Feeds:
Posts
Comments

Archive for July, 2008

SRAN ช่วยตำรวจทลายแก๊งไนจีเรีย 419 อีเมล์หลอกลวงระดับโลก

เมื่อวันที่ 25 กรกฏาคม 2551 สำนักงานตำรวจแห่งชาติ และศูนย์ตรวจสอบและวิเคราะห์การกระทำผิดทางเทคโนโลยี (ศตท.) ร่วมกับทีม SRAN โดยมี พล.ต.อ.พัชรวาท วงษ์สุวรรณ ผบ.ตร. พล.ต.อ.เพรียวพันธ์ ดามาพงษ์ รอง ผบ.ตร. พล.ต.ท.สมยศ พุ่มพันธ์ม่วง ผบช.ก. พล.ต.ต.ปัญญา มาเม่น รอง ผบช.ก. แถลงข่าวการจับกุมแก๊งไนจีเรีย 419 ซึ่งเป็นกลุ่มอาชญากรคอมพิวเตอร์ที่ FBI และตำรวจต่างประเทศต้องการตัวมากที่สุด คดีนี้ถือเป็นคดีแรกที่จับกุมผู้กระทำความผิดตามฐานความผิดในพระราชบัญญัติ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 อย่างเป็นทางการ โดยได้นำหลักฐาน Log Files จากอุปกรณ์ SRAN Security Center มาใช้ประกอบคดีและนำอุปกรณ์ไปติดตั้งในร้านอินเตอร์เน็ตที่สงสัยว่าจะมี กลุ่มไนจีเรีย 419 ใช้เป็นฐานในการหลอกหลวงผู้คนโดยการส่งอีเมล์ปลอมเอกสารเป็นธนาคารต่างๆ ไปยังผู้เสียหาย ที่หลงกลโอนเงินให้กับแก๊งดังกล่าวรวมมูลค่ามหาศาล

หลักฐานที่สำคัญในคดีนี้คือ Log Files จากอุปกรณ์ SRAN Security Center ซึ่งสามารถระบุเนื้อหาที่ผู้ต้องหาใช้ในการหลอกลวงรวมถึงจับเหตุการณ์ดัง กล่าว และเชื่อมโยงไปยัง IP Address ของเครื่องผู้ต้องสงสัย โดยทีมงาน SRAN ร่วมกับพนักงานเจ้าหน้าที่ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับ คอมพิวเตอร์ ได้ทำการวิเคราะห์ข้อมูลและขยายผลจาก Log files ทำให้สาวไปถึงผู้อยู่เบื้องหลังของแก๊งนี้ และดำเนินการจับกุมได้ในที่สุด นับเป็นผลงานชิ้นโบว์แดงของสำนักงานตำรวจแห่งชาติ และศูนย์ตรวจสอบและวิเคราะห์การกระทำผิดทางเทคโนโลยี หรือ ศตท. นำโดย พ.ต.อ.พิสิษฐ์ เปาอินทร์ ผู้บังคับการศูนย์ตรวจสอบและวิเคราะห์การกระทำผิดทางเทคโนโลยี สำนักงานตำรวจแห่งชาติ และทีมงาน SRAN

ภาพการแถลงข่าวที่สำนักงานตำรวจแห่งชาติ ตำรวจกองปราบ ตำรวจท่องเที่ยว ตำรวจตรวจคนเข้าเมือง ศตท. และทีมงาน SRAN ร่วมกันแถลงข่าวการจับแก๊งไนจีเรีย ที่ห้องแถลงข่าวเมื่อวันที่ 25 กรกฎาคม 2551

คดีดังกล่าว เป็นกรณีศึกษาเรื่องการเก็บบันทึกข้อมูลตามมาตรา 26 และ 27 ได้เป็นอย่างดี โดยการเก็บ Log files ที่เหมาะสมต้องสามารถช่วยให้พนักงานเจ้าหน้าที่และเจ้าหน้าที่ตำรวจ สืบหาผู้กระทำความผิดและสามารถใช้ยืนยันในชั้นศาลได้ ผลจากคดีนี้จะช่วยลดอีเมล์ล่อลวงลงได้ระดับหนึ่ง และธนาคารในประเทศไทยที่ถูกปลอมแปลงเอกสารจะสามารถนำมาขยายผลเพื่อแจ้งเตือน ให้ลูกค้าทราบได้ต่อไป

ภาพหน้าจอแสดงการที่ผู้ร้ายส่งอีเมล์ปลอมเอกสารธนาคาร ทำให้ผู้อ่านหลงเชื่อว่าได้รับรางวัลจากทางธนาคารจริง ซึ่งอุปกรณ์ SRAN ได้เขียน Rule เพื่อตรวจจับพฤติกรรมดังกล่าวได้ และขยายผลจากอีเมล์ผู้ร้ายไปถึงตัวการใหญ่ในที่สุด วิเคราะห์ข้อมูลโดยทีมงาน SRAN ร่วมกับพนักงานเจ้าหน้าที่และทีมปฏิบัติงานของศูนย์ตรวจสอบและวิเคราะห์การ กระทำผิดทางเทคโนโลยี สำนักงานตำรวจแห่งชาติ

ภาพข่าวจากเว็บไซด์ผู้จัดการ :จับได้อีกเพียบ “แก๊งไนจีเรีย 419” ส่งเมลตุ๋นเหยื่อโอนเงินแลกรางวัล 1 ล้านดอลลาร์

ข่าวจาก MCOT จับแก๊งไนจีเรียใช้ไทยตุ๋นคนทั่วโลก

นักต้มตุ๋นชาวไนจีเรียน หรือ 419 Scam

Fight the Email 419 Scam with Education

Advertisements

Read Full Post »

เร็วๆนี้ทางทีมงาน SRAN ได้พัฒนาชุดโปรแกรมอ่าน Log files เพื่อใช้ในงานสืบสวนสอบสวนหาผู้กระทำผิด (Forensics) ซึ่งมีจุดประสงค์ดังนี้

1. สามารถนำ Log จากระบบ IDP (Intrusion Detection Prevention system) นำมาเปิดอ่านได้สะดวกขึ้น โดยเปิดอ่านจากเครื่องคอมพิวเตอร์ที่ได้ลงชุดโปรแกรมชื่อ SRANviewer

2. เพื่อลดปัญหาการเปิดอ่าน Log files ขนาดใหญ่บนอุปกรณ์ SRAN Security Center คือมีขนาดเกิน 500MB ขึ้นไป

3. เพื่อใช้ในงานสืบค้นหาผู้กระทำผิด เมือนำ Log files มาทำการวิเคราะห์

โดยชุดโปรแกรมชื่อ SRAN viewer นั้นประกอบด้วย

– ชุดซอฟต์แวร์ Java runtime environment สำหรับระบบปฏิบัติการ Linux และ Windows

– ชุดซอฟต์แวร์ Mysql สำหรับระบบปฏิบัติการ Linux และ Windows

– ชุดซอฟต์แวร์ที่ใช้ทำการ Setup หน้าจอ (GUI) SRAN viewer สำหรับระบบปฏิบัติการ Windows

หน้าจอชุดซอฟต์แวร์ SRAN Viewer หลังจากติดตั้งเสร็จ จะสามารถดูได้ผ่านเครื่องคอมพิวเตอร์ที่ลง Java Runtime และ Mysql โดยหากนำ Log files เพื่อทำการ Forensics จะต้องนำ Log ที่เกิดขึ้นแล้วมาเปิดบนชุดซอฟต์แวร์ SRAN Viewer

รูปที่ 1 นำค่า Log เปิดเข้าสู่ชุดโปรแกรม SRANviewer

รูปที่ 2 เมื่อทำการ Import Log files เข้าสู่โปรแกรมจะพบว่าสามารถอ่านดู Log files ได้สะดวกมากขึ้น

ชุดโปรแกรม SRAN viewer จะเปิดทำการให้ Download เป็นทางการในเดือนสิงหาคม ศกนี้

Read Full Post »

Zombie ที่กล่าวถึงนี้ คือ ซอฟต์แวร์ผีดิบที่ฝังในเครื่องคอมพิวเตอร์ของเราๆ ท่านๆ โดยไม่รู้ตัวและเป็นหนึ่งตัวอย่างที่อุปกรณ์ SRAN Security Center  สามารถวิเคราะห์และจับเหตุการณ์เครื่องคอมพิวเตอร์ที่เป็นซอฟต์แวร์ผีดิบนี้ได้  อาจกล่าวได้ว่า SRAN เป็นมากกว่าอุปกรณ์เก็บ Log ก็เพราะ SRAN บอกสาเหตุของภัยคุกคามที่อาจเกิดขึ้นได้ในองค์กรพร้อมทั้งแปลเนื้อหา Log ที่อ่านเข้าใจยาก ให้สามารถอ่านเข้าใจง่ายขึ้นโดยยึดหลัก Chain of event หรือเรียกว่า ห่วงโซ่เหตุการณ์ ว่า ใคร ทำอะไร ที่ไหน เวลาใด และอย่างไร

ซอฟต์แวร์ที่ติดตั้งไปในตัว Zombie ประกอบด้วย
– เครื่องมือโจมตีระบบ สามารถส่ง DoS (Denial of Services) , Remote Hacking โดยใช้ Robot ในการยิงค่า Exploit เพื่อยึดเครื่องคอมพิวเตอร์
– เครื่องมือดักจับข้อมูล เช่น Keylogger ซึ่งในบ้านเราเป็นข่าวอยู่บ่อยๆ สำหรับเรื่อง Keylogger
– เครื่องมือส่งข้อมูลไม่พึ่งประสงค์ เช่น ส่ง Spam mail ส่ง virus / worm ที่แนบมากับ files ผ่านการเชื่อมต่ออินเตอร์เน็ตใน Application Protocol ต่างๆ เช่น Mail , Chat , P2P เป็นต้น
ซึ่งหากมี Zombie หลายๆตัวรวมตัวกัน เพื่อทำการอย่างใดอย่างหนึ่งเราจะเรียกว่า “Botnet”

ใน ขณะนี้เท่าที่ติดตั้งและสังเกตการผ่านอุปกรณ์ SRAN ใน Site ที่ทำการทดสอบระบบพบว่ามีเครื่องคอมพิวเตอร์ในเมืองไทย มีการติด Zombie จำนวนมาก
จึงขอนำเสนอวิธีสังเกตการติด Zombie จากอุปกรณ์ SRAN Security Center เพื่อให้เห็นหน้าตาของภัยคุกคามนี้

เมื่อวิเคราะห์ดู Virus Zlob User Agent ที่ติดในเครื่องคอมพิวเตอร์ภายในองค์กร พบว่า

เป็นการส่งค่าออกไปนอกองค์กร ไปทำการ GET File ชื่อ db.zip ผ่าน Web ชื่อ onsafepro2008

Chain of evnet จากกรณีศึกษานี้คือ

ใคร คือ IP ต้นทาง IP ปลายทาง Port ต้นทาง และ Port ปลายทาง

ทำอะไร คือ มีลักษณะเป็น Get File ผ่าน HTTP Protocol

ที่ไหน  คือ Domain URL onsafepro2008

เวลาใด คือ  ช่วงเวลา 05:23 ของวันที่ 23/07/51

อย่างไร คือ มีลักษณะการใช้งานที่ผิดปกติและมีความเสี่ยงภัยคุกคาม ซึ่งอาจเป็น zombie ที่ติดไวรัสที่ชื่อว่า Zlob User Agent

หากเก็บเพียง Log อย่างเดียวแต่ไม่สามารถรู้ทันปัญหา รู้ทันเหตุการณ์ ก็จะทำให้ลำบากในการบริหารจัดการด้านระบบสารสนเทศในองค์กรนี้ได้

รายละเอียดอ่านเพิ่มเติมได้ที่ http://nontawattalk.blogspot.com/2008/07/zombie.html

Read Full Post »

จุดประสงค์ ที่จัดทำเครือข่ายตื่นรู้ โดยใช้ SRAN Appliance

1.เพื่อเป็นสูตรสำเร็จในการติดตั้งอุปกรณ์ระบบเครือข่ายให้มีความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ โดยลดความซับซ้อนในการออกแบบและติดตั้งระบบเครือข่ายให้มีจำนวนน้อยที่สุดแต่ปลอดภัยและบริหารจัดการง่ายที่สุด

2. ระบุตัวตนผู้ใช้งานได้ อย่างถูกต้อง อีกทั้งผู้ที่ใช้งานอินเตอร์เน็ตยังสามารถรับรู้นโยบาย (Policy) ที่ประกาศใช้เพื่อความถูกต้องและป้องกันภัยคุกคามที่อาจเกิดขึ้นได้ในอนาคต

3. ระบุภัยคุกคามเหตุการณ์ที่อาจมีความเสี่ยงตามมาตราต่างๆ ที่กำหนดขึ้นจากพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ได้

4. สามารถสืบค้นหาผู้กระทำความผิด สถิติการใช้งานระบบสารสนเทศ ระบบอินเตอร์เน็ต และจัดเก็บบันทึกเป็นข้อมูลที่สามารถสืบค้นได้อย่างสะดวก

5. ประเมินพฤติกรรมการใช้งานอินเตอร์เน็ตภายในองค์กร (Network Awareness) เพื่อจัดทำการประเมินพนักงานสำหรับงานทรัพยากรบุคคลได้

6. คุ้มค่าการลงทุน และปลอดภัยกว่า (Lower Cost More Secure)

SRAN Energetic Network แบบที่ 1

เหมาะสำหรับองค์กรขนาดเล็ก และขนาดกลาง ที่ยังไม่มีระบบป้องกันภัยคุกคามภายในองค์กร และยังขาดนโยบายควบคุมบุคคลากรในองค์กร

อุปกรณ์ที่ติดตั้งประกอบด้วย

1. SRANwall Appliance เป็นอุปกรณ์ที่มีหน้าที่สำหรับระบุตัวตนผู้ใช้งานอินเตอร์เน็ต (Authentication Gateway) คุณสมบัติสำหรับผู้ต้องการใช้งานอินเตอร์เน็ตในองค์กรจะต้องผ่าน Web Authentication เพื่อระบุชื่อ และรหัสผ่านก่อนเข้าสู่ระบบ ซึ่งสามารถระบุได้ดังนี้

1.1 IP/MAC , Username สามารถเรียกตามฐานข้อมูล LDAP , Radius Server ได้

1.2 เป็นระบบ Security Gateway โดยมีคุณสมบัติเป็น Network Firewall สามารถทำ NAT / PAT และกำหนด Rule Base ได้

1.3 เป็น DHCP Server

1.4 เป็นระบบ Security Remote Access (VPN)

1.5 Network Bandwidth Shaping ควบคุมบริหารจัดการทรัพยากรข้อมูลให้ใช้อย่างจำกัดและเหมาะสม

1.6 มีระบบกรอกข้อมูล เพื่อยืนยันการใช้งาน และยอมรับข้อตกลงนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ

ซึ่งในนโยบายที่ประกาศนั้นจะต้องตอบยอมรับทุกครั้ง เมื่อมีการใช้งานอินเตอร์เน็ต โดยแบ่งกลุ่มได้ 5 หัวข้อดังนี้

หวมดที่ 1 : บททั่วไป

หมวดที่ 2 : การใช้งานคอมพิวเตอร์

หมวดที่ 3 : การใช้งานระบบเทคโนโลยีสารสนเทศ

หมวดที่ 4 : การป้องกันและรักษาความมั่นคงปลอดภัยในการใช้ระบบเทคโนโลยีสารสนเทศ

หมวดที่ 5 : การเผยแพร่ข้อมูลผ่านระบบเทคโนโลยีสารสนเทศ

รูปที่ 1 จะแสดงเป็นหน้าต่างใหม่เวลาใช้เครื่องคอมพิวเตอร์ภายในองค์กร จะทำการเชื่อมต่ออินเตอร์เน็ต (คลิกที่รูปเพื่อดูภาพขยาย)

หากไม่ยอมรับในนโยบายขององค์กร จะไม่สามารถใช้งานอินเตอร์เน็ตได้ แต่หากยอมรับข้อตกลงตามนโยบายที่บริษัทได้ประกาศ

รูปที่ 2 จะแสดงการใส่ User / Password เพื่อบันทึกการยอมรับต่อนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลในองค์กร หาก Login ไม่ถูกต้องก็จะย้อนกลับมาหน้าแรกอีกครั้ง

2. SRAN Security Center เป็นอุปกรณ์ที่เก็บบันทึกข้อมูลจราจร (Data Traffic) ทั้งการใช้งานปกติที่เกิดขึ้นจากการใช้งานอินเตอร์เน็ต เช่น Web , Mail , Chat , Upload / Download , Telnet , FTP , P2p , VoIP เป็นต้น

และคอยเฝ้าสังเกตการพฤติกรรมอันไม่พึ่งประสงค์ เช่น การบุกรุกระบบ การโจมตีระบบ การเข้าถึงระบบโดยมิชอบ การแพร่กระจายไวรัสคอมพิวเตอร์ (Virus, Worm, Spyware , Trojan , Backdoor เป็นต้น) ข้อมูลอันไม่พึ่งประสงค์ เช่น การเล่นเว็บไม่เหมาะสม , อีเมลล์ขยะ (Spam) , การดักจับข้อมูลโดยมิชอบ (Sniffer) เป็นต้น

และทำการรับค่า Syslog User สำหรับ Authentication ที่ยอมรับกฏระเบียบตามนโยบายที่ประกาศไว้

เป็นอุปกรณ์ที่ทำหน้า

2.1 เฝ้าระวัง ภัยคุกคามจากภายในองค์กร และภายนอกองค์กร เพื่อดูพฤติกรรมการใช้งานที่ไม่เหมาะสมและเสี่ยงต่อความมั่นคงทางข้อมูล

2.2 วิเคราะห์ ข้อมูลดิบที่เกิดขึ้นจากการใช้งานอินเตอร์เน็ตแปลงเป็นข้อมูลที่สามารถอ่านเข้าใจง่าย และใช้สำหรับการสืบสวนสอบสวนหาผู้กระทำความผิดได้

วิเคราะห์ระดับการใช้งาน Bandwidth , Protocol และพฤติกรรมการใช้งาน User ภายในองค์กรเพื่อประเมินความเสี่ยงและจัดจิตพิสัยรวมถึงประเมินด้านทรัพยากรบุคคลได้

2.3 เก็บบันทึกข้อมูลจราจร ทั้งที่เป็น Network Flow , NIDS/IPS Log และ Syslog จาก Authentication Gateway (สำหรับเครือข่ายใดที่มี Domain Controller และ DHCP Server ให้ส่งค่า syslog มาที่อุปกรณ์ SRAN เพื่อทำการเก็บบันทึกการ Login / Logoff สำหรับการใช้งานระบบสารสนเทศในองค์กรเป็นต้น)

รูปที่ 3 การรับค่า syslog จาก Authentication Gateway เพื่อระบุตัวต้นผู้ใช้งานผ่านอุปกรณ์ SRAN Security Center (คลิกที่รูปเพื่อดูภาพขยาย) จะเห็นรายชื่อ User ที่ยอมรับนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลในองค์กร ในสถานเปิดทำการ Login เพื่อใช้งานระบบสารสนเทศในองค์กร ซึ่งแสดงถึงช่วงเวลาการใช้งาน ชื่อ User ที่ยอมรับนโยบาย (Security Policy) ที่องค์กรประกาศ และ IP / MAC Address สถานะการการใช้งาน

รูปที่ 4 ค่า Log จาก DHCP Server (SRANwall) และประมวลผลผ่านอุปกรณ์ SRAN Security Center (คลิกที่รูปเพื่อดูภาพขยาย)

รูปที่ 5 การวิเคราะห์การใช้งานอินเตอร์เน็ตภายในองค์กร เพื่อจัดทำเป็นเครือข่ายจิตพิสัย (Network Awareness)

(more…)

Read Full Post »

การโจมตีชนิด Brute Force Password เป็นอีกกรณีศึกษาหนึ่ง ซึ่งเข้าข่ายฐานความผิดตามมาตรา 5 การเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ ที่กล่าวว่า “ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีมีไว้สำหรับตน ..”

กรณีศึกษาการ FTP Brute Force Password

บริษัท A ได้มีการเปิด FTP Server เพื่อใช้ในการ Upload / Download เอกสารข้อมูล ซึ่งได้ตั้ง FTP Server ใน DMZ Zone

เมื่อบริษัท A ได้ติดตั้งอุปกรณ์ SRAN Security Center

เวลา 7:03 AM ผู้ดูแลระบบเฝ้าสักเกตพฤติกรรมการใช้ ระบบเครือข่ายในบริษัท A เมื่อคลิกหน้าจอ Https://sranserver เพื่อเฝ้าระวังภัยว่ามีความเสี่ยงตามมาตราใด ที่อาจจะส่งผลกระทบต่อระบบเครือข่ายบริษัท พบว่า

ข้อดีประการหนึ่งของอุปกรณ์ SRAN คือสามารถทำ Data Correlation เปรียบเทียบเหตุการณ์ และความเสี่ยงเพื่อจับเหตุการณ์ที่เกิดขึ้นเชื่อมโยงกับฐานความผิดตามมาตราต่างๆ ที่แปลได้ทางเทคนิค ซึ่งทำให้ผู้ดูแลระบบ รู้ทันปัญหาได้สะดวกขึ้น (ซึ่งฐานความผิดนี้เกิดจากอุปกรณ์ ต้องผ่านการวิเคราะห์จากบุคคลที่ผ่านการอบรมจาก SRAN http://www.gbtech.co.th/th/training/sran-usm-course)

เมื่อผู้ดูแลระบบพบว่ามีความเสี่ยงตามมาตรา 5 อยู่ พบว่าหนึ่งในเหตุการณ์นั้นคือลักษณะการใช้งาน Application ของการใช้ FTP ซึ่งตั้งค่า IP สำหรับ FTP Server เป็น IP ภายในองค์กรที่ 192.168.1.3 จึงทำการวิเคราะห์ผลเฉพาะเจาะจงที่การใช้งาน FTP จึงพบว่า

จากรูปพบว่ามีการ Login FTP ผิดจำนวน 447 ครั้ง มีการพยายาม Login อยู่ 754 ครั้ง

ผู้ดูแลระบบจึงทำการวิเคราะห์การ Login ผิด ผ่านระบบ FTP ซึ่งอาจหมายถึง User ถูก แต่ Password ผิด หรือทั้ง User / Password ผิด ซึ่งเข้าข่ายเป็นชนิดการโจมตีที่เรียกว่า Brute Force Password

จากรูปพบว่ามีการ Login ผิดจาก IP 219.254.34.82 จำนวนถึง 404 ครั้ง ตั้งแต่ช่วงเวลา 02:45 – 06:40 AM

เมื่อทำการวิเคราะห์ข้อมูลต่อโดยใช้อุปกรณ์ SRAN Security Center เพื่อดูย้อนหลังเหตุการณ์ที่ผ่านมาพบว่า

มีการ Login ผิดในหนึ่งนาที ผิดอยู่ 2 ครั้ง จึงทำการตรวจสอบประวัติ IP ดังกล่าว

พบประวัติดังนี้

มีการพยายาม Login อยู่ 221 ครั้ง ตั้งแต่เวลา 02:45 ถึง 06:40 และมีการ Login ผิดอยู่ 404 ครั้ง ตั้งแต่เวลา 02:45 – 06:40 AM

IP จากเกาหลี ,ผู้ดูแลระบบมั่นใจว่าเป็นการ Brute Force Password ผ่าน FTP Server ที่ตั้งขึ้นใน DMZ โซนบริษัท กรณีเดียว ซึ่งเป็นการตั้งใจเข้าถึงระบบโดยมิชอบ ผู้ดูแลระบบจึงทำการ Block IP ดังกล่าว

มีทำการ Add IP blacklist เข้าสู่ระบบ SRAN Security Center แล้วทำให้ IP ดังกล่าวไม่สามารถทำการ Brute Force ได้สำเร็จ

การจะ Block IP ได้นั้นต้องติดตั้งอุปกรณ์ SRAN ได้ 2 วิธี

วิธีที่ 1 ติดตั้งแบบ In-line Mode แบบนี้จะสามารถป้องกันภัยคุกคามได้อย่างอัตโนมัติ เนื่องจากใช้เทคโนโลยี IPS (Intrusion Prevention System) เข้ามาเกี่ยวข้อง แต่เนื่องจากวิธีนี้มีผลกับ Throughput ระบบเครือข่ายจึงไม่แนะนำให้ใช้กับองค์กรที่มีจำนวนเครื่องลูกข่ายเกิน 100 เครื่องขึ้นไปใช้วิธีนี้

วิธีที่ 2 ติดตั้งแบบ Transparent Mode แบบนี้จะสามารถป้องกันภัยได้ โดยการเฝ้าระวังและป้องกันได้เพียงระดับ IP / MAC Address และชื่อ Domain

เพียงใช้อุปกรณ์ SRAN Security Center ให้เหมาะสมถูกต้องกับรุ่นที่แนะนำ http://www.gbtech.co.th/th/product/usm

ก็จะทำให้ท่านสามารถรู้ทันภัยคุกคามและปัญหาต่างๆ ที่อาจเกิดขึ้นบนระบบเครือข่าย อีกทั้งเก็บบันทึกข้อมูลจราจร และวิเคราะห์ข้อมูลได้อย่างสะดวกสบายขึ้น ซึ่งเป็นการนำ Log ดิบ ทำให้เป็น Log สุก อ่านเข้าใจง่าย

พึ่งระลึกเสมอว่าไม่มีเทคโนโลยีใดที่ป้องกันภัยคุกคามได้ 100% แต่เราสามารถทำให้ ตื่นรู้ เพื่อรู้ทันเหตุการณ์ วิเคราะห์หาสาเหตุและแก้ไขปัญหาได้อย่างถูกต้อง ซึ่งทั้งหมดนี้ SRAN ที่เป็นมากกว่าอุปกรณ์เก็บ Log ช่วยคุณได้

Read Full Post »

SRAN Security Center ทุกรุ่นเหมาะกับการให้บริการ MSSP (Management Security Services Provider) หรือจัดทำเป็นอุปกรณ์เฝ้าระวังภัยคุกคามและเก็บบันทึกพฤติกรรมการใช้งานอินเตอร์เน็ตในองค์กร

จุดเด่นที่อุปกรณ์ มากกว่าการเก็บ Log เพียงอย่างเดียวคือ

1. SRAN Security Center สามารถแยกแยะภัยคุกคามที่มีความเสี่ยงภัยตามมาตราต่างๆ จากพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ที่แปลความหมายทางเทคนิคได้ ซึ่งจะทำให้รู้ทันปัญหาและภัยคุกคามที่อาจเกิดความเสี่ยงขึ้นภายในองค์กร หรือภายในระบบเครือข่ายที่ใช้งานอุปกรณ์ SRAN

2. SRAN Security Center สามารถเฝ้าสังเกตพฤติกรรมการใช้งาน User ภายในองค์กร พร้อมจัดทำเป็นรายงานผลลักษณะการใช้งานจาก Application Protocol ที่สำคัญและมีใช้งานมาก เช่น Web , Mail , Chat , FTP , Telnet , Remote Access (VNC, VPN, Remote Desktop) , User Authentication ตาม Application (IM , Domain Controller , Radius , VoIP และอื่นๆ)

3. ทำให้ทราบถึงการใช้งาน Bandwidth ภายในและภายนอกองค์กร ที่มีการติดต่อสื่อสารกัน และแยกแยะการใช้งานตาม Application Protocol ซึ่งจะทำนายได้ว่ามีการใช้งานเกินเหตุผลที่ตั้งเป้าไว้ เช่น การเพิ่ม Bandwidth ที่ไม่จำเป็นซึ่งจะช่วยลดค่าใช้จ่ายได้ในระยะยาว

4. หากมีการติดตั้งตาม Node ต่างๆในระบบเครือข่ายหรือตามสาขาต่างๆ ตามคณะต่างๆ จะทำให้สร้างเป็นเครือข่ายจิตพิสัย (Network Awareness) ซึ่งจะประเมินลักษณะการใช้งานรวมถึงเฝ้าระวังภัยคุกคามที่อาจเกิดขึ้น หลัง ค่า NAT พร้อมทั้งประเมินความเสี่ยงระบบเครือข่ายได้อีกด้วย

5. จัดเก็บบันทึกข้อมูลที่สามารถค้นหาหลักฐานทางข้อมูลได้สะดวกขึ้น Log ที่เก็บบันทึกมีการตรวจสอบความถูกต้อง และการยืนยันการไม่เปลี่ยนแปลงของข้อมูล และถูกออกแบบมาเพื่อรองรับนโยบายการเก็บ Log โดยระบุสิทธิ ของ Data Owner ได้

จุดเด่นสำคัญความเสี่ยงภายในองค์กร การก่อการร้าย การหมิ่นประมาท การโจมตี ภัยคุกคามต่างๆ ที่อาจมีผลตามฐานความผิดมาตราต่างๆ มักเกิดจาก User ในองค์กรนั้น User ที่ใช้บริการร้านอินเตอร์เน็ต , User นิสิตนักเรียนนักศึกษา ที่อยู่สถาบัน  , User พนักงานบริษัท ,  User ผู้ใช้งานตามบ้าน หากนำ Log User มาเพื่อเก็บดูพฤติกรรมการใช้งานตาม Application Protocol ที่สำคัญคงเป็นไปได้ยากและต้องใช้เนื้อที่ Storages จำนวนมาก   หลักการณ์อุปกรณ์ SRAN Security Center  จึงช่วยให้เรื่องเหล่านี้เป็นเรื่องที่สะดวกและใช้งานแบบไม่กระทบกับระบบเครือข่ายเดิมที่ออกแบบไว้ได้

การระบุสิทธิ Data Owner

Data Owner คือผู้มีอำนาจในการเก็บรักษาข้อมูลหลักฐานทางคอมพิวเตอร์ โดยปกติ มักเป็นผู้มีอำนาจสูงสุดในองค์กร และจะแต่งตั้ง Data Custody เพื่อเป็นผู้เก็บรักษาข้อมูลทางอิเล็กทรอนิกส์

ดังนั้น Data Custody มักเป็น CSO (Chief Security Officer) ในองค์กรเพื่อมีหน้าที่เข้าถึง Log files ที่มีการเก็บบันทึกได้ หากมีการมอบอำนาจหน้าที่ให้บุคคลอื่นก็ต้องทำเอกสารที่เป็นทางการให้กับผู้ดูแลระบบ (Admin) รับทราบ

การเข้าดู Log files ได้นั้นจะเป็นนโยบายในองค์กร ไม่ควรใช้เทคโนโลยีเป็นตัวชี้ชะตาทั้งหมด เพื่อเป็นการไม่ให้ข้อมูลนั้นถูกแก้ไขและทำการเปลี่ยนแปลงไปจากความเป็นจริง

อุปกรณ์ SRAN Security Center ได้ถูกออกแบบมาเพื่อรองรับนโยบายการเก็บรักษาความปลอดภัยข้อมูลที่เก็บบันทึก โดยมีการตั้งระดับค่า User ที่เข้าถึงข้อมูล Log Files เป็นชั้น

ชั้นที่ 1 สำหรับ ผู้ดูแลระบบ และ ผู้ตรวจสอบระบบ (Auditor) ชั้นนี้จะสามารถดู Log ได้อย่างเดียว ไม่สามารถบริหารจัดการ Log ด้วยวิธีอื่นๆได้

ชั้นที่ 2 สำหรับ Data Custody ผู้รับมอบอำนาจในการเก็บรักษาข้อมูล ซึ่งจะเป็นผู้ที่เข้าถึง Log และสามารถบริหารจัดการ Log ด้วยวิธีการต่างๆได้ เช่น Upload ข้อมูล Log เข้าสู่ระบบ Storages หรือถ่ายโอนข้อมูลเข้าแผ่น CD ในการ Backup ข้อมูลเป็นต้น

สำหรับกรณีเจ้าหน้าที่พนักงาน สามารถนำ Log files จาก Data Custody ที่องค์กรกำหนดเพื่อนำ Log มา Forensics ได้ต่อไป

หากต้องการทำ MSSP ทั้งเป็นแบบที่

1. แบบที่ Out Sourcing โดยผู้ให้บริการคือ Data Custody แทน ผู้ให้บริการคือบริษัทที่ให้บริการ MSSP สามารถระบุค่าที่อุปกรณ์ SRAN ได้โดยตั้งค่าเป็นระดับชั้นที่ 2 คือเป็นผู้ที่บริหารจัดการกับค่า Log files ที่ปรากฏขึ้นเพื่อเก็บรักษา Log ให้กับลูกค้าที่ใช้บริการได้ สามารถสืบค้น วัน เวลา ที่ต้องการได้อย่างสะดวกมากขึ้น

2. แบบที่ In Sourcing โดยบริหารจัดการภายในองค์กรเอง โดยผู้ดูแลระบบคือส่วนงาน IS (Information Security) ที่มี Data Custody เป็นผู้บริหารจัดการ Log files เป็นต้น

หน้าจอระดับชั้น User ที่เข้าถึงการบริหารจัดการค่า Log files

Log files ที่เกิดขึ้นในแต่ละวันมีการตรวจสอบความถูกต้องผ่าน Algorithm MD5 ผู้เข้าถึงหน้านี้ได้ ควรเป็น Data Custody ในองค์กรและหากมีเจ้าหน้าที่พนักงาน หรือ ผู้ตรวจสอบภายในและผู้ตรวจสอบภายนอกในองค์กร ขอข้อมูล Log ต้องติดต่อที่ Data Custody ที่ถูกแต่งตั้งแล้วจาก Data Owner องค์กรนั้น

จะเห็นได้ว่าการเก็บบันทึก Log files เพื่อยืนยันการไม่เปลี่ยนแปลงของเนื้อหานั้น ต้องใช้นโยบายภายในองค์กรมาเกี่ยวข้องมากกว่าใช้เทคโนโลยีมาจัดเก็บเพียงอย่างเดียว เนื่องจากหากมีใช้เทคโนโลยีดำเนินการโดยลำพังแล้ง อาจเกิดช่องโหว่ และทำให้ Log ที่พบนั้นขาดความน่าเชื่อถือได้ กรณีเช่น การใช้เทคโนโลยีทำการโยนค่า Log อัตโนมัติ ผ่าน Protocol FTP ต้องถูกตรวจสอบได้ว่าการ FTP ผ่านนั้นจะไม่มีผู้ใดดักข้อมูลโดยมิชอบ เพื่อดู User / Password หรือ Hijack ค่าเพื่อเปลี่ยนแปลง Log files ได้เป็นต้น

องค์ประกอบด้านความปลอดภัยข้อมูลในองค์กร ต้องเดินไปพร้อมกัน 3 ส่วน คือ นโยบาย คน และเทคโนโลยี

ต้องให้นโยบายควบคุมคนและคนควบคุมเทคโนโลยี ส่วนเทคโนโลยีเป็นส่วนช่วยอำนวยความสะดวกหากหวังพึ่งเทคโนโลยีไม่มีคนไม่นโยบายที่ดีพอ ก็เกิดช่องโหว่ภายในองค์กร พูดง่ายๆว่า ทั้ง 3 ส่วนต้องเดินไปพร้อมกัน หากเดินไม่พร้อมกันองค์กรนั้นจะพบช่องโหว่และความเสี่ยงที่อาจเกิดภัยคุกคามได้ทุกเวลา

Read Full Post »

เมื่อวันที่ 8 กรกฏาคม 2551 บริษัท KSC ผู้ให้บริการอินเตอร์เน็ตความเร็วสูง ได้จัดเลี้ยงขอบคุณลูกค้าขึ้น ที่อาคาร Central World โดยในงานนี้ได้มีการให้ความรู้เกี่ยวกับพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และเปิดตัวผลิตภัณฑ์ ซึ่ง KSC มั่นใจเลือกผลิตภัณฑ์ SRAN Security Center เพื่อให้บริการแก่ลูกค้า สำหรับเป็นอุปกรณ์เก็บบันทึกข้อมูลจราจรทางคอมพิวเตอร์ ตลอดจนเฝ้าระวังและป้องกันเครือข่ายคอมพิวเตอร์

ทั้งนี้ คุณนนทวรรธนะ สาระมาน ผู้อำนวยการฝ่ายพัฒนาผลิตภัณฑ์และบริการ บริษัท โกลบอลเทคโนโลยี อินทิเกรเทด จำกัด ได้รับเกียรติขึ้นกล่าวให้ความรู้ด้านเทคนิค และเทคโนโลยีที่ใช้ในผลิตภัณฑ์ SRAN Security Center โดยมีคุณศิรินันทนา สมสุวรรณ จากบริษัท นวกิจศิริ จำกัด ผู้จัดจำหน่ายผลิตภัณฑ์ SRAN กล่าวบรรยายถึงข้อกฏหมายที่เกี่ยวข้องกับพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ซึ่งได้รับความสนใจยิ่งจากลูกค้า KSC และผู้เข้าร่วมงาน

ภาพถ่ายในงานเลี้ยง คุณปรัชญา บุญรอดพานิช ผู้จัดการทั่วไปบริษัท KSC (คนที่ 4 จากซ้าย), คุณนนทวรรธนะ สาระมาน ผู้อำนวยการฝ่ายพัฒนาผลิตภัณฑ์และบริการ (คนที่ 5 จากซ้าย) และทีมบริหารบริษัท KSC และนวกิจศิริ

Read Full Post »

Older Posts »