SRAN Technology

Social Network ที่มีผลกระทบกับคนไทยในช่วยนี้หนีไม่พ้น “กระแสของ Twitter” กรณีนายกรัฐมนตรีส่งข้อความอวยพรวันคล้ายวันเกิดปรากฏอยู่บนหน้า Twitter ของอดีตนายกรัฐมนตรี และมีเรื่องที่ต้องขบคิดกันถึงว่าจะรู้ได้อย่างไรใครเป็นคนโพสตัวจริง ทำให้ทางทีมงาน SRAN  จึงพยายามพัฒนา rule base เพื่อตรวจสอบ twitter ลงบนระบบของ SRAN Security Center เพื่อที่จะมองหาไอพีต้นทางที่เข้าถึงระบบ twitter ทั้งผ่านเว็บและผ่านโปรแกรมเฉพาะของ twitter เช่น TweetDeck ซึ่งการตรวจหาไอพีต้นทางดังกล่าวเกิดขึ้นบนระบบเครือข่าย ที่มีการติดตั้งอุปกรณ์ SRAN ตามจุดที่เหมาะสม (อ่านรายละเอียดการติดตั้งที่ http://www.sran.net/archives/101 )

SRAN เทคโนโลยีด้านความมั่นทางข้อมูล ของคนไทย ได้พัฒนาวิธีการตรวจลักษณะการใช้งาน Twitter

ก่อนที่จะดูวิธีการตรวจหาไอพีต้นทางที่ทำการโพสข้อมูลใน Twitter นั้นเรามาทำความรู้จักเกี่ยวกับ Twitter กันก่อน

Twitter คือระบบบริการ Social Networking และบริการ Micro-blogging ซึ่งอนุญาติให้ผู้ใช้สามารถส่งข้อความหรืออ่านข้อความที่เรียกว่า Tweets (เสียงนกร้อง) ซึ่งการส่งข้อความตัวอักษรนั้นสามารถส่งได้ไม่เกิน 140 ตัวอักษรซึ่งจะแสดงอยู่บน Profile ของเจ้าของ Blog รวมไปถึง Profile ของสมาชิกซึ่งเรียกกันว่า Followers (ผู้ติดตาม) ผู้ส่งสามารถส่งข้อความให้เฉพาะหมู่เพื่อนได้ แต่โดยค่ามาตรฐานนั้นจะอนุญาติให้ใครมาอ่านดูได้ ซึ่งผู้ใช้สามารถส่งหรือรับข้อความได้จากทาง Website Twitter , ทางการส่งข้อความ (SMS) หรือ Applications อื่นๆ โดยการส่งทาง SMS นั้นสามารถใช้ได้ฟรี โดยไม่ต้องเสียค่าบริการ
ครั้งแรกที่ Twitter เปิดตัว และพยายามอธิบายถึงวิธีใช้งานนั้นถูกเริ่มต้นจาก ‘What are you doing?’ คือเริ่มต้นใช้ Twitter ด้วยการบอกว่าคุณกำลังทำอะไร ที่ไหน อย่างไร คนที่ติดตามก็จะสามารถติดตามคุณได้ตลอดเวลา ซึ่งก็ทำให้ทุกคนที่เริ่มใช้ Twitter เริ่มต้นด้วยการตอบคำถามนี้กันหมด ซึงในความเป็นจริงแล้ว คุณไม่จำเป็นต้องคอยตอบคำถามนี้ตลอดเวลาที่เล่น Twitter
แน่นอนว่า Twitter ไม่ได้มีลูกเล่นแค่พิมพ์ข้อความกันอย่างเดียว ยังมีอีกหลายอย่างที่คุณทำบน Twitter ได้

Reply: คุณสามารถ ตอบกลับ Tweet ของคนอื่นได้

Direct Message: สามารถส่งข้อความส่วนตัว ถึงคนอื่น โดยไม่มีใครเห็น

Favourite: สามารถเก็บ Tweet ที่สนใจใน Favourite ได้

Re-tweet: ถ้าเห็น Tweets ของใครน่าสนใจ อยากจะ Re-tweet ในกลุ่มของคุณก็ทำได้ คล้ายการ forward ต่อ

URLs/Links: ใส่ URL ในข้อความ TweetSearch: ค้นหาคำ หรือเรื่องที่คน Tweet

Trending Topics: เรื่องที่กำลังอยู่ในความสนใจของคนใช้ Twitter

เชื่อว่า Twitter ยังสามารถถูกดัดแปลงเพื่อการใช้งานอื่นๆ ได้อีกในอนาคต รวมไปถึงรูปแบบของอาชญากร ที่อาจใช้ twitter ในการประสงค์ร้ายก็ได้วิธีการใช้งานก็ไม่มากมายยุ่งยาก เพียบสมัครสมาชิก แล้วเข้าสู่หน้าเว็บ twitter.com หลังจากนั้นก็พิมพ์ข้อความลงไป ข้อความดังกล่าวก็จะถูกส่งไปหาเพื่อน ๆ ของคุณใน twitter ทันที

เริ่มต้นใช้ SRAN ในการตรวจจับ Twitter >>

ก่อนจะสร้างเรามาดูถึงรูปแบบการติดตั้งระบบ SRAN เพื่อตรวจจับผู้ส่งข้อความเข้า Twitter กันก่อน
เราได้ทำการติดตั้ง SRAN ลงบน network อยู่ในส่วนของทางออกสู่ Internet, เมื่อมีผู้ที่ทำการส่งข้อความเข้าสู่ Twitter เราจะสามารถตรวจจับข้อความดังกล่าวได้

ภาพที่ 1 การติดตั้งอุปกรณ์ SRAN ที่เครือข่ายคอมพิวเตอร์บริษัทสมมุติ (AAA)

วิธีการตรวจจับ
Twitter ถูกออกแบบมาให้สื่อสารแบบ HTTP protocol ก็เพื่อให้ทุกคนสามารถเข้าถึงได้
HTTP protocol ก็จะมี 2 รูปแบบ คือ
1.การร้องของ
2.การส่งข้อมูล
เมื่อติดตั้งอุปกรณ์ อย่างถูกต้องแล้วเราจึงทำการใช้สังเกตข้อมูลและลักษณะการสื่อสาร เพื่อนำมาวิเคราะห์ จนได้ช่องทางที่จะส่งข้อความเข้าสู่ twitter เมื่อผู้ใช้งานได้ทำการ login แล้ว ก็จะเข้าสู่หน้าเว็บของ twitter โดยมีช่องให้กรอกข้อความ

เมื่อผู้ใช้งาน กรอกข้อความและกดที่ปุ่ม update  ข้อความเหล่านั้นจะถูกส่งไปยังระบบของ twitter ที่หน้า http://twitter.com/status/update  ในหน้านี้จะเป็นตัวรับข้อความจากผู้ใช้งาน นำไปแสดงผลบน twitter

(more…)

มีข่าวดีมาบอก

คุณสมบัติที่หลายคนรอคอย หลังจากทีมงาน SRAN ได้พัฒนาปรับปรุงคุณสมบัติของอุปกรณ์ให้เป็นไปตามความต้องการของลูกค้าพบว่า ลูกค้าต้องการค้นหาพฤติกรรมของ IP Address หรือค่า MAC Address ให้ตรงกับรายชื่อพนักงานในองค์กรได้ โดยไม่ต้องเพิ่มเติมอุปกรณ์อื่น

เร็วๆนี้ทางทีมพัฒนา SRAN ได้พัฒนาเทคโนโลยีใหม่ที่เรียกว่า HBW (Human Behaviror Warning System) ขึ้น โดยการผสมผสานจากเทคนิค Intrusion Detection System ในระดับ Network Base และ การทำ Passive Inventory ในการตรวจจับรายชื่อพนักงาน ชื่อแผนกของหน่วยงาน ค่า MAC Address มาเชื่อมโยงกับ IP Address (ทั้งแบบ Dynamic และ static IP) ได้โดยไม่ต้องลงอุปกรณ์เสริม มาใช้สำหรับการเฝ้าระวังพฤติกรรมการใช้งานไอซีทีภายในองค์กร โดยรวมเทคโนโลยีไว้ในเครื่องเดียว ไม่ต้องติดตั้งอุปกรณ์เพิ่มเติมเพื่อความสะดวกในการใช้งาน และคุ้มค่าแก่การลงทุนส่วนการเฝ้าระวังพฤติกรรมการใช้งานถูกออกแบบไม่ให้มี การละเมิดสิทธิความเป็นส่วนตัวพนักงานในองค์กร โดยสามารถกำหนด Rule Policy ตามนโยบายบริษัทได้ ซึ่งจะสามารถตรวจจาก Protocol ที่สำคัญและอาจมีความเสี่ยงที่จะใช้เป็นเครื่องมือในการก่อให้เกิดความเสียหาย และเกิดภัยคุกคามขึ้น เนื่องจากเป็น Protocol ที่ใช้งานกันอย่างแพร่หลาย เช่น

Web : HTTP, HTTPS

Email : SMTP, POP3, IMAP, Web Mail, Lotus Note, POP3S, SMTPS, IMAPS ซึ่งจะดูเฉพาะ Subject e-mail  ในการรับส่ง

Messenger : ICQ, MSN, IRC, AIM, Yahoo, ebuddy, Camfrog ใน Mode Chat สามารถควบคุมได้ว่าจะให้แสดงข้อความการสนทนาได้ ซึ่งเป็นการป้องกันเรื่องความเป็นส่วนตัวพนักงาน

File Transfer : FTP, TFTP ,Files Sharing (Netbios)

P2P : napster, GNUtella, DirectConnect, Bittorrent, eDonkey, MANOLITO, Ares, ed2k, kaaza, soulseek และ VoIP ชนิด P2P เช่น Skype เป็นต้น

Others : Telnet, Remote Desktop, VNC, Radius

โดย เทคนิคดังกล่าวสามารถทำงานได้โดยไม่ต้องลง agent software ที่เครื่อง client ทำให้เกิดความสะดวกในการติดตั้งอุปกรณ์เป็นอย่างมาก การติดตั้ง SRAN Security Center ยังคงเหมือนเดิมคือสามารถติดตั้งได้3 รูปแบบ คือ แบบแรก In-line (ซึ่งทำให้ป้องกันภัยคุกคามในระดับ Application Layer ได้ คือสามารถทำตัวอุปกรณ์เป็น NIPS นั้นเอง) , แบบที่สอง Transparent (สามารถป้องกันภัยคุกคามในระดับ L3-L4) , และแบบที่สาม Passive Mode คือเป็นการเฝ้าระวังอย่างเดียว ทั้ง 3 Mode ในการติดตั้งขึ้นกับขนาดปริมาณข้อมูลในแต่ละองค์กรและตามขนาดรุ่นการใช้งาน ของ SRAN ซึ่งสามารถอ่านได้เพิ่มเติมที่ http://www.gbtech.co.th/th/product/usm

แนวคิด เทคโนโลยีใหม่ HBW (Human Behaviror Warning) ที่ ทีมงานนำมาใช้ ก็เพื่อเป็นประโยชน์สำหรับองค์กรในการในการเฝ้าระวังภัยคุกคามภายใน หรือที่เรียกว่า “Insider Threat” ที่มีสถิติมากขึ้นทุกๆปี และการสืบค้นหาประวัติเหตุการณ์เพื่อหาผู้กระทำความผิดได้สะดวกมากขึ้น อีกทั้งยังสามารถเชื่อมกับงาน ทรัพยากรบุคคล HR (Human Resource) ได้ถึงพฤติกรรมการใช้งาน IT ภายในองค์กร ว่ามีพฤติกรรมการใช้งานอันไม่เหมาะสมในเวลางานหรือไม่ หรือมีการลักลอบขโมยข้อมูลภายในองค์กรส่งไปยังที่อื่นนอกเวลางานหรือไม่ ซึ่งทำให้รู้ทันปัญหาการโกง (Fraud) จากคนภายในองค์กรได้อย่างทันเวลาและมีหลักฐานในการประกอบรูปคดี รวมถึงการสร้างเป็นดัชนีชี้วัดรายแผนก รายบุคคล ที่ส่งผลให้สามารถพยากรณ์ถึงการลงทุนระบบไอซีทีในองค์กรให้มีประสิทธิภาพมากขึ้น

ความสามารถมีคุณสมบัติใหม่ ดังนี้คือ

1. สามารถมองเห็นค่า IP Address เชื่อมโยงกับข้อมูลรายชื่อพนักงานในบริษัท

ภาพ หน้าจอ SRAN Security Center ที่เปลี่ยนไปสามารถเชื่อมโยง IP Address กับชื่อพนักงานบริษัทได้ โดยสามารถได้ทั้งองค์กรที่เป็นระบบ IP แบบ DHCP และ Static IP เนื่องจากเทคโนโลยี HBW ที่ทีมงาน SRAN ได้คิดค้นขึ้นจะสามารถเชื่อมความสัมผัสรายชื่อพนักงานและ IP Address ได้บนระบบเครือข่าย

หากเปรียบเทียบกับการสืบสวนตาม chain of event คือพิจารณาจาก

Who พบว่า SRAN สามารถบอกได้ถึง ชื่อพนักงาน รูปพนักงาน  ชื่อแผนก ค่า IP Address ตลอดจนค่า MAC Address ระบบปฏิบัติการของผู้ใช้งานได้

What พบว่า SRAN สามารถบอกถึงพฤติกรรมการใช้งานโดยแยกตามลักษณะ Signature ว่าเป็นการใช้งานชนิดใด เช่น เล่น Web , Mail ,Chat , Upload , download  เป็นต้น

Where พบว่า SRAN สามารถบอกถึงลักษณะการสื่อสารตาม Protocol ที่สำคัญและ Port Services ที่ใช้

When พบว่า SRAN สามารถบอก วัน เวลา ที่เกิดขึ้นในแต่ละเหตุการณ์ได้

Why (How) พบว่า SRAN จะสามารถแยกแยะได้ว่าเป็นพฤติกรรมเหมาะสมหรือไม่เหมาะสมผ่านเทคนิค NIDS (Network Intrusion Detection System) ที่ดูได้ถึงระดับ Application Layer

2. สามารถจัดเก็บค่า Inventory ชนิดแบบ Passive ทางระบบเครือข่าย ซึ่งทำให้ได้ทราบถึง

- รายชื่อพนักงานบริษัท (Name)

- ชื่อแผนก (Department)

- ชื่อระบบปฏิบัติการของพนักงาน (Operating System)

- ค่า MAC Address แต่ละเครื่องในองค์กร

ภาพ การแสดงผล ค่าคลังข้อมูล (Inventory) ที่ผ่านเทคโนโลยี HBW ที่ทีมงาน SRAN ได้คิดค้นขึ้น จะสามารถเก็บประวัติการใช้งานเครื่องคอมพิวเตอร์ รายชื่อพนักงาน ชื่อแผนก ชื่อ IP ค่า MAC Address และระบบปฏิบัติการได้ โดยไม่ต้องลงซอฟต์แวร์ (agent) ใดๆ

3.รายงานผลการใช้งานข้อมูลสารสนเทศตามแผนกงาน , รายบุคคล และภาพรวมของบริษัทได้

ภาพ ประวัติการใช้งานพนักงานในองค์กรที่เป็นรายบุคคล ซึ่งทำให้วิเคราะห์ถึงพฤติกรรมการใช้งานตาม Protocol ที่ต้องสงสัยว่าจะเป็นการทุจริตภายในองค์กรได้ และสามารถเพิ่มรูปพนักงานดังกล่าวลงในระบบได้อีกด้วย

คุณสมบัติทั้งหมด เป็นการวิจัยค้นคว้าเพื่อให้ หลังจากที่ได้สอบถามจากลูกค้าที่เคยใช้ SRAN Security Center มาแล้วทั้ง 3 ข้อที่กล่าวมาจึงเป็นคุณสมบัติที่ เหมาะสม ลดความซับซ้อนของเทคโนโลยีลง และคุ้มค่าการลงทุนในการใช้งานระบบสารสนเทศในองค์กรเพื่อให้เกิดประสิทธิภาพและประสิทธิผลมากขึ้น

คอยพบกับ SRAN Security Center ใน Version ใหม่นี้ได้เร็วๆ นี้ คิดว่าเป็นประโยชน์ในงานสืบสวนสอบสวน งานตรวจสอบ ดัชนีชี้วัดพฤติกรรมการใช้งานบุคลากรไอซีทีในองค์กร และถือว่าเป็นอุปกรณ์ยาสามัญประจำเครือข่ายที่ทุกที่องค์กรควรมีไว้ใช้งานเป็นอย่างมาก