จากการจำลองบนโต๊ะ สู่การปฏิบัติจริง: สร้างความยืดหยุ่นทางไซเบอร์ในสถาบันการเงิน

Published:

 

สถานการณ์จริงใหม่ที่ สถาบันการเงิน ต้องเผชิญ คือ ความยืดหยุ่นทางไซเบอร์ (Cyber-resilience) ได้เปลี่ยนสถานะจากเพียงแค่ "แนวทางปฏิบัติที่ดีที่สุด" (best practice) กลายมาเป็น "ความจำเป็นในการดำเนินงาน" (operational necessity) และเป็น "ข้อกำหนดด้านกฎระเบียบที่ต้องทำตาม" (prescriptive regulatory requirement)

การฝึกซ้อมจาก Excel สู่การทำตามกฎหมายที่ซับซ้อน

ในอดีต การบริหารจัดการภาวะวิกฤต หรือ "Tabletop Exercise" (การจำลองสถานการณ์บนโต๊ะ) ที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์นั้นค่อนข้างหายาก แต่ปัจจุบันกลายเป็นสิ่งที่ จำเป็นต้องทำ เนื่องจากมีกฎหมายและข้อบังคับหลายฉบับในหลายภูมิภาคกำหนดให้องค์กรบริการทางการเงิน (FSI) ต้องปฏิบัติตาม เช่น:

  • DORA (Digital Operational Resilience Act) ในสหภาพยุโรป
  • CPS230 / CORIE (Cyber Operational Resilience Intelligence-led Exercises) ในออสเตรเลีย
  • MAS TRM (Monetary Authority of Singapore Technology Risk Management guidelines) ในสิงคโปร์
  • FCA/PRA Operational Resilience ในสหราชอาณาจักร
  • FFIEC IT Handbook ในสหรัฐอเมริกา
  • SAMA Cybersecurity Framework ในซาอุดีอาระเบีย

ความซับซ้อนของการปฏิบัติตามข้อกำหนดเหล่านี้คือ การต้องทำงานร่วมกันระหว่างทีมเทคนิคและทีมที่ไม่ใช่เทคนิค (cross-functional collaboration) ยกตัวอย่างเช่น จำเป็นต้องมีการจำลองด้านเทคนิคของเหตุการณ์ทางไซเบอร์ (หรือที่เรียกว่า Red-Teaming) ซึ่งมักจะต้องทำควบคู่ไปกับโปรแกรมความยืดหยุ่นเดียวกัน โดยเฉพาะอย่างยิ่งในกฎระเบียบที่อิงตามกรอบงาน TIBER-EU อย่าง CORIE และ DORA

ข้อจำกัดของ Excel และการรวม Red Team เข้ากับ Tabletop

สิ่งที่เคยเป็นการฝึกซ้อมจำลองสถานการณ์ง่าย ๆ ที่ขับเคลื่อนด้วย ไฟล์ Excel ธรรมดา ๆ ซึ่งมีเพียงเหตุการณ์ เวลา บุคคล และข้อคิดเห็นสั้น ๆ ได้เติบโตขึ้นกลายเป็นชุดของ สถานการณ์ที่ซับซ้อน พร้อมด้วยบทวิเคราะห์ภัยคุกคาม โปรไฟล์ผู้โจมตี และเครื่องมือมากมายที่ต้องเตรียม ซ้อม ดำเนินการ วิเคราะห์ และรายงานผล อย่างน้อยปีละครั้ง

แม้ว่า Excel จะยังคงเป็นเครื่องมือที่แข็งแกร่ง แต่ก็มี ข้อจำกัด เมื่อความซับซ้อนเพิ่มขึ้นถึงระดับนี้

ในช่วงหลายปีที่ผ่านมา Filigran ได้พัฒนาแพลตฟอร์ม OpenAEV (Adversarial Exposure Management) จนสามารถ ออกแบบและดำเนินการสถานการณ์แบบครบวงจร ที่ผสมผสานการสื่อสารของมนุษย์เข้ากับเหตุการณ์ทางเทคนิคได้ จากที่เคยเป็นเพียงแพลตฟอร์มการจัดการวิกฤต OpenAEV ได้ผนวกการจำลองการเจาะระบบและการโจมตี (breach & attack simulation) เข้ามาด้วย ทำให้สามารถ ประเมินความพร้อมทั้งด้านเทคนิคและด้านบุคลากร ได้อย่างครบถ้วน

ประโยชน์ของการรวมเครื่องมือและการติดตามทีม

การรวมความสามารถทั้งสองไว้ในเครื่องมือเดียวช่วยให้ การเตรียมงานง่ายขึ้นมาก โดยสามารถใช้ข้อมูลข่าวกรองภัยคุกคามที่วิเคราะห์จากแพลตฟอร์มอื่นเพื่อสร้างทั้ง เหตุการณ์ทางเทคนิค (Technical Injects) และ เนื้อหาการสื่อสาร (เช่น อีเมลวิกฤตที่จำลองขึ้น) โดยอิงจากข้อมูลและกำหนดเวลาเดียวกัน

การใช้เครื่องมือเดียวนี้ยังช่วย ขจัดความซ้ำซ้อนด้านการจัดการ (logistics) ทั้งก่อน ระหว่าง และหลังการฝึกซ้อม:

  • ผู้เข้าร่วม (Players) ในการฝึกซ้อมสามารถซิงโครไนซ์จากระบบจัดการการเข้าถึงขององค์กร ทำให้ผู้ที่ได้รับแจ้งเตือนทางเทคนิค คือคนเดียวกับผู้ที่ได้รับอีเมลวิกฤตจำลอง
  • แบบสอบถามตอบรับ (Hot Wash) และรายงานสุดท้ายสำหรับผู้ตรวจสอบจะถูกส่งไปยังบุคคลที่ถูกต้องโดยอัตโนมัติ
  • หากมีการฝึกซ้ำหลังจากการปรับปรุงแก้ไขตามบทเรียนที่ได้รับ (ตามที่ DORA และ CORIE กำหนด) ระบบจะ รักษาบัญชีรายชื่อติดต่อที่เป็นปัจจุบัน ได้ตลอดเวลา

การปรับปรุงการจัดการให้เป็นระบบเดียวกันนี้ช่วยให้ ลดระยะเวลาในการเตรียมการ และสามารถจำลองสถานการณ์ได้บ่อยขึ้น

การเลือกจังหวะเวลาที่เหมาะสม

เนื่องจากกฎระเบียบอย่าง CORIE และ DORA เพิ่งมีผลบังคับใช้ องค์กรส่วนใหญ่เพิ่งจะเริ่มต้นการเดินทางในการฝึกซ้อม Tabletop และ Red Team การทำ "Blended Simulation" (การจำลองแบบผสมผสาน) ในทันทีอาจดูเป็นก้าวที่ใหญ่เกินไป

องค์กรสามารถเลือกดำเนินการในรูปแบบที่ย่อยง่ายกว่า เช่น การจำลอง Red Team ในวันแรก เพื่อทดสอบการควบคุมทางเทคนิคและกระบวนการตอบสนองของศูนย์ปฏิบัติการความปลอดภัย (SOC) จากนั้น การจำลอง Tabletop ในวันที่สอง ซึ่งอาจปรับตามผลลัพธ์และเวลาที่ได้จากการจำลองทางเทคนิค

ที่น่าสนใจคือ การจำลองสามารถตั้งเวลาและดำเนินการได้ใน ระยะเวลาที่ยาวนานขึ้น (เช่น เป็นเดือน) เพื่อจำลองสถานการณ์ที่ซับซ้อนแต่เกิดขึ้นจริง เช่น การทิ้งร่องรอยการบุกรุกไว้ล่วงหน้าและท้าทายให้ทีม SOC, IR และ CTI ค้นหาระบบที่ถูกบุกรุกเป็นครั้งแรก (Patient Zero) ซึ่งเป็นสิ่งที่ยากจะจำลองให้สมจริงได้ภายในวันเดียว

การฝึกฝนนำมาซึ่งความสมบูรณ์แบบ

นอกเหนือจากข้อกำหนดด้านกฎระเบียบแล้ว การปรับปรุงการจำลองการโจมตีและการฝึกซ้อม Tabletop ให้สอดคล้องกับภัยคุกคามในปัจจุบัน ด้วยการรวมระบบอัตโนมัติและการตั้งเวลา จะช่วยให้ทีมรักษาความปลอดภัย ทีมผู้นำ และทีมบริหารวิกฤต สร้างความชำนาญ (Muscle Memory) และความเชื่อมั่นในการรับมือกับวิกฤตจริงที่จะเกิดขึ้น

การเข้าถึงเครื่องมืออย่าง OpenAEV ซึ่งมีให้ใช้งานฟรีสำหรับชุมชน พร้อมด้วยคลังสถานการณ์ภัยคุกคามทั่วไป การผนวกรวมกับเครื่องมือ SIEM/EDR ต่าง ๆ และระบบนิเวศแบบเปิด ทำให้เราสามารถปรับปรุงการป้องกันและความยืดหยุ่นทางไซเบอร์ของเราได้ และเมื่อทีมของคุณฝึกซ้อมและมั่นใจในการจัดการสถานการณ์วิกฤตอย่างเต็มที่แล้ว สถานการณ์นั้นก็จะไม่เป็นวิกฤตอีกต่อไป

พร้อมก้าวไปอีกขั้นหรือไม่?

เพื่อเจาะลึกว่าองค์กรจะเปลี่ยนข้อบังคับทางกฎหมายให้เป็นกลยุทธ์ความยืดหยุ่นที่ปฏิบัติได้จริงได้อย่างไร คุณสามารถเข้าร่วมเซสชันจากผู้เชี่ยวชาญของ Filigran ที่กำลังจะจัดขึ้น:

  • Operationalizing Incident Response: Compliance-Ready Tabletop Exercises with an AEV Platform

    • ยุโรป: 20 พฤศจิกายน, 11:00 AM - 12:00 PM CET
    • อเมริกาเหนือ: 20 พฤศจิกายน, 1:00 PM - 2:00 PM EST

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์