Archived content
NOTE: this is an archived page and the content is likely to be out of date.
มาตรการตอบโต้โดย"การค้นพบ" เป็นศูนย์กลางได้ถึงขีดจำกัดสูงสุดบริษัทจะปกป้องการโจมตีทางไซเบอร์ที่รุนแรงได้อย่างไร
ตามรายงานเมื่อวันที่ 28 พฤศจิกายนคศ.2016โครงสร้างพื้นฐานเครือข่ายการสื่อสารของกระทรวงกลาโหมและกองกำลังป้องกันตนเองของญี่ปุ่นถูกโจมตีทางไซเบอร์นี่เป็นเพียงส่วนหนึ่งในการโจมตีไซเบอร์ต่อญี่ปุ่นที่เพิ่มยิ่งขึ้นเท่านั้นการปรับปรุงมาตรการโต้ตอบเพื่อรักษาความปลอดภัยเครือข่ายได้กลายเป็นประเด็นสำคัญที่สุดของประเทศเราควรจะใช้มาตรการอย่างไร?ฉันถามคำถามนี้กับนายTaishu Ohta ผู้สอนศาสนาหน่วยกลยุทธ์ธุรกิจด้านความปลอดภัยเครือข่ายในช่วงหลายปีที่ผ่านมา Mr. Taishu Ohta ได้ให้การสนับสนุนมาตรการโต้ตอบด้านความปลอดภัยแก่บริษัทญี่ปุ่นตลอดไปและเคยดำรุงตำแหน่งผู้รับผิดชอบอันดับหนึ่งศูนย์โซลูชันการรักษาความปลอดภัยของฟูจิตสึ
(ผู้สัมภาษณ์: Tomio Kikyobara ผู้อำนวยการสถาบันนวัตกรรม BP ICTนิกเกอิ(Nikkei))
เป้าหมายคือข้อมูลที่เป็นความลับ- เป้าหมายในการโจมตีไซเบอร์คือการประเมินผลข่าวกรอง
- ตามรายงานในเดือนมิถุนายนปีคศ. 2016 ในการโจมตีแบบจุดคงที่ ต่อบริษัท JTB ใช้อีเมล์แอดเดรสของพันธมิตรทางธุรกิจเพื่อปลอมตัวเองผู้คนรู้สึกว่าการโจมตีไซเบอร์มีความซับซ้อนมากขึ้นคุณสามารถบอกข้อมูลเกี่ยวกับแนวโน้มล่าสุดให้กับฉันได้หรือไม่?
ผู้คนรู้สึกว่า เป้าหมายของผู้โจมตีกลายเป็นเรื่องที่ซับซ้อนมากขึ้น และมีองค์ประกอบในการประเมินผลข่าวกรองเป้าหมายในการโจมตีไซเบอร์แบบดั้งเดิม เพื่อทำกำไร นั่นคือการขโมยข้อมูลส่วนบุคคล แล้วขายให้กับอาชญากรในตลาดมืด
ในทางกลับกัน กรณีตัวอย่างที่รู้จักกันดีในขณะนี้แสดงให้เห็นว่าในทั่วประเทศ องค์กรขนาดใหญ่ถือการโจมตีเป็นส่วนหนึ่งของกิจกรรมการประเมินผลข่าวกรองบริษัทขนาดใหญ่ส่วนใหญ่ได้ใช้“ระบบบริหารจัดการข้อมูลด้านความปลอดภัยและเหตุการณ์ (SIEM) กลไกนี้รวบรวมและจัดการล็อกจากอุปกรณ์รักษาความปลอดภัยหลายเครื่อง และวิเคราะห์ข้อมูล เพื่อศึกษาความสัมพันธ์ซึ่งกันและกัน ตามผลการค้นหาเหล่านี้ เราได้พบแนวโน้มที่สำคัญ ก็คือ ผู้โจมตีเริ่มกำหนดเป้าหมายเฉพาะบุคคล เพื่อขโมยข้อมูลของบริษัทและเจ้าหน้าที่รัฐบาลและบุคคลที่สำคัญอื่นๆแต่ไม่ใช่ข้อมูลของคนธรรมดา
นอกจากนี้ เรายังพบว่า แรนซัมแวร์มีความรุนแรงมากขึ้น มัลแวร์นี้ติดเชื้อระบบโดยไวรัส จำกัดการเข้าถึงที่ เรียกร้องค่าไถ่ เมื่อได้รับค่าไถ่แล้ว จึงจะปล่อยระบบ ซึ่งมีเหตุผลพื้นฐานก็คือ ราคาขายข้อมูลส่วนบุคคลในตลาดมืด ลดลงอย่างมีนัยสำคัญ
Taishu Ohta
ผู้สอนศาสนา
หน่วยกลยุทธ์ธุรกิจด้านความปลอดภัยเครือข่าย
บริษัทฟูจิตสึจำกัด
ภาพที่1: ภาพรวมเทคโนโลยีด้านความปลอดภัยที่กำลังพัฒนาของฟูจิตสึ
-หากเป้าหมายของผู้โจมตีมีการเปลี่ยนแปลงฉนั้นผู้บริหารอาจะต้องพิจารณามาตรการรักษาความปลอดภัยที่มีอยู่ใหม่
จนกระทั่งบัดนี้ฝ่ายบริหารได้กำหนดเป้าหมาย"การประกันข้อมูล" มีวัตถุประสงค์หลักเพื่อป้องกันการรั่วไหลข้อมูลมุ่งหน้าสู่อนาคตพวกเขาต้องการที่จะสร้างมาตรการโต้ตอบในการรักษาความปลอดภัยที่ถือ "การประกันหน้าที่" เป็นจุดเน้นเพื่อให้มีความต่อเนื่องทางธุรกิจแม้ในกรณีที่เกิดการโจมตีไซเบอร์
ในธันวาคมคศ.2015 กระทรวงเศรษฐกิจ การค้าและอุตสาหกรรมของญี่ปุ่นออก "แนวทางการจัดการความปลอดภัยเครือข่าย" ซี่งมี "จุดเน้นสิบจุดในการจัดการความปลอดภัยเครือข่าย "แสดงให้เห็นว่า จำเป็นต้องกำหนด "มาตรการโต้ตอบเชิงรุกในการพิจารณาความเสี่ยง เพื่อป้องกันการโจมตีไซเบอร์ "
ในอีกไม่กี่ปีข้างหน้า ระบบที่เชื่อมต่อไซเบอร์สเปซกับโลกแห่งความเป็นจริงอย่างใกล้ชิด – ระบบทางกายภาพจะแพร่หลายมากขึ้น ดังนั้น เหตุการณ์การโจมตีในโลกไซเบอร์จะทำให้วิสาหกิจที่แท้จริงได้รับความสูญเสียมากผู้บริหารต้จะต้องตระหนักถึง "การโจมตีไซเบอร์คุกคามทุกแง่มุมของวิสาหกิจ"
- สำหรับวิสาหกิจหรืออุตสาหกรรมบางส่วน การโจมตีไซเบอร์มีลักษณะเฉพาะหรือไม่?
ในการกระบวนการโจมตีแทบไม่มีความแตกต่าง แต่สำหรับอุตสาหกรรมที่แตกต่างกัน เป้าหมายของผู้โจมตีจะแตกต่างกันตัวอย่างเช่น การโจมตีต่ออุตสาหกรรมการขาย เพื่อขโมยข้อมูลบัตรเครดิตในทางกลับกัน เราอนุมานว่า การโจมตีต่ออุตสาหกรรมการผลิต เพื่อขโมยภาพวาดการออกแบบและเอกสารเทคโนโลยีการผลิต
แม้ว่ากระบวนการโจมตีจะเหมือนกันแต่การโจมตีต่ออุตสาหกรรมที่แตกต่างกัน (พฤติกรรมการโจมตีอย่างต่อเนื่อง เริ่มต้นจากการบุกรุกเครือข่ายโดยไม่ได้รับอนุญาต จะสิ้นสุดลงได้จากการขโมยข้อมูลหรือทำลายระบบ) ก็มีความแตกต่างกัน ดังนั้น ระบบที่สร้างขึ้นจะต้องสามารถแบ่งปันข้อมูลทั่วทั้งอุตสาหกรรม และโต้ตอบการโจมตีเชิงรุก
มาตรการโต้ตอบ "แม้ว่ามัลแวร์ได้แอบเข้าไปในแต่ยังต้องป้องกันการดำเนินงาน"
- เมื่อเทียบกับหลายปีก่อน ประเภทมาตรการโต้ตอบการโจมตีไซเบอร์ที่บริษัทต้องการนั้นจะมีการเปลี่ยนแปลงหรือไม่?
แท้ที่จริง นับตั้งแต่อินเทอร์เน็ตเริ่มพัฒนาเป็นต้นมา (นับตั้งแต่ประมาณปีค. ศ. 2000 เป็นต้นมา ) ปัญหาเกี่ยวกับมาตรการโต้ตอบการรักษาความปลอดภัยยังไม่ได้รับการแก้ไขแม้แต่ข้อเดียว ขณะนี้ ผู้คนยังพูดถึงเรื่องเดียวกัน "ไม่สามารถป้องกันการบุกรุกและการติดเชื้อไวรัส" "พฤติกรรมการโจมตีของผู้โจมตีไม่สามารถเห็นภาพได้ " "การกู้คืนจากการติดเชื้อจะใช้เวลายาวนาน" "พนักงานทางเทคนิคที่จัดการมาตรการรักษาความปลอดภัยขาดประสบการณ์" .
ภาพที่2: ภาพรวมiNetSec Intra Wallเทคโนโลยีการแยกมัลแวร์
การเฝ้าระวังจุดสกัดกั้น(เหมาะใช้กับการแพร่กระจายเชื้อกิจกรรมการประเมินผลข่าวกรองที่ดำเนินตามคำสั่งจากระยะไกล) และตัดออก
แต่น่าเสียดาย วันนี้ยังคงเป็นเช่นนั้น
บริษัทส่วนใหญ่รวบรวมและวิเคราะห์ล็อกต่างๆที่มาจากเครือข่ายและอุปกรณ์อื่นๆเพื่อตรวจสอบความเสียหายที่เกิดจากการโจมตีด้วยมัลแวร์ที่แอบเข้าไปในองค์กรอย่างไรก็ตาม จะต้องใช้เวลาและเงินทุนในการเข้าใจความสูญเสียทั้งหมดตัวอย่างเช่น ค่าใช้จ่ายในการรวบรวมและวิเคราะห์ข้อมูลอิเล็กทรอนิกส์ที่เก็บไว้ในคอมพิวเตอร์ส่วนบุคคลที่ติดเชื้อไวรัสหนึ่งเครื่องเพื่อเป็นหลักฐาน ได้ข่าวว่า มีมูลค่าประมาณ1 ล้านเยน วิธีการบางอย่างจะเก็บรวบรวมล็อกการสื่อสารในเครือข่ายทั้งหมด แล้วดำเนินการวิเคราะห์ข้อมูลเหล่านี้แต่ค่าใช้จ่ายสูงมาก
ปัจจุบันมาตรการโต้ตอบเพื่อความปลอดภัยที่ถือ"การตรวจพบมัลแวร์"เป็นจุดเน้นได้ถึงขีดจำกัดสูงสุดแล้วปัจจุบันนี้แต่ละวันจะเกิดมัลแวร์ใหม่เกือบ1 ล้านราย(รวมถึงตัวแปร) แต่อัตราการค้นพบที่ขึ้นอยู่กับการจับคู่รูปแบบต่ำกว่า 50% มัลแวร์ค่อยๆลื่นไถลหรือหลบหนีไป ดังนั้น มาตรการการป้องกันมัลแวร์ได้ล้าหลังฉันคิดว่า เราจำเป็นต้องตระหนักถึงความจริงดังต่อไปนี้ จะสร้างระบบที่ป้องกันการบุกรุกของมัลแวร์และการรั่วไหลข้อมูลอย่างสมบูรณ์เป็นไปไม่ได้
บริษัทต้องการใช้มาตรการโต้ตอบดังต่อไปนี้ในขณะนี้: สมมติว่ามัลแวร์บุกรุก สามารถจำแนกมัลแวร์ที่แอบเข้าไปในเครือข่ายขององค์กรและทำให้มองเห็นพฤติกรรมมัลแวร์ได้
จากนั้นบริษัทจำเป็นต้องเฝ้าระวังจุดปิดกั้น (จุดที่ต้องผ่านในการสื่อสาร) และรับรู้คำสั่งระยะไกลจากเซิร์ฟเวอร์C & C (คำสั่งและการควบคุม) เพื่อป้องกันไม่ให้ไวรัสทำงานแม้ว่าไวรัสได้แอบเข้าไปในเครือข่ายก็ตาม
ตามผลการสังเกตพฤติกรรมของผู้โจมตีเพื่อสร้าง "รูปแบบการแปลงพฤติกรรมของผู้โจมตี"
- เพื่อปิดการใช้งานกิจกรรมของมัลแวร์ฟูจิตสึพัฒนาเทคโนโลยีด้านความปลอดภัยไหนบ้าง?
บริษัทที่กำหนดมาตรโต้ตอบการรักษาความปลอดภัยจะต้องเลือกและใช้เทคโนโลยีที่สอดคล้องกับเป้าหมายของมาตรการโต้ตอบซึ่งเป็นเรื่องยากที่จะบรรลุได้
ด้วยเหตุนี้ เทคโนโลยีรักษาความปลอดภัยที่ฟูจิตสึกำลังพัฒนาแบ่งออกเป็น4 ด้าน คือT1-T4 (ภาพที่1) T1 รวมถึงมาตรการโต้ตอบการรักษาความปลอดภัยจุดเข้าและออก มักใช้แซนด์บ็อกซ์ (Sandbox) ไฟร์วอลล์และวิธีการที่ขึ้นอยู่กับลายเซ็น เพื่อหาพบร่องรอยการโจมตีแบบจุดคงที่ แต่ยังไม่เพียงพอเราได้พัฒนาเทคโนโลยีใหม่ ซึ่งเรียกว่า "การสแกนกระบวนการบุกรุกที่ประสงค์ร้าย" ซึ่งมุ่งเน้นไปกระบวนการพฤติกรรมของผู้โจมตี
รูปที่3: สามารถเข้าใจสถานการณ์การโจมตีโดยผ่านภาพวิวตานก
เทคโนโลยีนี้จะตรวจจับกิจกรรมของผู้โจมตีแบบเรียลไทม์ นั่นคือ ทำให้กระบวนการพฤติกรรมโจมตีเปรียบเทียบกับโมเดล(โมเดลการแปลงพฤติกรรมของผู้โจมตี) โมเดลนี้ขึ้นอยู่กับการสังเกตพฤติกรรมของผู้โจมตีที่แอบเข้าไปในองค์กรในอดีต
- ดังนั้น คุณสนใจกับผู้โจมตี แต่ไม่ใช่มัลแวร์
ใช่ครับไม่ว่าขนาดการโจมตีหรือประเภทข้อมูลที่ถูกขโมยเป็นอย่างไร กระบวนการขโมยข้อมูลโดยผ่านการโจมตีแบบจุดคงที่ จะคล้ายกันในหลายๆด้าน มักจะเริ่มจากการส่งอีเมลหลอกลวงที่มีUR เพื่อให้ผู้รับคลิก และดาวน์โหลดมัลแวร์หลังจากมัลแวร์มาถึงคอมพิวเตอร์ส่วนบุคคลแล้ว จะเผยแพร่ไปยังคอมพิวเตอร์ส่วนบุคคลอื่นๆด้วยตนเอง คำสั่งระยะไกลจากเซิร์ฟเวอร์C & C จะนำมาใช้เพื่อตรวจฟังเครือข่าย และการขโมยข้อมูลจากองค์กร
"การสแกนกระบวนการบุกรุกที่ประสงค์ร้าย"ของฟูจิตสึ จะเฝ้าระวังการสื่อสารจากคอมพิวเตอร์ส่วนบุคคลที่ได้รับอีเมลล์แบบจุดคงที่ จะตรวจสอบกิจกรรมต่างๆ (จากพฤติกรรมการบุกรุกจนถึงกิจกรรมการขโมยข้อมูล) โดยโมเดลการแปลงพฤติกรรมของผู้โจมตี จึงหาพบการโจมตี หลังจากคอมพิวเตอร์ส่วนบุคคลถูกติดเชื้อแล้ว เฝ้าระวังคอมพิวเตอร์ส่วนบุคคลอย่างต่อเนื่องทันที สามารถเข้าใจพฤติกรรมของผู้โจมตีได้แบบเรียลไทม์และเพิ่มความถูกต้องที่ค้นพบได้
T2 ใช้เทคนิคที่เรียกว่า "iNetSec Intra Wall" เพื่อแยกมัลแวร์ที่แอบเข้าไปในระบบขององค์กรอุปกรณ์นี้เฝ้าระวังปริมาณการรับส่งข้อมูลเครือข่าย ตรวจจับกิจกรรมมัลแวร์แบบเรียลไทม์ และแยกอุปกรณ์ที่ติดเชื้อโดยอัตโนมัติเทคโนโลยีนี้สามารถค้นหาตำแหน่งของมัลแวร์ที่ไม่รู้จักได้อย่างมีประสิทธิภาพ เพราะสามารถประเมินพฤติกรรมการสื่อสารทั่วไปในการโจมตีจุแบบจุดคงที่ (รูปที่2)
เทคโนโลยีที่เป็นกรรมสิทธิ์จะสร้างสถานการณ์จำลองที่สมบูรณ์ในการโจมตีไซเบอร์
- สำหรับบริษัทและองค์กรขนาดใหญ่ ยังมีความเป็นไปได้ดังต่อไปนี้: หยังจากอุปกรณ์หนึ่งเครื่องติดเชื้อมัลแวร์แล้วส่งผลให้เกิดการสูญเสียมาก การโจมตีแบบจุดคงที่ สำหรับสถาบันบำเหน็จบำนาญของญี่ปุ่นเกิดขึ้นในปีค. ศ. 2015 ทำให้ข้อมูลส่วนบุคคลมากกว่า1 ล้านคนรั่วไหลไป ใช้เวลาเกือบ3 เดือน จึงได้รับสถานการณ์การโจมตีทั้งหมด
"การพิสูจน์หลักฐานอย่างรวดเร็วด้วยต้นทุนที่ต่ำลง" เป็นความท้าทายที่สำคัญซึ่งเราเผชิญกับนั้น ทางT3 ให้เทคโนโลยีการเก็บรวบรวมร่องรอยและการวิเคราะห์ผลกระทบใหม่ เราได้พัฒนาเทคโนโลยีพิสูจน์หลักฐานด้วยความเร็วสูง สามารถวิเคราะห์การสื่อสารเครือข่ายเป็นจำนวนมากโดยอัตโนมัติ ในระยะเวลาสั้นๆ สามารถแสดงให้เห็นถึงสถานการณ์สมบูรณ์ เช่น กระบวนการดำเนินการและสถานะการโจมตีแบบจุดคงที่ เทคโนโลยีนี้รวมถึงเทคโนโลยีกรอง เช่น การรวบรวมร่องรอยและความคืบหน้าการโจมตี
ใช้เทคนิคการรวบรวมร่องรอยเพื่อตรวจจับแพ็คเก็ตข้อมูลเครือข่ายจะอนุมานคำสั่งที่จะปฏิบัติการในคอมพิวเตอร์ส่วนบุคคลที่ติดเชื้อไวรัสจากเนื้อหานั้นแล้ววิเคราะห์สภาพการสื่อสารระหว่างคอมพิวเตอร์ส่วนบุคคลที่ติดเชื้อกับคอมพิวเตอร์ส่วนบุคคลที่ถูกโจมตีเพื่อสร้างล็อกร่องรอยของคำสั่งที่ดำเนินการต่อมาเทคนิคการสกัดสถานะความคืบหน้าการโจมตีจะวิเคราะห์ข้อมูลล็อร่อยรอย(สั่งให้ดำเนินการ ) และจะกำหนดได้ทันทีว่าการสื่อสารเหล่านี้อาจจะก่อให้เกิดการโจมตีหรือไม่
เป็นที่น่าสังเกตว่าเทคโนโลยีพิสูจน์หลักฐานด้วยความเร็วสูงของฟูจิตสึสามารถแสดงความสัมพันธ์ระหว่างอุปกรณ์ต่างๆในการโจมตีได้โดยเดซี่-เชนด์ (Daisy-chained) ตัวอย่างเช่นคุณจะสามารถค้นพบอุปกรณ์ที่เคยใช้เป็นสปริงบอร์ดก่อนหน้านี้ทันทีโดยการวิเคราะห์การทำงานตามคำสั่งของอุปกรณ์ที่เป็นสปริงบอร์ดเมื่อคุณตรวจสอบย้อนกลับตามเดซี่-เชนด์ (Daisy-chained) คุณจะพบอุปกรณ์เริ่มโจมตี (รูปที่3) คุณสามารถได้รับภาพวิวตานกการโจมตีโดยผ่านการสร้างมโนภาพเพื่อให้เข้าใจลักษณะแต่ละด้านในการโจมตีได้อย่างรวดเร็วโดยวิธีการสำหรับเหตุการณ์ที่สถาบันบำเหน็จบำนาญแห่งญี่ปุ่นได้รับการโจมตีแบบจุดคงที่เทคโนโลยีนี้สามารถสร้างกราฟความสัมพันธ์ทั่วไปขึ้นภายในหนึ่งชั่วโมง
- นี่เป็นเทคโนโลยีที่ยอดเยี่ยมจริงๆ
ลูกค้าของเรามักจะตอบสนองอย่างนี้บริษัทที่นำเทคโนโลยีนี้เข้าสามารถทำการพิสูจน์หลักฐานที่ผู้เชี่ยวชาญสามารถทำงานได้ให้เรียบร้อยภายในระยะเวลาสั้นๆเป็นที่เข้าใจกันว่าญี่ปุ่นขาดแคลนวิศวกรความปลอดภัย100,000 คนแต่เราเชื่อว่าเทคโนโลยีของเราสามารถแก้ปัญหานี้ได้
ด้านสุดท้ายT4 ประกอบด้วยเทคโนโลยีการแบ่งปันข้อมูลฟูจิตสึได้สร้าง "ระบบการใช้ประยุกต์ข่าวกรองการคุกคามเครือข่าย (CTI) " สามารถแบ่งปันและใช้ประโยชน์ข่าวกรองการคุกคามเครือข่างอย่างมีประสิทธิภาพสูงระบบนี้จะทำให้ 5W1H ที่โจมตีไซเบอร์ (ผู้โจมตีเวลาเป้าหมายเป้าหมายโจมตีเส้นทางการบุกรุกและวิธีการฯลฯ ) และข้อมูลที่แก้ไขปัญหาการโจมตีไซเบอร์แปลงเป็นรูปแบบที่คอมพิวเตอร์สามารถประมวลผลได้
หลังจากสร้างระบบนี้แล้วสามารถตีความและแบ่งปันข้อมูลการคุกคามอย่างเป็นระบบได้โดยไม่ต้องให้พนักงานมีส่วนร่วมสมัยยุคที่เราอยู่ในขณะนี้มีข้อมูลการคุกคามมากเกินไปแม้กระทั่งมนุษย์ไม่สามารถประเมินผบได้เทคโนโลยีนี้มีวัตถุประสงค์เพื่อให้บรรลุเป้าหมายนี้โดยใช้ "เครื่องจักรต่อเครื่องจักร"
- เทคโนโลยีเหล่านี้จะเปลี่ยนฐานะความได้เปรียบของผู้โจมตีในปัจจุบันนี้หรือไม่?
เราหวังว่าอย่างนั้นสิ่งที่เรากังวลมากที่สุดก็คือเทคโนโลยีเหล่านี้ตกอยู่ในมือของพวกเขาก่อนการโจมตีผู้โจมตีจะซื้อผลิตภัณฑ์รักษาความปลอดภัยเครือข่ายที่มีอยู่ทั้งหมดในตลาดค้นคว้าการออกแบบและเทคโนโลยีนอกเหนือจากเทคโนโลยีของผู้โจมตีเพื่อหลีกเลี่ยงเทคโนโลยีเหล่านี้เราจำเป็นต้องใช้มาตรการเพื่อป้องกันไม่ให้เหตุการณ์ดังกล่าวเกิดขึ้น
เพื่อรับมือกับเหตุการณ์โดยผ่าน "การไหลเวียนOODA"
- หากการโจมตีไซเบอร์ทำให้บริษัทประสบความสูญเสียบริษัทควรจะรับมืออย่างไร?
การโจมตีไซเบอร์เหมือนภับภัยพิบัติกล่าวอีกนัยหนึ่งจำเป็นต้องคิดจากประเด็นดังต่อไปนี้: หลังจากมีการโจมตีไซเบอร์เกิดขึ้นแล้วควรจะใช้มาตรการอะไรบ้างจึงจะให้บริษัทฟื้นฟูการประกอบธุรกิจโดยเร็วที่สุดเท่าที่จะเป็นไปได้บริษัทควรจะพิจารณามาตรการโต้ตอบขึ้นอยู่กับการประกันหน้าที่และความต่อเนื่องทางธุรกิจงานสำคัญอันดับแรกก็คือพิจารณาว่าจะลดเวลาหยุดทำงานทางธุรกิจเพื่อให้ฟื้นฟูการประกอบธุรกิจได้อย่างรวดเร็วตามปกติ
ดังนั้นบริษัทจะต้องสร้างระบบสามารถประมวลผลเหตุการณ์ที่ไม่คาดคิดก่อนเกิดเหตุการณ์ต่อไปได้ฉันคิดว่าบริษัทจะต้องสร้าง "ระบบไหลเวียนการสังเกตการปรับปรุงการตัดสินใจการกระทำ(OODA) " เพื่อให้แยกจาก"ระบบไหลเวียนการวางแผนการปฏิบัติการการตรวจสอบการกระทำ (PDCA)" ในปัจจุบัน
ระบบการไหลเวียนOODA เป็นแบบจำลองสามารถเชื่อมโยงกับระบบการไหลเวียนดังต่อไปนี้ในเวลาจริง: เพื่อสังเกตสถานการณ์ที่เปลี่ยนแปลงไปอย่างแข็งขันและต่อเนื่องดำเนินการปรับปรุงตามสถานการณ์เฉพาะเจาะจงทำการตัดสินใจอย่างรวดเร็วทำการตอบสนองและใช้มาตรการปฏิบัติการขณะนี้เรากำลังพยายามใช้รูปแบบจำลองนี้กับการบุกรุกต่อความปลอดภัยแม้ว่าเราไม่ทราบว่าใครเป็นผู้โจมตีและไม่เข้าใจสถานการณ์ทั้งหมดในการสูญเสียเรายังสามารถ "สังเกต" สถานการณ์ที่มีการเปลี่ยนแปลงไม่ขาดสายอย่างแข็งขัน "ปรับปรุง" โดยตัวเองตามข้อมูลที่มีอยู่ "ตัดสินใจ" ต่อการตอบสนองอย่างไรแล้ว " ดำเนินการ " "ทีมตอบสนองต่อความปลอดภัยของคอมพิวเตอร์ (CSIRT) " รับผิดชอบในการสังเกตการณ์และการปรับปรุงและผู้บริหารมีหน้าที่ในการตัดสินใจ
บริษัทมากมายใช้ระบบการไหลเวียนOODA เป็นโปรแกรมตอบสนองการจัดการความเสี่ยงไม่ใช่มาตรการโต้ตอบด้านความปลอดภัยค้นพบปัญหาอย่างรวดเร็วดำเนินการตัดสินทันทีตามสถานการณ์และทำการตัดสินใจเป็นส่วนสำคัญของมาตรการโต้ตอบฉันคิดว่านับจากบัดนี้เป็นต้นไปบริษัทควรจะใช้ระบบการไหลเวียนOODA
โซลูชั่นรักษาความปลอดภัยจะมีบทบาทสำคัญหรือไม่?
เทคโนโลยีของฟูจิตสึสามารถบรรลุเป้าหมายที่สังเกตการณ์แบบ "เรียลไทม์" และ "ปรับปรุง"อย่างเหมาะสมสำหรับระบบการไหลเวียนOODA ได้นอกจากนี้เรายังให้บริการให้คำปรึกษาในการเพิ่มทักษะการจัดการภาวะวิกฤตและบริการด้านการจัดการระดับโลกที่สนับสนุนการประกอบธุรกิจโซลูชั่นเหล่านี้รองรับให้บริษัท "ทำการตัดสินใจ"อย่างรวดเร็วเพื่อเพิ่มขีดความสามารถในการแข่งขันของบริษัท
* ในเดือนมกราคมปีคศ. 2017 เนื้อหานี้ปรากฏขึ้นในITpro Active
