เมื่อพิจารณาข้อกำหนดของหน่วยงานกำกับดูแลเรื่องความมั่นคงปลอดภัยทางไซเบอร์ ไม่ว่าจะเป็นภายในประเทศ เช่น ประกาศธนาคารแห่งประเทศไทย (ธปท.) ประกาศคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (กลต.) ประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) หรือ ระหว่างประเทศ ในบางครั้งแยกตามกลุ่มอุตสาหกรรม เช่น PCI-DSS ต่างก็กำหนดให้มีการทดสอบเจาะระบบ (Penetration Test) อยู่เสมอ องค์กรไหนที่มีความเชี่ยวชาญในข้อกำหนด และมีประสบการณ์ในการทดสอบเจาะระบบอยู่แล้ว ย่อมสามารถปฏิบัติตามได้ไม่ยาก แต่หากองค์กรไหนที่เพิ่งเริ่มหรือพอมีข้อมูลอยู่บ้างแล้ว บทความนี้แนะนำหลักสำคัญว่าจะต้องทำการทดสอบเจาะระบบอย่างไร เพื่อให้ตอบโจทย์เรื่องของความเสี่ยง (Risk) ตามข้อกำหนด นอกจากนั้น บทความนี้ยังเหมาะกับผู้ที่ต้องการใช้ประโยชน์จากการทดสอบเจาะระบบให้เกิดประโยชน์สูงสุดกับองค์กรและหน้าที่การงานของทุกคน ไม่ใช่ให้การทดสอบเจาะระบบเป็นเพียงกิจกรรมทางเทคนิคของฝ่าย IT และ Cybersecurity เท่านั้น 1. ทราบสภาพแวดล้อมทางธุรกิจ กฎข้อบังคับ และข้อกำหนด ที่ต้องทำตาม เริ่มต้นจากทราบให้แน่ชัดก่อนว่ามีข้อกำหนดหรือกฎหมายใดบ้างที่มีผลบังคับใช้กับองค์กร และเนื้อหากล่าวไว้ว่าอย่างไร การมีข้อมูลในส่วนนี้ที่ชัดเจนจะสามารถช่วยเหลือเราได้อย่างมากเฉพาะในเรื่อง ลดความซ้ำซ้อนในการดำเนินการทดสอบและออกรายงาน หากเราทราบข้อกำหนดที่เกี่ยวข้องครบถ้วน เราสามารถที่จะดำเนินการทดสอบครั้งเดียวให้ผลที่ได้สอดคล้องกับข้อกำหนดทั้งหมดได้ เราอาจจะสามารถใช้วิธีอื่นที่ประหยัดงบประมาณกว่า ซึ่งบางครั้งอาจหมายถึงการดำเนินการทดสอบในรูปแบบอื่น ๆ เช่น การประเมินช่องโหว่ (Vulnerability Assessment), การตรวจสอบการตั้งค่าของระบบ (Configuration Review), การตรวจสอบความผิดพลาดด้านความปลอดภัยของ […]
Author Archives: sunt
เป็นปัญหาปวดหัวเสมอเมื่อโดน Hack รหัสผ่าน (Password) แล้วไม่สามารถกู้ Account คืนได้ หรือกู้ได้ก็ยากเหลือเกิน จะใช้งาน Multi-Factor Authentication (MFA) ถึงจะปลอดภัยแต่ก็ยังยุ่งยากอยู่บ้าง ตั้งแต่วันที่ 15 กันยายน 2564 ที่ผ่านมา Microsoft ได้รองรับการยืนยันตัวตนโดยไร้ซึ่งรหัสผ่าน (Passwordless) แล้ว ซึ่งถือว่ามีความปลอดภัยสูงและมีความสะดวกสบายกว่า MFA บทความสั้น ๆ วันนี้ ซีเนียส จะพาไปดูการตั้งค่า Passwordless สำหรับบัญชีบุคคล สำหรับบัญชีองค์กรคลิกเข้าไปดูรายละเอียดจาก Link ในส่วนข้อมูลอ้างอิงด้านล่างได้เลย ขั้นตอนที่ 0: เตรียมความพร้อมกันก่อน ขั้นตอนต่อไปนี้จะต้องมีการใช้งาน Microsoft Authenticator App ดังนั้นเตรียม Smartphone และเข้าถึง Google Play Store หรือ Apple App Store ให้พร้อมแล้วทำตามได้เลย ขั้นตอนที่ 1: ทำการ […]
จากที่เป็นข่าวอยู่เสมอ ๆ โดยเฉพาะในช่วง 2-3 ปีที่ผ่านมาสำหรับ Ransomware หรือโปรแกรมเรียกค่าไถ่โดยใช้ข้อมูลเป็นตัวประกัน ซึ่งมีวิวัฒนาการให้เห็นตลอดระยะเวลาที่ภัยคุกคามทางไซเบอร์ (Cyber-Threat) ประเภทนี้ปรากฏตัว ทั้งในเชิงเทคนิค ความเสียหาย และโมเดลธุรกิจ (Business Model) วันนี้ CYNIUS Advisor จะพาไปย้อนดูอดีตช่วงที่สำคัญ ๆ ของ Ransomware พร้อมทั้งพัฒนาการจนมาถึงปัจจุบัน และในอนาคตเราคาดหวังอะไรจากภัยคุกคามตัวนี้ได้บ้าง พร้อมทั้งไปดูสถิติตัวเลขที่น่าสนใจจากผลการวิจัยของ Sophos ที่เกี่ยวข้องกับ Ransomware ในปี 2021 กันครับ กำเนิด Ransomware ในจุดเริ่มต้นของ Ransomware นั้น เป็นการแปลงเทคโนโลยีการป้องกันให้เป็นอาวุธ (Weaponization) ซึ่งเทคโนโลยีที่ว่านั้นคือ การเข้ารหัสข้อมูล (Encryption) ที่ถูกสร้างขึ้นมาเพื่อเป็นวิธีการในการปกป้องข้อมูล เพื่อรักษาความลับระหว่างผู้ส่งสารและผู้รับสาร Ransomware ตัวแรกเท่าที่มีบันทึกไว้ (และเท่าที่ผู้เขียนหาข้อมูลได้) เกิดขึ้นในปี ค.ศ. 1989 ในรูปแบบของ Trojan ที่มากับโปรแกรมการวิเคราะห์โอกาสที่บุคคล ๆ หนึ่งจะเป็นโรค AIDS […]
คุณเคยสงสัยบ้างไหม เมื่อคุณคิดอยากจะจัดการให้องค์กรของคุณมีความมั่นคงปลอดภัยทางไซเบอร์ แต่ไม่รู้จะเริ่มต้นตรงไหนก่อนดี? กระบวนการอะไรที่ต้องมี? เครื่องมืออะไรที่ต้องใช้? ตำแหน่งงานไหนที่จำเป็น? ฯลฯ คำถามเหล่านี้จะได้คำตอบชัดเจนมากขึ้น เมื่อคุณรู้จักองค์กรของตัวเองมากขึ้น และ เมื่อคุณได้รู้จักกับคำว่า “Risk Assessment” หรือ “ การประเมินความเสี่ยง ” การประเมินความเสี่ยง (Cyber Risk Assessment) Risk assessment เป็นส่วนหนึ่งของกระบวนการ Risk Management ตามที่ถูกกล่าวถึงใน NIST Special Publication 800-39 และยังเป็นส่วนหนึ่งของ NIST Cybersecurity Framework (NIST CSF) ในขั้นตอนที่ 4 (จาก 7 ขั้นตอน) – Conduct a Risk Assessment อีกด้วย กล่าวคือเป็นการประเมินความเสี่ยง เพื่อให้ทราบว่ากระบวนการ/ทรัพย์สิน มีความเสี่ยงที่จะถูกโจมตี หรือถูกคุกคามทางไซเบอร์มากน้อยเพียงใด คำถามถัดมาคือ แล้วเราจะประเมินความเสี่ยงอะไร?เพื่อให้ง่ายต่อความเข้าใจ ทางเราขอแบ่งขั้นตอนหลัก […]
– How not to f*ck up your cybersecurity investment – ความหนักใจของ CIO/CISO/CSO เกี่ยวกับเรื่องของ Cybersecurity หนีไม่พ้นยุคปัจจุบันที่ความต้องการใช้งานระบบเทคโนโลยีที่ทำงานบนเครือข่าย หรือ Cyber System มีมากขึ้นทุกวัน โครงการใหม่ ๆ ที่จะนำเทคโนโลยีใหม่ ๆ มาใช้มีนับไม่ถ้วน ลำพังดูแลของเดิมที่มีก็แทบจะไม่ไหวแล้ว ของใหม่เพิ่มขึ้นทุกวันอีก หนำซ้ำยังมีอาชญากรทางไซเบอร์ (Cyber Criminal) คอยโจมตีหาผลประโยชน์กันอย่างไม่ขาดสาย พอจะหาทางออกก็มีคนกรูกันเข้ามาเสนอทั้งสินค้าทั้งบริการ ทุกอย่างดีไปหมด แต่บางทีเอามาใช้งานหรือทำไปแล้วยังมีความรู้สึกกังวล หรือยังมี Major Incident ที่ไม่น่าเกิดขึ้นมาอีก !!! ไม่หรอกครับ — ไม่ใช่ความผิดของ Solution ที่ซื้อมา, ไม่ใช่ทีมงานคุณไม่เก่งพอ, ไม่ใช่โจรเก่งเกินไป (แล้วก็ไม่ใช่ Auditor ที่เขี้ยวลากดินด้วยครับ) — จากประสบการณ์ที่แก้ปัญหาให้กับองค์กรทุกประเภทและขนาดของ Advisor จาก CYNIUS ส่วนใหญ่เกิดจากการที่ไม่ได้ทำตามหลักการ ACBC […]