UNICODE
Security Operations Center (SOC) တွေဟာ Business Infrastructure တစ်ခုလုံးကို အမြဲတမ်း Monitoring လုပ်နေပါတယ် .. Monitoring လုပ်ရာမှာအဓိကသုံးတဲ့ SIEM အကြောင်းကို Post တစ်ခုအနေနဲ့ ဖော်ပြပေးခဲ့ပြီးပါပြီ .. ဒီမှာသွားဖတ်လို့ရပါတယ် – https://www.pyaeheinnkyaw.tech/what-is-siem/
ဒီတော့ Attacker တစ်ယောက်က ကိုယ့်ရဲ့ System ကိုလာရောက်တိုက်ခိုက်နေပြီဆိုရင် SOC Team က Monitoring သမားက အရင်ဆုံးသိရှိမှာဖြစ်ပါတယ် .. အဲ့ကနေမှ Incident တကယ်ဖြစ်မဖြစ်ပေါ် မူတည်ပြီး Incident Response (IR) စလုပ်ကြပါတယ်
Incident ဆိုတာကတော့ CIA Triad ထဲက Factor တစ်ခုခုကို Compromise ဖြစ်စေနိုင်လောက်တဲ့ Event ကိုရည်ညွှန်းတာဖြစ်ပါတယ် .. Incident လို့ပြောလိုက်ရင် ဒါဟာတကယ့်ကို Compromise လုပ်ခံရတာဖြစ်နိုင်သလို Potential Compromise ကိုပြောတာလည်းဖြစ်နိုင်ပါတယ် (ဒါဆိုရင်တော့ False Positive ပေါ့ဗျာ)
Incident Response (IR) ရဲ့ အဓိက Goal ကတော့ Attack ဖြစ်လာရင် မြန်မြန်ဆန်ဆန်တုံ့ပြန်ဆောင်ရွက်နိုင်ဖို့ အဆင်သင့်ဖြစ်နေခြင်းပဲဖြစ်ပါတယ်
ဒီလိုအဆင်သင့်ဖြစ်နေအောင် လုပ်ရမယ့်အချက်တွေရှိပါတယ် .. ဒါကတော့ တိကျတဲ့ Policy တွေပြဌာန်းထားရမယ် .. သေချာတဲ့ Incident Response Plan တွေဆွဲထားရပါမယ် .. တစ်ခါတလေ IR Plan ကို Crisis Management လို့လည်းခေါ်ကြပါသေးတယ်
IR Plan က Business တွေကို Incident ကြားထဲကဆက်လက်လည်ပတ်နိုင်အောင် လုပ်ဆောင်ပေးမယ့် Plan ပါ .. သူ့ရဲ့အဓိကရည်ရွယ်ချက်ကတော့ Incident ကြောင့် ဖြစ်လာမယ့် Impact ကိုတတ်နိုင်သလောက် လျှော့ချဖို့ပဲဖြစ်ပါတယ်
ဒါဆို IR Plan လေးအကြောင်းဆက်ပြောလိုက်ရအောင်
Incident Response (IR) Plan
ပုံမှန်ကျွန်တော်တို့တွေ့နေကျ IR Plan ထဲမှာဆိုရင် အဆင့် 4 ဆင့်ပါဝင်ပါတယ်
- Preparation
- Detection and Analysis
- Containment (Recovery)
- Post Incident Activity
စတဲ့ အချက်တွေပါ
Preparation
ပထမဆုံး Preparation အနေနဲ့ဆိုရင် IR Plan အတွက် တိကျတဲ့ Policy တွေချမှတ်ပေးရပါမယ် … Policy ကတော့ Business ရဲ့ Management ပိုင်းကချမှတ်တာမို့လို့ အတိအကျတော့ပြောမရဘူးပေါ့ခင်ဗျာ
နောက်ပြီး ကိုယ့်အဖွဲ့အစည်းမှာအရေးကြီးတဲ့ Data တွေ System တွေကို သေချာ Identify လုပ်ထားရပါမယ် .. Server တစ်လုံး down ရင် Service ပါမရတော့မယ့် Single Point of Failures တွေကိုလည်း သေချာ Identify လုပ်ရပါမယ်
နောက်ပြီးရင် IR Team မှာရှိတဲ့ ဝန်ထမ်းတွေကို အရည်အချင်းပြည့်မီအောင်အမြဲတမ်း Training တွေပို့ချပေးနေရပါမယ် .. ကျွန်တော်ဆိုရင်ကျွန်တော့် Skills တွေကို Let’s Defend တို့, Blue Team Labs Online (BTLO) တို့လိုနေရာတွေမှာ Challenge တွေဖြေပြီး မြှင့်တင်ပါတယ်
အရေးကြီးတာကတော့ IR Team တစ်ခုကို Implement လုပ်ရမယ်ပေါ့ဗျာ .. ဒီ Team ထဲမှာလည်း ဘယ်သူက ဘယ်ရာထူးနဲ့ဘယ်တာဝန်တွေယူမလဲဆိုတဲ့ Roles and Responsibilities ကိုပါ တိတိကျကျသတ်မှတ်ထားရပါမယ် .. Incident ဖြစ်တော့မှ ဒီဟာငါလုပ်မယ် ဟိုဟာငါလုပ်မယ်ဆိုပြီး ကပြောင်းကပြန်တွေဖြစ်နေလို့မရပါ .. Incident Response Plan ရဲ့အသက်က အချိန်ပဲဖြစ်ပါတယ် .. အချိန်တိုတိုအတွင်း Impact နည်းအောင် လုပ်ဆောင်ရမှာပါ
နောက်ဆုံး ဒီ Team တွေဘယ်လိုဆက်သွယ်ကြမလဲဆိုတဲ့ Communication Channel တွေပါ Define လုပ်ထားဖို့လိုပါမယ်
ဒါဆို Preparation အတွက်တော်တော်လုံလောက်နေပါပြီ
Detection and Analysis
ဒီအပိုင်းကတော့အများကြီးပြောစရာလိုမယ်မထင်ပါ .. Monitoring လုပ်တဲ့သူကလုပ်နေမယ် .. Incident တွေ့ပြီဆိုတာနဲ့ ဒီ Incident ကို Analyze လုပ်တဲ့လူကလုပ်မယ် .. IOCs တွေရှာမယ် .. Threat Intelligence workflow တွေကိုမြှင့်တင်မယ် စသဖြင့် သူ့တာဝန်နဲ့သူ လုပ်နေတဲ့လူတွေရှိပါမယ်
Incident နဲ့ပတ်သက်တဲ့ Document တွေကို Standard တစ်ခုထားပြီး အမြဲတမ်း Documentation သွားဖို့လည်း လိုအပ်ပါတယ်
Containment
ဒီအဆင့်ရောက်လာပြီဆိုရင် Incident ရဲ့ သက်သေ (evidence) တွေကိုစုဆောင်းတာပါမယ် .. သင့်လျော်တဲ့ Containment Strategy ချမှတ်တာတွေလုပ်ဆောင်ကြမယ်
Hacker က ဘယ်ကလာတယ်, ဘာလုပ်ချင်တယ်ဆိုတာကိုသိဖို့အတွက် စပြီးလိုက်မယ် .. Attack တွေဆက်မဝင်လာတော့အောင် affected machines တွေကို isolate လုပ်မယ် စတဲ့အဆင့်တွေပါဝင်လာပါပြီ
Post-Incident Activity
ဒီအဆင့်မှာတော့ အပေါ်ကအဆင့်မှာစုဆောင်းထားတဲ့ Evidence တွေကို Identify လုပ်တာတွေပါဝင်မယ် .. နောက်ပြီး ဖြစ်သွားတဲ့ Incident ကတွေ ဘာတွေသင်ယူလိုက်ရလဲ, ဘာတွေပြင်ဆင်ထားဖို့လိုအပ်လဲဆိုတဲ့ သင်ခန်းစာတွေကို သေချာ Document လုပ်မယ့်အဆင့်တွေရောက်လာပါပြီ
ဒီတော့ ဒီအဆင့်တွေကို တာဝန်ယူလုပ်ဆောင်မယ့် Incident Response Team မှာ ဘယ်လိုတွေဖွဲ့စည်းထားကြလဲ
ပုံမှန်အားဖြင့်တော့ SOC တစ်ခုမှာ Red Team, Blue Team, Purple Team စသဖြင့်ရှိမယ်ပေါ့ဗျာ .. IR ကိုအဓိကလုပ်ဆောင်မယ့်အဖွဲ့တွေကိုကျတော့ CSIRT (Computer Security Incident Response Team) လို့ခေါ်ပါတယ်
CSIRT ရဲ့အဓိက Responsibilities တွေကတော့
– Incident တစ်ခုမှာ ဘယ်လောက်ထိ Damage ဖြစ်သွားလဲဆိုတာကို တိုင်းတာပေးရမယ်
– Confidential Information တွေပေါက်ကြားသွားလားဆိုတာကိုစစ်ဆေးပေးရမယ်
– Incident ကြောင့်သွားတဲ့ဆုံးရှုံးမှုတွေကို အမြန်ဆုံး Recovery ဖြစ်နိုင်စေဖို့ Procedure တွေအတိုင်းလုပ်ဆောင်ပေးရမယ်
– အသစ်ထပ်ထည့်ဖို့လိုအပ်တဲ့ Security Implementation တွေကို ကြီးကြပ်ပေးရမယ်
– ဒီလို Incident မျိုးနောက်ထပ်ဖြစ်မလာဖို့လိုအပ်တဲ့ Security Improvement တွေလုပ်ဆောင်ပေးရမယ်
စသဖြင့် အများကြီးရှိကြပါတယ်
ကဲ ဒီလောက်ဆိုရင် SOC ထဲကမှ Incident Response လုပ်ဆောင်ရတဲ့ Team ရဲ့ ရှုပ်ထွေးလှတဲ့ Functionality ကို အကြမ်းဖျင်းသဘောပေါက်လောက်ပြီလို့ထင်ပါတယ် .. အားလုံးပဲဖတ်ပေးလို့ ကျေးဇူးတင်ပါတယ်
Pyae Heinn Kyaw