SRAN Technology

ที่บอกว่ามากกว่าการเก็บ Log ก็เพราะการเก็บ Log เพียงอย่างเดียว แต่ไม่สามารถหาสาเหตุ หาเหตุผล หาปัญหาที่เกิดขึ้นบนระบบเครือข่ายได้ ก็ไม่ได้ช่วยพนักงานเจ้าหน้าที่ ตำรวจ หรือผู้ประกอบการได้เลย แต่หากเก็บแล้วสามารถบอกถึงสาเหตุ และปัญหาต่างๆ ที่เกิดขึ้นจากการใช้งานข้อมูลสารสนเทศนั้น ทั้งยังสามารถยืนยันได้ว่าข้อมูลที่เก็บบันทึกไม่สามารถแก้ไขได้ จะทำให้เป็นมากกว่าการเก็บ Log ธรรมดา สิ่งต่างๆ เหล่านี้ล้วนเกิดขึ้นบนอุปกรณ์ “SRAN”

รูปอุปกรณ์ SRAN Security Center รุ่น SR-L

ติดตั้งอุปกรณ์ SRAN เพียงไม่เกิน 1 นาที และไม่มีผลกระทบต่อการเชื่อมต่อเครือข่ายเดิม ก็สามารถใช้งานได้ พร้อมทั้งออกรายงานผลเปรียบเทียบความเสี่ยงที่พบตามมาตราต่างๆ ของพ.ร.บ ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ได้อัตโนมัติ ซึ่งสะดวกแก่ผู้ดูแลระบบ นายจ้าง และพนักงานเจ้าหน้าที่ อีกทั้งยังสามารถเก็บบันทึกข้อมูลจราจรได้มากกว่า 90 วัน เป็นไปตามกฏกระทรวง และเป็นที่ยอมรับจากสำนักงานตำรวจแห่งชาติ หน่วยงานราชการ หน่วยงานเอกชนหลายแห่งที่เลือกใช้อุปกรณ์ SRAN

นอกจากนี้ SRAN ยังเป็นความภาคภูมิใจของคนไทย เพราะ SRAN เป็นผลิตภัณฑ์เทคโนโลยีด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศจากเมืองไทย ที่จัดแสดงในงานระดับโลกอย่าง CeBiT จึงเป็นเครื่องยืนยันว่าอุปกรณ์ SRAN เป็นที่ยอมรับในขณะนี้ Site Reference นี่คือหนึ่งเหตุผลที่หลายคนมองหาอุปกรณ์นี้อยู่ อุปกรณ์นี้มีชื่อเต็มว่า SRAN Security Center ถูกออกแบบขึ้นเพื่อตัดปัญหา 3 ประการ คือ

1. ค่าใช้จ่าย (Cost) ที่บานปลายในการจัดซื้อจัดจ้างหาระบบป้องกันภัยและเก็บบันทึกข้อมูลจราจร เพราะ SRAN อยู่ในรูปแบบ Appliance พร้อมใช้งาน เมื่อเปิดเครื่องก็จะทำงานอัตโนมัติ โดยไม่จำเป็นต้องอาศัยการปรับแต่งมากมาย

2. การออกแบบและติดตั้ง (Design & Implement) SRAN ถูกออกแบบให้ง่ายต่อการติดตั้ง ใช้เวลาน้อย เหมาะกับเครือข่ายในประเทศไทย อีกทั้งไม่จำเป็นต้องออกแบบระบบเพื่อรองรับข้อมูลจราจรให้วุ่นวาย การเก็บบันทึกข้อมูล ก็เป็นไปตามหลักการสืบสวนสอบหาผู้กระทำผิด และเก็บบันทึกเป็นหลักฐานที่ไม่สามารถเปลี่ยนแปลงแก้ไขได้ เพิ่มความสะดวกให้แก่พนักงานเจ้าหน้าที่ เจ้าหน้าที่ตำรวจ และผู้บริหารองค์กร ที่ต้องการทราบถึงพฤติกรรมการใช้งานอินเตอร์เน็ต และการใช้งานระบบสารสนเทศในองค์กร ในเชิงลึก เนื่องจากอุปกรณ์ SRAN ได้นำเทคโนโลยี Deep Packet Inspection เพื่อตรวจดูเนื้อหาการใช้งานระบบสารสนเทศได้อย่างลึก อีกทั้งสามารถวินิจฉัยได้ว่าลักษณะหรือพฤติกรรมการใช้งานดังกล่าว เป็นภัยคุกคามชนิดใด จึงมีความสะดวกในการสืบค้นอย่างยิ่ง

3. เนื้อที่การเก็บบันทึกข้อมูลจราจร (Storage) หลายคนคงนึกวิตกกังวลกับเรื่องการเก็บข้อมูลจราจร หรือ Log จำนวนมากที่ต้องเก็บบันทึกไว้ อุปกรณ์ SRAN ได้ถูกคิดค้นขึ้นเพื่อเก็บบันทึกข้อมูล โดยแยกเป็นประเภท และจัดตามหลักเกณฑ์ห่วงโซ่ของเหตุการณ์ (Chain Of Event) จึงทำให้มีน้ำหนักในการเก็บบันทึกเพียงพอแล้วสำหรับงานสืบสวนสอบหาผู้กระทำความผิดที่เกี่ยวข้องกับ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ โดยสามารถจัดเก็บตามลักษณะ ใคร (who), ทำอะไร (what) , ที่ไหน (where) , เวลาใด (when) , และอย่างไร (why/how) ได้อย่างละเอียด โดยไม่จำเป็นต้องใช้เนื้อที่การเก็บบันทึกข้อมูลจำนวนมาก

อุปกรณ์ SRAN นำปัญหาเรื่อง ราคา (Cost) การติดตั้ง (Implement) และ เนื้อที่การเก็บบันทึก (Storage) มาแก้ไขและหาทางออกให้ โดยราคา SRAN เสร็จสิ้นในอุปกรณ์เดียว ไม่คิดค่าใช้จ่ายเพิ่มเติม การติดตั้ง ใช้เวลาติดตั้งไม่เกิน 1 นาที เห็นผล พร้อมรายงานผลให้ผู้ดูแลระบบรับทราบ ไม่ต้องนั่งปรับแต่งเพิ่มเติม การเก็บบันทึกใช้เนื้อที่น้อย และสามารถเก็บบันทึกเกิน 90 วัน ตามหลักการเก็บบันทึกข้อมูลจราจร

นอกจากจะนำปัญหาทั้ง 3 มาแก้ไขแล้ว ยังเพิ่มความสะดวกให้กับผู้ดูแลระบบ พนักงานเจ้าหน้าที่ ตำรวจ หรือผู้บริหารองค์กร ด้วยการแสดงผลที่เข้าใจง่าย สามารถรู้ข้อมูลได้แม้ไม่ใช่ผู้เขี่ยวชาญ โดยประมวลผลผ่าน Web Base (HTTPS) มีรายงานตามมาตรฐานระบบตรวจจับผู้บุกรุก และรายงานผลเปรียบเทียบมาตรฐาน ตาม ISO 27001 รวมถึง มาตรา 5 – 11 ของ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ จึงทำให้ผู้ดูแลระบบ สามารถทราบภัยคุกคามที่อาจเกิดขึ้นก่อนที่ภัยคุกคามนั้นจะมาถึงองค์กร พร้อมวิธีการแก้ไข (Incident Response) ได้ทันท่วงที

สุดท้ายอุปกรณ์ SRAN สามารถเก็บบันทึกข้อมูลจราจรได้มากกว่า 90 วัน โดยมีหน้าจอแสดงผล ที่ดูแล้วเข้าใจง่ายพร้อมทั้งการทำ Data Hashing เพื่อสามารถนำ Log ที่เกิดขึ้นไปยืนยันในชั้นศาลได้อีกด้วย

เมื่อทราบถึงคุณสมบัติต่างๆ บนตัวอุปกรณ์ SRAN แล้วจึงทำให้หลายคนที่คิดจะหาอุปกรณ์เก็บ Log ต้องหันไปพิจารณามากขึ้นถึงเรื่องราคาที่บานปลายจากการติดตั้ง จาก License software จากการเปรียบเทียบมาตรฐาน (Compliance) การอ่าน Log ในรูปแบบต่างอุปกรณ์กันซึ่งยากต่อการติดตั้ง การส่ง Log หลายๆ อุปกรณ์ บนเครือข่าย การตรวจดูพฤติกรรมการใช้งานของ User ในองค์กร การยืนยันว่า Log ที่เก็บบันทึกไม่สามารถแก้ไขได้ รวมๆ แล้ว SRAN ขจัดปัญหา และครบเครื่องอยู่ในอุปกรณ์เดียว ไม่ต้องทำอะไรเพิ่มเติม และมีประโยชน์แก่พนักงานเจ้าหน้าที่ ตำรวจ และผู้ดูแลระบบในองค์กร ที่กล่าวมาทั้งหมดจะทำให้ทราบว่าการลงทุนด้าน IT ไม่มีวันสิ้นสุด แต่เราพอเพียงได้หากใช้อุปกรณ์ “SRAN”

รูปอุปกรณ์ SRAN Security Center

รายละเอียดเพิ่มเติม อ่านได้ที่ http://www.gbtech.co.th/th/product/usm

การใช้อุปกรณ์ SRAN Security Center อย่างถูกต้อง http://www.sran.net/archives/101

กรณีศึกษาการวิเคราะห์ Log เพื่อสืบหาผู้กระทำผิด พ.ร.บ คอมพ์ฯ ตอนที่ 1

กรณีศึกษาการวิเคราะห์ Log เพื่อสืบหาผู้กระทำผิด พ.ร.บ คอมพ์ฯ ตอนที่ 2

การแก้ไขปัญหาอุปกรณ์ SRAN ในรูปแบบต่างๆ

เป็นเหตุการณ์ที่เกิดขึ้นจากลูกค้าที่ใช้อุปกรณ์ SRAN จึงขอนำมาเป็นบทวิเคราะห์ เพื่อเป็นกรณีศึกษาต่อไป

ทางบริษัทได้ติดตั้งอุปกรณ์ SRAN มาใช้เป็นระยะหนึ่งแล้ว พบเหตุการณ์ดังนี้

“รบกวนช่วยตรวจสอบให้ด้วย ว่าทำไมอยู่ดีๆ จึงมีข้อความจาก msn ส่งมาให้ว่า “http://aun_117.very.c0o0lthing.info”
จากคนที่เราไม่ได้ chat ด้วย และเจ้าของ user ก็ไม่ได้ส่งมา”

รูปที่ 1 อุปกรณ์ SRAN Security Center ที่ติดตั้งใน Site ลูกค้าที่ติดต่อเรื่องนี้มาซึ่งเป็นอุปกรณ์ในรุ่นเล็ก SR-S

เมื่อทีมงาน SRAN ได้เข้าไปดู Log จากอุปกรณ์ ซึ่งสามารถดูผ่าน HTTPS ได้ จึงพบว่า
ในกรณีที่ว่าเกิดขึ้นกับ MSN User ตาม Payload ที่โชว์ใน RAW Data บนอุปกรณ์ SRAN อาจมีความเสี่ยงที่ติด Malware ที่มากับเว็บไซด์ http://very.c0o0lthing.info/ ซึ่งเป็นการหลอกถาม Password ของ MSN ที่ตนเองใช้อยู่ ทำให้ msn ส่งข้อความมาตาม contact list ให้หลอกไปเข้าเว็บ http://very.c0o0lthing.info/ เพื่อที่ขยายโปรแกรม Malware ต่อไป
เป็นปัญหา MSN Malware ทั่วไปที่เจอในขณะนี้

จึงขอนำ Data Payload มาไว้ในการวิเคราะห์ดังนี้

รูปที่ 2 เป็นหน้าจอในการวิเคราะห์ข้อมูลบนตัวอุปกรณ์ SRAN ส่วนบนสุดพบว่าเหตุการณ์การสนทนา MSN (Chat MSN Signature) ซึ่งอยู่ในหมวดหมู Policy Violation เป็นค่าตั้งต้นที่สามารถปรับแต่งได้ ซึ่งในที่นี้การเล่น MSN ในองค์กรเป็นเรื่องที่ทางผู้ดูแลระบบดูแล และออกกฏ (Policy) ห้ามเล่นในเวลาทำงาน

จากรูปที่ 2 เราพบว่าเครื่องลูกข่าย และเครื่องปลายทางติดต่อ

ตามห่วงโซ่เหตุการณ์ (Chain of Event) นั้นคือ Who

IP : 192.168.0.135 ที่ Port 57782 กำลังติดต่อไปที่ MSN Server ที่ IP 207.46.27.168 ที่ Port 1863

และ When คือเวลาที่แสดงพบเหตุการณ์นี้ ในวันที่ 30 เดือน เมษายน ปี 2551 เวลา 12:08

และ Why (How) เป็นการใช้งาน MSN เพื่อสนทนา ดูจาก Chat MSN Signature

รูปที่ 3 เป็นค่า Payload ซึ่งจะทำให้รู้ลักษณะการใช้งาน ตามห่วงโซ่เหตุการณ์ (Chain of Event) นั้นคือค่า What ทำให้เราทราบลักษณะการใช้งาน มี Massage จาก User MSN ให้เปิด URL ที่มี Malware ฝั่งอยู่

ภัยคุกคามสมัยใหม่ มักจะเล่นงานที่ User เป็นหลัก จึงควรพิจารณาให้ดีก่อนจะรับ files  ใดๆ หรือ Link URL ใดจากบุคคลอื่น แม้กระทั้งเพื่อนที่เรารู้จัก

ข้อมูลที่เกี่ยวข้อง

ข้อมูลเพิ่มเติม การใช้ SRAN Security Center อย่างถูกต้อง

ความหมายของ Malware

“Malware คือความไม่ปกติทางโปรแกรมมิ่ง ที่สูญเสีย C (Confidentiality) I (Integrity) และ A (Availability) อย่างใดอย่างหนึ่ง หรือ ทั้งหมด จนทำให้เกิดเป็น Virus , Worm , Trojan , Spyware , Backdoor และ Rootkit”

ความหมายของ IM (Instant Messaging)

http://en.wikipedia.org/wiki/Instant_messaging