Log Management and SIEM

Westcon Solutions บริษัทที่ปรึกษาด้านเน็ตเวิร์คและความมั่นคงปลอดภัย จัดงานสัมมนา Westcon Connect 2016 ภายใต้หัวข้อ “คุณตามทันหรือไม่กับการเปลี่ยนแปลงยุคดิจิทัล” เมื่อกลางเดือนมีนาคมที่ผ่านมา ซึ่งภายในงานมีการอัพเดทผลิตภัณฑ์และโซลูชันด้านระบบเครือข่ายและความมั่นคงปลอดภัยมากมาย รวมถึงมีการเสวนากลุ่มย่อยเรื่อง “ความมั่นคงปลอดภัยในยุค Internet of Things” สำหรับผู้ที่ไม่ได้ไปร่วมงาน หรือต้องการอัพเดทเทคโนโลยีใหม่ๆ สามารถอ่านบทความสรุปด้านล่างได้เลย

เพื่อให้การรักษาความปลอดภัยของ IT Infrastructure ทั้งหมดโดยเหล่า IT Security Expert นั้นเป็นไปได้อย่างรวดเร็วสูงสุด ทาง Splunk จึงได้ออก Splunk Security Use Cases มาให้ทำการศึกษากรณีการทำ Data Analytics เพื่อวัตถุประสงค์ทางด้าน IT Security เฉพาะขึ้นมา และปัจจุบันนี้ก็มีตัวอย่างกรณีศึกษาด้วยกัน 5 แบบ ดังนี้

ในงาน RSA Conference ทาง Gigamon ผู้นำทางด้านระบบบริหารจัดการ Traffic ในระบบเครือข่าย ได้เปิดตัว Metadata Engine สำหรับทำ Security Analytics บนแฟลตฟอร์ม GigaSECURE Security Delivery Platform (SDP) ของตนเอง ช่วยให้องค์กรสามารถตรวจสอบความปลอดภัยในเครือข่ายได้ง่ายดายยิ่งขึ้น

ด้วยแนวโน้มที่ Data Analytics จะสามารถมาแทน SIEM ได้นั้น Splunk เป็นหนึ่งในผู้ผลิตชั้นนำทางด้านระบบ Data Analytics สำหรับองค์กรและดำเนินตามแนวทางนี้มาเป็นระยะเวลานานแล้ว ก็สามารถตอบโจทย์การรักษาความปลอดภัยภายในองค์กรได้หลากหลายรูปแบบ นอกเหนือไปจากการทำ SIEM ตามปกติทั่วไปดังนี้

ถ้าย้อนกลับไปถึงเทคโนโลยีรักษาความปลอดภัยสำหรับองค์กรในช่วง 5-6 ปีที่ผ่านมา Security Information and Event Management หรือ SIEM นั้นถือว่าเป็นหนึ่งในเทคโนโลยีทีทุกๆ องค์กรควรจะต้องลงทุนติดตั้งเอาไว้เพื่อรักษาความปลอดภัยให้แก่ระบบ IT Infrastructure ขององค์กร แต่เมื่อเวลาผ่านไปนั้น ความสามารถของเทคโนโลยี Big Data Analytics ก็ได้เข้ามาซ้อนทับกับ SIEM และมีข้อดีหลายประการที่เหนือกว่า ทำให้มีความเป็นไปได้สูงว่าท้ายที่สุดแล้ว Big Data Analytics จะสามารถมาทดแทน SIEM ได้ ด้วยปัจจัยดังต่อไปนี้

ณ ตอนนี้ ทีมงาน TechTalkThai กำลังร่วมงาน “แนวทางรับมือและป้องกันการโจมตีทางไซเบอร์ภายใต้โครงการ ThaiCERT GMS (Government Monitoring System)” ซึ่งจัดโดยกระทรวง ICT, ETDA และ ThaiCERT ณ โรงแรม Swissotel Le Concorde อยู่ครับ แต่ด้วยความที่เป็นงานใหญ่ มีหลายหน่วยงานทั้งภาครัฐฯ และเอกชนเข้าร่วม จึงทำให้วิทยากรอธิบายได้เพียงแนวคิดและภาพรวมกว้างๆ ไม่สามารถลงเทคนิคเชิงลึกได้มากนัก ทีมงาน TechTalkThai จึงได้ไปนั่งคุยกับทีม ThaiCERT โดยตรงและได้ข้อมูลเชิงเทคนิคมาแชร์ให้ได้อ่านกันครับ

Splunk ผู้ผลิตระบบ Real-times Data Analytics ชั้นนำระดับโลกที่สามารถประยุกต์ใช้เข้ากับการใช้งานได้อย่างยืดหยุ่น ได้ออกมาทำนายถึงแนวโน้มปี 2016 สำหรับเทคโนโลยีเด่นๆ ดังต่อไปนี้

จากผลการสำรวจในหัวข้อ Voice of the Enterprise: Information Security ที่จัดขึ้นโดย 451 Research ที่สำรวจกลุ่มองค์กรในประเทศสหรัฐอเมริกากว่า 900 แห่งถึงการลงทุนทางด้าน IT Security ในปี 2016 ได้มีตัวเลขต่างๆ ที่น่าสนใจดังนี้

IBM ได้ออกแคมเปญใหม่ เพื่อส่งเสริมให้ลูกค้าและพาร์ทเนอร์สามารถพัฒนาแอพพลิเคชันด้านความปลอดภัยสำหรับสนับสนุนระบบ QRadar Security Intelligence ได้ ไม่ว่าจะเป็นการวิเคราะห์ข้อมูลภัยคุกคาม การตรวจจับพฤติกรรมที่ผิดปกติ หรือการจัดลำดับความเสี่ยงของเหตุการณ์ที่เกิดขึ้นเพื่อให้ง่ายต่อการดำเนินงานตรวจสอบ เป็นต้น โดยแอพพลิเคชันเหล่านี้จะถูกแชร์ผ่านทางระบบ Security App Exchange เพื่อให้กลุ่มพันธมิตรของ IBM สามารถใช้งานได้ฟรีทันที

สำหรับองค์กรที่มีการจัดเก็บข้อมูล Log อยู่แล้วนั้น การค่อยๆ ต่อยอดพัฒนาเพื่อนำข้อมูล Log ที่เก็บรวบรวมมาจากระบบต่างๆ มาใช้ให้เกิดประโยชน์ให้ได้มากขึ้นนั้น ถือเป็นสิ่งที่ควรจะทำอย่างต่อเนื่องและสม่ำเสมอ เพื่อให้ทีมผู้ดูแลระบบสามารถทำงานได้อย่างมีประสิทธิภาพมากขึ้นจากการทำความเข้าใจข้อมูล Log ต่างๆ ที่จัดเก็บรวบรวมเอาไว้ เพื่อใช้ในการตัดสินใจและแก้ไขปัญหาต่างๆ ในการทำงาน Softnix ในฐานะของผู้เชี่ยวชาญระบบ Log Management และพัฒนาผลิตภัณฑ์ Softnix Logger เพื่อตอบโจทย์ทางด้านการจัดเก็บและบริหารจัดการข้อมูล Log ขององค์กรนั้น จึงขอแนะนำ 5 แนวทางในการต่อยอดข้อมูลที่จัดเก็บอยู่ภายในระบบ Log Management ขององค์กร ดังนี้

เมื่อเร็ว ๆ นี้ บริษัท แซส ซอฟท์แวร์ ( ไทยแลนด์ ) จำกัด ผู้นำด้านการวิเคราะห์ข้อมูลเชิงธุรกิจ โดย มร. อิมาม ฮอค กรรมการผู้จัดการ สายงานด้านโซลูชั่นการป้องกันการทุจริตทางไซเบอร์ ประจำภูมิภาค ยุโรป/ตะวันออกกลาง / แอฟริกา และ เอเชียแปซิฟิก ได้ถ่ายทอดความรู้ให้กับสื่อมวลชนในประเด็น “การวิเคราะห์พฤติกรรม และติดอาวุธธนาคาร – องค์กรยุคใหม่ลดความเสี่ยงการฉ้อโกงทางไซเบอร์”

บทความนี้รวบรวมพื้นฐานด้านความปลอดภัย 6 ประการที่ทุกองค์กรต้องมี เพื่อที่ผู้ดูแลระบบจะสามารถควบคุมการใช้งานระบบเครือข่าย และป้องกันภัยคุกคามที่อาจส่งผลกระทบต่อองค์กรได้ เช็คลิสต์สำคัญทั้ง 6 ประการนี้ ประกอบด้วย 1. การบริหารจัดการแพทช์อัพเดท

สำหรับองค์กรต่างๆ ที่มีการใช้งาน Linux ภายใน Data Center ขององค์กร สามารถพูดคุยกับทางทีมงาน UnixDev ณ บูธ S07 ที่พร้อมให้คำปรึกษาด้านการวางระบบ Linux และการดูแลรักษาให้มีความปลอดภัย รวมถึงยังพร้อมให้คำปรึกษาด้านอื่นๆ ทุกด้านเกี่ยวกับการใช้งาน Linux ภายในองค์กร และการใช้ Open Source เพื่อตอบโจทย์ด้านการตรวจสอบความปลอดภัยและการดูแลรักษาความมั่นคงภายในองค์กร และพบกับ

บริษัท STelligence (เอสเทลลิเจนซ์) ผู้ให้บริการด้าน Big Data Analytic สำหรับระบบ Security&IT Operation, IT Hybrid Monitoring และ Data Visualisation นำเสนอ Solution ใหม่ของบริษัทฯที่ช่วยให้ IT Operation&Data Driven ธุรกิจได้อย่างเต็มประสิทธิภาพ ในงาน CDIC2015 อาทิเช่น Savvius: Long term Packet Capture for Security Incident Response and Network Analysis Splunk for Enterprise Security, IT Service Intelligence, Splunk for CISCO (ACI,Firewall, Web Security, Mail GateWay,ISE,Nexus..) Splunk for FireEye, Bluecoat, Palo Alto, Fortigate, …

ในการตรวจสอบการโจมตีและเหตุการณ์ทางด้านความปลอดภัยที่เกิดขึ้นในองค์กรได้อย่างมีประสิทธิภาพนั้น การจัดเก็บเพียงแค่ข้อมูล Event/Log นั้นไม่เพียงพอต่อการตรวจสอบการโจมตีที่มีความซับซ้อนอย่างในปัจจุบันอีกแล้ว แต่จะต้องมีการจัดเก็บข้อมูลของ Network Traffic เพื่อใช้ประกอบการตรวจสอบและวิเคราะห์การโจมตีในแต่ละครั้งด้วยเช่นกัน อย่างไรก็ดี หลายๆ องค์กรที่ต้องการตรวจสอบและวิเคราะห์ข้อมูล Traffic ระบบเครือข่ายย้อนหลังนั้นคงเคยประสบกับปัญหาการมีพื้นที่ของ Storage ไม่เพียงพอต่อการวิเคราะห์ข้อมูล Traffic ทั้งหมดที่ Mirror มาในเครือข่าย ในขณะที่การเลือกเก็บเฉพาะ Flow จาก NetFlow หรือ Flow อื่นๆ เองนั้นก็ไม่เพียงพอต่อการวิเคราะห์ข้อมูลในเชิงลึก Savvius ผู้ผลิตระบบ Network Monitoring & Analyzer ชั้นนำจึงได้ทำการตอบโจทย์ปัญหานี้ด้วย Savvius Vigil ระบบจัดเก็บข้อมูลเครือข่ายทางด้านความปลอดภัยโดยเฉพาะ ดังนี้

Splunk ได้ทำการเปิดตัว Splunk Enterprise Security 4.0 รุ่นล่าสุด ซึ่งเป็นการอัพเกรดมาจาก Splunk App for Enterprise Security พร้อมเปิดตัว Splunk User Behavior Analytics ซึ่งเป็นระบบที่พัฒนาต่อยอดมาจากเทคโนโลยีของบริษัท Caspida ที่ทาง Splunk ได้เข้าซื้อกิจการมา ทำให้ปัจจุบันนี้ Splunk สามารถตรวจจับการโจมตีและภัยคุกคามต่างๆ ได้จากการรวบรวมข้อมูล, ทำ Correlation และทำ Analytics กับข้อมูล Machine Data, Log Data ด้วยเทคโนโลยี Machine Learning และนำมาแสดงผลให้ผู้ดูแลระบบติดตามข้อมูลทางด้านความปลอดภัยขององค์กรได้อย่างง่ายดาย

บริษัท เอ็นฟอร์ซ ซีเคียว จำกัด เปิดตัวโซลูชั่นน้องใหม่ “เอนโดรเมดา” ( Andromeda ) ที่พัฒนาขึ้นมา เพื่อทำหน้าที่เป็นมิดเดิลแวร์ที่ใช้ในการเชื่อมต่อระหว่างอุปกรณ์รักษาความปลอดภัยบนเครือข่ายต่าง ๆ

Softnix ผู้ผลิตระบบ Enterprise IT Solution สัญชาติไทย ได้ประกาศเปิดตัว Softnix Cloud Based Logger ซึ่งเป็นบริการ Cloud สำหรับการเก็บ Log สำหรับองค์กร เป็นอีกทางเลือกใหม่ให้สำหรับองค์กรขนาดเล็ก หรือองค์กรที่มีหลายสาขา สามารถทำการจัดเก็บ Log ได้ด้วยค่าใช้จ่ายแบบรายเดือนที่คุ้มค่ายิ่งขึ้น

Cisco เองนอกจากจะเป็นผู้นำเสนอโซลูชั่นด้าน Security แล้ว Cisco เองก็ยังเป็นผู้ใช้งานระบบ Security เองด้วย ในครั้งนี้ Cisco ก็มาเล่าเรื่องต่อยอดจากงาน Cisco Live! ในหัวข้อ Hunting Advanced Threats within Cisco ก็คือการตรวจจับภัยคุกคามต่างๆ ที่มีใน Cisco นั่นเอง ซึ่งทางทีมงาน TechTalkThai ก็ขอสรุปเนื้อหามาไว้ให้ผู้อ่านทุกท่านได้อ่านกันที่นี่นะครับ

กรุงเทพฯ, 21 กันยายน 2558 – บริษัท เทรนด์ไมโคร ( TYO: 4704; TSE: 4704 ) ผู้นำระดับโลกในด้านซอฟต์แวร์และโซลูชั่นการรักษาความปลอดภัย เปิดเผยว่า Trend Micro™ Deep Discovery™ Inspector v3.7 ได้รับการจัดอันดับเป็นโซลูชั่น “แนะนำ” ( Recommended ) จากการทดสอบ NSS Labs Breach Detection Systems ( BDS ) ด้วยคะแนนโดยรวม 96 เปอร์เซ็นต์ การทดสอบดังกล่าวมุ่งเน้นการวิเคราะห์อัตราการตรวจจับโดยรวมสำหรับการโจมตีแบบเจาะจงเป้าหมายและภัยคุกคามขั้นสูง