สาธิต SRAN Security Center ครบเครื่องในเครื่องเดียว

ทีม SRAN ได้มีโอกาสได้สาธิตการทำงาน SRAN Security Center ในงานลงนามทำสัญญาร่วมบริการด้านความปลอดภัยข้อมูลสารสนเทศกับ บริษัท กสท โทรคมนาม จำกัดมหาชน แบบครบวงจร

ภาพ ขณะบรรยายให้กับผู้บริหารระดับสูง จาก การสื่อสารแห่งประเทศ

Continue reading ภาพสาธิต SRAN Security Center ครบเครื่องในเครื่องเดียว…

วันที่ 29 พฤษภาคม 2549 บริษัท Cattelecom (กสท โทรคมนาคม มหาชน จำกัด) ได้ร่วมลงนาม ให้บริการด้านความปลอดภัยข้อมูลสารสนเทศ กับ บริษัท Global Technology Integrated และ ตัวแทนขายผลิตภัณฑ์จากบริษัท ACA Group และ Panda Software โดยในงานมีพิธีร่วมสัญญาระหว่างกรรมการผู้จัดการใหญ่ทั้ง 4 บริษัท

ภาพที่ 1 ป้ายพิธีในงานลงนามให้บริการด้านความปลอดภัยข้อมูล และ ตัวแทนจำหน่ายสินค้าด้านความปลอดภัย แบบครบวงจร จาก Cattelecom

ภาพที่ 2 การลงนาม ระหว่าง นายนรัตถ์ สาระมาน กรรมการผู้จัดการบริษัท Global Technology Integrated และ นายพิศาล จอโภชาอุดม กรรมการผู้จัดการใหญ่ บมจ. กสท โทรคมนาคม และการร่วมถ่ายภาพระหว่างพันธิมิตรทางธุรกิจทั้ง 4 บริษัท ได้แก่ Cattelecom , Global Technology Integrated ,ACA Group และ Kirz (Panda Software) รวมถึงสาธิตการใช้งานบริการ 14 strong 44 secure และผลิตภัณฑ์ด้านความปลอดภัยข้อมูล ให้กับสื่อมวลชนได้ทำข่าว

รายละเอียดอ่านได้ที่ http://blog.gbtech.co.th

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Long Live The King

ทางบริษัท Global Technology Integrated ได้จัดทำ Web Wristband เพื่อเทิดพระเกียรติในวโรกาสพระบาทสมเด็จพระเจ้าอยู่หัวทรงฉลองสิริราชสมบัติครบ 60 ปี

สำหรับติดตั้ง ทางซ้ายมือของ Web site ให้แก้สคิป เป็น

* ให้นำ Script นี้ติดตั้งหลัง นะครับ

โดยคลิกที่ link จะเชื่อมไปที่ web http://www.60thcelebrations.com/

หมายเหตุ : หากเป็นการสนับสนุนทีมพัฒนาโปรแกรม กรุณา Add Link www.sran.net ใน URL ที่ท่านนำสคิปนี้ไปติดตั้งด้วย ทั้งนี้ทางผู้จัดทำ ยินดีแจกฟรี ถึงแม้ไม่มีการ add link สนับสนุนทีมแต่อย่างใด

ภาพ ตัวอย่างที่ใช้ Web Wristband

ทั้งนี้ทางบริษัทฯ ยินดีให้ใช้สคิปนี้โดยไม่มีข้อแม้ทางการค้าใดๆ

ขอทรงพระเจริญยิ่งยืนนาน ด้วยเกล้าด้วยกระหม่อมขอเดชะ ข้าพระพุทธเจ้า เหล่าพนักงานบริษัทโกบอลเทคโนโลยีอินทิเกรเทด

นนทวรรธนะ สาระมาน
Nontawattana Saraman

USB Drive Anti Virus โดยใช้ SRAN AV

ใหม่ล่าสุด : เราสามารถทำ Anti Virus บน USB Drive เป็นแบบ off line mode ทำการค้นหาไวรัสคอมพิวเตอร์ โดยที่ไม่ต้องลงโปรแกรมบน Operating System

ประโยชน์

1. ใช้สำหรับงานแก้ไขปัญหาฉุกเฉิน (Incident Response) เนื่องจากเครื่องที่ติดไวรัสส่วนใหญ่ มักจะทำให้โปรแกรม Anti Virus ปิดทำการหรือทำงานผิดปกติไปจากเดิม

2. พกพาสะดวก เพราะโปรแกรม Run บน USB Drive

3. ไม่ส่งผลกระทบกับโปรแกรมอื่น

4. ใช้งานง่าย สามารถ set Auto Run ผ่าน USB Drive ได้

Download คู่มือได้ที่ http://sourceforge.net/docman/index.php?group_id=167842

ข่าวจาก SRAN Anti Virus site

นนทวรรธนะ สาระมาน
Nontawattana Saraman

SRAN Anti-Virus โปรแกรมป้องกันไวรัสเพื่อคนไทย

หลังจากได้พัฒนา ผลิตภัณฑ์ด้านความปลอดภัยมาได้เป็นระยะเวลาเกือบ 3 ปีเต็ม มักโดนถามถึงว่าเมื่อไหร่เราจะผลิต Anit-virus เสียที !! ก็เลยเป็นโจทย์ ให้เราได้มานั่งคิดกันว่าเราควรมี โปรแกรม Anti-virus เป็นของตัวเอง เลยจัดทำ Software นี้ขึ้นมา

จุดประสงค์

1. สร้าง Anti-Virus สัญชาติไทย

2. เมนูการใช้งานเป็นภาษาไทย

3. การใช้งานไม่ซับซ้อน ,ขนาดโปรแกรมที่เล็ก

4. ทำการตรวจจับ Virus/Spam/Spyware ได้

5. มีการอัพเดพ ข้อมูลไวรัสใหม่เป็นประจำ

โดยทั้งนี้เราจะทำการเปิดตัวซอฟแวร์ SRAN Anti-virus อย่างเป็นทางการอีกครั้ง ..

อ่านเพิ่มเติมได้ที่ Products : Software : SRAN Anti Virus

นนทวรรธนะ สาระมาน
Nontawattana Saraman

งานสัมนา Thaisnort ครั้งที่ 1

ในเดือนเมษายน 2549 บริษัท Global Technology Integrated ได้เข้าร่วมงานสัมนา Thaisnort ครั้งที่ 1 เป็นฟรีสัมนาที่ทาง การสื่อสารแห่งประเทศได้เป็นเจ้าภาพในเรื่องสถาณที่ โดยในงานทางบริษัท Global Technology ได้บรรยายถึงเทคนิคการป้องกันภัยเครือข่ายโดยใช้ snort เป็น Intrusion Detection ไว้ใช้ในการตรวจจับสิ่งผิดปกติที่เกิดขึ้นในระบบเครือข่าย

ในงานได้เผยเทคนิคการปรับแต่งการตรวจจับ ไวรัสคอมพิวเตอร์ที่เข้าสู่ระบบเครือข่าย , ปรับแต่งให้ snort ตรวจจับ Spam mail และการปรับแต่งให้ snort ให้ตรวจจับ Spyware เป็นต้น รวมถึงบรรยายประสบการณ์ในการใช้ snort ในการตรวจจับบนเครือข่ายจริง มาแลกเปลี่ยนความรู้กับผู้ร่วมสัมนาอีกด้วย , ในงานมีผู้ให้ความสนใจจำนวนมาก และมีการแจกของรางวัลเช่น iPod , กล้องดิจิตอล , USB Drive และ VRT snort เป็นต้น

คลิกเพื่อดูรายละเอียด ภาพบรรยาย

ผู้ร่วมการบรรยายในงาน

1. คุณไชยกร อภิวัฒโนกุล ผู้ก่อตั้ง Thaisnort (ck)
2. คุณพรเทพ นิวัตยะกุล จาก CAT Telecom
3. คุณนันนรี ศรีพนัสกุล จาก CAT Telecom
4. คุณนนทวรรธนะ สาระมาน Director จาก Global Tech
5. คุณธนสิน จิตแก้ว Senior IT Security Consultant จาก Global Tech (invisible)
6. คุณปิตุพงษ์ ยาวิราช Senior IT Security Consultant จาก Global Tech (knoxpix)
Presentations
Session I IDS/IPS Concept and Snort History (by CK) download
Session II Working with Snort (by invisible) download
Session III Snort Rules (by knoxpix) download

เครือข่ายในกรงขัง ตอนที่ 2

on Jan 7, 2006 10:55 pm.

การสร้าง Sinkhole Network

จากความเดิมตอนที่แล้วเราได้พูดถึงทฤษฎีการสร้าง Honeynet ในยุค Gen II ไปแล้วมาตอนนี้เราจะกล่าวถึงความหมายและทำความเข้าใจการสร้าง Sinkholes บนระบบเครือข่าย จะมีประโยชน์มากสำหรับ ISP หากได้ศึกษาและปฏิบัติตาม

บทความนี้จะอธิบายถึงความหายของ sinkhole network ซึ่งประกอบไปด้วย Blackhole router คืออะไร ? , IP Bogon เกิดได้อย่างไร และ Backscatter ค้นหาย้อนกลับเพื่อหาผู้กระทำผิดได้อย่างไร สามารถหาคำตอบได้จากบทความนี้ เครือข่ายในกรงขังตอนที่ 2

นนทวรรธนะ สาระมาน

ตรวจจับช่องโหว่ WMF โดยใช้ SRAN

on Jan 6, 2006 7:52 am.

ตามที่ได้มีการประกาศข่าวช่องโหว่ ตัวใหม่สำหรับระบบปฏิบัติการ Windows ที่ infosec.sran.org ได้ประกาศไว้ในวันที่ 29 ธันวาคม 2548

exploit ใหม่สำหรับโจมตีช่องโหว่ WMF ในวินโดวส์ (ใช้ใน Metasploit
framework) ที่สามารถสร้างไฟล์สำหรับการโจมตีช่องโหว่ที่มีขนาดไฟล์แบบสุ่ม
ไม่มีนามสกุล .wmf แต่เป็น .jpg หรือนามสกุลอื่น ๆ ที่เป็นนามสกุลของไฟล์ image
และการสร้างไฟล์แบบสุ่มเพื่อให้ยากต่อการตรวจจับของ antivirus

มีรายงานถึงช่องโหว่ล่าสุดในวินโดวส์เวอร์ชั่นต่อไปนี้คือ

Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition

โดยมีช่องโหว่ในด้านการจัดการกับ Windows Metafile (WMF) ผู้โจมตี
สามารถสร้างไฟล์ WMF แบบพิเศษที่เมื่อเปิดดูผู้ใช้วินโดวส์ โดยใช้
application ที่มีช่องโหว่ เช่น Windows Picture and Fax Viewer หรือ
โดยการเปิดเว็บเพจที่ออกแบบมาเพื่อโจมตีช่องโหว่นี้ผ่านทาง
Internet Explorer จะทำให้มีการเอ็กซิคิวท์โค้ดที่ผู้โจมตีต้องการ
และควบคุมระบบนั้นได้

ในขณะนี้ยังไม่มีวิธีแก้ไขหรือป้องกันจากไมโครซอฟท์ มีเพียงการป้องกัน
โดยการระมัดระวังการเปิดไฟล์และเว็บเพจจากการแนะนำของคนที่ไม่รู้จัก
หรือไม่น่าไว้ใจเท่านั้น

ดูรายละเอียดเพิ่มเติมได้จาก
http://www.frsirt.com/english/advisories/2005/3086

exploit ที่ใช้ทดสอบช่องโหว่ (ใช้กับ Metasploit)
http://www.frsirt.com/exploits/20051228.ie_xp_pfv_metafile.pm.php

เมื่อทำการตรวจสอบโดยใช้ SRAN Security Center เพื่อจับ packet exploit ชนิดนี้

เมื่อวันที่ 31 ธันวาคม 2548 เป็นวันสิ้นปีพอดี เราไ้ด้ e-mail เตือนจาก Sensorตัวหนึ่ง ของ SRAN

พบว่าเจอการบุกรุกชนิดใหม่นี้ขึ้น โดยเริ่มทำการบุกรุกครั้งแรกจับภาพดังนี้

พบว่ามีการจับเหตุการณ์ได้ โดยปรากฎชื่อ Signature ตาม Clamav ที่จับได้เป็น (spp_clamab) Virus Found:Exploit.WMF.A

จาก IP 10.10.10.250 ทำการติดต่อไปที่ IP 69.50.188.132 มีความเสี่ยงที่สามารถเกิดช่องโหว่ใหม่ของ Windows ได้

เพื่อทำการวิเคราะห์ เราจึงทำการเฝ้าสังเกต และพบว่ามีการติดต่อกันระหว่างเครื่องทั้ง 2 อยู่ 22 เหตุการณ์ โดยเครื่องที่เป็นเหยื่อพบเหตุการณ์ Web-client Microsoft wmf metafile access เกิดขึ้น 2 เหตุการณ์

เมื่อทำการเจาะจงเพื่อดูค่า payload พบว่ามีการติดต่อไปที่ host aaa.anunah.com ทาง protocol HTTP โดย domain ดังกล่าวคือ IP 69.50.188.132 นั้นเอง

เมื่อทำการเปิด URL ดังกล่าวคือ http://aaa.anunah.com/koks.html ได้พบ file ให้ download ขึ้นมา

แสดงให้เห็นว่ามีการจงใจเพื่อทำการหลอกลวง คนทั่วไปที่ไม่ทราบช่องโหว่ได้รับ file ดังกล่าวและเข้าถึงระบบเครื่องนั้นต่อไป

วิธีแก้ไข / ป้องกัน

ในขณะที่เขียนยังไม่มี patch อย่างเป็นทางการ ไมโครซอฟท์ได้แนะนำวิธีป้องกันไว้ดังนี้คือ

• ยกเลิกการ register โปรแกรม Windows Picture and Fax Viewer (Shimgvw.dll) ใน Windows XP Service Pack 1; Windows XP Service Pack 2; Windows Server 2003 และ Windows Server 2003 Service Pack 1 วิธีการนี้ไม่ใช่การแก้ไขช่องโหว่ แต่ช่วยบล็อกหนทางในการโจมตี โดยวิธีการนี้จำเป็นต้องทำโดยใช้สิทธิ์ของ Administrator หลังจากนั้นจึง รีสตาร์ทระบบหรือโดยการ log out แล้วจึง log in เข้าใหม่

การยกเลิกการ register Shimgvw.dll มีขั้นตอนดังต่อไปนี้คือ

• คลิกที่ Start , คลิก Run , พิมพ์ ” regsvr32 -u %windir%system32shimgvw.dll ” ( ใส่ไปโดยไม่มีเครื่องหมาย “”) จากนั้นจึงคลิก OK

• มี dialog box ปรากฏขึ้นเพื่อยืนยันว่าการยกเลิกการ register เสร็จสมบูรณ์ จากนั้นจึงคลิก OK เพื่อปิด dialog box

การป้องกันช่องโหว่ด้วยวิธีนี้จะทำให้โปรแกรม Windows Picture and Fax Viewer ไม่ทำงานเมื่อผู้ใช้คลิกที่ลิงค์ที่เป็นภาพที่เปิดด้วยโปรแกรม Windows Picture and Fax Viewer

ถ้าต้องการยกเลิก และต้องการ register Shimgvw.dll ใหม่ ให้ทำตามขั้นตอนข้างต้นใหม่ เพียงแต่เปลี่ยนขั้นตอนที่ 1 ด้วยคำสั่ง “regsvr32 %windir%system32shimgvw.dll” แทน ( ใส่ไปโดยไม่มีเครื่องหมาย “” )

นอกจากนี้ไมโครซอฟท์ยังได้แนะนำให้ผู้ใช้งานระมัดระวังการเปิดดูอีเมลและลิงค์ในอีเมลจากต้นตอที่ไม่น่าเชื่อถือ เปิดการทำงานของ Firewall อัพเดท Windows บ่อยครั้ง และติดตั้งซอฟท์แวร์แอนตี้ไวรัสด้วย

สวัสดีปีใหม่ครับทุกคน

1/01/49

นนทวรรธนะ สาระมาน

Nontawattana Saraman

แนวโน้มเทคโนโลยีด้านป้องกันภัย 2006

7 แนวโน้มเทคโนโลยีด้านป้องกันภัย

เป็นบทความที่ผู้เขียนได้ลง หนังสือ Micro Computer ประจำเดือน มกราคม 2006 เป็นแนวโน้มเทคโนโลยีป้องกันภัยข้อมูลในปี 2006 โดยแบ่งหมวดหมู่ได้ 7 แนวทาง รายละเอียดทั้งหมดสามารถอ่านได้ที่นี้

7 แนวโน้มเทคโนโลยีด้านป้องกันภัยคุกคามข้อมูลสารสนเทศ ในปี 2006

ในรอบปีที่ผ่าน อาจกล่าวได้ว่าระบบความปลอดภัยข้อมูลสารสนเทศถูกจัดให้เป็นประเด็นที่ได้รับการกล่าวอ้างและพูดถึงกันอย่างกว้างขวางที่สุด ทั้งในการเกิดขึ้นและเปลี่ยนแปลงของรูปแบบของภัยอันตรายประเภทใหม่ๆ และการเปิดตัวและแนะนำของผลิตภัณฑ์ใหม่สู่ท้องตลาด รวมทั้งในเรื่องของการควบรวมกิจการ ที่เกิดขึ้นอย่างต่อเนื่องตั้งแต่ต้นปี อาทิ บริษัท Foundstone ผู้ผลิตระบบ VA (Vulnerability Assessment) และเจ้าของตำราที่มีประโยชน์ต่อผู้ดูแลระบบอย่างมากมาย ได้ถูกบริษัท Mcafee ผู้ผลิตระบบ Anti-virus เข้าควบรวมกิจการ เมื่อต้นปีที่ผ่าน และข่าวใหญ่สำหรับวงการด้านความปลอดภัย คือบริษัท Sourcefire ผู้พัฒนา ระบบ IDS/IPS ที่เรียกว่า Snort โดนควบรวมกิจการจากบริษัท Checkpoint อันมีชื่อเสียงในเรื่องโซลูชั่นทางด้าน Firewall จึงเป็นที่น่าจับตามองว่าอันดับหนึ่งผู้ผลิต IDS/IPS จับมือกับ อันดับหนึ่งผู้ผลิต Firewall รวมด้วยกันแล้วจะเกิดอะไรขึ้นในปี 2006 การควบรวมกิจการดังกล่าว หากมองในแง่มุมของผู้บริโภคแล้ว อาจจัดได้ว่ามีประโยชน์ในแง่การใช้เทคโนโลยีที่ทันสมัยและสารพัดประโยชน์มากขึ้น ซึ่งในมุมมองของเทคโนโลยีทางด้านการรักษาความปลอดภัยที่จะเกิดขึ้นในปี 2006 ผู้เขียนขอทำนายถึงสิ่งที่จะเกิดขึ้นกับเทคโนโลยีทางด้านสารสนเทศในปี 2006 โดยจะมีเรื่องที่จะถูกกล่าวหรืออ้างถึงทั้งสิ้น 7 หัวข้อ โดยประกอบด้วยเรื่องดังนี้

Signature Signature and Signature

ในส่วนของผลิตภัณฑ์ป้องกันภัยบนระบบเครือข่าย ณ ปัจจุบัน มีให้เลือกหลายเทคโนโลยี จากหลายผู้ผลิตซึ่งอุปกรณ์หรือโซลูชั่นจากแต่ละผู้ผลิตเองก็มีความสามารถใกล้เคียงกัน แต่สิ่งสำคัญที่จะทำให้สินค้านั้นมีข้อแตกต่างเหนือคู่แข่งนั้นคือ เรื่องฐานข้อมูลการบุกรุกต่างๆ ( Signature) ซึ่งยิ่งมีมาก ยิ่งเร็วและถูกต้อง ยิ่งมีข้อได้เปรียบเหนือคู่แข่ง หากผลิตภัณฑ์ใดสามารถตอบสนองของภัยคุกคามนั้นได้ภายในระยะเวลาที่สั้นกว่า จะเป็นผลิตภัณฑ์ที่ได้การรับเลือกใช้และชนะคู่แข่งได้ในปี 2006 ที่จะถึงนี้

1.1 ระบบ NIDS/IPS (Network Intrusion Detection & Prevention) ที่ได้รับความนิยมสูงขึ้นเรื่อยๆ เนื่องจากหลายองค์กรมี การติดตั้ง Firewall แล้วแต่ยังไม่เพียงพอ การทำงานของ IDS/IPS อาศัยรูปแบบการตรวจจับในฐานข้อมูล ที่เรียกว่า Signature

1.2 โปรแกรม Anti-virus , Anti-Spyware ก็ต้องอาศัยฐานข้อมูลไวรัสชนิดใหม่ๆ

1.3 ระบบ Anti-Spam ทั้งที่เป็นรูปแบบของ software และที่เป็น Appliance (Spam Firewall) ก็ต้องอาศัยฐานข้อมูล Spam ที่เกิดขึ้นทั่วโลก

1.4 ระบบกรองเว็บที่ไม่เหมาะสม ทั้งที่เป็น software และ Appliance ก็ต้องอาศัยฐานข้อมูล

1.5 ระบบประเมินความเสี่ยงเครือข่าย ที่เรียกสั้นว่า VA (Vulnerability Assessement) ยิ่งจำเป็นต้องมี ฐานข้อมูลในการประเมินความเสี่ยง การ Scan หาช่องโหว่ที่เกิดขึ้น และ Bug ใหม่ๆ ที่ค้นพบ เพื่อทำการตรวจสอบว่าระบบนั้นมีช่องโหว่ และควรป้องกันเช่นไร

ผู้เขียนตั้งข้อสังเกตว่า ในอนาคตจะเกิดบริษัทในเชิงวิจัยและพัฒนา signature เพื่อขายฐานข้อมูลให้กับผู้ผลิตภัณฑ์ด้านความปลอดภัยจำนวนมากขึ้น รวมทั้งจะมีผู้ผลิตรายใหม่เกี่ยวกับโซลูชั่นทางด้านระบบป้องกันภัยข้อมูลทั้งที่เป็น software และ Hardware มีจำนวนเพิ่มขึ้นอย่างมากด้วย

2. Anti-Malicious Web

ระบบป้องกันเว็บที่ฝัง code ไม่เหมาะสม เป็นการบุกรุกเข้าเครื่องผู้ใช้งาน โดยอาศัยช่องโหว่ของ Application ในการท่องเว็บไซด์ นั้นคือบราวเซอร์ที่เราใช้นั้นเอง เช่น Internet Explorer (IE) , Firefox , Opera เป็นต้น ในตลอดทั้งปี 2005 ที่ผ่านเราจะได้รับข่าวที่เกิดจากช่องโหว่ของ บราวเซอร์ จำนวนมาก เช่น ล่าสุดมีข่าว Bug IE ที่ สามารถอ่านข่าวนี้ได้ http://infosec.sran.org ณ ขณะที่ได้เขียนบทความนี้ ก็ยังเป็น 0 day นั้นคือยังไม่มี patch ที่รักษาจาก Microsoft ผู้ใช้ IE มีความเสี่ยงที่เกิดขึ้นจากการท่องอินเตอร์เน็ท โดยการเปิด web ที่ไม่เหมาะสม จะรันโปรแกรมเข้าเครื่องและได้มีสิทธิที่เข้าถึงระบบปฏิบัติการเครื่องนั้นได้โดยทันที ทั้งนี้ระบบป้องกันทางเครือข่ายไม่สามารถป้องกันได้หากไม่มีการ update รูปแบบการบุกรุกในฐานข้อมูล เนื่องจากการติดต่อดังกล่าวผ่านที่ port 80 และเป็นการใช้งานที่ปกติ แต่ในความปกติ มี code ที่สามารถเข้าถึงเครื่องได้โดยอาศัยช่องโหว่ของ application บราวเซอร์ จึงเป็นการยากที่จะตรวจจับ

รูปแบบการโจมตีชนิดนี้จะผูกพันไปกับเทคนิค หลายอย่างเข้าด้วยกัน

ตัวอย่างการผสมผสานรูปแบบการโจมตีเข้าด้วยกัน

เริ่มจาก Spam ที่เข้าสู่ E-mail ในเนื้อหา Spam นั้น หลอกคน ( social engineering ) ไปที่เว็บไซด์แห่งหนึ่ง โดยเทคนิคใช้เทคนิค Phishing หรือ Pharming เมื่อติดกับดัก ก็จะเข้าไปเว็บไซด์กลลวง โดยไซด์ดังกล่าวไม่เพียงแค่หลอก แต่ยังใส่ code เพื่อเข้าถึงระบบปฏิบัติการเครื่องที่เป็นเหยื่อด้วย เพื่อต้องการสร้าง zombie นั้นคือเมื่อเข้าถึงระบบแล้วจะรัน bot ในเครื่องที่เป็นเหยื่อ เพื่อไปเข้าใน Dark site ที่เป็น IRC server หรือรูปแบบการติดต่ออื่น จากนั้นกลุ่มอิทธิพลเครือข่าย (Mafia Net) ก็จะกำหนด zombie เหล่านี้ให้โจมตี เครือข่ายใดๆ ที่ต้องการได้ หากจำนวน zombie เยอะขึ้น เรียกว่า botnet ใช้การโจมตีชนิด Distributed Denial of Service (DDoS) กับเว็บไซด์ หรือระบบเครือข่ายที่ถูกว่าจ้างมาเพื่อทำลายให้เสียหายต่อไป

1. Spam mail à 2 . Social Engineering à 3. Phishing or Pharming à 4. Malicious Web à 5. Zombie or 6. Backdoor à 7. Botnet à 8. DDoS

เทคโนโลยี การโจมตีแบบ DDoS ยังป้องกันลำบากถึงแม้จะมีระบบป้องกันภัยอย่างดีแล้วก็ตาม เนื่องจากการโจมตีชนิดนี้ ตั้งอยู่บนพื้นฐานการติดต่อตาม OSI layers มีช่องทางการหลีกหนี การตรวจจับได้หลายๆทาง และเมื่อมีส่งข้อมูลจำนวนมาก และเป็นระยะเวลาต่อเนื่องก็ทำให้ ระบบป้องกันเองไม่ว่าเป็น Router , Firewall และ IDS/IPS จะเสียหายได้ ก็ป้องกันภัยทาง DDoS ต้องมีการเฝ้าระวังภัยจาก ISP ก็ดีและหน่วยความปลอดภัยข้อมูลสารสนเทศในองค์กรนั้นๆอีกด้วย

3. Anti Rootkit ภัยคุกคามที่ไม่ค่อยได้รับการกล่าวถึงแต่อาจกล่าวได้ว่ายากแก่การตรวจจับ นั้นคือ ภัยจาก Rootkit ในปี 2005 มีข่าวสำคัญที่จะมองข้ามเรื่องนี้ไม่ได้ นั้นคือ มีการตรวจพบ Rootkit ใน แผ่น CD ของค่าย Sony ผู้ค้นพบ Rootkit ตัวนี้คือเจ้าของเว็บ Sysinternals สามารถอ่านได้ที่

http://www.sysinternals.com/blog/ 2005/11/ more-on-sony-dangerous-decloaking.html

ในปี 2006 นอกจากมีระบบ Anti-virus, Anti-spyware และ anti-spam แล้วจะต้องมีเครื่องมือที่ช่วยหา rootkit อีกอย่าง ภัยของ rootkit น่าสนใจ และสามารถยกเป็นประเด็นที่น่าศึกษาต่อไป นั้นคือเรื่องความเป็นส่วนตัวของผู้บริโภคสื่อ ซึ่งผู้เขียนเองอยากจำแนกภัยอันเกิดจากการโจมตีโดย rootkit ว่ามีได้ทางใดบ้างโดยอาจสรุปเป็นกรณีศึกษาได้ดังนี้

3.1 ภัย Rootkit จากผู้พัฒนา software เกิดขึ้นได้ 2 มุม มุมแรกเป็นเรื่องป้องกันการละเมิดลิขสิทธิ์ เป็นส่วนหนึ่งของ DRM (Digital Right Management) http://en.wikipedia.org/wiki/Digital_rights_management ในเมื่อป้องกันลำบากจึงต้องเขียนโปรแกรมเพื่อทำลาย สำหรับคนที่ต้องการลักลอบและ Copy ข้อมูล เมื่อมีการละเมิด เพื่อทำการ Copy จะถูก Rootkit ที่ฝั่งใน software นั้นทำงานขึ้นมาทันที

อีกมุม เป็นการพัฒนาซอฟแวร์ขึ้นเพื่อมุ่งหวัง สร้างทางลัดให้กับผู้พัฒนาซอฟแวร์นั้นการติดตามผลประดิษฐ์ ของตน มุมนี้น่ากลัว เพราะเป็นการยากที่จะรู้ว่า โปรแกรมเมอร์ที่เราให้มาเขียนระบบต่างๆ ที่เกิดขึ้นจะมีการฝั่ง rootkit หรือ backdoor กับ ซอฟแวร์ที่พัฒนาหรือไม่ หากไม่มีนโยบาย และกระบวนการควบคุมการเขียนโปรแกรม ก็อาจจะทำให้เกิดมี backdoor ฝั่งอยู่ในโปรแกรมที่เราใช้อยู่ก็เป็นได้

3.2 ภัย Rootkit จากนักโจมตีระบบ นักโจมตีระบบ หรือที่เรียกว่า (Hackers) ทั้ง มักหยอด โปรแกรมที่ไม่พึ่งประสงค์ เช่น sniffer , backdoor ต่างๆ เพื่อหวังผลคืบคลานไปสู่ระบบอื่น ต่อไป ทั้งนี้ต้องใช้ Rootkit ฝั่งระบบเพื่อ ป้องกันไม่ให้ ผู้ดูแลระบบเกิดความสงสัยว่าเครื่องตน โดน Hack เสียแล้ว วิธีการป้องกัน ต้องมีเทคโนโลยีในการตรวจ integrity ใน file ที่สำคัญ เป็นต้น ดังนั้นระบบ Host Base Integrity จึงมีความสำคัญในอนาคตอย่างยิ่ง

4. Insider Attack Detection

เป็นที่ปฏิเสธไม่ได้ว่า มีผู้คนจำนวนมากที่ทำงานในองค์กรที่ใหญ่ เช่น ธนาคาร , ผู้ให้บริการสื่อสาร , เงินทุนหลักทรัพย์ และอื่นๆ จำนวนพนักงานเหล่านี้หากมีความรู้ด้านคอมพิวเตอร์ที่ดี และเกิดมีช่องโหว่ในขั้นตอนการควบคุมภายในองค์กร ก็ย่อมมีการบุกรุกและขโมยข้อมูลภายในองค์กรได้ ในงานตรวจจับผู้กระทำผิด อาชญากรรมคอมพิวเตอร์ พบว่าส่วนใหญ่การขโมยข้อมูลเกิดจากพนักงานภายในองค์กร ยิ่งสื่อการสอนและหนังสือจำนวนมากที่เปิดเผยวิธีการเข้าถึงระบบ ก็จะมีผู้คนจำนวนไม่น้อยที่ศึกษาและนำมาลองใช้ภายในองค์กรที่ตนเองทำงานอยู่ รวมถึงการใช้งานบนทรัพยากรในบริษัทที่ผิดวัตถุประสงค์ เช่น การใช้เครื่องในบริษัท เล่น P2P (Peer to Peer) คือการติดต่อโดยตรงกับเครื่องที่ทำการแชร์ข้อมูล , files ต่างๆที่ต้องการ เป็นการ สิ้นเปลือง Bandwidth เครือข่ายขององค์กร

การตรวจจับผู้กระทำผิดภัยในองค์กรได้นั้น ต้องมีทั้งเทคโนโลยีตรวจจับผู้บุกรุกเช่น HIDS (Host Base Intrusion Detection) และ NIDS (Network Base Intrusion Detection) เข้ามาใช้ภายในองค์กรโดยว่างตามโซนระบบเครือข่ายและเครื่อง PC พนักงานเอง เปรียบเสมือนกล้องวงจรปิดที่ติดตามอาคารนั้นเอง ทั้งนี้ต้องอาศัยนโยบายด้านความปลอดภัยที่ดี ที่ควบคุมการใช้งานของพนักงานได้ และจิตสำนึกของพนักงานด้วยถึงสามารถป้องกันภัยคุกคามชนิดนี้ได้

5. Digital Identity การระบุภัยคุกคามที่เกิดขึ้น และตรวจได้ว่ามาจากที่ใด ทำเมื่อไหร่ และทำสิ่งใด แบ่งได้ดังนี้

5.1 ระบบการเข้าใช้งาน Authentication บน Network , Wireless LAN และ การใช้งานคอมพิวเตอร์ในองค์กรเพื่อทำการ login สู่ระบบ ต้องมีการระบุตัวตน เช่นกัน

5.2 DRM (Digital Right Management) การสามารถตรวจหาการ Copy และลบ file ที่เป็นเอกสารสำคัญ ภายในองค์กร และเรื่องลิขสิทธิ์ ซอฟแวร์ เพลง หนัง และอื่นๆ ซึ่งเป็นเรื่องอ่อนไหว ต่อความมั่นคง ด้านข้อมูล เนื่องจากบ้างข้อมูลในบริษัทอาจมีค่าเกินที่ประมาณเป็นราคาได้

5.3 การระบุภัยคุกคามที่เกิดขึ้นบนระบบเครือข่าย (Network Security Identity) เป็นการระบุตำแหน่ง และชนิดการบุกรุก ไม่ว่าเป็นการโจมตีบนระบบปฏิบัติการ , การพยายมที่เข้าถึงระบบโดยการเดา password , การแพร่ระบบ Virus/worm ในเครือข่าย เป็นต้น สามารถอ่านเพิ่มเติมได้ที่ http://www.sran.org/index_html/NetworkIDs

6. Human Firewall

เมื่อมีการใช้ข้อมูลมากขึ้น มีผู้คนที่เชื่อมต่ออินเตอร์เน็ทจนกลายเป็นส่วนหนึ่งของการใช้ชีวิต สิ่งที่จำเป็นอย่างมากนั้นคือการสร้างความตะหนักในการใช้ข้อมูลสารสนเทศ Human Firewall การสร้างภูมิต้านทานภัยคุกคามที่เกิดจากการใช้ระบบสารสนเทศ ประกอบด้วย

6.1 การเข้าใจถึงภัยคุกคาม ในการใช้งานระบบสารสนเทศ

6.2 การป้องกันตัวเบื้องต้นเมื่อเกิดปัญหากับการบุกรุกบนระบบสารสนเทศ และการเลือกใช้สื่ออินเตอร์เน็ท อย่างปลอดภัย เพื่อหลีกเลี่ยงภัยคุกคามที่อาจจะเกิดขึ้นกับตนเอง

6.3 การมีจิตสำนึกที่ใช้ สื่อสารสนเทศอย่างถูกต้องและมีจริยธรรม

หลายองค์กรที่ลงทุนด้านเทคโนโลยีด้านความปลอดภัยไปแล้วต้องใช้ คนในองค์กรควบคุมเทคโนโลยี บน กรอบนโยบายด้านความปลอดภัยข้อมูลที่กำหนดขึ้น ถึงจะเกิดประโยชน์สูงสุดสำหรับองค์กรและการคุ้มค่าการลงทุนเทคโนโลยีให้ได้มากที่สุด

7. Standard Compliance : Centralized Data Management

คือการนำข้อมูลด้านเทคโนโลยีความปลอดภัยมารวมศูนย์ (Centralized Data Management) เพื่อเป็นส่วนหนึ่งในการจัดการข้อมูลเพื่อเปรียบเทียบตามกรอบและนโยบายด้านความปลอดภัยอย่างเป็นระบบและตามมาตรฐาน โดยทั่วไประบบรวมศูนย์ข้อมูลทางความปลอดภัยจะประกอบด้วยการรวม log ที่เกิดจาก Firewall , Router , IDS/IPS , Anti-virus/Spam/Spyware/ Phishing และ VA เป็นต้น มาทำการประมวลผลหาค่าความเสี่ยง และออกรายงานผลให้ผู้บริหารระบบเครือข่าย ให้ได้รับความสะดวก ทั้งหมดนี้เรียกเทคโนโลยีนี้ว่า SIM (Security Information Management) แต่ในปี 2006 องค์กรทั่วไปโดยเฉพาะในภาคธนาคารและการเงิน รวมถึงหน่วยงานหรือองค์กรขนาดใหญ่ จะเริ่มให้ความสำคัญของการจัดเตรียมองค์กรเพื่อให้ผ่านมาตรฐานสากล โดย แต่ละองค์กรที่ต้องการได้รับการรับรองมาตรฐานสากล ไม่เพียงแต่ จะต้องรวบรวม Log จาก SIM เท่านั้น แต่จะต้องรวมถึง log ที่เกิดขึ้นจากการ Infrastructure และ Application อื่นๆอีก อาทิเช่น Log จาก Operating System , Database , Web/App Server/ File Server/Third party หรือแม้กระทั่ง Log จากระบบ ERP/Financial/HR/Patient Management แล้วทำการรวบรวมและออกรายงานผล จากนั้นทำการ Compliance ให้ตรงกับมาตรฐาน ISO17799 , FFIEC, HIPAA, SOX และอื่นๆเป็นต้น ยกตัวอย่าง โรงพยาบาล ต้องมีการ Compliance ตาม HIPAA Framework เพื่อรักษาความลับข้อมูลคนไข้ ระบบ Centralized Data Management ก็จัดการรวบรวม log ด้านการรักษาความปลอดภัย มาเพื่อทำการ Compliance ให้ตรงกับมาตรฐาน HIPAA และออกรายงานว่าไม่เป็นตามข้อกำหนดในด้านใดบ้าง ซึ่งเทคโนโลยีนี้ ทำให้สะดวกแทนที่จะจ้างที่ปรึกษามานั่งเขียนนโยบายด้านความปลอดภัย และกำหนดกระบวนการปฏิบัติ ซึ่งค่อนข้างสิ้นเปลืองเวลาและบุคลากร และที่สำคัญคือต้องจ้างคนระดับมืออาชีพและประสบการณ์สูงในสาขานี้มา ซึ่งเป็นเรื่องลำบากและซับซ้อน เสียเวลาในการปฏิบัติงานค่อนข้างมาก

ทั้ง 7 เทคโนโลยี ที่กล่าวมา เป็นแนวโน้ม อีกก้าวหนึ่งของการรักษาความปลอดภัยระบบข้อมูลสารสนเทศ ที่เราจะพบเจอในปี 2006 ที่ใกล้จะถึงนี้

27 / 11 / 48

นนทวรรธนะ สาระมาน
Nontawattana Saraman

ลงในหนังสือ Micro Computer ประจำเดือน มกราคม 2549

การสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท เชิงทฤษฎี

การสร้างความเข้าใจถึงการสร้างศูนย์เตือนภัยทางระบบเครือข่าย มาเป็นระยะหนึ่ง โดยออกบทความนี้ทั้งในรูปแบบเชิงผลิตภัณฑ์ SRAN System ที่เคยลงในนิตยสาร มาเป็นเวลาหนึ่ง ผู้เขียนต้องการให้ตะหนักถึงภัยคุกคามบนระบบอินเตอร์เน็ท มาโดยตลอด และมั่นใจว่าสิ่งหนึ่งที่จะช่วยให้ระบบเครือข่ายเราปลอดภัยได้ เราจำเป็นต้องมีศูนย์เตือนภัยทางอินเตอร์เน็ต ที่สร้างขึ้นเองได้ภายในหน่วยงาน หรือสร้างเป็นงานบริการระดับ ISP ดังนั้นบทความต่อไปนี้ จะเสนอในเชิงทฤษฎีเพื่อให้ทราบถึงขั้นตอนการสร้างศูนย์เตือนภัย และวิธีการนำไปใช้อย่างถูกต้องต่อไป

รูป The Heart of The Network ของ Military Information Technology , USA

เป้าหมายในการสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท

1. เพื่อเฝ้าระวังสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่าย

2. เพื่อแก้ไขสถานการณ์ เพื่อลดความเสี่ยงที่เกิดจากการบุกรุกบนระบบเครือข่ายได้อย่างทันเหตุการณ์

3. เป็นการเก็บสถิติเหตุการณ์ต่างๆ ที่เกิดขึ้นบนระบบเครือข่าย เพื่อทำรายงานผลประจำ วัน/เดือน/ปี

4. เพื่อสร้างความแข็งแรงและปรับปรุง ให้กับระบบเครือข่ายอยู่อย่างสม่ำเสมอ

5. ควบคุมและจัดการด้านการรักษาความปลอดภัยเครือข่าย ได้อย่างเป็นระบบ

ส่วนประกอบของศูนย์เตือนภัยทางอินเตอร์เน็ท

1. ออกแบบศูนย์เตือนภัยทางอินเตอร์เน็ท (Design Security Operation Center)

1.1 อุปกรณ์ที่เพื่อจัดการข้อมูลบนศูนย์เตือนภัย

ประกอบด้วย

ระบบที่ใช้ในการตรวจและรวบรวม log ที่เกิดขึ้นบนระบบเครือข่าย ที่เรียกว่า SIM

1.2 ผู้ปฏิบัติงาน ในศูนย์เตือนภัย ประกอบด้วย 4 หน้าที่คือ

– นักเฝ้าระวังเครือข่าย (Network Security Monitoring Operation) ตำแหน่ง วิศวะกร เพื่อดูแลความเป็นระเบียบเรียบร้อยในระบบเครือข่าย มีหน้าที่ประจำ ประเมินความเสี่ยงระบบเครือข่าย (Security Assessment) , ออกผลรายงานประจำวัน ทั้งผลการประเมินความเสี่ยง และผลการเฝ้าตรวจตาความปกติระบบเครือข่าย รวมถึงการแจ้งเตือนเมื่อมีเหตุฉุกเฉิน จำนวนผู้ปฏิบัติงาน 6 คน เวลาในการปฏิบัติงาน เช้า 8 ชั่วโมง กลางวัน 8 ชั่วโมง กลางคืนอีก 8 ชั่วโมง 24×7 ชั่วโมง

– นักวิเคราะห์ความผิดปกติระบบเครือข่าย (Network Forensics Analysis Packets) ตำแหน่ง ผู้เชี่ยวชาญในการวิเคราะห์หาความผิดปกติระบบเครือข่าย รับหน้าที่ต่อจากวิศวะกร เมื่อเกิดเหตุการณ์สงสัยว่าจะเป็นภัยต่อระบบเครือข่าย จำนวนผู้ปฏิบัติงาน 2 คนอย่างน้อย จำเป็นต้องมีประสบการณ์ในงานด้านความปลอดภัยไม่น้อยกว่า 3 ปี

– นักกู้ระบบฉุกเฉินเมื่อเกิดเหตุผิดปกติบนระบบเครือข่าย (Incident Response Team) ตำแหน่ง ทีมกู้ระบบฉุกเฉิน หน้าที่ประจำคือ onsite เพื่อทำการแก้ไขปัญหาฉุกเฉินเมื่อ นักวิเคราะห์ความผิดปกติระบบเครือข่ายได้แจ้งมา จำนวนผู้ปฏิบัติ 2 คนอย่างน้อย

– ผู้บัญชาการศูนย์เตือนภัยทางอินเตอร์เน็ต (Head Security Operation Services) หน้าที่ประจำ เป็นผู้ดูแลศูนย์ รับผิดชอบ และออกคำสั่งในการปฏิบัติงานโดยดู SLA (Services Level Agreement) ที่กำหนดในการให้บริการ จำเป็นต้องเป็นผู้ที่มีประสบการณ์งานระบบเครือข่าย เป็นอย่างน้อย 7-8 ปี และมีประสบการณ์ด้านความปลอดภัยเครือข่ายเป็นอย่างดี

1.3 วิธีการปฏิบัติงาน

– เรียนรู้และเข้าใจถึงอุปกรณ์ในการใช้งานบนศูนย์เตือนภัยทางอินเตอร์เน็ท

– เรียนรู้ขั้นตอนการทำงานจากผู้บังคับบัญชา เพื่อกำหนด บทบาทและหน้าที่การปฏิบัติงาน

– ประชุมสรุปถึงปัญหาที่เกิดขึ้น เป็นระยะๆ

– ดูแลและบำรุงรักษาอุปกรณ์ที่ใช้เฝ้าระวังภัยทางอินเตอร์เน็ท

2. การจัดหาอุปกรณ์เพื่อจัดการในศูนย์เตือนภัย

จุดที่ควรพิจารณา แบ่งเป็น 3 ส่วนคือ

2.1 อุปกรณ์บนระบบเครือข่าย

– ส่วนที่เป็นชายแดน ของระบบเครือข่าย : เมื่อนับจากการให้สัญญาณอินเตอร์เน็ทเข้าสู่ระบบเครือข่ายของเรา

อุปกรณ์ที่พิจารณา คือ อุปกรณ์ Router

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ที่เกิดจากอุปกรณ์ Router

– ส่วนที่เป็นการควบคุมทางออกทางเข้าของระบบเครือข่าย (Network Gateway) : คืออุปกรณ์ที่ใช้เป็นตัวกลางในการแบ่งโซนระบบเครือข่าย และทำตัวเป็นตัวกลางในการเชื่อมโยงระบบเครือข่าย

อุปกรณ์ที่พิจารณาคือ Firewall หรือ Proxy

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log Firewll หรือ Proxy

– ส่วนที่เป็นระบบตรวจจับผู้บุกรุก (Intrusion Detection System) : คือ อุปกรณ์ที่ใช้ในการตรวจจับสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่าย

อุปกรณ์ที่พิจารณาคือ NIDS sensor (Network Intrusion Detection System sensor) / NIPS (Network Intrusion Prevention System)

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log NIDS หรือ NIPS

2.2 บนเครื่องแม่ข่าย

– ส่วนที่เครื่องแม่ข่าย

อุปกรณ์ที่พิจารณาคือ Web Server , Mail Server , Data Base Server เป็นต้น

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ทั้งหมดที่เกิดขึ้นบนเครื่องแม่ข่าย

– ส่วนที่เป็นเครื่องป้องกันภัยที่เป็นคอมพิวเตอร์แม่ข่าย

อุปกรณ์ที่พิจารณา คือ Anti-virus Server , Domain Controller Server และ PC Management เป็นต้น

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ทั้งหมดที่เกิดขึ้นบนเครื่ืองแม่ข่าย

– เครื่องแม่ข่ายที่ใช้สำหรับประเมินความเสี่ยง (Vulnerability Server Scan)

อุปกรณ์ที่พิจารณา คือ โปรแกรมที่ใช้ทำการประเมินความเสี่ยงระบบ

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ ผลรายงานการประเมินความเสี่ยงระบบเครื่องแม่ข่าย/ ลูกข่าย

2.3 บนเครื่องลูกข่าย

– ส่วนที่เป็นเครื่องลูกข่าย

อุปกรณ์ที่พิจารณา คือ HIDS (Host Base Intrusion Detection System)

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ที่เกิดขึ้นบน HIDS และเครื่องลูกข่าย

การ นำ log ของอุปกรณ์เครือข่าย , เครื่องแม่ข่าย และ เครื่องลูกข่าย มาทำการวิเคราะห์หาสิ่งผิดปกติที่เกิดขึ้นบนระบบทั้งหมด ที่เกิดขึ้นจากการใช้งานข้อมูลสารสนเทศ มีศัพท์เรียกว่า SIM (Security Information Management)

เรียกง่ายๆว่า SIM จึงเป็นอุปกรณ์ที่สร้างมาเพื่อวิเคราะห์ log ที่เกิดขึ้นบนระบบเครือข่าย โดยจุดประสงค์เพื่อให้ผู้ดูแลระบบสามารถที่จัดการรายงานผลที่เกิดขึ้นได้จาก จุดศูนย์กลาง

SIM จะจัดการรวบรวมข้อมูล ที่เป็นการโจมตีที่รู้จัก และ ไม่รู้จัก (Centralization) โดยคำนึงถึงการซ้ำกันของข้อมูล รวมเป็นข้อมูลเดียว( Normalization) และทำการแยกแยะข้อมูล (aggregation) โดยมีค่าที่กำหนดไว้ให้เป็นชนิดใดและมีความเสี่ยงเท่าใด (Correlation)

ลำดับเหตุการณ์การทำงานของ SIM = Centralization log => Normalization => Aggregation => Correlation

รูปจาก OSSIM

3. วิธีการแก้ปัญหาบริการเฝ้าระวังและจัดการบนศูนย์เตือนภัยทางอินเตอร์เน็ท

ระบบ ความปลอดภัยทางอินเตอร์เน็ทที่จัดให้คุณจะมีบริการเฝ้าระวัง และการจัดการ สำหรับระบบเครือข่ายและผู้ให้บริการ ออกแบบโดยเฉพาะสำหรับป้องกันองค์กรจากการโจมตีจากภายในและภายนอกระบบเครือ ข่ายของเขา ที่เป็นส่วนแก้ปัญหาความเสียหายที่เกิดขึ้นในองค์กร บริการที่จัดให้ครอบคลุม 24/7 ผู้เชี่ยวชาญการเฝ้าระวัง การจัดการ และการวิเคราะห์ระบบ ตามเหตุการณ์โต้ตอบปัจจุบัน และการเพิ่มของกิจกรรมที่ไม่เหมาะสมที่อาจเกิดขึ้นทำให้บริษัทมีความเสี่ยง ในการเพิ่มบริการเฝ้าระวังและการแจ้งเตือนที่ศูนย์เตือนภัย รวมถึงการเข้าถึงความชำนาญด้านความปลอดภัยที่ทำได้ ช่วยให้ฟื้นฟูระบบและ ทำให้ความเสี่ยงลดลงอย่างได้ผล

ลักษณะของบริการเฝ้าระวังและจัดการศูนย์เตือนภัยทางอินเตอร์เน็ท

ระบบ ความปลอดภัยทางอินเตอร์เน็ท บริการจัดการ IDS สำหรับระบบเครือข่ายและผู้ให้บริการ ครอบคลุมการแก้ปัญหา ออกแบบการบำรุงรักษา และทำให้องค์กรของคุณและสภาพแวดล้อมปลอดภัย ประกอบด้วย

• คืนงบประมาณ การประกันจากบุกรุก โดยใช้พื้นฐาน SLAs (Service Level Agreement)

จัด รับประกันเวลาตอบกลับและการโต้ตอบสำหรับเหตุการณ์ความปลอดภัย พบเป้าหมายขององค์กรหรือบริการฟรี เหล่านี้เป็นการปรับปรุง SLAs การตลาดที่แตกต่างและทำให้แน่ใจทันที การแสดงและการแจ้งเมื่อมีเหตุการณ์ตรวจจับความปลอดภัยตามความเหมาะสม สำหรับการแสดงตัวบุคคลและการโต้ตอบ การบำรุงรักษาความปลอดภัยที่มีประสิทธิภาพ

• การดูแลรักษาความปลอดภัยเครือข่าย

ซึ่ง มีประสิทธิภาพและราคาที่มีประสิทธิผล กระบวนการที่พร้อมสำหรับ patch ที่ปลอดภัย ซึ่งเป็นเรื่องที่กว้างในระบบเครือข่าย โดยเข้าควบคุมสถานการณ์ ระบุชื่อความอ่อนแอและแจ้งเตือน สามารถอัพเดทโดยอัตโนมัติ ประยุกต์นโยบายการป้องกันความอ่อนแอของระบบก่อนการโจมตี ดังนั้น Virtual Patch รวมการตรวจจับความอ่อนแอ เป็นการป้องกันที่ดีที่สุด เทคโนโลยีการแก้ปัญหาและทำการติดตั้งด้วยราคาที่คุ้มค่า ควบคุมกระบวนการที่เกิดขึ้นในระบบเครือข่ายตลอดเวลา

นนทวรรธนะ สาระมาน
Nontawattana Saraman

25/10/48

Go to SOC

การสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท เชิงทฤษฎี

SRAN Community ต้องการสร้างความเข้าใจถึงการสร้างศูนย์เตือนภัยทางระบบเครือข่าย มาเป็นระยะหนึ่ง โดยออกบทความนี้ทั้งในรูปแบบเชิงผลิตภัณฑ์ SRAN System ที่เคยลงในนิตยสาร มาเป็นเวลาหนึ่ง ผู้เขียนต้องการให้ตะหนักถึงภัยคุกคามบนระบบอินเตอร์เน็ท มาโดยตลอด และมั่นใจว่าสิ่งหนึ่งที่จะช่วยให้ระบบเครือข่ายเราปลอดภัยได้ เราจำเป็นต้องมีศูนย์เตือนภัยทางอินเตอร์เน็ต ที่สร้างขึ้นเองได้ภายในหน่วยงาน หรือสร้างเป็นงานบริการระดับ ISP ดังนั้นบทความต่อไปนี้ จะเสนอในเชิงทฤษฎีเพื่อให้ทราบถึงขั้นตอนการสร้างศูนย์เตือนภัย และวิธีการนำไปใช้อย่างถูกต้องต่อไป

รูป The Heart of The Network ของ Military Information Technology , USA

เป้าหมายในการสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท

1. เพื่อเฝ้าระวังสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่าย

2. เพื่อแก้ไขสถานการณ์ เพื่อลดความเสี่ยงที่เกิดจากการบุกรุกบนระบบเครือข่ายได้อย่างทันเหตุการณ์

3. เป็นการเก็บสถิติเหตุการณ์ต่างๆ ที่เกิดขึ้นบนระบบเครือข่าย เพื่อทำรายงานผลประจำ วัน/เดือน/ปี

4. เพื่อสร้างความแข็งแรงและปรับปรุง ให้กับระบบเครือข่ายอยู่อย่างสม่ำเสมอ

5. ควบคุมและจัดการด้านการรักษาความปลอดภัยเครือข่าย ได้อย่างเป็นระบบ

ส่วนประกอบของศูนย์เตือนภัยทางอินเตอร์เน็ท

1. ออกแบบศูนย์เตือนภัยทางอินเตอร์เน็ท (Design Security Operation Center)

1.1 อุปกรณ์ที่เพื่อจัดการข้อมูลบนศูนย์เตือนภัย

ประกอบด้วย

ระบบที่ใช้ในการตรวจและรวบรวม log ที่เกิดขึ้นบนระบบเครือข่าย ที่เรียกว่า SIM

1.2 ผู้ปฏิบัติงาน ในศูนย์เตือนภัย ประกอบด้วย 4 หน้าที่คือ

– นักเฝ้าระวังเครือข่าย (Network Security Monitoring Operation) ตำแหน่ง วิศวะกร เพื่อดูแลความเป็นระเบียบเรียบร้อยในระบบเครือข่าย มีหน้าที่ประจำ ประเมินความเสี่ยงระบบเครือข่าย (Security Assessment) , ออกผลรายงานประจำวัน ทั้งผลการประเมินความเสี่ยง และผลการเฝ้าตรวจตาความปกติระบบเครือข่าย รวมถึงการแจ้งเตือนเมื่อมีเหตุฉุกเฉิน จำนวนผู้ปฏิบัติงาน 6 คน เวลาในการปฏิบัติงาน เช้า 8 ชั่วโมง กลางวัน 8 ชั่วโมง กลางคืนอีก 8 ชั่วโมง 24×7 ชั่วโมง

– นักวิเคราะห์ความผิดปกติระบบเครือข่าย (Network Forensics Analysis Packets) ตำแหน่ง ผู้เชี่ยวชาญในการวิเคราะห์หาความผิดปกติระบบเครือข่าย รับหน้าที่ต่อจากวิศวะกร เมื่อเกิดเหตุการณ์สงสัยว่าจะเป็นภัยต่อระบบเครือข่าย จำนวนผู้ปฏิบัติงาน 2 คนอย่างน้อย จำเป็นต้องมีประสบการณ์ในงานด้านความปลอดภัยไม่น้อยกว่า 3 ปี

– นักกู้ระบบฉุกเฉินเมื่อเกิดเหตุผิดปกติบนระบบเครือข่าย (Incident Response Team) ตำแหน่ง ทีมกู้ระบบฉุกเฉิน หน้าที่ประจำคือ onsite เพื่อทำการแก้ไขปัญหาฉุกเฉินเมื่อ นักวิเคราะห์ความผิดปกติระบบเครือข่ายได้แจ้งมา จำนวนผู้ปฏิบัติ 2 คนอย่างน้อย

– ผู้บัญชาการศูนย์เตือนภัยทางอินเตอร์เน็ต (Head Security Operation Services) หน้าที่ประจำ เป็นผู้ดูแลศูนย์ รับผิดชอบ และออกคำสั่งในการปฏิบัติงานโดยดู SLA (Services Level Agreement) ที่กำหนดในการให้บริการ จำเป็นต้องเป็นผู้ที่มีประสบการณ์งานระบบเครือข่าย เป็นอย่างน้อย 7-8 ปี และมีประสบการณ์ด้านความปลอดภัยเครือข่ายเป็นอย่างดี

1.3 วิธีการปฏิบัติงาน

– เรียนรู้และเข้าใจถึงอุปกรณ์ในการใช้งานบนศูนย์เตือนภัยทางอินเตอร์เน็ท

– เรียนรู้ขั้นตอนการทำงานจากผู้บังคับบัญชา เพื่อกำหนด บทบาทและหน้าที่การปฏิบัติงาน

– ประชุมสรุปถึงปัญหาที่เกิดขึ้น เป็นระยะๆ

– ดูแลและบำรุงรักษาอุปกรณ์ที่ใช้เฝ้าระวังภัยทางอินเตอร์เน็ท

2. การจัดหาอุปกรณ์เพื่อจัดการในศูนย์เตือนภัย

จุดที่ควรพิจารณา แบ่งเป็น 3 ส่วนคือ

2.1 อุปกรณ์บนระบบเครือข่าย

– ส่วนที่เป็นชายแดน ของระบบเครือข่าย : เมื่อนับจากการให้สัญญาณอินเตอร์เน็ทเข้าสู่ระบบเครือข่ายของเรา

อุปกรณ์ที่พิจารณา คือ อุปกรณ์ Router

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ที่เกิดจากอุปกรณ์ Router

– ส่วนที่เป็นการควบคุมทางออกทางเข้าของระบบเครือข่าย (Network Gateway) : คืออุปกรณ์ที่ใช้เป็นตัวกลางในการแบ่งโซนระบบเครือข่าย และทำตัวเป็นตัวกลางในการเชื่อมโยงระบบเครือข่าย

อุปกรณ์ที่พิจารณาคือ Firewall หรือ Proxy

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log Firewll หรือ Proxy

– ส่วนที่เป็นระบบตรวจจับผู้บุกรุก (Intrusion Detection System) : คือ อุปกรณ์ที่ใช้ในการตรวจจับสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่าย

อุปกรณ์ที่พิจารณาคือ NIDS sensor (Network Intrusion Detection System sensor) / NIPS (Network Intrusion Prevention System)

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log NIDS หรือ NIPS

2.2 บนเครื่องแม่ข่าย

– ส่วนที่เครื่องแม่ข่าย

อุปกรณ์ที่พิจารณาคือ Web Server , Mail Server , Data Base Server เป็นต้น

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ทั้งหมดที่เกิดขึ้นบนเครื่องแม่ข่าย

– ส่วนที่เป็นเครื่องป้องกันภัยที่เป็นคอมพิวเตอร์แม่ข่าย

อุปกรณ์ที่พิจารณา คือ Anti-virus Server , Domain Controller Server และ PC Management เป็นต้น

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ทั้งหมดที่เกิดขึ้นบนเครื่ืองแม่ข่าย

– เครื่องแม่ข่ายที่ใช้สำหรับประเมินความเสี่ยง (Vulnerability Server Scan)

อุปกรณ์ที่พิจารณา คือ โปรแกรมที่ใช้ทำการประเมินความเสี่ยงระบบ

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ ผลรายงานการประเมินความเสี่ยงระบบเครื่องแม่ข่าย/ ลูกข่าย

2.3 บนเครื่องลูกข่าย

– ส่วนที่เป็นเครื่องลูกข่าย

อุปกรณ์ที่พิจารณา คือ HIDS (Host Base Intrusion Detection System)

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ที่เกิดขึ้นบน HIDS และเครื่องลูกข่าย

การนำ log ของอุปกรณ์เครือข่าย , เครื่องแม่ข่าย และ เครื่องลูกข่าย มาทำการวิเคราะห์หาสิ่งผิดปกติที่เกิดขึ้นบนระบบทั้งหมด ที่เกิดขึ้นจากการใช้งานข้อมูลสารสนเทศ มีศัพท์เรียกว่า SIM (Security Information Management)

เรียกง่ายๆว่า SIM จึงเป็นอุปกรณ์ที่สร้างมาเพื่อวิเคราะห์ log ที่เกิดขึ้นบนระบบเครือข่าย โดยจุดประสงค์เพื่อให้ผู้ดูแลระบบสามารถที่จัดการรายงานผลที่เกิดขึ้นได้จากจุดศูนย์กลาง

SIM จะจัดการรวบรวมข้อมูล ที่เป็นการโจมตีที่รู้จัก และ ไม่รู้จัก (Centralization) โดยคำนึงถึงการซ้ำกันของข้อมูล รวมเป็นข้อมูลเดียว( Normalization) และทำการแยกแยะข้อมูล (aggregation) โดยมีค่าที่กำหนดไว้ให้เป็นชนิดใดและมีความเสี่ยงเท่าใด (Correlation)

ลำดับเหตุการณ์การทำงานของ SIM = Centralization log => Normalization => Aggregation => Correlation

รูปจาก OSSIM

3. วิธีการแก้ปัญหาบริการเฝ้าระวังและจัดการบนศูนย์เตือนภัยทางอินเตอร์เน็ท

ระบบความปลอดภัยทางอินเตอร์เน็ทที่จัดให้คุณจะมีบริการเฝ้าระวัง และการจัดการ สำหรับระบบเครือข่ายและผู้ให้บริการ ออกแบบโดยเฉพาะสำหรับป้องกันองค์กรจากการโจมตีจากภายในและภายนอกระบบเครือข่ายของเขา ที่เป็นส่วนแก้ปัญหาความเสียหายที่เกิดขึ้นในองค์กร บริการที่จัดให้ครอบคลุม 24/7 ผู้เชี่ยวชาญการเฝ้าระวัง การจัดการ และการวิเคราะห์ระบบ ตามเหตุการณ์โต้ตอบปัจจุบัน และการเพิ่มของกิจกรรมที่ไม่เหมาะสมที่อาจเกิดขึ้นทำให้บริษัทมีความเสี่ยง ในการเพิ่มบริการเฝ้าระวังและการแจ้งเตือนที่ศูนย์เตือนภัย รวมถึงการเข้าถึงความชำนาญด้านความปลอดภัยที่ทำได้ ช่วยให้ฟื้นฟูระบบและ ทำให้ความเสี่ยงลดลงอย่างได้ผล

ลักษณะของบริการเฝ้าระวังและจัดการศูนย์เตือนภัยทางอินเตอร์เน็ท

ระบบความปลอดภัยทางอินเตอร์เน็ท บริการจัดการ IDS สำหรับระบบเครือข่ายและผู้ให้บริการ ครอบคลุมการแก้ปัญหา ออกแบบการบำรุงรักษา และทำให้องค์กรของคุณและสภาพแวดล้อมปลอดภัย ประกอบด้วย

• คืนงบประมาณ การประกันจากบุกรุก โดยใช้พื้นฐาน SLAs (Service Level Agreement)

จัดรับประกันเวลาตอบกลับและการโต้ตอบสำหรับเหตุการณ์ความปลอดภัย พบเป้าหมายขององค์กรหรือบริการฟรี เหล่านี้เป็นการปรับปรุง SLAs การตลาดที่แตกต่างและทำให้แน่ใจทันที การแสดงและการแจ้งเมื่อมีเหตุการณ์ตรวจจับความปลอดภัยตามความเหมาะสม สำหรับการแสดงตัวบุคคลและการโต้ตอบ การบำรุงรักษาความปลอดภัยที่มีประสิทธิภาพ

• การดูแลรักษาความปลอดภัยเครือข่าย

ซึ่งมีประสิทธิภาพและราคาที่มีประสิทธิผล กระบวนการที่พร้อมสำหรับ patch ที่ปลอดภัย ซึ่งเป็นเรื่องที่กว้างในระบบเครือข่าย โดยเข้าควบคุมสถานการณ์ ระบุชื่อความอ่อนแอและแจ้งเตือน สามารถอัพเดทโดยอัตโนมัติ ประยุกต์นโยบายการป้องกันความอ่อนแอของระบบก่อนการโจมตี ดังนั้น Virtual Patch รวมการตรวจจับความอ่อนแอ เป็นการป้องกันที่ดีที่สุด เทคโนโลยีการแก้ปัญหาและทำการติดตั้งด้วยราคาที่คุ้มค่า ควบคุมกระบวนการที่เกิดขึ้นในระบบเครือข่ายตลอดเวลา

นนทวรรธนะ สาระมาน
Nontawattana Saraman

on Oct 24, 2005 12:00 pm.