การเก็บ Log ที่ถูกต้องและเป็นประโยชน์ต่อการสืบสวนสอบสวน นั้นประกอบด้วย 2 มุมมอง
มุมมองที่ 1 เก็บบันทึกการเคลื่อนไหวข้อมูลภายในองค์กร ความหมายขององค์กรนี้คือ บริษัท , สถาบันการศึกษา , โรงแรม , โรงพยาบาล , ร้านอินเตอร์เน็ตคาเฟ่ อื่นๆที่มีการเชื่อมต่ออินเตอร์เน็ตหรือเชื่อมข้อมูลสู่ภายนอกองค์กร (Extranet) ส่วน ต้องมีการเก็บบันทึกข้อมูลจราจร (Log) ส่วนสถานที่ให้บริการเครือข่ายไร้สาย (อ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/169) เช่น ร้านกาแฟ, อาพาท์เม้น อื่นๆที่เป็นสาธารณะที่สามารถใช้ระบบอินเตอร์เน็ตเชื่อมต่อข้อมูลได้ จำเป็นต้องเก็บบันทึกข้อมูลจราจร หรือที่เรียกว่า Log เพื่อเป็นประโยชน์ในการสืบหาผู้กระทำความผิด เมื่อมีการฟ้องร้องขึ้นมาจะได้หาผู้กระทำความผิดได้อย่างสะดวกมากขึ้น
ซึ่งบทสรุปที่ลงตัวในการเก็บบันทึกความเคลื่อนไหวข้อมูล เพื่อเป็นประโยชน์ต่อการสืบสวนสอบสวน ในส่วนนี้คือ
ใช้ SRANwall ซึ่งทำตัวเองเป็น Network Identity ซึ่งจะสามารถทำ A (Authentication) , A (Authorization) , A (Accounting) ติดตั้งเป็น Gateway บนระบบเครือข่าย
และใช้ SRAN Security Center เพื่อทำการเฝ้าระวัง วิเคราะห์ข้อมูล และเก็บบันทึกข้อมูล การใช้งานทั้งที่เป็นข้อมูลฝั่งขาเข้าในองค์กร และ ข้อมูลฝั่งขาออกในองค์กร
รูปที่ 1 การติดตั้ง SRANwall เป็น Gateway และ SRAN Security Center ในการเก็บบันทึกข้อมูลการใช้งานภายใน-นอกองค์กร
ส่วนสำคัญคือผู้กระทำความผิดส่วนใหญ่ คือผู้ใช้งานในองค์กร (User) ดังนั้นจึงจำเป็นที่ต้องทราบถึงพฤติกรรมการใช้งานตาม Application Protocol ที่สำคัญ คือ การใช้งานเว็บ (Web) การใช้งานเมลล์ (E-mail) การใช้งานสนทนา (Chat) การโจมตีระบบต่างๆ การฉ้อโกงข้อมูลภายในองค์กร ซึ่งทั้งหมดนี้ อุปกรณ์ชื่อ SRAN Security Center จะสามารถเก็บบันทึกข้อมูลได้ อันเป็นประโยชน์ต่อการสืบสวนสอบสวนหาผู้กระทำความผิด
การใช้ SRANwall + SRAN Security Center เป็นสูตรลัดในการติดตั้งอุปกรณ์ เพื่อใช้ในการเก็บบันทึกข้อมูล และระบุหาผู้กระทำความผิดภายในองค์กร ที่ลดความซับซ้อนในการออกแบบ และความยุ่งยากในการติดตั้งเป็นอย่างมาก
หัวใจของการป้องกันภัยคุกคามในองค์กร คือ
ควบคุมการใช้งานระบบสารสนเทศในองค์กร ใช้ SRANwall ติดตั้งแบบ Gateway ซึ่งเป็น Appliance Box ที่พร้อมใช้งานแล้ว
รู้ทันปัญหาและควบคุมสถานะการณ์ได้ ใช้ SRAN Security Center ติดตั้งแบบ Inline หรือ Transparant หรือ Passive Mode ได้โดยไม่มีผลกระทบกับระบบเครือข่าย
มุมมองที่ 2 Log ระดับเครื่องคอมพิวเตอร์ที่ให้บริการ เช่น ผู้ให้บริการเว็บไซด์ทั้งที่เป็น Hosting และ Webmaster ที่มี Domain (www.xyz.com เป็นต้น) หรือมี Domain ใช้ในการรับส่งข้อมูล (FTP, Storage Server) หรือให้บริการสนทนาออนไลท์ (Chat Server เช่น IRC Server เป็นต้น) , ผู้ให้บริการ Mail Server , VoIP Server หรือให้บริการอินเตอร์เน็ต ISP ก็ควรต้องมีการเก็บบันทึกข้อมูลผู้ใช้งาน เพราะผู้ใช้บริการอาจสร้างความเสี่ยงให้เกิดคดีตามมาตรา 5 -16 ได้ ไม่ว่าผู้ใช้บริการเว็บ เว็บบอร์ด ผู้ใช้บริการ ISP ที่มี Account จากการเสียค่าบริการอินเตอร์เน็ต อาจใช้อินเตอร์เน็ตหมุนเบอร์โทรศัพท์ใช้ในทางที่ไม่เหมาะสม
ในส่วนมุมมองที่ 2 นี้ ทางทีมพัฒนา SRAN ได้พัฒนาการเก็บบันทึกข้อมูลจราจร (Log) ที่เกิดขึ้นจากการใช้งานเว็บ (Web site) ขึ้น
เป็นบริการการเก็บบันทึก Log เฉพาะส่วนผู้ให้บริการเว็บ เราเรียกบริการนี้ว่า “Data Safehouse Centralized log Provider”
1.ข้อมูล Log ที่บันทึกเมื่อมีการเข้าถึงเครื่องผู้ให้บริการเว็บ
2.ข้อมูลวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ
3.ข้อมูลหมายเลขอินเตอร็เน็ตของเครื่องคอมพิวเตอร์ผู้เข้าใช้ที่เชื่อมต่ออยู่ในขณะนั้น
4.ข้อมูลคำสั่งการใช้งานระบบ
5.ข้อมูลที่บ่งบอกถึงเส้นทางในการเรียกดูข้อมูล (URI : Uniform Resource Identifier) เช่นตำแหน่งของเว็บเพ็จ
รายละเอียด Data SafeHouse Services สามารถอ่านได้ที่ http://safehouse.sran.net
ข้อแตกต่าง ระหว่าง Web static และ SRAN Data SafeHouse
SRAN Data SafeHouse
1. แสดงรายงานผล Log ที่เกิดขึ้นแบบ Real Time
รูปที่ 2 การแสดงผลในหน้า Dash board จะแสดงรายงานผลแบบ Real Time
พร้อมกันนี้ยังสามารถทราบถึง new visitor หมายถึงผู้เยี่ยมชมที่เข้ามาครั้งแรก และ return visitor หมายถึงผู้เยี่ยมชมที่เคยเข้าเวบไซต์มาก่อนหน้านี้แล้ว
วัดโดยการอาศัย cookie และได้เพิ่มหมายเลข ID ของ cookie เข้าไปด้วย ซึ่งจะมาประโยชน์ในการจำผู้เยี่ยมชมนั้น ๆ โดยใช้หมายเลข ID ถึงแม้ IP address จะเปลี่ยนไปก็ตาม (ถ้ายังเก็บ cookie อยู่ในเวบบราวเซอร์)
2. ค้นหา IP ที่เข้ามาใช้บริการเว็บไซด์ของใช้บริการ SRAN Data Safehouse ได้
รูปที่ 3 ค้นหา IP ที่ใช้ ISP จาก KSC Internet
รูปที่ 4 ผลลัพธ์การค้นหา ซึ่งจะเห็นว่าสามารถระบุ IP ที่ได้รับค่าจาก ISP ชนิด Browser จากผู้ใช้บริการเว็บ และการเรียกอ่านข้อมูล URL Path รวมถึง Link ที่มาจากการเปิด URL Path
3. สามารถระบุ IP ที่เปิดเว็บที่ใช้บริการ Data SafeHouse ผ่านระบบ GPS
รูปที่ 5 การแสดงผลผ่านระบบดาวเทียมเพื่อระบุตำแหน่งผู้ใช้บริการที่ทำการเปิดเว็บไซด์ ที่ใช้บริการ SRAN Data SafeHouse
4. มีการประเมินค่าการ Uptime / Down Time ของเว็บไซด์ที่ใช้บริการ SRAN Data SafeHouse
รูปที่ 6 การแสดงรายงานผลค่า Uptime สำหรับเว็บไซด์ที่ใช้บริการ SRAN Data SafeHouse
5. จัดทำการจำลองเหตุการณ์ที่เชื่อมโยงกันเพื่อการวิเคราะห์ผลในภาพรวม โดยใช้เทคโนโลยี Visualize Web Tracking
คลิกที่รูปเพื่อรูปภาพขยาย จะเห็นการเชื่อมต่อความสัมพันธ์ของ IP และพฤติกรรมการใช้ในแต่ละช่วงเวลา
รูปที่ 7 การแสดงผลจำลองเหตุการณ์ที่เชื่อมโยงกันเพื่อการวิเคราะห์ผลในภาพรวม
6. สามารถระบุภัยคุกคามที่อาจเกิดขึ้นบนเว็บไซด์ที่ใช้บริการ SRAN Data SafeHouse ได้
รูปที่ 8 การแสดงผลการบุกรุกเว็บไซด์ ที่เรียกว่าการทำ Web Application Hacking เพื่อที่จะเข้าถึงระบบผ่านเว็บไซด์
ซึ่งจะเห็นได้ว่าเราจะสามารถระบุหาผู้กระทำผิดจาก IP ที่ได้รับจาก ISP ได้ ทำให้สะดวกในการสืบหาผู้กระทำความผิดมากขึ้น
7. มีการจัดทำ Data Archive และมีการจัดเก็บเพื่อยืนยันว่า Log ที่บันทึกไม่มีการแก้ไข
Database status ใช้เพื่อตรวจสอบสถานะฐานข้อมูลสถิติของคุณ ในบางกรณีที่คุณอาจพบว่ารายงานสถิติไม่มีการอัพเดทเลย ทั้ง ๆ ที่ยังมีผู้เยี่ยมชมตลอด อาจเป็นไปได้ว่าฐานข้อมูลที่ใช้เก็บอาจจะมีปัญหา ทางหนึ่งที่อาจช่วยในการหาสาเหตุคือการตรวจสอบสถานะการทำงานของฐานข้อมูลของคุณ
เข้าได้โดยการเลือกที่เมนู Data integrity => Database status ถ้าแสดงว่า OK หรือ Table is already up to date หมายถึง ฐานข้อมูลที่เก็บข้อมูลทำงานได้ปกติ แต่ถ้าพบคำว่า “error” หรือ “warning” โปรดแจ้งให้ผู้ดูแลระบบทราบอย่างเร่งด่วน
SRAN Data SafeHouse จะทำการเปิดตัวภายในเดือนตุลาคมนี้
