เอกสารนี้ต้องการอธิบายการใช้อุปกรณ์ SRAN Security Center อย่างถูกวิธี เพื่อให้เกิดประโยชน์สูงสุดในการปฏิบัติงานแก่หน่วยงานที่ใช้อุปกรณ์ SRAN
สิ่งที่ไม่ควรทำ และความเข้าใจผิด
1. ไม่ควรติดตั้ง SRAN Security Center ใน Mode In-line ในเครือข่ายที่มีจำนวนเครื่องที่ใช้งานอินเตอร์เน็ตเกินกว่า 100 เครื่อง ซึ่งอาจทำให้ระบบเครือข่ายเกิดคอขวดที่ตัวอุปกรณ์ SRAN เองได้ ซึ่งการติดตั้งแบบ In-line นั้น อุปกรณ์ SRAN Security Center สามารถใช้เทคโนโลยี NIPS ได้ในตัว แต่เนื่องจากฐานข้อมูลการเรียนรู้ภัยคุกคาม ลักษณะการใช้งานที่ผิดปกติที่ SRAN รู้จักนั้นมีจำนวนมาก ดังนั้นการประมวลผลต่างๆ อาจเกิดความล่าช้าได้ในกรณีนี้
จากรูปจะเห็นว่า SRAN รู้จักประเภทของไวรัสคอมพิวเตอร์ หนอนคอมพิวเตอร์ สปายแวร์ เป็นจำนวน 325,578 ชนิด และมีการอัพเดทฐานข้อมูลนี้ทุกวัน โดยอิงจาก Clamav ซึ่งทาง SRAN เป็น Mirror Site กับทาง Clamav อยู่ดังนั้นการอัพเดทฐานข้อมูลนี้จะมีความไวมากกว่าวิ่งไปอัพเดทจากต่างประเทศ ทำให้เปลือง Bandwidth น้อยลงอีกด้วย ส่วนฐานข้อมูลภัยคุกคาม เช่น การบุกรุกชนิดต่างๆ อุปกรณ์ SRAN มีมากถึง 12,333 ชนิด และมีการอัพเดทอย่างต่อเนื่อง จากแหล่ง snort , honeynet และที่ community นอกเหนือจากฐานข้อมูลดังกล่าวเทคโนโลยี SRAN ยังมีระบบเรียนรู้เองจากค่า Preprocessor ที่จัดทำขึ้นโดยเฉพาะ สามารถทราบได้ถึงภัยคุกคามที่กำลังโจมตีเว็บไซด์ ในรูปแบบที่อยู่ในระดับ Content (Application Protocol) จนถึงระดับล่างใน Layer 2 ทำให้ทราบถึงลักษณะที่มีคนในองค์กรใช้อุปกรณ์การดักฟังทางข้อมูล (sniffer) ได้อีกด้วย
2. SRAN Security Center เหมาะกับการออกรายงานผลให้ผู้บริหารองค์กร และผู้ดูแลระบบได้ทราบถึงปัญหาระบบเครือข่าย เพื่อใช้ในการวิเคราะห์หาปัญหา สาเหตุภัยคุกคาม รวมถึงสถิติการใช้งานระบบสารสนเทศในองค์กร อีกทั้งหลักฐานที่บันทึกในอุปกรณ์ SRAN สามารถใช้ยืนยันในชั้นศาลได้ ทั้งนี้อุปกรณ์ SRAN ไม่ได้ถูกออกแบบขึ้นเพื่อป้องกันภัยคุกคามเพียงอย่างเดียว แต่ยังช่วยให้ทราบถึงภัยคุกคาม และรู้ทันสถานการณ์ เก็บบันทึกเหตุการณ์พร้อมออกรายงานผล จึงไม่ควรคาดหวังว่ามีอุปกรณ์ SRAN แล้วจะป้องกันภัยคุกคามได้ทั้งหมด หรือมองว่า SRAN เป็นอุปกรณ์ IPS หรือ Firewall โดยเฉพาะ เพราะไม่มีเครือข่ายใดปลอดภัย 100% แต่ SRAN จะช่วยให้รู้เท่าทันปัญหา/ภัยคุกคาม ก่อนที่จะเกิดขึ้นและส่งผลกระทบต่อเครือข่าย/องค์กร
3. มีความเข้าใจผิดว่าอุปกรณ์ SRAN มีเพียงฐานข้อมูลเฉพาะการโจมตี ไวรัส อีเมลขยะ หรือการบุกรุกผ่าน Web Application และอื่นๆ อันที่จริง ฐานข้อมูลส่วนหนึ่งของ SRAN ยังสามารถพบลักษณะการใช้งานอื่นๆ เช่น ลักษณะการใช้งาน IM การใช้สนทนา ได้แก่ MSN , Yahoo ,ICQ ,Gtalk , IRC เป็นต้น ลักษณะการใช้งานเปิดเว็บ และโพสเว็บ ลักษณะการใช้งานอีเมล์ ที่เป็น SMTP Mail Server , IMAP , POP3 , Lotus Notes หรือที่ผ่าน S-POP3 , S-IMAP ได้อีกด้วย ลักษณะการ Remote Access อุปกรณ์ SRAN และชนิดการ Remote Access ไม่ว่าจะเป็น VPN , VNC , Remote Destop , FTP , Telnet และอื่นๆ
4. ไม่ควรเปรียบเทียบ SRAN กับสินค้าแบรนด์อื่น ด้วยคุณสมบัติทางเทคโนโลยี เพราะใช้เทคนิคแตกต่างกัน แต่ให้ดูประโยชน์ที่ได้รับจากการใช้งาน และผลลัพธ์จากการนำหลักฐานจาก SRAN ไปใช้ในการสืบสวนสอบสวนสำหรับพนักงานเจ้าหน้าที่ หรือเจ้าหน้าที่ตำรวจ ซึ่งช่วยในการหาผู้กระทำความผิดและหลักฐานได้สะดวกยิ่งขึ้น ปัญหาจะได้ไม่ตกอยู่ที่ผู้บริหารขององค์กรนั้น
5. Log ที่ปรากฏ ในอุปกรณ์ SRAN จะเก็บบันทึกอยู่ที่เมนู Data Archive ซึ่งมีทั้งระบบ syslog (Raw Data) และ Mysql ทั้งสองส่วนจะมีการ checksum ค่า Log ในแต่ละวันและมีการเก็บบันทึกไว้ในค่า MD5 ซึ่งในทางปฏิบัติควร Upload ค่านี้และทำการ Backup ลงเทป หรือไรท์ลงแผ่น CD เพื่อเก็บไว้เป็นหลักฐาน ไม่ควรใช้ระบบอัตโนมัติ เช่น FTP ส่งค่าผ่านทางระบบเครือข่าย เพราะอาจมีผู้ไม่หวังดีดักข้อมูลกลางทาง แก้ไขเนื้อหา Log และลบค่า MD5 ไปได้ ซึ่งองค์กรต้องมีนโยบายด้าน IT Securtiy เข้ามารองรับในส่วนนี้
6. Log ที่ทำการเปรียบเทียบตามมาตรา (Correlation) จากมาตรา 5 ถึง มาตรา 11 เป็นผลจากการวิเคราะห์และประเมินความเสี่ยงจากอุปกรณ์ SRAN ซึ่งเป็นเพียงการประเมินก่อนที่เหตุการณ์จะเกิดขึ้นจริง หรือมีคนฟ้องร้องขึ้น จะได้แก้ไขสถานการณ์ได้ถูกต้องและไม่ผิดพลาดในอนาคต มิใช่หมายถึงจะมีความผิดตามมาตราดังกล่าวจริง จึงควรให้ผู้ดูแลวิเคราะห์ Log ที่ปรากฏขึ้นเสียก่อน
รูป รายงานผลการประเมินความเสี่ยงตามมาตราต่างๆ ที่พบจากอุปกรณ์ SRAN Security Center
สิ่งที่ควรทำ
1. ควรใช้ SRAN Security Center ในรุ่นที่เหมาะสมกับเครือข่าย ซึ่งสามารถอ่านได้ที่ http://www.gbtech.co.th/th/product/usm
เพราะการใช้อุปกรณ์ SRAN Security Center ในรุ่นที่ไม่เหมาะสมกับระบบเครือข่าย อาจทำให้ใช้งานได้ไม่เต็มประสิทธิภาพ สำหรับเครือข่ายที่มีเครื่องมากกว่า 100 เครื่องในการติดต่ออินเตอร์เน็ต ควรติดตั้ง SRAN ใน Mode Passive Mode หรือ Transparent Mode เพื่อไม่ให้เกิดขอควดที่อุปกรณ์ หากอุปกรณ์ Switch ไม่สามารถ Mirror Port มาได้ ให้ดูการติดตั้งแบบ Transparent ได้ที่ http://www.sran.net/archives/150
2. SRAN Security Center ควรมีผู้ดูแล หรือมีผู้ควบคุมอุปกรณ์นี้ โดยจัดทำเป็นศูนย์ปฏิบัติการเฝ้าระวังภัย (Security Operation Center : SOC) ผ่านอุปกรณ์ SRAN เนื่องจากรายงานผล และ Log ที่ปรากฏในอุปกรณ์ SRAN มีความละเอียดในการสืบหาข้อมูลการใช้งานระบบสารสนเทศในองค์กร จึงมีความสะดวกสำหรับงาน Forensics หรือการพิสูจน์หลักฐานทางอิเล็คทรอนิกส์เป็นอย่างมาก
3. สำหรับมหาวิทยาลัย หรือหน่วยงานที่มีสาขา ควรติดตั้งอุปกรณ์ SRAN ตามคณะ หรือตามสาขา มิใช่ติดตั้งที่ Core Switch เพียงที่เดียว การติดตั้งตามคณะและตามสาขานั้น ยังสามารถระบุถึงภัยคุกคามเครื่องที่อยู่หลัง Gateway หรือหลัง IP NAT ได้อีกด้วย ซึ่งนอกจากจะรู้ทันสถานการณ์แล้วยังสามารถจัดทำเป็นเครือข่ายจิตพิสัย (Network Security Awareness) หรือที่เรียกว่าการให้คะแนน สำหรับแต่ละคณะ หรือสาขาได้อีกด้วย ว่ามีความตระหนักในการใช้ข้อมูลสารสนเทศเพียงใด และใช้งานเกินความต้องการขององค์กรในการจัดหา Link Internet มาใช้งานอีกหรือไม่
4. ควรใช้รายงานผลจากอุปกรณ์ SRAN สำหรับงานบริหารทรัพยากรบุคคล เพื่อให้ผู้บริหารองค์กรทราบถึงพฤติกรรมการใช้งานของบุคลากรในองค์กร การใช้งานที่ไม่เหมาะสม การใช้งานอันไม่เป็นประโยชน์สำหรับค่าใช้จ่ายอินเตอร์เน็ตในองค์กร หรือการขโมยข้อมูลองค์กรส่งออกไปภายนอก เนื่องจาก Log ที่อุปกรณ์ SRAN บันทึกไว้สามารถสืบหาลักษณะการใช้งานตาม User / IP / MAC Addess ได้ จึงควรใช้ประโยชน์จากอุปกรณ์ SRAN ในส่วนนี้
5. การใช้งาน SRAN Security Center ในรุ่น Hybrid ควรใช้เพื่อการรองรับ syslog จากอุปกรณ์สำคัญในองค์กร ได้แก่ Syslog จาก Domain Controller หรือ DHCP Server เท่านั้น ไม่ควรยิง syslog จากอุปกรณ์เครือข่ายอื่น เช่น Firewall , IPS , Proxy ซึ่งอุปกรณ์เหล่านี้ SRAN สามารถตรวจลักษณะการใช้งานด้วยเทคโนโลยีบนเครื่อง SRAN ได้สมบูรณ์อยู่แล้ว
6. Log ที่ปรากฏในอุปกรณ์ SRAN พอเพียงสำหรับมาตรา 26 ของ พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และรู้ว่าใคร ทำอะไร ที่ไหน เมื่อใด และอย่างไร แต่สำหรับเรื่องใคร (who) ที่ใช้ในการระบุเครื่องคอมพิวเตอร์ ถึงแม้จะใช้เทคโนโลยี Hybrid บนอุปกรณ์ SRAN ที่รับ syslog จาก Domain Controller , DHCP Server ก็จะระบุชื่อ User / IP / MAC address ได้ระดับหนึ่ง ควรมีการทำ 2 Factor Authentication หรือกล้องวงจรปิด เพื่อระบุตัวตนพนักงานหรือผู้ใช้งานอีกทางหนึ่งด้วย จึงจะเป็นการระบุตัวตนได้อย่างชัดเจน หลักฐานที่พบทางกายภาพ ประกอบกับเนื้อหาหลักฐานจากอุปกรณ์ SRAN จะช่วยในการพิสูจน์หลักฐานได้มากขึ้น
