สรุปคำถาม Webinar “สร้างมาตรฐานความปลอดภัยไซเบอร์ขององค์กรด้วย CIS Controls”

หลังจากงาน Webinar เรื่อง “สร้างมาตรฐานความปลอดภัยไซเบอร์ขององค์กรด้วย CIS Controls” ที่จัดขึ้นเมื่อวันที่ 10 ตุลาคม 2567 ที่ผ่านมา ในเนื้อหาพูดถึงมาตรการรักษาความปลอดภัยที่จัดลำดับความสำคัญในการป้องกันว่ามีอะไรบ้างและจำเป็นต้องทำตามอย่างไร หากองค์กรปฏิบัติตามจะสามารถลดความเสี่ยงอย่างไรบ้าง ซึ่งมีหลายประเด็นคำถามที่น่าสนใจ ทีมงานรวบรวมให้ติดตามได้ ตามด้านล่างนี้

1.แนะนำโปรแกรมในการใช้ทดสอบระบบความปลอดภัยเบื้องต้นสำหรับเว็บไซต์

ตอบ เว็บไซต์ที่พัฒนาขึ้นมา จำเป็นจะต้องมีการทดสอบระบบก่อนเริ่มใช้งานเสมอ เพื่อให้การใช้งานเว็บไซต์มีประสิทธิภาพ ยกตัวอย่าง

• Unit Testing  คือ การทดสอบการทำงานของแต่ละโมดูลนั้นสามารถใช้งานได้จริงหรือไม่  กรณีเจอ Bug หรือ Defect ก็สามารถดำเนินการแก้ไขให้ทันท่วงที

• Performance Testing  คือ การทดสอบประสิทธิภาพของระบบ ว่าระบบสามารถรับรองผู้ใช้งานได้มากน้อยเพียงใด

• User Acceptance Testing (UAT) คือ การทดสอบด้วย End User  โดยให้ทดลองการใช้งาน เพื่อต้องการทราบ Feedback ในการปรับแก้ไขเป็นครั้งสุดท้ายก่อนที่จะถูกนำไปใช้งานจริง

แต่หากเป็นในกรณีทดสอบความปลอดภัยของเว็บไซต์ว่ามีช่องโหว่หรือไม่ สามารถทดสอบได้ 2 รูปแบบดังนี้

1.1 Dynamic application scan

คือ การตรวจสอบแอปพลิเคชันที่กำลังทำงานอยู่ โดยการทดสอบเจาะระบบเพื่อหาข้อผิดพลาดของระบบ หรือ หาช่องโหว่แบบ Zero-day  ฯลฯ 

ยกตัวอย่างโปรแกรมสแกนโหว่รูปแบบ Dynamic application scan 

• แบบเชิงพาณิชย์ (มีค่าใช้จ่าย) : เช่น acunetix web vulnerability scanner และ burp suite professional จะมีฟังก์ชันที่สามารถวิเคราะห์เชิงลึกทั้งแบบ Passive และ Active 
• แบบ Open Source (แบบฟรี) :  Nuclei ของ ProjectDiscovery เป็นซอฟต์แวร์ที่สามารถสแกนช่องโหว่ได้เบื้องต้น

1.2.Static Application Security Testing

คือ การตรวจสอบความปลอดภัยที่สามารถเข้าถึง ซอร์สโค้ดและไบนารีพื้นฐานได้ทั้งหมด และยังช่วยหาช่องโหว่ในแอปพลิเคชันได้อีกด้วย 

ยกตัวอย่างโปรแกรมสแกนโหว่รูปแบบ Static Application Security Testing 

• แบบเชิงพาณิชย์ (มีค่าใช้จ่าย) : Sonarqube ซึ่งมี Quality Management Tool ที่ช่วยแสกนช่องโหว่ Code ได้ครอบคลุม ทั้งการวิเคราะห์ ตรวจสอบและรายงานสรุปผลได้อย่างแม่นยำ

• แบบ Open Source (แบบฟรี) : Semgrep หนึ่งในซอฟต์แวร์แบบฟรียอดนิยมที่สามารถใช้สแกนช่องโหว่ใน Source code แบบเบื้องต้น

2.NT มีทีมผู้ตรวจประเมินในการตรวจสอบองค์กรว่ามีความปลอดภัยหรือไม่และมีวิธีการป้องกันหรือปรับปรุงอย่างไร

ตอบ  NT มีทีมสำหรับตรวจประเมินภายใน แต่ปกติแล้วผู้ตรวจกับผู้ดำเนินการ Implement จะเป็นคนละทีมกัน เนื่องจากป้องกันเรื่องมีส่วนได้ส่วนเสีย ซึ่งการตรวจประเมินภายในจะเป็นการตรวจสอบว่าการดำเนินการต่าง ๆ สอดคล้องตามข้อกำหนดและมีการทำอย่างต่อเนื่องหรือไม่

หากพบความไม่สอดคล้อง ผู้รับการตรวจก็จะต้องดำเนินการแก้ไขและทำแนวทางปรับปรุง และผู้ตรวจประเมินจะต้องมีการ Follow-up ต่อไป

3.สามารถทำ CIS Controls / ISO 27001 / NIST Cyber Security Framework (CSF) พร้อมกันได้หรือไม่

ตอบ  สามารถทำพร้อมกันได้ แต่จะต้องพิจารณาจากการแผนงานและงบประมาณขององค์กรเป็นอันดับแรก ในกรณีที่องค์กรยังไม่มีการปฏิบัติตามมาตรฐานสากลต่าง ๆ และมีงบประมาณจำกัด ก็ควรต้องทำสิ่งที่เร่งด่วนก่อนเป็นอย่างแรก เช่น ต้องการเน้นเรื่องการดูแลในเชิงทางเทคนิคสำหรับ IT Operation ก็ควรทำ CIS Controls ในส่วนอื่นสามารถดำเนินการเป็นลำดับถัดไป  

แต่หากมีความพร้อมทั้งทรัพยากร และ งบประมาณ สามารถทำพร้อมกันได้ก็จะทำให้องค์กรของท่านมีการดำเนินงานตามมาตรฐานสากลอย่างครอบคลุม

4.การ Implement Group 1 หรือเรียกว่า IG1 เหมาะสำหรับองค์กรประเภทใด

ตอบ   Implement Group 1 คือ มาตรฐานอันดับแรกของ CIS  Controls  ซึ่งจะเป็นการควบคุมความปลอดภัยขั้นพื้นฐาน ไม่ว่าจะเป็นด้านอุปกรณ์ไอที ระบบเครือข่ายแบบเบื้องต้น การป้องกันข้อมูลภายในองค์กร เช่น ข้อมูลพนักงาน ข้อมูลการเงิน ฯลฯ จะเหมาะกับองค์กรขนาดเล็ก ที่ยังไม่มีการรักษาความปลอดภัยไอทีเบื้องต้น

5. มาตรฐานความปลอดภัยไซเบอร์ CIS Control  แบ่งออกเป็นกี่กลุ่มหลัก

ตอบ แบ่งออกเป็น 18 กลุ่ม ได้แก่ 

• CIS Control 1: Inventory and Control of Enterprise Assets  การหมั่นตรวจสอบอุปกรณ์ไอทีขององค์กร
• CIS Control 2: Inventory and Control of Software Assets  การควบคุมระบบให้ติดตั้งได้เฉพาะซอฟต์แวร์ที่ได้รับอนุญาตเท่านั้น
• CIS Control 3: Data Protection การควบคุมข้อมูล ตั้งแต่การจัดลำดับข้อมูล การเก็บรักษาข้อมูลให้มีความปลอดภัย ไปจนถึงการทำลายข้อมูล
• CIS Control 4: Secure Configuration of Enterprise Assets and Software  การควบคุมความปลอดภัยของอุปกรณ์ปลายทาง เช่น อุปกรณ์ IoT พีซี สมาร์ทโฟน และแท็บเล็ต ฯลฯ
• CIS Control 5: Account Management  การกำหนดและจัดการการอนุญาตสิทธิ์สำหรับบัญชีผู้ใช้ รวมถึงบัญชีผู้ดูแลระบบ
• CIS Control 6: Access Control Management การจัดการ การควบคุมสิทธิ์การเข้าถึง
• CIS Control 7: Continuous Vulnerability Management การประเมินความเสี่ยงช่องโหว่ของระบบ
• CIS Control 8: Audit Log Management การจัดการบันทึกการตรวจสอบ  Log Management
• CIS Control 9: Email and Web Browser Protections  การป้องกันอีเมลและเว็บเบราว์เซอร์
• CIS Control 10: Malware Defenses การป้องกันมัลแวร์
• CIS Control 11: Data Recovery การกู้คืนข้อมูล
• CIS Control 12: Network Infrastructure Management การจัดการโครงสร้างพื้นฐานเครือข่าย
• CIS Control 13: Network Monitoring and Defense การตรวจสอบและการป้องกันเครือข่าย
• CIS Control 14: Security Awareness and Skills Training การฝึกอบรมทักษะและการตระหนักรู้ด้านความปลอดภัย
• CIS Control 15: Service Provider Management การคัดเลือกผู้ให้บริการภายนอกที่ดูแลข้อมูลสำคัญขององค์กร
• CIS Control 16: Application Software Security ความปลอดภัยของซอฟต์แวร์แอปพลิเคชัน
• CIS Control 17: Incident Response Management การตอบสนองและการจัดการเหตุการณ์
• CIS Control 18: Penetration Testing  การทดสอบการเจาะระบบ

การมีแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ที่เป็นมาตรฐานสากล จะช่วยเตรียมพร้อมรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างมืออาชีพ หากต้องการดูเนื้อหาทั้งหมดใน Webinar สามารถรับชมวีดีโอสัมมนาย้อนหลังได้ที่

https://www.youtube.com/watch?v=sYYl6Kb5r1E  

หรือหากต้องการข้อมูลเพิ่มเติมด้านบริการด้านความปลอดภัยไซเบอร์ กรุณติดต่อ https://www.cyfence.com/contact-us/