TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
เมื่อไม่นานมานี้เราได้ไปพบกับผลิตภัณฑ์น่าสนใจตัวหนึ่งที่ถูกออกแบบมาให้ตรวจจับภัยคุกคามแบบต่างๆ ด้วยการใช้ Machine Learning ซึ่งเราก็เห็นว่าน่าสนใจดีเพราะเป็นแนวคิดที่ค่อนข้างทันสมัย เราจึงเข้าไปศึกษาตัวผลิตภัณฑ์และมานำเสนอให้ผู้อ่านได้ติดตามกันจะเป็นยังไงนั้นไปดูกันเลย
ทำไม Machine Learning จึงมีความสำคัญต่อด้าน Security?
ในด้าน Security ผู้เชี่ยวชาญส่วนใหญ่เห็นตรงกันว่าไม่มีเครื่องมือหรือโซลูชันใดป้องกันภัยคุกคามได้ 100% ซึ่งโซลูชันแบบ Signature-based อย่างเดียวไม่สามารถต่อกรกับภัยคุกคามสมัยที่มุ่งเน้นเพื่อหลบเลี่ยงการตรวจจับและซ่อนตัวให้ได้นานเพื่อขโมยข้อมูล (APT) ดังนั้นจึงเป็นที่มาของโซลูชันการป้องกันแบบ Behavior-based ที่นำเทคโนโลยีของ Machine Learning เข้ามาใช้เพื่อเรียนรู้ความแตกต่างระหว่างพฤติกรรมการใช้งานปกติและที่ผิดแผกไปจากเดิม (anomaly)
Darktrace คืออะไร ?
Darktrace เป็นผลิตภัณฑ์ป้องกันภัยคุกคามทีออกแบบด้วย Machine Learning อย่างแท้จริงด้วยโมเดลทางคณิตศาสตร์ ซึ่งทำให้การตรวจจับมีประสิทธิภาพถูกต้องแม่นยำ ลดค่า False Positive ลง และด้วยหน้า GUI ที่สามารถ Investigate ข้อมูลได้ครบถ้วนถายในหน้าเดียว ทำให้ผู้ใช้สะดวก ง่าย และไม่จำเป็นต้องรู้เรื่องคณิตศาสตร์ขั้นสูง
องค์ประกอบของและรูปแบบการทำงานของ Darktrace
องค์ประกอบมีอยู่ด้วยกัน 3 ส่วนดังนี้
1.Darkflow
ส่วนที่เก็บข้อมูลเครือข่ายและคัดกรองเฉพาะสิ่งที่เราสนใจให้กับโมเดลซึ่ง Darkflow สามารถรองรับข้อมูลได้ถึง 350 มิติ เลยทีเดียว ตัวอย่างเช่น ขนาดของไบต์ที่ส่ง เวลาที่ส่ง ความยาวของข้อมูล เป็นต้น จะเห็นได้ว่ายังมีอีกมากมายตามรูปด้านล่าง
2.Model
สมการทางคณิตศาสตร์ที่ใช้ในการจำแนกข้อมูลของ Darktrace คือสมการที่ชื่อ Recursive Bayesian Estimation หรือ Bayes Filter (คนที่พื้นฐานด้าน Data Science หรือ Machine Learning คงรู้จักเป็นอย่างดีแล้ว) โดยทีมนักคณิตศาสตร์และผู้เชี่ยวชาญของ Darktrace ได้สร้างโมเดลพฤติกรรมที่ปกติมาให้แล้วเป็น 3 กลุ่มคือ พฤติกรรมของผู้ใช้งาน พฤติกรรมของอุปกรณ์ และ พฤติกรรมของเครือข่าย ซึ่งโมเดลเริ่มต้นนี้ผู้เชี่ยวชาญตัดสินแล้วว่าการใช้งานปกติเป็นอย่างไร ดังนั้นเมื่อนำ Darktrace มาใช้งานกับองค์กรของลูกค้า โมเดลเริ่มต้นนี้จะมีการอัปเดตผ่าน Call Home อยู่เรื่อยๆ เพื่อปรับให้เหมาะสมกับแต่ละองค์กร นอกจากนี้ Darktrace เองยังมีเครื่องมือให้ผู้ใช้งานที่มีความรู้ด้าน Machine Learning และ Security เข้ามาปรับแต่งโมเดลได้ในเชิงลึก
3.Threat Visualizer
ส่วนแสดงผลแจ้งเตือนต่างๆ (อารมณ์เหมือนเราดูผลลัพธ์บน Firewall) แต่จุดเด่นก็คือมีการแสดงผลเป็น 3 มิติทำให้เข้าใจได้ง่าย อีกทั้งยังมีการออกแบบมาให้ทำการ Query ที่ซับซ้อนได้ผ่านทางช่อง Search ซึ่งช่วยให้ผู้ดูแลเรียกดูข้อมูลของ Object ที่สนใจได้โดยตรง
โดยตัวการแสดงผลมีทางเลือกได้ 4 ช่องทางคือ
1. Threat tray จะเป็นหน้าจอ 3 มิติในโปรแกรมเมื่อเราล็อกอินเข้าตัว Darktrace
2. Dynamic Threat Dashboard เป็นหน้าจอแสดงอีเว้นต์ของเหตุการณ์ต่าง โดยได้มีการออกแบบให้ง่ายต่อทีมวิเคราะห์ข้อมูลด้วยการจำแนกข้อมูลมาระดับหนึ่งเพื่อให้มองภาพความสัมพันธ์ของเหตุการณ์ได้และขุดลึกไปถึงรายละเอียดปลีกย่อยได้ต่อไป
3. SOC Dashboard หน้าจอที่แสดงผลอีเว้นต์เหตุการณ์ต่างๆ บนมือถือ ซึ่งรองรับกับแพลตฟอร์มของ iOS ได้นั่นเอง
4. Automatic Alert ตัว Darktrace สามารถ Export ข้อมูลไปให้กับระบบ SIEM ได้หรือผ่านทาง API ไปยังระบบของ SOC และลิงก์ย้อนกลับมายังข้อมูล incident ใน Visualizer ได้
ส่วนการตอบสนองภัยคุกคามต่างๆ อย่างอัตโนมัติ
Darktrace เรียกส่วน Automatic Respond ว่า Antigena ซึ่งภายในนั้นมีโมเดลสำหรับภัยคุกคามแต่ละรูปแบบ เช่น Ransomware ใช้พอร์ท 445 ผ่านโปรโตคอล SMB ถ้าพบแล้วควรตอบสนองอย่างไร (คล้ายกับเรากำหนด Rule ให้กับ Firewall ว่ามีการเชื่อมต่อทางพอร์ตนี้ให้ Block ) แต่ข้อดีของ Darktrace คือสามารถทำได้ยืดหยุ่นกว่า เช่น เราจะบล็อกการเชื่อมต่อที่มีการส่ง Syn Packet มาทางพอร์ตที่สนใจ เป็นต้น มีหัวข้อที่ต้องรู้เกี่ยวกับ Antigena 3 ข้อดังนี้
1.Model
Darktrace แบ่งโมเดลการตอบสนองภัยคุกคามเป็น 4 กลุ่ม คือ Compliance, External Threat, Insider Threat และ Significant Anomaly โดยเริ่มแรกนั้นมีโมเดลต้นแบบมาให้อยู่แล้วในระดับหนึ่ง เช่น Insider Threat คือพฤติกรรมที่ทาง Darktrace ระบุว่าผิดปกติภายในการใช้งานเครือข่าย เช่นกันในส่วนนี้ผู้มีความรู้ด้าน Machine Learning และ Security สามารถเข้าไปปรับแต่งหรือสร้างโมเดลการตอบสนองภัยคุกคามที่ Darktrace เตรียมไว้ให้ได้ (ตามรูปด้านล่าง)
2.Mode และ Action
ในการใช้งาน Machine Learning นั้นต้องออกแบบมาให้สามารถรับมือกับ False Positive ได้ (การแจ้งเตือนผิดพลาดคือเหตุการณ์ปกติแต่แจ้งว่าไม่ดี) ดังนั้นตัว Antigena จึงทำงานได้ 3 โหมดดังนี้
- Passive คือ เมื่อเกิดเหตุการณ์ตรงตามเงื่อนทีกําหนดไว้ ระบบจะแจ้งเตือนไปยังผู้ที่เกี่ยวข้อง
- Human Confirmation คือ รอคําสั่งของผู้ดูแลให้เข้ามายืนยันและตัดสินใจว่าจะปฏิบัติอย่างไรต่อไป
- Active คือ ปฏิบัติตามเงื่อนไขพารามิเตอร์ที่กําหนดไว้ทันทีโดยอัตโนมัติ เช่นการส่ง TCP Reset Package เพื่อตัดการเชื่อมต่อ
Action หลังจากที่พบเหตุการณ์ผิดปกติทำได้ดังนี้
-
หยุดหรือหน่วง เพื่อทำให้กิจกรรมที่เชี่อมโยงกับภัยคุกคามช้าลงแต่ไม่ได้บล็อก
-
กักกันชั่วคราว เช่น กำหนดให้ผู้ใช้งานหรืออุปกรณ์นั้น ใช้งานไม่ได้เป็นเวลาที่กำหนดเพื่อรอให้ทีมงานเข้ามาตรวจสอบ แต่ถ้าหากตรวจสอบพบว่าเป็นการแจ้งเตือนผิดพลาดก็ปลดออกหรือขยายเวลาการกักกันได้
3.โมดูลของ Antigena มี 3 ระดับตามรูปด้านล่าง
-
Internet – ตอบสนองกับอุปกรณ์และการเชื่อมต่อของเครือข่าย รวมถึงสิทธิ์การเข้าถึงของผู้ใช้งาน
-
Network – ควบคุมผู้ใช้งานและการเข้าถึงของเครื่องต่อเครือข่ายอินเทอร์เน็ตและอื่นๆ
-
Email – ตอบสนองพฤติกรรมอีเมลขาเข้าและออก รวมถึงดูเนื้อหาของอีเมลด้วย
การทำงานของ Darktrace ไม่รบกวนการทำงานปกติ
เมื่อประกอบ Darktrace Core (Classifier), Visualizer และ Antigena เข้าด้วยกันจะทำให้เราสามารถกำหนดการทำงานได้ (ตามรูปด้านล่าง) โดยเส้นประคือ Classifier บอกว่าอะไรปกติและถ้า Antigena บอกว่าไม่ปกติจะให้ตอบสนองอย่างไร และแสดงผลผ่าน Virtualizer ซึ่งตัว Darktrace เองสามารถจัดการเฉพาะพฤติกรรมที่ผิดแปลกไปจากเดิมจริงๆ โดยไม่กระทบกับการใช้งานปกติของ Object นั้น (เส้นหนาสีม่วง)
เปรียบเทียบข้อดีข้อเสีย
|
ลำดับ
|
ข้อดี
|
ข้อเสีย
|
|
1.
|
มีการตั้งต้นโมเดล Classifier และ Antigena มาให้แล้วดังนั้นผู้ที่มีความรู้ฝั่ง Machine Learning และ Security จำกัดก็สามารถใช้งานได้
|
ต้องแน่ใจว่าทราฟฟิคข้อมูลที่จะนำไปพัฒนาโมเดลนั้นปลอดภัย โดยอาจจะตัดโซนจำลองระบบจริงมาทำก่อน
|
|
2.
|
โมเดลของ Classifier และ Antigena Model สามารถปรับแต่งหรือสร้างเองได้ ทำให้มีความยืดหยุ่นสูงมากๆ
|
การปรับแต่งโมเดลให้เกิดประสิทธิภาพสูงสุดนั้นต้องอาศัยพื้นฐานความรู้ในเรื่องของ Security และ Machine Learning เพื่อทำสร้างโมเดลที่เหมาะสมกับการใช้งาน
|
|
3.
|
การปรับแต่งหรือสร้างโมเดลถูกออกแบบมาในเชิงสัญลักษณ์เพื่อผู้ใช้ไม่ต้องมีความรู้คณิตศาสตร์ขั้นสูง
|
องค์กรที่มีการเปลี่ยนแปลงรูปแบบการใช้งานอยู่เรื่อยๆ บ่อยๆ อาจจะเข้าสู่สภาวะสเถียรได้ช้าเพราะต้องให้โมเดลเรียนรู้ปรับตัวอยู่เสมอ (แต่พบได้น้อยมากในความเป็นจริง)
|
|
4.
|
Antegina สามารถตอบสนองภัยคุกคามได้อย่างอัตโนมัติจึงป้องกันภัยได้อย่างฉับไว และ สามารถเลือกเป็น Manual เพื่อแก้ไขปัญหา False Positive ในช่วงเริ่มต้นใช้งานได้
|
|
|
5.
|
การทดสอบขอ POC สามารถ Span ทราฟฟิคจาก Switch เข้ามาได้จึงลดความยุ่งยากและไม่ส่งผลกระทบต่อระบบหลัก
|
|
|
6.
|
มีการอัปเดตโมเดลผ่านทางอินเทอร์เน็ตเรื่อยๆ ให้ทำให้โมเดลมีความทันสมัยต่อภัยคุกคามใหม่ๆ
|
สรุป
Darktrace สามารถเข้ามาช่วยปกป้องภัยคุกคามขององค์กรแบบ Behavior-based ได้อย่างแท้จริงด้วยเทคโนโลยี Machine Learning ซึ่งสามารถปรับให้เหมาะสมเข้ากับสภาพแวดล้อมของแต่ละองค์กรได้อีกด้วย นอกจากนี้ถือเป็นผลิตภัณฑ์ที่ออกแบบมาให้ตรงตามโจทย์ของโซลูชันป้องกันด้านความมั่นคงปลอดภัยที่ต้องมีคือ ตอบสนองได้อัตโนมัติเพื่อความรวดเร็ว สามารถจัดการกับภัยคุกคามได้ด้วยตัวเองทั้ง Detection และ Respond พร้อมกันนี้ยังเปิดโอกาสให้ส่งข้อมูลต่อไปยัง Third-party อย่าง Splunk, QRadar, ArcSight และ LogRythm เพื่อทำการวิเคราะห์เชิงลึกต่อไปได้ผ่าน API สามารถศึกษาเพิ่มเติมได้ที่ https://www.darktrace.com/resources/#data-sheets
ติดต่อ M. Tech
ผู้สนใจทดลองสามารถติดต่อตัวแทนจำหน่ายจากทีมงาน M-Solutions Technology (Thailand) ได้ทาง e-mail: chaisiri@mtechpro.com หรือ โทร 02-0596500
