การสร้างเครือข่ายตื่นรู้ ตอนที่ 2


ก่อนหน้านี้ผมได้เขียนบทความการสร้างเครือข่ายตื่นรู้ ในตอนแรก การสร้างเครือข่ายตื่นรู้ (Energetic Network) ตอนที่ 1
และในบางส่วน ในนิตยสารไมโครคอมพิวเตอร์ ของสำนักพิมพ์ Se-ed ไปบางส่วนแล้ว
และเพื่อเป็นการสร้างความเข้าใจในเนื้อหามากขึ้้น ผมจึงอยากให้ศึกษาบทความผมเพิ่มเติ่มได้ เป็นบทเสริม ได้แก่ Log คืออะไร และ เทคนิคการเก็บ Log และอยากให้อ่านกรณีศึกษา การทำ Data Hashing ตอนที่ 1 และ ตอนที่ 2 จึงจะสามารถอ่านบทความนี้อย่างเข้าใจมากขึ้น

ต่อจากตอนที่แล้ว ..
4. องค์ประกอบ เครือข่ายตื่นรู้ (Energetic Network)

4.1 การจัดเก็บคลังข้อมูล (Inventory)
4.2 การระบุตัวตน (Identity)
4.3 การเฝ้าระวังและวิเคราะห์ผล (Monitoring & Analysis)
4.4 การควบคุม (Control)
4.5 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐาน (Compliance)
สิ่งที่เราต้องทำ
4.1 การจัดเก็บคลังข้อมูล (Inventory) ประกอบด้วย
การจัดเก็บคลังข้อมูลบุคคลากร โครงสร้างองค์กร หรือ โครงสร้างบริษัท แผนก พนักงาน
การจัดเก็บคลังข้อมูลแผนผังเครือข่ายคอมพิวเตอร์ ได้แก่ Network Diagram , IP อุปกรณ์ Router , Switch , Firewall , NIDS/IPS เป็นต้น
การจัดเก็บคลังข้อมูลเกี่ยวกับคอมพิวเตอร์ ได้แก่ ระบบปฏิบัติการ (Operating System) , IP , MAC Address , ชื่อเครื่องคอมพิวเตอร์ , ชื่อผู้ใช้งานเครื่องคอมพิวเตอร์ และ ฮาร์ดแวร์ต่างๆ ที่อยู่บนเครื่องคอมพิวเตอร์ในองค์กร
การจัดเก็บคลังข้อมูลซอฟต์แวร์ และแอฟิเคชั่น ได้แก่ ซอฟต์แวร์ต่างๆ ที่ลงบนเครื่องคอมพิวเตอร์ ในองค์กร

4.2 การระบุตัวตน (Identity) มี 4 องค์ประกอบดังนี้
– การระบุตัวตนในการเข้าระบบ (Authentication)
– การระบุสิทธิในการใช้งาน (Authorization)
– การระบุตัวตนผู้ใช้งาน (Accounting)
– การระบุข้อมูลหลักฐานผู้ใช้งาน (Auditing)

4.2.1 การระบุตัวตนในการเข้าระบบ (Authentication) การระบุตัวตนนี้มีด้วยกัน 3 ทางเลือกได้แก่
สิ่งที่คุณมี (Some thing you have) ได้แก่ สมาทการ์ด บัตรพนักงาน หรือ Token เป็นต้น
สิ่งที่คุณรู้ (Some thing you know) ได้แก่ รหัสผ่าน
สิ่งที่คุณเป็น (Some thing you are) ได้แก่ อวัยวะในร่างกาย ม่านตา ลายนิ้วมือ เป็นต้น
เพื่อให้การระบุตัวตนในการเข้าระบบ ได้อย่างปลอดภัยและยืนยันตัวตนได้ค่อนข้างถูกต้อง ควรทำเป็นแบบ Two Factor Authentication คือมี 2 ใน 3 ทางเลือกสำหรับการระบุตัวตน ส่วนใหญ่ใช้เป็น สิ่งที่คุณมี และ สิ่งที่คุณรู้ เป็น 2 Authentication factor เพื่อป้องกันปัญหาการระบุตัวตนในองค์กร หากมีระบบ DHCP ที่สามารถดู Log ได้ หรือทำ NAC (Network Access Control) หรือสร้าง LDAP บน Domain Controller ก็ไม่สามารถระบุตัวตนที่แท้จริงได้ หากไม่ทำ 2 Authentication Factor วิธีนี้จะเหมาะสมและปลอดภัย
4.2.2 การระบุสิทธิในการใช้งาน (Authorization) เป็นการระบุถึงสิทธิ ระดับการใช้งานไม่ว่าเป็นการใช้งานบนระบบเครือข่าย (Network) การใช้งานตามแอฟเคชั่นคอมพิวเตอร์ การมีสิทธิใช้คอมพิวเตอร์ในองค์กร การกำหนดระดับ Bandwidth การใช้งาน ในแต่ละกลุ่ม แต่ละรายบุคคลเป็นต้น
4.2.3 การระบุตัวตนผู้ใช้งาน (Accounting) เป็นการระบุถึงรายชื่อผู้มีสิทธิในการใช้งาน
4.2.4 การระบุข้อมูลหลักฐานผู้ใช้งาน (Auditing) เป็นการบอกประวัติการใช้งาน ลักษณะการใช้งานคอมพิวเตอร์บนระบบเครือข่ายคอมพิวเตอร์

4.3 การเฝ้าระวังและวิเคราะห์ผล (Monitoring & Analysis)
เป็นการเฝ้าสังเกตการพฤติกรรมการใช้งานบนระบบเครือข่าย แบ่งเป็น 3 องค์ประกอบได้ดังนี้
– การเฝ้าระวังข้อมูลที่ไม่ปกติ (Threat Data Traffic)
– การเฝ้าระวังข้อมูลที่ปกติ (Normal Data Traffic)
– การเก็บบันทึกข้อมูล (Recorder)
4.3.1 การเฝ้าระวังข้อมูลที่ไม่ปกติ (Threat Data Traffic) ซึ่งเป็นข้อมูลไม่พึ่งประสงค์ ได้แก่ ข้อมูลที่มีการติดเชื้อไวรัสคอมพิวเตอร์ ข้อมูลที่มีการระบาดของไวรัสคอมพิวเตอร์ หรือที่เรียกว่า Worm ข้อมูลที่มีผลกระทบกับธุรกิจ และการก่อการร้าย (Hacking) การโจรกรรมข้อมูลภายในองค์กร และภายนอกองค์กร การทำลายข้อมูล การดักข้อมูล หรือการแก้ไขข้อมูลให้มีความคลาดเคลื่อนจากความเป็นจริง ซึ่งทั้งหมดนี้ต้องมีระบบวิเคราะห์ภัยคุกคาม และออกรายงานผลให้รับทราบ เพื่อทำแผนรองรับเพื่อแก้ไขสถานะการณ์ฉุกเฉินดังกล่าว

4.3.2 การเฝ้าระวังการใช้อย่างปกติ (Normal Data Traffic) การใช้งานปกติสามารถแบ่งประเภทได้ดังนี้
4.3.2.1 การตรวจสภาวะการใช้งานอุปกรณ์ เครื่องแม่ข่าย แล้วมีการแสดงผลลัพธ์ที่บ่งบอกถึง ระดับการใช้ข้อมูลตาม Bandwidth , Protocol (HTTP , SMTP ,POP3 ,IMAP ,P2P ,IM เป็นอย่างน้อย)
การแจ้งผลเตือนระดับการใช้งาน เช่น แจ้งค่าตาม Flow Network / Collector จาก Protocol ICMP , SNMP ได้แก่ ค่า CPU , RAM และ Response Time
4.3.2.2 การใช้งานตาม Application Protocol ที่สำคัญ ได้แก่
การใช้งานอินเตอร์เน็ทโดยการเปิดเว็บบราวเซอร์ ผ่าน Protocol HTTP ต้องมีระบบเฝ้าระวัง และวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain วันที่ เวลาที่ใช้งานงาน รูปแบบการติดต่อว่าเป็นแบบ GET หรือ POST และ Path ที่เปิดเว็บนั้น
การใช้งานอินเตอร์เน็ทโดยการใช้บริการอีเมลล์ ผ่าน Protocol SMTP , POP3 , IMAP ต้องมีระบบเฝ้าระวัง และวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain วันที่ เวลาที่ใช้งาน รูปแบบการติดต่อว่าเป็นแบบ รับ หรือ ส่ง อีเมลล์ ชื่อหัวเรื่องอีเมลล์ ชื่อเอกสารไฟล์ที่แนบมากับอีเมลล์
การใช้งานอินเตอร์เน็ทโดยใช้บริการสนทนาออนไลท์ ผ่าน Protocol IM ชนิดต่างๆ ต้องมีระบบเฝ้าระวัง และวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain วันที่ เวลาที่ใช้งาน รูปแบบการติดต่อ จากโปรแกรมชนิดใด เช่น Yahoo , MSN , ICQ , IRC เป็นต้น
การใช้งานอินเตอร์เน็ทโดยใช้บริการอื่นๆ ได้แก่ ลักษณะการใช้ VoIP และ P2P ต้องมีระบบเฝ้าระวังและวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain ระบุวันที่ เวลาที่ใช้ รูปแบบการติดต่อ จากโปรแกรมชนิดใด เช่น SkyP , P2P Program เป็นต้น

4.3.3 การเก็บบันทึกข้อมูล (Recorder) เพื่อเก็บบันทึกข้อมูลทั้งที่เป็นข้อมูลจราจรที่ปกติ (Normal Data Traffic) และ ข้อมูลจราจรที่ไม่ปกติ (Threat Data Traffic) ที่เป็นรูปของ Raw Data หรือลักษณะที่สามารถดูข้อมูลที่เก็บบันทึกได้ ผ่านทาง Data Base เทคโนโลยี หรือจะเป็น Text files ก็ได้ ในการเก็บบันทึกควรมีการแสดงค่ายืนยันว่ามีความถูกต้อง และแก้ไขไม่ได้นั้น มีกระบวนการเก็บผ่านนโยบายขององค์กร (Security Policy) วิธีปฏิบัติของผู้ปฏิบัติงาน (Operation Security) และมีค่ายืนยันความไม่เปลี่ยนเปลี่ยน (Check sum) เพื่อยืนยันว่า file นั้นไม่มีการแก้ไขหรือเปลี่ยนแปลงได้ (Integrity) ต่อไป

4.4 การควบคุมข้อมูล (Control Data Traffic) ประกอบด้วย 3 ส่วนดังนี้
4.4.1 การควบคุมป้องกันภัยคุกคามที่เกิดขึ้น (Threat Protection) เพื่อป้องกันภัยคุกคาม ต่างๆ ได้แก่ ไวรัสคอมพิวเตอร์ การโจมตีระบบ การเข้าถึงข้อมูลที่ไม่เหมาะสม การโจรกรรมข้อมูล สามารถมองการป้องกันนี้ได้เป็น 2 ส่วน คือ
4.4.1.1 การป้องกันระบบเครื่องคอมพิวเตอร์ (Host Base Protection) เป็นการสร้างระบบป้องกันภายในเครื่องเพื่อ ป้องกันไวรัส คอมพิวเตอร์ (Host Base Anti virus) และภัยคุกคามอื่นๆ (Anti Malware) สร้างความปลอดภัยให้กับเครื่องคอมพิวเตอร์ (Computer Hardening) ไม่ว่าเป็น เครื่องแม่ข่าย หรือ เครื่องลูกข่าย มีระบบตรวจสอบ Patch และการอัพเดทระบบปฏิบัติการเพื่อมิให้เกิดช่องโหว่ ซึ่งอาจมีผลต่อการเข้าถึงระบบได้ในอนาคต
4.4.1.2 การป้องกันระบบเครือข่ายคอมพิวเตอร์ (Network Base Protection) เป็นการสร้างระบบป้องกันภัยคุกคามทางเครือข่ายคอมพิวเตอร์ เทคโนโลยีป้องกันภัยในส่วนได้แก่ ระบบ Firewall , NIPS (Network Intrusion Prevention System) หรือ Proxy Filtering เป็นต้น
4.4.2 การควบคุมเพื่อจำกัดขอบเขตการใช้งานข้อมูลจราจร (Limitation Data Traffic) เพื่อเป็นการกำหนดข้อมูลจราจร ทั้งส่วนระบบเครือข่ายคอมพิวเตอร์ (Network Base) และ ระบบภายในเครื่องคอมพิวเตอร์ (Host Base) ในส่วนการจำกัดขอบเขตการใช้งานข้อมูลจราจรฝั่งระบบเครือข่ายคอมพิวเตอร์ จะพิจราณาการใช้งาน Bandwidth , และ Application ที่ได้มีการใช้งานอยู่เป็นประจำ ส่วนในฝั่ง Host Base หรือเครื่องคอมพิวเตอร์ ของผู้ใช้งานจะมีการจำกัดขอบเขตการใช้งานตามนโยบายความมั่นคงปลอดภัย เพื่อใช้งานตามความเหมาะสมตามบทบาทและหน้าที่ของผู้ปฏิบัติงาน
4.4.3 การควบคุมเพื่อกักสิ่งผิดปกติ (Jail Data) ไม่ให้เกิดความเสียหายแก่ระบบเครือข่ายและการปฏิบัติงานในปัจจุบัน
สำหรับการกักขังภัยคุกคาม สามารถแบ่งออกได้ ดังนี้
4.4.3.1 การกักข้อมูลที่ผิดปกติ หรือ ไม่เหมาะสม ผ่านทางระบบเครือข่ายคอมพิวเตอร์ โดยจะทำการควบคุมผ่าน Security Gateway เส้นทางลำเลียงข้อมูลในส่วนหลักขององค์กร ได้แก่ระบบ Firewall , NIPS หรือกำหนดผ่าน VLAN เพื่อแยกภัยคุกคามไม่เข้าสู่เส้นทางลำเลียงข้อมูลที่ปกติ
4.4.3.2 การกักข้อมูลที่ผิดปกติ หรือ ไม่เหมาะสม บนเครื่องคอมพิวเตอร์ กำหนดจากเทคโนโลยี Domain Controller และการกำหนดจาก NAC (Network Access Control) เพื่อแยกแยะเครื่องคอมพิวเตอร์ที่ผิดปกติ อยู่ในช่องทางที่ไม่สามารถแพร่เชื้อไวรัส หรือ ภัยคุกคามชนิดอื่นๆ ได้

4.5 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐาน (Compliance) แบ่งเป็น 2 ส่วนได้แก่
4.5.1 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐานสากล (Log Compliance) เกิดจากการรวบรวม ค่า syslog ที่เกิดขึ้นจากอุปกรณ์เครือข่าย เครื่องแม่ข่าย และระดับเครื่องลูกข่าย รวบรวมสู่ศูนย์กลาง หรือ จะใช้วิธี Flow Collector เพื่อตรวจจับข้อมูลจราจรที่ดูถึงลักษณะการใช้งานได้ บนระบบเครือข่าย และรับค่า Syslog ที่สำคัญมา เพื่อทำการแยกแยะข้อมูลและจับเปรียบเทียบข้อมูลหรือที่เรียกว่า Correlation Log เพื่อจัดหมวดหมู่มาตรฐาน 4 ประเภท ซึ่งผมจะได้ขอกล่าวต่อไปในตอนหน้า

นนทวรรธนะ สาระมาน
Nontawattana Saraman
SRAN Dev
21/03/2551