บรรยายในงานเปิดตัว Cyfence

CAT Telecom จัดงานเปิดตัวบริการใหม่ล่าสุด ‘Cyfence’ บริการการรักษาความปลอดภัยระบบเครือข่ายเทคโนโลยีสารสนเทศ ในวันอังคารที่ 24 ตุลาคม 2549 เวลา 10.00 น. ณ ห้องบางกอก คอนเวนชั่นเซ็นเตอร์ ชั้น 5 เซ็นทรัล พลาซ่า ลาดพร้าว

ในงานนี้ทางบริษัท Global Technology Integrated ผู้ผลิตเทคโนโลยี SRAN ได้ร่วมบรรยายหัวข้อ Sufficient Network Security บรรยายโดย นายนนทวรรธนะ สาระมาน ผู้จัดการฝ่ายผลิตภัณฑ์บริษัท Global Technology Integrated ในการบรรยายครั้งนี้มีเพื่อสร้างความตระหนักในการ ประยุกต์เทคโนโลยีด้านความปลอดภัยข้อมูลสารสนเทศ นำมาใช้ให้เกิดความคุ้มค่าแก่การลงทุน บนความพอเพียงและเรียบง่าย ซึ่งเป็นแนวคิดที่ทางบริษัทได้มีเจตนาจะเผยแพร่ให้กับทางสาธารณะชนให้เกิดประโยชน์กับสังคมไทยต่อไป
ตัวอย่างการบันทึกการบรรยายคลิกเพื่อดู video ที่รูป
นนทวรรธนะ สาระมาน
Nontawattana Saraman

SRAN Wall กับการทำ Traffic Management

กำหนดการรับส่งข้อมูลบนเครือข่ายคอมพิวเตอร์ โดยใช้ SRANwall

จากเดิม การใช้งานอินเตอร์เน็ททั่วไป ไม่ว่าเป็นการใช้งานที่บ้าน หรือในองค์กร บริษัท จะพบว่าเราไม่สามารถกำหนด การรับส่งข้อมูล ทั้งขาเข้าข้อมูลบนเครือข่าย และ ขาออกข้อมูลบนเครือข่าย หากไม่มีอุปกรณ์ ที่เรียกว่า Network Traffic management ในปัจจุบันทีมพัฒนา SRAN ได้พัฒนาอุปกรณ์ Security Gateway ที่ชื่อว่า SRANwall ได้รวมคุณสมบัติ Network Traffic Management เข้ามาใช้งานได้ เพื่อสร้างความคุ้มค่าแก่ผู้ใช้งานและผู้ดูแลระบบ เนื่องจาก รวมคุณสมบัติการป้องกันหลายๆอย่างในตัว

การติดตั้ง SRANwall เพื่อทำหน้าที่เป็น Network Traffic Management

Shapping

ทำการติดตั้งที่ Gateway ขององค์กร หากมีอุปกรณ์ ISDN/ADSL Router อยู่ ทำการติดตั้งหลังอุปกรณ์ดังกล่าว

คุณสมบัติในการตรวจและบริหารจัดการรับส่งข้อมูลในองค์กร ประกอบไปด้วย

1. ข้อมูล Download/ Upload files

2. Application ที่ใช้งานต่างๆ เช่น

2.1 การรับส่งข้อมูลบน HTTP ( การใช้งาน Web )

2.2 การรับส่งข้อมูลบน SMTP / POP3 / IMAP/ Lotus notes (ใช้งานรับส่ง Mail)

2.3 การรับส่งข้อมูล VoIP

2.4 การรับส่งข้อมูลการสนทนา (MSN , Yahoo, Google talk, ICQ เป็นต้น)

2.5 การรับส่งข้อมูลการใช้ Remote Access (VNC , PC anywhere, RDP เป็นต้น)

3. การรับส่งข้อมูลที่ไม่พึ่งประสงค์ในองค์กร

3.1 การใช้งาน P2P

3.2 การเล่น Games Online

ทั้งหมดที่กล่าวมานี้ ระบบ SRAN Wall “Security Gateway” สามารถควบคุมและจัดการ การใช้งาน การรับส่งข้อมูลเหล่านี้ได้ทั้งหมด จึงอาจกล่าวได้ว่า ทำให้องค์กรที่ใช้งานเกิดความคล่องตัว และใช้งานตามความสำคัญของการรับส่งข้อมูลบนเครือข่ายได้อย่างถูกต้อง

ตัวอย่างการบริหารจัดการข้อมูลเครือข่ายคอมพิวเตอร์ (Case Study)
บน Menu ควบคุม จากระบบ SRAN Wall

ในองค์กร AAA ต้องการใช้เครือข่ายคอมพิวเตอร์ โดยมีความต้องการดังนี้

ควบคุมการระดับความสำคัญการ รับส่งข้อมูลที่ต่ำ

1 . ไม่ให้มีการเล่น P2P ในช่วงเวลาทำงาน

2. ไม่ให้เล่น Games Online ในช่วงเวลาทำงาน

3. กำหนดการรับส่งข้อมูลบนโปรแกรม Chat ระบุที่ MSN เนื่องจากมีคนนิยมใช้สูง

4. กำหนดการเล่น Multimedia

ควบคุมการระดับความสำคัญการ รับส่งข้อมูลที่สูง

1. ให้ความสำคัญ กับการใช้รับส่งข้อมูล ที่เป็น Mail และ Web

2. ให้ความสำคัญ การใช้ VoIP

ผู้ดูแล เมื่อติดตั้ง SRAN wall ในตำแหน่งที่ถูกต้องแล้ว ทำการเปิด Menu ในการควบคุม ผ่าน web interface และ ผ่าน protocol SSL

shaper_1

คลิกที่ Menu ขวามือ เลือก Traffic Shaper
จะปรากฎ Web Wizard ในการควบคุมค่า การรับส่งข้อมูล

shaper_2

กำหนดค่า เริ่มต้น เลือกค่าควบคุมตามต้องการ ในภาพ กำหนด การใช้งานผ่านเครือข่าย LAN ให้ทำการ Download ที่ 128 k/sec และ ในเครือข่าย WAN ให้ทำการ upload ข้อมูลที่ 512k/sec

เมื่อกำหนดค่าเริ่มต้นแล้ว จะเป็นการควบคุมการรับส่งข้อมูลตาม Application เริ่มจาก

เรื่องของ VoIP

shaper_3

กำหนดค่า VoIP โดยสามารถเลือกใช้บริการตามผู้ให้บริการได้ และเลือก Bandwidth ในการรับส่งข้อมูล โดยมีค่าเริ่มต้นที่ 56k – 10M ขึ้นกับอัตราการเรื่องใช้บริการอินเตอร์เน็ทองค์กรนั้น

Application ที่ 2 การกำหนด P2P Networking

shaper_4_P2P

ในส่วน P2P สามารถเลือก Shaping ตามโปรแกรมได้ โดย ระบบ SRANwall รู้จัก P2P ประมาณ 20โปรแกรม ดังนี้

shaper_5_P2P

ตัวอย่างโปรแกรม P2P ที่ SRANwall รู้จัก

Application ที่ 3 คือการควบคุมการรับส่งข้อมูลของ Games Online

shaper_6_Games

ผู้ดูแลระบบเครือข่ายสามารถที่จะเลือกควบคุมการรับส่งข้อมูล ตามชนิดของ Games Online ได้ประมาณ 20 โปรแกรม

ส่วน Application อื่นๆ SRANwall ได้แบ่งเป็นหัวข้อ ดังนี้

– การ Remote Services / Terminal emulation

shaper_7_Application_remote

– Messengers (Chat โปรแกรมสนทนา)

shaper_8_Application_msn

– VPN
– Multimedia / Streaming
– Web
– Mail

shaper_9_Application_program

– Miscellaneous ( ได้แก่ DNS, ICMP, SMB, MYSQL , NNTP , CVSUP เป็นต้น)

เมื่อทำการปรับแต่งค่าตามที่บริษัท AAA ต้องการแล้ว ใน menu ควบคุม SRANwall จึงขึ้นพร้อมทำงาน
shaper_11_config_finish

จบขั้นตอนการกำหนดค่า SRAN Traffic Shaper Wizard

shaper_12_config_finish

รอระบบทำการ Reset ค่า และพร้อมทำงานต่อไป

เท่านี้ ก็สามารถควบคุม การรับส่งข้อมูลในองค์กรอย่างมีประสิทธิภาพ และสะดวกในการใช้งาน

ในระบบ SRANwall ยังมีฟังชั่นการใช้งานอื่นๆอีกมาก จะขอได้ กล่าวในตอนต่อไป

นนทวรรธนะ สาระมาน
Nontawattana Saraman

สร้าง NAC (Network Access Control) บน SRAN Wall

ทุกวันนี้ปัญหาระบบเครือข่ายกับเป็นปัญหาภายในองค์กร และกลายเป็นปัญหาสำคัญที่ยากแก่การควบคุม ปัญหาดังกล่าวคือการแพร่ระบาดไวรัสคอมพิวเตอร์ จากภายในเครือข่ายของตนเอง ทั้งที่เกิดจากเครื่อง client ในองค์กร และ เครื่องพกพาได้แก่ PC Notebook ที่สามารถนำไปใช้งานที่บ้าน หรือ ที่อื่นๆ และติดไวรัสคอมพิวเตอร์ หรือสิ่งผิดปกติอย่างอื่นจากนอกวง LAN องค์กร และเมื่อนำมาใช้งานใน LAN องค์กรแล้ว จึงแพร่กระจายไวรัสคอมพิวเตอร์ไปเครื่องอื่นๆในองค์กรอีกด้วย ปัญหานี้ จะแก้ไขได้ก็ต่อเมื่อมีระบบ NAC (Network Access Control) เพื่อเข้ามาควบคุมการลงทะเบียนเครื่องคอมพิวเตอร์ ทั้งเครื่องที่เป็น PC แบบตั้งโต๊ะ และ PC ที่เป็นเครื่องแม่ข่าย รวมถึง Notebook , PDA เป็นต้น วิธีการป้องกันเครื่องพกพาที่นำมาใช้งานในองค์กร เรียกว่า “Endpoint security”

แนวคิด Endpoint Security คือ ปลอดภัยตั้งแต่แรกเข้าสู่ระบบเครือข่าย (LAN) โดยมุ่งป้องกันภัยคุกคามที่อาจจะเกิดขึ้นได้จากเครื่อง

ทางทีมพัฒนา SRAN จึงเห็นภัยคุกคามนี้ เป็นเรื่องสำคัญ เพราะหากแต่เรามาสร้างระบบเครือข่ายให้ปลอดภัยจากภัยคุกคามภายนอกแล้ว ยังไม่เพียงพอ แต่เรายังต้องเอาใจใส่ในเครือข่ายภายในองค์กรของเราอีกด้วย จึงเป็นเรื่องที่ซับซ้อน และ ป้องกันภัยคุกคามในครั้งนี้ยากนัก รวมถึงต้องลงทุนจัดหาเทคโนโลยี เพื่อมาป้องกันภัยคุกคามชนิดนี้อีกด้วย จึงมีแนวทางการแก้ไขปัญหา โดยใช้ระบบที่ชื่อว่า SRANwall ซึ่งเป็น Security Gateway

การสร้าง NAC โดยใช้คู่กับ SRAN Wall ต้องมีอุปกรณ์เสริมดังนี้

  1. SRAN Wall 1 เครื่อง
  2. ระบบ แม่ข่ายตรวจไวรัสคอมพิวเตอร์ (Anti virus Server)
  3. ระบบประเมินความเสี่ยงบนเครือข่ายคอมพิวเตอร์ VA (Vulnerability Assessment)

คุณสมบัติทำ NAC ใน SRAN Wall คือ

  1. การที่สามารถระบุเครื่องที่ทำการต่อเชื่อมระบบ LAN ในองค์กรได้ โดยที่ให้เครื่องมาลงทะเบียนที่ตัว SRANwall
  2. สามารถสร้าง Virtual LAN เพื่อทำการกักเครื่องที่ไม่ได้รับอนุญาตให้เข้าสู่ระบบเครือข่ายได้
  3. ใน Virtual LAN ที่ทำการ กักเครื่อง สามารถ ส่งข้อมูลไปบอกเครื่องแม่ข่ายตรวจไวรัสคอมพิวเตอร์ หรือ ตรวจหาช่องโหว่ในเครื่องได้

ติดตั้งระบบ SRAN Wall ไว้เป็น Gateway ของระบบ และกำหนดค่าดังนี้

ไปที่ Menu NAC และคลิก Captive Portal


ทางผู้ดูแลระบบสามารถเลือกให้ใช้ การ authentication บน User RADIUS Server หรือจะสามารถเลือก add user เครื่องพร้อมค่า MAC address ได้เอง

คลิก pass-through MAC


เพื่อ add ค่า MAC address เครื่อง PC ที่อยู่ในวง LAN

หรือทำการ add user ใน menu users



คลิกที่ menu Allowed IP addresses


คลิกที่เพิ่ม ที่เครื่องหมาย + ใน Web ควบคุม


หรือจะระบุให้เครื่องที่ non- authentication ให้ทำการ scan ไวรัสคอมพิวเตอร์ก่อนถึงจะเข้าสู่ระบบเครือข่ายขององค์กรได้ ก็ตั้งเป็น Direction to …



เมื่อทำการ scan virus ผ่านแล้ว เครื่องปลอดจากไวรัส จึงสามารถเข้าใช้งานในองค์กรได้

หรือจะตั้งค่า Direction to เครื่องที่เป็น VA (Vulnerability Assessment) เพื่อตรวจสอบดูว่ายังขาด patch software และ OS เพื่อให้ update patch เสียก่อนก่อนที่จะเข้าสู่ระบบ LAN ในองค์กร ก็จะทำให้เครื่อง Notebook หรือ PDA ระบบพกพาต่างๆ ปลอดภัยมากขึ้นเมื่อนำใช้กับ LAN ในองค์กร

นอกจากจะสามารถควบคุมการ Access เครื่องในองค์กรได้แล้ว ยังสามารถควบคุมการใช้งาน Wireless LAN หรือพวก Hotspot ได้อีกด้วย โดยใช้หลักการเดียวกันนั้นคือ

หากเครื่องที่ไม่ได้รับ อนุญาติ ก็จะทำการ Redirect ไปที่ URL ให้ลงทะเบียนได้



โดยเราสามารถระบุ content สำหรับ URL ที่ต้องการ Redirection ได้ ตามต้องการ



ทั้งหมดนี้ จะควบคุมเครื่องแปลกปลอม ที่เข้าสู่ระบบเครือข่าย LAN ในองค์กร ได้ หากเราควบคุมเครื่องแปลกปลอมได้ การแพร่ระบาดไวรัสคอมพิวเตอร์ ที่ติดจากที่อื่น และนำแพร่เชื้อในองค์กรจะน้อยลง เครือข่ายคอมพิวเตอร์ก็จะปลอดภัยมากขึ้น


นนทวรรธนะ สาระมาน
Nontawattana Saraman

SOC in the Box

สังเกตไหมว่า ทำไม หลายองค์กร ที่ลงทุนด้านระบบรักษาความปลอดภัยไปแล้ว ถึงยังคงต้องมาปวดหัวกับเรื่องภัยคุกคามต่างๆที่เกิดขึ้นอยู่ ทั้งที่ซื้อระบบ Firewall , IDS/IPS และ software ป้องกันภัยต่างๆ ไปแล้ว ก็ยังคงไม่ปลอดภัยอยู่ดี เนื่องจากที่เราทราบกันดีว่าองค์ประกอบที่สำคัญในด้านการรักษาความปลอดภัยข้อมูล มี 3 ข้อ คือ เรื่องเทคโนโลยี คน และ กระบวนการ หากเราลงทุนเทคโนโลยีไปแล้ว แต่ยังไม่มีการดูแล คน และไม่มีการจัดการที่กระบวนการ เราก็ยังไม่ปลอดภัย เป็นโจทย์ใหญที่ทำให้ผมต้องการให้มีความปลอดภัยข้อมูลในองค์กร แบบสำเร็จรูป โดยใช้องค์ประกอบหลักใหญ่ทั้ง 3 เพื่อสร้างความลงตัว ผมมองว่า การทำให้ คน และ กระบวน การจะรวมกันได้นั้นต้องมี มาตราฐานมารองรับ โดยที่มาตราฐานที่ใช้ในการทำ Information Security มีอยู่ด้วยกันหลายรูปแบบ จึงทำให้เป็นที่สงสัย และเกิดความไม่เข้าใจว่าจะเริ่มต้นที่จุดไหนก่อนดี ?

ผมจึงได้เสนอแนวคิด การตั้ง ศูนย์เตือนภัยทางเครือข่ายคอมพิวเตอร์ ขึ้น หรือที่เรียกว่า SOC (Security Operation Center) หากแต่ SOC ตามความหมายของคนทั่วไปมักจะมองเป็นห้องบัญชาการขนาดใหญ่ และมีเครื่องคอมพิวเตอร์ไว้สังเกตการจำนวนมาก มีคนปฏิบัติหน้าที่ และค่อยเฝ้าระวังภัยที่อาจจะเกิดขึ้นบนระบบเครือข่าย ทุกคนเห็นว่าการจัดทำ SOC เป็นเรื่องที่ดี และควรจะลงมือปฏิบัติ แต่ไม่รู้จะเริ่มต้นอย่างไร ?

คำถามทั้ง 2 ที่ยังไม่ได้รับคำตอบ เหล่านี้จึงเกิดการลงทุนด้านระบบเครือข่ายความปลอดภัยจำนวนมาก โดยไม่รู้ว่าจะคุ้มทุนที่ใด
คำตอบผมมี ใน 1 Blade server โดยทั้งระบบนี้จะสามารถ compliance ตรงตาม มาตราฐานที่เราต้องการไม่ว่าเป็น ISO17799 , SOX, HIPAA คุณสามารถเลือก compliance และให้ระบบตรวจสอบว่ายังขาดตกในมาตราฐานข้อใดในองค์กรได้

ในส่วนการสร้างมาตราฐานความปลอดภัยข้อมูล บน SOC โดยสรุป สามารถแบ่ง เทคโนโลยี ในการเปรียบเทียบได้ 4 หัวข้อหลักคือ
1. Threat Detection เกี่ยวกับการตรวจตราภัยคุกคามที่อาจเกิดขึ้นบนเครือข่าย ไม่ว่าเป็นแบบ Reactive เช่น log firewall , syslog จาก devices หรือ proactive เช่น IDS/IPS , antivirus แบบ Real time , รวมถึงระบบ Network access control สำหรับ endpoint security สำหรับเครื่องพกพา และเครื่องแปลกปลอมที่เข้าสู่เครือข่าย LAN ในองค์กร
2. Vulnerability Detection / Management เกี่ยวกับการสร้างความปลอดภัยสม่ำเสมอ และการประเมินความเสี่ยงเพื่อป้องกันเครือข่ายคอมพิวเตอร์ รวมถึงเครื่องคอมพิวเตอร์ในองค์กร
3. Remediation คือ การตรวจตรา software การเก็บข้อมูล และแผนฉุกเฉินที่ต้องรองรับเมื่อเกิดสถานการณ์ที่ผิดปกติขึ้นมา
4. Security and Available Management คือ การสร้างระบบความปลอดภัยทั้งเป็นโครงสร้างหลัก และ องค์ประกอบในการบริหารจัดการ เช่น ระบบ core switch , Firewall Gateway , Remote access ,VPN , รวมถึงการทำ System Monitoring Hardware/Software

โดยทั่วไปอุปกรณ์ด้านระบบรักษาความปลอดภัย ที่นำมาใช้งานกันในประเทศไทย มักจะไปอยู่ในข้อ 4 นั่นคือ Security and Available Management และ ในส่วน Threat Detection ก็มีบทบาทมากในปี 2 ปีหลัง
หากเราประเมินดูแล้วการจัดหา เทคโนโลยีให้ตรงตาม compliance ทั้งหมดคงเป็นการลงทุนที่สูงมาก แต่เมื่อเราจับประเด็นใน 4 โหมดนี้ดังกล่าวทำให้เราทราบว่า การจัดหาเทคโนโลยีมาสร้าง SOC ก็ไม่ใช่เรื่องยากเกินไป เราสามารถสร้าง SOC ภายใน 1 ตู้ Rack หรือ 1
Blade Server ได้

SRANinaSOC_1

ในการออกแบบ SOC ที่เราเรียกว่า “SOC in box” เป็นแนวทางแก้ไขปัญหาภัยคุกคามที่เกิดขึ้นบนการใช้ข้อมูลในองค์กร แบบประหยัดงบประมาณ การลงทุน และได้ผลตามมาตราฐานการรักษาความปลอดภัย ISO17799 ได้

โดยเราสามารถแยกในแต่ละ เทคโนโลยี เพื่อบรรจุลงใน blade server ดังนี้

SRANinaSOC_2

ส่วนประกอบที่ 1 ใช้ IDS/IPS ใช้ SRAN Security Center , และระบบ FreeNAC
ส่วนประกอบที่ 2 ใช้ VA/VM ใช้ SRAN Security Center
ส่วนประกอบที่ 3 ใช้ NetXMS และ FreeNAS
ส่วนประกอบที่ 4 ใช้ SRAN Wall , OSSIM
ทั้งหมดนี้จะสามารถ comply ตาม ISO17799 ได้อย่างลงตัว

SRANinaSOC_3

เท่านี้เราสามารถสร้าง SOC บน blade server 1 เครื่อง บนเทคโนโลยี SRAN และ Open source ชั้นนำตรงตาม compliace มาตราฐานที่ ISO17799 รองรับไว้ คุ้มค่าการลงทุนประหยัดงบประมาณ สนองนโยบายเศรษฐกิจพอเพียง ได้

นนทวรรธนะ สาระมาน
Nontawattana Saraman
2/09/49

SRAN กับแผ่นภาพโฆษณาใหม่

เนื้อหาคือ องค์ประกอบด้านระบบรักษาความปลอดภัยข้อมูล ทั้งหมด ไม่ว่าเป็น คน เทคโนโลยี และนโยบาย คำตอบสุดท้ายที่ตอบคำถามองค์ประกอบนี้ได้ คือ “SRAN” แสดงให้เห็นคำพูดที่ว่า “ร่วมกันขับเคลื่อนปัญญาไทย เพื่อสามารถแข่งขันระดับสากล”

สามารถดูรายละเอียดได้ที่ http://gallery.sran.org/main.php?g2_view=core.ShowItem&g2_itemId=221

นนทวรรธนะ สาระมาน
Nontawattana Saraman

สามปีแห่งการพัฒนา SRAN Appliance

ตลอดระยะเวลา 3 ปีที่ผ่านมาเราได้พัฒนา SRAN Appliance มาโดยตลอดเส้นทางแห่งความยากลำบากทำให้เราทราบดีว่า งานวิจัยและพัฒนาไม่ใช่เรื่องง่าย แต่ถึงพบอุปสรรคนานับประการแต่เราก็ไม่ได้ย่อท้อแต่อย่างใด เพราะจุดมุ่งหมายเราต้องการสร้างระบบ เพื่อรักษาความปลอดภัยข้อมูลสารสนเทศ ให้เกิดขึ้นบนประเทศแห่งนี้ ประเทศไทยของเรา

ตัวอย่างเหตุการณ์ที่เกิดขึ้นในช่วงที่เราได้พัฒนาอุปกรณ์ตัวนี้ จากอดีต จนถึง ปัจจุบัน
ดู video เส้นทางพัฒนาได้ที่ http://www.gbtech.co.th/video/SRAN_story.html

นนทวรรธนะ สาระมาน
Nontawattana Saraman

ความน่าสนใจ web 2.0 และการประยุกต์ใช้

on Aug 14, 2006 1:17 am.

ภาพจาก blog.icicom.up.pt

เมื่อเราย้อนหลังไปอีกนิด เรื่องจาก wikipedia เริ่มมีการเปิดให้สำหรับผู้คนมาใส่เนื้อหา และข้อมูลเองได้ ทำให้เกิดเป็นชุมชน online ที่มากด้วยความเอื้อเฝือสร้างสรรค์ จนเกิดเป็น free encyclopedia

ซึ่งเป็นสารานุกรมที่ขนาดข้อมูลมากชนิดที่ว่าอยากรู้คำนิยาม อะไรก็สามารถหาได้จาก wikipedia รวมถึงเหตุการณ์ต่างๆ ตามวัน เวลา ปี พศ อื่นๆอีกมากมาย นี้แหละครับ จุดกำเนิดของแนวคิดและการพัฒนา web 2.0 ตามความเข้าใจของผม ปรัชญาอย่างหนึ่งที่สัมผัสได้ นั่นคือ มนุษย์เราต้องการความคิดที่อิสระ เปิดเผย ร่วมแรงร่วมใจกัน ทำเพื่อสังคม นี่คงเป็นสันชาตญาณในส่วนลึกที่ดีของมนุษย์ จึงก่อให้เกิดความนิยม ขึ้นจากเทคโนโลยีเช่นนี้

อีกไม่นาน เราก็พบว่า google , yahoo หรือ msn ก็นำความคิดที่คล้ายคลึงกันผลิตเทคโนโลยี หลากหลายด้วยสื่อภาษาทางโปรแกรม จนเกิดนวัฒกรรมใหม่ เช่น Google ได้สร้าง maps.google.com และมีผู้คนต่อยอดจากสิ่งนี้ (google map Mashup) จนเกิดผลพ่วงแห่งจิตนาการ ของผู้หลงไหลเทคโนโลยี รวมถึงผม และทีมงาน ได้ต่อยอดทาง map google จนเป็นผลงาน เช่น http://map.sran.net/webid/ ขึ้นมาเป็นต้น ยังมีอีกหลายเทตโนโลยี web 2.0 ที่น่าสนใจ เรามาฟังกันหน่อย เผื่อว่าจะต่อยอดแนวคิดต่อไป

ขอชี้แจงอีกนิดสำหรับ web 2.0 จุดหนึ่งที่น่าสนใจ คือ การมีส่วนร่วมในทางสร้างสรรค์ และก่อเกิดชุมชน online อย่างอิสระภาพ ในแบบเฉพาะของกลุ่มคน ผมขอยกตัวอย่าง เช่น

Frappr ให้บริการชุมชน online ผ่านเทคโนโลยี google map ทำให้เกิดการสื่อสารไร้พรมแดน และสร้างความสนใจที่ตนเองมี กับกลุ่มเพื่อนใหม่ ที่สนใจในสิ่งเดียวกับเรา

Flickr บริการแบ่งปันรูป กลายเป็น Gallery ขนาดใหญ่ และเป็นแหล่งเก็บรูปภาพที่ไม่มีวันเต็ม สามารถเผยแพร่ได้ทั้งเป็นแบบสาธารณะ ,เฉพาะกลุ่ม หรือไม่เปิดเผยได้ ทุกวันนี้ผมก็เป็นสมาชิก flickr อยู่หลาย account เนื่องจากไม่ต้องการเก็บภาพ ในการตกแต่ง web ไว้ในเครื่อง ก็เก็บไว้ที่ flickr พอหมดเดือน ก็เริ่มนับความจุใหม่ รวดเร็ว แถมสามารถปรับแต่งขนาด size ของภาพได้เองอัตโนมัติ สมควรแล้วที่ yahoo ได้ซื้อ flickr ไปเมื่อปีที่แล้ว

youtube ในสมัยนี้คงยากที่จะไม่มีใครรู้จัก youtube ผู้ก่อตั้งเป็นคนสัญชาติจีน ที่เต็มไปด้วยความน่าสนใจ เป็นแหล่งเก็บ clip video ที่ใหญ่ ไม่แพ้กับ video.google.com แตกต่างตรงที่ youtube เป็น clip video ที่มีชีวิต ชีวา ง่ายในการใช้งาน ร่วมถึง มีความชาญฉลาดในส่วนจดจำ สมาชิก ใช้เวลาไม่ถึงปี ทำให้คนทั่วโลกได้รู้จัก youtube ได้ จากโฆษณารองเท้ากีฬายี่ห้อหนึ่ง ที่หัน มาใช้เทคโนโลยีโฆษณาผ่าน clip video แล้วไปเผยแพร่ใน youtube จนยอด download clip นี้จำนวนมากในแต่ละวัน ถือได้ว่าเป็น จุดพลิกวงการสื่อโฆษณา ที่อาจเปลี่ยนกลยุทธ โฆษณาผ่าน clip video มากขึ้น เพราะลงทุนต่ำแต่ผลลัพท์ กับเกินความคาดหมาย

clickcaster เทคโนโลยี pod cast ที่น่าสนใจ ในการบันทึกเสียง และสร้างเป็น blog โดยรวบรวม ดาวเด่น เทคโนโลยี bookmarks ไม่ว่าเป็น del.icio.us , digg และ technorati ทำให้ชุมชน online ได้มีการกระจายตัวเพื่อการเผยแพร่อย่างคาดไม่ถึง podcast ของ clickcaster น่าสนใจตรงที่ เราสามารถออกแบบรายการ และบันทึกเสียง เก็บเพื่อเผยแพร่บนอินเตอร์เน็ทได้อย่างยอดเยี่ยม โดยที่ไม่ต้องอิงแนวเก่าที่ต้องเป็นนักจัดรายการวิทยุ และวิทยุ online แต่นี้เป็น blog station ที่ตัวเราเองสามารถเป็นทั้งพิธีกร และเขียนบทเอง ได้อีกด้วย น่าสนใจมาก

ที่ยกตัวอย่าง web 2.0 มา ก็อาจมีคนตั้งคำถามว่า หากทั้งที่กล่าว เกิดขึ้นใน web บริษัทเราทั้งหมดจะได้หรือไม่ ? คำตอบคือ ได้เช่นกัน แต่เราต้องใช้ทรัพยากรในการเก็บข้อมูลจำนวนมาก และระบบรักษาความปลอดภัยที่ดีพอ พร้อมให้ความเสรียฐภาพระบบได้ ซึ่งที่กล่าวก็อาจจะไม่คุ้มค่าแล้ว

แนวคิดคือ ใช้ทรัพยากรจาก web 2.0 ที่พร้อมให้บริการ จากนั้นหา

– Hosting เพื่อสื่อสาร website

– ติดตั้ง CMS ต่างๆที่เหมาะสม ไม่ว่าเป็น Dupal , Mambo ก็ได้ เพื่อความสะดวกในการบริหารจัดการเนื้อหาใน website

-ใช้ web 2.0 ให้เกิดประโยชน์

– ใช้เทคโนโลยี VoIP ในการติดต่อลูกค้า หรือประชุมทางไกล ไม่ว่าเป็นโปรแกรม ก่ skyp,MSN,yahoo,Gtalk

-ใช้ Paypal มาช่วยในการ ซื้อขายสินค้า

และแล้วธุรกิจ e-commerce ของเราที่ตั้งใจไว้เกิดขึ้นได้อย่างรวดเร็วขึ้น

มาถึงตรงนี้ เรามามองโลก IT ในยุคใหม่กัน ไม่ว่าเป็นการทำ e-commerce การโฆษณา การประชาสัมพันธ์ เราคงใช้ทฤษฎีเก่าๆ ต่อไปไม่ได้อีกแล้ว ในอนาคตอีกไม่นานนี้ บริษัทจะเล็กลง เวลาจะหมุนเร็วขึ้น เพราะการแข่งขันที่ดุเดือดขึ้น ทุกคนมีความรู้ใกล้เคียงกัน เพราะสื่ออินเตอร์เน็ท รู้ทันกันมากขึ้น สามารถที่จะำงาน โดยมีคนไม่มาก และทำงานที่ไหนก็ได้ ขอให้ online บนโลกอินเตอร์เน็ท เราจะมีเวลาส่วนตัวมากขึ้น แต่มีข้อจำกัดทางเวลาเป็นเงาตามตัวเช่นกัน เราสามารถบริหารจัดการ รวมทั้งโฆษณาผ่านเทคโนโลยีบนอินเตอร์เน็ทได้ เอง โดยไม่ต้องเสียค่าโฆษณา ที่ต้องลงทุนมหาศาลต่อไป เรามีอิสระในการสร้างรายได้เอง จากเนื้อหาของ website และประกาศลงในสื่อโฆษณา เช่น google adsense หรือ eBay ครับจะเห็นได้ว่า ในยุคใหม่นี้ เป็นยุคของคนมีความรู้ และคนที่รู้จักประยุกต์ในเทคโนโลยีการสื่อสาร ไม่ได้อิงตามตำราอย่างตรงไปตรงมา งานประชาสัมพันธ์ ต้องเรียนรู้ให้ทันโลก IT ,กลยุทธ์ทางการตลาด ต้องเปลี่ยนแปลง ไม่อิงตามตำราที่เรียนนัก แต่เป็นการรู้ทันข้อมูล และเทคโนโลยี ประกอบกับทฤษฎีที่ได้เรียนมา
้ หากเราเข้าใจ และพร้อมที่จะรับการเปลี่ยนแปลง ธุรกิจที่เราดำเนินอยู่จะปรับสู่โลกแห่งดิจิตอลที่ก้าวไวกว่าคู่แข่งได้

นนทวรรธนะ สาระมาน
Nontawattana Saraman (12/08/49)

บทความจาก http://www.sran.org/index_html/web2

SRAN interview

E-Life, E-Business
หมวกคลายร้อนพลังแสงอาทิตย์, ผลสำรวจความต้องการชิพ 2006-2008, ฮาร์ดแวร์รักษาความปลอดภัยของคนไทย, เว็บรวมคลิปไอเดียแปลก
ออกอากาศเมื่อ 26 มิ.ย. 49


powered by ODEO

SRAN System + Bitdefender Signature Anti virus

อีกก้าวหนึ่งของ SRAN ได้จับมือกับทาง Bitdefender บริษัทป้องกันไวรัสคอมพิวเตอร์ชั้นนำ จากยุโรป ได้ร่วมพัฒนา signature Anti virus เพื่อใช้ในระบบSRAN Security Center และ SRAN UTM Security Gateway ที่เป็น Appliance

โดยจากเดิม SRAN Security Center และ SRAN UTM Security Gateway จะมีฐานข้อมูลโปรแกรมป้องกันไวรัสคอมพิวเตอร์คือ

1. Clamav ซึ่งเป็น Open Source

2. SRAN Anti virus ที่มี Signature ที่พัฒนาต่อยอดให้รู้จักไวรัสมากขึ้นจาก clamav

3. Bitdefender


ในปัจจุบันผู้ใช้งานสามารถเลือก Anti virus Bitdefender เพิ่มจาก clamav และ SRAN Antivirus เพื่อเพิ่มประสิทธิภาพในการตรวจจับและป้องกันไวรัสคอมพิวเตอร์ ให้มีความปลอดภัยมากขึ้นได้
โดยที่ทาง Bitdefender ได้รับรางวัลทางด้านระบบป้องกันไวรัสคอมพิวเตอร์อย่างมากมาย อาทิเช่น ICSALAB และ PC World Award และอื่นๆ

ทั้งนี้ทำให้ระบบ SRAN สามารถตรวจจับ Virus Computer,Spyware, Malware และ Spam ได้มากขึ้น

นนทวรรธนะ สาระมาน
Nontawattana Saraman

สาธิต SRAN Security Center ครบเครื่องในเครื่องเดียว

ทีม SRAN ได้มีโอกาสได้สาธิตการทำงาน SRAN Security Center ในงานลงนามทำสัญญาร่วมบริการด้านความปลอดภัยข้อมูลสารสนเทศกับ บริษัท กสท โทรคมนาม จำกัดมหาชน แบบครบวงจร

ภาพ ขณะบรรยายให้กับผู้บริหารระดับสูง จาก การสื่อสารแห่งประเทศ

Continue reading ภาพสาธิต SRAN Security Center ครบเครื่องในเครื่องเดียว…

วันที่ 29 พฤษภาคม 2549 บริษัท Cattelecom (กสท โทรคมนาคม มหาชน จำกัด) ได้ร่วมลงนาม ให้บริการด้านความปลอดภัยข้อมูลสารสนเทศ กับ บริษัท Global Technology Integrated และ ตัวแทนขายผลิตภัณฑ์จากบริษัท ACA Group และ Panda Software โดยในงานมีพิธีร่วมสัญญาระหว่างกรรมการผู้จัดการใหญ่ทั้ง 4 บริษัท

ภาพที่ 1 ป้ายพิธีในงานลงนามให้บริการด้านความปลอดภัยข้อมูล และ ตัวแทนจำหน่ายสินค้าด้านความปลอดภัย แบบครบวงจร จาก Cattelecom

ภาพที่ 2 การลงนาม ระหว่าง นายนรัตถ์ สาระมาน กรรมการผู้จัดการบริษัท Global Technology Integrated และ นายพิศาล จอโภชาอุดม กรรมการผู้จัดการใหญ่ บมจ. กสท โทรคมนาคม และการร่วมถ่ายภาพระหว่างพันธิมิตรทางธุรกิจทั้ง 4 บริษัท ได้แก่ Cattelecom , Global Technology Integrated ,ACA Group และ Kirz (Panda Software) รวมถึงสาธิตการใช้งานบริการ 14 strong 44 secure และผลิตภัณฑ์ด้านความปลอดภัยข้อมูล ให้กับสื่อมวลชนได้ทำข่าว

รายละเอียดอ่านได้ที่ http://blog.gbtech.co.th

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Long Live The King

ทางบริษัท Global Technology Integrated ได้จัดทำ Web Wristband เพื่อเทิดพระเกียรติในวโรกาสพระบาทสมเด็จพระเจ้าอยู่หัวทรงฉลองสิริราชสมบัติครบ 60 ปี

สำหรับติดตั้ง ทางซ้ายมือของ Web site ให้แก้สคิป เป็น

* ให้นำ Script นี้ติดตั้งหลัง นะครับ

โดยคลิกที่ link จะเชื่อมไปที่ web http://www.60thcelebrations.com/

หมายเหตุ : หากเป็นการสนับสนุนทีมพัฒนาโปรแกรม กรุณา Add Link www.sran.net ใน URL ที่ท่านนำสคิปนี้ไปติดตั้งด้วย ทั้งนี้ทางผู้จัดทำ ยินดีแจกฟรี ถึงแม้ไม่มีการ add link สนับสนุนทีมแต่อย่างใด

ภาพ ตัวอย่างที่ใช้ Web Wristband

ทั้งนี้ทางบริษัทฯ ยินดีให้ใช้สคิปนี้โดยไม่มีข้อแม้ทางการค้าใดๆ

ขอทรงพระเจริญยิ่งยืนนาน ด้วยเกล้าด้วยกระหม่อมขอเดชะ ข้าพระพุทธเจ้า เหล่าพนักงานบริษัทโกบอลเทคโนโลยีอินทิเกรเทด

นนทวรรธนะ สาระมาน
Nontawattana Saraman

USB Drive Anti Virus โดยใช้ SRAN AV

ใหม่ล่าสุด : เราสามารถทำ Anti Virus บน USB Drive เป็นแบบ off line mode ทำการค้นหาไวรัสคอมพิวเตอร์ โดยที่ไม่ต้องลงโปรแกรมบน Operating System

ประโยชน์

1. ใช้สำหรับงานแก้ไขปัญหาฉุกเฉิน (Incident Response) เนื่องจากเครื่องที่ติดไวรัสส่วนใหญ่ มักจะทำให้โปรแกรม Anti Virus ปิดทำการหรือทำงานผิดปกติไปจากเดิม

2. พกพาสะดวก เพราะโปรแกรม Run บน USB Drive

3. ไม่ส่งผลกระทบกับโปรแกรมอื่น

4. ใช้งานง่าย สามารถ set Auto Run ผ่าน USB Drive ได้

Download คู่มือได้ที่ http://sourceforge.net/docman/index.php?group_id=167842

ข่าวจาก SRAN Anti Virus site

นนทวรรธนะ สาระมาน
Nontawattana Saraman

SRAN Anti-Virus โปรแกรมป้องกันไวรัสเพื่อคนไทย

หลังจากได้พัฒนา ผลิตภัณฑ์ด้านความปลอดภัยมาได้เป็นระยะเวลาเกือบ 3 ปีเต็ม มักโดนถามถึงว่าเมื่อไหร่เราจะผลิต Anit-virus เสียที !! ก็เลยเป็นโจทย์ ให้เราได้มานั่งคิดกันว่าเราควรมี โปรแกรม Anti-virus เป็นของตัวเอง เลยจัดทำ Software นี้ขึ้นมา

จุดประสงค์

1. สร้าง Anti-Virus สัญชาติไทย

2. เมนูการใช้งานเป็นภาษาไทย

3. การใช้งานไม่ซับซ้อน ,ขนาดโปรแกรมที่เล็ก

4. ทำการตรวจจับ Virus/Spam/Spyware ได้

5. มีการอัพเดพ ข้อมูลไวรัสใหม่เป็นประจำ

โดยทั้งนี้เราจะทำการเปิดตัวซอฟแวร์ SRAN Anti-virus อย่างเป็นทางการอีกครั้ง ..

อ่านเพิ่มเติมได้ที่ Products : Software : SRAN Anti Virus

นนทวรรธนะ สาระมาน
Nontawattana Saraman

งานสัมนา Thaisnort ครั้งที่ 1

ในเดือนเมษายน 2549 บริษัท Global Technology Integrated ได้เข้าร่วมงานสัมนา Thaisnort ครั้งที่ 1 เป็นฟรีสัมนาที่ทาง การสื่อสารแห่งประเทศได้เป็นเจ้าภาพในเรื่องสถาณที่ โดยในงานทางบริษัท Global Technology ได้บรรยายถึงเทคนิคการป้องกันภัยเครือข่ายโดยใช้ snort เป็น Intrusion Detection ไว้ใช้ในการตรวจจับสิ่งผิดปกติที่เกิดขึ้นในระบบเครือข่าย

ในงานได้เผยเทคนิคการปรับแต่งการตรวจจับ ไวรัสคอมพิวเตอร์ที่เข้าสู่ระบบเครือข่าย , ปรับแต่งให้ snort ตรวจจับ Spam mail และการปรับแต่งให้ snort ให้ตรวจจับ Spyware เป็นต้น รวมถึงบรรยายประสบการณ์ในการใช้ snort ในการตรวจจับบนเครือข่ายจริง มาแลกเปลี่ยนความรู้กับผู้ร่วมสัมนาอีกด้วย , ในงานมีผู้ให้ความสนใจจำนวนมาก และมีการแจกของรางวัลเช่น iPod , กล้องดิจิตอล , USB Drive และ VRT snort เป็นต้น

คลิกเพื่อดูรายละเอียด ภาพบรรยาย

ผู้ร่วมการบรรยายในงาน

1. คุณไชยกร อภิวัฒโนกุล ผู้ก่อตั้ง Thaisnort (ck)
2. คุณพรเทพ นิวัตยะกุล จาก CAT Telecom
3. คุณนันนรี ศรีพนัสกุล จาก CAT Telecom
4. คุณนนทวรรธนะ สาระมาน Director จาก Global Tech
5. คุณธนสิน จิตแก้ว Senior IT Security Consultant จาก Global Tech (invisible)
6. คุณปิตุพงษ์ ยาวิราช Senior IT Security Consultant จาก Global Tech (knoxpix)
Presentations
Session I IDS/IPS Concept and Snort History (by CK) download
Session II Working with Snort (by invisible) download
Session III Snort Rules (by knoxpix) download

เครือข่ายในกรงขัง ตอนที่ 2

on Jan 7, 2006 10:55 pm.

การสร้าง Sinkhole Network

จากความเดิมตอนที่แล้วเราได้พูดถึงทฤษฎีการสร้าง Honeynet ในยุค Gen II ไปแล้วมาตอนนี้เราจะกล่าวถึงความหมายและทำความเข้าใจการสร้าง Sinkholes บนระบบเครือข่าย จะมีประโยชน์มากสำหรับ ISP หากได้ศึกษาและปฏิบัติตาม

บทความนี้จะอธิบายถึงความหายของ sinkhole network ซึ่งประกอบไปด้วย Blackhole router คืออะไร ? , IP Bogon เกิดได้อย่างไร และ Backscatter ค้นหาย้อนกลับเพื่อหาผู้กระทำผิดได้อย่างไร สามารถหาคำตอบได้จากบทความนี้ เครือข่ายในกรงขังตอนที่ 2

นนทวรรธนะ สาระมาน

ตรวจจับช่องโหว่ WMF โดยใช้ SRAN

on Jan 6, 2006 7:52 am.

ตามที่ได้มีการประกาศข่าวช่องโหว่ ตัวใหม่สำหรับระบบปฏิบัติการ Windows ที่ infosec.sran.org ได้ประกาศไว้ในวันที่ 29 ธันวาคม 2548

exploit ใหม่สำหรับโจมตีช่องโหว่ WMF ในวินโดวส์ (ใช้ใน Metasploit
framework) ที่สามารถสร้างไฟล์สำหรับการโจมตีช่องโหว่ที่มีขนาดไฟล์แบบสุ่ม
ไม่มีนามสกุล .wmf แต่เป็น .jpg หรือนามสกุลอื่น ๆ ที่เป็นนามสกุลของไฟล์ image
และการสร้างไฟล์แบบสุ่มเพื่อให้ยากต่อการตรวจจับของ antivirus

มีรายงานถึงช่องโหว่ล่าสุดในวินโดวส์เวอร์ชั่นต่อไปนี้คือ

Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition

โดยมีช่องโหว่ในด้านการจัดการกับ Windows Metafile (WMF) ผู้โจมตี
สามารถสร้างไฟล์ WMF แบบพิเศษที่เมื่อเปิดดูผู้ใช้วินโดวส์ โดยใช้
application ที่มีช่องโหว่ เช่น Windows Picture and Fax Viewer หรือ
โดยการเปิดเว็บเพจที่ออกแบบมาเพื่อโจมตีช่องโหว่นี้ผ่านทาง
Internet Explorer จะทำให้มีการเอ็กซิคิวท์โค้ดที่ผู้โจมตีต้องการ
และควบคุมระบบนั้นได้

ในขณะนี้ยังไม่มีวิธีแก้ไขหรือป้องกันจากไมโครซอฟท์ มีเพียงการป้องกัน
โดยการระมัดระวังการเปิดไฟล์และเว็บเพจจากการแนะนำของคนที่ไม่รู้จัก
หรือไม่น่าไว้ใจเท่านั้น

ดูรายละเอียดเพิ่มเติมได้จาก
http://www.frsirt.com/english/advisories/2005/3086

exploit ที่ใช้ทดสอบช่องโหว่ (ใช้กับ Metasploit)
http://www.frsirt.com/exploits/20051228.ie_xp_pfv_metafile.pm.php

เมื่อทำการตรวจสอบโดยใช้ SRAN Security Center เพื่อจับ packet exploit ชนิดนี้

เมื่อวันที่ 31 ธันวาคม 2548 เป็นวันสิ้นปีพอดี เราไ้ด้ e-mail เตือนจาก Sensorตัวหนึ่ง ของ SRAN

พบว่าเจอการบุกรุกชนิดใหม่นี้ขึ้น โดยเริ่มทำการบุกรุกครั้งแรกจับภาพดังนี้

พบว่ามีการจับเหตุการณ์ได้ โดยปรากฎชื่อ Signature ตาม Clamav ที่จับได้เป็น (spp_clamab) Virus Found:Exploit.WMF.A

จาก IP 10.10.10.250 ทำการติดต่อไปที่ IP 69.50.188.132 มีความเสี่ยงที่สามารถเกิดช่องโหว่ใหม่ของ Windows ได้

เพื่อทำการวิเคราะห์ เราจึงทำการเฝ้าสังเกต และพบว่ามีการติดต่อกันระหว่างเครื่องทั้ง 2 อยู่ 22 เหตุการณ์ โดยเครื่องที่เป็นเหยื่อพบเหตุการณ์ Web-client Microsoft wmf metafile access เกิดขึ้น 2 เหตุการณ์

เมื่อทำการเจาะจงเพื่อดูค่า payload พบว่ามีการติดต่อไปที่ host aaa.anunah.com ทาง protocol HTTP โดย domain ดังกล่าวคือ IP 69.50.188.132 นั้นเอง

เมื่อทำการเปิด URL ดังกล่าวคือ http://aaa.anunah.com/koks.html ได้พบ file ให้ download ขึ้นมา

แสดงให้เห็นว่ามีการจงใจเพื่อทำการหลอกลวง คนทั่วไปที่ไม่ทราบช่องโหว่ได้รับ file ดังกล่าวและเข้าถึงระบบเครื่องนั้นต่อไป

วิธีแก้ไข / ป้องกัน

ในขณะที่เขียนยังไม่มี patch อย่างเป็นทางการ ไมโครซอฟท์ได้แนะนำวิธีป้องกันไว้ดังนี้คือ

• ยกเลิกการ register โปรแกรม Windows Picture and Fax Viewer (Shimgvw.dll) ใน Windows XP Service Pack 1; Windows XP Service Pack 2; Windows Server 2003 และ Windows Server 2003 Service Pack 1 วิธีการนี้ไม่ใช่การแก้ไขช่องโหว่ แต่ช่วยบล็อกหนทางในการโจมตี โดยวิธีการนี้จำเป็นต้องทำโดยใช้สิทธิ์ของ Administrator หลังจากนั้นจึง รีสตาร์ทระบบหรือโดยการ log out แล้วจึง log in เข้าใหม่

การยกเลิกการ register Shimgvw.dll มีขั้นตอนดังต่อไปนี้คือ

• คลิกที่ Start , คลิก Run , พิมพ์ ” regsvr32 -u %windir%system32shimgvw.dll ” ( ใส่ไปโดยไม่มีเครื่องหมาย “”) จากนั้นจึงคลิก OK

• มี dialog box ปรากฏขึ้นเพื่อยืนยันว่าการยกเลิกการ register เสร็จสมบูรณ์ จากนั้นจึงคลิก OK เพื่อปิด dialog box

การป้องกันช่องโหว่ด้วยวิธีนี้จะทำให้โปรแกรม Windows Picture and Fax Viewer ไม่ทำงานเมื่อผู้ใช้คลิกที่ลิงค์ที่เป็นภาพที่เปิดด้วยโปรแกรม Windows Picture and Fax Viewer

ถ้าต้องการยกเลิก และต้องการ register Shimgvw.dll ใหม่ ให้ทำตามขั้นตอนข้างต้นใหม่ เพียงแต่เปลี่ยนขั้นตอนที่ 1 ด้วยคำสั่ง “regsvr32 %windir%system32shimgvw.dll” แทน ( ใส่ไปโดยไม่มีเครื่องหมาย “” )

นอกจากนี้ไมโครซอฟท์ยังได้แนะนำให้ผู้ใช้งานระมัดระวังการเปิดดูอีเมลและลิงค์ในอีเมลจากต้นตอที่ไม่น่าเชื่อถือ เปิดการทำงานของ Firewall อัพเดท Windows บ่อยครั้ง และติดตั้งซอฟท์แวร์แอนตี้ไวรัสด้วย

สวัสดีปีใหม่ครับทุกคน

1/01/49

นนทวรรธนะ สาระมาน

Nontawattana Saraman

แนวโน้มเทคโนโลยีด้านป้องกันภัย 2006

7 แนวโน้มเทคโนโลยีด้านป้องกันภัย

เป็นบทความที่ผู้เขียนได้ลง หนังสือ Micro Computer ประจำเดือน มกราคม 2006 เป็นแนวโน้มเทคโนโลยีป้องกันภัยข้อมูลในปี 2006 โดยแบ่งหมวดหมู่ได้ 7 แนวทาง รายละเอียดทั้งหมดสามารถอ่านได้ที่นี้

7 แนวโน้มเทคโนโลยีด้านป้องกันภัยคุกคามข้อมูลสารสนเทศ ในปี 2006

ในรอบปีที่ผ่าน อาจกล่าวได้ว่าระบบความปลอดภัยข้อมูลสารสนเทศถูกจัดให้เป็นประเด็นที่ได้รับการกล่าวอ้างและพูดถึงกันอย่างกว้างขวางที่สุด ทั้งในการเกิดขึ้นและเปลี่ยนแปลงของรูปแบบของภัยอันตรายประเภทใหม่ๆ และการเปิดตัวและแนะนำของผลิตภัณฑ์ใหม่สู่ท้องตลาด รวมทั้งในเรื่องของการควบรวมกิจการ ที่เกิดขึ้นอย่างต่อเนื่องตั้งแต่ต้นปี อาทิ บริษัท Foundstone ผู้ผลิตระบบ VA (Vulnerability Assessment) และเจ้าของตำราที่มีประโยชน์ต่อผู้ดูแลระบบอย่างมากมาย ได้ถูกบริษัท Mcafee ผู้ผลิตระบบ Anti-virus เข้าควบรวมกิจการ เมื่อต้นปีที่ผ่าน และข่าวใหญ่สำหรับวงการด้านความปลอดภัย คือบริษัท Sourcefire ผู้พัฒนา ระบบ IDS/IPS ที่เรียกว่า Snort โดนควบรวมกิจการจากบริษัท Checkpoint อันมีชื่อเสียงในเรื่องโซลูชั่นทางด้าน Firewall จึงเป็นที่น่าจับตามองว่าอันดับหนึ่งผู้ผลิต IDS/IPS จับมือกับ อันดับหนึ่งผู้ผลิต Firewall รวมด้วยกันแล้วจะเกิดอะไรขึ้นในปี 2006 การควบรวมกิจการดังกล่าว หากมองในแง่มุมของผู้บริโภคแล้ว อาจจัดได้ว่ามีประโยชน์ในแง่การใช้เทคโนโลยีที่ทันสมัยและสารพัดประโยชน์มากขึ้น ซึ่งในมุมมองของเทคโนโลยีทางด้านการรักษาความปลอดภัยที่จะเกิดขึ้นในปี 2006 ผู้เขียนขอทำนายถึงสิ่งที่จะเกิดขึ้นกับเทคโนโลยีทางด้านสารสนเทศในปี 2006 โดยจะมีเรื่องที่จะถูกกล่าวหรืออ้างถึงทั้งสิ้น 7 หัวข้อ โดยประกอบด้วยเรื่องดังนี้

Signature Signature and Signature

ในส่วนของผลิตภัณฑ์ป้องกันภัยบนระบบเครือข่าย ณ ปัจจุบัน มีให้เลือกหลายเทคโนโลยี จากหลายผู้ผลิตซึ่งอุปกรณ์หรือโซลูชั่นจากแต่ละผู้ผลิตเองก็มีความสามารถใกล้เคียงกัน แต่สิ่งสำคัญที่จะทำให้สินค้านั้นมีข้อแตกต่างเหนือคู่แข่งนั้นคือ เรื่องฐานข้อมูลการบุกรุกต่างๆ ( Signature) ซึ่งยิ่งมีมาก ยิ่งเร็วและถูกต้อง ยิ่งมีข้อได้เปรียบเหนือคู่แข่ง หากผลิตภัณฑ์ใดสามารถตอบสนองของภัยคุกคามนั้นได้ภายในระยะเวลาที่สั้นกว่า จะเป็นผลิตภัณฑ์ที่ได้การรับเลือกใช้และชนะคู่แข่งได้ในปี 2006 ที่จะถึงนี้

1.1 ระบบ NIDS/IPS (Network Intrusion Detection & Prevention) ที่ได้รับความนิยมสูงขึ้นเรื่อยๆ เนื่องจากหลายองค์กรมี การติดตั้ง Firewall แล้วแต่ยังไม่เพียงพอ การทำงานของ IDS/IPS อาศัยรูปแบบการตรวจจับในฐานข้อมูล ที่เรียกว่า Signature

1.2 โปรแกรม Anti-virus , Anti-Spyware ก็ต้องอาศัยฐานข้อมูลไวรัสชนิดใหม่ๆ

1.3 ระบบ Anti-Spam ทั้งที่เป็นรูปแบบของ software และที่เป็น Appliance (Spam Firewall) ก็ต้องอาศัยฐานข้อมูล Spam ที่เกิดขึ้นทั่วโลก

1.4 ระบบกรองเว็บที่ไม่เหมาะสม ทั้งที่เป็น software และ Appliance ก็ต้องอาศัยฐานข้อมูล

1.5 ระบบประเมินความเสี่ยงเครือข่าย ที่เรียกสั้นว่า VA (Vulnerability Assessement) ยิ่งจำเป็นต้องมี ฐานข้อมูลในการประเมินความเสี่ยง การ Scan หาช่องโหว่ที่เกิดขึ้น และ Bug ใหม่ๆ ที่ค้นพบ เพื่อทำการตรวจสอบว่าระบบนั้นมีช่องโหว่ และควรป้องกันเช่นไร

ผู้เขียนตั้งข้อสังเกตว่า ในอนาคตจะเกิดบริษัทในเชิงวิจัยและพัฒนา signature เพื่อขายฐานข้อมูลให้กับผู้ผลิตภัณฑ์ด้านความปลอดภัยจำนวนมากขึ้น รวมทั้งจะมีผู้ผลิตรายใหม่เกี่ยวกับโซลูชั่นทางด้านระบบป้องกันภัยข้อมูลทั้งที่เป็น software และ Hardware มีจำนวนเพิ่มขึ้นอย่างมากด้วย

2. Anti-Malicious Web

ระบบป้องกันเว็บที่ฝัง code ไม่เหมาะสม เป็นการบุกรุกเข้าเครื่องผู้ใช้งาน โดยอาศัยช่องโหว่ของ Application ในการท่องเว็บไซด์ นั้นคือบราวเซอร์ที่เราใช้นั้นเอง เช่น Internet Explorer (IE) , Firefox , Opera เป็นต้น ในตลอดทั้งปี 2005 ที่ผ่านเราจะได้รับข่าวที่เกิดจากช่องโหว่ของ บราวเซอร์ จำนวนมาก เช่น ล่าสุดมีข่าว Bug IE ที่ สามารถอ่านข่าวนี้ได้ http://infosec.sran.org ณ ขณะที่ได้เขียนบทความนี้ ก็ยังเป็น 0 day นั้นคือยังไม่มี patch ที่รักษาจาก Microsoft ผู้ใช้ IE มีความเสี่ยงที่เกิดขึ้นจากการท่องอินเตอร์เน็ท โดยการเปิด web ที่ไม่เหมาะสม จะรันโปรแกรมเข้าเครื่องและได้มีสิทธิที่เข้าถึงระบบปฏิบัติการเครื่องนั้นได้โดยทันที ทั้งนี้ระบบป้องกันทางเครือข่ายไม่สามารถป้องกันได้หากไม่มีการ update รูปแบบการบุกรุกในฐานข้อมูล เนื่องจากการติดต่อดังกล่าวผ่านที่ port 80 และเป็นการใช้งานที่ปกติ แต่ในความปกติ มี code ที่สามารถเข้าถึงเครื่องได้โดยอาศัยช่องโหว่ของ application บราวเซอร์ จึงเป็นการยากที่จะตรวจจับ

รูปแบบการโจมตีชนิดนี้จะผูกพันไปกับเทคนิค หลายอย่างเข้าด้วยกัน

ตัวอย่างการผสมผสานรูปแบบการโจมตีเข้าด้วยกัน

เริ่มจาก Spam ที่เข้าสู่ E-mail ในเนื้อหา Spam นั้น หลอกคน ( social engineering ) ไปที่เว็บไซด์แห่งหนึ่ง โดยเทคนิคใช้เทคนิค Phishing หรือ Pharming เมื่อติดกับดัก ก็จะเข้าไปเว็บไซด์กลลวง โดยไซด์ดังกล่าวไม่เพียงแค่หลอก แต่ยังใส่ code เพื่อเข้าถึงระบบปฏิบัติการเครื่องที่เป็นเหยื่อด้วย เพื่อต้องการสร้าง zombie นั้นคือเมื่อเข้าถึงระบบแล้วจะรัน bot ในเครื่องที่เป็นเหยื่อ เพื่อไปเข้าใน Dark site ที่เป็น IRC server หรือรูปแบบการติดต่ออื่น จากนั้นกลุ่มอิทธิพลเครือข่าย (Mafia Net) ก็จะกำหนด zombie เหล่านี้ให้โจมตี เครือข่ายใดๆ ที่ต้องการได้ หากจำนวน zombie เยอะขึ้น เรียกว่า botnet ใช้การโจมตีชนิด Distributed Denial of Service (DDoS) กับเว็บไซด์ หรือระบบเครือข่ายที่ถูกว่าจ้างมาเพื่อทำลายให้เสียหายต่อไป

1. Spam mail à 2 . Social Engineering à 3. Phishing or Pharming à 4. Malicious Web à 5. Zombie or 6. Backdoor à 7. Botnet à 8. DDoS

เทคโนโลยี การโจมตีแบบ DDoS ยังป้องกันลำบากถึงแม้จะมีระบบป้องกันภัยอย่างดีแล้วก็ตาม เนื่องจากการโจมตีชนิดนี้ ตั้งอยู่บนพื้นฐานการติดต่อตาม OSI layers มีช่องทางการหลีกหนี การตรวจจับได้หลายๆทาง และเมื่อมีส่งข้อมูลจำนวนมาก และเป็นระยะเวลาต่อเนื่องก็ทำให้ ระบบป้องกันเองไม่ว่าเป็น Router , Firewall และ IDS/IPS จะเสียหายได้ ก็ป้องกันภัยทาง DDoS ต้องมีการเฝ้าระวังภัยจาก ISP ก็ดีและหน่วยความปลอดภัยข้อมูลสารสนเทศในองค์กรนั้นๆอีกด้วย

3. Anti Rootkit ภัยคุกคามที่ไม่ค่อยได้รับการกล่าวถึงแต่อาจกล่าวได้ว่ายากแก่การตรวจจับ นั้นคือ ภัยจาก Rootkit ในปี 2005 มีข่าวสำคัญที่จะมองข้ามเรื่องนี้ไม่ได้ นั้นคือ มีการตรวจพบ Rootkit ใน แผ่น CD ของค่าย Sony ผู้ค้นพบ Rootkit ตัวนี้คือเจ้าของเว็บ Sysinternals สามารถอ่านได้ที่

http://www.sysinternals.com/blog/ 2005/11/ more-on-sony-dangerous-decloaking.html

ในปี 2006 นอกจากมีระบบ Anti-virus, Anti-spyware และ anti-spam แล้วจะต้องมีเครื่องมือที่ช่วยหา rootkit อีกอย่าง ภัยของ rootkit น่าสนใจ และสามารถยกเป็นประเด็นที่น่าศึกษาต่อไป นั้นคือเรื่องความเป็นส่วนตัวของผู้บริโภคสื่อ ซึ่งผู้เขียนเองอยากจำแนกภัยอันเกิดจากการโจมตีโดย rootkit ว่ามีได้ทางใดบ้างโดยอาจสรุปเป็นกรณีศึกษาได้ดังนี้

3.1 ภัย Rootkit จากผู้พัฒนา software เกิดขึ้นได้ 2 มุม มุมแรกเป็นเรื่องป้องกันการละเมิดลิขสิทธิ์ เป็นส่วนหนึ่งของ DRM (Digital Right Management) http://en.wikipedia.org/wiki/Digital_rights_management ในเมื่อป้องกันลำบากจึงต้องเขียนโปรแกรมเพื่อทำลาย สำหรับคนที่ต้องการลักลอบและ Copy ข้อมูล เมื่อมีการละเมิด เพื่อทำการ Copy จะถูก Rootkit ที่ฝั่งใน software นั้นทำงานขึ้นมาทันที

อีกมุม เป็นการพัฒนาซอฟแวร์ขึ้นเพื่อมุ่งหวัง สร้างทางลัดให้กับผู้พัฒนาซอฟแวร์นั้นการติดตามผลประดิษฐ์ ของตน มุมนี้น่ากลัว เพราะเป็นการยากที่จะรู้ว่า โปรแกรมเมอร์ที่เราให้มาเขียนระบบต่างๆ ที่เกิดขึ้นจะมีการฝั่ง rootkit หรือ backdoor กับ ซอฟแวร์ที่พัฒนาหรือไม่ หากไม่มีนโยบาย และกระบวนการควบคุมการเขียนโปรแกรม ก็อาจจะทำให้เกิดมี backdoor ฝั่งอยู่ในโปรแกรมที่เราใช้อยู่ก็เป็นได้

3.2 ภัย Rootkit จากนักโจมตีระบบ นักโจมตีระบบ หรือที่เรียกว่า (Hackers) ทั้ง มักหยอด โปรแกรมที่ไม่พึ่งประสงค์ เช่น sniffer , backdoor ต่างๆ เพื่อหวังผลคืบคลานไปสู่ระบบอื่น ต่อไป ทั้งนี้ต้องใช้ Rootkit ฝั่งระบบเพื่อ ป้องกันไม่ให้ ผู้ดูแลระบบเกิดความสงสัยว่าเครื่องตน โดน Hack เสียแล้ว วิธีการป้องกัน ต้องมีเทคโนโลยีในการตรวจ integrity ใน file ที่สำคัญ เป็นต้น ดังนั้นระบบ Host Base Integrity จึงมีความสำคัญในอนาคตอย่างยิ่ง

4. Insider Attack Detection

เป็นที่ปฏิเสธไม่ได้ว่า มีผู้คนจำนวนมากที่ทำงานในองค์กรที่ใหญ่ เช่น ธนาคาร , ผู้ให้บริการสื่อสาร , เงินทุนหลักทรัพย์ และอื่นๆ จำนวนพนักงานเหล่านี้หากมีความรู้ด้านคอมพิวเตอร์ที่ดี และเกิดมีช่องโหว่ในขั้นตอนการควบคุมภายในองค์กร ก็ย่อมมีการบุกรุกและขโมยข้อมูลภายในองค์กรได้ ในงานตรวจจับผู้กระทำผิด อาชญากรรมคอมพิวเตอร์ พบว่าส่วนใหญ่การขโมยข้อมูลเกิดจากพนักงานภายในองค์กร ยิ่งสื่อการสอนและหนังสือจำนวนมากที่เปิดเผยวิธีการเข้าถึงระบบ ก็จะมีผู้คนจำนวนไม่น้อยที่ศึกษาและนำมาลองใช้ภายในองค์กรที่ตนเองทำงานอยู่ รวมถึงการใช้งานบนทรัพยากรในบริษัทที่ผิดวัตถุประสงค์ เช่น การใช้เครื่องในบริษัท เล่น P2P (Peer to Peer) คือการติดต่อโดยตรงกับเครื่องที่ทำการแชร์ข้อมูล , files ต่างๆที่ต้องการ เป็นการ สิ้นเปลือง Bandwidth เครือข่ายขององค์กร

การตรวจจับผู้กระทำผิดภัยในองค์กรได้นั้น ต้องมีทั้งเทคโนโลยีตรวจจับผู้บุกรุกเช่น HIDS (Host Base Intrusion Detection) และ NIDS (Network Base Intrusion Detection) เข้ามาใช้ภายในองค์กรโดยว่างตามโซนระบบเครือข่ายและเครื่อง PC พนักงานเอง เปรียบเสมือนกล้องวงจรปิดที่ติดตามอาคารนั้นเอง ทั้งนี้ต้องอาศัยนโยบายด้านความปลอดภัยที่ดี ที่ควบคุมการใช้งานของพนักงานได้ และจิตสำนึกของพนักงานด้วยถึงสามารถป้องกันภัยคุกคามชนิดนี้ได้

5. Digital Identity การระบุภัยคุกคามที่เกิดขึ้น และตรวจได้ว่ามาจากที่ใด ทำเมื่อไหร่ และทำสิ่งใด แบ่งได้ดังนี้

5.1 ระบบการเข้าใช้งาน Authentication บน Network , Wireless LAN และ การใช้งานคอมพิวเตอร์ในองค์กรเพื่อทำการ login สู่ระบบ ต้องมีการระบุตัวตน เช่นกัน

5.2 DRM (Digital Right Management) การสามารถตรวจหาการ Copy และลบ file ที่เป็นเอกสารสำคัญ ภายในองค์กร และเรื่องลิขสิทธิ์ ซอฟแวร์ เพลง หนัง และอื่นๆ ซึ่งเป็นเรื่องอ่อนไหว ต่อความมั่นคง ด้านข้อมูล เนื่องจากบ้างข้อมูลในบริษัทอาจมีค่าเกินที่ประมาณเป็นราคาได้

5.3 การระบุภัยคุกคามที่เกิดขึ้นบนระบบเครือข่าย (Network Security Identity) เป็นการระบุตำแหน่ง และชนิดการบุกรุก ไม่ว่าเป็นการโจมตีบนระบบปฏิบัติการ , การพยายมที่เข้าถึงระบบโดยการเดา password , การแพร่ระบบ Virus/worm ในเครือข่าย เป็นต้น สามารถอ่านเพิ่มเติมได้ที่ http://www.sran.org/index_html/NetworkIDs

6. Human Firewall

เมื่อมีการใช้ข้อมูลมากขึ้น มีผู้คนที่เชื่อมต่ออินเตอร์เน็ทจนกลายเป็นส่วนหนึ่งของการใช้ชีวิต สิ่งที่จำเป็นอย่างมากนั้นคือการสร้างความตะหนักในการใช้ข้อมูลสารสนเทศ Human Firewall การสร้างภูมิต้านทานภัยคุกคามที่เกิดจากการใช้ระบบสารสนเทศ ประกอบด้วย

6.1 การเข้าใจถึงภัยคุกคาม ในการใช้งานระบบสารสนเทศ

6.2 การป้องกันตัวเบื้องต้นเมื่อเกิดปัญหากับการบุกรุกบนระบบสารสนเทศ และการเลือกใช้สื่ออินเตอร์เน็ท อย่างปลอดภัย เพื่อหลีกเลี่ยงภัยคุกคามที่อาจจะเกิดขึ้นกับตนเอง

6.3 การมีจิตสำนึกที่ใช้ สื่อสารสนเทศอย่างถูกต้องและมีจริยธรรม

หลายองค์กรที่ลงทุนด้านเทคโนโลยีด้านความปลอดภัยไปแล้วต้องใช้ คนในองค์กรควบคุมเทคโนโลยี บน กรอบนโยบายด้านความปลอดภัยข้อมูลที่กำหนดขึ้น ถึงจะเกิดประโยชน์สูงสุดสำหรับองค์กรและการคุ้มค่าการลงทุนเทคโนโลยีให้ได้มากที่สุด

7. Standard Compliance : Centralized Data Management

คือการนำข้อมูลด้านเทคโนโลยีความปลอดภัยมารวมศูนย์ (Centralized Data Management) เพื่อเป็นส่วนหนึ่งในการจัดการข้อมูลเพื่อเปรียบเทียบตามกรอบและนโยบายด้านความปลอดภัยอย่างเป็นระบบและตามมาตรฐาน โดยทั่วไประบบรวมศูนย์ข้อมูลทางความปลอดภัยจะประกอบด้วยการรวม log ที่เกิดจาก Firewall , Router , IDS/IPS , Anti-virus/Spam/Spyware/ Phishing และ VA เป็นต้น มาทำการประมวลผลหาค่าความเสี่ยง และออกรายงานผลให้ผู้บริหารระบบเครือข่าย ให้ได้รับความสะดวก ทั้งหมดนี้เรียกเทคโนโลยีนี้ว่า SIM (Security Information Management) แต่ในปี 2006 องค์กรทั่วไปโดยเฉพาะในภาคธนาคารและการเงิน รวมถึงหน่วยงานหรือองค์กรขนาดใหญ่ จะเริ่มให้ความสำคัญของการจัดเตรียมองค์กรเพื่อให้ผ่านมาตรฐานสากล โดย แต่ละองค์กรที่ต้องการได้รับการรับรองมาตรฐานสากล ไม่เพียงแต่ จะต้องรวบรวม Log จาก SIM เท่านั้น แต่จะต้องรวมถึง log ที่เกิดขึ้นจากการ Infrastructure และ Application อื่นๆอีก อาทิเช่น Log จาก Operating System , Database , Web/App Server/ File Server/Third party หรือแม้กระทั่ง Log จากระบบ ERP/Financial/HR/Patient Management แล้วทำการรวบรวมและออกรายงานผล จากนั้นทำการ Compliance ให้ตรงกับมาตรฐาน ISO17799 , FFIEC, HIPAA, SOX และอื่นๆเป็นต้น ยกตัวอย่าง โรงพยาบาล ต้องมีการ Compliance ตาม HIPAA Framework เพื่อรักษาความลับข้อมูลคนไข้ ระบบ Centralized Data Management ก็จัดการรวบรวม log ด้านการรักษาความปลอดภัย มาเพื่อทำการ Compliance ให้ตรงกับมาตรฐาน HIPAA และออกรายงานว่าไม่เป็นตามข้อกำหนดในด้านใดบ้าง ซึ่งเทคโนโลยีนี้ ทำให้สะดวกแทนที่จะจ้างที่ปรึกษามานั่งเขียนนโยบายด้านความปลอดภัย และกำหนดกระบวนการปฏิบัติ ซึ่งค่อนข้างสิ้นเปลืองเวลาและบุคลากร และที่สำคัญคือต้องจ้างคนระดับมืออาชีพและประสบการณ์สูงในสาขานี้มา ซึ่งเป็นเรื่องลำบากและซับซ้อน เสียเวลาในการปฏิบัติงานค่อนข้างมาก

ทั้ง 7 เทคโนโลยี ที่กล่าวมา เป็นแนวโน้ม อีกก้าวหนึ่งของการรักษาความปลอดภัยระบบข้อมูลสารสนเทศ ที่เราจะพบเจอในปี 2006 ที่ใกล้จะถึงนี้

27 / 11 / 48

นนทวรรธนะ สาระมาน
Nontawattana Saraman

ลงในหนังสือ Micro Computer ประจำเดือน มกราคม 2549

การสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท เชิงทฤษฎี

การสร้างความเข้าใจถึงการสร้างศูนย์เตือนภัยทางระบบเครือข่าย มาเป็นระยะหนึ่ง โดยออกบทความนี้ทั้งในรูปแบบเชิงผลิตภัณฑ์ SRAN System ที่เคยลงในนิตยสาร มาเป็นเวลาหนึ่ง ผู้เขียนต้องการให้ตะหนักถึงภัยคุกคามบนระบบอินเตอร์เน็ท มาโดยตลอด และมั่นใจว่าสิ่งหนึ่งที่จะช่วยให้ระบบเครือข่ายเราปลอดภัยได้ เราจำเป็นต้องมีศูนย์เตือนภัยทางอินเตอร์เน็ต ที่สร้างขึ้นเองได้ภายในหน่วยงาน หรือสร้างเป็นงานบริการระดับ ISP ดังนั้นบทความต่อไปนี้ จะเสนอในเชิงทฤษฎีเพื่อให้ทราบถึงขั้นตอนการสร้างศูนย์เตือนภัย และวิธีการนำไปใช้อย่างถูกต้องต่อไป

รูป The Heart of The Network ของ Military Information Technology , USA

เป้าหมายในการสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท

1. เพื่อเฝ้าระวังสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่าย

2. เพื่อแก้ไขสถานการณ์ เพื่อลดความเสี่ยงที่เกิดจากการบุกรุกบนระบบเครือข่ายได้อย่างทันเหตุการณ์

3. เป็นการเก็บสถิติเหตุการณ์ต่างๆ ที่เกิดขึ้นบนระบบเครือข่าย เพื่อทำรายงานผลประจำ วัน/เดือน/ปี

4. เพื่อสร้างความแข็งแรงและปรับปรุง ให้กับระบบเครือข่ายอยู่อย่างสม่ำเสมอ

5. ควบคุมและจัดการด้านการรักษาความปลอดภัยเครือข่าย ได้อย่างเป็นระบบ

ส่วนประกอบของศูนย์เตือนภัยทางอินเตอร์เน็ท

1. ออกแบบศูนย์เตือนภัยทางอินเตอร์เน็ท (Design Security Operation Center)

1.1 อุปกรณ์ที่เพื่อจัดการข้อมูลบนศูนย์เตือนภัย

ประกอบด้วย

ระบบที่ใช้ในการตรวจและรวบรวม log ที่เกิดขึ้นบนระบบเครือข่าย ที่เรียกว่า SIM

1.2 ผู้ปฏิบัติงาน ในศูนย์เตือนภัย ประกอบด้วย 4 หน้าที่คือ

– นักเฝ้าระวังเครือข่าย (Network Security Monitoring Operation) ตำแหน่ง วิศวะกร เพื่อดูแลความเป็นระเบียบเรียบร้อยในระบบเครือข่าย มีหน้าที่ประจำ ประเมินความเสี่ยงระบบเครือข่าย (Security Assessment) , ออกผลรายงานประจำวัน ทั้งผลการประเมินความเสี่ยง และผลการเฝ้าตรวจตาความปกติระบบเครือข่าย รวมถึงการแจ้งเตือนเมื่อมีเหตุฉุกเฉิน จำนวนผู้ปฏิบัติงาน 6 คน เวลาในการปฏิบัติงาน เช้า 8 ชั่วโมง กลางวัน 8 ชั่วโมง กลางคืนอีก 8 ชั่วโมง 24×7 ชั่วโมง

– นักวิเคราะห์ความผิดปกติระบบเครือข่าย (Network Forensics Analysis Packets) ตำแหน่ง ผู้เชี่ยวชาญในการวิเคราะห์หาความผิดปกติระบบเครือข่าย รับหน้าที่ต่อจากวิศวะกร เมื่อเกิดเหตุการณ์สงสัยว่าจะเป็นภัยต่อระบบเครือข่าย จำนวนผู้ปฏิบัติงาน 2 คนอย่างน้อย จำเป็นต้องมีประสบการณ์ในงานด้านความปลอดภัยไม่น้อยกว่า 3 ปี

– นักกู้ระบบฉุกเฉินเมื่อเกิดเหตุผิดปกติบนระบบเครือข่าย (Incident Response Team) ตำแหน่ง ทีมกู้ระบบฉุกเฉิน หน้าที่ประจำคือ onsite เพื่อทำการแก้ไขปัญหาฉุกเฉินเมื่อ นักวิเคราะห์ความผิดปกติระบบเครือข่ายได้แจ้งมา จำนวนผู้ปฏิบัติ 2 คนอย่างน้อย

– ผู้บัญชาการศูนย์เตือนภัยทางอินเตอร์เน็ต (Head Security Operation Services) หน้าที่ประจำ เป็นผู้ดูแลศูนย์ รับผิดชอบ และออกคำสั่งในการปฏิบัติงานโดยดู SLA (Services Level Agreement) ที่กำหนดในการให้บริการ จำเป็นต้องเป็นผู้ที่มีประสบการณ์งานระบบเครือข่าย เป็นอย่างน้อย 7-8 ปี และมีประสบการณ์ด้านความปลอดภัยเครือข่ายเป็นอย่างดี

1.3 วิธีการปฏิบัติงาน

– เรียนรู้และเข้าใจถึงอุปกรณ์ในการใช้งานบนศูนย์เตือนภัยทางอินเตอร์เน็ท

– เรียนรู้ขั้นตอนการทำงานจากผู้บังคับบัญชา เพื่อกำหนด บทบาทและหน้าที่การปฏิบัติงาน

– ประชุมสรุปถึงปัญหาที่เกิดขึ้น เป็นระยะๆ

– ดูแลและบำรุงรักษาอุปกรณ์ที่ใช้เฝ้าระวังภัยทางอินเตอร์เน็ท

2. การจัดหาอุปกรณ์เพื่อจัดการในศูนย์เตือนภัย

จุดที่ควรพิจารณา แบ่งเป็น 3 ส่วนคือ

2.1 อุปกรณ์บนระบบเครือข่าย

– ส่วนที่เป็นชายแดน ของระบบเครือข่าย : เมื่อนับจากการให้สัญญาณอินเตอร์เน็ทเข้าสู่ระบบเครือข่ายของเรา

อุปกรณ์ที่พิจารณา คือ อุปกรณ์ Router

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ที่เกิดจากอุปกรณ์ Router

– ส่วนที่เป็นการควบคุมทางออกทางเข้าของระบบเครือข่าย (Network Gateway) : คืออุปกรณ์ที่ใช้เป็นตัวกลางในการแบ่งโซนระบบเครือข่าย และทำตัวเป็นตัวกลางในการเชื่อมโยงระบบเครือข่าย

อุปกรณ์ที่พิจารณาคือ Firewall หรือ Proxy

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log Firewll หรือ Proxy

– ส่วนที่เป็นระบบตรวจจับผู้บุกรุก (Intrusion Detection System) : คือ อุปกรณ์ที่ใช้ในการตรวจจับสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่าย

อุปกรณ์ที่พิจารณาคือ NIDS sensor (Network Intrusion Detection System sensor) / NIPS (Network Intrusion Prevention System)

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log NIDS หรือ NIPS

2.2 บนเครื่องแม่ข่าย

– ส่วนที่เครื่องแม่ข่าย

อุปกรณ์ที่พิจารณาคือ Web Server , Mail Server , Data Base Server เป็นต้น

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ทั้งหมดที่เกิดขึ้นบนเครื่องแม่ข่าย

– ส่วนที่เป็นเครื่องป้องกันภัยที่เป็นคอมพิวเตอร์แม่ข่าย

อุปกรณ์ที่พิจารณา คือ Anti-virus Server , Domain Controller Server และ PC Management เป็นต้น

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ทั้งหมดที่เกิดขึ้นบนเครื่ืองแม่ข่าย

– เครื่องแม่ข่ายที่ใช้สำหรับประเมินความเสี่ยง (Vulnerability Server Scan)

อุปกรณ์ที่พิจารณา คือ โปรแกรมที่ใช้ทำการประเมินความเสี่ยงระบบ

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ ผลรายงานการประเมินความเสี่ยงระบบเครื่องแม่ข่าย/ ลูกข่าย

2.3 บนเครื่องลูกข่าย

– ส่วนที่เป็นเครื่องลูกข่าย

อุปกรณ์ที่พิจารณา คือ HIDS (Host Base Intrusion Detection System)

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ที่เกิดขึ้นบน HIDS และเครื่องลูกข่าย

การ นำ log ของอุปกรณ์เครือข่าย , เครื่องแม่ข่าย และ เครื่องลูกข่าย มาทำการวิเคราะห์หาสิ่งผิดปกติที่เกิดขึ้นบนระบบทั้งหมด ที่เกิดขึ้นจากการใช้งานข้อมูลสารสนเทศ มีศัพท์เรียกว่า SIM (Security Information Management)

เรียกง่ายๆว่า SIM จึงเป็นอุปกรณ์ที่สร้างมาเพื่อวิเคราะห์ log ที่เกิดขึ้นบนระบบเครือข่าย โดยจุดประสงค์เพื่อให้ผู้ดูแลระบบสามารถที่จัดการรายงานผลที่เกิดขึ้นได้จาก จุดศูนย์กลาง

SIM จะจัดการรวบรวมข้อมูล ที่เป็นการโจมตีที่รู้จัก และ ไม่รู้จัก (Centralization) โดยคำนึงถึงการซ้ำกันของข้อมูล รวมเป็นข้อมูลเดียว( Normalization) และทำการแยกแยะข้อมูล (aggregation) โดยมีค่าที่กำหนดไว้ให้เป็นชนิดใดและมีความเสี่ยงเท่าใด (Correlation)

ลำดับเหตุการณ์การทำงานของ SIM = Centralization log => Normalization => Aggregation => Correlation

รูปจาก OSSIM

3. วิธีการแก้ปัญหาบริการเฝ้าระวังและจัดการบนศูนย์เตือนภัยทางอินเตอร์เน็ท

ระบบ ความปลอดภัยทางอินเตอร์เน็ทที่จัดให้คุณจะมีบริการเฝ้าระวัง และการจัดการ สำหรับระบบเครือข่ายและผู้ให้บริการ ออกแบบโดยเฉพาะสำหรับป้องกันองค์กรจากการโจมตีจากภายในและภายนอกระบบเครือ ข่ายของเขา ที่เป็นส่วนแก้ปัญหาความเสียหายที่เกิดขึ้นในองค์กร บริการที่จัดให้ครอบคลุม 24/7 ผู้เชี่ยวชาญการเฝ้าระวัง การจัดการ และการวิเคราะห์ระบบ ตามเหตุการณ์โต้ตอบปัจจุบัน และการเพิ่มของกิจกรรมที่ไม่เหมาะสมที่อาจเกิดขึ้นทำให้บริษัทมีความเสี่ยง ในการเพิ่มบริการเฝ้าระวังและการแจ้งเตือนที่ศูนย์เตือนภัย รวมถึงการเข้าถึงความชำนาญด้านความปลอดภัยที่ทำได้ ช่วยให้ฟื้นฟูระบบและ ทำให้ความเสี่ยงลดลงอย่างได้ผล

ลักษณะของบริการเฝ้าระวังและจัดการศูนย์เตือนภัยทางอินเตอร์เน็ท

ระบบ ความปลอดภัยทางอินเตอร์เน็ท บริการจัดการ IDS สำหรับระบบเครือข่ายและผู้ให้บริการ ครอบคลุมการแก้ปัญหา ออกแบบการบำรุงรักษา และทำให้องค์กรของคุณและสภาพแวดล้อมปลอดภัย ประกอบด้วย

• คืนงบประมาณ การประกันจากบุกรุก โดยใช้พื้นฐาน SLAs (Service Level Agreement)

จัด รับประกันเวลาตอบกลับและการโต้ตอบสำหรับเหตุการณ์ความปลอดภัย พบเป้าหมายขององค์กรหรือบริการฟรี เหล่านี้เป็นการปรับปรุง SLAs การตลาดที่แตกต่างและทำให้แน่ใจทันที การแสดงและการแจ้งเมื่อมีเหตุการณ์ตรวจจับความปลอดภัยตามความเหมาะสม สำหรับการแสดงตัวบุคคลและการโต้ตอบ การบำรุงรักษาความปลอดภัยที่มีประสิทธิภาพ

• การดูแลรักษาความปลอดภัยเครือข่าย

ซึ่ง มีประสิทธิภาพและราคาที่มีประสิทธิผล กระบวนการที่พร้อมสำหรับ patch ที่ปลอดภัย ซึ่งเป็นเรื่องที่กว้างในระบบเครือข่าย โดยเข้าควบคุมสถานการณ์ ระบุชื่อความอ่อนแอและแจ้งเตือน สามารถอัพเดทโดยอัตโนมัติ ประยุกต์นโยบายการป้องกันความอ่อนแอของระบบก่อนการโจมตี ดังนั้น Virtual Patch รวมการตรวจจับความอ่อนแอ เป็นการป้องกันที่ดีที่สุด เทคโนโลยีการแก้ปัญหาและทำการติดตั้งด้วยราคาที่คุ้มค่า ควบคุมกระบวนการที่เกิดขึ้นในระบบเครือข่ายตลอดเวลา

นนทวรรธนะ สาระมาน
Nontawattana Saraman

25/10/48

Go to SOC

การสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท เชิงทฤษฎี

SRAN Community ต้องการสร้างความเข้าใจถึงการสร้างศูนย์เตือนภัยทางระบบเครือข่าย มาเป็นระยะหนึ่ง โดยออกบทความนี้ทั้งในรูปแบบเชิงผลิตภัณฑ์ SRAN System ที่เคยลงในนิตยสาร มาเป็นเวลาหนึ่ง ผู้เขียนต้องการให้ตะหนักถึงภัยคุกคามบนระบบอินเตอร์เน็ท มาโดยตลอด และมั่นใจว่าสิ่งหนึ่งที่จะช่วยให้ระบบเครือข่ายเราปลอดภัยได้ เราจำเป็นต้องมีศูนย์เตือนภัยทางอินเตอร์เน็ต ที่สร้างขึ้นเองได้ภายในหน่วยงาน หรือสร้างเป็นงานบริการระดับ ISP ดังนั้นบทความต่อไปนี้ จะเสนอในเชิงทฤษฎีเพื่อให้ทราบถึงขั้นตอนการสร้างศูนย์เตือนภัย และวิธีการนำไปใช้อย่างถูกต้องต่อไป

รูป The Heart of The Network ของ Military Information Technology , USA

เป้าหมายในการสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท

1. เพื่อเฝ้าระวังสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่าย

2. เพื่อแก้ไขสถานการณ์ เพื่อลดความเสี่ยงที่เกิดจากการบุกรุกบนระบบเครือข่ายได้อย่างทันเหตุการณ์

3. เป็นการเก็บสถิติเหตุการณ์ต่างๆ ที่เกิดขึ้นบนระบบเครือข่าย เพื่อทำรายงานผลประจำ วัน/เดือน/ปี

4. เพื่อสร้างความแข็งแรงและปรับปรุง ให้กับระบบเครือข่ายอยู่อย่างสม่ำเสมอ

5. ควบคุมและจัดการด้านการรักษาความปลอดภัยเครือข่าย ได้อย่างเป็นระบบ

ส่วนประกอบของศูนย์เตือนภัยทางอินเตอร์เน็ท

1. ออกแบบศูนย์เตือนภัยทางอินเตอร์เน็ท (Design Security Operation Center)

1.1 อุปกรณ์ที่เพื่อจัดการข้อมูลบนศูนย์เตือนภัย

ประกอบด้วย

ระบบที่ใช้ในการตรวจและรวบรวม log ที่เกิดขึ้นบนระบบเครือข่าย ที่เรียกว่า SIM

1.2 ผู้ปฏิบัติงาน ในศูนย์เตือนภัย ประกอบด้วย 4 หน้าที่คือ

– นักเฝ้าระวังเครือข่าย (Network Security Monitoring Operation) ตำแหน่ง วิศวะกร เพื่อดูแลความเป็นระเบียบเรียบร้อยในระบบเครือข่าย มีหน้าที่ประจำ ประเมินความเสี่ยงระบบเครือข่าย (Security Assessment) , ออกผลรายงานประจำวัน ทั้งผลการประเมินความเสี่ยง และผลการเฝ้าตรวจตาความปกติระบบเครือข่าย รวมถึงการแจ้งเตือนเมื่อมีเหตุฉุกเฉิน จำนวนผู้ปฏิบัติงาน 6 คน เวลาในการปฏิบัติงาน เช้า 8 ชั่วโมง กลางวัน 8 ชั่วโมง กลางคืนอีก 8 ชั่วโมง 24×7 ชั่วโมง

– นักวิเคราะห์ความผิดปกติระบบเครือข่าย (Network Forensics Analysis Packets) ตำแหน่ง ผู้เชี่ยวชาญในการวิเคราะห์หาความผิดปกติระบบเครือข่าย รับหน้าที่ต่อจากวิศวะกร เมื่อเกิดเหตุการณ์สงสัยว่าจะเป็นภัยต่อระบบเครือข่าย จำนวนผู้ปฏิบัติงาน 2 คนอย่างน้อย จำเป็นต้องมีประสบการณ์ในงานด้านความปลอดภัยไม่น้อยกว่า 3 ปี

– นักกู้ระบบฉุกเฉินเมื่อเกิดเหตุผิดปกติบนระบบเครือข่าย (Incident Response Team) ตำแหน่ง ทีมกู้ระบบฉุกเฉิน หน้าที่ประจำคือ onsite เพื่อทำการแก้ไขปัญหาฉุกเฉินเมื่อ นักวิเคราะห์ความผิดปกติระบบเครือข่ายได้แจ้งมา จำนวนผู้ปฏิบัติ 2 คนอย่างน้อย

– ผู้บัญชาการศูนย์เตือนภัยทางอินเตอร์เน็ต (Head Security Operation Services) หน้าที่ประจำ เป็นผู้ดูแลศูนย์ รับผิดชอบ และออกคำสั่งในการปฏิบัติงานโดยดู SLA (Services Level Agreement) ที่กำหนดในการให้บริการ จำเป็นต้องเป็นผู้ที่มีประสบการณ์งานระบบเครือข่าย เป็นอย่างน้อย 7-8 ปี และมีประสบการณ์ด้านความปลอดภัยเครือข่ายเป็นอย่างดี

1.3 วิธีการปฏิบัติงาน

– เรียนรู้และเข้าใจถึงอุปกรณ์ในการใช้งานบนศูนย์เตือนภัยทางอินเตอร์เน็ท

– เรียนรู้ขั้นตอนการทำงานจากผู้บังคับบัญชา เพื่อกำหนด บทบาทและหน้าที่การปฏิบัติงาน

– ประชุมสรุปถึงปัญหาที่เกิดขึ้น เป็นระยะๆ

– ดูแลและบำรุงรักษาอุปกรณ์ที่ใช้เฝ้าระวังภัยทางอินเตอร์เน็ท

2. การจัดหาอุปกรณ์เพื่อจัดการในศูนย์เตือนภัย

จุดที่ควรพิจารณา แบ่งเป็น 3 ส่วนคือ

2.1 อุปกรณ์บนระบบเครือข่าย

– ส่วนที่เป็นชายแดน ของระบบเครือข่าย : เมื่อนับจากการให้สัญญาณอินเตอร์เน็ทเข้าสู่ระบบเครือข่ายของเรา

อุปกรณ์ที่พิจารณา คือ อุปกรณ์ Router

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ที่เกิดจากอุปกรณ์ Router

– ส่วนที่เป็นการควบคุมทางออกทางเข้าของระบบเครือข่าย (Network Gateway) : คืออุปกรณ์ที่ใช้เป็นตัวกลางในการแบ่งโซนระบบเครือข่าย และทำตัวเป็นตัวกลางในการเชื่อมโยงระบบเครือข่าย

อุปกรณ์ที่พิจารณาคือ Firewall หรือ Proxy

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log Firewll หรือ Proxy

– ส่วนที่เป็นระบบตรวจจับผู้บุกรุก (Intrusion Detection System) : คือ อุปกรณ์ที่ใช้ในการตรวจจับสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่าย

อุปกรณ์ที่พิจารณาคือ NIDS sensor (Network Intrusion Detection System sensor) / NIPS (Network Intrusion Prevention System)

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log NIDS หรือ NIPS

2.2 บนเครื่องแม่ข่าย

– ส่วนที่เครื่องแม่ข่าย

อุปกรณ์ที่พิจารณาคือ Web Server , Mail Server , Data Base Server เป็นต้น

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ทั้งหมดที่เกิดขึ้นบนเครื่องแม่ข่าย

– ส่วนที่เป็นเครื่องป้องกันภัยที่เป็นคอมพิวเตอร์แม่ข่าย

อุปกรณ์ที่พิจารณา คือ Anti-virus Server , Domain Controller Server และ PC Management เป็นต้น

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ทั้งหมดที่เกิดขึ้นบนเครื่ืองแม่ข่าย

– เครื่องแม่ข่ายที่ใช้สำหรับประเมินความเสี่ยง (Vulnerability Server Scan)

อุปกรณ์ที่พิจารณา คือ โปรแกรมที่ใช้ทำการประเมินความเสี่ยงระบบ

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ ผลรายงานการประเมินความเสี่ยงระบบเครื่องแม่ข่าย/ ลูกข่าย

2.3 บนเครื่องลูกข่าย

– ส่วนที่เป็นเครื่องลูกข่าย

อุปกรณ์ที่พิจารณา คือ HIDS (Host Base Intrusion Detection System)

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ที่เกิดขึ้นบน HIDS และเครื่องลูกข่าย

การนำ log ของอุปกรณ์เครือข่าย , เครื่องแม่ข่าย และ เครื่องลูกข่าย มาทำการวิเคราะห์หาสิ่งผิดปกติที่เกิดขึ้นบนระบบทั้งหมด ที่เกิดขึ้นจากการใช้งานข้อมูลสารสนเทศ มีศัพท์เรียกว่า SIM (Security Information Management)

เรียกง่ายๆว่า SIM จึงเป็นอุปกรณ์ที่สร้างมาเพื่อวิเคราะห์ log ที่เกิดขึ้นบนระบบเครือข่าย โดยจุดประสงค์เพื่อให้ผู้ดูแลระบบสามารถที่จัดการรายงานผลที่เกิดขึ้นได้จากจุดศูนย์กลาง

SIM จะจัดการรวบรวมข้อมูล ที่เป็นการโจมตีที่รู้จัก และ ไม่รู้จัก (Centralization) โดยคำนึงถึงการซ้ำกันของข้อมูล รวมเป็นข้อมูลเดียว( Normalization) และทำการแยกแยะข้อมูล (aggregation) โดยมีค่าที่กำหนดไว้ให้เป็นชนิดใดและมีความเสี่ยงเท่าใด (Correlation)

ลำดับเหตุการณ์การทำงานของ SIM = Centralization log => Normalization => Aggregation => Correlation

รูปจาก OSSIM

3. วิธีการแก้ปัญหาบริการเฝ้าระวังและจัดการบนศูนย์เตือนภัยทางอินเตอร์เน็ท

ระบบความปลอดภัยทางอินเตอร์เน็ทที่จัดให้คุณจะมีบริการเฝ้าระวัง และการจัดการ สำหรับระบบเครือข่ายและผู้ให้บริการ ออกแบบโดยเฉพาะสำหรับป้องกันองค์กรจากการโจมตีจากภายในและภายนอกระบบเครือข่ายของเขา ที่เป็นส่วนแก้ปัญหาความเสียหายที่เกิดขึ้นในองค์กร บริการที่จัดให้ครอบคลุม 24/7 ผู้เชี่ยวชาญการเฝ้าระวัง การจัดการ และการวิเคราะห์ระบบ ตามเหตุการณ์โต้ตอบปัจจุบัน และการเพิ่มของกิจกรรมที่ไม่เหมาะสมที่อาจเกิดขึ้นทำให้บริษัทมีความเสี่ยง ในการเพิ่มบริการเฝ้าระวังและการแจ้งเตือนที่ศูนย์เตือนภัย รวมถึงการเข้าถึงความชำนาญด้านความปลอดภัยที่ทำได้ ช่วยให้ฟื้นฟูระบบและ ทำให้ความเสี่ยงลดลงอย่างได้ผล

ลักษณะของบริการเฝ้าระวังและจัดการศูนย์เตือนภัยทางอินเตอร์เน็ท

ระบบความปลอดภัยทางอินเตอร์เน็ท บริการจัดการ IDS สำหรับระบบเครือข่ายและผู้ให้บริการ ครอบคลุมการแก้ปัญหา ออกแบบการบำรุงรักษา และทำให้องค์กรของคุณและสภาพแวดล้อมปลอดภัย ประกอบด้วย

• คืนงบประมาณ การประกันจากบุกรุก โดยใช้พื้นฐาน SLAs (Service Level Agreement)

จัดรับประกันเวลาตอบกลับและการโต้ตอบสำหรับเหตุการณ์ความปลอดภัย พบเป้าหมายขององค์กรหรือบริการฟรี เหล่านี้เป็นการปรับปรุง SLAs การตลาดที่แตกต่างและทำให้แน่ใจทันที การแสดงและการแจ้งเมื่อมีเหตุการณ์ตรวจจับความปลอดภัยตามความเหมาะสม สำหรับการแสดงตัวบุคคลและการโต้ตอบ การบำรุงรักษาความปลอดภัยที่มีประสิทธิภาพ

• การดูแลรักษาความปลอดภัยเครือข่าย

ซึ่งมีประสิทธิภาพและราคาที่มีประสิทธิผล กระบวนการที่พร้อมสำหรับ patch ที่ปลอดภัย ซึ่งเป็นเรื่องที่กว้างในระบบเครือข่าย โดยเข้าควบคุมสถานการณ์ ระบุชื่อความอ่อนแอและแจ้งเตือน สามารถอัพเดทโดยอัตโนมัติ ประยุกต์นโยบายการป้องกันความอ่อนแอของระบบก่อนการโจมตี ดังนั้น Virtual Patch รวมการตรวจจับความอ่อนแอ เป็นการป้องกันที่ดีที่สุด เทคโนโลยีการแก้ปัญหาและทำการติดตั้งด้วยราคาที่คุ้มค่า ควบคุมกระบวนการที่เกิดขึ้นในระบบเครือข่ายตลอดเวลา

นนทวรรธนะ สาระมาน
Nontawattana Saraman

on Oct 24, 2005 12:00 pm.