ในการตรวจสอบการโจมตีและเหตุการณ์ทางด้านความปลอดภัยที่เกิดขึ้นในองค์กรได้อย่างมีประสิทธิภาพนั้น การจัดเก็บเพียงแค่ข้อมูล Event/Log นั้นไม่เพียงพอต่อการตรวจสอบการโจมตีที่มีความซับซ้อนอย่างในปัจจุบันอีกแล้ว แต่จะต้องมีการจัดเก็บข้อมูลของ Network Traffic เพื่อใช้ประกอบการตรวจสอบและวิเคราะห์การโจมตีในแต่ละครั้งด้วยเช่นกัน
อย่างไรก็ดี หลายๆ องค์กรที่ต้องการตรวจสอบและวิเคราะห์ข้อมูล Traffic ระบบเครือข่ายย้อนหลังนั้นคงเคยประสบกับปัญหาการมีพื้นที่ของ Storage ไม่เพียงพอต่อการวิเคราะห์ข้อมูล Traffic ทั้งหมดที่ Mirror มาในเครือข่าย ในขณะที่การเลือกเก็บเฉพาะ Flow จาก NetFlow หรือ Flow อื่นๆ เองนั้นก็ไม่เพียงพอต่อการวิเคราะห์ข้อมูลในเชิงลึก Savvius ผู้ผลิตระบบ Network Monitoring & Analyzer ชั้นนำจึงได้ทำการตอบโจทย์ปัญหานี้ด้วย Savvius Vigil ระบบจัดเก็บข้อมูลเครือข่ายทางด้านความปลอดภัยโดยเฉพาะ ดังนี้
ข้อมูลทางสถิติที่น่าสนใจเกี่ยวกับการตรวจจับการโจมตีในองค์กร
จากผลสำรวจของ PixlCloud นั้น มีตัวเลขทางสถิติที่น่าสนใจดังต่อไปนี้
- 33% ขององค์กรที่ถูกโจมตี ตรวจพบว่าการโจมตีเหล่านั้นเองจากหน่วยงานภายในองค์กร
- 67% ขององค์กรที่ถูกโจมตีนั้น ทราบว่าตัวเองถูกโจมตีจากการเตือนของหน่วยงานอื่นที่พบเหตุการณ์ผิดปกติเกิดขึ้น
- เวลาเฉลี่ยที่แต่ละองค์กรใช้ในการแก้ไขปัญหาการโจมตีแต่ละครั้งคือ 27 วัน
- เวลาเฉลี่ยที่ผู้โจมตีสามารถลักลอบเข้ามาอยู่ภายในระบบเครือข่ายขององค์กรได้คือ 229 วัน
- ในแต่ละสัปดาห์ แต่ละองค์กรจะถูกโจมตีเป็นผลสำเร็จถึง 1.4 ครั้งด้วยกัน
- ความเสียหายเฉลี่ยที่เกิดขึ้นกับแต่ละองค์กรจากการโจมตีเหล่านี้คือ 7.2 ล้านเหรียญดอลลาร์สหรัฐต่อปี
จะเห็นได้ว่าถ้าหากต้องการเก็บข้อมูลทางด้านความปลอดภัยทั้งหมดเพื่อใช้ตรวจสอบย้อนหลัง แต่ละองค์กรอาจต้องเก็บย้อนหลังมากถึง 229 วันโดยเฉลี่ย ในขณะที่เหตุการณ์การโจมตีที่เกิดขึ้นกับองค์กรนั้นก็มีอยู่เรื่อยๆ ทำให้การจัดเก็บข้อมูล Traffic ของระบบเครือข่ายให้เพียงพอต่อการตรวจสอบและวิเคราะห์นั้นเป็นโจทย์ที่ยากมากในเชิงของการลงทุน
Savvius Vigil กับความสามารถในการเก็บข้อมูล Network Traffic ทางด้านความปลอดภัยโดยเฉพาะ
Savvius Vigil เป็นโซลูชั่นที่ถูกออกแบบมาเพื่อใช้จัดเก็บข้อมูล Network Traffic สำหรับการวิเคราะห์ความปลอดภัยของระบบเครือข่ายโดยเฉพาะ โดยมีพื้นที่จัดเก็บข้อมูลภายในตัวมากถึง 64TB พร้อมเพิ่มขยายได้อีกทีละ 64TB โดยมี 1/10Gbps Network Interface มากถึง 4 ช่อง เพื่อให้รองรับต่อการบันทึกข้อมูลของ Network Traffic ต่างๆ ที่เกี่ยวข้องกับความปลอดภัย และเกิดขึ้นในระบบเครือข่ายได้อย่างครบถ้วน
เพื่ออธิบายให้เห็นภาพการทำงานของ Savvius Vigil ลำดับการทำงานเพื่อการบันทึกและจัดเก็บข้อมูลของ Network Traffic ที่เกี่ยวข้องกับการโจมตีและความปลอดภัยทั้งหมดมีดังนี้
- Savvius Vigil ทำการบันทึก Network Traffic ทั้งหมดเอาไว้ใน Buffer
- เมื่อ SIEM, IPS, IDS ตรวจพบเหตุการณ์การโจมตี หรือเหตุการณ์ทางด้านความปลอดภัยอื่นๆ ระบบเหล่านั้นก็จะทำการแจ้งข้อมูลของ Source/Destination IP ที่เกี่ยวข้องมายัง Savvius Vigil
- Savvius Vigil ทำการค้นหา Traffic ทั้งหมดใน Buffer ที่เกี่ยวข้องกับ Source/Destination IP เหล่านั้น และทำการบันทึกลง Storage เอาไว้ รวมถึง Traffic หลังจากนี้ที่เกี่ยวข้องกับ Source/Destination IP Address เหล่านั้นด้วย
ด้วยวิธีการทำงานลักษณะนี้ ทำให้ Savvius Vigil สามารถเลือกบันทึกได้เฉพาะ Traffic ที่น่าจะเกี่ยวข้องกับการโจมตีที่เกิดขึ้น และทำให้ผู้ดูแลระบบและนักวิเคราะห์ด้านความปลอดภัยมีข้อมูลเสริมในการตรวจสอบการโจมตีนั้นๆ ได้จาก Network Traffic เหล่านี้ โดยในเวลานี้ Savvius Vigil สามารถทำงานร่วมกับ SIEM และ IPS/IDS ชั้นนำได้หลากหลาย ไม่ว่าจะเป็น HP ArcSight, Cisco FireSIGHT, Snort, Suricata และอื่นๆ ได้อีกมากมาย
สำหรับผู้ที่สนใจ Savvius, Splunk หรือระบบ Data Center Monitoring, ระบบ Network Operation Center (NOC), ระบบ Security Operation Center (SOC), ระบบ SIEM และอยากพูดคุยเพื่อรับคำปรึกษาเพิ่มเติมหรือทดสอบระบบ สามารถติดต่อบริษัท STelligence ได้ทันทีที่ info@stelligence.com หรือติดต่อคุณธเนศ ฝ่ายขาย ที่โทร 089-444-2443 หรือโทร 02-938-7475 ได้ทันที หรือทำการกรอกแบบฟอร์มดังต่อไปนี้ เพื่อ Download Datasheet ภาษาไทยของ Savvius ได้เลย