จากเดิมระบบ SRAN จะจับข้อมูลที่เรียกว่า Data Traffic ที่วิ่งบนระบบเครือข่าย (Network) โดยการติดตั้ง Mirror Traffic กับอุปกรณ์ Switch โดยข้อมูลจะแบ่งเป็น 2 ประเภท นั้นคือ
ข้อมูลที่ปกติ เช่น การใช้งานอินเตอร์เน็ต (Web , Mail , Chat , Upload / Download , VoIP (P2P) ) เป็นต้น ซึ่งส่วนนี้ SRAN จะเก็บตามหลักการเก็บบันทึกข้อมูลของกระทรวง ICT และเก็บตามหลัก Chain of Event โดยพิจารณาตาม Who , What , Where , When และ Why(How) เป็นหลัก มิได้เก็บหมดทุกเนื้อหา จึงไม่เข้าข่ายการเป็น Sniffer แต่อย่างใด ในส่วนนี้เราเก็บบันทึกให้สอดคล้องกับ มาตรา 26 ของ พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ 2550 ซึ่งสามารถทำการเก็บบันทึกข้อมูลดังกล่าวได้ไม่น้อยกว่า 90 วัน พร้อมทั้งมีระบบ Data Integrity เพื่อยืนยันว่า Log ที่ทำการเก็บนั้นไม่สามารถแก้ไขได้อีกด้วย โดยไม่ต้องใช้เทคโนโลยีอื่นมาเสริม
ข้อมูลที่ไม่ปกติ เราได้นำเทคโนโลยี Deep Packet Inspection และ Flow Collector เพื่อวิเคราะห์ลักษณะการใช้งานว่าลักษณะภัยคุกคามตรงตามฐานข้อมูลหรือไม่ และเฝ้าสังเกตการตามสถิติที่ใช้งาน จึงทำให้อุปกรณ์ SRAN สามารถจับเนื้อหาที่ผิดปกติ และแยกแยะข้อมูลได้อัตโนมัติ
อ่านเพิ่มเติมการประยุกต์และผสมผสานเทคโนโลยีจนมาเป็น SRAN ได้ที่ http://www.sran.net/archives/219
และทั้งสองส่วนคือข้อมูลปกติ และไม่ปกติ อุปกรณ์ SRAN นำมาเปรียบเทียบตามมาตรฐานหรือที่เรียกว่า Compliance 2 มาตราฐาน คือ ISO 17799 หรือ ISO 27001 (2) 2005 และ จับเปรียบเทียบตาม มาตรา 5 - 11 ซึ่งเป็นลักษณะการใช้งานที่เข้าข่ายฐานความผิดตาม พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ได้อีกด้วย ซึ่งเหมาะสมแล้วกับการใช้งานในประเทศไทย
อีกส่วนหนึ่งที่เราเพิ่มเติมขึ้นมานั้นคือการทำ SRAN เป็น Hybrid นั่นหมายความว่า SRAN นอกจากจะใช้เทคโนโลยี Deep packet Inspection และ Flow Collector แล้วยังสามารถรับ syslog จากเครื่องสำคัญๆ ได้อีกด้วย เพื่อพร้อมความสมบูณในการเก็บบันทึกมิให้สูญหายและสามารถสืบหาข้อมูลจากอุปกรณ์ SRAN เพียงอุปกรณ์เดียวก็สามารถได้ครบทุกส่วน ไม่ว่าเป็น การเฝ้าระวัง (Monitoring) การวิเคราะห์ (Analysis) และการเก็บบันทึก (Record)
จากรูปเป็นลักษณะการทำงานของอุปกรณ์ SRAN เมื่อเริ่มเปิดเครื่องก็จะสามารถทำงานได้อัตโนมัติ พร้อมออกรายงานผลอย่างที่ไม่ต้องใช้ผู้เชี่ยวชาญมานั่งวิเคราะห์ได้อีกด้วย
มีหลายคนสงสัยว่าการเก็บบันทึกข้อมูลนั้น จำเป็นต้องเก็บแบบไหนพอเพียง และเก็บแบบไหนไม่พอเพียง
คำตอบ ง่ายๆ คือว่าเก็บแบบไหนก็ได้ ที่ตอบโจทย์ตามหลักพิสูจน์หาหลักฐานทางอิเล็คทรอนิกส์ (Forensic) ก็พอ คือลักษณะการพิจารณา ตาม Chain of Event ซึ่งสามารถอ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/223
อีกคำถามหนึ่งที่ทาง SRAN พบนั้นคือ หลายที่ยังเข้าใจว่าควรเก็บเฉพาะข้อมูลขาเข้าเท่านั้น แต่ข้อมูลขาออกจากหน่วยงานหรือองค์กรนั้นไม่เก็บ
คำตอบคือ การเก็บเพียงเท่านั้นจะทำให้การพิสูจน์หาหลักฐานไม่ครบ หากมีพนักงาน หรือคนในหน่วยงานเป็นผู้กระทำความผิด ก็ไม่สามารถหาหลักฐานได้ ดังเช่นกรณีศึกษา ที่ทางเรายกเป็นตัวอย่างในบทความ “การใช้ SRAN วิเคราะห์ Log http://www.sran.net/archives/232 ”
ซึ่งหากเก็บไม่ครบทั้งขาเข้าและออก จำเลยอาจตกอยู่ที่เจ้าของบริษัท หรือ ผู้รับผิดชอบในหน่วยงานนั่นๆ ได้ ซึ่งคิดว่าคงไม่อยากให้มีใครอยากเป็นจำเลยในส่วนนี้แน่ พนักงานส่วนใหญ่จะมีความชำนาญมากกว่าผู้ใหญ่ระดับบริหาร พนักงานอาจแกล้งหรือทำการใดเพื่อให้ตนเองยากแก่การถูกดำเนินคดีได้
เฉพาะการเก็บข้อมูลจราจร (Data Traffic) จึงควรเก็บทั้งขาเข้าและขาออกจากหน่วยงานหรือองค์กรด้วย
ในหน้าจออุปกรณ์ SRAN สามารถควบคุมผ่านเว็บบราวเซอร์ได้ ซึ่งสะดวกในการใช้งานและ Remote เข้ามาวิเคราะห์จากที่อื่นได้ หากมีรหัส User Login ดูตัวอย่างได้ที่ http://www.sran.net/archives/234
ประมวลภาพ SRAN Hybrid ซึ่งเป็นการใช้งานร่วมระหว่างการรับค่า syslog และ Flow Collector พร้อมทั้งใช้ระบบ Deep packet Inspection จาก IDS/IPS มาใช้ร่วมกัน บนอุปกรณ์เดียว
เป็นการแสดงผลตาม Chain of Event จากลักษณะการส่ง Mail ที่พบว่า
Who : อุปกรณ์ SRAN พบค่า Mail ID ที่รับ พบ Subject Mail ที่ได้รับ และชื่อ file แนบมากับ mail
What : เป็นลักษณะการรับ Mail
Where : ทราบว่า IP ต้นทาง และ IP ปลายที่รับและส่ง mail
When : ทราบเวลาที่รับ mail
Why(how) : เป็นลักษณะปกติที่ใช้งาน ทั่วไป
หากเป็นการบุกรุก สีของเหตุการณ์จะบอกถึงภัยคุกคามที่พบ เช่นภาพต่อไปนี้
เป็นส่งค่า DoS เพื่อโจมตี mail เป็นต้น
เราสามารถพิจารณาประวัติการใช้งานของ IP ภายในองค์กรได้ว่าใช้ Application Protocol ใดที่ทำให้สิ้นเปลือง Bandwidth ได้จากการคลิก Monitoring –>Flow Collector –> เลือก IP ที่มี Bandwidth สูงและดูรายละเอียดการรับ-ส่งข้อมูลนั้น
สุดท้ายเราสามารถเชื่อมโยงเหตุการณ์ เพื่อดูภาพรวมความเสี่ยงตาม พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ได้จาก การ Correlation Log ซึ่งถือว่าเป็นเทคนิคการนำ Log Event มาเปรียบเทียบอย่างอัตโนมัติ บนอุปกรณ์ SRAN ทำให้ผู้ใช้สามารถ ประเมินความเสี่ยงองค์กรของตนเองได้ว่า มีความเสี่ยงตาม พ.ร.บ คอมพ์ฯ มาตราใดก่อนภัยจะมาเยือนได้อีกด้วย
จากรูปจะพบว่า มีเหตุการณ์ที่เกี่ยวข้องในมาตรา 10 อยู่ 13 เหตุการณ์ ซึ่งมาตรานี้แปลเป็นความหมายทางเทคนิคคือ
การกระทำเพื่อให้การทำงานของระบบคอมพิวเตอร์ของผู้อื่นไม่สามารถทำงานตามปกติได้
(1) กระทำด้วยประการใดโดยมิชอบ
(2) มีเจตนาพิเศษเพื่อให้การทำงานของระบบคอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวน จนไม่สามารถทำงานตามปกติได้
อุปกรณ์ SRAN ก็บอกว่ามีการยิง Exploit โดยอาศัยช่องโหว่ของบราวเซอร์ IE อยู่ 11 เหตุการณ์
และมีการพยายามยิง DoS MSOTC อยู่ 2 เหตุการณ์ ซึ่งทั้งหมดนี้ผู้ดูแลระบบสามารถคลิกเข้าไปดู IP ต้นทาง และ ปลายทางได้ เพื่อใช้ในการวินิจฉัยและปรับปรุงเครือข่ายให้มีความแข็งแรงต่อไปได้อีกด้วย
สรุปว่า ถึงแม้ไม่มี พ.ร.บ คอมพ์ฯ ประกาศมาให้ใช้กัน อุปกรณ์ SRAN ก็ยังมีประโยชน์สำหรับ เจ้าของบริษัท หรือ ผู้บริหารในหน่วยงาน ที่ต้องการทราบเหตุการณ์ ว่าใครทำอะไร ที่ไหน อย่างไร เวลาใด จากลักษณะการใช้งานระบบสารสนเทศพนักงานตนเอง
อุปกรณ์ SRAN ถูกออกแบบเพื่อให้ประหยัดค่าใช้จ่าย ในการที่ต้องใช้อุปกรณ์หลายๆชนิด เพื่อได้ผลลัพธ์เท่าอุปกรณ์ SRAN นี้ และสะดวกแก่ผู้ใช้งาน ผู้ติดตั้งอุปกรณ์ และไม่มีผลกระทบกับระบบเครือข่าย หากติดตั้งแบบ Port Mirror กับอุปกรณ์ Switch ทั้งหมดที่กล่าวมาก็ต้องบอกว่า ปลอดภัยแบบคุ้มค่า ตามคำขวัญของ SRAN คือ Lower Cost More Secure นั่นเองครับ
