Feeds:
Posts
Comments

Archive for the ‘Technique’ Category

ทีมพัฒนา SRAN ได้พัฒนาระบบค้นหาภัยคุกคามที่เกิดขึ้นในประเทศไทยจัดทําาระบบ Crawler เพื่อทําาการสําารวจข้อมูลกลุ่มลักษณะเว็บไซด์ที่มีความเสี่ยง
– สถิติเว็บไซด์ที่มีไวรัสคอมพิวเตอร์ (Malware , virus/worm, Trojan , Backdoor , rookit)
– สถิติเว็บไซด์ที่มีลักษณะหลอกลวง ได้แก่ Phishing , Scam Web เป็นต้น

– สถิติKeyword ที่มีการค้นหามากที่สุดในประเทศไทย ได้ฐานข้อมูลจากระบบ google ,alexa เป็นต้น

– สถิติเว็บไซด์ที่มีเคยมีประวัติถูกโจมตีในประเทศไทย

– สถิติข้อมูลที่เป็น Spam (ข้อมูลขยะ) ที่เกิดขึ้นบนโลกอินเตอร์เน็ต

2560629505_617c5d21ce.jpg
Spider Crawler ซอฟต์แวร์จะทําาการ สําารวจข้อมูลตาม Link เว็บไซด์ และทําาการ เก็บบันทึกข้อมูลจากฐานข้อมูลที่เป็นสาธารณะ
เมื่อรวบรวมข้อมูลตามลักษณะ ซอฟต์แวร์ Spider Crawler จะทําางานแทนมนุษย์ โดยอาศัยการค้นหาตามฐานข้อมูล Google ,YahooMSN และอื่นๆและส่งข้อมูลมาทีศูนย์เตือนภัยทางอินเตอร์เน็ทในประเทศเพื่อทําการ Scanning ตาม Crawling Policy ที่่ตั้งไว้ในส่วนที่ทําา Scanner
ประกอบด้วยเทคโนโลยีดังนี้
– IDS Signature Base
– Virus Data Base
– Spam Data Base

ซึ่งระบบ Zemog (สีหมอก) ซึ่งถือได้ว่าเป็น Robot Crawler ที่พัฒนาขึ้นโดยทีมพัฒนา SRAN Technology

หน้าจอเว็บสีหมอก เป็น Web 2.0  และยังอยู่ในขั้นตอนการพัฒนาให้ Interactive กับผู้ใช้งานมากขึ้นในอนาคต

Link

สีหมอก สถิติภัยคุกคามอินเตอรเน็ตในประเทศไทย

Advertisements

Read Full Post »

ปัญหาการเกิด  Loop บน Switch

เกิดจากเครื่อง SRAN Security Center ในรุ่น ME , L , L-Hybrid , X-Series  จะ bypass ทุก port โดยจับคู่ เป็น port 1, 2 คู่แรก port 3,4 คู่ สอง (ซ้ายไปขวา) ฉะนั้นเวลา shutdown เครื่อง traffic ที่ทำการ mirror มาจาก switch จะ bypass traffic ไป port manage ของเรากลับไปยัง switch ทำให้ traffic มันท่วมและเป็น loop เรื่อยๆ จนไม่สามารถใช้งานเครือข่ายได้ เพราะ switch ทำงานหนัก
วิธีแก้ไข : เมื่อ shutdown เครื่อง ควรทำการถอดสายที่ทำ passive ออก คือ ไม่เสียบสายที่สอง จะทำให้ Switch ไม่เกิด Loop และใช้งานได้เป็นปกติ
สามารถอ่านการแก้ไขปัญหาอื่นๆได้ที่ http://www.gbtech.co.th/th/product/troubleshooting
กระทู้ถามตอบเกี่ยวกับ SRAN เทคโนโลยี สามารถแสดงความคิดเห็นได้ที่  http://sran.wikidot.com/forum/start หรือคลิกผ่าน www.sran.org

Read Full Post »

การเก็บ Log ที่ถูกต้องและเป็นประโยชน์ต่อการสืบสวนสอบสวน นั้นประกอบด้วย 2 มุมมอง

มุมมองที่ 1 เก็บบันทึกการเคลื่อนไหวข้อมูลภายในองค์กร ความหมายขององค์กรนี้คือ บริษัท , สถาบันการศึกษา , โรงแรม , โรงพยาบาล , ร้านอินเตอร์เน็ตคาเฟ่ อื่นๆที่มีการเชื่อมต่ออินเตอร์เน็ตหรือเชื่อมข้อมูลสู่ภายนอกองค์กร (Extranet) ส่วน ต้องมีการเก็บบันทึกข้อมูลจราจร (Log) ส่วนสถานที่ให้บริการเครือข่ายไร้สาย (อ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/169) เช่น ร้านกาแฟ, อาพาท์เม้น อื่นๆที่เป็นสาธารณะที่สามารถใช้ระบบอินเตอร์เน็ตเชื่อมต่อข้อมูลได้ จำเป็นต้องเก็บบันทึกข้อมูลจราจร หรือที่เรียกว่า Log เพื่อเป็นประโยชน์ในการสืบหาผู้กระทำความผิด เมื่อมีการฟ้องร้องขึ้นมาจะได้หาผู้กระทำความผิดได้อย่างสะดวกมากขึ้น

ซึ่งบทสรุปที่ลงตัวในการเก็บบันทึกความเคลื่อนไหวข้อมูล เพื่อเป็นประโยชน์ต่อการสืบสวนสอบสวน ในส่วนนี้คือ

ใช้ SRANwall ซึ่งทำตัวเองเป็น Network Identity ซึ่งจะสามารถทำ A (Authentication) , A (Authorization) , A (Accounting)  ติดตั้งเป็น Gateway บนระบบเครือข่าย

และใช้ SRAN Security Center เพื่อทำการเฝ้าระวัง วิเคราะห์ข้อมูล และเก็บบันทึกข้อมูล การใช้งานทั้งที่เป็นข้อมูลฝั่งขาเข้าในองค์กร และ ข้อมูลฝั่งขาออกในองค์กร

รูปที่ 1 การติดตั้ง SRANwall เป็น Gateway และ SRAN Security Center ในการเก็บบันทึกข้อมูลการใช้งานภายใน-นอกองค์กร

ส่วนสำคัญคือผู้กระทำความผิดส่วนใหญ่ คือผู้ใช้งานในองค์กร (User)  ดังนั้นจึงจำเป็นที่ต้องทราบถึงพฤติกรรมการใช้งานตาม Application Protocol ที่สำคัญ คือ การใช้งานเว็บ (Web) การใช้งานเมลล์ (E-mail) การใช้งานสนทนา (Chat)   การโจมตีระบบต่างๆ การฉ้อโกงข้อมูลภายในองค์กร ซึ่งทั้งหมดนี้ อุปกรณ์ชื่อ SRAN Security Center จะสามารถเก็บบันทึกข้อมูลได้  อันเป็นประโยชน์ต่อการสืบสวนสอบสวนหาผู้กระทำความผิด

การใช้ SRANwall + SRAN Security Center เป็นสูตรลัดในการติดตั้งอุปกรณ์ เพื่อใช้ในการเก็บบันทึกข้อมูล และระบุหาผู้กระทำความผิดภายในองค์กร ที่ลดความซับซ้อนในการออกแบบ และความยุ่งยากในการติดตั้งเป็นอย่างมาก

หัวใจของการป้องกันภัยคุกคามในองค์กร คือ

ควบคุมการใช้งานระบบสารสนเทศในองค์กร ใช้ SRANwall ติดตั้งแบบ Gateway ซึ่งเป็น Appliance Box ที่พร้อมใช้งานแล้ว

รู้ทันปัญหาและควบคุมสถานะการณ์ได้ ใช้ SRAN Security Center  ติดตั้งแบบ Inline หรือ Transparant หรือ Passive Mode ได้โดยไม่มีผลกระทบกับระบบเครือข่าย

มุมมองที่ 2 Log ระดับเครื่องคอมพิวเตอร์ที่ให้บริการ เช่น ผู้ให้บริการเว็บไซด์ทั้งที่เป็น Hosting และ Webmaster ที่มี Domain (www.xyz.com เป็นต้น) หรือมี Domain ใช้ในการรับส่งข้อมูล (FTP, Storage Server) หรือให้บริการสนทนาออนไลท์ (Chat Server เช่น IRC Server เป็นต้น) , ผู้ให้บริการ Mail Server , VoIP Server หรือให้บริการอินเตอร์เน็ต ISP ก็ควรต้องมีการเก็บบันทึกข้อมูลผู้ใช้งาน เพราะผู้ใช้บริการอาจสร้างความเสี่ยงให้เกิดคดีตามมาตรา 5 -16 ได้ ไม่ว่าผู้ใช้บริการเว็บ เว็บบอร์ด ผู้ใช้บริการ ISP ที่มี Account จากการเสียค่าบริการอินเตอร์เน็ต อาจใช้อินเตอร์เน็ตหมุนเบอร์โทรศัพท์ใช้ในทางที่ไม่เหมาะสม

ในส่วนมุมมองที่ 2 นี้ ทางทีมพัฒนา SRAN ได้พัฒนาการเก็บบันทึกข้อมูลจราจร (Log) ที่เกิดขึ้นจากการใช้งานเว็บ (Web site) ขึ้น

เป็นบริการการเก็บบันทึก Log เฉพาะส่วนผู้ให้บริการเว็บ  เราเรียกบริการนี้ว่า “Data Safehouse Centralized log Provider”

1.ข้อมูล Log ที่บันทึกเมื่อมีการเข้าถึงเครื่องผู้ให้บริการเว็บ
2.ข้อมูลวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ
3.ข้อมูลหมายเลขอินเตอร็เน็ตของเครื่องคอมพิวเตอร์ผู้เข้าใช้ที่เชื่อมต่ออยู่ในขณะนั้น
4.ข้อมูลคำสั่งการใช้งานระบบ
5.ข้อมูลที่บ่งบอกถึงเส้นทางในการเรียกดูข้อมูล (URI : Uniform Resource Identifier) เช่นตำแหน่งของเว็บเพ็จ

รายละเอียด Data SafeHouse Services สามารถอ่านได้ที่ http://safehouse.sran.net

ข้อแตกต่าง ระหว่าง Web static และ SRAN Data SafeHouse

SRAN Data SafeHouse

1. แสดงรายงานผล Log ที่เกิดขึ้นแบบ Real Time

รูปที่ 2 การแสดงผลในหน้า Dash board จะแสดงรายงานผลแบบ Real Time

พร้อมกันนี้ยังสามารถทราบถึง new visitor หมายถึงผู้เยี่ยมชมที่เข้ามาครั้งแรก และ return visitor หมายถึงผู้เยี่ยมชมที่เคยเข้าเวบไซต์มาก่อนหน้านี้แล้ว

วัดโดยการอาศัย cookie และได้เพิ่มหมายเลข ID ของ cookie เข้าไปด้วย ซึ่งจะมาประโยชน์ในการจำผู้เยี่ยมชมนั้น ๆ โดยใช้หมายเลข ID ถึงแม้ IP address จะเปลี่ยนไปก็ตาม (ถ้ายังเก็บ cookie อยู่ในเวบบราวเซอร์)

2. ค้นหา IP ที่เข้ามาใช้บริการเว็บไซด์ของใช้บริการ SRAN Data Safehouse ได้

รูปที่ 3 ค้นหา IP ที่ใช้ ISP จาก KSC Internet

รูปที่ 4 ผลลัพธ์การค้นหา ซึ่งจะเห็นว่าสามารถระบุ IP ที่ได้รับค่าจาก ISP ชนิด Browser จากผู้ใช้บริการเว็บ และการเรียกอ่านข้อมูล URL Path รวมถึง Link ที่มาจากการเปิด URL Path

3. สามารถระบุ IP ที่เปิดเว็บที่ใช้บริการ Data SafeHouse ผ่านระบบ GPS

รูปที่ 5 การแสดงผลผ่านระบบดาวเทียมเพื่อระบุตำแหน่งผู้ใช้บริการที่ทำการเปิดเว็บไซด์ ที่ใช้บริการ SRAN Data SafeHouse

4. มีการประเมินค่าการ Uptime / Down Time ของเว็บไซด์ที่ใช้บริการ SRAN Data SafeHouse

รูปที่ 6 การแสดงรายงานผลค่า Uptime สำหรับเว็บไซด์ที่ใช้บริการ SRAN Data SafeHouse

5. จัดทำการจำลองเหตุการณ์ที่เชื่อมโยงกันเพื่อการวิเคราะห์ผลในภาพรวม โดยใช้เทคโนโลยี Visualize Web Tracking

คลิกที่รูปเพื่อรูปภาพขยาย จะเห็นการเชื่อมต่อความสัมพันธ์ของ IP และพฤติกรรมการใช้ในแต่ละช่วงเวลา

รูปที่ 7 การแสดงผลจำลองเหตุการณ์ที่เชื่อมโยงกันเพื่อการวิเคราะห์ผลในภาพรวม

6. สามารถระบุภัยคุกคามที่อาจเกิดขึ้นบนเว็บไซด์ที่ใช้บริการ SRAN Data SafeHouse ได้

รูปที่ 8 การแสดงผลการบุกรุกเว็บไซด์ ที่เรียกว่าการทำ Web Application Hacking เพื่อที่จะเข้าถึงระบบผ่านเว็บไซด์

ซึ่งจะเห็นได้ว่าเราจะสามารถระบุหาผู้กระทำผิดจาก IP ที่ได้รับจาก ISP ได้ ทำให้สะดวกในการสืบหาผู้กระทำความผิดมากขึ้น

7. มีการจัดทำ Data Archive และมีการจัดเก็บเพื่อยืนยันว่า Log ที่บันทึกไม่มีการแก้ไข

Database status ใช้เพื่อตรวจสอบสถานะฐานข้อมูลสถิติของคุณ ในบางกรณีที่คุณอาจพบว่ารายงานสถิติไม่มีการอัพเดทเลย ทั้ง ๆ ที่ยังมีผู้เยี่ยมชมตลอด อาจเป็นไปได้ว่าฐานข้อมูลที่ใช้เก็บอาจจะมีปัญหา ทางหนึ่งที่อาจช่วยในการหาสาเหตุคือการตรวจสอบสถานะการทำงานของฐานข้อมูลของคุณ

เข้าได้โดยการเลือกที่เมนู Data integrity => Database status ถ้าแสดงว่า OK หรือ Table is already up to date หมายถึง ฐานข้อมูลที่เก็บข้อมูลทำงานได้ปกติ แต่ถ้าพบคำว่า “error” หรือ “warning” โปรดแจ้งให้ผู้ดูแลระบบทราบอย่างเร่งด่วน

SRAN Data SafeHouse  จะทำการเปิดตัวภายในเดือนตุลาคมนี้

Read Full Post »

SRAN New Firmware 09/51

สำหรับ Firmware ใหม่ SRAN Security Center version 4.6.3 Code Name Memory นั้นได้ออก Patch ใหม่อยู่ 3 ส่วนประกอบด้วย

1. ด้านการค้นหา สามารถระบุเนื้อหา (Content) ชื่อของ Signature ในฐานข้อมูล SRAN Security Center ได้ เช่น ค้นหาคำว่า Sync มีเหตุการใดที่มี Payload ของ Signature มีลักษณะ Sync  เป็นต้น  ซึ่งอาจเป็นการใช้งาน P2P ที่กำลัง Sync กับเครื่องปลายทางอยู่หรือ sync ที่เกิดขึ้นจาก Protocol อื่นที่เกี่ยวมีลักษณะอื่นๆก็จะสามารถค้นหาได้

ภาพที่ 1 : หน้าตา Web Base GUI ในหนาค้นหา จากภาพที่ 1 พบว่า ค้นหาคำว่า “Web” ในหน้าจอก็มีการกรองค่า Source IP , Destination IP และกำหนดช่วงเวลาในการค้นหา

ภาพที่ 2 ผลการค้นหาคำว่า Web จะเห็นว่าผลลัพธ์เป็นลักษณะการใช้ HTTP ภายในองค์กรที่เกิดขึ้น ซึ่งทั้งหมดนี้สามารถคลิกลงไปดูเหตุการณ์ภายใต้คำว่า HTTP Web Data Traffic ได้เพื่อดู URI ที่ทำการเปิด

ภาพที่ 3 ค้นหาเหตุการณ์ P2P ในช่วงเวลา 02:09 ถึงเวลา 08:19 ของวันที่ 4 กันยายน 2551 ซึ่งได้ผลลัพธ์ดังภาพที่ปรากฏ

ด้วยคุณสมบัติการค้นหาที่เพิ่มขึ้นจะทำให้การสืบค้นหาพฤติกรรมที่อาจจะกระทำความผิดได้สะดวกขึ้นนั้นเอง

ส่วนที่ 2 ในเมนู Monitoring (Real Time Packet Log Monitoring) ในหน้านี้จะพบว่าได้เพื่อการนับจำนวนเหตุการณ์

ภาพที่ 4 การนับเหตุการณ์ตาม Signature เหตุการณ์ในหน้า Monitoring

เพื่อเป็นประโยชน์ในการพิจารณาข้อมูลจราจร (Data Traffic) ที่เกิดขึ้นในองค์กร และภายนอกองค์กร จึงจัดหน้าให้มีการนับเหตุการณ์ด้วยจากเดิมจะมีผลลัพธ์นี้เฉพาะหน้า Report เท่านั้นแต่ในเวอร์ชั่นนี้จะแสดงผลในหน้า Monitoring ด้วย

ส่วนที่ 3 : เพิ่มส่วนหน้าอธิบายความหมายตามมาตราต่างๆ เพื่อประโยชน์ในการรู้ทันปัญหาที่อาจมีความเสี่ยงตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ซึ่งอุปกรณ์ SRAN Security Center สามารถจัดเปรียบเทียบเหตุการณ์ได้ เรียกว่าการทำ Data Correlation

ภาพที่ 5  เหตุการณ์ที่มีความสอดคล้องตามมาตรา 5 – 11 ที่แปลความที่เทคนิคได้นั้น พบว่า เมื่อคลิกดูที่มาตราต่างๆ จะมีคำอธิบายถึง เหตุการณ์ที่มีความเสี่ยงภัยในมาตรานั้นอธิบายเป็นภาษาไทย และ ภาษาอังกฤษได้อีกด้วย ซึ่งในภาพนี้แสดงให้เห็นมาตรา 5 ลักษณะการบุกรุกทางเทคนิคที่เกี่ยวข้องได้แก่
Remote Exploit , Brute Force Password , Web Application Hacking , Cracking เป็นต้น

ทำให้ผู้ดูแลระบบจะสามารถเข้าใจความหมายและสืบค้นเครื่องที่อาจมีความเสี่ยงตามมาตราดังกล่าวเพื่อป้องกันก่อนที่จะเกิดเหตุการณ์อันไม่พึ่งประสงค์ได้

ซึ่งทั้งหมดนี้จะสามารถ Upload Firmware ใหม่นี้ได้หากมีการเปิดใช้อุปกรณ์ SRAN Security Center ในการ Activate  License

ภาพที่ 6 การกำหนด Active License Key  โดยคลิกไปที่เมนูหลัก Management –> License

คู่มือการใช้ Active License อุปกรณ์ SRAN

คู่มือการต่ออายุ License อุปกรณ์ SRAN

เพื่อทำการ Upload Firmware ต่อไป

ภาพที่ 7 การ Upload Firmware ที่เป็น file นามสกุล .bin

ด้วยการพัฒนาไม่หยุดนิ่งของทีมพัฒนา SRAN Security Center จึงมั่นใจได้ว่าลูกค้าที่ได้ทำการใช้งานอุปกรณ์ SRAN ไปแล้วจะได้รับประโยชน์และเสริมสร้างให้องค์กรของท่านได้รู้ทันปัญหาและสืบหาผู้กระทำความผิดได้สะดวกขึ้น

Read Full Post »

จากการวิจัยและพัฒนาเป็นเวลากว่า 4 ปีทำให้อุปกรณ์ SRAN เป็นทางลัดสู่การสืบหาผู้กระทำความผิดเกี่ยวกับอาชญากรรมคอมพิวเตอร์ได้ดีที่สุดทางหนึ่งก็ว่าได้ เนื่องจากคุณสมบัติของอุปกรณ์ SRAN หรือที่ชื่อเต็มผลิตภัณฑ์นี้ว่า “SRAN Security Center” ได้ถูกออกแบบมาจากการผสมผสานเทคโนโลยี Network Analysis , IDS/IPS VA/VM , Syslog Server และ Log Compliance ในตัวเดียวที่คุ้มค่าการลงทุน ซึ่งหากเปรียบได้ว่าการลงทุนด้านระบบไอซีทีนั้นไม่มีวันหมด ส่่วนหนึ่งที่ช่วยองค์กรให้เพิ่มความปลอดภัยและรู้ทันปัญหาได้นั้นอุปกรณ์ SRAN ซึ่งลดการนำเข้าสินค้าจากต่างประเทศ รวมถึงการจัดการในรูปแบบรวมศูนย์ ไม่ต้องใช้เครื่องแม่ข่ายหลายเครื่อง ไม่ต้องใช้เครื่องเก็บบันทึกที่มีขนาดใหญ่ เนื่องจากมีเครื่องบริหารจัดการเรื่องนี้มากก็ทำให้ใช้จ่ายมาก ทั้งใช้ระบบไฟฟ้ามาก เมื่อเครื่องหมดอายุขัยก็กลายเป็นขยะทางอิเล็คทรอนิกส์มาก จึงเป็นเหตุผลหนึ่งที่กล้าบอกได้ว่าในองค์กรสมัยใหม่ นี้ควรมีอุปกรณ์ SRAN ในการติดตั้ง SRAN ประหยัดระยะเวลา ลดปัญหาโลกร้อน ที่ไม่ต้องใช้อปุกรณ์จำนวนมากในการบริหารจัดการเก็บบันทึกข้อมูลจราจร

SRAN เหมาะกับองค์กรและหน่วยงานที่ขาดโครงสร้างด้านไอซีที (ICT Infrastructure)

Infrastructure หรือโครงสร้างที่พร้อมขององค์กรนั้นประกอบไปด้วย

1. มีเทคโนโลยีที่เหมาะสมอยู่แล้ว เช่น มีระบบป้องกันภัยคุกคาม ทั้งทางระบบเครือข่าย และเครื่องผู้ใช้งาน มีระบบเฝ้าระวังภัย มีระบบที่ควบคุมการใช้งานอินเตอร์เน็ตในองค์กร มีระบบควบคุมการใช้งานไอซีทีภายในองค์กร มีระบบระบุตัวตนผู้ใช้งาน มีระบบบริหารจัดการความเสี่ยง

2. มีคนดูแลเทคโนโลยีที่ใช้งานในองค์กร

3. มีนโยบายควบคุมคนให้มาใช้งานเทคโนโลยีในองค์กร

ถ้าหากองค์กรนั้นๆ ยังขาดโครงสร้างทั้ง 3 ส่วนนี้การลงทุนระบบ SIEM /SEM หรือ syslog Server เพียงอย่างเดียวคงไม่ได้ผลลัพธ์นักเพียงแต่อาจทำให้งบประมาณบานปลายได้อีกด้วย

SRAN เหมาะกับองค์กรและหน่วยงานที่พร้อมทางโครงสร้างด้านไอซีที (ICT Infrastructure)

สำหรับหน่วยงานที่พร้อมทั้ง 3 องค์ประกอบหลักนั้นคือ มีเทคโนโลยีที่เหมาะสมในการป้องกันภัยคุกคาม มีคนดูแลเทคโนโลยี และมีกระบวนการที่มีมาตราฐานควบคุมคนทำงาน แล้ว SRAN ก็เหมาะสมในการติดตั้งตามสาขา หรือ Node ต่างๆ เพื่อเฝ้าระวัง วิเคราะห์ และเก็บบันทึกข้อมูล ตามสาขานั้นๆ เป็นต้น

สาระสำคัญของกฏหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ นั้นคือ“ต้องการหาผู้กระทำความผิดมาลงโทษ”

ซึ่งหากมองว่าเราควรเก็บ Log นั้นหมายความ Log นั้นควรหาผู้กระทำความผิดได้ และเอื้ออำนวยความสะดวกให้เจ้าหน้าที่พนักงานและเจ้าหน้าที่ตำรวจในการสืบสวนสอบสวน หรือการทำ Forensics ได้

ส่วนใหญ่แล้วมักเกิดความเข้าใจที่คาดเคลื่อนกันไปบ้าง เพราะจะเก็บ Log แบบใดจึงจะเหมาะสม หากพิจารณาให้ดีแล้วการเก็บ Log แบบใดก็ได้ ที่รู้การกระทำ รู้ใครทำอะไรที่ไหน เวลาที่ตรงตามมาตราฐาน นั้นก็พอเพียงแล้วสำหรับมาตรา 26 และ 27

และส่วนใหญ่ การกระทำที่เข้าข่ายฐานความผิดนั้นมักจะเป็นการใช้งานจากอินเตอร์เน็ต ไม่ว่าเป็นการเหมินประมท การก่อกวน การทำลายข้อมูล การส่งข้อมูลที่ไม่พึ่งประสงค์ การหลอกลวงผู้อื่น การดักข้อมูลผู้อื่นโดยมิชอบ การปลอมแปลงข้อมูล การก่อการร้าย ซึ่งหากองค์กรใดที่ยังไม่มีระบบโครงสร้างพื้นฐานด้านไอซีทีที่ดีพอ เช่น ยังขาดเทคโนโลยี ยังขาดคน ยังขาดกระบวนการทำงานที่มีมาตราฐาน และแน่นอนความเสี่ยงภัยต่างๆ เหล่านี้จะตกเป็นที่ User คือผู้ใช้งานด้านไอซีทีในองค์กร เป็นส่วนใหญ่

(more…)

Read Full Post »

SRAN Appliance อย่างที่ทราบกันดีว่ามี 2 ตระกูลด้วยกัน นั้นคือตระกูลที่เป็น Security Gateway เรียกว่า SRANwall ส่วนที่เป็น Unified Security Monitoring เรียกว่า SRAN Security Center ซึ่งในปัจจุบัน SRAN Security Center ได้มีผู้ใช้งานจำนวนมาก และได้มีการยอมรับกับหน่วยงานต่างๆ ซึ่งได้ประกาศในเว็บไซด์บริษัท Global Technology Integrated ที่ http://www.gbtech.co.th/th/custome ซึ่งประกอบด้วย ภาครัฐบาล ภาคเอกชน และภาคการศึกษา

อีกทั้งอุปกรณ์ SRAN ยังได้รับรองคุณภาพจากหน่วยงานตราสัญลักษณ์ Buy Thai First เป็นการรับประกันว่าได้ผ่านข้อกำหนดของ SIPA และสมาคมอุตสาหกรรมซอฟต์แวร์ไทย (ATSI) สามารถใช้งานได้จริง นอกจากนี้อุปกรณ์ได้รับใบประกาศนียบัตรฮาร์ดแวร์ เช่น FCC , CE , UL และที่สำคัญอุปกรณ์ SRAN ได้ RoHS ซึ่งบอกถึงฮาร์ดแวร์ของอุปกรณ์นี้ไม่ทำลายสิ่งแวดล้อมอีกด้วย


หน่วยงานที่รองรับอุปกรณ์ SRAN Security Center ทั้งหน่วยที่ภายในประเทศและหน่วยสากลต่างประเทศ

ล่าสุดได้มีการรับรองจากกองบัญชาการตำรวจสอบสวนกลาง และ ศูนย์ตรวจสอบและวิเคราะห์การกระทำผิดทางเทคโนโลยี (ศตท.) เพื่อใช้ในการสืบสวนสอบสวนในคดีเกี่ยวข้องกับอาชญากรรมคอมพิวเตอร์ โดยที่เป็นผลงานแล้วคือรวบแก๊งไนจีเรียอย่างที่เป็นข่าวเมื่อเร็วๆนี้

เทคนิคการเก็บบันทึกข้อมูลจราจรของ SRAN Security Center
SRAN Security Center ใช้ 3 เทคโนโลยี ประกอบกัน ได้แก่
1.เทคนิคการทำ Flow Base Collector คือ การตรวจลักษณะการใช้งาน Bandwidth ผ่าน Protocol ICMP , TCP , UDP และ SNMP เพื่อดูลักษณะการใช้งาน ทั้งที่เป็นข้อมูลขาเข้าระบบเครือข่าย และ ขาออกจากระบบเครือข่ายที่ใช้งาน
2.เทคนิคการตรวจจับค่า Syslog จากตัวอุปกรณ์ สามารถรับค่า Syslog จากอุปกรณ์ เช่น Router, Firewall , IDS/IPS และ Proxy เครื่องแม่ข่าย เช่น Domain Controller, Proxy Server และ Web / Mail Server ได้ โดยกำหนดค่าตั้งรับ syslog ผ่านในอุปกรณ์ SRAN ซึ่งจะมีอยู่ในรุ่นที่เป็น Hybrid Log Recorder คือ รุ่น SR-L Hybrid ขึ้นไปเท่านั้น
3.เทคนิคการวิเคราะห์โดยเปรียบเทียบตามฐานข้อมูล ช่วยให้ทราบถึง Application Protocol ต่างๆ ได้แก่ Web , Mail , Chat , Telnet , VNC , Remote Desktop , Upload/Download และการทำ VoIP ผ่านบางซอฟต์แวร์ ที่อยู่ในฐานข้อมูล SRAN

คุณสมบัติเด่นของ SRAN Security Center

  • เป็นอุปกรณ์ Appliance ที่เป็นมิตรกับสิ่งแวดล้อม ได้รับมาตรฐาน RoHs, FCC, CE และ UL สามารถรองรับความต้องการที่หลากหลาย ตั้งแต่ระบบเครือข่ายขนาดเล็กจนถึงขนาดใหญ่ ตามลักษณะการใช้งาน
  • ควบคุมและเฝ้าระวังพฤติกรรมการใช้งานอินเตอร์เน็ตในองค์กร พร้อมกำหนดระดับความปลอดภัยในการเข้าถึงข้อมูลได้มีความสะดวกในติดตั้งได้ ทั้งในโหมด In-line, Passive และ Transparent (ขึ้นกับลักษณะการใช้งานเครือข่ายและจำนวนเครื่องที่ออกอินเตอร์เน็ต)
  • กรณีติดตั้งในโหมด In-line สามารถป้องกันภัยคุกคามจากไวรัส / Worm / spyware / Trojan / Backdoor / Botnet, เว็บไซต์เนื้อหาไม่เหมาะสม, พฤติกรรมไม่เหมาะสม (การส่งไฟล์ผิดปกติ, การใช้งาน P2P), การโจมตีด้วยวิธีต่างๆ (DDoS/DoS, การเดารหัสผ่าน, การบุกรุกผ่านทาง Remote Access) และอีเมล์ขยะ (Spam)
  • กรณีติดตั้งในโหมด Transparent สามารถเฝ้าระวังพฤติกรรมการใช้งานที่ไม่เหมาะสม เช่น การดาวน์โหลดไฟล์ที่ติดมัลแวร์/ไวรัส, การดาวน์โหลดมัลติมีเดียขนาดใหญ่, การส่งอีเมล์ขยะ (spam), ภัยคุกคามจากไวรัส / Worm / spyware / Trojan / Backdoor / Botnet เว็บไซด์เนื้อหาไม่เหมาะสม, พฤติกรรมไม่เหมาะสม (การส่งไฟล์ผิดปกติ, การใช้งาน P2P), การโจมตีด้วยวิธีต่างๆ (DDoS/DoS, การเดารหัสผ่าน, การบุกรุกผ่านทาง Remote Access) และสามารถป้องกันภัยจาก IP / MAC Address จากเครื่องที่มีความผิดปกติได้
  • กรณีติดตั้งในโหมด Passive สามารถเฝ้าระวังพฤติกรรมการใช้งานที่ไม่เหมาะสม เช่น การดาวน์โหลดไฟล์ที่ติดมัลแวร์/ไวรัส, การดาวน์โหลดมัลติมีเดียขนาดใหญ่, การส่งอีเมล์ขยะ (spam) , ภัยคุกคามจากไวรัส / Worm / spyware / Trojan / Backdoor / Botnet เว็บไซด์เนื้อหาไม่เหมาะสม, พฤติกรรมไม่เหมาะสม (การส่งไฟล์ผิดปกติ, การใช้งาน P2P), การโจมตีด้วยวิธีต่างๆ (DDoS/DoS, การเดารหัสผ่าน, การบุกรุกผ่านทาง Remote Access)
  • รายงานความเสี่ยงและช่องโหว่ที่เกิดขึ้นบนอุปกรณ์เครือข่าย, เครื่องแม่ข่าย และ Application Software พร้อมแนะแนวทางในการ Update Patch เพื่อให้อุปกรณ์มีความปลอดภัยยิ่งขึ้น
  • วิเคราะห์หาภัยคุกคามที่อาจส่งผลกระทบต่อระบบเครือข่าย โดยจัดลำดับความเสี่ยงเป็น สูง กลาง ต่ำ ได้
  • แสดงลักษณะการใช้งานของเครือข่ายในจุดต่างๆ โดยตรวจสอบและรวบรวมข้อมูลสถานการณ์ต่างๆ ที่เกิดขึ้นในเครือข่าย แบบ Real Time
  • ตรวจจับเนื้อหา รูปแบบภัยคุกคามทางระบบเครือข่าย และแจ้งเตือนการโจมตีจากไวรัสคอมพิวเตอร์ชนิดต่างๆ ทางระบบเครือข่ายได้ โดยแจ้งเตือนความผิดปกติของระบบผ่านอีเมล์ เมื่อตรวจพบว่ามีการแพร่กระจายของไวรัส หรือหนอนคอมพิวเตอร์ (worm)
  • สืบค้นหาเหตุการณ์ภัยคุกคามที่เกิดขึ้น เพื่อใช้ในการสืบสวนสอบสวน (Forensic) และดูเหตุการณ์ต่างๆ ย้อนหลัง ตามวันและเวลาที่กำหนดได้
  • แสดงลักษณะการใช้งานระบบเครือข่าย โดยวัดและตรวจจับ Network Performance ของระบบ รวมทั้งข้อมูลจราจร (Data Traffic) ได้
  • ออกรายงานผลย้อนหลังและสรุปความเสี่ยง ลักษณะการโจมตีระบบ และวิธีป้องกัน โดยสามารถดูย้อนหลังเป็นรายวันได้
  • สามารถนำ Log การเฝ้าระวังในเครือข่ายมาประมวลผลเพื่อแสดงรายงานตามมาตรฐาน ISO/IEC 27001 พร้อมเก็บข้อมูลซึ่งสามารถดูย้อนหลังได้ตาม วัน เดือน ปี ที่บันทึก
  • เก็บบันทึกข้อมูลจราจร (ทั้งขาเข้า-ออก) โดยระบุว่า ใคร, ทำอะไร, ที่ไหน, เมื่อไร, อย่างไร และจัดเปรียบเทียบความเสี่ยงตามมาตราแห่งพระราชบัญญัติว่าด้วยการกระทำความ ผิดเกี่ยวกับคอมพิวเตอร์ และรายงานผลในรูปแบบ HTML และ PDF ซึ่งสามารถเรียกดูย้อนหลังได้
  • รองรับการตั้งเวลามาตรฐานอัตโนมัติจากหน่วยงานภายนอก หรืออุปกรณ์ภายในหน่วยงาน
  • มีระบบ Data Archive ในการจัดเก็บข้อมูล สะดวกในการค้นหาข้อมูล และจัดเก็บข้อมูลได้มากกว่า 90 วัน
  • มีระบบตรวจสอบความไม่เปลี่ยนแปลงของข้อมูลจราจร (Log) โดยการทำ Data Hashing ด้วยอัลกอริธึม MD5
  • บันทึกและจัดเก็บข้อมูลจราจรสำหรับการใช้งานเกี่ยวกับเว็บ, เมล์, IM (Chat) และ FTP พร้อมลำดับเหตุการณ์ตามช่วงเวลาที่เกิดขึ้น และรายงานผลในรูปแบบ HTML และ PDF
  • สำหรับรุ่นที่เป็นระบบ Hybrid Log Recorder สามารถรับค่า Syslog จากอุปกรณ์เครื่องแม่ข่ายที่สำคัญได้ เช่น DHCP Server, Domain Controller, Mail Server, Web Server เป็นต้น

(more…)

Read Full Post »

หลังจากที่ทีมงาน SRAN ได้พัฒนาอุปกรณ์ด้านความมั่นปลอดภัยข้อมูลในรูปแบบ Security Gateway ด้วยความเพียรพยายาม จนสามารถสร้างเป็นอีกตระกูลหนึ่งจากสายการผลิตผลิตภัณฑ์ภายใต้แบนด์ SRAN ขึ้น ซึ่งอุปกรณ์ชนิดนี้เรียกชื่อว่า “SRANwall” ซึ่งคุณสมบัติเป็น Firewall ชนิด StateFul Inspection โดยเน้นการทำ AUP (Acceptable User Policy) เพื่อทำการระบุตัวตน และให้ รายชื่อผู้ใช้งานที่ถูกสร้างขึ้นได้มีการยอมรับเงื่อนไขตามนโยบายด้านความ มั่นคงปลอดภัยภายในองค์กร เป็นการป้องกันไม่ให้ผู้บริหารของหน่วยงานนั้นหรือองค์กรนั้นต้องรับผิดชอบ กับการกระทำที่อาจขาดความรู้เท่าไม่ถึงการณ์จากการใช้งานอินเตอร์เน็ตของผู้ ปฏิบัติงานในองค์กร เนื่องจากได้มีการประกาศเงื่อนไขนโยบายของหน่วยงานทุกครั้งเมื่อมีการเปิด ใช้เครื่องคอมพิวเตอร์เพื่อทำการเชื่อมต่ออินเตอร์เน็ต ซึ่งนับว่าเป็นจุดเด่นสำคัญที่ SRANwall จะช่วยผู้บริหารหน่วยงานนั้นๆ ได้อีกด้วย

ด้วยคุณสมบัติการป้องกันภัยคุกคาม ที่เปรียบเสมือน “องค์รักษ์พิทักษ์ระบบเครือข่าย” SRANwall ยังเหมาะกับระบบเครือข่ายที่ยังขาดการควบคุมผู้ใช้ (User) ในการใช้งานอินเตอร์เน็ตภายในองค์กรได้อีกด้วย ซึ่งคุณสมบัติหลักประกอบด้วย 3 ส่วนสำคัญคือ

  • Security Gateway กักขังเครื่องคอมพิวเตอร์ที่ไม่ได้รับสิทธิการใช้งาน (Jail Computer Anonymous) ซึ่งจะใช้ได้ก็ต่อเมื่อมีรายชื่อ (Accounting) ที่กำหนดขึ้นจากผู้ดูแลระบบเท่านั้น ซึ่งทั้งนี้เพื่อการระบุตัวตนในส่วนการเก็บบันทึก Authentication Log ได้ ซึ่งสรุปได้ว่าส่วนของ Network Protection นอกจากป้องกันภัยได้แล้ว ยังสามารถทำ Network Identity ที่กำหนดได้ทั้ง Authentication , Authorization , Accounting และ Auditing ในตัวเดียว
  • Network Protection ควบคุมการใช้งาน Bandwidth กำหนดสิทธิผู้ใช้งานได้ โดยการทำ Bandwidth Shaping ตามกลุ่ม IP และตามกลุ่ม Application ที่สำคัญ พร้อมทั้งควบคุมการเข้าออกข้อมูลผ่านระบบ Rule Base Security Policy Firewall
  • Secure Remote Access ในระบบ SRANwall สามารถทำ VPN (Virtual Private Network) ทั้งที่เป็นแบบ Client to Site และ Site to Site ได้อีกด้วย

ด้วยการออกแบบที่เรียบง่าย และมีความสมดุลในตัว หรือที่เรียกว่า “Simple is the Best”

เมื่อใช้งานร่วมกับ SRAN Security Center เพียงใช้ 2 อุปกรณ์ ติดตั้งตามจุดเชื่อมต่อระบบเครือข่าย ก็จะสามารถควบคุมการใช้งานอินเตอร์เน็ตภายในองค์กรได้อย่างสมบูรณ์แบบและ เต็มประสิทธิภาพ ซึ่งทำให้การบริหารจัดการด้านระบบเครือข่ายลดความซับซ้อนได้ และลดปัญหาการติดตั้ง (Implement) ตามแนวทางที่ว่า “Lower Cost More Secure” คุ้มค่าอย่างปลอดภัย

ซึ่งในโลกความเป็นจริงองค์กรที่ยังไม่มีระบบควบคุมการใช้งานอินเตอร์เน็ตภายในองค์กร ที่กำลังมองหา AAAA ให้กับเครือข่ายองค์กร

Authentication : ใช้ SRANwall ระบุตัวตนตามรายชื่อที่กำหนดขึ้น ซึ่งทำให้ทราบถึงสถานะในการเริ่มใช้เครื่องคอมพิวเตอร์ ได้แก่การเปิดปิดเครื่องในองค์กรเนื่องจากมีคุณสมบัติเป็น DHCP Server ในตัว , ระบุการใช้งานอินเตอร์เน็ต ที่มีเงื่อนไขนโยบายด้านความมั่นคงปลอดภัย ให้ยอมรับก่อนใช้งานทุกครั้ง AUP (Acceptable User Policy)

Authorization : ใช้ SRANwall ควบคุมสิทธิในการใช้งานอินเตอร์เน็ต ตามช่วงเวลา ควบคุม Bandwidth และจำกัด (Limit) ข้อมูลการใช้งาน

Accounting : ใช้ SRANwall ระบุการใช้งาน Application ตามรายชื่อที่ถูกสร้างขึ้นตามรายชื่อพนักงานในองค์กรหรือหน่วยงานนั้น เพื่อระบุตัวตนในการใช้งานอินเตอร์เน็ต

Auditing : ใช้ SRANwall ในการเก็บบันทึกข้อมูลในตัวอุปกรณ์เองเพื่อระบุการใช้งานตามรายชื่อ และใช้ SRAN Security Center ในการจัดเปรียบเทียบตามมาตราฐาน (Compliance) โดยเปรียบเทียบเหตุการณ์ที่เกิดขึ้นให้สอดคล้องกับ ISO27001 และ พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (Thai Computer Crime ACT)

SRANwall ที่ทำหน้าที่ Security Gateway และ SRAN Security Center ที่เป็นระบบเฝ้าระวัง วิเคราะห์และเก็บบันทึกข้อมูลจราจร

และด้วยสูตรสมดุลแต่เรียบง่าย (Simple is the Best) นี้เองทำให้ระบบเครือข่ายของท่านจะสามารถควบคุมผู้ใช้งานในการใช้ข้อมูล อินเตอร์เน็ตภายในองค์กรได้ และสร้างเครือข่ายตื่นรู้ ซึ่งถือได้ว่าจะทราบเหตุการณ์ความเคลื่อนไหวของสาเหตุปัญหาระบบเครือข่ายอีก ทั้งระบุถึงที่มาที่ไปตามเหตุปัจจัยที่เกิดขึ้น รวมถึงระบุตัวตนผู้ใช้งานได้อย่างถูกต้อง

SRANwall ประกอบไปด้วย 3 รุ่น ประกอบด้วย AF 100 , AF 500 และ AF 1000 พร้อมทำตลาดกับเครือข่ายขนาดเล็ก และขนาดกลาง ด้วยคุณสมบัติเป็นระบบ Security Gateway ที่พร้อมใช้งาน หากติดตั้งควบคู่กับ SRAN Security Center จะทำให้เครือข่ายนั้นมีความปลอดภัยสูงขึ้น

SRAN Security Center + SRANwall คือทางออกสำหรับเครือข่ายที่ต้องการตื่นรู้ (Energetic Network) และพร้อมที่เป็นองค์รักษ์พิทักษ์ระบบเครือข่ายของท่านต่อไป

อ่านรายละเอียดเพิ่มเติมที่ การสร้างเครือข่ายตื่นรู้โดยใช้ SRAN Appliance

SRAN Dev (05/08/51)

Read Full Post »

Older Posts »