Playbook: อุปกรณ์สูญหายหรือถูกขโมย
ID: PB-19
ระดับความรุนแรง: ปานกลาง/สูง | หมวดหมู่: ความปลอดภัยทางกายภาพ
MITRE ATT&CK: T1078 (บัญชีที่ถูกต้อง), T1530 (ข้อมูลจากที่เก็บคลาวด์)
ทริกเกอร์: ผู้ใช้รายงานอุปกรณ์หาย/ถูกขโมย, MDM offline alert, ทรัพย์สินไม่ตรง
หลังเหตุการณ์ (Post-Incident)
ผังการประเมินความเสี่ยง
graph TD
Lost["📱 อุปกรณ์หาย"] --> Encrypt{"🔒 เข้ารหัส?"}
Encrypt -->|ใช่| Low["🟢 ความเสี่ยงต่ำ"]
Encrypt -->|ไม่| High["🔴 ความเสี่ยงสูง"]
Low --> Data{"📁 ข้อมูลสำคัญ?"}
High --> Wipe["📲 Remote Wipe ทันที"]
Data -->|ใช่| Wipe
Data -->|ไม่| Lock["🔒 Remote Lock"]
ผังขั้นตอน Remote Wipe
sequenceDiagram
participant User as ผู้ใช้
participant SOC
participant MDM
participant IT
User->>SOC: 📞 แจ้งอุปกรณ์หาย
SOC->>MDM: สั่ง Remote Lock
SOC->>SOC: ประเมิน data risk
SOC->>MDM: สั่ง Remote Wipe
MDM-->>SOC: ✅ Wipe initiated
SOC->>IT: เพิกถอน certificates
ผังการตัดสินใจ
graph TD
Report["📞 แจ้งอุปกรณ์สูญหาย"] --> Type{"📱 ประเภทอุปกรณ์?"}
Type -->|โน้ตบุ๊ก| Laptop["💻 โน้ตบุ๊ก"]
Type -->|มือถือ/แท็บเล็ต| Mobile["📱 มือถือ"]
Type -->|USB/HDD| USB["💾 สื่อจัดเก็บ"]
Laptop --> Encrypted{"🔒 เข้ารหัสเต็มดิสก์?"}
Mobile --> MDM{"📲 มี MDM?"}
USB --> Classify["📁 จำแนกข้อมูลในอุปกรณ์"]
Encrypted -->|ใช่ (BitLocker/FileVault)| LowRisk["🟡 ความเสี่ยงต่ำ — ล็อก + ติดตาม"]
Encrypted -->|ไม่| HighRisk["🔴 ความเสี่ยงสูง — Wipe ทันที"]
MDM -->|ใช่| Wipe["📱 Selective/Full Wipe"]
MDM -->|ไม่| HighRisk
Classify -->|ข้อมูลสำคัญ| HighRisk
HighRisk --> FullResponse["🔒 ตอบสนองเต็มรูปแบบ"]
1. การวิเคราะห์
1.1 การประเมินข้อมูลที่เสี่ยง
| ประเภทข้อมูล |
มีอยู่ในอุปกรณ์? |
เข้ารหัส? |
ความเสี่ยง |
| อีเมลองค์กร |
☐ ใช่ ☐ ไม่ |
☐ ใช่ ☐ ไม่ |
|
| เอกสาร / ไฟล์งาน |
☐ ใช่ ☐ ไม่ |
☐ ใช่ ☐ ไม่ |
|
| ซอร์สโค้ด |
☐ ใช่ ☐ ไม่ |
☐ ใช่ ☐ ไม่ |
|
| PII ลูกค้า |
☐ ใช่ ☐ ไม่ |
☐ ใช่ ☐ ไม่ |
|
| Credentials / Keys / Tokens |
☐ ใช่ ☐ ไม่ |
☐ ใช่ ☐ ไม่ |
|
| VPN / Network access |
☐ ใช่ ☐ ไม่ |
☐ ใช่ ☐ ไม่ |
|
| ข้อมูลการเงิน |
☐ ใช่ ☐ ไม่ |
☐ ใช่ ☐ ไม่ |
|
1.2 รายการตรวจสอบ
| รายการ |
วิธีตรวจสอบ |
เสร็จ |
| สูญหายเมื่อไหร่/ที่ไหน? |
สัมภาษณ์ผู้ใช้ |
☐ |
| แจ้งตำรวจแล้วหรือไม่? |
ผู้ใช้ |
☐ |
| มีรหัสผ่าน/PIN ล็อกอุปกรณ์? |
MDM / ผู้ใช้ |
☐ |
| เปิด Full Disk Encryption? (BitLocker/FileVault) |
MDM |
☐ |
| อุปกรณ์ลงทะเบียนใน MDM? |
Intune / Jamf |
☐ |
| เปิด Find My Device? |
Apple / Google |
☐ |
| ล็อกอินอัตโนมัติ (cached credentials) |
ผู้ใช้ |
☐ |
2. การควบคุม
2.1 การดำเนินการทันที
| # |
การดำเนินการ |
เครื่องมือ |
เสร็จ |
| 1 |
ล็อกอุปกรณ์ ระยะไกล |
MDM / Find My |
☐ |
| 2 |
รีเซ็ตรหัสผ่าน บัญชีผู้ใช้ (AD, M365, ทั้งหมด) |
AD / IdP |
☐ |
| 3 |
เพิกถอน sessions และ tokens ทั้งหมด |
IdP |
☐ |
| 4 |
บล็อก อุปกรณ์ใน Conditional Access |
IdP / MDM |
☐ |
| 5 |
ตัดการเชื่อมต่อ VPN |
VPN management |
☐ |
| 6 |
หมุนเวียน API keys / SSH keys ที่เก็บในอุปกรณ์ |
ผู้ใช้ + IT |
☐ |
2.2 การ Wipe
| ข้อมูล |
อุปกรณ์ BYOD |
อุปกรณ์องค์กร |
| Selective Wipe (ข้อมูลองค์กรเท่านั้น) |
✅ แนะนำ |
☐ ทางเลือก |
| Full Wipe |
☐ ต้องการความยินยอม |
✅ แนะนำ |
3. การกำจัด
| # |
การดำเนินการ |
เสร็จ |
| 1 |
หมุนเวียน credentials ทั้งหมดที่อาจ cached ในอุปกรณ์ |
☐ |
| 2 |
เพิกถอน certificates ที่ออกให้อุปกรณ์ |
☐ |
| 3 |
ยกเลิกเครื่องออกจาก Intune/Jamf |
☐ |
| 4 |
ย้ายอุปกรณ์ไป "Lost" group ใน AD |
☐ |
4. การฟื้นฟู
| # |
การดำเนินการ |
เสร็จ |
| 1 |
ออกอุปกรณ์ใหม่ให้ผู้ใช้ |
☐ |
| 2 |
ตั้งค่า MDM + disk encryption ในอุปกรณ์ใหม่ |
☐ |
| 3 |
ลงทะเบียน MFA ใหม่ |
☐ |
| 4 |
ตรวจว่ามีกิจกรรมผิดปกติในบัญชีระหว่างสูญหาย |
☐ |
| 5 |
อัปเดตทะเบียนทรัพย์สิน |
☐ |
5. เกณฑ์การยกระดับ
| เงื่อนไข |
ยกระดับไปยัง |
| PII ลูกค้าในอุปกรณ์ที่ไม่เข้ารหัส |
Legal + DPO (PDPA 72 ชม.) |
| อุปกรณ์ผู้บริหารหรือ admin |
CISO ทันที |
| มีหลักฐานว่าอุปกรณ์ถูกเข้าถึงหลังสูญหาย |
Major Incident |
| อุปกรณ์หลายเครื่องสูญหาย (รูปแบบ) |
Security + HR |
| อุปกรณ์ถูกขโมยอย่างเจาะจง |
Law Enforcement |
ผัง MDM Lifecycle
graph LR
Enroll["📲 Enroll"] --> Policy["📋 Policy Push"]
Policy --> Monitor["👁️ Monitor"]
Monitor --> Alert["🚨 Lost/Stolen"]
Alert --> Lock["🔒 Remote Lock"]
Lock --> Wipe["🗑️ Selective Wipe"]
Wipe --> Retire["♻️ Retire"]
style Alert fill:#e74c3c,color:#fff
style Wipe fill:#c0392b,color:#fff
ผัง Device Data Classification
graph TD
Device["📱 อุปกรณ์"] --> Type{"🏷️ ประเภทข้อมูล?"}
Type -->|PII/PDPA| Critical["🔴 Critical — wipe ทันที"]
Type -->|Business| High["🟠 High — wipe 4h"]
Type -->|General| Medium["🟡 Medium — lock + track"]
Type -->|No data| Low["🟢 Low — lock เท่านั้น"]
Critical --> Legal["⚖️ แจ้ง DPO"]
style Critical fill:#e74c3c,color:#fff
style Legal fill:#8e44ad,color:#fff
กฎตรวจจับ (Sigma)
เอกสารที่เกี่ยวข้อง
Device Type Response Matrix
| Device Type |
Remote Wipe |
Data Risk |
Priority |
| Laptop (encrypted) |
✅ MDM |
Low |
Medium |
| Laptop (unencrypted) |
✅ MDM |
Critical |
Urgent |
| Mobile (managed) |
✅ MDM |
Low |
Medium |
| Mobile (BYOD) |
Limited |
Medium |
High |
| USB/External drive |
❌ N/A |
High |
High |
Lost Device Checklist
| Step |
Action |
Timeline |
Owner |
| 1 |
Report to SOC |
Immediately |
User |
| 2 |
Revoke access tokens |
15 min |
SOC |
| 3 |
Change passwords |
30 min |
User + IT |
| 4 |
Remote wipe (if possible) |
1 hr |
MDM Admin |
| 5 |
File police report |
24 hrs |
User |
| 6 |
Assess data exposure |
48 hrs |
Security |
Device Data Risk Assessment
| Data Type |
Encrypted? |
Risk |
| Email cache |
Check policy |
Medium-High |
| VPN credentials |
Usually |
Medium |
| Saved passwords |
Browser-dependent |
High |
อ้างอิง