แนะนำ Darktrace โซลูชันป้องกันภัยคุกคามแบบ AI-Based

เมื่อไม่นานมานี้เราได้ไปพบกับผลิตภัณฑ์น่าสนใจตัวหนึ่งที่ถูกออกแบบมาให้ตรวจจับภัยคุกคามแบบต่างๆ ด้วยการใช้ Machine Learning ซึ่งเราก็เห็นว่าน่าสนใจดีเพราะเป็นแนวคิดที่ค่อนข้างทันสมัย เราจึงเข้าไปศึกษาตัวผลิตภัณฑ์และมานำเสนอให้ผู้อ่านได้ติดตามกันจะเป็นยังไงนั้นไปดูกันเลย

www.darktrace.com

ทำไม Machine Learning จึงมีความสำคัญต่อด้าน Security?

ในด้าน Security ผู้เชี่ยวชาญส่วนใหญ่เห็นตรงกันว่าไม่มีเครื่องมือหรือโซลูชันใดป้องกันภัยคุกคามได้ 100% ซึ่งโซลูชันแบบ Signature-based อย่างเดียวไม่สามารถต่อกรกับภัยคุกคามสมัยที่มุ่งเน้นเพื่อหลบเลี่ยงการตรวจจับและซ่อนตัวให้ได้นานเพื่อขโมยข้อมูล (APT)  ดังนั้นจึงเป็นที่มาของโซลูชันการป้องกันแบบ Behavior-based ที่นำเทคโนโลยีของ Machine Learning เข้ามาใช้เพื่อเรียนรู้ความแตกต่างระหว่างพฤติกรรมการใช้งานปกติและที่ผิดแผกไปจากเดิม (anomaly)

Darktrace คืออะไร ?

Darktrace เป็นผลิตภัณฑ์ป้องกันภัยคุกคามทีออกแบบด้วย Machine Learning อย่างแท้จริงด้วยโมเดลทางคณิตศาสตร์ ซึ่งทำให้การตรวจจับมีประสิทธิภาพถูกต้องแม่นยำ ลดค่า False Positive ลง และด้วยหน้า GUI ที่สามารถ Investigate ข้อมูลได้ครบถ้วนถายในหน้าเดียว ทำให้ผู้ใช้สะดวก ง่าย และไม่จำเป็นต้องรู้เรื่องคณิตศาสตร์ขั้นสูง

องค์ประกอบของและรูปแบบการทำงานของ Darktrace

www.darktrace.com/datasheet

องค์ประกอบมีอยู่ด้วยกัน 3 ส่วนดังนี้

1.Darkflow

ส่วนที่เก็บข้อมูลเครือข่ายและคัดกรองเฉพาะสิ่งที่เราสนใจให้กับโมเดลซึ่ง Darkflow สามารถรองรับข้อมูลได้ถึง 350 มิติ เลยทีเดียว ตัวอย่างเช่น ขนาดของไบต์ที่ส่ง เวลาที่ส่ง ความยาวของข้อมูล เป็นต้น จะเห็นได้ว่ายังมีอีกมากมายตามรูปด้านล่าง

www.darktrace.com/datasheet

2.Model 

สมการทางคณิตศาสตร์ที่ใช้ในการจำแนกข้อมูลของ Darktrace คือสมการที่ชื่อ Recursive Bayesian Estimation หรือ Bayes Filter (คนที่พื้นฐานด้าน Data Science หรือ Machine Learning คงรู้จักเป็นอย่างดีแล้ว) โดยทีมนักคณิตศาสตร์และผู้เชี่ยวชาญของ Darktrace ได้สร้างโมเดลพฤติกรรมที่ปกติมาให้แล้วเป็น 3 กลุ่มคือ พฤติกรรมของผู้ใช้งาน พฤติกรรมของอุปกรณ์ และ พฤติกรรมของเครือข่าย ซึ่งโมเดลเริ่มต้นนี้ผู้เชี่ยวชาญตัดสินแล้วว่าการใช้งานปกติเป็นอย่างไร ดังนั้นเมื่อนำ Darktrace มาใช้งานกับองค์กรของลูกค้า โมเดลเริ่มต้นนี้จะมีการอัปเดตผ่าน Call Home อยู่เรื่อยๆ เพื่อปรับให้เหมาะสมกับแต่ละองค์กร นอกจากนี้ Darktrace เองยังมีเครื่องมือให้ผู้ใช้งานที่มีความรู้ด้าน Machine Learning และ Security เข้ามาปรับแต่งโมเดลได้ในเชิงลึก

3.Threat Visualizer

www.darktrace.com/datasheet

ส่วนแสดงผลแจ้งเตือนต่างๆ (อารมณ์เหมือนเราดูผลลัพธ์บน Firewall) แต่จุดเด่นก็คือมีการแสดงผลเป็น 3 มิติทำให้เข้าใจได้ง่าย อีกทั้งยังมีการออกแบบมาให้ทำการ Query ที่ซับซ้อนได้ผ่านทางช่อง Search ซึ่งช่วยให้ผู้ดูแลเรียกดูข้อมูลของ Object ที่สนใจได้โดยตรง

โดยตัวการแสดงผลมีทางเลือกได้ 4 ช่องทางคือ

1. Threat tray จะเป็นหน้าจอ 3 มิติในโปรแกรมเมื่อเราล็อกอินเข้าตัว Darktrace

2. Dynamic Threat Dashboard เป็นหน้าจอแสดงอีเว้นต์ของเหตุการณ์ต่าง โดยได้มีการออกแบบให้ง่ายต่อทีมวิเคราะห์ข้อมูลด้วยการจำแนกข้อมูลมาระดับหนึ่งเพื่อให้มองภาพความสัมพันธ์ของเหตุการณ์ได้และขุดลึกไปถึงรายละเอียดปลีกย่อยได้ต่อไป

3. SOC Dashboard หน้าจอที่แสดงผลอีเว้นต์เหตุการณ์ต่างๆ บนมือถือ ซึ่งรองรับกับแพลตฟอร์มของ iOS ได้นั่นเอง

4. Automatic Alert ตัว Darktrace สามารถ Export ข้อมูลไปให้กับระบบ SIEM ได้หรือผ่านทาง API ไปยังระบบของ SOC และลิงก์ย้อนกลับมายังข้อมูล incident ใน Visualizer ได้

ส่วนการตอบสนองภัยคุกคามต่างๆ อย่างอัตโนมัติ

www.darktrace.ocm/datasheet

Darktrace เรียกส่วน Automatic Respond ว่า Antigena ซึ่งภายในนั้นมีโมเดลสำหรับภัยคุกคามแต่ละรูปแบบ เช่น Ransomware ใช้พอร์ท 445 ผ่านโปรโตคอล SMB ถ้าพบแล้วควรตอบสนองอย่างไร (คล้ายกับเรากำหนด Rule ให้กับ Firewall ว่ามีการเชื่อมต่อทางพอร์ตนี้ให้ Block ) แต่ข้อดีของ Darktrace คือสามารถทำได้ยืดหยุ่นกว่า เช่น เราจะบล็อกการเชื่อมต่อที่มีการส่ง Syn Packet มาทางพอร์ตที่สนใจ เป็นต้น มีหัวข้อที่ต้องรู้เกี่ยวกับ Antigena  3 ข้อดังนี้

1.Model

Darktrace แบ่งโมเดลการตอบสนองภัยคุกคามเป็น 4 กลุ่ม คือ Compliance, External Threat, Insider Threat และ Significant Anomaly โดยเริ่มแรกนั้นมีโมเดลต้นแบบมาให้อยู่แล้วในระดับหนึ่ง เช่น Insider Threat คือพฤติกรรมที่ทาง Darktrace ระบุว่าผิดปกติภายในการใช้งานเครือข่าย เช่นกันในส่วนนี้ผู้มีความรู้ด้าน Machine Learning และ Security สามารถเข้าไปปรับแต่งหรือสร้างโมเดลการตอบสนองภัยคุกคามที่ Darktrace เตรียมไว้ให้ได้ (ตามรูปด้านล่าง)

www.darktrace.com/datasheet

2.Mode และ Action

ในการใช้งาน Machine Learning นั้นต้องออกแบบมาให้สามารถรับมือกับ False Positive ได้ (การแจ้งเตือนผิดพลาดคือเหตุการณ์ปกติแต่แจ้งว่าไม่ดี) ดังนั้นตัว Antigena จึงทำงานได้ 3 โหมดดังนี้

  • Passive คือ เมื่อเกิดเหตุการณ์ตรงตามเงื่อนทีกําหนดไว้ ระบบจะแจ้งเตือนไปยังผู้ที่เกี่ยวข้อง
  • Human Confirmation คือ รอคําสั่งของผู้ดูแลให้เข้ามายืนยันและตัดสินใจว่าจะปฏิบัติอย่างไรต่อไป
  • Active คือ ปฏิบัติตามเงื่อนไขพารามิเตอร์ที่กําหนดไว้ทันทีโดยอัตโนมัติ เช่นการส่ง TCP Reset Package เพื่อตัดการเชื่อมต่อ

Action หลังจากที่พบเหตุการณ์ผิดปกติทำได้ดังนี้

  • หยุดหรือหน่วง เพื่อทำให้กิจกรรมที่เชี่อมโยงกับภัยคุกคามช้าลงแต่ไม่ได้บล็อก
  • กักกันชั่วคราว เช่น กำหนดให้ผู้ใช้งานหรืออุปกรณ์นั้น ใช้งานไม่ได้เป็นเวลาที่กำหนดเพื่อรอให้ทีมงานเข้ามาตรวจสอบ แต่ถ้าหากตรวจสอบพบว่าเป็นการแจ้งเตือนผิดพลาดก็ปลดออกหรือขยายเวลาการกักกันได้

3.โมดูลของ Antigena มี 3 ระดับตามรูปด้านล่าง 

  • Internet – ตอบสนองกับอุปกรณ์และการเชื่อมต่อของเครือข่าย รวมถึงสิทธิ์การเข้าถึงของผู้ใช้งาน
  • Network – ควบคุมผู้ใช้งานและการเข้าถึงของเครื่องต่อเครือข่ายอินเทอร์เน็ตและอื่นๆ
  • Email – ตอบสนองพฤติกรรมอีเมลขาเข้าและออก รวมถึงดูเนื้อหาของอีเมลด้วย
www.darktrace.com/datasheet

การทำงานของ Darktrace ไม่รบกวนการทำงานปกติ

เมื่อประกอบ Darktrace Core (Classifier), Visualizer และ Antigena เข้าด้วยกันจะทำให้เราสามารถกำหนดการทำงานได้ (ตามรูปด้านล่าง) โดยเส้นประคือ Classifier บอกว่าอะไรปกติและถ้า Antigena บอกว่าไม่ปกติจะให้ตอบสนองอย่างไร และแสดงผลผ่าน Virtualizer ซึ่งตัว Darktrace เองสามารถจัดการเฉพาะพฤติกรรมที่ผิดแปลกไปจากเดิมจริงๆ โดยไม่กระทบกับการใช้งานปกติของ Object นั้น (เส้นหนาสีม่วง)

www.darktrace.com/datasheet

เปรียบเทียบข้อดีข้อเสีย

ลำดับ
ข้อดี
ข้อเสีย
1.
มีการตั้งต้นโมเดล Classifier และ Antigena มาให้แล้วดังนั้นผู้ที่มีความรู้ฝั่ง Machine Learning และ Security จำกัดก็สามารถใช้งานได้
ต้องแน่ใจว่าทราฟฟิคข้อมูลที่จะนำไปพัฒนาโมเดลนั้นปลอดภัย โดยอาจจะตัดโซนจำลองระบบจริงมาทำก่อน
2.
โมเดลของ Classifier และ Antigena Model สามารถปรับแต่งหรือสร้างเองได้ ทำให้มีความยืดหยุ่นสูงมากๆ
การปรับแต่งโมเดลให้เกิดประสิทธิภาพสูงสุดนั้นต้องอาศัยพื้นฐานความรู้ในเรื่องของ Security และ Machine Learning เพื่อทำสร้างโมเดลที่เหมาะสมกับการใช้งาน
3.
การปรับแต่งหรือสร้างโมเดลถูกออกแบบมาในเชิงสัญลักษณ์เพื่อผู้ใช้ไม่ต้องมีความรู้คณิตศาสตร์ขั้นสูง
องค์กรที่มีการเปลี่ยนแปลงรูปแบบการใช้งานอยู่เรื่อยๆ บ่อยๆ อาจจะเข้าสู่สภาวะสเถียรได้ช้าเพราะต้องให้โมเดลเรียนรู้ปรับตัวอยู่เสมอ (แต่พบได้น้อยมากในความเป็นจริง)
4.
Antegina สามารถตอบสนองภัยคุกคามได้อย่างอัตโนมัติจึงป้องกันภัยได้อย่างฉับไว และ สามารถเลือกเป็น Manual เพื่อแก้ไขปัญหา False Positive ในช่วงเริ่มต้นใช้งานได้
5.
การทดสอบขอ POC สามารถ Span ทราฟฟิคจาก Switch เข้ามาได้จึงลดความยุ่งยากและไม่ส่งผลกระทบต่อระบบหลัก
6.
มีการอัปเดตโมเดลผ่านทางอินเทอร์เน็ตเรื่อยๆ ให้ทำให้โมเดลมีความทันสมัยต่อภัยคุกคามใหม่ๆ

สรุป

Darktrace สามารถเข้ามาช่วยปกป้องภัยคุกคามขององค์กรแบบ Behavior-based ได้อย่างแท้จริงด้วยเทคโนโลยี Machine Learning ซึ่งสามารถปรับให้เหมาะสมเข้ากับสภาพแวดล้อมของแต่ละองค์กรได้อีกด้วย นอกจากนี้ถือเป็นผลิตภัณฑ์ที่ออกแบบมาให้ตรงตามโจทย์ของโซลูชันป้องกันด้านความมั่นคงปลอดภัยที่ต้องมีคือ ตอบสนองได้อัตโนมัติเพื่อความรวดเร็ว สามารถจัดการกับภัยคุกคามได้ด้วยตัวเองทั้ง Detection และ Respond พร้อมกันนี้ยังเปิดโอกาสให้ส่งข้อมูลต่อไปยัง Third-party อย่าง Splunk, QRadar, ArcSight และ LogRythm เพื่อทำการวิเคราะห์เชิงลึกต่อไปได้ผ่าน API สามารถศึกษาเพิ่มเติมได้ที่ https://www.darktrace.com/resources/#data-sheets

ติดต่อ M. Tech

ผู้สนใจทดลองสามารถติดต่อตัวแทนจำหน่ายจากทีมงาน M-Solutions Technology (Thailand) ได้ทาง e-mail: chaisiri@mtechpro.com หรือ โทร 02-0596500




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco ยอดขายเติบโตเป็นประวัติการณ์ มุ่งโฟกัสด้าน Software เน้นหารายได้แบบ Recurring เป็นหลัก

Cisco ได้ออกมารายงานถึงผลประกอบการไตรมาสที่ 4 ของปีงบประมาณ 2018 ที่มีรายรับสูงถึง 12,800 ล้านเหรียญ หรือราวๆ 409,600 ล้านบาทซึ่งสูงที่สุดในประวัติการณ์ของ Cisco เติบโตจากไตรมาสเดียวกันของปีก่อนหน้า 6% และทำให้ยอดขายรวมของปีงบประมาณ …

ธนาคารอินเดียถูก Hacker โจมตี สูญเงินกว่า 400 ล้านบาทในเวลาเพียง 3 วัน

Cosmos Bank ธนาคารที่ใหญ่ที่สุดเป็นอันดับที่ 2 ของอินเดีย ได้ออกมาแถลงถึงการที่ระบบ Server ของธนาคารถูกโจมตีในช่วงวันหยุดสุดสัปดาห์ และถูกขโมยเงินไปกว่า 13.5 ล้านเหรียญหรือราวๆ 432 ล้านบาทภายในเวลาเพียงแค่ 3 วัน