บรรยายภัยคุกคามสมัยใหม่ในยุคดิจิทัลให้นักศึกษา

เมื่อวันที่ 15 มีนาคม 2560 ได้มีโอกาสได้ฝึกอบรมให้กับนักศึกษา มหาวิทยาลัยศรีปทุม ในครั้งนี้ได้เปิดเผยการโจมตีของแฮกเกอร์ในการโจมตีในยุคไซเบอร์ ถือว่าเป็นภัยคุกคามสมัยใหม่ที่คนในยุคดิจิทัลต้องรู้เพื่อเท่าทันการเปลี่ยนแปลงในครั้งนี้

การระบุตัวตนนักโจมตีเว็บไซต์ด้วย RealLog – Security Orchestration

ที่มา
เกิดจากการตั้งคำถามที่ว่าเราจะรู้เท่าทันการโจมตีทางไซเบอร์ได้อย่างไร ?
“หากเราไม่มี Log files เราหมดสิทธิรู้ได้ หากเราไม่มีระบบเฝ้าระวังภัยคุกคามทางไซเบอร์เราหมดสิทธิรู้ได้แน่นอน” ดังนั้นเริ่มต้นคือต้องมี Log ก่อน
องค์กรไหนมีตัวเก็บ Log files และได้เปิดค้นหาดูย้อนหลัง หรือดูในช่วงเวลานั้น ไม่ว่าประเภท Log นั้นจะเป็น Network Log หรือ Log ที่เกิดขึ้นจาก Application ของเครื่องแม่ข่ายโดยเฉพาะเป็น Public IP หรือไอพีจริง ด้วยแล้ว จะพบว่ามีการโจมตีทางไซเบอร์เกิดขึ้นตลอดเวลา
ไม่ว่าเป็นการโจมตีประเภท Brute Force รหัสผ่านผ่านช่องทาง Protocol SSH  , การเจาะระบบผ่านโรบ็อตเพื่อเข้ายึดเครื่องแม่ข่ายผ่าน Web Application (Web Attack XSS , SQLi etc) หรือแม้กระทั่งถูกเปลี่ยนหน้าเว็บเพจ (Defacement) ซึ่งเหล่านี้เป็นเหตุการณ์ที่หลายหน่วยงานองค์กรประสบพบเจอแม้กระทั่งหนักสุดคือการโจมตีแบบ DDoS/DoS ที่เพียงชั่วพริบตาอาจทำให้ระบบหยุดชะงักตั้งแต่ต้นทางผู้ให้บริการ ISP ท่อเต็มจนไปถึงเว็บไซต์ที่เผยแพร่ข้อมูล

ในหลายหน่วยงานที่มีเครื่องไม้เครื่องพร้อมอาจจะรู้ทันและเห็นการโจมตีทางไซเบอร์ตลอดจนแก้ไขปัญหาฉุกเฉินได้อย่างทันเวลา (Incident Response) โดยส่วนใหญ่แล้วลงทุนในด้านนี้สูงหรือใช้งบประมาณหลายสิบล้านบาทถึงทำให้รู้เท่าทันภัยและการโจมตีทางไซเบอร์
แต่ยังมีอีกหลายองค์กรซึ่งเป็นส่วนใหญ่ของประเทศที่จะรู้ก็ต่อเมื่อโดนเจาะระบบไปแล้ว  โดยเฉพาะเว็บไซต์หน่วยงานอันเป็นภาพลักษณ์ขององค์กร
เพื่อตอบคำถามดังนี้
(1) เราจะรู้ทันการโจมตีทางไซเบอร์ได้อย่างไร ?
(2) เมื่อเรารู้แล้วเราพร้อมที่รับมือและแก้ไขสถานการณ์ฉุกเฉินได้อย่างไร ?
(3) หลักฐานเราจะระบุตัวตนนักโจมตีระบบด้วยวิธีไหน ?
(4) ทั้ง 3 ข้อที่กล่าวมาทั้งหมดนี้อยู่บนงบประมาณที่ประหยัดและคุ้มค่าที่สุด

เราจะทำได้อย่างไร ?  ซึ่งเป็นที่มาของ RealLog

แล้ว RealLog คืออะไร ?

RealLog เกิดขึ้นจากการพัฒนาของทีมงาน SRAN   โดยตั้งข้อสังเกตว่าเนื่องจากการป้องกันภัยคุกคามทางไซเบอร์ไม่สามารถป้องกันได้ 100%   จะดีกว่าไหม หากมีระบบที่สามารถรู้เท่าทันการโจมตีและระบุการกระทำผิดได้  โดยมีความละเอียดของข้อมูลสูงพอที่จะวิเคราะห์หรือแกะรอยหาต้นตอของผู้กระทำความผิดได้อย่างสะดวกและรวดเร็ว  รวมถึงหาวิธีการแก้ไขปัญหาและสถานการณ์ฉุกเฉินได้อย่างมีประสิทธิภาพที่สุด

“เพราะการป้องกันแฮกไม่สามารถป้องกันได้ 100%  แต่เรามีทางที่รู้ทันปัญหาและแก้ไขสถานะการณ์ที่เกิดขึ้นได้อย่างทันท่วงที ด้วย RealLog”

ในต่างประเทศเรียกระบบแบบนี้ว่า Security Orchestration คือการนำ Log files ที่มีคุณภาพที่เกิดจากการวิเคราะห์แล้วจากอุปกรณ์ SIEM (Security Information Event Management) หรือ เครื่องมืออื่นๆ อันเป็นกระบวนการกลั่นกรองข้อมูลจาก Log files ที่สมบูรณ์ โดยนำมาเทียบกับค่าดัชนีชี้วัดความเสี่ยงที่เรียกว่า IOC (Indicator of Compromise) ในการเทียบค่า Log นี้เองจะทำให้ทราบถึงการโจมตีทางไซเบอร์ได้อย่างแม่นยำและถูกต้องมากขึ้น เมื่อทราบค่าที่ถูกต้องแม่นยำแล้วระบบจะทำการแจ้งเตือนและหยุดการยั้งการโจมตีที่เกิดขึ้นพร้อมซ่อมแซมส่วนที่ชำรุดเพื่อให้ระบบกลับมาใช้งานได้อย่างปกติ

 RealLog is “Security Orchestration (for web server)”

หลักการทำงาน 



หลักการทำงาน คือ การรับค่า Log จาก Access log คือ log ที่มีในเว็บไซต์ทั่วไปส่งเข้า IOC agent และค่าการประเมินความเสี่ยงแบบสังเกตการณ์ทำแบบต่อเนื่อง (Passive Vulnerability Assessment) ค่า Log ดังกล่าวส่งไปที่ IOC agent ส่วนสุดท้ายคือ Log จากระบบเฝ้าระวังภัยคุกคามทางเครือข่ายคอมพิวเตอร์ (Intrusion Detection System) log ส่วนนี้ก็จะถูกส่งไปที่ IOC agent  จากนั้น IOC agent จะคัดกลั่นกรองข้อมูล โดยใช้เทคนิคทาบ Log เทียบเคียงจากค่าดัชนีความเสี่ยงเพื่อประมวลผลเป็น RealLog   ในการเทียบค่า Log นี้เองจะทำให้ทราบถึงการโจมตีทางไซเบอร์ได้อย่างแม่นยำและถูกต้องมากขึ้น เมื่อทราบค่าที่ถูกต้องแม่นยำแล้วระบบจะทำการแจ้งเตือนและหยุดการยั้งการโจมตีที่เกิดขึ้นพร้อมซ่อมแซมส่วนที่ชำรุดเพื่อให้ระบบกลับมาใช้งานได้อย่างปกติ

RealLog เป็นระบบ Security Orchestration แบบหนึ่ง โดยทีมงาน SRAN ผู้พัฒนานั้นได้ออกแบบมาเพื่อการระบุตัวตนนักโจมตีระบบและการแก้ไขสถานะการณ์ฉุกเฉินจากการโจมตีเว็บไซต์เป็นหลัก

การออกแบบ RealLog  คือการต่อยอดจากสิ่งที่เคยทำมาเมื่อประมาณปี 2007 SRAN Data Safehouse ผ่านมา 10 ปีพอดี ได้ฤกษ์ออกแบบใหม่หมด โดยได้นำเทคนิค “Security Orchestration” เข้ามาผสมผสาน โดยองค์ประกอบภายในได้นำเทคนิคสมัยใหม่เข้าใช้งานทั้งหมด

โดยมคุณสมบัติดังนี้

องค์ประกอบที่ 1  เรื่องการวิเคราะห์ Log และการมองเห็น  (Log Visibility and Analysis)
1. การรวมศูนย์วิเคราะห์ Log web server หรือ Farm server  เพื่อการรู้เท่าทันการโจมตีทางไซเบอร์
2. การมองเห็นค่า SSL ที่เกิดขึ้นผ่านการโจมตีเว็บไซต์
3. การใช้งานปกติและข้อมูลที่มีความเสี่ยงเพื่อทำการเก็บบันทึกข้อมูลตามกฎหมาย
4. การออกรายงานสถิติและการวิเคราะห์ผ่านแผนที่ภูมิศาสตร์
5. การเห็นค่าไอพีที่แท้จริงหลัง IP NAT (Behind IP NAT / local address)
6. การเห็นค่าไอพีที่แท้จริงหลังการผ่าน Proxy/Anonymous  (Behind IP Proxy/Anonymous)
7. การเห็นค่าซอฟต์แวร์ ชนิดของบราวเซอร์และระบบปฏิบัติการ
8. การเก็บบันทึกประวัติ Session cookie
9. การค้นหาข้อมูลและการเลือกดูย้อนหลัง

องค์ประกอบที่ 2  เรื่องการระบุตัวตนนักโจมตีระบบ (Identify Real Attacker)
1. การระบุตำแหน่ง IP Geo-location ที่ได้จากฐานข้อมูลกลาง และแสดงผลผ่านแผนที่ภูมิสารสนเทศ
2. การระบุตำแหน่งที่แท้จริง Real location access จากละติจูด (latitude) และลองติจูด (longitude)
3. การระบุค่า IP Address / ASN  ชื่อหน่วยงานองค์กร ชื่อประเทศ และชื่อเมือง

 องค์ประกอบที่ 3  การประเมินความเสี่ยงอย่างต่อเนื่องเพื่อวิเคราะห์หาปัญหาระบบอย่างแท้จริง

 1. การนำ Log จากระบบ NIDS (Network Intrusion Detection System) เพื่อนำมาวิเคราะห์หาปัญหาที่เกิดขึ้น
2. การนำ Log จากการทำ Passive Vulnerability Assessment  เพื่อนำมาวิเคราะห์หาปัญหาที่เกิดขึ้น
3. การตรวจจับลักษณะการโจมตีโดยใช้มาตรฐาน OWASP  เป็นค่ากำหนด
4. การตรวจจับภัยคุกคามโดยการเปรียบเทียบค่า Log files จาก IOC (Indicator of Compromise)
5. การแจ้งเตือน (Notice) เพื่อระบุปัญหาที่เกิดขึ้นผ่านเว็บบริหารจัดการ (Web management gui)
6. ตรวจจับไอพีแอดเดรสที่ทำการใช้เครื่องการสแกนอันกระทบต่อระบบการใช้งานได้ (Scanner Tools Detection)
7. ตรวจจับการ Brute Force ระบบผ่านช่องทาง Protocol อื่นที่มีความสำคัญต่อระบบได้
8. ตรวจจับปริมาณ Session จากแหล่งที่มาต้นทางไอพีแอดเดรสอันส่งผลกระทบต่อระบบได้

องค์ประกอบที่ 4  การแจ้งไขปัญหาฉุกเฉิน (Incident Response) และการป้องกันภัยคุกคามจากการโจมตีทางไซเบอร์ (Cyber Protection)
1. เมื่อพบการแจ้งเตือน (Alerts)  สามารถสั่งระงับการเข้าถึงนักโจมตีระบบได้
2. รายงานสำหรับการแจ้งเตือน และแจ้งสถานะการณ์ความเสี่ยงที่พบ

3. การตั้งค่าการปิดกั้นชุดไอพีอันตราย
4. การตั้งค่าปิดกั้นการเข้าถึงในการอำพรางตัวตน (Anonymous)
5. แสดงค่าสถานะการปิดกั้นและการป้องกันภัยคุกคามทางไซเบอร์ที่เกิดขึ้น


 นนทวัตต์  สาระมาน
SRAN Dev Team
08/02/60

การเก็บ Log เปลี่ยนแปลงไปแค่ไหน หากโลกนี้เป็น SSL กันหมด

จากหัวข้อที่กล่าวมาเป็นเรื่องท้าทายความเข้าใจในเรื่องการเก็บ Log พอสมควร ก่อนที่จะอธิบายในส่วนนี้ผมขอพูดถึงประเภทการเก็บ Log  เพื่อสร้างความเข้าใจให้ทุกท่านไม่ว่าเป็นฝ่ายเทคนิค หรือ จะเป็นบุคคลทั่วไป ให้ทราบ

การเก็บข้อมูลจราจรคอมพิวเตอร์ตามกฎหมาย (Log file) นั้นควรแบ่งเป็น 2 ส่วน

ส่วนที่ 1  Log สำหรับผู้ใช้งาน (Internet User Logs) 
การเก็บ Log files  เกี่ยวกับการใช้งานอินเทอร์เน็ต และการใช้งานข้อมูลสารสนเทศ

1.1 Internet Log   การเข้าถึงโลกอินเทอร์เน็ต  เช่น เว็บ (HTTP/HTTPS) เมล์ และการ สนทนาออนไลน์ (Line, whatap อื่นๆ)  มีทั้งมุมการใช้งานภายในองค์กร บนระบบเครือข่ายคอมพิวเตอร์องค์กร  และ  มุมของการใช้งานทั่วไปของบุคคลทั่วไปผ่านระบบเครือข่ายผู้ให้บริการ ไม่ว่าเป็นการใช้งานอินเทอร์เน็ตไร้สาย หรือ ผ่านระบบ 3G / 4G เช่น AIS , DTAC , True , CAT , TOT , 3BB

1.2 User data usage  เป็นมุมผู้ใช้งาน  จากการใช้งานข้อมูลบนระบบเครือข่ายคอมพิวเตอร์ภายในองค์กร เช่น หน่วยงานหนึ่งมีพนักงานจำนวน 50 คน ใน 50 คนมีคอมพิวเตอร์ที่ใช้งานเข้าถึงอินเทอร์เน็ตได้ แชร์ไฟล์ในองค์กรได้  ปริ้นงานเอกสารได้   มีการรับ-ส่งไฟล์ทั้งผ่านระบบเครือข่ายและอินเทอร์เน็ต มีการใช้ VoIP (SIP Protocol) ผ่านสาขาและอินเทอร์เน็ต เป็นต้น รวมๆ อาจจะเรียกว่าการใช้งานระบบสารสนเทศ ที่มีปริมาณการใช้งานที่วัดค่าข้อมูลได้ (Data Bandwidth) นั้นเอง

ทั้ง 1.1 และ 1.2 ต้องมีการระบุตัวตนผู้ใช้งานภายในองค์กร (Authentication) และ ผู้ใช้งานทั่วไปไมว่าเป็นภายในองค์กร หรือ ผู้ใช้งานทั่วไป จะสามารถระบุตัวตนผู้ใช้งานได้ คือ รู้ว่าใคร (Who)  แต่ทำอะไร (What) นั้นส่วนใหญ่ในประเทศไทยไม่มีใครเก็บข้อมูลในส่วนนี้  ยกเว้นบริษัทเอกชนรายใหญ่ในประเทศไทย ก็จะเก็บทั้งหมด
 
หมายเหตุ : ในส่วนที่ 1  นี้เป็นส่วนที่ในเวลานี้มีปัญหาที่สุดเนื่องจากการติดต่อสื่อสารเป็นแบบ SSL เกือบหมดแล้ว ซึ่งผมจะขอขยายความในขั้นตอนต่อไป

ส่วนที่ 2  Log สำหรับเครื่องแม่ข่าย (Server Logs)
การเก็บ Log files  จากเครื่องแม่ข่ายคอมพิวเตอร์ (Server)
ส่วนนี้จะเกิดขึ้นภายในองค์กร  สำหรับองค์กรขนาดกลางไปใหญ่  (Enterprise)
หากในองค์กร มีระบบงาน เช่น มี Web Server  ของหน่วยงานเอง  ,  มี Mail Server ของหน่วยงานเอง มี ERP Server ของหน่วยงานเอง  ,  มี Data Base Server ของหน่วยงานเอง
เหล่านี้มีความจำเป็นต้องเก็บ Log สำหรับ Server
เก็บ Log อย่างเดียวเขาเรียกว่า “Logger”  ไม่มีการวิเคราะห์ข้อมูลจาก Log
ขนาดไฟล์ Log จะใหญ่ขึ้นกับ การ filter log จากแหล่งต้นทาง เช่น จาก Web Server , Mail Server , File Server ถ้าส่งมาหมดไม่ได้ filter ก็จะส่งมาหมด ตาม RFC5424

ตัวที่ขายกันในประเทศไทย มักจะขายตัววิเคราะห์ ตัวค้นหา และทำรายงาน ที่เรียกว่า SIEM (Security Information Event Management)   ซึ่งราคาไม่มีต่ำกว่า 7 หลัก  ถ้าต่ำกว่าแสดงว่าเป็นแค่ตัวเก็บ  Logger  ไม่รวม Storage  อีกนับเลขไม่ถูก   คนที่ซื้อสิ่งเหล่านี้ได้ คือระดับองค์กรขนาดใหญ่เท่านั้น

ซึ่งซื้อมาแล้วอาจติดปัญหาเรื่องการเก็บ Internet user logs  คือจัดเก็บ Log ผู้ใช้งานที่ออกอินเทอร์เน็ตไม่ได้ เป็นต้น

===============================================

ในโลกปัจจุบันเว็บไซต์และสื่อสังคมออนไลน์ ที่สำคัญปัจจุบัน เป็น HTTPS หมดแล้ว

เมื่อเป็น SSL หมดแล้วจะเกิดอะไรขึ้น?

จากการสำรวจของ Netcraft เมื่อเดือนมกราคม 2017  ปีนี้เอง มีเว็บไซต์ทั่วโลกถึง
 1,800,047,111 sites ซึ่งเป็นทั้ง HTTP/HTTPS

 ภาพนี้เป็นผลสำรวจจาก Netcraft  มีเพิ่มขึ้นกาให้บริการและเริ่มคงที่มา 2014   ส่วนหนึ่งที่มีทั้งเป็นเว็บที่เข้ารหัสผ่าน (HTTPS) ที่มาจากผู้ให้บริการชั้นนำ อันได้แก่  Google , Facebook , Twitter , Microsoft  อื่นๆ  เป็น SSL หมดแล้ว  ส่วนใหญ่เป็น Social Network site  จึงทำให้อัตราการขยายตัวเว็บทั่วไปน้อยลง

และเมื่อผู้ให้บริการรายใหญ่เป็น SSL หมดจะเกิดอะไรขึ้น บ้าง ?

ผมขอแสดงความคิดเห็นดังนี้

1.ไม่สามารถมองเห็นข้อมูลผ่านทางระบบเครือข่ายได้อีกต่อไป  

ในกรณีที่ 1 Internet User logs จะไม่สามารถมองเห็นข้อมูลได้

เมื่อทำการติดตั้งอุปกรณ์ Network Log/ Network Traffic Analyzer หรือแม้กระทั่งพวก UTM / Next Gen Firewall  ก็จะพบปัญหา SSL ที่ไม่สามารถมองเห็นได้เช่นกัน

ภาพการดักรับข้อมูลบนระบบเครือข่ายผ่าน Internet Gateway ภายในองค์กร
ถ้าเป็น HTTP  Protocol เราสามารถมองเห็นเนื้อหาทั้งหมดผ่านระบบเครือข่ายได้  ผ่านโปรแกรม Network Analyzer ทั่วไป  จากภาพจะเห็นว่า สามารถมองเห็น URI ที่เกิดขึ้น Method ที่ใช้งานและ HTTP HEAD อื่นๆ ที่สามารถระบุการใช้งานได้อย่างละเอียด

ภาพถ้าเป็นการติดต่อสื่อสารแบบ HTTP(S) ผ่าน SSL  สิ่งที่มองเห็นคือค่าการติดต่อสื่อสารระหว่างไอพีต้นทาง และ โดเมนที่ทำการติดต่อสื่อสาร จากนั้นเป็นค่าการเข้ารหัส  ซึ่ง Content ไม่สามารถระบุตำแหน่งปลายทาง เช่น ค่า URI ได้  HEAD ไม่สามารถมองเห็นได้เนื่องจากเกิดการเข้ารหัส

แบบนี้ก็ดีแล้วไม่มีใครเห็นเนื้อหาภายในการรับส่งข้อมูล  ในแง่ความลับการรับส่งข้อมูลดูเหมือนใช่ แต่อีกด้านหนึ่ง ภัยคุกคามสมัยใหม่แอบรับส่งข้อมูลที่เข้ารหัสเช่นกัน  เราจะบังคับให้ เจ้าของ Server Malware ส่ง Key มาให้เราเพื่อเราจะถอดดูข้อมูลก่อนก็เป็นไปไม่ได้

หรือในกรณีปกติ  เราจะบังคับบอก Facebook  ให้เอา Key มาให้เราเพื่อเราจะขออ่านข้อความของบุคคลที่ต้องสงสัยและเป็นภัยความมั่นคงของประเทศไทย ก็เป็นไปไม่ได้ เพราะเราไม่ใช่เจ้าของเทคโนโลยีนี้ และ เทคโนโลยีนี้ Server หัวใจ ก็ไม่ได้อยู่ในประเทศไทยเลย
ผมยกตัวอย่างมาเพื่อบอกว่า SSL จะมีปัญหาก็ต่อเมื่อเราต้องการดูข้อมูลในเชิงลึกเท่านั้นหากเราไม่ต้องการรู้ ก็ไม่มีผลอะไร แค่อย่าลืมว่าประเทศไทย นิยมฟ้องร้องคดีความกันผ่าน พรบ คอมพิวเตอร์ฯ ที่มีมาตรา เช่น 14(1)  ชอบแอบอ้างใช้อยู่  เหล่านี้ล้วนเป็นการกระทำจากการใช้งานสื่อสังคมออนไลน์ เช่น Youtube , Facebook , Line ทั้งสิ้น    แล้วจะเอาหลักฐานไหนมาอ้างอิงกันหากเป็นคดีความขึ้น เพราะเนื้อหาติด SSL รวมทั้งผู้ดูแลระบบทั้งหมดทั้งปวงอยู่ต่างประเทศทั้งหมด 

2. ไม่สามารถปิดกั้นการเข้าถึงเว็บไซต์ที่เป็น HTTPS ได้

  • ทำได้ก็ต่อเมื่อปิดกั้นทั้งโดเมน เช่น ปิดกั้น  facebook.com ทั้งหมด เป็นต้น
  • ปิดกั้น  https://www.facebook.com/abcdef  ไม่ได้
  • ทำให้อนาคตอันใกล้ จะทำการปิดกั้นเว็บไซต์ที่ไม่เหมาะสมผ่านช่องทางสื่อสังคมออนไลน์ Social Network เช่น  facebook, youtube, twitter, pantip  และอื่นๆ ที่เป็น HTTPS ไม่ได้อีกต่อไป

3.  ภัยคุกคามใหม่ๆ มักมากับการเข้ารหัส ผ่านช่องทาง SSL กันมากขึ้น

  • มัลแวร์  (Malware) สมัยใหม่จะทำการเข้ารหัสเพื่ออำพรางการตรวจจับของระบบรักษาความมั่นคงปลอดภัยทางข้อมูล 
  • ทำให้การตรวจข้อมูลแบบปกติทำไม่ได้อีกต่อไป ทำให้ต้องซื้อเทคโนโลยีเสริมเพื่อทดแทนการตรวจจับที่สามารถถอดรหัสค่าเหล่านี้ได้

4.  รูปแบบการเก็บบันทึก Log files ตามกฎหมายมีการเปลี่ยนแปลง

เนื่องจากการกระทำความผิดทางกฎหมายคอมพิวเตอร์ ส่วนใหญ่เกิดจากการใช้งานอินเทอร์เน็ต
และเมื่อการใช้งานอิเทอร์เน็ต ส่วนใหญ่เป็นการเข้ารหัสผ่าน SSL จึงทำให้ Logfiles ที่เก็บบันทึกไม่สามารถหาการกระทำผิดได้เหมือนเมื่อก่อน Log files จะไม่สามารถล่วงรู้ได้ว่ามีการกระทำอันใดเกิดขึ้น

ทั้งหมดที่กล่าวมา นั้นจะกระทบต่อการเก็บ Log ในอนาคต
และรูปแบบการเก็บ Log แบบที่ 1 คือเรื่อง Internet User Log  นี้กระทบมากที่สุดเนื่องจากจะไม่สามารถเก็บบันทึกการใช้งานของผู้ใช้งานทั้งในองค์กร และ ผู้ใช้งานทั่วไปได้

ในระดับองค์กร ต้องมีการติดตั้งเรื่อง CA (Certification Authority)  สามารถบังคับใช้ได้อยู่แล้ว จะผ่านทาง Domain Controller หรือ บังคับให้ติดตั้งทุกเครื่องเป็นนโยบายกลางจากหน่วยงาน  ซึ่งก็มีหน่วยงาน / บริษัท องค์กรในประเทศไทยหลายบริษัทก็ทำกันแล้วเนื่องจาก มาทำป้องกันภัยคุกคามรูปแบบใหม่ๆ ที่มากับ SSL  หรือ การเข้ารหัสในการรับส่งข้อมูล

แต่ระดับผู้ใช้งานทั่วไป  เช่น ใช้ 3G/4G  อินเตอร์เน็ตไร้สาย  หรือแม้กระทั่ง อินเทอร์เน็ตที่บ้าน นั้นจะไม่สามารถติดตั้ง CA  กับบุคคลทั่วไปได้แบบพร้อมเพียงกัน (คือบังคับให้ทุกคนในประเทศติดตั้ง Cert มิได้ เป็นที่มาว่าทำ Single Gateway ประเทศไทยทำไม่ได้ก็เพราะเรื่องนี้แหละ)
จึงทำให้ไม่สามารถเก็บ Log ได้จากผู้ให้บริการ คือเก็บได้แต่ สืบหา ค้นหา หรือ หาการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ เมื่อเกิดคดีความไม่ได้ นั้นเอง เพราะ SSL

ส่วนแบบการเก็บ Log แบบที่ 2  คือ เรื่อง Server Log  นั้น ยังเป็นปกติอยู่  ติดเพียงว่าหาก Web Server  ของบริษัท หรือ หน่วยงาน  ต้องทำเป็น HTTPS  จำเป็นต้องใส่ CA  ที่ WAF  (Web Application Firewall) เพื่อใช้ในการป้องกันภัยเพิ่มเติม ส่วน Log file ถ้านำมาจากตัว Web Server เอง ก็จะมองเห็นอยู่แล้ว  เพราะนี้เป็น Web Server ขององค์กร  เจ้าของและทีมทำเป็นหน่วยงานภายใน ถึงแม้จะ Out Source ก็เป็นคนที่ติดต่อได้ Server ทางกายภาพอยู่ภายในประเทศ อยู่ภายในองค์กร เป็นทรัพย์สินขององค์กร  ดังนั้น Log  สามารถเอามาจากเครื่องแม่ข่าย (Server) ได้โดยตรง จึงไม่มีปัญหาในการเก็บ Log แบบที่ 2 เลย
ยกเว้น จะใช้บริการ 3 party  เช่น ใช้บริการ Cloud จาก Amazon หรือ Google Cloud  หรืออื่นๆ ที่ Server เราไม่สามารถควบคุมเองได้  แบบนี้จะหมดความหมายได้ปริยาย

สรุปว่า 
ผลกระทบเมื่อทุกอย่างเป็น SSL คือ การเก็บ log แบบที่ 1 ที่กล่าวในบทความนี้จะกระทบที่สุด
SSL  ทำให้มองเห็นคือต้องลง Certification ที่ฝั่งผู้ใช้งาน
เมื่อลงแล้วและอุปกรณ์ที่ติดตั้งอยู่ในระดับ Gateway องค์กรจะทำให้มองเห็น Internet Log ได้เช่นกันและสามารถปิดกั้นเนื้อหา และภัยคุกคามที่เกิดจากการเข้ารหัสได้

ส่วน Server Log  นั้นยังคงเก็บ Log ตาม RFC 5424 ต่อไป  ไม่เปลี่ยนแปลง แทบไม่มีผลกระทบอะไรจากการเก็บ Log Server ในองค์กร 

ใครได้ใครเสีย จากเรื่องการมองเห็นมองไม่เห็น SSL  ??  สำหรับผมมองว่า

คนที่ได้คือ ผู้ให้บริการระดับ Content / Application Provider  เช่น Line , Google , Apple  , Facebook  เพราะ Key อยู่ที่เขา SSL คือภาพสะท้อนของการเป็นมหาอำนาจในยุคปัจจุบัน

Pantip ตอนนี้เป็น SSL แล้วแต่เจ้าของเป็นคนไทย ดังนั้นหากมีเรื่องราวอะไร ที่ต้องการสามารถหาได้โดยไม่ต้องผ่าน FBI  ถ้าปล่อยให้ภาครัฐ/หน่วยงานด้านความมั่นคง ไปขอข้อมูลจาก Google , Facbook , Line  ท่านคิดว่าเขาจะให้หรือไม่ ?  ท่านคิดต่อเองได้ …

ดังนั้นในอนาคตอันใกล้ เมืองไทยต้องตะหนักเรื่องนี้ให้มาก ว่า “ความมั่นคงของชาติ ควรเป็นเรื่องที่เราควบคุมเองได้” 
หากเรายังยืมจมูกนานาประเทศหายใจอยู่ อย่าหวังว่าเราจะมีความมั่นคงเพราะสมรภูมิรบใหม่อยู่ที่น่านฟ้าใหม่ที่เรียกว่า “Internet”  กันแล้ว  Spy ยุค Classic สงครามเย็นมารูปแบบ Hacker และ Malware … อาวุธสงครามกลายเป็นกองทัพ Botnet ที่สามารถสั่งยิงและหยุดการทำงาน Server สำคัญของรัฐได้  … เหล่านี้ไม่ใช่เรื่องไกลอีกต่อไปแล้ว



ภาครัฐ โดยเฉพาะหน่วยงานด้านความมั่นคง เจอเรื่องที่ท้าทายความสามารถขึ้น  ไม่สามารถตรวจหาด้วยเทคนิคแบบเดิมๆได้อีกต่อไป

ฝั่งผู้ให้บริการ ISP   ในประเทศไทย  โดยเฉพาะผู้ให้บริการอินเทอร์เน็ตแก่บุคคลทั่วไป  การเก็บ Log ที่พนักงานเจ้าหน้าที่ต้องการ  นั้นทาง ISP ไม่สามารถให้ได้เช่นเคย  หรือแทบจะหาไม่ได้ด้วยซ้ำ
จึงทำให้ งานนี้หนักที่สุดคือผู้ให้บริการอินเทอร์เน็ต ในประเทศไทยนั้นเอง  ทั้งข้อมูลไหลนอกประเทศ ทั้ง Cloud ที่อาจไปไม่ถึงฝัน คือเป็นเพียงคนขายของเทคโนโลยีต่างชาติ  และ มาทั้งเรื่อง Log SSL ที่ระบุการกระทำไม่ได้ อีก ISP อยู่ในฐานะลำบากขึ้นแน่นอน

18/01/60
นนวัตต์ สาระมาน
พ่อบ้าน ทีมพัฒนา SRAN

สายลมแห่งการเปลี่ยนแปลง

ในรอบปีที่ผ่านมา ผมมีเรื่องอยากจะขยายความโดยเฉพาะ ส่วนใหญ่มาจากต่างประเทศ แต่เป็นผู้กำหนดวิถึชีวิตและการผูกขาดวิธีการใช้งาน รวมถึงเปลี่ยนแปลงชีวิตเราทุกคนที่อยู่ในยุคดิจิทัล
ซึ่งผมขอเรียกว่า “เส้นทางที่ถูกลิขิตไว้ บนก้อนเมฆแห่งข้อมูล”

แสงอาทิตย์กำลังจะลับขอบฟ้าที่หมู่บ้านในวันสิ้นปีผ่านกล้องเก่าๆที่ผู้เขียนไม่ได้ตั้งใจถ่าย

เส้นทางที่ถูกลิขิตไว้ บนก้อนเมฆแห่งข้อมูล  คือ อะไร? ตอบสั้นว่า มีคนสร้างบ้าน สร้างช่องทางให้เราหมดแล้ว  เราไม่มีสิทธิที่จะออกนอกลู่นอกทางได้เลย

 ที่จะพบในปี 2560 มีดังนี้

1) สมองไหลทางดิจิทัล
 สมองไหลในที่นี้ไม่ใช่สมองไหลจากทางกายภาพที่เกิดจากคนเลย แต่กับกลายเป็นวิถีชีวิตการใช้งานที่สมองไหล ไปใช้บริการในต่างประเทศ

นั้นหมายถึงปริมาณการใช้งานข้อมูลอินเทอร์เน็ตในประเทศไทย จะออกต่างประเทศมากขึ้น
เหตุผลมี 2 เรื่อง
เหตุผลที่ 1 เพราะต่างประเทศสะดวกกว่าทั้งเทคโนโลยี ความเร็ว ความเสถียร  ธุรกิจที่มีโอกาสหายในประเทศไทย คือ Hosting , Co-location บน IDC (Internet Data Center)  เนื่องจากเราจะเจอบริการอย่าง DigitalOcean  , AWS   , Google และ Microsoft  จะดึงให้เราสมองไหลมากขึ้น

เหตุผลที่ 2 ที่ทำให้ธุรกิจ Hosting , Co-location หรือ Cloud ในประเทศไทย โดยเฉพาะสีเทาถึงเทามากเป็นดำ จะย้ายไปต่างประเทศก่อนหน้านั้นแล้ว  ยังคงเหลือแต่พวกไม่ใช่สีเทา เป็นสีขาว ก็อาจจะย้ายไปอยู่ต่างประเทศหมดในเร็ววันนี้ เพราะเป็นห่วงในการตีความ พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ตัวใหม่ที่พึ่งผ่านและมีผลบังคับใช้เดือนเมษาฯ ปี 60
เท่ากับว่าธุรกิจนี้เคยรุ่งเรือง แต่เจอ Platform แบบครบเครื่องจากต่างแดนเข้าไป  ก็ไปไม่เป็นเหมือนกัน

ลองคิดภาพตาม IDC ที่เจ๋งสุดในประเทศไทย อยากมากก็มีความใหญ่เท่ากับจำนวน 10 ตึก  แต่ IDC ผู้ให้บริการในต่างประเทศ Google , Microsoft , AWS   ใหญ่พอกับอำเภอหนึ่งของประเทศเรา อันนี้จะไปเอาอะไรสู้ ?

แล้วธุรกิจจะมีปัญหาไหม  ไม่มีเพราะยังมีหน่วยงานราชการไทย จะต้องใช้ของไทย จำเป็นต้องวางในประเทศ หากวางในราคาประหยัด ก็อาจจะโดน F5 สะกิดนิดสะกิดหน่อยอาจหล่มได้

ดังนั้นหมายความว่า
บริการ Cloud ในประเทศไทยจะดูด้อยลง
เพราะโครงสร้างและเทคโนโลยีจะสู้ผู้ให้บริการระดับโลก ที่ลงมาแข่งขันตรงไม่ได้ โลกมันโหดร้าย การลงทุนของผู้ให้บริการเราอย่างไงก็สู้ระดับโลกไม่ได้  ตอนนี้ มี Player ในระดับที่โค่นและฝ่าด่านเพื่อชนะบริการเหล่านี้ได้ยาก เช่น AWS Amazon Cloud , Google Cloud , Microsoft Cloud  3 เจ้านี้ปัจจุบันติดต่อขายลูกค้าตรง ผ่าน Web Services โดยไม่มี Sales มาเคาะประตูขายถึงที่อีกแล้ว  คุณจะใช้ได้ทั้งเป็น VM หรือ จะเป็นทั้ง Infrastructure ที่มาพร้อมกับโปรแกรมมิ่งชั้นสูง ที่ทำให้เราเพิ่ม ขยาย หรือลด ปริมาณการใช้งานแล้วแต่ใจคุณต้องการ แล้วมีให้เลือกประเทศที่ให้บริการอีกด้วย  โครงสร้างที่เชื่อมถึงกันหมดทำให้ระบบความเสถียรภาพมีสูงมาก  สำหรับผู้ใช้งาน ถือว่าสะดวกมาก
การปรับตัวคือเป็นเพียงผู้ขายเทคโนโลยีของ Player ที่กล่าวมา สำหรับการขายสินค้าและบริการระดับองค์กรใหญ่ในประเทศไทยเท่านั้น   ส่วนรายเล็กและขนาดกลาง ที่ขาดความรู้ก็อาจเป็นลูกค้าได้  ซึ่งถือว่าน้อยลงเพราะความรู้หาได้จาก Google ไปแล้ว   DIY ด้วยตัวเองจึงเป็นเรื่องง่ายๆ สำหรับคนยุคดิจิทัล

สรุปว่า สมองไหลในที่นี้ไม่ใช่สมองไหลจากทางกายภาพที่เกิดจากคนเลย แต่กับกลายเป็นวิถีชีวิตการใช้งานที่สมองไหล ไปใช้บริการในต่างประเทศ  ทางกายภาพกับตรงข้ามเสียด้วยซ้ำเพราะปัจจุบันนี้ทำงานที่ไหนก็ได้หมดแล้ว ผ่านก้อนเมฆแห่งข้อมูลซึ่งตรงก้อนเมฆนี้แหละที่เกิดสมองไหล

ในโลกความเป็นจริงคือ ผู้ใช้บริการภาคเอกชนมีโอกาสย้าย Host ในนี้ประกอบด้วย Web Services , IOT (Internet of Thing) ที่ Sensor ในบ้านเราจะส่งข้อมูลผ่านก้อนเมฆที่คาดว่าจะอยู่ไปอยู่ต่างประเทศใช้บริการเช่น AWS , Google , Microsoft และ DigitalOcean หรือแม้กระทั่ง Cloudflar  ไปเพราะสะดวกรวดเร็ว ทุกอย่างผ่านออนไลน์  และมีความเสถียรสูง จะเหลือแต่หน่วยงานภาครัฐไทย ที่ยังคงต้องใช้บริการกับรายเดิมๆ ในประเทศ
ซึ่งทำให้การแข่งขันสูง คือ “คู่แข่งเยอะ แต่ผู้ใช้บริการส่วนใหญ่จะเหลือแต่ภาครัฐ  เปรียบอาหารมีชิ้นเดียวแต่เหล่าสิงโต เสือดาว ช้าง ไปจนถึงแมวน้อยก็กระโดดแย่งชิงกัน”
รายเล็กๆที่ทำธุรกิจด้านนี้อาจต้องคิดใหม่ เพราะแข่งขันในประเทศยากลำบากขึ้น

การปรับตัวอย่างชาญฉลาดจะอยู่รอดได้  
ถึงแม้ดูเหมือนว่าเราจะติดกับดักเทคโนโลยี และวิถีการใช้งานของตัวเราเอง  แต่ก็มีสิ่งที่ทำให้ผู้ประกอบการหน้าใหม่ที่เข้าวินได้เหมือนกัน  ในอดีตเราเคยใช้คำว่า Agility  ถึงจะสำเร็จ  ยังใช้ได้อยู่ แต่ถึงอย่างไร มันต้องใช่ด้วย หากทำอะไรที่ทุกคน ต้องร้องคำว่า “Wow”   นี้อย่างไงก็รอดในปี 2560   สิ่งที่ระมัดระวังคือต้องไม่โกหกผู้บริโภค  เพราะสมัยนี้ผู้บริโภคเข้าถึงข้อมูลได้หมดแล้ว  Google และ facebook  รวมไปถึง Pantip  เป็นที่ผู้บริโภคเกือบทุกคนที่เลือกใช้บริการค้นหาข้อมูลก่อนซื้อแน่นอน
แจ็คผู้ฆ่ายักษ์ ยังมี เช่น ธุรกิจ Startup  ถึงแม้ตัวเลขในปีที่ผ่านมา  จะเหลือรอดตายมาได้แค่ 3%  นอกนั้นเข้าสู่ห้อง ICU  ก็ตาม แต่เพียงหนึ่งใน 3 นั้นหากโดนจริงจะถูกบริษัทขนาดใหญ่เข้ามาเร่งปุ๋ยทันที จนมีโอกาสเข้าตลาดหลักทรัพย์ที่เป็นความต้องการของยุคนี้ที่ทุกบริษัทต้องเข้าตลาดทุนหมด  จะเหลือแต่ SME ตาดำๆ แล้วล่ะสิเพราะบริษัทเข้าตลาดหลักทรัพย์หมด

2)  รัฐเปลี่ยนมุมคิดเรื่อง พรบ. คอมพิวเตอร์ใหม่ จะได้บวกมากกว่าลบ
พรบ. คอมพิวเตอร์ ตัวใหม่ มีความกำกวม ในการตีความอย่างมาก โดยเฉพาะเรื่องของประชาชนที่กลัวโดนตรวจสอบเนื้อหาจากภาครัฐ  การไม่เป็นอิสระเสรีในเชิงความคิด  สรุปสั้นๆ  ประชาชนไม่ไว้ใจรัฐ
เพราะในหลายมาตราและหลายอำนาจ ที่ดูแล้วจะเน้นตรวจ “Content” เนื้อหามากกว่าจะช่วยป้องกันภัยอันตรายกับการใช้งานอินเทอร์เน็ตของประชาชนตา (ดำๆ)
ถ้ารัฐเปลี่ยนแนวคิดใหม่  ให้ พรบ คอมพิวเตอร์ นี้ จะทำให้ประชาชนทุกคนในประเทศไทยที่ใช้งานอินเทอร์เน็ตมีความมั่นคงปลอดภัยทางข้อมูลมากขึ้น   และตัดเรื่องอำนาจการพิจารณาที่ไร้การตรวจสอบออกหรือเขียนชี้ให้ชัดว่าขั้นตอนเป็นอย่างไร  โดยเน้นความปลอดภัยประชาชนมาก่อนจะเป็นการดีกว่า เช่น  นับแต่นี้ประชาชนในประเทศไทยที่ใช้งานอินเทอร์เน็ต จะติดเชื้อ Botnet น้อยลง  บริษัท ห้างร้านที่ใช้อินเทอร์เน็ต จะติด Ransomware น้อยลง  ผู้ให้บริการอินเทอร์เน็ต จะส่ง Spam น้อยลง
ประชาชนในประเทศไทยจะไม่ถูกหลอกจากเว็บหลอกลวงทางเทคนิค Phishing   ประชาชนในชาติจะติดเชื้อ Malware น้อยลง   ทำจริงๆ จังๆ จะเรียกแขกให้มาใช้งานอินเทอร์เน็ตในประเทศไทย  จากข้อ 1-2 ที่ผมกล่าวข้างต้น ก็จะทำเศรษฐกิจและสังคมดิจิทัลในประเทศไทยกลับคืนชีพมาได้บ้าง
ตัดเรื่อง Block หรือ ลบ (ในกฏหมายที่พูดถึงการ”ลบ” เป็นการสะท้อนการไม่เข้าใจของผู้ใหญ่ เพราะยุคสมัยนี้มันถ้าต้องลบด้วยคงต้องไปคุยผู้ให้บริการในต่างประเทศ เช่น ที่ Google , Apple  และ Line เป็นต้น ฝั่งหนึ่งอยู่ในเครื่องเราอีกฝั่งหนึ่งบนก้อนเมฆก็เก็บเหมือนกัน ลองคิดดูมีผู้ให้บริการไหนที่มีข้อมูลเรามากกว่า 2 รายที่กล่าวมาไหม อย่าไปเทียบเลย ถึงแม้ baidu กำลังจะมาในไทยแต่ก็ยังห่างไกล) อย่าได้ให้ประชาชนตาดำคิดว่ารัฐทำ Single gateway  ซึ่งในทางเทคนิคและการปฏิบัติแล้วทำได้ยากมากแทบไม่มีความเป็นไปได้เลย ถึงทำก็ไม่คุ้ม ที่ผมกล่าวมาข้างต้นก็พอสรุปได้ว่าไม่มีผลเพราะคนส่วนหนึ่งผ่าน VPN โดยใช้ Cloud จากภายนอกประเทศ คนที่ทำการส่วนใหญ่อำพรางไอพีทั้งนั้น ส่วนบุคคลปกติไม่มีความจำเป็นต้องอำพรางไอพีเพื่อเข้าถึงข้อมูล  รู้ทั้งรู้ว่าเกิดการอำพรางตัวตนและไอพีอยู่แล้ว  Log files ก็จะหาได้แต่ลงไอพีในต่างประเทศ แล้วจะมีประโยชน์อันใด

“ท่านที่ทำหน้าที่สืบสวนสอบสวนด้านนี้ ท่านควรกระโดดข้ามเรื่องไอพีแอดเดรสได้แล้ว มีอีกตั้งหลายวิธีที่ทำให้ท่านรู้ว่าใครเป็นใครบนพื้นที่ออนไลน์แห่งนี้”

ด้วยเหตุทั้งหมดนี้จึงบอกได้ Single gateway ไม่เกิดแน่นอนคนที่ทำให้เกิดคือไปหลอกผู้ใหญ่ในบ้านเมืองไทย ลองคิดดูทุกวันนี้การเข้าใช้งานเป็น HTTPS เกือบหมดแล้ว จะ block เป็น URL ที่มี path เช่น https://www.facebook.com/abcdefg   ไม่มีทางทำได้  ก็หลายปีก่อนมีผู้ใหญ่บ้านเราสั่ง block ทั้ง domain ลงไปที่ facebook ก็ทำให้ทั้งประเทศใช้งานไม่ได้ เรื่องนี้เป็นเพราะขาดความรู้   เมื่อก่อนผมได้คุยเรื่อง SSL ระดับผู้หลักผู้ใหญ่ในบ้านเรา แทบไม่มีใครรู้เรื่องเลย  ต้องขยายความให้วุ่นวาย แต่มาวันนี้มีพัฒนาการที่ดีขึ้นเริ่มคุยภาษาดอกไม้กันได้ ตั้งแต่เป็นข่าวพบเครื่องถอด SSL ที่กองทัพ อยากจะบอกว่าไม่ได้ง่ายอย่างงั้นครับ

ทุกวันนี้การเข้าถึงเว็บไซต์เป็น  HTTPS เกือบหมดแล้ว แม้กระทั่งเว็บโป๊ ยังเป็น HTTPS   เลยการจะ Block  (ที่เป็น path ไม่ใช่ domain) หรือ ดูข้อมูลได้จำเป็นต้องแกะ SSL ให้ได้ก่อน ซึ่งนั้นคือต้องลง CA  ทุกเครื่องในประเทศ ท่านคิดว่าเป็นไปได้ไหม ?

ทำไมรัฐไม่เปลี่ยนคำว่า Block เป็น Protect แทน แล้วทำแบบกระจาย ไม่ใช่รวมศูนย์ที่ ISP  ซึ่งในโลกความเป็นจริงแล้วหากท่านผู้มีอำนาจตรวจสอบแล้ว IP Public ที่ท่านพบไปลง โรงแรมแห่งหนึ่ง คือท่านก็จะแยกแยะไม่ออกอยู่ดีว่า ใครเป็นผู้ทำผิด หากโรงแรมแห่งนั้นไม่ได้เก็บ Log ที่มีคุณภาพ อย่างเก่งก็ได้แค่ชื่อเป็นอะไรก็ไม่รู้ แต่ไม่รู้ว่าทำอะไร พอหลักฐานไม่พอก็ยกฟ้องตามระเบียบ

หากรัฐทำการ Protect แทนคำว่า Block และติดตั้งแบบกระจายไปยังส่วนที่ควรจะควบคุมจะได้ดีกว่าไหม โรงเรียน โรงพยาบาล และพื้นที่สาธารณะที่ใช้ Free-wifi  ,หมู่บ้าน , ตำบล , อำเภอ จังหวัด เป็นต้น  เกิดการสร้างงานกระตุ้นเศรษฐกิจถึงรากหญ้าในทางอ้อมเพราะเกิดการสร้างงาน
ส่วนคำว่า Protect ในที่นี้คือ เว็บไซต์อันตราย ที่มีโอกาสติดเชื้อ(malware) , การหลอกลวง (Phishing)  และเนื้อหาไม่พึ่งประสงค์  เช่น การพนัน ลามกอนาจร และสิ่งผิดกฎหมาย รัฐต้องชัดจะป้องกันในส่วนไหน ไม่งั้นประชาชนจะตีความเอง  ตามมโนและประสบการณ์ของแต่ละบุคคล เมื่อทำเสร็จแล้วก็ควรมีรายงานบอกว่า ลดความเสี่ยงให้ประชาชนในประเทศปลอดภัยไปแล้วเท่าไหร่ กี่คนที่ช่วยเหลือเขาไปแล้ว  ในต่างประเทศ เช่น ญี่ปุ่น ไตหวัน และประเทศในทวีปยุโรป และสากลที่เขาทำกัน

อย่าใช้แนวคิด “เป็นนักตรวจสอบ แต่ให้เปลี่ยน นักช่วยเหลือ” จะดีกว่า ภาพจะดูดีขึ้นทันที

3) ตนเป็นที่พึ่งแห่งตน

ไม่มีอะไรจะดีไปกว่าการลงมือทำด้วยตัวเอง  สมัยนี้ไม่ว่าจะทำอะไร ก็สามารถทำด้วยตัวเองได้แบบง่ายๆ ผ่านช่องทางคลิปวีดิโอ หรือ การค้นหาข้อมูลด้วยตัวท่านเอง  ไม่ใช่เรื่องยากอีกต่อไป  จะมีเพียงเฉพาะทางที่ต้องมีความรู้เบื้องต้นมาก่อน  หากใครยังมีความเกียจคร้าน  ปล่อยเฉย ก็อาจจะโดนแซงไปได้ง่าย  งานด้าน IT Security ในประเทศไทย จะมีการเปลี่ยนแปลงเพราะมีบทเรียนและการเรียนรู้จากอดีตที่ผ่านมา และแน้วโน้มจากต่างประเทศ ดังนั้นบุคคลากรจำเป็นต้องมีความเชี่ยวชาญที่แท้จริง มิใช่มีแค่ Certificate อีกต่อไป
เพราะสิ่งที่จะเจอในอนาคต คือ หน่วยงานขนาดกลางและเล็ก แทบไม่มี Infrastructure  มีเพียงระบบไร้สาย Router / Switch และ notebook เชื่อมต่อไปยัง Cloud   ระบบความมั่นคงปลอดภัยอยู่ศูนย์กลางหมด ในศูนย์กลางที่ควบคุมทุกอย่างนั้น อาศัยบุคคลากรน้อยมากๆ เพราะมันจะเป็น Automatic เกือบทั้งหมด ทั้ง Automatic Incident Response  การแก้ไขปัญหาและสร้างขึ้นใหม่หากพบสิ่งผิดปกติ จะเกิดขึ้นการที่ Security Operation Center (SOC)  จะขนาดใหญ่  มีคนจำนวนหนึ่งจะเปลี่ยนไป จะกลายเป็น Mini SOC ที่ใช้เพียงไม่กี่อุปกรณ์ และไม่ต้องทำการเขียน rule ให้วุ่นวาย อีกต่อไป เพราะทุกอย่างจะทำงานแบบสอดคล้องกัน พร้อมแก้ไขปัญหาฉุกเฉินโดยอาศัยคนน้อยที่สุด
หน่วยงานที่ธุรกิจแทบไม่ต้องมีพนักงานด้านนี้อีกต่อไป  นี้คือมุมภายในองค์กร/ธุรกิจ ทั่วไป
ตนเป็นที่พึ่งแห่งตน ในแง่นี้ คือ มุมพนักงาน มุมบุคคลากร ที่ต้องเก่งอย่างมากมีความเชี่ยวชาญ ถึงจะอยู่รอดได้ ไม่เช่นนั้นไม่มีที่ไหนจ้างแน่  ต้องกลับมาเปิด Startup กันต่อ

แต่ในมุมระดับประเทศ นี้สิเข้มข้น

เนื่องด้วยสถานะการณ์ Cyber Security ระดับโลกเข้มข้นขึ้น
ตั้งแต่มีปรากฎการณ์  “Edward Snowden Effect” ประเทศมหาอำนาจได้ปรับตัวใหม่ โดยเฉพาะ จีน เกาหลีใต้  (บริษัทที่สัญชาติเกาหลีใต้ในประเทศไทย ใช้ Products Cyber Security ของตัวเองหมดเลย) อาจเป็นเพราะ มี “Awareness” ความตะหนักรู้จากการใช้งานงานมากขึ้น ทำให้เหล่าบรรดาประเทศมหาอำนาจไม่อยากเสี่ยงที่เกิดข้อมูลรั่ว

เราปฏิเสธไม่ได้อีกต่อไปว่า Cyber เป็นเรื่องไม่ล้อกันเล่น หรือ ขำขันอีกต่อไป ปลายเดือนธันวาคม 2559 ได้พบว่าทางสหรัฐได้ขับไล่ทูตรัสเซียจำนวน 35 นายออกนอกประเทศภายใน 72 ชั่วโมง เหตุผลมีความเป็นไปได้ว่า รัสเซียได้ทำการแฮกเข้าระบบฐานข้อมูลสำคัญของสหรัฐ
ยุทธวิธีนี้ ไม่ต่างอะไรกับการโชว์แฮกระบบ LI (Lawful Interception) ในสหภาพยุโรป ในงาน Blackhat เมื่อหลายปีก่อน ความหมายคือ  รัฐลงทุนทำระบบ LI โดยมีกฎหมายควบคุมอย่างชัดเจน แล้วแฮกเกอร์ค้นพบตัว Server ที่ทำ LI  รัฐลงทุนเป็นพันล้าน  แต่แฮกเกอร์รู้เป้าหมายแล้วแฮกลงทุนน้อยกว่ามาก แต่ได้ข้อมูลมหาศาล   เช่นกัน รัสเซีย รู้ว่าสหรัฐมีข้อมูลจำนวนมากการเข้าถึงระบบโดยทางลัดนี้ย่อมทำให้ได้ผลอย่างรวดเร็วกว่าที่ทำขึ้นมาเป็นไหนๆ อย่างไรก็ตามข่าวที่ได้รับมายังไม่ได้ระบุว่าเป็นการแฮกอะไรบ้าง แต่แน่ๆ คือกระต่อความมั่นคงของรัฐ   ซึ่งเหตุการณ์ดังกล่าว จะเป็นภาพสะท้อนว่า มีโอกาสที่เกิด “สงครามเย็นรอบใหม่”  ผ่านข่าวกรองและการโจมตีที่สายตามนุษย์มองไม่เห็น ผ่านช่องทางดิจิทัลได้เริ่มขึ้นและกินขยายความไปอย่างมาก

ประเทศไทยเราต้องตามให้ทัน ในปัจจุบันประเทศไทยไม่เคยคิดจะลงทุน R&D เอง  งบภาครัฐส่วนใหญ่จัดซื้อระบบ Cyber Security จากต่างประเทศเกือบ 100%  เช่นจาก จีน อิสราเอล สหรัฐ  ไม่เกิน 3 ประเทศนี้   คำถามว่า ประเทศไทยเราจะปลอดภัยได้อย่างไร ในเมื่อเทคโนโลยียังพึ่งพาคนอื่นเขา
ด้วยเทคโนโลยีสมัยใหม่จะวิ่งเป็น Cloud base หรือ มีการเชื่อมต่อ API จากภายนอก  งานระดับประเทศควรที่จะควบคุมได้ภายในประเทศไทย  ตามหลัก ตนเป็นที่พึ่งแห่งตน นี้คงไม่ผิด    อันไหนสำคัญควรควบคุม (Control) ถึงแม้จะทำเองดีไม่เท่าแต่ต้องควบคุมได้เองได้

สรุป การเปลี่ยนแปลงยังคงเกิดขึ้นโดยตลอด ทิศทางแนวโน้ม ยังคงเดิมมาแบบนี้สักพักหนึ่งแล้ว แต่จะผูกขาดมากขึ้น ผูกขาดตลอดเส้นทาง ตั้งแต่ OS ที่บรรจุลงไปในมือถือที่เราใช้ไป ยัน Cloud  รวมถึงการวิเคราะห์ข้อมูล Big data ที่จะรู้ทันเราตั้งแต่เกิดจนตาย จากเจ้าประจำในต่างแดน

สุดท้ายผมอยากให้ท่านกลับไปอ่านในสิ่งที่ผมเขียนเมื่อปีที่แล้ว http://nontawattalk.sran.org/2015/12/2559_31.html 
มันยังใช้ได้ และมีบางข้อเริ่มเห็นภาพชัดขึ้นเรื่อยๆเมื่อเวลาผ่านไป

ปล. ทั้งหมดเป็นเพียงการแสดงความคิดเห็นจากผู้เขียน มิได้อ้างอิงจะที่ใด บนทัศนะคติของข้าพเจ้าอย่างแท้จริง ดังนั้นผู้อ่านควรใตร่ตรองและหาเหตุผลสนับสนุนเองไม่จำเป็นต้องเชื่อทั้งหมด

เนื่องในโอกาสวาระดิถีขึ้นปีใหม่ 2560 ขออำนาจแห่งคุณพระศรีรัตนตรัย และสิ่งศักดิ์สิทธิ์ทั้งหลายในสากลโลกได้โปรดอำนวยพรให้ท่านผู้อ่านและครอบครัว มีแต่โชดดีปีใหม่ มีความสุข  ประสบกับความสำเร็จ และสมหวังตลอดปีใหม่และตลอดไป ขอจงมีแต่สิ่งดีๆเข้ามาในชีวิต มีสุขภาพร่างกายแข็งแรง ไม่มีโรคภัยเบียดเบียนและมีความก้าวหน้าในหน้าที่การงาน ตลอดปีใหม่ 2560 และตลอดไป

31/12/59
นนทวัตต์  สาระมาน
พ่อบ้าน

 

ใช้ SRAN วิเคราะห์การติดต่อสื่อสารผ่านโปรแกรม Pokemon Go

โลกเราวันนี้ มีอย่างหนึ่งที่เหมือนกันคือ การทำอะไรตามๆกัน จนเป็นกระแสสังคม หรือโปเกมอนฟีเวอร์ ให้ทายไม่เกินเดือนก็เริ่มหมดอายุความฟีเวอร์ ต้องเดินตามรุุ่นพี่ที่เคยเกิดก่อน เช่น ตุ๊กตาลูกเทพ เฟอร์บี้ และอื่นๆ ที่ผ่านมา
เมื่อเห็นคนทำก็อยากทำตามบ้างครับ
แต่ทำครั้งนี้ สำหรับผมแล้ว จะลองมาแกะให้เห็นเบื้องหลังการติดต่อสื่อสาร เพื่อที่ทำให้เข้าใจ และรู้ทันการติดต่อสื่อสารจากการเล่นเกมส์ Pokemon Go  และมาดูกันว่ามันแตกต่างกับที่ตาเรามองเห็นในโลกทางกายภาพอย่างไร เมื่อเราดำดิ่งไปในโลกของข้อมูลที่ต้องใช้ตาพิเศษมองเข้าไป Pokemon Go เป็นแค่ความบันเทิง หรือเป็นเครื่องมือหนึ่งในยุทธศาสตร์ Cyber warfare ระดับโลก หรือ ถูกทุกข้อ ลองมาดูกันครับ

ขั้นตอนเราจำลองระบบเครือข่ายขึ้นมา 1 วง  โดยใช้ Switch และอุปกรณ์ AP (Access Point) เพื่อกระจายสัญญาณ Wi-Fi ให้กับอุปกรณ์
โดยตั้งวงเป็นชุดไอพีเดียวกันหมดขึ้น LAN 192.168.150.x  Wifi  192.168.1.x ใช้ช่องทางออกอินเทอร์เน็ตผ่าน 3BB
และเรามีอุปกรณ์จัดเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์  โดยใช้ Network Log ที่ได้รับจากการสำเนาข้อมูลจากอุปกรณ์มาวิเคราะห์ ในที่นี้เราใช้ SRAN รุ่น LT50 Hybrid

เกมส์ Pokemon Go  พัฒนาโดยบริษัท Niantic ทำบนระบบปฏิบัติการ iOS และ Android โดยเกมส์จะเน้นไปทางการใช้การค้นหาพิกัดทางภูมิศาสตร์เพื่อค้นหาตัวการ์ตูนโปเกมอน ทำให้ผู้เล่นเพลิดเพลินในการค้นหาจากโลกเสมือนไปยังโลกแห่งความจริงที่บางครั้งอาจพบข่าวว่าเดินจนตกน้ำ หรือ เกิดอุบัติเหตุจาการเล่นเกมส์ผ่านสมาร์ทโฟน  (สังคมก้มหน้าอย่างแท้จริง)

เมื่อเริ่มต้นทำการดาวโหลดโปรแกรมโปเกมอน จะเห็นว่ามีการทำ SSO (Single Sign On) ผ่าน E-mail ของ Gmail  หากใครมี Gmail ก็สามารถใช้งานโปรแกรมนี้ได้โดยไม่ต้องสมัครทางอื่น  (ลองอ่านบทความเก่า หนึ่งในนั้น คนไม่มีตัวตนไม่มีสิทธิ )

เมื่อทำการสมัครเล่นเกมส์มีการติดต่อไปที่  seattleclouds.com  การเชื่อมต่อในจุดนี้มีความเสี่ยงหากพื้นที่นั้นมีคนทำ MITM หรือ ดักรับข้อมูลอยู่ เนื่องจากข้อมูลที่ส่งไปเป็น Paint text
เช่น เห็น data leak จากข้อมูลพื้นฐานเครื่องของคนอื่นได้ เมื่ออยู่ LAN วงเดียวกัน หรืออยู่บนระบบเครือข่ายเดียวกันและมีอุปกรณ์ดังกล่าวอยู่ด้วย ก็มีโอกาสรั่วจากจุดนี้ได้

ผ่าน xml เป็นข้อมูลรั่วออกมา

ส่วนการเชื่อมต่อไปยัง โดเมนอย่างน้อยดังนี้

ภาพการเรียกข้อมูลผ่านค่า DNS ของเกมส์ Pokemon เมื่อทำการเริ่มใช้งานตอนแรก จะบอกโดเมนที่ติดต่อและค่าไอพีของ Server DNS เหล่านี้  ซึ่งตรงนี้เป็นฝั่ง Web Services หลังบ้าน Pokemon Go

ช่วงแรกในการสมัครอาจมี Data leak อยู่บ้าง โดยเฉพาะ domain ดังภาพด้านล่าง

ถ้ามีการ MITM ก็น่าจะมีการขโมย account กันได้
ลองมาดูหากจะตรวจ Pokemon Go บน Network ขององค์กรเราจะเริ่มอย่างไร
อันดับแรกเราควรสำรวจอุปกรณ์ที่มีทั้งหมดก่อน ในที่นี้ใช้ SRAN เป็นตัวสำรวจอุปกรณ์บนระบบเครือข่าย

ทำการสำรวจระบบเครือข่ายเพื่อตรวจดูอุปกรณ์ทั้งหมดที่มี

และเครื่องที่จะใช้ทดสอบเกมส์ Pokemon Go คือ Private IP : 192.168.1.143  เราใช้ชื่อว่า “มือถือของนก”  เป็นมือถือยี่ห้อซัมซุง ระบบปฏิบัติการ Android (ขอล็อคเป้าที่เครื่องนี้)

และทำการเพิ่มข้อมูลในระบบ Inventory ที่มีในเครื่อง SRAN   จากนั้นเราก็มาดู Log file ที่เกิดขึ้นทาง ระบบเครือข่ายคอมพิวเตอร์ (Network Log)
โดยเข้าหน้าค้นหา  Deep Search  ว่า “pokemon”    สิ่งที่ได้คือ   User_agent ของอปุกรณ์  จะขึ้นมาทันทีว่า ใช้โปรแกรม Pogemon go อยู่ โดย User_agent จะแสดงค่าดังนี้

pokemongo/0 CFNetwork/758.5.3 Darwin/15.6.0

 
ภาพการติดต่อสื่อสาร จากไอพีต้นทาง ไปยังไอพีปลายทางระบบแม่ข่ายที่ให้บริการเกมส์ Pokemon Go รวมถึงรายละเอียดการติดต่อสื่อสาร ผ่าน Protocol HTTP (ตรวจในส่วนที่ไม่มีการเข้ารหัสข้อมูล)

เมื่อทำลงรายละเอียดของข้อมูลชุดไอพีในการติดต่อสื่อสาร

Host Name : lh3.ggpht.com  ,  lh4.ggpht.com  , lh6.ggpht.com
ส่วนค่าไอพีได้รับ มีค่าเดียวคือ IP 216.58.196.33  (Cloud Service จาก Google)
PING photos-ugc.l.googleusercontent.com (216.58.221.33) 56(84) bytes of data.
64 bytes from hkg08s13-in-f33.1e100.net (216.58.221.33): icmp_seq=1 ttl=54 time=25.4 ms

เดาได้ว่าเป็น IP  (216.58.x.x) ช่วงดังกล่าวน่าจะเป็น Load Balancer   แต่นี้ทำบนผู้ให้บริการ 3BB ซึ่งในแต่ละผู้ให้บริการอาจจะมีความแตกต่างกันไปก็ได้

AS15169 ของ Google Inc

ลองไม่เดาจริงๆ มันควรอยู่ย่านไอพีไหนบ้าง ตัว content ใน pokemon Go

จากภาพนี้ก็ย่านไอพี content ที่ใช้สำหรับเล่นเกมส์ Pokemon Go คงอยู่ประมาณนี้ คืออยู่ใน AS15169 นี้แหละ กินความไปอีกย่านคือ 172.217.24.0/24  ไปด้วย ดังนั้นหากใครคิดจะ block IP นี้คิดผิดเลยกระทบอย่างมาก เผลอๆ google map ใช้ไม่ได้

ใช้เครื่องมือ Shodan ตรวจให้

เปิด 80 , 443  Server จาก Google ส่วนใหญ่จะมีการ Harden เปลืองแรงเปล่าหากจะค้นหาต่อ
และยังไม่อยากเข้าลึกเพราะอาจเจอเส้นขนส่งข้อมูลแปลกๆ อยู่ (ไม่ขอกล่าวในที่นี้ ลองคิดดูประเทศมหาอำนาจหลายประเทศที่ไม่ใช่ขั้วฝั่งผู้ผลิต ก็ออกมาแบนกันแล้ว ซึ่งเขามองว่าเป็น Cyber war แบบหนึ่ง)

กลับมาต่อ ลองมาส่อง DNS Log สำหรับ Pokemon Go บ้างหน้าตาเป็นไง

แล้ว SSL Log ล่ะ

ทั้ง DNS และ SSL  จะพบ IP 216.58.196.33 เป็นเรื่องอื่นที่ไม่ใช่ Pokemon Go จึงแสดงให้เห็นว่าไอพี นี้ไม่ได้ใช้เฉพาะเกมส์ Pokemon เท่านั้น

DNS Log ที่เกี่ยวกับ Pokemon หน้าตาเป็นอย่างงี้

ปรากฎว่า Pokemon ซ่อนตัวที่ HTTP Log  ชอบเลยครับ

URI ที่พบบน HTTP Log พบว่าจุดแสดงภาพ ไม่มีการเข้ารหัสของรูปภาพ

ยกตัวอย่าง

http://lh3.ggpht.com/owWi6EWWDy1iPCHW1xfbSMwoZF5ZRqK2o-KClJS_Opy24OdDNfMx5UUV_TSLetDF4mIhrpEEE54EOydW5CQRGQ
(หากเปิดไม่ได้ เป็นเพราะ session หมดอายุ)

ภาพที่มาจาก URL ที่บอกนี้จะพบตัว Pokemon ซ่อนอยู่   ส่วนมากจะอยู่ใกล้ๆศาล … อันนี้คงเกิดจากการเขียนโปรแกรมแบบสุ่ม (Random)

เมื่อทำการทดสอบการใช้งานของข้อมูล (Bandwidth)

ทำการค้นหา เวลาที่ใช้เปิดเกมส์ Pokemon Go

ทำการค้นหา Deep Search โดยทำการเลือก ค้นหาเวลา 09:01 ของวันที่ 8 สิงหาคม 2559  ผลลัพธ์

เมื่อได้ผลลัพธ์ทำการคัดกรองเฉพาะค่าไอพี 192.168.1.143 สิ่งที่ได้คือค่าการติดต่อสื่อสาร ของโปรแกรม Pokemon Go

ค่า Duration คือการระยะเวลาทั้งหมดของการสื่อสาร จะพบว่าติดต่อไปที่เครื่อง 220 วินาที  นานที่สุดของการใช้งานบนเครื่องนี้ในช่วงเวลาที่ติดต่อไปที่ IP 216.58.196.33

การรับค่าคือ 70,145 Byte   และอีกครั้งที่ 43,429 Byte   ซึ่งเป็นประมาณไม่มากแต่มีการใช้งานต่อเนื่อง

ตลอดระยะเวลาที่เครื่องมือถือของนกใช้งานโปรแกรม Pogemon Go  คือ 9:00 – 10:00  ใช้ Bandwidth ทั้งหมด

14.43 MB ตลอดช่วงเวลา 1 ชั่วโมง

ใช้จำนวน Session ที่เชื่อมต่อทั้งหมด

513 ครั้ง ตลอดช่วงเวลา 1 ชั่วโมง

การป้องกัน
สำหรับองค์กรที่ต้องการ Block ไม่ให้พนักงานเล่น อย่าเข้าใจผิดว่าเอา IP ที่ผมให้ไปนั้นใส่ Firewall นะ เพราะมันมีหลาย App วิ่งบน IP  216.58.196.33  หรือห้าม block domain ที่ชื่อ lhตัวเลข.ggpht.com  จะทำให้ใช้งานไม่ได้บาง App บนมือถือ ส่งผลการทำงานที่ไม่ปกติ
การ Block ต้องใช้พวก Next Gen Firewall หรือ NIPS แบบ inline ขวางลำที่ระบบเครือข่าย โดยใช้การ  block พวก User_agent  ที่บ่งบอกว่าเป็น Pokemon เอาครับ

สรุปว่า Pokemon Go เกมส์ยอดฮิต สำหรับความเสี่ยงที่ผมพบ คือ ความเป็นส่วนตัวเรื่อง Location base จะถูกส่งไปชุดไอพีของ Google Cloud  โดยมีบริษัทที่ทำเนื้อหาของเกมส์อยู่เบื้องหลัง ซึ่งตัวผมไม่โลกสวย ผมกลับมองว่าเป็นการเต็มใจเชิญเข้าถึงพื้นที่ Private  เช่นภายในรั้วบ้าน ในตัวอาคาร ในหมู่บ้าน lสถานที่ราชการ หน่วยงานด้านความมั่นคง  และอื่นๆ ก็เห็นถึง location ภายใน ได้ที่ในอดีต google street view ไปไม่ถึง แต่นี้ด้วยความยินยอมและสมัครใจ  Big data ฝั่งผู้ให้บริการ ได้ว่าอัพเกรดคลังข้อมูลอีกครั้ง ซึ่งในอนาคตการค้นหาข้อมูลของเราคงพบอะไรลึกขึ้นอีกก็เป็นได้

งานนี้โตเร็วเกินขาดจึงละเลยความปลอดภัยไปบ้าง มีการหลุดให้เห็น เช่น ภาพที่มากับ Pokemon ปัจจุบันเท่าที่ทดสอบพบว่าไม่มีการเข้ารหัส  จะทำให้ session ที่เกิดขึ้นบนเครือข่ายนั้นๆ หากมีโจร จะถูกขโมยค่า cookie ได้ไม่ยาก เช่นมีการดักรับข้อมูลกลางอากาศ MITM เป็นต้น ในกรณีที่มีการเก็บบันทึกข้อมูลจราจรทาง Network Log  ก็จะมองเห็นเช่นกัน ทำให้สามารถมองเห็นภาพสถานที่ได้ จากข้อมูลที่ส่งผ่านทางระบบเครือข่าย นั้นหมายความว่ากรุณาเล่นอย่างคำนึงความเป็นส่วนตัวด้วยเพราะข้อมูลที่ส่งไปประมวลผล Big data มันลอยไปบนก้อนเมฆแห่งข้อมูล

จึงอย่าได้ไปส่องหา Pokemon ในห้องนอนล่ะกันนะ ถ้าไม่อยากให้ก้อนเมฆแห่งข้อมูลเก็บบันทึกไว้จงอย่าทำ

จบข่าว

08/08/59
Nontawatt
นนทวรรธนะ  สาระมาน
พ่อบ้าน

SRAN อยู่ในรายชื่อบัญชีนวัตกรรมไทย


เทคโนโลยี ที่เราคิดไปได้ไกลถึงจุดนี้ได้ไง  อย่างไงต้องขอบคุณทุกที่เกี่ยวข้อง ที่ทำให้มันมาได้ไกลขนาดนี้

รหัสรายชื่อบัญชีนวัตกรรมไทย หมายเลข 050001

ชื่อสามัญของผลงานนวัตกรรมไทย : อุปกรณ์เฝ้าระวังป้องกันภัยคุกคามบนระบบสารสนเทศและจัดเก็บข้อมูลจราจรคอมพิวเตอร์ (IT Security Monitoring and Log File Collection System)
ทำไมต้องมีอุปกรณ์เฝ้าระวังภัยคุกคามทางเครือข่ายสารสนเทศและจัดเก็บข้อมูลจราจรคอมพิวเตอร์ ?
    มีเหตุผลหลัก 2 ประการที่หน่วยงานรัฐและเอกชนมีความจำเป็นต้องมีอุปกรณ์เฝ้าระวังภัยคุกคามทางเครือข่ายสารสนเทศและจัดเก็บข้อมูลจราจรคอมพิวเตอร์ คือ
    1.1 ตามพรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 มาตรา 26 กำหนดให้ผู้ให้บริการ (ตามกฎหมายกำหนดให้ ผู้ให้บริการหมายถึง หน่วยงาน ห้างร้าน องค์กร ใดๆ ก็ตามที่จัดให้มีการเข้าถึงเครือข่ายอินเตอร์เน็ตให้กับคนในองค์กรนั้น หรือบุคคลอื่นทั่วไปสามารถใช้งานได้) ทำให้หน่วยงานจำเป็นต้องมีอุปกรณ์ในการจัดเก็บข้อมูลจราจรฯ และกระทรวงไอซีที โดย NECTEC ได้กำหนดมาตรฐานสำหรับอุปกรณ์จัดเก็บข้อมูลจราจรฯ คือ มาตรฐาน มศอ. 4003.1-2552 โดยมาตรฐานนี้ถูกระบุในเกณฑ์ราคากลางและคุณลักษณะพื้นฐานครุภัณฑ์คอมพิวเตอร์ ที่ประกาศโดยกระทรวงไอซีที ที่หน่วยงานรัฐหากมีการจัดซื้อ จัดจ้าง ต้องใช้เป็นเกณฑ์ในการเขียนข้อกำหนด
    1.2 เนื่องจากภัยคุกคามทางไซเบอร์(Cyber Attack) ที่ปัจจุบันเพิ่มขึ้นอย่างรวดเร็ว ด้วยหลากหลายรูปแบบและมีความซับซ้อนมากขึ้น โดยล่าสุดที่ประชุม World Economic Forum ปี 2015 ได้จัดให้ Cyber Attack เป็น 1 ใน 10 ความเสี่ยงที่มีความสาคัญของโลก รัฐบาลเองก็ให้ความสำคัญกับเรื่องนี้เป็นอย่างมาก เนื่องจากภัยคุกคามทางเครือข่ายคอมพิวเตอร์ไม่เพียงนำความซึ่งความเสียหายทางเศษฐกิจ แต่ยังเกี่ยวข้องกับความมั่นคง และการกระทำที่อาจเกี่ยวข้องกับการกระทำความผิดตามพรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ซึ่งเป็นความผิดอาญาอีกด้วย
ทำไมต้องเป็น SRAN ?

    1. SRAN มีคุณสมบัติ 2 ส่วน ในอุปกรณ์เดียว คือ
        1.1 สามารถจัดเก็บข้อมูลจราจรคอมพิวเตอร์ฯ ตามพรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และได้รับมาตรฐาน มศอ. 4003.1-2552
        1.2 สามารถเฝ้าระวังภัยคุกคาม โดยมีความสามารถหลักๆ คือ
            – การสำรวจข้อมูลแบบอัตโมมัติเพื่อระบุตัวตนอุปกรณ์บนระบบเครือข่ายคอมพิวเตอร์ (Automatic Identification Device)
            – การวิเคราะห์และเทคโนโลยีในการตรวจจับความผิดปกติข้อมูล (Detect and Analyzer)
            – การวิเคราะห์ข้อมูลจราจรคอมพิวเตอร์(Log Analytic)
            – การเฝ้าติดตามปริมาณการใช้งานข้อมูลภายในองค์กร (Bandwidth Monitoring)
            – การค้นหาข้อมูลการใช้งานในเครือข่ายในเชิงลึก (Deep Search)
            – การบริหารจัดการค่าการประเมินความเสี่ยง (Vulnerability Management)
            – การเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์และดูย้อนหลัง (Log Record and Archive)
            – การเก็บบันทึกค่าสำหรับให้ IT Audit ในการตรวจสอบข้อมูลและใช้เป็นหลักฐาน (Log Audit)
      2. SRAN ได้ขึ้นบัญชีนวัตกรรมไทย (ฉบับเพิ่มเติมครั้งที่ ๓) กรกฎาคม ๒๕๕๙ (http://www.bb.go.th/bbweb/?page_id=7809) โดยสิทธิประโยชน์สำหรับผลิตภัณฑ์ที่อยู่ในบัญชีนวัตกรรมไทยคือ “ส่วนงานราชการ รัฐวิสาหกิจ หน่วยงานตามกฎหมายว่าด้วยการบิหารราชการส่วนท้องถิ่น หน่วยงานอื่น ซึ่งกฎหมายบัญญัติให้มีฐานะเป็นราชการบริหารส่วนท้องถิ่น หรือหน่วยงานอื่นของรัฐ สามารถจัดซื้อจัดจ้างจากผู้ขายหรือผู้ให้บริการที่มีรายชื่อตามบัญชีนวัตกรรมไทย โดยวิธีกรณีพิเศษหรือที่เรียกชื่ออย่างอื่นซึ่งมีวิธีการทำนองเดียวกันตามระเบียบว่าด้วยการพัสดุที่หน่วยงานนั้นๆ ถือปฏิบัติ”
ภาพหน้าจอการรายงานผลข้อมูลมีการแบ่ง ระหว่างผู้ดูแลระบบ และ ผู้ดูแลข้อมูล ออกจากกัน ตามมาตรฐาน มศอ การเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ ตามกฎหมายประเทศไทย
ภาพหน้าจอแสดงรายงานผลการประเมินความเสี่ยงจากอุปกรณ์ฯ เพื่อวิเคราะห์ความเสี่ยงตามมาตรา 5 – 11 ที่อาจส่งผลต่อการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ภายในองค์กร
คุณสมบัติทางเทคนิค (Feature)
๑. การสำรวจข้อมูลแบบอัตโมมัติเพื่อระบุตัวตนอุปกรณ์บนระบบเครือข่ายคอมพิวเตอร์ (Automatic Identification Device) 
๑.๑ รายงานการคัดแยกเครื่องที่รู้จัก (Known Device) และ ไม่รู้จัก (Unknown Device) ได้โดยการยืนยัน (Approve) เมื่อทำการยืนยันค่าแล้วหากมีอุปกรณ์แปลกปลอมเข้าสู่ระบบเครื่อข่ายก็สามารถตรวจพบได้ (Rouge Detection) 
๑.๒ รายงาน BYOD (Bring Your Own Device) แสดงค่าอุปกรณ์พกพาที่พยายามติดต่อเข้าใช้งานเครือข่ายคอมพิวเตอร์ขององค์กรได้โดยแยก Desktop (คอมพิวเตอร์พกพา เช่นโน้ตบุ๊ค) และมือถือ (Mobile) และรู้ว่าใครนำเครื่องพกพามาใช้งานภายในเครือข่าย
๑.๓ รายงานการเก็บบันทึกเป็นค่าอุปกรณ์ (Device Inventory) โดยแยกการเก็บค่าจากอุปกรณ์ (Device) ชื่อผู้ใช้งานจากระบบ Active Directory , จาก Radius ค่าจากการ Authentication  , ค่า IP Address ผู้ใช้งาน , ค่า MAC Address ,  แผนก (Department) , ยี่ห้อรุ่นอุปกรณ์   เป็นต้น
๑.๔ รายงานการเก็บบันทึกค่าซอฟต์แวร์ (Software Inventory) ที่ใช้ซึ่งในส่วนซอฟต์แวร์จะทำการค้นพบประเภทซอฟต์แวร์ที่ใช้ได้แก่ ซอฟต์แวร์ประเภทเว็บบราวเซอร์ , ซอฟต์แวร์ประเภทมัลติมีเดีย , ซอฟต์แวร์ประเภทใช้งานในออฟฟิศ ซอฟต์แวร์ที่ไม่เหมาะสมเช่นโปรแกรม Bittorrent ก็สามารถตรวจและค้นพบได้
๑.๕ การวาดรูปความเชื่อมโยงระบบเครือข่าย (Topology)   สร้างภาพเสมือนบนระบบเครือข่ายเป็น Network topology แบบ link chart ในการติดต่อสื่อสาร   (Interconnection)
๑.๖ การสำรวจเครื่องที่มีโอกาสเปลี่ยนค่า Leak path เชื่อมต่อกับ gateway อื่นที่ไม่ใช่ขององค์กร
๒. การวิเคราะห์และเทคโนโลยีในการตรวจจับความผิดปกติข้อมูล (Detect and Analyzer)
๒.๑  Attack Detection รายงานการตรวจจับการโจมตี ที่เป็นพฤติกรรมที่ชัดเจนว่าทำการโจมตีระบบ ได้แก่การ Brute Force รหัสผ่านที่เกิดขึ้นบนตัวอุปกรณ์ และเครื่องแม่ข่ายที่สำคัญ เช่น Active Directory , Web Server , Mail Server เป็นต้น อีกทั้งยังสามารถตรวจพบการโจมตีโดยการยิง Exploit เข้าสู่เครื่องแม่ข่ายที่สำคัญ เป็นต้น
๒.๒ Malware/Virus Detection รายงานการตรวจจับมัลแวร์ /ไวรัสคอมพิวเตอร์ที่เกิดขึ้นบนระบบเครือข่าย สามารถทำการตรวจจับได้โดยไม่ต้องอาศัยการลงซอฟต์แวร์ที่เครื่องลูกข่าย (Client) แต่ทำการตรวจผ่านการรับส่งค่าที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์
๒.๓ Botnet Detection  รายงานการตรวจบอทเน็ตภายในองค์กร และการโจมตีบอทเน็ตเข้าสู่ระบบเครือข่ายคอมพิวเตอร์ภายในองค์กร
๒.๔ Behavior Data Leak Detection รายงานการตรวจจับพฤติกรรมของพนักงานที่มีโอกาสสุ่มเสี่ยงในการลักลอบข้อมูลออกนอกบริษัท
๒.๕ Bittorrent Detection  รายงานการตรวจจับการใช้งานโปรแกรมดาวโหลดไฟล์ขนาดใหญ่ที่ส่งผลกระทบต่อประสิทธิภาพการใช้งานโดยรวมภายในองค์กร
๒.๖ Anomaly Detection รายงานการตรวจจับภัยคุกคามที่มีความผิดปกติในการติดต่อสื่อสาร
๒.๗ Tor/Proxy Detection รายงานการตรวจจับซอฟต์แวร์ประเภทอำพรางการสื่อสารเพื่อใช้หลบเลี่ยงการตรวจจับข้อมูลภายในระบบเครือข่ายคอมพิวเตอร์
๒.๘ HTTP/SSL Analyzer รายงานการตรวจวิเคราะห์การใช้งานเว็บไซต์พร้อมจัดทำสถิติการใช้งานอินเทอร์เน็ตภายในองค์กร
๒.๙ APT (Advanced Persistent Threat) Detection  รายงานการตรวจพฤติกรรมที่มีโอกาสเป็นภัยคุกคามประเภท APT และมีความเสี่ยงต่อองค์กร
๓. การวิเคราะห์ข้อมูลจราจรคอมพิวเตอร์(Log Analytic)
๓.๑ Threat event correlation รายงานการวิเคราะห์ข้อมูลจากการรวบรวมเหตุการณ์ภัยคุกคามที่เกิดขึ้นภายในระบบเครือข่ายคอมพิวเตอร์องค์กร
๓.๒ Risk Analyzer (High , Medium , Low) รายงานการวิเคราะห์ระดับเหตุการณ์ความเสี่ยงระดับสูง ความเสี่ยงระดับกลางและความเสี่ยงระดับต่ำ เพื่อแสดงค่าและการจัดทำรายงาน
๓.๓ Executive summary (Hour , Daily , Monthly) รายงานการจัดสรุปสถานะการณ์ทั้งหมดให้ระดับผู้บริหารองค์กร โดยกำหนดได้ที่เป็นรายชั่วโมง รายวัน และรายเดือน
๓.๔ Thai Cyber Law Act รายงานความเสี่ยงที่มีโอกาสเข้าข่ายตามมาตราฐานความผิดเกี่ยวกับการใช้งานคอมพิวเตอร์ภายในองค์กร ซึ่งเป็นจุดเด่นสำคัญที่มีความแตกต่างกับสินค้าอื่นและช่วยให้ออกรายงานสำหรับผู้บริหารได้อย่างครบถ้วน
๔. การเฝ้าติดตามปริมาณการใช้งานข้อมูลภายในองค์กร (Bandwidth Monitoring)
๔.๑ Country / City monitoring (In-out organization) รายงานผลการเฝ้าติดตามปริมาณการใช้งานข้อมูลระดับประเทศ ระดับเมือง ที่ส่งข้อมูลเข้าในองค์กรเรา และที่องค์กรของเราติดต่อไปยังโลกภายนอกเป็นการตรวจสอบข้อมูลวิ่งเข้าสู่องค์กร (Incoming data) และข้อมูลที่ถูกนำออกนอกองค์กร (Out going data) โดยผ่านเทคโนโลยี GeoData
๔.๒ Protocol and Service Bandwidth monitor จะสามารถคำนวณค่าปริมาณ Bandwidth ที่เกิดขึ้นบนระบบเครือข่ายได้โดยแยก Protocol TCP, UDP,ICMP และ Service ตาม well know port service จะทำให้ทราบถึงปริมาณการใช้งานข้อมูลได้อย่างละเอียดและประเมินสถานการณ์ได้อย่างแม่นยำ
๔.๓ Application Monitoring (Software bandwidth usage) รายงานการใช้แอพลิเคชั่นและปริมาณการใช้ข้อมูลภายในองค์กรกว่า 1,000 ชนิด ได้แก่ SAP , ERP , Orcal , Skyp, Microsoft และ Enterprise แอพลิเคชั่น  SRAN รู้จักทำการเฝ้าติดตามและรายงานผ่านหน้าจอเพื่อดูปริมาณการใช้งานที่มีผลกระทบต่อองค์กร
๔.๔ Social Network Monitoring (Facebook , Line ,Youtube , Google Video , Twitter , Pantip) รายงานการใช้งานเครือข่ายสังคมออนไลน์เพื่อให้รู้ถึงปริมาณข้อมูลที่ใช้ภายในองค์กร ได้แก่ Facebook , Line , Youtube , Google Video , Twitter และ Pantip  ทำให้ผู้บริหารองค์กรสามารถทราบความเคลื่อนไหวและการใช้ปริมาณข้อมูลภายในองค์กร
๔.๕  User Monitoring  รายงานและจัดอันดับการใช้งาน Bandwidth ภายในองค์กร โดยจะเห็นรายชื่อผู้ใช้จากคุณสมบัติข้อ ๑ ทำให้เราทราบถึงชื่อผู้ใช้งานและค่า Bandwidth ที่สูงสุดและทำเป็นรายงานผลได้เป็นรายชั่วโมง รายวัน และรายเดือน
๕. การค้นหาข้อมูลการใช้งานในเครือข่ายในเชิงลึก (Deep Search)
๕.๑ การพิสูจน์หลักฐานทางข้อมูลสารสนเทศ (Network Forensic Evident data) ค้นหาเหตุการณ์ที่เกิดขึ้น แบ่งตามเนื้อหา (content search)  ดังนี้  Web Access ,  Files Access , Network connection , SSL , Mail , Data Base , Syslog , VoIP , Remote Desktop , Radius  และ Active Directory  เหล่านี้สามารถค้นหา RAW Log ที่เกิดขึ้นได้ ทั้งแบบปัจจุบัน และ ย้อนหลังตามกฎหมาย
๕.๒  การค้นหาข้อมูลเชิงลึกสำหรับผู้บริหารและทรัพยากรบุคคล (HR /Top Manager query sensitivity data)  การค้นหาเชิงลึกสำหรับผู้บริหารระดับสูง ที่ระบุถึงพฤติกรรมการใช้งานและการสื่อสารผ่านระบบอินเทอร์เน็ตและเครือข่ายคอมพิวเตอร์ภายในองค์กร
๕.๓ การค้นหารวดเร็ว และสามารถใช้เงื่อนไขในการค้นหา เช่น  AND OR NOT เข้ามาเกี่ยวข้องเพื่อให้การค้นเป็นไปอย่างมีประสิทธิภาพที่สุด
๖. การบริหารจัดการค่าการประเมินความเสี่ยง (Vulnerability Management) 
๖.๑ Passive Vulnerability scanner : เป็นการทำงานต่อเนื่องเพื่อตรวจสอบและประเมินความเสี่ยงโดยทำการตรวจสอบจากค่า CVE (Common Vulnerabilities and Exposures)  การค่า SSL Heartbleed Poodle, Shellsock ที่พบเครื่องแม่ข่ายและลูกข่ายภายในองค์กรที่มีโอกาสเกิดความเสี่ยงจากช่องโหว่นี้, การตรวจสอบการรับใบ Certification ที่ไม่ถูกต้อง ที่อาจตกเป็นเหยื่อการทำ MITM (Man in The Middle Attack) การตรวจสอบการรับใบ Certification ที่หมดอายุ expired date SSL certification) การตรวจสอบการรับส่งไฟล์ขนาดใหญ่ที่เกิดขึ้นในองค์กร , การตรวจสอบ backdoor และการสื่อสารที่ผิดวิธีจากมาตรฐาน และทำการแจ้งเตือนผ่าน Incident response notices 
๖.๒ Active Vulnerability scanner : การตรวจสอบโดยตั้งค่า ตรวจสอบความปลอดภัยให้กับเครื่องแม่ข่ายที่ใช้ทำเป็น Active Directory การตรวจสอบรายชื่อผู้ใช้งาน ค่าความปลอดภัย รวมถึงการตรวจสอบเครื่องที่มีโอกาสติดเชื้อและมีช่องโหว่ตาม CVE
๖.๓ IPv6 checklist : การตรวจสอบค่า IPv6 โดยทำการส่งค่าตรวจสอบแบบ Broadcast เพื่อสำรวจเครือข่ายว่าอุปกรณ์ไหนที่รองรับค่า IPv6 และจัดทำรายงานการสำรวจ  
ภาพการรายงานผลการประเมินอุปกรณ์ภายในองค์กรที่รองรับ IPv6 ตามข้อกำหนดของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารที่ให้ภาครัฐตรวจสอบอุปกรณ์ที่รองรับค่า IPv6  จะทำให้หน่วยงานที่ใช้ SRAN จะได้คุณสมบัติในการตรวจสอบเป็นรายงานทำให้สะดวก และลดค่าใช้จ่ายภายในองค์กรโดยไม่จำเป็นต้องจ้างผู้เชี่ยวชาญเข้ามาประเมิน
๗. การเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์และดูย้อนหลัง (Log Record and Archive)
๗.๑ การเก็บบันทึกข้อมูลแบบ Raw data การเก็บข้อมูลที่เป็นประโยชน์ในการสืบสวนสอบสวนและการหาผู้กระทำความผิด ด้วยการเก็บบันทึกที่สามารถทำได้แบบ Hybrid ซึ่ง SRAN เป็นต้นฉบับของการทำวิธีนี้ คือการรับข้อมูลจราจรคอมพิวเตอร์แบบ Passive mode และ รับค่าจากอุปกรณ์อื่นได้ 
๗.๒ รองรับค่า Log จาก  AD (Active Directory) , Router / Firewall / VPN ,Mail Server (Support Exchange , Lotus note) , DHCP , DNS, SNMP , Radius Wi-Fi Controller และทำการแยกแยะค่าการเก็บ Log โดยแบ่งเป็นหมวดให้ได้โดยอัตโนมัติ รองรับการเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ที่เกี่ยวข้องกับ Protocol ที่ใช้กับอุปกรณ์สื่อสารในโรงงานอุตสาหกรรม ประเภท Modern SCADA system รองรับ Protocol DNP3, Mobus (Modicon Communication Bus) เป็นต้น 
๗.๓ รองรับ SCP , sFTP และการ mount files log จากเครื่องอื่นมาเก็บแบบรวมศูนย์ (Centralization Log) และมีความสามารถใน Export Data ออกเพื่อใช้ในการพิสูจน์หาหลักฐาน การ Export ข้อมูลเรียงตามชั่วโมง วันและเดือนปี
๗.๔ การเก็บบันทึกข้อมูลสามารถเก็บได้ตามจำนวนวันที่กฎหมายกำหนด หรือกรณีที่ต้องการเก็บเพิ่มก็สามารถขยายพื้นที่ในการจัดเก็บได้ โดยมีซอฟต์แวร์ SRAN Logger Module ที่ผ่านมาตรฐาน   NECTEC มศอ.๔๐๐๓.๑ – ๒๕๕๒ (NECTEC STANDARD NTS 4003.1-2552) ระบบเก็บบันทึกข้อมูลจราจร ตาม พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ปี 2550 ให้มาด้วย
๗.๕ การเก็บบันทึกข้อมูลมีการยืนยันความถูกต้องข้อมูล Integrity hashing confidential files
หน้าแสดงค่า Log file ที่ถูกต้องตามมาตราฐาน มศอ และสามารถไปใช้ในชั้นศาลได้
๘. การเก็บบันทึกค่าสำหรับให้ IT Audit ในการตรวจสอบข้อมูลและใช้เป็นหลักฐาน (Log Audit)
๘.๑  การเก็บบันทึกค่า Active Directory Login active / Login fail
๘.๒ การเก็บบันทึกค่า SSH Login active / Login fail
ภาพการออกแบบอุปกรณ์ SRAN Light LT50 Hybrid
ภาพอุปกรณ์ฮาร์ดแวร์ระบบเฝ้าระวังภัยคุกคามข้อมูลสารสนเทศและการเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ ที่ได้รายชื่อบัญชีนวัตกรรมไทย จากสำนักงบประมาณ
ภาพช่องรับสัญญาณข้อมูลที่ผ่านระบบเครือข่ายคอมพิวเตอร์
มาตรฐานที่ได้รับจากฮาร์ดแวร์อุปกรณ์ SRAN  และขั้นตอนในผลิตภัณฑ์ (Certification)
1. มาตรฐาน มศอ. 4003.1-2552 ระบบเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ตามกฎหมายเล่ม 1 ข้อกำหนดใช้ได้ถึง 8 เมษายน 2562
2. มาตรฐาน ศอ. 2001.2-2553 วิธีการประเมินสมรรถนะ สำหรับ บริภัณฑ์คอมพิวเตอร์และส่วนประกอบเชิงหน้าที่ เล่ม 2 ความร้อนใช้ได้ถึง 8 เมษายน 2562
3. มาตรฐาน ศอ. 2006.2.1-2555 วิธีการประเมินสมรรถนะ สำหรับบริภัณฑ์คอมพิวเตอร์และส่วนประกอบเชิงหน้าที่ เล่ม 2 ส่วนที่ 1 การใช้พลังงานในภาวะใช้กำลังไฟฟ้าต่ำ ใช้ได้ถึง 8 เมษายน 2562
4. มาตรฐาน ศอ. 2006.3-2556 วิธีการประเมินสมรรถนะ สำหรับบริภัณฑ์คอมพิวเตอร์ และส่วนประกอบเชิงหน้าที่ เล่ม 3  การคำนวณและประมวลผลข้อมูล ใช้ได้ถึง 8 เมษายน 2562
5. มาตรฐาน มอก. 1956-2548 บริภัณฑ์เทคโนโลยีสารสนเทศ เฉพาะด้านความปลอดภัยข้อกำหนดทั่วไป ใช้ได้ถึง 8 เมษายน 2562
6. มาตรฐาน มอก. 1956-2553 บริภัณฑ์เทคโนโลยีสารสนเทศ ขีดจำกัดสัญญาณรบกวนวิทยุ ใช้ได้ถึง 8 เมษายน 2562
7. มาตรฐาน มอก. 1448-2544 ความเข้ากันได้ทางแม่เหล็กไฟฟ้า เล่ม 3-2 : ขีดจำกัดสำหรับสิ่งที่ส่งออกมาซึ่งเป็นกระแสฮาร์โมนิก (กระแสไฟฟ้าเข้า 16 แอมแปร์ต่อเฟส) ใช้ได้ถึง 8 เมษายน 262
8. มาตรฐาน ISO 9001:2008 จาก SGS (Thailand) ให้กับการผลิตภัณฑ์ SRAN  ในการให้บริการด้านความมั่นคงปลอดดภัยข้อมูลสารนเทศภายใต้ผลิตภัณฑ์ ใช้ได้ถึง 14 กันยายน 2561
สิทธิประโยชน์ ผลิตภัณฑ์ SRAN ดังนี้
1. สิทธิประโยชน์มาตรการยกเว้นภาษีเงินได้นิติบุคคลสำหรับค่าใช้จ่ายด้านการวิจัย พัฒนา เทคโนโลยี และนวัตกรรม ร้อยละ 300
2. สิทธิประโยชน์ทางภาษีระบบ Self – Declaration
3. มาตรการทางภาษีสำหรับเงินบริจาคเข้ากองทุนเพื่อการวิจัย พัฒนาเทคโนโลยี และนวัตกรรม
4. การยกเว้นภาษีเงินได้แก่กิจการธุรกิจเงินร่วมลงทุนและนักลงทุนในกิจการธุรกิจร่วมลงทุนสำหรับเงินปันผลและกำไรจากการโอนหุ้น
5.  ได้รับการขึ้นทะเบียนนวัตกรรมไทย เป็นเวลาสูงสุด 4 ปี
6. ส่วนรายชการ รัฐวิสาหกิจ หน่วยงานตามกฎหมายว่าด้วยการบริหารราชการส่วนท้องถิ่น หน่วยงานอื่น ซึ่งมีกฎหมายบัญญัติให้มีฐานะเป็นราชการบริหารส่วนท้องถิ่น หรือหน่วยงานอื่นของรัฐ สามารถจัดซื้อจัดจ้างจากผู้ขายหรือผู้ให้บริการที่มีรายชื่อตามบัญชีนวัตกรรมไทย โดยวิธีกรณีพิเศษที่เรียกชื่ออย่างอื่นซึ่งมีวิธีการทำนองเดียวกันตามระเบียบว่าด้วยการพัสดุที่หน่วยงานนั้นๆ ถือปฎิบัติ
อ้างอิงสิทธิประโยชน์จาก เอกสาร บัญชีรายชื่อนวัตกรรมไทยฉบับเดือนมกราคม 2559   หน้าที่ 5
เอกสาร
เอกสารรายชื่อบัญชีนวัตกรรมไทย ประกาศจากสำนักงบประมาณ กระทรวงการคลัง ฉบับเพิ่มเติมเดือนกรกฎาคม 2559

อบรม LAB Cyber Security ให้กับทาง SIPA ครั้งที่ 2

 โครงการเสริมสร้างความรู้และทักษะบุคลากร ที่ทาง SIPA ร่วมกับมหาวิทยาลัยศรีปทุม เป็นผู้จัดขึ้น ทางผมและทีม SRAN ได้เข้าร่วมเพื่อทำการจัดฝึกอบรมในหลักสูตร LAB Cyber Security จำนวน 5 วัน

ได้รับเกียรติจากมหาวิทยาลัยศรีปทุม และ SIPA ให้เป็นวิทยากรให้ความรู้ด้าน Cyber Security และการเก็บข้อมูลจราจรคอมพิวเตอร์ตาม พ.ร.บ.คอมพิวเตอร์ ต่อหน่วยงานรัฐ สถาบันการศึกษาและเอกชน โดยในรุ่นนี้มีผู้เข้าฝึกอบรมจำนวน 56 คน” จัดทำเป็นการสอนแบบ LAB ปฎิบัติจริงจำนวน 5 วัน รุ่นที่ 2 วันที่  25 – 30 กรกฎาคม 2559  โดยการฝึกปฏิบัตินี้ได้ทำให้ผู้อบรมได้รู้จัก Log files แต่ละประเภท ทั้งที่เป็น Network Log , Syslog จากอุปกรณ์ และเครื่องแม่ข่าย ตลอดจน Log จากการถอดค่า SSL (SSL Decrypt) และเสริมทักษะในการวิเคราะห์ Log แบบมืออาชีพ รวมทั้งการฝึกสังเกตการโจมตีทางไซเบอร์ (Cyber Attack) จากประสบการณ์จริง เพื่อให้ผู้เข้าร่วมอบรมได้นำความรู้ที่ได้เรียนรู้มานำไปปฏิบัติตัวได้อย่างมีประสิทธิภาพต่อองค์กรต่อไป

หลักสูตรวิเคราะห์ Log การโจมตีระบบทางระบบเครือข่ายคอมพิวเตอร์

หลักสูตรนี้ผมออกแบบให้เน้น “การมองเห็นบนระบบเครือข่าย (Network visibility)  และ เห็น Log แต่ละชนิดหน้าตาเป็นเช่นไร เพื่อเอาไปใช้ในการวิเคราะห์และการหาสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์”

ตัวอย่าง LAB ที่ให้ผู้เข้าฝึกอบรม

นับว่าเป็นอีกการอบรมหนึ่งที่ผมประทับใจอีกครั้งหนึ่ง  เพราะ LAB ทั้งหมด Set มาจากประสบการณ์ของตนเอง สอนตามประสบการณ์  ในการอบรมในครั้งนี้ทั้งหมดนี้เป็นการเรียนฟรี  กิจกรรมดีๆ ของมหาวิทยาลัยศรีปทุม และทาง SIPA
บรรยากาศในห้องปฏิบัติการ

อบรม LAB Cyber Security ให้กับทาง SIPA

โครงการเสริมสร้างความรู้และทักษะบุคลากร ที่ทาง SIPA ร่วมกับมหาวิทยาลัยศรีปทุม เป็นผู้จัดขึ้น ทางผมและทีม SRAN ได้เข้าร่วมเพื่อทำการจัดฝึกอบรมในหลักสูตร LAB Cyber Security จำนวน 5 วัน


         ได้รับเกียรติจากมหาวิทยาลัยศรีปทุม และ SIPA ให้เป็นวิทยากรให้ความรู้ด้าน Cyber Security และการเก็บข้อมูลจราจรคอมพิวเตอร์ตาม พ.ร.บ.คอมพิวเตอร์ ต่อหน่วยงานรัฐ สถาบันการศึกษาและเอกชน โดยในรุ่นนี้มีผู้เข้าฝึกอบรมจำนวน 56 คน” จัดทำเป็นการสอนแบบ LAB ปฎิบัติจริงจำนวน 5 วัน คือตั้งแต่วันที่ 24 – 28 พฤษภาคม 2559 นี้  และรุ่นที่ 2 วันที่  25 – 30 กรกฎาคม 2559  โดยการฝึกปฏิบัตินี้ได้ทำให้ผู้อบรมได้รู้จัก Log files แต่ละประเภท ทั้งที่เป็น Network Log , Syslog จากอุปกรณ์ และเครื่องแม่ข่าย ตลอดจน Log จากการถอดค่า SSL (SSL Decrypt) และเสริมทักษะในการวิเคราะห์ Log แบบมืออาชีพ รวมทั้งการฝึกสังเกตการโจมตีทางไซเบอร์ (Cyber Attack) จากประสบการณ์จริง เพื่อให้ผู้เข้าร่วมอบรมได้นำความรู้ที่ได้เรียนรู้มานำไปปฏิบัติตัวได้อย่างมีประสิทธิภาพต่อองค์กรต่อไป

ภาพความประทับใจในรุ่นที่ 1
 ภาพความประทับใจในรุ่นที่ 2

หลักสูตรนี้ผมออกแบบให้เน้น “การมองเห็นบนระบบเครือข่าย (Network visibility)  และ เห็น Log แต่ละชนิดหน้าตาเป็นเช่นไร เพื่อเอาไปใช้ในการวิเคราะห์และการหาสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์”

ตัวอย่าง LAB ที่ให้ผู้เข้าฝึกอบรม

  
นับว่าเป็นอีกการอบรมหนึ่งที่ผมประทับใจอีกครั้งหนึ่ง  เพราะ LAB ทั้งหมด Set มาจากประสบการณ์ของตนเอง สอนตามประสบการณ์  ในการอบรมในครั้งนี้ทั้งหมดนี้เป็นการเรียนฟรี  กิจกรรมดีๆ ของมหาวิทยาลัยศรีปทุม และทาง SIPA
บรรยากาศในห้องปฏิบัติการ
โดย LAB กำหนดจากประสบการณ์และวิธีการสังเกตข้อมูลบนระบบเครือข่ายคอมพิวเตอร์ รวมถึงการปฎิบัติให้เห็นจริงว่าหน้าตาของ log files แต่ละประเภทเป็นอย่างไร ตลอดระยะเวลา 5 วัน
ประธานรุ่นที่ 1 มอบของที่ระลึกให้ในวันสุดท้าย
ประทับใจครับ หลังจากหายหน้าหายตาจากการบรรยายและฝึกอบรมมานาน  
ขอบคุณที่ยังจำผมได้
นนทวรรธนะ  สาระมาน
SRAN

อบรมการใช้งาน SRAN ที่มหาวิทยาลัยศิลปกร

   วันที่ 26,27 และ 28 เมษายน 2559 ที่ผ่านมาทางทีมงาน SRAN ได้อบรมการใช้งาน SRAN และ Network Packet Broker ในหลักสูตรระบบเฝ้าระวังและตรวจจับภัยคุกคามเครือขายคอมพิวเตอร์โดยทางมหาวิทยาลัยศิลปกรได้ใช้ SRAN Solution ในการจัดเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์และการเฝ้าระวังภัยคุกคามที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์ของมหาวิทยาลัย การอบรบมีทั้งส่วนทฤษฎีและภาคปฏิบัติ โดยถือว่าเป็นมหาวิทยาลัยที่ใช้ครบทุกคุณสมบัติ (Feature) ของ Next Generation SRAN Security Center รุ่น NetApprove

ภาพถ่ายรวมกับคณะอาจารย์และผู้ดูแลระบบมหาวิทยาลัยศิลปากรและทีมงาน SRAN นับว่าเป็นภาพแห่งความประทับใจอีกครั้งที่ทีมงาน SRAN ได้ทำอย่างเต็มที่ในโครงการนี้

และกลับมายืนที่เดิมอีกครั้งเมื่อวันที่ 1 สค 59  ขอบคุณจากใจจริง