Feeds:
Posts
Comments

Archive for June, 2008

เอกสารนี้ต้องการอธิบายการใช้อุปกรณ์ SRAN Security Center อย่างถูกวิธี เพื่อให้เกิดประโยชน์สูงสุดในการปฏิบัติงานแก่หน่วยงานที่ใช้อุปกรณ์ SRAN 

สิ่งที่ไม่ควรทำ และความเข้าใจผิด

1. ไม่ควรติดตั้ง SRAN Security Center ใน Mode In-line ในเครือข่ายที่มีจำนวนเครื่องที่ใช้งานอินเตอร์เน็ตเกินกว่า 100 เครื่อง ซึ่งอาจทำให้ระบบเครือข่ายเกิดคอขวดที่ตัวอุปกรณ์ SRAN เองได้ ซึ่งการติดตั้งแบบ In-line นั้น อุปกรณ์ SRAN Security Center สามารถใช้เทคโนโลยี NIPS ได้ในตัว แต่เนื่องจากฐานข้อมูลการเรียนรู้ภัยคุกคาม ลักษณะการใช้งานที่ผิดปกติที่ SRAN รู้จักนั้นมีจำนวนมาก ดังนั้นการประมวลผลต่างๆ อาจเกิดความล่าช้าได้ในกรณีนี้

จากรูปจะเห็นว่า SRAN รู้จักประเภทของไวรัสคอมพิวเตอร์ หนอนคอมพิวเตอร์ สปายแวร์ เป็นจำนวน 325,578 ชนิด และมีการอัพเดทฐานข้อมูลนี้ทุกวัน โดยอิงจาก Clamav ซึ่งทาง SRAN เป็น Mirror Site กับทาง Clamav อยู่ดังนั้นการอัพเดทฐานข้อมูลนี้จะมีความไวมากกว่าวิ่งไปอัพเดทจากต่างประเทศ ทำให้เปลือง Bandwidth น้อยลงอีกด้วย ส่วนฐานข้อมูลภัยคุกคาม เช่น การบุกรุกชนิดต่างๆ อุปกรณ์ SRAN มีมากถึง 12,333 ชนิด และมีการอัพเดทอย่างต่อเนื่อง จากแหล่ง snort , honeynet และที่ community นอกเหนือจากฐานข้อมูลดังกล่าวเทคโนโลยี SRAN ยังมีระบบเรียนรู้เองจากค่า Preprocessor ที่จัดทำขึ้นโดยเฉพาะ สามารถทราบได้ถึงภัยคุกคามที่กำลังโจมตีเว็บไซด์ ในรูปแบบที่อยู่ในระดับ Content (Application Protocol) จนถึงระดับล่างใน Layer 2 ทำให้ทราบถึงลักษณะที่มีคนในองค์กรใช้อุปกรณ์การดักฟังทางข้อมูล (sniffer) ได้อีกด้วย

2. SRAN Security Center เหมาะกับการออกรายงานผลให้ผู้บริหารองค์กร และผู้ดูแลระบบได้ทราบถึงปัญหาระบบเครือข่าย เพื่อใช้ในการวิเคราะห์หาปัญหา สาเหตุภัยคุกคาม รวมถึงสถิติการใช้งานระบบสารสนเทศในองค์กร อีกทั้งหลักฐานที่บันทึกในอุปกรณ์ SRAN สามารถใช้ยืนยันในชั้นศาลได้ ทั้งนี้อุปกรณ์ SRAN ไม่ได้ถูกออกแบบขึ้นเพื่อป้องกันภัยคุกคามเพียงอย่างเดียว แต่ยังช่วยให้ทราบถึงภัยคุกคาม และรู้ทันสถานการณ์ เก็บบันทึกเหตุการณ์พร้อมออกรายงานผล จึงไม่ควรคาดหวังว่ามีอุปกรณ์ SRAN แล้วจะป้องกันภัยคุกคามได้ทั้งหมด หรือมองว่า SRAN เป็นอุปกรณ์ IPS หรือ Firewall โดยเฉพาะ เพราะไม่มีเครือข่ายใดปลอดภัย 100% แต่ SRAN จะช่วยให้รู้เท่าทันปัญหา/ภัยคุกคาม ก่อนที่จะเกิดขึ้นและส่งผลกระทบต่อเครือข่าย/องค์กร     

3. มีความเข้าใจผิดว่าอุปกรณ์ SRAN มีเพียงฐานข้อมูลเฉพาะการโจมตี ไวรัส อีเมลขยะ หรือการบุกรุกผ่าน Web Application และอื่นๆ อันที่จริง ฐานข้อมูลส่วนหนึ่งของ SRAN ยังสามารถพบลักษณะการใช้งานอื่นๆ เช่น ลักษณะการใช้งาน IM การใช้สนทนา ได้แก่ MSN , Yahoo ,ICQ ,Gtalk , IRC เป็นต้น ลักษณะการใช้งานเปิดเว็บ และโพสเว็บ ลักษณะการใช้งานอีเมล์ ที่เป็น SMTP Mail Server , IMAP , POP3 , Lotus Notes หรือที่ผ่าน S-POP3 , S-IMAP ได้อีกด้วย ลักษณะการ Remote Access อุปกรณ์ SRAN และชนิดการ Remote Access ไม่ว่าจะเป็น VPN , VNC , Remote Destop , FTP , Telnet และอื่นๆ

4. ไม่ควรเปรียบเทียบ SRAN กับสินค้าแบรนด์อื่น ด้วยคุณสมบัติทางเทคโนโลยี เพราะใช้เทคนิคแตกต่างกัน แต่ให้ดูประโยชน์ที่ได้รับจากการใช้งาน และผลลัพธ์จากการนำหลักฐานจาก SRAN ไปใช้ในการสืบสวนสอบสวนสำหรับพนักงานเจ้าหน้าที่ หรือเจ้าหน้าที่ตำรวจ ซึ่งช่วยในการหาผู้กระทำความผิดและหลักฐานได้สะดวกยิ่งขึ้น ปัญหาจะได้ไม่ตกอยู่ที่ผู้บริหารขององค์กรนั้น

5. Log ที่ปรากฏ ในอุปกรณ์ SRAN จะเก็บบันทึกอยู่ที่เมนู Data Archive ซึ่งมีทั้งระบบ syslog (Raw Data) และ Mysql ทั้งสองส่วนจะมีการ checksum ค่า Log ในแต่ละวันและมีการเก็บบันทึกไว้ในค่า MD5 ซึ่งในทางปฏิบัติควร Upload ค่านี้และทำการ Backup ลงเทป หรือไรท์ลงแผ่น CD เพื่อเก็บไว้เป็นหลักฐาน ไม่ควรใช้ระบบอัตโนมัติ เช่น FTP ส่งค่าผ่านทางระบบเครือข่าย เพราะอาจมีผู้ไม่หวังดีดักข้อมูลกลางทาง แก้ไขเนื้อหา Log และลบค่า MD5 ไปได้ ซึ่งองค์กรต้องมีนโยบายด้าน IT Securtiy เข้ามารองรับในส่วนนี้

6. Log ที่ทำการเปรียบเทียบตามมาตรา (Correlation) จากมาตรา 5 ถึง มาตรา 11 เป็นผลจากการวิเคราะห์และประเมินความเสี่ยงจากอุปกรณ์ SRAN ซึ่งเป็นเพียงการประเมินก่อนที่เหตุการณ์จะเกิดขึ้นจริง หรือมีคนฟ้องร้องขึ้น จะได้แก้ไขสถานการณ์ได้ถูกต้องและไม่ผิดพลาดในอนาคต มิใช่หมายถึงจะมีความผิดตามมาตราดังกล่าวจริง จึงควรให้ผู้ดูแลวิเคราะห์ Log ที่ปรากฏขึ้นเสียก่อน

รูป รายงานผลการประเมินความเสี่ยงตามมาตราต่างๆ ที่พบจากอุปกรณ์ SRAN Security Center

สิ่งที่ควรทำ

1. ควรใช้ SRAN Security Center ในรุ่นที่เหมาะสมกับเครือข่าย ซึ่งสามารถอ่านได้ที่ http://www.gbtech.co.th/th/product/usm

เพราะการใช้อุปกรณ์ SRAN Security Center ในรุ่นที่ไม่เหมาะสมกับระบบเครือข่าย อาจทำให้ใช้งานได้ไม่เต็มประสิทธิภาพ สำหรับเครือข่ายที่มีเครื่องมากกว่า 100 เครื่องในการติดต่ออินเตอร์เน็ต ควรติดตั้ง SRAN ใน Mode Passive Mode หรือ  Transparent Mode เพื่อไม่ให้เกิดขอควดที่อุปกรณ์ หากอุปกรณ์ Switch ไม่สามารถ Mirror Port มาได้ ให้ดูการติดตั้งแบบ Transparent ได้ที่ http://www.sran.net/archives/150

2. SRAN Security Center ควรมีผู้ดูแล หรือมีผู้ควบคุมอุปกรณ์นี้ โดยจัดทำเป็นศูนย์ปฏิบัติการเฝ้าระวังภัย (Security Operation Center : SOC) ผ่านอุปกรณ์ SRAN เนื่องจากรายงานผล และ Log ที่ปรากฏในอุปกรณ์ SRAN มีความละเอียดในการสืบหาข้อมูลการใช้งานระบบสารสนเทศในองค์กร จึงมีความสะดวกสำหรับงาน Forensics หรือการพิสูจน์หลักฐานทางอิเล็คทรอนิกส์เป็นอย่างมาก

3. สำหรับมหาวิทยาลัย หรือหน่วยงานที่มีสาขา ควรติดตั้งอุปกรณ์ SRAN ตามคณะ หรือตามสาขา มิใช่ติดตั้งที่ Core Switch เพียงที่เดียว การติดตั้งตามคณะและตามสาขานั้น ยังสามารถระบุถึงภัยคุกคามเครื่องที่อยู่หลัง Gateway หรือหลัง IP NAT ได้อีกด้วย ซึ่งนอกจากจะรู้ทันสถานการณ์แล้วยังสามารถจัดทำเป็นเครือข่ายจิตพิสัย (Network Security Awareness) หรือที่เรียกว่าการให้คะแนน สำหรับแต่ละคณะ หรือสาขาได้อีกด้วย ว่ามีความตระหนักในการใช้ข้อมูลสารสนเทศเพียงใด และใช้งานเกินความต้องการขององค์กรในการจัดหา Link Internet มาใช้งานอีกหรือไม่

4. ควรใช้รายงานผลจากอุปกรณ์ SRAN สำหรับงานบริหารทรัพยากรบุคคล เพื่อให้ผู้บริหารองค์กรทราบถึงพฤติกรรมการใช้งานของบุคลากรในองค์กร การใช้งานที่ไม่เหมาะสม การใช้งานอันไม่เป็นประโยชน์สำหรับค่าใช้จ่ายอินเตอร์เน็ตในองค์กร หรือการขโมยข้อมูลองค์กรส่งออกไปภายนอก เนื่องจาก Log ที่อุปกรณ์ SRAN บันทึกไว้สามารถสืบหาลักษณะการใช้งานตาม User / IP / MAC Addess ได้  จึงควรใช้ประโยชน์จากอุปกรณ์ SRAN ในส่วนนี้ 

5. การใช้งาน SRAN Security Center ในรุ่น Hybrid ควรใช้เพื่อการรองรับ syslog จากอุปกรณ์สำคัญในองค์กร ได้แก่ Syslog จาก Domain Controller หรือ DHCP Server เท่านั้น ไม่ควรยิง syslog จากอุปกรณ์เครือข่ายอื่น เช่น Firewall , IPS , Proxy ซึ่งอุปกรณ์เหล่านี้ SRAN สามารถตรวจลักษณะการใช้งานด้วยเทคโนโลยีบนเครื่อง SRAN ได้สมบูรณ์อยู่แล้ว

6. Log ที่ปรากฏในอุปกรณ์ SRAN พอเพียงสำหรับมาตรา 26 ของ พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และรู้ว่าใคร ทำอะไร ที่ไหน เมื่อใด และอย่างไร แต่สำหรับเรื่องใคร (who) ที่ใช้ในการระบุเครื่องคอมพิวเตอร์ ถึงแม้จะใช้เทคโนโลยี Hybrid บนอุปกรณ์ SRAN ที่รับ syslog จาก Domain Controller , DHCP Server ก็จะระบุชื่อ User / IP / MAC address ได้ระดับหนึ่ง ควรมีการทำ 2 Factor Authentication หรือกล้องวงจรปิด เพื่อระบุตัวตนพนักงานหรือผู้ใช้งานอีกทางหนึ่งด้วย จึงจะเป็นการระบุตัวตนได้อย่างชัดเจน หลักฐานที่พบทางกายภาพ ประกอบกับเนื้อหาหลักฐานจากอุปกรณ์ SRAN จะช่วยในการพิสูจน์หลักฐานได้มากขึ้น

Advertisements

Read Full Post »

Log Worry Free

สาระสำคัญของพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2551 คือ ต้องการสืบหาผู้กระทำความผิด และนำผู้กระทำความผิดมาลงโทษตามมาตราต่างๆ ที่กำหนดขึ้น การเก็บบันทึกข้อมูลจราจร (Log) ส่วนหนึ่งคือเก็บเพื่อให้ตรงตามมาตรา 26 และสามารถทำให้ถูกต้องตามมาตรา 26 ได้หลากหลายวิธี ซึ่งล้วนแล้วแต่จัดทำขึ้นได้ตามความเหมาะสม และงบประมาณของบริษัท ห้างร้าน หน่วยงาน องค์กรต่างๆ แต่การเก็บบันทึกข้อมูลจราจรนั้นจะช่วยพนักงานเจ้าหน้าที่หรือเจ้าหน้าที่ตำรวจในการหาผู้กระทำความผิดได้หรือไม่ และหลักฐานที่พบจากข้อมูลจราจรจะใช้ยืนยันในชั้นศาลได้หรือไม่นั้น ขึ้นอยู่กับองค์กรประกอบสำคัญในองค์กร ว่าได้ปฏิบัติและให้ความสำคัญกับ คน เทคโนโลยี และกระบวนการ หรือไม่ หากทั้งสามส่วนเป็นไปในแนวทางเดียวกัน จะยิ่งเอื้อประโยชน์ในการสืบสวนสอบหาผู้กระทำความผิดได้มากขึ้น

SRAN Security Center ถูกออกแบบมาเพื่อ สร้างเครือข่ายให้มีความตื่นรู้ และสืบค้นหาผู้กระทำความผิดอันเกิดจากการใช้งานระบบสารสนเทศ โดยผสานเทคโนโลยีทั้ง 4 ระบบเข้าด้วยกัน จึงช่วยลดความซับซ้อนในการติดตั้ง และการออกแบบระบบ รวมถึงงบประมาณในการจัดหาเทคโนโลยีเพื่อมาเสริมสร้างความปลอดภัย ดังนั้นทางทีมงาน SRAN จึงเสนอการรับประกันการเก็บข้อมูลจราจร สำหรับหน่วยงานที่เลือกใช้อุปกรณ์ SRAN Security Center โดยบริษัทฯ รับประกันการเก็บ Log ตาม พรบ. เป็นระยะเวลา 1 ปี สำหรับลูกค้าที่ซื้อ SRAN Security Center ตั้งแต่บัดนี้จนถึง 31 ธ.ค. 2551

หากพนักงานเจ้าหน้าที่ หรือเจ้าหน้าที่ตำรวจ ต้องการนำ Log ของลูกค้าไปทำการสืบค้นหาผู้กระทำความผิด (Forensics) แต่พบปัญหาจากอุปกรณ์ ทำให้ไม่สามารถแสดง Log ดังกล่าว หรือไม่สามารถสืบค้นหาผู้กระทำความผิดทางอาชญากรรมคอมพิวเตอร์ได้ ส่งผลให้ลูกค้าถูกฟ้องร้องดำเนินคดีตามฐานความผิดในมาตรา 26 เมื่อคดีถึงที่สุดแล้ว SRAN รับประกันให้ด้วยการเสียค่าปรับแทน 500,000 บาท ทั้งนี้ เพื่อเป็นการสร้างความมั่นใจให้กับผู้ใช้งาน ไม่ต้องกังวลเรื่องการจัดหาเทคโนโลยีรองรับการเก็บบันทึกข้อมูลจราจรและสืบค้นหาผู้กระทำผิดทางคอมพิวเตอร์อีกต่อไป

สนใจเงื่อนไขในการประกัน Log สอบถามรายละเอียดได้ที่ info@gbtech.co.th 

สร้างความมั่นใจ SRAN นวัตกรรมป้องกันอาชญากรรมไฮเทค กับหน่วยงาน กระทรวงไอซีที และสำนักงานตำรวจแห่งชาติ

คำถามที่ถามบ่อยเกี่ยวกับ SRAN

Read Full Post »

ข่าว ดีสำหรับหน่วยงานที่มี Switch รุ่นเก่า และไม่สามารถ Mirror Port ได้ ตอนนี้ SRAN ได้เพิ่มคุณสมบัติการติดตั้งที่ไม่มีผลกระทบต่อระบบเครือข่ายเดิม และไม่ทำให้การรับส่งข้อมูลบนระบบเครือข่ายได้ช้าลง ไม่เปลือง Throughput และ Bandwidth อีกด้วย โดยติดตั้งแบบขวางระหว่างอุปกรณ์ และ อุปกรณ์ หรือ อุปกรณ์ กับระบบเครือข่าย ซึ่งทางทีมพัฒนาเรียกว่าการติดตั้งแบบ Network Transparent ซึ่งสามารถใช้ได้ทุกรุ่น ตั้งแต่ SRAN Security Center เวอร์ชั่น 4 CodeName : Memory ขึ้นไป

จากเดิมการติดตั้งอุปกรณ์ SRAN Security Center สามารถทำได้ 2 วิธี ได้แก่

1. การติดตั้งแบบ In-Line Mode ซึ่งแบบนี้สามารถทำการป้องกันภัยในระดับเนื้อหา (Content) และป้องกันภัยคุกคามต่างๆ ที่ตรงตามฐานข้อมูลได้อีกด้วย เช่น ไวรัสคอมพิวเตอร์ Spam , Malware ชนิดต่างๆ แต่การติดตั้งแบบนี้เหมาะกับระบบเครือข่ายขนาดเล็ก ที่ไม่เกิน 100 เครื่อง หากมากกว่านั้นอาจทำให้ Throughput ของระบบเครือข่ายที่ติดตั้งนั้นช้าไปได้ หรือที่เรียกว่าอาการ คอขวดที่ระบบเครือข่ายได้ เช่นกัน ทางทีมพัฒนาจึงไม่นิยมให้ติดตั้ง แบบ In-line วิธีนี้เหมาะกับเครือข่ายขนาดเล็ก ที่ต้องการป้องกันภัยคุกคามด้วย และวิเคราะห์ข้อมูล เก็บบันทึกข้อมูลจราจร รวมถึงการเปรียบเทียบและวิเคราะห์ผลความเสี่ยง ออกรายงานผล และข้อมูลที่เก็บบันทึกมีการยืนยันความไม่เปลี่ยนแปลงของข้อมูลได้

2. การติดตั้งแบบ Passive Mode ซึ้งต้องใช้ความสามารถของอุปกรณ์ Switch ทำการ Mirror Port และส่งข้อมูลจราจร (Data Traffic) ส่งมาที่อุปกรณ์ SRAN วิธีนี้สามารถใช้ได้ทุกระบบเครือข่าย ทั้งขนาดเล็ก กลางและใหญ่ ซึ่งวิธีนี้ไม่สามารถป้องกันภัยได้ แต่สามารถเก็บบันทึกข้อมูลจราจร รวมถึงการประเมินความเสี่ยง ออกรายงานผลเปรียบเทียบตามมาตราต่างๆได้ พร้อมออกรายงานผล และข้อมูลที่เก็บบันทึกมีการยืนยันความไม่เปลี่ยนแปลงของข้อมูลได้

วิธีที่ทางทีมงานพัฒนาอุปกรณ์ SRAN ได้เพิ่มขึ้นเป็นการติดตั้งแบบที่ 3 เรียกว่า

3. การติดตั้งแบบ Network Transparent ส่วนนี้ไม่จำเป็นต้องใช้ความสามารถของ อุปกรณื Switch ทำการ Mirror Port และส่งข้อมูลจราจร (Data Traffic) ให้ และยังสามารถติดตั้งได้เหมือนแบบที่ 1 คือ In-line และสามารถป้องกันภัยคุกคามในระดับ Network Layers ได้อีกด้วย ไม่มีผลกระทบต่อ Throughput ระบบเครือข่าย คือไม่ทำเกิดอาการคอขวดขึ้นได้ การติดตั้งแบบนี้ไม่ได้เป็นการติดตั้งแบบป้องกันตามฐานข้อมูล SRAN ต่างๆ ได้ เพียงแค่รู้ว่ามีเหตุการณ์เหล่านี้เข้าสู่ระบบเครือข่าย เหมือนการติดตั้งแบบที่ 2 และสามารถใช้งานการติดตั้งแบบ Network Transparent นี้ได้ทุกรุ่น ส่วนคุณสมบัติอื่นๆ ก็สามารถทำงานได้ปกติคือ วิเคราะห์ข้อมูล เก็บบันทึกข้อมูลจราจร รวมถึงการเปรียบเทียบและวิเคราะห์ผลความเสี่ยง ออกรายงานผล และข้อมูลที่เก็บบันทึกมีการยืนยันความไม่เปลี่ยนแปลงของข้อมูลได้

หน้าจอการปรับค่าเป็น Mode Network Transparent

เสริมประยุกต์ใช้ SRAN ให้เกิดประโยชน์สูงสุด (Tips)
การ ติดตั้งแบบที่ 1 (in-line) และ แบบที่ 3 (Network Transparent) เราสามารถกำหนดเครื่องลูกข่ายให้ใช้งานอินเตอร์เน็ต ได้หากลงทะเบียน IP และค่า MAC Address หากไม่มีค่า IP หรือ MAC Address ในฐานข้อมูลก็ไม่สามารถใช้งานอินเตอร์เน็ตในองค์กรได้

โดยเปิด https://IP กำหนดค่าที่

1. คลิกเมนูหลัก Management

2. ทำการคลิก Protect

3. กำหนดกฏให้ตั้งค่า IP / MAC Address และ Domain Name

เท่า นี้ท่านก็สามารถกำหนดเครื่องที่ไม่ได้ลงทะเบียนตามขั้นตอนทั้ง 3 นี้ไม่สามารถออกสู่ระบบเครือข่ายได้ และใช้งานอินเตอร์เน็ตไม่ได้จนกว่าจะได้เพิ่มกฏ IP / MAC Address และ Domain Name ในหน้าบริหารจัดการนี้

ซึ่งวิธีนี้ไม่แตกต่างการ เทคนิค Captive Portal บนอุปกรณ์ Security Gateway หรือ Firewall หรือระบบ NAC (Network Access Control) ด้วยการติดตั้งแบบ SRAN แตกต่างกับ Captive Portal ที่ไม่ได้ยุ่งเกี่ยวกับระบบเครือข่ายเดิม และไม่ต้องตั้งค่า Default Gateway ใหม่จึงทำให้สะดวกในการใช้งานและติดตั้งระบบ

Read Full Post »

ภัยคุกคามรายวันที่เกิดขึ้นบนโลกข้อมูลสารสนเทศมีมากมายจนเราต้องระมัดระวังตัวและเรียนรู้เพื่อไม่ให้ตกเป็นเหยื่อ และนี่เป็นอีกเหตุการณ์หนึ่งที่ต้องการให้ผู้อ่านได้มีความระมัดระวังภัยจากการกดเงินที่ตู้ ATM ซึ่งปฏิเสธไม่ได้ว่ากลายเป็นสิ่งจำเป็นสำหรับชีวิตประจำวัน ให้ตระหนักและใช้งานอย่างมีสติมากขึ้น จึงขอนำเสนอการตรวจสอบตู้ ATM ว่าเป็น ATM Skimming หรือไม่ ATM Skimming คืออะไร เราจะมีการตรวจสอบ และระมัดระวังอย่างไร? ลองติดตามอ่านกันดูครับ

เวลา 20:04 ของวันที่ 28/05/2551 ณ สวนลุม ไนท์บาซ่า

“เดี๋ยวออกไปกดเงินก่อน และผมก็หันหลังจากเพื่อนไป เมื่อผมพบเครื่อง ATM จึงเดินเข้าไปเพื่อกดเงิน แต่สิ่งที่พบที่เครื่อง ATM มีความผิดปกติ ที่พบว่าผิดปกติ ก็เพราะว่า หลังจากที่ได้สอดบัตรเข้าไปในเครื่อง และได้กดรหัสไปแล้ว 2 หลัก (ยังไม่ครบ 4 หลัก) ได้พบความผิดปกติที่ช่องเสียบบัตรของตู้ ATM ซึ่งมีลักษณะนูนออกมา และดูไม่มั่นคง จึงลองเอานิ้วแงะดู พบว่าเป็นอุปกรณ์ ATM Skimming และทันทีที่ผมทราบ ผมก็ยกเลิกการทำรายการในทันที ผมได้พบอุปกรณ์อีกชิ้น เป็นกล้องที่ใช้ในการสอดแนม ผมจึงได้แกะออก พร้อมมอบให้กับเจ้าหน้าที่ตำรวจ สน.ลุมพินี ”

เหตุการณ์นี้เป็นการโจรกรรมทางตู้ ATM ที่เรียกว่า ATM Skimmer
ATM Skimmer คือเครื่องอ่านบัตรขนาดย่อม ที่สามารถนำไปติดที่หน้าตู้ ATM (Automotic Teller Machine)
ATM Skimmer มีความสามารถในการอ่านข้อมูลบนบัตรธรรมดาทั่วไปได้ โดยลูกค้า ATM ส่วนมากจะสอดบัตรเข้าสู่เครื่องและต้องผ่านตัว skimmer โดยมันจะทำการบันทึกข้อมูลต่าง ๆ ที่อยู่ในแถบแม่เหล็กของบัตรเก็บไว้
ถึงกระนั้นแล้วกลุ่มมิจฉาชีพยังไม่สามารถที่จะนำข้อมูลในบัตรไปใช้ในการเบิกเงินออกมาได้ ยังต้องอาศัย PIN หรือรหัสส่วนตัว จึงมีการติดตั้งอุปกรณ์อีกตัว ที่เป็นกล้องไว้สำหรับสอดแนม เพื่อจะดูการกด PIN หรือรหัสส่วนตัวด้วย
ณ ปัจจุบันพบว่าตัวอุปกรณ์มีความสามารถในการส่งข้อมูลผ่านระบบไร้สายได้ด้วย ทำให้การโจรกรรมเงินนั้น เป็นไปได้อย่างรวดเร็ว ทันทีที่กลุ่มมิจฉาชีพได้ข้อมูลเหล่านั้น ก็จะทำการทำสำเนาบัตรขึ้นมา และนำไปใช้ได้ในทันที

จากภาพที่ถ่ายตู้ ATM ที่มีระบบดักข้อมูล (ATM Skimmer)

กล้องวงจรปิดที่ติดที่ตู้ ATM

5 ขั้นตอนในการใช้ ATM ให้ปลอดภัย
1. มองโดยรอบก่อนทำรายการ ให้มองดูรอบ ๆ บริเวณที่จะใช้บริการ ATM ก่อนทำรายการ ว่ามีบุคคลใดเดินวนเวียน หรือมีพฤติกรรมผิดสังเกตหรือไม่
2. เลือกใช้บริการตู้ ATM ที่คุณคุ้นเคย ถ้าคุณรู้จักและจำลักษณะของตู้ ATM ที่คุณใช้งานได้ จะเป็นการดีมาก เพราะหากมีอุปกรณ์แปลกปลอม เราจะสามารถทราบได้ทันที
3. มองดูตัวเครื่องก่อนใช้งาน ไม่ว่าจะอย่างไรก็ตาม ก่อนใช้งานให้สังเกตที่สอดบัตร และบริเวณเหนือตู้ก่อนทุกครั้ง แม้จะเป็นเครื่องที่คุณคุ้นเคย หากคุณพบสิ่งแปลกปลอม ลองเอานิ้วเขี่ย ๆ ดู หากหลุดออกมา ก็ jackpot แตกกันไป ให้แจ้งเจ้าหน้าที่ธนาคารโดยด่วน และโทรหาคนที่คุณรู้จักมาอยู่เป็นเพื่อน เพราะไม่แน่ กลุ่มมิจฉาชีพอาจวนเวียนอยู่แถวนั้นก็เป็นได้
4. ล็อคประตูก่อนใช้งานตู้ ATM ในกรณีที่ตู้ ATM ที่คุณจะใช้งาน มีประตูที่ปิดมิดชิด ขอให้ล็อคประตูให้สนิทก่อนทำรายการทุกครั้ง
5. ระวังบุคคลใกล้เคียงแอบดูรหัสผ่าน ในการทำรายการทุกครั้ง ขั้นตอนของการกด PIN หรือรหัสผ่านส่วนตัว ขอให้ป้องมือทุกครั้ง เพื่อป้องกันการแอบดูรหัสผ่าน

นอกจากนี้ เครื่องดักข้อมูลทางตู้ ATM ของมิจฉาชีพ ยังได้มีการฝังโปรแกรม Trojan เข้าไปอีก

ภาพถ่าย เมื่อทำการใช้คอมพิวเตอร์เพื่อเชื่อมต่ออุปกรณ์ดักข้อมูลที่ตู้ ATM

เมื่อวิเคราะห์ดูแล้ว เป็น Trojan Trojan.VB.FXP [PCTools], Trojan.Win32.VB.ayo [Kaspersky Lab], W32.SillyFDC [Symantec], TROJ_VB.AQS [Trend Micro] เป็น Trojan ที่มีความเสี่ยงระดับสูง สันนิษฐานได้ว่าอุปกรณ์ดักข้อมูลที่ติดที่ตู้ ATM อาจมีการป้องกันไว้จากกลุ่มมิจฉาชีพ เพื่อทำให้เครื่องคอมพิวเตอร์ที่ทำการติดต่อกับอุปกรณ์ติด Trojan ชนิดนี้ได้ หรืออาจเป็นเพราะอุปกรณ์ที่มิจฉาชีพนำมาใช้ตัวนี้ติด Trojan ชนิดนี้ก่อนหน้านี้แล้ว

จึงอยากขอให้ผู้อ่านตระหนักถึงภัยใกล้ตัวนี้ เพราะเหตุการณ์นี้มีโอกาสเกิดขึ้นได้กับทุกคนที่ใช้ ATM ไม่ว่าธนาคารไหน สาขาใด!!!

09/06/51

Read Full Post »

อุปกรณ์ SRAN Security Center ประกอบด้วย 4 เทคโนโลยีในอุปกรณ์เดียว คือ

1. การวิเคราะห์ระบบเครือข่าย (Network Analysis)

2. การวิเคราะห์หาความผิดปกติที่เกิดขึ้นบนระบบเครือข่าย (Intrusion/Extrusion Detection) ทั้งที่เป็น ข้อมูลที่เข้าและออก

3. การประเมินความเสี่ยงระบบเครือข่าย (Vulnerability Assessment/Management)

4. การเก็บบันทึกข้อมูล ทั้งข้อมูลปกติและข้อมูลที่ไม่ปกติ และทำการเปรียบเทียบตามมาตรฐาน ISO 27001 และ พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ปี 2550 (Log Compliance)

การเก็บบันทึกข้อมูล ส่วนหนึ่งให้ตรงตาม มาตรา 26 เราก็สามารถเก็บบันทึกได้ พร้อมการทำการยืนยันการไม่เปลี่ยนแปลงข้อมูล (Data Hashing) ในระบบโดยตรง ส่วนภัยคุกคามที่อาจมีความเกี่ยวข้องตาม มาตรา 5 -11 ที่สามารถตรวจจับได้ทางเทคนิคระบบก็จะเปรียบเทียบข้อมูล (Correlation Log event) ได้ในตัว

ส่วนการเก็บบันทึกข้อมูลเพื่อเก็บเป็นหลักฐานในการใช้งาน เราสามารถทำได้ 2 วิธีคือ

1. Inventory Passive mode

โดยใช้เทคโนโลยี Network Analysis เพื่อทำการเก็บบันทึกข้อมูลผ่านเทคนิค Flow Collector ผ่าน Protocol SNMP , ICMP , TCP UDP และมีการเก็บบันทึกข้อมูลการวันเวลา ที่เปิด -ปิดเครื่อง ชื่อเครื่องคอมพิวเตอร์ IP Address และค่า MAC Address รวมถึงช่วงเวลาที่ใช้งาน ซึ่งสามารถอ่านรายละเอียดเพิ่มเติมได้ที่ http://www.sran.net/archives/83

2. Inventory Active Mode

ซึ่งเป็นวิธีที่ใช้ได้กับอุปกรณ์ SRAN ในรุ่น SR – L ขึ้นไป และใช้คุณสมบัติทางเทคโนโลยี

การปฏิบัติงาน เปิดหน้าจอบริหารจัดการผ่าน SSL ไปที่ https://IP<manage&gt; คลิกไปที่เมนู Assessment

คลิกไปที่เมนูย่อย Security Scan –> Port Scan

และทำการตั้งค่าช่วง IP ที่จะทำการจัดเก็บคลังข้อมูล (Inventory)

ทำการพิมพ์ช่วง IP เป็น 192.168.1.1/24 เราจะได้ผลลัพธ์ที่เป็นการเก็บคลังข้อมูลอย่างละเอียดได้

ผลลัพธ์การเก็บคลังข้อมูล (Inventory แบบ Active Mode แสดงผลเป็นช่วง IP)

ซึ่งจะทำให้ทราบถึง IP ระบบปฏิบัติการ Port ที่เปิดอยู่และ Application Protocol ซึ่งทำให้ทราบถึง Version ในแต่ละ Application ได้อย่างละเอียดขึ้น และสามารถเก็บบันทึกเป็นรายงานผล ที่สามารถสืบค้นได้

คลิกที่ Report  เพื่อดูรายงานผล

สามารถแสดงผลเป็น XML , HTML และค่า CSV  ได้

Read Full Post »

เปิดตัว “สราญ” สร้างความมั่นใจแก่ผู้มองหาโซลูชั่นป้องกันเครือข่าย พร้อมเก็บ log ตาม พรบ.คอมพ์ฯ

เมื่อวันที่ 3 มิถุนายน 2551 บริษัท โกลบอลเทคโนโลยี อินทิเกรเทด จำกัด ได้จัดงานแถลงข่าวเปิดตัวเทคโนโลยี SRAN (Security Revolution Analysis Network) ซึ่งเป็นเทคโนโลยีที่พัฒนาขึ้นโดยคนไทย นำมาใช้ในผลิตภัณฑ์ SRAN Security Center เพื่อใช้วิเคราะห์และป้องกันภัยคุกคามเครือข่ายคอมพิวเตอร์ รวมทั้งเก็บบันทึกข้อมูลจราจรทางคอมพิวเตอร์ (Data Traffic) ที่เกิดขึ้นบนระบบเครือข่าย และจัดเปรียบเทียบให้สอดคล้องกับ ISO 27001 /2005 และพรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 โดยมีผู้ร่วมเสวนาคือ คุณนรัตถ์ สาระมาน กรรมการผู้จัดการบริษัทฯ และคุณนนทวรรธนะ สาระมาน ผู้อำนวยการฝ่ายพัฒนาผลิตภัณฑ์และบริการ และได้รับเกียรติจาก พ.ต.อ.ศิริพงษ์ ติมุลา ผกก.ศูนย์ตรวจสอบและวิเคราะห์การกระทำความผิดทางเทคโนโลยี สำนักงานตำรวจแห่งชาติ และคุณวินัย อยู่สบาย ผู้อำนวยการสำนักกำกับการใช้เทคโนโลยีสารสนเทศ กระทรวงไอซีที เข้าร่วมเสวนาด้วยในครั้งนี้ ซึ่งได้ให้ข้อมูลที่เป็นประโยชน์เกี่ยวกับสถานการณ์ของภัยคุกคามออนไลน์ ที่นับวันจะมีความรุนแรง และมีรูปแบบที่ซับซ้อนมากขึ้น ตลอดจนประเด็นที่เกี่ยวกับ พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ซึ่งจะมีผลบังคับใช้ในวันที่ 23 สิงหาคม 2551


<จากซ้ายไปขวา> พ.ต.อ. ศิริพงษ์ ติมุลา, คุณนนทวรรธนะ สาระมาน, คุณวินัย อยู่สบาย และคุณนรัตถ์ สาระมาน

ทั้งนี้ ผลิตภัณฑ์ SRAN ได้รับการยอมรับจากสำนักงานตำรวจแห่งชาติว่าเป็นอุปกรณ์ที่มีส่วนช่วยในการสืบสวนสอบหาผู้กระทำความผิด เนื่องจากข้อมูลจราจรทางคอมพิวเตอร์มีความจำเป็นอย่างยิ่งในการหาผู้กระทำผิดมาลงโทษตามกฎหมาย โดยผลิตภัณฑ์ SRAN สามารถจัดเก็บข้อมูลได้ตามหลัก Chain of Events คือ ระบุได้ว่า ใคร ทำอะไร ที่ไหน เวลาใด และอย่างไร รายงานผลในรูปแบบที่เข้าใจง่าย พ.ต.อ.ศิริพงษ์ ยังให้ความเห็นว่า ทฤษฎี “3 IN 3 OUT” หรือหลักการเข้าและออกของข้อมูลจราจร ที่คุณนนทวรรธนะ สาระมานได้คิดค้นขึ้น เป็นแนวคิดที่มีประโยชน์ยิ่งต่อการทำงานของพนักงานเจ้าหน้าที่

หากองค์กรทั้งภาครัฐและเอกชนตระหนักถึงความสำคัญในการปกป้องเครือข่ายคอมพิวเตอร์ของตนเอง และเก็บข้อมูลที่เกี่ยวข้องกับการใช้งานอินเตอร์เน็ตแล้ว นอกจากจะช่วยให้องค์กรปลอดภัยขึ้น ยังมีส่วนช่วยในการป้องกันและปราบปรามอาชญากรรมคอมพิวเตอร์ ภัยคุกคามที่ส่งผลกระทบต่อสังคม เยาวชน และความมั่นคงของชาติได้อีกทางหนึ่งด้วย ซึ่งจะช่วยให้สังคมไทยและสังคมไซเบอร์น่าอยู่มากขึ้น

Link

หนังสือพิมพ์บางกอกโพสต์ (Bangkok Post) “Internet Security New Laws Lead to IT Boom”
หนังสือพิมพ์กรุงเทพธุรกิจ กรุงเทพไอที “บ.ไทย ส่งระบบปลอดภัยลงตลาด”
หนังสือพิมพ์ผู้จัดการรายวัน “โกลบอลเทคโนโลยีเปิดตัว SRAN เฝ้าระวังภัยคุกคามเครือข่ายคอมพ์”
หนังสือพิมพ์ World Today “โกลบอลฯ ส่ง ‘SRAN’ โซลูชั่นไทยสู้ภัยคุกคาม”

Read Full Post »

หลายที่ มีการใช้อุปกรณ์ SRAN Security Center ในแต่ละรุ่น นั้นมักจะมีคำถามอยู่เสมอว่า จำนวนเหตุการณ์ที่เกิดขึ้น (Event Log) จะสามารถคำนวณอย่างไรให้เหมาะสม กับขนาดการใช้งานในแต่ละหน่วยงาน ทางทีมงานวิจัยและพัฒนาอุปกรณ์ SRAN จึงได้เขียนแบบการคำนวณเหตุการณ์เพื่อเป็นการประเมินการใช้งานให้เหมาะสมที่สุด

การรับค่า Log SRAN แบ่งได้ 2 วิธีคือ

1. Log ที่เกิดขึ้นจากการใช้งานผ่านระบบเครือข่าย วิเคราะห์ผ่าน Application Protocol ที่สำคัญ และมีโอกาสที่มีความเสี่ยงภัยคุกคาม ทำการเก็บบันทึกไว้ โดยแบ่งแยกข้อมูลว่าเป็นข้อมูลปกติ (Normal Traffic) และข้อมูลไม่ปกติ (Threat Traffic) พร้อมการทำเปรียบเทียบสถานการณ์เหตุการณ์ (Correlation event) เพื่อคาดการณ์ล่วงหน้าได้ว่าในองค์กรที่ติดตั้งอุปกรณ์ SRAN จะสามารถทราบถึงความเสี่ยงที่อาจเกิดขึ้นเปรียบเทียบตามมาตรา 5 – 11 ได้อย่างอัตโนมัติ วิธีนี้จะทราบถึงข้อมูลการใช้งานผู้ใช้งานจากเครื่องลูกข่าย (User Client) ได้ซึ่งจะได้ประโยชน์ ในการค้นหาสืบหาผู้กระทำความผิดมากกว่าวิธีอื่นๆ ที่ใช้งานกันอยู่ในปัจจุบัน

2. Log ที่เกิดถูกส่งจากอุปกรณ์แม่ข่าย (Server Devices) ซึ่งเป็นค่า syslog อุปกรณ์ SRAN จะเป็นตัวรับค่า syslog และประมวลผลโดยแยกแยะประเภทของ Log โดยแบ่งได้ดังนี้ Authentication log , Error system log , Kernel log , Application log เป็นต้น เหมาะสำหรับการส่งค่า syslog จากอุปกรณ์ที่สำคัญ เพราะค่า syslog มีจำนวนมากอาจทำให้เนื้อที่การเก็บเต็มได้
– ประเมินการคำนวนเหตุการณ์ที่เกิดขึ้นต่อผู้ใช้งาน
– ประเมินการคำนวนจากจำนวนเหตุการณ์ทั้งหมดที่เกิดขึ้นต่อวัน

หากเปิดทั้ง 2 โหมดที่กล่าวมาจะทำให้เราบันทึกเหตุการณ์ข้อมูลจราจรได้อย่างครบถ้วน พร้อมทั้งตอบโจทย์ ใคร ทำอะไร ที่ไหน อย่างไร แยกแยะออกมาได้ และเป็นหลักฐานที่ไม่ยืนยันความถูกต้องได้จากการยืนยันค่า MD5 ในแต่ละ File log แต่ละวัน ซึ่งอุปกรณ์ SRAN Security Center สามารถทำงานได้อย่างอัตโนมัติ ไม่ต้องปรับแต่งการใช้งาน จึงทำให้การติดตั้งและการออกแบบใช้เวลาอันสั้นในการปฏิบัติงาน โดยทีมงานตั้งไว้คือไม่เกิน 2 นาที สามารถติดตั้งและพร้อมใช้งานได้

เนื่องจากอุปกรณ์ SRAN มีการเก็บบันทึกข้อมูลทั้ง 2 แบบนี้และพิจารณาถึงการใช้งาน User ในองค์กรด้วยจึงจำเป็นที่ต้องมีการคำนวณเพื่อหาค่าเนื้อที่การเก็บบันทึก พร้อมทั้งค่าที่รับปริมาณค่า Log ได้อย่างถูกต้องมากขึ้น จึงทำสูตรการคำนวณเพื่อใช้กับอุปกรณ์ SRAN ดังนี้

– ประเมินการคำนวนเหตุการณ์ที่เกิดขึ้นต่อผู้ใช้งาน
– ประเมินการคำนวนจากจำนวนเหตุการณ์ทั้งหมดที่เกิดขึ้นต่อวัน

คลิกที่รูปเพื่อดูภาพขยาย

Download ตารางคำนวณ SRAN Event Log ได้ที่นี้

หมายเหตุ : ในช่องพื้นสี่น้ำเงินสามารถปรับเปลี่ยนข้อมูลได้ ตามขนาดขององค์กรที่ใช้อุปกรณ์ SRAN

คำถามที่ถามบ่อยเกี่ยวกับอุปกรณ์ SRAN

สำหรับข้อสงสัยอื่นๆ ที่เกี่ยวข้องกับการใช้งาน SRAN  สามารถสร้างกระทู้เพื่อสอบถามได้ที่นี้

Read Full Post »

Older Posts »