สรุปงาน Malware for Lunch: เริ่มต้นวันของคุณด้วยการป้องกันภัยคุกคามที่ดีที่สุดกับ Cisco Sourcefire

cisco_logo_2     m-tech_logo_large

เมื่อวันที่ 23 กรกฏาคมที่ผ่านมา ทีมงาน TechTalkThai ได้มีโอกาสไปร่วมงาน Malware for Lunch ที่จัดขึ้นโดย Cisco Sourcefire ร่วมกับ M.Tech บริษัทที่ปรึกษาทางด้านระบบรักษาความปลอดภัยชั้นนำของประเทศไทย โดยมีจุดประสงค์เพื่ออัพเดทภาพรวมของภัยคุกคามสมัยใหม่ในปัจจุบัน และ Cisco AMP (Advanced Malware Protection) ผู้นำทางด้าน Breach Detection Systems สามารถช่วยเหลือและป้องกันการโจมตีรูปแบบใหม่ๆในปัจจุบันได้อย่างไร รวมทั้งรายงานสถานการณ์ของ Sourcefire หลังจากที่ถูกควบกิจการโดย Cisco งั้นขอเริ่มต้นด้วยเรื่องสุดท้ายก่อนเลยนะครับ

sourcefire_malware_for_lunch_opening

ภาพรวมของ Cisco หลังควบกิจการของ Sourcefire

จุดประสงค์หลักที่ Cisco เข้าซื้อกิจการของ Sourcefire คือ Cisco ต้องการเพิ่มศักยภาพในส่วนของระบบรักษาความปลอดภัยที่หลายคนมองว่าเป็นจุดด้อยของ Cisco เมื่อเทียบกับ Business Unit อื่นๆ ไม่ว่าจะเป็น Enterprise Networking, Data Center หรือ Collaboration รวมทั้งในปัจจุบันนี้ที่เทคโนโลยีกลายเป็นส่วนหนึ่งของการใช้งานในชีวิตประจำวัน หลายบริษัทเริ่มมีการนำเทคโนโลยีต่างๆมาใช้งานกันมากขึ้น เช่น แนวคิด BYOD ที่อนุญาตให้นำสมาร์ทโฟนหรือแท็บเล็ตส่วนตัวเข้ามาร่วมใช้งานในบริษัท, การยินยอมให้ใช้งาน Social Media เพื่อการตลาดหรือลูกค้าสัมพันธ์ หรือการใช้งานระบบคลาวด์เพื่อเพิ่มความสะดวกสบายและสามารถเข้าถึงจากที่ไหนก็ได้ เป็นต้น

การเปลี่ยนแปลงและการเติบโตของเทคโนโลยีนี้ ทำให้แฮ็คเกอร์มีช่องทางในการแทรกซึมและโจมตีเป้าหมายหลายรูปแบบมากยิ่งขึ้น Cisco ตระหนักถึงความสำคัญทางด้านระบบรักษาความปลอดภัยจึงได้เข้าเข้าซื้อกิจการของ Sourcefire เพื่อรวมประสิทธิภาพทางด้านเทคโนโลยีของตน เข้ากับระบบรักษาความปลอดภัยขั้นสุดยอดของ Sourcefire ส่งมอบเป็นโซลูชันครบวงจรเพื่อให้ลูกค้าของ Cisco ทุกคนมั่นใจในการใช้งานเทคโนโลยีใหม่ๆ รวมทั้งสามารถควบคุมการใช้งานของผู้ใช้ให้อยู่ภายในขอบเขตที่กำหนด และปลอดภัยจากภัยคุกคามทั้งปวง

โซลูชันด้าน Security ครบวงจรจาก Cisco และ Sourcefire
โซลูชันด้าน Security ครบวงจรจาก Cisco และ Sourcefire

ภัยคุกคามสมัยใหม่ใช้สารพัดวิธีมุ่งโจมตีที่เป้าหมายเฉพาะ

การโจมตีแบบใหม่ที่เป็นปัญหายุ่งยากในปัจจุบัน คือ การโจมตีแบบ Targeted Attack หรือ Advanced Persistent Threat (APT) ซึ่งต่างจากการโจมตีของแฮ็คเกอร์สมัยก่อนที่หว่านมัลแวร์ไปทั่ว ถ้าเจอช่องโหว่ที่ไหนก็ลองโจมตีที่นั่น กลับกัน Targeted Attack หรือ APT มักจะมีเป้าหมายเฉพาะตัว และแฮ็คเกอร์จะใช้หลายเทคนิค หลายวิธี ตั้งแต่วิธีธรรมดาทั่วไป จนถึงวิธีที่ซับซ้อน เช่น Phishing, Social Engineer, Zero-day หรือ Advanced Malware เพื่อโจมตีเป้าหมายโดยเฉพาะ ซึ่งจะค่อยๆแทรกซึม เจาะระบบไปเรื่อยๆ จนกว่าจะเจอช่องทาง และขโมยข้อมูลที่ต้องการออกมา บางทีอาจใช้เวลานับเป็นปีเลยทีเดียว

“สถิติที่ใช้เวลาในการโจมตีนานที่สุด คือ 4 ปี 10 เดือน และข้อมูลขนาดใหญ่ที่สุดที่ถูกขโมยออกไป คือ 6.5 TB ในระยะเวลา 10 เดือน

สถิติการโจมตีแบบ APT ปี 2014 โดย Verizon
สถิติการโจมตีแบบ APT ปี 2014 โดย Verizon

ระบบป้องกันภัยคุกคามในปัจจุบันป้องกันไม่ได้ 100%

ปัญหาที่ยุ่งยากของ Targeted Attack หรือ APT มาจากการที่มัลแวร์ถูกออกแบบมาเพื่อให้ใช้เฉพาะกับเป้าหมาย ทำให้ฐานข้อมูลของโปรแกรม Antivirus หรือ IPS ไม่สามารถตรวจจับได้ หรือการใช้วิธี Sandboxing ในการตรวจจับพฤติกรรมของไฟล์แปลกปลอมบางทีก็ไม่อาจระบุ Advanced Malware ที่มีความสามารถในการ “Sleep” หรือหยุดการทำงานตัวเองเมื่ออยู่ในระบบทดสอบได้เช่นกัน

นอกจากนี้ ภัยคุกคามในปัจจุบันมีสิ่งที่เรียกว่า Malware Ecosystem หรือก็คือ มัลแวร์และเหล่าสหาย ซึ่งเมื่อแฮ็คเกอร์เริ่มปล่อยมัลแวร์เข้ามาโจมตีระบบ มัลแวร์ไม่ได้มาเพียงแค่ตัวเดียว แต่มันมาเป็นชุดพร้อมกับเพื่อนๆ เช่น ไฟล์ข้อมูลที่เราเชื่อถือ อาจเป็นพาหะในการดาวน์โหลดมัลแวร์เข้าก็ได้ หรือมัลแวร์แบ่งส่วนตัวเองออกเป็นชิ้นๆปนมากับทราฟฟิคปกติ เมื่อเข้ามาในระบบเครือข่ายได้ครบแล้วก็ประกอบร่างแล้วโจมตีระบบ ต่อให้เรากวาดล้างมัลแวร์ในระบบจนหมดไป แต่ถ้าตัวต้นทางหรือช่องโหว่ยังมีอยู่ แฮ็คเกอร์ก็ยังคงสามารถแฝงมัลแวร์ตัวอื่นๆเข้ามาในระบบใหม่เรื่อยๆได้อยู่ดี

ป้องกันภัยคุกคามสมัยใหม่แบบครบวงจรกับ Sourcefire AMP

Sourcefire AMP เป็นโซลูชันที่เข้ามาตอบโจทย์การตรวจจับภัยคุกคามแบบ Targeted Attack และ APT โดยเฉพาะ เน้นโฟกัสที่การทำ “Visibility and Control” คือ ช่วยให้ผู้ดูแลระบบสามารถติดตามและควบคุมทราฟฟิคทั้งหมดในระบบเครือข่ายได้ เช่น ภัยคุกคามเข้ามาได้อย่างไร, ส่งผลกระทบอะไรต่อระบบ รวมทั้งสามารถจัดการกับภัยคุกคามและคลีนเครื่องที่ติดมัลแวร์ได้อย่างไร เป็นต้น

Sourcefire AMP จะติดตามการใช้งานทั้งหมดในระดับ Network และ Endpoint โดยนำข้อมูล Log จากทุกอุปกรณ์มาวิเคราะห์รวมกันผ่านกระบวนการ Big Data Analytics เพื่อรายงานเหตุการณ์ที่เกิดขึ้นในระบบผ่านการแสดงผลหน้า Dashboard เพียงหน้าเดียว ทำให้ผู้ดูแลระบบสามารถมองเห็นและเชื่อมโยงเหตุการณ์ทั้งหมดที่เกิดขึ้นได้โดยง่าย

สำหรับวิธีการตรวจจับมัลแวร์สมัยใหม่ Sourcefire AMP ก็มีสารพัดวิธีในการตรวจสอบเพื่อให้มีความถูกต้องและแม่นยำที่สุด ไม่ว่าจะเป็น Signature-based, Machine Learning, Advanced Analytics, Fuzzy Fingerprinting และ Dynamic Analysis (Sandboxing)

sourcefire_malware_for_lunch_amp

Retrospective Security: Big Brother is Watching You !!

คุณสมบัติเด่นของ Sourcefire AMP คือ ฟังก์ชัน Retrospective Security ที่ทำหน้าที่ติดตามและวิเคราะห์ข้อมูลตลอดเวลา เมื่อตรวจพบความผิดปกติ สามารถตรวจสอบลงรายละเอียดได้ว่า ความผิดปกติที่ตรวจจับได้คืออะไร, เข้ามาผ่านช่องทางไหน, ทำอะไรกับระบบไปบ้าง และมีการดาวน์โหลดไฟล์แปลกปลอมหรือนำพามัลแวร์เข้ามาด้วยหรือไม่ จากนั้นสามารถทำการกวาดล้างภัยคุกคามและกักกันไฟล์ที่เกี่ยวข้องหรือไฟล์พาหะให้หมดไปจากระบบได้อย่างสิ้นเชิง เสมือนย้อนเวลากลับไปก่อนที่จะมีเหตุการณ์ผิดปกติ

sourcefire_malware_for_lunch_retro_security

ภาพด้านล่างแสดงตัวอย่างการตรวจจับไฟล์แปลกปลอมหรือมัลแวร์ (สีแดง) ซึ่งถูกนำเข้ามาโดยใช้ช่องโหว่ของ Java-0-Day ผ่าน java.exe (สีเขียว) ซึ่งเป็นโปรแกรมที่ใช้งานกันตามปกติ โดยใช้ Retrospective Security

sourcefire_malware_for_lunch_trajectory

นอกจากนี้ Cisco Sourcefire ยังมีทีมงานวิจัยและเอนจิเนียร์มากกว่า 600 คนที่ทำงานทุกวันตลอด 24 ชั่วโมง เพื่อวิเคราะห์ข้อมูลภัยคุกคามรูปแบบใหม่ๆจากเซ็นเซอร์มากกว่า 1.6 ล้านตัวทั่วโลก บนข้อมูลมากกว่า 100 TB ต่อวัน เพื่ออัพเดทระบบของลูกค้าทุกคนให้ทันสมัยและปลอดภัยจากภัยคุกคามบนโลกไซเบอร์อยู่เสมอ

** Sourcefire AMP สามารถทำงานร่วมกับ Cisco Web และ Email Security ได้แล้ว และ Cisco Cloud Web Security ด้วยเช่นเดียวกัน **

Cisco Sourcefire ผู้นำทางด้าน Breach Detection Systems โดย NSS Labs

เดือนเมษายนที่ผ่านมา NSS Labs บริษัทชั้นนำทางด้านงานวิจัยทางความปลอดภัยของข้อมูล ได้ประกาศผลการทดสอบระบบ Breach Detection Systems หรือการตรวจจับการเจาะและแทรกซึมระบบคอมพิวเตอร์ ซึ่ง Sourcefire AMP v4.5.2 สามารถป้องกันภัยคุกคามโดยรวมได้สูงถึง 99.0% โดยมี TCO ต่ำสุดเป็นอันดับ 1 ซึ่งต่ำกว่าค่าเฉลี่ยเกือบ 30% และมีประสิทธิภาพการใช้งานที่ 1 Gbps เต็มตามที่ระบุไว้ใน Data Sheet

sourcefire_malware_for_lunch_nss_labs

ดูรายละเอียดรายงานฉบับเต็มได้ฟรีที่: https://info.sourcefire.com/2014NSSLabsBreachDetectionReport.html

ทั้งทีมงานของ Cisco Sourcefire ประเทศไทย และบริษัท M.Tech มีความพร้อมในการช่วยเหลือทุกท่านที่ประสบปัญหาด้านภัยคุกคามสมัยใหม่ หรือต้องการเสริมสร้างระบบป้องกันภัยให้แข็งแกร่งยิ่งขึ้น ถ้าท่านใดต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับ Sourcefire AMP หรือต้องการทดสอบระบบเพื่อใช้งานในองค์กร สามารถติดต่อได้ที่

m-tech_logo_large

M-Solutions Technology (Thailand) Co., Ltd
เบอร์โทร: +662 650 6500
อีเมลล์: mtth@mtechpro.com

sourcefire_malware_for_lunch_staff

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Elastic 9.4 ออกแล้ว

Elastic ได้ออกมาประกาศเปิดตัว Elastic 9.4 อย่างเป็นทางการ โดยเพิ่มความสามารถในการตรวจสอบการทำงานของ Context Engineering, Application และ Infrastructure เพิ่มเติม, เสริม AI ในการรักษาความมั่นคงปลอดภัย และเพิ่มความสามารถอื่นๆ อีกมากมาย ดังนี้

Extreme Networks เปิดตัว Wi-Fi 7 AP รุ่นใหม่ พร้อม Agentic AI สำหรับบริหารจัดการระบบเครือข่ายแบบอัตโนมัติ

Extreme Networks ได้ออกมาประกาศถึงอัปเดตครั้งใหญ่ โดยเปิดตัว Wi-Fi 7 Access Point รุ่นใหม่ล่าสุด 5 รุ่น พร้อมนวัตกรรมใหม่ในการบริหารจัดการระบบเครือข่ายด้วย AI Agent เพื่อดูแลรักษาระบบเครือข่ายขององค์กรให้ทำงานได้อย่างต่อเนื่องโดยอัตโนมัติ

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand