โดย
- แมรี อี. แชคเลตต์,ข้อมูลข้ามโลก
- ไอวี่ วิกมอร์
เหตุการณ์ด้านความปลอดภัยคืออะไร?
เหตุการณ์ด้านความปลอดภัยคือเหตุการณ์ที่อาจบ่งชี้ว่าระบบหรือข้อมูลขององค์กรถูกบุกรุกหรือมาตรการที่ใช้ป้องกันล้มเหลว
ในด้านไอที เหตุการณ์คืออะไรก็ตามที่มีความสำคัญต่อฮาร์ดแวร์หรือซอฟต์แวร์ระบบ และเหตุการณ์คือเหตุการณ์ที่รบกวนการทำงานปกติเหตุการณ์ความปลอดภัยมักจะถูกจำแนกตามระดับความรุนแรงและความเสี่ยงที่อาจเกิดขึ้นกับองค์กร
หากผู้ใช้รายเดียวถูกปฏิเสธไม่ให้เข้าถึงบริการที่ร้องขอ เช่น เหตุการณ์ดังกล่าวอาจถือเป็นเหตุการณ์ด้านความปลอดภัย เนื่องจากอาจบ่งชี้ว่าระบบถูกบุกรุก แต่ความล้มเหลวในการเข้าถึงอาจเกิดจากสาเหตุอื่นๆ อีกมากมาย ธีมทั่วไปสำหรับเหตุการณ์ด้านความปลอดภัยส่วนใหญ่ ไม่ว่าจะเกิดจากสาเหตุใด คือโดยปกติแล้วเหตุการณ์เหล่านี้จะไม่ส่งผลกระทบรุนแรงต่อองค์กร อย่างไรก็ตาม หากผู้ใช้จำนวนมากถูกปฏิเสธการเข้าถึง อาจเป็นไปได้ว่าปัญหาร้ายแรงกว่านั้น เช่น การปฏิเสธการให้บริการแบบกระจาย (ดีโดเอส) การโจมตี ดังนั้นเหตุการณ์นั้นอาจถูกจัดประเภทเป็นเหตุการณ์ด้านความปลอดภัยเนื่องจากมีผลกระทบต่อการดำเนินงาน
เหตุการณ์ด้านความปลอดภัยและการละเมิดความปลอดภัยแตกต่างกันอย่างไร
มักจะมีความสับสนเกี่ยวกับความหมายของเหตุการณ์ด้านความปลอดภัยกับการละเมิดความปลอดภัย กเหตุการณ์ด้านความปลอดภัยครอบคลุมการละเมิดความปลอดภัยที่หลากหลาย ตั้งแต่การละเมิดระบบ เครือข่าย และการเข้าถึงข้อมูลมัลแวร์, การโจมตี DDoS หรือแม้แต่การขโมยอุปกรณ์คอมพิวเตอร์จริงและอุปกรณ์ที่มีข้อมูลที่ละเอียดอ่อน
ในทางกลับกัน กการละเมิดความปลอดภัยเกี่ยวข้องกับการละเมิดข้อมูลเท่านั้น -- ไม่ใช่การละเมิดการเข้าถึงเครือข่ายหรือระบบ หรือการบุกรุกของมัลแวร์ที่ไม่เกี่ยวข้องกับข้อมูล ในแง่นี้ การละเมิดความปลอดภัยเป็นหมวดหมู่ย่อยของเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับการเข้าถึงโดยไม่ได้รับอนุญาตหรือการขโมยข้อมูลเท่านั้น การละเมิดข้อมูลนี้อาจเกี่ยวข้องกับการเปลี่ยนแปลงและ/หรือการขโมยข้อมูลสำคัญของบริษัท เช่นทรัพย์สินทางปัญญาหรือรายชื่อลูกค้า นอกจากนี้ยังอาจเกี่ยวข้องกับการเข้าถึงโดยไม่ได้รับอนุญาต การแก้ไข และ/หรือการขโมยข้อมูลส่วนบุคคลของลูกค้า ลูกค้า ผู้ป่วย หรือผู้อื่นที่ละเมิดสิทธิส่วนบุคคลของบุคคลเหล่านี้
ตัวอย่างของเหตุการณ์ด้านความปลอดภัยมีดังต่อไปนี้:
- ความพยายามจากแหล่งที่ไม่ได้รับอนุญาตในการเข้าถึงระบบหรือข้อมูล
- การหยุดชะงักของบริการโดยไม่ได้วางแผนหรือการปฏิเสธบริการ
- การประมวลผลหรือจัดเก็บข้อมูลโดยไม่ได้รับอนุญาต
- การเปลี่ยนแปลงฮาร์ดแวร์ เฟิร์มแวร์ หรือซอฟต์แวร์ของระบบโดยไม่ได้รับอนุญาต
- คนวงในการละเมิดเครือข่าย ระบบ หรือข้อมูลโดยพนักงานหรือผู้รับจ้าง รวมถึงการโจมตีระบบและเครือข่ายโดยมุ่งร้าย
- กการติดมัลแวร์ เช่น แรนซัมแวร์หรือไวรัสที่บุกรุกเครือข่าย ระบบ หรือเวิร์กสเตชัน หรือดำเนินการโดยไม่ได้รับอนุญาต
- การโจมตีทางไซเบอร์จากภายนอกที่มีวัตถุประสงค์เพื่อขัดขวาง ปิดใช้งาน ทำลาย หรือมุ่งร้ายควบคุมสภาพแวดล้อมคอมพิวเตอร์หรือโครงสร้างพื้นฐานทั้งหมดขององค์กร
- การโจมตีที่ออกแบบมาเพื่อทำลายหรือขโมยข้อมูล และ
- อุปกรณ์คอมพิวเตอร์สูญหายหรือถูกขโมย
ตัวอย่างของการละเมิดความปลอดภัยมีดังต่อไปนี้:
- การเข้าถึงสิทธิพิเศษและข้อมูลส่วนตัวโดยไม่ได้รับอนุญาต
- ขโมยอุปกรณ์คอมพิวเตอร์ที่มีความละเอียดอ่อนหรือข้อมูลที่สามารถระบุตัวบุคคลได้;
- การขโมยเอกสารทางกายภาพที่มีข้อมูลส่วนบุคคลหรือข้อมูลที่ละเอียดอ่อน
- การเจาะข้อมูลที่ส่งผลให้ข้อมูลเสียหายหรือถูกทำลาย
- การโจมตีด้วยแรนซัมแวร์ที่ขโมยข้อมูลแล้วเรียกร้องค่าไถ่เพื่อส่งคืน
- เข้าถึงข้อมูลลูกค้าของบริษัทผ่านนายหน้าข้อมูลบุคคลที่สามโดยไม่ได้รับความยินยอมจากบริษัทหรือลูกค้า
วิธีตอบสนองต่อเหตุการณ์ด้านความปลอดภัย
เนื่องจากการละเมิดความปลอดภัยเป็นส่วนย่อยของเหตุการณ์ด้านความปลอดภัย เครื่องมือและเทคนิคที่ใช้ในการจัดการกับเหตุการณ์เหล่านั้นจึงคล้ายคลึงกัน ในทุกกรณี เป้าหมายคือการปราบหรือแก้ไขเหตุการณ์ให้เร็วที่สุด
ต่อไปนี้เป็นเครื่องมือและเทคนิคทั่วไปที่องค์กรสามารถใช้เพื่อตอบสนองต่อเหตุการณ์ด้านความปลอดภัย:
- รวมทีม.ประสานงานทีมผู้เชี่ยวชาญด้านความปลอดภัยที่จะประเมินความรุนแรงของเหตุการณ์ สื่อสารกับฝ่ายบริหารและดำเนินการบรรเทาผลกระทบ
- ระบุ ประเมิน และจำกัดเหตุการณ์ระบุสิ่งที่ถูกบุกรุก และหากเครือข่ายใดติดไวรัสแต่เครือข่ายอื่นไม่ติด ให้แยกเครือข่ายที่ได้รับผลกระทบออกทันทีเพื่อป้องกันไม่ให้การติดไวรัสแพร่กระจาย ในขณะเดียวกัน เก็บข้อมูลทั้งหมดในเครือข่ายที่ติดไวรัสเพื่อการวิเคราะห์ในภายหลัง
- กู้คืนและกู้คืนหากระบบหรือเครือข่ายได้รับผลกระทบรุนแรงจนไม่สามารถดำเนินการได้อย่างมั่นใจ ให้ดำเนินการกู้คืนระบบทั้งหมดและล้มเหลว.
- แจ้งผู้ที่ได้รับผลกระทบจากการละเมิดหากข้อมูลลูกค้า ไคลเอ็นต์ หรือผู้ป่วยถูกบุกรุกในระหว่างเหตุการณ์ ให้แจ้งบุคคลที่ได้รับผลกระทบจากการละเมิดและเสนอที่จะจ่ายค่าบริการบรรเทาที่พวกเขาอาจต้องการ
- แก้ไขปัญหาภายในหากพนักงานของบริษัทกระทำการที่มุ่งร้าย ให้แจ้งฝ่ายทรัพยากรบุคคลเพื่อดำเนินการที่เหมาะสม
- รับคำออกประสานงานกับฝ่ายการตลาดและประชาสัมพันธ์ขององค์กรสำหรับข้อความใด ๆ ที่จำเป็นต่อสื่อมวลชนหรือต่อสาธารณะ
- ทำการชันสูตรพลิกศพเหตุการณ์ความปลอดภัยเมื่อเหตุการณ์ด้านความปลอดภัยได้รับการแก้ไขแล้วทบทวนสิ่งที่เกิดขึ้นเกิดขึ้นได้อย่างไร และมีวิธีดำเนินการอย่างไรเพื่อหลีกเลี่ยงไม่ให้เกิดเหตุการณ์ในลักษณะเดียวกันนี้อีกในอนาคต แก้ไขนโยบายและแนวปฏิบัติเพื่อให้สอดคล้องกับการเปลี่ยนแปลงใดๆ
- ประเมินประสิทธิภาพของทีมของคุณใช้เวลานานแค่ไหนในการตรวจจับเหตุการณ์? ใช้เวลานานเท่าใดในการแก้ไข มีอะไรที่คุณสามารถทำได้ดีกว่านี้ไหม?
วิธีป้องกันเหตุการณ์ด้านความปลอดภัย
วิธีการและเครื่องมือทั่วไปที่ใช้เพื่อป้องกันเหตุการณ์ด้านความปลอดภัยมีดังนี้:
- ฝึกอบรมพนักงานเป็นประจำเพื่อให้แน่ใจว่าพวกเขาคุ้นเคยกับองค์กรมาตรฐานความปลอดภัยและแนวทางปฏิบัติ
- ใช้ผู้ตรวจสอบด้านไอทีภายในและภายนอกตรวจสอบนโยบายและแนวทางปฏิบัติด้านความปลอดภัยด้านไอทีเป็นประจำเพื่อให้แน่ใจว่าเป็นปัจจุบัน รวมถึงการทดสอบการเจาะระบบและช่องโหว่ของเครือข่ายและระบบ
- ตรวจสอบให้แน่ใจว่ามีการใช้แพตช์ความปลอดภัยกับฮาร์ดแวร์และซอฟต์แวร์ทันที
- ตรวจสอบสิ่งอำนวยความสะดวกทางกายภาพ รวมถึงการเข้าถึงที่ปลอดภัยไปยังศูนย์ข้อมูลและตู้เสื้อผ้า ตู้เก็บเอกสาร และพื้นที่จัดเก็บอื่น ๆ ที่อาจมีเอกสารฉบับพิมพ์ที่ละเอียดอ่อน
- ตรวจสอบและบันทึกผู้ใช้และกิจกรรมข้อมูลที่เครือข่าย เวิร์กสเตชันระบบ และอุปกรณ์ IoT ใช้การแจ้งเตือนตามเวลาจริงอัตโนมัติเพื่อตรวจหาการละเมิดความปลอดภัยที่อาจเกิดขึ้น
- ตรวจหาผู้ขายเพื่อให้สอดคล้องกับมาตรฐานการรักษาความปลอดภัยและการกำกับดูแลองค์กร
- จัดทำข้อตกลงกับพันธมิตรทางธุรกิจที่จำกัดการแบ่งปันข้อมูลที่เป็นความลับกับบุคคลที่สามโดยไม่ได้รับอนุญาตจากบริษัทของคุณ
- เข้ารหัสแล็ปท็อปและอุปกรณ์เคลื่อนที่ และล็อคอุปกรณ์ใดๆ ที่สูญหายหรือถูกขโมยในสนาม
กระบวนการและเครื่องมือที่ออกแบบมาเพื่อช่วยในการจัดการเหตุการณ์ด้านความปลอดภัย
เครื่องมือที่มีจำหน่ายทั่วไปสามารถช่วยจัดการเหตุการณ์ด้านความปลอดภัยได้:
- การตรวจจับปลายทางและการตอบสนองซอฟต์แวร์สามารถตรวจจับเหตุการณ์ด้านความปลอดภัยที่บริเวณรอบนอกขององค์กรได้ ซึ่งเป็นประโยชน์สำหรับการรักษาความปลอดภัยสภาพแวดล้อม IoT
- ข้อมูลความปลอดภัยและเครื่องมือตรวจสอบรวมถึงมาตรการรักษาความปลอดภัยและการตอบสนองเหตุการณ์ด้านความปลอดภัย
- แม่แบบการวางแผนการตอบสนองเหตุการณ์ช่วยในการพัฒนาและจัดทำแผนรับมือเหตุการณ์ด้านความปลอดภัยทั่วทั้งองค์กร
- ซอฟต์แวร์การฝึกอบรมด้านความปลอดภัยช่วยให้พนักงานเรียนรู้พื้นฐานของแนวทางปฏิบัติด้านความปลอดภัยที่มีประสิทธิภาพ แต่ไม่ได้แทนที่การฝึกอบรมด้านความปลอดภัยภายในองค์กรที่ควรเป็นส่วนหนึ่งของการปฐมนิเทศพนักงานใหม่ทุกคนและหลักสูตรทบทวนความปลอดภัยประจำปีสำหรับพนักงานปัจจุบัน
เรียนรู้วิธีที่องค์กรสามารถทำได้ให้ความรู้แก่พนักงานเกี่ยวกับความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์น่าสนใจมากขึ้น.
สิ่งนี้ได้รับการปรับปรุงครั้งล่าสุดในพฤษภาคม 2021
อ่านต่อเกี่ยวกับเหตุการณ์ด้านความปลอดภัย
- วิธีแก้ไขช่องโหว่ความปลอดภัยทางไซเบอร์ 5 อันดับแรก
- ผู้ให้บริการตอบสนองเหตุการณ์ชั้นนำ 10 รายในปี 2564
- ข้อควรพิจารณาสำหรับซอฟต์แวร์การบันทึกและการจัดเก็บ SIEM
- วิธีสร้างแผนรับมือเหตุการณ์แรนซัมแวร์
ข้อกำหนดที่เกี่ยวข้อง
- การจัดการท่าทางความปลอดภัยบนคลาวด์ (CSPM)
- การจัดการท่าทางการรักษาความปลอดภัยบนคลาวด์ (CSPM) เป็นส่วนตลาดสำหรับเครื่องมือรักษาความปลอดภัยด้านไอทีที่ออกแบบมาเพื่อระบุการกำหนดค่าที่ผิดพลาด...ดูคำนิยามที่สมบูรณ์
- การขู่กรรโชกทางไซเบอร์
- การขู่กรรโชกทางไซเบอร์เป็นอาชญากรรมที่เกี่ยวข้องกับการโจมตีหรือการขู่ว่าจะโจมตีควบคู่ไปกับการเรียกร้องเงินหรือการตอบสนองอื่น ๆ ใน ...ดูคำนิยามที่สมบูรณ์
- แรนซัมแวร์เป็นบริการ (RaaS)
- Ransomware as a Service (RaaS) เป็นรูปแบบธุรกิจแบบสมัครสมาชิกที่ช่วยให้บริษัทในเครือสามารถเปิดการโจมตี ransomware โดย ...ดูคำนิยามที่สมบูรณ์