Breaking News

สรุปความรู้พื้นฐานด้าน IT Security และการรักษาความปลอดภัยที่ใช้กันอยู่จริงภายใน Cisco เอง จาก Cisco Night Academy #3: Security: Hunting threat with Cisco

cisco_logo_2

Cisco เองนอกจากจะเป็นผู้นำเสนอโซลูชั่นด้าน Security แล้ว Cisco เองก็ยังเป็นผู้ใช้งานระบบ Security เองด้วย ในครั้งนี้ Cisco ก็มาเล่าเรื่องต่อยอดจากงาน Cisco Live! ในหัวข้อ Hunting Advanced Threats within Cisco ก็คือการตรวจจับภัยคุกคามต่างๆ ที่มีใน Cisco นั่นเอง ซึ่งทางทีมงาน TechTalkThai ก็ขอสรุปเนื้อหามาไว้ให้ผู้อ่านทุกท่านได้อ่านกันที่นี่นะครับ

ทั้งนี้ในตอนเรียนนั้นทางวิทยากรก็จะมีการยกกรณีตัวอย่างและกล่าวถึงบางเว็บไซต์ ซึ่งทางทีมงาน TechTalkThai ขออนุญาตเอาตรงนั้นออกนะครับ จะได้ไม่ส่งผลกระทบต่อชื่อเสียงของเว็บไซต์หรือหน่วยงานเหล่านั้น

Credit: ShutterStock.com
Credit: ShutterStock.com

Cisco ก็มีทีมรักษาความปลอดภัยให้พนักงานภายในองค์กรเช่นกัน

เนื่องจาก Cisco เป็นองค์กรขนาดใหญ่ ภายในบริษัท Cisco เองนั้นก็มีทีมงานที่คอยดูแลทางด้าน IT Security ให้กับพนักงานในองค์กรโดยเฉพาะ คล้ายๆ กับ CERT เองด้วยเช่นกัน รวมถึงยังมีทีม Security Operations สำหรับรับมือกับเรื่องการโจมตีต่างๆ โดยเฉพาะ และมีการใช้เครื่องมือต่างๆ ในการช่วยเหลือให้ทีมงานสามารถค้นหาภัยคุกคามต่างๆ ได้อย่างง่ายดายที่ Cisco ใช้กันภายใน

 

Threats หรือภัยคุกคาม กลายเป็นเรื่องใกล้ตัวของทุกคนไปแล้ว

สิ่งที่ผู้ใช้งานทุกคนควรจะทราบเอาไว้ก็คือ ในทุกๆ วินาทีที่เราเชื่อมต่อ Internet หรือเข้าเว็บไซต์ใดๆ ก็ตามแต่ เรามีความเสี่ยงในการที่จะถูกโจมตีอยู่เสมอ ตัวอย่างที่ใกล้ตัวสำหรับคนไทยก็คือ ในช่วงที่ผ่านมามีกรณีการที่เว็บไซต์ในไทยนั้นถูกโจมตีเพื่อฝังโค้ดที่เป็นอันตราย สำหรับใช้ในการเผยแพร่ Malware หรือโจมตีในรูปแบบต่างๆ เอาไว้ ซึ่งก็กลายเป็นช่องทางใหม่ในการโจมตีผู้ใช้งานอย่างเราๆ ได้อีกทางหนึ่งที่เราคาดไม่ถึง เพราะบางทีเว็บไซต์แห่งนั้นเราก็เข้าใช้งานอยู่ทุกวัน แต่อยู่มาวันหนึ่งเว็บนั้นก็กลายเป็นแหล่งแพร่กระจาย Malware ไปเสียแล้ว

อีกแนวโน้มหนึ่งที่ชัดเจนมากว่า Threats หรือภัยคุกคามนี้เป็นเรื่องที่ใกล้ตัวเรามากนั้น สามารถสังเกตได้จากการที่ระบบปฏิบัติการชั้นนำที่มีผู้ใช้งานจำนวนมากในทุกวันนี้ ไม่ว่าจะเป็น Microsoft Windows, Apple Mac OS X และ Apple iOS หรือแม้แต่ Google Android นั้น ต่างก็ออก Patch เพื่ออุดช่องโหว่ทางด้านความปลอดภัยบ่อยขึ้น ในขณะที่ข่าวคราวเรื่องของช่องโหว่ต่างๆ และการโจมตีรูปแบบใหม่ๆ รวมถึงการโจมตีที่ประสบผลสำเร็จและเกิดความเสียหายมูลค่ามหาศาลนั้นก็เยอะขึ้นเป็นเงาตามตัว ดังนั้นเราคงจะปฏิเสธการมีอยู่ของภัยคุกคามบนโลกอินเตอร์เน็ตที่เราอาจตกเป็นเป้าการโจมตีไม่ได้อีกแล้ว

ทั้งนี้องค์กรต่างๆ ควรจะรับทราบเอาไว้ว่าทุกวันนี้บน Internet มีผู้ไม่หวังดีคอย Scan ระบบต่างๆ อยู่ตลอดเวลาเพื่อหาช่องโหว่สำหรับทำการโจมตี และหาผลประโยชน์จากการโจมตีเหล่านั้นได้ทั้งทางตรงและทางอ้อม ดังนั้นไม่ว่าจะเป็นองค์กรเล็กหรือองค์กรใหญ่ต่างก็มีสิทธิ์ตกเป็นเป้าของการโจมตีได้ทั้งสิ้น ต่างจากสมัยก่อนที่เป้าของการโจมตีมักจะเป็นองค์กรขนาดใหญ่หรือหน่วยงานที่มีเงินเพียงเท่านั้น

สำหรับกรณีของ Cyberwar ที่เคยคิดว่าคงไม่เกิดขึ้นในประเทศไทย อันที่จริงในประเทศไทยเคยเกิดกรณีนี้ขึ้นมาแล้ว เมื่อครั้งที่เรามีปัญหาตามเขตแนวชายแดนกับประเทศต่างๆ ซึ่งในเวลานั้นประเทศไทยก็ถูกโจมตีบางระบบหรือบางเว็บไซต์ในช่วงเวลานั้น ซึ่งอย่างกรณีนี้ก็คือตัวอย่างของการโจมตีเพื่อหวังผลทางการเมืองนั่นเอง

อีกกรณีหนึ่งคือมีบริษัท SME เจ้าหนึ่งในประเทศไทย เคยติด Ransomware ซึ่งพอสืบค้นดูแล้วพบว่ามีต้นตอการแพร่ระบาดมาจากในเมืองไทยด้วยกันเอง โดย Hacker ชาวต่างชาติได้ทำแคมเปญนี้ โดยโจมตี Server ในประเทศไทยเพื่อใช้เป็นฐานในการแพร่กระจาย Malware ในเมืองไทยเพื่อโจมตีคนไทยด้วยกันเองโดยเฉพาะ จะได้เพิ่มโอกาสการประสบความสำเร็จในการโจมตีได้ ดังนั้นถึงแม้ว่าจะเป็นบริษัทเล็กๆ แต่แง่มุมของการโจมตีเพื่อหวังผลประโยชน์ในลักษณะนี้ก็เป็นเรื่องที่ไม่มีองค์กรไหนหนีพ้น

นอกจากนี้การมาของ Smartphone เองก็ทำให้ต้องมีมุมมองใหม่ๆ เกี่ยวกับการรักษาความปลอดภัยเพิ่มขึ้นเช่นกัน เดี๋ยวนี้ในองค์กรบางแห่งก็เริ่มมีการห้ามนำ Smartphone เข้าไปใช้งานแล้ว เพราะ Smartphone นั้นก็สามารถทำตัวเป็น USB Drive ได้ และอาจใช้เป็นอุปกรณ์ในการขโมยข้อมูล หรือใช้ในการแพร่ระบาดของไวรัสหรือ Malware ในองค์กรแห่งนั้นก็ได้เช่นกัน โดยที่ยังไม่ต้องพูดถึงเรื่องของการเชื่อมต่อเครือข่าย หรือการโจมตีระบบเครือข่ายผ่านอุปกรณ์เหล่านี้เลยด้วยซ้ำ

Cisco ได้สรุปสั้นๆ เอาไว้ว่า ภัยคุกคามใดๆ ก็ตาม เกิดจาก 3 องค์ประกอบ ดังต่อไปนี้

  1. ช่องโหว่ (Vulnerability) ทั้งในเชิง Technical คือการที่ซอฟต์แวร์หรือระบบต่างๆ มีช่องโหว่ในการทำงาน และ Weakness คือการใช้งานที่ไม่ปลอดภัย เช่น ใช้ การใช้ Default Password เป็นต้น รวมถึงการโจมตีเข้าผ่านทางผู้ใช้อย่าง Social Engineering ก็ตาม
  2. ผู้กระทำ (Actor) อาจจะเป็นคนใดคนหนึ่ง, องค์กร หรือหน่วยงานรัฐก็เป็นได้
  3. แรงบันดาลใจ (Motivation) ไม่ว่าจะเป็นการโจมตีเพื่อวัตถุประสงค์ทางการเงิน, การเมือง หรือการประชาสัมพันธ์ ซึ่งข้อมูลที่สามารถขโมยออกมาได้เหล่านี้ต่างก็มีราคาทั้งนั้น หรือแม้แต่ทุกช่องโหว่นั้นก็มีราคา และทุกระบบที่มีช่องโหว่และถูกโจมตีจนเป็นผลสำเร็จแล้ว ก็สามารถนำไปใช้ในการโจมตีระบบอื่นๆ อย่างต่อเนื่องได้ทั้งสิ้น

 

ประวัติศาสตร์ของ Threat หรือภัยคุกคาม และการโต้ตอบจากอุตสาหกรรม IT

เล่าโดยสรุปแล้ว ที่ผ่านมาของวงการ IT เรามีประวัติศาสตร์ทางด้านภัยคุกคามและการโต้ตอบดังต่อไปนี้

  • ในช่วงปี 2000 เป็นยุคของการโจมตีแบบ Host-based ผ่าน Virus/Worms และใช้เทคโนโลยี Signature-based อย่าง Anti-Virus ในการป้องกันเป็นหลัก
  • ในช่วงปี 2005 เป็นยุคของการโจมตีด้วย Spyware และ Rootkits ซึ่งก็มีเทคโนโลยีอย่าง IDS/IPS ที่ใช้ทั้ง Signature-based, Behavior-based มาคอยป้องกัน
  • ในช่วงปี 2010 ก็เริ่มเป็นยุคของ Cybersecurity และ Advanved Persistent Threats (APTs) ซึ่งก็มีการใช้ Global Reputation และ Sandboxing ขึ้นมาเป็นแนวทางหลักในการตรวจจับและป้องกัน
  • หลังจากปี 2015 ไปจนถึงอนาคต การโจมตีในรูปแบบที่หลากหลายบน Mobile และ Cloud เกิดขึ้นเยอะมากจนไม่สามารถแบ่งแยกรูปแบบได้อีกแล้ว ดังนั้นเทคโนโลยีหลักที่ใช้ในการรับมือจึงเป็นระบบ Intelligence & Analytics ที่สามารถตรวจจับการโจมตีลักษณะนี้ได้

ถึงแม้ในปัจจุบันนี้ การแบ่งปันข้อมูลทางด้านความปลอดภัย เพื่อใช้ในการตรวจสอบความน่าเชื่อถือของ URL และ File ต่างๆ รวมถึงข้อมูลเกี่ยวกับภัยคุกคามรูปแบบใหม่ๆ จะกลายเป็นหนทางหนึ่งที่จะช่วยให้ป้องกันการโจมตีที่มีความซับซ้อนสูงขึ้นได้ แต่เพียงเท่านี้ก็ยังถือว่าไม่เพียงพอต่อการรับมือการโจมตีในหลายๆ รูปแบบอยู่ดี

อีกข้อมูลหนึ่งที่น่าสนใจก็คือ จากผลสำรวจ Verizon Data Breach Report ซึ่งสำรวจองค์กรต่างๆ ทั่วโลกถึงแนวโน้มการโจมตีในสมัยนี้ชี้ให้เห็นว่า ฝั่งผู้โจมตีระบบนั้น สามารถเจาะระบบสำเร็จมากที่สุดได้ในเวลาเพียงไม่กี่นาที และสามารถดึงข้อมูลที่ต้องการออกไปได้ในเวลาไม่กี่นาทีถึงไม่กี่วัน ในขณะที่ฝั่งผู้ป้องกันต้องใช้เวลาหลักวันหรือหลักเดือนในการตรวจพบ ซึ่งส่วนใหญ่ต้องมีหน่วยงานภายนอกแจ้งเหตุการณ์ผิดปกติ หรือผู้โจมตีเป็นคนเปิดเผยร่องรอยเองหลังโจมตีสำเร็จแล้ว ในขณะที่เวลาที่ใช้ในการป้องกันหรือแก้ไขปัญหาเหล่านี้ก็อยู่ที่ระดับหลักวันจนถึงหลักเดือนเช่นกัน จะเห็นได้ว่าฝั่งผู้ป้องกันแทบไม่มีทางตามฝั่งผู้โจมตีทันได้เลย

กฎข้อหนึ่งสำหรับผู้ดูแลความปลอดภัยทุกคนที่ควรยึดไว้ให้มั่นและยอมรับเอาไว้ให้ได้ ก็คือในทุกๆ การแข่งขันด้านความปลอดภัยนั้น ฝั่งผู้โจมตีหรือ Hacker จะเป็นผู้ชนะเสมอ เพราะการโจมตีแต่ละครั้งจะสำเร็จหรือไม่นั้นก็ขึ้นอยู่กับเวลาที่ใช้ในการโจมตีเท่านั้น และ Internet เองก็เป็นช่องทางที่ทำให้ Hacker เข้าถึงเหยื่อหรือเป้าหมายได้ทั่วโลก ทำให้หลายๆ ครั้งจากประสบการณ์ของทีมงาน Cisco เองก็พบว่ามีการโจมตีจากหลายๆ ประเทศมายังประเทศไทยอยู่ด้วยเช่นกันจากการทดสอบระบบในประเทศไทย

และจากกฎดังกล่าว จุดเริ่มต้นของทุกการป้องกันการโจมตีในรูปแบบใหม่ๆ ที่มีความซับซ้อนสูงเหล่านี้ ก็คือการตรวจการโจมตีเหล่านั้นให้พบเร็วที่สุด เพราะเมื่อตรวจพบแล้วก็จะสามารถหาวิธีการป้องกันไม่ให้เกิดซ้ำสอง หรือป้องกันการโจมตีในรูปแบบที่คล้ายคลึงกันไปได้ ในขณะที่ก็จะสามารถบรรเทาความเสียหายที่เกืดขึ้นได้อย่างรวดเร็วที่สุด และลดความเสียหายที่จะเกิดขึ้นให้น้อยที่สุดเท่าที่จะเป็นไปได้

ตัวอย่างของการโจมตีด้วย Advanced Persistent Threats หรือ APTs ดังๆ ก็มี Stuxnet, Zeus, Night Dragon, Buckshot Yankee, Nitro, DUQU, US Satellite Hack, US Chamber of Commerce, Aurora และ Shady Rat ซึ่งผู้อ่านสามารถลองค้นหาแต่ละกรณีเพื่อศึกษารูปแบบการโจมตีเอาไว้เป็นแนวทางในการป้องกันและทำความเข้าใจมุมมองของผู้โจมตีได้มากขึ้น โดยล่าสุดทาง Cisco เองก็เพิ่งเจอการโจมตี Synful KNOCK ที่เป็นการติดตั้ง IOS Firmware ปลอมลงไปใน Cisco IOS Device เพื่อใช้ในการโจมตีต่อเนื่อง โดยติดตั้งผ่านการโจมตีอุปกรณ์ที่ใช้ Default Password, การโจมตีเครื่องคอมพิวเตอร์ของผู้ดูแลระบบเพื่อขโมยรหัสผ่าน, การเข้าถึงอุปกรณ์จริงเพื่อติดตั้ง Firmware เหล่านี้ และอื่นๆ

โดยรวมแล้ว Advanced Persistent Threats (APTs) เหล่านี้มีพฤติกรรมร่วมกันดังนี้

  • ถูกสร้างขึ้นมาเพื่อโจมตีระบบต่างๆ เฉพาะกลุ่ม โดยมีเป้าหมายที่ชัดเจน
  • พยายามหลบการป้องกันและการตรวจจับต่างๆ ของเป้าหมายให้ได้
  • เน้นการโจมตีภายในองค์กรเป็นหลักหลังจากหลบเลี่ยงการป้องกันเข้าไปได้
  • หลบเลี่ยงจากเทคนิคการป้องกันการโจมตีไปเรื่อยๆ จนกระทั่งโจมตีเป็นผลสำเร็จ

ในวงการ Security เริ่มมีการใช้กฎของการโจมตีแบบ 80:20 โดย 80% นั้นเป็นการโจมตีภายใน และ 20% นั้นเป็นการโจมตีจากภายนอก โดยเดี๋ยวนี้การสร้าง Malware ก็สามารถใช้ Tools เพื่อสร้าง Malware โดยเฉพาะได้แล้ว ซึ่งในขั้นตอนการสร้างนั้น ผู้สร้างสามารถเลือกสร้างให้ Malware ตัวนั้นๆ หลบหลีกการตรวจจับในรูปแบบต่างๆ ที่ต้องการได้ และสามารถทำการทดสอบได้ด้วยว่าจะถูกตรวจจับทางไหนได้บ้างจากการอัพโหลดขึ้น VirusTotal สำหรับทดสอบว่า Malware ตัวนั้นจะถูกตรวจจับหรือไม่ได้ทันที ทำให้การสร้าง Malware ที่ซับซ้อนขึ้นนั้นทำได้จากการทดสอบในลักษณะนี้อย่างต่อเนื่อง

อีกแนวโน้มหนึ่งที่ควรจะให้ความสนใจก็คือ ทุกวันนี้มีช่องโหว่ของ Application เพิ่มขึ้นมาก โดยในปี 2014 ทั้งปีมีการเปิดเผยราวๆ 8,000 ช่องโหว่ แต่ในปี 2015 ที่ผ่านมาเพียงครึ่งปีก็มีการเปิดเผยช่องโหว่ใหม่ๆ เกินกว่า 9,000 ช่องโหว่แล้ว ดังนั้นช่องโหว่ที่จะสามารถใช้ในการโจมตีได้นั้นมีจำนวนเยอะมาก และข่าวของการทดสอบช่องโหว่เหล่านั้นก็มีการเปิดเผยวิธีการด้วย ทำให้เดี๋ยวนี้การโจมตีระบบที่มีช่องโหว่สามารถทำได้ง่ายขึ้นกว่าเมื่อก่อนเป็นอย่างมาก

ส่วนในประเทศไทย นอกจากจะไม่ค่อยมีการ Patch เพื่ออุดช่องโหว่ต่างๆ แล้ว หลายๆ องค์กรหรือหน่วยงานก็ยังคงมีการใช้งาน Windows XP หรือ Windows Server รุ่นเก่าๆ หรือแม้แต่ Internet Explorer รุ่นเก่าแบบถอนออกไม่ได้ ดังนั้นการโจมตีจึงอาจเกิดได้อย่างง่ายดายเป็นอย่างมากจากการใช้ช่องโหว่ที่เป็นที่รู้จักอยู่แล้วแต่ไม่มีการป้องกันเหล่านี้ ในขณะที่ในต่างประเทศเองก็มีกฎหมายเรื่องการห้ามนำอุปกรณ์ที่อันตรายหรือมีความเสี่ยงต่อการถูกโจมตีในลักษณะนี้มาใช้งาน ซึ่งถ้าหากหน่วยงานใดฝ่าฝืนก็อาจจะถูกปรับหรือลดความน่าเชื่อถือลงได้

การโจมตีในทุกวันนี้สร้างความเสียหายกับภาคเอกชนได้มากถึง 1 Trillion USD ต่อปี ในขณะที่จากประสบการณ์การทดสอบระบบในประเทศไทยนั้นก็พบการโจมตีในทุกองค์กร โดยจากการสำรวจทั่วโลกนั้นพบว่า 59% ขององค์กรก็เชื่อว่าตัวเองถูกโจมตีหรือเคยถูกโจมตี และอีก 46% ก็เชื่อว่ายังคงมีช่องโหว่ที่จะถูกโจมตีอยู่อีกมากแม้จะมีการลงทุนด้านการรักษาความปลอดภัยเพิ่มเติม

 

Watering Hole และตัวอย่างการโจมตีที่ประสบผลสำเร็จ

Watering Hole คือการที่ผู้โจมตีทำการสืบค้นว่าเป้าหมายหรือเหยื่อนั้นมีการใช้งานเว็บไซต์ใดบ้าง และพยายามค้นหาช่องโหว่ในเว็บไซต์เหล่านั้นเพื่อทำการฝังโค้ดที่เป็นอันตราย (Malicious Code) สำหรับใช้ติดตั้ง Malware ลงไป และรอให้เป้าหมายหรือเหยื่อเข้าใช้งานเว็บไซต์เหล่านั้นและติด Malware จนนำไปสู่การโจมตีผ่าน Backdoor หรือ Command & Control (CnC) ได้ (อ่านข้อมูลเพิ่มเติมได้ที่ http://www.trendmicro.com.au/vinfo/au/threat-encyclopedia/web-attack/137/watering-hole-101)

การโจมตีแบบ Watering Hole นั้นเป็นหนึ่งในการโจมตีที่มีเป้าหมายในการโจมตีค่อนข้างชัดเจน ตัวอย่างหนึ่งที่เคยเกิดขึ้นในธุรกิจกลุ่มพลังงานนั้น เป้าหมายเป็นบ.พลังงานในประเทศแอฟริกา, โมรอกโก, บราซิล และมีโรงไฟฟ้าต่างๆ กระจายอยู่ทั่วโลก โดยมีการโจมตีเว็บไซต์กว่า 10 แห่งที่พนักงานในองค์กรแห่งนี้เข้าใช้ เพื่อทำการ Redirect หรือเปิด Request ไปยังเว็บไซต์อันตราย และทำการโจมตีพนักงานในองค์กรแห่งนั้นผ่าน URL นี้จนสำเร็จได้เมื่อมีพนักงานที่ใช้อุปกรณ์หรือระบบที่มีช่องโหว่กดคลิกเข้าเว็บไซต์ที่นำไปสู่การโจมตีเหล่านี้ได้ ซึ่งมีจุดที่น่าสนใจคือ การฝัง Malicious Code เหล่านี้บางทีอาจจะไม่ได้ฝังลงไปในเว็บไซต์ที่เป้าหมายเรียกเข้าใช้ตรงๆ แต่ไปทำการโจมตีลงบน Component เล็กๆ ที่เว็บไซต์เหล่านั้นเรียกใช้แทน หรือแม้แต่การไปโจมตีเว็บไซต์ที่ไม่เกี่ยวข้องกันเลยเพื่อฝัง Malicious Code แล้วจึงค่อยโจมตีเว็บไซต์ที่เป้าหมายเรียกใช้เพื่อฝังโค้ดที่เรียกใช้เว็บที่เพิ่งโจมตีมาก่อนนี้อีกชั้นหนึ่ง ก็ทำให้การตรวจจับนั้นเป็นไปได้ยากขึ้นไปอีก

 

Cisco CSIRT

Cisco นั้นถือเป็นองค์กรที่มีขนาดใหญ่ โดยมีกว่า 300 สาขาใน 90 ประเทศ โดยมีอาคารสำหรับทำงานมากถึง 400 อาคาร และมี Data Center หลักอยู่ 7 แห่งทั่วโลก มีแล็บกว่า 1,500 แห่ง มีพาร์ทเนอร์กว่า 25,000 ราย และมีพนักงานกว่า 200,000 คน ดังนั้นปริมาณการใช้งานระบบเครือข่ายของ Cisco จึงเยอะมากถึง 18,000 ล้าน Flow ต่อวัน, มี DNS Query ถึง 2,500 ล้านครั้งต่อวัน, เปิดใช้งาน 6 ล้านเว็บไซต์ต่อวัน, ตรวจสอบ Traffic กว่า 27TB ต่อวัน และพบ Malware เป็นจำนวน 1.2% ของ Transaction ทั้งหมด ด้วยข้อมูลภายในองค์กรปริมาณมหาศาลระดับนี้ ทำให้ Cisco สามารถทำ Big Data Analytics ภายในองค์กรตัวเองเพื่อค้นหากรโจมตีและวิเคราะห์ Trend ต่างๆ ได้ และทีมที่รับหน้าที่นี้ก็คือทีม CSIRT

CSIRT มีทีมที่ทำหน้าที่รวบรวมข้อมูลในระบบเครือข่ายสำหรับส่งต่อให้ทีมอื่นตรวจสอบ 13 คน, มีทีม Analyst 21 คน และมีทีม Investigator เพื่อตรวจหา APT จากข้อมูลที่ Analyst ส่งมาอีก 9 คน รวมถึงมีทีมนักวิเคราะห์สำหรับการวิเคราะห์ APT ภายในองค์กร 3 คน, โดย รวมทั้งสิ้นมี 46 คนที่ทำการวิเคราะห์ด้านการโจมตีสำหรับระบบเครือข่ายภายในองค์กร (ไม่รวมทีม NOC และ SOC)

ในการปกป้องระบบเครือข่ายภายในองค์กร Cisco มีระบบ IDS ตรวจสอบทุกข้อมูลที่วิ่งเข้าออกในแต่ละ Network Zone เพื่อคอยตรวจหาการโจมตีที่เกิดขึ้น เพราะในระบบเครือข่ายขนาดใหญ่ระดับนี้ถ้าหากต้องการเปิดทุก Feature ในการตรวจจับนั้น การวางขวางถือเป็นการออกแบบที่ค่อนข้างยาก และ Cisco เองก็ต้องการเห็นพฤติกรรมของการโจมตีเหล่านั้นเพื่อเก็บเป็นข้อมูลด้วย จึงไม่ทำการ Block ด้วย IPS และถัดมาก็คือการทำ NetFlow เพื่อตรวจสอบ Traffic ที่เกิดขึ้นภายในระบบเครือข่ายโดยใช้ Storage จัดเก็บในปริมาณน้อย แต่สำหรับที่สาขาอเมริกานั้นก็ถึงขั้นเก็บ Mirror Traffic เอาไว้เลย ซึ่งตอนนี้พวก Flow ต่างๆ ถือว่ามีบทบาทสำคัญทางด้าน Security เพิ่มขึ้นมาค่อนข้างมาก และ NetFlow ก็ถูกใช้เป็นข้อมูลหลักในการตรวจจับการโจมตีของ Cisco มาเป็นเวลานานแล้ว และสุดท้ายก็คือมีการเก็บ Log ของระบบต่างๆ ที่เกิดขึ้นเอาไว้ใน Syslog สำหรับตรวจสอบและวิเคราะห์ย้อนหลังได้นั่นเอง

ในมุมมองหนึ่งก็คือ ทุกวันนี้ยังไงองค์กรใหญ่ก็ตาม Hacker ไม่ทัน ดังนั้นอย่างน้อยๆ การเก็บหลักฐานเพื่อป้องกันไม่ให้เกิดภัยซ้ำสองได้ก็เป็นเรื่องจำเป็นเช่นกัน

 

เครื่องมือที่ Cisco CSIRT ใช้

Cisco CSIRT ทำการเก็บข้อมูล NetFlow ประมาณ 750GB ต่อวัน และเก็บข้อมูล Flow 18,000 ล้าน Flow ต่อวัน โดยเก็บข้อมูลเหล่านี้ย้อนหลังเอาไว้เฉลี่ย 120 วัน แตกต่างกันไปตามภูมิภาคขึ้นกับวัตถุประสงค์ในการใช้งาน เพื่อให้สามารถตรวจสอบเหตุการณ์ต่างๆ ที่เกิดขึ้นแบบย้อนหลังได้ โดยรวมเฉพาะข้อมูลจาก Choke Point เพื่อให้สามารถทำการค้นหาเหตุการณ์ต่างๆ ที่เกิดขึ้นได้ ผ่านการใช้โซลูชั่นของ Lancope และจึงใช้ Splunk ในการวิเคราะห์ข้อมูล SMC ที่ได้รับมาจาก Lancope สำหรับทำการแจ้งเตือน (Alert) เมื่อเกิดเหตุผิดปกติขึ้น

นอกจากนี้ยังมีการใช้ Cisco WSA เพื่อตรวจจับ Malware และพบว่า Malware ที่มากับเว็บมักจะมาจาก iFrame อีกทั้งยังเจอการโจมตีพื้นฐานอย่าง XSS และ SQL Injection โดยเว็บไซต์กว่า 83% ที่พนักงาน Cisco เข้าใช้งานนั้น มี Vulnerability อย่างน้อย 1 ช่องโหว่ที่ร้ายแรง โดย Adobe PDF และ Flash เป็นช่องทางในการโจมตีที่เติบโตขึ้นอย่างรวดเร็วในช่วงที่ผ่านมา

ทาง Cisco ได้ถามคำถามที่น่าสนใจแก่ผู้เข้าร่วมงาน Cisco Night Academy ครั้งนี้ว่า ถ้าหากมองย้อนกลับมาในองค์กรของเราเอง เราสามารถตรวจจับและนับสถิติเหล่านี้ได้หรือไม่?

โดยหนึ่งในสิ่งที่ Cisco ใช้ในการตรวจจับภัยคุกคามเหล่านี้บน Cisco WSA Cluster ก็คือเปิดให้ Cisco WSA ทำงานร่วมกับ Senderbase เพื่อกรองเว็บไซต์ต่างๆ ที่เข้าถึงจาก Desktop, Lab, Data Center, DMZ หรือแม้แต่ Remote Access ในแบบ Reputation-based โดยการติดตั้ง Cisco WSA Cluster แบบ Proxy โดยใช้ WCCP ในการ Redirect Traffic ไปยัง Cisco WSA Cluster และจากการโจมตีทั้งหมด พบว่า 88.1% นั้นถูกตรวจจับโดย Reputation, 11.9% ถูกตรวจจับโดย Anti-Malware, โดยมี Adware เป็นการโจมตีอันดับ 1, มี 3.2% เป็น Traffic ต้องสงสัย และมี 96.8% ที่เป็น Transaction ที่ปลอดภัย ซึ่ง Cisco เข้าซื้อ OpenDNS ด้วยเหตุผลที่ Reputation-base นี้สามารถคัดกรองความปลอดภัยได้อย่างมีประสิทธิภาพเป็นส่วนหนึ่ง โดยตอนนี้ OpenDNS ยังเปิดให้ใช้ฟรี ให้ลองไปใช้กันดูได้

ทางด้านการตรวจจับการโจมตีทาง Email นั้น Cisco ใช้ Cisco Email Security Appliance (ESA) ร่วมกับ AMP เพื่อตรวจสอบในลักษณะ Sandbox เพิ่มเติม และตรวจสอบด้วย Snort และ Splunk อีกชั้นหนึ่ง

ส่วนการติดตั้ง Cisco มี Network IDS ขวางระหว่างทุก Zone ของระบบเครือข่ายเลย เพื่อให้ปลอดภัยเสมอ หรือแม้แต่พนักงานที่เชื่อมต่อจากภายนอกบริษัท ก็จะต้องถูกบังคับให้ VPN กลับมาในองค์กรเสมอ เพื่อให้ทุก Traffic ตรวจสอบได้ตลอดเวลา และพบว่าจะต้องมี 18 เหตุการณ์ที่ต้องสงสัยเกิดขึ้นในทุกวินาที รวมเป็นวันละ 1.5 ล้านเหตุการณ์ที่ต้องตรวจสอบ รวมมีเหตุการณ์ที่เก็บไว้ทั้งสิ้น 1.2PB เลยทีเดียว

อีกจุดหนึ่งที่น่าสนใจคือ Cisco มีการใช้งาน Splunk ค่อนข้างเยอะมาก เพราะเมื่อเทียบกับ SIEM อื่นๆ แล้ว Splunk สามารถช่วยลดเวลาในการ Query ข้อมูลลงได้มากกว่า 20 เท่า ในขณะที่เก็บข้อมูลมากกว่า SIEM อื่นๆ เหตุผลทางด้านประสิทธิภาพนี้ทำให้ Cisco เลือกใช้ Splunk เป็นหลักนั่นเอง

เมื่อตรวจพบการโจมตีแล้ว สิ่งที่ Cisco ใช้ในการจัดการ ก็คือการทำ BGP Blackhole Routing (BGP BH) บน Router เพื่อป้องกันไม่ให้ Traffic อันตรายเดินทางไปถึงผู้ใช้งานได้ โดยก่อนที่ Cisco จะเข้าซื้อกิจการของ OpenDNS มา Cisco ก็ใช้ Passive DNS ร่วมกับ Farsight Security เป็นส่วนสำคัญในการรักษาความปลอดภัยในระดับของ DNS และทำ DNS Response Policy Zones (RPZ) เพื่อทำ Blacklist ของ Command & Control (CnC)

การซื้อ OpenDNS นี้นอกจากจะเพื่อใช้รักษาความปลอดภัยของระบบเครือข่ายในปัจจุบันแล้ว ก็ยังเป็นการรองรับการรักษาความปลอดภัยให้แก่ Internet of Things (IoT) ที่ไม่สามารถรักษาความปลอดภัยด้วยตัวเองได้เพราะข้อจำกัดทางด้านพลังในการประมวลผลของ CPU บนอุปกรณ์ขนาดเล็ก การใช้ DNS ช่วยกรองความปลอดภัยให้ก็เป็นอีกทางเลือกที่ประหยัด CPU ของอุปกรณ์ IoT ได้เป็นอย่างดี ซึ่งนี่ก็เป็นแนวคิดริเริ่มของการทำ DNS Firewall ดังนั้นระบบ DNS ที่สามารถช่วยรักษาความปลอดภัยในลักษณะนี้ก็จะจำเป็นกับองค์กรต่างๆ มากขึ้น และยังช่วยป้องกันไม่ให้องค์กรทำการเชื่อมต่อกับเว็บที่ทำการโจมตีลักษณะนี้ได้ทันทีเลย และยังประหยัดการประมวลผล Traffic ด้วย (คนละกรณีกับ DNSsec ที่ป้องกันการทำ Poisoning)

(เกร็ดความรู้เล็กน้อย ที่จีนมีการทำ IoT บุหรี่ไฟฟ้าที่เสียบ USB ได้ และฝังการโจมตีต่างๆ ลงมาด้วยในอุปกรณ์)

อีกมุมมองหนึ่งที่น่าสนใจก็คือ ในการต่อสู้กับ Hacker นั้น ถ้าหาก Cost ในการป้องกันขององค์กรต่างๆ แพงกว่า Cost ที่ Hacker ต้องใช้ในการโจมตี ผู้ป้องกันก็ต้องแพ้แน่ๆ ขึ้นอยู่กับเวลาเท่านั้น ดังนั้นการใช้ DNS Firewall จะช่วยให้องค์กรต่างๆ และอุปกรณ์ต่างๆ สามารถป้องกันตัวเองเบื้องต้นได้ใน Cost ที่ต่ำ สร้างโอกาสเพิ่มในการป้องกันการโจมตีให้สำเร็จได้

สุดท้ายแล้ว Cisco ก็ได้พัฒนาระบบ Threat Mitigation System (TMS) ซึ่งเป็นระบบ Custom เพื่อประสานงานร่วมกันระหว่างระบบทั้งหมดข้างต้นนี้

 

ทีม CSIRT CSOC

ในทีม CSOC ของ Cisco CSIRT นั้น มีคนเฝ้าระบบตลอด 24 ชั่วโมง 12 ชั่วโมงต่อกะ มีระบบ Awareness, Investigations, Forensics, SOCs และ Regulatory ครบถ้วน และมีวิวัฒนาการดังนี้

  • ในปี 2010 แบ่งทีมออกเป็นหลายๆ ทีมเพื่อแบ่งงานกันทำตามหน้าที่
  • ปี 2012 เพิ่มทีม APT ขึ้นมา มาตรวจหาภัยคุกคามเพิ่มเติมอีกชั้นหนึ่ง เพื่อให้สามารถค้นหา APT ได้รวดเร็วยิ่งขึ้นโดยไม่ต้องรอการสืบสวนจากภายนอกหรือแจ้งเตือนจากผู้อื่น หรือรอให้เกิดการเสียหายก่อน พฤติกรรมหนึ่งที่สังเกตได้ง่ายมากคือการพยายามเชื่อมต่อกับ Server ในประเทศแปลกๆ หรือ Server แปลกๆ ที่ไม่น่าเชื่อถือ ซึ่งในมุมของ Cisco มองว่าการรับมือกับ APT ไม่ใช่การซื้อผลิตภัณฑ์ แต่เป็นการวางกระบวนการการทำงานให้รับมือกับการโจมตีต่างๆ ให้ได้มากกว่า และเป็นงานที่ต้องมีคนรับผิดชอบโดยเฉพาะด้วย
  • ปี 2013 นี้ความสำคัญของการตรวจจับการโจมตีจาก Signature น้อยลง และการใช้ Flow, Behavior และ Intelligent เข้ามามีบทบาทมากเกินกว่า 75% ของการตรวจจับภัยคุกคามทั้งหมดเลยทีเดียว ดังนั้น Intelligent นั้นต้องทำงานเกือบ Real-time เพื่อให้รับมือกับภัยคุกคามได้ทัน และต้องปลดบล็อคให้ทันได้ด้วยเมื่อแก้ไขปัญหาต่างๆ ได้แล้วเพื่อให้ประสบการณ์การใช้งานนั้นยังคงดีอยู่ และก็ต้องใช้ข้อมูลทั้งหมดที่มีนี้ร่วมกันเพื่อให้การตรวจจับครอบคลุมและแม่นยำสูงสุด

อีกระบบที่น่าสนใจคือ Cisco มีระบบ IOC เพื่อให้คะแนนแต่ละระบบและอุปกรณ์ แล้วจึงทำการบล็อคเมื่อระบบนั้นถูกให้คะแนนว่าเป็นอันตรายถึง Threshold ที่กำหนด ทำให้ Cisco สามารถประนีประนอมการทำงานและความปลอดภัยของผู้ใช้งานได้ ในขณะที่มีโอกาสในการเก็บข้อมูลพฤติกรรมการโจมตีเพิ่มขึ้นด้วย

กรณีตัวอย่างหนึ่ง ภายใน Cisco เองก็เคยถูกโจมตีจนสำเร็จ และถูกตรวจพบได้จากการเห็นการเชื่อมต่อ IRC ออกไปภายนอก ซึ่งปกติไม่มีการใช้งาน IRC ภายในองค์กร Cisco ได้ใช้การทำ BGP Blackhole Route เพื่อยับยั้งการส่ง Traffic ไปยังเครื่อง Server ที่ใช้โจมตีได้จาก Switch ในทุกๆ เครื่องเลยทันที จากนั้นจึงทำการวิเคราะห์ Flow ย้อนหลัง และจับ IP Address ที่มีปัญหาเข้าไปในกลุ่ม Compromise Host ต่อได้ทันที จากนั้นก็ไปตรวจสอบเครื่องที่เป็น Victim ต่อว่าเกิดอะไรขึ้นบ้าง แล้วจึงค่อยไปทำการจัดการต่อว่าจะทำอย่างไรกับเครื่องเหล่านี้ในภายหลัง

(เกร็ดความรู้เพิ่มเติม ในงาน Blackhat ครั้งหนึ่ง ผู้เข้าร่วมงานทุกคนไม่กล้าเอาคอมพิวเตอร์หรือโทรศัพท์มือถือไปเลย เพราะกลัวโดนแฮ็คในงานแล้วเสียชื่อ ทุกคนเลยเอากระดาษกับดินสอไปจดกันแทน)

 

Cisco Threat Intelligent Platform

Cisco พยายามสร้าง Cloud จาก Cisco UCS จำนวน 45 เครื่อง สำหรับใช้รองรับ Hadoop, Hive, HBase, ElasticSearch, Titan และอื่นๆ เพื่อใช้รวมข้อมูลจาก DNS, FireAMP, WHOIS, 3rd Party, WSA และอื่นๆ มาวิเคราะห์เพื่อหาการโจมตีที่เกิดขึ้น (Cisco มีระบบแบบนี้ให้ลูกค้าใช้ชื่อ Cisco Advanced Threat Analysis – ATA) และสร้างขึ้นมาเพื่อใช้ค้นหาการโจมตีและยุบรวมเหลือเฉพาะ Incident ที่ควรจะจัดการจริงๆ โดยปัจจุบันมีการวิเคราะห์ข้อมูลอยู่กว่า 1.2PB, 3 billion DNS/day, 1 Biliion Web Data/day ซึ่งก่อนหน้านี้ที่ Sourcefire เองก็มีการพูดกันตลอดว่า Security คือเรื่องของ Big Data (Cisco ซื้อกิจการ Sourcefire เข้ามาเสริมทีม Security)

สาเหตุที่ต้องมีการนำ Big Data Analytics เข้ามาใช้ ก็เพราะว่าทุกวันนี้วิธีการที่ใช้ในการโจมตีก็มี Scope ที่ใหญ่ขึ้นมาก และตรวจจับหรือสร้างเป็นกฎเพื่อยับยั้งได้ค่อนข้างยาก ดังตัวอย่างต่อไปนี้

  • แคมเปญ Malvertising กรณี Kyle and Stan ที่เปิดเผยบน http://blogs.cisco.com/security/talos/kyle-and-stan นั้น ทำให้เห็นว่าเดี๋ยวนี้มี Malware ที่สามารถโจมตีได้ทั้ง Windows และ Mac OS X แล้ว และเลือกโจมตีด้วยวิธีการที่เหมาะสมกับแต่ละระบบปฏิบัติการ โดยการโจมตีทั้งหมดเกิดขึ้นโดยการใช้ Amazon AWS เป็นหลัก ทำให้ไม่มีใคร Block ด้วย IP Address ได้ง่ายนัก รวมถึงผู้โจมตียังสามารถย้าย IP Address ของเครื่องที่ใช้โจมตีได้ อีกทั้งยังสามารถสร้าง Subdomain ใหม่ๆ เพิ่มขึ้นมาเพื่อใช้ในการโจมตีได้อีกด้วย (ตอนนี้มีเทคโนโลยีที่ใช้การให้เครดิตกับแต่ละ Domain/Subdomain เพื่อป้องกันตรงนี้เพิ่มแล้ว)
  • Trojan Shylock ที่พยายามขโมย Username/Password ของบัตรเครดิตที่มีการใช้ Domain สำหรับ CnC จำนวนมาก โดยมี Node ที่เกี่ยวข้องในการแพร่กระจายและการโจมตีมากเกินกว่า 1,000 เครื่อง และพล็อตความสัมพันธ์ได้ผ่าน Maltego Carbon
  • DGA based Botnet ที่ทำ Cryptolocker ที่ใช้กว่า 1,000 Domain ในการโจมตี

นอกจากนี้ใน Cisco เองก็มีการตรวจสอบการเข้าใช้งาน Sensitive Data ภายในองค์กร ซึ่งบางกรณีข้อมูลอาจรั่วไหลเมื่อพนักงานนำข้อมูลเหล่านั้นออกไปใช้ภายนอกองค์กร ซึ่ง Cisco เริ่มทำการติดตามการนำข้อมูลไปใช้ ตั้งแต่มีการเรียกข้อมูลออกไปจาก Server และติดตามข้อมูลเหล่านั้นไปตลอดว่านำข้อมูลอะไรเข้าออกภายในองค์กรบ้าง รวมถึงมีการออกรายงานเพื่อตรวจสอบพฤติกรรมการเข้าถึงข้อมูลต่างๆ ที่ผิดปกติได้ผ่านการรวมข้อมูลจาก Agent ต่างๆ นอกจากนี้ใน Cisco ยังมีระบบสำหรับป้องกันการเข้าเว็บไซต์ที่เป็นอันตรายต่างๆ และยับยั้งเอาไว้ ซึ่งกลไกการตรวจสอบในลักษณะนี้ก็ถือว่าใช้งานได้ผลค่อนข้างดีเช่นกัน

ตอนนี้ Cisco มีระบบ Cisco ThreatGRID ทำ Malware Analysis ในลักษณะคล้ายๆ กับ Sandbox เพื่อตรวจสอบการทำงานของแต่ละ File เพื่อดูพฤติกรรม และให้คะแนนกับ File เหล่านั้นว่าได้คะแนนเท่าไหร่ ทำการเชื่อมต่อถึงใคร และอันตรายต่อการนำมาเปิดใช้งานหรือไม่ เป็นต้น เป็นอีกทางเลือกหนึ่งในการตรวจจับและป้องกัน Malware ได้เป็นอย่างดี

 

สรุปสิ่งที่องค์กรควรจะทำเพื่อรับมือกับประเด็นทางด้านความปลอดภัยในทุกวันนี้

1. ควรจะมีผู้บริหารที่ทำหน้าที่รับผิดชอบและตัดสินใจทางด้าน Cyber Security โดยเฉพาะ
2. ควรจะต้องเตรียมตัวกับการถูกโจมตีแบบซับซ้อน และถึงแม้วันนี้จะยังไม่โดนโจมตี แต่ซักวันต้องโดนแน่นอน
3. ต้องเตรียมรายการข้อมูลที่จำเป็น และเตรียมตัวเก็บข้อมูลมูลเหล่านั้นทั้งหมดเพื่อใช้ในการวิเคราะห์ย้อนหลัง
4. ต้องมีผู้เชี่ยวชาญที่สามารถสำรวจข้อมูลต่างๆ ทั้งภายในและภายนอกองค์กรที่อาจเป็นอันตรายกับองค์กรได้
5. ภัยคุกคามมาจากทุกทิศทาง ไม่ว่าจะเป็นการโจมตีที่ซับซ้อน, ภัยคุกคามที่เปลี่ยนแปลงตัวเองเรื่อยๆ, ความซับซ้อนทางการเมืองทั่วโลก, ผู้ใช้งานที่ Complicit, ผู้บริหาร ที่ยังไม่ระแวดระวังเรื่องนี้ และนโยบายที่ไม่เน้นความปลอดภัย

 

สำหรับผู้ที่สนใจ Trend ทางด้าน IT Security เพิ่มเติม ทาง Cisco ก็แนะนำให้ลองไปศึกษา Cisco 2015 Annual Security Report ที่ http://www.cisco.com/web/offers/lp/2015-annual-security-report/index.html ได้เลยครับ ซึ่งอันที่จริงทางทีมงาน TechTalkThai ก็เคยได้สัมภาษณ์สรุปมาแล้วรอบหนึ่งที่ https://www.techtalkthai.com/cisco-annual-security-report-2015-summary-thailand/ ครับ

 

Promotion สินค้าราคาพิเศษจาก Cisco หมดเขต 30 ตุลาคม 2015

สำหรับผู้ที่สนใจผลิตภัณฑ์ของ Cisco นั้น สามารถตรวจสอบโปรโมชั่นจากทาง Cisco Thailand ทั้ง Switch, Router, Wireless AP, Firewall, Server และ Video Conference ได้ทันทีที่ https://www.techtalkthai.com/cisco-enterprise-it-promotion-until-2015-10-30/ โดยโปรโมชั่นนี้จะหมดเขตในวันที่ 30 ตุลาคม 2015


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

รายงานเผย จีนมีสิทธิบัตรด้าน Blockchain มากที่สุดในโลก สูงกว่าสหรัฐอเมริกาถึง 3 เท่า

Nikkei ได้ออกมารายงานถึงผลการวิจัยจาก Astamuse แห่งญี่ปุ่น ถึงการยื่นจดสิทธิบัตรด้าน Blockchain ในอดีตที่ผ่านมาในช่วงปี 2009 - 2018 ซึ่งสหรัฐอเมริกา, จีน, ญี่ปุ่น, เกาหลีใต้ และเยอรมนีนั้นได้ยื่นจดสิทธิบัตรรวมกันประมาณ 12,000 รายการ ซึ่งหากนับสิทธิบัตรจากจีนเพียงอย่างเดียวแล้ว ก็มีมากถึง 7,600 รายการหรือราวๆ 60% เลยทีเดียว

CEBIT ASEAN Thailand 2019 ที่สุดของเวทีด้านธุรกิจไอทีและดิจิทัลเพื่อ SMEs

บริษัท อิมแพ็ค เอ็กซิบิชั่น แมเนจเม้นท์ จำกัดประกาศความพร้อมจัดงาน CEBIT ASEAN Thailand 2019 เวทีแสดงสินค้าและเจรจาธุรกิจ พร้อมสัมมนาให้ความรู้ ด้านไอทีและดิจิทัลที่ครบครันที่สุด ตอบโจทย์ผู้ประกอบการเอสเอ็มอีในยุคดิจิทัล โดยงานมีกำหนดจัดขึ้นระหว่างวันที่ 27-29 พฤศจิกายน 2562 ณ อาคาร 7 ศูนย์แสดงสินค้าและการประชุม อิมแพ็ค เมืองทองธานี