Microsoft Azure by Ingram Micro (Thailand)

Data Forensics ช่วยเสริมความแข็งแกร่งด้านความมั่นคงปลอดภัยให้องค์กรได้อย่างไร

การที่องค์กรสนใจป้องกันหรือตรวจจับภัยคุกคาม เช่น การอัปเดตแพทซ์ จำกัดสิทธิ์การใช้งานของผู้ใช้ เสริมความแข็งแกร่งด้านความมั่นคงปลอดภัยให้อุปกรณ์ Endpoint หรือ ทำการสำรองข้อมูล พื้นฐานเหล่านี้เป็นสิ่งจำเป็น อย่างไรก็ดีองค์กรมักมองข้ามความสำคัญของการวิเคราะห์ข้อมูลในเครือข่ายเพื่อเข้าใจถึงการใช้งานในยามปกติ หรือการเก็บหลักฐานหลังถูกโจมตีซึ่งจะทำให้เราเข้าใจภาพของการโจมตีและเสริมความมั่นคงปลอดภัยจากจุดอ่อนที่เป็นสาเหตุเหล่านั้นเพื่อป้องกันไม่ให้เกิดเหตุการณ์ซ้ำอีกในอนาคต ดังนั้นเราจึงได้สรุปบทความที่กล่าวถึงประโยชน์ของขั้นตอนเหล่านี้มาให้ได้ติดตามกัน

 

วงจรด้านความมั่นคงปลอดภัยประกอบไปด้วย 3 ลำดับคือ
  • Prevention ประกอบด้วยการใช้เครื่องมือ เช่น Antivirus และ Firewall เพื่อเป็นประตูบ้านไว้ป้องกันคนร้าย
  • Detection การใช้ระบบที่รู้จำการบุกรุกที่สามารถระบุการโจมตีที่เกิดขึ้นภายในระบบเครือข่ายได้
  • Remediation การเปลี่ยนแปลงระบบให้ถูกต้อง เช่น การกำจัดภัยคุกคามออกจากระบบที่ได้รับผลกระทบ ซึ่งส่วนหนึ่งประกอบด้วยการอาศัยข้อมูลการโจมตีจากหลักฐานที่เก็บมาได้ในเครือข่าย (Network Forensics) เพื่อนำไปใช้แก้ไขปัญหาที่เกิดขึ้นต่อไป

ความพ่ายแพ้ในการต่อสู้ขององค์กร

องค์กรหลายแห่งไม่ได้ให้ความสนใจกับขั้นตอนด้านการเก็บหลักฐาน (Forensic) มากนัก โดยจากการวิเคราะห์ในภาคอุตสาหกรรมของ Gartner พบว่าองค์กรทั่วไปมักจะเน้นไปที่การตรวจจับหรือป้องกันระบบมากกว่า ซึ่งมีงบประมาณถูกใช้ไปกับส่วนดังกล่าวถึง 1$ หมื่นล้านแต่แบ่งมาในส่วน Remediation เพียง 200$ ล้านเท่านั้น จะเห็นว่าต่างกันถึง 50 เท่าทีเดียว แม้ว่าเราสามารถสืบย้อนกลับไปถึงสาเหตุของความล้มเหลวด้านความมั่นคงปลอดภัยได้ เช่น การไม่มีแพตซ์ การไม่ระมัดระวังตัวจากอีเมลหลอกลวง หรือ การจำกัดสิทธิ์การเข้าถึง หรืออื่นๆ แต่ผลสำรวจจาก State of the Network พบว่า 80% ของทีมระบบเครือข่ายหมดเวลาไปกับความมั่นคงปลอดภัยอันเนื่องมาจากมัลแวร์มีความซับซ้อนมากขึ้นประกอบกับจำนวนทรัพยากรในระบบที่เพิ่มขึ้น ความผิดอันใหญ่หลวงของมาตรการป้องกันทุกวันนี้คือมันสนใจแค่ Known Attack อย่างไรก็ดีมี Zero-day Attack เกิดขึ้นทุกวัน ดังนั้นระบบของเราก็อาจจะถูกเจาะได้อยู่ดีเพราะไม่มีระบบไหนปลอดภัย 100%

ถึงเวลาของ Data Forensics

เนื่องจากผู้ร้ายนั้นตรวจจับได้ยาก เราจึงควรใช้การวิเคราะห์ Packet ที่เกิดขึ้นเพื่อสังเกตการเปลี่ยนแปลงในเครือข่ายเพราะ Packet จะสะท้อนถึงความจริงของการใช้ข้อมูลเหล่านั้น รวมถึงยังใช้เป็นหลักฐานในชั้นศาลได้ด้วย การเก็บหลักฐานในเครือข่าย (Network Forensics) สามารถเผยให้เห็นถึงรายละเอียดเกี่ยวกับมัลแวร์และสามารถตอบคำถาม เช่น ใคร ทำอะไร ที่ไหน อย่างไร ได้ด้วย โดยถ้ามีการใช้งานอย่างสม่ำเสมอแทนที่จะใช้แค่ตอนหลังเกิดเหตุการณ์ มันไม่เพียงแต่ช่วยให้มองเห็นภาพรวมของภัยคุกคามเท่านั้น หากแต่ยังเป็นข้อมูลให้ทีมความมั่นคงปลอดภัยสามารถระบุและแยกส่วนที่เป็นปัญหาออกจากระบบได้รวดเร็วขึ้นอีกด้วย โดยมี 5 ช่องทางที่เราสามารถรวบรวมข้อมูลจาก Packets ที่เกิดขึ้นในเครือข่ายไปใช้ดังนี้
  • ติดตามย้อนรอยการโจมตีที่เกิดขึ้น เช่น เครื่องไหนติดมัลแวร์เครื่องแรกและมันเกิดขึ้นได้อย่างไรเพื่อติดตามวิธีการทำงานของมัลแวร์จากจุดนั้นต่อไป หลังจากนั้นทีมงานสามารถนำไปปรับปรุงการทำงานของ Firewall หรืออุปกรณ์ Endpoint ให้มั่นคงปลอดภัยมากขึ้น
  • สามารถกำหนดค่าพารามิเตอร์ในเครือข่าย เช่น สามารถปรับปรุงการแจ้งเตือนไปยังทีมงานเมื่อ SMBs โปรโตคอลมีคำสั่งในการลบไฟล์จำนวนมาก ซึ่งมันมีประโยชน์มากกับพวก WannaCry และ Petya/NotPetya ที่ใช้ SMB หรือ Samba ในการโจมตีเป็นต้น
  • ทราบถึงพฤติกรรมปกติในระบบเครือข่าย หากวันใดมีการใช้งานที่ต่างออกไปเราจะสามารถทราบถึงความเปลี่ยนแปลงได้และระมัดระวังภัยที่อาจจะเกิดขึ้น
  • รู้จักคนร้าย โดยศึกษายุทธวิธีของคนร้ายที่ใช้โจมตี เพื่อให้ครั้งหน้าจะสามารถค้นหาและจัดการมัลแวร์ได้อย่างรวดเร็ว
  • ทำงานได้กับปริมาณข้อมูลจำนวนมหาศาลในปัจจุบันได้อย่างมีประสิทธิภาพ โดยทีมงานสามารถระบุช่วงเวลาที่เกิดเหตุการณ์ได้เพื่อดึงเฉพาะข้อมูลที่เกิดในช่วงเวลานั้นๆ ออกมาตรวจสอบ

ที่มา : https://www.scmagazine.com/how-to-use-data-forensics-to-secure-enterprise-networks/article/710052/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco ปิดดีลเข้าซื้อ Splunk มูลค่า 1 ล้านล้านบาท

หลังจากผ่านการตรวจสอบอย่างเข้มข้นจนได้รับอนุมัติเรียบร้อย ล่าสุดทาง Cisco ได้ประกาศถึงความสำเร็จในการเข้าซื้อกิจการของ Splunk ที่มูลค่า 28,000 ล้านเหรียญหรือราวๆ 1 ล้านล้านบาทอย่างเป็นทางการแล้ว

Microsoft ยกเลิกการใช้ 1024-bit RSA Key บน Windows แล้ว

Microsoft ประกาศยกเลิกการใช้กุญแจเข้ารหัส 1024-bit RSA Key บน Windows แล้ว เปลี่ยนไปใช้กุญแจเข้ารหัสความยาว 2048-bit เป็นอย่างน้อย