SRAN Appliance อย่างที่ทราบกันดีว่ามี 2 ตระกูลด้วยกัน นั้นคือตระกูลที่เป็น Security Gateway เรียกว่า SRANwall ส่วนที่เป็น Unified Security Monitoring เรียกว่า SRAN Security Center ซึ่งในปัจจุบัน SRAN Security Center ได้มีผู้ใช้งานจำนวนมาก และได้มีการยอมรับกับหน่วยงานต่างๆ ซึ่งได้ประกาศในเว็บไซด์บริษัท Global Technology Integrated ที่ http://www.gbtech.co.th/th/custome ซึ่งประกอบด้วย ภาครัฐบาล ภาคเอกชน และภาคการศึกษา
ที่ผ่านมา บริษัท โกลบอล เทคโนโลยี อินทิเกรเทด จำกัด ผู้นำด้านการวิจัยและพัฒนาระบบป้องกันภัยเครือข่ายคอมพิวเตอร์ ในประเทศไทย ได้ผ่านการตรวจมาตรฐานคุณภาพอุตสาหกรรม ISO 9001 : 2000 เป็นการยืนยันถึงความพร้อมในงานบริการด้านความมั่นคงปลอดภัยข้อมูล และมีมาตรฐานการผลิตอุปกรณ์รักษาความปลอดภัยข้อมูลในระดับเครือข่าย คอมพิวเตอร์ ถือเป็นบริษัท แรกในประเทศไทยที่ได้รับมาตรฐานอุตสาหกรรม สำหรับธุรกิจอุตสาหกรรมระบบรักษาความปลอดภัยข้อมูลสารสนเทศ บนเครือข่ายสารสนเทศ อีกทั้งได้รับการส่งเสริมจากสำนักงานคณะกรรมการส่งเสริมการลงทุน (BOI) ให้กับผลิตภัณฑ์ภายใต้แบนด์ “SRAN”
ใบรับรองอุปกรณ์ SRAN : ยังได้มีการรับรองคุณภาพจากหน่วยงานตราสัญลักษณ์ Buy Thai First เป็นการรับประกันว่าได้ผ่านข้อกำหนดของ SIPA และสมาคมอุตสาหกรรมซอฟต์แวร์ไทย (ATSI) สามารถใช้งานได้จริง นอกจากนี้อุปกรณ์ได้รับใบประกาศนียบัตรฮาร์ดแวร์ เช่น FCC , CE , UL และที่สำคัญอุปกรณ์ SRAN ได้ RoHS ซึ่งบอกถึงฮาร์ดแวร์ของอุปกรณ์นี้ไม่ทำลายสิ่งแวดล้อมอีกด้วย
หน่วยงานที่รองรับอุปกรณ์ SRAN Security Center ทั้งหน่วยที่ภายในประเทศและหน่วยสากลต่างประเทศ
ล่าสุดได้มีการรับรองจากกองบัญชาการตำรวจสอบสวนกลาง และ ศูนย์ตรวจสอบและวิเคราะห์การกระทำผิดทางเทคโนโลยี (ศตท.) เพื่อใช้ในการสืบสวนสอบสวนในคดีเกี่ยวข้องกับอาชญากรรมคอมพิวเตอร์
เทคนิคการเก็บบันทึกข้อมูลจราจรของ SRAN Security Center
SRAN Security Center ใช้ 3 เทคโนโลยี ประกอบกัน ได้แก่
1.เทคนิคการทำ Flow Base Collector คือ การตรวจลักษณะการใช้งาน Bandwidth ผ่าน Protocol ICMP , TCP , UDP และ SNMP เพื่อดูลักษณะการใช้งาน ทั้งที่เป็นข้อมูลขาเข้าระบบเครือข่าย และ ขาออกจากระบบเครือข่ายที่ใช้งาน
2.เทคนิคการตรวจจับค่า Syslog จากตัวอุปกรณ์ สามารถรับค่า Syslog จากอุปกรณ์ เช่น Router, Firewall , IDS/IPS และ Proxy เครื่องแม่ข่าย เช่น Domain Controller, Proxy Server และ Web / Mail Server ได้ โดยกำหนดค่าตั้งรับ syslog ผ่านในอุปกรณ์ SRAN ซึ่งจะมีอยู่ในรุ่นที่เป็น Hybrid Log Recorder คือ รุ่น SR-L Hybrid ขึ้นไปเท่านั้น
3.เทคนิคการวิเคราะห์โดยเปรียบเทียบตามฐานข้อมูล ช่วยให้ทราบถึง Application Protocol ต่างๆ ได้แก่ Web , Mail , Chat , Telnet , VNC , Remote Desktop , Upload/Download และการทำ VoIP ผ่านบางซอฟต์แวร์ ที่อยู่ในฐานข้อมูล SRAN
คุณสมบัติเด่นของ SRAN Security Center
- เป็นอุปกรณ์ Appliance ที่เป็นมิตรกับสิ่งแวดล้อม ได้รับมาตรฐาน RoHs, FCC, CE และ UL สามารถรองรับความต้องการที่หลากหลาย ตั้งแต่ระบบเครือข่ายขนาดเล็กจนถึงขนาดใหญ่ ตามลักษณะการใช้งาน
- ควบคุมและเฝ้าระวังพฤติกรรมการใช้งานอินเตอร์เน็ตในองค์กร พร้อมกำหนดระดับความปลอดภัยในการเข้าถึงข้อมูลได้มีความสะดวกในติดตั้งได้ทั้งในโหมด In-line, Passive และ Transparent (ขึ้นกับลักษณะการใช้งานเครือข่ายและจำนวนเครื่องที่ออกอินเตอร์เน็ต)
- กรณีติดตั้งในโหมด In-line สามารถป้องกันภัยคุกคามจากไวรัส / Worm / spyware / Trojan / Backdoor / Botnet, เว็บไซต์เนื้อหาไม่เหมาะสม, พฤติกรรมไม่เหมาะสม (การส่งไฟล์ผิดปกติ, การใช้งาน P2P), การโจมตีด้วยวิธีต่างๆ (DDoS/DoS, การเดารหัสผ่าน, การบุกรุกผ่านทาง Remote Access) และอีเมล์ขยะ (Spam)
- กรณีติดตั้งในโหมด Transparent สามารถเฝ้าระวังพฤติกรรมการใช้งานที่ไม่เหมาะสม เช่น การดาวน์โหลดไฟล์ที่ติดมัลแวร์/ไวรัส, การดาวน์โหลดมัลติมีเดียขนาดใหญ่, การส่งอีเมล์ขยะ (spam), ภัยคุกคามจากไวรัส / Worm / spyware / Trojan / Backdoor / Botnet เว็บไซด์เนื้อหาไม่เหมาะสม, พฤติกรรมไม่เหมาะสม (การส่งไฟล์ผิดปกติ, การใช้งาน P2P), การโจมตีด้วยวิธีต่างๆ (DDoS/DoS, การเดารหัสผ่าน, การบุกรุกผ่านทาง Remote Access) และสามารถป้องกันภัยจาก IP / MAC Address จากเครื่องที่มีความผิดปกติได้
- กรณีติดตั้งในโหมด Passive สามารถเฝ้าระวังพฤติกรรมการใช้งานที่ไม่เหมาะสม เช่น การดาวน์โหลดไฟล์ที่ติดมัลแวร์/ไวรัส, การดาวน์โหลดมัลติมีเดียขนาดใหญ่, การส่งอีเมล์ขยะ (spam) , ภัยคุกคามจากไวรัส / Worm / spyware / Trojan / Backdoor / Botnet เว็บไซด์เนื้อหาไม่เหมาะสม, พฤติกรรมไม่เหมาะสม (การส่งไฟล์ผิดปกติ, การใช้งาน P2P), การโจมตีด้วยวิธีต่างๆ (DDoS/DoS, การเดารหัสผ่าน, การบุกรุกผ่านทาง Remote Access)
- รายงานความเสี่ยงและช่องโหว่ที่เกิดขึ้นบนอุปกรณ์เครือข่าย, เครื่องแม่ข่าย และ Application Software พร้อมแนะแนวทางในการ Update Patch เพื่อให้อุปกรณ์มีความปลอดภัยยิ่งขึ้น
- วิเคราะห์หาภัยคุกคามที่อาจส่งผลกระทบต่อระบบเครือข่าย โดยจัดลำดับความเสี่ยงเป็น สูง กลาง ต่ำ ได้
- แสดงลักษณะการใช้งานของเครือข่ายในจุดต่างๆ โดยตรวจสอบและรวบรวมข้อมูลสถานการณ์ต่างๆ ที่เกิดขึ้นในเครือข่าย แบบ Real Time
- ตรวจจับเนื้อหา รูปแบบภัยคุกคามทางระบบเครือข่าย และแจ้งเตือนการโจมตีจากไวรัสคอมพิวเตอร์ชนิดต่างๆ ทางระบบเครือข่ายได้ โดยแจ้งเตือนความผิดปกติของระบบผ่านอีเมล์ เมื่อตรวจพบว่ามีการแพร่กระจายของไวรัส หรือหนอนคอมพิวเตอร์ (worm)
- สืบค้นหาเหตุการณ์ภัยคุกคามที่เกิดขึ้น เพื่อใช้ในการสืบสวนสอบสวน (Forensic) และดูเหตุการณ์ต่างๆ ย้อนหลัง ตามวันและเวลาที่กำหนดได้
- แสดงลักษณะการใช้งานระบบเครือข่าย โดยวัดและตรวจจับ Network Performance ของระบบ รวมทั้งข้อมูลจราจร (Data Traffic) ได้
- ออกรายงานผลย้อนหลังและสรุปความเสี่ยง ลักษณะการโจมตีระบบ และวิธีป้องกัน โดยสามารถดูย้อนหลังเป็นรายวันได้
- สามารถนำ Log การเฝ้าระวังในเครือข่ายมาประมวลผลเพื่อแสดงรายงานตามมาตรฐาน ISO/IEC 27001 พร้อมเก็บข้อมูลซึ่งสามารถดูย้อนหลังได้ตาม วัน เดือน ปี ที่บันทึก
- เก็บบันทึกข้อมูลจราจร (ทั้งขาเข้า-ออก) โดยระบุว่า ใคร, ทำอะไร, ที่ไหน, เมื่อไร, อย่างไร และจัดเปรียบเทียบความเสี่ยงตามมาตราแห่งพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และรายงานผลในรูปแบบ HTML และ PDF ซึ่งสามารถเรียกดูย้อนหลังได้
- รองรับการตั้งเวลามาตรฐานอัตโนมัติจากหน่วยงานภายนอก หรืออุปกรณ์ภายในหน่วยงาน
- มีระบบ Data Archive ในการจัดเก็บข้อมูล สะดวกในการค้นหาข้อมูล และจัดเก็บข้อมูลได้มากกว่า 90 วัน
- มีระบบตรวจสอบความไม่เปลี่ยนแปลงของข้อมูลจราจร (Log) โดยการทำ Data Hashing ด้วยอัลกอริธึม MD5
- บันทึกและจัดเก็บข้อมูลจราจรสำหรับการใช้งานเกี่ยวกับเว็บ, เมล์, IM (Chat) และ FTP พร้อมลำดับเหตุการณ์ตามช่วงเวลาที่เกิดขึ้น และรายงานผลในรูปแบบ HTML และ PDF
- สำหรับรุ่นที่เป็นระบบ Hybrid Log Recorder สามารถรับค่า Syslog จากอุปกรณ์เครื่องแม่ข่ายที่สำคัญได้ เช่น DHCP Server, Domain Controller, Mail Server, Web Server เป็นต้น
SRAN Security Center สามารถบันทึกและจัดเก็บข้อมูลจราจรได้ ตามรายละเอียดดังนี้
Web : HTTP, HTTPS
Emails : SMTP, POP3, IMAP, Web Mail, Lotus Note, POP3S, SMTPS, IMAPS
Messenger : ICQ, MSN, IRC, AIM, Yahoo, ebuddy, Camfrog
File Transfer : FTP, TFTP
P2P : napster, GNUtella, DirectConnect, Bittorrent, eDonkey, MANOLITO, Ares, ed2k, kaaza, soulseek และ VoIP ชนิด P2P เช่น Skype เป็นต้น
Others : Telnet, Remote Desktop, VNC, Radius
SRAN จึงเป็นมากกว่าอุปกรณ์เก็บบันทึกข้อมูลจราจร แต่สามารถตรวจสอบ และวิเคราะห์หลักฐานที่ค้นพบได้ ตามหลักการสืบสวนสอบสวน เป็นประโยชน์อย่างยิ่งสำหรับผู้ดูแลระบบ ที่ต้องการวิเคราะห์หาสาเหตุ รวมถึงพนักงานเจ้าหน้าที่ และเจ้าหน้าที่ตำรวจ ตลอดจนนายจ้างที่ต้องการทราบถึงพฤติกรรมการใช้งานระบบสารสนเทศของพนักงานในองค์กร
ทั้งนี้ข้อมูลจราจรที่มีการเข้ารหัสข้อมูล เช่น POP3S, HTTPS, SMTPS เป็นต้น จะสามารถเห็นได้เฉพาะข้อมูลเส้นทางการจราจรบนเครือข่าย (Data Traffic Flow) ได้แก่ ไอพีต้นทาง, พอร์ตต้นทาง, ไอพีปลายทาง, พอร์ตปลายทาง, เวลาที่เกิดเหตุการณ์เหตุผลที่เลือกใช้
SRAN Security Center ติดตั้งง่าย ไม่ส่งผลกระทบกับการเชื่อมต่อเครือข่ายเดิม
ลดค่าใช้จ่ายในการจัดหาระบบป้องกันภัย และเก็บบันทึกข้อมูลจราจร โดยรวมคุณสมบัติสำคัญที่สร้างความปลอดภัยให้แก่เครือข่ายคอมพิวเตอร์ ไว้ในอุปกรณ์เดียว
มีคุณสมบัติด้านการเฝ้าระวังเครือข่าย และป้องกันภัยคุกคาม เพราะการเก็บ Log File เพียงอย่างเดียวนั้นอาจไม่เพียงพอในการป้องกันไม่ให้หน่วยงานพ้นความเสี่ยงในการกระทำความผิดตาม พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
มีผลิตภัณฑ์ให้เลือกหลายรุ่น เพื่อสนองความต้องการสูงสุดของลูกค้า
Link : เรียนรู้การใช้งานอุปกรณ์ SRAN Security Center อย่างถูกต้อง
