กรณีศึกษา การสืบหาชื่อผู้กระทำความผิดคอมพิวเตอร์ โดยใช้ SRAN
การตรวจดูการ Login เมื่อในเครือข่ายนั้นได้ทำการติดตั้ง AD (Active Directory) สามารถทำได้ 2 วิธี คือ
วิธีที่ 1 ดูจาก Log ที่เกิดขึ้นผ่านระบบเครือข่าย เมื่อติดตั้ง SRAN ในตำแหน่งที่เหมาะสม นั้นคือ ตำแหน่งที่มองเห็นข้อมูลจราจรได้ทั่วทั้งระบบส่วนใหญ่แล้วจะติดตั้งที่ Core Switch โดยการ Mirror ข้อมูลมาที่อุปกรณ์ SRAN หรืออาจใช้อุปกรณ์เสริมอย่างเช่น Network Tap เข้ามาช่วย ซึ่งผลลัพธ์สามารถทราบถึง รายชื่อ User ที่ทำการ Login ได้เช่นกัน
ข้อดีวิธีนี้คือ สะดวกในการใช้งานเนื่องจากสามารถใช้ได้ทุกรุ่น
ข้อเสียวิธีนี้คือ ไม่สามารถทราบลักษณะการ Login ว่ามีความผิดพลาดเพียงใด เช่น ไม่ทราบรายละเอียดว่า Login ประสบความสำเร็จ หรือ ล้มเลว หรือไม่ และหากติดตั้งในต่ำแหน่งที่ไม่ถูกต้องจะไม่สามารถมองเห็นการ Login ได้เลย
รายละเอียดในวิธีที่ 1 สามารถอ่านได้ที่ ฐานข้อมูล Log Data Traffic ที่เกี่ยวกับการใช้ Login เข้า Domain Controller
ส่วนวิธีที่ 2 ใช้ SRAN ที่เป็น Hybrid จะสามารถทำให้ทราบถึง User Login ผ่าน Domain Controller ที่ประกาศเป็น AD ได้ละเอียดขึ้น
เนื่องจาก SRAN Hybrid จะทำการรับ syslog บนเครื่องที่ต้องการส่งมายังอุปกรณ์ SRAN ได้ ซึ่งจะทำให้ลักษณะการแสดงผลละเอียดมากขึ้น
ซึ่งเราขอนำเสนอหน้าจอ SRAN รุ่น Hybrid เพื่อสร้างความเข้าใจมากขึ้น ดังนี้
ตัวอย่างการทำงานของ SRAN SECURITY CENTER รุ่นที่เป็น HYBRID ในการค้นหา User จาก IP Address
เมื่อทราบ IP Address ของเครื่องที่สมมุติว่ามีการกระทำความผิดจากอุปกรณ์ SRAN หากเราจะทำการสืบค้นหาต่อตามหลัก Chain of Event (Who, What, Where, When, Why)
จะพบว่า
Who : IP ต้นทาง Port ต้นทาง , IP ปลายทาง Port ปลายทาง ในที่นี้ IP ที่น่าสงสัย 192.168.1.14
คลิกที่รูปเพื่อดูขยาย
what : ดูลักษณะการใช้งาน IP 192.168.1.14 ว่าเคยมีประวัติการใช้งาน จะทำให้ทราบ ชื่อ IP /name / MAC Address และรายละเอียดการใช้งานต่างๆ ดังภาพล่างนี้
Where : ดูพฤติกรรมการใช้งาน IP 192.168.1.14 หากเป็นการเปิด Web ก็คลิก (HTTP Get Web Data Traffic ว่าเปิดเว็บ Path URL อะไรเป็นต้น หากเป็นการรับ-ส่ง Mail ก็คลิกดูว่า รับ - ส่งไป IP/Domain อะไร เป็นต้น)
When : ช่วงเวลาที่ใช้งาน ของ IP 192.168.1.14 เวลาเปิด ปิดเครื่อง และเวลาในการใช้งานต่างๆ แยกตาม Application Protocol เช่นเริ่มเปิด Web เวลาใด เสร็จเมื่อไหร่ เริ่มเปิด Mail เวลาใดเสร็จสิ้นเมื่อไหร่ อื่นๆ ตามภาพข้างล่างที่ปรากฏ
ภาพประวัติการใช้งาน IP : 192.168.1.14
ภาพแสดงให้เห็นว่าเครื่อง IP : 192.168.1.14 ทำการเปิดเครื่อง- ปิดเครื่อง และจำนวนการใช้ข้อมูล
ภาพลักษณะการใช้ Application Services และ Domain / IP ปลายทางที่มีการเชื่อมต่อข้อมูล
เป็น Hybrid นั่นหมายความว่า SRAN นอกจากจะใช้เทคโนโลยี Deep packet Inspection และ Flow Collector แล้วยังสามารถรับ syslog จากเครื่องสำคัญๆ ได้อีกด้วย เพื่อพร้อมความสมบูณในการเก็บบันทึกมิให้สูญหายและสามารถสืบหาข้อมูลจาก อุปกรณ์ SRAN เพียงอุปกรณ์เดียวก็สามารถได้ครบทุกส่วน ไม่ว่าเป็น การเฝ้าระวัง (Monitoring) การวิเคราะห์ (Analysis) และการเก็บบันทึก (Record)
เพิ่มความละเอียดในการค้นหาข้อมูล IP / Name และชื่อการใช้งาน User โดยใช้ SRAN Hybrid
ทำการค้นหารายชื่อ IP : 192.168.1.14
คลิกเพื่อดูภาพขยาย จากภาพต้องการต้นหา IP : 192.168.1.14 ว่าใช้ User Name อะไร สามารถทำได้โดย ให้ AD (Active Director) ส่งค่า syslog มายังอุปกรณ์ SRAN ผลที่ได้จากการค้นหาจะแสดงผลดังนี้
คลิกที่รูปเพื่อดูภาพขยาย
จากภาพแสดงให้เห็นว่า IP : 192.168.1.14 ชื่อ User wiroj.k ทำการ Join Domain และ Login ถูกต้อง
เสริมสร้างประโยชน์ สำหรับองค์กรที่มีเครื่องแม่ข่าย ที่สำคัญ ได้แก่ Mail Server ที่ตั้งในองค์กร , Web server ที่ตั้งในองค์กร หรือ Domain Controller (AD) หากต้องการเก็บ Log เครื่องสำคัญเหล่านี้ให้ได้ประโยชน์สูง ก็ควรใช้ SRAN Hybrid เข้ามาช่วย
ส่วนลักษณะการใช้งาน User หากต้องนำ Log เครื่อง Client เพื่อยิง log มาทั้งหมดคงไม่มีทางเป็นไปได้ ดังนั้นหน้าที่สำคัญของ SRAN ก็เพื่อต้องการตรวจจับการใช้งาน User ด้วย เนื่องจากภัยคุกคาม การหมิ่นประมาท การทำลายข้อมูล มักจะเกิดจากการใช้งาน User เป็นหลัก และเพื่อให้สอดคล้องกับสาระสำคัญของ พระราชบัญญัติว่าด้วยการกระทำผิดทางคอมพิวเตอร์ การเก็บ Log จึงจำเป็นที่ต้องเก็บลักษณะการใช้งานด้วย เพื่อประโยชน์ในการสืบสวน สอบสวนหาผู้กระทำความผิดมาลงโทษ ให้ได้ ดังนั้นหากเก็บเฉพาะ User เวลาการใช้งาน เราจะไม่สามารถทราบถึงลักษณะการใช้งาน ที่เป็น What (ทำอะไร)และ Why (ทำอย่างไร) ได้เลย เก็บ Log ไปแล้วก็ไม่สามารถระบุหาผู้กระทำความผิดได้ จึงเป็นเหตุผลให้ทางทีมงาน SRAN หาวิธีที่สะดวกที่สุดในการเก็บ Log และที่สำคัญ SRAN สามารถ Correlation Log ให้สอดคล้องกับความเสี่ยงที่อาจเกิดขึ้นได้ตามมาตราต่างๆ ที่แปลทางเทคนิคได้คือ มาตรา 5 - 11 ทำให้ผู้ดูแลระบบ หรือผู้บริหารองค์กรสามารถเข้าใจ Log ที่เกิดขึ้นได้มากขึ้นอีกด้วย
ภาพการ Correlation Log ตามมาตรต่างๆ พร้อมทั้งสามารถคลิกดูรายละเอียดการกระทำความผิดตามมาตรานั้นได้อีกด้วย
รายละเอียดเพิ่มเติม
การวิเคราะห์ข้อมูลผ่าน SRAN Hybrid
