ชอเรอง ThaiCERT Annual Report 2016 โดย ThaiCERT

เรยบเรยงโดย สรางคณา วายภาพ, ชยชนะ มตรพนธ, สรณนท จวะสรตน, Martijn Van Der Heide, พรพรหม ประภากตตกล, เสฏฐวฒ แสนนาม, ณฐโชต ดสตานนท, กรรณกา ภทรวศษฏสณธ, สรณฐ ตงธรรมจต, เจษฎา ชางสสงข, ธรศกด แซตง, ปวรศ จอมสถาน, วภาวด อวยพร, จกรวาล องคทองคำา, อรรถวฒน โปรงเมฆ, นนทพงศ บญถนอม, รงวทย จตรสองแสง, ธนชย แสงไพฑรย และทมไทยเซรต

พมพครงท 1 มกราคม 2561

พมพจำ�นวน 2,000 เลม

ร�ค� 300 บาท

สงวนลขสทธต�มพระร�ชบญญตลขสทธ พ.ศ. 2537

จดพมพและเผยแพรโดย

ศนยประส�นก�รรกษ�คว�มมนคงปลอดภย ระบบคอมพวเตอรประเทศไทย (ไทยเซรต)(Thailand Computer Emergency Response Team: ThaiCERT)

สำ�นกง�นพฒน�ธรกรรมท�งอเลกทรอนกส (องคก�รมห�ชน) (สพธอ.) Electronic Transactions Development Agency (Public Organization) (ETDA)

กระทรวงดจทลเพอเศรษฐกจและสงคม Ministry of Digital Economy and Society

อ�ค�รเดอะ ไนน ท�วเวอร แกรนด พระร�มเก� (อาคารบ) ชน 20 เลขท 33/4 ถนนพระราม 9 แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร 10310

โทรศพท: 0 2123 1212 โทรส�ร: 0 2120 1200

อเมล: office@thaicert.or.th

เวบไซตไทยเซรต: www.thaicert.or.th

เวบไซตสำ�นกง�นพฒน�ธรกรรม ท�งอเลกทรอนกส (องคก�รมห�ชน) www.etda.or.th

เวบไซตกระทรวงดจทล เพอเศรษฐกจและสงคม: www.mdes.go.th

สารบญ

บทนำ� 10

บทท 1 พนธกจไทยเซรต 12

1.1 โครงสรางไทยเซรต 12

1.1.1 ศนยปฏบตการทางไซเบอร (Cybersecurity Operations Center หรอ CSOC) 12

1.1.2 ศนยดจทลฟอเรนสกส (Digital Forensics Center หรอ DFC) 13

1.2 บรการของไทยเซรต 13

1.2.1 บรการเชงรก เพอปองกนภยคกคาม (Proactive Services) 14

1.2.2 บรการเชงรบ เพอตอบสนองภยคกคาม (Reactive Services) 15

1.2.3 บรการบรหารคณภาพ ทางดานความมนคงปลอดภย (Security Quality Management Services) 17

บทท 2 ผลง�นเดน และเหตก�รณสำ�คญในรอบป 18

บทท 3 สถตภยคกค�มและกรณศกษ� 22

3.1 Incident response 22

3.1.1 ภาพรวมภยคกคามทไดรบแจงและดำาเนนการ 23

3.1.2 กรณศกษาและปญหาทพบ 29

3.2 ThaiCERT GMS 30

3.2.1 ภาพรวมของโครงการ 30

3.2.2 ระบบ Government Threat Monitoring (GTM) 31

3.2.3 ระบบ Government Website Protection (GWP) 34

3.2.4 สรปสถานะโครงการ ThaiCERT GMS ในป 2559 35

3.3 Digital Forensics 36

บทท 4 กจกรรมและก�รพฒน�ศกยภ�พบคล�กร 40

4.1 ThaiCERT GMS 40

4.2 CERT Readiness 41

4.3 Digital Forensics 43

4.4 Cooperation 45

4.5 Conferences 47

4.6 Training 49

4.6.1 การจดอบรมใหกบบคคลทวไปและบคลากรจากหนวยงานภายนอก 49

4.6.2 การยกระดบทกษะของบคลากรภายใน 53

บทท 5 แผนก�รในระยะย�ว 54

5.1 โครงการพฒนาผเชยวชาญดานความมนคงปลอดภยไซเบอร 54

5.2 โครงการ Sector-based CERT 56

การปรบปรงเปลยนแปลงโครงสรางพนฐานสำาคญ ๆ ทกำาลงเกดขนตามนโยบายการขบเคลอนเศรษฐกจดจทลและไทยแลนด 4.0 ของรฐบาล ถอเปน การเปลยนผานประเทศครงสำาคญ ซงหมายถง การเคลอนยายจากสงคมหนงไปอกสงคมหนงดวยการเขาถงขอมลและการบรการตาง ๆ ดวยระบบดจทลและนวตกรรม โดยยงละเลยไมไดกบภยคกคามไซเบอรตาง ๆ ทอาจฉดรงการเปลยนผานทเกดขน นายนดทประเทศไทยม “ไทยเซรต” เปนกำาลงหลกในการรบมอและปองกนภยคกคาม เพอใหนโยบายเศรษฐกจดจทลขบเคลอนอยางเตมทสไทยแลนด 4.0

พเชฐ ดรงคเวโรจน รฐมนตรวาการกระทรวงดจทลเพอเศรษฐกจและสงคม

6

กระทรวงดจทลเพอเศรษฐกจและสงคม และทกหนวยงานภายใตกระทรวง ไดใหการสนบสนน การพฒนาและวางโครงสรางพนฐานเพอขบเคลอนเศรษฐกจดจทลในทกมต และพรอมทจะบรณาการ การทำางานรวมกบทกภาคสวนทจะนำาเทคโนโลย ดจทลมาใชประโยชนและสรางสรรคนวตกรรม เพอขบเคลอนเศรษฐกจไทยใหเกดการพฒนา อยางบรณาการ ทงภาคเศรษฐกจ สงคม และชมชน ตามโรดแมปของประเทศ งานเหลานจะขาด ความเชอมนดานความมนคงปลอดภยไซเบอรไมได การมบรการของ “ไทยเซรต” นบเปนความจำาเปนและควรไดรบการสนบสนน โดยเฉพาะการทำางานในเชงรกและการพฒนาบคลากรทมคณภาพอยางตอเนอง เพอสรางความเชอมนใหเกดกบทกภาคสวน ทงภายในประเทศและนานาประเทศ

วไลลกษณ ชลวฒนกล ปลดกระทรวงดจทลเพอเศรษฐกจและสงคม

7

โครงสรางพนฐานดาน Soft Infrastructure อนรวมถงงานดาน Cybersecurity ทเกยวของกบธรกรรมออนไลน นบเปนหวใจสำาคญหนงทจะชวยยกระดบเศรษฐกจและสงคมของประเทศ สพธอ. จงไดกำาหนดใหการเสรมสรางกลไกทแขงแรงในการดแลความมนคงปลอดภย เปนอกยทธศาสตรหลกขององคกร โดยม “ไทยเซรต” ทำาหนาทสำาคญภายใตยทธศาสตรดงกลาว ซงนายนดยงท ทกวนน ไทยเซรตสามารถเปนพเลยงในการดแลปองกนและใหความชวยเหลอ ตรวจจบ วเคราะห รวมถงประเมนความเสยงและชองโหวของระบบสารสนเทศ จากภยคกคามทางไซเบอรใหแกหนวยงานสำาคญในระดบประเทศทงภาครฐและภาคเอกชน เพอใหเกดความพรอมไดทนการณ อนนำาไปสการสรางความมนใจใหแกภาคธรกจและภาคประชาชน ในการทำาธรกรรมผานระบบออนไลน

จร�วรรณ บญเพม ประธานกรรรมการบรหาร สำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) กระทรวงดจทลเพอเศรษฐกจและสงคม

วนน โลกออนไลนไดทวความสำาคญในชวตคนไทยขน เรอย ๆ ขณะทตวเลขอคอมเมรซของไทยกเตบโตขน อยางรวดเรว สพธอ. ในฐานะหนวยงานทสนบสนน งานดานนโดยตรง จงใหความสำาคญกบเรองความมนคงปลอดภยไซเบอรควบคกน เพราะกงวลวา หากไมดแลเรอง Security จะสงผลตอความเชอมนในการทำาธรกรรมผานชองทางออนไลน จงเปนเหตผลใหเราผลกดนงานของทม “ไทยเซรต” ทไมเพยงแครบมอและประสานความชวยเหลอ ยงมงสงานเชงรก เพอใหทงภาครฐ ภาคโครงสราง พนฐานสำาคญ ภาคธรกจ และภาคประชาชน ตนตว และรเทาทนภยคกคามไซเบอรไปดวยกน

สร�งคณ� ว�ยภ�พ ผอำานวยการสำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) กระทรวงดจทลเพอเศรษฐกจและสงคม

บทนำา

จากทมเลก ๆ ททำาหนาทดแลในเรองความมนคงปลอดภยระบบสารสนเทศและประสานงานกบเครอขาย CERT ทวโลก ในยคทอนเทอรเนตประเทศไทยยงไมเฟองฟ

ถงวนน “ไทยเซรต” ภายใต สพธอ. ซงเปนหนวยงานทมภารกจหลกในการสงเสรมใหอคอมเมรซไทยเตบโตไดอยางมนคงปลอดภยและนาเชอถอ ไดมการยกระดบขดความสามารถของบคลากร รวมทงเพมกำาลงคนอยางตอเนอง ซงไมไดหมายถงแตเพยงภายในองคกร แตรวมถงภายนอกองคกร รวมทงคนทวไป เพอรวมมอกนรบมอกบภยไซเบอรตาง ๆ ทนบวนจะซบซอนและทวความรนแรงขนเรอย ๆ ตามจำานวนผใชอนเทอรเนตทมากขนและมากขน

...เพราะเลงเหนวา “คน” คอทรพยากรสำาคญทสดขององคกรและประเทศชาต จำาเปนตองไดรบการเอาใจใส ทงการสรางและการดแล ขณะททกวนน คนทมความรความเชยวชาญดาน Cybersecurity กำาลงขาดแคลนอยางหนก ทงในประเทศไทยและตางประเทศ เพราะงานเหลานเปนสงทไมงาย ไมมรปแบบการทำางานทแนนอน มความออนไหว และหลายครงตอง แกปญหาเฉพาะหนาแบบทไมเคยเกดขนมากอน

การขาดแคลนกำาลงคนในดานนจงถอเปนความเสยงทมผลกระทบระดบประเทศ ทงภาครฐ ภาคธรกจ และภาคการปองกนประเทศ

...นำามาสความรวมมอของ สพธอ. กบหนวยงานหลายภาคสวนเพอผลกดนให Cybersecurity เปนวาระแหงชาตทมการวางแผนระดบประเทศ ทงในระยะสน ระยะกลาง และระยะยาว การสรางกำาลงคนทมความเชยวชาญดาน Cybersecurity รวมถงการสรางความเขาใจและความตระหนก ดานความมนคงปลอดภยใหประชาชนทวไป

10

ป 2559 ไทยเซรต จงไดมงพฒนาทกษะความรดาน Cybersecurity ของผปฏบตงานในหนวยงานภาครฐ เพอใหมความรความเขาใจและสามารถปฏบตงานไดอยางมประสทธภาพ จากการทเลงเหนวา ทผานมา สถาบนการศกษาในประเทศไทยทเปดสอนหลกสตรดาน Cybersecurity สวนใหญ จะเนนดานการบรหารจดการเปนหลก จงทำาใหขาดแคลนบคลากรในฝงผปฏบตงาน ขณะเดยวกนกไมละเลย Lateral Education for C Level สำาหรบผบรหาร ซงมความจำาเปนมากขน ทจะตองใหความสำาคญกบบคลากรทำางานดาน Cybersecurity ดวยการบรหารจดการทแตกตางจากบคลากรในสวนงานอน ๆ โดยเฉพาะในระบบราชการ ซงผบรหารจะตองเพมเรอง Digital Leadership

ความรวมมอกบหนวยงานทเกยวของกเปนสงจำาเปน สพธอ. จงไดพยายามสงเสรมการสรางความรวมมอของภาคเอกชนและภาครฐ ซงรวมถงสวนการบงคบใชกฎหมาย ทหาร ตำารวจ เพอใหเสรมสรางความชำานาญ ดานการจดการกบภยคกคามระดบประเทศและผลกระทบทางธรกจ ซงจะนำาไปสแนวทางการเตรยมการปองกนประเทศไดอยางเหมาะสม

จากความเชยวชาญของไทยเซรต ยงนำามาสความรวมมอดานการยกระดบความพรอมรบมอภยคกคามไซเบอร (CERT Readiness) ตอภาคธรกจ การคา อตสาหกรรม และโครงสรางพนฐานสำาคญของประเทศ เพอสนบสนนการสรางและขยายเครอขาย CERT ในประเทศไทย โดยมไทยเซรตทำาหนาทเปนพเลยงในการจดตง Sector-based CERT และพฒนาบคลากร ดานการรกษาความมนคงปลอดภยไซเบอร

เพอใหมความพรอมในการรบมอตรวจจบวเคราะห รวมถงประเมนความเสยงและชองโหวของระบบสารสนเทศจากภยคกคามไซเบอรใหแกหนวยงานทเปนโครงสรางพนฐานสำาคญ โดยเฉพาะหนวยงานในกลมธรกจและบรการ (Sector) ประเภทเดยวกน รวมทงประสานการทำางานกบเครอขายความรวมมอกบ Community ของ CERT ในประเทศ

จากตวอยางการดำาเนนงานขางตน ป 2559 จงนบไดวา เปนการประกาศความพรอมของไทยเซรตในการทำางานเชงรกรวมกบหนวยงานและ ภาคสวนทเกยวของอยางเตมท ไมเพยงแตจะชวยตดอาวธและเสรมศกยภาพกำาลงคนเพอรวมกนรบมอภยคกคามไซเบอรเทานน แตยงจะทำาใหสงคมออนไลนมความมนคงปลอดภยและสรางความเชอมนใหแกผททำาธรกรรมออนไลนได ซงกจะทำาใหเทคโนโลยดจทลสามารถขบเคลอนเศรษฐกจและสงคมไปส ความมนคง มงคง และยงยนของประเทศไทยตอไปได

สรางคณา วายภาพ

ผอำานวยการสำานกงานพฒนาธรกรรม ทางอเลกทรอนกส (องคการมหาชน)

กระทรวงดจทลเพอเศรษฐกจและสงคม

การขาดแคลนคน ในดานนจงถอเปนความเสยงระดบประเทศ ทงภาครฐ ภาคธรกจ และภาคการปองกนประเทศ

11

ThaiCERT ANNUAL REPORT 2016

บทท 1 พนธกจไทยเซรต

“ไทยเซรต” ภายใตการกำากบดแลของ สำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) (สพธอ.) มชออยางเปนทางการวา “ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย” หรอ “Thailand Computer Emergency Response Team” (ThaiCERT) มพนธกจทำางานรวมกบหนวยงานในเครอขายและหนวยงานทเกยวของ เพอดำาเนนการแกไขสถานการณดานความมนคงปลอดภยทไดรบแจงหรอตรวจพบเองในขอบเขตครอบคลมระบบเครอขายอนเทอรเนตและเวบไซตภายใตโดเมนเนมของประเทศไทย อกทงใหความสำาคญกบการพฒนาบคลากรเพอเพมขดความสามารถ ดานการรกษาความมนคงปลอดภยภายในประเทศไทย และใหคำาปรกษาแกหนวยงานตาง ๆ ทเปนโครงสรางพนฐานสำาคญของประเทศ (Critical Infrastructure) ในการปองกนและแกไขปญหาภยคกคามไซเบอร เพอรกษาความตอเนองในการดำาเนนภารกจของหนวยงานนน ๆ

1.1 โครงสรางไทยเซรต

ไทยเซรตมภารกจหลกในการรบมอกบสถานการณภยคกคามทางไซเบอรของประเทศไทย ดวยการประสานระหวางบคลากรผเชยวชาญ กระบวนการปฏบตงานทไดรบมาตรฐาน และเทคโนโลยอนทนสมยทนำามาประยกตใชในงาน รวมไปถงเครอขายความรวมมอจากทวโลก เพอเชอมโยงการทำางานทเกยวของใหมประสทธภาพสงสด โดยมสถานททำาการ ณ อาคารเดอะ ไนน ทาวเวอร แกรนด พระรามเกา (อาคารบ) ชน 20 ถนนพระราม 9

ไดมการจดเตรยมพนททำางาน อปกรณอำานวยความสะดวกตาง ๆ ทจำาเปนตอการดำาเนนงานของไทยเซรต เพอใหรบมอภารกจทสำาคญไดอยางตอเนอง ไดแก ศนยปฏบตการทางไซเบอร และศนยดจทลฟอเรนสกส

1.1.1 ศนยปฏบตการทางไซเบอร (Cybersecurity Operations Center หรอ CSOC)

เปนศนยปฏบตการทประกอบดวยระบบตดตามสถานะภยคกคามไซเบอรในรปแบบตาง ๆ ไดในแบบเรยลไทม แสดงสถานะการตรวจสอบเพอระบเวบไซตทถกใชเพอเผยแพรมลแวร รวมถงมระบบรบแจงเตอนภยคกคามทรบแจงขอมลจากหนวยงานในเครอขายความรวมมอของไทยเซรต ซงพรอมแสดงผลทงในรปแบบแสดงรายการเพอใหสามารถรบมอและจดการไดทนทวงท และในรปแบบเชงสถตทสามารถบอกสภาวะทไมปกต เชน การเกดเหตภยคกคามประเภทหนงเปนจำานวนมากในระยะเวลาอนสน เพอนำาไปใชในการวเคราะหในเชงลกตอไป

ภายในศนยปฏบตการทางไซเบอร จะมเจาหนาทประจำาการและคอยใหบรการรบแจงเหตและประสานงานตลอด 24 ชวโมง โดยชองทางการรบแจงเหตประกอบดวยอเมล report@thaicert.or.th และหมายเลขโทรศพทตดตอ 0 2123 1212 นอกจากการรบแจงเหตแลว หากพบขอมลผดปกตทแสดงในระบบเฝาระวงภยคกคาม กจะแจงเตอนและประสานงานปญหานนไปยงผทเกยวของดวย

กระบวนการรบแจงเหตและประสานงาน หลงจากทเจาหนาทไดตรวจสอบขอมลทรบแจงแลว จะจำาแนกประเภทภยคกคามและวเคราะหสถานการณความรนแรงของสงทเกดขน จากนนจะแจงประสานไปยง

12

ผทเกยวของทสามารถตดตอได (เชน ผดแลระบบ หรอผใหบรการอนเทอรเนต) เพอแจงเตอนใหทราบถงผลกระทบและแนะนำาแนวทางวธการแกไขปญหาเบองตน โดยจะมการตดตามสถานการณเปนระยะจนกวาปญหานนจะไดรบการแกไข และพรอมใหความชวยเหลอ ดานเทคนคหากจำาเปน

ในกรณเหตการณทไดรบแจงมความรนแรงสงและอาจสงผลกระทบตอหนวยงานทมความสำาคญหรอมผลกระทบในระดบประเทศ จะมการแจงประสานตอไปยงระดบผบรหาร เพอประเมนสถานการณและแจงประสานตอไปยงผทเกยวของในระดบทสงขน โดยหากมระบบทถกโจมตและตองการตรวจวเคราะหสาเหตชองทางการโจมต กสามารถประสานตอไปยงศนยดจทลฟอเรนสกสเพอตรวจวเคราะหเพมเตมได

1.1.2 ศนยดจทลฟอเรนสกส (Digital Forensics Center หรอ DFC)

ศนยปฏบตการตรวจพสจนพยานหลกฐานดจทล แบงพนทการทำางานออกเปน 2 สวนหลก คอ ศนยดจทลฟอเรนสกส (Digital Forensics Center) และหองปฏบตการรวมตรวจพสจนพยานหลกฐานดจทล (Joint Digital Forensics Lab) โดยพนทหลกทใชในการปฏบตงานจะอยทศนยดจทลฟอเรนสกส ซงมพนทสำาหรบใชดำาเนนงานกบพยานหลกฐานดจทล เชน ถายภาพและจดบนทกรายละเอยดของพยานหลกฐาน ทำาสำาเนาขอมล ตรวจวเคราะหขอมล ประเภทของเคสทศนยฯ สามารถตรวจวเคราะหได มทงการตรวจวเคราะหการโจมตทางไซเบอร และการตรวจพสจนพยานหลกฐานเพอนำาผลไปใชในทางกฎหมาย

พนทในหองปฏบตการฯ ไดรบการออกแบบใหรองรบการปฏบตงาน เชน การปองกนไฟฟาสถต ทงพนหองและผวโตะทำางาน ความสวางของพนททำางาน เตารบทสามารถเขาถงไดสะดวกและจำานวนเพยงพอ ระดบความสงของโตะและเกาอทเหมาะสมกบลกษณะการใชงาน รวมถงมการทาสพเศษทผนงหองซงสามารถใชปากกาไวทบอรดเขยนและลบได เพออำานวย

ความสะดวกในกรณทผปฏบตงานตองการใชพนทในการอธบายรายละเอยดทเกยวของกบผปฏบตงานทานอน ภายในหองปฏบตการฯ มเครองคอมพวเตอรประสทธภาพสงเพอใชสำาหรบการวเคราะหขอมลทซบซอนและมปรมาณมาก รวมถงมระบบคลงขอมลทใชเกบสำาเนาพยาน หลกฐานและสามารถแบงกระจายการประมวลผลขอมลออกไปยงคอมพวเตอรเครองอนในเครอขาย

นอกจากนยงมชดเครองมอสำาหรบทำาสำาเนาขอมลจากพยานหลกฐานประเภทอปกรณสอสารเคลอนท (เชน โทรศพทมอถอ แทบเลต) โดยสามารถถอดชปหนวยความจำาของอปกรณสอสารเคลอนททชำารดเสยหายหรอถกทำาลายไปแลว เพอนำามาวเคราะหหรอกคนขอมลได ดวยเทคนค Chip-off รวมถงมหองปลอดฝน (Clean room) ระดบมาตรฐาน Class-100 ซงเปนหองทมการควบคมปรมาณฝนละอองในอากาศเพอใชในกรณทจำาเปนตองปฏบตงานกบพยานหลกฐานทอาจเกดความเสยหายจากฝนละอองได เชน การถอดเปลยนอปกรณในฮารดดสกทชำารดเสยหายเพอกคนขอมล

สำาหรบหองปฏบตการรวมฯ จะมความแตกตางคอเปนหองทอนญาตใหบคคลภายนอก สามารถเขามาใชงานหรอเขาถงทรพยากรทใชสำาหรบการตรวจพสจนพยานหลกฐานดจทลได โดยสวนมากแลวหองปฏบตการรวมฯ จะใชในกรณทตองปฏบตงานรวมกบเจาหนาทจากหนวยงานภายนอก หรอใชเปนหองสำาหรบสอบถามขอมลและตรวจตรวจสอบความครบถวนหรอสภาพของพยานหลกฐานเมอมการรบสงเคส ลกษณะของหองจะมเครองคอมพวเตอรประสทธภาพสงทมเครองมอพนฐานสำาหรบใชในการตรวจพสจนพยานหลกฐานดจทล รวมถงมจอภาพขนาดใหญเพอใชสำาหรบการประชมหรอแสดงผลขอมล

1.2 บรการของไทยเซรต

ปจจบนไทยเซรตใหบรการเพอจดการกบภยคกคามไซเบอร ยกระดบความเชอมนในการทำาธรกรรมทางอเลกทรอนกส และสนบสนนการพฒนาเศรษฐกจดจทลของประเทศไทย โดยดำาเนนการใน 3 รปแบบคอ

13

ThaiCERT ANNUAL REPORT 2016

• บรการเชงรกเพอปองกนภยคกคาม (Proactive Services) เชน การตรวจสอบและใหคำาแนะนำาในการปดชองโหวของระบบ

• บรการเชงรบเพอตอบสนองภยคกคาม (Reactive Services) เพอจำากดขอบเขตความเสยหายจากภยคกคามใหนอยทสดและดำาเนนการปองกนไมใหเกดขนอก

• บรการบรหารคณภาพทางดานความมนคงปลอดภย (Security Quality Management Services) ซงเปนการใหบรการวชาการเพอพฒนาความสามารถและสรางความตระหนกใหแกบคลากรใหรทนและรบมอภยคกคามไดทนทวงท

1.2.1 บรการเชงรก เพอปองกนภยคกคาม (Proactive Services)

หมายถงการบรการทมงเนนการสนบสนนและใหขอมลเพอชวยเหลอหนวยงานตาง ๆ ในการเตรยมพรอมรบมอ และปองกนระบบจากการถกโจมตโดยภยคกคามทอาจเกดขนได ไทยเซรตไดปฏบตงานในเชงรก ดวยมงหวงวาจะชวยลดความเสยงในการเกดภยคกคาม ซงจะนำาไปสการลดลงของภยคกคามรายแรงทเกดขนไดอยางมนยสำาคญ โดยการบรการเชงรกนนประกอบดวย บรการตรวจสอบและประเมนชองโหวของระบบสารสนเทศ (Security Audits or Assessment) บรการแจงเตอนและเผยแพรขอมลขาวสาร (Announcement) และบรการเฝาตดตามภยคกคาม (Threat Watch)

บรการตรวจสอบ และประเมนชองโหวของระบบสารสนเทศ (Security Audits or Assessments)

ไทยเซรตใหบรการตรวจสอบและประเมนชองโหว (Vulnerability Assessment) ระบบสารสนเทศของหนวยงาน เพอชวยใหหนวยงานทราบถงสถานภาพปจจบนของปญหาและชองโหวของระบบสารสนเทศของตนเอง ซงทำาใหสามารถนำาไปใชเพอวางแผนและจดทำาแผนบรหารจดการ

ความเสยง (Risk Management Plan: RMP) และแผนบรหารจดการความตอเนอง ทางธรกจ (Business Continuity Management: BCM) ของหนวยงานได

บรการแจงเตอนและเผยแพรขอมลขาวสาร (Announcements)

เนองจากในปจจบนนชองโหวและภยคกคามไดเกดขนอยเสมอ ไทยเซรตตดตามขาวสารและการแจงเตอนทเกยวของกบดานความมนคงปลอดภยไซเบอรจากหนวยงานในเครอขาย CERT และแหลงขอมลทนาเชอถอทวโลก โดยนำามาประเมนและวเคราะหผลกระทบกบระบบสารสนเทศในประเทศไทย กอนทจะแจงเตอนภยคกคามในการปองกนและแกไข ใหสาธารณะไดทราบ

ขอมลสถตภยคกคามทไทยเซรตประสานงานรบมอและจดการภยคกคามในแตละเดอนตลอดป 2559 ไดมการเผยแพรทางเวบไซตของไทยเซรต (www.thaicert.or.th) โดยสถตภยคกคามในแตละเดอนและเหตการณสำาคญทเกดขนในรอบปจะรวบรวมเพอนำามาวเคราะหเพอกำาหนดนโยบายดานความมนคงปลอดภยไซเบอร และวางแผนปองกนภยคกคามใหแกประชาชนและองคกรตาง ๆ

ในป 2559 ไทยเซรตไดปรบรปแบบการแจงเตอนชองโหวและเผยแพรขาวสารดานความมนคงปลอดภย ใหอยในรปแบบขาวสน (NewsBite) พรอมทงมขอแนะนำาทผอานทวไปสามารถ

เขาใจและนำาไปปรบใชได และไดรวบรวมเปนหนงสอบทความ Cyber Threats 2016 นอกจากนน ยงเผยแพรขอมลในรปแบบอน ๆ ทง Infographic และคลปวดโอท

เขาใจงาย โดยขอมลเหลานเผยแพรทงทางเวบไซตและโซเชยลมเดยของไทยเซรต

บรการเฝาตดตามภยคกคาม (Threat Watch)

ไทยเซรตไดพฒนาระบบ Threat Watch เพอเฝาตดตามขอมลภยคกคามมาตงแตป 2557 โดยเปนระบบทสามารถรวบรวมและเฝาตดตามภยคกคาม

จากแหลงขอมลบนอนเทอรเนต เชน เวบไซตทมการเผยแพรมลแวร หรอขอมลรวไหลจากการเจาะระบบเวบไซต

นอกจากน ไทยเซรตไดเฝาตดตามการขาวจากแหลงขอมลตาง ๆ เชน หนวยงานทเกยวของซงเปนพนธมตรกบไทยเซรต โซเชยลมเดย และขอมลอน ๆ ทเกยวของ เพอนำามาใชวเคราะห ประเมนผล และตความ ใหไดขาวกรองเกยวกบภยคกคามไซเบอรทอาจเกดขน และนำาไปใชในการวางแผนปองกนหรอจดการภยนน ๆ ใหทนทวงทหรอสงผลกระทบนอยทสด อกทงสามารถนำาไปใชเปนแนวทางในการวางแผนรบมอภยคกคามทอาจขนในอนาคตไดอกดวย

1.2.2 บรการเชงรบ เพอตอบสนองภยคกคาม (Reactive Services)

หมายถงบรการทจะชวยใหหนวยงานททำาการรองขอสามารถรบมอและจดการกบภยคกคามทสงผลกระทบตอระบบสารสนเทศตาง ๆ อนจะสามารถสรางความเสยหายใหแกบคคลหรอหนวยงาน โดยการบรการเชงรบ ประกอบดวย บรการรบมอและจดการสถานการณดานความมนคงปลอดภย (Incident Handling) และบรการตรวจพสจนพยานหลกฐานดจทล (Digital Forensics)

บรการรบมอและจดการสถานการณดานความมนคงปลอดภย (Incident Handling)

ไทยเซรตเปนหนวยงานประเภท CERT ในระดบประเทศ ทำาหนาทรบแจงเหตภยคกคาม ตรวจสอบ วเคราะหหาสาเหตของปญหา และประสานงานกบหนวยงานทเกยวของเพอระงบเหตและแกไขปญหานน ๆ ดวยรปแบบบรการตลอด 24 ชวโมง รวมทงใหบรการวเคราะหและแจงเตอนเหตภยคกคามใหแกหนวยงานทเกยวของทราบ เพอจำากดวงความเสยหายทอาจ เกดขน พรอมฟนฟระบบและการใหบรการโดยเรวทสด ไทยเซรตไดรบการยอมรบในฐานะ เปนตวแทนประเทศไทยในเครอขาย CERT ระหวางประเทศ เชน เครอขาย Asia Pacific CERT (APCERT) และ Forum of Incident Response and Security Teams (FIRST)

15

ThaiCERT ANNUAL REPORT 2016

นอกจากรบมอและจดการภยคกคามแลว ไทยเซรตยงวเคราะห ภยคกคามสำาคญทไดเกดขนแลว เพอหาสาเหตและชองโหวทใชในการโจมตระบบ แลวจงออกรายงานเผยแพรขอมลใหแกหนวยงานสำาหรบนำาไปใชแกไขปญหาและเพมระดบการปองกนใหระบบมความมนคงปลอดภยมากยงขน

ในป 2559 สพธอ. และไทยเซรต ไดจดพธลงนามบนทกขอตกลงความรวมมอดานการยกระดบความพรอมรบมอภยคกคามไซเบอร (CERT Readiness) ตอภาคธรกจ การคา อตสาหกรรม และโครงสรางพนฐานสำาคญของประเทศ เพอสนบสนนการสรางและขยายเครอขาย CERT ในประเทศไทย (Sector-based CERT) และพฒนาบคลากรดานการรกษาความมนคงปลอดภยไซเบอร เพอใหมความพรอมในการรบมอตรวจจบวเคราะห รวมถงประเมนความเสยงและชองโหวของระบบสารสนเทศจากภยคกคามไซเบอรใหแกหนวยงานทเปนโครงสรางพนฐานสำาคญ โดยเฉพาะ หนวยงานใน Sector เดยวกน

ระบบการทำางานของไทยเซรต ทงในสวนของการใหบรการ ศนยปฏบตการทางไซเบอร และศนยดจทลฟอเรนสกส ไดรบการรบรองมาตรฐาน ISO27001:2013 ซงเปนมาตรฐานขอกำาหนดสำาหรบระบบการจดการความปลอดภยสารสนเทศขององคกร และมาตรฐาน ISO9001:2015 ซงเปนมาตรฐานระบบบรหารงานคณภาพ เพอใหผใชบรการ ไดรบบรการทมคณภาพและไดรบความคมครองเรองความมนคงปลอดภยของขอมล

บรการตรวจพสจนพยานหลกฐานดจทล (Digital Forensics)

ศนยดจทลฟอเรนสกส ทำาหนาทตรวจพสจนพยานหลกฐานดจทล และออกรายงานผลการตรวจวเคราะหตามคำารองขอของหนวยงานรกษากฎหมาย รวมทงใหคำาปรกษาและคำาแนะนำาทางเทคนคแกเจาหนาทซงอาจจะไมคนเคยกบเทคโนโลยและพยานหลกฐานดจทลสมยใหมทมรปแบบตาง ๆ กน

ในกระบวนการตรวจพสจนฯ พยานหลกฐานทกชนจะตองไดรบกระบวนการจดการทมขนตอนเปนระบบเพอรกษาความตอเนองของการครอบครองพยานหลกฐาน หรอ Chain of Custody ทไดมาตรฐานเพอใหผลการตรวจพสจนมความนาเชอถอและสามารถนำาไปใชในชนศาลได ศนยดจทลฟอเรนสกสไดมงพฒนาบคลากรใหมความเชยวชาญ และใชเวลากวา 1 ปทผานมาปรบปรงกระบวนการปฏบตงาน (Procedure, Work Instruction) และระบบการบรหารจดการคณภาพ (Quality Management System: QMS) ตามหลกตรวจพสจนพยานหลกฐานดจทลและสอดคลองกบมาตรฐาน ISO17025:2005 ซงเปน ขอกำาหนดทวไปวาดวยความสามารถของหองปฏบตการทดสอบและหองปฏบตการสอบเทยบ อกทงยงไดรวมมอกบหนวยงานภาครฐและเอกชนจดทำาแนวทางปฏบตงานดานการตรวจพสจนพยานหลกฐานดจทล เนอหาประกอบดวยแนวปฏบตในสถานทเกดเหต และแนวปฏบตในหองปฏบตการตรวจพสจนพยานหลกฐาน ซงเอกสารนไดประกาศเผยแพรใหหนวยงาน ทเกยวของนำาไปประยกตใชแลวในตนป 2559

ศนยปฏบตการทางไซเบอร และศนยดจทลฟอเรนสกส ไดรบ

การรบรองมาตรฐาน

มอก.27001-2556 (ISO27001:2013)

มอก.9001-2559 (ISO9001:2015)

มอก.17025-2548 (ISO17025:2005)

ISO16

ThaiCERT ANNUAL REPORT 2016

1.2.3 บรการบรหารคณภาพ ทางดานความมนคงปลอดภย (Security Quality Management Services)

หมายถงงานบรการทเปนประเภทงานสนบสนนการบรหารการรกษาความมนคงปลอดภยดานสารสนเทศขององคกรและพฒนาความรและความสามารถของบคลากรในดานกระบวนการรกษาความมนคงปลอดภยระบบสารสนเทศขององคกรโดยรวม ซงบรการในดานน ประกอบดวย บรการวชาการดานความมนคงปลอดภย (Education and Training) และการสรางความตระหนกเรองความมนคงปลอดภย (Awareness Building)

บรการวชาการ ดานความมนคงปลอดภย (Education and Training)

ไทยเซรตไดเลงเหนวาการสรางความตระหนกในเรองการรกษาความมนคงปลอดภยระบบสารสนเทศใหแกบคลากร ตลอดจนผบรหาร นนมความสำาคญตอการยกระดบความเขมแขงของการรกษาความมนคงปลอดภยในองคกร ไทยเซรตจงไดเปนเจาภาพจดอบรมแลกเปลยนขอมลเพอใหความร และสรางความตระหนกเรองความมนคงปลอดภย โดยมการเชญวทยากรและผทรงคณวฒจากทงในและตางประเทศมาบรรยายและแลกเปลยนความร และไดเชญหนวยงาน CERT จากตางประเทศมาเขารวมเพอแลกเปลยนประสบการณอกดวย

นอกจากนไทยเซรตยงเปนแกนนำาในการพฒนามาตรฐานการรบรองบคลากรดานความมนคงปลอดภยระบบสารสนเทศของประเทศไทย (Thailand Information System Security Professional Certification Program) รวมทงเตรยมความพรอมใหกบบคลกรทงในและนอกองคกรทมความสนใจดานการรกษาความมนคงปลอดภยสารสนเทศเขาสอบประกาศนยบตรสำาหรบผเชยวชาญดานการรกษาความมนคงปลอดภยทไดรบการยอมรบในระดบสากล

การสรางความตระหนกเรองความมนคงปลอดภย (Awareness Building)

นอกเหนอจากการอบรมสมมนา ไทยเซรตไดมการเผยแพรความรดานความมนคงปลอดภยไซเบอรใหกบหนวยงานตาง ๆ ทงภาครฐ ภาคเอกชน และบคคลทวไป โดยเปนการเผยแพรความรทงในลกษณะการบรรยาย และการจดกจกรรมภาคปฏบต เชน การบรรยาย ในหวขอฉลาดรเนต ใหแกนกเรยนระดบชนมธยมศกษา เพอสรางความรและความตระหนกในการใชอนเทอรเนตอยางมนคงปลอดภย

17

ThaiCERT ANNUAL REPORT 2016

สถตหนวยงานทอยภายใตการดแลของโครงการ

ระบบ Government Threat Monitoring (GTM) ครอบคลมการดแล

ระบบ Government Website Protection (GWP) ครอบคลมการดแล

ThaiCERT GMS

หนวยงานของรฐ123 1,293

เวบไซตของรฐ

ประเภทหนาเวบไซตปลอม ทพบมากทสด

หนาเวบไซตปลอมของบรการฟรอเมล

Phishing

หนาเวบไซตปลอมของธนาคารออนไลน

ภยคกคามทไดรบแจงสงสด3อนดบ

แรก1 Intrusion2 Malicious Code3 Fraud

ระยะทใชในการประสานงาน

ไมเกน

เวลาเฉลย

ภยคกคาม ชวโมง2 หลงไดรบแจง

บทท 2 ผลงานเดน และเหตการณสำาคญในรอบป

เขารวมเครอขายและแลกเปลยนความรในงานสมมนา เชงวชาการระดบนานาชาตและงานประชมประจำป หนวยงานดานความมนคงปลอดภยไซเบอร

การซกซอมรบมอภยคกคาม º จดงานซกซอมรบมอภยคกคามใหกบบคลากรหนวยงานภาครฐ º เขารวมงานซกซอมรบมอภยคกคามกบหนวยงาน ในเครอขาย CERT ระดบโลก

ศนยดจทลฟอเรนสกส ใหบรการตรวจพสจนพยานหลกฐานดจทล

29เคส

จำนวนภยคกคามทไดรบแจงและดำเนนการ

3,797 รายการ

ตรวจสอบชองโหวเวบไซตหนวยงานภาครฐ

389 เวบไซต

ตรวจสอบและแจงเตอนชองโหวเวบไซตหนวยงานภาครฐ

1,019 รายการ

• SQL Injection

ประเภทชองโหวเวบไซตหนวยงานภาครฐ

ทพบมากทสด อนดบแรก2 • Cross-Site Scripting (XSS)

การพฒนาบคลากรและกจกรรมทจด

14สรางบคลากรทมความเชยวชาญ

ดานความมนคงปลอดภยไซเบอรเพมขน

การพฒนาศกยภาพภายในองคกร

คน700

º บคลากรเขารบการอบรมและสอบใบรบรอง ทไดรบการยอมรบในระดบสากล - การบรหารจดการดานความมนคงปลอดภยไซเบอร - การตรวจสอบชองโหวระบบ - การตรวจพสจนพยานหลกฐานดจทล

จดอบรมใหกบบคลากรภายนอกและการสรางความตระหนก

º หนวยงานไดรบมาตรฐาน - ISO/IEC 27001:2013 - ISO/IEC 9001:2015 - ISO/IEC 17025:2005

งาน

18

เขารวมเครอขายและแลกเปลยนความรในงานสมมนา เชงวชาการระดบนานาชาตและงานประชมประจำป หนวยงานดานความมนคงปลอดภยไซเบอร

การซกซอมรบมอภยคกคาม º จดงานซกซอมรบมอภยคกคามใหกบบคลากรหนวยงานภาครฐ º เขารวมงานซกซอมรบมอภยคกคามกบหนวยงาน ในเครอขาย CERT ระดบโลก

ศนยดจทลฟอเรนสกส ใหบรการตรวจพสจนพยานหลกฐานดจทล

29เคส

จำนวนภยคกคามทไดรบแจงและดำเนนการ

3,797 รายการ

ตรวจสอบชองโหวเวบไซตหนวยงานภาครฐ

389 เวบไซต

ตรวจสอบและแจงเตอนชองโหวเวบไซตหนวยงานภาครฐ

1,019 รายการ

• SQL Injection

ประเภทชองโหวเวบไซตหนวยงานภาครฐ

ทพบมากทสด อนดบแรก2 • Cross-Site Scripting (XSS)

การพฒนาบคลากรและกจกรรมทจด

14สรางบคลากรทมความเชยวชาญ

ดานความมนคงปลอดภยไซเบอรเพมขน

การพฒนาศกยภาพภายในองคกร

คน700

º บคลากรเขารบการอบรมและสอบใบรบรอง ทไดรบการยอมรบในระดบสากล - การบรหารจดการดานความมนคงปลอดภยไซเบอร - การตรวจสอบชองโหวระบบ - การตรวจพสจนพยานหลกฐานดจทล

จดอบรมใหกบบคลากรภายนอกและการสรางความตระหนก

º หนวยงานไดรบมาตรฐาน - ISO/IEC 27001:2013 - ISO/IEC 9001:2015 - ISO/IEC 17025:2005

งาน

19

ThaiCERT ANNUAL REPORT 2016

มกราคม มนาคม เมษายน

ธนวาคมThaiCERT

2016Timeline

จดงาน Open Forum ในหวขอ มาตรฐานและแนวปฏบตพนฐาน: การจดเกบและตรวจวเคราะหขอมลอเลกทรอนกส เพอกระบวนการ ยตธรรมไทย

จดการอบรมหวขอ Incident Handling 101 รวมกบ Japan Network Security Association (JNSA)

เขารวมการซกซอมรบมอภยคกคามไซเบอร APCERT Drill 2016 รวมกบหนวยงาน CERT อน ๆ ในภมภาคเอเชยแปซฟก

จดพธลงนามบนทกขอตกลงความรวมมอกบหนวยงาน KISA ประเทศเกาหลใต เพอยกระดบ ความรวมมอดานความมนคง ปลอดภยไซเบอร

จดการอบรมหลกสตรการฝกปฏบตดานไซเบอร (Cyber Defense Exercise with Recurrence : CYDER)

แจงเตอนชองโหวรายแรงในซอฟตแวร Joomla! ททำใหผประสงคราย สามารถแฮกเวบไซตได ประสานงาน ไปยงผดแลเวบไซตทไดรบผลกระทบเพออปเดต

พฤศจกายน

จดงาน Open Forum ในหวขอ "CSIRT Promotion Seminar”รวมมอกบสมาคมความมนคงปลอดภยระบบสารสนเทศ (TISA) จดการอบรมหลกสตร “การฝกอบรมและสอบวดสมรรถนะเพอพฒนามาตรฐานการรบรองบคลากรดานความมนคงปลอดภยระบบสารสนเทศของประเทศไทย (iSEC)”จดการอบรม "การเตรยมความพรอมในการจดตงหนวยงาน CERT/CSIRT” (TRANSITS Workshop)เผยแพรบทความ Botnet of Things - ภยคกคามจาก Internet of Things และแนวทางการรบมอพบรายงานเราเตอรทผใหบรการอนเทอรเนตในประเทศไทยแจกใหกบผใชตามบานมชองโหวดานความมนคงปลอดภย ประสานงานไปยงผใหบรการเพอแกไขปญหา

กมภาพนธ

จดงานสมมนาเรอง แนวทางรบมอและปองกนการโจมตทางไซเบอร ภายใตโครงการ ThaiCERT GMS

จดงานซกซอมรบมอภยคกคามไซเบอร (Incident Drill) ใหกบหนวยงานภาครฐ

สงวทยากรชวยสนบสนนการฝกอบรมใหกบ LaoCERT ในหวขอ Vulnerability Assessment20

ThaiCERT ANNUAL REPORT 2016

มกราคม มนาคม เมษายน

ธนวาคมThaiCERT

2016Timeline

จดงาน Open Forum ในหวขอ มาตรฐานและแนวปฏบตพนฐาน: การจดเกบและตรวจวเคราะหขอมลอเลกทรอนกส เพอกระบวนการ ยตธรรมไทย

จดการอบรมหวขอ Incident Handling 101 รวมกบ Japan Network Security Association (JNSA)

เขารวมการซกซอมรบมอภยคกคามไซเบอร APCERT Drill 2016 รวมกบหนวยงาน CERT อน ๆ ในภมภาคเอเชยแปซฟก

จดพธลงนามบนทกขอตกลงความรวมมอกบหนวยงาน KISA ประเทศเกาหลใต เพอยกระดบ ความรวมมอดานความมนคง ปลอดภยไซเบอร

จดการอบรมหลกสตรการฝกปฏบตดานไซเบอร (Cyber Defense Exercise with Recurrence : CYDER)

แจงเตอนชองโหวรายแรงในซอฟตแวร Joomla! ททำใหผประสงคราย สามารถแฮกเวบไซตได ประสานงาน ไปยงผดแลเวบไซตทไดรบผลกระทบเพออปเดต

พฤศจกายน

จดงาน Open Forum ในหวขอ "CSIRT Promotion Seminar”รวมมอกบสมาคมความมนคงปลอดภยระบบสารสนเทศ (TISA) จดการอบรมหลกสตร “การฝกอบรมและสอบวดสมรรถนะเพอพฒนามาตรฐานการรบรองบคลากรดานความมนคงปลอดภยระบบสารสนเทศของประเทศไทย (iSEC)”จดการอบรม "การเตรยมความพรอมในการจดตงหนวยงาน CERT/CSIRT” (TRANSITS Workshop)เผยแพรบทความ Botnet of Things - ภยคกคามจาก Internet of Things และแนวทางการรบมอพบรายงานเราเตอรทผใหบรการอนเทอรเนตในประเทศไทยแจกใหกบผใชตามบานมชองโหวดานความมนคงปลอดภย ประสานงานไปยงผใหบรการเพอแกไขปญหา

กมภาพนธ

จดงานสมมนาเรอง แนวทางรบมอและปองกนการโจมตทางไซเบอร ภายใตโครงการ ThaiCERT GMS

จดงานซกซอมรบมอภยคกคามไซเบอร (Incident Drill) ใหกบหนวยงานภาครฐ

สงวทยากรชวยสนบสนนการฝกอบรมใหกบ LaoCERT ในหวขอ Vulnerability Assessment

พฤษภาคม มถนายน

ตลาคม กนยายน

จดพธลงนามบนทกขอตกลงความรวมมอกบบรษทไมโครซอฟทในโครงการ Government Security Program (GSP)

เขารวมงานสมมนา APCERT Annual General Meeting & Conference 2016

สงหาคม

เขารวมงานสมมนาเชงวชาการ The 8th Asian Forensic Sciences Network (AFSN) Annual Meeting & Symposium

เผยแพรขอแนะนำเพอความปลอดภยในการเลนเกม Pokemon GO

พบการเผยแพรรหสผานทหลดจากบรการออนไลนทไดรบความนยมหลายแหง ประกาศแจงเตอนผใชในประเทศไทยทไดรบผลกระทบและประสานงานปดหนาเวบไซตทถกใชในการเผยแพรขอมลทหลดออกมา

พบการโจมตผใช TeamViewer ประกาศแจงเตอนผใชใหระวง พรอมเผยแพรขอแนะนำในการใชงาน TeamViewer อยางมนคงปลอดภยพบรายงานโทรศพทมอถอทวางจำหนายในประเทศไทยถกฝงมลแวรมาพรอมเครอง ประกาศแจงเตอนผใชใหตรวจสอบ พรอมประสานงานกบผผลตและตวแทนจำหนายเพอแกไขปญหาประกาศขอเสนอแนะมาตรฐานการจดการอปกรณดจทลในงานตรวจพสจนพยานหลกฐานเขารวมงานสมมนา Annual FIRST Conference 2016

กรกฎาคม

จดงาน Open Forum ในหวขอ แนวทางการจดตง Computer Security Incident Response Team (CSIRT) เพอเตรยมรบมอภยคกคามไซเบอร

จดงานสมมนา (ISC)² Security Congress APAC 2016

จดพธลงนามบนทกขอตกลงความรวมมอดานการยกระดบความพรอมรบมอภยคกคามไซเบอร (CERT Readiness) ตอภาคธรกจ การคา อตสาหกรรม และโครงสรางพนฐาน สำคญของประเทศเขารวมการซกซอมรบมอภยคกคามไซเบอร ASEAN CERT Incident Drill (ACID) 2016 รวมกบหนวยงาน CERT อน ๆ ในภมภาคอาเซยนพบรายงานการใชมลแวร Mirai ควบคมอปกรณ IoT เพอใชโจมต แบบ DDoS แจงเตอนผใชในประเทศไทยทไดรบผลกระทบพรอมหารอแนวทางปองกน

21

ThaiCERT ANNUAL REPORT 2016

บทท 3 สถตภยคกคามและกรณศกษา

3.1 Incident response

ภารกจทสำาคญของไทยเซรต ไดแก Incident response หรอการรบมอเหตภยคกคามทางไซเบอร โดยไทยเซรตรบแจงเหตภยคกคามจาก 2 ชองทาง คอ

1. อเมล report@thaicert.or.th

2. ระบบ Threat Watch ทไทยเซรตพฒนาขนมาเอง ซงเปนการรวบรวมขอมลจาก

- แหลงขอมลสาธารณะทมการประกาศแจงรายชอระบบทถกโจมต

- ขอมลทแลกเปลยนกนระหวางเครอขายหนวยงาน CERT และรายงานจากระบบตรวจวเคราะหภยคกคามอน ๆ

ภยคกคามทไดรบแจง จะนำามาจดหมวดหมโดยแบงออกเปน 9 ประเภท อางองตามเอกสาร eCSIRT รายละเอยดการ จดแบงภยคกคามแตละประเภท มดงน

1. Abusive content (เนอหาทไมเหมาะสม) หมายถง การใชหรอเผยแพรขอมลทไมเปนจรง หรอไมเหมาะสม เพอทำาลายความนาเชอถอ กอใหเกดความไมสงบ หรอขอมลทไมถกตองตามกฎหมาย เชน ลามกอนาจาร หมนประมาท รวมถงการโฆษณาขายสนคาตาง ๆ ทางอเมลทผรบไมไดมความประสงคจะรบขอมลโฆษณานน ๆ (Spam)

2. Malicious code (โปรแกรมไมพงประสงค) หมายถง โปรแกรมหรอชดคำาสงทถกพฒนาขนดวยความประสงคราย เพอทำาใหเกดความขดของหรอเสยหายกบระบบ เชน Virus, Worm, Trojan หรอ Spyware

3. Information gathering (ความพยายามรวบรวมขอมลของระบบ) หมายถง การพยายามรวบรวมขอมลจดออนของระบบ ดวยการเรยกใชบรการตาง ๆ ทอาจจะเปดไวบนระบบ เชน ขอมลเกยวกบระบบปฏบตการ ระบบซอฟตแวรทตดตงหรอใชงาน ขอมลบญชชอผใชงาน (User account) ทมอย บนระบบ รวมถงการเกบรวบรวมหรอตรวจสอบขอมลจราจรบนระบบเครอขาย (Sniffing) และการลอลวงหรอใชเลหกลตาง ๆ เพอใหผใชงานเปดเผยขอมลทมความสำาคญของระบบ (Social engineering)

4. Information security (การเขาถงหรอเปลยนแปลงแกไขขอมลสำาคญโดยไมไดรบอนญาต) หมายถง การทผไมไดรบอนญาตสามารถเขาถงขอมลสำาคญ (Unauthorized access) หรอเปลยนแปลงแกไขขอมล (Unauthorized modification) รวมถงนำาขอมลทรวไหลออกไปเผยแพร (Data leakage)

22

5. Intrusion attempts (ความพยายามบกรกเขาระบบ) หมายถง ความพยายามทจะบกรกหรอเจาะเขาระบบ ทงผานชองโหวทเปนทรจกในสาธารณะ (CVE - Common Vulnerabilities and Exposures) หรอผานชองโหวใหมทยงไมเคยพบมากอน เพอจะไดเขาครอบครองหรอทำาใหเกดความขดของกบบรการตาง ๆ ของระบบน รวมถงความพยายามจะบกรกหรอเจาะระบบดวยวธการสม/เดาขอมล หรอวธการทดสอบรหสผานทกคา (Brute force)

6. Intrusions (การบกรกหรอเจาะระบบไดสำาเรจ) หมายถง การทผไมไดรบอนญาตสามารถเขาถงขอมลสำาคญ (Unauthorized access) หรอเปลยนแปลงแกไขขอมล (Unauthorized modification) ไดสำาเรจ ซงผประสงครายสามารถควบคมเครองและระบบ รวมไปถงการปรบเปลยนหนาเวบ (Web defacement)

7. Availability (การโจมตสภาพความพรอมใชงานของระบบ) หมายถง การโจมตสภาพความพรอมใชงานของระบบ เพอทำาใหบรการตาง ๆ ของระบบไมสามารถ ใหบรการไดตามปกต มผลกระทบตงแตเกดความลาชาในการตอบสนองของบรการจนกระทงระบบไมสามารถใหบรการตอไปได เชน การโจมตประเภท DDoS (Distrubuted Denial of Service) นอกจากนยงรวมถงการโจมตโครงสรางพนฐานทสนบสนนการใหบรการของระบบ เชน อาคาร สถานท ระบบไฟฟา เปนตน

8. Fraud (ฉอโกงหรอหลอกลวงเพอผลประโยชน) หมายถง การฉอฉล ฉอโกง หรอการหลอกลวงเพอผลประโยชน เชน การสรางหนาเวบไซตปลอม (Phishing) ทหลอกขโมยรหสผานสำาหรบลอกอนจากผใช การลกลอบใชงานระบบหรอทรพยากร ทางสารสนเทศทไมไดรบอนญาตเพอแสวงหาผลประโยชนใหกบตนเอง

9. Other (อน ๆ นอกเหนอจากทกำาหนดไวขางตน) หมายถง ภยคกคามประเภท อน ๆ นอกเหนอจากทกำาหนดไวขางตน ระบไวเพอเปนตวชวดถงประเภทใหม หรอไมสามารถจดประเภทไดตามทระบไวขางตน

3.1.1 ภาพรวมภยคกคามทไดรบแจงและด�าเนนการในป 2559 ไทยเซรตไดรบแจงเหตภยคกคามและประสานงานทงหมด 3,797 รายการ แบงสดสวนตามประเภทไดดงรปท 1

รปท 1 สถตภยคกคามทไทยเซรตไดรบแจงและด�าเนนการ แบงตามประเภท

จากขอมลสถตพบวาในป 2559 ภยคกคามประเภท Malicious code และ Intrusions ไดรบแจงมากทสด โดยมสดสวนเทากนคอ 26.9% รองลงมาคอภยคกคามประเภท Fraud และ Intrusion attempts มสดสวนอยท 26.4% และ 18.6% ตามลำาดบ ในขณะทภยคกคามประเภท Abusive content และ Information gathering นนไมไดรบแจงรายงานการโจมตสถตจำานวนภยคกคามทไดรบแจง จำาแนกเปนรายเดอนไดดงรปท 2

Availability1%

Fraud26%

Information security0%

Intrusion Attempts19%

Intrusions27%

Malicious code27%

23

ThaiCERT ANNUAL REPORT 2016

รปท 2 สถตภยคกคามทไทยเซรตไดรบแจงและด�าเนนการ แบงตามรายเดอน

จากขอมลสถตพบวาภยคกคามประเภท Availability และ Information security มากขนในชวงเดอนธนวาคม ซงสอดคลองกบการเพมขนของภยคกคามประเภท Intrusions ในชวงเวลาเดยวกน จากการวเคราะหพบวาสาเหตเกดจากการพยายามโจมตระบบเวบไซตหนวยงานภาครฐดวยจดประสงคทางการเมอง

ในป 2559 ไทยเซรตไดมการตรวจสอบและประสานงานเพอแกไขปญหาภยคกคามแตละประเภททไดรบแจง ดงน

AVAILABILITYพบการโจมตแบบ DDoS เพมขนอยางมากในชวงเดอนธนวาคม 2559 โดยระบบทถกโจมตสวนใหญเปนเวบไซตหนวยงานภาครฐ สถตประเภทหนวยงานทถกโจมตแบบ DDoS แบงตามโดเมนไดดงรปท 3

รปท 3 สถตประเภทหนวยงานทถกโจมตแบบ DDoS แบงตามโดเมน

ม.ค.

ก.พ.

ม.ค.

เม.ย.

พ.ค.

ม.ย.

ก.ค.

ส.ค.

ก.ย.

ต.ค.

พ.ย.

ธ.ค.

สถตภยคกคามทไดรบแจงและดาเนนการ แบงตามรายเดอน

Abusive content Availability Fraud

Information gathering Information security Intrusion Attempts

Intrusions Malicious code Other

20

32

10

5

10

15

20

25

GO.TH MI.TH COM NET

สถตประเภทหนวยงานทถกโจมตแบบ DDoS แบงตามโดเมน

24

ThaiCERT ANNUAL REPORT 2016

การดำาเนนการของไทยเซรต

• ในชวงเวลาทมการพยายามโจมตเวบไซตหนวยงานภาครฐ ไทยเซรตไดจดทมเฝาระวงภยคกคาม เพอเตรยมพรอมรบมอสถานการณฉกเฉน โดยหากพบการประกาศโจมตเวบไซตหนวยงานภาครฐ จะประสานงานไปยงผทเกยวของเพอแจงใหทราบและเตรยมพรอมรบมอการโจมต

• แนวทางการแกปญหาในระยะสน ไดแนะนำาใหหนวยงานทถกโจมตเขารวมโครงการ ThaiCERT GMS (Government Monitoring System) เพอลดผลกระทบจากการถกโจมต

• แนวทางการแกปญหาในระยะยาว ไดแนะนำาใหผดแลเวบไซตปรบปรงระบบเพอใหรองรบการเขาใชงานจำานวนมาก

FRAUDภยคกคามประเภท Fraud สวนใหญเปนการสรางหนาเวบไซตปลอมเพอหลอกขโมยขอมล (Phishing) ประเภทหนาเวบไซตปลอมทพบมาก ไดแก หนาเวบไซตปลอมเพอหลอกขโมยขอมลทางการเงน (เชน หนาเวบไซตปลอมของของธนาคารและสถาบนทางการเงน) รองลงมาคอหนาเวบไซตปลอมของบรการทไดรบความนยม เชน PayPal Google สถตประเภทของหนาเวบไซตปลอมทพบ แสดงไดดงรปท 4

รปท 4 สถตประเภทของหนาเวบไซตปลอมทพบ

Financial68%

E-mail and Cloud storage21%

E-commerce8%

Chat and Social media3%

สถตประเภทของหนาเวบไซตปลอมทพบ

25

ThaiCERT ANNUAL REPORT 2016

รปแบบการสรางหนาเวบไซตปลอมทพบ แบงออกได 2 ลกษณะ คอ การจดทะเบยนชอโดเมนทใกลเคยงกบชอโดเมนของเวบไซตจรง พบในสดสวน 6.9% และการเจาะระบบเวบไซตเพอฝงหนาเวบไซตปลอม พบในสดสวน 93.1%

นอกจากน ในป 2559 ยงพบการแพรระบาดของแอปพลเคชนปลอมของธนาคารในประเทศไทย ปรากฏบน Google Play Store, iOS App Store และแหลงดาวนโหลดซอฟตแวรภายนอก โดยพบจำานวน 5 แอปพลเคชน โจมต 3 ธนาคาร ซงไทยเซรตไดประสานงานไปยง Google และ Apple เพอถอดถอนการเผยแพรแอปพลเคชนเหลาน รวมถงประสานงานไปยงธนาคารทไดรบผลกระทบเพอแจงเตอนผใชบรการตอไป

การดำาเนนการของไทยเซรต

• ไทยเซรตไดมกระบวนการตรวจสอบการสรางหนาเวบไซตปลอมในลกษณะทเปนการจดทะเบยนชอโดเมนใกลเคยงกบชอโดเมนของเวบไซตจรง โดยระบบจะตรวจสอบการจดชอโดเมนทใกลเคยงกบชอโดเมนของเวบไซตธนาคารในประเทศไทย และจะแจงเตอนทนททพบวามการจดชอโดเมนทนาสงสย ระบบนชวยใหสามารถตรวจสอบและประสานงานปดเวบไซตปลอมเหลานนไดกอนหนาหรอภายในเวลาไมนานหลงจากทเวบไซตเหลานนถกเผยแพรสอนเทอรเนต

• หากพบวาเปนการเจาะระบบเวบไซตเพอฝงหนาเวบไซตปลอม ทางไทยเซรตจะประสานงานกบผทเกยวของพรอมใหคำาแนะนำาเบองตนในการแกไขปญหา เชน การลบหนาเวบไซตปลอม รวมถงการตรวจสอบวาเวบไซตถกเจาะระบบไดอยางไรเพอแกชองโหวไมใหถกโจมตไดอก

INFORMATION SECURITYขอมลสวนใหญทไดรบแจง เปนการตงคาระบบแบบไมปลอดภยหรอไมเหมาะสม (Security misconfiguration) ซงสงผลใหขอมลสำาคญถกเปดเผยหรอเสยงตอการถกนำาขอมลไปใชเพอโจมตในภายหลงได ตวอยางลกษณะปญหาทพบ เชน

• การเปดใหบคคลภายนอกสามารถเขาถงขอมลสำาคญไดโดยไมมมาตรการปองกน เชน ภาพจากกลองวงจรปด หรอไฟลประวตบคคลของพนกงานในองคกร

• การแสดงรายงานขอผดพลาด (Error message) ทบงบอกขอมลมากเกนไป เชน หนาแสดงขอผดพลาดของเวบไซตทเปดเผยรายละเอยดซอฟตแวรหรอเวอรชนของบรการตาง ๆ ทตดตงในเซรฟเวอร

• การเกบหรอรบสงรหสผานโดยไมมการเขารหสลบขอมล

การดำาเนนการของไทยเซรต

• ตรวจสอบและประสานงานไปยงผทเกยวของพรอมใหคำาแนะนำาเบองตนในการแกไขปญหา เชน การตงคาระบบใหมความมนคงปลอดภยมากขน หรอแนะนำาแนวทางการพฒนาเวบไซตทเหมาะสม

26

ThaiCERT ANNUAL REPORT 2016

INTRUSION ATTEMPTSเปนความพยายามในการบกรกเพอใหเขาถงระบบโดยไมไดรบอนญาต ซงรปแบบการโจมตหลก ๆ ทพบ คอ การพยายามใชวธ Brute force เพอหารหสผานสำาหรบลอกอน

รปแบบขอมลทไทยเซรตไดรบแจง เปนขอมล log จากเซรฟเวอร (ทงในประเทศและตางประเทศ) ทแจงวาถกโจมตจาก IP ในประเทศไทย โดยขอมลทไดรบแจงประกอบดวย IP วนเวลา และรายละเอยดวธการโจมต โดยสถตบรการ 5 อนดบแรกทถกโจมตมากทสด สามารถสรปไดดงรปท 5

รปท 5 สถตบรการ 5 อนดบแรกทถกโจมตดวยวธการพยายามเดารหสผาน

จากขอมลสถตพบวา รายงานการโจมตทไดรบแจงสงสด 3 อนดบแรกเปนการพยายามโจมต ไปยงบรการทใชเปนชองทางสำาหรบเชอมตอเขาไปบรหารจดการอปกรณในระบบเครอขาย ซงไดแก SSH (Secure shell), Telnet และบรการทใชงานโพรโทคอล CWMP (CPE WAN Management Protocol) ตามลำาดบ

ในสวนของการโจมตบรการ SSH นน ไทยเซรตไดรบแจงรายการเซรฟเวอรหรออปกรณทเปดใหมการลอกอนผาน SSH จำานวนมากกวา 200 เครองทมการตงคาไมเหมาะสม เชน ใชรหสผาน ทสามารถคาดเดาไดงาย ซงเซรฟเวอรหรออปกรณเหลานอาจถกควบคมเพอนำาไปใชในการโจมตตอได เชน ใชแพรกระจายมลแวร หรอใชในการโจมตแบบ DDoS

การดำาเนนการของไทยเซรต

เนองจากขอมลสวนใหญทไดรบแจง จะมาในลกษณะไฟล log ของระบบทถกโจมต ทางไทยเซรตไดแจงประสานงานไปยงผใหบรการอนเทอรเนตทดแล IP ทเปนผโจมต เพอตรวจสอบและดำาเนนการในขนตอไป

SSH46%

Telnet34%

CWMP10%

Website Login7% MSSQL

3%

สถตบรการ 5 อนดบแรกทถกโจมตดวยวธการพยายามเดารหสผาน

27

ThaiCERT ANNUAL REPORT 2016

INTRUSIONSเปนการเขาถงระบบโดยไมไดรบอนญาต หรอสามารถโจมตระบบไดสำาเรจ ซงรปแบบการโจมตหลก ๆ ทพบ เชน การเจาะระบบเปลยนหนาเวบไซต (Web defacement) หรอการนำาขอมลออกมาเผยแพร (Information leak) โดยสถตเวบไซตในประเทศไทยทถกเจาะระบบ แบงตามโดเมน แสดงดงรปท 6

รปท 6 สถตเวบไซตในประเทศไทยทถกเจาะระบบ แบงตามโดเมน

จากขอมลสถตจะพบวาเวบไซตหนวยงานภาครฐ (go.th) ถกโจมตมากทสด โดยตรวจสอบ พบวาหลายเวบไซตทถกโจมตนนเปนเวบไซตของหนวยงานขนาดเลกทอาจไมมเจาหนาทรบผดชอบดแลดานความมนคงปลอดภยของเวบไซตโดยตรง เชน สวนงานภาครฐในระดบทองถน ซงทางไทยเซรตไดใหคำาแนะนำาเบองตนในการแกไขปญหา รวมถงไดเชญใหทางหนวยงานนำาเวบไซตเขารวมโครงการ ThaiCERT GMS เพอปองกนการโจมตทอาจจะเกดขนในอนาคต

การดำาเนนการของไทยเซรต

• หากเปนกรณการเจาะระบบเปลยนหนาเวบไซต จะแจงใหผดแลเวบไซตทราบ รวมทงแนะนำาวธแกไขปญหาทางเทคนคเบองตน ในบางกรณอาจชวยตรวจสอบชองทางการโจมตรวมถงชวยวเคราะหชองโหวในเวบไซตดวย

• หากเปนกรณการเจาะระบบแลวนำาขอมลภายในออกมาเผยแพร ถาพบวามการเผยแพรขอมลทรวไหลไวในเวบไซตสาธารณะ เชน Pastebin ไทยเซรตจะประสานงาน กบผดแลเวบไซตเพอขอใหชวยยกเลกการเผยแพรขอมลนน ๆ (ในป 2559 ไดรบแจงการนำาขอมลทรวไหลไปเผยแพรในเวบไซตภายนอกจำานวนทงสน 22 กรณ)

MALICIOUS CODEเปนการรบแจง URL ทถกใชเพอแพรกระจายมลแวร โดยม 3 รปแบบ คอ

1. การแพรกระจายไฟลมลแวรทสามารถดาวนโหลดมาเรยกทำางานไดโดยตรง (Executable)

2. การฝงสครปตไวในหนาเวบไซตทโจมตชองโหวของเบราวเซอรหรอปลกอนใน เบราวเซอร ซงหากเขาชมหนาเวบไซตโดยใชซอฟตแวรทมชองโหวกจะถกดาวนโหลดมลแวรมาตดตงโดยอตโนมต (Drive-by-download)

870

32 18 14 12 9 4 2 1 1

24

0 1 0 1 5 1 0 0 0

GO.TH AC.TH CO.TH OR.TH COM MI.TH IN.TH NET INFO ORG

สถตเวบไซตในประเทศไทยทถกเจาะระบบ แบงตามโดเมน

Web defacement Information leak

28

ThaiCERT ANNUAL REPORT 2016

3. ไมมไฟลมลแวรหรอสครปตสำาหรบโจมตฝงอยในเวบไซตโดยตรง แตมคำาสงสำาหรบเปลยนเสนทาง (Redirect) ไปยงหนาเวบไซตอนทถกใชเพอแพรกระจายมลแวร

สถตเวบไซตในประเทศไทยทถกใชในการแพรกระจายมลแวร แบงตามโดเมน แสดงดงรปท 7

รปท 7 สถตเวบไซตในประเทศไทยทถกใชในการแพรกระจายมลแวร แบงตามโดเมน

การดำาเนนการของไทยเซรต

• ในกรณทพบวาเวบไซตถกใชแพรกระจายมลแวร โดยสวนใหญสาเหตเกดจากเวบไซตถกเจาะระบบ ซงไทยเซรตจะแจงใหผดแลระบบทราบ รวมทงแนะนำาวธแกไขปญหาทางเทคนคเบองตน

• ตรวจสอบวา URL ทไดรบแจงวาเปนการแพรกระจายมลแวรนนเปนการแพรกระจายในรปแบบใด หากพบวาเปนการแพรกระจายไฟลมลแวรโดยตรง ในบางกรณจะมการนำาไฟลมลแวรทพบมาวเคราะหดวย

3.1.2 กรณศกษาและปญหาทพบในกรณภยคกคามทเปนการเจาะระบบเวบไซต (เชน Intrusion, Fraud, Malicious code) พบวาสาเหตหลกททำาใหระบบถกโจมต สามารถแบงออกไดเปน 2 กรณ คอ ปญหาดานเทคนค และปญหาดานการบรหารจดการ

กรณปญหาดานเทคนค

เวบไซตทถกโจมต มทงเวบไซตทใช CMS (Content Management System) และเวบไซตทพฒนาระบบขนมาเอง ในกรณทเปนการใช CMS สวนใหญสาเหตหลกททำาใหเวบไซตถกเจาะระบบเกดจากการใชซอฟตแวรเวอรชนเกาทไมไดรบการอปเดตแกไขชองโหวดานความมนคงปลอดภย และการใชงานรหสผานสามารถคาดเดาไดงาย

ในกรณทเปนการพฒนาระบบเวบไซตขนมาใชงานเอง สวนใหญพบปญหาทเกดจากเขยนโคดไมมความมนคงปลอดภยเพยงพอ รวมถงไมมการตรวจสอบชองโหวของระบบกอนนำามาใชงาน

นอกจากน การใชโฮสตรวมกน (Shared hosting) แตมการตงคาการทำางานทไมเหมาะสม กเปนอกสาเหตหนงททำาใหเวบไซตจำานวนมากถกเจาะระบบ เนองจากหากมเวบไซตทอยในโฮสตเดยวกนเพยงเวบไซตหนงถกเจาะระบบ กจะทำาใหผโจมตสามารถเจาะระบบเวบไซตอน ๆ ทอยในโฮสตเดยวกนได

COM27%

AC.TH24%CO.TH

19%

GO.TH16%

IN.TH3%

3%

NET3%

OR.TH3%

ORG2%

29

ThaiCERT ANNUAL REPORT 2016

กรณปญหาดานการบรหารจดการ

หากไดรบแจงการเจาะระบบเวบไซตหรอแพรกระจายมลแวร ไทยเซรตใชระยะเวลาเฉลยไมเกน 2 ชวโมงในการตรวจสอบและประสานงานไปยงผดแลเวบไซตหลงจากทไดรบแจงเหต (หากผเจาะระบบใชวธซอนอำาพรางเชนตงคาใหเขาถงไดเฉพาะบางเงอนไข กอาจตองใชเวลา ในการตรวจสอบนานขน) อยางไรกตาม ระยะเวลาในสวนของการแกไขเวบไซตใหกลบส สภาพปกตนนขนอยกบผดแลระบบ

มบางกรณทไมสามารถตดตอผดแลเวบไซตไดตามชองทางทระบ หรอตดตอไปแลวพบวาผดแลระบบไมมสทธในการแกไขปญหา นอกจากนยงพบวา บางเวบไซตผดแลแกไขปญหาดวยการลบไฟลออกหรอนำาขอมลทสำารองไวกลบมาใชงาน แตไมไดแกไขชองโหว ทำาใหระบบถกกลบมาโจมตใหมไดอกครง โดยในป 2559 พบ 442 กรณทเวบไซตถกเจาะระบบซำาอกครงหลงจากทมการประสานงานแกไขปญหาไปแลว

3.2 ThaiCERT GMSในป 2559 ไทยเซรตไดดำาเนนโครงการ ThaiCERT GMS (Government Monitoring System) ตอเนองเปนปท 2 โดยโครงการนมภารกจหลก 2 ประการ คอ เฝาระวงภยคกคาม (Threat monitoring) และปองกนการโจมตเวบไซต (Website protection)

โครงการ ThaiCERT GMS ใหบรการแกหนวยงานทเปนโครงสรางพนฐานสำาคญของประเทศ หนวยงานทเกยวของกบการรกษาความมนคงของชาต และหนวยงานทมความเสยงตอเหตการณดานความมนคงปลอดภยไซเบอร โดยในเดอนธนวาคม 2559 โครงการ ThaiCERT GMS ครอบคลมการดแลหนวยงานระดบกรมในประเทศไทยแลว 123 หนวยงาน

ประโยชนเบองตนทหนวยงานจะไดรบจากการเขารวมโครงการ ThaiCERT GMS คอการเพมความมนคงปลอดภยใหกบระบบสารสนเทศ เนองจากไทยเซรตไดมการตรวจสอบวเคราะหเหตการณภยคกคามไซเบอรทเกดขนกบระบบสารสนเทศของหนวยงาน อกทงยงเตรยม ความพรอมสำาหรบการรบมอภยคกคามทางไซเบอรเพอใหสามารถตอบสนองตอเหตการณดงกลาวไดอยางทนทวงท นอกจากน ยงชวยใหหนวยงานสามารถทราบถงภาพรวมของการ

โจมตระบบสารสนเทศทเกดขน เพอเตรยมความพรอมการรบมอทมประสทธภาพ นบเปนการชวยยกระดบการใหบรการและเพมความนาเชอถอดานระบบงานสารสนเทศใหแกหนวยงานของรฐ

3.2.1 ภาพรวมของโครงการไทยเซรตใหบรการแกหนวยงานทเขารวมโครงการ ThaiCERT GMS โดยตรวจวเคราะหการโจมตระบบสารสนเทศ เชน การแพรกระจายมลแวรภายในระบบเครอขายของหนวยงาน การพยายามโจมตระบบจากเครอขายภายนอก การพยายามบกรกเวบไซต โดยจะมเจาหนาทรบผดชอบระบบตรวจวเคราะหการโจมตและประสานงานเพอแกไขปญหาตลอด 24 ชวโมง

หนวยงานทเขารวมโครงการ ThaiCERT GMS จะไดรบรายงานเหตการณภยคกคามทเกดขน เพอใหทราบถงสถานการณ โดยรายงานประกอบดวยรายละเอยดทางเทคนคของปญหาทพบและแนวทางการแกไข ประเภทของรายงานทจดสงใหกบหนวยงานทเขารวมโครงการ แบงออกไดเปน 3 รปแบบ คอ

1. รายงานสรปภาพรวม (Summary report) เปนรายงานสรปภาพรวมของภยคกคามทพบในแตละสปดาห โดยหากระบบเฝาระวงภยคกคามสามารถตรวจสอบพบการโจมตหรอเหตการณผดปกตใด ๆ เจาหนาทเทคนคจะดำาเนนการวเคราะหเพอยนยนวาขอมลดงกลาวเปนการโจมตจรง จากนนจะนำาขอมลทไดมาสรปนำาเสนอเปนรายงานสถานการณภยคกคาม โดยแยกตามแตละระบบของหนวยงาน เพอใหผดแลระบบสามารถดรายละเอยดทเกยวของ เชน IP ทเขามาโจมต จำานวนเหตการณทเกดขน ชวงเวลาทเกดเหต เปนตน พรอมทงนำาเสนอขอแนะนำาเบองตนในการรบมอและแกไขปญหา

2. รายงานสรปประจำาเดอน (Monthly report) เปนรายงานสรปภาพรวมของภยคกคามทพบตลอดทงเดอน ซงจะเปนการนำาขอมลจากรายงานสรปประจำาวนของหนวยงานมาวเคราะหในเชงสถต ประกอบกบขอมลเหตการณภยคกคาม ทเกดขนในปจจบน

30

ThaiCERT ANNUAL REPORT 2016

3. รายงานสถานการณฉกเฉน (Emergency report) เปนรายงานสถานการณทระบบของหนวยงานถกโจมตและผดแลระบบตองดำาเนนการแกไขในทนท โดยรายงานนจะแจงประสานใหผดแลระบบรบทราบภายใน 24 ชวโมงหลงเกดเหต

ในป 2559 ไดมการสงรายงานสถานการณฉกเฉนออกไปทงสน 59 ฉบบ โดยแบงเปนรายงานการแจงเตอนการโจมตเวบไซตทงหมด 41 ฉบบ และรายงานการพบมลแวรระบาดภายในหนวยงานทงหมด 18 ฉบบ รปแบบประเภทภยคกคามทแจงในรายงานสถานการณฉกเฉน แบงสดสวนตาม URL หรอ IP ไดดงรปท 8

รปท 8 รปแบบประเภทภยคกคามทแจงในรายงานสถานการณฉกเฉน แบงสดสวนตาม URL หรอ IP

จากขอมลจะพบวาบางเวบไซตทเขารวมโครงการ ถกโจมตระบบเวบไซตเพอฝง Web shell, ถกแกไขหนาเวบไซต (Web defacement) หรอถกฝงหนาเวบไซตปลอม (Phishing) ซงสาเหตทปรากฏขอมลเหลานเนองจากบางเวบไซตมชองโหวและถกเจาะระบบมากอนหนาทจะเขารวมโครงการ ThaiCERT GMS แลว แตผดแลระบบอาจยงไมทราบวาระบบถกโจมต เมอนำาระบบมาเขารวมโครงการจงสามารถตรวจสอบไดวามผประสงครายพยายามเชอมตอเขามายง URL ทไมใชหนาเวบไซตตามปกตและทำาใหทราบวาเวบไซตเคยถกโจมตสำาเรจแลว

นบตงแตเรมโครงการจนถงสนป 2559 มระบบทอยภายใตโครงการ ThaiCERT GMS ดงน

1. ระบบ Government Threat Monitoring (GTM) ครอบคลมการดแล 123 หนวยงานของรฐ (เพมขนจากปกอนหนา 83 หนวยงาน)

2. ระบบ Government Website Protection (GWP) ครอบคลมการดแล 1,293 เวบไซตของหนวยงานภาครฐ (เพมขนจากปกอนหนา 735 เวบไซต)

รปแบบการดำาเนนงานของระบบ GTM และ GWP ภายใตโครงการ ThaiCERT GMS เปนดงน

3.2.2 ระบบ Government Threat Monitoring (GTM)

ตรวจจบและวเคราะหภยคกคามใหกบหนวยงานทเขารวม โดยการรวบรวม log ซงเปนขอมลบนทกการทำางานของระบบตาง ๆ เชน Firewall log, IDS log, Antivirus log หรอ Web access log มาวเคราะหความสมพนธของเหตการณ (Log correlation) และนำาเสนอเปนขอมลทางสถตสำาหรบคาดการณสถานการณดานความมนคงปลอดภยไซเบอร พรอมทงตรวจจบการโจมตและแจงเตอนใหกบหนวยงานไดรบทราบ รวมถงใหขอเสนอแนะสำาหรบแกไขปองกน เพอใหหนวยงานสามารถดำาเนนการตาง ๆ ไดอยางเหมาะสม

640

442

196

30

10 8 4

MALWARE MALICIOUS URL WEB SHELL WEB DEFACEMENTVULNERABILITIES PHISHING SPAM

สถตประเภทภยคกคามทแจงในรายงานสถานการณฉกเฉน แบงสดสวนตาม URL หรอ IP

31

ThaiCERT ANNUAL REPORT 2016

สถตการโจมตระบบจากขอมล IDS log สามารถวเคราะหรปแบบการโจมตทางไซเบอร 5 อนดบแรกทพบ ในเครอขายของหนวยงานไดดงรปท 9 โดยจากสถตพบวารปแบบภยคกคามทตรวจพบมากทสดคอมการแพรกระจายมลแวรผานระบบเครอขาย (A network trojan was detected) รองลงมาคอคอมพวเตอรในหนวยงาน มพฤตกรรมการทำางานทไมพงประสงค (Potential corporate policy violation) ซงสาเหตอาจเกดจากเครองคอมพวเตอรในหนวยงานดงกลาว ตดมลแวร หรอฝาฝนนโยบายการใชงาน

รปท 9 สถตรปแบบการโจมตทางไซเบอร 5 อนดบแรก ทพบในเครอขายของหนวยงาน

สถตมลแวรทแพรระบาดในหนวยงานเมอวเคราะหขอมลทราฟฟกทเกดจากมลแวร สามารถแสดงสถตมลแวร 5 อนดบทพบมากทสดในระบบเครอขายของหนวยงานทเขารวมไดดงรปท 10

รปท 10 สถตมลแวร 5 อนดบทพบมากทสดในระบบเครอขายของหนวยงาน

หมายเหต: สาเหตทสถตการตรวจพบมลแวรมการเพมขนอยางกาวกระโดด เนองจากจำานวนหนวยงานทเขารวมโครงการมเพมขนทกเดอน โดยในเดอนกรกฎาคม 2559 มหนวยงานเขารวมโครงการเพมขนมากกวา 30 แหง

17,5

66,3

62

4,45

9,01

5

3,61

2,07

0

2,40

1,12

0

2,15

2,61

1

A NETWORK TROJAN WAS DETECTED

POTENTIAL CORPORATE POLICY VIOLATION

MISC ACTIVITY ATTEMPTED ADMINISTRATOR PRIVILEGE GAIN

ATTEMPTED DENIAL OF SERVICE

สถตรปแบบการโจมตทางไซเบอร 5 อนดบแรกทพบในเครอขายของหนวยงาน

0

500

1000

1500

2000

2500

Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec

สถตมลแวร 5 อนดบทพบมากทสดในระบบเครอขายของหนวยงาน

Zeus Miuref Necurs Sality NetWiredRC

32

ThaiCERT ANNUAL REPORT 2016

จากขอมลสถต มลแวรสวนใหญทพบในระบบเครอขายของหนวยงานทเขารวมโครงการคอสายพนธ Zeus ซงมความสามารถในการขโมยขอมลจากเครองคอมพวเตอรทตกเปนเหยอ (โดยเฉพาะรหสผานและไฟลเอกสารในเครอง) รวมถงสงใหเครองทตกเปนเหยอทำางานตามทผควบคมมลแวรตองการ (เชน ใชเปนชองทางในการโจมตคอมพวเตอรเครองอน) ไทยเซรตไดประสานกบหนวยงานเหลานเพอชวยเหลอและแนะนำาแนวทางการแกไข อยางไรกตาม เนองจากมลแวร Zeus นนถกปรบปรงพฒนาอยเรอยๆ เพอใหสามารถหลบเลยงการตรวจจบได จงทำาใหระบบทตกเปนเหยอของมลแวรชนดนยงคงมปรมาณสง

สถตมลแวรอนดบตอมาทนาสนใจคอ Necurs ทพบการแพรระบาดตงแต ปลายป 2555 แลวหยดหายไประยะหนง แตกลบมาแพรระบาดใหมอกครงในชวงกลางป 2559 โดยในชวงเวลาใกลเคยงกนพบการเพมขนของเครองคอมพวเตอรทตดมลแวร Sality ซงเปนมลแวรทเคยแพรระบาดมากอนหนานเชนกน สาเหตหลกททำาใหเครองคอมพวเตอรเหลานตดมลแวรคอยงคงมการใชงานซอฟตแวรเวอรชนเกา (เชน Windows XP) ทขาดการอปเดตแกไขชองโหวดานความมนคงปลอดภย

ในเดอนพฤศจกายนและธนวาคม 2559 มการเพมขนอยางมากของเครองคอมพวเตอรทตดมลแวร Miuref ถงแมวามลแวรชนดนจะยงไมพบรายงานวาสรางความเสยหายไดมากนกเมอเทยบกบมลแวรสายพนธอน (เปนมลแวรลกษณะ Spyware สอดแนมพฤตกรรมการใชงาน) แตจากชองทางการแพรระบาดของมลแวรชนดน ทอาศยการโจมตโดยหลอกวาเปนซอฟตแวรทไดรบความนยมเพอใหผใชดาวนโหลดมาตดตง กสามารถเปนขอมลใหกบหนวยงานทตกเปนเหยอไดวาควรพจารณาแนวทางการจำากดไมใหผใชตดตงโปรแกรมอนนอกเหนอจากททางหนวยงานกำาหนดไว หรอควรจดใหดาวนโหลดซอฟตแวรจากแหลงทเชอถอได

กรณศกษา การวเคราะหเวบไซต ทถกโจมตฝง BACKDOORจากการวเคราะห Web access log ของเวบไซตทเขารวมโครงการกวา 500 เวบไซต ไทยเซรตไดตรวจพบรปแบบการเจาะระบบเวบไซตเพอฝงและเรยกใชงาน Backdoor ประเภท Web shell ซงเปนไฟลทผ ประสงครายอปโหลดขนมาไวทเซรฟเวอรเพอใช เปนชองทางในการเชอมตอเขามาควบคมและสงการในภายหลง ผลการตรวจวเคราะห พบวาเวบไซตทเขารวมโครงการถกฝง Backdoor ไมนอยกวา 60 เวบไซต โดยบางเวบไซตพบ Backdoor มากถง 35 ไฟล ซงแสดงใหเหนวาเวบไซตนมชองโหวทเปนทรจกทวไปและสามารถถกโจมตไดงาย ตวอยาง Backdoor ทพบ แสดงดงรปท 11

รปท 11 ตวอยาง Backdoor ประเภท Web shell ทพบในเครองเซรฟเวอร ของหนวยงานทเขารวมโครงการ

33

ThaiCERT ANNUAL REPORT 2016

ตรวจสอบชองทางการโจมต พบวาผประสงครายใชหลายวธในการเจาะระบบเวบไซตเพอใหไดสทธในการอปโหลดไฟลขนมาไวทเซรฟเวอร เชน ใชชองโหว SQL injection, พยายามเดารหสผานผดแลระบบดวยวธ Brute force

อยางไรกตาม มบางเวบไซตทผดแลระบบตงรหสผานไมเหมาะสม ใชรหสผานทสามารถคาดเดาไดงาย จงทำาใหเวบไซตถกเจาะระบบเขามาได

ไทยเซรตไดวเคราะหชองโหวอน ๆ เพมเตม และจดทำารายงานเพอแจงใหผดแลระบบทราบ พรอมขอแนะนำาในการแกไขปญหา โดยเบองตนแนะนำาใหผดแลเวบไซตลบไฟล Backdoor ออกจากระบบ และปรบปรงการพฒนาเวบไซตใหมความมนคงปลอดภย โดยอาจพจารณาอางองตามเอกสาร Website Security Standard ของ สพธอ. (ดาวนโหลดไดจาก http://standard.etda.or.th/wp/?page_id=5035)

กรณศกษาท 2 การวเคราะหมลแวรในระบบเครอขายหนวยงานภาครฐ

จากการวเคราะห IDS log ของหนวยงานแหงหนงทเขารวมโครงการ พบทราฟฟกการเชอมตอทตองสงสยวาสงมาจากคอมพวเตอรทตดมลแวร เชน มการเชอมตอไปยง IP ทถกประกาศวาเปนเครองเซรฟเวอรทใชควบคมและสงการมลแวร (Command and Control) สายพนธ Zeus ไทยเซรตจงไดนำาขอมลนไปตรวจสอบเพมเตมกบ IDS log ของหนวยงานอนทเขารวมโครงการ

ผลการตรวจสอบ พบวาเครองคอมพวเตอรในระบบเครอขายของหนวยงานทเขารวมโครงการ ThaiCERT GMS ไมนอยกวา 20 แหง ตกเปนเหยอของมลแวร Zeus ไทยเซรตไดแจงรายงานไปยงผดแลระบบของหนวยงานเหลานน พรอมแนะนำาแนวทางการแกไขปญหา เชน ตงคาบลอกการเชอมตอไปยงเซรฟเวอรทใชควบคมเครองทตดมลแวร แยกเครองทตดมลแวร ออกจากระบบเครอขาย รวมถงวธกำาจดมลแวรและปรบปรงระบบเพอใหมการปองกนทดยงขน

3.2.3 ระบบ Government Website Protection (GWP)ปองกนภยคกคามกอนทจะเกดขนกบเวบไซตของหนวยงานทเขารวมโครงการ โดยจะมระบบปองกน พรอมแจงเตอนและสงขอมลการโจมตใหกบหนวยงานทอยภายใตการดแล พรอมจดเตรยมทมงานเฝาระวงเหตการโจมตทางไซเบอรในลกษณะเปนศนย CSOC (Cybersecurity Operation Center) สำาหรบตดตามเหตการณภยคกคามไซเบอรจากทวโลก รวมถงให คำาปรกษาในการแกไขปญหาเหตภยคกคามและเรองตาง ๆ ทเกยวของผานรปแบบทงโทรศพทและอเมล ตลอด 24 ชวโมง

ระบบ GWP ประกอบดวยงานหลก 2 สวน คอ ตรวจสอบชองโหวเวบไซต และตดตงระบบปองกนการโจมต

ตรวจสอบชองโหวเวบไซต

เวบไซตทเขารวมโครงการ GWP โดยสวนใหญจะไดรบการตรวจสอบชองโหวอยางนอย 1 ครง ชองโหวทพบ จะถกจดแบงเปนออก 2 ระดบ คอ ชองโหวรายแรง และชองโหวทควรพจารณา

• ชองโหวรายแรง คอชองโหวทควรดำาเนนการแกไขอยางเรงดวน เพราะมผลกระทบตอเซรฟเวอรหรอเวบไซตโดยตรง อาจถกขโมยขอมล ถกเจาะระบบ หรอถกทำาใหระบบไมสามารถใหบรการตอได เชน ชองโหวทเปดใหผประสงครายเชอมตอเขามาควบคมเครองเซรฟเวอรได

• ชองโหวทควรพจารณา คอชองโหวทสามารถถกใชเปนขอมลเพอสนบสนนในการเจาะระบบ เชน การแสดงผลขอผดพลาดทมการเปดเผยขอมลสำาคญของระบบ (เชน รายชอหรอเวอรชนของซอฟตแวรทใช) การตงคาระบบไมมความมนคงปลอดภยเพยงพอ

ไทยเซรตไดตรวจสอบชองโหวของเวบไซตทเขารวมโครงการ GWP จำานวน 389 เวบไซต พบวากวา 87% มชองโหวรายแรง โดยสถตชองโหวรายแรงทพบมากทสด 3 อนดบแรก คอ Cross-Site Scripting (XSS), SQL Injection และชองโหวใน Joomla! เวอรชนเกา ซงหากเวบไซตเหลานไมไดเขารวมโครงการ GWP เพอตรวจสอบชองโหวและปองกนการโจมต อาจถกผประสงครายเจาะระบบเขามาควบคมเวบไซตเหลานนไดทนท

34

ThaiCERT ANNUAL REPORT 2016

ตดตงระบบปองกนการโจมตเวบไซต (GWP)

ระบบปองกนการโจมตเวบไซตทตดตงในหนวยงานทเขารวมโครงการ ทำางานในลกษณะเปน Web application firewall (WAF) และ DDoS protection โดยสามารถตรวจสอบและปองกน การโจมต รวมทงสงขอมล log มาวเคราะหเพมเตมทไทยเซรตได

ระบบ Web application firewall ชวยปองกนการโจมต Web application โดยหากพบวามทราฟฟกทเปนลกษณะการโจมตเขามา จะบลอกทราฟฟกนน นอกจากน เมอไดรบรายงานวามการประกาศชองโหวทยงไมมแพตชแกไข (0-day) โดยเฉพาะชองโหวในซอฟตแวร CMS ทนยมใชในหนวยงานภาครฐ (เชน Joomla, Wordpress) ไทยเซรตยงไดวเคราะหชองโหวและพฒนาวธการตรวจจบ (Signature) เพอใชปองกนการโจมตกอนมแพตชอยางเปนทางการ

ระบบ DDoS protection ชวยปองกนการโจมตแบบ DDoS ซงจากขอมลทวเคราะหได พบวาเมอเกดเหตการณโจมตแบบ DDoS มการใช IP จากตางประเทศเขามาโจมตมากกวา IP จากในประเทศประมาณ 10 เทา เพอลดผลกระทบจากการโจมต ไดมการ ตงคาระบบใหบลอกการเชอมตอจาก IP ตางประเทศโดยอตโนมตหากพบวาระบบกำาลงถกโจมตแบบ DDoS สถตประเทศทเปนตนทางการโจมตแบบ DDoS 10 อนดบแรก เปนดงรปท 12

รปท 12 สถตประเทศทเปนตนทางการโจมตแบบ DDoS 10 อนดบแรก

3.2.4 สรปสถานะโครงการ ThaiCERT GMS ในป 2559

หนวยงานทเขารวมโครงการ ThaiCERT GMS สามารถเหนมมมองภาพรวมของการโจมตทางไซเบอรจากภายนอกทเขามายงหนวยงานและการโจมตจากเครอขายภายใน โดยขอมลเหลานสามารถนำาไปปรบปรงแผนการรบมอเพอใหมประสทธภาพมากขนและการใหบรการคงความ นาเชอถอ

จากผลสำาเรจของโครงการ ThaiCERT GMS ทไดดำาเนนการมากวา 2 ป ไดมหนวยงานของรฐ เขามาอยภายใตการดแลเพมมากขนเปนลำาดบ โดยภายในป 2560 มแผนขยายความครอบคลมเพมขนอก 80 หนวยงานสำาหรบระบบ GTM และอก 240 เวบไซต สำาหรบระบบ GWP

China16%

Thailand15%

Brazil13%

Vietnam13%

USA9%

India9%

Turkey7%

Russia7%

South Korea7%

Ukraine4%

35

ThaiCERT ANNUAL REPORT 2016

3.3 Digital Forensics

ในป 2559 ศนยดจทลฟอเรนสกส ไดตรวจพสจนพยานหลกฐานดจทลทงหมด 29 เคส โดย 83% ของเคสทงหมดทไดดำาเนนการเปนการนำาผลตรวจพสจนไปใชในเชงกฎหมาย รปแบบเคสทได ตรวจวเคราะหมากทสดคอการตรวจสอบประวตการใชงานเครองคอมพวเตอรและอปกรณสอสารทตองสงสยวาเกยวของกบการกอเหตอาชญากรรม สดสวนเคสทไดดำาเนนการ สามารถแบงตามรปแบบการตรวจวเคราะหไดดงรปท 13

รปท 13 สดสวนเคสทศนยดจทลฟอเรนสกสไดด�าเนนการ แบงตามรปแบบการตรวจวเคราะห

กรณศกษา การกคนขอมลจากฮารดดสกทไดรบความเสยหายทางกายภาพ

ศนยดจทลฟอเรนสกส ไดตรวจวเคราะหเคสทตองกคนขอมลจากฮารดดสกทไดรบความเสยหายทางกายภาพ โดยจากการตรวจสอบเบองตนพบวาเมอจายไฟใหกบฮารดดสก ลกดงกลาวแลวไมพบการหมนของจานแมเหลก และไมสามารถเชอมตอกบเครองคอมพวเตอรหรอเครองมอตรวจพสจนพยานหลกฐานเพอวเคราะหขอมลได เจาหนาทศนยฯ คาดวาฮารดดสกอาจไดรบความเสยหายทระดบแผงวงจร

ในเบองตน เจาหนาทศนยฯ ไดทดลองซอมฮารดดสกโดยถอดเปลยนแผงวงจรของฮารดดสกทเสยหาย สลบกบแผงวงจรจากฮารดดสกลกใหมทเปนรนเดยวกน หลงจากซอมแซมดวยวธดงกลาวไดทดลองจายไฟเขาไปยงฮารดดสก พบวามเสยงการหมนของจานแมเหลกปรากฏ ขนมาเปนระยะเวลาสน ๆ แลวหยดไป ยงไมสามารถอานขอมลจากฮารดดสกดงกลาวได จงคาดวาฮารดดสกอาจมความเสยหายในสวนหวอานดวย

Cyber attack17%

Data recovery17%

Multimedia analysis7%

Piracy11%

Traces of crime48%

สดสวนเคสทไดดาเนนการ แบงตามรปแบบการตรวจวเคราะห

36

ThaiCERT ANNUAL REPORT 2016

เนองจากจำาเปนตองมการถอดประกอบชนสวนฮารดดสกเพอเปลยนหวอาน เจาหนาทศนยฯ จงไดนำาฮารดดสกดงกลาวเขาซอมแซม

ในหองปลอดฝน (Clean room) เพอปองกนไมใหอปกรณภายในฮารดดสกไดรบความเสยหายจากฝนละอองในอากาศ ตวอยางการซอมแซมฮารดดสก

ในหองปลอดฝนแสดงดงรปท 14

รปท 14 ตวอยางการซอมแซมฮารดดสกในหองปลอดฝน

37

ThaiCERT ANNUAL REPORT 2016

เจาหนาทศนยฯ ไดวเคราะหวาสาเหตทเมอจายไฟเขาไปยงฮารดดสกแลวพบวาจานแมเหลกมการหมนเปนระยะเวลาสน ๆ แลวหยดไป อาจเกดจากการทหวอานของฮารดดสกไมไดอยในตำาแหนงทพกหวอาน (ในการทำางานของฮารดดสกแบบจานแมเหลก หากไมมการอานเขยนขอมล หวอานจะตองเคลอนมายงตำาแหนงทพก ซงหากมการจายไฟเขาไปยงฮารดดสก แตหวอานไมไดอยในตำาแหนงดงกลาว กลไกของฮารดดสกจะไมทำางานตอเพอปองกนความเสยหาย) จากการตรวจสอบพบวาตำาแหนงของหวอานไมไดอยในตำาแหนงทพก ซงอาจเกดจากฮารดดสกถกหยดทำางานแบบผดปกต เชน ไฟกระชาก หรอตกกระแทกขณะมการใชงาน เจาหนาทศนยฯ ไดใชอปกรณพเศษเพอขยบหวอานใหเขาไปอยในตำาแหนงทพก จากนนทดลองนำามาอานขอมลอกครง พบวาสามารถเขาถงขอมลในฮารดดสกได

อยางไรกตาม เจาหนาทศนยฯ พบวาขอมลจำานวนมากไมสามารถอานได คาดวาหวอาน บางชนอาจไดรบความเสยหายดวย จงไดทำาการเปลยนหวอานฮารดดสก แลวนำามาอานขอมลอกครง พบวาสามารถอานและทำาสำาเนาขอมลได แตขอมลทสามารถนำามาวเคราะหตอไดเปนเพยงขอมลบางสวนเทานน เนองจากจานแมเหลกไดรบความเสยหายทางกายภาพทำาใหพนทบนทกขอมลไดรบความเสยหายเปนจำานวนมาก ทำาใหการกคนขอมลไมสมบรณ

กรณศกษา การตรวจวเคราะหเวบไซตหนวยงานภาครฐถกเจาะระบบ

ศนยดจทลฟอเรนสกส ไดตรวจวเคราะหเครองเซรฟเวอรของระบบเวบไซตหนวยงานภาครฐแหงหนง เพอตรวจสอบชองทางทผโจมตใชในการบกรกแกไขหนาเวบไซต โดยศนยฯ ไดวเคราะหขอมลทเกยวของ เชน Log การเขาใชงาน ขอมลการตงคาเวบไซต ไฟลหนาเวบไซตทเกยวของ

ผลการตรวจพสจนในเบองตน พบวาในชวงระยะเวลากอนทหนาเวบไซตจะถกแกไข ผโจมตไดเขาถงไฟลประเภท Backdoor ซงถกตดตงอยในเซรฟเวอร โดยไฟลดงกลาวทำาใหผโจมตสามารถควบคมสงการเครองเซรฟเวอร รวมถงเปลยนแปลงแกไขขอมลในเครองได ตอมาไดตรวจสอบสาเหตทไฟล Backdoor เขามาอยในระบบ พบวาเวบไซตดงกลาวมบรการทเปดให

บคคลภายนอกสามารถอปโหลดไฟลรปภาพเขามาในระบบได แตไมไดมการตรวจสอบความถกตองของไฟลทรบเขามา ทำาใหผโจมตใชชองโหวนในการอปโหลดไฟลอนทไมใช ไฟลรปภาพเขามาในระบบและสามารถสงประมวลผลไฟลนได

จากขอมลทพบ เจาหนาทศนยฯ ไดตรวจวเคราะหเพมเตมเพอคนหาวามไฟลอนทเปน Backdoor ถกซอนอยในระบบหรอไม โดยตรวจสอบ Web access log เพอคนหาประวตการเรยกใชงานไฟลทมลกษณะผดปกต รวมถงตรวจสอบเนอหาของไฟลในเวบไซตทมโคดลกษณะนาสงสยวาอาจเปน backdoor เชน ไฟลทมโคดเปนคำาวา “eval(“, “exec(“ หรอ “system(“

ผลการตรวจสอบ พบวาเซรฟเวอรดงกลาวมไฟลทมลกษณะเปน Backdoor มากกวา 3,000 ไฟล และมบางไฟลทถกอปโหลดเขามาในระบบอยแลวเปนเวลานานกอนหนาทจะพบวาเวบไซตถกเปลยนแปลงแกไข ศนยดจทลฟอเรนสกสไดแจงขอมลทวเคราะหไดใหกบผดแลเวบไซต พรอมแนะนำาใหนำาระบบเวบไซตเขารวมโครงการ ThaiCERT GMS เพอตรวจสอบชองโหวอน ๆ และปองกนการโจมตทอาจจะเกดขนในอนาคต

38

ThaiCERT ANNUAL REPORT 2016

หนวยงานทเข�รวมโครงการ ThaiCERT GMS สามารถเหนมมมองภ�พรวมของ ก�รโจมตทางไซเบอรจากภายนอกทเขามายงหนวยงานและการโจมตจากเครอขายภายใน โดยขอมลเหลานสามารถนำ�ไปปรบปรงแผนก�รรบมอเพอใหมประสทธภ�พม�กขนและการใหบรการคงความนาเชอถอ

ชยชนะ มตรพนธรองผอ�านวยการ สพธอ.

39

บทท 4 กจกรรมและการพฒนาศกยภาพบคลากร4.1 ThaiCERT GMS

สพธอ. ไดจดงานสมมนาเรอง “แนวทางรบมอและปองกนการโจมตทางไซเบอร ภายใตโครงการ ThaiCERT Government Monitoring System (ThaiCERT GMS)” ขนเมอวนศกรท 12 กมภาพนธ 2559 ณ หองเลอคองคอรด บอลรม โรงแรมสวสโซเทล เลอคองคอรด โดยไดรบเกยรตจาก ดร.อตตม สาวนายน รฐมนตรวาการกระทรวงเทคโนโลยสารสนเทศและการสอสาร ประธานเปดงาน และสรปภาพรวมของการดำาเนนงานโครงการ ThaiCERT GMS ในปทผานมา

ตงแตป 2558 ไทยเซรตไดดำาเนนโครงการนำารองในการตดตงอปกรณใหกบหนวยงานภาครฐจำานวน 40 แหง ประโยชนเบองตนทหนวยงานรฐจะไดรบคอ การเพมความมนคงปลอดภยใหกบระบบสารสนเทศของหนวยงาน สามารถตรวจสอบวเคราะหเหตการณภยคกคามไซเบอร ทเกดขนตอระบบไอทไดอยางทนทวงท ทสำาคญคอ สามารถมมมมองตอภาพรวมการโจมตระบบ พรอมสรางการรบมอทมประสทธภาพ ซงจะชวยแกไขปญหาภยคกคามไซเบอร ยกระดบการใหบรการ พรอมทงเพมความนาเชอถอใหแกหนวยงานภาครฐตอไป

40

แผนการดำาเนนงานในป 2559 ไทยเซรตจะขยายขอบเขตความครอบคลมโครงการ ThaiCERT GMS เพมขน เพอเตรยมความพรอมในการรบมอและปองกนการโจมตทางไซเบอรใหกบหนวยงานทเปนโครงสรางพนฐานสำาคญของประเทศ และหนวยงานทมความเสยงตอเหตการณดานความมนคงปลอดภย โดยในป 2559 จะดำาเนนงานตดตงอปกรณดานการเฝาระวงใหกบ 80 หนวยงาน 240 เวบไซต และจะเรงขยายการทำางานอยางตอเนอง เพอเสรมศกยภาพของการเฝาระวง ตลอดจนการปองกนการโจมตใหครอบคลมหนวยงานในระดบกรมตอไป

4.2 CERT Readiness

งาน Open Forum หวขอ การจดตง CSIRTจากปญหาภยคกคามไซเบอรททวความรนแรงมากขน กอใหเกดความตระหนกในหนวยงาน ถงการมทมงานดาน Cybersecurity เพอตงรบภยไซเบอรไดอยางทนทวงท รวมถงการแชรขอมลกบทมหรอหนวยงานอน ๆ เพอควบคมและระงบการแพรขยายของเหตภยคกคามใหเรวทสด

เมอวนท 7 กรกฎาคม 2559 สพธอ. ไดจดงาน Open Forum ในหวขอ “แนวทางการ จดตง Computer Security Incident Response Team (CSIRT) เพอเตรยมรบมอ ภยคกคามไซเบอร (CSIRT Building Recommendations for Handling Cyber Threats)” โดยไทยเซรต พรอมทจะสนบสนนใหหนวยงานตาง ๆ จดตง CERT (Computer Emergency Response Team) หรอ CSIRT ขนภายในหนวยงานของตนเอง

การลงนามบนทกขอตกลงความรวมมอโครงการ CERT Readinessจากมตทประชมคณะรฐมนตร เมอวนท 2 สงหาคม 2559 เหนชอบใหกระทรวงเทคโนโลยสารสนเทศและการสอสาร (ขณะนน) โดย สพธอ. เปนศนยกลางในการประสานงานกบหนวยงานของรฐ เพอนำาขอเสนอแนะมาตรฐานการรกษาความมนคงปลอดภยสำาหรบเวบไซต (Website Security Standard) ไปใชในการดำาเนนงาน และรวมกบหนวยงานทเกยวของจดตง Sector-based CERT ในหนวยงานสำาคญ เชน ดานการเงน การลงทน การคา โครงสรางพนฐานสำาคญ ฯลฯ ซงจะเปนกลไกในการตอบสนองตอภยคกคามไซเบอร

41

ThaiCERT ANNUAL REPORT 2016

สพธอ. จดพธลงนามบนทกขอตกลงความรวมมอดานการยกระดบความพรอมรบมอภยคกคามไซเบอร (CERT Readiness) ตอภาคธรกจ การคา อตสาหกรรม และโครงสรางพนฐานสำาคญของประเทศ เมอวนท 22 กนยายน 2559 ณ ศนยประชมสเปซ อาคารเดอะ ไนน ทาวเวอร แกรนด พระรามเกา

การลงนาม MoU ในครงนจดขนเพอสนบสนนการสรางและขยายเครอขาย CERT ในประเทศไทย โดยมไทยเซรตทำาหนาทเปนพเลยงในการจดตง Sector-based Computer Emergency Response Team หรอ Sector-based CERT และพฒนาบคลากรดาน การรกษาความมนคงปลอดภยไซเบอร เพอใหมความพรอมในการรบมอตรวจจบวเคราะห รวมถงประเมนความเสยงและชองโหวของระบบสารสนเทศจากภยคกคามไซเบอรใหแกหนวยงานทเปนโครงสรางพนฐานสำาคญ โดยเฉพาะหนวยงานใน Sector เดยวกน รวมทงประสานการทำางานกบเครอขายความรวมมอกบ Community ของ CERT ในประเทศ

งาน Open Forum หวขอ CSIRT Promotion Seminarเมอวนท 29 พฤศจกายน 2559 สพธอ. รวมกบ Nippon Telegraph and Telephone EAST Corporation (NTT-EAST) ประเทศญปน ไดเปดเวท Open Forum ในหวขอ “CSIRT Promotion Seminar” เชญผมประสบการณตรงจากประเทศญปน ใหความรและแชรประสบการณถงแนวทางและเคลดลบในการจดตงทม CSIRT (ซเซรต) หรอ Computer Security Incident Response Team เพอเปนแนวทางใหแกหนวยงานและองคกรของไทย

เวทครงน ไดรบเกยรตจาก Yoshiki Sugiura แหง NTT-EAST และ Nippon CSIRT Association (NCA) มาพดคยในเรองกจกรรมของ CSIRT ในประเทศญปน และเคลดลบในการจดตง CSIRT ในองคกร โดยม Itaru Kamiya แหง Nippon Telegraph and Telephone Corporation (NTT) แนะนำาในสวนของ NTT-CERT ปดทายดวยทาง สพธอ. ทไดนำาเสนอถงการจดทำา “คมอการจดตง CSIRT (Establishing a CSIRT)” ซงสพธอ. และไทยเซรต ไดออกแบบมาสำาหรบองคกรตาง ๆ ทตองการจะเรยนรเพมเตมเกยวกบ CSIRT และตองการจดตง CSIRT ขนมาภายในองคกร

ภายในคมอการจดตง CSIRT (Establishing a CSIRT) จะมรายละเอยดเกยวกบกระบวนการจดตง CSIRT และขอกำาหนดตาง ๆ รวมทงสอดแทรกตวอยาง เพอใหเขาใจและเหนภาพวาจะดำาเนนการตามขนตอนแตละขนใหสำาเรจไดอยางไร โดยเปนคมอทเหมาะสำาหรบเจาหนาทในระดบบรหาร และเจาหนาทดานเทคนคกสามารถใชประโยชนในการอางองจากคมอฉบบนไดเชนกน โดยสามารถดาวนโหลดเอกสารไดท https://www.thaicert.or.th/downloads/

4.3 Digital Forensics

เนองจากปจจบน มคดความทจำาเปนตองอาศยพยานหลกฐานดจทลมากขนเรอย ๆ เมอวนท 20 มกราคม 2559 สพธอ. จงไดเปดเวท Open Forum ในหวขอ “มาตรฐานและแนวปฏบตพนฐาน: การจดเกบและตรวจวเคราะหขอมลอเลกทรอนกส เพอกระบวนการยตธรรมไทย

43

ThaiCERT ANNUAL REPORT 2016

(Fundamental standards and practices: Electronic data collection and analysis for judicial process)” เพอเปดโอกาสใหทกภาคสวน ทงผปฏบต นกวชาการ อยการ ตำารวจ ไดมโอกาสแสดงความคดเหนเกยวกบการปฏบตงานตรวจพสจนพยานหลกฐานดจทลหรอดจทลฟอเรนสกส (Digital Forensics) ในกระบวนการยตธรรม และการจดทำามาตรฐานรองรบในการปฏบตงาน

สพธอ. ไดรวมมอกบคณะทำางาน ประกอบดวย สถาบนนตวทยาศาสตร กระทรวงไอซท สำานกงานตำารวจแหงชาต กองบงคบการปราบปรามการกระทำาความผดเกยวกบอาชญากรรมทางเทคโนโลย (บก.ปอท.) สำานกงานอยการสงสด และบรษท ไพรซวอเตอรเฮาสคเปอรส คอนซลตง (ประเทศไทย) จดทำาขอเสนอแนะการปฏบตงานตรวจพสจนพยานหลกฐานดจทล (Recommendation on Digital Forensic Operations) ขน เพอใหเกดมาตรฐานทหนวยงานผเกบและตรวจวเคราะหพยานหลกฐานดจทลทกหนวยงานในไทยยอมรบและนำาไปใชปฏบตงาน พรอมประกาศใหหนวยงานทเกยวของนำาไปประยกตใชภายในเดอนมถนายน 2559 โดยสามารถดาวนโหลดเอกสารไดท https://www.thaicert.or.th/downloads/

44

ThaiCERT ANNUAL REPORT 2016

นอกจากน ศนยดจทลฟอเรนสกส สพธอ. ยงไดมการกำาหนดมาตรฐานการทำางาน ซงรวมถงการปรบปรงกระบวนการทำางาน (Procedure) ขอกำาหนด ในการดำาเนนงาน (Work Instruction) และระบบการบรหารจดการคณภาพ (Quality Management System) ใหมความเปนระบบ และไดมาตรฐานตามหลกตรวจพสจนพยานหลกฐานดจทล และสอดคลองกบมาตรฐาน ISO17025:2005 หรอเปนทรจกตามมาตรฐาน มอก.17025:2548 ในประเทศไทยอกดวย พรอมทงไดจดทำาระบบอเลรนนง และจดอบรมหลกสตรอบรมดจทลฟอเรนสกสใหกบเจาหนาทสายยตธรรม เพอใหเขาใจหลกการการตรวจพสจนพยานหลกฐานดจทลทเปนสากล เพอเพมความนาเชอถอของกระบวนการยตธรรมอกดวย ในปจจบนมเจาหนาทในสายยตธรรมทไดรบการอบรมไปแลวเปนจำานวนกวา 600 นาย

4.4 Cooperation

การลงนามบนทกขอตกลงความรวมมอรวมกบ KISA ประเทศเกาหลใตสพธอ. เขาเยยมคารวะและหารอกบ Mr. Baik, Kee-Seung, CEO and President ของ Korea Internet Security Agency (KISA) ภายใตกระทรวงวทยาศาสตร เทคโนโลยสารสนเทศและการสอสาร และการวางแผนในอนาคต (Ministry of Science, ICT and Future Planning: MSIP) รวมถงเขาเยยมชมศนยการรกษาความมนคงปลอดภยอนเทอรเนตเกาหลใต หรอ

Korea Internet Security Center (KISC) และรบฟงบรรยายสรปในการปฏบตงานของเจาหนาท Korea Computer Emergency Response Team Coordination Center (KrCERT/CC) ในการเฝาระวงและประสานงานเพอรบมอภยคกคามดานเทคโนโลยสารสนเทศและการสอสารของประเทศเกาหลใต ในบทบาทของหนวยงานประเภท CERT และมหนาทบรหารจดการความมนคงปลอดภยของเครอขายอนเทอรเนตของประเทศเกาหลใต ในหลายดาน เชน การวจยและวเคราะหเหตภยคกคามและการโจมตทางไซเบอร การรบแจงเหตและประสานการจดการกบภยคกคามบนเครอขายอนเทอรเนตไดอยางทนทวงท รวมถงการทำาหนาทเผยแพรและสงเสรมการสรางความตระหนก และพฒนาทกษะบคลากรดานเทคนค ในการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศและการสอสาร

ในการเยยมชมเมอวนท 24 มนาคม 2559 ผบรหารของ KrCERT/CC KISA และผบรหาร สพธอ. เหนชอบใหมการผสานความรวมมอและจดทำารางบนทกความเขาใจในดาน Cybersecurity

45

ThaiCERT ANNUAL REPORT 2016

ตอมา เมอวนท 4 เมษายน 2559 สพธอ. ไดลงนามบนทกขอตกลงความรวมมอ (MoU) รวมกบ KISA เพอยกระดบความรวมมอดานความมงคงปลอดภยไซเบอร การปกปองความเปน สวนตวหรอขอมลสวนบคคล อนเปนรากฐานสำาคญในการสงเสรมผลกดนการเตบโตของการทำาธรกรรมทางอเลกทรอนกสตามนโยบายเศรษฐกจดจทล

การผสานความรวมมอในครงนกบ KISA จะยงประโยชนตอการดำาเนนงานของ สพธอ. กระทรวงไอซท และประเทศไทย เปนอยางมาก ผานกจกรรมหรอโครงการตาง ๆ ทจะเกดขนในอนาคต อาท การประสานการรกษาความมนคงปลอดภยไซเบอรและจดการกบภยคกคามออนไลนทสงผลกระทบกบหนวยงานในทง 2 ประเทศ การพฒนาบคลากรผานการฝกอบรมหลกสตรตาง ๆ ใหกบบคลากรของไทยเซรต และการสรางความรวมมอและแลกเปลยนแนวปฏบตในดานการบรหารจดการเพอคมครองและปองกนการละเมดขอมลสวนบคคลบนเครอขายอนเทอรเนตในอนาคตอกดวย โดยขอตกลงพนฐานและขอบเขตการทำางานรวมกนของทงสองหนวยงานในครงน คอ การสรางความแขงแกรงดานความรวมมอทเปนประโยชนกบทงสองฝาย ในดานของความมนคงปลอดภยไซเบอร (Cybersecurity) การวเคราะหขอมล (Data Analysis) การดแลขอมลสวนบคคล (Data Privacy Practices) และธรกรรมทางอเลกทรอนกส (Electronic Transactions) ตามขอตกลงรวมบนพนฐานทเปนประโยชนทงสองฝาย

การลงนามบนทกขอตกลงความรวมมอกบไมโครซอฟท ภายใตโครงการ Government Security Programไมโครซอฟท คอรปอเรชน ประกาศความรวมมอกบรฐบาลไทย ดวยการลงนามในขอตกลงโครงการ Government Security

Program (GSP) กบ สพธอ. ซงจะเปดโอกาสให สพธอ. ไดรบขอมลเกยวกบภยคกคามทางไซเบอร ชองโหวดานความมนคงปลอดภย และขอมลภยรายอน ๆ ทเกยวของ เพอเสรมสรางศกยภาพของประเทศไทยในการรบมอกบภยอนตรายในโลกยคดจทล

โครงการ Government Security Program รเรมขนในป 2546 เพอสนบสนนการทำางานของหนวยงานภาครฐและองคกรขามชาตตาง ๆ ในการปกปองประชาชนและระบบโครงสรางพนฐานจากภยรายในโลกดจทล ผานทางเครอขายการแบงปนและแลกเปลยนขอมลทวโลก ปจจบน โครงการ GSP ถอเปนหวใจสำาคญในการปฏบตงานของไมโครซอฟทเพอสรางความเชอมนใหกบหนวยงานภาครฐทวโลก ดวยกรอบความรวมมอทเปนระบบ มกฎหมายรองรบ พรอมเสรมศกยภาพใหภาครฐทวโลกสามารถทำาการตดสนใจในประเดนดานเทคโนโลย ไดอยางแมนยำามากขน

สำาหรบโครงการ CTIP ซงเปนสวนหนงของกรอบความรวมมอในโครงการ GSP น อยภายใตความดแลของหนวยอาชญากรรมดจทลของไมโครซอฟท (Microsoft Digital Crimes Unit; DCU) โดยคสญญาในโครงการจะไดรบขอมลเกยวกบดไวซตาง ๆ ทตกเปน

เหยอของมลแวรเพอลงมอกำาจดภยรายตอไป ทงน เมอไดรบอนญาตผานทางคำาสงศาลแลว หนวยอาชญากรรมดจทลของไมโครซอฟทจะทำาการตดการเชอมตอระหวางดไวซทตดมลแวรกบศนยควบคมหรอเจาของมลแวรเพอกำาจดภยทอาจเกดจากมลแวรดงกลาว และทำาใหอาชญากรไมสามารถลงมอจโจมเปาหมายได หลงจากนน ขอมลทมลแวรพยายามสงมอบใหแกเจาของจะมการสงไปจดเกบไวในฐานขอมลดกจบของโครงการ CTIP กอนจะนำาไปแบงปนใหผรวมโครงการรบทราบและประยกตใชในการแกไขปญหาตอไป

46

ThaiCERT ANNUAL REPORT 2016

ขอมลตาง ๆ ทมอบใหกบคสญญาในโครงการ CTIP และ GSP น ไมครอบคลมถงขอมลสวนบคคล โดยจะระบเพยงแคไอพแอดเดรสและตำาแหนงตนทางของผใหบรการอนเทอรเนต นอกจากน การลงมอกำาจดมลแวรจะตองกระทำาการโดยไดรบอนญาตจากเจาของดไวซกอนเทานน

4.5 Conferences

งานเสวนา ความเปนสวนตว และการคมครองขอมลสวนบคคลสพธอ. จดปาฐกถาพเศษและการเสวนา “Cyber Security, Privacy And Data Protection” ในงานสมมนาและแสดงนทรรศการนานาชาต “ดจทลไทยแลนด 2016 (Digital Thailand 2016)” เมอวนท 27 พฤษภาคม 2559 ณ หอง Auditorium ศนยการประชมแหงชาตสรกต เพอถายทอดประสบการณดานนโยบาย เทคโนโลย และนวตกรรมดจทลทเกยวของกบความมนคงปลอดภยไซเบอร ความเปนสวนตว และการคมครองขอมลสวนบคคล ของตางประเทศและองคกรชนนำาตาง ๆ

สาระสำาคญจากงานเสวนา หลายฝายชความเปนสวนตวและความมนคงปลอดภยไซเบอร เปนสงทตองรวมมอ ทงบคคล รฐบาล และกจการตาง ๆ การมรางกฎหมายหรอกฎระเบยบ ตาง ๆ ตองรบฟงความคดเหนและขอกงวล ซงตองใชความเชยวชาญจากทกฝายเขามามสวนรวม

งานสมมนานานาชาต (ISC)² Security Congress APAC 2016(ISC)² (ไอเอสซสแควร) องคกรผเชยวชาญดานความมนคงปลอดภยสารสนเทศทใหญทสด ในโลก และเปนผออกใบรบรองผเชยวชาญดานความมนคงปลอดภยสารสนเทศ CISSP จดงานสมมนา (ISC)² Security Congress APAC 2016 ขนในระหวางวนท 25-26 กรกฎาคม 2559 ณ โรงแรมเซนทาราแกรนดและบางกอกคอนเวนชนเซนเตอร เซนทรลเวลด โดย สพธอ. ไดรบเกยรตจาก ทรงพร โกมลสรเดช ปลดกระทรวงไอซท กลาวปาฐกถาเปดงาน

47

ThaiCERT ANNUAL REPORT 2016

งานสมมนาเชงวชาการ The 8th Asian Forensic Sciences Networkศนยดจทลฟอเรนสกส ไดสงบคลากรเขารวมเปนวทยากรบรรยายในงาน The 8th Asian Forensic Sciences Network (AFSN) Annual Meeting & Symposium ซงจดขนทโรงแรม The Bekeley Hotel Pratunam กรงเทพมหานคร ระหวางวนท 16–19 สงหาคม 2559 โดยงานนมวตถประสงคเพอใหมการสรางเครอขายและแลกเปลยนประสบการณกนระหวาง ผททำางานเกยวกบการตรวจพสจนพยานหลกฐานประเภทตาง ๆ ในภมภาคเอเชย โดยในงานน บคลากรของศนยฯ ไดเขารวมกจกรรมในกลมงานตรวจพสจนพยานหลกฐานดจทล และไดบรรยาย จำานวน 2 หวขอ ไดแก

1. Privacy Cleaner Tools and Challanges in Digital Forensics เพอนำาเสนอผลการคนควาและทดสอบของศนยฯ เกยวกบผลกระทบของการใชเครองมอลบขอมลเพอรกษาความเปนสวนตว ทมตอการตรวจพสจนพยานหลกฐานดจทล

2. Examination of an Online Banking Fraud Case เพอนำาเสนอวธการและผลการตรวจพสจนพยานหลกฐานดจทลกรณการหลอกลวงออนไลน ทศนยฯ ไดตรวจพสจน

งานสมมนา APCERT Annual General Meeting & Conference 2016บคลากรไทยเซรตเขารวมงาน APCERT Annual General Meeting & Conference 2016 ซงจดขนระหวางวนท 24-27 ตลาคม 2559 ณ กรงโตเกยว ประเทศญปน รปแบบการจดงาน มทงการสมมนา ประชมกลมยอย อบรมภาคปฏบต รวมถงแลกเปลยนความคดเหนระหวางสมาชกหนวยงาน APCERT

วตถประสงคในการเขารวม เพอรวมประชมและรบฟงผลการดำาเนนงานของหนวยงานสมาชกของ APCERT (Country Update) ในรอบป 2016 และเพอแลกเปลยนความรและประสบการณ

กบผเชยวชาญดานการรกษาความมนคงปลอดภย และเปดโอกาสในการสรางความรวมมอกบผเชยวชาญกบหนวยงานสมาชกของ APCERT เพอสรางความรวมมอในการรบมอภยคกคาม

ตวอยางประเดนทมการนำาเสนอภายในงาน เชน การแลกเปลยนขอมลและแกไขปญหามลแวร การใชงานเครองมอวเคราะหการโจมตระบบ การจดทำานโยบายและกฎหมายดานความมนคงปลอดภย และกรณศกษาการรบมอภยคกคามทางไซเบอรทเกดขนจรง

งานสมมนา Annual FIRST Conference 2016ไทยเซรตไดสงบคลากรเขารวมงานสมมนา Annual FIRST Conference 2016 ซงจดขนทกรงโซล ประเทศเกาหลใต ระหวางวนท 12-17 มถนายน 2559 รปแบบการจดงานในครงนคอ “Getting to the Soul of Incident Response” ประกอบดวยหวขอหลก ไดแก เครองมอและกระบวนการทใชรบมอภยคกคาม การสบสวนทางดจทล การแลกเปลยนขอมล และภยคกคามทพบในหนวยงานประเภทตางๆ

นอกจากน ยงเปนครงแรกทมการจด “FIRST.Org Training” ขนหนงวนกอนเรมงาน โดยเปนเนอหาเกยวของกบการจดตงและบรหารจดการทม CERT ภายหลงสนสดงาน FIRST Conference

48

ThaiCERT ANNUAL REPORT 2016

ไดมการจดงาน NatCSIRT Conference ซงรบผดชอบโดย CERT/CC เพอใหตวแทนจากหนวยงาน CERT ของแตละประเทศไดมขอตกลงรวมกนในการรวมมอและประสานงาน โดยหวขอการแลกเปลยนขอมลเกยวของกบแนวโนมภยคกคาม ความทาทายในการรบมอ และวธการพฒนาความตระหนกใหกบบคคลในประเทศ

4.6 Training4.6.1 การจดอบรมใหกบบคคลทวไปและบคลากรจากหนวยงานภายนอก

การซกซอมรบมอภยคกคามส�าหรบหนวยงานภาครฐ (Incident Drill)ไทยเซรตไดจดการซกซอมรบมอภยคกคามไซเบอร (Incident Drill) เพอเตรยมความพรอมใหกบบคลากรดานความมนคงปลอดภยเทคโนโลยสารสนเทศของหนวยงานภาครฐ ในการรบมอกบภยคกคามทางไซเบอรไดอยางมประสทธภาพ

รปแบบการจดงานแบงเปน 2 วน ไดแก การอบรมเตรยมพรอมรบมอภยคกคามไซเบอร ในวนท 8 กมภาพนธ 2559 และ การซอมรบมอภยคกคามไซเบอร โดยไดใชชอหวขอวา “Hack for Tom Yum Goong” (ตอสอาชญากรรมบนเวบไซต) ในวนท 9 กมภาพนธ 2559 ซงมหนวยงานเขารวมทงสน 54 หนวยงาน

การซกซอมรบมอภยคกคาม APCERT Drill 2016

เปนการซกซอมรบมอภยคกคามรวมกบหนวยงาน CERT อน ๆ ในภมภาคเอเชยแปซฟก จดขนเมอวนท 16 มนาคม 2559 โดยเนอหาเปนการประสานงานและวเคราะหขอมลเชงเทคนค “An Evolving Cyber Threat & Financial Fraud” โดยเปนการจำาลองการรบมอสถานการณ

การโจมตจากอเมลฟชชงแพรกระจายมลแวรเรยกคาไถ ซงผทเขารวมการซกซอมตองวเคราะหการทำางานของมลแวร คนหาเซรฟเวอรทถกเจาะระบบแลวถกควบคมเพอใชสงอเมลฟชชงแพรกระจายมลแวร

การซกซอมรบมอภยคกคาม ASEAN CERT Incident Drill (ACID) 2016เปนการซกซอมรบมอภยคกคามรวมกบหนวยงาน CERT อน ๆ ในภมภาคอาเซยน จดขนเมอวนท 27 กนยายน 2559 โดยเนอหาเปนการประสานงานและวเคราะหขอมลเชงเทคนค แบงสถานการณจำาลองออกเปน 4 หวขอดงน

1. เวบไซตถกเจาะระบบเปลยนหนาเวบ เนองจากมชองโหวใหสามารถอปโหลดไฟล Web shell ขนไปได

2. การแพรกระจายอเมลฟชชงทมไฟลแนบเปน Botnet

3. การแพรกระจายอเมลฟชชงทมไฟลแนบเปนมลแวรเรยกคาไถ

4. เซรฟเวอรถกเจาะระบบและผประสงครายสามารถไดฐานขอมลออกไปดวย

ในสถานการณซกซอมรบมอภยคกคาม ไทยเซรตไดประสานงานกบผดแลเวบไซตทถกโจมต ประกาศแจงเตอนผใชทวไปถงวธปองกนมลแวรเรยกคาไถ แจงประสานไปยงผดแลเซรฟเวอรทถกใชในการเผยแพรอเมลฟชชง และแจงหนวยงานทไดรบผลกระทบจากการถกเจาะระบบแลวขอมลหลด

การซกซอมรบมอภยคกคามในสถานการณจำาลอง ชวยใหทมไทยเซรตสามารถปรบปรงกระบวนการทำางานเพอใหสามารถรบมอการโจมตประเภทใหม ๆ รวมถงสามารถประสานงานกบหนวยงานทเกยวของทงในไทยและตางประเทศไดเมอเกดเหตการณในลกษณะนขนจรง

49

ThaiCERT ANNUAL REPORT 2016

การอบรม Incident Handling 101สพธอ. รวมกบ Japan Network Security Association (JNSA) จดการอบรมหวขอ Incident Handling 101 เพอสงเสรมใหคนรนใหมทมอายระหวาง 15-29 ป ไดมโอกาสเรยนรดานการจดการภยคกคาม หรอ Incident Handling ซงเปนหนงในทกษะสำาคญสำาหรบความมนคงปลอดภยไซเบอร นอกจากน ยงมอาจารย เจาหนาทหนวยงานดานความมนคง และเจาหนาทจากธนาคารทสนใจเขารวมดวย โดยงานนจดขนเมอวนท 25 มนาคม 2559

การอบรม iSECสพธอ. และสมาคมความมนคงปลอดภยระบบสารสนเทศ (TISA – Thailand Information Security Association) ไดจดการอบรมหลกสตร “การฝกอบรมและสอบวดสมรรถนะเพอพฒนามาตรฐานการรบรองบคลากรดานความมนคงปลอดภยระบบสารสนเทศของประเทศไทย (iSEC)” ขนระหวางวนท 1-4 พฤศจกายน 2559 โดยมผเขารวมอบรมในครงนจากหนวยงานของรฐและหนวยงานโครงสรางพนฐานทรบผดชอบดแลระบบสารสนเทศของหนวยงาน ทสำาคญ รวม 65 คน

หลกสตร iSEC ครอบคลมความรเบองตนดานความมนคงปลอดภยไซเบอรดานตาง ๆ ทงดานเทคนคและบรหาร เชน ความมนคงปลอดภยของขอมล การตรวจพสจนพยานหลกฐานดจทล ความมนคงปลอดภยดานเครอขาย การบรหารความเสยงดานความมนคงปลอดภย การจดทำาแผนรกษาความตอเนองของการดำาเนนภารกจของหนวยงาน (Business Continuity Plan) โดยผทสอบผานเกณฑจะไดรบการคดเลอกใหเขารวมอบรม ในหลกสตรระดบตอไป ซงเปนความรวมมอกบหนวยงานและองคกรตาง ๆ ในระดบสากล อาท TERENA, กระทรวงสารสนเทศและการสอสาร (MIC) ประเทศญปน และ SANS

50

ThaiCERT ANNUAL REPORT 2016

การอบรม TRANSITSสพธอ. จดการอบรม “การเตรยมความพรอมในการจดตงหนวยงาน CERT/CSIRT” (TRANSITS Workshop) ภายใตโครงการพฒนาผเชยวชาญดานความมนคงปลอดภยไซเบอรของหนวยงานภาครฐ ซงมงพฒนาบคลากรในหนวยงานภาครฐใหมความสามารถพรอมรบมอ ภยคกคามไซเบอร สรางความเขมแขงใหแกระบบโครงสรางพนฐานสารสนเทศของภาครฐ ตามนโยบายในการขบเคลอนประเทศไทยไปสเศรษฐกจดจทล (Digital Economy) ระหวางวนท 22-24 พฤศจกายน 2559

การอบรม TRANSITS Workshop ครงนเปนหลกสตรสากลสำาหรบพฒนาทมรบมอ เหตภยคกคามดานความมนคงปลอดภยไซเบอร โดย TERENA องคกรสากลทใหบรการรบรอง CERT มเนอหาครอบคลมทงในบรบทของการจดตงและกำากบดแลทม CERT/CSIRT ในองคกร กฎหมายทเกยวของและอำานาจของทม CERT/CSIRT การดำาเนนภารกจรบมอภยคกคามไซเบอร และเทคนคเชงลก เชน พฤตกรรมของมลแวรประเภทตาง ๆ และเครองมอทจำาเปนสำาหรบงานของทม CERT/CSIRT ซงจะชวยเพมขดความสามารถใหบคลากรดานเทคโนโลยสารสนเทศ ชวยลดความเสยง และหยดความเสยหายทเกดขนจากเหตภยคกคามไดอยางรวดเรว ผเขารวมอบรมในครงนจากหนวยงานตาง ๆ รวม 65 คน ซงเปนผทผานการอบรมในหลกสตร iSEC (Information Security Expert Certificate) ซงจดไปเมอวนท 1-4 พฤศจกายน 2559

51

ThaiCERT ANNUAL REPORT 2016

การอบรม CYDERสพธอ. จดการอบรมหลกสตรการฝกปฏบตดานไซเบอร หรอ Cyber Defense Exercise with Recurrence (CYDER) ภายใตโครงการพฒนาผเชยวชาญดานความมนคงปลอดภยไซเบอรของหนวยงานภาครฐ ซงมงพฒนาบคลากรในหนวยงานภาครฐใหมความสามารถพรอมรบมอ ภยคกคามไซเบอร สรางความเขมแขงใหแกระบบโครงสรางพนฐานสารสนเทศของภาครฐ ตามนโยบายในการขบเคลอนประเทศไทยไปสเศรษฐกจดจทล (Digital Economy) ระหวางวนท 6-9 ธนวาคม 2559

การอบรมครงนเปนผลมาจากการลงนามแถลงการณรวม เมอเดอนเมษายน 2558 เรองความรวมมอระหวางกระทรวงไอซท (ปจจบนคอกระทรวงดจทลเพอเศรษฐกจและสงคม) และกระทรวงมหาดไทยและการสอสาร หรอ Ministry of Internal Affairs and Communications (MIC) ของประเทศญปน ซงทง 2 ประเทศ จะขยายความรวมมอดานความมนคงปลอดภยไซเบอร

และดานการปกปองโครงสรางพนฐานดานเทคโนโลยสารสนเทศทมความสำาคญตอองคกร ซงภายใตขอตกลงดงกลาว คาดหวงวาประเทศญปนจะชวยพฒนาความมนคงปลอดภยไซเบอรใหแกประเทศไทย โดยการจดหาเทคโนโลยขนสงใหกบรฐบาลไทย ซงตอมาในเดอนพฤศจกายน 2558 ไดนำามาสความรวมมอในการฝกอบรมหลกสตร CYDER โดยเรมจากบคลากรของไทยเซรต สำานกความมนคงปลอดภยของ ETDA และสำานกปองกนและปราบปรามการกระทำา ความผดทางเทคโนโลยสารสนเทศ กระทรวงไอซทในตอนนนกอน

หลกสตรนเปนการอบรมเชงปฏบตการ ซงกระทรวง MIC ประเทศญปน ไดนำามาใชอบรม ใหแกหนวยงานโครงสรางพนฐานของประเทศญปน ภายใตการอบรม 1 วน ครอบคลมขนตอนรบมอภยคกคาม สอนใหใชเครองมอเพอวเคราะหสาเหตและความเสยหายทเกดขน และซอมรบมอภยคกคาม 1 วน เพอใหผเขารวมอบรมไดใชความรทไดรบในการฝกปฏบตจรง

การอบรมใหกบ LaoCERT ในหวขอ Vulnerability Assessmentตามทไทยเซรตไดลงนามในบนทกขอตกลงความรวมมอกบ JPCERT/CC และ LaoCERT โดยมจดประสงคเพอขยายเครอขาย ในภารกจการรบมอและประสานงานเพอแกไขภยคกคามระบบสารสนเทศและการสอสารนน LaoCERT มความประสงคจะจดการฝกอบรมใหแกเจาหนาท รวมถงหนวยงาน ISP ทเกยวของภายในประเทศ เพอสรางความรความเขาใจ ดานความมนคงปลอดภยสารสนเทศ และไดมการประสานมายงไทยเซรตเพอขอความอนเคราะหวทยากรในการรวมบรรยายและชวยสนบสนนในระหวางการฝกอบรมใหกบ LaoCERT ในหวขอ Vulnerability Assessment โดยทางไทยเซรตไดสงเจาหนาทจำานวน 2 คน เขาเปนผบรรยาย เมอวนท 4 กมพาพนธ 2559 โดยมผเขารวมอบรมทงสน 17 คน

52

ThaiCERT ANNUAL REPORT 2016

4.6.2 การยกระดบทกษะของบคลากรภายใน

การอบรมหลกสตรการตรวจพสจนอปกรณสอสารเคลอนทเมอวนท 2-3 กมภาพนธ 2559 ศนยดจทลฟอเรนสกส ไดจดฝกอบรมการใชเครองมอตรวจพสจนพยานหลกฐานดจทลประเภทอปกรณสอสารเคลอนท ใหแกบคลากรของศนยฯ และเจาหนาทในสายงานตรวจพสจนพยานหลกฐานดจทล รวม 20 คน โดยมหนวยงานทเขารวม ไดแก กองพสจนหลกฐานกลาง, สำานกงานตำารวจแหงชาต, สถาบนนตวทยาศาสตร, กองปองกนและปราบปรามการกระทำาความผดทางเทคโนโลยสารสนเทศ สำานกงานปลดกระทรวงดจทลเพอเศรษฐกจและสงคม และศนยรกษาความปลอดภยแหงชาต กองบญชาการกองทพไทย

การอบรมหลกสตรการตรวจพสจนพยานหลกฐานประเภทมลตมเดยเพอเพมขดความสามารถของศนยดจทลฟอเรนสกส ใหรองรบการตรวจพสจนพยานหลกฐานประเภทมลตมเดย เชน วดโอและเสยง ซงประเทศไทยยงขาดแคลนผเชยวชาญเฉพาะทาง และพยานหลกฐานประเภทนมแนวโนมจะมบทบาทสำาคญมากขนในอนาคต เมอวนท 14-26 มนาคม 2559 ศนยฯ จงไดสงบคลากร จำานวน 2 คน เขารบการอบรมเกยวกบตรวจพสจนพยานหลกฐานประเภทมลตมเดย จากสถาบนทมความนาเชอถอและมชอเสยงในระดบสากล จำานวน 3 หลกสตร ดงน

1. หลกสตร LEVA Level 1: Forensic Video Analysis & The Law ณ University of Indianapolis, สหรฐอเมรกา ระหวางวนท 14–18 มนาคม 2559 เพอเรยนรวธการตรวจพสจนพยานหลกฐานประเภทวดโอและกฎหมายทเกยวของ

2. หลกสตร Forensic Audio Enhancement ณ University of Colorado Denver, สหรฐอเมรกา ระหวางวนท 21–23 มนาคม 2559 เพอเรยนรวธการปรบปรง ไฟลเสยงใหสามารถฟงไดชดเจนขน โดยไมทำาใหสวนทเปนสาระสำาคญถกเปลยนแปลง

3. หลกสตร Forensic Authentication of Digital Audio ณ University of Colorado Denver, สหรฐอเมรกา ระหวางวนท 24–26 มนาคม 2559 เพอเรยนรวธการ ตรวจสอบยนยนความแทจรงของไฟลเสยง

การอบรมหลกสตรการสบสวนคดอาชญากรรมทางไซเบอรศนยดจทลฟอเรนสกส สพธอ. ไดมอบหมายใหเจาหนาทศนยฯ จำานวน 2 คน เขารบการฝกอบรมหลกสตร Cyber Crime Investigation and Cyber Forensics for Officers of Thailand ระหวางวนท 28 กนยายน–12 ตลาคม 2559 ณ สาธารณรฐอนเดย เพอศกษาความร เพมเตมเกยวกบวธการและเทคนคการตรวจพสจนพยานหลกฐานดจทล โดยไดรบความรวมมอจากสถานเอกอครราชทตอนเดยประจำาประเทศไทย สำานกงานสภาความมนคงแหงชาต และสถาบนสอบสวนกลางของอนเดย (Central Bureau of Investigation Academy: CBI)

เนอหาของการฝกอบรมประกอบดวย พนฐานการตรวจพสจนพยานหลกฐานดจทล การรกษาความนาเชอถอของพยานหลกฐาน ขนตอนปฏบตในการเกบรวบรวมและสำาเนาพยานหลกฐาน และเทคนคในการวเคราะหขอมลพยานหลกฐาน นอกจากนยงมการจดประชมระหวางหนวยงานทเขารวมอบรมจำานวน 7 หนวยงาน เพอรวมกนแสดงความคดเหน เกยวกบแนวโนมการเกดอาชญากรรมทางคอมพวเตอร ตวอยางเคสทเกดขนในประเทศอนเดยและประเทศไทย ซงประโยชนทไดรบจากการอบรมในครงน นอกจากจะไดรบความรเกยวกบวธการและเทคนคการตรวจพสจนพยานหลกฐานดจทลเพมเตมแลว ยงเปนการสรางความสมพนธระหวางบคลากรในระดบปฏบตการของแตละหนวยงานทเขารวมอบรมอกดวย

53

ThaiCERT ANNUAL REPORT 2016

บทท 5 แผนงานในระยะยาว

ไทยเซรต และ สพธอ. มแผนงานพฒนาบคลากรและเสรมสรางความพรอมในดานการรบมอภยคกคามทางไซเบอรในระดบประเทศ ภายใตโครงการ CERT Readiness โดยประกอบดวย 2 สวน งานหลกทเปนแผนงานในระยะยาว คอ การพฒนาผเชยวชาญดานความมนคงปลอดภยไซเบอร และการจดตงหนวยงาน Sector-based CERT รายละเอยดของแตละสวนงานมดงน

5.1 โครงการพฒนาผเชยวชาญดานความมนคงปลอดภยไซเบอรจากขอมลสถานการณและสถตภยคกคามทางไซเบอรในประเทศไทย พบวาสวนใหญหนวยงานทถกโจมตเปนหนวยงานภาครฐและหนวยงานรฐวสาหกจ ซงปญหานสงผลกระทบตอทงความมนคงปลอดภยของขอมลและความเชอมนของประชาชน รวมถงเปนอปสรรคตอการพฒนาประเทศในดานเศรษฐกจดจทล

หนงในสาเหตของปญหาทพบ เกดจากจำานวนบคลากรผเชยวชาญดานความมนคงปลอดภยไซเบอรของประเทศไทยนนยงมไมเพยงพอ กบความตองการ โดยเฉพาะอยางยงบคลากรททำางานในหนวยงานภาครฐ ซงหากเปรยบเทยบจำานวนของบคลากรทไดรบใบรบรอง CISSP ซงเปนใบรบรองดานความมนคงปลอดภยไซเบอรทไดรบการยอมรบในระดบสากลนน จะพบวาจำานวนบคลากรในประเทศไทย

ทไดรบใบรบรองดงกลาวยงมไมมากนกเมอเทยบกบประเทศอน ๆ ในภมภาคเอเชย

สพธอ. และ ไทยเซรต จงไดจดทำาโครงการพฒนาผเชยวชาญดานความมนคงปลอดภยไซเบอร โดยในเบองตนจำาเปนการเสรมสรางและพฒนาศกยภาพบคลากรททำางานดานความมนคงปลอดภยไซเบอรในหนวยงานภาครฐใหมความรความสามารถเพมขน ทงในดานเทคนคและดานบรหาร รวมทงสงเสรมใหสอบใบรบรองทไดรบการยอมรบในระดบสากล

54

โครงการพฒนาผเชยวชาญฯ มจดประสงคเพอพฒนาบคลากรทมความรดานความมนคงปลอดภยไซเบอร จำานวน 30 คน เพอทำาหนาทเปนทปรกษาใหแกผบรหารเทคโนโลยสารสนเทศของแตละกระทรวง และประสานงานกบไทยเซรต สพธอ. ในการเผยแพรประชาสมพนธขอมลขาวสารทเปนประโยชนตอหนวยงานเชงปองกน เฝาระวง แจงเตอน วเคราะหปญหา และหาแนวทางแกไข เพอเสรมสรางความแขงแกรงใหกบระบบสารสนเทศของหนวยงานตนสงกด สรางภมคมกนปองกนมใหระบบสารสนเทศถกผอนบกรกหรอสรางความเสยหายทางความมนคงปลอดภย

ในการดำาเนนงาน สพธอ. จะแจงใหหนวยงานทตองการเขารวมโครงการ เสนอชอผทมคณสมบตเขารบการคดเลอก จากนนจะมการทดสอบและหากผานจะเขาสการอบรมหลกสตรดานความมนคงปลอดภยไซเบอร โดยประเภทของหนวยงานทเขารวมจะเปนหนวยงานดานการรกษาความมนคงปลอดภยไซเบอรของหนวยงานของรฐ หนวยงานในสายยตธรรม และหนวยงานทเปนโครงสรางพนฐานสำาคญกบเศรษฐกจดจทลของประเทศ

หลกสตรการอบรมและสอบมทงหมด 5 หลกสตร คอ

1. หลกสตร iSEC เปนการอบรมภาคทฤษฎ เนอหาครอบคลมความรเบองตนดานความมนคงปลอดภยไซเบอรดานตาง ๆ ทงดานเทคนคและบรหาร โดยผทผานการอบรมหลกสตรนสามารถเตรยมตวสอบใบรบรอง CISSP ไดตอไป

2. หลกสตร TRANSITS เปนการอบรมภาคปฏบต เนอหาครอบคลมทงในบรบทของการจดตงและกำากบดแลทม CERT/CSIRT ในองคกร และเทคนคเชงลก เชน การวเคราะหมลแวรประเภทตาง ๆ

3. หลกสตร CYDER เปนการอบรมภาคปฏบต เนอหาครอบคลมขนตอนรบมอภยคกคาม การวเคราะหสาเหตและยบยงความเสยหายทเกดขน รวมถงซกซอมรบมอภยคกคามในสถานการณจำาลอง

4. หลกสตรการรบมอภยคกคามไซเบอร เปนการอบรมภายใตหลกสตรทไดรบการยอมรบในระดบสากล เนอหาครอบคลมรปแบบและเครองมอทนยมใชในการโจมต และกระบวนการรบมอภยคกคาม

5. หลกสตรการตรวจพสจนพยานหลกฐานดจทล เปนการอบรมภายใตหลกสตรทไดรบการยอมรบในระดบสากล เนอหาครอบคลมการตรวจพสจนพยานหลกฐานดจทลในระดบสง เชน การวเคราะหระบบไฟล การตรวจพสจน RAM เปนตน

ทงน บคลากรทจะเขารวมโครงการ ตองไดรบการสนบสนนจากหนวยงานตนสงกดใหผทผานการคดเลอกมาปฏบตงานในการรกษาความมนคงปลอดภยไซเบอรของประเทศ สปดาหละ 1 วน ในขณะทปฏบตงานทหนวยงานตนสงกดอย โดยลกษณะการทำางานคอผเชยวชาญ 20 คน ใหคำาแนะนำาดานความมนคงปลอดภยกบ 20 กระทรวง และผเชยวชาญอก 10 คน ชวยสนบสนนการทำางานของไทยเซรตและ สพธอ.

55

ThaiCERT ANNUAL REPORT 2016

5.2 โครงการ Sector-based CERT

CERT (Computer Emergency Response Team) เปนหนวยงานททำาหนาทเฝาระวง ตดตาม และดแลภยคกคามไซเบอร โดย ไทยเซรต เปนหนวยงาน CERT อยางเปนทางการของประเทศไทย ทำาหนาทประสานงานกบหนวยงานในประเทศไทยและหนวยงาน CERT อนๆ กวา 300 แหงทวโลก

จากปญหาความเสยงและภยคกคามทเพมขนอยางตอเนอง โดยเฉพาะการโจมตระบบของหนวยงานภาครฐในประเทศไทย เมอวนท 2 สงหาคม 2559 คณะรฐมนตร ไดมมตให สพธอ. รวมกบหนวยงานทเกยวของ (เชน ดานการเงน ดานอตสาหกรรม และหนวยงานโครงสรางพนฐานสำาคญของประเทศ) จดตง Sector-based CERT ซงเปนทม CERT ภายในแตละหนวยงาน เพอใหหนวยงานตาง ๆ มความพรอมในการรบมอภยคกคามไซเบอร โดยไทยเซรตเปนศนยกลางในการประสานงานและแลกเปลยนขอมลขาวสารระหวางทม CERT

จากนน เมอวนท 22 กนยายน 2559 สพธอ. ไดจดทำาบนทกขอตกลงความรวมมอดานการ

ยกระดบความพรอมรบมอภยคกคามไซเบอร (CERT Readiness) กบ 19 หนวยงาน เพอจดตง Sector-based CERT ในประเทศไทย โดยบนทกขอตกลงฯ แบงออกเปน 2 ฉบบ ไดแก

1. ความรวมมอของกลมภาคธรกจ การเงน การลงทน การประกนภย จำานวน 5 หนวยงาน ประกอบดวย • ธนาคารแหงประเทศไทย• สำานกงานคณะกรรมการกำากบและ

สงเสรมการประกอบธรกจประกนภย• สำานกงานคณะกรรมการกำากบ

หลกทรพยและตลาดหลกทรพย• สมาคมธนาคารไทย• สำานกงานพฒนาธรกรรมทาง

อเลกทรอนกส (องคการมหาชน)2. ความรวมมอของกลมภาคธรกจ การคา

อตสาหกรรม และโครงสรางพนฐานสำาคญของประเทศ จำานวน 18 หนวยงาน ประกอบดวย • ธนาคารแหงประเทศไทย• สำานกงานคณะกรรมการกจการ

กระจายเสยง กจการโทรทศนและกจการโทรคมนาคมแหงชาต

• สำานกงานคณะกรรมการกำากบกจการพลงงาน

• สำานกงานคณะกรรมการกำากบหลกทรพยและตลาดหลกทรพย

• สมาคมผใหบรการอนเทอรเนตไทย• สภาหอการคาแหงประเทศไทย• สภาอตสาหกรรมแหงประเทศไทย• สมาคมธนาคารไทย• สมาคมโทรคมนาคมแหงประเทศไทย

ในพระบรมราชปถมภ• สมาคมประกนชวตไทย• สมาคมประกนวนาศภยไทย• ตลาดหลกทรพยแหงประเทศไทย• บรษท การบนไทย จำากด (มหาชน)• บรษท ปตท. จำากด (มหาชน)• การไฟฟานครหลวง• การไฟฟาฝายผลตแหงประเทศไทย• การไฟฟาสวนภมภาค• สำานกงานพฒนาธรกรรมทาง

อเลกทรอนกส (องคการมหาชน)

บนทกขอตกลงความรวมมอดงกลาว จะสงเสรมการรวมกนสรางความตระหนกดานการรบมอภยคกคามไซเบอร เพอลดความเสยงในการดำาเนนธรกรรมดานตาง ๆ การรวมกนสงเสรมการใชมาตรฐานทเกยวกบการรกษาความมนคงปลอดภยไซเบอรในองคกรและในกลมธรกจ และรวมกนจดทำาแผนรบมอภยคกคามและซอมรบมอภยคกคามไซเบอรตามแผนดงกลาว เพอใหเกดความพรอมในการแกไขปญหาไดทนการณ อนจะนำาไปสการสรางความเชอมนในการทำาธรกรรมออนไลน และรวมกนประสานงานการแกไขปญหาภยคกคามทจะสงผลกระทบตอความมนคงปลอดภย ทางดานสารสนเทศ

แผนการดำาเนนงานในขนตอไป จะเปนการจดอบรมโครงการพฒนาผเชยวชาญดานความมนคงปลอดภยไซเบอรของหนวยงานภาครฐ เพอเตรยมความพรอมในการจดตงหนวยงาน CERT และการจดซกซอมการรบมอภยคกคามไซเบอรใหกบหนวยงานทเขารวม เพอใหพรอมรบมอประสานงานในกรณทเกดเหตการณ การโจมตทางไซเบอร

56

ThaiCERT ANNUAL REPORT 2016

57