เมื่อทำการเปลี่ยนแปลงเหตุการณ์ บริษัท XXX ได้จัดหาระบบเก็บบันทึกเหตุการณ์ โดยใช้ SRAN Security Center รุ่น SR L มาใช้ในองค์กร โดยผู้บริหารบริษัท XXX มีความตระหนักถึงการเก็บบันทึกข้อมูลจราจร และการเฝ้าระวังภัยคุกคาม ตลอดถึงต้องการทราบถึงลักษณะการใช้งานของ User ในองค์กร ที่เป็นลูกจ้าง ที่ตนเองต้องจ่ายเงินเดือนให้ จึงเลือกใช้ อุปกรณ์ SRAN และเป็นรุ่นที่เหมาะสมกับเครือข่ายขนาด เครื่องคอมพิวเตอร์ที่ออกอินเตอร์เน็ตได้ ไม่เกิน 400 เครื่อง คือรุ่น SR L
โดยผู้ดูแลระบบ ทำการติดตั้งอุปกรณ์ SRAN Security Center โดยทำการรับค่า Mirror Port จากอุปกรณ์ Core Switch ทำให้เห็นถึง Data Traffic ทั้งหมดของเครือข่ายคอมพิวเตอร์ บริษัท XXX
รูปการติดตั้งอุปกรณ์ SRAN
ย้อนกลับไปจากตอนที่แล้ว ในเวลา <10:30 22/03/51> ผู้จัดการฝ่ายไอที ของบริษัท XXX นัดประชุมทีม เพื่อส่งข้อมูลให้เจ้าหน้าที่พนักงาน ได้ข้อสรุปในที่ประชุมว่า จะส่ง Log จากอุปกรณ์ดังนี้ให้เจ้าหน้า คือ Log Router , Log Firewall และ Log Domain Controller
ก็เปลี่ยนใหม่ เป็น ในเวลา <10:30 22/03/51> ผู้จัดการฝ่ายไอที ของบริษัท XXX นัดประชุมทีม เพื่อส่งข้อมูลให้เจ้าหน้าที่พนักงาน ได้ข้อสรุปในที่ประชุมว่า จะส่ง Log จากอุปกรณ์ดังนี้ให้เจ้าหน้า คือนำ Log จากอุปกรณ์ SRAN Security Center รุ่น SR L
เมื่อทำการเปิดเครื่อง https://xxxxxx ใส่ user/ password ตามนโยบายของบริษัท สำหรับผู้ดูแลระบบ 2 ท่านที่สามารถเข้าถึง SRAN ได้
เข้าเปิดหน้า Management เข้าสู่เมนู Data Archive
และทำการคลิกไปที่หน้า Data Hashing
<14:07 22/03/51> ผู้ดูแลระบบนำ Log จากบริษัท XXX โดยคลิกที่หน้าปฏิทินในอุปกรณ์ SRAN และนำ Log files พร้อมค่า MD5 (Data Hashing) ไปพร้อม
<15:00 22/03/51> พัฒ หนึ่งในผู้ดูแลระบบเครือข่ายบริษัท XXX ซึ่งได้ลาพักร้อนไปเที่ยวต่างจังหวัด เมื่อทราบข่าว จึง Remote ผ่านระบบ GPRS บนมือถือเพื่อเชื่อมต่อระบบ VPN เข้าสู่บริษัท XXX และทำการวิเคราะห์เหตุการณ์ผ่านช่องทาง (HTTPS) Web Application บนตัวอุปกรณ์ SRAN Security Center เมื่อทำการเข้าหน้า Login ในสิทธิที่พัฒมีแล้วคือระดับนักวิเคราะห์ (analysis) ก็ดูในหน้า Summary ทันที
(ดูวิธีการใช้งาน SRAN ผ่าน iPhone )
ซึ่งพัฒเองได้ผ่านการอบรมจากทีมงาน SRAN Dev ถึงวิธีการใช้งานอุปกรณ์ SRAN และวิธีการวิเคราะห์ตามห่วงโซ่ของเหตุการณ์ (Chain of Event)
Who ใคร : What ทำอะไร : Where ที่ไหน : When เมื่อไหร่ : Why อย่างไร
จากเนื้อ Data Traffic บนอุปกรณ์ SRAN ที่ทำการวิเคราะห์ให้แล้ว โดยแสดงผลดังนี้
Who : IP Source 192.168.1.53 / IP Destination 61.xx.xx.xx
What : GET Web โดยเปิด XML ที่ Port 80 ชนิดการติดต่อเป็นแบบ TCP / HTTP Protocol
Where : URI ที่IP 61.xx.xx.xx
When : 14:31 วันที่ 21 มีนาคม 2551 เกิดการโจมตี DoS ขึ้น ซึ่งทำการวิเคราะห์ต่อถึงประวัติการใช้งานเครื่อง IP : 192.168.1.53
โดยพัฒทำการคลิกที่หน้า Monitor –>Flow Collector เพื่อดูเวลาที่เครื่องต้องสงสัยทำการใช้งานพบว่าเครื่อง IP 192.168.1.53 ได้มีการใช้งานจริงในวันนั้น และมีค่า MAC Address คือ 00:0D:61:27:D0:3E
ทำให้ทราบเวลาเปิดและปิดเครื่องดังกล่าว จากนั้นการทำการดูพฤติกรรมการใช้งานทั่วไปพบว่ามีการใช้งานตามช่วงเวลา ในรูปที่แสดงข้างล่างนี้
Why : เป็นลักษณะการติดต่อสื่อสารที่ผิดปกติ (Threat Data Traffic) และเข้าข่ายการโจมตีชนิด DoS (Denial of Services) ซึ่งอาจทำให้เครื่องปลายทางขาดการติดต่อได้ชั่วขณะ ผ่าน Services WebDav ซึ่งสอดคล้องกับผู้ให้บริการ Hosting A ที่ใช้ระบบปฏิบัติการเป็น Windows Server IIS
พัฒจึงวิเคราะห์ถึงประวัติ IP 192.168.1.53 พบว่ามีการบุกรุกถึง 3 เหตุการณ์ 2 วิธีการ ตามที่แสดงในรูปข้างล่างนี้
คือการส่งค่าลักษณะแปลกๆ เข้าไปที่ Web IIS และการ DoS ผ่านช่องโหว่ WebDav เมื่อทำการคลิกหน้าเหตุการณ์จากที่ SRAN ได้เก็บบันทึกแล้วพบว่า จะเห็นรูปแบบการบุกรุกชัดเจน ว่าพยายามเข้าสู่ระบบ WebDav โดยการ Buffer overflow ผ่าน HTTP Protocol
พัฒไม่รอช้า เข้าสู่หน้าLAW และดู Correlation Log ในส่วน Classification พบว่ามีลักษณะความเสี่ยงที่สอดคล้องกับมาตรา 10 ซึ่งพูดถึง
การกระทำเพื่อให้การทำงานของระบบคอมพิวเตอร์ของผู้อื่นไม่สามารถทำงานตามปกติได้
(1) กระทำด้วยประการใดโดยมิชอบ
(2) มีเจตนาพิเศษเพื่อให้การทำงานของระบบคอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวน จนไม่สามารถทำงานตามปกติได้
และพัฒมั่นใจว่านี้เป็นการบุกรุก จากเครื่องบนระบบเครือข่ายของบริษัท XXX ที่ตนอยู่แล้วจึงทำการแจ้งกับผู้จัดการฝ่าย IT เพื่อทำการสืบหา IP และ MAC Address ดังกล่าว หากมีการทำนโยบายด้านความมั่นคงปลอดภัยทางข้อมูล และมีคลังข้อมูลที่ไว้บันทึกชื่อ IP / MAC / Host name ซึ่งเรียกว่าการทำ Inventory แล้ว ในครั้งนี้ก็จะหาผู้กระทำผิดไม่ยาก
<17:20 22/03/51> ผู้จัดการฝ่าย IT บริษัท XXX ได้ตรวจดูคลังข้อมูล ( Inventory) ระบบพบว่า IP 192.168.1.53 คือเครื่องนาย HHH
ถึงแม้จะทราบผลการวิเคราะห์จาก Log ตัวอย่างนี้ ก่อนเจ้าหน้าที่พนักงาน หรือตำรวจชุดสืบสวนสอบสวน แต่จากการเก็บบันทึก Log ที่ให้ไปแล้ว จะพบว่าหากเรื่องถึงชั้นศาลจริงการเก็บ Log โดยอ้างถึงการทำ Hashing ค่า Log file นั้นจะทำให้ คดีไม่ถูกยกฟ้องได้ เพราะ Log ยืนยันได้ว่าไม่สามารถเปลี่ยนแปลงได้ หากมีการแก้ไขหรือเปลี่ยนแปลง ค่า MD5 จะมีการเปลี่ยนค่าใหม่ จึงเป็นเรื่องที่ควรพิจารณา หากจัดหาเทคโนโลยีที่จัดเก็บ Log แต่ลืมนึกถึงการรักษาหลักฐานของเนื้อ file Log แล้วนั้นการจัดหาเทคโนโลยีดังกล่าวอาจไม่มีประโยชน์เท่าที่ควร
ดังนั้นการเก็บบันทึก Log จากอุปกรณ์ SRAN ควรที่จะปฏิบัติดังนี้
1.ควรมีการจัดคลังข้อมูล (Inventory) ภายในองค์กร
2. มีระบบงาน Operation ทำการ Backup Log ที่เกิดขึ้นโดย Download Log บนอุปกรณ์ SRAN ในแต่ละวัน เก็บ และเขียนในแผ่น CD
3. ในการเก็บบันทึก Log ที่เกิดขึ้นให้ทำการ Download ค่า MD5 บนตัวอุปกรณ์ SRAN มาทุกครั้ง เขียนบันทึกเก็บในแผ่น CD ที่ไม่สามารถเขียนทับได้
4. หาสถานที่เก็บบันทึกข้อมูล ที่ยากแก่การเข้าถึง
เท่านี้ก็จะทำให้หลักฐานต่างๆ ที่เก็บบันทึกจะเกิดประโยชน์ทุกฝ่าย
ห่วงโซ่เหตุการณ์ (Chain of event) นั้นจึงควรถูกคุ้มกัน คุ้มครอง เพื่อเป็นการรักษาข้อมูลที่เก็บบันทึกนั้นให้คงสภาพเดิม ซึ่งเรามีศัพท์เรียกว่า “Chain of Cusdoty”
สาระสำคัญของ พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ที่หลายคนมักตั้งคำถามว่า เก็บแบบไหนถึงจะพอเพียง
การเก็บพอเพียง ก็เพียงแค่คุณตอบให้ได้ ตาม Chain of event และมีการเก็บรักษาแบบ Chain of Custody ให้ได้ก็พอ ไม่ว่าจะใช้เทคโนโลยีใด แบบใด เมื่อเจ้าหน้าที่พนักงานเข้ามาขอ Log หรือ เจ้าของบริษัทเองต้องการทราบถึงการใช้งานพนักงานตัวเอง ก็มีประโยชน์ทั้ง ทำถูกต้องตามกฏหมาย และ ทำได้ตามความต้องการของนายจ้างอีกด้วย
SRAN Dev
การสร้างเครือข่ายตื่นรู้ ตอนที่ 1 และ ตอนที่ 2
บทความที่เกี่ยวข้อง Log คืออะไร
ทำความเข้าใจอุปกรณ์ SRAN Security Center อย่างถูกวิธีี
