Feeds:
Posts
Comments

Archive for March, 2007

SRAN in the SOC

ภาพการออกแบบ SRAN Security Center เพื่อใช้เป็นอุปกรณ์หนึ่งในศูนย์เตือนภัยทางระบบเครือข่าย SOC (Security Operation Center) เพื่อให้บริการ MSSP (Management Security Services Provider)
พื้นฐานการทำงานดังนี้
1. ระบบเฝ้าระวังภัยคุกคามและสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่าย ภายในและภายนอก และรายงานผล(Intrusion Detection / Prevention System)
2. ระบบประเมินความเสี่ยง เพื่อตรวจหาจุดเสี่ยง และรายงานผลแนวทางการแก้ไข (Vulnerability Assessment)
3. ระบบตรวจสอบ ผลเหตุการณ์ภัยคุกคามที่เกิดขึ้นในเครือข่ายคอมพิวเตอร์ โดยเทียบตามมาตรฐาน ISO17799 (Network Security Compliance)


คลิกที่รูปเพื่อดูภาพใหญ่

เป็นระบบที่สมบูรณ์และเหมาะสมกับการสร้าง SOC แบบพอเพียง ขึ้น ประโยชน์ที่ใช้ SRAN ในการทำ SOC
1. ประหยัดงบประมาณในการลงทุนเทคนิคโนโลยี
2. การประมวลผล สามารถแสดงผลผ่าน Web-Application (TCP ผ่าน HTTPS) จะประหยัด Bandwidth เครือข่ายได้มากกว่า การส่ง DB หรือ Syslog แบบ Out of Band
3. ภัยคุกคามจากการ เฝ้าระวังผ่าน Web Monitoring มีน้อยกว่า ที่ต้องให้ Firewall เปิด port syslog หรือ DataBase ที่ต้องเปิด port 514 UDP สำหรับ syslog หรือ port 1433 TCP สำหรับ MS SQL หรือ port 3306 TCP หรืออื่นๆ ที่เกี่ยวข้องกับ DataBase Application
4. สะดวก ในการบริหารจัดการ ทั้งในแง่การติดตั้ง ออกแบบ และรวมศูนย์ควบคุม
5. เป็นเทคโนโลยี ที่เราสามารถควบคุมเองได้ สร้างเป็นต้นแบบสำหรับใช้ในงานด้านความมั่นคงของชาติ

ในแผนการปฏิบัติงานในศูนย์เตือนภัยทางระบบเครือข่าย มีการประยุกต์แผนนี้จาก MSSP จาก Cert Team โดยมีผังกล่องส่วนการทำงาน Incident Response Procedure ดังนี้


นี่เป็นภาพที่พึ่งร่างเสร็จในเครื่องคอมที่ใช้ประจำ มีความพยายามที่จะเสนออุปกรณ์ SRAN กับการสร้างศูนย์เตือนภัยทางระบบเครือข่าย หรือที่เรียกว่า SOC (Security Operation Center) ให้เข้าใจง่ายที่สุด สำหรับการนำไปใช้จริง
เราคงต้องเดินหน้าต่อไป สำหรับวิธีการออกแบบศูนย์เตือนภัยทางระบบเครือข่ายคอมพิวเตอร์ ที่ประหยัดงบประมาณ และมีประสิทธิภาพมากที่สุดให้ได้

อ่านต่อการหน้าจอการตรวจจับสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่ายได้ที่ SRAN System LAB (16/01/50)
รายงานผล Log ที่เกิดขึ้นจากระบบที่สอดคล้องกับ ISO 17799 อ่านได้ที่ SRAN Network Security Compliance (05/12/49)

การประยุกต์ส่ง syslog SRAN ให้ใช้งานกับ Core Switch อ่านได้ที่ ทดสอบ SRAN ส่ง syslog ใช้กับอุปกรณ์ Switch Alcatel

Advertisements

Read Full Post »

Neo Vulnerability Assessment Framework

มีหลายๆ วิธีที่ทำให้การทำงานด้านประเมินความเสี่ยงระบบเครือข่ายประสบความสำเร็จได้
และมีอีกวิธีที่ทางทีมงาน SRAN ได้คิดค้นวิธีการทำประเมินความเสี่ยงเครือข่าย ที่มีแบบแผนและการดำเนินการที่เป็นระบบ โดยมีการประยุกต์โครงร่างงาน (Framework) ดังนี้
1. ประยุกต์การใช้แบบทดสอบพื้นฐาน จาก Self-Assessment ISO17799
2. ประยุกต์การใช้แบบตรวจสอบ ตาม (BSI : Federal Office for Information Security)
3. ประยุกต์การใช้ Tools ในการทำ Penetration Test โดยใช้ SRAN Muay Thai ที่มี Tools ตาม OSSTMM (Open Source Security Testing Methodology Manual)
4. ประยุกต์ผลลัพธ์ที่ตามแบบ NIST SP800 42
5. นำ SRAN Security Center มาใช้ในการทำประเมินความเสี่ยง จากสิ่งผิดปกติที่เกิดขึ้นในระบบเครือข่ายจากการตรวจจับข้อมูลที่รับและส่งเข้าออกใน ทั้งเครือข่ายภายใน และ ภายนอก (Threat Traffic Analysis)
จากการประยุกต์ดังกล่าว เราสามารถสร้างเป็นโครงสร้างการทำงานด้านประเมินความเสี่ยงระบบเครือข่ายคอมพิวเตอร์ ที่เรียกได้ว่าครบสมบูรณ์แบบได้
รวมถึงรายงานผลที่เกิดขึ้น จะเน้นอยู่ 2 เรื่องคือ ภาษาที่ใช้ในแต่ละขั้นตอนการปฏิบัติงานจะเป็นภาษาไทย ทั้งหมด และ การวิเคราะห์ความเสี่ยง จะทำเชิงลึก เพื่อให้ทราบถึงภัยคุกคามในช่วงเวลาปัจจุบันได้มากที่สุด

โดยสร้างขั้นตอนกระบวนการดำเนินการดังนี้

แบ่งทีมงานการทำงาน มี 2 ทีมใหญ่ ทำงานประกอบด้วย 3 ส่วน ดังนี้

เราเรียกการประยุกต์แผนทำประเมินความเสี่ยงระบบเครือข่ายคอมพิวเตอร์ ครั้งนี้ว่า “Neo Vulnerability Assessment Framework” เรียกเป็นภาษาไทย ว่า แผนการดำเนินการประเมินความเสี่ยงระบบเครือข่ายเชิงบรูณาการณ์ ซึ่งผมก็มั่นใจว่า เราเป็นเจ้าแรกที่รวมวิธีการทำงานแบบนี้ขึ้น เป็นวิธีแรกในโลก Cyber ก็เป็นได้ และเป็นสูตรสำเร็จ ในการดำเนินงานด้านนี้ ที่ตัวผมเองคิดได้ ยอมรับว่าเป็นสูตรการทำงานที่ดีกว่า สมัยก่อนๆ ที่เคยปฏิบัติมาในหลายงานในอดีต

Read Full Post »