INET SECURITY สําหรับโรงพยาบาล
Computer Security Incident Response Team คือ ท ี มสําหรับรับมือกับเหตุการณ์ด้ านความม่ ันคงปลอดภัยคอมพิวเตอร ์ ตอบสนองต่อเหตุการณ ์ ด ้ านความม่ ันคงปลอดภัย รวมถึงการรวบรวมข้อมูล วิเคราะห์และให้คําปรึกษาด้าน Security Security Information & Event Management คือ ระบบที่ใช้ในการตรวจสอบพฤติกรรมด้าน Cyber Attack ในรูปแบบต่างๆ โดยระบบ SIEM จะเป็นการกําหนด Rule Pattern จาก Log และ Event ต่างๆ เพื่อให้ผู้ดูแลระบบสามารถ Detect ได้อย่างรวดเร็ว Security Operation Center ค ื อ ศูนย์ปฏิบัติการเฝ้าระวังความม่ ันคงปลอดภัยระบบเทคโนโลยีสารสนเทศ ท่ี ทําหน้าท่ี เฝ้าระวัง และป้องกันระบบหรืออุปกรณ์สําคัญขององค์กรจากการถูกบุกรุกหรือการเข้าถึงโดยไม่ได้รับอนุญาต ซ่ึ งหากมีเหตุการณ์ด้ านความม่ ันคงปลอดภัย (Security Incident) เกิดข้ึ น เชน่ระบบถูกบ ุ กร ุ ก หรือการ เปลี่ยนแปลงแก้ไขข้อมูลโดยไม่ได้รับอนุญาต SOC จะทําหน้าที่ประเมิน ตรวจสอบและแก้ไขเหตุการณ์ ท่ี เกิดข้ึ น เพ่ื อลดผลกระทบและความเสียหายท่ี อาจเกิดข้ึ นกับองค ์ กรให้อย ู ใ่นระดับท่ีไมรุ่ นแรง CSIRT SIEM SOC
The NIST Cybersecurity Framework (CSF) 2.0 อ้างอิงจากมาตรฐาน ISO27001 (Information Security Management) และ The NIST Cybersecurity Framework (CSF)
https://www.kolide.com/blog/the-business-guide-to-iso-27001-compliance-and-certification ISO27001 Domain Control (Information Security Control)
Roadmap Health Cybersecurity by INET STEP 1 STEP 2 STEP 3 ดําเนินการยกระดับ Cybersecurity และ Infrastructure ให้เป็นไปตาม มาตรฐานสากล ดําเนินการกําหนด Dashboard ใน แต่ละระบบเพื่อใช้ในการ monitor ให้ชัดเจนกับหน่วยงานต่าง ๆ Standard Timeline implement 1-3 months (Depend on human resource & Data Information) ดําเนินการนําระบบเข้า CSOC เพื่อ ทําการ Monitor พฤติกรรม ผิดปกติท่ี เกิดข้ึ นกับระบบท่ี ให้บริการตามมาตรฐาน
ตัวช่วยสําคัญในการช่วยพัฒนาคุณภาพด้านความปลอดภัยของระบบ SERVICE CSIRT OPERTATION INET CUSTOMER CO-CSIRT CO-CSIRT MONITORING INFRASTRUCTURE คือ การร่วมมือกันระหว่าง INET และโรงพยาบาล เพื่อจัดการปัญหาด้าน Cyber security ท้ ัง Cloud Infrastructure และ Service Application ของโรงพยาบาล โดยมีทีมงาน CSIRT ของ INET คอยช่วยเหลือ และ Support หากพบปัญหาด้าน Cyber Security ผ่านทางระบบ Tooling ต่าง ๆ ที่ทาง INET ให้บริการ ท้ ังสว่นของ Standard และ Optional CO-CSIRT (Coordinate – Computer Security Incident Response Team)
ประโยชน์ของการดําเนินการ CO-CSIRT COST SAVING ช่วยลดค่าใช้จ่าย ด้านระบบรวมถึงการจ้าง เจ้าหน้าที่ด้าน Security Knowledge Sharing มีการ Share Knowledge ระหว่างกันท้ ังด ้ าน Infrastructure และ Service Application ALERT & NOTIFICATION การแจ้งเตือนกรณีที่เจอ ความผิดปกติหรือความ ไมป่ลอดภัยท่ี เกิดข้ึ นกับ ระบบทันทีผ่านทาง Email หรือ Chat SECURITY RESPONSE มีทีมงาน CSIRT ให้คําแนะนําและ Support ปัญหาด้าน Cyber Security
ขอบเขตการดําเนินการ CO-CSIRT • ดําเนินการเสนอ Security Improvement ในด้าน Preventive , Detective , Corrective เพ่ื อเพิ่ มความปลอดภัยให้ระบบของทางผู้ใช้บริการ • ดําเนินการกําหนด Critical Parameter ที่สําคัญด้าน Security ร่วมกับทางผู้ใช้บริการ เพื่อใช้ในการ Monitor ผ่านทาง CSIRT Operation • แจ้งเตือนทาง Email หากพบความผิดปกติผ่านระบบ Security Bot • มีเจ้าหน้าที่ดูแลความผิดปกติด้าน Cyber Security 24x7 • มีการ Record Incident และติดตามผ่านระบบ Smart Ticket • ประสานงานการดําเนินการแก้ไขกับผู้ใช้บริการที่มีAuthorized • ให้คําปรึกษา คําแนะนําด้านการป้องกันปัญหา Cyber Security และ Forensic Security Incident เบื้องต้น Standard Security Improvement CSIRT Operation Security Consultant
CO-CSIRT FRAMEWORK § วิเคราะห์ข้อมูลที่ได้เพื่อ นํามาประเมินความเสี่ยง ด้าน Security ภายใต้ กระบวนการ CO-CSIRT ประกอบด้วย - Preventive : การป้องกันการโจมตีใน รูปแบบต่างๆ ท้ ังภายในและ ภายนอก - Detective : การแจ้งเตือนการโจมตีใน รูปแบบต่างๆได้อย่างถูกต้อง รวดเร็ว - Corrective : การกู้คืนระบบหากระบบได้ ผลกระทบจากการโจมตี § นําเสนอ CO-CSIRT § สอบถามความต้องการ และเก็บข้อมูล ต่างๆ ได้แก่ - Design - Process - Tooling - People § ข้อกําหนดและขอบเขต การทํา CO-CSIRT Visible Analyze Planning Implement Operate (CSOC) § วางแผนการดําเนินการ § กําหนด Timeline ตาม ข้อมูลที่ได้Analyzation § Hardening - Infrastructure - Application § ดําเนินการทดสอบระบบ ด้าน Security ให้กับ ผู้ใช้บริการ ให้เป็นไปตามที่ ออกแบบไว้ § CSOC Monitor 24x7 : มีเจ้าหน้าที่แจ้งเตือนภัย คุกคามด้าน Cyber Security 24x7 ผ่าน Dashboard § Smart Ticket : ระบบ Ticket management คอย Tracking status อย่าง เป็นระบบ § Report : รายงานสรุปเหตุการณ์ความ ผิดปกติต่างๆ ให้กับผู้ใช้บริการ หมายเหตุ: กําหนดการท่ีวางไว้จะเริ่ มดําเนินการได้น้ ัน ต้องมีข้อมูลในสว่นของการ Visible ก่อน
มีเจ้าหน้าที่ CO-CSIRT Monitor ความผิดปกติด้าน Cyber Security ผ่าน ทาง Dashboard และ Security Bot 24x7 กรณีตรวจสอบพบความ ผิดปกติ ระบบมีการแจ้งเตือนผ่านระบบ Dashboard และ Security Bot ดําเนินการเปิด Ticket อ้างอิง และมีเจ้าหน้าที่ CO-CSIRT ตรวจสอบเบื้องต้น รวมถึงดําเนินการประสานงานลูกค้า สรุปปัญหาและสาเหตุ ให้ชัดเจนและทําการปิด Ticket CSIRT OPERATION ดําเนินการตรวจสอบและแก้ไขปัญหา ร่วมกับทางลูกค้า FLOW CO-CSIRT OPERATION
Dashboard โรงพยาบาลตัวอย่าง
INET Network Operation (NOC) Security Operation Center (SOC)