NIST Cybersecurity Framework(CSF)
การจัดการ Security ไม่ได้มีแค่การป้องกันเท่านั้น แต่ยังมี phase อื่นๆอีก โดยจะถูกจัดเรียงไว้ใน NIST Cyber Security Framework(CSF) ซึ่งในปัจจุบันเป็น Version 2
NIST Cyber Security Framework(CSF) จะเป็นกรอบการทำงานในระดับองค์กร สำหรับองค์ที่ต้องการรอดจากภัยคุกคามทาง Cyber ซึ่งจะแบ่งออกเป็น Phases ต่างๆซึ่งเราจะเรียกว่า Core Functions ดังรูป
Cybersecurity Framework Version 2
การดูแลรักษาความปลอดภัยจะต้องมี Core Functions ต่างๆ ดังนี้
- Govern(GV) จากในรูปของ NIST Cybersecurity Framework เราจะมี Govern เป็นวงภายใน ซึ่งเป็นสิ่งที่เพิ่มขึ้นมาใน Version 2 ซึ่งในระดับของ Governance จะต้องมีการกำหนด Risk Management Strategy(กลยุทธในการจัดการความเสี่ยง) ซึ่งใน Govern จะต้องประกอบไปด้วย Activities ย่อยๆ ดังนี้
- Policy
- Communications
- Monitors
- Identify(ID) เป็น Functions ที่ต้องเข้าใจความเสี่ยง ซึ่งเราจะเข้าใจความเสี่ยงได้ต้องระบุ Asset หรือทรัพย์สินมีค่าในธุรกิจของเรา ซึ่งถ้า data หรือ service ของเรายิ่งมีมูลค่ามากยิ่งมีความเสี่ยงมาก ใน Identity จะแบ่งออกเป็น Activities ย่อยๆ ดังนี้
- Asset Management
- Business Environment
- Governance
- Risk Assessment
- Risk Management Strategy
- Protect(PR) เป็น Phase ที่เราต้องใส่การป้องกันเข้าไปในระบบ ซึ่งจะต้องสอดคล้องกับ Asset ที่เรา Identify ไว้ใน Functions ก่อนหน้า ซึ่งจะแบ่งออหเป็น Activities ย่อยๆ ดังนี้
- Access Control
- Awareness Training
- Data Security
- Info Protection Process & Procedures
- Maintenance
- Protective Methodology
- Detect(DE) การตรวจจับการโจมตี เพื่อให้เรารู้ตัวเมื่อถูกโจมตี เมื่อเรารู้ตัวได้เร็ว ก็จะทำให้เราเข้าไปแก้ไปปัญหาได้เร็ว และนอกจากการตรวจจับการโจมตีแล้วเรายังต้องนำ Threat ที่เราสามารถตรวจจับได้ไปวิเคราะห์ต่อ ซึ่งการ Detect นั้นจะต้องแบ่งออกเป็น Activities ต่างๆ ดังนี้
- Continuous Monitoring
- Anomalies and Events Management
- Response(RS) การรับมือเมื่อถูกโจมตีจะเป็น Phase ที่ต่อเนื่องจาก Detection ซึ่งเมื่อเรารู้ว่าถูกโจมตี ซึ่งเราจะต้องวางแผนไว้ล่วงหน้า(Incident Response Plan) ซึ่งใน Response จะแบ่งออกเป็น Activities ต่างๆ ดังนี้
- Response Planning
- Communications
- Analysis
- Mitigation
- Improvements
- Recovery(RC) เป็นการพาระบบกลับไปทำงานในจุดเดิมให้เร็วที่สุด(ใช้ Recovery Time ที่น้อยที่สุด) ซึ่งใน Phase ของ Recovery จะแบ่งออกเป็น Activities ต่างๆ ดังนี้
- Recovery Planning
- Improvements
- Communications
การทำงานของ NIST Cybersecurity Framework จะเป็น Continuous Improvement ซึ่งหมายถึงการทำงานวนซ้ำไปเรื่อยๆ ในแต่ละรอบจะมีการพัฒนาให้ดีขึ้นไปเรื่อยๆ
NIST Cybersecurity Framework(CSF) เป็นกรอบการทำงานระบดับองค์กรที่เราต้องดูแลให้เกิดความปลอดภัย โดยที่จะแบ่งออกเป็น Process ย่อยๆ ในแต่ละเรื่องที่จะต้อง Implement เข้าไปเพิ่ม
CSF Profiles
การนำ Cybersecurity Framework ไปใช้งานเราต้องทำการ Tailer(ปรับแต่ง)ให้เข้ากับแต่ละองค์กร ในองค์กรจะต้องใช้ Profile เพื่อ
- Understand ทำความเข้าใจบริบทและ Risk Management Strategy ขององค์กร
- Tailer เลือก Functions ต่างๆที่จะนำมา Implement
- Assess ประเมินความยากง่ายของการ Implement
- Prioritize จัดลำดับตวามสำคัญของ Functions ที่จะนำมา Implement
- Communicate ใช้ในการสื่อสารเพื่อให้พนักงานในองค์กรเข้าใจภาพรวมของการรับมือกับภัยคุกคามทางไซเบอร์
ในองค์กรจะต้องสร้าง CSF Profile ไว้ 2 Profiles คือ
- Current Profile เป็นสถานะของ NIST Cybersecurity Framework ณ ปัจจุบัน เป็นสิ่งที่องค์กร implemented แล้ว
- Target Profile เป็นเป้าหมายที่องค์กรต้องการจะไป โดยจะต้องมีการเลือกและจัดลำดับความสำคัญให้กับสิ่งที่เราต้อง implement
ขั้นตอนสร้าง CSF Profile
การสร้าง CSF Profile จะมีขั้นตอนต่างๆ ดังนี้
- ทำความเข้าใจ Scope ของ Organization Profile
- จัดเก็บรวบรวมข้อมูล
- สร้าง Organization Profile
- วิเคราะห์ Gap และระบุ Action Plan
- ทำตาม Action Plan และทำการแก้ไข Profile
Advance Persistence Threat(APT)
Advance Persistence Threat(APT) คือภัยคุกคามในโลก Cyber ซึ่งจะเป็นการโจมตีที่
- Advance เป็น technics ที่ค่อนข้างซับซ้อน
- Persistence เป็นการโจมตีที่เกิดขึ้นอยู่ตลอดเวลา โดยทีมที่โจมตีจะเป็น dedicate team ที่คอยโจมตีอย่างต่อเนื่อง
ใน MITRE ATT&CK จะแบ่ง APT ออกเป็นกลุ่มต่างๆ ซึ่งเราสามารถเข้าไปดูรายชื่อ Advance Persistence Threat ได้ที่นี่
นั่นคือปํญหาที่เราต้องเจอบนโลก Cyber ในทุกวันนี้ นี่จึงเป็นสาเหตุให้เราต้องนำ Cybersecurity Framework มาเป็นกรอบในการทำงาน
