SRAN Technology

Zombie ที่กล่าวถึงนี้ คือ ซอฟต์แวร์ผีดิบที่ฝังในเครื่องคอมพิวเตอร์ของเราๆ ท่านๆ โดยไม่รู้ตัวและเป็นหนึ่งตัวอย่างที่อุปกรณ์ SRAN Security Center  สามารถวิเคราะห์และจับเหตุการณ์เครื่องคอมพิวเตอร์ที่เป็นซอฟต์แวร์ผีดิบนี้ได้  อาจกล่าวได้ว่า SRAN เป็นมากกว่าอุปกรณ์เก็บ Log ก็เพราะ SRAN บอกสาเหตุของภัยคุกคามที่อาจเกิดขึ้นได้ในองค์กรพร้อมทั้งแปลเนื้อหา Log ที่อ่านเข้าใจยาก ให้สามารถอ่านเข้าใจง่ายขึ้นโดยยึดหลัก Chain of event หรือเรียกว่า ห่วงโซ่เหตุการณ์ ว่า ใคร ทำอะไร ที่ไหน เวลาใด และอย่างไร

ซอฟต์แวร์ที่ติดตั้งไปในตัว Zombie ประกอบด้วย
- เครื่องมือโจมตีระบบ สามารถส่ง DoS (Denial of Services) , Remote Hacking โดยใช้ Robot ในการยิงค่า Exploit เพื่อยึดเครื่องคอมพิวเตอร์
- เครื่องมือดักจับข้อมูล เช่น Keylogger ซึ่งในบ้านเราเป็นข่าวอยู่บ่อยๆ สำหรับเรื่อง Keylogger
- เครื่องมือส่งข้อมูลไม่พึ่งประสงค์ เช่น ส่ง Spam mail ส่ง virus / worm ที่แนบมากับ files ผ่านการเชื่อมต่ออินเตอร์เน็ตใน Application Protocol ต่างๆ เช่น Mail , Chat , P2P เป็นต้น
ซึ่งหากมี Zombie หลายๆตัวรวมตัวกัน เพื่อทำการอย่างใดอย่างหนึ่งเราจะเรียกว่า “Botnet”

ใน ขณะนี้เท่าที่ติดตั้งและสังเกตการผ่านอุปกรณ์ SRAN ใน Site ที่ทำการทดสอบระบบพบว่ามีเครื่องคอมพิวเตอร์ในเมืองไทย มีการติด Zombie จำนวนมาก
จึงขอนำเสนอวิธีสังเกตการติด Zombie จากอุปกรณ์ SRAN Security Center เพื่อให้เห็นหน้าตาของภัยคุกคามนี้

เมื่อวิเคราะห์ดู Virus Zlob User Agent ที่ติดในเครื่องคอมพิวเตอร์ภายในองค์กร พบว่า

เป็นการส่งค่าออกไปนอกองค์กร ไปทำการ GET File ชื่อ db.zip ผ่าน Web ชื่อ onsafepro2008

Chain of evnet จากกรณีศึกษานี้คือ

ใคร คือ IP ต้นทาง IP ปลายทาง Port ต้นทาง และ Port ปลายทาง

ทำอะไร คือ มีลักษณะเป็น Get File ผ่าน HTTP Protocol

ที่ไหน  คือ Domain URL onsafepro2008

เวลาใด คือ  ช่วงเวลา 05:23 ของวันที่ 23/07/51

อย่างไร คือ มีลักษณะการใช้งานที่ผิดปกติและมีความเสี่ยงภัยคุกคาม ซึ่งอาจเป็น zombie ที่ติดไวรัสที่ชื่อว่า Zlob User Agent

หากเก็บเพียง Log อย่างเดียวแต่ไม่สามารถรู้ทันปัญหา รู้ทันเหตุการณ์ ก็จะทำให้ลำบากในการบริหารจัดการด้านระบบสารสนเทศในองค์กรนี้ได้

รายละเอียดอ่านเพิ่มเติมได้ที่ http://nontawattalk.blogspot.com/2008/07/zombie.html

จุดประสงค์ ที่จัดทำเครือข่ายตื่นรู้ โดยใช้ SRAN Appliance

1.เพื่อเป็นสูตรสำเร็จในการติดตั้งอุปกรณ์ระบบเครือข่ายให้มีความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ โดยลดความซับซ้อนในการออกแบบและติดตั้งระบบเครือข่ายให้มีจำนวนน้อยที่สุดแต่ปลอดภัยและบริหารจัดการง่ายที่สุด

2. ระบุตัวตนผู้ใช้งานได้ อย่างถูกต้อง อีกทั้งผู้ที่ใช้งานอินเตอร์เน็ตยังสามารถรับรู้นโยบาย (Policy) ที่ประกาศใช้เพื่อความถูกต้องและป้องกันภัยคุกคามที่อาจเกิดขึ้นได้ในอนาคต

3. ระบุภัยคุกคามเหตุการณ์ที่อาจมีความเสี่ยงตามมาตราต่างๆ ที่กำหนดขึ้นจากพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ได้

4. สามารถสืบค้นหาผู้กระทำความผิด สถิติการใช้งานระบบสารสนเทศ ระบบอินเตอร์เน็ต และจัดเก็บบันทึกเป็นข้อมูลที่สามารถสืบค้นได้อย่างสะดวก

5. ประเมินพฤติกรรมการใช้งานอินเตอร์เน็ตภายในองค์กร (Network Awareness) เพื่อจัดทำการประเมินพนักงานสำหรับงานทรัพยากรบุคคลได้

6. คุ้มค่าการลงทุน และปลอดภัยกว่า (Lower Cost More Secure)

SRAN Energetic Network แบบที่ 1

เหมาะสำหรับองค์กรขนาดเล็ก และขนาดกลาง ที่ยังไม่มีระบบป้องกันภัยคุกคามภายในองค์กร และยังขาดนโยบายควบคุมบุคคลากรในองค์กร

อุปกรณ์ที่ติดตั้งประกอบด้วย

1. SRANwall Appliance เป็นอุปกรณ์ที่มีหน้าที่สำหรับระบุตัวตนผู้ใช้งานอินเตอร์เน็ต (Authentication Gateway) คุณสมบัติสำหรับผู้ต้องการใช้งานอินเตอร์เน็ตในองค์กรจะต้องผ่าน Web Authentication เพื่อระบุชื่อ และรหัสผ่านก่อนเข้าสู่ระบบ ซึ่งสามารถระบุได้ดังนี้

1.1 IP/MAC , Username สามารถเรียกตามฐานข้อมูล LDAP , Radius Server ได้

1.2 เป็นระบบ Security Gateway โดยมีคุณสมบัติเป็น Network Firewall สามารถทำ NAT / PAT และกำหนด Rule Base ได้

1.3 เป็น DHCP Server

1.4 เป็นระบบ Security Remote Access (VPN)

1.5 Network Bandwidth Shaping ควบคุมบริหารจัดการทรัพยากรข้อมูลให้ใช้อย่างจำกัดและเหมาะสม

1.6 มีระบบกรอกข้อมูล เพื่อยืนยันการใช้งาน และยอมรับข้อตกลงนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ

ซึ่งในนโยบายที่ประกาศนั้นจะต้องตอบยอมรับทุกครั้ง เมื่อมีการใช้งานอินเตอร์เน็ต โดยแบ่งกลุ่มได้ 5 หัวข้อดังนี้

หวมดที่ 1 : บททั่วไป

หมวดที่ 2 : การใช้งานคอมพิวเตอร์

หมวดที่ 3 : การใช้งานระบบเทคโนโลยีสารสนเทศ

หมวดที่ 4 : การป้องกันและรักษาความมั่นคงปลอดภัยในการใช้ระบบเทคโนโลยีสารสนเทศ

หมวดที่ 5 : การเผยแพร่ข้อมูลผ่านระบบเทคโนโลยีสารสนเทศ

รูปที่ 1 จะแสดงเป็นหน้าต่างใหม่เวลาใช้เครื่องคอมพิวเตอร์ภายในองค์กร จะทำการเชื่อมต่ออินเตอร์เน็ต (คลิกที่รูปเพื่อดูภาพขยาย)

หากไม่ยอมรับในนโยบายขององค์กร จะไม่สามารถใช้งานอินเตอร์เน็ตได้ แต่หากยอมรับข้อตกลงตามนโยบายที่บริษัทได้ประกาศ

รูปที่ 2 จะแสดงการใส่ User / Password เพื่อบันทึกการยอมรับต่อนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลในองค์กร หาก Login ไม่ถูกต้องก็จะย้อนกลับมาหน้าแรกอีกครั้ง

2. SRAN Security Center เป็นอุปกรณ์ที่เก็บบันทึกข้อมูลจราจร (Data Traffic) ทั้งการใช้งานปกติที่เกิดขึ้นจากการใช้งานอินเตอร์เน็ต เช่น Web , Mail , Chat , Upload / Download , Telnet , FTP , P2p , VoIP เป็นต้น

และคอยเฝ้าสังเกตการพฤติกรรมอันไม่พึ่งประสงค์ เช่น การบุกรุกระบบ การโจมตีระบบ การเข้าถึงระบบโดยมิชอบ การแพร่กระจายไวรัสคอมพิวเตอร์ (Virus, Worm, Spyware , Trojan , Backdoor เป็นต้น) ข้อมูลอันไม่พึ่งประสงค์ เช่น การเล่นเว็บไม่เหมาะสม , อีเมลล์ขยะ (Spam) , การดักจับข้อมูลโดยมิชอบ (Sniffer) เป็นต้น

และทำการรับค่า Syslog User สำหรับ Authentication ที่ยอมรับกฏระเบียบตามนโยบายที่ประกาศไว้

เป็นอุปกรณ์ที่ทำหน้า

2.1 เฝ้าระวัง ภัยคุกคามจากภายในองค์กร และภายนอกองค์กร เพื่อดูพฤติกรรมการใช้งานที่ไม่เหมาะสมและเสี่ยงต่อความมั่นคงทางข้อมูล

2.2 วิเคราะห์ ข้อมูลดิบที่เกิดขึ้นจากการใช้งานอินเตอร์เน็ตแปลงเป็นข้อมูลที่สามารถอ่านเข้าใจง่าย และใช้สำหรับการสืบสวนสอบสวนหาผู้กระทำความผิดได้

วิเคราะห์ระดับการใช้งาน Bandwidth , Protocol และพฤติกรรมการใช้งาน User ภายในองค์กรเพื่อประเมินความเสี่ยงและจัดจิตพิสัยรวมถึงประเมินด้านทรัพยากรบุคคลได้

2.3 เก็บบันทึกข้อมูลจราจร ทั้งที่เป็น Network Flow , NIDS/IPS Log และ Syslog จาก Authentication Gateway (สำหรับเครือข่ายใดที่มี Domain Controller และ DHCP Server ให้ส่งค่า syslog มาที่อุปกรณ์ SRAN เพื่อทำการเก็บบันทึกการ Login / Logoff สำหรับการใช้งานระบบสารสนเทศในองค์กรเป็นต้น)

รูปที่ 3 การรับค่า syslog จาก Authentication Gateway เพื่อระบุตัวต้นผู้ใช้งานผ่านอุปกรณ์ SRAN Security Center (คลิกที่รูปเพื่อดูภาพขยาย) จะเห็นรายชื่อ User ที่ยอมรับนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลในองค์กร ในสถานเปิดทำการ Login เพื่อใช้งานระบบสารสนเทศในองค์กร ซึ่งแสดงถึงช่วงเวลาการใช้งาน ชื่อ User ที่ยอมรับนโยบาย (Security Policy) ที่องค์กรประกาศ และ IP / MAC Address สถานะการการใช้งาน

รูปที่ 4 ค่า Log จาก DHCP Server (SRANwall) และประมวลผลผ่านอุปกรณ์ SRAN Security Center (คลิกที่รูปเพื่อดูภาพขยาย)

รูปที่ 5 การวิเคราะห์การใช้งานอินเตอร์เน็ตภายในองค์กร เพื่อจัดทำเป็นเครือข่ายจิตพิสัย (Network Awareness)

(more…)