ไทย
ค้นหา

คลังความรู้

Cybersecurity Maturity

การทำ Cyber Resilience หรือก็คือการสร้างความยืดหยุ่น ความต้านทานต่อภัยคุกคาม ต่อให้องค์กรถูกโจมตีแต่ธุรกิจก็ยังคงดำเนินต่อไปได้ พร้อมๆ กับการรับมือและฟื้นฟูความเสียหายให้กลับสู่สภาวะปกติ 

ก้าวแรกของการเริ่มทำ Cyber Resilience คือ การประเมินความพร้อม ซึ่งจะทำให้องค์กรรู้ระดับ Maturity Level ของตนเอง  รวมไปถึงทำให้ทราบภัยคุกคามที่องค์กรต้องเตรียมพร้อมรับมือ ความเสียหายและผลกระทบที่อาจเกิดขึ้น ไปจนถึงความเสี่ยงทั้งด้านธุรกิจและระบบ IT และความสอดคล้องกับกฎหมายและข้อบังคับต่างๆ

สำหรับวิธีที่จะใช้ประเมินเบื้องต้น ทาง PROUD ขอแนะนำดังต่อไปนี้

  • ใช้เครื่องมือประเมินในการ Self-assessment เช่น Cyber Security Evaluation Tool (CSET), Cyber Resilience Assessment Framework (CRAF) ของแต่ละ Regulatiors ต่าง ๆ เช่น BOT, SEC หรือ OIC เป็นต้น 
  • ประเมินตามกรอบการทำงานหรือ Frameworks ที่ได้รับการยอมรับและเป็นมาตรฐาน เช่น ISO 27000 Series, Cyber Essential, HITRUST CSF, CIS Top 18, NIST Cybersecurity Framework เป็นต้น
  • ให้หน่วยงานภายนอกให้มาประเมินตามมาตรฐานหรือข้อบังคับต่างๆ เช่น ISO/IEC 27001:2013, PCI DSS, PDPA, HIPAA, GDPR เป็นต้น

โดยรากฐานของการทำ Cyber Resilience ประกอบด้วย การดำเนินงาน (Operations) ที่สามารถทำได้อย่างต่อเนื่อง พร้อมรับมือภัยคุกคามในปัจจุบัน และการประเมินความเสี่ยงที่ยอมรับได้

Basic เครื่องมือรักษาความปลอดภัยพื้นฐาน

ทุกวันนี้กระแสการโจมตีทางไซเบอร์มีให้เห็นอยู่บ่อยครั้ง เราพร้อมรับมือจากภัยคุกคามเหล่านี้หรือยัง เพื่อรักษาความมั่นคงปลอดภัยทางไซเบอร์ให้กับองค์กรของตนเอง 

ดังนั้นจำเป็นอย่างยิ่งที่ทุกองค์กรจะต้องตระหนักถึงการโจมตีด้านไซเบอร์ที่เป็นอันตรายต่อการดำเนินธุรกิจขององค์กร PROUD จึงขอแนะนำเครื่องมือการรักษาความปลอดภัยขั้นพื้นฐานที่ทุกองค์กรควรมีสัก 5 ประเภทดังนี้

1.) Network Security - Firewall

2.) Malware prevention - Advanced Endpoint Protection

3.) Backup - Backup & Recovery, Ransomware Protection

4.) Secure Access - Unified endpoint management (UEM)

5.) Identity and Access Management - Identity Management, SSO

จริง ๆ ยังมีเครื่องมืออีกมากพอสมควรที่ควรจะมีแต่ข้อมูลด้านบนจะเป็นเครื่องมือเบื้องต้นในการเริ่มให้องค์กรมีความมั่นคงปลอดภัยที่ดีขึ้น เพราะเรื่อง Cybersecurity ไม่มีวันที่จบหรือหยุดได้ 100%

Phishing-as-a-Service ภัยร้ายขององค์กร

Phishing-as-a-Service คือ การที่ผู้ไม่ประสงค์ดีขายหน้าเพจล็อกอินปลอมของบริการที่ยอดนิยม เช่น Dropbox, OneDrive, LinkedIn, Lazada เป็นต้น

ซึ่งแตกต่างกับการขาย Phishing Kit ที่คนใช้ต้องมาจัดการเองอีกที แต่ Phishing-as-a-Service ทำให้กระบวนการทำ Phishing ง่ายขึ้นมาก เพราะมีทั้ง Template ของอีเมลและเว้บไซต์ พร้อมมีบริการส่งด้วย ทั้งนี้มีการซื้อขายเป็นแบบ Subscription 

เห็นแบบนี้แล้วองค์กรก็ควรจะมีการทำ Awareness บ่อย ๆ รวมถึงการทำพวก Cyber exercise เพื่อให้พนักงานมีความตระหนักและมีความพร้อมในการรับมือการโจมตี

กุญแจสำคัญด้านความมั่นคงปลอดภัยทางไซเบอร์

ช่วงนี้ต้องยอมรับว่าภัยคุกคามด้าน Cybersecurity ในองค์กรมีอยู่เป็นจำนวนมากตามสภาพการทำงานรูปแบบใหม่ 

ทาง PROUD จึงขอแนะนำสิ่งที่ควรทำด้าน Cybersecurity ในองค์กรเบื้องต้นว่ามีอะไรบ้าง

1. การใช้งาน Multi-factor Authentication (MFA) เพราะตอนนี้แค่รหัสผ่านอย่างเดียวคงไม่พออีกต่อไป จึงควรจะต้องพิจารณาเรื่องความมั่นคงปลอดภัยในช่องทางพิสูจน์ตัวตนด้วยหรืออาจจะพิจารณาไปใช้ Solutions โดยเฉพาะดีกว่า เช่น Google หรือ Microsoft เป็นต้น

2. ลงทุนกับเครื่องมือที่ Automation มากขึ้น เช่น เครื่องมือป้องกันการรั่วไหลข้อมูล ข้อมูลการแจ้งเตือนหรือแม่แต่การใช้เทคโนโลยี AI/ML เข้ามาใช้เพื่อตรวจจับภัยคุกคาม

3. ผู้ใช้งานเทคโนโลยีสารสนเทศเป็นส่วนสำคัญ เพราะหลายคนตกเป็นเหยื่อของการโจมตี เนื่องจากไม่รู้เท่าทัน ไม่ตระหนักรู้ ดังนั้นองค์กรอาจต้องมีการทำ Security Awarness ที่ดีพอและอย่างเป็นประจำเพื่อให้ความรู้แก่พนักงานให้รู้จักกับรูปแบบของการโจมตีได้ดีขึ้นและเท่าทันภัยคุกคามที่เปลี่ยนไปตลอดเวลา

แฮ็กเกอร์แจกฟรี Credentials ผู้ใช้งาน Fortinet VPN

ช่วงนี้ข่าวการรั่วไหลของข้อมูลมีมาโดยตลอดระยะเวลา 2-3 สัปดาห์ที่ผ่านมา ล่าสุด Solutions ระดับโลกก็เกิดกรณีนี้เช่นกัน

เว็บไซต์ของแฮ็กเกอร์ 2 แห่งได้โพสต์แจกฟรี Credentials ของบัญชีผู้ใช้งาน Fortinet VPN เกือบ 500,000 รายการจากอุปกรณ์หมื่นกว่าตัว

จากการวิเคราะห์ข้อมูลไอพีที่ปรากฏเป็นของบริการ VPN ราว 12,856 ตัวในประเทศต่างๆ ซึ่งผู้เชี่ยวชาญยังพบว่า Credentials บางส่วนยังสามารถใช้งานได้อยู่ โดยคาดว่าได้มาจากการใช้ช่องโหว่ CVE-2018-13379 ทั้งนี้คนร้ายน่าจะใช้การแจกฟรีเพื่อโปรโมตเว็บใหม่ของตน

Credit: TechTalkthai

ภัยคุกคามที่สร้างความเสียหายเป็นอันดับ 1

การโจมตีทางไซเบอร์แม้จะมีหลากหลายวิธี แต่การโจมตีผ่านทางอีเมล ยังคงเป็นวิธีที่ได้ผลมากที่สุดอยู่ดี

ในช่วงที่ผ่านมามีการโจมตีผ่านทางอีเมลเกิดขึ้นมากมาย แม้แต่อีเมลเสนอขายวัคซีนวัคซีนปลอม  ไม่นับรวมอีเมล Classic ในการลดราคาปลอม ไม่ว่าจะสถานการณ์ไหนแฮกเกอร์ก็ยังคงดำเนินการโจมตีทางไซเบอร์อยู่ตลอด

การโจมตีผ่านทางอีเมลหลัก ๆ แบ่งได้เป็น 2 ประเภท ได้แก่ Business Email Compromise (BEC) คือการโจมตีโดยการหลอกให้ผู้ใช้ภายในองค์กรโอนเงิน ซึ่งส่วนมากจะแอบอ้างเป็นบุคคลภายในองค์กร และ Email Account Compromise (EAC) คือการโจมตีและแฮกบัญชีเป็นรายบุคคล 

ซึ่งทาง PROUD ก็มีการบริการในการทดสอบ Phishing รวมไปถึง E-learning เพื่อช่วยให้องค์กรได้เรียนรู้หัวข้อใหม่ ๆ ทาง Cybersecurity อีกทั้งสามารถใช้เป็นช่องทางในการสื่อสารให้คนในองค์กรได้อย่างมีประสิทธิภาพ

ConvoLab: ISO/IEC 27001:2013 Celebration

ในนามของผู้บริหารบริษัท พราวด์ คอนซัลติ้ง จำกัด ขอแสดงความยินดีกับบริษัท คิวบิก โปร จำกัดและ AMITY Group

ในการได้รับการรับรองมาตรฐาน ISO/IEC 27001:2013 ไปเมื่อเดือนกรกฎาคม 2564 ที่ผ่านมา ซึ่่งต้องขอบคุณที่ให้ความไว้วางใจทาง PROUD ในการเป็นที่ปรึกษาในโครงการนี้

และหวังเป็นอย่างยิ่งว่าจะเป็นจุดเริ่มต้นที่ดีของบริษัท คิวบิก โปร จำกัดและ AMITY Group ในการรักษามาตรฐานและพัฒนาองค์กรสร้างความยั่งยืนต่อไปในอนาคต

สูญเงินเพราะจำรหัสผ่านไม่ได้

ทุกวันนี้หลาย ๆ คนเลือกที่จะลงทุนกับบิทคอยน์มากขึ้น เนื่องมาจากมูลค่าที่เพิ่มมากขึ้นในทุกๆปี แต่สิ่งสำคัญคือถ้าเราลืมรหัสผ่านเงินที่อยู่ในระบบเราก็ไม่สามารถนำมาใช้ได้จริงไหมครับ

จากการรายงานของนิวยอร์กไทม์ เจ้าของบัญชีที่มีบิทคอยน์กว่า 5000 เหรียญขึ้นไป ลืมรหัสผ่านในการเข้าบัญชี และจากการสำรวจพบว่า มีบิทคอยน์มูลค่าราวๆ 4.2 ล้านล้านบาทที่ถูกทิ้งอยู่เฉยๆ ซึ่งคิดเป็น 20% ของเงินที่อยู่ในตอนนี้เลยทีเดียว

เนื่องมาจากบัญชีและรหัสผ่านของบิทคอยน์นั้นไม่เหมือนกับบัญชีธนาคารทั่วๆไป จะมีเพียงเจ้าของบัญชีเท่านั้นที่รู้รหัสผ่าน และสามารถจัดการบัญชีของตัวเองได้ ดังนั้นธุรกิจกู้บัญชีรหัสผ่านบิทคอยน์จึงกลายเป็นช่องทางการหารายได้ใหม่ๆ จะเห็นได้ว่าคนส่วนใหญ่จะพยายามจดจำรหัสผ่าน ดังนั้นการใช้ Password Manager จึงเป็นอีกทางเลือกที่เข้ามาช่วยแก้ปัญหาเหล่านี้ ที่ช่วยในการจดจำรหัสผ่าน อีกทั้งยังสามารถปกป้องภัยคุกคามในด้านอื่นๆด้วย

Credit: Techtalkthai

เครื่องมือช่วยตรวจสอบความปลอดภัยของซอฟต์แวร์ Open Source ของ GOOGLE

ปัจจุบันการตรวจสอบ Software เป็นสิ่งจำเป็นมาก เพราะภัยคุกคามมีเพิ่มขึ้นและอันตรายขึ้นเรื่อย ๆ  

จากความร่วมมือของ Google และ Open Source Security Foundation (OSSF) จึงมี Scorecards 2.0 

 

Scorecards เป็นเครื่องมือที่จะช่วยประเมินเรื่องความมั่นคงปลอดภัยของ Open Source ได้อย่างอัตโนมัติ ซึ่งฟีเจอร์ในด้านต่าง ๆ มีดังนี้

  • Identifying Risk 
  • Malicious Contributor 
  • Vulnerable Code 
  • System Compromise 
  • Dependency 

นอกจากนี้ยังมีความสามารถตรวจสอบไบนารีด้วยเครื่องมือ Binary-artifact รวมถึงสามารถตรวจสอบ Hash ของ Dependency ที่เรียกเข้ามาเทียบกับ Hash ที่ทำเอาไว้ด้วย น่าสนใจนะครับในการนำเครื่องมือนี้มาใช้งาน

Google แนะนำเคล็ดลับในการใช้งานโทรศัพท์มือถืออย่างปลอดภัย

ปฎิเสธไม่ได้ว่าปัจจุบันมีผู้คนจำนวนมากใช้อุปกรณ์เทคโนโลยีในชีวิตประจำวันเพื่อจัดการทั้งเรื่องงาน  ครอบครัว และเรื่องส่วนตัวผ่านทาง Mobile มากขึ้นเรื่อย ๆ

Google มีข้อแนะนำซึ่งเป็นเคล็ดลับที่ผู้ใช้งานสามารถทำตามได้และช่วยให้การใช้งานโทรศัพท์มือถือปลอดภัยได้เป็นอย่างดี

1. ล็อกโทรศัพท์ – การตั้งค่าการล็อกหน้าจอช่วยรักษาความปลอดภัยให้กับโทรศัพท์มือถือ คุณสามารถล็อกโทรศัพท์ด้วย PIN รหัสผ่าน หรือรูปแบบการวาดเส้น (Pattern) 

2. ค้นหาโทรศัพท์ที่หายไป – โปรแกรมจัดการอุปกรณ์ Android (Android Device Manager) ช่วยให้ค้นหาตำแหน่งโทรศัพท์ ทำให้โทรศัพท์ส่งเสียง หรือล้างข้อมูลในอุปกรณ์จากระยะไกลได้ 

3. เข้าถึงเนื้อหาที่ปลอดภัย – เปิดฟีเจอร์ค้นหาปลอดภัย (SafeSearch) เพื่อช่วยกรองเนื้อหาที่ไม่เหมาะสม การเปิดตัวกรองก็ช่วยบล็อกผลการค้นหาที่ไม่เหมาะสมได้ 

4. ป้องกันการซื้อที่ไม่ได้ตั้งใจหรือไม่พึงประสงค์ – ผู้ใช้สามารถตั้ง​ค่าได้ว่าจะให้ระบบถามรหัสผ่านบ่อยแค่ไหน ในส่วน “การควบคุมผู้ใช้” ให้เลือก “ต้องมีการตรวจสอบสิทธิ์สำหรับการซื้อ” เลือกการตั้งค่ารหัสผ่าน: “สำหรับการซื้อทั้งหมด” จากนั้นก็พิมพ์รหัสผ่านของคุณ ง่ายๆ เพียงเท่านี้

5. ตรวจสอบความปลอดภัย – วิธีง่ายๆ คือการตรวจสอบความปลอดภัย (Security Checkup) คุณสามารถเพิ่มข้อมูลการกู้คืนเพื่อช่วยให้เราติดต่อกันได้หากคุณเข้าบัญชีไม่ได้ การอนุญาตสิทธิ์เข้าถึงบัญชีช่วยให้คุณเห็นภาพรวมของแอป เว็บไซต์ และอุปกรณ์ที่เชื่อมต่อกับบัญชี Google ของคุณ