เมื่อวันที่ 23 กรกฏาคมที่ผ่านมา ทีมงาน TechTalkThai ได้มีโอกาสไปร่วมงาน Malware for Lunch ที่จัดขึ้นโดย Cisco Sourcefire ร่วมกับ M.Tech บริษัทที่ปรึกษาทางด้านระบบรักษาความปลอดภัยชั้นนำของประเทศไทย โดยมีจุดประสงค์เพื่ออัพเดทภาพรวมของภัยคุกคามสมัยใหม่ในปัจจุบัน และ Cisco AMP (Advanced Malware Protection) ผู้นำทางด้าน Breach Detection Systems สามารถช่วยเหลือและป้องกันการโจมตีรูปแบบใหม่ๆในปัจจุบันได้อย่างไร รวมทั้งรายงานสถานการณ์ของ Sourcefire หลังจากที่ถูกควบกิจการโดย Cisco งั้นขอเริ่มต้นด้วยเรื่องสุดท้ายก่อนเลยนะครับ
ภาพรวมของ Cisco หลังควบกิจการของ Sourcefire
จุดประสงค์หลักที่ Cisco เข้าซื้อกิจการของ Sourcefire คือ Cisco ต้องการเพิ่มศักยภาพในส่วนของระบบรักษาความปลอดภัยที่หลายคนมองว่าเป็นจุดด้อยของ Cisco เมื่อเทียบกับ Business Unit อื่นๆ ไม่ว่าจะเป็น Enterprise Networking, Data Center หรือ Collaboration รวมทั้งในปัจจุบันนี้ที่เทคโนโลยีกลายเป็นส่วนหนึ่งของการใช้งานในชีวิตประจำวัน หลายบริษัทเริ่มมีการนำเทคโนโลยีต่างๆมาใช้งานกันมากขึ้น เช่น แนวคิด BYOD ที่อนุญาตให้นำสมาร์ทโฟนหรือแท็บเล็ตส่วนตัวเข้ามาร่วมใช้งานในบริษัท, การยินยอมให้ใช้งาน Social Media เพื่อการตลาดหรือลูกค้าสัมพันธ์ หรือการใช้งานระบบคลาวด์เพื่อเพิ่มความสะดวกสบายและสามารถเข้าถึงจากที่ไหนก็ได้ เป็นต้น
การเปลี่ยนแปลงและการเติบโตของเทคโนโลยีนี้ ทำให้แฮ็คเกอร์มีช่องทางในการแทรกซึมและโจมตีเป้าหมายหลายรูปแบบมากยิ่งขึ้น Cisco ตระหนักถึงความสำคัญทางด้านระบบรักษาความปลอดภัยจึงได้เข้าเข้าซื้อกิจการของ Sourcefire เพื่อรวมประสิทธิภาพทางด้านเทคโนโลยีของตน เข้ากับระบบรักษาความปลอดภัยขั้นสุดยอดของ Sourcefire ส่งมอบเป็นโซลูชันครบวงจรเพื่อให้ลูกค้าของ Cisco ทุกคนมั่นใจในการใช้งานเทคโนโลยีใหม่ๆ รวมทั้งสามารถควบคุมการใช้งานของผู้ใช้ให้อยู่ภายในขอบเขตที่กำหนด และปลอดภัยจากภัยคุกคามทั้งปวง

ภัยคุกคามสมัยใหม่ใช้สารพัดวิธีมุ่งโจมตีที่เป้าหมายเฉพาะ
การโจมตีแบบใหม่ที่เป็นปัญหายุ่งยากในปัจจุบัน คือ การโจมตีแบบ Targeted Attack หรือ Advanced Persistent Threat (APT) ซึ่งต่างจากการโจมตีของแฮ็คเกอร์สมัยก่อนที่หว่านมัลแวร์ไปทั่ว ถ้าเจอช่องโหว่ที่ไหนก็ลองโจมตีที่นั่น กลับกัน Targeted Attack หรือ APT มักจะมีเป้าหมายเฉพาะตัว และแฮ็คเกอร์จะใช้หลายเทคนิค หลายวิธี ตั้งแต่วิธีธรรมดาทั่วไป จนถึงวิธีที่ซับซ้อน เช่น Phishing, Social Engineer, Zero-day หรือ Advanced Malware เพื่อโจมตีเป้าหมายโดยเฉพาะ ซึ่งจะค่อยๆแทรกซึม เจาะระบบไปเรื่อยๆ จนกว่าจะเจอช่องทาง และขโมยข้อมูลที่ต้องการออกมา บางทีอาจใช้เวลานับเป็นปีเลยทีเดียว
“สถิติที่ใช้เวลาในการโจมตีนานที่สุด คือ 4 ปี 10 เดือน และข้อมูลขนาดใหญ่ที่สุดที่ถูกขโมยออกไป คือ 6.5 TB ในระยะเวลา 10 เดือน”

ระบบป้องกันภัยคุกคามในปัจจุบันป้องกันไม่ได้ 100%
ปัญหาที่ยุ่งยากของ Targeted Attack หรือ APT มาจากการที่มัลแวร์ถูกออกแบบมาเพื่อให้ใช้เฉพาะกับเป้าหมาย ทำให้ฐานข้อมูลของโปรแกรม Antivirus หรือ IPS ไม่สามารถตรวจจับได้ หรือการใช้วิธี Sandboxing ในการตรวจจับพฤติกรรมของไฟล์แปลกปลอมบางทีก็ไม่อาจระบุ Advanced Malware ที่มีความสามารถในการ “Sleep” หรือหยุดการทำงานตัวเองเมื่ออยู่ในระบบทดสอบได้เช่นกัน
นอกจากนี้ ภัยคุกคามในปัจจุบันมีสิ่งที่เรียกว่า Malware Ecosystem หรือก็คือ มัลแวร์และเหล่าสหาย ซึ่งเมื่อแฮ็คเกอร์เริ่มปล่อยมัลแวร์เข้ามาโจมตีระบบ มัลแวร์ไม่ได้มาเพียงแค่ตัวเดียว แต่มันมาเป็นชุดพร้อมกับเพื่อนๆ เช่น ไฟล์ข้อมูลที่เราเชื่อถือ อาจเป็นพาหะในการดาวน์โหลดมัลแวร์เข้าก็ได้ หรือมัลแวร์แบ่งส่วนตัวเองออกเป็นชิ้นๆปนมากับทราฟฟิคปกติ เมื่อเข้ามาในระบบเครือข่ายได้ครบแล้วก็ประกอบร่างแล้วโจมตีระบบ ต่อให้เรากวาดล้างมัลแวร์ในระบบจนหมดไป แต่ถ้าตัวต้นทางหรือช่องโหว่ยังมีอยู่ แฮ็คเกอร์ก็ยังคงสามารถแฝงมัลแวร์ตัวอื่นๆเข้ามาในระบบใหม่เรื่อยๆได้อยู่ดี
ป้องกันภัยคุกคามสมัยใหม่แบบครบวงจรกับ Sourcefire AMP
Sourcefire AMP เป็นโซลูชันที่เข้ามาตอบโจทย์การตรวจจับภัยคุกคามแบบ Targeted Attack และ APT โดยเฉพาะ เน้นโฟกัสที่การทำ “Visibility and Control” คือ ช่วยให้ผู้ดูแลระบบสามารถติดตามและควบคุมทราฟฟิคทั้งหมดในระบบเครือข่ายได้ เช่น ภัยคุกคามเข้ามาได้อย่างไร, ส่งผลกระทบอะไรต่อระบบ รวมทั้งสามารถจัดการกับภัยคุกคามและคลีนเครื่องที่ติดมัลแวร์ได้อย่างไร เป็นต้น
Sourcefire AMP จะติดตามการใช้งานทั้งหมดในระดับ Network และ Endpoint โดยนำข้อมูล Log จากทุกอุปกรณ์มาวิเคราะห์รวมกันผ่านกระบวนการ Big Data Analytics เพื่อรายงานเหตุการณ์ที่เกิดขึ้นในระบบผ่านการแสดงผลหน้า Dashboard เพียงหน้าเดียว ทำให้ผู้ดูแลระบบสามารถมองเห็นและเชื่อมโยงเหตุการณ์ทั้งหมดที่เกิดขึ้นได้โดยง่าย
สำหรับวิธีการตรวจจับมัลแวร์สมัยใหม่ Sourcefire AMP ก็มีสารพัดวิธีในการตรวจสอบเพื่อให้มีความถูกต้องและแม่นยำที่สุด ไม่ว่าจะเป็น Signature-based, Machine Learning, Advanced Analytics, Fuzzy Fingerprinting และ Dynamic Analysis (Sandboxing)
Retrospective Security: Big Brother is Watching You !!
คุณสมบัติเด่นของ Sourcefire AMP คือ ฟังก์ชัน Retrospective Security ที่ทำหน้าที่ติดตามและวิเคราะห์ข้อมูลตลอดเวลา เมื่อตรวจพบความผิดปกติ สามารถตรวจสอบลงรายละเอียดได้ว่า ความผิดปกติที่ตรวจจับได้คืออะไร, เข้ามาผ่านช่องทางไหน, ทำอะไรกับระบบไปบ้าง และมีการดาวน์โหลดไฟล์แปลกปลอมหรือนำพามัลแวร์เข้ามาด้วยหรือไม่ จากนั้นสามารถทำการกวาดล้างภัยคุกคามและกักกันไฟล์ที่เกี่ยวข้องหรือไฟล์พาหะให้หมดไปจากระบบได้อย่างสิ้นเชิง เสมือนย้อนเวลากลับไปก่อนที่จะมีเหตุการณ์ผิดปกติ
ภาพด้านล่างแสดงตัวอย่างการตรวจจับไฟล์แปลกปลอมหรือมัลแวร์ (สีแดง) ซึ่งถูกนำเข้ามาโดยใช้ช่องโหว่ของ Java-0-Day ผ่าน java.exe (สีเขียว) ซึ่งเป็นโปรแกรมที่ใช้งานกันตามปกติ โดยใช้ Retrospective Security
นอกจากนี้ Cisco Sourcefire ยังมีทีมงานวิจัยและเอนจิเนียร์มากกว่า 600 คนที่ทำงานทุกวันตลอด 24 ชั่วโมง เพื่อวิเคราะห์ข้อมูลภัยคุกคามรูปแบบใหม่ๆจากเซ็นเซอร์มากกว่า 1.6 ล้านตัวทั่วโลก บนข้อมูลมากกว่า 100 TB ต่อวัน เพื่ออัพเดทระบบของลูกค้าทุกคนให้ทันสมัยและปลอดภัยจากภัยคุกคามบนโลกไซเบอร์อยู่เสมอ
** Sourcefire AMP สามารถทำงานร่วมกับ Cisco Web และ Email Security ได้แล้ว และ Cisco Cloud Web Security ด้วยเช่นเดียวกัน **
Cisco Sourcefire ผู้นำทางด้าน Breach Detection Systems โดย NSS Labs
เดือนเมษายนที่ผ่านมา NSS Labs บริษัทชั้นนำทางด้านงานวิจัยทางความปลอดภัยของข้อมูล ได้ประกาศผลการทดสอบระบบ Breach Detection Systems หรือการตรวจจับการเจาะและแทรกซึมระบบคอมพิวเตอร์ ซึ่ง Sourcefire AMP v4.5.2 สามารถป้องกันภัยคุกคามโดยรวมได้สูงถึง 99.0% โดยมี TCO ต่ำสุดเป็นอันดับ 1 ซึ่งต่ำกว่าค่าเฉลี่ยเกือบ 30% และมีประสิทธิภาพการใช้งานที่ 1 Gbps เต็มตามที่ระบุไว้ใน Data Sheet
ดูรายละเอียดรายงานฉบับเต็มได้ฟรีที่: https://info.sourcefire.com/2014NSSLabsBreachDetectionReport.html
ทั้งทีมงานของ Cisco Sourcefire ประเทศไทย และบริษัท M.Tech มีความพร้อมในการช่วยเหลือทุกท่านที่ประสบปัญหาด้านภัยคุกคามสมัยใหม่ หรือต้องการเสริมสร้างระบบป้องกันภัยให้แข็งแกร่งยิ่งขึ้น ถ้าท่านใดต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับ Sourcefire AMP หรือต้องการทดสอบระบบเพื่อใช้งานในองค์กร สามารถติดต่อได้ที่
M-Solutions Technology (Thailand) Co., Ltd
เบอร์โทร: +662 650 6500
อีเมลล์: mtth@mtechpro.com