Skip to content

Playbook: ภัยคุกคามจากภายใน (Insider Threat)

ID: PB-14 ระดับความรุนแรง: สูง/วิกฤต | หมวดหมู่: ภัยจากภายใน MITRE ATT&CK: T1078 (บัญชีที่ถูกต้อง), T1048 (การนำข้อมูลออก) ทริกเกอร์: UEBA alert, DLP alert, HR referral, whistleblower report, ผู้จัดการรายงาน

หลังเหตุการณ์ (Post-Incident)

  • ทบทวน access controls ตาม least privilege
  • ใช้ UEBA เฝ้า anomalous behavior ต่อเนื่อง
  • อัพเดท DLP policies ตาม insider patterns ที่พบ
  • ประสาน HR สำหรับ disciplinary actions
  • ทบทวน monitoring policies สำหรับ high-risk users
  • จัดทำ Incident Report

แนวทางการประเมินความเสี่ยง

graph TD
    Indicator["🚨 ตัวบ่งชี้"] --> Risk{"⚖️ ระดับ?"}
    Risk -->|ต่ำ: เข้าถึงนอกเวลา| Monitor["👁️ เฝ้าระวัง 30 วัน"]
    Risk -->|กลาง: download มาก| CovertOps["🕵️ สอบสวนแบบ Covert"]
    Risk -->|สูง: exfil + ลาออก| Overt["🔴 Overt — ล็อกบัญชี"]
    CovertOps --> Evidence{"📁 มีหลักฐาน?"}
    Evidence -->|ใช่| HR["👥 HR + Legal"]
    Evidence -->|ไม่| Continue["🔄 เฝ้าระวังต่อ"]

ผังการประสานงาน

sequenceDiagram
    participant SOC
    participant HR
    participant Legal
    participant Manager
    participant IT
    SOC->>HR: แจ้ง insider threat indicators
    HR->>Legal: ปรึกษาเรื่องข้อกฎหมาย
    Legal-->>HR: แนะนำขั้นตอน
    HR->>Manager: ปรึกษา (กรณี overt)
    SOC->>IT: เพิ่ม DLP monitoring
    HR->>SOC: อนุมัติ overt action
    SOC->>IT: ล็อกบัญชี + preserve data

ผังการตัดสินใจ

graph TD
    Alert["🚨 กิจกรรมภายในผิดปกติ"] --> Intent{"🎯 เจตนา?"}
    Intent -->|ร้าย (malicious)| Mal["🔴 สอบสวนลับ"]
    Intent -->|ไม่ตั้งใจ (negligent)| Neg["🟠 ให้ความรู้ + ควบคุม"]
    Intent -->|ถูกบังคับ (coerced)| Coerce["🔴 สอบสวน + ช่วยเหลือ"]
    Mal --> Evidence["📋 รวบรวมหลักฐาน"]
    Coerce --> Evidence
    Evidence --> HRLIT["⚖️ ดำเนินการร่วม HR/Legal"]

1. การวิเคราะห์

1.1 ตัวบ่งชี้พฤติกรรม

ตัวบ่งชี้ ความเสี่ยง แหล่ง
ดาวน์โหลด/คัดลอกข้อมูลจำนวนมาก 🔴 สูง DLP / UEBA
เข้าถึงข้อมูลนอกขอบเขตหน้าที่ 🔴 สูง UEBA
ใช้ USB/cloud storage ส่งข้อมูลออก 🔴 สูง DLP / EDR
เข้าถึงระบบนอกเวลาทำงานบ่อย 🟡 ปานกลาง SIEM
อยู่ระหว่างลาออก (notice period) 🔴 สูง HR
ถ่ายรูปหน้าจอ (shoulder surfing) 🟡 ปานกลาง รายงานเพื่อนร่วมงาน
ติดตั้ง unauthorized tools 🟠 สูง EDR
เปลี่ยน permissons / สิทธิ์ 🔴 สูง IAM audit
อ่านข้อมูล competitor / M&A 🔴 สูง DLP

1.2 รายการตรวจสอบ (ลับ)

รายการ วิธีตรวจสอบ เสร็จ
ระบุพนักงานที่เกี่ยวข้อง UEBA / DLP
กิจกรรมที่ผิดปกติคืออะไร? SIEM / DLP
มีข้อมูลถูกส่งออกหรือไม่? ประเภทอะไร? DLP / Netflow
ช่องทางที่ใช้ (USB, email, cloud, print) DLP / EDR
มี context จาก HR? (ลาออก, ถูกลงโทษ) HR
timeline ของกิจกรรม SIEM
มีบุคคลอื่นเกี่ยวข้อง? UEBA correlation

⚠️ สำคัญ: ห้ามแจ้งพนักงานจนกว่าจะปรึกษา HR + Legal แล้ว

2. การควบคุม

2.1 สอบสวนลับ (Covert)

# การดำเนินการ เสร็จ
1 เพิ่ม UEBA/DLP monitoring ลับ
2 บันทึก forensic image เครื่องที่ใช้
3 แจ้ง HR + Legal ลับ
4 จำกัด USB access (หากยังไม่มี policy)
5 เฝ้าระวังช่องทางส่งข้อมูลออก

2.2 ตอบสนองทันที (Overt — กรณีเร่งด่วน)

# การดำเนินการ เสร็จ
1 ล็อกบัญชี ทันที
2 ยึดอุปกรณ์ ร่วมกับ HR
3 บล็อก VPN/Remote access
4 สำรอง forensic evidence

3. การกำจัด

# การดำเนินการ เสร็จ
1 ลบบัญชี / ปิดสิทธิ์ทั้งหมด
2 หมุนเวียน credentials ที่พนักงานเข้าถึงได้
3 ตรวจสอบ service accounts / shared accounts
4 ยึดอุปกรณ์และสำรอง forensics ทั้งหมด

4. การฟื้นฟู

# การดำเนินการ เสร็จ
1 ปรับปรุง DLP rules
2 ปรับปรุง offboarding checklist ร่วม HR
3 ใช้ UEBA สำหรับพนักงาน high-risk
4 จำกัด USB / removable media
5 ตรวจสอบสิทธิ์ทุกไตรมาส

5. เกณฑ์การยกระดับ

เงื่อนไข ยกระดับไปยัง
PII / ข้อมูลลูกค้าถูกส่งออก Legal + DPO (PDPA 72 ชม.)
ทรัพย์สินทางปัญญาถูกขโมย Legal + CISO
ทำร่วมกับบุคคลภายนอก (sabotage/espionage) Law Enforcement
พฤติกรรมคุกคาม (threatening behavior) HR + Security ทันที
Admin abuse PB-20 Rogue Admin

ผัง Insider Threat Indicators

graph TD
    UEBA["🔍 UEBA"] --> Behav{"🧠 Behavioral?"}
    UEBA --> Tech{"💻 Technical?"}
    Behav --> Resign["📝 ลาออก/ไม่พอใจ"]
    Behav --> Hours["🕐 พฤติกรรมเปลี่ยน"]
    Tech --> Volume["📊 Download มาก"]
    Tech --> Access["🔓 เข้าถึงข้อมูลผิดปกติ"]
    Tech --> USB["💾 USB/Cloud upload"]
    Volume --> Score["⚠️ Risk Score"]
    Access --> Score
    USB --> Score
    style Score fill:#e74c3c,color:#fff

ผัง Covert Investigation Process

sequenceDiagram
    participant HR
    participant Legal
    participant SOC
    participant Forensics
    HR->>Legal: รายงานพฤติกรรมผิดปกติ
    Legal->>SOC: ✅ อนุมัติ covert investigation
    SOC->>Forensics: เก็บ evidence (ลับ)
    Forensics->>SOC: 📋 Reports ready
    SOC->>Legal: นำเสนอหลักฐาน
    Legal->>HR: ดำเนินการ
    Note over SOC: ​⚠️ ห้ามแจ้ง suspect!

กฎตรวจจับ (Sigma)

กฎ ไฟล์
Bulk File Copy to USB file_bulk_usb_copy.yml
Large Upload to External IP net_large_upload.yml
Suspicious Inbox Rule Created cloud_email_inbox_rule.yml

เอกสารที่เกี่ยวข้อง

Insider Threat Indicators Correlation

Category Behavioral Technical Combined Risk
Pre-resignation Notice given Mass download 🔴 Critical
Disgruntled Performance issues After-hours access 🟠 High
Negligent Policy violations Unpatched system 🟡 Medium
Compromised Phished Unusual C2 traffic 🔴 Critical

Investigation without Alerting Subject

Step Method Precaution
Monitor activity Silent DLP/UEBA Need-to-know only
Review access logs Backend query No user-facing alerts
Capture evidence Forensic copy Legal hold
Coordinate HR/Legal Offline meeting Secure channel

Data Impact Classification

Data Accessed Severity Notification
Customer PII Critical PDPA required
Financial data High CFO + Legal
Source code High CTO
General internal Medium SOC Manager

อ้างอิง