How to be CERT บรรยายโดย ดร.โกเมน พิบูลย์โรจน์ 1
How to be CERT บรรยายโดย ดร.โกเมน พิบูลย์โรจน์ 1 ความกว ้างใหญ่ไพศาลของอินเทอร์เน็ ต ้ มีผู ้ใชงานทั ่วโลก ประมาณ 2,400 ล ้านคน ในปี 2555 เพิม ่ จาก 75 ล ้านคน ในปี 2539 ประเทศไทย มีประชากรอินเทอร์เน็ ต 20 ล ้านuser อัตราเพิม ่ – เพิม ่ เป็ นสองเท่า ทุกๆสามปี ้ ้อมูล เพิม การเรียกใชข ่ ขึน ้ สองเท่าทุกๆ 20 เดือน การผลิตข่าวสารในโลกของข ้อมูล ปี ละ 40 ล ้านล ้านล ้าน ตัวอักษร การค ้นหาข ้อมูลผ่าน Google เดือนละ 3,000 ล ้านครัง ้ ั คม) มีสมาชก ิ กว่า 800 ล ้านคน (เว็บสง Information Warfare 2 2 จานวนประชากรในโลกอินเทอร์เน็ ต 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. China Indea Facebook USA My Space Indonesia Brazil Twitter Google+ Orkut 3 A Different Internet Armies may cease to march Stock may lose a hundred points Businesses may be bankrupted Individuals may lose their social identity Threats not from novice teenagers, but purposeful military, political, and criminal organizations 4 Purpose of Intelligence 1. Identify the need for action 2. Provide the insight and context for deciding among courses of action 3. Provide information on the effectiveness of pursuing the selected course of action 5 Change of View 6 Content / Context of Intelligence 7 What is Cyber Intelligence? Operators/Groups Victims Internet Behavior Opportunities Stimuli/Motives Intrusions/Responses Threats/Counters Vulnerabilities/Fixes 8 Strategic Intelligence Analysis Provides “Big Picture” assessment Trend Analysis Sector Threat assessments Potential Damage assessments Categorization of Attacks and Attackers Identification of Anomalies 9 Tactical Intelligence Analysis Linking element between macro- and micro-level analysis Cluster and pattern analysis Temporal patterns Profiling Analysis of intrusion methods Commonality of targets Reinforces and compliments Strategic Analytic efforts 10 Using CERT/CC Data • • • • • • • Year 2010 - 21,756 Incidents 16,129 Probes/Scans 2,912 Information Requests 261 Hoaxes, false alarms, vul reports, unknown 2454 Incidents with substantive impact on target Profiled 639 incidents, all active during July-Sept 2010 Many different dimensions for analysis and trend generation (analysis work is ongoing) 11 Immediate Data Observations Sept October Ports r ob e O ct pt Se gu s t 50 40 30 20 10 0 Au Generic attack tools adapted to specific targets August Year 2000 Ju July ly Shifts in operating systems involved in incidents June ne Shifts in services used in incidents 600 500 400 300 200 100 0 Ju Increasing diversity of ports used in incidents Incidents Incidents Active Increasing trend of incidents per month (some incidents carry over between months) Ports in Incidents Year 2000 12 Service Shifts 60 50 DNS HTTP FTP RPC email IRC 40 30 20 10 0 June August 13 Weekly Incidents 70 60 50 40 30 20 10 0 14 9/ 16 /0 0 9/ 9/ 00 9/ 2/ 00 8/ 26 /0 0 8/ 19 /0 0 8/ 12 /0 0 8/ 5/ 00 7/ 29 /0 0 7/ 22 /0 0 7/ 15 /0 0 7/ 8/ 00 7/ 1/ 00 6/ 24 /0 0 Weekly Incidents by Target 70 60 50 40 30 user org misc isp intl gov fin edu eat com 20 10 0 15 Monthly Incidents by Target 250 User Com eat edu fin gov intl isp misc org 200 150 100 50 0 July August September 16 9/ 16 /0 0 9/ 9/ 00 9/ 2/ 00 8/ 26 /0 0 8/ 19 /0 0 8/ 12 /0 0 8/ 5/ 00 7/ 29 /0 0 7/ 22 /0 0 7/ 15 /0 0 7/ 8/ 00 7/ 1/ 00 6/ 24 /0 0 Weekly Incidents by OS 70 60 50 40 30 unknown Un So NT MO misc LX IR 20 10 0 17 Monthly Incidents by Operating System 120 100 UNKNOWN IR LX misc MO NT So Un 80 60 40 20 0 July Aug Sep 18 9/ 16 /0 0 9/ 9/ 00 9/ 2/ 00 8/ 26 /0 0 8/ 19 /0 0 8/ 12 /0 0 8/ 5/ 00 7/ 29 /0 0 7/ 22 /0 0 7/ 15 /0 0 7/ 8/ 00 7/ 1/ 00 6/ 24 /0 0 Weekly Incidents by Impact 70 60 50 40 30 Distort Disrupt disclosure Destruct Deception 20 10 0 19 Monthly Incidents by Impact 180 160 140 120 Deception Destruct Disclosure Disrupt Distort 100 80 60 40 20 0 July August September 20 Drivers for Weekly Incidents Independence Day DefCon Labor Day 70 60 Advisory/ Alert 50 40 30 20 10 0 New Toolkits 21 Operational Intelligence Analysis Overlaps with Tactical Analysis Technical assessments of intrusion methods Specific investigation of intruders Identification of vulnerabilities to support mitigation Attribution 22 Example: Signed Defacement Defaced Health-care web site in India "This site has been hacked by ISI ( Kashmir is ours), we want a hospital in Kashmir" and signed by Mujahideen-uldawat. Post-dates activity by Pakistani Hackers Club Level of activity is not significant Claim of identity may be significant 23 Example: Coordinated Automated Attack Probe Victim Compromise & Coopt Probe Victim2 • Remote, fast-acting Identity • Adapts existing tools • Limited deployment • Sophisticated reporters 24 A Problem Too Big Cannot remain technical specialty Cannot remain localized activity Cannot remain responsive to incidents Cannot remain centrally controlled or performed Distributed, ongoing, multifaceted problem demands distributed, ongoing, multifaceted strategy 25 Cyber Intelligence Products Fused analysis reports Demographics and situational awareness In-depth studies Technology of intelligence 26 Anatomy of Hack หาข้อมูล Foot printing หาเป้ าหมาย Scanning ทาให้เซิร์ฟเวอร์หรื อ ระบบปฏิเสธการให้บริ การ Denial of Service ลบร่ องรอย , พรางตัว Covering tracks หารายละเอียดต่างๆ ในการเจาะระบบ Enumeration ทาให้ได้รับสิ ทธิในการเข้าสู่ ระบบ Gaining Access ขโมยข้อมูลผูอ้ ื่นหรื อข้อมูล ที่ตอ้ งการ Pilfering ยกระดับให้เป็ นผูด้ ูแล ระบบ Gaining Root สร้างประตูลบั Creating back doors 27 Security Process Vender developer Hardening Improve Prepare / Prevent CIRCLE Detect/ capture Response / Recovery 28 Vendor / Developer Hole, Bug Patch release Upgrade Default installation Hardening Data Physical Host Logical Network Policy Internet Prepare / Prevent File + directory Process Kernel Performance Network Disaster Recovery User Confidential Procedure Log book Contacts Test Environment Policy Detect / Capture Analysis Monitor info IDS Alarm process Policy Audit Sniffer SMS, Pager Firewall Antivirus software Response / Recovery Analysis Law enforcement Forensics Policy Containment Auto-Response System PR Incident Response Policy Team Back up Improve Patch Process Training Knowledge Policy base Causes of Security Problem Technology Lack of security feature Bug, hole, no patch No standard Hard to up-todate Process Design for security Role + Responsibility Audit, track Disaster plans Stay up-to-date People Lack of knowledge Lack of commitment Lack of good communication Human error 35 องค์กรต้องทำอะไร 1. การเตรียมการทาง Security 2. การดาเนินงานขององค์กรอย่างมี Security ้ 3. มีวน ิ ัยในการใชงาน อย่างมี Security 4. การแก ้ไขและรับมือกับเหตุการณ์ทาง Security 36 กำรจ ัดทำ Computer Security Policy ในองค์กร Non-Technical Tool Technical Tool Tool Availability Cost Performance Security Policy 37 ใครต ้องทาอะไรบ ้างในองค์กร 3 Bring the analysis result Policy and Procedure 4 CEO 1 USER System Admin. Work together Security Specialist 2 38 หำกเกิดเหตุกำรณ์ละเมิดควำมมน ่ ั คงปลอดภ ัย คอมพิวเตอร์ สงิ่ ทีต ่ ำรวจต้องเข้ำไปสอบสวน เพือ ่ เก็ บข้อมูลมำวิเครำะห์ หรือดำเนินกำรต่อ มีด ังนี้ 39 ี หำย Check list สำหร ับผูเ้ สย ื่ ผูแ 1. ชอ ้ จ้ง__________________________ เบอร์โทรติดต่อ _____________________ ว ัน/เวลำ _________________________ ่ Spam, Hacking, 2. ประเภทของเหตุกำรณ์ (เชน Web defacement, etc.) 3. 4. 5. 6. เวลำเกิดเหตุ (มีกำรเทียบก ับค่ำเวลำมำตรฐำนหรือไม่) ตรวจจ ับเหตุกำรณ์ได้อย่ำงไร เวลำตรวจพบ(มีกำรเทียบก ับค่ำเวลำมำตรฐำนหรือไม่) ้ ผลกระทบทีจ ่ ะเกิดขึน 40 กำรตรวจสอบคอมพิวเตอร์ของ ผูส ้ อบสวน ่ ั อะไร 1. ใช ้ Hardware & Software & OS เวอร์ชน 2. หมำยเลข IP ของเครือ ่ ง และ IP ของ Network ที่ ถูกโจมตี ่ Token 3. รูปแบบของ Network ทีถ ่ ก ู โจมตี (เชน Ring, FDDI) ั ของ Modem และรุน 4. หมำยเลขโทรศพท์ ่ ของ Modem 5. ผลกระทบทีม ่ ต ี อ ่ ระบบ Network หรือกำรดำเนิน ธุรกิจ 41 กำรตรวจสอบคอมพิวเตอร์ของ ผูส ้ อบสวน 6. ข้อมูลทีม ่ อ ี ยูใ่ นเครือ ่ ง (มีระด ับควำมสำค ัญ มำก, น้อย) 7. สถำนทีอ ่ ยูข ่ องเครือ ่ งคอมพิวเตอร์ 8. กำรร ักษำควำมปลอดภ ัยของสถำนทีน ่ น ั้ 9. ผูด ้ แ ู ลร ับผิดชอบเครือ ่ งคอมพิวเตอร์ 10. สภำพปัจจุบ ันของคอมพิวเตอร์เมือ ่ เข้ำไป ตรวจสอบ 42 กำรตรวจสอบและเก็บข้อมูล ฝ่ำยผูบ ้ ก ุ รุก(Hacker) 1. 2. 3. 4. 5. 6. ้ บ้ำง มีเหตุกำรณ์อะไรเกิดขึน แหล่งทีม ่ ำ สำเหตุกำรมุง ่ ร้ำย มีกำรทำให้หยุดกำรใชง้ ำนหรือไม่ (DDOS) ี หำยหรือไม่ มีกำรทำลำยข้อมูล หรือทำให้เสย มีกำรบ่งชวี้ ำ ่ มำจำกภำยใน หรือภำยนอก หรือไม่ 43 กำรตรวจสอบและเก็บข้อมูล ฝ่ำยผูด ้ แ ู ลเครือ ่ งคอมพิวเตอร์ 1. มีกำรต ัดกำรกำรติดต่อหรือไม่ (ถอดสำย LAN) 2. มีกำรตรวจสอบบ ันทึกล็ อก (Log) หรือไม่ 3. มีกำรอนุญำตให้ remote access หรือ local access หรือไม่ 4. มีกำรเปลีย ่ นแปลงต่ำงๆ ของ Firewall, IDS หรือไม่ 5. ใครเป็นผูแ ้ จ้งเหตุ ั 6. ข้อมูลอืน ่ ๆ ทีน ่ ำ ่ สงสย 44 กำรตรวจสอบ Software หรือ ่ นเกีย Tools ต่ำงๆ ทีม ่ ส ี ว ่ วข้อง 1. มีกำรติดตงั้ Software & Tools ในกำร ตรวจสอบจำกบุคคลที3 ่ หรือไม่ 2. มีกำรตรวจสอบ Network หรือไม่ 3. มีกำรถูกด ักข้อมูลหรือไม่ (Sniffing) 4. ระบบกำรตรวจจ ับไวร ัส 45 กำรตรวจสอบจำกพยำนทีส ่ ำมำรถ ให้ขอ ้ มูลเพิม ่ เติม 1. 2. 3. 4. ผูด ้ แ ู ลระบบ (System administrator) ผูใ้ ชร้ ะบบ (users) ผูด ้ แ ู ลเครือข่ำย (Network administrator) ผูร้ ับผิดชอบเกีย ่ วก ับเครือข่ำย (Site Incident Response Manager/Officer) 5. ผูร้ ับมือก ับเหตุกำรณ์ควำมปลอดภ ัย คอมพิวเตอร์ (Incident Response Team/Officer) 46 กำรตรวจสอบเพือ ่ เก็บข้อมูลเพิม ่ เติม ตำมแนวทำงกำรสอบสวน 1. สอบถำม/สวน ผูบ ้ ริหำรสำรสนเทศ (CIO) 2. สอบถำม/สวน ผูไ้ ด้ร ับแจ้งเตือนเหตุกำรณ์ท ี่ ้ เกิดขึน 3. สอบถำม/สวน พน ักงำนผูไ้ ด้ร ับทรำบ เหตุกำรณ์ หำกมีขอ ้ มูลทีร่ ว่ ั ไหลออกมำ 4. สอบถำม/สวน หน่วยงำนทีม ่ ห ี น้ำที่ ั ันธ์ หรือแจ้งเหตุกำรณ์ออกไปย ัง ประชำสมพ ภำยนอก 47 กำรสอบสวนผูด ้ แ ู ลระบบ (คำถำมทีค ่ วรถำม) ร ับทรำบเหตุกำรณ์ผด ิ ปกติหรือไม่ มีจำนวนผูใ้ ชใ้ นระบบกีค ่ น มีกำรอนุญำติให้เข้ำถึงระบบจำกภำยนอกหรือไม่ บ ันทึก หรือเครือ ่ งให้บริกำร (Server) ทีท ่ ำหน้ำที่ ิ ธิภำพ หรือควำมจุอย่ำงไร เก็บ Log มีประสท ระบบมีกำรป้องก ันควำมปลอดภ ัยหรือไม่อย่ำงไร มีกำรทำ Hardening หรือไม่ 48 กำรสอบสวนผูจ ้ ัดกำรระบบ (เนือ ่ งจำก บำงครงได้ ั้ ขอ ้ มูลสำค ัญโดยไม่ได้คำดหมำย) ข้อมูลและ Application มีควำมสำค ัญ ควำม อ่อนไหวต่อองค์กรหรือไม่ อย่ำงไร ่ นต ัวเฉพำะใดๆ หรือไม่ ทีค มีประเด็นสว ่ วร ระม ัดระว ัง มีกำรอนุญำติหรือดำเนินกำรตรวจสอบระบบ โดยกำรจ้ำงจำกภำยนอกหรือไม่ (Penetration Test) ประเด็นควำมข ัดแย้งต่ำงๆ ในหน่วยงำน 49 Incident Response กำรร ับมือ ก ับเหตุกำรณ์ควำมปลอดภ ัยคอมพิวเตอร์ 50 กำรร ับมือก ับเหตุกำรณ์ควำมปลอดภ ัย คอมพิวเตอร์ (1) 1. เตรียมกำรและวำงแผน Before 2. ติดต่อผูท ้ เี่ กีย ่ วข้อง 3. พิสจ ู น์ทรำบเหตุกำรณ์ 4. ร ับมือก ับเหตุกำรณ์ 5. กำรปฏิบ ัติหล ังเหตุกำรณ์ During After 51 1. ขนเตรี ั้ ยมกำรและวำงแผนแบ่ง ่ น ควำมสำค ัญเป็น 2 สว 1.1 ตงเป ั้ ้ ำหมำยหรือว ัตถุประสงค์ของกำรร ับมือก ับ เหตุกำรณ์ ร ับทรำบ ประเมิน ป้องก ัน กำหนด ขอบเขต ฟื้ นฟู แก้ไข ตำมจ ับ 52 1.2 ตงล ั้ ำด ับควำมสำค ัญ,ควำมเร่งด่วน (กำหนด level) ในกำรป้องก ัน 1 2 3 4 5 53 2. ติดต่อผูเ้ กีย ่ วข้อง Chief Executive Officer (CEO) , เจ้ำนำย ,ห ัวหน้ำ (BOSS) ิ ใจ (รำยชอ ื่ ) เชน ่ ปิ ดระบบ หยุดทำ ผูม ้ อ ี ำนำจในกำรต ัดสน กำร หรือลบข้อมูล System administrator CERT (Computer Emergency Response Team) Site ต่ำงๆ ทีเ่ กีย ่ วข้อง และมีผลกระทบ ื่ สำรในองค์กร แจ้งข่ำว และติดต่อสอ ั ันธ์และแถลงข่ำวสูภ ่ ำยนอก ประชำสมพ 54 3. กำรพิสจ ู น์ทรำบเหตุกำรณ์ (อำกำร) ่ เครือ Crash, hang เชน ่ งหยุดทำงำน ั เชน ่ Account น่ำสงสย [email protected] ั เชน ่ New file ทีน ่ ำ ่ สงสย Iloveyou.exe , Nakedwife, Myparty.com ่ File เกีย ่ วก ับ account เปลีย ่ นไป เชน กำรเปลีย ่ น file นอกเวลำทำกำร 55 3. กำรพิสจ ู น์ทรำบเหตุกำรณ์ (ต่อ) ขนำดและว ันทีข ่ อง file เปลีย ่ น กำรเปลีย ่ นแปลงข้อมูลในระบบ บ ันทึกข้อมูล logfile ข้อมูลเดิมเปลีย ่ นแปลง หรือ ข้อมูลหำย ้ ลง ระบบหยุดทำงำนหรือระบบชำ 56 3. กำรพิสจ ู น์ทรำบเหตุกำรณ์ (ต่อ) ี หำยและขอบเขต ประเมินควำมเสย ปัจจ ัยภำยใน ปัจจ ัยภำยนอก กีแ ่ ห่ง,กีเ่ ครือ ่ ง เข้ำมำอย่ำงไร ข้อมูลล ับ, ไม่ล ับ ื่ มวลชน น ักข่ำว, สอ เวลำ ผลกระทบ จำนวนบุคลำกร ตำรวจ, ทนำย 57 4. กำรร ับมือก ับเหตุกำรณ์ ติดต่อและแลกเปลีย ่ นข้อมูล ปกป้องหล ักฐำนและบ ันทึก เหตุกำรณ์ ป้องก ันไม่ให้เหตุกำรณ์ลก ุ ลำม กำจ ัดเหตุกำรณ์ ฟื้ นฟู ติดตำมเหตุกำรณ์ 58 กำรติดต่อและแลกเปลีย ่ นข้อมูล • • • • ติดต่อผูเ้ กีย ่ วข้อง ให้ขอ ้ มูลทีเ่ หมำะสมก ับบุคคล ั ให้ขอ ้ มูลทีช ่ ดเจนเป ็ นจริงและถูกต้อง ้ ำษำเหมำะสมก ับผูร้ ับ ใชภ 59 กำรปกป้องหล ักฐำนและบ ันทึกเหตุกำรณ์ - ถือเสมือนเหตุกำรณ์ควำมปลอดภ ัย คอมพิวเตอร์เป็นคดีฆำตกรรม - อย่ำเคลือ ่ นย้ำยอุปกรณ์หรือเปลีย ่ นแปลง file ใดๆ บนเครือ ่ งเป็นอ ันขำด - อย่ำทำกำร format เครือ ่ งโดยท ันที เพรำะจะ เป็นกำรทำลำยหล ักฐำนทงหมด ั้ - รอผูม ้ ค ี วำมสำมำรถและร ับผิดชอบมำ ดำเนินกำร 60 ป้องก ันและจำก ัดไม่ให้เหตุกำรณ์ลก ุ ลำม ปิ ดกำรให้บริกำร (shut down system) ่ ควำม กำจ ัดสำเหตุของเหตุกำรณ์ เชน ล่อแหลม ของระบบ ี่ งของระบบ ตรวจสอบควำมเสย เฝ้ำดูเพือ ่ เก็บข้อมูลและหำแนวทำงในกำร แก้ไข 61 ฟื้ นฟูเหตุกำรณ์ (recovery system) เปิ ดให้บริกำรตำมปกติ ดำเนินกำรให้ลดควำมตืน ่ ตระหนก ่ กำรชแ ี้ จงให้ user หรือ ในองค์กร เชน พน ักงำนทรำบ ั ันธ์ ่ กำรประชำสมพ นอกองค์กร เชน ื่ ต่ำงๆ กำรแก้ขำ ่ วตำมสอ 62 กำรติดตำมเหตุกำรณ์ ิ โดย ้ อย่ำงใกล้ชด ติดตำมเหตุกำรณ์ทเี่ กิดขึน ั ษฐำนไว้กอ สนนิ ่ นว่ำ ย ังมีรอยรวอยู ่ั ใ่ นระบบ เขียนรำยงำนเหตุกำรณ์เพือ ่ เป็นประโยชน์ใน อนำคต What, อะไร Where data problem When , เมือ ่ ไหร่ come from? ข้อมูลกำรแก้ปญ ั หำ How to recovery แก้ปญ ั หำอย่ำงไร Study case บทเรียน How to take action? กำรร ับมืออย่ำงไร Damage ี หำย ควำมเสย 63 5. หล ังเหตุกำรณ์ควำมปลอดภ ัยคอมพิวเตอร์ ิ้ ในระบบทีม ี่ ง ตรวจสอบอุปกรณ์ทก ุ ชน ่ ค ี วำมเสย SWITCH ROUTER • ตรวจสอบระบบและฝังกำรวำงระบบในองค์กร (network infrastructure) 64 5. หล ังเหตุกำรณ์ควำมปลอดภ ัย คอมพิวเตอร์ (ต่อ) • นำบทเรียนทีไ่ ด้มำแก้ไขแผนกำรร ักษำควำมปลอดภ ัย - แก้ไข Policy ในองค์กรให้ร ัดกุม - revise policy ้ - กำหนดมำตรกำรต่ำงๆ เพิม ่ ขึน 65 คำจำก ัดควำมและหน้ำทีข ่ อง CERT CERT Computer Emergency Response Team An organization or a team that provides, to defined constituency, services and support for both preventing and responding the computer security incidents. 66 ขอบข่ำยกำรให้บริกำรของ CERT หน้ำทีห ่ ล ัก 1. ร ับมือก ับเหตุกำรณ์ควำมปลอดภ ัยคอมพิวเตอร์ หน้ำทีท ่ ว่ ั ไป 1. แจ้งประกำศเตือน 2. วิเครำะห์และตอบสนองต่อควำมอ่อนแอของระบบ 3. วิเครำะห์เหตุกำรณ์ควำมปลอดภ ัยคอมพิวเตอร์ตำ่ งๆ ้ ทีถ ่ ก ู ทำขึน 4. อบรมและเผยแพร่ควำมรู ้ 67 ขอบข่ำยกำรให้บริกำรของ CERT(ต่อ) 5. ติดตำมเหตุกำรณ์ควำมปลอดภ ัยคอมพิวเตอร์ 6. ตรวจจ ับกำรบุกรุก 7. ตรวจสอบและให้กำรทดสอบระบบ 8. ทีป ่ รึกษำทำงควำมปลอดภ ัย ี่ งของระบบ 9. วิเครำะห์ควำมเสย 10. พ ัฒนำผลิตภ ัณฑ์ควำมปลอดภ ัยคอมพิวเตอร์ ่ ยเหลือ 11. ให้ควำมร่วมมือและชว 12. ประสำนงำน 68 รูปแบบกำรดำเนินงำนโครงกำรจ ัดตงศู ั้ นย์ประสำนงำน กำรร ักษำควำมปลอดภ ัยคอมพิวเตอร์แห่งชำติ ์ สำน ักงำนร ัฐบำลอิเล็กทรอนิกส(สรอ.) ด้ำนนโยบำย ด้ำนเทคนิค สภำควำมมนคงแห่ ่ั งชำติ (NSC) ประสำนงำน ประสำนงำน มหำวิทยำล ัยต่ำงๆ คณะกรรมกำรเทคโนโลยี สำรสนเทศแห่งชำติ (NITC) สำน ักงำนตำรวจแห่งชำติ ประสำนงำน CERT ประสำนงำน ISP 69 รูปแบบของกำรร ับมือก ับเหตุกำรณ์ควำม ปลอดภ ัยคอมพิวเตอร์ ทำง E-Mail 1 ผูถ ้ ก ู ละเมิด 2 3 กระบวนกำรร ับแจ้ง เหตุกำรณ์ กระบวนกำรยืนย ัน เหตุกำรณ์ ั ทำงโทรศพท์ 5 ประสำนงำนและให้คำแนะนำ ่ น่วยงำนทีเ่ กีย ไปสูห ่ วข้อง NO 4 กระบวนกำรตรวจขอบข่ำย YES 6 - วิเครำะห์เหตุกำรณ์ ่ ยเหลือทำงเทคนิค - ให้ควำมชว - ประสำนงำนและตอบสนอง 70 กำรตรวจสอบกระบวนกำรแจ้งเหตุ เพือ ่ พิสจ ู น์ต ัวตน ทีอ ่ ยู.่ ...................................................... ื่ -นำมสกุล............................................ ชอ ื่ องค์กร............................................... ชอ ั .............. โทรสำร................ เบอร์โทรศพท์ อีเมล์ (E-mail) .......................................... ประเภทขององค์กร (ร ัฐ , เอกชน, สว่ นต ัว) 71 รำยละเอียดของเหตุกำรณ์ ื่ Host และ IP address ชอ หน้ำทีข ่ อง Host เวลำ และย่ำนเวลำ รำยละเอียดของเหตุกำรณ์ (log file ว ันที่ เวลำ) Log file ว ันทีแ ่ ละเวลำ Version ของซอฟต์แวร์ Patch ้ ผลทีเ่ กิดขึน 72 CERT ก ับหน่วยงำนของท่ำน CEO ผูถ ้ ก ู บุกรุก SIRM = Site Incident Response Manager ิ ใจเกีย ผูม ้ อ ี ำนำจต ัดสน ่ วก ับ เครือข่ำยได้ท ันที SIRO = Site Incident Response Officer CERT ต้องมี Two way communication good contact ผูป ้ ฏิบ ัติกำร ั ทท ต้องมีเบอร์โทรศพท์ ี่ ำงำน, ทีบ ่ ำ้ น, เบอร์มอ ื ถือ, เพจเจอร์, E-Mail 73 ั ้ อ ทงหมดนี ั้ ต ้ งอำศย ควำมร่วมมืออย่ำงจริงจ ัง 74 ...ขอบคุณ... Thank you for your attention. 75
© Copyright 2024