เมื่อวานนี้ ทีมงาน TechTalkThai มีโอกาสได้รับเชิญไปในงาน Sophos Partner Day ซึ่งเป็นงานอัพเดทเทคโนโลยีใหม่ๆของ Sophos ผู้ให้บริการโซลูชันด้านความปลอดภัยครบวงจรชื่อดังจากสหราชอาณาจักร ไม่จะเป็นระบบเครือข่ายหรือเครื่องปลายทาง (Endpoint) เรื่องเด่นสุดในงานนี้คงหนีไม่พ้นเทคโนโลยีใหม่สำหรับซิงโครไนซ์ Firewall และ Endpoint เข้าด้วยกัน หรือที่เรียกว่า Security Heartbeat
อัพเดทความเป็นมาของ Sophos
เริ่มต้นงานด้วยคุณ Sumit Bansal, Sales Director ประจำอาเซียนและเกาหลี ได้กล่าวถึงประวัติความเป็นมาของ Sophos คือ เริ่มต้นจากการเป็นบริษัทพัฒนาซอฟต์แวร์แอนตี้ไวรัสของสหราชอาณาจักรในปี 1985 จากนั้นเริ่มสนใจการป้องกัน Endpoint โดยในปี 2008 ได้ซื้อกิจการของ Ultimaco Safeware AG เพื่อพัฒนาโซลูชันการเข้ารหัสสำหรับปกป้องข้อมูล จากนั้นมุ่งเข้าสู่การป้องกันระบบเครือข่ายโดยซื้อ Astaro เพื่อพัฒนา Firewall เป็นของตนเอง และในปี 2014 ก็ได้ควบรวมกิจการ Cyberoam ที่มีชื่อเสียงทางด้านการตรวจจับแอพพลิเคชันและ Layer 8 Identity-based Protection
ผลลัพธ์จากการรวม Sophos และ Cyberoam เข้าด้วยกัน คือ XG Firewall ซึ่งเป็น Next-generation Firewall ประสิทธิภาพสูง ตอบโจทย์การทำงานร่วมกับโซลูชัน Endpoint Protection กลายเป็นระบบป้องกันเครือข่ายและอุปรณ์ผู้ใช้อย่างครบวงจร นอกจากนี้ ปี 2015 ล่าสุด Sophos ได้ซื้อบริษัท Reflexion Networks เพื่อเสริมฟีเจอร์ทางด้าน Email Security
Security Heartbeat ซิงโครไนซ์ข้อมูลระหว่างเครือข่ายและปลายทางเข้าด้วยกัน
Security Heartbeat หรือเรียกอีกชื่อหนึ่งว่า Synchronized Security เป็นฟีเจอร์เด่นสุดของ Sophos XG Firewall ซึ่งทำหน้าที่แชร์ข้อมูลความปลอดภัยระหว่าง XG Firewall กับ Enduser Protection ของ sophos เข้าด้วยกันแบบเรียลไทม์ เมื่อฝั่งใดฝั่งหนึ่งตรวจพบเหตุการณ์ที่ผิดปกติ ก็จะบอกให้อีกฝั่งรับทราบทันทีเพื่อหาทางป้องกัน และรับมือกับภัยคุกคามและความเสี่ยงที่อาจจะเกิดขึ้นก่อนที่จะทำอันตรายระบบไปมากกว่านี้
ยกตัวอย่าง เมื่อระบบ Enduser Protection ที่เครื่องปลายทางตรวจพบพฤติกรรมผิดปกติ เช่น ตรวจจับการติดต่อสื่อสารระหว่างมัลแวร์กับ C&C Server ได้ นอกจากระบบ EnduserProtection จะบล็อคการเชื่อมต่อของอุปกรณ์ปลายทางแล้ว ก็จะแจ้งเตือนไปยัง XG Firewall เพื่อตัดขนาดการเชื่อมต่อดังกล่าวกับระบบเครือข่ายด้วยเช่นกัน เพื่อป้องกันการแพร่กระจายของภัยคุกคาม และปัญหาการเจาะระบบที่อาจจะเกิดขึ้นได้ในอนาคต รวมทั้งแยกอุปกรณ์ปลายทางที่มีปัญหาออกมาเพื่อให้แน่ใจได้ว่าข้อมูลอันสำคัญขององค์กรจะไม่ถูกขโมยออกไปสู่ภายนอกก่อนที่จะจัดการคลีนมัลแวร์ให้เรียบร้อย
Sophos XG Series: NGFW รุ่นใหม่ เพิ่มประสิทธิภาพมากกว่าเดิมถึง 50%
XG Firewall คือ ผลลัพธ์ของการผสานโซลูชันของ Sophos และ Cyberoam เข้าด้วยกัน โดยมีคุณสมบัติเด่น 5 ประการ คือ
- Simple – มีหน้า Dashboard ที่สวยงาม เข้าใจง่าย รวมทั้งสามารถบริหารจัดการ Firewall Policies ได้ภายในหน้าเดียวกันทั้งหมด ไม่ว่าจะทำ Application Control, QoS, IPS หรือ Web Security และมาพร้อมกับ Template ให้เลือกใช้งานที่หลากหลาย แม้ผู้ไม่เชี่ยวชาญก็สามารถเรียนรู้การใช้งานได้อย่างรวดเร็ว
- Faster – มีการออกแบบโครงสร้างสถาปัตยกรรมแบบใหม่ให้รองรับกับระบบปฏิบัติการที่มุ่งเน้นการตอบโจทย์การใช้งานในระดับแอพพลิเคชัน หน่วยประมวลผลแบบ Inter 4th Generation และมาพร้อมกับ Solid State Harddisk ซึ่งช่วยเพิ่มประสิทธิภาพของ Firewall ให้สูงขึ้นกว่ารุ่นเก่าถึง 50% นอกจากนี้ยังช่วยให้ได้ Throughput ทั้งของ Firewall, IPS และ Antivirus สูงขึ้นกว่าเดิมอีกด้วย
- All-in-one Protection – มีระบบป้องกันภัยคุกคามครบทุกรูปแบบในเครื่องเดียว ไม่ว่าจะเป็น Application Control, IPS, Anti-malware, Web Protection, Advanced Threat Protection, Data Loss Prevention และทีสำคัญ คือ มี Synchronized Security ที่ช่วยตรวจจับภัยคุกคามแบบ APT ได้อย่างครอบคลุมและแม่นยำมากยิ่งขึ้น
- On-box Reporting – สามารถติดตามการใช้งานและจัดทำรายงานตามชื่อผู้ใช้ได้ทันที รวมถึงสามารถวิเคราะห์พฤติกรรมของผู้ใช้ได้ว่ามีความเสี่ยงมากน้อยเพียงใด ช่วยให้ผู้ดูแลระบบสามารถจัดทำ Policies เพื่อรับมือกับภัยคุกคามในอนาคตได้อย่างวมีประสิทธิภภาพ
- Trusted Industry Leader – การันตีความสำเร็จด้วยตำแหน่ง Leaders จาก 3 Gartner’s Magic Quadrant ได้แก่ UTM, Endpoint Protection และ Mobile Data Protection ซึ่งแสดงให้เห็นว่า Sophos สามารถปกป้องผู้ใช้ได้ตั้งแต่ระบบเครือข่ายไปจนถึงเครื่องปลายทางได้อย่างครบวงจร
Sophos XG Firewall พร้อมให้บริการทั้งหมด 14 รุ่น ตั้งแต่ธุรกิจขนาดเล็ก กลาง ไปจนถึงหน่วยงานขนาดใหญ่ โดย Firewall รุ่นเล็กสุด คือ XG 85 สำหรับออฟฟิสขนาดเล็ก รองรับ Throughput สูงสุดที่ 2 Gbps ในขณะที่รุ่นใหญ่สุด คือ XG 750 สำหรับองค์กรขนาดใหญ่หรือห้อง Data Center รองรับ Throughput ได้สูงสุดถึง 140 Gbps โดยทุกรุ่นจะมาพร้อมกับ Flexi Port ซึ่งสามารถเลือกอินเตอร์เฟสการเชื่อมต่อแบบ 1 GbE หรือ 10 GbE แบบ Copper หรือ Fiber ได้ตามความต้องการ
เปรียบเทียบ Firewall Spec: https://www.sophos.com/en-us/products/next-gen-firewall/tech-specs.aspx
รายละเอียดเพิ่มเติม: https://www.sophos.com/en-us/products/next-gen-firewall.aspx
Enduser Protection เราไม่ใช่แค่ปกป้องอุปกรณ์ แต่เราปกป้องผู้ใช้
Endpoint Protection นับว่าเป็นโซลุชันพื้นฐานที่ทุกองค์กรต้องใช้งานเพื่อป้องกันอุปกรณ์ปลายทางจากมัลแวร์ แต่ในปัจจุบัน หลายบริษัทต้องเผชิญกับปัญหาด้านกระบวนการติดตั้งระบบรักษาความปลอดภัยมากมาย ไม่ว่าจะเป็นเรื่องการติดตั้งใช้งานโซลูชันที่ไม่มีวันสิ้นสุด ต้องเพิ่มโซลูชัน อุปกรณ์ โน่นนี่นั่นเข้าไปเรื่อยๆเพื่อที่จะได้ป้องกันภัยคุกคามได้ครบทุกรูปแบบ ส่งผลให้ระบบมีขนาดใหญ่ ซับซ้อน บริหารจัดการได้ยาก และที่เลวร้ายที่สุด คือ อุปกรณ์และโซลูชันเหล่านั้นอาจไม่สามารถปกป้องระบบได้ 100%
Sophos Enduser Protection จึงถูกออกแบบมาภายใต้แนวคิด “ครอบคลุม ง่าย และมีประสิทธิภาพ” ซึ่งประกอบด้วยคุณสมบัติหลัก 4 ประการ คือ
- Prevent – ต้องสามารถป้องกันภัยคุกคามที่เกิดขึ้นได้
- Detect – ต้องสามารถตรวจจับภัยคุกคามและมัลแวร์รูปแบบใหม่ได้ก่อนที่ระบบจะถูกโจมตี
- Remediate – ถ้าระบบถูกโจมตี จะต้องแก้ไขปัญหา และจัดการระบบให้กลับไปเป็นเหมือนก่อนถูกโจมตีได้
- Encrypt – ต้องสามารถเข้ารหัสข้อมูลเพื่อปกป้องข้อมูลไม่ให้รั่วไหลไปสู่ภายนอกได้
ด้วยคุณสมบัติทั้ง 4 ข้อนี้ Enduser Protection จึงได้พัฒนาฟีเจอร์โดยแบ่งออกเป็น 3 องค์ประกอบหลัก คือ Endpoint Protection, Encryption และ Mobile Device Protection โดยทั้ง 3 ส่วนจะบริหารจัดการผ่านระบบคลาวด์ ส่งผลให้สามารถติดตามและควบคุมการใช้งานทั้งสำนักงานใหญ่และสำนักงานสาขาได้อย่างยืดหยุ่นและง่ายดาย นอกจากนี้ Enduser Protection ยังมีการทำงานร่วมกับระบบ Threat Intelligence เพื่อให้มั่นใจได้ว่า สามารถตรวจจับภัยคุกคามรูปแบบใหม่ๆได้แม่นยำและทันท่วงที
พร้อมรับมือกับ Advanced Persistent Threats และ Ransomware
จุดเด่นที่สำคัญของ Enduser Protection คือ Malicious Traffic Detection ซึ่งเป็นระบบที่ใช้ตรวจจับการโจมตีแบบ APT และ Ransomware โดยเฉพาะ โดยอาศัยการตรวจจับทราฟฟิคติดต่อสื่อสารกันระหว่างมัลแวร์กับ C&C Server ยกตัวอย่างการตรวจจับ Cryptowall หนึ่งใน Ransomware ชื่อดัง
- เมื่อผู้ใช้งานกดลิงค์หรือรันแอพพลิเคชันบางอย่างที่ไม่สมควร ส่งผลให้แอพพลิเคชันแปลกปลอมถูกเพิ่มเข้าไปใน Startup Folder
- แอพพลิเคชันดังกล่าวเริ่มทำงาน และฝังตัวลงไปใน Explorer.exe ซึ่ง Threat Engine เริ่มตรวจสอบแอพดังกล่าวว่ามีอะไรผิดปกติหรือไม่ เช่น มีการสร้าง Process ใหม่ หรือแก้ไข Registry เป็นต้น
- Explorer.exe พยายามติดต่อกับ C&C Server เพื่อขอกุญแจในการเข้ารหัส ตรงจุดนี้ HIPS จะทราบทันทีว่า Explorer.exe มีพฤติกรรมที่ผิดปกติไปจากเดิม
- Malicious Traffic Detection ตรวจจับทราฟฟิคแปลกปลอมได้ จึงทำการบล็อกและกักกันอุปกรณ์ดังกล่าว แล้วแจ้งเตือนไปยังผู้ดูแลระบบ
- Enduser Protection ทำการคลีนมัลแวร์ และแชร์ข้อมูลทั้งหมดเข้าสู่ระบบ Threat Intelligence ในกรณีที่ใช้ Synchronized Security ก็จะมีการแชร์ข้อมูลไปยัง XG Firewall ในระบบ เพื่อบล็อกทราฟฟิคจาก C&C Server ด้วย
1 License ใช้งานได้สูงสุดถึง 4 เครื่อง
ด้วยการเพิ่มขึ้นและความนิยมของสมาร์ทโฟนและแท็บเล็ต อุปกรณ์เหล่านี้จึงถูกนำมาใช้งานในองค์การมากขึ้นกว่าในอดีต พนักงานส่วนใหญ่มีอุปกรณ์เคลื่อนที่ติดตัวมากกว่า 2 เครื่อง ส่งผลให้การนับและค่าใช้จ่ายเรื่อง License สำหรับใช้งาน Endpoint Protection เริ่มกลายเป็นภาระหนักของแต่ละองค์กร Sophos มองเห็นปัญหาดังกล่าวจึงได้เปลี่ยนการนับ License ให้ยืดหยุ่นมากยิ่งขึ้น โดยนับตามจำนวนผู้ใช้งานแทน โดย 1 ผู้ใช้งานสามารถติดตั้ง Endpoint Protection ได้สูงสุดถึง 4 เครื่อง
รายละเอียดเพิ่มเติม: https://www.sophos.com/en-us/products/enduser-protection-suites.aspx
Sophos Cloud Partner Portal บริหารจัดการ Firewall ของลูกค้าผ่านระบบคลาวด์
อีกหนึ่งฟีเจอร์ที่น่าสนใจสำหรับ Partner ของ Sophos คือ ระบบ Cloud Partner Portal ที่ช่วยให้ Partner สามารถบริหารจัดการ License และติดตามดูแล Firewall ของลูกค้าผ่านระบบคลาวด์ได้ เมื่อลูกค้าพบปัญหาหรือต้องการความช่วยเหลือ Partner สามารถแจ้งเรื่องผ่าน Cloud Partner Portal เพื่อขออนุญาตบริหารจัดการ Firewall ของลูกค้าได้ทันที ช่วยให้สามารถซัพพอร์ทจากระยะไกลได้อย่างรวดเร็ว โดยที่ไม่จำเป็นต้อง Remote ไปที่ไซต์ของลูกค้าหรือเข้าไปยังบริษัทโดยตรง Partner ของ Sophos สามารถใช้บริการนี้ได้ฟรี