ISAC Cambodia (InfoSec)
GeneralKnowledgeSecurity NewsSecurity Tips

ត្រៀមខ្លួនសម្រាប់ការវាយប្រហារៈផែនការ Contingency & Backup Plans

មេដឹកនាំអង្គភាពត្រូវបានគេរំពឹងថានឹងធ្វើការដោយប្រុងប្រយ័ត្នដើម្បីការពារធនធាន និងទ្រព្យសម្បត្តិដ៏មានតម្លៃនៅក្នុងប្រព័ន្ធព័ត៌មានរបស់ពួកគេ។ ខណៈពេលដែលមេដឹកនាំជាច្រើនយល់ច្បាស់ពីតម្រូវការ និងការទទួលខុសត្រូវរបស់ពួកគេ មានអ្នកដឹកនាំតិចតួចណាស់ដែលមានប្រវត្តិជាអ្នកជំនាញ និងបច្ចេកទេស ដើម្បីធ្វើការសំរេចចិត្តអំពីការការពារប្រព័ន្ធរបស់ពួកគេពីអ្នកវាយប្រហារ។

ជាដំបូង អ្នកដឹកនាំត្រូវយល់ថាប្រព័ន្ធបណ្តាញរបស់អង្គភាពមិនអាចត្រូវបានការពារ១០០ភាគរយ ពីអ្នកវាយប្រហារនោះឡើយ។ មិនថាអ្នកបំពាក់ប្រព័ន្ធសម្រាប់ធ្វើការតាមដានចាប់យក (detection) ប៉ុន្មានគ្រឿង ឬវិធានការសកម្មនានា (proactive measures) ត្រូវបានតំឡើងដើម្បីការពារបណ្តាញនោះទេ ក៏គ្មានការធានាប្រឆាំងទៅនឹងការវាយប្រហារផងដែរ។

មធ្យោបាយដ៏ល្អបំផុតសម្រាប់អង្គភាពមួយដើម្បីការពារខ្លួនឯង គឺត្រូវរៀបចំខ្លួនក្នុងន័យថាប្រសិនបើបណ្តាញត្រូវបានវាយប្រហារ (if the networking under attack)។ បន្ទាប់មកអង្គភាពអាចចាត់វិធានការដើម្បីកាត់បន្ថយហានិភ័យ ដោយបង្កើតផែនការគ្រោះថ្នាក់យឺតៗ និងបង្កើតវិធានការបម្រុងទុក (backup) និងសង្គ្រោះត្រលប់មកវិញដើម្បីកាត់បន្ថយការបាត់បង់ទិន្នន័យ។

បង្កើតផែនការ BCP (Business Continuity Plans)

ការធ្វើផែនការបន្តអាជីវកម្ម (Business Continuity Plans) គឺជាការអនុវត្តយុទ្ធសាស្រ្តគ្រប់ជ្រុងជ្រោយ ដើម្បីរក្សាបាននូវប្រតិបត្តិការអាជីវកម្មក្នុងអំឡុងពេលព្រឹត្តិការណ៍មហន្តរាយ ដូចជាការទិន្នន័យត្រូវបានលួច (data breach) ឬការវាយលុកដោយមេរោគចាប់ជំរិត​ (ransomware attack) ជាដើម។ តាមរយៈការបង្កើតផែនការចាំបាច់​ (contingency plans) អង្គភាពមួយអាចកាត់បន្ថយហានិភ័យ និងកាត់បន្ថយការបាត់បង់ទ្រព្យសម្បត្តិសំខាន់ៗប្រសិនបើការវាយប្រហារកើតឡើង។

យុទ្ធសាស្រ្តសម្រាប់បន្តអាជីវកម្ម ​(continuity strategy) គួរតែត្រូវបានគ្រោងទុក និងបង្កើតឡើងនៅថ្នាក់ខ្ពស់បំផុតនៃអង្គភាព និងអនុវត្តន៍ទូទាំងអង្គភាព។ ដើម្បីចាប់ផ្តើមមេដឹកនាំត្រូវតែសួរខ្លួនឯងនូវសំណួរសំខាន់ៗមួយចំនួនដូចជា:

  • តើអ្វីទៅជាចំណុចភ្ជាប់ទំនាក់ទំនងដ៏សំខាន់ក្នុងចំណោមមនុស្ស (people), ដំណើរការ (processes), បច្ចេកវិទ្យា (technologies)​, អ្នកផ្គត់ផ្គង់ (suppliers) និងអតិថិជន (customers)? តើមានប្រព័ន្ធអ្វីខ្លះដែលចាំបាច់សម្រាប់ប្រតិបត្តិការអាជីវកម្ម? នេះអាចរួមបញ្ចូលប្រព័ន្ធទូរស័ព្ទ, បណ្តាញ VPN, ប្រព័ន្ធវិទ្យុឌីជីថល និងអីុម៉ែលទាំងអស់ដែលមានសារៈសំខាន់សម្រាប់ប្រតិបត្តិការ
  • ធ្វើការវាយតំលៃ (assess) រាល់បច្ចេកវិទ្យាបច្ចុប្បន្នទាំងអស់ និងបង្កើតផែនការចាំបាច់ដើម្បីការពារទិន្នន័យនៅក្នុងប្រព័ន្ធទាំងនោះ រួមទាំងការបម្រុងទុក (backup), ការស្តារឡើងវិញនូវគ្រោះមហន្តរាយ (disaster recovery), snapshots និង replication
  • ប្រសិនបើប្រព័ន្ធសំខាន់ទាំងនេះត្រូវគាំងមិនដំណើរការ តើអង្គភាពអាចរក្សាបានប្រតិបត្តិការដោយប្រើប្រាស់ប្រព័ន្ធជំនួសបានយ៉ាងដូចម្តេច? លក្ខណ:ល្អបំផុតនោះ​ គឺប្រព័ន្ធជំនួសទាំងនេះគួរតែស្ថិតនៅឆ្ងាយពីកន្លែងដែលមិនមានគ្រោះថ្នាក់ក្នុងអំឡុងពេលវាយប្រហារ
  •  តើអ្នកណាខ្លះនឹងក្លាយជាផ្នែកមួយនៃក្រុមឆ្លើយតបឧប្បទេវហេតុ (incident response team) ? តើមនុស្សទាំងនោះនឹងទទួលផលល្អយ៉ាងដូចម្តេច? តើពួកគេនឹងជូនដំណឹងដល់អ្នកដទៃនៅក្នុងអង្គភាពអំពីការវាយប្រហារ និងការផ្លាស់ប្តូរនីតិវិធីប្រតិបត្តិការយ៉ាងដូចម្តេច?
  • តើអ្វីទៅជាជាគោលបំណងនៃការស្រោចស្រង់ (recovery objective) នៅពេលមានបញ្ហា និងថាតើអ្វីទៅជាពេលវេលាដែលអង្គភាពត្រូវការដំណើរការឡើងវិញក្នុងពេលធ្វើការស្រោចស្រង់ (recovery time)?

បន្ថែមពីលើការបង្កើតផែនការវាស់វែងលម្អិតដើម្បីដោះស្រាយសំណួរទាំងនោះ វាជាការសំខាន់ណាស់ដែលអង្គភាពមួយធ្វើការពិនិត្យ និងអនុវត្តន៍ផែនការទាំងនេះជាទៀងទាត់។ អង្គភាពគួរតែ:

  • ធ្វើការតាមដាននូវលំហូរទិន្នន័យនៃដំណើរការរបស់អង្គភាព
  • ធ្វើការកំណត់ឡើងវិញនូវផែនការ contingency plan ដើម្បីឆ្លើយតបទៅនឹងការផ្លាស់ប្តូរបុគ្គលិក និងហេដ្ឋារចនាសម្ព័ន្ធនានា ឬ/និងការផ្លាស់ប្តូរយុទ្ធសាស្ត្ររបស់អង្គភាព
  • បង្កើតនូវផែនការធ្វើតេស្តមួយដ៏មានប្រសិទ្ធិភាពមួយ ដែលកត់ត្រា និងវាស់វែងនូវលទ្ធផលនៃការទទួលបានជោគជ័យ និងបរាជ័យទាំងអស់។ ដំណើរការធ្វើតេស្តទាំងនោះ ត្រូវធ្វើឱ្យបានយ៉ាងហោចណាស់ក្នុង១ឆ្នាំម្តង ដោយប្រើប្រាស់ស្ថានភាពផ្សេងៗគ្នា
  • ធ្វើការអាប់ដេតជាប្រចាំនូវផែនការ business continuity plans ដើម្បីឆ្លើយតបទៅនឹងការផ្លាស់ប្តូរនៃបច្ចេកវិទ្យា និងរាល់ការផ្លាស់ប្តូរនូវយុទ្ធសាស្ត្ររបស់អង្គភាព
  • ធ្វើសារឡើងវិញនូវដំណាក់កាលទាំងអស់ឲ្យបានជាប្រចាំ

ពិចារណាក្នុងការបម្រុងឬថតចំលងទុក​ ​(backup)​

ខណៈពេលដែលផែនការ contingency កំណត់ពីរបៀបដែលអង្គភាពមួយនឹងដំណើរការកំឡុងពេលវាយប្រហារ អង្គភាពរបស់អ្នកក៏ត្រូវចាត់វិធានការដើម្បីកាត់បន្ថយការបាត់បង់ទិន្នន័យនិងព័ត៌មានផ្សេងទៀតដែលមានបន្ទាប់ពីការវាយប្រហារ។ អង្គភាពត្រូវតែមានផែនការបម្រុងទុក​ (backup) ដែលមានប្រសិទ្ធិភាពដើម្បីស្តារសេវាកម្មឡើងវិញយ៉ាងឆាប់រហ័សបន្ទាប់ពីការវាយប្រហារតាមអិុនធឺណិត។

យុទ្ធសាស្ត្របម្រុងទុករបស់អង្គការមួយនឹងពឹងផ្អែកលើអាទិភាពប្រតិបត្តិការរបស់វាក៏ដូចជាទំហំនិងបរិយាកាសប្រតិបត្តិការជាក់លាក់។ ឧទាហរណ៍អង្គភាពតូចៗដែលមិនមានបណ្តាញ​ (network) ទូលំទូលាយ​ ឬធំ អាចប្រើឧបករណ៍ឌីជីថលដូចជា thumb drives ឬឌីវីឌីដើម្បីផ្ទុកឯកសារសំខាន់ៗ ខណៈពេលដែលអង្គភាពធំៗគួរតែពិចារណា​លើធនធានដូចជា redundant arrays (RAID), automatic fail-over, server clustering ឬ mirrored systems ជាដើម។

អ្នកដឹកនាំក្រុមហ៊ុន គួរតែសាកសួរទៅកាន់ IT department អំពីផែនការយុទ្ធសាស្ត្រ ក្នុងការ backup និងសាកសួរសំណួរមួយចំនួនដូចជា៖

  • តើប្រព័ន្ធរបស់យើងមាន full redundant និង load-balanced ដែរឬទេ?
  • តើទិន្នន័យត្រូវបានធ្វើ mirrored ដែរឬទេ បើសិនជាមានអ្វីមួយកើតឡើង ប្រព័ន្ធអាចត្រូវបានសង្គ្រោះមកវិញ (restored)? វិធីសាស្ត្រមួយអាចពិចារណាគឺបច្ចេកទេសនៃ Stripe and Mirror Everything (SAME)
  • តើឯកសារទាំងអស់ត្រូវបានរក្សាទុកនៅរាល់ទីតាំងរក្សាទុកឯកសារទាំងអស់ ហើយមិនស្ថិតនៅទីតាំងតែមួយទេឬ?
  • តើអង្គភាពមាន Service Level Agreements (SLAs)​​ ជាមួយនឹងអង្គភាពផ្តល់សេវានានាដែរឬទេ?
  • តើការថតចំលងឯកសារទុក (backup)​ ធ្វើឡើងនៅលើឧបករណ៍ផ្សេងៗគ្នាដែរទេ?
  • តើមានការប្រើប្រាស់ automatic fail-over និង server clustering ដែរឬទេ?
  • តើអង្គភាពមានត្រៀមខ្លួនក្នុងការដាច់ចរន្តអគ្គីសនីដែរឬទេ ក្នុងកំឡុងពេលនៃការវាយប្រហារ?

តើនៅពេលណាដែលត្រូវធ្វើការ​ Backups?

វាក៏សំខាន់ផងដែរក្នុងការបញ្ជាក់អំពីរបៀប និងពេលណាការថតចំលងទុកនឹងកើតឡើង។ ការថតចំលងដើម្បីបម្រុងទុកទិន្នន័យរបស់ក្រុមហ៊ុនជាប្រចាំគួរតែត្រូវបានធ្វើឡើងក្នុងមួយថ្ងៃ ឬមួយដងក្នុងមួយសប្តាហ៍ ហើយជាធម្មតាក្នុងអំឡុងពេលជាច្រើនម៉ោងនៅពេលដែលទិន្នន័យនិងបណ្តាញមិនត្រូវបានប្រើប្រាស់ដូចជានៅប្រហែលម៉ោង ១ៈ០០នាទីថ្ងៃអាទិត្យជាដើម។

ការជ្រើសរើសពេលវេលានៅពេលដែលប្រព័ន្ធមិនត្រូវបានប្រើ នឹងបន្ថយឱកាសដែលវានឹងបណ្តាលឱ្យមានការរំខានដល់ដំណើរការធុរកិច្ច។ មានវិធីសាស្រ្តសាមញ្ញបីសម្រាប់ធ្វើការបម្រុងទុក៖

  1. ធ្វើ Full backup: ដែលធ្វើការរក្សាទុកឯកសារទាំងអស់នៅលើ disks ។​ ពេលវេលាដែលត្រូវការសម្រាប់ធ្វើការ full backup គឺត្រូវចំណាយពេលច្រើនជាជាង incremental ឬ differential backup
  2. ធ្វើ Incremental backup: ដែលវានឹងធ្វើការរក្សាទុកឯកសារដែលបានបង្កើត ឬមានការផ្លាស់ប្តូរតែប៉ុណ្ណោះ ចាប់តាំងពីការ backup កាលពីលើកមុន ដែលទាមទារនូវពេលវេលាតិចជាងការដំណើរការ full backup
  3. ធ្វើ Differential backup: ដែលវានឹងធ្វើការរក្សាទុកទិន្នន័យចាប់តាំងពីការ backupចុងក្រោយ ហើយលឿននិងចំណាយតិចជាងការ full backup។ ប្រភេទនេះត្រូវបានគេចាត់ទុកថាយឺតជាងការ incremental backup ប៉ុន្តែផ្តល់ពេលវេលាស្តារឡើងវិញលឿនជាងមុន។

ការអនុវត្តល្អៗសម្រាប់ធ្វើឲ្យប្រសើរឡើងនូវការពង្រឹងសន្តិសុខបណ្តាញ ប្រឆាំងទៅនឹងការវាយប្រហារតាមអិុនធឺណិត

អ្នកដឹកនាំស្ថាប័នក៏គួរតែបញ្ជាក់ថាផ្នែកព័ត៌មានវិទ្យារបស់ពួកគេកំពុងអនុវត្តន៍តាមការអនុវត្តល្អបំផុតនៅពេលនិយាយដល់ការពង្រឹងសន្តិសុខ (hardening) ទៅលើបណ្តាញ។ អ្នកដឹកនាំគួរតែបញ្ជាក់ពីអនុសាសន៍ខាងក្រោមដែលកំពុងត្រូវបានអនុវត្តតាម៖

  1. ធ្វើការជ្រើសរើស បញ្ជាទិញ និងតំឡើងរាល់ hardware និង software license សម្រាប់ប្រព័ន្ធទាំងមូល
  2. តំឡើងកម្មវិធីកំចាត់ម-ទប់ស្កាត់មេរោគនៅលើរាល់កុំព្យូទ័រទាំងអស់ និងដាក់ឲ្យមានការអាប់ដេតដោយស្វ័យប្រវត្តិ
  3. ធ្វើការរៀបចំ (configuration) នៅលើរាល់កុំព្យូទ័រ ដោយប្រើប្រាស់ junk email និងតំឡើងការច្រោះ spam email នៅលើ mail server
  4. ដាក់មុខងារធ្វើការអាប់ដេតដោយស្វ័យប្រវត្តិនៅលើរាល់កុំព្យូទ័រទាំងអស់
  5. រៀបចំបន្ទប់ដាក់ម៉ាស៊ីនមេ (server) នៅក្នុងបន្ទប់ដែលមានចាក់សោរត្រឹមត្រូវ (control access)
  6. រៀបចំនូវនីតិវិធីនៃការ backup និង restoration procedures នៅក្នុងអង្គភាព។ ដាក់នូវការ backup ជាប្រចាំថ្ងៃ ជាមួយនឹង full backup ជារៀងរាល់សប្តាហ៍។ ធ្វើការរក្សាទុកឯកសារ backup​ នៅក្នុងទីតាំងផ្សេងខាងក្រៅអង្គភាព
  7. រៀបចំ (configure) នូវសេវានានានៅលើម៉ាស៊ីនមេ ដើម្បីធ្វើការកំណត់នូវការដំណើរការនៃ strong passwords ដែលយ៉ាងហោចណាស់ចំនួន ១០ខ្ទង់ ដែលមានតួអក្សរតូច ធំ​លេខ និងនិម្មិត្តសញ្ញាបញ្ចូលគ្នា
  8. រៀបចំ (configure) នូវកុំព្យូទ័រនីមួយៗដើម្បីធ្វើការ log-out អ្នកប្រើប្រាស់បន្ទាប់ពីមិនមានការប្រើប្រាស់រយៈពេល ៥នាទី

ពិចារណាទៅលើកាលៈទេសៈនៃការលួចទិន្នន័យ (Data Breach Considerations)

អង្គភាពទាំងអស់គួរតែដំណើរការក្រោមការសន្មតថាការ​លួចទិន្នន័យនឹងកើតឡើង ហើយបង្កើតផែនការដើម្បីឆ្លើយតបទៅនឹងហេតុការណ៍នោះ។ នេះគឺជាសំណួរដើម្បីសួរផ្នែកព័ត៌មានវិទ្យារបស់អ្នកអំពីគោលនយោបាយឆ្លើយតបនៃការរំលោភបំពានរបស់ខ្លួន៖

  1. តើអ្វីទៅជានីតិវិធីនៃការ​​គ្រប់គ្រងទៅលើការលួចទិន្នន័យរបស់យើង (breach containment procedure)? នៅពេលរកឃើញការលួច។
  2. តើអ្នកនឹងធ្វើការជូនដំណឹងទៅដល់បុគ្គលដែលរងការប៉ៈពាល់យ៉ាងដូចម្តេច? ក្រុមការងារឆ្លើយតបឧប្បទេវហេតុ ​(incident response team)​​ គួរតែធ្វើការជូនដំណឹងមុន បន្ទាប់មកគឺអ្នកគ្រប់គ្រង និងបុគ្គលដែលប៉ៈពាល់ផ្ទាល់។ សកម្មភាពនេះវានឹងអាចជួយដល់ការទប់ស្កាត់នូវការរីកសាយភាយនៃមេរោគទៅកាន់បណ្តាញផ្សេងទៀត និងកាត់បន្ថយការបាត់បង់ទិន្នន័យ
  3. តើអ្នកវាយតម្លៃហានិភ័យដែលបណ្តាលមកពីការលួចទិន្នន័យយ៉ាងដូចម្តេច? នៅពេលដែលអ្នករកឃើញនូវឧប្បទេវេហតុនេះ អង្គភាពត្រូវចាប់ផ្តើមបន្ទាន់ក្នុងការវាយតម្លៃទៅលើហានិភ័យនានាដែលអាចកើតមានឡើងជាមួយនឹងបញ្ហានេះ ដោយរួមមានថាតើនរណាខ្លះ​ដែលរងផលប៉ៈពាល់ និងមានគ្រោះថ្នាក់អ្វីខ្លះ?
  4. តើអ្នកត្រូវធ្វើការត្រួតពិនិត្យសារឡើងវិញ (review)​ យ៉ាងដូចម្តេចនូវឧប្បទេវហេតុ ដើម្បីជួយអ្នកក្នុងការត្រៀមខ្លួនសម្រាប់ការវាយប្រហារនាពេលអនាគត? បន្ទាប់ពីឧប្បទេវហេតុត្រូវបានដោះស្រាយ វាជាការសំខាន់ណាស់សម្រាប់បុគ្គលិក IT​ មាននូវគោលនយោបាយក្នុងការរៀនសូត្រពីហេតុការណ៍។ យើងត្រូវការវាយតម្លៃអំពីវិធីសាស្ត្រ ដែលអង្គភាពបានឆ្លើយតបទៅនឹងហេតុការណ៍ និងការត្រៀមខ្លួនសម្រាប់ហេតុការណ៍នាពេលអនាគត

ការផ្តល់វគ្គបណ្តុះបណ្តាលដល់អ្នកប្រើប្រាស់ (User Education )

អង្គភាពក៏គួររៀបចំផែនការសម្រាប់ការបណ្តុះបណ្តាល ការយល់ដឹងអំពីសន្តិសុខអិុនធឺណិតដល់អ្នកពាក់ព័ន្ធទាំងអស់ផងដែរ។ សារៈសំខាន់នៃការបណ្តុះបណ្តាលមិនគួរត្រូវបានគេព្រងើយ កន្តើយទេ ព្រោះវាជាចំណេះដឹងទូទៅដែលថាកំហុសរបស់មនុស្សត្រូវបានគេចាត់ទុកថាជាការគំរាមកំហែងដ៏ធំបំផុតចំពោះប្រព័ន្ធព័ត៌មានរបស់អង្គភាព។

អ្នកប្រើប្រាស់ទាំងអស់គួរតែទទួលបានការបណ្តុះបណ្តាលនៅក្នុងផ្នែកសំខាន់ៗ រួមមានការដោះស្រាយឧប្បត្តិហេតុ (incident handling), ការស្តារគ្រោះមហន្តរាយ (disaster recovery), ការការពារទិន្នន័យ (secure data), ការឆបោក (phishing) និងសុវត្តិភាពនៃកុំព្យូទ័រនៅផ្ទះ។ ការបណ្តុះបណ្តាលនេះនឹងអប់រំអ្នកប្រើប្រាស់អំពីសារៈសំខាន់នៃសុវត្ថិភាព, ការថែរក្សាលេខកូដសំងាត់សុវត្ថិភាព, កុំព្យូទ័រយួរដៃ, ការការពារមេរោគ, ការរកមើលអិុនធឺណិតដោយសុវត្ថិភាព និងផលវិបាកសម្រាប់សកម្មភាពនានាដែលគ្មានសុវត្ថិភាព​ និងខុសច្បាប់៕

ប្រភព៖​​​ https://inpublicsafety.com

Show More
Apsara Media Services (AMS)

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button