ตั้งแต่เปิดตัว SRAN Security Center ในรูปแบบ Appliance มีหลายคนตั้งเข้าใจว่า SRAN Security Center เป็นระบบ Firewall บ้าง เป็น IPS บ้าง เป็น UTM บ้าง เป็น SIM บ้าง ที่เข้าใจไม่ผิดเสียทีเดียวเพราะคุณสมบัติที่กล่าวนั้นเป็นเพียงส่วนหนึ่งบนระบบ SRAN Security Center เราไม่ใช่ IPS ไม่ใช่ Firewall และไม่ใช่ SIM
อุปกรณ์ SRAN Security Center ไม่ได้เน้นที่ Performance แต่เน้นไปที่การตรวจจับ และเฝ้าระวังภัยบนเครือข่ายคอมพิวเตอร์ อย่างครบถ้วนและใช้งานสะดวกแก่ผู้ดูแลระบบและผู้ให้บริการ MSSP
ยิ่งปัจจุบัน อุปกรณ์ SRAN Security Center ได้เพิ่มคุณสมบัติพิเศษในการเก็บบันทึกข้อมูลตาม พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ และทำการเปรียบเทียบมาตราต่างๆ ตามประมวลกฎหมายใหม่ หากเป็นเช่นนี้แล้วเราคงไม่ใช่อุปกรณ์ Firewall , IPS ,SIM อย่างที่กล่าวแน่ เพื่อให้เกิดความเข้าใจมากขึ้น ทางทีมงานผู้พัฒนาจึงขออธิบายอุปกรณ์นี้ แบบกระชับอีกครั้ง โดยแบ่งหัวข้อดังนี้
1. ที่มาแนวคิด SRAN
เกิดจากการนำทฤษฎีต่างๆมาประยุกต์ รวมเป็นหนึ่งเดียวได้แก่
- วิธีการสืบหาหลักฐานจากการกระทำผิดคอมพิวเตอร์ หรือที่เรียกว่า Forensic โดยอาศัยวิธีการ Chain of Custody ในคือพิจารณาเส้นทางลำเลียงข้อมูล และเหตุปัจจัยในการก่อให้เกิดเหตุการณ์ขึ้นตามวัน เวลา ที่ระบุตรงได้
- ทฤษฎีการสร้าง Honeynet Concept ที่กล่าวถึงการทำ Data Control , Data Capture และ Data Collection ซึ่งเป็นแนวคิดที่ทางทีมพัฒนา SRAN นำมาประยุกต์เป็นผลิตภัณฑ์
- ทฤษฏี NSM (Network Security Monitoring) ที่กล่าวถึงการเฝ้าสังเกตการข้อมูลสารสนเทศที่มีความเสี่ยงต่อภัยคุกคาม อันมีผลกระทบกับเครือข่ายโดยรวม โดยแบ่งการสังเกตการตาม Full Content Data สนใจเนื้อหาของข้อมูลทั้งหมด , Session Data การพิจารณาข้อมูลการติดต่อบน Layer 3 – 7 ตาม session ของการเชื่อมต่อ ได้แก่ Network Flow , TCP Flow , UDP flow เป็นต้น
- ทฤษฏี 3 in 3 out ที่ทางผู้พัฒนา SRAN คิดค้นขึ้นเพื่ออธิบายความให้สะดวก จากพื้นฐานของ OSI 7 layer
ทั้งหมดที่กล่าวมา ก่อให้เกิด SRAN Technology ขึ้นในเวลาต่อมา
จากทฤษฎี Honeynet Concept , NSM Theory , 3 in 3 Out ตลอดจนการทำ Chain of Custody แบบฉบับการ Forensics ผ่านระบบเครือข่ายคอมพิวเตอร์ SRAN ถูกออกแบบมาจากทฤษฎีเหล่านี้ ประโยชน์เพื่อเฝ้าระวัง และเก็บบันทึกข้อมูลจราจร รวมถึง ย้อนเวลากลับสู่เหตุการณ์ต้องการได้ (Network Time Machine) ภาพนี้จึงเป็นต้นกำเนิดการทำอุปกรณ์ SRAN ในปัจจุบัน
2. คำนิยามอุปกรณ์ SRAN Security Center คือ USM (Unified Security Monitoring) นั้นคือการเฝ้าระวัง (Monitoring) วิเคราะห์ข้อมูล (Analysis) และ เก็บบันทึกข้อมูล (Record)เหตุการณ์ทั้งปกติ และ ทั้งที่เป็นภัยคุกคาม ที่เกิดขึ้นบนเครือข่าย
3. หน้าที่อุปกรณ์ SRAN Security Center คือ สำรวจ ตรวจสอบ วิเคราะห์ ประเมินความเสี่ยง ทั้งหมดเพื่อทำการเก็บบันทึกข้อมูล
3.1 สำรวจเครือข่าย โดยเทคโนโลยี Passive Scan เพื่อตรวจดูการใช้งาน Bandwidth ที่ใช้งาน , การใช้งานตาม Protocol ต่างๆ ได้แก่ HTTP (web) , SMTP/POP3 (mail) , Chat , FTP , DNS , DHCP , P2P เป็นต้น
3.2 ตรวจสอบ การใช้งานที่ผิดปกติ (Threat Data Traffic) ซึ่งอาจส่งผลต่อภัยคุกคาม ที่อาจจะเกิดขึ้นบนระบบเครือข่าย ตรวจสอบการใช้งานที่ปกติ (Normal Data Traffic) ที่ใช้งานทั่วไป ได้แก่ การใช้งานเว็บผ่านอินเตอร์เน็ท การใช้งานอีเมลล์ผ่านอินเตอร์เน็ท การเล่นสนทนา Online เป็นต้น
3.3 วิเคราะห์ เมื่อทำการตรวจสอบแล้ว ระบบจะนำผลที่ได้รับมาวิเคราะห์ข้อมูลที่พบบนระบบเครือข่าย เพื่อทำการจับเปรียบเทียบตามฐานข้อมูลที่มีอยู่
3.4 ประเมินความเสี่ยง หลังจากขั้นตอนการวิเคราะห์ข้อมูล ระบบจะทำการประเมินความเสี่ยงข้อมูลที่ผิดปกติ (Threat Data Traffic) นั้นจัดลำดับความรุนแรง สูง กลาง ต่ำ ทั้งนี้ยังประเมินความเสี่ยง อุปกรณ์เครือข่าย (Devices) เครื่องแม่ข่าย (Server) และ โปรแกรมมิ่งที่ใช้งาน (Application) พร้อมออกรายงานผลให้รับทราบอย่างอัตโนมัติ
3.5 เก็บบันทึกข้อมูล (Data Traffic Recored) ทำการเก็บบันทึกทั้งข้อมูลปกติ และไม่มีปกติ เพื่อทำการดูย้อนหลัง ตามวัน เวลา ที่ระบุได้ อย่างสะดวกในการสืบหาหลักฐานต่อไปในอนาคต
4. เทคโนโลยี บน SRAN Security Center ในอุปกรณ์เดียว มีคุณสมบัติดังนี้
4.1 เทคโนโลยีการทำ Network Analysis ที่ดูข้อมูล การเข้า และ ออกบนระบบเครือข่าย โดยพิจาณาจาก Bandwidth และ Protocol ที่ใช้งาน
4.2 เทคโนโลยี IDS/IPS (Intrusion Detection / Prevention System) ใช้ในหน้าที่วิเคราะห์ข้อมูลที่ผิดปกติ (Threat Data Traffic) และปกติ (Normal Data Traffic) เพื่อทำการเปรียบเทียบกับฐานข้อมูลที่มีอยู่ ที่วิเคราะห์ว่าเป็นภัยคุกคามชนิดที่เป็นภัยคุกคามจากภายนอกสู่ภายใน (In trusion) และภัยคุกคามจะภายในสู่ภายนอกที่เรียก (Extrusion) ซึ่งในที่จะสามารถทำให้ทราบถึง ภัยคุกคามต่างๆ เช่น Virus/worm , Spam , Spyware , Phishing และภัยคุกคามจากการโจมตีระบบ เช่น DDoS/DoS, Remote Exploit , Brute Fore Password เป็นต้น หากนำอุปกรณ์ SRAN Security Center ติดตั้งแบบ In-line จะสามารถป้องกันภัยคุกคามต่่างๆ จะกลายเป็น IPS ในตัวทันที หากนำ SRAN Security Center ติดตั้งแบบดักข้อมูล โดยใช้ความสามารถของอุปกรณ์ Switch มาช่วยก็จะกลายเป็น IDS ตามที่กล่าวมา
4.3 เทคโนโลยีการเประเมินความเสี่ยง (VA / VM) Vulnerability Assessment & Management ระบบจะสามารถประเมินความเสี่ยงโดยการ Scan Port , Scan Services และ รายงานผลควร Update Patch ได้ ทั้งจะประเมินความเสี่ยงจาก อุปกรณ์ (Devices) , เครื่องแม่ข่าย (Server) และ Application เป็นต้น
4.4 เทคโนโลยีการเก็บบันทึกข้อมูล (Log Archive) ระบบ SRAN จะสามารถเก็บบันทึกข้อมูล ทั้งที่เป็นข้อมูลไม่ปกติ (Threat Data Traffic) และ ข้อมูลปกติ (Normal Data Traffic)
ส่วนที่เป็นข้อมูลไม่ปกติ (Threat Data Traffic) จะลำดับเหตุการณ์ปัจจุบัน แล้วทำการ Correlation Log ให้สอดคล้องตาม ISO17799 และ พรบ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ และเก็บบันทึกเพื่อทำการดูย้อนหลังสืบหาต้นต่อของปัญหาต่อไป
ส่วนที่เป็นข้อมูลปกติ (Normal Data Traffic) จะทำการบันทึกข้อมูลการใช้งานอินเตอร์เน็ท ประกอบด้วย
- การเก็บบันทึกข้อมูลจราจรเกี่ยวกับเว็บ (Internet Web Recorder)
- การเก็บบันทึกข้อมูลจราจรเกี่ยวกับเมล (Internet Mail Recorder)
- การเก็บบันทึกข้อมูลจราจรเกี่ยวกับสนทนา (Internet Chat Recorder)
- การเก็บบันทึกข้อมูลจราจรเกี่ยวกับ FTP (Internet FTP Recorder)
- การเก็บบันทึกข้อมูลจราจรเกี่ยวกับ P2P (Internet P2P Recorder) ซึ่งส่วนนี้จะประกอบด้วยการใช้ VoIP ในบาง Application เช่น Skyp เป็นต้น
ทั้งหมดที่กล่าวนี้ บรรจุไว้ใน Box เครื่องเดียว ที่เรียกว่า “SRAN Security Center”
์Nontawattana Saraman
