมแบบกรอบงาน CSIRT
การกำาหนดงบประมาณ
• กำาหนดงบประมาณสำาหรบการดำาเนนการตอเนองเปนเวลาหลายป โดยตองแยกงบประมาณดานการปฏบตการและ งบประมาณทใชสำาหรบการลงทนออกจากกน
6 AusCERT: <https://www.auscert.org/au/render.html?it=2252>7 สถาบนการเงน: <http://www.cert.org/incident-management/publications/case-studies/
afi-case-study.cfm>8 CERT Polska: <https://www.terena.org/activities/tf-csirt/meeting9/jaroszewski-
assistance-csirt.pdf>
![Page 19: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/19.jpg)
19
• ไมควรกำาหนดงบประมาณในลกษณะทเปนการผกมดจนเกนไปและไมควรประเมนงบประมาณสงกวาความเปนจรง
• จดทำางบประมาณใหกระชบทสดเทาทจะกระทำาไดและควรชแจงเกยวกบสงทเปนรปธรรม และนามธรรมในขอเสนออยางตรงไปตรงมา
การจดทำาแผนธรกจแผนประกอบการ
• ศกษาจากตวอยางและเวบไซตทใหคำาแนะนำาเกยวกบแผนธรกจตาง ๆ
• ขอรบการสนบสนนจากทปรกษาระดบสง• แผนธรกจ แผนประกอบการควรสะทอนเปาหมายของ CSIRT ท
มตอองคกร และความเชอมโยงระหวางเปาหมายกบงบประมาณ• ควรระบผลตอบแทนจากการลงทนในแผนฯ ดวย (Return on
Investment : ROI)การนำาเสนองบประมาณและแผนงาน
• คำาอธบายปรากฏในบทท 3• ศกษาอยางรอบคอบเพอใหสามารถอธบายและชแจงเหตผล
ความจำาเปนของงบประมาณแตละรายการได• นำาเสนอแผนตอทปรกษาระดบสงกอนเพอรบฟงขอคดเหนและ
ขอเสนอแนะ• จากนนจงนำาเสนอตอบคคลทมอำานาจอนมตแผนและคาใชจาย
ตาง ๆ ในการจดตง CSIRT
![Page 20: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/20.jpg)
20
ลงมอทำา(Do)การดำาเนนการตามแผน
• คำาอธบายปรากฏในบทท 4 - สรปขอมลภาพรวมเกยวกบแหลงขอมล - รางนโยบายการรบมอและแกไขเหตภยคกคาม - รางนโยบายการจดการและแลกเปลยนขอมล - ประเมนขดความสามารถพนฐานของผรบบรการ - ประชาสมพนธการจดตง CSIRT - สรางเครอขายความรวมมอจากการเขารวมการประชมและ
การเสวนาตาง ๆ - ซอมรบมอเหตภยคกคาม• ดำาเนนการรบมอและแกไขเหตภยคกคาม (บทท 5) รวมทงให
บรการตามภารกจหลกอน ๆ (บทท 6)
ตรวจสอบ(Check)วเคราะหการทำางานของCSIRT• ใหความสำาคญกบผงขนตอนการทำางาน (workflow)
กระบวนการและภารกจทสำาคญ - การดำาเนนการไมตอเนอง ไมสมำาเสมอหรอไม - การดำาเนนการตาง ๆ สามารถทจะพฒนาและปรบปรงไดด
ยงขนไดอยางไร
![Page 21: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/21.jpg)
21
• ใชวธการประเมนผลทเหมาะสม• ใหบคลากรเขามามสวนรวม - การมสวนรวมนำาไปสความมงมนและพนธกจรวมกน - แลกเปลยนในสงทดำาเนนการไดดแลวและสงทยง
ปรบปรงไดอก - ทำางานรวมกบสวนตรวจสอบคณภาพในองคกร (หากม) - อาจพจารณาจางทปรกษาจากภายนอกเขามาชวย• สมภาษณผรบบรการ เกยวกบ - สงท CSIRT ดำาเนนการไดดอยแลว - ชองทางในการปรบปรงและพฒนา• บรหารจดการคณภาพทวไป - CSIRT ทำางานตามกระบวนการและมาตรฐานทวางไวหรอไม - ไดมการบนทกการปฏบตงานเปนลายลกษณอกษรหรอไม - ทกคนทราบวาเอกสารทเกยวของอยทใดหรอไม - มผลการประชมทกอยางทเกยวของเกบไวเพอการอางองใน
ภายหลงหรอไม - ทกคนทำางานรวมกนอยางไร ทกคนแบงปนขอมลเกยวกบ
เหตภยคกคามทดำาเนนอยไดทราบอยางไร - วางแผนใหบคลากรในทมเขารวมการฝกอบรม การประชม
และการสมมนาตาง ๆ
![Page 22: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/22.jpg)
22
ปฏบต(Act)ตดสนใจเกยวกบภารกจ บรการเพมเตมและการพฒนาปรบปรง• นำาผลทไดจากขนการตรวจสอบ (check) ไปปรบปรง
การปฏบตงาน• เมอ CSIRT มขดความสามารถเพมขน กอาจใหบรการอน ๆ
เพมเตม ดงรายละเอยดทปรากฏ ในบทท 6• เรมตนจากขนการวางแผนใหมและดำาเนนการตามขนตอน
และวงจรจากนนจงดำาเนนการตามวงจรเพอใหมการพฒนา และปรบปรงอยางตอเนองสมำาเสมอ
หลงจากจดตง CSIRT แลว การดำาเนนการตามวงจรมกใชเวลาประมาณหนงป ซงจะพอดกบปงบประมาณขององคกร ทงน เพอใหสามารถบรรจความจำาเปนหรอความตองการตาง ๆ ของ CSIRT ในการหารอเพอกำาหนดหรอยกรางขอเสนองบประมาณไดตามกรอบเวลา
ปจจยการพจารณาการใหบรการของ CSIRT ประการหนงคอระดบขดความสามารถของ CSIRT ซงมตงแตระดบทจำากดเพยงการรบมอเหตภยคกคามจนถงการใหบรการเชงรกเพอปองกนและการบรหารจดการคณภาพ ในคมอฉบบน CSIRT ขนตำาสดทจะกลาวถงคอ CSIRT ทมขดความสามารถระดบ 2 (พนฐาน)
![Page 23: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/23.jpg)
23
ระดบขดความสามารถ(MaturityLevel) คำาอธบาย
1. ระดบเบองตน
CSIRT ตงขนเพอเปนผตดตอ (Point of Contact: POC) สำาหรบประสานแจงเหตและแกไขเหตภยคกคาม มกฎ ระเบยบ และขอบงคบสำาหรบการแจงเตอนและรายงานไปยงองคกร ทเกยวของตาง ๆ
2. ระดบพนฐาน
ระดบท 1 + มกระบวนการรบมอเหตภยคกคามรปแบบใหม และใชระบบสำาหรบรบแจงเหตและตดตามการดำาเนนการ (ticketing system) รวมถงใหคำาแนะนำาดานความมนคงปลอดภยแกองคกร
3. ระดบพรอมรบมอ ระดบท 2 + มเครองมอวเคราะหเหตภยคกคามและมกระบวนการจดประเภทและจดการขอมล
4. ระดบเชงรก
ระดบท 3 + เผยแพรขอมลขาวสารเกยวกบความมนคงปลอดภย ใชเครองมอตรวจสอบและเฝาระวงเหตภยคกคามอยางสมำาเสมอ รวมถงวางแผนการฝกอบรมแกบคลากร
5. ระดบครบวงจร
ระดบท 4 + เฝาระวงและตรวจจบเหตภยคกคามแบบเรยลไทม รวมถงเมอพบเหตภยคกคามประเภทใหม จะมการรางคมอปองกนเหตภยคกคามและแบงปนแกทงภายในและภายนอกองคกร
![Page 24: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/24.jpg)
24
![Page 25: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/25.jpg)
25
2.การรางกรอบงานCSIRTกรอบงานของ CSIRT กำาหนดรายละเอยดเกยวกบภารกจของ CSIRT ไมวาจะเปนจำานวน และประเภทภารกจของ CSIRT ผไดรบประโยชนจากการทำางานของ CSIRT และทรพยากรทตองใชในการดำาเนนภารกจ ซงสามารถนำามาปรบใชกบ CSIRT แตละแหงได เพราะแมวาจะมความแตกตางกน แต CSIRT ทกแหงกมองคประกอบพนฐานทคลายคลงกน ตวอยางของกรอบงานทจะชวยใหเหนภาพชดขนนนปรากฏอยใน ภาคผนวก ก: แมแบบกรอบงาน CSIRT (CSIRT framework template)
ขอมลเกยวกบการจดตง CSIRT ในเอกสารฉบบนอางองมาจากแนวปฏบตทไดรบการยอมรบในระดบนานาชาต หากปฏบตตามกรอบงานดงกลาว จะชวยใหเขาเปนสมาชกของเครอขายความรวมมอตาง ๆ ไดงายขน เพราะขอกำาหนดของการเขาเปนสมาชกเครอขายความรวมมอตาง ๆ ลวนสอดคลองกบแนวปฏบตทไดรบ การยอมรบ
องคกรสามารถนำา CSIRT framework ไปใชประชาสมพนธการจดตง CSIRT ใหผมสวนเกยวของ ผรบบรการ และสาธารณชนรบทราบ (โปรดอานขอ 4.5 ประกอบ) เพอใหเหนภาพ เอกสารฉบบนจะยกตวอยางไทยเซรตประกอบในสวนประกอบของ CSIRT framework ทจะอธบายถดไป
![Page 26: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/26.jpg)
26
2.1พนธกจเมอจดตง CSIRT ควรบนทกพนธกจ (mission statement) ของ CSIRT ไวเปนลายลกษณอกษร โดยพนธกจจะตองกำาหนดวตถประสงคและหนาทของ CSIRT ใหชดเจนและควรระบในภาพรวมเกยวกบเปาหมายระยะยาวและเปาหมายหลกของ CSIRT ดวย
พนธกจควรกระชบ (2-3 ประโยค) แตกไมควรสนเกนไปจนทำาใหเกดความคลมเครอเมอคำานงวา พนธกจนจะไมเปลยนแปลงไปอกหลายป
ไทยเซรตเปน CSIRT ระดบประเทศของไทยทจดตงขนเพอสงเสรมใหธรกรรมทางอเลกทรอนกส มความมนคงปลอดภย โดยเปนหนวยงานกลางในการรบแจง ประสานเพอรบมอและแกไขเหต ภยคกคามในขอบเขตครอบคลมระบบเครอขายอนเทอรเนตภายในประเทศไทย และระบบคอมพวเตอรภายใตโดเมนเนมประเทศไทย (.th)
2.2ผรบบรการการทำาความเขาใจกบขอบเขต (scope) ผรบบรการ จะชวยให CSIRT สามารถกำาหนดความตองการพนฐาน เชน สนทรพยทตองไดรบการปกปองและรปแบบการใหบรการ
CSIRT ของแตละองคกรจะตองกำาหนดขอบเขตของผรบบรการใหชดเจน ในกรณทขอบเขตผรบบรการคาบเกยวกบ CSIRT ขององคกรอน จะตองกำาหนดใหชดเจนและแจงใหทราบโดยทวกนวา เมอเกดเหตภยคกคาม ทมใดทจะตองดำาเนนการและผรบบรการตองตดตอใคร
![Page 27: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/27.jpg)
27
ทงน ENISA9 ไดจำาแนกประเภทของ CSIRT ตามขอบเขต ผรบบรการไว ดงน
ภาคสวน เปาหมาย ผรบบรการ
CSIRT ภาคการศกษา
สถาบนวชาการและการศกษา เชน มหาวทยาลยหรอหนวยงานวจย
บคลากรของมหาวทยาลยหรอโรงเรยน นกเรยน นกศกษา
CSIRT ภาคการพาณชย
องคกรดานการพาณชย ซงอาจเปนบรษทตาง ๆ ผใหบรการอนเทอรเนต (ISP) หรอผใหบรการอน ๆ
ลกคาทชำาระเงน เพอรบบรการ
CSIRT ภาคโครงสรางพนฐานสำาคญของประเทศ/ โครงสรางพนฐานทางสารสนเทศทสำาคญของประเทศ
การปกปองขอมลสำาคญและระบบเทคโนโลยสารสนเทศของโครงสรางพนฐานสำาคญตาง ๆ ในประเทศ
รฐบาล ภาคสวนสำาคญ และพลเมอง
CSIRT องคกรภาครฐ
รฐบาล องคกรภาครฐ
CSIRT ภายในองคกร องคกรหรอหนวยงานนน ๆ
บคลากรภายในและ สวนงานดานเทคโนโลยสารสนเทศ ขององคกร
9 ศกษาเพมเตมไดท "A Step-by-step approach on how to set up a CSIRT” ปรากฏในหนาเวบไซต ENISA หนา 8
![Page 28: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/28.jpg)
28
ภาคสวน เปาหมาย ผรบบรการ
CSIRT ทหาร หนวยงานทหารท รบผดชอบโครงสรางดานสารสนเทศ
บคลากรของสถาบนทหารและหนวยงานใกลชด อาท กระทรวงกลาโหม
CSIRT ระดบประเทศ เนนการบรการระดบประเทศ โดยถอวาเปน ผประสานงานเพอรบมอและแกไขเหตภยคกคาม
ไมมผรบบรการโดยตรง อยางไรกด CERT ระดบประเทศอาจมบทบาท ในฐานะองคกรรฐทดแล และใหบรการภาครฐดวย
CSIRT ภาค SME จดตงขนเพอใหบรการแกสาขาธรกจขององคกร
SME และเจาหนาท
CSIRT/ PSIRT10 ของ vendor
เนนไปทผลตภณฑเฉพาะของ vendor สวนมากมกจะเปนการแกไข ชองโหว หรอใหคำาแนะนำาเพอลดผลกระทบกรณพบการโจมตผลตภณฑ
เจาของผลตภณฑ
ไทยเซรตเปน CERT ระดบประเทศของไทยและยงปฏบตหนาทเปน CSIRT ทใหบรการองคกรภาครฐอกดวย ดงนน ผรบบรการจงประกอบดวยประชาชน เครอขายและองคกรตาง ๆ ภายในประเทศไทย10
10
10 ยอมาจาก Product Security Incident Response Team
![Page 29: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/29.jpg)
29
2.3อำานาจหนาทอำานาจหนาท (authority) ของ CSIRT เปนสงทกำาหนดวา CSIRT ไดรบอนญาตใหทำาอะไรไดบาง ซงมตงแตการมอำานาจเพยงการใหคำาแนะนำา จนถงหยดบรการทพบวามชองโหวหรอถกเจาะระบบแลว โดยทวไป CSIRT ควรมหนาทรบผดชอบในดานเทคนคและไมควรมอำานาจในการปราบปรามหรอลงโทษ เนองจากผทเกยวของกบเหตภยคกคามอาจเกรงกลวและไมยอมแจงเหต
ไทยเซรตทำาหนาทประสานเกยวกบเหตภยคกคามกบผทเกยวของ และไมมอำานาจหนาทอน
2.4ความรบผดชอบโดยปกตความรบผดชอบของ CSIRT ครอบคลมการใหบรการตาง ๆ ซงรายการบรการของ CSIRT จะระบในบทท 6 ทงน CSIRT อาจมหนาทเพมเตม เชน ทำางานรวมกบองคกรกำากบดแลหรอหนวยงานบงคบใชกฎหมาย
เมอมหนาทเพมเตม CSIRT จะตองระมดระวงอยางยงไมใหเกดผลประโยชนทบซอน เชน กรณท CSIRT ไดรบมอบหมายหนาทในการปฏบตการควบคกบการกำากบดแลภารกจ นอกจากน หากเปน CSIRT ระดบประเทศหรอ CSIRT ภาครฐ กควรมการกำาหนดบทบาทความรบผดชอบของหนวยงานดงกลาวในกฎหมายใหชดเจนดวย
ไทยเซรตรบมอกบเหตภยคกคามไซเบอรตาง ๆ นอกจากนน ยงใหบรการปรกษา ใหคำาแนะนำาเชงเทคนค สรางความตระหนกรและจดการฝกอบรม
![Page 30: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/30.jpg)
30
2.5โครงสรางบรหารโครงสรางบรหารของ CSIRT ภายในองคกรมกจะขนอยกบองคกรหลกทกำากบดแล เชน CSIRT ระดบชาตมกจะอยภายใตองคกรภาครฐ โดย CSIRT อาจจดตงตามโครงสรางรปแบบตาง ๆ ดงน
2.5.1รปแบบธรกจอสระ(independentbusinessmodel)
CSIRT เปนองคกรอสระในตวเอง มสวนบรหารจดการ ลกจาง และเจาหนาทสนบสนนของตนเอง โดยรปแบบนอาจใชสำาหรบ CSIRT ในภาคการพาณชย
2.5.2รปแบบฝงตว(embeddedmodel)
CSIRT ภายในองคกรมกไดรบการกำาหนดใหอยในสวนงานดานเทคโนโลยสารสนเทศขององคกรนน ซงกนบวาสมเหตสมผลเนองจาก CSIRT มภารกจเกยวของโดยตรงกบระบบเทคโนโลยสารสนเทศ อยางไรกด ในกรณทเปนองคกรขนาดใหญ อาจพจารณาแยกสวน CSIRT ออกมาเพอใหสามารถดแลความมนคงปลอดภยของระบบและขอมลขององคกรอยางทวถง
หาก CSIRT ไดรบการกำาหนดใหอยในโครงสรางองคกรท "ตำาเกนไป" CSIRT กอาจเปนหนวยงานทโดดเดยว กลายเปน "ของเลน IT” ทไมมความสำาคญและไมไดรบการสนบสนนจากหนวยงานอนในองคกร ในขณะเดยวกน หาก CSIRT อยในโครงสรางองคกรท "สง" พนกงานและเจาหนาทขององคกรนนอาจเหน CSIRT เปนหอคอยงาชางและไมมปฏสมพนธกบ CSIRT ในระยะหลง CSIRT เรมไดรบการยอมรบและไดรบการปรบใหขนไปอยในโครงสรางองคกรทสงขนเพอใหสามารถใหบรการองคกรไดสะดวก รวดเรว และมประสทธภาพ
![Page 31: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/31.jpg)
31
การออกแบบตำาแหนงทตงของ CSIRT อาจทำาไดหลายรปแบบขนอยกบโครงสรางขององคกรนน โดยสามารถจำาแนกตามลกษณะดงน
• รปแบบรวมศนย: บคลากรของ CSIRT ทงหมดอยในสำานกงานเดยวกน
• รปแบบกระจาย: บคลากรของ CSIRT กระจายตามสำานกงานตาง ๆ ในกรณทมองคกรหลายสาขา โดยรปแบบนอาจจำาเปนตองทำางานรวมกนและมการประสานงานกนเปนประจำา
• รปแบบกระจายตามเขตเวลา: เปนรปแบบทพฒนามาจากรปแบบกระจาย บางครงกเรยกวาเปน ”รปแบบตามพระอาทตย” (follow the sun) กลาวคอ เมอพระอาทตยตกในประเทศหนงและ CSIRT ในประเทศนนเลกงาน CSIRT ในอกประเทศหนงกจะรบชวงทำางานตอ ดงนน CSIRT แตละแหงจงไมจำาเปนตองทำางานเปนกะ
2.5.3รปแบบแคมปส(CSIRTหลก/รอง)
สถาบนวชาการ เชน มหาวทยาลย นยมใชรปแบบน แตกอาจนำามาปรบใชกบ CSIRT ในหนวยงานทหารและ SME ได
รปแบบมลกษณะตามรปภาพท 2 องคกรทอยในภาคสวนเดยวกนจดตง CSIRT กลางเพอใหบรการองคกรสมาชก และเปนหนวยงานกลางประสานกบองคกรภายนอก อาจอยในรปแบบขององคกรอสระหรอรปแบบฝงตว สวนองคกรสมาชกอาจมหรอไมม CSIRT เปนของตวเอง
![Page 32: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/32.jpg)
32
รปภาพท2:โครงสรางรปแบบแคมปส
ไทยเซรตเปนสวนหนงขององคกรรฐ ปฏบตงานตามภารกจของสำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) ดงนน ไทยเซรตจงม รปแบบฝงตวและรวมศนย
2.6ความพรอมในการใหบรการ
ความพรอมในการใหบรการ (availability) ของ CSIRT สวนใหญจะขนอยกบชวโมงการทำางานขององคกรหลกท CSIRT ตงอยดวย โดยหาก CSIRT ไมทำางานตลอดยสบสชวโมงทกวนกจะตองมแนวปฏบตในการจดการเหตภยคกคามทไดรบแจงนอกเวลาทำางาน ซงอาจเปนแนวทางงาย ๆ อาท การกำาหนดใหบคลากร CSIRT เปดอานขอความในอเมลทสงเขามาในแตละวนใหหมดภายในวนทำาการถดไป นอกจากนน อาจกำาหนดใหมบคลากรเขาเวรเฝาระวงเหตภยคกคาม ซงมอำานาจตดสนใจวาในกรณเกดเหตภยคกคาม จะรอถงวน
![Page 33: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/33.jpg)
33
ทำาการถดไปไดหรอไม หรอจำาเปนตองดำาเนนการทนท
การกำาหนดชวงเวลาใหบรการของ CSIRT ควรตองพจารณา สภาพแวดลอมขององคกรดวย เชน หากสวนงานดานเทคโนโลยสารสนเทศขององคกรเปดทำาการในเวลาทำาการเทานน การท CSIRT จะใหบรการตลอด 24 ชวโมงทกวนกอาจไมเกดประโยชนเพราะปญหาตาง ๆ ทเกดขนไมไดรบ การแกไขนอกเวลางาน
ทงน การใหบคลากรทำางานนอกเวลางานอาจทำาใหมตนทนเพมขนในรปแบบคาลวงเวลา
ในอดต ไทยเซรตเปดทำาการระหวาง 08:30–17:30 วนจนทรถงศกร จนกระทงเมอตนป 2558 ไทยเซรตเรมเปดใหบรการตลอด 24 ชวโมงทกวน
2.7บรการหลกCSIRT สามารถใหบรการไดหลากหลาย แตในชวงเรมตน อาจจำากดการใหบรการอยเพยง 1 ถง 2 รายการ และเพมตามความจำาเปนในอนาคต โดยจะกลาวถงอยางละเอยดในบทท 6 อยางไรกตาม หวใจหลกของบรการ CSIRT คอการรบมอและแกไขปญหาเหตภยคกคาม (จะไดกลาวถงตอไปในบทท 5) ในขณะทบรการทสำาคญรองลงมาคอบรการแจงเตอน และเผยแพรขอมลขาวสาร
ไทยเซรตใหบรการเกอบทกรายการทระบในบทท 6
![Page 34: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/34.jpg)
34
2.8ขอกำาหนดดานบคลากร
2.8.1อตราเจาหนาท
CSIRT ไมไดกำาหนดตายตววา ควรมบคลากรทางเทคนคจำานวนเทาใด เพราะ CSIRT แตละแหงยอมมความแตกตางทงในเรองสภาพแวดลอมในการทำางาน ผรบบรการ และผทมสวนเกยวของตาง ๆ อยางไรกด อาจใชแนวทางตอไปนเปนแนวทางเบองตนในการกำาหนดจำานวนบคลากร
• เพอให CSIRT สามารถใหบรการภารกจหลก 2 รายการ ไดแก (1) การรบมอและแกไขเหต ภยคกคามและ (2) การแจงเตอนและเผยแพรขอมลขาวสาร CSIRT ควรมพนกงานเตมเวลา อยางนอย 4 คน
• สำาหรบ CSIRT ทใหบรการมากกวา 2 รายการและปฏบตงานเฉพาะในเวลาทำาการและดแลระบบของตนเอง ควรมเจาหนาทเตมเวลาอยางนอย 6-8 คน
• สำาหรบ CSIRT ครบวงจรทบคลากรทำางานตลอดยสบสชวโมงโดยไมมวนหยด (3 กะตอวน) ควรมพนกงานเตมเวลาอยางนอย 12 คน
แนวทางขางตนไดพจารณาครอบคลมถงสทธประโยชนเรองวนลาปวยและวนลาพกผอนของพนกงานแลว
ไทยเซรตมบคลากรทงสน 43 คน
2.8.2ความสามารถ
![Page 35: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/35.jpg)
35
ENISA11 กำาหนดความสามารถหลก (key competencies) สำาหรบผเชยวชาญทางเทคนคใน CSIRT ไวหลายประการ โดยในการรบบคคลเขาทำางานอาจตองตรวจสอบคณวฒทางเทคนค จาก ใบประกาศนยบตรและวฒการศกษา นอกจากน บคลากรของ CSIRT ยงอาจจำาเปนตองมทกษะเฉพาะดานอน ๆ เพอใหบรการ ดานอน ๆ ของ CSIRT ดวย
ความสามารถสำาหรบเจาหนาทดานเทคนคทวไปประกอบดวย
ขดความสามารถสวนบคคล• มความยดหยน สรางสรรค และสามารถทำางานเปนทม• มทกษะการคดวเคราะห• สามารถสอสารเรองเทคนคทยากใหเปนเรองงาย• สามารถรกษาความลบและทำางานอยางเปนระบบ• มทกษะในการบรหารจดการ• สามารถทำางานในสภาวะกดดนได• มทกษะในการเขยนและการสอสาร• เปดใจแจะพรอมเรยนรสงใหม ๆขดความสามารถเชงเทคนค
• มความรพนฐานเกยวกบอนเทอรเนตและโปรโตคอลตาง ๆ• มความรเกยวกบระบบ Linux และ Unix
(ขนอยกบระบบปฏบตการและเครองมอทองคกรใช)
11 ศกษาเพมเตมไดท "A Step-by-step approach on how to set up a CSIRT” ปรากฏในหนาเวบไซต ENISA หนา 25
![Page 36: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/36.jpg)
36
• มความรเกยวกบระบบ Windows (ขนอยกบระบบปฏบตการและเครองมอทองคกรใช)
• มความรเกยวกบอปกรณเครอขายตาง ๆ (router, switches, DNS, Proxy, Mail และอน ๆ)
• มความรเกยวกบ internet applications (SMTP, HTTP(S), FTP, telnet, SSH และอน ๆ)
• มความรเกยวกบภยคกคามทางไซเบอร (DDoS, Phishing, Defacement, Sniffing และอน ๆ)
• มความรเกยวกบการประเมนความเสยงและการนำาองคความรไปใชปฏบตงาน
ขดความสามารถอน ๆ
• สามารถทำางานในรปแบบตลอด 24 ชวโมง หรอพรอมปฏบตการเมอมเหตฉกเฉน หรอสถานการณ (ขนอยกบหนาทความรบผดชอบ)
• ระยะทางและเวลาทใชเดนทางมาทำางานในกรณฉกเฉนอยในเกณฑทยอมรบได
• ระดบการศกษา• ประสบการณการทำางานดานความมนคงปลอดภยทางไซเบอร2.8.3แนวปฏบตแนวทางการดำาเนนงานจรรยาบรรณ
แนวปฏบต แนวทางการดำาเนนงาน จรรยาบรรณเปนระเบยบหรอแนวทางสำาหรบเจาหนาทใน CSIRT ใหทำางานอยางเปนมออาชพโดยอาจครอบคลมถงการปฏบตตนเมออยนอกเวลางาน ซงมความสำาคญไมนอยไปกวากนเนองจากอาจสงผลกระทบตอความมนคงปลอดภยของขอมลและระบบทดแล ทงน CSIRT อาจนำาแนวปฏบตท
![Page 37: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/37.jpg)
37
จดทำาขนโดย Trusted Introducer12 มาปรบใชได
เจาหนาทของ CSIRT ตองมความนาเชอถอ องคกรควรหลกเลยงการวาจางผทมประวตไมด เชน เคยเจาะระบบหรอขโมยขอมลองคกร เนองจากการสรางความไวเนอเชอใจให CSIRT อาจใชเวลาหลายป แตความนาเชอถอนนอาจหายไปในชวขามคนกได ดงนน แนวปฏบตจงใหความสำาคญกบการคดกรองบคลากรทจะเขามาทำางาน
ไทยเซรตใชแนวปฏบต CSIRT จาก Trusted Introducer
2.8.4การฝกอบรม
ม 2 รปแบบ: (1) การฝกอบรมภายในสำาหรบเจาหนาท CSIRT บรรจใหมเพอแนะนำา ใหทราบวา CSIRT ทำางานอยางไร และ (2) การฝกอบรมภายนอกสำาหรบเจาหนาทประจำาเพอพฒนาทกษะอยางตอเนอง และเรยนรพฒนาการทางเทคโนโลย รวมถงภยคกคามใหม ๆ
องคกรตอไปนมหลกสตรการฝกอบรมทมคณภาพสำาหรบเจาหนาทของ CSIRT
• TRANSITS13
• CERT/CC14
12 Trusted Introducer CSIRT Code of Practice: <https://www.trusted-introducer.org/CCoPv21.pdf>
13 TRANSITS: <https://www.terena.org/activities/transits/>14 CERT/CC: <http://cert.org/training/>
![Page 38: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/38.jpg)
38
• SANS15
• FIRST16
ทงน CSIRT ควรพจารณาจดสรรงบประมาณไวจำานวนหนงสำาหรบการเขารวมการประชมและการสมมนาตาง ๆ ซงถอเปนสวนหนงของการฝกอบรมตอเนองเชนกน (ศกษาเพมเตมไดทขอ 4.6)
ไทยเซรตใชประโยชนจากการอบรมขององคกรทงหมดทกลาวมาขางตน
2.9โครงสรางพนฐานและเครองมอสถานท สงอำานวยความสะดวก เครอขายและโครงสรางพนฐานดานโทรคมนาคมของ CSIRT ควรออกแบบอยางรอบคอบเพอปกปองขอมลสำาคญทจดเกบ และเพอคมครองความปลอดภย ของเจาหนาท ดงนน CSIRT ควรสรางพนทจดเกบขอมลและพนทใชสอยของเจาหนาทใหมระบบปองกนทเปนไปตามขอกำาหนดเดยวกนกบ ศนยขอมล (data center)
ขอควรพจารณาดานความมนคงปลอดภยทางกายภาพ
• มพนทปฏบตงานทปลอดภยหรอมศนยปฏบตการดานความมนคงปลอดภย (SOC) เปนทตงเซรฟเวอรของ CSIRT และสำาหรบ จดเกบขอมล
• มหองปฏบตงานทปลอดภยและเกบเสยงสำาหรบการสบสวนและ
15 SANS Institute: <https://www.sans.org/>16 FIRST: <https://www.first.org/>
![Page 39: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/39.jpg)
39
หารอเกยวกบการดำาเนนงานของ CSIRT• มหองทสามารถเกบรกษาขอมลและเอกสารในรปแบบทไมใช
อเลกทรอนกส• มเครองทำาลายเอกสารและมอปกรณทสามารถทำาลายสอเกบ
ขอมลทไมใชแลว• ควรแยกบคลากรของ CSIRT ออกจากสวนอน ๆ ขององคกร
และควบคมพนทเขาออก• มนโยบายเกยวกบผเขามาเยยมชม โดยอาจกำาหนดรวมเปน
นโยบายควบคมพนทเขาออก
ขอควรพจารณาเกยวกบอปกรณดานเทคโนโลยสารสนเทศ
• มกลไกการสอสารทมความมนคงปลอดภย เชน โทรศพท โทรสาร และอเมล
• มการตงคาเพอเพมความมนคงปลอดภย (hardening) แกระบบตาง ๆ รวมถงเครองคอมพวเตอรทใชในการทำางาน
• มเครอขาย CSIRT แยกจากเครอขายของสำานกงานอน ๆ ในองคกร
• มเครองมอชวยตดตงโปรแกรมและระบบตาง ๆ ในอปกรณไดอยางรวดเรว ในกรณทตองตดตงระบบและโปรแกรมใหม เนองจาก นำาอปกรณออกไปนอกพนทมนคงปลอดภยหรอนำาไปใชในการวเคราะหมลแวร เพอใหมนใจวาไมมมลแวรอยในเครอง หลงเสรจสนการวเคราะห
ขอควรพจารณาเกยวกบอปกรณเฉพาะทางของ CSIRT
• มระบบสำาหรบรบแจงเหตและตดตามการดำาเนนการ (ticketing system)
![Page 40: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/40.jpg)
40
• มฐานขอมลการตดตอของบคลากร ผทมสวนเกยวของ ผรบบรการและผตดตออน ๆ
• มอปกรณอน ๆ ท CSIRT จำาเปนตองใชในการใหบรการ• มอปกรณตาม ภาคผนวก ค: อปกรณดานความมนคง
ปลอดภยทใชทวไปทงน บรการของ CSIRT บางประเภท เชน การตรวจพสจนพยานหลกฐานดจทลอาจตองมขอกำาหนดเพมเตมเกยวกบพนทปฏบตการและเทคโนโลยสารสนเทศทใชงาน
ไทยเซรตดำาเนนการตามองคประกอบทกขอขางตน
2.10ความสมพนธภายในและภายนอกองคกร
CSIRT ควรสรางความสมพนธทดเพอใหไดรบการสนบสนนและ การยอมรบจากองคกรทกำากบดแล เมอมเหตภยคกคามเกดขน ทง CSIRT และองคกรเหลานจะตองรวมมอกนเพอแกไขปญหา หารอถงการดำาเนนการตาง ๆ ความสมพนธทดจะชวยใหการทำางานเปนไปอยางรวดเรวและราบรน ทงน CSIRT ควรมความสมพนธทด ไมเฉพาะตอสวนงานสารสนเทศขององคกร แตยงตองไมลมสวนงานดานอน ๆ เชน ดานความมนคงปลอดภยทางกายภาพ ดานการสอสาร ดานกฎหมาย และดานบคลากร
ความสมพนธภายนอกทเปนประโยชนตอ CSIRT ไดแก ความสมพนธกบ CSIRT ระดบประเทศ ผบงคบใชกฎหมาย และหนวยงาน
![Page 41: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/41.jpg)
41
กำากบดแล หากมเครอขาย CSIRT ขององคกรทอยในภาคสวนเดยวกน (sector-based CSIRT) หรอเครอขาย ISAC ในภาคสวนท CSIRT ปฏบตงานอย17 กควรพจารณาเขารวมเปนสมาชกเครอขายเหลานดวย
ทงน โปรดศกษาเพมเตมในขอ 4.6 สำาหรบตวอยางความรวมมอระหวางประเทศทอาจเปนประโยชนตอ CSIRT ขององคกร
ไทยเซรตสรางความสมพนธทงภายในและภายนอกกบหนวยงานตาง ๆ ตามทระบขางตน
2.11รปแบบการรบเงนทนสนบสนนคาใชจาย
องคกรตองมแนวทางชดเจนในการสนบสนนดานงบประมาณแก CSIRT เพอสามารถใหบรการในระยะยาวไดอยางราบรน ควรมแผนจดสรรงบประมาณสำาหรบจดตงทม และการปฏบตงาน ซงจำาแนกเปน คาใชจาย ดานบคลากร สถานท สงอำานวยความสะดวก ซอฟตแวร ฮารดแวร ตลอดจนตนทนในการใหบรการตาง ๆ
รปแบบการสนบสนนงบประมาณ:
• องคกรหรอหนวยงานท CSIRT อยภายใต เปนผรบผดชอบ คาใชจายทงหมดและ CSIRT ไมมรายไดใด ๆ
17 ศกษาเพมเตมจาก "Establishing a Sector-based ISAC” โดย ThaiCERT
![Page 42: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/42.jpg)
42
• CSIRT อาจไดรบการสนบสนนจากองคกรอนเตมจำานวนหรอบางสวนแบบใหเปลา โดยหากเปนเชนนน ตองพจารณาวา
- ใครเปนผสนบสนน - จดประสงคของการสนบสนนคออะไร - การสนบสนนมมลคาเทาใดและจะครอบคลม
การปฏบตการมากนอยเพยงใด - แหลงทนมความมนคงเพยงใด - การสนบสนนจากแหลงทนมระยะเวลานานเทาใด
![Page 43: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/43.jpg)
43
CSIRT ควรระบรายละเอยดเกยวกบการสนบสนนงบประมาณ แบบใหเปลา โดยมขอมลตาง ๆ อาท ผใหและแหลงทน จดประสงค จำานวนเงน ระยะเวลาของการสนบสนน
• CSIRT อาจคดคาบรการจากการใหบรการทงภายในและภายนอกองคกร หรอไดรบการสนบสนนผานสมาคมขององคกรตาง ๆ เชน มหาวทยาลยในเครอขาย การวจย หรอชองทางการสนบสนนทางการเงนทผสมผสานระหวางรปแบบใดรปแบบหนงดงทไดกลาวมาแลว
ไทยเซรตไดรบการสนบสนนทางการเงนทงหมดจากรฐบาลและยงมรายไดบางสวนจากการใหบรการเฉพาะดาน
![Page 44: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/44.jpg)
44
3.การขออนมตจดตงCSIRTจากผบรหารระดบสงการจดตง CSIRT ควรไดรบการสนบสนนจากผบรหารระดบสงสดในหนวยงาน (สำาหรบวสาหกจเชงพาณชย ภาคเอกชน ผบรหาร ดงกลาวอาจเปนคณะกรรมการบรษท และสำาหรบ CSIRT ภาครฐ ผบรหารดงกลาวหมายถงคณะรฐมนตร) ทงน การสนบสนนดงกลาวมความจำาเปนเพอให
• นโยบายทเกยวของตาง ๆ มผลบงคบใชและปฏบตทวทงองคกร• ไดรบการสนบสนนในการดำาเนนการสำาคญหรอมคาใชจายสง• เกดความตอเนองในการปฏบตการตาง ๆ แมในชวงทมการ
เปลยนโครงสรางองคกรหรอการตดงบประมาณผบรหารขององคกรจะมองสวนงานดานเทคโนโลยสารสนเทศแตกตางออกไปจากบคลากรททำางานดานเทคนค การโนมนาวให ผบรหารระดบสงเชอวา CSIRT จะชวยใหองคกรบรรลเปาหมายขององคกร จำาเปนตองปรบการใชภาษา โดยหลกเลยงการใชศพท และการอธบายทางเทคนค
ตวอยางของเหตผลตาง ๆ ทควรนำามาใชเพอโนมนาวผบรหาร ระดบสง ไดแก
• ขอกำาหนดดานกฎหมายหรอสญญาทกำาหนดใหระบบขององคกรตองมความมนคงปลอดภยในระดบหนง
![Page 45: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/45.jpg)
45
• CSIRT ทไดรบการฝกอบรมและมอปกรณพรอมจะชวยลดความเสยหายทอาจเกดขนจากเหตภยคกคาม (ทงในแงของความเสยหายจากการหยดทำางานและในแงของความเสยหายตอภาพลกษณ ชอเสยง) เนองจากองคกรสามารถจำากดขอบเขตความเสยหายและฟนตวจากการโจมตไดอยางรวดเรว ดงนน CSIRT จะชวยประหยดงบประมาณขององคกรได
• บรการเชงปองกนของ CSIRT อาจชวยลดชองโหวและความเสยงในการเกดเหตภยคกคามกอนทจะระบบขององคกรจะถกโจมต
• การรวมงานดานความมนคงปลอดภยไซเบอรใน CSIRT จะชวยลดความซำาซอนของงานดานนในสวนงานตาง ๆ ขององคกร รวมทงยงชวยใหองคกรมมาตรฐานดานความมนคงปลอดภยเพมขน
• การม CSIRT อาจเปนจดเดนทเปนเอกลกษณขององคกร โดยแสดงใหเหนถงความมงมนขององคกรในการรกษาความมนคงปลอดภย (ชวยใหสามารถประชาสมพนธไดวา “ขอมลของคณปลอดภยเมออยกบเรา")
• ใชคำาพดโนมนาวงาย ๆ แตสงผลกระทบทางจตวทยา เชน “คแขงของเรากทำาแบบนเหมอนกน"
3.1รปแบบการรายงานผลการปฏบตงานของCSIRT
การรายงานผลการปฏบตงานขององคกร โดยทวไปมกอยในรปแบบการจดประชมอยางสมำาเสมอ หรอการจดทำารายงาน รายไตรมาสหรอรายป อยางไรกด CSIRT มกถกมองวาใชตนทนใน
![Page 46: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/46.jpg)
46
การดำาเนนงานสง ซงแทจรงแลว CSIRT อาจชวยองคกรประหยดงบประมาณได ดงนน CSIRT จงไมเพยงแคใชรปแบบการรายงานผลการปฏบตงานตามปกต แตควรเพมตวเลขมลคาความเสยหายทลดลงจากการดำาเนนการรบมอ หรอปองกนไมใหเกดความเสยหายลงในรายงานดวยเพอแสดงใหเหนวา CSIRT มสวนชวยในเรองงบประมาณขององคกรเพยงใด
ไทยเซรตยดหลกการความโปรงใสของหนวยงานภาครฐ จงจดทำารายงานสถตเหตภยคกคามทไดรบแจงประจำาเดอนและเผยแพรบนเวบไซต อกทงยงไดนำาสถตมาวเคราะห เผยแพรเปนรายงานประจำาปทงในรปแบบอเลกทรอนกสและรปแบบเอกสาร
![Page 47: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/47.jpg)
47
4.การจดตงCSIRTและสภาวะแวดลอมในการทำางาน
4.1รวบรวมและจดทำารายการแหลงขอมลดานตางๆ
รวบรวมแหลงขอมลดานตาง ๆ เชน ขอมลทเกยวกบภยคกคาม ขอมลตดตอองคกร ซงเปนประโยชนตอภารกจดงน
• การเฝาระวงเหตภยคกคามดวยระบบทรวบรวมขอมลอตโนมต• การแจงเตอนเหตภยคกคามจากแหลงอน ๆ (อาท อเมล
โทรศพท แบบฟอรมบนเวบไซต)• การรบขอมลเกยวกบภยคกคามและชองโหวตาง ๆ• การสอสารทางตรงกบผมสวนเกยวของ ผรบบรกา/ องคกร ใน
ระหวางเกดเหตภยคกคาม (การจดทำาบญชผตดตอ)• การสอสารทวไปกบผมสวนเกยวของ ผรบบรการ องคกร (การ
สรางความตระหนกรและการประชาสมพนธ)
![Page 48: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/48.jpg)
48
4.2จดทำานโยบายรบมอและแกไขเหตภยคกคาม
นโยบายรบมอและแกไขเหตภยคกคามควรระบผรบผดชอบในการรบมอเหตภยคกคามแตละรปแบบ และระบองคกรภายนอกทสามารถชวยเหลอ
รายละเอยดทควรกำาหนดในนโยบาย มดงน
• ประเภทเหตภยคกคามทอยภายใตขอบเขตบรการรบมอ ของ CSIRT
• ผททำาหนาทวเคราะห รบมอเหตภยคกคาม• สงตองดำาเนนการดานกฎหมาย• การรายงานและการปฏบตทอยนอกเหนอขอบเขตของ CSIRTนโยบายควรมรายละเอยดพนฐานในการรบมอและแกไขปญหา เหตภยคกคามโดยครอบคลมถงประเดนตอไปน
• กรอบเวลาในการรบมอและแกไขปญหา• แนวทางสำาหรบการยกระดบการรบมอ• การจดหมวดหมและการจดลำาดบความสำาคญของเหตภย
คกคาม• การตดตามและเกบขอมลเหตภยคกคาม• การจบการรบมอเหตภยคกคาม• การแสวงหาความชวยเหลอเพมเตมเพอประโยชนในการวเคราะห
หรอเพอฟนฟระบบภายหลงเกดเหตภยคกคาม
![Page 49: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/49.jpg)
49
ภาพรวมขนตอนการรบมอและแกไขเหตภยคกคามทสมบรณจะกลาวถงตอไปในบทท 5
4.3จดทำานโยบายการจดการและแลกเปลยนขอมล
กำาหนดชนความลบของขอมลทงทอยในรปแบบอเลกทรอนกสและเอกสาร โดยอาจแบงเปน ขอมลทมความละเอยดออน (sensitive information) ขอมลลบ หรอขอมลทเปดเผยตอสาธารณชน รวมถงกำาหนดวธการจดการขอมลเหลานนทงในแงของการจดเกบ การรบสง การเขาถง ฯลฯ ทงน รปแบบชนความลบของขอมลทนยมใชคอ traffic light protocol18
นโยบายการจดการและแลกเปลยนขอมลควรกำาหนด (1) ประเภทของขอมลทไมควรเผยแพรออกไปนอก CSIRT (2) ประเภทของขอมลทสามารถเกบบนอปกรณสอสารเคลอนทหรออปกรณทไมปลอดภย (3) ประเภทของขอมลทตองรบสงและจดเกบอยางมนคงปลอดภย รวมถงไมควรนำามาแบงปนกบบคคลทไมไดรบอนญาต และ (4) การจดการและแบงปนขอมลทไดรบจาก CSIRT อน ภายใน CSIRT และภายในองคกร
4.3.1กฎหมายและกฎระเบยบตางๆ
เนองจากอนเทอรเนตเปนสภาพแวดลอมทมพฒนาการไปอยาง รวดเรวในขณะทกฎหมายยงคงคอย ๆ ปรบตวตามหลงเทคโนโลย ในหลาย ๆ ประเดนจงยงไมมกฎหมายใดรองรบ และแมจะมกฎหมาย
18 traffic light protocol : <http://www.us-cert.gov/>
![Page 50: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/50.jpg)
50
ครอบคลมในบางประเดนแลวกยงไมเคยนำาขอบทกฎหมายนนมาใชในกระบวนการยตธรรม นอกจากนน ยงอาจมกรณทเนอความในกฎหมายบางฉบบขดแยงกบกฎหมายอน ๆ อกดวย
CSIRT มหนาทปฏบตตามกฎหมายของประเทศและความตกลงระหวางประเทศ รวมถงมาตรฐานตาง ๆ ทรฐบาลแนะนำาหรอบงคบใช และมาตรฐานทกำาหนดในสญญากบลกคา บางประเทศมกฎหมายทตองแจงองคกรกำากบดแลในกรณทเกดเหตภยคกคาม ทสงผลกระผลกบขอมล ซงการแจงควรอยในกระบวนการรบมอเหตภยคกคาม (ศกษาเพมเตมไดทขอ 2.4)
มตดานกฎหมายไมเพยงจะมผลบงคบใชกบการจดการขอมลภายในประเทศเทานน แตยงรวมถงการแลกเปลยนขอมลระหวางประเทศดวย อกทงยงอาจจำากดสงท CSIRT สามารถดำาเนนการไดในระหวางการรบมอและแกไขเหตภยคกคาม (เชน อาจไมอนญาตให ดกรบขอมลเพอนำาไปวเคราะหการโจมตเนองจากเหตผลดานสทธสวนบคคล)
องคกรควรปรกษาผเชยวชาญทางกฎหมายและตรวจสอบวาการดำาเนนการของ CSIRT นนสอดคลองกบกฎหมายทงในระดบชาตและระดบนานาชาตหรอไม
กฎหมายและนโยบายทเกยวของอาจประกอบดวย:19
กฎหมายระดบประเทศ
• กฎหมายทเกยวของกบเทคโนโลยสารสนเทศ การโทรคมนาคมและสอมวลชน
19 ดเพมเตมไดท "A Step-by-step approach on how to set up a CSIRT” ปรากฏในหนาเวบไซต ENISA หนา 25
![Page 51: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/51.jpg)
51
• กฎหมายเกยวกบการปกปองคมครองขอมลและสทธสวนบคคล• กฎหมายและกฎระเบยบเกยวกบการเกบรกษา/ ถอครองขอมล• กฎหมายเกยวกบการเงน การบญช และการบรหารองคกร• แนวปฏบตและหลกการเกยวกบบรรษทภบาลและการอภบาล
เทคโนโลยสารสนเทศ• สำาหรบประเทศไทย: พระราชบญญตวาดวยการกระทำาความผด
เกยวกบคอมพวเตอรและพระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส (มาตรา 35)20
กฎหมายและสญญาระหวางประเทศ
• ความตกลง Basel II โดยเฉพาะสวนทเกยวกบการจดการความเสยงในการปฏบตการ (Basel II Agreement)
• อนสญญาวาดวยอาชญากรรมทางไซเบอรโดยคณะมนตรแหงสหภาพยโรป (Council of Europe - Convention on Cybercrime)
• อนสญญาวาดวยสทธมนษยชนโดยคณะมนตรแหงสหภาพยโรป สวนมาตรา 8 เกยวกบสทธสวนบคคล (Council of Europe - Convention on Human Rights)
• มาตรฐานการบญชระหวางประเทศ (International Accounting Standards หรอ IAS มสวนทกลาวถงการควบคมดานเทคโนโลยสารสนเทศ)
20 ศกษาเพมเตมเกยวกบแนวทางการบงคบใช พ.ร.บ. วาดวยการทำาธรกรรมทางอเลกทรอนกส ไดท https://www.etda.or.th/publishing-detail/information-technology-law-7-edition.html
![Page 52: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/52.jpg)
52
มาตรฐานตาง ๆ
• มาตรฐานสหราชอาณาจกร (British Standard) BS7799 สวนความมนคงปลอดภยทางสารสนเทศ
• มาตรฐานระหวางประเทศ ISO2700x เกยวกบระบบการบรหารจดการความมนคงปลอดภยทางสารสนเทศ (ISMS - Information Security Management Systems)
• มาตรฐานเยอรมน IT-Grundschutzbuch มาตรฐานฝรงเศส EBIOS และมาตรฐานระดบชาตของประเทศอน ๆ
4.3.2การสอสารอยางมนคงปลอดภยดวยPGP
PGP (Pretty Good Privacy) หรอ GPG (GNU Privacy Guard) เปนโปรแกรมท CSIRT นยมใชเพอรกษาความความมนคงปลอดภยในการรบสงขอมลประเภทตาง ๆ โดยเฉพาะอเมล ดวยการเขารหสลบ (encryption) ถอดรหสลบ (decryption) และลงลายมอชอ (sign) กระบวนการทง 3 อาศยชดรหสทเรยกวากญแจสาธารณะ (public key) และกญแจสวนตว (private key) ซงกญแจสวนตว ผใชงาน PGP ควรเกบเปนความลบ21
PGP ถอเปนเครองมอทสำาคญ CSIRT ทตองการเขาเปนสมาชก FIRST หรอ Trusted Introducer จำาเปนตองสามารถใชงานโปรแกรมดงกลาวในการสอสาร
ในการนำา PGP มาใชงานในทมควรพจารณาประเดนตาง ๆ ดงน
• ผทเกบรกษากญแจสวนตว (private key) อาจเปนผบรหาร หรอ เจาหนารบมอเหตภยคกคาม
21 ศกษาการใชงาน PGP เพมเตมไดท https://www.thaicert.or.th/papers/general/2011/pa2011ge002.html
![Page 53: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/53.jpg)
53
• การดำาเนนการเกยวกบกญแจ ตงแตการสราง การจดเกบ และการเผยแพร
• ประเดนสำาคญในจดการกญแจ เชน - ใครจะเปนผสรางกญแจ - ควรสรางกญแจประเภทใด - กญแจควรมขนาดเทาใด - กญแจควรมอายการใชงานนานเทาใด - ควรม revocation certificate หรอไม เพอประกาศหยดการ
ใชงานกญแจในกรณทกญแจสวนตวถกขโมย - ควรเกบกญแจและ revocation certificate ไวทใด - ใครเปนผลงลายมอชอ (sign) กญแจ - นโยบายในการจดการรหสผานและระบบเกบรหสผาน - ใครเปนผบรหารจดการกญแจ รวมถงนโยบายและ
กระบวนการทเกยวของในการบรหารจดการกญแจ
4.4การสำารวจซอฟตแวรและฮารดแวรทใชงานในองคกร
CSIRT สำารวจและจดทำาขอมลสรปเกยวกบผลตภณฑซอฟตแวรและฮารดแวรพรอมเวอรชนทใชงานในองคกร เพอใหคำาแนะนำาเกยวกบผลตภณฑไดอยางเหมาะสม
![Page 54: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/54.jpg)
54
นอกจากนน หาก CSIRT ใหบรการแจงเตอนและเผยแพรขอมลขาวสารดวย กอาจขอใหพนกงานในองคกรสมครรบขาวสาร แจงเตอนโดยระบรายการผลตภณฑใชงานอยเพอรบคำาแนะนำา ทเกยวกบผลตภณฑเหลานน
4.5การประชาสมพนธเมอจดตง CSIRT เรยบรอยแลว ควรแจงใหผมสวนเกยวของและผรบบรการทราบถงแนวทางการตดตอและบรการ และหาก CSIRT จะเปนผตดตอ (Point of Contact) หลกในการรบแจงและประสานงาน เพอรบมอเหตภยคกคาม CSIRT ควรแจงใหผรบบรการและผมสวนเกยวของทงหมดใหทราบวาตองรายงานเหตภยคกคามไปท CSIRT โดยตรง
รปแบบการประชาสมพนธโดยทวไปคอการจดทำาเอกสารขอมลและบรการตาง ๆ ของ CSIRT และเผยแพรบนอนทราเนต (สำาหรบ CSIRT ภายในองคกร) หรอบนอนเทอรเนต โดยตวอยางรปแบบเอกสารดงกลาวสามารถศกษาจาก RFC235022
ในการปฏบตงานไดอยางมประสทธภาพจำาเปนตองอาศยความไวเนอเชอใจและความเคารพจากผรบบรการ โดยความไวเนอเชอใจอาจเรมตนจากสงเลก ๆ และขยายผลตอไป เมอ CSIRT เรมไดรบความเชอมน และไววางใจ ผรบบรการเหลานนกจะเรมตระหนกและสนบสนน CSIRT มากขน
นอกจากน CSIRT อาจเผยแพรขาวสารเปนประจำาหรอตามโอกาส
22 RFC2350 <https://www.ietf.org/rfc/rfc2350.txt>
![Page 55: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/55.jpg)
55
เกยวกบเหตภยคกคามทไดรบแจง บทเรยนทไดจากการรบมอ รวมถงหวขอนาสนใจตาง ๆ เพอสรางความตระหนกดานความมนคงปลอดภยไซเบอรใหกบผรบบรการในองคกร
4.6การสรางเครอขายแตละองคกรสวนใหญเผชญกบเหตภยคกคามลกษณะคลาย ๆ กนและสามารถ แลกเปลยน เรยนรจากเหตภยคกคามตาง ๆ ทเกดขน การแบงปนประสบการณและบทเรยนทไดรบจะเปนประโยชนสำาหรบทกฝายในการพฒนาแนวปฏบต ปรบปรงความมนคงปลอดภยของระบบ
นอยครงนกทเหตภยคกคามจะเกยวของกบองกรคเดยว สวนมากเหตภยคกคามมกจะเชอมโยงกบทอน ๆ โดยผอยเบองหลงการโจมตมกจะอยคนละท อยคนละประเทศ และยงไปกวานน การโจมตครงหนงอาจมทมาจากหลายแหงในเวลาเดยวกน เชน การโจมตแบบ DDoS ดงนน ในการรบมอและแกปญหาเหตภยคกคามลกษณะน CSIRT จะตองทำางานรวมกบทมอน ๆ โดยเฉพาะทมทดแลเครอขายทเปนแหลงทมาของการโจมต
ปจจบน มหลายเครอขายทรวมมอในดานตาง ๆ เชน การอบรม การรบมอเหตภยคกคาม ตวอยางทเหนไดชดคอ FIRST23 (Forum of Incident Response and Security Teams) ซงม CSIRT หลายรอยแหงทวโลกเปนสมาชก APCERT24 (Asia Pacific CERT) ซงเปนเครอขายความรวมมอสำาหรบ CSIRT ระดบประเทศในภมภาคเอเชย
23 FIRST: <http://www.first.org/>24 APCERT: <http://www.apcert.org>
![Page 56: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/56.jpg)
56
แปซฟก Trusted Introducer25 สำาหรบ CSIRT ทงหมดในยโรป หรอ Africa CERT26 เครอขาย CSIRT ในทวปแอฟรกา ซงการเปนสมาชกในเครอขายเหลานลวนเปนประโยชนอยางมาก
เครอขายเหลาน รวมถง CSIRT ทมขนาดใหญยงจดการประชมและสมมนาทเปดใหผสนใจเขารวมเปนประจำาเพอฝกอบรมและยงเปนโอกาสอนดทบคลากรของ CSIRT จะสรางเครอขายและความสมพนธกบเจาหนาท CSIRT อน ๆ ดวย
4.7การซอมรบมอเหตภยคกคามเนองจากเหตภยคกคามขนาดใหญไมไดเกดขนเปนประจำา CSIRT จงอาจยงไมมประสบการณเพยงพอในการดำาเนนการตามขนตอนและกระบวนการทวางไว เมอเกดเหตภยคกคามขนจรงอาจเปนปญหาได
CSIRT ควรจดการซอมรบมอเหตภยคกคามในลกษณะ table-top exercise ซงเปนการจำาลองสถานการณเกดเหตภยคกคาม ผเขารวมการซอมจะไดรบบทบาทสมมตและตองแกไขเหตการณ การซอมรบมอจะชวยใหเกดความชำานาญ และเหนชองทางในการปรบปรงกระบวนการใหมประสทธภาพยงขน
ทงน ENISA ไดเผยแพรเอกสารและเครองมอทจำาเปนสำาหรบการซอมรบมอโดยไมเสยคาใชจายบนเวบไซต ผทสนใจสามารถดาวนโหลดไดท https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material
25 Trusted Introducer: <https://www.trusted-introducer.org/>26 AfricaCERT: <http://www.africacert.org/>
![Page 57: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/57.jpg)
57
![Page 58: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/58.jpg)
58
5.กระบวนการรบมอและแกไขเหตภยคกคามในบทท 5 จะอธบายกระบวนการพนฐานทจำาเปนในการรบมอและแกไขเหตภยคกคามโดยมแผนผงขนตอนตามรปภาพท 3 สวนเครองมอแนะนำาทอาจพจารณานำามาใช จะระบไวใน ภาคผนวก ค: เครองมอดานความมนคงปลอดภย
รปภาพท3: แผนผงขนตอนการรบมอและแกไขเหตภยคกคาม
การรบแจงเหตภยคกคาม
การบนทกขอมล
การตรวจสอบและประเมนเหตภยคกคาม
การแกไขเหตภยคกคาม
การเสนอแนวทางแกไขปญหา
การจบการแกไขเหตภยคกคาม
การตรวจสอบและแกไขประเภทภยคกคามครงสดทาย
การจดเกบขอมลในฐานขอมล
การจดการขอมลครงสดทาย
การวเคราะหหลงจบการดำเนนการแกไขเหตภยคกคาม
ขอเสนอแนะเพอการปรบปรง
ปฏบตตามแนวทางแกไขปญหา
การกำจดเหตภยคกคามและ
การฟนฟระบบ
การวเคราะหขอมล
การหาแนวทางแกไขปญหา
![Page 59: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/59.jpg)
59
5.1การรบแจงเหตภยคกคาม5.1.1การแจงเตอน
CSIRT ไดรบแจงเหตภยคกคาม ซงมทมาจากหลายแหลงโดยอาจมาจากการพบเองหรอแหลงอน ๆ แจงมา เชน
• การแจงโดยระบบเฝาระวงเครอขาย• สมครเพอรบขาวสารทางอเมลกลมเครอขายดานความมนคง
ปลอดภยไซเบอร• การสมครเพอรบขอมลในรปแบบ automatic feed โดยสามารถ
ศกษาเพมเตมท ภาคผนวก ง: แหลงขอมล• วทย โทรทศน และหนงสอพมพ
CSIRT สามารถศกษาภาคผนวก ข: ตวอยางแบบฟอรมการรายงานเหตภยคกคาม ซงจะระบขอมลตาง ๆ ทจำาเปนในการรายงานเหตภยคกคาม และเพอใหการตดตอเปนไปอยางสะดวกและคลองตว CSIRT อาจสรางชองทางตดตอรบแจงเหตภยคกคาม ไดแก
• อเมล• โทรศพท• แบบฟอรมตดตอทางเวบไซต• สอสงคมออนไลน
อยางไรกด ชองทางการตดตอทเหลานเกอบทงหมดตองใชอนเทอรเนต โดยเฉพาะหากใช VoIP ในการตดตอทางโทรศพท ซงหากการเชอมตออนเทอรเนตมปญหากอาจสงผลใหไมสามารถตดตอ CSIRT ดงนนจงตองคำานงถงชองทางการตดตอสำารองไวดวย
![Page 60: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/60.jpg)
60
5.1.2การบนทกขอมล
เหตภยคกคามทงหมดทไดรบแจงควรจะไดรบการบนทกใน ticketing system ซงเปนระบบสำาหรบรบแจงเหตและตดตามการดำาเนนการ โดยจะมการระบหมายเลข ticket สำาหรบแตละเหตภยคกคามทไดรบแจง เพอใชอางองเวลาตดตอสอสาร
ticket system จากผพฒนาบางรายสามารถรบแจงเหตภยคกคามทางอเมล โดยจะสรางหมายเลข ticket ใหกบอเมลทเขามาโดยอตโนมต
ขอมลเหตภยคกคามทไดรบแจงควรจดการใหอยในทเดยวกน เนองจากขอมลอาจมความสมพนธกบขอมลทไดรบแจงกอนหนา เชน การแพรกระจายของมลแวรในสวนงานขององคกรโดยกอนหนานไดรบแจงการแพรระบาดของมลแวรเดยวกนจากอกสวนงาน จะเหนไดวาเปนเหตการณทความสมพนธกน และอาจจดใหอยใน ticket หมายเลขเดยวกน
ขอดอกอยางของการมศนยกลางในการจดการขอมลคอ ในกรณทพบวาเหตภยคกคามทไดรบแจงมความคลายคลงกบทไดรบแจงกอนหนา กอาจนำาชองทางการตดตอหรอวธการจดการเดมมาใชงานได
ticket system ท CSIRT นยมใชและไมเสยคาใชจาย ไดแก RITR (Request Tracker for Incident Response)27 และ OTRS (Open Technology Real Services)28
27 RITR: <https://bestpractical.com/>28 OTRS: <https://www.otrs.com/>
![Page 61: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/61.jpg)
61
ไทยเซรตใชระบบ ticket system ทชอ RTIR
5.2การตรวจสอบและประเมนเหตภยคกคาม
ขนตอนนถอวาเปนหนงในขนตอนทสำาคญทสดในกระบวนการรบมอและแกไขเหตภยคกคามเพราะเปนขนตอนทตองมการตดสนใจสำาคญ อนดบแรก CSIRT ตองตรวจสอบวาเหตภยคกคามทไดรบแจงเปนเหตภยคกคามจรงหรอไม แหลงทมาของรายงานเชอถอไดมากนอยเพยงใด จากนนควรพจารณา ดงน
• เหตภยคกคามทเกดขนอยใตขอบเขตการทำางานและความรบผดชอบของ CSIRT หรอไมมความเกยวของกบผรบบรการหรอไม
• เกดผลกระทบอะไรบาง• เกดความเสยหายรายแรงเพยงใด• มความเรงดวนมากนอยแคไหน ความเสยหายจะเพมขนตาม
เวลาทดำาเนนไปหรอไม จะลกลามไปยงผรบบรการ ผมสวนเกยวของอน ๆ หรอไม
หลงจากตรวจสอบ เปนการตอบสนองตอผแจง โดยมเนอหาดงน
• ตอบรบทราบการแจงเตอน• อธบายสงทจะดำาเนนการ• สงทผแจงควรกระทำาในระหวางรอ CSIRT รบมอและแกปญหา
เหตภยคกคามจนสำาเรจ
![Page 62: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/62.jpg)
62
CSIRT อาจพจารณาจดทำา template ขอความทใชในการตอบสนองผแจงเพอชวยประหยดเวลาของผปฏบต
5.2.1การระบประเภทและความเรงดวนของเหตภยคกคามเปนการระบเบองตนวาเหตภยคกคามทไดรบแจงวาอยในประเภทใด สามารถกลบมาแกไขเมอมขอมลเพมเตม และเมอพจารณาประเภทของเหตภยคกคามรวมกบประเภทผแจง จะสามารถระบความเรงดวนในการดำาเนนการรวมถงทรพยากรทจำาเปนในการรบมอเหตภยคกคาม
ตวอยาง การกำาหนดความรนแรงและความเรงดวนของเหตภยคกคามทใชโดยหนวยงานภาครฐและองคกรขนาดใหญบางแหง ดงตารางท 1 เชน หากไดรบรายงานการแพรระบาดของ trojan โดยหนวยงานภาครฐถอวามความเรงดวนเปนอนดบ 2 ในขณะทหากผแจงเปนองคกรลกคาถอวามความเรงดวนเปนอนดบ 1
กลมส ความรนแรง ตวอยางแดง สงมาก DDoS, เวบไซต
Phishingสม สง Trojan การเขาถง
โดยไมไดรบอนญาตเหลอง ปกต Spam ประเดนการละเมด
ลขสทธ
ลำาดบความเรงดวน ภาครฐ ลกคา SLA อน ๆสแดง 1 1 2สสม 2 1 3สเหลอง 3 2 3
ตารางท1:ตวอยางการกำาหนดความรนแรงและความเรงดวนของเหตภยคกคามทใชโดยหนวยงานภาครฐและองคกรขนาดใหญบางแหง
![Page 63: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/63.jpg)
63
การจดประเภทเหตภยคกคามยงมประโยชนเชงสถตอกดวย โดยชวยให CSIRT สามารถ
• ระบแนวโนมของเหตภยคกคามแตละประเภท• จดทำาสถตรายงานผบรหาร• เปรยบเทยบกบขอมลของ CSIRT อน ๆการจดประเภทเหตภยคกคามทนยมใช ไดแก
• ประเภทเหตภยคกคามโดย LatvianCERT29
• ประเภทเหตภยคกคามโดย eCSIRT.net30
• กำาหนดโดย CSIRT เองทงน แมการกำาหนดประเภทเหตภยคกคามดวยตนเองอาจเหมาะสมกบองคกร แตอาจมปญหาในการนำาขอมลไปเปรยบเทยบกบ CSIRT ขององคกรอน
หากตองการกำาหนดเอง ไมควรสรางประเภททซบซอนหรอละเอยดเกนไป (เชน กำาหนดประเภทของเหตภยคกคามสำาหรบมลแวรทกชนด) เนองจากถงแมจะชวยใหสามารถมองภาพรวมประเภทของเหตภยคกคามท CSIRT รบมอไดอยางละเอยดมาก แตกหมายความวาตองใชเวลาอยางมากในการกำาหนดประเภทของเหตภยคกคามแทนทจะใชเวลานนมาแกไขปญหา
29 <https://www.enisa.europa.eu/topics/csirt-cert-services/community-projects/existing-taxonomies>
30 <https://www.enisa.europa.eu/topics/csirt-cert-services/community-projects/existing-taxonomies>
![Page 64: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/64.jpg)
64
ไทยเซรตใชประเภทเหตภยคกคามของ eCSIRT.net และเผยแพรสถตเหตภยคกคามทไดรบแจงรายเดอนบนเวบไซต31
31
รปภาพท4: สถตเหตภยคกคามรายเดอนทไทยเซรตไดรบแจงในป 2558
ขนตอนสดทายในสวนน คอการกำาหนดผรบผดชอบเหตภยคกคามซงจะเปนผดำาเนนการตอไป
5.3การแกไขเหตภยคกคาม5.3.1การวเคราะหขอมล
สงทสำาคญในขนตอนนคอการรวบรวมขอมลใหไดมากทสดเทาทจะทำาไดจากรายงานและระบบทไดรบผลกระทบ เพอใหทมไดภาพรวมเกยวกบเหตภยคกคามและสาเหตการเกดเหตภยคกคามทสมบรณทสด ตวอยางขอมลทรวบรวม เชน
31 สถตรายเดอนของ ThaiCERT: <https://www.thaicert.or.th/statistics/statistics-en.html>
อน ๆ
โปรแกรมไมพงประสงค
การเจาะระบบ
ความพยายามจะบกรกเขาระบบ
ความพยายามรวบรวมขอมลของระบบ
การฉอโกง
การโจมตสภาพความพรอมใชงานของระบบ
เนอหาทเปนภย
การเขาถงหรอเปลยนแปลงแกไขขอมลสำคญโดยไมไดรบอนญาต
![Page 65: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/65.jpg)
65
• ขอมลตดตอโดยละเอยด• รายละเอยดของเหตภยคกคามทเกด• ประเภทของเหตภยคกคามทเสนอโดยผแจงเหตภยคกคาม• ขอมลเกยวกบระบบปฏบตการและเครอขายทเกยวของ• ขอมลเวลาและเขตเวลาของเหตภยคกคาม• ขอมลระบบรกษาความมนคงปลอดภยทตดตง• ความรนแรงของเหตภยคกคาม• ไฟลลอกทแนบมากบรายงานแจงเหตภยคกคามนอกจากน อาจหาขอมลทเกยวของกบเหตภยคกคามจากฐานขอมลของระบบหรออปกรณตาง ๆ เชน
• Netflow data• ลอกในเราเตอร• ลอกใน proxy server• ลอกในเวบแอปพลเคชน• ลอกในเมลเซรฟเวอร• ลอกใน DHCP เซรฟเวอร• ลอกในเซรฟเวอรทใหบรการยนยนตวตน (authentication
server)• ฐานขอมลตาง ๆ ทเกยวของ• อปกรณเกยวกบความมนคงปลอดภย เชน Firewall หรอ IDS
(Intrusion Detection System)
![Page 66: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/66.jpg)
66
เมอแหลงทมาของการโจมตทางไซเบอรอยนอกขอบเขต นอกองคกรหรอหนวยงาน CSIRT อาจจำาเปนตองใชขอมลจากแหลงอน ๆ มาประกอบการวเคราะหดวย ในการขอขอมลเพมเตม CSIRT ตอง
• ระบแหลงขอมล• ตดตอประสานงานแหลงขอมล เพอขอขอมลทจำาเปน
แมการหาขอมล รายละเอยดใหไดมากทสดนนเปนสงสำาคญ แตกตองคำานงถงความเปนไปไดในทางปฏบตดวยโดยไมควรรอขอมลจากแหลงอนนานจนเกนไป เนองจากเหตภยคกคามอาจดำาเนนไปเรอย ๆ และความลาชาทเกดจากการรอขอมลจนครบถวนกอาจกลายเปนปญหาหรอทำาใหผบกรกมเวลาเพมขนในการปกปดรองรอย โดยทวไปแลว ขอมลทหาไดเพยงรอยละ 20 ถอเปนสในหาขององคความรทจำาเปนตองใชในการแกไขเหตภยคกคาม
5.3.2การหาแนวทางแกไขปญหา
ภายหลงจากทไดขอมลทงหมดจากขนตอนกอนหนาน จะเปนการหาแนวทางแกไขปญหาทดทสดจากทางเลอกตาง ๆ โดยพจารณาขอสงเกตและขอสรปจากการวเคราะหขอมลทรวบรวมหรอจากการหารอระดมสมอง ตวอยางผลลพธอาจเปนแนวทางการตงคาอปกรณหรอเครองมอเพอแกไขหรอลดผลกระทบของปญหา
5.3.3การเสนอแนวทางปฏบต
ในการแกไขเหตภยคกคาม CSIRT อาจตองเสนอแนวทางปฏบตหนงหรอสองแนวทาง ทงน ขนอยกบความซบซอนของเหตภยคกคามนน ๆ ดวย ในการนำาเสนอ จะตองคำานงถงผฟง บคลากรดานเทคนคยอมเขาใจแนวทางแกปญหาเชงเทคนค แตหากจำาเปนตองดำาเนนการอน ๆ หรอหากแนวทางปฏบตมคาใชจายสง กอาจตอง
![Page 67: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/67.jpg)
67
ปรบเนอหานำาเสนอใหฝายบรหารหรอฝายการเงนเขาใจดวย
ตวอยางของแนวทางปฏบต เชน
• การยตการใหบรการชวคราว• การตรวจหามลแวรในเครอขาย• การแกไขชองโหวในระบบ• การตงคาระบบเพอเพมความมนคงปลอดภย• การแยกระบบออกจากเครอขาย• การตรวจสอบระบบ• การหาขอมลเพมเตม (อาจวาจางบคคลภายนอก)• การซอบรการเสรม เชน บรการปองกนจากการโจมต DDoS• การยกระดบการแกปญหาใหผบรหารหรอคณะกรรมการดาน
กฎหมายรวมตดสนใจ• การรวมมอแกไขปญหากบฝายสอสารองคกรหรอฝาย
ประชาสมพนธ• การรวมมอกบหนวยงานบงคบใชกฎหมายในกระบวนการ
สบสวนอาชญากรรม• หากระบบหรอแอปพลเคชนทองคกรใชงาน มการดแลโดย
องคกรภายนอก เชน ระบบบนคลาวด CSIRT กอาจจำาเปนตองสงคำาแจงเตอนหรอทำางานรวมกบองคกรเหลานน
![Page 68: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/68.jpg)
68
5.3.4ปฏบตตามแนวทางแกไขปญหา
ประเดนทควรพจารณาหลงจากปฏบตตามแนวทางแกไขปญหาทดำาเนนการเสรจสนแลว
• ระบบสามารถใหบรการตามปกตไดหรอไม• การปฏบตนนสามารถแกไขปญหาไดเสรจสนหรอไม• ทราฟฟกในเครอขายไดรบการเฝาระวงอยางเหมาะสมหรอไมหากสวนทตกเปนเปาหมายของการโจมตยงมชองโหวหรอแนวทางการแกไขปญหาไมสามารถแกไขเหตภยคกคามอยางสมบรณ ตองทำาตามขนตอนกอนหนาอกครงเพอหาแนวทางการแกไขปญหาทเหมาะสมตอไป
5.3.5การกำาจดปญหาและการฟนฟระบบ
หลงจากทแกไขตนตอปญหาทสรางความเสยหายใหกบระบบเรยบรอย เปนการฟนฟระบบใหสามารถใหบรการตามปกต อยางไรกตาม ในบางกรณ อาจตองใชเวลาเพมเตมพอสมควร เชน กรณทมการดำาเนนการทางกฎหมายเพอสบสวนทางอาญา นอกจากน สวนงานทรบผดชอบดานการสอสารองคกรหรอการประชาสมพนธอาจเขามามสวนรวมประชาสมพนธขอมลใหสาธารณชนทราบความคบหนาของการดำาเนนการอยางตอเนอง
5.4การจบการแกไขเหตภยคกคามCSIRT ควรมนโยบายทชดเจนวาจะจบการดำาเนนการรบมอและแกไขเหตภยคกคามเมอใดและอยางไร เนองจากระยะเวลาทเหตภยคกคามดำาเนนไปมกมการใชเปนปจจยในการประเมนการทำางานดวย
![Page 69: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/69.jpg)
69
CSIRT บางแหงเลอกทจะปลอยใหสถานะ ticket ของเหตภยคกคามทไดรบแจงใน ticket system คงสถานะเปน open หรอ “ระหวางการดำาเนนการ” มการอปเดตสถานะเพมรายละเอยดการดำาเนนการเรอย ๆ จนกวาเหตภยคกคามจะไดรบการแกไขโดยสมบรณ บางแหงตดสนใจจบการดำาเนนการปด ticket (เปลยนสถานะเปน closed) เมอไดรบการแกไขในเชงเทคนคตามขนตอนทกำาหนด ซงอาจเลอกดำาเนนการถงการตดตามประเมนผล (follow-up) แลวจงจบการดำาเนนการ
5.4.1การจดการขอมลครงสดทาย
แนบเอกสารทเกยวของทกอยางเขาไปใน ticket จากนนจงดำาเนนการแจงฝายตาง ๆ ทเกยวของตามประเดน ดงน
• คำาอธบายสน ๆ เกยวกบเหตการณ• ผลลพธจากการดำาเนนการรบมอและแกไขเหตภยคกคาม• สงทพบและขอเสนอแนะ5.4.2การตรวจสอบและแกไขประเภทภยคกคามครงสดทาย
เมอมขอมลเกยวกบเหตภยคกคามทไดรบแจงครบถวนแลว ควรตรวจสอบความถกตองของประเภทภยคกคามทไดระบไว หากไมถกตองใหแกไขและปรบปรงการระบประเภทภยคกคามใหแมนยำายงขน
5.4.3การจดเกบขอมลในฐานขอมล
ในการจดเกบขอมลทอยใน ticket ทมสถานะ “closed” หรอจบการดำาเนนการ หลงการดำาเนนการรบมอเหตภยคกคามเสรจสน ควรเกบในลกษณะทสามารถสบคนไดในภายหลง เพอใชอางองวธการรบมอกรณทเกดเหตภยคกคามลกษณะใกลเคยงกนในอนาคต
![Page 70: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/70.jpg)
70
5.5การวเคราะหหลงจบการดำาเนนการแกไขเหตภยคกคาม
ควรเรยนรจากบทเรยนทไดรบจากเหตภยคกคามทเกดขนเพอปองกนไมใหเกดเหตเชนนขนอกในอนาคตหรอปรบปรงกระบวนการใหรบมอและแกไขเหตภยคกคามตาง ๆ ไดรวดเรวขน
ตวอยางของบทเรยนทไดและขอเสนอแนะเพอนำาไปปรบปรงและพฒนา ไดแก
• การเพมเตมเนอหาหรอคำาอธบายในนโยบายความมนคงปลอดภยขององคกร
• การพฒนาปรบปรงโครงสราง สถาปตยกรรมของเครอขาย• การพฒนาปรบปรงกลไกการตรวจจบเหตภยคกคาม• การจดหาเครองมอเพอเพมความสามารถวเคราะห• การไดเรยนรวธรบมอเหตภยคกคามรปแบบใหม ๆ
CSIRT อาจแบงปนบทเรยนทไดรบแกเครอขายความรวมมอเพอใหสมาชกไดรบประโยชนจากองคความรใหม ๆ ดวย (ศกษาเพมเตมทขอ 4.6)
![Page 71: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/71.jpg)
71
![Page 72: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/72.jpg)
72
6.บรการเพมเตมตารางดานลางแสดงบรการตาง ๆ ท CSIRT มกใหบรการ ทงน ตามท CERT/CC32 ระบไว
บรการเชงรบเพอตอบสนองภยคกคาม
บรการเชงรกเพอปองกนภยคกคาม
บรการบรหารคณภาพทางดานความมนคงปลอดภย
•การแจงเหตภยคกคาม•การรบมอและแกไขเหตภยคกคาม -การวเคราะหเหตภย
คกคาม -การรบมอและแกไขเหตภย
คกคามณสถานทเกดเหต(onsite)
-การสนบสนนการรบมอและแกไขเหตภยคกคาม
-การประสานงานเพอรบมอและแกไขเหตภยคกคาม
• การจดการกบชองโหวดานความมนคงปลอดภย
- การวเคราะหชองโหว - การแกไขชองโหว - การประสานงานเพอ
แกไขชองโหว• การจดการกบ artifact - การวเคราะห artifact - การดำาเนนการตอ
artifact - การประสานงานเพอ
จดการกบ artifact
•การแจงเตอนและเผยแพรขอมลขาวสาร
• การเฝาตดตามพฒนาการทางเทคโนโลย
• การตรวจสอบและประเมนดานความมนคงปลอดภย
• การตงคาและดแล เครองมอดานความมนคงปลอดภย แอปพลเคชน โครงสรางและบรการดานสารสนเทศ
• การพฒนาเครองมอดานความมนคงปลอดภย
• การบรการตรวจจบ การบกรก
• การเผยแพรขอมลทเกยวของกบความมนคงปลอดภย
• การวเคราะหความเสยง
• การวางแผนความตอเนองทางธรกจและการฟนตวจากเหตภยพบต
• การใหคำาปรกษาดานความมนคงปลอดภย
• การสรางความตระหนกเรองความมนคงปลอดภย
• บรการวชาการดานความมนคงปลอดภย
• การประเมนผลตภณฑหรอการออกใบรบรองประกาศนยบตร
32 อางองจาก.. "Handbook for Computer Security Incident Response Teams (CSIRTs), 2nd edition” หนา 25
![Page 73: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/73.jpg)
73
การบรการทเปนตวอกษรสแดงคอบรการขนพนฐานท CSIRT ทจดตงขนใหมควรมพรอมใหบรการ สวนบรการอน ๆ อาจเพมเตมไดในอนาคตตามความจำาเปน
CSIRT ควรตดสนใจอยางรอบคอบในการวางแผนการใหบรการ เพอใหสอดคลองกบเปาหมายขององคกรภายใตงบประมาณทไดรบจดสรร ทงน เนองจากการใหบรการทเพมขนจำาเปนตองใชทรพยากร ทกษะ และความรวมมอจาก CSIRT อน การใหบรการทจำากดแตมคณภาพยอมดกวามบรการมากมายแตไมมคณภาพ
ในบางกรณ อาจพจารณา outsource บรการบางอยางใหกบหนวยงานทมภารกจ ในดานนน ๆ โดยเฉพาะ เนองจากบรการเหลานนอาจมตนทนสงและมการใชงานนอย เชน การตรวจพสจนพยานหลกฐานดจทล (digital forensics) ซง CSIRT สามารถทำาหนาทเปนผประสานงานในการจดหาบรการดงกลาวได
อนง ในปจจบน ยงไมพบ CSIRT ใดทใหบรการตามรายการขางตนครบทงหมด
6.1คำาอธบายบรการตางๆของCSIRT33
6.1.1บรการเชงรบเพอตอบสนองภยคกคาม
บรการทจะชวยใหหนวยงานสามารถรบมอและแกไขเหตภยคกคามท
33 อางองจาก.. "Handbook for Computer Security Incident Response Teams (CSIRTs), 2nd edition” หนา 25-34
![Page 74: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/74.jpg)
74
สงผลกระทบตอระบบสารสนเทศตาง ๆ ทงขององคกรหรอของ CSIRT เอง โดยอาจไดรบแจงเหตจากการเฝาตดตาม การแจงเตอนจาก IDS logs และหนวยงานภายนอกอน ๆ
6.1.1.1 การแจงเหตภยคกคาม
ประกอบดวยการแจงขอมลตาง ๆ เชน ขอมลการโจมต ชองโหวดานความมนคงปลอดภย การถกเจาะระบบ มลแวร หรอขอความหลอกลวง CSIRT มหนาทแจงเตอนเหตภยคกคาม ใหคำาแนะนำา แนวทางปฏบตเบองตนแกผรบบรการเพอแกไขปญหาทเกดขน โดย CSIRT อาจเปนผจดทำาขอมลเองหรอนำาขอมลจากผเชยวชาญ vendors หรอ CSIRT อน ๆ มาเผยแพร
6.1.1.2 การรบมอและแกไขเหตภยคกคาม
ประกอบดวย การรบแจงเหตภยคกคาม การตรวจสอบและประเมนเหตภยคกคามการตอบกลบตอผแจง การวเคราะหเหตภยคกคาม โดย CSIRT อาจดำาเนนการตาง ๆ เชน
• ปกปองระบบและเครอขายทไดรบผลกระทบหรอถกขมข โดยผประสงคราย
• เตรยมมาตรการรบมอเหตภยคกคามตามคำาแนะนำาหรอการ แจงเตอนทไดรบ
• การตรวจสอบรองรอยการถกเจาะระบบในสวนอน ๆ ของเครอขาย
• การตรวจสอบและบลอก traffic ทผดปกต• การลางขอมลในเครองและตดตงระบบใหม• การแพตชหรอการซอมแซมระบบ
![Page 75: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/75.jpg)
75
• การพฒนาแนวทางการรบมออน ๆ ในกรณทไมมวธการแกไขโดยตรงกจำาเปนตองหาแนวทางการรบมอทางออม (workaround)
การบรการนสามารถแบงยอยออกไปไดอก ดงน
o การวเคราะหเหตภยคกคาม
การวเคราะหเหตภยคกคามเองกอาจแบงไดหลายระดบ แตหวใจสำาคญคอการตรวจสอบขอมล หลกฐานสนบสนนหรอ artifact ทงหมดทเกยวของกบเหตภยคกคามเพอใหสามารถระบขอบเขต ระดบความเสยหาย ลกษณะของเหตภยคกคาม และแนวทางการรบมอหรอ workaround ได โดย CSIRT อาจใชผลลพธทไดจากการวเคราะหชองโหวและ artifact เพอชวยทำาความเขาใจและวเคราะหสงทเกดขนกบระบบนน ๆ นอกจากน ในกระบวนการวเคราะหเหตภยคกคาม CSIRT ควรหาความเชอมโยง แนวโนมการเกดเหตภยคกคาม แบบแผน หรอรองรอยของผบกรกโดยการเทยบเคยงระหวางเหตภยคกคามหนงกบอกเหตหนง
ทงน มบรการยอยสองประเภทท CSIRT อาจดำาเนนการโดยถอเปนสวนหนงของการวเคราะหเหตภยคกคาม ไดแก
- การจดเกบหลกฐานดจทล
จดเกบ บนทก และวเคราะหหลกฐานทไดจากคอมพวเตอรทถกเจาะระบบซงครอบคลมถงการทำาสำาเนาฮารดดสกในลกษณะ copy ขอมลแบบบตตอบต ตลอดจนการตรวจสอบความเปลยนแปลงทเกดขนกบระบบ เชน พบโปรแกรม ไฟล บรการ และบญชผใชทผดปกต การตรวจสอบการทำางานของระบบและพอรตทเปดอย การตรวจหา trojan
![Page 76: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/76.jpg)
76
การจดเกบขอมลและหลกฐานตาง ๆ จะตองกระทำาอยางระมดระวงและรอบคอบเพอใหตรวจพสจนไดและเปนทยอมรบในชนศาล ทงน บคลากรของ CSIRT ทรบผดชอบบรการนอาจตองพรอมปฏบตหนาทเปนพยานผเชยวชาญ (expert witness) ในกระบวนการพจารณาของศาลดวย
- การตดตามหรอสบหารองรอย
ตดตามหรอสบหารองรอยวาผประสงครายเขาถงระบบทไดรบ ผลกระทบและเครอขายทเกยวของไดอยางไร ใชวธการหรอ เครองมอใดจงสามารถเขาถงระบบได การโจมตเกดขนจากทใด และระบบหรอเครอขายอนใดบางทถกใชเปนสวนหนงของการโจมตนอกจากนน การตดตามหรอสบหารองรอยยงอาจรวมถงการพยายามระบตวตนของผประสงคราย แมวาการใหบรการนอาจสามารถดำาเนนการไดโดย CSIRT เพยงลำาพง แตโดยทวไปแลวจะทำางานรวมกบองคกรบงคบใชกฎหมาย ผใหบรการอนเทอรเนต หรอองคกรอน ๆ ทเกยวของ
o การรบมอและแกไขเหตภยคกคาม ณ สถานทเกดเหต (on site)
ใหบรการนอกสถานทเกดเหตเพอวเคราะหและชวยฟนฟระบบกลบมาใหบรการหรอใชงานไดตามปกตโดยเรวทสด แทนทจะใหเพยงการสนบสนนทางโทรศพทหรออเมล บคลากรของ CSIRT อาจจำาเปนตองกจะเดนทางลงพนทเพอดำาเนนการแกไขปญหา แตในบางกรณพบวาม CSIRT ประจำาสถานทหรอผดแลระบบซงไดรบหนาทใหรบมอและแกไขเหตภยคกคามเปนประจำาอยแลว
o การสนบสนนการรบมอและแกไขเหตภยคกคาม
ใหความชวยเหลอและเสนอแนะแนวทางแกไขแกผเสยหายทถกโจมตเพอใหฟนตวจากเหตภยคกคามผานทางโทรศพท อเมล โทรสาร
![Page 77: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/77.jpg)
77
หรอเอกสาร โดยอาจรวมถงการใหความชวยเหลอทางเทคนคในการวเคราะหขอมลทรวบรวม การจดหาขอมลตดตอ หรอการเผยแพรแนวทางการจำากดความเสยหายและการฟนฟระบบ การใหบรการในลกษณะนไมใชการรบมอและแกไขเหตภยคกคาม ณ สถานทเกดเหต แตจะเปนผใหความชวยเหลอจากระยะไกลเพอใหบคลากรในสถานทนนสามารถดำาเนนการรบมอเหตภยคกคามและฟนฟระบบไดดวยตนเอง
o การประสานงานเพอรบมอและแกไขเหตภยคกคาม
ประสานงานกบองคกรหรอบคคลทเกยวของกบเหตภยคกคาม เชน ผเสยหายทถกโจมต องคกรทอาจตองการความชวยเหลอในการวเคราะหการโจมต รวมถงองคกรอน ๆ ทเกยวของกบผเสยหาย อยาง ผดแลระบบ ผใหบรการอนเทอรเนต CSIRT อน ๆ หนาทของ CSIRT ในทนอาจรวมถงการจดเกบขอมลตดตอ การแจงเตอนองคกรอนทมแนวโนมเกยวของในฐานะผเสยหายหรอแหลงทมาของการโจมต การจดเกบสถตการดำาเนนการกบองคกรทเกยวของ การอำานวยความสะดวกในการแลกเปลยนขอมลและการวเคราะหขอมล การรวมมอกบผเชยวชาญทางกฎหมายขององคกร สวนงานทรพยากรบคคลหรอสวนงานประชาสมพนธ ตลอดจนผบงคบใชกฎหมาย ทงน การประสานงานดงกลาวไมถอเปนการรบมอและแกไขเหตภยคกคาม ณ สถานท
6.1.1.3 การจดการกบชองโหวดานความมนคงปลอดภย
ประกอบดวยการรบแจงและรวบรวมขอมลและรายงานทเกยวของกบชองโหวของฮารดแวรและซอฟตแวรตาง ๆ การวเคราะหลกษณะและผลกระทบของชองโหวทมตอระบบ การพฒนาวธการตรวจสอบและแกไขชองโหว ทงน มบรการยอยสองประเภทท CSIRT อาจดำาเนนการโดยถอเปนสวนหนงของการจดการกบชองโหวดานความมนคงปลอดภย ไดแก
![Page 78: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/78.jpg)
78
o การวเคราะหชองโหว
ตรวจสอบยนยนขอมลชองโหววาเปนจรงหรอไม ดวยการทดสอบหาวธโจมตผานชองโหวในฮารดแวรหรอซอฟตแวรทไดรบผลกระทบ ในบรการนยงรวมถงการวเคราะหซอรสโคดและการใช debugger เพอหาชองโหว
o การตอบสนองตอชองโหว
เปนการหาแนวทางทเหมาะสมในการจดการชองโหวทพบ เชน การพฒนาและตดตงแพตชหรอ workaround เพอแกไขชองโหวดงกลาว รวมถงการแจงสวนงานและองคกรทไดรบผลกระทบทราบแนวทางแกไข
o การประสานงานเพอแกไขชองโหว
เปนการแจงทกหนวยงาน ทกฝายทเกยวของเกยวกบชองโหวและวธแกไข โดยการสอสารกบ vendors CSIRT อน ๆ ผเชยวชาญทางเทคนค ผมสวนเกยวของ ตลอดจนบคคลหรอกลมตาง ๆทเปนผคนพบหรอรายงานเกยวกบชองโหวนนตงแตแรก
บรการนยงรวมถง การประสานงานเพอใหการวเคราะหและออกรายงานชองโหวเปนไปอยางราบรน การประสานงานเพอกำาหนด วนเผยแพรแพตช workaround และเอกสารทเกยวของ รวมถงการสรางฐานขอมลจดเกบขอมลชองโหวและแนวทางการแกไขดวย
6.1.1.4 การจดการกบ artifact
artifact คอไฟลหรอรองรอยใด ๆ กตามทพบในระบบทเกยวของกบการโจมตระบบและเครอขาย อาจรวมถงไวรสคอมพวเตอร โทรจน เวรม สครปตหรอเครองมอตาง ๆ ทใชโจมต ในบรการน CSIRT
![Page 79: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/79.jpg)
79
มหนาทรวบรวม artifact หรอขอมลทเกยวกบ artifact ทถกใชในการเจาะระบบ การสอดแนม การขดขวางการทำางานของระบบ
เมอไดรบ artifact มาแลว บคลากรใน CSIRT จะนำามาตรวจสอบในดานตาง ๆ เชน วเคราะหลกษณะ ฟงกชนการทำางาน เวอรชน จดประสงคของ artifact นน กอนจะหาแนวทางทเหมาะสมในการตรวจจบ กำาจด และปองกน artifact เหลาน
ในบรการนสามารถจำาแนกเปนบรการยอยไดแก
o การวเคราะห artifact
ตรวจสอบและวเคราะห artifact ทพบในระบบ อาจประกอบดวย การระบประเภทของไฟล โครงสรางของ artifact การเปรยบเทยบ artifact ใหมกบ artifact ทมอยแลวเพอหาความเหมอนและความแตกตาง การทำาวศวกรรมยอนกลบ (reverse engineering) การวเคราะหโคดเพอหาวตถประสงคและฟงกชนการทำางานของ artifact นน
o การดำาเนนการตอ artifact
ประกอบดวยการหาวธการตรวจจบ กำาจด และปองกน artifact โดยอาจสราง signature ใหกบแอนตไวรสหรอ IDS ใชในการตรวจจบ artifact
o การประสานงานเพอจดการกบ artifact
ประกอบดวยการประสานงานแบงปนขอมลจากการวเคราะห artifact ใหกบ CSIRT vendors ผเชยวชาญดานความมนคงปลอดภยและผทเกยวของอน ๆ และยงอาจรวมถงการดแล ฐานขอมลทรวบรวม artifact รวมถงขอมลผลกระทบและวธการรบมอ
![Page 80: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/80.jpg)
80
6.1.2บรการเชงรกเพอปองกนภยคกคาม
บรการเชงรกมวตถประสงคเพอพฒนาระบบและกระบวนการดานความมนคงปลอดภยใหพรอม เพอปองกนตงแตกอนเกดเหตภยคกคาม หรอลดผลกระทบเมอเกดเหตภยคกคาม
6.1.2.1 การแจงเตอนและเผยแพรขอมลขาวสาร
อาจประกอบดวยการแจงเตอนการโจมต การแจงเตอนชองโหวและการออกคำาแนะนำา เกยวกบความมนคงปลอดภย ซงจะชวยใหผรบบรการสามารถปกปองระบบและเครอขายกอนทจะถกโจมต
6.1.2.2 การเฝาตดตามพฒนาการทางเทคโนโลย
ตดตามพฒนาการทางเทคโนโลยใหม ๆ ซงอาจประกอบดวยการศกษาวธการของผประสงคราย แนวโนมของภยคกคามในอนาคต และอาจขยายขอบเขตการตดตาม รวมไปถงคำาตดสนคดและการออกกฎหมายทเกยวของกบความมนคงปลอดภยไซเบอร ภยคกคามทางสงคมหรอทางการเมอง รปแบบของการตดตาม เชน การสมครอเมลรบขาวสาร ศกษาขอมลบนเวบไซตอานขาวและบทความในวารสารดานความมนปลอดภย รวมทงการตดตามขอมลในสาขาอนอยาง วทยาศาสตร เทคโนโลย การเมองและการปกครอง แลวนำามาวเคราะหหาขอมลทอาจสงผลกระทบตอความมนคงปลอดภยของระบบและเครอขายขององคกร โดย CSIRT อาจขอความชวยเหลอจากสวนงานอน ๆ ทมความเชยวชาญในแขนงเหลานเพอใหมนใจวาขอมลหรอการตความทไดมานนมความถกตอง
6.1.2.3 การตรวจสอบและประเมนดานความมนคงปลอดภย
ประกอบดวยการตรวจสอบและวเคราะหความมนคงปลอดภยของ
![Page 81: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/81.jpg)
81
ระบบและเครอขายขององคกรวาเปนไปตามขอกำาหนดขององคกรหรอมาตรฐานทเกยวของหรอไม นอกจากนนยงอาจรวมถงการทบทวนแนวปฏบตดานความมนคงปลอดภยทใชในองคกร
การตรวจสอบและประเมนดานความมนคงปลอดภยสามารถแบงไดดงน
• การตรวจสอบระบบและเครอขาย: ตรวจสอบการตงคาซอฟตแวรและฮารดแวรอยาง เราเตอรไฟรวอลล เซรฟเวอร และอปกรณตาง ๆ เพอใหเปนไปตามนโยบายดานความมนคงปลอดภยขององคกรหรอมาตรฐานทสากลยอมรบ
• การตรวจสอบแนวปฏบต: สมภาษณพนกงานและผดแลระบบเพอสำารวจวาสงทปฏบตหรอดำาเนนการอยนนสอดคลองกบนโยบายหรอมาตรฐานดานความมนคงปลอดภยทนำามาใชหรอไม
• การสแกน: ใชเครองมอตรวจสอบหาชองโหวหรอมลแวรในระบบหรอเครอขาย
• การทดสอบเจาะระบบ: ทดสอบความมนคงปลอดภยโดยการทดสอบเจาะระบบสารสนเทศจรง
CSIRT ควรจดทำาแนวปฏบต รวมทงสงเสรมใหบคลากรสรางทกษะทจำาเปนและสอบประกาศนยบตรรบรองความสามารถในการตรวจสอบขางตน หรออาจ outsource ใหผเชยวชาญดำาเนนการภารกจเหลานแทนภายใตการกำากบดแลของ CSIRT
อนง กอนทจะดำาเนนการตรวจสอบ CSIRT ตองไดรบการอนมตจากผบรหาร เนองจากนโยบายขององคกรอาจหามไมใหดำาเนนการตรวจสอบบางประเภท
![Page 82: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/82.jpg)
82
6.1.2.4 การตงคาและดแลเครองมอดานความมนคงปลอดภย แอปพลเคชน โครงสรางและบรการดานสารสนเทศ
แนะนำาแนวทางทเหมาะสมในการตงคาและดแล เครองมอ applications และโครงสรางและบรการดานสารสนเทศ และอาจมบทบาทเขามาปรบตงคาและดแลเครองมอดานความมนคงปลอดภยตาง ๆ เชน IDS, filter, wrapper, firewalls, VPN และระบบยนยนตวตนตาง ๆ รวมถงอปกรณทวไปอยาง เซรฟเวอร เดสกทอป แลปทอป แทบเลต สมารตโฟน และอปกรณไรสายอน ๆ ใหเปนไปตามแนวทางทกำาหนด
ทงน CSIRT ควรแจงใหผบรหารรบทราบหากพบปญหาในการตงคาหรอใชงานเครองมอ/ แอปพลเคชนทสงผลใหระบบมชองโหวหรอถกโจมตได
6.1.2.5 การพฒนาเครองมอดานความมนคงปลอดภย
CSIRT พฒนาเครองมอใหม ๆ อาจเปนเครองมอเฉพาะสำาหรบ CSIRT เครองมอสำาหรบกลมผรบบรการตามความจำาเปน บรการอาจประกอบดวยการพฒนาแพตชสำาหรบซอฟตแวรทผรบบรการใชงาน การจดเตรยมชดซอฟตแวรทมนคงปลอดภยสำาหรบตดตงเครองคอมพวเตอรใหม การพฒนาเครองมอหรอสครปตสำาหรบเครองมอดานความมนคงปลอดภยทมอย เชน plug-in สำาหรบเครองมอตรวจสอบชองโหว กลไกการตดตงแพตชอตโนมต เปนตน
6.1.2.6 บรการตรวจจบการเจาะระบบ
ประกอบดวยการตรวจสอบโดยการวเคราะหลอกจากซอฟตแวรหรออปกรณสำาหรบเฝาเหตภยคกคาม เชน IDS, SIEM ซงเปนงานททาทายและตองใชความพยายาม เนองจากไมเพยงตองกำาหนดวาจะวางเซนเซอรสำาหรบเฝาระวงเหตภยคกคามไวทใด แตยงตองเกบและ
![Page 83: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/83.jpg)
83
วเคราะหขอมลปรมาณมหาศาล ในหลายกรณจำาเปนตองใช เครองมอเฉพาะหรอความเชยวชาญในวเคราะหขอมลเพอระบยนยนความถกตองของการแจงเตอนพบเหตภยคกคาม ซงบอยครงทอาจพบวาไมใชเหตภยคกคามจรง จงจำาเปนตองมมาตรการหรอตงคาเครองมอของอปกรณสำาหรบเฝาระวงใหลดการเกดเหตการณเหลานนลงไดใหมากทสด บางองคกรเลอกทจะ outsource ภารกจนแกองคกรอนทมความเชยวชาญมากกวาโดยอยภายใตการกำากบดแลของ CSIRT
6.1.2.7 การเผยแพรขอมลทเกยวของกบความมนคงปลอดภย
CSIRT รวบรวมและเผยแพรชดขอมลดานความมนคงปลอดภยทเปนประโยชนและงายตอการสบคนแกผรบบรการและผมสวนเกยวของ อาท
• แนวทางการรายงานและขอมลตดตอสำาหรบ CSIRT• ฐานขอมลทมขอมลการแจงเหต การเตอนและขาวสารตาง ๆ• แนวปฏบตดานความมนคงปลอดภยทใชในปจจบน• แนวทางการใชงานคอมพวเตอรอยางมนคงปลอดภย• นโยบาย กระบวนการ และเชกลสต• การพฒนาแพตชและ distribution ของซอฟตแวรตาง ๆ• ลงกเวบไซตทางการของ vendors• สถตปจจบนและแนวโนมในการรายงานเหตภยคกคาม• ขอมลอน ๆ ทอาจชวยปรบปรงแนวปฏบตดานความมนคง
ปลอดภยโดยรวม
![Page 84: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/84.jpg)
84
ขอมลเหลานอาจจดทำาและจดพมพโดย CSIRT หรอสวนงานอน ๆ ขององคกร (สวนงาน IT ทรพยากรบคคลหรอสอมวลชนสมพนธ) และอาจผนวกขอมลจากแหลงขอมลภายนอก อาท จาก vendors CSIRT อน ๆ หรอผเชยวชาญดานความมนคงปลอดภยดวย
6.1.3บรการบรหารคณภาพทางดานความมนคงปลอดภย
เปนบรการทมเปาหมายเพอปรบปรงและพฒนาความมนคงปลอดภยโดยรวมขององคกร แมบรการนจะไมเกยวของกบการรบมอและแกไขเหตภยคกคามหรอภารกจของ CSIRT โดยตรง แตเปนการนำาบทเรยนและประสบการณทงจากการใหบรการเชงรบเพอรบมอเหตภยคกคามและบรการเชงรกเพอปองกนเหตภยคกคามมาสนบสนนการบรหารการรกษาความมนคงปลอดภยขององคกรในระยะยาว ทงน CSIRT อาจเปนหนวยงานหลกหรอเปนสวนหนงรวมกบสวนงานอนในการดำาเนนภารกจบรหารคณภาพทางดานความมนคงปลอดภยในระดบองคกร ขนอยกบโครงสรางและการแบงความรบผดชอบภายในองคกรนน ๆ
บรการยอยท CSIRT ดำาเนนการภายใตบรการบรหารคณภาพทางดานความมนคงปลอดภย มดงน
6.1.3.1 การวเคราะหความเสยง
ประเมนหรอชวยสนบสนนหรอการประเมนความเสยงดานความมนคงปลอดภยสำาหรบระบบและธรกจใหม ประเมนภยคกคามและความเปนไปไดทจะเกดการโจมตทสงผลกระทบตอสนทรพยของผรบบรการ ผมสวนเกยวของ ตลอดจนระบบตาง ๆ ทงในแงของคณภาพและปรมาณ และชวยในการประเมนแนวทางการปองกน รบมอและแกไขเหตภยคกคามไดอยางมประสทธภาพ
![Page 85: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/85.jpg)
85
6.1.3.2 การวางแผนความตอเนองทางธรกจและการฟนตวจากเหตภยพบต
จากขอมลในอดตและการคาดการณเกยวกบแนวโนมดานความมนคงปลอดภยพบวา เหตภยคกคามสามารถสรางความเสยหายอยางรายแรงตอธรกจ ดงนน CSIRT จงมบทบาทในการนำาประสบการณและขอเสนอแนะมารวมวางแผนความตอเนองทางธรกจและการฟนตวจากเหตภยพบต (business continuity and disaster recovery planning) รวมถงการฟนตวจากเหตภยคกคามเพอใหธรกจขององคกรเปนไปอยางตอเนอง
6.1.3.3 การใหคำาปรกษาดานความมนคงปลอดภย
ใหคำาแนะนำาและแนวทางปฏบตดานความมนคงปลอดภย ในการจดซอ ตดตง ตงคา ระบบ อปกรณเครอขาย แอปพลเคชน รวมถงใหคำาแนะนำาในการรางนโยบายดานความมนคงปลอดภยสำาหรบองคกร ตลอดจนการใหการชนศาล หรอใหคำาแนะนำาแกองคกรดานนตบญญต
6.1.3.4 การสรางความตระหนกเรองความมนคงปลอดภย
สรางความตระหนกรดานความมนคงปลอดภยผานการเขยนบทความ จดทำาโปสเตอร บรการเผยแพรขาวสารทางอเมล เวบไซต ใหขอมลแนวปฏบตรวมถงคำาแนะนำาและขอควรระวงตาง ๆ CSIRT ควรทราบวาผรบบรการยงขาดขอมลสวนใดและพฒนาความรความเขาใจในสวนดงกลาว เมอพนกงานททกษะและความรจะทำาใหลดโอกาสการตกเปนเหยอของเหตภยคกคาม และเพมโอกาสทพนกงานจะตรวจพบและรายงานการถกโจมต ทำาใหสามารถจำากดความเสยหายไดอยางมประสทธภาพ34
34 ไทยเซรตไดจดทำาเอกสารใหความรและสรางความตระหนกดานความมนคงปลอดภยสำาหรบเผยแพรใหประชาชนและองครกรทสนใจ โดยสามารถดาวนโหลดไดท https://www.thaicert.or.th/downloads/downloads.html
![Page 86: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/86.jpg)
86
6.1.3.5 บรการวชาการดานความมนคงปลอดภย
ใหความรผานการจดหลกสตรอบรม สมมนา ประชมเชงปฏบตการเพอใหความรและสรางความตระหนกเรองความมนคงปลอดภย โดยองคความรตาง ๆ อาจประกอบดวย การรายงานเหตภยคกคาม วธการรบมอและแกไขทเหมาะสม เครองมอทใชในการรบมอและแกไขเหตภยคกคาม วธการปองกนเหตภยคกคามและขอมลอน ๆ ทจำาเปน
6.1.3.6 การประเมนหรอการออกประกาศนยบตรรบรองผลตภณฑ
CSIRT ประเมนเครองมอ อปกรณ แอปพลเคชนหรอบรการตาง ๆ เพอตรวจสอบวาผลตภณฑเหลานนมความมนคงปลอดภยและสอดคลองกบแนวปฏบตดานความมนคงปลอดภยในระดบองคกรหรอตามท CSIRT กำาหนดหรอไม โดยอาจออกประกาศนยบตรเพอรบรองผลตภณฑ
![Page 87: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/87.jpg)
87
![Page 88: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/88.jpg)
88
ภาคผนวกก:แมแบบกรอบงานCSIRTกรอบงาน CSIRT
ชอของ CSIRT: ......................................................................................................
พนธกจ: ...........................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
ผรบบรการ: ...........................................................................................................
อำานาจหนาท: .........................................................................................................
ความรบผดชอบ: ....................................................................................................
โครงสรางของ CSIRT: ...........................................................................................
ความพรอมในการใหบรการ: ..................................................................................
................................................................................................................................
บรการตาง ๆ ของ CSIRT: .....................................................................................
![Page 89: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/89.jpg)
89
................................................................................................................................
................................................................................................................................
บคลากร: ................................................................................................................
................................................................................................................................
โครงสรางพนฐานสารสนเทศและเครองมอ: ..........................................................
................................................................................................................................
................................................................................................................................
ความสมพนธภายในและภายนอกองคกร: .............................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
รปแบบการรบเงนทนสนบสนนคาใชจาย: ...............................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
![Page 90: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/90.jpg)
90
ภาคผนวกข:ตวอยางแบบฟอรมการรายงานเหตภยคกคามแบบฟอรมการรายงานเหตภยคกคามกรณากรอกแบบฟอรมนและสงทางโทรสารหรออเมลไปท ….................. กรณากรอกขอมลในสวนทมเครองหมาย * ใหครบ
ผแจงและองคกร
1. ชอ*:2. ชอองคกร*:3. ภาคสวนหรอประเภทขององคกร:4. ประเทศ*:5. เมอง:6. ทอยอเมล*:7. หมายเลขโทรศพท*:8. ขอมลอน ๆ:ระบบทไดรบผลกระทบ
9. จำานวนของระบบ:10. Host name และ IP*:11. หนาทของระบบ*:
![Page 91: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/91.jpg)
91
12. Time-zone:13. ฮารดแวร:14. ระบบปฏบตการ:15. ซอฟตแวรทไดรบผลกระทบ:16. ไฟลทไดรบผลกระทบ:17. โปรโตคอล/ พอรต:เหตภยคกคาม
18. หมายเลขอางอง ref#:19. ประเภทของเหตภยคกคาม:20. เหตภยคกคามเกดขนเมอ:21. เหตภยคกคามตอเนองมาจากเหตภยคกคามกอนหนาหรอไม:
ใช ไมใช22. เวลาและวธการคนพบเหตภยคกคาม:23. ชองโหวทเกยวของ:24. ไฟลทนาสงสย:25. มาตรการรบมอ:26. รายละเอยด:
![Page 92: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/92.jpg)
92
ภาคผนวกค:เครองมอดานความมนคงปลอดภย ตารางดานลางแสดงเครองมอท CSIRT และผทเกยวของใชอยเปนประจำา ซงเครองมอสวนใหญทระบในตารางถกเผยแพรใหใชงานโดยไมเสยคาใชจาย
Domain and IP address query tools
DomainTools <https://www.domaintools.com/>
Domain Dossier <http://centralops.net/co/DomainDossier.aspx>
IP to ASN Mapping
<http://www.team-cymru.org/IP-ASN-mapping.html>
GeoLite2 <http://dev.maxmind.com/geoip/geoip2/geolite2/>
RIPEstat <https://stat.ripe.net/>
E-mail header analysis tools
Google Apps Messageheader
<https://toolbox.googleapps.com/apps/messageheader/>
MXToolbox <http://mxtoolbox.com/EmailHeaders.aspx>
Network monitoring tools
nfdump <http://nfdump.sourceforge.net/>
nfsen <http://nfsen.sourceforge.net/>
Network auditing tools
![Page 93: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/93.jpg)
93
nmap <https://nmap.org/>
AutoScan-Network
<http://autoscan-network.com/>
Wireshark <https://www.wireshark.org/>
AbuseHelper <https://github.com/abusesa/abusehelper>
Vulnerability assessment tools
Nessus <http://www.tenable.com/products/nessus-vulnerability-scanner>
Metasploit <https://www.metasploit.com/>
Vega <https://subgraph.com/vega/index.en.html>
OWASP ZAP <https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project>
SQLcheck <http://www.softpedia.com/get/Internet/Servers/Database-Utils/SQL-Check.shtml>
Burp Suite <https://portswigger.net/burp/>
Kali <https://www.kali.org/>
Intrusion detection tools
Snort <https://www.snort.org/>
Tripwire <https://sourceforge.net/projects/tripwire/>
Forensic tools
Sleuth Kit <http://www.sleuthkit.org/>
Autopsy <http://www.sleuthkit.org/autopsy/>
![Page 94: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/94.jpg)
94
Tcpxtract <http://tcpxtract.sourceforge.net/>
EnCase <https://www.guidancesoftware.com/encase-forensic>
FTK, Forensic Toolkit
<http://accessdata.com/solutions/digital-forensics/forensic-toolkit-ftk>
Malware analysis tools
VirusTotal <https://www.virustotal.com/>
Malware Domain List
<http://www.malwaredomainlist.com/>
Malware Hash Registry
<http://www.team-cymru.org/MHR.html>
MISP, Malware Information Sharing Platform
<https://misppriv.circl.lu/>
AlienVault Open Threat Exchange
<https://otx.alienvault.com/>
Malwr <https://malwr.com/>
Honeypots
honeyd <http://www.honeyd.org/index.php>
WiFi tools
inSSIDer <http://www.metageek.com/products/inssider/>
![Page 95: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/95.jpg)
95
Acrylic WiFi Scanner
<https://www.acrylicwifi.com/en/wlan-software/wlan-scanner-acrylic-wifi-free/>
SIEM tools
Splunk <http://www.splunk.com/>
Encryption tools
GnuPG <https://www.gnupg.org/>
VeraCrypt <https://veracrypt.codeplex.com/>
Incident-tracking tools
RTIR <https://bestpractical.com/>
OTRS <https://www.otrs.com/>
Databases
SQLite <https://www.sqlite.org/>
MySQL <https://www.mysql.com/>
PostgreSQL <https://www.postgresql.org/>
นอกเหนอเครองมอขางตน ในการนำาไฟลลอกมาวเคราะห CSIRT สามารถใชเครองมอคำาสงตาง ๆ เชน sed/ awk และ grep เพอคนหาไฟลลอกในเครอง ซงสวนใหญเกบอยในรปแบบ plain text และสามารถใชคำาสงดงกลาวในการแปลงไฟลลอกจากแหลงทมาทแตกตางกนใหอยรปแบบเดยวกน ทำาใหสามารถใชเครองมอวเคราะหได
![Page 96: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/96.jpg)
96
ภาคผนวกง:แหลงทมาของขอมลCSIRT อาจพจารณาสมครรบขอมลจากจากแหลงขอมลตอไปนเพอประโยชนในการแจงเตอนเหตภยคกคาม โดยสวนใหญไมมคาใชจาย
การแจงเตอนเหตภยคกคาม
APWG, Anti-Phishing Working Group
http://apwg.org/ Phishing
Phish Tank http://www.phishtank.com/ Phishing
Dark-H http://dark-h.org/ Web defacements
Mirror-Zone http://mirror-zone.org Web defacementsZone-H http://zone-h.org/ Web defacementsZone-HC http://zone-hc.com Web defacementsShadowserver https://www.shadowserver.org Botnet
Open DNS resolver
Open proxy server
etc.
![Page 97: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/97.jpg)
97
Team Cymru http://www.team-cymru.org/services.html
BotnetBrute forceDDoSMalware URLOpen DNS resolverOpen proxy serverPhishingScanning
นอกจากนในกรณทเกดเหตภยคกคาม CSIRT อาจตดตอเครอขายความรวมมอทเกยวของ เพอขอความชวยเหลอ
ขอมลตดตอ (CSIRT สมาชก)
FIRST, Forum of Incident Response and Security Teams
https://www.first.org/
APCERT, Asia Pacific CERT http://www.apcert.org/
Trusted Introducer https://www.trusted-introducer.org/
AfricaCERT http://www.africacert.org/
Latin American CSIRTs http://www.lacnic.net/en/web/lacnic/csirts
OIC-CERT, Organisation of the Islamic Cooperation CERT
http://www.oic-cert.org/
NatCSIRT, National CSIRTs http://www.cert.org/incident-management/national-csierts/national-csirts.cfm
![Page 98: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/98.jpg)
98
ภาคผนวกจ:เชกลสตการจดตงCSIRT
ขนตอน อางอง
Plan
1. ราง CSIRT framework และแผนธรกจ รวมถงกำาหนดงบประมาณ บทท 1 หนาท 18 และบทท 2
2. ขอผทมอำานาจอนมตแผนงานและงบประมาณในขอท 1 บทท 1 หนาท 19 และบทท 3
Do
3. รวบรวมและจดทำารายการแหลงขอมลดานตาง ๆ
บทท 1 หนาท 20 และบทท 4 หวขอ 4.1
4. รางนโยบายการรบมอและแกไขเหตภยคกคาม
บทท 1 หนาท 20 และบทท 4 หวขอ 4.2
5. รางนโยบายการจดการและแลกเปลยนขอมล
บทท 1 หนาท 20 และบทท 4 หวขอ 4.3
6. สำารวจและจดทำารายการซอฟตแวรและฮารดแวรทใชในองคกร
บทท 1 หนาท 20 และบทท 4 หวขอ 4.4
7. ประชาสมพนธการจดตง CSIRT บทท 1 หนาท 20 และบทท 4 หวขอ 4.5
![Page 99: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/99.jpg)
99
8. สรางเครอขายความรวมมอจากการเขารวมการประชมและการเสวนาตาง ๆ
บทท 1 หนาท 20 และบทท 4 หวขอ 4.6
9. ซอมรบมอเหตภยคกคาม บทท 1 หนาท 20 และบทท 4 หวขอ 4.7
10. ดำาเนนการรบมอและแกไขเหตภยคกคาม และใหบรการตามภารกจหลกอน ๆ
บทท 1 หนาท 20 บทท 5 และบทท 6
Check
11. ประเมนคณภาพและประสทธภาพของการใหบรการ บทท 1 หนาท 20
Act
12. นำาผลการประเมนไปปรบปรงแผนงานและการดำาเนนการ. บทท 1 หนาท 22
13. ขยายขดความสามารถในการใหบรการ บทท 1 หนาท 22 และบทท 6
![Page 100: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/100.jpg)
100
สรางคณาวายภาพผอำานวยการสำานกงานพฒนาธรกรรม ทางอเลกทรอนกส (องคการมหาชน)
ชยชนะมตรพนธรองผอำานวยการสำานกงานพฒนาธรกรรม ทางอเลกทรอนกส (องคการมหาชน)
พสจนอกษรทศพร โขมพตร
ฝายศลปนภดล อษณบญศร
พรพรหมประภากตตกลผอำานวยการสำานกความมนคงปลอดภย
MartijnVanDerHeideThaiCERT Specialist
ณฐโชตดสตานนทวศวกรความมนคงปลอดภย
คณะผจดท�า
![Page 101: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/101.jpg)
101
COMPUTER SECURITY INCIDENT RESPONSE TEAM
ESTABLISHING A
![Page 102: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/102.jpg)
![Page 103: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/103.jpg)
![Page 104: ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE … · 5 csirt ing a establishing a computer security incident response team ¤Ù‹Á×Í¡ÒèѴµÑ้§«Õà«Ôà µ ¤Ù‹Á×Í¡ÒèѴµÑ้§ÈÙ¹Â](https://reader030.vdocuments.net/reader030/viewer/2022040716/5e20f2dd606523150f2bb723/html5/thumbnails/104.jpg)
104
CSIRTESTABLISHING A¤Ù ‹Á ×Í¡ÒèѴµÑ §«Õà«Ôà �µ
¤Ù ‹Á ×Í¡ÒèѴµÑ §ÈÙ¹Â�»ÃÐÊÒ¹¡ÒÃÃѺÁ×ÍÀѤء¤ÒÁ¤ÇÒÁÁÑ ¹¤§»ÅÍ´ÀѤÍÁ¾ÔÇàµÍÃ�ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE TEAM
COMPUTER SECURITY INCIDENT RESPONSE TEAM
สำนกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)
อาคารเดอะ ไนน ทาวเวอร แกรนดพระรามเกา (อาคารบ) ชน 21 เลขท 33/4 ถนนพระราม 9
แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร 10310โทรศพท 0 2123 1212 | โทรสาร 0 2123 1200
WWW.ETDA.OR.TH | WWW.THAICERT.OR.TH : ETDA Thailand
978-616-7956-28-2
ESTABLISHING A CSIRT¤Ù‹Á×Í¡ÒèѴµÑ§«Õà«ÔÃ�µ