Data Forensics ช่วยเสริมความแข็งแกร่งด้านความมั่นคงปลอดภัยให้องค์กรได้อย่างไร

การที่องค์กรสนใจป้องกันหรือตรวจจับภัยคุกคาม เช่น การอัปเดตแพทซ์ จำกัดสิทธิ์การใช้งานของผู้ใช้ เสริมความแข็งแกร่งด้านความมั่นคงปลอดภัยให้อุปกรณ์ Endpoint หรือ ทำการสำรองข้อมูล พื้นฐานเหล่านี้เป็นสิ่งจำเป็น อย่างไรก็ดีองค์กรมักมองข้ามความสำคัญของการวิเคราะห์ข้อมูลในเครือข่ายเพื่อเข้าใจถึงการใช้งานในยามปกติ หรือการเก็บหลักฐานหลังถูกโจมตีซึ่งจะทำให้เราเข้าใจภาพของการโจมตีและเสริมความมั่นคงปลอดภัยจากจุดอ่อนที่เป็นสาเหตุเหล่านั้นเพื่อป้องกันไม่ให้เกิดเหตุการณ์ซ้ำอีกในอนาคต ดังนั้นเราจึงได้สรุปบทความที่กล่าวถึงประโยชน์ของขั้นตอนเหล่านี้มาให้ได้ติดตามกัน

 

วงจรด้านความมั่นคงปลอดภัยประกอบไปด้วย 3 ลำดับคือ
  • Prevention ประกอบด้วยการใช้เครื่องมือ เช่น Antivirus และ Firewall เพื่อเป็นประตูบ้านไว้ป้องกันคนร้าย
  • Detection การใช้ระบบที่รู้จำการบุกรุกที่สามารถระบุการโจมตีที่เกิดขึ้นภายในระบบเครือข่ายได้
  • Remediation การเปลี่ยนแปลงระบบให้ถูกต้อง เช่น การกำจัดภัยคุกคามออกจากระบบที่ได้รับผลกระทบ ซึ่งส่วนหนึ่งประกอบด้วยการอาศัยข้อมูลการโจมตีจากหลักฐานที่เก็บมาได้ในเครือข่าย (Network Forensics) เพื่อนำไปใช้แก้ไขปัญหาที่เกิดขึ้นต่อไป

ความพ่ายแพ้ในการต่อสู้ขององค์กร

องค์กรหลายแห่งไม่ได้ให้ความสนใจกับขั้นตอนด้านการเก็บหลักฐาน (Forensic) มากนัก โดยจากการวิเคราะห์ในภาคอุตสาหกรรมของ Gartner พบว่าองค์กรทั่วไปมักจะเน้นไปที่การตรวจจับหรือป้องกันระบบมากกว่า ซึ่งมีงบประมาณถูกใช้ไปกับส่วนดังกล่าวถึง 1$ หมื่นล้านแต่แบ่งมาในส่วน Remediation เพียง 200$ ล้านเท่านั้น จะเห็นว่าต่างกันถึง 50 เท่าทีเดียว แม้ว่าเราสามารถสืบย้อนกลับไปถึงสาเหตุของความล้มเหลวด้านความมั่นคงปลอดภัยได้ เช่น การไม่มีแพตซ์ การไม่ระมัดระวังตัวจากอีเมลหลอกลวง หรือ การจำกัดสิทธิ์การเข้าถึง หรืออื่นๆ แต่ผลสำรวจจาก State of the Network พบว่า 80% ของทีมระบบเครือข่ายหมดเวลาไปกับความมั่นคงปลอดภัยอันเนื่องมาจากมัลแวร์มีความซับซ้อนมากขึ้นประกอบกับจำนวนทรัพยากรในระบบที่เพิ่มขึ้น ความผิดอันใหญ่หลวงของมาตรการป้องกันทุกวันนี้คือมันสนใจแค่ Known Attack อย่างไรก็ดีมี Zero-day Attack เกิดขึ้นทุกวัน ดังนั้นระบบของเราก็อาจจะถูกเจาะได้อยู่ดีเพราะไม่มีระบบไหนปลอดภัย 100%

ถึงเวลาของ Data Forensics

เนื่องจากผู้ร้ายนั้นตรวจจับได้ยาก เราจึงควรใช้การวิเคราะห์ Packet ที่เกิดขึ้นเพื่อสังเกตการเปลี่ยนแปลงในเครือข่ายเพราะ Packet จะสะท้อนถึงความจริงของการใช้ข้อมูลเหล่านั้น รวมถึงยังใช้เป็นหลักฐานในชั้นศาลได้ด้วย การเก็บหลักฐานในเครือข่าย (Network Forensics) สามารถเผยให้เห็นถึงรายละเอียดเกี่ยวกับมัลแวร์และสามารถตอบคำถาม เช่น ใคร ทำอะไร ที่ไหน อย่างไร ได้ด้วย โดยถ้ามีการใช้งานอย่างสม่ำเสมอแทนที่จะใช้แค่ตอนหลังเกิดเหตุการณ์ มันไม่เพียงแต่ช่วยให้มองเห็นภาพรวมของภัยคุกคามเท่านั้น หากแต่ยังเป็นข้อมูลให้ทีมความมั่นคงปลอดภัยสามารถระบุและแยกส่วนที่เป็นปัญหาออกจากระบบได้รวดเร็วขึ้นอีกด้วย โดยมี 5 ช่องทางที่เราสามารถรวบรวมข้อมูลจาก Packets ที่เกิดขึ้นในเครือข่ายไปใช้ดังนี้
  • ติดตามย้อนรอยการโจมตีที่เกิดขึ้น เช่น เครื่องไหนติดมัลแวร์เครื่องแรกและมันเกิดขึ้นได้อย่างไรเพื่อติดตามวิธีการทำงานของมัลแวร์จากจุดนั้นต่อไป หลังจากนั้นทีมงานสามารถนำไปปรับปรุงการทำงานของ Firewall หรืออุปกรณ์ Endpoint ให้มั่นคงปลอดภัยมากขึ้น
  • สามารถกำหนดค่าพารามิเตอร์ในเครือข่าย เช่น สามารถปรับปรุงการแจ้งเตือนไปยังทีมงานเมื่อ SMBs โปรโตคอลมีคำสั่งในการลบไฟล์จำนวนมาก ซึ่งมันมีประโยชน์มากกับพวก WannaCry และ Petya/NotPetya ที่ใช้ SMB หรือ Samba ในการโจมตีเป็นต้น
  • ทราบถึงพฤติกรรมปกติในระบบเครือข่าย หากวันใดมีการใช้งานที่ต่างออกไปเราจะสามารถทราบถึงความเปลี่ยนแปลงได้และระมัดระวังภัยที่อาจจะเกิดขึ้น
  • รู้จักคนร้าย โดยศึกษายุทธวิธีของคนร้ายที่ใช้โจมตี เพื่อให้ครั้งหน้าจะสามารถค้นหาและจัดการมัลแวร์ได้อย่างรวดเร็ว
  • ทำงานได้กับปริมาณข้อมูลจำนวนมหาศาลในปัจจุบันได้อย่างมีประสิทธิภาพ โดยทีมงานสามารถระบุช่วงเวลาที่เกิดเหตุการณ์ได้เพื่อดึงเฉพาะข้อมูลที่เกิดในช่วงเวลานั้นๆ ออกมาตรวจสอบ

ที่มา : https://www.scmagazine.com/how-to-use-data-forensics-to-secure-enterprise-networks/article/710052/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เปิดตัว Elastic SIEM โซลูชัน SIEM บนเทคโนโลยีของ Elastic

Elastic ได้ออกมาประกาศเปิดตัวโซลูชันทางด้าน Security ล่าสุดอย่าง Elastic SIEM แล้วอย่างเป็นทางการ เพื่อให้เหล่าธุรกิจองค์กรต่างๆ นั้นมีอีกทางเลือกหนึ่งในการลงทุนระบบ SIEM ที่พัฒนาด้วย Open Source Software ชั้นนำจาก Elastic ในการทำงาน

เสริม Security ให้ระบบเครือข่ายด้วย AI กับ Aruba IntroSpect

หนึ่งในเทรนด์หลักทางด้าน Network ในระยะนี้ก็คงหนีไม่พ้นเรื่องของการประยุกต์นำศาสตร์ทางด้าน Artificial Intelligence หรือ AI มาใช้ในแง่มุมต่างๆ ภายในระบบเครือข่าย Aruba Networks ในฐานะของผู้นำเทคโนโลยีเครือข่ายสำหรับองค์กรเองก็ไม่พลาดที่จะขึ้นเป็นผู้นำเทรนด์นี้ ด้วยการนำ AI เข้ามาใช้เพื่อเสริม Security ให้กับระบบเครือข่ายของธุรกิจองค์กรให้รัดกุมยิ่งขึ้น ภายใต้โซลูชัน Aruba IntroSpect ที่วิเคราะห์ข้อมูลจากทั้ง Traffic ในระบบเครือข่ายและผู้ใช้งานไปพร้อมๆ กัน