Page 49 - แนวนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
P. 49

สวนที่ ๑๓
               การใชงานระบบตรวจจับและปองกันผูบุกรุก

               (Intrusion Detection System: IDS and Intrusion Prevention System: IPS)

               วัตถุประสงค
                        IDS (Intrusion Detection System) หรือระบบตรวจจับการบุกรุก คือ ระบบตรวจจับการบุกรุก

               ของผูไมประสงคดี โดยสามารถวิเคราะหขอมูลที่ผานเขาออกเครือขายวามีลักษณะการทำงานที่เปนความเสี่ยง
               ตอเครือขายหรือไม โดย IDS จะทำเพียงแคแจงเตือนใหผูดูแลระบบทราบเทานั้นสวน IPS (Intrusion Prevention
               System) หรือระบบตรวจสอบและโตตอบการบุกรุกนั้น คือ ระบบที่มีลักษณะเชนเดียวกับระบบ IDS แตมี

               ความสามารถมากกวา คือ เมื่อตรวจพบขอมูลที่มีลักษณะที่เปนความเสี่ยงตอเครือขายก็จะทำการปองกัน
               ขอมูลนั้นไมใหเขามาในเครือขายได

               แนวปฏิบัติ
                        ๑๓.๑ ผูดูแลระบบตองกำหนดใหมีการเฝาระวังและรักษาอุปกรณตรวจจับและปองกันการบุกรุก

               ระบบ (IDS/IPS) เหตุการณผิดปกติและการแจงเตือนตางๆ ที่อุปกรณตรวจพบจะถูกทำการวิเคราะหและหา
               สาเหตุของการบุกรุกในระบบเทคโนโลยีสารสนเทศขององคกร เพื่อเปนเครื่องมือสำหรับการสืบสวนหาบุคคล
               ที่โจมตี บุกรุก หรือใชระบบในทางที่ผิด ปองกันกอนที่จะเกิดการโจมตี

                        ๑๓.๒ ผูดูแลระบบตองเก็บสถิติเกี่ยวกับความพยายามที่บุกรุกหรือโจมตีองคกร เปนเครื่องมือ
               ในการวัดประสิทธิภาพในการปองกันภัยของระบบรักษาความปลอดภัยอื่น เชน ไฟรวอลล เปนตน และ
               เพื่อเปนการปองกันเครือขายคอมพิวเตอรภายในจากอันตรายที่มาจากเครือขายคอมพิวเตอรภายนอก เชน
               ผูบุกรุก หรือ Hacker รวมทั้งไวรัสประเภทตางๆ
                        ๑๓.๓ ผูดูแลระบบตองมีการบริหารจัดการเหตุการณบุกรุกระบบ (Incident Management)

               เปนการตอบสนองตอเหตุการณบุกรุกทางเครือขาย สามารถชวยวิเคราะหลักษณะการบุกรุกทางเครือขาย
               และทำใหสามารถแกไขสถานการณไดอยางถูกตอง ลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้นจากการบุกรุก
               โดยตองจัดลำดับความสำคัญของการบุกรุกจากผลกระทบที่เกิดขึ้นกับองคกรและจัดทำวิธีปฏิบัติที่ถูกตอง

               ใหกับองคกรเพื่อปองกันเหตุการณเกิดซ้ำ โดยอางอิงจากแผนการรับมือเหตุภัยคุกคามทางไซเบอรของ
               กรมพัฒนาที่ดิน การตอบสนองตอเหตุการณการบุกรุกแบงเปน 5 ขั้นตอน คือ
                              ๑๓.๓.๑  ขั้นการเตรียมการ (Pre Incident) : เตรียมการและปองกันการเกิดภัยคุกคามทาง
               ไซเบอร

                              ๑๓.๓.2  ขั้นการตรวจจับและวิเคราะหภัยคุกคามทางไซเบอร (Detection and Analysis) :
               ตรวจจับและวิเคราะหภัยคุกคามทางไซเบอร
                              ๑๓.๓.3  ขั้นจำกัดขอบเขต (Containment) : ผลกระทบของเหตุการณที่เกี่ยวกับความ
               มั่นคงปลอดภัยไซเบอร

                              ๑๓.๓.4  ขั้นกำจัดตนเหตุ (Eradication) และกูคืนระบบ (Recovery) : กำจัดตนเหตุของ
               การบุกรุก รวมถึงปดกั้นชองทางของการบุกรุก และแกไขระบบที่ถูกบุกรุกใหสามารถกลับมาทำงานไดตามปกติ
                              ๑๓.๓.5  ขั้นการดำเนินการภายหลังการแกปญหาภัยคุกคามทางไซเบอร (After Incident) :
               เรียนรูจากเหตุภัยคุกคาม หาแนวทางเพื่อแกไขจุดบกพรองและพัฒนาแนวทางรับมือ




                                        นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยดานสารสนเทศ กรมพัฒนาที่ดิน
                                                                                                       ๔๐
   44   45   46   47   48   49   50   51   52   53   54