การกู้คืนระบบ
วัตถุประสงค์
- รู้และเข้าใจวิธีตรวจสอบการถูกโจมตี
- รู้และเข้าใจการหยุดยั้งและการควบคุมการแพร่ระบาด
- รู้และเข้าใจวิธีในการวิเคราะห์มัลแวร์และการโจมตี
- รู้และเข้าใจขั้นตอนในการกู้คืนระบบ
การโจมตีของมัลแวร์หรือแฮคเกอร์มีการพัฒนาและซับซ้อนมากขึ้นรวมถึงเทคนิคการโจมตีและโค้ด ไม่มีการป้องกันหรือเครื่องมือตัวเดียว
ที่สามารถใช้ได้ผลกับทุกระบบหรือองค์กร จึงเป็นการยากมากที่จะป้องกันการโจมตีจากแฮคเกอร์หรือมัลแวร์ได้ เมื่อไม่สามารถป้องกันได้ก็ต้องมีกระบวนการในการแก้ไขเมื่อมีการโจมตี
การโจมตีของไวรัสมัลแวร์อาจต้องใช้เครื่องมือเฉพาะในการแก้ไขหรือกำจัด การกู้คืนระบบจะมีขั้นตอนที่คล้าย ๆ กันและให้กลับมาทำงานเหมือนเดิมให้เร็วที่สุด
การโจมตีของไวรัสมัลแวร์อาจต้องใช้เครื่องมือเฉพาะในการแก้ไขหรือกำจัด การกู้คืนระบบจะมีขั้นตอนที่คล้าย ๆ กันและให้กลับมาทำงานเหมือนเดิมให้เร็วที่สุด
การเตรียมพร้อมเพื่อรับมือกับมัลแวร์และแฮคเกอร์ จะช่วยลดความรุนแรงและความเสียหายที่อาจเกิดขึ้นจากการโจมตี แต่เมื่อเกิดขึ้นแล้วการวางแผน
เพื่อกู้ค้นระบบหลังจากการถูกโจมตีก็จะช่วยลดความเสียหาย และทำให้ระบบกลับมาทำงานได้เหมือนเดิมได้เร็วขึ้น การกู้คืนระบบจากการถูกโจมตีจากมัลแวร์หรือแฮคเกอร์
แนะนำข้อมูลเพิ่มเติม : รั้วไฟฟ้า สัญญาณกันขโมย กล้องวงจรปิด
สามารถแบ่งเป็นขั้นตอนหลัก ๆ ได้ดังนี้
- การตรวจจับการถูกโจมตี
- การควบคุมสถานการณ์
- การวิเคราะห์มัลแวร์หรือแฮคเกอร์
- การกู้คืนระบบ
การตรวจจับการถูกโจมตี
เราสามารถตรวจว่าถูกโจมตีจากมัลแวร์หรือแฮคเกอร์ได้เร็วเท่าใดยิ่งดีเพราะทำให้สามารถป้องกันและแก้ไขได้เร็วขึ้น และเป็นการลดความเสียหายที่อาจจะเกิดขึ้น
การโจมตีหรือการแพร่ระบาดการตรวจจับการดจมตีนั้นก็ไม่ใช่เรื่องง่าย การที่ระบบคอมพิวเตอร์ทำงานไม่ปกติใช่ว่าจะเป็นเพราะมัลแวร์หรือแฮคเกอร์เสมอไป
บางครั้งโปรแกรมป้องกันไวรัสอาจจะรายงานผิดพลาดเองผู้ใช้ก็ควรแจ้งให้เจ้าหน้าที่ที่รับผิดชอบทราบทันที
เมื่อตรวจพบความผิดปกติของระบบและทันที่ที่ฝ่ายไอทีได้รับแจ้งจากผู้ใช้คอมพิวเตอร์ที่ใช้งานอาจติดไวรัส ฝ่ายไอทีต้องสามารถวิเคราะห์
เมื่อตรวจพบความผิดปกติของระบบและทันที่ที่ฝ่ายไอทีได้รับแจ้งจากผู้ใช้คอมพิวเตอร์ที่ใช้งานอาจติดไวรัส ฝ่ายไอทีต้องสามารถวิเคราะห์
เบื้องต้นได้ว่าเป็นเพราะการโจมตีของมัลแวร์หรือแฮคเกอร์ สิ่งทีผู้ใช้อาจแจ้งให้ทราบซึ่งอาจเป็นการติดไวรัสได้ดังนี้
- ทันที่ที่เปิดไฟล์ที่แนบมากับอีเมลแล้วไม่มีอะไรเกิดขึ้น หลังจากนั้นคอมพิวเตอร์ก็เริ่มมีอาการแปลก ๆ
- ทันที่ที่เปิดไฟล์ที่แนบมากับอีเมลแล้วไม่มีอะไรเกิดขึ้น หลังจากนั้นคอมพิวเตอร์ก็เริ่มมีอาการแปลก ๆ
- ผู้ใช้ได้รับอีเมลจากผู้ที่อยู่ในรายชื่อที่ติดต่อ และแจ้งว่าตัวเองได้ส่งอีเมลที่แนบไฟล์หรือไฟล์อื่น ๆ โดยที่ตัวเองไม่รู้ตัวหรือไม่ได้ส่งเมลนั้นด้วยตัวเอง
- โปรแกรมป้องกันไวรัสหยุดทำงาน และคอมพิวเตอร์รีบู๊ตตัวเองบ่อย ๆ
- มีไฟล์ใหม่จำนวนมากถูกวางไว้ที่โฟลเดอร์ My Documents
- ไฟล์บางไฟล์ไม่สามารถเปิดได้ หรือหายไป
การได้รับแจ้งจากผู้ใช้หรือมีการแจ้งเตือนจากระบบตรวจจับการบุกรุกอัตโนมัติหรือ IDS ที่คาดว่าเป็นการถูกโจมตีจากมัลแวร์ตัวใหม่
ศูนย์รับแจ้งควรสามารถวิเคราะห์และตัดสินได้ว่าเหตุการณ์นั้นเป็นการถูกโจมตีจริงหรือไม่ หลักการรับแจ้งมีกระบวนการดังนี้
สิ่งที่ช่วยในการตัดสินว่าเหตุการณ์ไม่ปกติเป็นการถูกโจมตีหรือไม่ และควรสอบถามผู้ใช้โดยตรง เป็นผู้ที่ไม่ค่อยชำนาญเรื่องนี้มากนัก
การรวบรวมข้อมูล
สิ่งที่ช่วยในการตัดสินว่าเหตุการณ์ไม่ปกติเป็นการถูกโจมตีหรือไม่ และควรสอบถามผู้ใช้โดยตรง เป็นผู้ที่ไม่ค่อยชำนาญเรื่องนี้มากนัก
ควรออกแบบเพื่อให้ได้คำตอบที่จะช่วยในการตัดสินใจว่าเป็นการถูกโจมตีหรือไม่ ซึ่งอาจปรับเปลี่ยนให้เหมาะกับสภาพแวดล้อมขององค์กรก็ได้
- วันเวลาที่มีการรายงานเหตุการณ์ไม่ปกตินั้น
- วันเวลาที่มีการรายงานเหตุการณ์ไม่ปกตินั้น
- เหตุการณ์ที่ไม่ปกตินั้นคืออะไร
- กิจกรรมที่ทำหรือเกิดขึ้นก่อนที่จะมีสิ่งผิดปกตินั้น เช่น การเข้าไปดูเว็บไซต์แปลก ๆ หรือผู้ใช้ได้นำคอมพิวเตอร์ไปใช้งานที่อื่นหรือไม่
หรือมีป๊อบอัพวินโดวส์ที่เป็นโฆษณา และมีการคลิกปุ่มOK หรือไม่ เป็นต้น
- มีโพรเซสหรือโปรแกรมแปลก ๆ กำลังรันบนเครื่องคอมพิวเตอร์หรือไม่
- คอมพิวเตอร์นั้นเป็นเวิร์คสเตชันหรือเป็นเซิร์ฟเวอร์ ใช้ระบบปฏิบัติการอะไร และได้มีการอัพเดตแพตซ์ล่าสุดหรือไม่
- คอมพิวเตอร์และอุปกรณ์ต่อพ่วงมีข้อมูลที่สำคัญเก็บไว้หรือไม่
- ผู้ใช้ได้ล็อกออนเข้าใช้ในฐานะผู้ดูแลระบบหรือไม่
- ผู้ใช้มีรหัสผ่านที่แข็งแรงเพียงพอหรือไม่
- เครื่องนี้เคยถูกโจมตีหรือติดไวรัสมาก่อนหน้าหรือไม่
คำถามที่สำคัญจากการโจมตีอาจสร้างแบ็คดอร์เพื่อไว้สำหรับการโจมตีครั้งต่อ ๆ มาได้ ถ้าไม่ได้รับการแก้ไขหรือปิดช่องโหว่นั้นก่อน ถ้าคำตอบคือใช่ ให้ถามคำถามต่อไปอีกว่า
- การถูกโจมตีครั้งก่อนเกิดขึ้นเมื่อใด
- ใครเป็นผู้รับเรื่อง หรือหมายเลขรับเรื่องอะไร
- มีข้อมูลเกี่ยวกับการแก้ปัญหานั้นหรือไม่
การวิเคราะห์ข้อมูล
เมื่อได้คำตอบแล้วทีมไอทีต้องวิเคราะห์เพื่อจะได้ตัดสินว่าเป็นการถูกโจมตีจากไวรัสหรือไม่ ต่อไปนี้เป็นคำถามที่จะช่วยในการวิเคราะห์ได้ง่ายขึ้น
- เป็นไปได้หรือไม่ที่เหตุการณ์ที่ได้รับแจ้งนั้นเป็นผลจากการติดตั้งโปรแกรมใหม่ หรือการอัพเดตแพตซ์ใหม่
- สามารถอธิบายได้หรือไม่ว่าเป็นเหตุการณ์ที่เกิดจากการใช้งานของผู้ใช้ ไม่ใช่เพราะจากแฮคเกอร์หรือไวรัส
- เป็นไปได้หรือไม่ที่เหตุการณ์ดังกล่าวเป็นเพราะการทำงานของระบบ
- เป็นไปได้หรือไม่ ที่อาจเป็นเพราะการปรับเปลี่ยนค่าคอนฟิกของโปรแกรมที่ใช่งานที่ปกติ
ขั้นตอนสุดท้ายควรใช้โปรแกรมป้องกันไวรัสสแกนเครื่องจากภายนอก เพื่อตรวจสอบว่าเครื่องนั้นติดไวรัสอื่นที่โปรแกรมป้องกันไวรัสในเครื่องไม่สามารถตรวจเจอได้
ไม่มีความคิดเห็น:
แสดงความคิดเห็น