SRAN Security Center ทุกรุ่นเหมาะกับการให้บริการ MSSP (Management Security Services Provider) หรือจัดทำเป็นอุปกรณ์เฝ้าระวังภัยคุกคามและเก็บบันทึกพฤติกรรมการใช้งานอินเตอร์เน็ตในองค์กร
จุดเด่นที่อุปกรณ์ มากกว่าการเก็บ Log เพียงอย่างเดียวคือ
1. SRAN Security Center สามารถแยกแยะภัยคุกคามที่มีความเสี่ยงภัยตามมาตราต่างๆ จากพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ที่แปลความหมายทางเทคนิคได้ ซึ่งจะทำให้รู้ทันปัญหาและภัยคุกคามที่อาจเกิดความเสี่ยงขึ้นภายในองค์กร หรือภายในระบบเครือข่ายที่ใช้งานอุปกรณ์ SRAN
2. SRAN Security Center สามารถเฝ้าสังเกตพฤติกรรมการใช้งาน User ภายในองค์กร พร้อมจัดทำเป็นรายงานผลลักษณะการใช้งานจาก Application Protocol ที่สำคัญและมีใช้งานมาก เช่น Web , Mail , Chat , FTP , Telnet , Remote Access (VNC, VPN, Remote Desktop) , User Authentication ตาม Application (IM , Domain Controller , Radius , VoIP และอื่นๆ)
3. ทำให้ทราบถึงการใช้งาน Bandwidth ภายในและภายนอกองค์กร ที่มีการติดต่อสื่อสารกัน และแยกแยะการใช้งานตาม Application Protocol ซึ่งจะทำนายได้ว่ามีการใช้งานเกินเหตุผลที่ตั้งเป้าไว้ เช่น การเพิ่ม Bandwidth ที่ไม่จำเป็นซึ่งจะช่วยลดค่าใช้จ่ายได้ในระยะยาว
4. หากมีการติดตั้งตาม Node ต่างๆในระบบเครือข่ายหรือตามสาขาต่างๆ ตามคณะต่างๆ จะทำให้สร้างเป็นเครือข่ายจิตพิสัย (Network Awareness) ซึ่งจะประเมินลักษณะการใช้งานรวมถึงเฝ้าระวังภัยคุกคามที่อาจเกิดขึ้น หลัง ค่า NAT พร้อมทั้งประเมินความเสี่ยงระบบเครือข่ายได้อีกด้วย
5. จัดเก็บบันทึกข้อมูลที่สามารถค้นหาหลักฐานทางข้อมูลได้สะดวกขึ้น Log ที่เก็บบันทึกมีการตรวจสอบความถูกต้อง และการยืนยันการไม่เปลี่ยนแปลงของข้อมูล และถูกออกแบบมาเพื่อรองรับนโยบายการเก็บ Log โดยระบุสิทธิ ของ Data Owner ได้
จุดเด่นสำคัญความเสี่ยงภายในองค์กร การก่อการร้าย การหมิ่นประมาท การโจมตี ภัยคุกคามต่างๆ ที่อาจมีผลตามฐานความผิดมาตราต่างๆ มักเกิดจาก User ในองค์กรนั้น User ที่ใช้บริการร้านอินเตอร์เน็ต , User นิสิตนักเรียนนักศึกษา ที่อยู่สถาบัน , User พนักงานบริษัท , User ผู้ใช้งานตามบ้าน หากนำ Log User มาเพื่อเก็บดูพฤติกรรมการใช้งานตาม Application Protocol ที่สำคัญคงเป็นไปได้ยากและต้องใช้เนื้อที่ Storages จำนวนมาก หลักการณ์อุปกรณ์ SRAN Security Center จึงช่วยให้เรื่องเหล่านี้เป็นเรื่องที่สะดวกและใช้งานแบบไม่กระทบกับระบบเครือข่ายเดิมที่ออกแบบไว้ได้
การระบุสิทธิ Data Owner
Data Owner คือผู้มีอำนาจในการเก็บรักษาข้อมูลหลักฐานทางคอมพิวเตอร์ โดยปกติ มักเป็นผู้มีอำนาจสูงสุดในองค์กร และจะแต่งตั้ง Data Custody เพื่อเป็นผู้เก็บรักษาข้อมูลทางอิเล็กทรอนิกส์
ดังนั้น Data Custody มักเป็น CSO (Chief Security Officer) ในองค์กรเพื่อมีหน้าที่เข้าถึง Log files ที่มีการเก็บบันทึกได้ หากมีการมอบอำนาจหน้าที่ให้บุคคลอื่นก็ต้องทำเอกสารที่เป็นทางการให้กับผู้ดูแลระบบ (Admin) รับทราบ
การเข้าดู Log files ได้นั้นจะเป็นนโยบายในองค์กร ไม่ควรใช้เทคโนโลยีเป็นตัวชี้ชะตาทั้งหมด เพื่อเป็นการไม่ให้ข้อมูลนั้นถูกแก้ไขและทำการเปลี่ยนแปลงไปจากความเป็นจริง
อุปกรณ์ SRAN Security Center ได้ถูกออกแบบมาเพื่อรองรับนโยบายการเก็บรักษาความปลอดภัยข้อมูลที่เก็บบันทึก โดยมีการตั้งระดับค่า User ที่เข้าถึงข้อมูล Log Files เป็นชั้น
ชั้นที่ 1 สำหรับ ผู้ดูแลระบบ และ ผู้ตรวจสอบระบบ (Auditor) ชั้นนี้จะสามารถดู Log ได้อย่างเดียว ไม่สามารถบริหารจัดการ Log ด้วยวิธีอื่นๆได้
ชั้นที่ 2 สำหรับ Data Custody ผู้รับมอบอำนาจในการเก็บรักษาข้อมูล ซึ่งจะเป็นผู้ที่เข้าถึง Log และสามารถบริหารจัดการ Log ด้วยวิธีการต่างๆได้ เช่น Upload ข้อมูล Log เข้าสู่ระบบ Storages หรือถ่ายโอนข้อมูลเข้าแผ่น CD ในการ Backup ข้อมูลเป็นต้น
สำหรับกรณีเจ้าหน้าที่พนักงาน สามารถนำ Log files จาก Data Custody ที่องค์กรกำหนดเพื่อนำ Log มา Forensics ได้ต่อไป
หากต้องการทำ MSSP ทั้งเป็นแบบที่
1. แบบที่ Out Sourcing โดยผู้ให้บริการคือ Data Custody แทน ผู้ให้บริการคือบริษัทที่ให้บริการ MSSP สามารถระบุค่าที่อุปกรณ์ SRAN ได้โดยตั้งค่าเป็นระดับชั้นที่ 2 คือเป็นผู้ที่บริหารจัดการกับค่า Log files ที่ปรากฏขึ้นเพื่อเก็บรักษา Log ให้กับลูกค้าที่ใช้บริการได้ สามารถสืบค้น วัน เวลา ที่ต้องการได้อย่างสะดวกมากขึ้น
2. แบบที่ In Sourcing โดยบริหารจัดการภายในองค์กรเอง โดยผู้ดูแลระบบคือส่วนงาน IS (Information Security) ที่มี Data Custody เป็นผู้บริหารจัดการ Log files เป็นต้น
หน้าจอระดับชั้น User ที่เข้าถึงการบริหารจัดการค่า Log files
Log files ที่เกิดขึ้นในแต่ละวันมีการตรวจสอบความถูกต้องผ่าน Algorithm MD5 ผู้เข้าถึงหน้านี้ได้ ควรเป็น Data Custody ในองค์กรและหากมีเจ้าหน้าที่พนักงาน หรือ ผู้ตรวจสอบภายในและผู้ตรวจสอบภายนอกในองค์กร ขอข้อมูล Log ต้องติดต่อที่ Data Custody ที่ถูกแต่งตั้งแล้วจาก Data Owner องค์กรนั้น
จะเห็นได้ว่าการเก็บบันทึก Log files เพื่อยืนยันการไม่เปลี่ยนแปลงของเนื้อหานั้น ต้องใช้นโยบายภายในองค์กรมาเกี่ยวข้องมากกว่าใช้เทคโนโลยีมาจัดเก็บเพียงอย่างเดียว เนื่องจากหากมีใช้เทคโนโลยีดำเนินการโดยลำพังแล้ง อาจเกิดช่องโหว่ และทำให้ Log ที่พบนั้นขาดความน่าเชื่อถือได้ กรณีเช่น การใช้เทคโนโลยีทำการโยนค่า Log อัตโนมัติ ผ่าน Protocol FTP ต้องถูกตรวจสอบได้ว่าการ FTP ผ่านนั้นจะไม่มีผู้ใดดักข้อมูลโดยมิชอบ เพื่อดู User / Password หรือ Hijack ค่าเพื่อเปลี่ยนแปลง Log files ได้เป็นต้น
องค์ประกอบด้านความปลอดภัยข้อมูลในองค์กร ต้องเดินไปพร้อมกัน 3 ส่วน คือ นโยบาย คน และเทคโนโลยี
ต้องให้นโยบายควบคุมคนและคนควบคุมเทคโนโลยี ส่วนเทคโนโลยีเป็นส่วนช่วยอำนวยความสะดวกหากหวังพึ่งเทคโนโลยีไม่มีคนไม่นโยบายที่ดีพอ ก็เกิดช่องโหว่ภายในองค์กร พูดง่ายๆว่า ทั้ง 3 ส่วนต้องเดินไปพร้อมกัน หากเดินไม่พร้อมกันองค์กรนั้นจะพบช่องโหว่และความเสี่ยงที่อาจเกิดภัยคุกคามได้ทุกเวลา
