เมื่อวันที่ 22 กันยายน 2563 หน่วยงาน NIST ของสหรัฐฯ ได้เผยแพร่เอกสาร Special Publications รหัส 1800-11 ภายใต้ชื่อ Data Integrity: Recovering from Ransomware and Other Destructive Events เนื้อหาหลักจะเน้นไปที่กระบวนการฟื้นฟูระบบหลังติดมัลแวร์เรียกค่าไถ่หรือถูกทำลายข้อมูล โดยจะแบ่งออกเป็น 3 ส่วน คือ การออกแบบระบบเพื่อเตรียมพร้อมรับมือการโจมตี ตัวอย่างแนวทางการรับมือ และคู่มือการตั้งค่าระบบในรูปแบบ step-by-step

 

แนวทางการฟื้นฟูระบบในเอกสารฉบับนี้นอกจากจะมีเรื่องการกู้คืนข้อมูลที่ถูกทำลายแล้ว ยังรวมไปถึงการตรวจสอบว่าข้อมูลใดบ้างที่ถูกเปลี่ยนแปลงแก้ไข และวิเคราะห์สาเหตุที่ทำให้เกิดเหตุการณ์ดังกล่าวด้วย (เทียบได้กับกระบวนการ Protect และ Detect ใน NIST Cybersecurity Framework) ตัวอย่างกรณีศึกษาที่มีในเอกสารฉบับนี้ประกอบด้วยการฟื้นฟูระบบจากมัลแวร์เรียกค่าไถ่ การแก้ไขหรือลบไฟล์ การลบ virtual machine การเปลี่ยนแปลงสิทธิใน active directory และการแก้ไขฐานข้อมูล

 

เอกสารนี้มีทั้งหมด 454 หน้า แต่มีเนื้อหาหลักประมาณ 70 หน้า โดยส่วนที่เหลือจะเป็นภาคผนวกแนวทางการตั้งค่าระบบพร้อมภาพประกอบ ครอบคลุมบริการและเครื่องมือที่ได้รับความนิยม ซึ่งผู้ดูแลระบบสามารถนำไปใช้อ้างอิงในการปฏิบัติงานได้ ผู้ที่สนใจสามารถศึกษาข้อมูลเพิ่มเติมและดาวน์โหลดเอกสารได้จากเว็บไซต์ของ NIST (https://csrc.nist.gov/publications/detail/sp/1800-11/final)

https://www.thaicert.or.th/newsbite/2020-09-25-01.html