สิ่งธรรมดาคือสิ่งวิเศษ

เมื่อวานผมได้รับ e-mail หัวเรื่อง “สิ่งธรรมดาคือสิ่งวิเศษ” มีประโยคที่อ่านแล้วรู้สึกดีจึงอยากนำมาเผยแพร่เป็นของขวัญวันปีใหม่ไทย เป็นสิ่งดีๆที่เข้ามาในชีวิตเรา ประโยคนั้นมาจากคำพูดของ
ท่าน ติช นัท ฮันท์ “ปาฏิหาริย์ไม่ใช่การเดินบนน้ำ หรือบินอยู่บนอากาศ แต่ปาฏิหาริย์คือการเดินอยู่บนผืนดินและมีความสุขในทุกย่างก้าว” เพราะชีวิตเราในแต่ละวันล้วนมีแต่เรื่องธรรมดา

โดยธรรมชาติแล้วมนุษย์เราต้องความสำเร็จในชีวิตด้านใดด้านหนึ่งอยู่เสมอ แต่จะสำเร็จอย่างไรนั้นขึ้นกับเหตุในปัจจุบันหลายอย่างเช่น มีคุณสมบัติที่นำไปสู่ความสำเร็จหรือไม่ มีความรู้สึกต่อความสำเร็จนั้นอย่างไร มีความพอใจหรือไม่พอใจ พูดกันตามความเป็นจริงแล้ว มนุษย์เรามีความประสบความสำเร็จอยู่เสมอ แต่ที่บางคนรู้สึกน้อยเนื้อต่ำใจว่าไม่ประสบความสำเร็จนั้น ก็เป็นเมื่อความต้องการอย่างหนึ่งสำเร็จตามความต้องการแล้ว ก็มีความต้องการอย่างใหม่เกิดขึ้นอีก หรือในความต้องการอย่างเดียวกันนี้ แต่มีระดับสูงขึ้นไป ในกรณีดังกล่าวถ้าเขาพอใจในความสำเร็จนั้น ความรู้สึกว่าประสบความสำเร็จก็ดำรงอยู่นานหน่อย เท่าที่ความพอใจของเขายังคงดำรงอยู่ แต่เมื่อรู้สึกไม่พอใจ ความสำเร็จก็มีค่าเท่ากับความไม่สำเร็จ และดูเหมือนให้ความทุกข์ทรมานแก่เขามากขึ้น
สำหรับคุณธรรมที่จะเกื้อกูลให้ประสบความสำเร็จนั้นตามพุทธศาสนามีหลายประการ เช่น ต้องมีศรัทธา มีความเชื่อมั่นทางที่ดำเนินอยู่ และมีฉันทะ คือความพอใจในสิ่งที่ทำ ทำในสิ่งที่พอใจไม่ใช่ทำแบบเบื่อหน่าย

ที่สำคัญคือศรัทธาในคุณงามความดี และจำเป็นต้องปฏิบัติอย่างไม่เสื่อมคลาย นอกจากนี้ยังต้องมีความพากเพียรพยายามสม่ำเสมอ มีความเอาใจใส่อย่างจริงจัง มีสติรอบครอบ มีความตั้งใจมั่นคง มีปัญญารอบรู้
มีความเข้าใจชัดแจ้งในกิจการงานนั้นๆ จะนำพาสู่ความสำเร็จในชีวิตการงานและการดำเนินชีวิตได้

สวัสดีปีใหม่ไทย ครับ

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Thansettakit โครงการไทยช่วยไทยฯ

หนังสือพิมพ์ Thansettakit โครงการไทยช่วยไทยฯ
วันที่ 5-8 เมษายน 2552 หน้า 31

โครงการไทยช่วยไทยฯ นรัตน์ สาระมาน การรมการผู้จัดการ บริษัท โกลบอล เทคโนโลยี อินทิเกรเทด จำกัด หรือ SRAN ร่วมกับ ประพัฒน์ รัฐเลิศกานต์ กรรมการผู้จัดการ บริษัท แพลนเน็ต คอมนิวนิเคชั่น เอเชีย จำกัด และ ธงชัย พรรควัฒนชัย กรรมการบริหาร บริษัท เดอะแวลลู ซิสเตมส์ จำกัด ผู้จัดจำหน่ายสินค้าและให้บริการด้านไอทีรายใหญ่ในประเทศไทย เปิดตัสโครงการ “ไทยช่วยไทย ไอทีคุ้มค่าใช้ SRAN คุ้มครอง” มอบสิทธิพิเศษต่างๆ

ดู SRAN ผ่าน iPhone

ชายหาดที่เงียบสงบ “ได้ยินเสียงคลื่นกระทบฝั่ง ประกายแดดกระทบผิวน้ำทะเลเป็นระยิบระยับ หาดทรายขาวเม็ดละเอียดดูขาวสดใส กลุ่มก้อนเมฆก็สีขาว ตัดกับขอบฟ้าสีคราม เหนือท้องน้ำทะเล สาวน้อยในชุดบีกีนี่ก็ขาว โอ้ ชั่งมีความสุขแล้ว มนุษย์โลก” พัฒนึกในใจ ในวันพักผ่อนที่พัฒใช้สิทธิตนเอง ลาพักเหนื่อยในสถานที่ห่างไกล ผู้คนวุ่นวาย ไร้ความแออัดของยานพหนะ นายพัฒนั่งริมชายหาด บนเก้าอี้ขาว(อีก) และในมือที่ถืออยู่นั้นคือ iPhone พัฒฟังเพลงจาก iPhone โดยเเลือกเปิดเพลงที่เหมาะกับวันนี้ ชื่อเพลงว่า วันหนึ่งวันนั้น ของสุรสีห์ อิทธิกุล ในชุดกัลปาวสาน เป็นเพลงเก่าที่พึ่งหาพบกับเพื่อนนักสะสมเพลง นอกจากฟังเพลงแล้วซาบซึ้งกับบรรยายกาศชายทะเลอันแสนสุขแล้ว แต่ใจของพัฒก็ยังไม่ยุติความกังวล อาจเป็นเพราะมีจิตสำนึกในหน้าที่และมีความรับผิดชอบในสิ่งที่ตนเองได้รับมอบหมายงานมา นายพัฒจึงนั่งคิดถึงงานที่บริษัท เนื่องจากตนเองเป็นผู้ดูแลระบบเครือข่ายนี้เอง เป็นเรื่องที่ท้าทาย ว่าใครกันนะ ที่ทำให้บริษัทต้องถูกกล่าวหาว่าเป็นผูู้้โจมตีเว็บไซด์เว็บหนึ่ง หรือว่าจะเป็นเรื่องที่จัดฉากขึ้นจากฝีมือใครคนใดคนหนึ่งที่ไม่พึ่งประสงค์ดี
จะต้องทำอย่างไรอย่างหนึ่งเพื่อหาสาเหตุปัญหาเรื่องนี้ให้ได้
จึงทำการเปิด iPhone เพื่อที่จะเชื่อมต่ออินเตอร์เน็ต ที่เหลือแบตเตอรี่ไม่มาก ทำการค้นหาสัญญาณ Wireless LAN ไม่ช้าก็พบและทำการเกาะสัญญาณได้ พร้อมอุทานว่า “โชคดีแล้วเรา” พัฒไม่รอช้า ทำงานพร้อมเสียงเพลงที่ยังคงบรรเลงอยู่

ใกล้มือที่สุด คือ iPhone คลิกปุ่มเพื่อทำการ Slide unlock และคลิกเกาะ Wi-fi ที่ทางรีสอร์ทจัดให้

เมื่อทำการติดต่อระบบ Wi-fi ได้ก็ลองเปิดบราวเซอร์ดูว่ามีการเชื่อมต่ออินเตอร์เน็ตได้หรือไม่ เมื่อได้แล้วพัฒไม่รอช้า
จึงเข้าสู่ Web Application บนอุปกรณ์ SRAN ที่ทาง Firewall บริษัท XXX ได้ Forward port 443 ให้แล้ว


ทำการ Login และใส่ User / Password ในระดับนักวิเคราะห์ระบบ (Analysis) หรือระดับ Member บนอุปกรณ์ SRAN SR-L


เข้าสู่หน้าจอวิเคราะห์ผล พัฒคลิกหน้า Summary ของ SRAN เพื่อดูภาพรวมข้อมูลจราจรของบริษัท XXX จากนั้นจึงคลิกเพื่อดูย้อนหลังลักษณะการใช้งาน


ทำการคลิกเข้าสู่ Menu –>LAW และคลิกดูผลการทำ Data Archive เพื่อดูถึงการบันทึกข้อมูลจราจรภายในองค์กร


เมื่อคลิกผลการบันทึกข้อมูลบนอุปกรณ์ SRAN ผ่านอินเตอร์เน็ทบนเครื่อง iPhone พบสิ่งผิดปกติคือ

มีลักษณะการบุกรุกที่เป็น DDoS เหมือนชนิดเครื่องภายในบริษัท XXX ติดเป็น Zombie อยู่ ซึ่งพัฒผ่านการอบรมจากทีมงาน SRAN ว่า Zombie คือเครื่องที่ติดโปรแกรมที่ไม่พึ่งประสงค์ (Malware) และ Zombie หลายตัว รวมเรียกว่า Botnet นั้นเอง แต่นี้เป็นเพียงขอสังเกตที่พัฒได้วินิฉัยเบื้องต้นเท่านั้น
(อ่านเพิ่มเติมได้ที่ กองทัพ Botnet คืออะไร)

เมื่อพัฒวิเคราะห์ถึงค่า Playload ของลักษณะการโจมตีนี้พบว่า เป็นการติดต่อ Ping Pong ซึ่งคล้ายๆกับ โปรแกรม Eggdrop หรือ TNT ที่เป็น Botnet ใน IRC และคงมีคนสั่งการผ่านทางอินเตอร์เน็ทให้ bot นี้ลักษณะนี้ ที่อยู่ในบริษัท XXX ยิงไปที่อื่นอยู่ พัฒเคยศึกษามาในบทความ Darkside of the Internet ของทีมงาน SRAN เขียนขึ้นเมื่อปี 2005 จากนั้นพัฒได้ดูประวัติ และพฤติกรรมการใช้งานของ IP ที่น่าสงสัยนี้ พบว่านอกจากเป็น Botnet แล้วยังพยายามยิง DoS ผ่านช่องโหว่ Web Dev อีกด้วยและพัฒได้จดบันทึกค่าที่ตนเองพบ ตามหลักการเก็บข้อมูล Chain of Event ทันที โดยพิจารณาจาก 5 คำถามคือ Who,What,Where,When,Why นั้นเอง

ตอนนี้ พัฒทราบสาเหตุเบื้องต้นแล้ว และรู้ทั้ง IP Source และ IP Destination จากที่ SRAN ได้บันทึกไว้แล้ว
สามารถอ่านตอนเชื่อมจากนี้ได้ที่ กรณีศึกษา Data Hashing ตอนที่ 2


ทำการปิดการเชื่อมต่อ SRAN ในหน้าจอบราวเซอร์ขึ้นข้อความดังรูป
พัฒจึงใช้เวลาไม่นานในการวิเคราะห์ผล เพราะอุปกรณ์ SRAN สามารถวิเคราะห์แทนได้ระดับหนึ่งแล้ว สิ่งที่ต้องทำต่อคือส่งข้อมูลที่ได้มาเพื่อชี้แจงกับผู้บริหารบริษัท XXX ต่อไป

เพลงวันหนึ่งวัน ก็จบลงพร้อมกับการวิเคราะห์เครือข่่ายโดยใช้ SRAN SR-L ผ่านมือถือ iPhone

บรรยากาศดีๆ ชายทะเล ในหน้าร้อน กับเพื่อนคู่ใจ iPhone ก็สำราญอารมณ์ได้ จริงไหม

นนทวรรธนะ สาระมาน
Nontawattana Saraman

การสร้างเครือข่ายตื่นรู้ ตอนที่ 2


ก่อนหน้านี้ผมได้เขียนบทความการสร้างเครือข่ายตื่นรู้ ในตอนแรก การสร้างเครือข่ายตื่นรู้ (Energetic Network) ตอนที่ 1
และในบางส่วน ในนิตยสารไมโครคอมพิวเตอร์ ของสำนักพิมพ์ Se-ed ไปบางส่วนแล้ว
และเพื่อเป็นการสร้างความเข้าใจในเนื้อหามากขึ้้น ผมจึงอยากให้ศึกษาบทความผมเพิ่มเติ่มได้ เป็นบทเสริม ได้แก่ Log คืออะไร และ เทคนิคการเก็บ Log และอยากให้อ่านกรณีศึกษา การทำ Data Hashing ตอนที่ 1 และ ตอนที่ 2 จึงจะสามารถอ่านบทความนี้อย่างเข้าใจมากขึ้น

ต่อจากตอนที่แล้ว ..
4. องค์ประกอบ เครือข่ายตื่นรู้ (Energetic Network)
4.1 การจัดเก็บคลังข้อมูล (Inventory)
4.2 การระบุตัวตน (Identity)
4.3 การเฝ้าระวังและวิเคราะห์ผล (Monitoring & Analysis)
4.4 การควบคุม (Control)
4.5 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐาน (Compliance)
สิ่งที่เราต้องทำ
4.1 การจัดเก็บคลังข้อมูล (Inventory) ประกอบด้วย
การจัดเก็บคลังข้อมูลบุคคลากร โครงสร้างองค์กร หรือ โครงสร้างบริษัท แผนก พนักงาน
การจัดเก็บคลังข้อมูลแผนผังเครือข่ายคอมพิวเตอร์ ได้แก่ Network Diagram , IP อุปกรณ์ Router , Switch , Firewall , NIDS/IPS เป็นต้น
การจัดเก็บคลังข้อมูลเกี่ยวกับคอมพิวเตอร์ ได้แก่ ระบบปฏิบัติการ (Operating System) , IP , MAC Address , ชื่อเครื่องคอมพิวเตอร์ , ชื่อผู้ใช้งานเครื่องคอมพิวเตอร์ และ ฮาร์ดแวร์ต่างๆ ที่อยู่บนเครื่องคอมพิวเตอร์ในองค์กร
การจัดเก็บคลังข้อมูลซอฟต์แวร์ และแอฟิเคชั่น ได้แก่ ซอฟต์แวร์ต่างๆ ที่ลงบนเครื่องคอมพิวเตอร์ ในองค์กร

4.2 การระบุตัวตน (Identity) มี 4 องค์ประกอบดังนี้
– การระบุตัวตนในการเข้าระบบ (Authentication)
– การระบุสิทธิในการใช้งาน (Authorization)
– การระบุตัวตนผู้ใช้งาน (Accounting)
– การระบุข้อมูลหลักฐานผู้ใช้งาน (Auditing)

4.2.1 การระบุตัวตนในการเข้าระบบ (Authentication) การระบุตัวตนนี้มีด้วยกัน 3 ทางเลือกได้แก่
สิ่งที่คุณมี (Some thing you have) ได้แก่ สมาทการ์ด บัตรพนักงาน หรือ Token เป็นต้น
สิ่งที่คุณรู้ (Some thing you know) ได้แก่ รหัสผ่าน
สิ่งที่คุณเป็น (Some thing you are) ได้แก่ อวัยวะในร่างกาย ม่านตา ลายนิ้วมือ เป็นต้น
เพื่อให้การระบุตัวตนในการเข้าระบบ ได้อย่างปลอดภัยและยืนยันตัวตนได้ค่อนข้างถูกต้อง ควรทำเป็นแบบ Two Factor Authentication คือมี 2 ใน 3 ทางเลือกสำหรับการระบุตัวตน ส่วนใหญ่ใช้เป็น สิ่งที่คุณมี และ สิ่งที่คุณรู้ เป็น 2 Authentication factor เพื่อป้องกันปัญหาการระบุตัวตนในองค์กร หากมีระบบ DHCP ที่สามารถดู Log ได้ หรือทำ NAC (Network Access Control) หรือสร้าง LDAP บน Domain Controller ก็ไม่สามารถระบุตัวตนที่แท้จริงได้ หากไม่ทำ 2 Authentication Factor วิธีนี้จะเหมาะสมและปลอดภัย
4.2.2 การระบุสิทธิในการใช้งาน (Authorization) เป็นการระบุถึงสิทธิ ระดับการใช้งานไม่ว่าเป็นการใช้งานบนระบบเครือข่าย (Network) การใช้งานตามแอฟเคชั่นคอมพิวเตอร์ การมีสิทธิใช้คอมพิวเตอร์ในองค์กร การกำหนดระดับ Bandwidth การใช้งาน ในแต่ละกลุ่ม แต่ละรายบุคคลเป็นต้น
4.2.3 การระบุตัวตนผู้ใช้งาน (Accounting) เป็นการระบุถึงรายชื่อผู้มีสิทธิในการใช้งาน
4.2.4 การระบุข้อมูลหลักฐานผู้ใช้งาน (Auditing) เป็นการบอกประวัติการใช้งาน ลักษณะการใช้งานคอมพิวเตอร์บนระบบเครือข่ายคอมพิวเตอร์

4.3 การเฝ้าระวังและวิเคราะห์ผล (Monitoring & Analysis)
เป็นการเฝ้าสังเกตการพฤติกรรมการใช้งานบนระบบเครือข่าย แบ่งเป็น 3 องค์ประกอบได้ดังนี้
– การเฝ้าระวังข้อมูลที่ไม่ปกติ (Threat Data Traffic)
– การเฝ้าระวังข้อมูลที่ปกติ (Normal Data Traffic)
– การเก็บบันทึกข้อมูล (Recorder)
4.3.1 การเฝ้าระวังข้อมูลที่ไม่ปกติ (Threat Data Traffic) ซึ่งเป็นข้อมูลไม่พึ่งประสงค์ ได้แก่ ข้อมูลที่มีการติดเชื้อไวรัสคอมพิวเตอร์ ข้อมูลที่มีการระบาดของไวรัสคอมพิวเตอร์ หรือที่เรียกว่า Worm ข้อมูลที่มีผลกระทบกับธุรกิจ และการก่อการร้าย (Hacking) การโจรกรรมข้อมูลภายในองค์กร และภายนอกองค์กร การทำลายข้อมูล การดักข้อมูล หรือการแก้ไขข้อมูลให้มีความคลาดเคลื่อนจากความเป็นจริง ซึ่งทั้งหมดนี้ต้องมีระบบวิเคราะห์ภัยคุกคาม และออกรายงานผลให้รับทราบ เพื่อทำแผนรองรับเพื่อแก้ไขสถานะการณ์ฉุกเฉินดังกล่าว

4.3.2 การเฝ้าระวังการใช้อย่างปกติ (Normal Data Traffic) การใช้งานปกติสามารถแบ่งประเภทได้ดังนี้
4.3.2.1 การตรวจสภาวะการใช้งานอุปกรณ์ เครื่องแม่ข่าย แล้วมีการแสดงผลลัพธ์ที่บ่งบอกถึง ระดับการใช้ข้อมูลตาม Bandwidth , Protocol (HTTP , SMTP ,POP3 ,IMAP ,P2P ,IM เป็นอย่างน้อย)
การแจ้งผลเตือนระดับการใช้งาน เช่น แจ้งค่าตาม Flow Network / Collector จาก Protocol ICMP , SNMP ได้แก่ ค่า CPU , RAM และ Response Time
4.3.2.2 การใช้งานตาม Application Protocol ที่สำคัญ ได้แก่
การใช้งานอินเตอร์เน็ทโดยการเปิดเว็บบราวเซอร์ ผ่าน Protocol HTTP ต้องมีระบบเฝ้าระวัง และวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain วันที่ เวลาที่ใช้งานงาน รูปแบบการติดต่อว่าเป็นแบบ GET หรือ POST และ Path ที่เปิดเว็บนั้น
การใช้งานอินเตอร์เน็ทโดยการใช้บริการอีเมลล์ ผ่าน Protocol SMTP , POP3 , IMAP ต้องมีระบบเฝ้าระวัง และวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain วันที่ เวลาที่ใช้งาน รูปแบบการติดต่อว่าเป็นแบบ รับ หรือ ส่ง อีเมลล์ ชื่อหัวเรื่องอีเมลล์ ชื่อเอกสารไฟล์ที่แนบมากับอีเมลล์
การใช้งานอินเตอร์เน็ทโดยใช้บริการสนทนาออนไลท์ ผ่าน Protocol IM ชนิดต่างๆ ต้องมีระบบเฝ้าระวัง และวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain วันที่ เวลาที่ใช้งาน รูปแบบการติดต่อ จากโปรแกรมชนิดใด เช่น Yahoo , MSN , ICQ , IRC เป็นต้น
การใช้งานอินเตอร์เน็ทโดยใช้บริการอื่นๆ ได้แก่ ลักษณะการใช้ VoIP และ P2P ต้องมีระบบเฝ้าระวังและวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain ระบุวันที่ เวลาที่ใช้ รูปแบบการติดต่อ จากโปรแกรมชนิดใด เช่น SkyP , P2P Program เป็นต้น

4.3.3 การเก็บบันทึกข้อมูล (Recorder) เพื่อเก็บบันทึกข้อมูลทั้งที่เป็นข้อมูลจราจรที่ปกติ (Normal Data Traffic) และ ข้อมูลจราจรที่ไม่ปกติ (Threat Data Traffic) ที่เป็นรูปของ Raw Data หรือลักษณะที่สามารถดูข้อมูลที่เก็บบันทึกได้ ผ่านทาง Data Base เทคโนโลยี หรือจะเป็น Text files ก็ได้ ในการเก็บบันทึกควรมีการแสดงค่ายืนยันว่ามีความถูกต้อง และแก้ไขไม่ได้นั้น มีกระบวนการเก็บผ่านนโยบายขององค์กร (Security Policy) วิธีปฏิบัติของผู้ปฏิบัติงาน (Operation Security) และมีค่ายืนยันความไม่เปลี่ยนเปลี่ยน (Check sum) เพื่อยืนยันว่า file นั้นไม่มีการแก้ไขหรือเปลี่ยนแปลงได้ (Integrity) ต่อไป

4.4 การควบคุมข้อมูล (Control Data Traffic) ประกอบด้วย 3 ส่วนดังนี้
4.4.1 การควบคุมป้องกันภัยคุกคามที่เกิดขึ้น (Threat Protection) เพื่อป้องกันภัยคุกคาม ต่างๆ ได้แก่ ไวรัสคอมพิวเตอร์ การโจมตีระบบ การเข้าถึงข้อมูลที่ไม่เหมาะสม การโจรกรรมข้อมูล สามารถมองการป้องกันนี้ได้เป็น 2 ส่วน คือ
4.4.1.1 การป้องกันระบบเครื่องคอมพิวเตอร์ (Host Base Protection) เป็นการสร้างระบบป้องกันภายในเครื่องเพื่อ ป้องกันไวรัส คอมพิวเตอร์ (Host Base Anti virus) และภัยคุกคามอื่นๆ (Anti Malware) สร้างความปลอดภัยให้กับเครื่องคอมพิวเตอร์ (Computer Hardening) ไม่ว่าเป็น เครื่องแม่ข่าย หรือ เครื่องลูกข่าย มีระบบตรวจสอบ Patch และการอัพเดทระบบปฏิบัติการเพื่อมิให้เกิดช่องโหว่ ซึ่งอาจมีผลต่อการเข้าถึงระบบได้ในอนาคต
4.4.1.2 การป้องกันระบบเครือข่ายคอมพิวเตอร์ (Network Base Protection) เป็นการสร้างระบบป้องกันภัยคุกคามทางเครือข่ายคอมพิวเตอร์ เทคโนโลยีป้องกันภัยในส่วนได้แก่ ระบบ Firewall , NIPS (Network Intrusion Prevention System) หรือ Proxy Filtering เป็นต้น
4.4.2 การควบคุมเพื่อจำกัดขอบเขตการใช้งานข้อมูลจราจร (Limitation Data Traffic) เพื่อเป็นการกำหนดข้อมูลจราจร ทั้งส่วนระบบเครือข่ายคอมพิวเตอร์ (Network Base) และ ระบบภายในเครื่องคอมพิวเตอร์ (Host Base) ในส่วนการจำกัดขอบเขตการใช้งานข้อมูลจราจรฝั่งระบบเครือข่ายคอมพิวเตอร์ จะพิจราณาการใช้งาน Bandwidth , และ Application ที่ได้มีการใช้งานอยู่เป็นประจำ ส่วนในฝั่ง Host Base หรือเครื่องคอมพิวเตอร์ ของผู้ใช้งานจะมีการจำกัดขอบเขตการใช้งานตามนโยบายความมั่นคงปลอดภัย เพื่อใช้งานตามความเหมาะสมตามบทบาทและหน้าที่ของผู้ปฏิบัติงาน
4.4.3 การควบคุมเพื่อกักสิ่งผิดปกติ (Jail Data) ไม่ให้เกิดความเสียหายแก่ระบบเครือข่ายและการปฏิบัติงานในปัจจุบัน
สำหรับการกักขังภัยคุกคาม สามารถแบ่งออกได้ ดังนี้
4.4.3.1 การกักข้อมูลที่ผิดปกติ หรือ ไม่เหมาะสม ผ่านทางระบบเครือข่ายคอมพิวเตอร์ โดยจะทำการควบคุมผ่าน Security Gateway เส้นทางลำเลียงข้อมูลในส่วนหลักขององค์กร ได้แก่ระบบ Firewall , NIPS หรือกำหนดผ่าน VLAN เพื่อแยกภัยคุกคามไม่เข้าสู่เส้นทางลำเลียงข้อมูลที่ปกติ
4.4.3.2 การกักข้อมูลที่ผิดปกติ หรือ ไม่เหมาะสม บนเครื่องคอมพิวเตอร์ กำหนดจากเทคโนโลยี Domain Controller และการกำหนดจาก NAC (Network Access Control) เพื่อแยกแยะเครื่องคอมพิวเตอร์ที่ผิดปกติ อยู่ในช่องทางที่ไม่สามารถแพร่เชื้อไวรัส หรือ ภัยคุกคามชนิดอื่นๆ ได้

4.5 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐาน (Compliance) แบ่งเป็น 2 ส่วนได้แก่
4.5.1 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐานสากล (Log Compliance) เกิดจากการรวบรวม ค่า syslog ที่เกิดขึ้นจากอุปกรณ์เครือข่าย เครื่องแม่ข่าย และระดับเครื่องลูกข่าย รวบรวมสู่ศูนย์กลาง หรือ จะใช้วิธี Flow Collector เพื่อตรวจจับข้อมูลจราจรที่ดูถึงลักษณะการใช้งานได้ บนระบบเครือข่าย และรับค่า Syslog ที่สำคัญมา เพื่อทำการแยกแยะข้อมูลและจับเปรียบเทียบข้อมูลหรือที่เรียกว่า Correlation Log เพื่อจัดหมวดหมู่มาตรฐาน 4 ประเภท ซึ่งผมจะได้ขอกล่าวต่อไปในตอนหน้า

นนทวรรธนะ สาระมาน
Nontawattana Saraman
SRAN Dev
21/03/2551

เทคนิคในการเก็บ Log


จากตอนที่แล้วผมได้เขียนถึงความหมายของ Log มาครั้งนี้ผมคงต้องขอขยายความเพิ่มเติมถึงเทคนิคในการเก็บบันทึกข้อมูลจราจร (Data Traffic) ที่เกิดขึ้นแล้ว ซึ่งเรียกว่า Log ก่อนที่ผมจะนำทุกท่านไปสู่แนวคิดการสร้างเครือข่ายตื่นรู้ (Energetic Network) ตอนที่ 2 ผมอยากจะเขียนถึงเทคนิคในการเก็บบันทึกข้อมูลจราจร เสียก่อน เนื่องจากหลายครั้งที่ได้ไปบรรยาย จากทาง SIPA บ้างหรือ GITS บ้าง มักจะถามว่า เก็บบันทึกข้อมูล (Log) แบบไหนพอเพียงแล้ว แบบไหนไม่ยังถือว่าไม่พอ
ก่อนจะรู้ได้ เก็บแบบไหน พอ ไม่พอ นั้น อยากให้ทราบว่า สิ่งที่ว่าพอ และเหมาะสม ไม่เพียงแต่เฉพาะทำให้ถูกต้องตาม พ.ร.บ ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ เพียงอย่างเดียว แต่ก็มีประโยชน์สำหรับนายจ้าง ของบริษัทนั้นๆ ซึ่งทำให้ทราบถึงพฤติกรรมการใช้งานอินเตอร์เน็ทของลูกจ้างได้อีกด้วย และที่สำคัญหากเกิดกรณีที่ต้องถึงมือเจ้าหน้าที่พนักงาน หรือเจ้าหน้าที่ตำรวจ ก็สะดวกในการสืบหาข้อมูล สืบหาหลักฐาน และสามารถหาผู้กระทำความผิดมาลงโทษได้อย่างมีประสิทธิภาพ ผมจึงถือโอกาสนี้แสดงความคิดเห็นในเรื่องเทคนิตการเก็บบันทึกข้อมูลจราจร

ก่อนอื่นขอทำความเข้าใจ ความหมาย Log อีกครั้ง Log คือ ข้อมูลที่เกิดขึ้นแล้ว และมีส่งผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน
หากบอกว่าไม่มีการเปลี่ยนแปลงเลย นั้น คงไม่ใช่ เมื่อพิจารณาให้ดี จะพบว่าทุกอย่างมีการเปลี่ยนแปลง ใครยังไม่อ่านก็ลองกลับไปดูที่ บทความ Log คืออะไร

สำหรับผู้ดูแลระบบแล้ว รู้ว่าภัยคุกคาม การหมิ่นประมาท การก่อกวน การทําาลาย ข้อมูลที่ไม่พึ่งประสงค์
มักเกิดจากการใช้งาน อินเตอร์เน็ท หนีไม่พ้นจาก Application Protocol
ดังนี้ Web , Mail , Chat , Upload / Download (FTP , P2P) , VoIP ดังนั้นการเก็บบันทึกข้อมูลจราจร นั้นควรสนใจ พิจารณา Application Protocol เหล่านี้ให้มาก
หลักการพิจารณา ให้พิจารณาตามห่วงโซ่ของเหตุการณ์ (Chain of Event)
Who : ใคร
What : ทําาอะไร
When : เมื่อไหร่
Where : ที่ไหน
Why : อย่างไร

จากนั้นแล้วเพื่อเป็นการป้องกันหลักฐานนั้นไม่ให้เกิดการเปลี่ยนแปลง เราควรเก็บบันทึกหลักฐาน (Chain of Custody) คือ เก็บบันทึกข้อมูลจาก Log นั้น ซึ่งจะมีการเก็บบันทึกได้ดังนี้
– การบันทึกข้อมูลจราจร จากพฤติกรรมการใช้งาน (Log Traffic) คือ การใช้งาน Bandwidth ทั้งภายในและภายนอกที่มีการติดต่อสื่อสาร ลักษณะการการไหลเวียนข้อมูลตาม Application Protocol ทั้งภายในและภายนอกที่มีการติดต่อสื่อสาร
– การบันทึกการระบุตัวตน (Log Identity) คือ เก็บข้อมูลรายชื่อผู้มีสิทธิใช้ระบบ เวลาการใช้งานเมื่อเข้าถึงระบบ การมีสิทธิในการใช้ระบบนั้นๆ
– การบันทึกเหตุการณ์ (Log Event) คือ ลักษณะ Payload ที่ต้องใช้ความสามารถของเทคโนโลยีระดับ Deep Packet Inspection เพื่อมาพิจาราณาดูเนื้อหาภายในการติดต่อสื่อสารนั้น ว่าเป็นข้อมูลที่ปกติ (Normal Event) หรือ ข้อมูลที่ไม่ปกติ (Threat Event) ซึ่งข้อมูลเหล่านี้หากไม่ปกติมักมีการแอบแฝงของภัยคุกคามต่างๆ เช่น ไวรัสคอมพิวเตอร์ อีเมลขยะ หรือ การบุกรุกระบบต่างๆ นานา

ผมได้เขียนตารางในการพิจารณา เพื่อใช้สำหรับ สืบสวนสอบสวนหาลักษณะเหตุการณ์จากการบันทึกข้อมูลจราจร ได้ดังตรารางนี้คือ

Application Protocol ที่สนใจในตรารางนี้คือ Web : HTTP / HTTPS , Mail : SMTP / POP3 / IMAP ,Chat : MSN / Yahoo / IRC / ICQ อื่นๆ

เทคนิคในการเก็บบันทึกข้อมูลจราจร จึงประกอบด้วยดังนี้

แบบที่ 1. Local Log คือเก็บบันทึกข้อมูลบนเครื่องแม่ข่าย (Server) เครื่องลูกข่าย (Client) นั่นๆเอง
ข้อดี : มีความละเอียดของข้อมูลสูง มีปัญหาเรื่องความเข้าใจผิดจากสิ่งที่พบ (False Positive) น้อยมาก
ข้อเสีย : ดูลําาบาก ใช้งานยาก ไม่รวมศูนย์ ข้อมูลที่ได้ไม่สามารถยืนยันว่าถูกต้อง เนื่องจากอาจจะมีการแก้ไข Log files ที่เกิดขึ้นได้

แบบที่ 2. Proxy Log คือเก็บโดยใช้เทคโนโลยี Proxy อาจทำเป็น Transparent (ติดตั้งแบบ Gateway mode) เพื่อเป็นตัวกลางในการติดต่อสื่อสาร
ข้อดี : ข้อมูลในการเก็บบันทึกมีความละเอียด ติดตั้งสะดวก ง่ายในการออกแบบ
ข้อเสีย : เก็บได้เฉพาะบาง Application Protocol หากทําาให้ครบ ก็ต้องใช้งบประมาณสูง
ใช้ Storage มาก , ข้อมูลที่ได้ไม่สามารถยืนยันว่าถูกต้อง* , มีความเสี่ยงในการติดตั้ง เนื่องจากต้องติดตั้งแบบ Gateway อาจส่งผลกระทบกับระบบเครือข่ายหากมีการรองรับ Bandwidth และ Concurrent Session ไม่พอ

แบบที่ 3. Remote Syslog หรือเรียกว่า Syslog Server และหากพัฒนากลายเป็นระบบ SIEM (Security Information Event Management) ก็ใช้หลักการณ์เดียวกัน
ข้อดี : ละเอียด หากติดตั้งครบถ้วน สะดวกในการประมวลผลค่าเหตุการณ์ได้ (Event Log)
จัดเปรียบเทียบตามมาตราฐานต่างๆได้ (Compliance)
ข้อเสีย : ติดตั้งลําาบาก เพราะต้องรับค่า syslog จากอุปกรณ์อื่นๆ มาที่ตัวเอง
ใช้ Storage มาก , หากเป็น SIEM มีค่าใช้จ่ายสูง เพราะคิดค่าส่ง syslog ตาม Devices
การออกแบบ ต้องใช้เวลานาน หากไม่สามารถรับ syslog จากเครื่องต่างๆ ได้ไม่ครบถ้วน จะเสียเวลาเปล่า และไม่ก่อประโยชน์

ผมมอง SIEM หรือ SIM เหมือน การติดตั้งระบบ SAP สมัยก่อน ดูเหมือนดีแต่สำหรับผู้ขาย SI (System Integrated) แล้ว อาจดูเหนื่อยเสียหน่อย เนื่องจากการออกแบบและติดตั้ง (Implementation) ต้องใช้เวลานาน และต้องใช้วิศวกร (Engineer) ที่มีความรู้สูง


แบบที่ 4. Authentication log หลายคนคิดว่าวิธีเพียงพอแล้ว แต่ในความเป็นจริงยังไม่พอ นั่นคือเป็นการเก็บบันทึกเฉพาะส่วนการ Login , การลงทะเบียนเพื่อใช้งานระบบ
ข้อดี : สะดวกในการใช้งาน , ไม่เปลือง Storage
ระบุตัวตนได้ ระดับหนึ่ง หากเป็น 2 factor authentication ก็จะดีมาก
ข้อเสีย : ไม่สามารถทราบถึงลักษณะการใช้งาน หรือ ค่า Event Payload ได้ ,
มีความเสี่ยงในการติดตั้ง เนื่องจากติดตั้ง หากเป็นชนิด In-line หรือ ชนิดต้องเป็น Identity Server ต้องรองรับเครือข่ายขนาดใหญ่ ที่ทุกเครื่องต้องทำการ Join ระบบนี้ก่อนเริ่มต้นทุกครั้งเพื่อจะเรียกใช้ Application Protocol ต่างๆ , ข้อมูลที่ได้ไม่สามารถยืนยันว่าถูกต้อง*

แบบที่ 5. Flow Collector Network ใช้หลักการณ์ Passive Monitoring เฝ้าระวังผ่านความสามารถอุปกรณ์เครือข่าย
ข้อดี : ติดตั้งสะดวก ไม่เกิดความเสี่ยงในการติดตั้ง สะดวกในการใช้งาน ราคาประหยัด
ไม่เปลือง Storage
ข้อเสีย : ข้อมูลที่ได้รับไม่ละเอียด , ข้อมูลที่ได้ไม่สามารถยืนยันว่าถูกต้อง*
หากต้องการทราบค่า Event Payload ต้องใช้เทคโนโลยี IDS (Intrusion Detection System) มาเสริม

* หากระบบใดได้มีการติดตั้งค่าตรวจสอบ Integrity / Checksum ของค่า Log จะทําาให้
ข้อมูลที่ได้รับยืนยันว่าถูกต้องได้ ไม่สามารถแก้ไขได้ ที่สำคัญหากเกิดเหตุการณ์ไม่คาดคิดแล้ว การนำ Log ที่ได้ไปพิจาราณาในชั้นศาล เพื่อดำเนินความทางกฏหมาย Log นั้นไม่ได้มีการทำ Integrity แล้วก็ไม่สามารถยืนยันได้ว่ามีความถูกต้อง เพราะอาจมีการแก้ไข Log ดังกล่าวก็ได้ ดังนั้นผู้ที่รับติดตั้งระบบ SIEM / SIM นี้ควรพิจารณาในส่วนนี้ด้วยครับ หากไม่ได้ปฏิบัติการลงทุนมากเกินความจำเป็นไปอาจสูญเปล่า เพราะศาลไม่รับฟ้องได้ครับ

ทั้งหมดที่กล่าวคงเห็นภาพมากขึ้นนะครับ
สำหรับผมแล้วเป็นเรื่องที่ท้าทายมาก สำหรับการออกแบบชิ้นงานหนึ่งที่ประยุกต์ ข้อดีและข้อเสีย จากรูปแบบทั้ง 5 ในการเก็บบันทึกข้อมูลจราจรนี้ มารวมเป็นหนึ่งเดียว เพื่อความสะดวก ในการใช้งานสำหรับหน่วยงานต่างๆ
ผมเสนอแนวทางการสร้าง Hybrid Log Recorder ครับ

จุดประสงค์ คือ
1. ลดปัญหา ความซับซ้อนในการติดตั้ง (Implement)
2. ลดปัญหาค่าใช้จ่าย (License) ที่ต้องใช้เทคโนโลยีจําานวนหนึ่ง เพือตอบโจทย์ Who , What , Where , When , Why ที่เกิดขึนจากการรับส่งข้อมูล้
3. ลดปัญหาการจัดเก็บบันทึกข้อมูลจราจร ที่ต้องใช้เนื้อจําานวนมาก (Storage)
4. ลดความเสี่ยงที่เกิดขึนจากการออกแบบ (Design) และการติดตั้ง้
5. เก็บบันทึกข้อมูลจราจรตาม หลักเกณฑ์ที่ประกาศจากกระทรวง ICT คือทําา
Centralized Log / Data Archive / Data Hashing

นับเป็นความภูมิใจ ที่เราได้นำเทคโนโลยี Hybrid Log นี้ไปเสนอที่ประเทศเยอรมันนี ในงานระดับโลก CeBIT อีกด้วยครับ http://www.sran.net/archives/207

การนำ Hybrid Log ไปใช้จะเป็นอย่างไรนั้น ผมได้เปิดเผยลงใน http://www.sran.net/archives/200 ไปบ้างแล้ว หากต้องการทราบรายละเอียดเชิงออกแบบ (Design) เชิญทีมงาน SRAN บรรยายได้โดยติดต่อที่บริษัท Global Technology Integrated 02-9823339 ext 11 จะมีผู้ประสานงานต่อไป

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Log คืออะไร

เมื่อวันที่ 3 มีนาคม 2551 ผมได้รับเกียรติจากทาง สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ (สบทร.) ให้ขึ้นบรรยาย เทคโนโลยีที่ใช้ในการเก็บบันทึกข้อมูลจราจร เพื่อให้สอดคล้องกับ พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ 2550 ผมนำเสนอเทคโนโลยี Hybrid Log Recorder เนื่องจากการบรรยาย มีเวลาให้ผมได้บรรยายไม่มากนัก คือประมาณ 15-20 นาที ซึ่งขอบอกตรงๆ หากภาคเอกชนเชิญผมไปบรรยาย และให้เวลาเช่นนี้ ผมคงไม่รับ ผมอยากบรรยายสักครึ่งวันเป็นอย่างน้อย เนื่องจากการพูดผมติดเครื่องช้า นี้ก็เพราะภาครัฐที่เป็นส่วนสำคัญของประเทศ ผมจึงตัดสินใจมา ถึงแม้จะมีบางประเด็นที่ผมไม่สามารถอธิบายได้ในช่วงเวลาสั้นๆ ผมจึงนำมาลง blog เพื่อสร้างความเข้าใจเป็นตัวอักษรได้อ่านกัน ก่อนที่จะเรียนรู้ถึงกรรมวิธีการเก็บบันทึกข้อมูลจราจรอย่างไร นั้น ผมอยากให้ทำความเข้าใจ คำศัพท์ ที่เรียกว่า Log คือ อะไรเสียก่อน

จากการประกาศกฏกระทรวง เราจะพบ 3 ศัพท์ ที่ต้องสร้างความเข้าใจ นั้นคือ

คำว่า Data Traffic , คำว่า Data Archive และ คำว่า Data Hashing คืออะไร

Data Traffic คือข้อมูลจราจร ซึ่งข้อมูลจรารจรนี้เกิดขึ้น จากการสื่อสาร ที่มีฝั่งส่งข้อมูล และ ฝั่งรับข้อมูล ตามกลไกล ของ OSI 7 layer ซึ่งเป็นเส้นทางลำเลียงข้อมูล ผมมักจะกล่าวถึงรูปที่สร้างความเข้าใจง่ายได้ชัดขึ้นคือ หลักการที่ผมคิดขึ้นเองนั้นคือ 3 – in 3 – out

ซึ่งข้อมูลที่ไหลเวียนบนระบบเครือข่าย จะไม่สามารถดูย้อนหลังได้เนื่องจากเป็น Real – Time การดูย้อนหลังได้มีวิธีการเดียวคือ ดูจาก “Log”
ซึ่งในความหมายของ Log คืออะไรนั้น ผมให้คำนิยามว่า “ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน”

คุณเคยได้ยินคำกล่าวที่ว่า อากาศที่เราหายใจอยู่ ได้รับอิทธิพลจากแพนตอลใต้น้ำในมหาสมุทรแปซิฟิค และ ผีเสื้อกระพือปีกในประเทศจีน ก็อาจส่งผลให้เกิดพายุเฮอริเคนที่อเมริกา นี้คงเป็นเพราะทุกอย่างมันประสานความสอดคล้องกันอยู่เป็นห่วงโซ่ของความสัมพันธ์กันจากสิ่งหนึ่งไปสิ่งหนึ่ง บนเงื่อนไขของกาลเวลา การดำรงชีวิตของเราก็เช่นกัน ทุกรายละเอียดที่เราเคลื่อนไหว ก็ย่อมสร้างความเปลี่ยนแปลงให้เกิดขึ้น ไม่เคยหยุดนิ่ง วงโคจรของโลกมนุษย์หมุนรอบตัวเอง หมุนรอบดวงอาทิตย์ การหมุนนั้นทำให้สิ่งมีชีวิตได้มีการเปลี่ยนแปลง การหยุดนิ่ง หรือไม่เปลี่ยนแปลง มีอยู่อย่างเดียวนั้นคือไม่มีชีวิตอยู่

นี้เองจึงเป็นเหตุผลที่ผมให้คำนิยามว่า Log คือ ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน

ขอยกตัวอย่างเพื่อห้เห็นภาพความสัมพันธ์ที่เชื่อมโยงกัน จนเราไม่รู้ตัว เพียงคุณเอานิ้วกดที่ปุ่ม Enter ที่เครื่องของคุณเอง เพื่อเข้าเว็บไซด์ใดสักเว็บไซด์หนึ่ง ก็เกิดการเปลี่ยนแปลงขึ้นแล้ว แม้ว่าการกระทำนั้นไม่มีผลต่อความเสรียฐภาพเครื่อง Web Server เลยแม้แต่นิดเดียว แต่การสื่อสารของคุณและเว็บไซด์นั้น ก็จะเกิดร่องรอยแห่งการเปลี่ยนแปลงขึ้น เว็บไซด์นั้น ก็มีสถิติในวันนั้นมีหมายเลขไอพีของคุณ เข้าเยี่ยมชม เว็บไซด์
การรับส่งข้อมูลเกิดขึ้นแล้ว หรือถูกบันทึกไว้เป็น Log บนเว็บไซด์นั้นแล้ว จากปุ่ม Enter ของคุณผ่านการ์ดแลน หรือ Wi-fi จากเครื่องคุณเอง วิ่งตรงสู่ระบบเครือข่ายที่คุณอาศัยอยู่ วิ่งไปสู่ระบบอินเตอร์เน็ต จาก ISP ที่คุณใช้ เพื่อเรียกเว็บไซด์นั้นผ่าน Protocol HTTP port 80 โดยเป็นการเชื่อมต่อแบบ TCP จะนั้นเว็บไซด์ที่เข้าไปก็จะส่งการประมวลผลกับมาที่หน้าจอคุณ โดยมีการประมวลผลผ่านระบบ Operating System ซึ่งอาจเป็น Windows โดยใช้ IIS 6.0 หรือ Linux ที่ใช้ Apache อาศัย CPU / RAM ประมวลผลจากการเยี่ยมชมเว็บในครั้งนี้ และส่งค่าการประมวลผลนั้น ผ่านกับมาจากฝั่งเครื่อง Web server ผ่านระบบเครือข่ายที่เช่าพื้นที่อยู่บน Data Center (IDC) ใน ISP สักที่หนึ่งบนโลก (สมมุติ) และ ผ่านการ Routing จาก Router หนึ่งไปยังอีกที่หนึ่ง กลับมาสู่เครือข่ายที่เครื่องคอมพิวเตอร์ของคุณ ผ่านอุปกรณ์เครือข่าย Core Switch ในบริษัทของคุณ และมาถึงผู้รับสารภายในชั่วพริบตา และคุณก็ได้รับความบันเทิงจากเว็บไซด์นั้น อารมณ์ ความรู้สึกหลังจากได้ รับชมเนื้อหาในเว็บไซด์ที่เปิดแล้ว มีผลกับอายตนะทั้ง 6ของตัวเราเอง ซึ่งส่งผลต่อเนื่องสู่พฤติกรรมหลังจากรับรู้เว็บไซด์ดังกล่าวต่อไป เป็นต้น การเปลี่ยนแปลงย่อมเกิดขึ้นในปัจจุบันจากผลการคลิก Enter ของคุณเอง การเปลี่ยนแปลงนั้นคือ ความเสื่อมลง นั้นเอง การประมวลผลของ CPU เครื่องคอมพิวเตอร์ ทั้งฝั่งคุณ และฝั่งเว็บไซด์ เริ่มทำงานก็ย่อมเกิดความเสื่อม เสื่อมตามอายุขัย เสื่อมต่อการใช้งาน ซึ่งความเสื่อมเป็นตัวแปรหนึ่งของกาลเวลา
การที่คุณคลิกปุ่ม Enter เพียงแรงกดน้อยนิด การประมวลผลจากระบบปฏิบัติเครื่องคุณเอง ก็สร้างความเสื่อมบนเครื่องคอมพิวเตอร์ที่คุณใช้อยู่ รวมถึงการบันทึกเส้นทางการเดินทางที่มีความเร็วอย่างทันใจ ก็มีการบันทึกไว้บนอุปกรณ์ต่างๆ เช่น Switch ไปสู่ Firewall ไปสู่ Router จาก Router เมืองไทย ออกสู่ Router ต่างประเทศ และวิ่งตรงไปสู่เว็บไซด์ที่ต้องการ มีการถูกบันทึกไว้แล้ว บนอุปกรณ์ตามเส้นทางลำเลียงข้อมูล หรือหากไม่มีการเก็บบันทึกที่ถูกต้อง อย่างน้อยการบันทึกนั้นก็เกิดขึ้นในความทรงจำของคุณเอง และเลือนหายไปเพราะเราไม่ได้ใส่ใจ

และการไหลเวียนของข้อมูล ตามหลัก OSI 7 layer หรือ 3 in 3 out ที่ผมคิด คือห่วงโซ่ ของเหตุการณ์
ห่วงโซ่ของเหตุการณ์ เราเรียกว่า “Chain of Event”
ห่วงโซ่ของเหตุการณ์ ลำดับเหตุการณ์ตามเวลา ตามความเป็นจริง และเกิดเป็นประวัติของผู้ใช้งาน ประวัติของอุปกรณ์ที่ทำงาน และหากเป็นกรณีที่สำคัญและได้ถูกบันทึกไว้ก็จะกลายเป็นประวัติศาสตร์ และกรณีศึกษาต่อไป
สิ่งที่ควรบันทึกตาม ห่วงโซ่เหตุการณ์ คือ
Who ใคร , What อะไร , Where ที่ใด , When เวลาใด , Why (how) อย่างไร
ซึ่งการบันทึกสิ่งเหล่านี้ เราเรียกว่า “Data Arachive”

Data Archive ก็คือ Log จากห่วงโซ่ของเหตุการณ์ ถ้านำคำหมาย Log ที่กล่าวมา จะรวมประโยคนี้ได้ว่า Data Archive คือ พฤติกรรมการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน จากห่วงโซ่ของเหตุการณ์

แต่เรายังขาดความน่าเชื่อถือในการเก็บบันทึก Data Archive นี้ เนื่องจาก Log เองก็อาจเกิดเปลี่ยนแปลงได้จากใครก็ได้ ที่มีความรู้ และแก้ไขเปลี่ยนแปลง เหตุการณ์จากห่วงโซ่ของเหตุการณ์นี้ ้ ถึงแม้การแก้ไข อาจเกิดขึ้น บนห่วงโซ่เหตุการณ์ใดเหตุการณ์หนึ่ง แต่ก็ยังมีร่องรอยการใช้งานจากห่วงโซ่ที่เหลืออยู่ได้ เพียงแค่ว่าการแก้ไขได้ อาจส่งผลให้ข้อมูลตามห่วงโซ่นั้นมีความคลาดเคลื่อน ไปได จนไม่สามารถสืบหาสาเหตุได้ พูดง่ายๆ ว่าหลักฐานไม่เพียงพอได้เช่นกัน

ห่วงโซ่เหตุการณ์ (Chain of event) นั้นจึงควรถูกคุ้มกัน คุ้มครอง เพื่อเป็นการรักษาข้อมูลที่เก็บบันทึกนั้นให้คงสภาพเดิม ซึ่งเรามีศัพท์เรียกว่า “Chain of Cusdoty”


สาระสำคัญของ พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ที่หลายคนมักตั้งคำถามว่า เก็บแบบไหนถึงจะพอเพียง
การเก็บพอเพียง ก็เพียงแค่คุณตอบให้ได้ ตาม Chain of event และมีการเก็บรักษาแบบ Chain of Custody ให้ได้ก็พอ ไม่ว่าจะใช้เทคโนโลยีใด แบบใด เมื่อเจ้าหน้าที่พนักงานเข้ามาขอ Log หรือ เจ้าของบริษัทเองต้องการทราบถึงการใช้งานพนักงานตัวเอง ตอบให้ได้ตามที่ผมกล่าวมานี้ ก็มีประโยชน์ทั้ง ทำถูกต้องตามกฏหมาย และ ทำได้ตามความต้องการของนายจ้างอีกด้วย
จะลงทุนหลักล้าน หรือ หลักแสน ในการเก็บบันทึกข้อมูลจราจร (Data Traffic Log Recorder) สำคัญอยู่ที่ ได้เก็บครบตามนี้หรือไม่ คือ
1. Data Archive เก็บ Log จากห่วงโซ่เหตุการณ์ (Chain of event) หรือไม่ ส่วนใหญ่แล้วอุปกรณ์ syslog , SIEM (Security Information Event Managment) สามารถจัดทำแบบ Data Archive ได้อยู่แล้ว
2. มีการทำ Data Hashing หรือไม่ คือมีการเก็บ Log เพื่อรักษาหลักฐานและยืนยันความถูกต้องของเนื้อหา Log จากห่วงโซ่เหตุการณ์ คือ เนื้อ file Log มีการยืนยันค่า Integrity หรือไม่ ตรงนี้สำคัญ เพราะว่าหากลงทุนโดยใช้งบประมาณจำนวนมากแล้ว แต่ไม่ได้ทำการ Check Integrity files โดยสากลใช้ Algorithm MD5 , SHA-1 เพื่อใช้ในการ check Log files แล้ว หรือ นำ Log files ที่ได้เขียนข้อมูลลงในแผ่น CD และเก็บบันทึกเป็นรายวันไป การลงทุนที่ว่าจะไม่มีเกิดประโยชน์เลยหากไม่มีการยืนยันความถูกต้องของหลักฐานจาก Log files สิ่งนี้ผู้ที่ต้องจัดหาเทคโนโลยีในการเก็บบันทึกข้อมูล นั้นจำเป็นต้องให้ความสำคัญมาก เพราะจัดหามาแล้ว อาจใช้ไม่ได้ตรงตามข้อกำหนดของ พ.ร.บ นี้ก็ได้ หรือในกรณีที่ต้องถึงชั้นศาล ก็ไม่สามารถยืนยันหลักฐานนี้ในชั้นศาลได้ถึงความถูกต้องของข้อมูล

สรุป :
Log คือ ข้อมูลการใช้งานที่เกิดขึ้นแล้ว และมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน
Log Record คือ การเก็บบันทึกข้อมูล ซึ่งข้อมูลตรงนี้ก็คือ ข้อมูลสารสนเทศ ที่เกิดจาก Data Traffic ที่เกิดจากการสื่อสารระหว่างผู้ส่งสาร ถึง ผู้รับสารนั้นเอง
Data Traffic = Information + 3 in 3 out ซึ่งทำให้เกิด Log
Data Archive = Log Record + Chain of Event
Data Hashing = Log Record + Chain of Custody
เพียงเท่านี้ก็เป็นการเก็บบันทึกข้อมูลจราจร แบบเพียงพอ และมีประโยชน์สำหรับเจ้าหน้าที่พนักงาน หรือ ตำรวจในการพิสูจน์หาหลักฐานต่อไปได้

หากทำความเข้าใจตามที่ผมกล่าวแล้วการสิ้นเปลืองงบประมาณในการจัดหาเทคโนโลยี จะลดลง ลดความสับสนว่าจะเก็บ Log อย่างไรให้ถูกต้อง และงบประมาณที่เหลือไปสร้างองค์ความรู้ให้กับคน เพื่อให้คนใช้เทคโนโลยีได้ถูก และ ให้กระบวนการควบคุมคนอีกชั้น เพื่อความเป็นระบบ และตรวจสอบได้

การใช้เทคโนโลยีที่เพียงพอแล้วคือการจัดเก็บบันทึกข้อมูลแบบ Hybrid Log Recorder ซึ่งสามารถอ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/200 ซึ่งผมจะขอโอกาสได้อธิบายในส่วนนี้อีกครั้งในบทความต่อไป
ซึ่ง Hybrid ทำให้สะดวกในการติดตั้ง ออกแบบ และใช้งาน ไม่เปลือง Storage ลดงบประมาณในการจัดหาอุปกรณ์เก็บบันทึกข้อมูลจราจร แต่ทั้งนี้ก็ยังไม่เพียงพอต่อการจัดหาเทคโนโลยีให้ครบถ้วนได้ ดังนั้นผมจึงออกแบบเครือข่ายที่เรียกว่า เครือข่ายตื่นรู้ขึ้น ซึ่งเป็นที่ทราบกันดีว่าองค์ประกอบสำคัญในการจัดทำระบบความมั่นคงปลอดภัยข้อมูล สารสนเทศ นั้นประกอบด้วย 3 ส่วน นั้นคือ เทคโนโลยี คน และ กระบวนการ การสร้างเครือข่ายตื่นรู้ มีจุดประสงค์เพื่อสร้างในส่วนเทคโนโลยีให้ครบ อย่างพอเพียง ครบในที่นี้ ต้องครบแบบปลอดภัยด้วย และสามารถรู้ทันปัญหาได้อย่างมีระบบ เพราะเรารู้ว่าไม่มีอะไรที่ป้องกันได้ 100% แต่เรารู้ทันได้หากมีระบบที่เหมาะสม การที่เราเน้นในเรื่องเทคโนโลยีเพียงอย่างเดียวและทำไม่ครบ ก็ย่อมจะไม่เกิดประโยชน์ ดังนั้นหากมีสูตรสำเร็จ เพื่อเป็นการตัดสินใจในการเลือกหาเทคโนโลยีเข้ามาใช้ในองค์กรก็จะมีประโยชน์ อย่างมาก
และนี้เป็นอีกเหตุผลหนึ่ง ที่ผมต้องทำเทคโนโลยี ในส่วนนี้ให้เป็นจริง และมีประโยชน์กับผู้ใช้งานให้ได้ในชั่วชีวิตนี้ของผมเอง

นนทวรรธนะ สาระมาน
Nontawattana Saraman
4/03/51

เรื่องที่เกี่ยวข้อง การสร้างเครือข่ายตื่นรู้ (Energetic Network)
การใช้งาน SRAN Security Center อย่างถูกวิธี

ทำความเข้าใจ SRAN Security Center อย่างถูกต้อง

อุปกรณ์ SRAN Security Center หลายคนมักจะคิดว่าเราเพียงเป็น IDS/IPS (Intrusion Detection & Prevention System) เนื่องจากอุปกรณ์สามารถติดตั้งแบบ In-line และแบบ Passive ได้ในตัวอุปกรณ์เอง แต่ในความเป็นจริงแล้ว IDS/IPS เป็นเพียงเทคโนโลยีหนึ่งที่เรานำมาใช้งาน เป็นเพียงองค์ประกอบส่วนหนึ่งใน SRAN Security Center

เทคโนโลยี SRAN Security Center ดังต่อไปนี้

1. เทคโนโลยี Network Analysis คือรวบรวมเหตุการณ์ที่เกิดขึ้นบนระบบเครือข่าย ทำการวิเคราะห์ Bandwidth , Application Protocol ตามลำดับชั้นเครือข่ายคอมพิวเตอร์ ตั้งแต่ Link Internet (Border Network) ลงสู่เครือข่าย LAN และเครื่องคอมพิวเตอร์ในแต่ละเครื่อง (endpoint) ซึ่งเป็นเหตุการณ์ปกติที่ใช้งานกันทั่วไป

2. เทคโนโลยี IDS/IPS ใช้ในการเฝ้าสังเกตการ เหตุการณ์ที่ผิดปกติที่เกิดขึ้นบนระบบเครือข่าย (Threat Data Traffic) โดยเรียนรู้จากฐานข้อมูลความผิดปกติที่เกิดขึ้นบนระบบเครือข่าย และการวิเคราะห์จากสถิติการใช้งานที่ผิดปกติ

3. เทคโนโลยี VA/VM (Vulnerability Assessment & Management) เพื่อใช้ในการประเมินความเสี่ยงระบบเครือข่าย หาช่องโหว่ และออกรายงานผลความเสี่ยงพร้อมวิธีการปิดช่องโหว่ที่เกิดขึ้น

4. เทคโนโลยี Log Compliance เป็นการเก็บบันทึกข้อมูลจราจร (Data Traffic Archive) ที่เกิดขึ้นบนระบบเครือข่าย ทำการเปรียบเทียบเหตุการณ์ที่เกิดขึ้นจัดให้สอดคล้องกับมาตรฐานมั่นคงปลอด ภัยข้อมูลสารสนเทศ (Correlation Log) ในตัว พร้อมทั้งจัดทำข้อมูลที่เก็บบันทึกป้องกันไม่ให้เกิดการแก้ไขหรือเปลี่ยน แปลงได้ โดยการทำ Data Hashing ในตัวอุปกรณ์เอง

ซึ่งการ Correlation Log จะเกิดจากการเก็บบันทึกข้อมูลสารสนเทศ ตามเหตุการณ์ปกติ (Normal Data Traffic) เพื่อเก็บบันทึกข้อมูลไว้มากกว่า 90 วัน และ เหตุการณ์ไม่ปกติ (Threat Data Traffic) เพื่อทำการเปรียบเทียบตาม ISO 17799 และ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ตาม มาตรา 5 – 12 ซึ่งออกรายงานผล ให้เราทราบถึงภัยคุกคามตามมาตราต่างๆ ที่อาจเกิดขึ้น (Self Assessment) ก่อนภัยนั้นจะมาเยือนถึงเราได้

ล่าสุดเราได้จัดทำเทคโนโลยี Hybrid เพื่อสร้างส่วนผสมสำคัญให้กับอุปกรณ์ SRAN Security Center เพื่อให้รองรับการรับ syslog หรือ SNMP Trap จากเครื่องแม่ข่ายที่สำคัญ ได้แก่ อุปกรณ์ Domain Controller , Proxy หรือ Gateway ของระบบได้อีกด้วย เป็นครั้งแรกในเมืองไทยที่ได้เปิดตัวเทคโนโลยีระบบรักษาความมั่นคงปลอดภัยข้อมูลสารสนเทศ นี้สู่สายตานานาชาติ ที่งาน CeBIT เยอรมันนี ซึ่งสามารถอ่านเพิ่มเติมเทคโนโลยีนี้ได้้ที่ http://www.sran.net/archives/200 จะสามารถทำ Hybrid Log Recorder ได้ในรุ่น SR – L ขึ้นไป จะเป็น Plug-in หนึ่งที่อำนวยความสะดวกให้แก่ผู้ใช้งาน และครบถ้วนด้านการเก็บบันทึกข้อมูลให้มีความแม่นยำมากขึ้นอีกด้วย

การผสมผสานเทคโนโลยีทั้ง 4 จึงเกิดขึ้นในอุปกรณ์เดียว โดยมีภาระกิจหลักคือ เฝ้าระวัง (Monitoring) วิเคราะห์ (Analysis) และเก็บบันทึก (Recorder)

เฝ้าระวัง เหตุการณ์ที่ไม่ปกติ (Threat Data Traffic)

วิเคราะห์ ข้อมูลจราจร พร้อมทำการจัดเปรียบเทียบตามมาตราฐาน (Compliance)

เก็บบันทึกข้อมูลจราจร หรือตามศัพท์ที่เรียกว่า “Data Archive” ซึ่งเกิดจากการไหลเวียนข้อมูลสารสนเทศ ตามเส้นทางลำเลียงข้อมูลจราจร ตามหลักการที่เรียกว่า 3 in 3 out และนำข้อมูลที่เก็บบันทึกจัดทำ Data Hashing เพื่อยืนยันการไม่เปลี่ยนแปลงของข้อมูลต่อไป ภาระกิจนี้เป็นการทำงานหลักของอุปกรณ์ SRAN Security Center ที่เกิดขึ้นตลอดเวลาเมื่อเริ่มเปิดเครื่อง และเชื่อมต่อ อุปกรณ์ SRAN บนระบบเครือข่าย (Network) ใช้งานจนเป็นวัฐจักร หรือ ระบบที่มีความต่อเนื่องคงที่ (System)่

SRAN Security Center เป็นอุปกรณ์ที่ขจัดปัญหา 4 ประการ ประกอบด้วย

1 ขจัดปัญหาในการติดตั้งระบบ (Implementation) ถูกออกแบบให้สะดวกในการใช้งาน ติดตั้งโดยไม่ต้องข้องเกี่ยวการค่า Config ระบบเดิม ไม่มีผลกระทบกับระบบเครือข่าย (ขอย้ำว่าการติดตั้ง SRAN ให้ถูกต้อง ควรติดตั้งแบบ Passive mode กับ Switch) เนื่องจากว่าเราไม่ได้ถูกออกแบบเป็นระบบ IPS (Intrusion Prevention System) โดยเฉพาะ ดังนั้นการติดตั้งแบบ in-line เพื่อให้ SRAN เป็นระบบป้องกันด้วยนั้นควรติดตั้งบนเครือข่ายขนาดเล็ก ที่มีเครื่อง client ไม่เกิน 200 เครื่อง และให้ดูขนาด Throughput , Concurrent Session เป็นหลัก ซึ่งควรหารุ่นที่เหมาะสม ถึงสามารถติดตั้งแบบ In-line ได้ ซึ่งสามารถอ่านรายละเอียดในแต่ละรุ่นได้จาก เอกสารคุณสมบัติ SRAN (USM) SecurityCenter ในแต่ละรุ่น

ดังนั้นทั้งการติดตั้งแบบ in-line และ passive mode ก็ดี ทำให้การติดตั้ง SRAN ใช้เวลาไม่เกิน 2 นาทิในการติดตั้ง และไม่จำเป็นต้องเป็นผู้เชี่ยวชาญก็สามารถใช้งานได้ หลังการติดตั้งหากติดตั้งเหมาะสมกับรุ่นต่างๆ ก็จะทำให้ไม่มีปัญหาหลังการใช้งานได้

2. ขจัดปัญหาขนาดการจัดเก็บข้อมูล (Storage) เนื่องจาก Log ที่เกิดขึ้นทำการ Correlation จากเทคโนโลยี Network Analysis และ IDS/IPS ซึ่งทำให้ Log ที่เก็บบันทึก มีขนาดไม่ใหญ่ และมีการกรองแล้ว อยู่ได้เกิน 90 วันตามที่กฏหมายกำหนดได้ โดยใช้หลักการ Chain of Event เป็นหลักในการพิจารณา ว่า Who , What , Where , When , Why (How) โดยพิจารณาตาม Application Protocol ที่สำคัญได้แก่ Web , Mail , Chat , FTP , P2P

เพื่อรักษาหลักฐานและจัดเก็บบันทึกข้อมูลจราจร (Data Archive) ที่เกิดขึ้น

สามารถอ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/205

ทั้งหมดนี้เป็นการพิจารณาการไหลเวียน ตามเส้นทางลำเลียงข้อมูลจราจร ตามหลักการที่เรียกว่า 3 in 3 out

การรักษาและบันทึกข้อมูลจราจร นี้เรียกว่า “Chain of Custody” ตามหลัก Computer/Network Forensic นั้นเอง และนี้คือ สาระสำคัญของ พ.ร.บ. ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ ปี 2550 ที่ประกาศใช้ ซึ่งเพียงพอแล้วสำหรับการเก็บบันทึกข้อมูลจราจร

และการทำ Data Archive นี้อุปกรณ์ SRAN Security Center ได้จัดเก็บบันทึกข้อมูลจราจร (Log Data Traffic) ให้ยืนยันความถูกต้องใน Log ที่จัดเก็บ และไม่สามารถแก้ไขข้อมูลได้ โดยการทำ Data Hashing โดยใช้ Algorithm MD5 ยืนยันค่า Log ที่เก็บไว้เป็นรายวัน จึงทำให้ Log ที่อุปกรณ์ SRAN จัดเก็บเป็นไปตามหลักที่กฏหมายไทย ได้เขียนขึ้น ครอบคุมโดยไม่ต้องใช้เทคโนโลยีอื่นเสริมจำนวนมากมาย เพียงอยู่ในอุปกรณ์เดียว และพร้อมใช้งานได้ทันที

3. ขจัดปัญหาการออกแบบ (Design) เนื่องจากเสร็จสิ้นอยู่ในอุปกรณ์เดียว จึงช่วยลดความซับซ้อนในการจัดหาเทคโนโลยีเพื่อใช้งานได้จริง อุปกรณ์ SRAN Security Center ประหยัดเวลาไปได้ ซึ่งทำให้ งบประมาณในการจัดหาอุปกรณ์ มีความคุ้มค่ามากขึ้น

4. ขจัดปัญหาลิขสิทธิรายอุปกรณ์ (License) ที่เป็นค่าใช้จ่ายที่ซ้อนเร้น เนื่องจากอุปกรณ์เก็บบันทึกข้อมูลจราจร ที่สามารถจัดเปรียบเทียบเหตุการณ์ (Correlation) ตามมาตราฐานต่างๆ (Compliance) ที่เรียกว่าว่าเทคโนโลยี SIEM (Security Information Event Management) โดยปกติจะมีค่าใช้จ่าย License ตามอุปกรณ์ (Devices) ที่ส่ง Log แต่อุปกรณ์ SRAN Security Center ไม่ได้คิดค่า License ตามอุปกรณ์ที่ส่ง Log จึงทำให้ลดค่าใช้จ่ายจำนวนมากเมื่อมีการติดตั้งและใช้งานจริงบนระบบเครือ ข่าย

จงจำไว้เสมอว่า การที่สร้างองค์กรของเราให้ปลอดภัยทางด้านไอทีแล้วนั้น ต้องเดินทางไปพร้อมกัน 3 ด้าน นั้นคือ ด้านเทคโนโลยี (Technology) ด้านคน (People) และด้านกระบวนการ (Process) มีเทคโนโลยีที่ดีและทันสมัย โดยมีคนเป็นผู้ใช้ และควบคุมเทคโนโลยี และมีกระบวน (Process) สร้างเป็นนโยบายรักษาความมั่นคงปลอดภัยข้อมูลสารสนเทศ (Security Policy) เป็นการควบคุมคนอีกชั้น หรืออาจจะกล่าวได้ว่า “นโยบายด้านความมั่นคง ปลอดภัยข้อมูลจะเป็นตัว คุมพฤติกรรมการทำงานคนในองค์กร เพื่อให้ คนใช้เทคโนโลยีอย่างถูกต้อง เหมาะสม อย่างมี สติ และปัญญา”

เทคโนโลยีด้านความปลอดภัยข้อมูลสารสนเทศ ต้องลดความซับซ้อนในการออกแบบ และการติดตั้ง ดูและรักษาได้ง่าย ตลอดระยะเวลา ทีม SRAN Dev ได้ทำการพัฒนาอุปกรณ์ SRAN Security Center แก้ไขหาจุดบกพร่อง ตลอดเวลา 4 ปี เรามั่นใจในคุณสมบัติทางเทคโนโลยีที่เราพัฒนาขึ้น เพราะเราเชื่อว่าไม่มีเทคโนโลยีใดที่สามารถป้องกันภัยคุกคามที่ระบบสารสนเทศ ได้ 100% แต่เราสามารถรู้ทันปัญหา ,ภัยคุกคามต่างๆ พร้อมรับมือและแก้ไขได้ อย่างทันเวลา จากอุปกรณ์ตัวนี้ ในชื่อ SRAN Security Center

นนทวรรธนะ สาระมาน
Nontawattana Saraman

29/02/51

เกียรติศักดิ์ทหารเสือ

มโนมอบพระผู้ ……สถิตย์อยู่ยอดสวรรค์
แขนถวายให้ทรงธรรม์ ….. พระผ่านเผ้าเจ้าชีวา
ดวงใจให้ขวัญจิต ….. ยอดชีวิตและมารดา
เกียรติศักดิ์รักของข้า …..ชาติชายแท้แก่ตนเอง
มโนมอบพระผู้ …..เสวยสวรรค์
แขนมอบถวายทรงธรรม์ …..เทอดหล้า
ดวงใจมอบเมียขวัญ …..และแม่
เกียรติศักดิ์รักข้า …. มอบไว้แก่ตัว

เพลงประกอบละครเวทีเรื่อง “เกียรติศักดิ์ทหารเสือ” ของ ศักดิ์เกษม หุตาคม หรือ “อิงอร” เมื่อประมาณ พ.ศ. ๒๔๙๐-๒๔๙๕ ขับร้องโดย สันติ ลุนเผ่ ประพันธ์ทำนองโดย สง่า อารัมภีร และสุนทรียา ณ เวียงกาญจน์ โดยใช้คำร้องจากโคลงพระราชนิพนธ์ของพระบาทสมเด็จพระมงกุฎเกล้าเจ้าอยู่หัว

ไม่อยากโยงกับการบ้านการเมือง ณ เวลานี้ นะครับ เพียงแค่่อยากฟังเพลงนี้ เพราะความไพเราะ และเพื่อเคารพต่อ ชาติ ศาสนา และพระมหากษัตริย์ อันรวมเป็นประเทศของเรา เมืองไทยของเราได้จนถึงทุกวันนี้

ท้ิงท้ายด้วยเพลงใต้ร่มธงไทย ของหลวงวิจิตรวาทการ

Get this widget | Track details | eSnips Social DNA
นนทวรรธนะ สาระมาน
Nontawattana Saraman

แนวทางการสร้างเครือข่ายตื่นรู้ Energetic Network ตอนที่ 1

เมื่อวันที่ 24 มกราคม 2550 ผมได้ร่วมสัมนากับทาง สำนักงานส่งเสริมอุตสาหกรรมซอฟต์แวร์แห่งชาติ (SIPA) ในหัวข้อการใช้โอเพนซอร์สกับภาครัฐ ตัวผมได้บรรยายหัวข้อซอฟต์แวร์โอเพนซอร์สกับความมั่นคงปลอดภัยของข้อมูลในภาครัฐ ให้กับตัวแทนในแต่ละกระทรวงได้รับฟัง ซึ่งเป็นที่แรกที่ได้กล่าวถึงแนวคิดเครือข่ายตื่นรู้ หรือที่เรียกเป็นภาษาอังกฤษที่เรียกว่า Energetic Network หลังการบรรยายเสร็จสิ้นได้มี ผู้สนใจจำนวนมาก ผมจึงถือโอกาสนี้มาเรียบเรียงการบรรยายในครั้งนั้นเป็นการเขียนบทความในครั้งนี้ ซึ่งบางท่านคงได้รับอ่านบทคามนี้มาบ้างแล้วจากนิตยสารบางเล่มที่จำหน่ายในปัจจุบัน

1. สาระสำคัญของ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ปี พ.ศ. 2550
เมื่อมีการประกาศใช้ พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ขึ้น โดยการประกาศนี้มีโครงสร้างดังนี้

– คำนิยาม ชนิดการใช้งานคอมพิวเตอร์ ที่ใช้ใน พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ฯ

– หมวดที่ 1 ความผิดเกี่ยวกับคอมพิวเตอร์

– หมวดที่ 2 พนักงานเจ้าหน้าที่

ในส่วนคำนิยาม อยู่ใน มาตรา 3 ซึ่งให้ความหมายและคำจำกัดความ ระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ข้อมูลจราจรคอมพิวเตอร์ , ผู้ให้บริการ ซึ่งประกอบด้วย ผู้ให้บริการแก่ผู้อื่นในการเข้าสู่อินเตอร์เน็ท , ผู้ให้บริการเก็บรักษาคอมพิวเตอร์เพื่อประโยชน์กับบุคคลอื่น และ ผู้ใช้บริการ

หมวดที่ 1 ความผิดเกี่ยวกับคอมพิวเตอร์ ประกอบด้วยมาตรา 5 ,6,7,8,9,10,12 และ การใช้คอมพิวเตอร์ในการกระทำผิด ได้แก่ มาตรา 11,13,14,15,16

หมวดที่ 2 พนักงานเจ้าหน้าที่ ซึ่งในมาตรา 26 ผู้ให้บริการต้องเก็บข้อมูลจราจรทางคอมพิวเตอร์ (ที่ได้ระบุไว้ในมาตรา 3) ไว้ไม่น้อยกว่า 90 วัน ซึ่งชนิดของผู้ให้บริการประกอบด้วย 4 ประเภทได้แก่

– ผู้ประกอบกิจการโทรคมนาคม

– ผู้ให้บริการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ได้แก่ ISP , หน่วยงานราชการ , บริษัท , สถาบันการศึกษา , ผู้ให้บริการในการเข้าถึงระบบเครือข่ายในหอพัก , ร้านอาหาร , โรงแรม

– ผู้ให้บริการเช่าระบบคอมพิวเตอร์ หรือที่เรียกว่า Hosting Services Provider

– ผู้ให้บริการร้านอินเตอร์เน็ท

โดยมีประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ ปี 2550 ซึ่งมีสาระสำคัญกล่าวว่า “ข้อมูลจราจรทางคอมพิวเตอร์นับเป็นพยานหลักฐานสำคัญในการดำเนินคดี อันเป็นประโยชน์อย่างยิ่งต่อการสืบสวน สอบสวน เพื่อนำตัวผู้กระทำความผิดมาลงโทษ จึงสมควรกำหนดให้ผู้ให้บริการมีหน้าที่ในการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ดังกล่าว” ซึ่งระบบเก็บรักษาความลับของข้อมูลที่จัดเก็บ มีการกำหนดชั้นความลับในการเข้าถึงข้อมูลดังกล่าว เพื่อรักษาความน่าเชื่อถือของข้อมูล และไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่เก็บรักษาไว้ เช่น การเก็บไว้ใน Centralized Log Server หรือการทำ Data Archiving หรือ Data Hashing

แนวทางการสืบหาผู้กระทำผิด (Chain of Event) ตาม พ.ร.บ. คอมพิวเตอร์

1. Who ใคร

2. What ทำอะไร

3. Where ที่ไหน

4. When เวลาใด

5. Why อย่างไร

เนื่องจากรับส่งข้อมูลผ่านเครือข่ายคอมพิวเตอร์ เป็น Real Time ไม่สามารถดูย้อนหลังได้ การที่จะสามารถดูย้อนหลังได้ ต้องมีการเก็บบันทึกข้อมูล ที่เรียกว่า Log และเพื่อเก็บรักษาข้อมูลดังกล่าว

และป้องกันไม่ให้หลักฐานข้อมูลนั้นเปลี่ยนแปลงได้ จึงควรมีการทำ Chain of Custody คือเก็บบันทึกรักษาข้อมูลจราจรขึ้น และนี้เองคือสาระสำคัญของการออกกฏหมายฉบับนี้เพื่อป้องปราบ และเก็บบันทึกหลักฐาน เพื่อสืบสวนสอบสวน หาผู้กระทำผิดมาลงโทษ ดังนั้นการจัดหาเทคโนโลยีเพื่อเก็บรักษาหลักฐานข้อมูล เป็นเรื่องที่ซับซ้อน เราจึงมีแนวคิดเพื่อจัดหาเทคโนโลยีมาแก้ไขปัญหา และลดความซับซ้อนนี้ขึ้น เรียกว่า ” การสร้างเครือข่ายตื่นรู้ ”

2. คำนิยามการสร้างเครือข่ายตื่นรู้ องค์ประกอบสำคัญในด้านความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ คือ เทคโนโลยี คน และ กระบวนการ สิ่งที่สามารถ ควบคุมได้ง่ายที่สุดคือ เรื่องเทคโนโลยี ถึงแม้จะไม่มีเทคโนโลยีใดทที่ทำงานแทนคนได้หมด และไม่มีเทคโนโลยีใดที่ป้องกันภัยคุกคามได้สมบูรณ์แบบ หากเราควบคุมเทคโนโลยีที่นำมาใช้ได้ และรู้ทันปัญหาที่เกิดขึ้น ประหยัดงบประมาณในการทุน ใช้ได้อย่างคุ้มค่า เราก็สามารถนำส่วนที่ต้องลงทุนทางเทคโนโลยีที่เหลือใช้ มาอบรมเจ้าหน้าที่พนักงานให้เกิดองค์ความรู้ และ จัดหากระบวนการเพื่อสร้างมาตรฐานด้านความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ ได้อย่างมีทิศทางมากขึ้น ดังนั้นในการสร้างเครือข่ายตื่นรู้จึงเป็นการ สรุปการจัดหาเทคโนโลยี มารองรับเครือข่ายคอมพิวเตอร์ เพื่อจัดหาเทคโนโลยีด้านความมั่นคงปลอดภัยทางข้อมูล สมบูรณ์แบบ ที่เราสามารถระบุตัวตนของผู้ใช้งาน ระบุลักษณะการใช้งาน และบันทึกข้อมูลการใช้งานตามความเหมาะสมที่เกิดขึ้น สามารถยืนยันหลักฐานเพื่อใช้ในการสืบสวนสอบสวนหาผู้กระทำผิดทางคอมพิวเตอร์ ทั้งในองค์กร และนอกองค์กรได้อย่างมีความสะดวกมากขึ้น มีประสิทธิภาพ และมีประสิทธิผลตามมา

3. จุดประสงค์การสร้างเครือข่ายตื่นรู้
3.1 ลดค่าใช้จ่ายในการนำเทคโนโลยีด้านความปลอดภัยข้อมูล มาใช้เพื่อรองรับกับ พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์

3.2 เพื่อทราบถึงที่มาที่ไปของภัยคุกคามที่อาจเกิดขึ้นภายในองค์กร

3.3 เพื่อระบุตัวตนการใช้งาน และเก็บบันทึกประวัติพฤติกรรมการใช้งานบนเครือข่ายคอมพิวเตอร์

3.4 เพื่อจัดทำเป็นโครงสร้างในการออกแบบเครือข่ายให้ปลอดภัยอย่างยั้งยืน

4. องค์ประกอบ เครือข่ายตื่นรู้ (Energetic Network)

4.1 การจัดเก็บคลังข้อมูล (Inventory)

4.2 การระบุตัวตน (Identity)

4.3 การเฝ้าระวังและวิเคราะห์ผล (Monitoring & Analysis)

4.4 การควบคุม (Control)

4.5 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐาน (Compliance)

พบกันตอนหน้า จะอธิบายรายละเอียดในแ่ต่ละส่วน และแนวทางปฏิบัติ

นนทวรรธนะ สาระมาน
Nontawattana Saraman
หัวหน้าทีมพัฒนาวิจัยเทคโนโลยี SRAN

บรรยายซอฟต์แวร์โอเพนซอร์สกับความมั่นคงปลอดภัยของข้อมูลในภาครัฐ

สำนักงานส่งเสริมอุตสาหกรรมซอฟต์แวร์แห่งชาติ (SIPA) จัดงานสัมมนา “แผนส่งเสริมการใช้ซอฟต์แวร์โอเพนซอร์สในภาครัฐ” สำหรับองค์กรธุรกิจหรือหน่วยงานราชการ โดยงานนี้จะจัดในวันนี้ 24 มกราคม 2551 ที่จะถึงนี้ ที่ห้องบอลรูมl โรงแรมดิเอ็มเมอรัลด์

นายนนทวรรธนะ สาระมาน หัวหน้าทีมพัฒนาระบบ SRAN ได้กล่าวบรรยายหัวข้อซอฟต์แวร์โอเพนซอร์สกับความมั่นคงปลอดภัยของข้อมูลในภาครัฐ ได้กล่าวถึงการทำเครือข่ายตื่นรู้ (Energetic Network) ซึ่งเป็นแนวคิดใหม่ ที่นำ Open Source มาใช้ประยุกต์กับระบบรักษาความปลอดภัยทางข้อมูล ไม่ว่าเป็นการทำ การเก็บคลังข้อมูล (Inventory), การระบุตัวตน (Identity) , การเฝ้าระวังและวิเคราะห์ผล (Monitoring & Analysis) , การควบคุมข้อมูล (Controlled) , และการเปรียบเทียบตามมาตราฐาน (Compliance) อย่างเป็นรูปธรรมและลดความซับซ้อนของเทคโนโลยีได้

และ SRAN ได้มีการจัดบูธให้ความรู้เทคโนโลยีด้านความปลอดภัยข้อมูลเพื่อรองรับกับ พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์อีกด้วย

นนทวรรธนะ สาระมาน
Nontawattana Saraman