Codding Gun

NIST Cybersecurity Framework(CSF)

การจัดการ Security ไม่ได้มีแค่การป้องกันเท่านั้น แต่ยังมี phase อื่นๆ ซึ่ง NIST Cybersecurity Framework ในปัจจุบันเป็น Version 2 ซึ่งจะเป็นกรอบการทำงานในระดับองค์กร สำหรับองค์ที่ต้องการรอดจากภัยคุกคามทาง Cyber

NUST Cybersecurity Framework
NIST Cybersecurity Framework Version 2.0

Cybersecurity Framework Version 2

การดูแลรักษาความปลอดภัยจะต้องมี Core Functions ต่างๆ ดังนี้

  1. Govern(GV) จากในรูปของ NIST Cybersecurity Framework เราจะมี Govern เป็นวงภายใน ซึ่งเป็นสิ่งที่เพิ่มขึ้นมาใน Version 2 ซึ่งในระดับของ Governance จะต้องมีการกำหนด Risk Management Strategy(กลยุทธในการจัดการความเสี่ยง) ซึ่งใน Govern จะต้องประกอบไปด้วย Activities ย่อยๆ ดังนี้
    • Policy
    • Communications
    • Monitors
  2. Identify(ID) เป็น Functions ที่ต้องเข้าใจความเสี่ยง ซึ่งเราจะเข้าใจความเสี่ยงได้ต้องระบุ Asset หรือทรัพย์สินมีค่าในธุรกิจของเรา ซึ่งถ้า data หรือ service ของเรายิ่งมีมูลค่ามากยิ่งมีความเสี่ยงมาก ใน Identity จะแบ่งออกเป็น Activities ย่อยๆ ดังนี้
    • Asset Management
    • Business Environment
    • Governance
    • Risk Assessment
    • Risk Management Strategy
  3. Protect(PR) เป็น Phase ที่เราต้องใส่การป้องกันเข้าไปในระบบ ซึ่งจะต้องสอดคล้องกับ Asset ที่เรา Identify ไว้ใน Functions ก่อนหน้า ซึ่งจะแบ่งออหเป็น Activities ย่อยๆ ดังนี้
    • Access Control
    • Awareness Training
    • Data Security
    • Info Protection Process & Procedures
    • Maintenance
    • Protective Methodology
  4. Detect(DE) การตรวจจับการโจมตี เพื่อให้เรารู้ตัวเมื่อถูกโจมตี เมื่อเรารู้ตัวได้เร็ว ก็จะทำให้เราเข้าไปแก้ไปปัญหาได้เร็ว และนอกจากการตรวจจับการโจมตีแล้วเรายังต้องนำ Threat ที่เราสามารถตรวจจับได้ไปวิเคราะห์ต่อ ซึ่งการ Detect นั้นจะต้องแบ่งออกเป็น Activities ต่างๆ ดังนี้
    • Continuous Monitoring
    • Anomalies and Events Management
  5. Response(RS) การรับมือเมื่อถูกโจมตีจะเป็น Phase ที่ต่อเนื่องจาก Detection ซึ่งเมื่อเรารู้ว่าถูกโจมตี ซึ่งเราจะต้องวางแผนไว้ล่วงหน้า(Incident Response Plan) ซึ่งใน Response จะแบ่งออกเป็น Activities ต่างๆ ดังนี้
    • Response Planning
    • Communications
    • Analysis
    • Mitigation
    • Improvements
  6. Recovery(RC) เป็นการพาระบบกลับไปทำงานในจุดเดิมให้เร็วที่สุด(ใช้ Recovery Time ที่น้อยที่สุด) ซึ่งใน Phase ของ Recovery จะแบ่งออกเป็น Activities ต่างๆ ดังนี้
    • Recovery Planning
    • Improvements
    • Communications

การทำงานของ NIST Cybersecurity Framework จะเป็น Continuous Improvement ซึ่งหมายถึงการทำงานวนซ้ำไปเรื่อยๆ ในแต่ละรอบจะมีการพัฒนาให้ดีขึ้นไปเรื่อยๆ

NIST Cybersecurity Framework(CSF) เป็นกรอบการทำงานระบดับองค์กรที่เราต้องดูแลให้เกิดความปลอดภัย โดยที่จะแบ่งออกเป็น Process ย่อยๆ ในแต่ละเรื่องที่จะต้อง Implement เข้าไปเพิ่ม

CSF Profiles

การนำ Cybersecurity Framework ไปใช้งานเราต้องทำการ Tailer(ปรับแต่ง)ให้เข้ากับแต่ละองค์กร ในองค์กรจะต้องใช้ Profile เพื่อ

ในองค์กรจะต้องสร้าง CSF Profile ไว้ 2 Profiles คือ

  1. Current Profile เป็นสถานะของ NIST Cybersecurity Framework ณ ปัจจุบัน เป็นสิ่งที่องค์กร implemented แล้ว
  2. Target Profile เป็นเป้าหมายที่องค์กรต้องการจะไป โดยจะต้องมีการเลือกและจัดลำดับความสำคัญให้กับสิ่งที่เราต้อง implement

NIST CSF Profile
ขั้นตอนในการสร้างและใช้งาน CSF Organizational Profile

ขั้นตอนสร้าง CSF Profile

การสร้าง CSF Profile จะมีขั้นตอนต่างๆ ดังนี้

  1. ทำความเข้าใจ Scope ของ Organization Profile
  2. จัดเก็บรวบรวมข้อมูล
  3. สร้าง Organization Profile
  4. วิเคราะห์ Gap และระบุ Action Plan
  5. ทำตาม Action Plan และทำการแก้ไข Profile

Advance Persistence Threat(APT)

Advance Persistence Threat(APT) คือภัยคุกคามในโลก Cyber ซึ่งจะเป็นการโจมตีที่

ใน MITRE ATT&CK จะแบ่ง APT ออกเป็นกลุ่มต่างๆ ซึ่งเราสามารถเข้าไปดูรายชื่อ Advance Persistence Threat ได้ที่นี่

นั่นคือปํญหาที่เราต้องเจอบนโลก Cyber ในทุกวันนี้ นี่จึงเป็นสาเหตุให้เราต้องนำ Cybersecurity Framework มาเป็นกรอบในการทำงาน

อ่านเอกสารเกี่ยวกับ Cybersecurity Framework ต่อได้ที่นี่

Phanupong Permpimol
Follow me