How to be CERT บรรยายโดย ดร.โกเมน พิบูลย์โรจน์ 1

How to be CERT
บรรยายโดย
ดร.โกเมน พิบูลย์โรจน์
1
ความกว ้างใหญ่ไพศาลของอินเทอร์เน็ ต
้
มีผู ้ใชงานทั
่วโลก ประมาณ 2,400 ล ้านคน ในปี 2555
เพิม
่ จาก 75 ล ้านคน ในปี 2539
 ประเทศไทย มีประชากรอินเทอร์เน็ ต 20 ล ้านuser
 อัตราเพิม
่ – เพิม
่ เป็ นสองเท่า ทุกๆสามปี
้ ้อมูล เพิม
 การเรียกใชข
่ ขึน
้ สองเท่าทุกๆ 20 เดือน
 การผลิตข่าวสารในโลกของข ้อมูล ปี ละ 40 ล ้านล ้านล ้าน
ตัวอักษร
 การค ้นหาข ้อมูลผ่าน Google เดือนละ 3,000 ล ้านครัง
้
ั คม) มีสมาชก
ิ กว่า 800 ล ้านคน
 (เว็บสง

Information Warfare
2
2
จานวนประชากรในโลกอินเทอร์เน็ ต
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
China
Indea
Facebook
USA
My Space
Indonesia
Brazil
Twitter
Google+
Orkut
3
A Different Internet

Armies may cease to march

Stock may lose a hundred points

Businesses may be bankrupted

Individuals may lose their social identity

Threats not from novice teenagers, but purposeful military, political,
and criminal organizations
4
Purpose of Intelligence



1. Identify the need for action
2. Provide the insight and context for deciding among
courses of action
3. Provide information on the effectiveness of pursuing the
selected course of action
5
Change of View
6
Content / Context of Intelligence



7
What is Cyber Intelligence?
Operators/Groups
Victims
Internet
Behavior
Opportunities
Stimuli/Motives
Intrusions/Responses
Threats/Counters
Vulnerabilities/Fixes
8
Strategic Intelligence Analysis

Provides “Big Picture” assessment

Trend Analysis

Sector Threat assessments

Potential Damage assessments

Categorization of Attacks and Attackers

Identification of Anomalies
9
Tactical Intelligence Analysis

Linking element between macro- and micro-level
analysis

Cluster and pattern analysis

Temporal patterns

Profiling

Analysis of intrusion methods

Commonality of targets

Reinforces and compliments Strategic Analytic efforts
10
Using CERT/CC Data
•
•
•
•
•
•
•
Year 2010 - 21,756 Incidents
16,129 Probes/Scans
2,912 Information Requests
261 Hoaxes, false alarms, vul reports, unknown
2454 Incidents with substantive impact on target
Profiled 639 incidents, all active during July-Sept 2010
Many different dimensions for analysis and
trend generation (analysis work is ongoing)
11
Immediate Data Observations
Sept
October
Ports
r
ob
e
O
ct
pt
Se
gu
s
t
50
40
30
20
10
0
Au
Generic attack tools adapted
to specific targets
August
Year 2000
Ju

July
ly
Shifts in operating systems
involved in incidents
June
ne

Shifts in services used in
incidents
600
500
400
300
200
100
0
Ju

Increasing diversity of ports
used in incidents
Incidents
Incidents Active

Increasing trend of incidents
per month
(some incidents carry over
between months)
Ports in Incidents

Year 2000
12
Service Shifts
60
50
DNS
HTTP
FTP
RPC
email
IRC
40
30
20
10
0
June
August
13
Weekly Incidents
70
60
50
40
30
20
10
0
14
9/
16
/0
0
9/
9/
00
9/
2/
00
8/
26
/0
0
8/
19
/0
0
8/
12
/0
0
8/
5/
00
7/
29
/0
0
7/
22
/0
0
7/
15
/0
0
7/
8/
00
7/
1/
00
6/
24
/0
0
Weekly Incidents by Target
70
60
50
40
30
user
org
misc
isp
intl
gov
fin
edu
eat
com
20
10
0
15
Monthly Incidents by Target
250
User
Com
eat
edu
fin
gov
intl
isp
misc
org
200
150
100
50
0
July
August
September
16
9/
16
/0
0
9/
9/
00
9/
2/
00
8/
26
/0
0
8/
19
/0
0
8/
12
/0
0
8/
5/
00
7/
29
/0
0
7/
22
/0
0
7/
15
/0
0
7/
8/
00
7/
1/
00
6/
24
/0
0
Weekly Incidents by OS
70
60
50
40
30
unknown
Un
So
NT
MO
misc
LX
IR
20
10
0
17
Monthly Incidents by Operating
System
120
100
UNKNOWN
IR
LX
misc
MO
NT
So
Un
80
60
40
20
0
July
Aug
Sep
18
9/
16
/0
0
9/
9/
00
9/
2/
00
8/
26
/0
0
8/
19
/0
0
8/
12
/0
0
8/
5/
00
7/
29
/0
0
7/
22
/0
0
7/
15
/0
0
7/
8/
00
7/
1/
00
6/
24
/0
0
Weekly Incidents by Impact
70
60
50
40
30
Distort
Disrupt
disclosure
Destruct
Deception
20
10
0
19
Monthly Incidents by Impact
180
160
140
120
Deception
Destruct
Disclosure
Disrupt
Distort
100
80
60
40
20
0
July
August
September
20
Drivers for Weekly Incidents
Independence
Day
DefCon
Labor
Day
70
60
Advisory/
Alert
50
40
30
20
10
0
New
Toolkits
21
Operational Intelligence Analysis

Overlaps with Tactical Analysis

Technical assessments of intrusion methods

Specific investigation of intruders

Identification of vulnerabilities to support
mitigation

Attribution
22
Example: Signed Defacement


Defaced Health-care web site in India
"This site has been hacked by ISI ( Kashmir is ours), we
want a hospital in Kashmir" and signed by Mujahideen-uldawat.

Post-dates activity by Pakistani Hackers Club

Level of activity is not significant

Claim of identity may be significant
23
Example: Coordinated
Automated Attack
Probe
Victim
Compromise
& Coopt
Probe
Victim2
• Remote, fast-acting
Identity
• Adapts existing tools
• Limited deployment
• Sophisticated reporters
24
A Problem Too Big

Cannot remain technical specialty

Cannot remain localized activity

Cannot remain responsive to incidents

Cannot remain centrally controlled or performed

Distributed, ongoing, multifaceted problem demands
distributed, ongoing, multifaceted strategy
25
Cyber Intelligence Products

Fused analysis reports

Demographics and situational awareness

In-depth studies

Technology of intelligence
26
Anatomy of Hack
หาข้อมูล
Foot printing
หาเป้ าหมาย
Scanning
ทาให้เซิร์ฟเวอร์หรื อ
ระบบปฏิเสธการให้บริ การ
Denial of Service
ลบร่ องรอย ,
พรางตัว
Covering tracks
หารายละเอียดต่างๆ
ในการเจาะระบบ
Enumeration
ทาให้ได้รับสิ ทธิในการเข้าสู่
ระบบ
Gaining Access
ขโมยข้อมูลผูอ้ ื่นหรื อข้อมูล
ที่ตอ้ งการ
Pilfering
ยกระดับให้เป็ นผูด้ ูแล
ระบบ
Gaining Root
สร้างประตูลบั
Creating back doors
27
Security Process
Vender
developer
Hardening
Improve
Prepare /
Prevent
CIRCLE
Detect/
capture
Response /
Recovery
28
Vendor / Developer
Hole,
Bug
Patch release
Upgrade
Default installation
Hardening
Data
Physical
Host
Logical
Network
Policy
Internet
Prepare / Prevent
 File
+ directory
 Process
 Kernel
 Performance
 Network
 Disaster
Recovery
 User
Confidential
 Procedure
 Log book
 Contacts
 Test Environment
 Policy
Detect / Capture
Analysis
Monitor info
IDS
Alarm process
Policy

Audit
 Sniffer
 SMS, Pager
 Firewall
 Antivirus
software

Response / Recovery
 Analysis
 Law
enforcement
 Forensics
 Policy
 Containment
 Auto-Response
System
 PR
 Incident Response  Policy Team
 Back up
Improve
Patch
Process
Training
Knowledge
Policy
base
Causes of Security Problem
 Technology
 Lack of
security
feature
 Bug, hole,
no patch
 No standard
 Hard to up-todate
Process
Design for
security
Role +
Responsibility
Audit, track
Disaster plans
Stay up-to-date
People
Lack of knowledge
Lack of
commitment
Lack of good
communication
Human error
35
องค์กรต้องทำอะไร
1. การเตรียมการทาง Security
2. การดาเนินงานขององค์กรอย่างมี Security
้
3. มีวน
ิ ัยในการใชงาน
อย่างมี Security
4. การแก ้ไขและรับมือกับเหตุการณ์ทาง Security
36
กำรจ ัดทำ Computer Security Policy
ในองค์กร
Non-Technical
Tool
Technical
Tool
Tool
Availability
Cost
Performance
Security
Policy
37
ใครต ้องทาอะไรบ ้างในองค์กร
3
Bring
the
analysis
result
Policy
and
Procedure
4
CEO
1
USER
System
Admin.
Work together
Security
Specialist
2
38
หำกเกิดเหตุกำรณ์ละเมิดควำมมน
่ ั คงปลอดภ ัย
คอมพิวเตอร์ สงิ่ ทีต
่ ำรวจต้องเข้ำไปสอบสวน
เพือ
่ เก็ บข้อมูลมำวิเครำะห์ หรือดำเนินกำรต่อ
มีด ังนี้
39
ี หำย
Check list สำหร ับผูเ้ สย
ื่ ผูแ
1. ชอ
้ จ้ง__________________________
เบอร์โทรติดต่อ _____________________
ว ัน/เวลำ _________________________
่ Spam, Hacking,
2. ประเภทของเหตุกำรณ์ (เชน
Web defacement, etc.)
3.
4.
5.
6.
เวลำเกิดเหตุ (มีกำรเทียบก ับค่ำเวลำมำตรฐำนหรือไม่)
ตรวจจ ับเหตุกำรณ์ได้อย่ำงไร
เวลำตรวจพบ(มีกำรเทียบก ับค่ำเวลำมำตรฐำนหรือไม่)
้
ผลกระทบทีจ
่ ะเกิดขึน
40
กำรตรวจสอบคอมพิวเตอร์ของ
ผูส
้ อบสวน
่ ั อะไร
1. ใช ้ Hardware & Software & OS เวอร์ชน
2. หมำยเลข IP ของเครือ
่ ง และ IP ของ Network ที่
ถูกโจมตี
่ Token
3. รูปแบบของ Network ทีถ
่ ก
ู โจมตี (เชน
Ring, FDDI)
ั ของ Modem และรุน
4. หมำยเลขโทรศพท์
่ ของ
Modem
5. ผลกระทบทีม
่ ต
ี อ
่ ระบบ Network หรือกำรดำเนิน
ธุรกิจ
41
กำรตรวจสอบคอมพิวเตอร์ของ
ผูส
้ อบสวน
6. ข้อมูลทีม
่ อ
ี ยูใ่ นเครือ
่ ง (มีระด ับควำมสำค ัญ
มำก, น้อย)
7. สถำนทีอ
่ ยูข
่ องเครือ
่ งคอมพิวเตอร์
8. กำรร ักษำควำมปลอดภ ัยของสถำนทีน
่ น
ั้
9. ผูด
้ แ
ู ลร ับผิดชอบเครือ
่ งคอมพิวเตอร์
10. สภำพปัจจุบ ันของคอมพิวเตอร์เมือ
่ เข้ำไป
ตรวจสอบ
42
กำรตรวจสอบและเก็บข้อมูล
ฝ่ำยผูบ
้ ก
ุ รุก(Hacker)
1.
2.
3.
4.
5.
6.
้ บ้ำง
มีเหตุกำรณ์อะไรเกิดขึน
แหล่งทีม
่ ำ
สำเหตุกำรมุง
่ ร้ำย
มีกำรทำให้หยุดกำรใชง้ ำนหรือไม่ (DDOS)
ี หำยหรือไม่
มีกำรทำลำยข้อมูล หรือทำให้เสย
มีกำรบ่งชวี้ ำ
่ มำจำกภำยใน หรือภำยนอก
หรือไม่
43
กำรตรวจสอบและเก็บข้อมูล
ฝ่ำยผูด
้ แ
ู ลเครือ
่ งคอมพิวเตอร์
1. มีกำรต ัดกำรกำรติดต่อหรือไม่ (ถอดสำย
LAN)
2. มีกำรตรวจสอบบ ันทึกล็ อก (Log) หรือไม่
3. มีกำรอนุญำตให้ remote access หรือ local
access หรือไม่
4. มีกำรเปลีย
่ นแปลงต่ำงๆ ของ Firewall, IDS
หรือไม่
5. ใครเป็นผูแ
้ จ้งเหตุ
ั
6. ข้อมูลอืน
่ ๆ ทีน
่ ำ
่ สงสย
44
กำรตรวจสอบ Software หรือ
่ นเกีย
Tools ต่ำงๆ ทีม
่ ส
ี ว
่ วข้อง
1. มีกำรติดตงั้ Software & Tools ในกำร
ตรวจสอบจำกบุคคลที3
่ หรือไม่
2. มีกำรตรวจสอบ Network หรือไม่
3. มีกำรถูกด ักข้อมูลหรือไม่ (Sniffing)
4. ระบบกำรตรวจจ ับไวร ัส
45
กำรตรวจสอบจำกพยำนทีส
่ ำมำรถ
ให้ขอ
้ มูลเพิม
่ เติม
1.
2.
3.
4.
ผูด
้ แ
ู ลระบบ (System administrator)
ผูใ้ ชร้ ะบบ (users)
ผูด
้ แ
ู ลเครือข่ำย (Network administrator)
ผูร้ ับผิดชอบเกีย
่ วก ับเครือข่ำย (Site
Incident Response Manager/Officer)
5. ผูร้ ับมือก ับเหตุกำรณ์ควำมปลอดภ ัย
คอมพิวเตอร์ (Incident Response
Team/Officer)
46
กำรตรวจสอบเพือ
่ เก็บข้อมูลเพิม
่ เติม
ตำมแนวทำงกำรสอบสวน
1. สอบถำม/สวน ผูบ
้ ริหำรสำรสนเทศ (CIO)
2. สอบถำม/สวน ผูไ้ ด้ร ับแจ้งเตือนเหตุกำรณ์ท ี่
้
เกิดขึน
3. สอบถำม/สวน พน ักงำนผูไ้ ด้ร ับทรำบ
เหตุกำรณ์ หำกมีขอ
้ มูลทีร่ ว่ ั ไหลออกมำ
4. สอบถำม/สวน หน่วยงำนทีม
่ ห
ี น้ำที่
ั ันธ์ หรือแจ้งเหตุกำรณ์ออกไปย ัง
ประชำสมพ
ภำยนอก
47
กำรสอบสวนผูด
้ แ
ู ลระบบ
(คำถำมทีค
่ วรถำม)
ร ับทรำบเหตุกำรณ์ผด
ิ ปกติหรือไม่
มีจำนวนผูใ้ ชใ้ นระบบกีค
่ น
มีกำรอนุญำติให้เข้ำถึงระบบจำกภำยนอกหรือไม่
บ ันทึก หรือเครือ
่ งให้บริกำร (Server) ทีท
่ ำหน้ำที่
ิ ธิภำพ หรือควำมจุอย่ำงไร
เก็บ Log มีประสท
 ระบบมีกำรป้องก ันควำมปลอดภ ัยหรือไม่อย่ำงไร
 มีกำรทำ Hardening หรือไม่




48
กำรสอบสวนผูจ
้ ัดกำรระบบ (เนือ
่ งจำก
บำงครงได้
ั้
ขอ
้ มูลสำค ัญโดยไม่ได้คำดหมำย)
 ข้อมูลและ Application มีควำมสำค ัญ ควำม
อ่อนไหวต่อองค์กรหรือไม่ อย่ำงไร
่ นต ัวเฉพำะใดๆ หรือไม่ ทีค
 มีประเด็นสว
่ วร
ระม ัดระว ัง
 มีกำรอนุญำติหรือดำเนินกำรตรวจสอบระบบ
โดยกำรจ้ำงจำกภำยนอกหรือไม่
(Penetration Test)
 ประเด็นควำมข ัดแย้งต่ำงๆ ในหน่วยงำน
49
Incident Response

กำรร ับมือ ก ับเหตุกำรณ์ควำมปลอดภ ัยคอมพิวเตอร์
50
กำรร ับมือก ับเหตุกำรณ์ควำมปลอดภ ัย
คอมพิวเตอร์ (1)
1. เตรียมกำรและวำงแผน
Before
2. ติดต่อผูท
้ เี่ กีย
่ วข้อง
3. พิสจ
ู น์ทรำบเหตุกำรณ์
4. ร ับมือก ับเหตุกำรณ์
5. กำรปฏิบ ัติหล ังเหตุกำรณ์
During
After
51
1. ขนเตรี
ั้
ยมกำรและวำงแผนแบ่ง
่ น
ควำมสำค ัญเป็น 2 สว
1.1 ตงเป
ั้ ้ ำหมำยหรือว ัตถุประสงค์ของกำรร ับมือก ับ
เหตุกำรณ์
ร ับทรำบ
ประเมิน
ป้องก ัน
กำหนด
ขอบเขต
ฟื้ นฟู
แก้ไข
ตำมจ ับ
52
1.2 ตงล
ั้ ำด ับควำมสำค ัญ,ควำมเร่งด่วน
(กำหนด level) ในกำรป้องก ัน
1
2
3
4
5
53
2. ติดต่อผูเ้ กีย
่ วข้อง







Chief Executive Officer (CEO) , เจ้ำนำย ,ห ัวหน้ำ
(BOSS)
ิ ใจ (รำยชอ
ื่ ) เชน
่ ปิ ดระบบ หยุดทำ
ผูม
้ อ
ี ำนำจในกำรต ัดสน
กำร หรือลบข้อมูล
System administrator
CERT (Computer Emergency Response Team)
Site ต่ำงๆ ทีเ่ กีย
่ วข้อง และมีผลกระทบ
ื่ สำรในองค์กร
แจ้งข่ำว และติดต่อสอ
ั ันธ์และแถลงข่ำวสูภ
่ ำยนอก
ประชำสมพ
54
3. กำรพิสจ
ู น์ทรำบเหตุกำรณ์ (อำกำร)
่ เครือ
Crash, hang เชน
่ งหยุดทำงำน
ั เชน
่
 Account น่ำสงสย
xxx@nectec.or.th
ั เชน
่
 New file ทีน
่ ำ
่ สงสย
Iloveyou.exe , Nakedwife,
Myparty.com
่
 File เกีย
่ วก ับ account เปลีย
่ นไป เชน
กำรเปลีย
่ น file นอกเวลำทำกำร

55
3. กำรพิสจ
ู น์ทรำบเหตุกำรณ์ (ต่อ)
 ขนำดและว ันทีข
่ อง
file เปลีย
่ น
 กำรเปลีย
่ นแปลงข้อมูลในระบบ
บ ันทึกข้อมูล logfile
 ข้อมูลเดิมเปลีย
่ นแปลง หรือ
ข้อมูลหำย
้ ลง
 ระบบหยุดทำงำนหรือระบบชำ
56
3. กำรพิสจ
ู น์ทรำบเหตุกำรณ์ (ต่อ)

ี หำยและขอบเขต
ประเมินควำมเสย
ปัจจ ัยภำยใน
ปัจจ ัยภำยนอก
กีแ
่ ห่ง,กีเ่ ครือ
่ ง
เข้ำมำอย่ำงไร
ข้อมูลล ับ, ไม่ล ับ
ื่ มวลชน
น ักข่ำว, สอ
เวลำ
ผลกระทบ
จำนวนบุคลำกร
ตำรวจ, ทนำย
57
4. กำรร ับมือก ับเหตุกำรณ์
ติดต่อและแลกเปลีย
่ นข้อมูล
 ปกป้องหล ักฐำนและบ ันทึก
เหตุกำรณ์
 ป้องก ันไม่ให้เหตุกำรณ์ลก
ุ ลำม
 กำจ ัดเหตุกำรณ์
 ฟื้ นฟู
 ติดตำมเหตุกำรณ์

58
กำรติดต่อและแลกเปลีย
่ นข้อมูล
•
•
•
•
ติดต่อผูเ้ กีย
่ วข้อง
ให้ขอ
้ มูลทีเ่ หมำะสมก ับบุคคล
ั
ให้ขอ
้ มูลทีช
่ ดเจนเป
็ นจริงและถูกต้อง
้ ำษำเหมำะสมก ับผูร้ ับ
ใชภ
59
กำรปกป้องหล ักฐำนและบ ันทึกเหตุกำรณ์
- ถือเสมือนเหตุกำรณ์ควำมปลอดภ ัย
คอมพิวเตอร์เป็นคดีฆำตกรรม
- อย่ำเคลือ
่ นย้ำยอุปกรณ์หรือเปลีย
่ นแปลง file
ใดๆ บนเครือ
่ งเป็นอ ันขำด
- อย่ำทำกำร format เครือ
่ งโดยท ันที เพรำะจะ
เป็นกำรทำลำยหล ักฐำนทงหมด
ั้
- รอผูม
้ ค
ี วำมสำมำรถและร ับผิดชอบมำ
ดำเนินกำร
60
ป้องก ันและจำก ัดไม่ให้เหตุกำรณ์ลก
ุ ลำม




ปิ ดกำรให้บริกำร (shut down system)
่ ควำม
กำจ ัดสำเหตุของเหตุกำรณ์ เชน
ล่อแหลม
ของระบบ
ี่ งของระบบ
ตรวจสอบควำมเสย
เฝ้ำดูเพือ
่ เก็บข้อมูลและหำแนวทำงในกำร
แก้ไข
61
ฟื้ นฟูเหตุกำรณ์ (recovery system)



เปิ ดให้บริกำรตำมปกติ
ดำเนินกำรให้ลดควำมตืน
่ ตระหนก
่ กำรชแ
ี้ จงให้ user หรือ
 ในองค์กร เชน
พน ักงำนทรำบ
ั ันธ์
่ กำรประชำสมพ
 นอกองค์กร เชน
ื่ ต่ำงๆ
กำรแก้ขำ
่ วตำมสอ
62
กำรติดตำมเหตุกำรณ์


ิ โดย
้ อย่ำงใกล้ชด
ติดตำมเหตุกำรณ์ทเี่ กิดขึน
ั ษฐำนไว้กอ
สนนิ
่ นว่ำ ย ังมีรอยรวอยู
่ั
ใ่ นระบบ
เขียนรำยงำนเหตุกำรณ์เพือ
่ เป็นประโยชน์ใน
อนำคต
What, อะไร
Where data problem
When , เมือ
่ ไหร่
come from?
ข้อมูลกำรแก้ปญ
ั หำ
How to recovery
แก้ปญ
ั หำอย่ำงไร
Study case
บทเรียน
How to take
action?
กำรร ับมืออย่ำงไร
Damage
ี หำย
ควำมเสย
63
5. หล ังเหตุกำรณ์ควำมปลอดภ ัยคอมพิวเตอร์

ิ้ ในระบบทีม
ี่ ง
ตรวจสอบอุปกรณ์ทก
ุ ชน
่ ค
ี วำมเสย
SWITCH
ROUTER
• ตรวจสอบระบบและฝังกำรวำงระบบในองค์กร
(network infrastructure)
64
5. หล ังเหตุกำรณ์ควำมปลอดภ ัย
คอมพิวเตอร์ (ต่อ)
• นำบทเรียนทีไ่ ด้มำแก้ไขแผนกำรร ักษำควำมปลอดภ ัย
- แก้ไข Policy ในองค์กรให้ร ัดกุม
- revise policy
้
- กำหนดมำตรกำรต่ำงๆ เพิม
่ ขึน
65
คำจำก ัดควำมและหน้ำทีข
่ อง CERT
CERT
Computer Emergency Response Team
An organization or a team that
provides, to defined constituency,
services and support for both
preventing and responding the
computer security incidents.
66
ขอบข่ำยกำรให้บริกำรของ CERT
หน้ำทีห
่ ล ัก
1. ร ับมือก ับเหตุกำรณ์ควำมปลอดภ ัยคอมพิวเตอร์
หน้ำทีท
่ ว่ ั ไป
1. แจ้งประกำศเตือน
2. วิเครำะห์และตอบสนองต่อควำมอ่อนแอของระบบ
3. วิเครำะห์เหตุกำรณ์ควำมปลอดภ ัยคอมพิวเตอร์ตำ่ งๆ
้
ทีถ
่ ก
ู ทำขึน
4. อบรมและเผยแพร่ควำมรู ้
67
ขอบข่ำยกำรให้บริกำรของ CERT(ต่อ)
5. ติดตำมเหตุกำรณ์ควำมปลอดภ ัยคอมพิวเตอร์
6. ตรวจจ ับกำรบุกรุก
7. ตรวจสอบและให้กำรทดสอบระบบ
8. ทีป
่ รึกษำทำงควำมปลอดภ ัย
ี่ งของระบบ
9. วิเครำะห์ควำมเสย
10. พ ัฒนำผลิตภ ัณฑ์ควำมปลอดภ ัยคอมพิวเตอร์
่ ยเหลือ
11. ให้ควำมร่วมมือและชว
12. ประสำนงำน
68
รูปแบบกำรดำเนินงำนโครงกำรจ ัดตงศู
ั้ นย์ประสำนงำน
กำรร ักษำควำมปลอดภ ัยคอมพิวเตอร์แห่งชำติ
์
สำน ักงำนร ัฐบำลอิเล็กทรอนิกส(สรอ.)
ด้ำนนโยบำย
ด้ำนเทคนิค
สภำควำมมนคงแห่
่ั
งชำติ
(NSC)
ประสำนงำน
ประสำนงำน
มหำวิทยำล ัยต่ำงๆ
คณะกรรมกำรเทคโนโลยี
สำรสนเทศแห่งชำติ (NITC)
สำน ักงำนตำรวจแห่งชำติ
ประสำนงำน
CERT
ประสำนงำน
ISP
69
รูปแบบของกำรร ับมือก ับเหตุกำรณ์ควำม
ปลอดภ ัยคอมพิวเตอร์
ทำง E-Mail
1
ผูถ
้ ก
ู ละเมิด
2
3
กระบวนกำรร ับแจ้ง
เหตุกำรณ์
กระบวนกำรยืนย ัน
เหตุกำรณ์
ั
ทำงโทรศพท์
5
ประสำนงำนและให้คำแนะนำ
่ น่วยงำนทีเ่ กีย
ไปสูห
่ วข้อง
NO
4
กระบวนกำรตรวจขอบข่ำย
YES
6
- วิเครำะห์เหตุกำรณ์
่ ยเหลือทำงเทคนิค
- ให้ควำมชว
- ประสำนงำนและตอบสนอง
70
กำรตรวจสอบกระบวนกำรแจ้งเหตุ
เพือ
่ พิสจ
ู น์ต ัวตน
ทีอ
่ ยู.่ ......................................................
ื่ -นำมสกุล............................................
ชอ
ื่ องค์กร...............................................
ชอ
ั .............. โทรสำร................
เบอร์โทรศพท์
อีเมล์ (E-mail) ..........................................
ประเภทขององค์กร (ร ัฐ , เอกชน, สว่ นต ัว)
71
รำยละเอียดของเหตุกำรณ์
ื่ Host และ IP address
ชอ
หน้ำทีข
่ อง Host
เวลำ และย่ำนเวลำ
รำยละเอียดของเหตุกำรณ์ (log file ว ันที่ เวลำ)
Log file
ว ันทีแ
่ ละเวลำ
Version ของซอฟต์แวร์
Patch
้
ผลทีเ่ กิดขึน
72
CERT ก ับหน่วยงำนของท่ำน
CEO
ผูถ
้ ก
ู บุกรุก
SIRM = Site Incident Response Manager
ิ ใจเกีย
ผูม
้ อ
ี ำนำจต ัดสน
่ วก ับ
เครือข่ำยได้ท ันที
SIRO = Site Incident Response Officer
CERT
ต้องมี Two way communication
good contact
ผูป
้ ฏิบ ัติกำร
ั ทท
ต้องมีเบอร์โทรศพท์
ี่ ำงำน, ทีบ
่ ำ้ น,
เบอร์มอ
ื ถือ, เพจเจอร์, E-Mail
73
ั
้ อ
ทงหมดนี
ั้
ต
้ งอำศย
ควำมร่วมมืออย่ำงจริงจ ัง
74
...ขอบคุณ...
Thank you for your attention.
75