ซ้อมรับภัยการโจมตีไซเบอร์ด้วย Cyber Drill

Cyber Attack ภัยร้ายจะไม่ใช่เรื่องไกลตัวอีกต่อไปแล้ว เพราะในช่วงหลายเดือนที่ผ่านมา เราจะพบเห็นข่าวองค์กรชั้นนำระดับโลกหรือแม้กระทั่งในประเทศไทยเอง ต่างก็ตกเป็นเหยื่อของ Cyber Attack ที่ส่งผลกระทบในระดับรุนแรงและก่อให้เกิดความเสียหายต่อองค์กรทั้งในด้านทรัพย์สินและภาพลักษณ์ ดังนั้นการป้องกันและรับมือจึงเป็นสิ่งที่สำคัญอย่างยิ่ง องค์กรจะเตรียมพร้อมรับมือกับภัยคุกคามไซเบอร์ได้อย่างไร? คือโจทย์ที่ทุกองค์กรต้องนำมาพิจารณาและวางแผนรับมือให้ดี

ปัจจุบัน ภัยคุกคามไซเบอร์ไม่ใช่เรื่องของของแผนกไอทีอย่างเดียวอีกต่อไป จากสถิติพบว่าการโจมตีมักเริ่มจากกลุ่มที่เป็นพนักงานทั่วไป และกลุ่มผู้บริหารระดับสูง เนื่องจากผู้บริหารระดับสูงมักเป็นแหล่งข้อมูลที่สำคัญขององค์กร ดังนั้นการสร้างความคุ้นเคยกับ Cyber Attack ให้กับพนักงานทุกคนในองค์กรนั้น จึงเป็นสิ่งที่จำเป็นอย่างยิ่ง บทความนี้ CAT cyfence แนะนำการซ้อมรับมือกับสถานการณ์จริงหรือที่เรียกว่า Cyber Drill

Cyber Drill คืออะไร แล้วทำไมองค์กรถึงจำเป็นต้องทำ?

Cyber Drill (หรือบางคนเรียกว่า Cyber Exercise) คือ การจำลอง Cyber Attack ขึ้นมาเพื่อให้องค์กรสามารถซ้อมรับมือกับการโจมตีที่อาจจะเกิดขึ้น หากเปรียบเทียบให้เห็นภาพก็เหมือนกับการซ้อมหนีไฟที่ให้พนักงานทุกคนได้มีส่วนร่วมและได้ลองปฎิบัติจริง ซึ่งจะต้องมีการซักซ้อมทำความเข้าใจและจำลองสถานการณ์ว่าเมื่อเกิดเหตุการณ์แล้วผู้ที่ตกเป็นเหยื่อ จะต้องดำเนินการอย่างไร เจ้าหน้าที่ในแผนกไอทีและผู้มีส่วนเกี่ยวข้องจะต้องดำเนินการอย่างไร เพื่อให้สามารถตอบสนองต่อเหตุการณ์ที่เกิดขึ้น (Incident response) ได้อย่างถูกต้อง รวดเร็ว และส่งผลให้เกิดผลกระทบกับองค์กรน้อยที่สุด

Cyber Drill แบ่งออก เป็น 3 แบบ มีวิธีทำดังนี้

แบบที่ 1 : คือการทดสอบข้อเขียน ทำได้โดยการแจกแบบทดสอบให้พนักงาน ซึ่งแบบทดสอบจะจำลองสถานการณ์และให้พนักงานเลือกวิธีปฏิบัติที่พึงกระทบ รวมถึงการทดสอบความรู้เบื้องต้นเกี่ยวกับภัยคุกคาม เช่น Email Phishing หรือ Ransomware การทดสอบข้อเขียนนี้สามารถทำได้ง่าย ประหยัดค่าใช้จ่าย และสามารถคัดกรองพนักงานที่ทดสอบได้คะแนนต่ำเพื่อมาอบรมให้ความรู้เพิ่มเติมได้ด้วย ซึ่งโดยทั่วไปใช้เวลาเตรียมแผนไม่มากนัก จะใช้เวลาปฎิบัติการสั้น ๆ 1-3 วัน การทดสอบในแบบนี้จึงเหมาะเป็นการเริ่มต้นสำหรับองค์กรที่ยังไม่เคยทำ Cyber drill มาก่อน

แบบที่2 : คือ การทดสอบแบบข้อเขียน ควบคู่ไปกับการทดสอบเชิงปฏิบัติที่จะให้พนักงานทดสอบบนโปรแกรมคอมพิวเตอร์ที่สร้างสถานการณ์จำลองการโจมตีในรูปแบบต่าง ๆ เช่น Email Spoofing, Email Phishing, Malicious Website ในแบบจำลองนั้นอาจจะจำลองความเสียหายที่เกิดจากการโจมตีเช่น ข้อมูลถูกขโมย บัญชีถูกเข้ารหัส เป็นต้น พนักงานที่ผิดพลาดในการทดสอบจะได้เห็นภาพของภัยคุกคามด้วยตัวเองชัดเจนมากยิ่งขึ้น การทดสอบแบบที่2 นี้มักต้องใช้เวลาในการเตรียมการณ์นานกว่าแบบที่1 โดยมักใช้เวลาปฎิบัติการประมาณ 3-5 วัน โดยพนักงานในองค์กรควรมีความรู้เกี่ยวกับภัยคุกคามทางไซเบอร์เบื้องต้นอยู่แล้ว

แบบที่3 : คือ การโจมตีเสมือนจริง การทดสอบแบบนี้จะไม่มีการบอกพนักงานล่วงหน้าว่ามีการทดสอบ จะทำการโจมตีเครือข่ายภายในองค์กรโดยผู้ทดสอบ เพื่อทดสอบทั้งระบบและพนักงานว่าพร้อมสำหรับการโจมตีหรือไม่และควรปรับปรุงเพิ่มเติมอย่างไร การโจมตีเสมือนจริงมีค่าใช้จ่ายสูงและต้องมีผู้เกี่ยวข้องเป็นจำนวนมาก เหมาะสำหรับองค์กรขนาดใหญ่ที่อาจตกเป็นเป้าการโจมตี การทดสอบประเภทนี้ต้องวางแผนเป็นเวลานานและมักใช้เวลาในการปฎิบัติการประมาณ 7-14 วัน

การทำ Cyber drill ไม่มีข้อกำหนดตายตัว สามารถปรับให้เหมาะสมกับแต่ละองค์กรได้ โดยทั่วไปแนะนำให้ทำ 2-3 ครั้งต่อปี ซึ่งอาจจะเริ่มต้นจากแบบที่หนึ่ง ก็คือการทดสอบข้อเขียนและคัดเลือกพนักงานที่มีความเสี่ยง ออกมาอบรมให้ความรู้เพิ่มเติม หลังจากนั้นอาจใช้การทดสอบแบบที่สอง (การทดสอบแบบข้อเขียนควบคู่ไปกับการทดสอบเชิงปฏิบัติ) และแบบที่สาม (การโจมตีเสมือนจริง) โดยในแต่ละครั้งควรเว้นระยะห่างกันพอสมควร เพื่อเป็นการตรวจสอบว่า เมื่อเวลาผ่านไประยะหนึ่งแล้วการตระหนักรู้ของพนักงานยังคงอยู่หรือไม่และควรจัดทำสรุปผล เพื่อเปรียบเทียบให้เห็นพัฒนาการจากการทดสอบแต่ละครั้ง ว่าการตระหนักรู้ถึงภัยคุกคามของพนักงานในองค์กรเพิ่มขึ้นมากน้อยเพียงใด

ทำไมองค์กรถึงจำเป็นต้องทำ Cyber drill?

การทำ Cyber drill นั้น นอกจากจะทำให้พนักงานทั่วไปได้เห็นภาพของภัยคุกคามชัดเจนมากขึ้นและรู้วิธีเบื้องต้นในการรับมือแล้ว ยังเป็นโอกาสที่ให้ผู้ดูแลระบบได้ซักซ้อมวิธีการแก้ไขปัญหาและวิธีปฎิบัติที่ถูกต้องและซักซ้อมการทำงานร่วมกันระหว่างผู้มีส่วนเกี่ยวข้องทั้งหมด เมื่อเกิดเหตุการณ์การโจมตี ได้ทบทวน Policy Process และขั้นตอนต่าง ๆ ว่ายังสามารถใช้งานได้จริงหรือไม่หากเกิด Cyber Attack แล้วธุรกิจยังคงดำเนินต่อไปได้หรือไม่ หากพบปัญหาหรืออุปสรรคก็จะสามารถทำการแก้ไขหรือปิดช่องโหว่ที่พบได้อย่างทันท่วงที ซึ่งการทำเช่นนี้จะส่งผลให้องค์กรสามารถวิเคราะห์ผลกระทบที่จะเกิดขึ้นได้ชัดเจนและเป็นรูปธรรมมากขึ้น ในส่วนของผู้บริหารก็จะได้เห็นภาพรวมขององค์กร การรับมือ เพื่อที่จะนำไปกำหนดทิศทาง วางนโยบายและแนวทางการป้องกันต่อไป

ดังนั้น การซักซ้อมเพื่อจำลองการรับมือภัยคุกคาม หรือที่เรียกว่า Cyber drill นั้นเป็นสิ่งที่จำเป็นอย่างมากในทุก ๆ องค์กร หากองค์กรใดที่สนใจอยากมองหาทีมงานที่เข้ามาช่วยเหลือทางด้านนี้ สามารถติดต่อกับทีมงาน CAT cyfence ได้โดยตรง ได้ที่นี่ หรือโทร 1332

Reference :
https://www.mitre.org/sites/default/files/publications/pr_14-3929-cyber-exercise-playbook.pdf
https://www.first.org/resources/papers/conf2015/first_2015-dileepa-lathsara_sector-based-cyber-security-drills_20150618.pdf