Rapid7 Tag

Web Application Security and Scanning การรักษาความปลอดภัยและการสแกนบนเว็บแอปพลิเคชั่น อีกระดับการป้องกันภัยคุกคาม     HIGHLIGHT   - การสแกน Web Application คือมาตรฐานในการรักษาความปลอดภัยบนเครือข่ายของคุณ ซึ่งภัยจำเป็นที่จะสแกนเพื่อตรวจสอบภัยคุกคาม เมื่อมีความเสี่ยงจะเกิดขึ้น แต่สแกนเพื่อสร้างความมั่นใจว่าระบบยังคงมีความปลอดภัยอยู่เสมอ   - ก่อนที่จะเริ่มใช้ Web Application คุณเองจะต้องเข้าใจการทำงานก่อนว่า Web Applicationคืออะไร ? ทำงานอย่างไร ? และสาเหตุใดถึงต้องมี Web Application ?   - ลองนึกภาพง่ายๆ “Web Application” จะคล้ายกับประตูสู่ธุรกิจของคุณ เสมือนตัวเชื่อมโยงในการสื่อสารกับผู้ใช้เว็บและลูกค้าทั่วไป ไม่ว่าจะเป็นอีเมลไซต์สำหรับการขาย หรือจะเป็นบริการสตรีมมิ่งให้ความรู้และเพื่อความบันเทิง   - การทำงานหลักของ “Web Application” จะต้องสามารถโต้ตอบกับเครือข่ายของโฮสต์เพื่อให้บริการเนื้อหาข้อมูลระหว่างธุรกิจของคุณ และตัวผู้ใช้เว็บ แน่นอนว่า หากมีสิ่งแปลกปลอมที่เป็นอันตรายอยู่บน “Web Application” ความเสียหายจะต้องเกิดขึ้นกับธุรกิจของคุณไปจนถึงตัวลุกค้าอย่างแน่นอน       Why Security Is Critical   “Web Application” จำเป็นที่จะต้องอนุญาตเปิดการเข้าชมผ่านทางพอร์ตต่างๆ ซึ่งแต่ละส่วนมักต้องมีการตรวจสอบสิทธิ์ในการเข้าถึงด้วยเช่นเดียวกัน ซึ่งหมายความว่า “การสแกนเว็บไซด์จะต้องสามารถปิดการเข้าออกให้กับภัยคุกคาม และการเจาะข้อมูลของเหล่าแฮกเกอร์ที่จ้องจะโจมตีพอร์ต รวมไปถึงความเสี่ยงที่จะพบบ่อยมากที่สุดเหล่านี้”   Port 80 (HTTP): สำหรับการเข้าชมเว็บไซด์ที่ไม่ปลอดภัย   Port 443 (HTTPS): สำหรับการเข้าชมเว็บไซด์ที่ไม่ปลอดภัย   Port 21 (FTP): สำหรับโปรโตคอลในการถ่ายโอนข้อมูลไปยังเซิร์ฟเวอร์ของคุณ   Ports 25 (SMTP) :...

Read More

Vulnerability Management and Scanning 4 ขั้นตอนในการอุดช่องโหว่และแสกนความเสี่ยง     HIGHLIGHT   - การจัดการความเสี่ยงเป็นกระบวนการสำคัญในการทำงานด้านความปลอดภัยของแต่ละองค์กร ซึ่งจะเริ่มต้นตั้งแต่การวางแผนจนไปถึงการรายงานผล เพื่อจัดการช่องโหว่ทั้งหมดที่เกิดขึ้นได้อย่างเป็นระบบ   - ช่องโหว่ด้านความปลอดภัยหมายถึงจุดอ่อนทางเทคโนโลยีและข้อบกพร่องของบุคลากร ซึ่งจะเปิดช่องให้ผู้บุกรุกสามารถสร้างความเสียหายให้กับองค์กรได้   - กระบวนการนี้จะต้องดำเนินการอย่างต่อเนื่องเพื่ออัพเดทและติดตามการเปลี่ยนแปลงใหม่ๆที่เกิดขึ้น ทั้งของฝั่งเครื่องมือที่ใช้ และฝั่งภัยคุกคามที่มีการพัฒนาขึ้นทุกวันเช่นเดียวกัน   ซอฟต์แวร์ที่ใช้ในการจัดการช่องโหว่จะสามารถช่วยให้กระบวนการนี้เกิดขึ้นได้อย่างเป็นอัตโนมัติ โดยจะสามารถใช้เครื่องมือที่ทันสมัยเหล่านี้ในการสแกนหาช่องโหว่ของเครือข่าย รวมไปถึงในระบบต่างๆที่มีส่วนเกี่ยวข้องกับองค์กรอีกด้วย สำหรับ “Vulnerability Management” จะสามารถแบ่งออกได้เป็น 4 ขั้นตอนดังนี้     Step 1: Identifying Vulnerabilities   หัวใจสำคัญของทางออกในการจัดการช่องโหว่ที่เกิดขึ้นในองค์กร ก็คือการเริ่มต้นในการหาช่องโหว่ จากเครื่องมือที่ใช้ในการสแกนซึ่งจะประกอบด้วยกัน 4 ขั้นตอนดังนี้   - เครื่องมือสแกนเนอร์ทำการสแกนเข้าไปที่ระบบ - ทำการเข้าถึงเครือข่ายด้วยการส่งข้อมูล TCP/UDP เพื่อระบุพอร์ตเปิดให้สแกนเนอร์เข้าไปทำการตรวจหาช่องโหว่ - ซึ่งจะสามารถเข้าสู่ระบบได้จากระยะไกล (Remote - Log in) - รวบรวมข้อมูลจากระบบโดยละเอียด และเชื่อมโยงข้อมูลทั้งหมดเพื่อวางแผนแก้ไขช่องโหว่ที่เกิดขึ้น   การสแกนช่องโหว่นี้สามารถระบุความหลากหลายของระบบที่ใช้งานบนเครือข่ายเช่น แล็ปท็อปและเดสก์ท็อปเซิร์ฟเวอร์เสมือนจริง โดยระบบจะตรวจสอบส่วนต่างๆภายในเครือข่ายและการใช้งานไม่ว่าจะเป็น ได้แก่ ระบบปฏิบัติการ, ซอฟต์แวร์ที่ติดตั้ง, บัญชีผู้ใช้, โครงสร้างระบบไฟล์, และการกำหนดค่าระบบและอื่นๆ โดยข้อมูลที่ได้ทั้งหมดจะสามารถเชื่อมโยงช่องโหว่ที่ระบบสแกนรู้จัก ก่อนจะทำการวิเคราะห์ช่องโหว่จากฐานข้อมูลเพื่อรายงานผล   การสแกนช่องโหว่และความปลอดภัยที่มีประสิทธิภาพ จะต้องมาจาก “การกำหนดค่า” ซึ่งเป็นองค์ประกอบสำคัญของการจัดการความเสี่ยง แต่ในบางครั้งสแกนเนอร์อาจจะขัดขวางเครือข่ายได้ หากแบนด์วิธของเครือข่ายมีจำนวน ดังนั้นผู้ดูแลระบบความต้องจัดสรรเวลาในการสแกนให้ลงตัวเพื่อไม่ให้ขั้นตอนนี้มาทำลายการทำงานปกติ     Step 2: Evaluating Vulnerabilities   หลักจากตรวจพบช่องโหว่และความเสี่ยงที่อาจจะเข้ามาคุกคามองค์แล้ว ขั้นตอนสำคัญต่อมาก็คือ “การประเมินความเสี่ยงที่เกิด” และจัดการอย่างเหมาะสม อีกทั้งยังต้องสอดคล้องกับกลยุทธ์การบริหารความเสี่ยงขององค์กร ซึ่งส่วนมากแต่ละองค์กรจะเลือกประเมินการแก้ปัญหาโดยการใช้ Common Vulnerability...

Read More

Penetration Testing : Uncover security gaps before attackers do เตรียมตัวรับมือภัยคุกคามทดสอบการโจมตีก่อนของจริงจะมา       HIGHLIGHT   - ดูเหมือนว่าในทุกๆวันจะมีเรื่องราวของ “ภัยบนโลกไซเบอร์” ให้อัพเดทกันอยู่ตลอดเวลา ซึ่งความเสียหายที่เกิดก็เป็นเม็ดเงินหลายพันล้านดอลล่าร์เลยทีเดียว นั่นหมายถึงว่าเหล่าอาชญากรไซเบอร์ก็มีความพยายามในการพัฒนาความสามารถในการเจาะและทำลายความปลอดภัยที่แต่ละองค์กรสร้างขึ้นมาอยู่ทุกวันเช่นเดียวกัน   - การทดสอบความปลอดภัยที่เห็นภัยได้อย่างจริงจังก็คือ “การทดสอบและประเมินในสถานการณ์จริง” ซึ่งจะสามารถช่วยทดสอบความสามารถของเครื่องมือ และมองหาช่องโหว่ที่จะช่องทางในการโจรกรรมข้อมูลที่สำคัญ ไม่ว่าจะเป็นข้อมูลองค์กร ข้อมูลลูกค้า ข้อมูล PII หรือจะเป็นการจู่โจมแบบเรียกค่าไถ่ก็ได้เช่นเดียวกัน   - แน่นอนว่า “การป้องกันอันตรายเหล่านี้จะสามารถป้องกันผลประโยชน์ทางธุรกิจของคุณได้มากเลยทีเดียว” รวมไปถึงการยกระดับความเชื่อมั่นให้กับองค์กรของคุณได้อีกด้วย       How Can You Exploit Vulnerabilities? คุณสามารถใช้ประโยชน์จากช่องโหว่ได้อย่างไร ?   การทดสอบภัยคุกคามสามารถทำได้โดยผู้เชี่ยวชาญ ไม่ว่าจะเป็นบุคลากรภายในองค์กรของคุณเอง หรือจะเป็นหน่วยงาน Outsource โดยจะทดสอบระดับความสามารถในการรับมือความปลอดภัยว่าจะรับมือกับภัยคุกคามที่จะเข้ามาได้มากน้อยเพียงใด   ผู้เชี่ยวชาญจะทำการทดสอบเจาะระบบ เพื่อมองหาช่องโหว่ที่มีโอกาสจะคุกคามและสร้างความเสียหายให้กับองค์กรได้ เมื่อตรวจพบจะสามารถสร้างเกาะป้องกันได้อย่างทันท่วงที   นอกจากเรื่องของความปลอดภัยในการเจาะระบบแล้ว มีบ่อยครั้งผู้เชี่ยวชาญมักจะทดสอบผู้ใช้เครือข่าย (บุคลากรทั่วไปในองค์กร) ในเรื่องของปฏิกิริยาตอบสนองต่ออีเมลฟิชชิ่งอีกด้วย       How Do You Test the "User Risk" to Your IT Security Chain? ความเสี่ยงของผู้ใช้ต่อวงจรความปลอดภัยด้าน IT   ผู้ที่ใช้เครือข่ายและบุคลากรภายในองค์กรคือความเสี่ยงอีกอย่างที่จะเกิดขึ้นด้วยเช่นเดียวกัน ไม่ว่าจะเป็นเรื่องของข้อผิดพลาดและการป้อนข้อมูลลงในเว็บไซด์หรือเครือข่ายที่อันตราย และวิธีการนี้เป็นวิธีที่ง่ายที่สุดสำหรับแฮ็กเกอร์ในการขโมยข้อมูล   ข้อมูลด้านการบุกรุกและละเมิดข้อมูลเหล่านี้จะแสดงผลอยู่ใน “Verizon Data Breach Report” ที่จะเข้ามาเป็นส่วนหหนึ่งของการทดสอบระดับความปลอดภัย ไม่ว่าจะเป็นสุ่มเดารหัสในการเข้าถึงเครือข่ายและระบบและแอพพลิเคชัน ที่ถึงแม้จะเป็นวิธีการง่ายๆ แต่ก็ถือเป็นความเสี่ยงที่สามารถสร้างความเสี่ยงหายให้กับองค์กรได้ในระดับสูงเลยทีเดียว   นอกจากนี้การทดสอบ “การโจมตีฟิชชิ่งแบบจำลอง” ตัวอย่างเช่น...

Read More

7 Common Types of Cybersecurity Attacks “7 รูปแบบทั่วไปของการโจมตี Cybersecurity”     Highlight   - หากคุณได้เคยศึกษาเรื่องราวของภัยคุกคามในโลกไซเบอร์จะพบว่า “มีการโจมตีมากมายหลายรูปแบบ แตกไม่มีรูปแบบไหนเลยที่เหมือนกัน” แต่ละประเภทของภัยคุกคามจะมีลักษณะการโจมตีเป็นของตัวเองถึงแม้อาจจะมีความคล้ายคลึงกันบ้างก็ตาม - ในทำนองเดียวกันหากผู้ไม่หวังที่ต้องการจะคุกคามข้อมูลขององค์กรและสร้างความเสียหายให้กับองค์กรของคุณ พวกเขาจะเตรียมข้อมูลและพัฒนารูปแบบอาวุธให้มีประสิทธิภาพที่มากพอในการคุกคาม - ซึ่งหากคุณจะทำความเข้าใจเกี่ยวกับ “ภัยคุกคาม” เหล่านี้มากเพียงใด ก็อาจจะไม่มากพอ เพราะสิ่งเหล่านี้จะพยายามหาช่องโหว่ที่จะโจมตีอยู่เสมอ อย่างไรก็ตามนี่คือ 7 รูปแบบการโจมตีที่พบมากในปัจจุบัน 1. Malware 2. Phishing 3. SQL Injection Attack 4. Cross-Site Scripting (XSS) 5. Denial of Service (DoS) 6. Session Hijacking and Man-in-the-Middle Attacks 7. Credential Reuse   Malware ภัยคุกคามรุ่นบุกเบิก Malware หากคุณเคยเห็นการแจ้งเตือนไวรัสที่มักปรากฏขึ้นเป็นหน้าจอของคุณ หรือในโปรแกรม Anti-Virus ขั้นพื้นฐานเมื่อเกิดความผิดปกติ หรือมีไวรัสปลอมแปลงเข้ามาในคอมพิวเตอร์ของคุณ ซึ่งมักแฝงตัวมากับไฟล์ที่ดาวน์โหลด อีเมล์ หรือแม้แต่การเชื่อมต่อของอุปกรณ์เสริมต่างๆ   “มัลแวร์” หมายถึงการรูปแบบหนึ่งของซอฟต์แวร์ ที่เป็นอันตรายต่อผู้ที่ได้รับ เช่น ไวรัส และ ransomware หากมีมัลแวร์อยู่ในคอมพิวเตอร์แล้วก็จะสามารถสร้างความเสียหายได้มากเลยทีเดียว ไม่ว่าจะเป็นการทำลายข้อมูล หรือแม้แต่การเข้าควบคุมระบบของคุณ ตัวอย่างที่ระบาดหนักก็คือ WannaCry ที่สร้างความเสียหายให้กับองค์กรทั้งในสหรัฐอเมริกา สหราชอาณาจักร จีน รัสเซีย สเปน...

Read More

Vulnerabilities, Exploits, and Threats จัดการช่องโหว่และภัยคุกคามขององค์กร ด้วยหัวใจสำหรับของความปลอดภัย 3 ข้อ   Highlight   - ทำความเข้าใจว่า “ภัยอันตรายที่จะโจมตีองค์กร” ในปัจจุบันไม่ได้มาในรูปแบบเดิมๆบนระบบคอมพิวเตอร์เพียงอย่างเดียวเท่านั้น แต่มีช่องโหว่มากมายไม่ว่าจะเป็น “อุปกรณ์อิเล็กทรอนิกส์อย่างเช่น เครื่องปริ้น กล้องถ่ายรูป และอุปกรณ์เสริมอื่นๆ ที่ไม่ได้ออกแบบมาเพียงรอรับภัยคุกคาม” อุปกรณ์เหล่านี้จึงตกเป็นเป้าหมายของทางผ่านในการโจมตีของเหล่าแฮกเกอร์ ทำให้บริษัทและบุคคลต่างๆหันมาคิดถึงเรื่องความปลอดภัยของเครือข่าย ที่ผ่านการเชื่อมต่อของอุปกรณ์ต่างๆด้วยเช่นเดียวกัน   - มีเหตุการณ์ที่สร้างความเสียหายมากมายที่เกิดขึ้นบนโลกไซเบอร์ซึ่งสามารถแบ่งออกเป็น 3 ความเสียหายหลักก็คือ “ความเสียหายที่เกิดขึ้นจากช่องโหว่” “ความเสียหายที่เกิดขึ้นจากการแสวงหาผลประโยชน์” และ “ความเสียหายที่เกิดขึ้นจากภัยคุกคาม”   What Is a Vulnerability? อะไรคือ “ช่องโหว่” ที่จะเกิดขึ้นกับองค์กรของคุณ   เพื่อให้เข้าใจการทำงานของระบบและการจัดการช่องโหว่ที่เกิดขึ้น จะต้องเริ่มต้นมาจากการทำความเข้าใจ “API” ซึ่งย่อมาจาก “Application Program Interface” ซึ่ง API มีความสำคัญมากในการสร้างหลักเกณฑ์ที่กำหนดทิศทางของซอฟต์แวร์ ในการใช้งานบนเครือข่ายใดๆก็ตาม (โดยความแตกต่างของ API จะเป็นอย่างไรก็ขึ้นอยู่กับการติดตั้งและผู้ให้บริการ)   ซึ่งช่องโหว่ที่จะเกิดขึ้นนั้น ล้วนเป็นเรื่องราวที่ไม่ได้ตั้งใจให้เกิดขึ้นบน API อย่างแน่นอน ! แต่อย่างไรก็ตามเมื่อตรวจสอบพบช่องโหว่บนเครือข่ายหรือระบบใดๆขององค์กรแล้วก็ควรจะอัพเดทหรือหาวิธีในการแก้ปัญหาอุดรอยรั่วเหล่านั้น เพื่อไม่ให้เหล่าแฮกเกอร์ใช้ช่องโหว่นี้เข้ามาสร้างความเสียหายให้กับองค์กร   อุปกรณ์สแกนช่องโหว่จะทำการแยกวิเคราะห์โดย API โดยจะทำหน้าวิเคราะห์ความเสี่ยงที่จะเกิดขึ้นกับองค์กร เพื่อระบุว่าระบบใดที่อาจทำให้ระบบมีความเสี่ยง และได้แก้ปัญหาได้ทันท่วงที ซึ่งประสิทธิภาพของอุปกรณ์ที่ใช้สแกนนั้น จะต้องได้รับทดสอบอยู่อย่างสม่ำเสมอ เพื่อสร้างความมั่นใจให้กับองค์กรได้ว่า “อุปกรณ์ที่มีอยู่นั้นสามารถสแกนตรวจจับช่องโหว่ของระบบได้อย่างเต็มประสิทธิภาพ   What Is an Exploit? อะไรคือ “การแสวงหาผลประโยชน์” จากองค์กรของคุณ   “การแสวงหาผลประโยชน์” จะเป็นขั้นตอนถัดมาหลังจากที่เหล่า “แฮกเกอร์ผู้ไม่หวังดี”...

Read More

General Data Protection Regulation (GDPR) ข้อบังคับของการป้องกันข้อมูลในแบบทั่วไป Breaking down GDPR compliance and how it protects EU citizens' data (ลดการปฏิบัติตาม GDPR และปกป้องข้อมูลของสหภาพยุโรปเป็นอย่างไร)     At a Glance:    มีหลายเหตุการณ์ชวนปวดหัวเกิดขึ้นมากมายในช่วงหลายปีที่ผ่าน ซึ่งปัญหาความไม่ปลอดภัยในระบบเครือข่ายต่างระบาดไปทั่วประเทศต่างๆในทวีปยุโรป จึงเป็นเหตุให้ EU ได้ผ่านกฎระเบียบคุ้มครองข้อมูลทั่วไปในชื่อ “General Data Protection Regulation (GDPR)” ภายในปี 2560 ทั้งนี้มีเป้าหมายเพื่อให้องค์กรต่างๆในประเทศสมาชิก EU ได้เพิ่มประสิทธิภาพในเพิ่มความปลอดภัยในการปกป้องข้อมูล ถึงแม้ว่า GDPR จะพึ่งถูกนำมาใช้อย่างจริงจังในปี 2560 ก็ตาม แต่ GDPR  ก็เริ่มมีการใช้งานกันมาตั้งปี 25 พฤษภาคม พ.ศ. 2561 เลยทีเดียว ถึงแม้ว่าองค์กรของคุณจะไม่ได้ตั้งอยู่ในกลุ่มประเทศ EU ก็ตาม แต่หากธุรกรรมที่คุณทำนั้นเกี่ยวข้องกับการจัดเก็บและจัดการข้อมูลส่วนบุคคลของพลเมืองของ EU คุณก็จะต้องปฏิบัติตามข้อกำหนดด้านความปลอดภัยนี้ ซึ่งหากไม่ปฏิบัติตามก็อาจจะโดนปรับมากถึง 4% ของรายได้องค์กรต่อปี หรืออาจะสูงถึง 20 ล้านยูโร (มีโอกาสเพิ่มขึ้นได้มากกว่านี้แล้วแต่การพิจารณา)   Key Points of the GDPR   Privacy By...

Read More

NYDFS Cybersecurity Regulation ระเบียบและข้อบังคับตามหลัก NYDFS เข้าใจ เข้าถึง รักษา ตามหลักข้อกำหนด 23 NYCRR Part 500   At a Glance:   ข้อกำหนดด้านความปลอดภัยบนระบบเครือข่ายของ NYDFS ซึ่งถูกกำหนดให้บริษัทประกันภัย ธนาคาร และสถาบันการเงินใน New York ประเทศสหรัฐอเมริกา ซึ่งจะรวมไปถึงหน่วยงานที่เกี่ยวข้องกับสถาบันการเงิน สาขาต่างๆ ที่ไม่ใช่หน่วยงานของภาครัฐ ปฏิบัติตามเพื่อประเมินด้านความเสี่ยงบนโลกไซเบอร์ โดยระเบียบการปฏิบัติ “NYDFS Cybersecurity” ได้รับการออกแบบมาเพื่อปกป้องผู้บริโภคและเพื่อ "รักษาความปลอดภัยและความถูกต้องของตัวสถาบันเอง" ด้วยเช่นเดียวกัน ซึ่งระเบียบดังกล่าวได้มีผลบังคับใช้เมื่อวันที่ 1 มีนาคม 2017 และจะต้องมีผลดำเนินงานภายใน 180 วัน (28 สิงหาคม 2017) ภายใต้การควบคุมของ New York Department of Financial Services (NYDFS) องค์กรที่ได้รับรอง ในการวางโปรแกรมระบบรักษาความปลอดภัยในโลกไซเบอร์ที่จะครอบคลุมและสอดคล้องกับระยะเวลาการปฏิบัติตามข้อกำหนดที่มีการเจาะจงเอาไว้   What Is the NYDFS Cybersecurity Regulation?   NYDFS ได้ออกกฎระเบียน NYDFS ได้ออกกฎระเบียบ Cybersecurity (23 NYCRR Part 500) เพื่อตลอดสนองความต้องการที่แสนซับซ้อนด้านความปลอดภัย เนื่องจากเหล่า “อาชญากรไซเบอร์” ในรูปแบบการโจมตีหลากหลาย...

Read More

SOC Reports Providing insight into an organization's risk   At a Glance: สำหรับองค์กรที่มีการควบคุมภายใต้กรอบ SOC ซึ่งจะมีการใช้รายงานในการรายผลเพื่อเป็นวิธีใน “การตรวจสอบว่า องค์กรสามารถปฏิบัติได้ตามแนวทางของกรอบควบคุมความปลอดภัยหรือไม่” ทั้งนี้ยังเป็นการตรวจเช็คภายใต้กรอบปฏิบัติก่อนที่องค์กรจะเลือกใช้ตัวช่วยจากหน่วยงาน Outsource อีกด้วย ซึ่งแนวทางนี้จะเป็นทางออกด้านความปลอดภัยเกี่ยวกับระบบการเงิน และการประมวลผลต่างๆได้เป็นอย่างดีเลยทีเดียว นอกจากนี้รายงานยังสามารถนำมาตรวจสอบโดยองค์กรอิสระ บุคคลที่สาม เพื่อประกอบการพิจารณาต่างๆ ไม่ว่าจะเป็นในการทำประกัน และนักลงทุน เพื่อแสดงให้เห็นถึงศักยภาพด้านความปลอดภัยขององค์กรว่ามีมากน้อยแค่ไหน   รายงาน SOC จะเป็นตัวแสดงถึง “ภาพรวมด้านความปลอดภัยภายในองค์กร” และรายละเอียดของกรอบการทำงานด้านความปลอดภัย ซึ่งจะสอดคล้องกับระบบการทำงานจริงที่เกิดขึ้นภายในองค์กร รวมไปถึงการประสานงานร่วมกับบรรดาพันธมิตร และความสัมพันธ์ด้านธุรกิจต่างๆอีกด้วย ซึ่งในปัจจุบันรายงาน SOC มีความสำคัญมากที่เลยทีเดียวสำหรับ “ทีมขาย” ขององค์กรที่มักจะใช้อ้างอิงถึงความปลอดภัยและเสถียรภาพภายในองค์กรแก่ลูกค้า ก่อนที่จะไปทำความเข้าใจกันในเรื่อง “ประเภทของรายงาน” จะต้องเข้าใจก่อน “รายงาน  SOC” จะมีคำจำกัดความได้เช่นไรบ้าง ? รายงานที่แสดงถึง “ความสามารถในการให้บริการ” รายงานที่แสดงถึง “การบริหารงานโดยใช้ Outsource หรือใช้พันธมิตรในเครือธุรกิจ” รายงานที่แสดงถึง “ขอบเขตการควบคุม กระบวนการและกลไกที่ตรวจสอบได้ รวมถึงผลกระทบที่เกิดขึ้นจากปัญหาด้านความปลอดภัย”   Types of Reports รายงานของ SOC สามารถแยกออกเป็นได้หลายประเภท ทั้งนี้ก็จะขึ้นอยู่กับความหลากหลายและรูปแบบการทำงานขององค์กร รวบไปถึงข้อมูลด้านความปลอดภัยที่องค์กรต้องการอีกด้วย   SOC1: รายงานที่แสดงเกี่ยวกับ “การควบคุมที่มีผลกระทบทันที หรือต่อเนื่องเกี่ยวกับงบประมาณ การเงิน ตามมาตรฐานของ SSAE16”   Type l รายงานจะแสดงให้เห็นว่า...

Read More

Compliance and Regulatory Frameworks แนวทางและแนวการปฏิบัติที่ดี ที่มีอิทธิพลต่อองค์กรในปัจจุบัน   At a Glance: กรอบการปฏิบัติตามกฎระเบียบและข้อบังคับคือแนวทางการปฏิบัติที่ดีที่สุดขององค์กร เพื่อให้ให้องค์กรสามารถปรับปรุงกระบวนการเสริมสร้างความปลอดภัยและบรรลุวัตถุประสงค์ทางธุรกิจได้ในอีกหลายๆด้าน “ตัวอย่างเช่น บริษัทของเอกชนเสนอขายโซลูชั่นระบบคลาวด์ให้กับหน่วยงานของรัฐ การดำเนินการกฎระเบียบที่วางเอาไว้จะช่วยส่งเสริมให้ธุรกิจประสบความสำเร็จได้เป็นอย่างดี” กรอบการปฏิบัติเหล่านี้จะส่งผลให้การสื่อสารกันระหว่างห้องเซิร์ฟเวอร์ไปยังห้องทำงานได้อย่างราบรื่น โดยมาตรฐานของกฎระเบียบและข้อบังคับนี้จะใช้ประโยชน์ได้โดย ผู้ตรวจสอบภายในองค์กรและผู้มีส่วนได้ส่วนเสียภายในองค์กร จะสามารถใช้กรอบการปฏิบัตินี้ “เพื่อประเมินและควบคุมภายในองค์กรได้” ผู้ตรวจสอบและประเมินจากภายนอกสามารถใช้ “กรอบการปฏิบัติ” เหล่านี้ในการประเมินเพื่อรับรองการทำงานขององค์กรได้อีกด้วย บุคคลภายนอกอื่นๆเช่น “ลูกค้า นักลงทุน หรือกลุ่มธุรกิจอื่นๆ” จะสามารถนำมาใช้ประเมินความเสี่ยงที่อาจจะเกิดขึ้นภายในองค์กรได้อีกด้วย   การปฏิบัติตามกรอบข้อบังคับที่จะสามารถเปลี่ยนแปลงและปรับแต่งให้เข้ากับสภาพแวดล้อมที่เปลี่ยนไปตลอดเวลา ซึ่งประสิทธิภาพในการควบคุมอาจจะลดลงได้เช่นเดียวกัน “การเฝ้าติดตามการเปลี่ยนแปลงอยู่เป็นประจำคือสิ่งที่จะช่วยให้ควบคุมความปลอดภัยได้” ซึ่งหากคุณทำงานร่วมกันกับทีมรักษาความปลอดภัยของข้อมูล (IS) นี่คือกรอบการดูแลที่คุณอาจจะได้พบ   Sarbanes-Oxley (SOX)   -              ทำไมถึงต้องมี SOX ? ตามที่ Sarbanes-Oxley Act ได้มีการรับรองในปี 2545 ซึ่งจะได้รับการรับรองในการป้องกันการคุกคาม ภายหลังเรื่องราวที่เกิดขึ้นใน Enron, WorldCom และ Tyco ที่ได้รับผลกระทบในเรื่องของความไว้วางใจจากนักลงทุน หากคุณเป็นส่วนหนึ่งของ IS จะมีผลต่อคุณอย่างไร ? มีข้อกำหนดด้านความปลอดภัยที่หลากหลายเลยทีเดียวสำหรับแอพพลิเคชั่นและระบบที่ใช้การประมวลข้อมูลทางการเงิน โดยจะเป็นการควบคุมด้านระบบไอทีทั่วไป (ITGCs) โดยการควบคุมแบบ Entity-Level จำเป็นที่ต้องได้รับการจัดการโดย IS team   กรอบการทำงานในลักษณะนี้ เหมาะสมกับองค์กรประเภทใด ? กรอบตามการควบคุมนี้จะเหมาะกับบริษัทมหาชนทั่วไป และบริษัทที่เกี่ยวกับงานเงิน และตลอดหุ้น (IPO)   PCI DSS ทำไมถึงต้องมี...

Read More

Information Security Risk Management ระบุเป้าหมายเข้าใจระดับของความเสี่ยง   At a Glance: การจัดการความเสี่ยงและความปลอดภัยด้านข้อมูลขององค์กรหรือ Information Security Risk Management (ISRM) คือกระบวนการจัดการความเสี่ยงที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ (IT) เข้ามาเป็นส่วนเกี่ยวข้องในการจัดการและระบุภัยคุกคาม รวมไปถึงการเก็บรักษาและสร้างความปลอดภัยให้พร้อมรับมืออยู่ตลอดเวลาอีกด้วย อย่างไรก็ตาม “ทรัพย์สินขององค์กร” ไม่ว่าจะเป็นทั้งแบบ Hardware หรือ Software คือเป้าหมายสุดท้ายในการรักษาเอาไว้ให้ได้ดีที่สุด เพื่อเป็นการสร้างความปลอดภัยขั้นสูงการจัดการความเสี่ยงทั้งหมด ระบุเป้าหมายให้ชัดเจน และกำหนดระดับของความเสี่ยงได้ คือทางออกที่ดีที่สุด   Stages of ISRM:   Identification   Identify assets: ข้อมูลที่ถูกเก็บอยู่ขององค์กรภายในระบบเปรียบได้กับ “เพชรที่แสนล้ำค่า” ที่หากเสียหายหรือสูญเสียไปจะต้องส่งผลมากมาย ตัวอย่างเช่น หมายเลขประกันสังคม และระบบทรัพย์สินทางปัญญา หรือจะเป็นข้อมูลด้านการเงินขององค์กร และส่วนอื่นๆที่หากโดนคุกคามไปแล้วอาจจะส่งผลเสียหายให้กับองค์กรได้ในระดับสูงมากเลยทีเดียว   Identify vulnerabilities: ระบุให้ได้ว่าตอนนี้ในองค์กรมี “ช่องโหว่” ด้านความปลอดภัยที่ส่วนใดบ้าง โดยเฉพาะในเรื่องของระบบ Software ที่ใช้ในการรักษาความปลอดภัยอยู่ เพื่อสร้างความตื่นตัวในการป้องกันให้ได้มากที่สุด   Identify threats: ระบุสาเหตุที่จะทำให้องค์กรของคุณเสียหาย เช่นหากเป็นภัยคุกคามทางกายภาพเช่น คุณสามารถระบุได้ว่าจะมีพายุทอร์นาโดและน้ำท่วมได้เมื่อไร ในทิศทางเดียวกัน การระบุความเสี่ยงที่องค์กรของคุณอาจจะเจอได้ในระบบไอที ไม่ว่าจะเป็น กลุ่มแฮกเกอร์ มัลเวอร์ที่น่าสงสัย หรือจะเป็นกลุ่มอาชญากรรมในระบบต่างๆ   Identify controls: ระบุให้ได้ว่า “คุณมีหน้าที่อะไรบ้างในการป้องกันทรัพย์สินขององค์กร” ในส่วนนี้จะหมายถึงการระบุขอบเขตของการป้องกัน ควบคุม แก้ไขช่องโหว่ ที่เกิดขึ้น เพื่อลดและป้องกันภัยที่จะเข้ามาทำลายองค์กรให้ได้โดยอัตโนมัติ ตัวอย่างเช่น “หากคุณระบุความเสี่ยงเกี่ยวกับผู้ใช้ที่สามารถเข้าถึงแอปพลิเคชั่นได้...

Read More