การเก็บข้อมูลรายละเอียด
ถ้าไม่สามารถวิเคราะห์ว่าเป็นไวรัสชนิดใดที่โจมตี ควรตั้งสมมติฐานว่าเป็นไวรัสตัวใหม่ที่ซอฟต์แวร์ตัวใหม่ที่ซอฟต์แวร์ป้องกันไวรัสไม่รู้จักอาจต้องมีการเก็บข้อมูลทางด้านเทคนิค และควรเรียกให้เจ้าหน้าที่ทางด้านเทคนิคเข้ามาตรวจสอบที่ตัวเครื่อง อาจเป็นแนวทางในการเก็บข้อมูล
ที่อาจเป็นประโยชน์ในการวิเคราะห์และระบุประเภทและอันตรายที่อาจเกิดต่อระบบได้
- คอมพิวเตอร์มีไฟร์วอลล์ติดตั้งอยู่หรือไม่ หรืออยู่ในเครือข่ายที่มีไฟร์วอลล์ปกป้องอยู่หรือไม่ ถ้าไม่มีแล้วเครื่องนั้นเปิดพอร์ตใดบ้าง
- ถ้าแอพพลิเคชันล้มเหลว ควรศึกษาคู่มือการติดตั้งและใช้งาน และถ้าไม่สามารถวิเคราะห์หาสาเหตุได้ก็ให้ติดต่อเจ้าของผู้ผลิตซอฟต์แวร์นั้น ๆ เพื่อค้นหาสาเหตุของปัญหา
- มีซีคิวริตี้อัพเดตใดที่ยังไม่ได้ติดตั้งอยู่หรือไม่
- ระบบนั้นมีนโยบายเกี่ยวกับรหัสผ่านอย่างไร มีข้อกำหนดเกี่ยวกับความยาวของรหัสผ่านหรือไม่ หรือระบบมีการบังคับให้รหัสผ่านมีความซับซ้อนมากน้อยเพียงใด
- มีอะไรใหม่ ๆ เกิดขึ้นหรือเพิ่มขึ้นใหม่ในระบบหรือไม่
- ระบบมีการเชื่อมต่อกับ IP ข้างนอกหรือ IP ที่น่าสงสัยหรือไม่ การตรวจดูว่าเครื่องนั้นมีการเชื่อมต่อกับเครื่องอื่นหรือไม่
- คอมพิวเตอร์มีไฟร์วอลล์ติดตั้งอยู่หรือไม่ หรืออยู่ในเครือข่ายที่มีไฟร์วอลล์ปกป้องอยู่หรือไม่ ถ้าไม่มีแล้วเครื่องนั้นเปิดพอร์ตใดบ้าง
- ถ้าแอพพลิเคชันล้มเหลว ควรศึกษาคู่มือการติดตั้งและใช้งาน และถ้าไม่สามารถวิเคราะห์หาสาเหตุได้ก็ให้ติดต่อเจ้าของผู้ผลิตซอฟต์แวร์นั้น ๆ เพื่อค้นหาสาเหตุของปัญหา
- มีซีคิวริตี้อัพเดตใดที่ยังไม่ได้ติดตั้งอยู่หรือไม่
- ระบบนั้นมีนโยบายเกี่ยวกับรหัสผ่านอย่างไร มีข้อกำหนดเกี่ยวกับความยาวของรหัสผ่านหรือไม่ หรือระบบมีการบังคับให้รหัสผ่านมีความซับซ้อนมากน้อยเพียงใด
- มีอะไรใหม่ ๆ เกิดขึ้นหรือเพิ่มขึ้นใหม่ในระบบหรือไม่
- ระบบมีการเชื่อมต่อกับ IP ข้างนอกหรือ IP ที่น่าสงสัยหรือไม่ การตรวจดูว่าเครื่องนั้นมีการเชื่อมต่อกับเครื่องอื่นหรือไม่
สินค้าแนะนำ : รั้วไฟฟ้ากันขโมย กล้องวงจรปิด สัญญาณกันขโมย
การวิเคราะห์สถานการณ์
หลักได้รวบรวมข้อมูลเบื้องต้นเพื่อใช้ในการวิเคราะห์เหตุการณ์แล้ว เจ้าหน้าที่ควรสามารถวิเคราะห์ได้ว่าเหตุการณ์เป็นการรายงานที่ผิดพลาด
หรือเป็นเรื่องที่สร้างขึ้น หรืออาจเป็นการถูกโจมตีจริง ๆ การหลอกว่ามีไวรัสจริง ๆ เป็นสิ่งที่ทำได้ง่ายกว่าการพัฒนาไวรัสหรือมัลแวร์ขึ้นมา
สักตัวหนึ่ง เรียกว่า โฮคซ์ การหลอกลวงนั้นเป็นสาเหตุที่ทำให้ระบบมีการแจ้งเตือนผิดพลาด
สามารถสร้างความเสียหายทั้งด้านเวลาและการเงินด้วย โฮคซ์ยังสร้างความรำคาญให้กับผู้ใช้ และอาจมีผลต่อความเชื่อถือที่มีต่อระบบแจ้งเตือนด้วย
สามารถสร้างความเสียหายทั้งด้านเวลาและการเงินด้วย โฮคซ์ยังสร้างความรำคาญให้กับผู้ใช้ และอาจมีผลต่อความเชื่อถือที่มีต่อระบบแจ้งเตือนด้วย
ข้อพิจารณาต่อไปนี้เป็นสิ่งที่ช่วยทำให้การแจ้งเตือนนั้นมีความถูกต้องมากขึ้น
- การแจ้งเตือนที่ผิดพลาด การรายงานการแจ้งเตือนที่ผิดพลาดยังคงต้องเก็บข้อมูลเกี่ยวกับเหตุการณ์นั้นด้วย ถ้าเกิดขึ้นบ่อยอาจแจ้งให้ผู้ใช้ทั่วไปทราบ
- เรื่องตลก การแจ้งเตือนนี้เป็นการถูกโจมตีจริง ๆ ก็ได้ระบบแจ้งเตือนถูกต้อง แต่การโจมตีอาจไม่มีจุดประสงค์เพื่อสร้างความเสียหายใด ๆ
- การแจ้งเตือนที่ผิดพลาด การรายงานการแจ้งเตือนที่ผิดพลาดยังคงต้องเก็บข้อมูลเกี่ยวกับเหตุการณ์นั้นด้วย ถ้าเกิดขึ้นบ่อยอาจแจ้งให้ผู้ใช้ทั่วไปทราบ
- เรื่องตลก การแจ้งเตือนนี้เป็นการถูกโจมตีจริง ๆ ก็ได้ระบบแจ้งเตือนถูกต้อง แต่การโจมตีอาจไม่มีจุดประสงค์เพื่อสร้างความเสียหายใด ๆ
ถ้าเป็นเรื่องตลกอาจไม่ต้องมีมาตรการตอบโต้ใด ๆ ควรแจ้งให้ผู้ใช้ทราบเพราะจะได้ไม่ต้องเสียเวลาในการตอบสนองต่อการแจ้งเตือนที่ผิดพลาดนั้น ๆ
- การถูกโจมตีจากไวรัสเก่าหรือที่มีข้อมูลอยู่แล้ว ถ้าระบบถูกโจมตีเจ้าหน้าที่ควรวิเคราะห์และตัดสินใจว่าเป็นการถูกโจมตีจากไวรัสที่กำจัดได้โดยซอฟต์แวร์ป้องกันไวรัสที่มีอยู่หรือไม่
- การถูกโจมตีจากไวรัสตัวใหม่ ถ้าดูเหมือนว่าระบบจะถูกโจมตีจากไวรัสตัวใหม่ ควรมีมาตรการป้องกันเบื้องต้นเพื่อให้แน่ใจว่าปัญหานั้นจะไม่ลุกลามไปไกลเกิน ข้อมูลที่ดีที่จะช่วยในการตัดสินใจว่าจะปฏิบัติอย่างไรต่อไป
- ถ้าระบบที่ถูกโจมตีเป็นเวิร์คสเตชัน ควรติดต่อผู้ใช้ที่รับผิดชอบเครื่องนั้น เพื่อพิจารณาในการตัดการเชื่อมต่อกับเครือข่าย
- การเพิ่มระดับความเสี่ยงให้สูง เพื่อให้เจ้าหน้าที่ฝ่ายสารสนเทศจะได้ระวังตัวมากขึ้นเกี่ยวกับการถูกโจมตี
- การถูกโจมตีจากไวรัสเก่าหรือที่มีข้อมูลอยู่แล้ว ถ้าระบบถูกโจมตีเจ้าหน้าที่ควรวิเคราะห์และตัดสินใจว่าเป็นการถูกโจมตีจากไวรัสที่กำจัดได้โดยซอฟต์แวร์ป้องกันไวรัสที่มีอยู่หรือไม่
- การถูกโจมตีจากไวรัสตัวใหม่ ถ้าดูเหมือนว่าระบบจะถูกโจมตีจากไวรัสตัวใหม่ ควรมีมาตรการป้องกันเบื้องต้นเพื่อให้แน่ใจว่าปัญหานั้นจะไม่ลุกลามไปไกลเกิน ข้อมูลที่ดีที่จะช่วยในการตัดสินใจว่าจะปฏิบัติอย่างไรต่อไป
- ถ้าระบบที่ถูกโจมตีเป็นเวิร์คสเตชัน ควรติดต่อผู้ใช้ที่รับผิดชอบเครื่องนั้น เพื่อพิจารณาในการตัดการเชื่อมต่อกับเครือข่าย
- การเพิ่มระดับความเสี่ยงให้สูง เพื่อให้เจ้าหน้าที่ฝ่ายสารสนเทศจะได้ระวังตัวมากขึ้นเกี่ยวกับการถูกโจมตี
การควบคุมสถานการณ์
ถ้าเหตุการณ์ไม่ปกติกเกิดขึ้นควรเรียกทีมดูแลด้านการรักษาความปลอดภัยเพื่อได้วางแผนปฏิบัติต่อไปหน้าที่แรกของคณะทำงานคือ
การค้นหาวิธีควบคุมไม่ให้ไวรัสแพร่ระบาดต่อไปได้ แนวทางในการเลือกว่าจะควบคุมการแพร่ระบาดได้ดังนี้
- การควบคุมการแพร่ระบาดเบื้องต้น สิ่งแรกที่ต้องทำเมื่อเครื่องคอมพิวเตอร์ในองค์กรติดไวรัสคือ การแยกเครื่องคอมพิวเตอร์นั้นออกจากเครือข่าย
เพื่อจะได้ควบคุมไม่ให้มีการแพร่กระจายไปมากกว่านี้ ถ้าองค์กรต้องการที่จะดำเนินคดีกับผู้ที่สร้างปัญหาก่อนที่จะทำอย่างอื่น
ควรปรึกษาทางด้านกฏหมายขององค์กรก่อน อาจต้องใช้คอมพิวเตอร์หรือข้อมูลในเครื่องนั้นเป็นหลักฐานในการฟ้องคดีกับผู้ที่กระทำผิด
ถ้าเป็นไวรัสใหม่ที่ยังไม่มีทางแก้ที่ชัดเจน ก็ให้แจ้งต่อผู้ผลิตซอฟต์แวร์ป้องกันไวรัส เพื่อจะเป็นข้อมูลให้ช่วยในการค้นหาวิธีในการแก้ไขและป้องกัน
อาจต้องส่งไฟล์ที่ติดไวรัสไปให้ผู้ผลิต โดยอาจต้องบีบอัดหรือเข้ารหัสไว้ด้วย เพื่อให้ผู้ผลิตได้วิเคราะห์และค้นหาวิธีกำจัดและป้องกัน
อาจต้องส่งไฟล์ที่ติดไวรัสไปให้ผู้ผลิต โดยอาจต้องบีบอัดหรือเข้ารหัสไว้ด้วย เพื่อให้ผู้ผลิตได้วิเคราะห์และค้นหาวิธีกำจัดและป้องกัน
การจำกัดวงของการแพร่ระบาดหรือโจมตีมีขั้นตอนหลัก ๆ ดังนี้ แยกระบบที่ติดไวรัสออกจากเครือข่าย ถ้าเป็นไปได้ให้แยกเครือข่าย
ที่ติดไวรัสออกจากเครือข่ายส่วนที่เหลือ ถ้าทั้งเครือข่ายถูกโจมตีหรือติดไวรัส ให้แยกออกจากเครื่อข่ายภายนอกทั้งหมดรวมทั้งอินเทอร์เน็ต
- การเตรียมการสำหรับการกู้คืนระบบ การควบคุมการแพร่ระบาดพื้นฐานไปแล้ว การเริ่มกระบวนการกู้คืนระบบจุดประสงค์หลักของกระบวนการนี้คือ
- การเตรียมการสำหรับการกู้คืนระบบ การควบคุมการแพร่ระบาดพื้นฐานไปแล้ว การเริ่มกระบวนการกู้คืนระบบจุดประสงค์หลักของกระบวนการนี้คือ
การทำสิ่งนี้ให้สำเร็จ ดังนี้ มีผลกระทบต่อธุรกิจขององค์กรน้อยที่สุด ใช้เวลาในการกู้คืนระบบให้เร็วที่สุด เก็บข้อมูลหรือหลักฐานเพื่อสำหรับดำเนินการในทางกฎหมาย
เก็บข้อมูลเพื่อสำหรับการติดตั้งระบบป้องกันและรักษาความปลอดภัยเพิ่มเติม ป้องกันการโจมตีแบบเดิมกับระบบที่ถูกกู้คืนเรียบร้อยแล้ว
ไม่มีความคิดเห็น:
แสดงความคิดเห็น