Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

ตรวจจับและยับยั้ง Malware ด้วยเทคโนโลยี Connected Threat Defense จาก Trend Micro

trend_micro_logo_h50

ทาง Trend Micro ได้เชิญทีมงาน TechTalkThai มารับชมเทคโนโลยีใหม่ล่าสุดจาก Trend Micro สำหรับการต่อต้าน Malware ภายในองค์กรรูปแบบใหม่ด้วยการสร้าง Signature สำหรับโต้ตอบกับ Zero-day Malware ทั้งหมดได้ภายในองค์กร และช่วยให้องค์กรสามารถยับยั้งและจัดการทั้งองค์กรได้ทันทีที่ตรวจพบ ซึ่งเป็นการช่วยอุดช่องโหว่เดิมของระบบ Sandbox ที่ทำได้เพียงแค่การตรวจจับ แต่ไม่สามารถยับยั้งได้นั่นเอง ซึ่งทางทีมงาน TechTalkThai ก็ขอสรุปรายละเอียดต่างๆ เอาไว้ให้ทุกท่านได้อ่านกัน ดังนี้ครับ

trend_micro_deep_discovery_inspector

การต่อสู้กับการโจมตีที่ยาวนานกว่า 20 ปีของ Trend Micro

Trend Micro เกิดปี 1988 ในอเมริกา และถัดมาก็มีการ OEM ระบบ Security อย่าง Antivirus ให้กับผู้ผลิตหลายรายไป จนปี 1991 ได้ออก AntiVirus ยี่ห้อของ TrendMicro ขึ้นมาเอง และเป็นเจ้าแรกในโลกที่เปิดตัว Antivirus แบบ Client-Server เป็นรายแรกขึ้นมาภายใต้ชื่อ Server Protect ซึ่งก็ยังคงมีการพัฒนาอย่างต่อเนื่องและมีลูกค้าใช้งานอยู่ทุกวันนี้ หลังจากนั้น Trend Micro ก็ได้แตกไลน์ผลิตภัณฑ์ทางด้านความปลอดภัยเพิ่มขึ้นเรื่อยๆ จนล่าสุดมาเป็นความปลอดภัยบน Virtualization และ APT นั่นเอง

 

Trend Micro เริ่มใช้ Big Data Analytics ในการรักษาความปลอดภัยก่อนใคร

ความได้เปรียบของ Trend Micro คือการนำ Big Data Analytics มาใช้กับการรักษาความปลอดภัยเป็นรายแรกของโลก ในปี 2005 Email Spaming กำลังเป็นการโจมตีที่แพร่หลายในช่วงนั้น ทำให้ Trend Micro ต้องหาหนทางในการจัดการกับ Email Spamming ให้ได้ และตัดสินใจเข้าซื้อกิจการ Database ของ IP Blacklist ที่เป็น Spammer มาใช้กรองออกจาก Email อื่นๆ ซึ่งเบื้องหลังของระบบนี้ก็คือ Big Data Analytics ระบบแรกของ Trend Micro นั่นเอง

ต่อมาปี 2007 ก็เป็นปีที่มีไวรัสเกิดใหม่รวดเร็วที่สุดในประวัติศาสตร์ โดยมีไวรัสเกิดใหม่จำนวน 1.6 ตัวต่อวินาที ในเวลานั้นมีเทคนิคที่ใช้ใน Antivirus เพื่อจัดการกับไวรัสจำนวนมหาศาลเหล่านี้ด้วยกัน 2 วิธีหลักๆ วิธีแรกคือการใช้ Pattern/Signature File ขนาดใหญ่ เพื่อเพิ่มโอกาสตรวจจับไวรัสให้พบเจอให้ได้มากที่สุด แต่วิธีการนี้ก็ส่งผลกระทบต่อ Performance ของเครื่องคอมพิวเตอร์ที่ใช้งานอยู่อย่างหลีกเลี่ยงไม่ได้ ในขณะที่อีกวิธีคือการมุ่งเน้นการอัพเดต Pattern บ่อยๆ แทน แต่ก็สร้างปัญหาให้กับระบบเครือข่ายในเวลานั้นที่ยังไม่รวดเร็วเท่าปัจจุบันเป็นอย่างมาก

วิธีการที่ Trend Micro เลือกในเวลานั้นเพื่อจัดการกับไวรัสปริมาณมหาศาล จึงเป็นการสร้าง Reputation Black List ซึ่งเป็นระบบ Big Data ของ Trend Micro ชุดที่สอง เพื่อหยุดการแพร่ไวรัสและการโจมตีจากต้นตอที่ปล่อยไวรัสแทน ทำให้สามารถแก้ไขปัญหาทั้งสองข้อได้ อีกทั้งยังเลือกใช้เทคโนโลยีให้ไม่ผูกติดกับ Web Browser ค่ายใดๆ ทำให้ Trend Micro กลายเป็น Antivirus ที่ได้รับความนิยมในเวลานั้น

ในช่วงปี 2009 – 2010 Trend Micro ก็เริ่มทำฐานข้อมูลที่สามก็คือระบบ File Reputation และกลายเป็น Big Data ชุดที่สามของ Trend Micro โดยมีขนาดใหญ่มากถึง 13TB และก็กลายเป็นปัญหาข้อใหม่คือ ด้วยขนาดของระบบ File Reputation ที่ใหญ่ ทำให้ไม่สามารถติดตั้งบนเครื่องคอมพิวเตอร์และได้อย่างมีประสิทธิภาพ Trend Micro จึงได้พัฒนาระบบ Cloud สำหรับการ Scan Virus ขึ้นมาโดยเฉพาะ แต่ในเวลานั้นก็ยังมีการกิน Bandwidth ในการใช้งานอยู่ดี

Trend Micro จึงหาทางออกของปัญหา Bandwidth นี้ด้วยการทำ Hash/Index ของไฟล์ และส่งข้อมูลที่มีขนาดเล็กกว่าเหล่านี้ไปตรวจสอบบน Cloud แทน ทำให้การตรวจสอบแต่ละครั้งกิน Bandwidth ที่ต้องใช้น้อยลงอย่างมหาศาล และทำให้การอัพเดต Signature เพื่อป้องกันไวรัสใหม่ๆ ที่ตรวจพบเพื่อป้องกันไวรัสได้ทั่วทั้งโลกแบบ Real-time จนทุกวันนี้ Database ทางด้านความปลอดภัยของ Trend Micro มีขนาดหลัก Petabyte แล้ว

ในวันนี้ การโจมตีแบบ Unknown/Zero-day เป็นกลายที่แพร่หลายขึ้นมาแทน และสร้างความวิตกกังวลให้แก่ผู้ใช้งานและองค์กรทั้งหลายเป็นอย่างมากเพราะตรวจจับและป้องกันได้ยาก รวมถึงผู้ผลิตระบบ Security เองก็หาทางป้องกันได้ยากตามไปด้วยเช่นกัน และหนึ่งในวิธีที่ได้รับความนิยมมากก็คือการทำ Sandbox เพื่อนำแต่ละไฟล์ที่ต้องสงสัยมาทำการทดสอบทีละไฟล์ แต่ก็ยังคงมีปัญหาในเชิงของการจัดการกับการโจมตีที่เกิดขึ้นอยู่ดี เพราะถึงแม้ Sandbox จะสามารถตรวจจับได้ว่าไฟล์ใดๆ เป็น Malware แต่ก็ไม่สามารถจัดการยับยั้งการโจมตีได้อย่างทันท่วงที

Trend Micro จึงพยายามมองหาทางออกใหม่ๆ ที่จะช่วยแก้ปัญหาตรงนี้ ซึ่งก็คือ Connected Threat Defense หรือ CTD นั่นเอง

 

Trend Micro Connected Threat Defense คืออะไรและทำงานอย่างไร?

ในการรับมือกับ Malware และ Zero-Day Threat ต่างๆ นี้ Trend Micro จะใช้ Trend Micro Deep Discovery ในการตรวจสอบไฟล์ต่างๆ ด้วยเทคโนโลยี Sandbox ว่าไฟล์ต่างๆ เหล่านั้นเป็น Threat หรือไม่ และทำการสร้าง Signature และอัพเดต Signature ให้กับระบบรักษาความปลอดภัยบนเครื่องลูกข่ายทั้งหมดภายในองค์กรลูกค้า เพื่อยับยั้งการเรียกใช้ไฟล์ต่างๆ ที่เพิ่งตรวจพบเจอได้ทันที เรียกได้ว่าเป็นการยกองค์ความรู้ในการสร้าง Signature แบบ Automate จากผู้ผลิต มายังองค์กรของลูกค้าเลยก็ว่าได้ ก็ทำให้สามารถตรวจจับและยังยั้งการโจมตีภายในองค์กรได้รวดเร็วมากยิ่งขึ้น และโต้ตอบการโจมตีเหล่านี้ได้ภายในวันเดียวกันกับทีองค์กรได้รับไฟล์ต้องสงสัยมาทันที

trendmicro_connected-threat-defense-2

คำว่า Connected Threat Defense ในที่นี้จึงหมายถึงการที่เราสามารถเชื่อม Sandbox เข้ากับ Endpoint Protection ทั้งหมด ให้รู้จักกับการโจมตีใหม่ๆ ที่เกิดขึ้นได้ทันที และป้องกันได้อย่างรวดเร็วที่สุดนั่นเอง และช่วยลดช่องว่างที่การโจมตีของ Malware หรือ Zero-Day Threat เหล่านั้นจะประสบผลสำเร็จลงไปได้อย่างมหาศาล

 

การทดสอบการจัดการและโต้ตอบ Malware ด้วยเทคโนโลยีจาก Trend Micro

ทาง Trend Micro ได้ทำการทดสอบให้ดูการทำงานของระบบ Connected Threat Defense จริงๆ โดยการจำลองการตรวจจับ Malicious Activity จากไฟล์ใหม่ๆ และทำการสร้าง Signature พร้อมทำการอัพเดตไปยัง Endpoint ทันที

trendmicro_ctd_topology

ในขั้นตอนแรกนั้น ทีมงาน Trend Micro ได้ทำการ Download ไฟล์ตัวอย่างของ Zero-day Malware ขึ้นมาก่อน ซึ่งเวลานั้นระบบ Signature-based Antivirus อย่าง Trend Micro OfficeScan จะยังไม่สามารถตรวจจับได้จากการ Scan ไฟล์เหล่านั้น เพราะยังไม่มี Signature ใดๆ ให้ตรวจจับได้

จากนั้นเมื่อทีมงาน Trend Micro เข้าไปตรวจสอบที่หน้าจอของระบบ Trend Micro Deep Discovery ก็จะพบว่าระบบกำลังทำการตรวจสอบไฟล์ .exe ที่เป็น Malware เมื่อครู่นี้อยู่ใน Sandbox และแสดงผลการตรวจสอบบน Sandbox ที่เป็นระบบปฏิบัติการรุ่นต่างๆ เช่น Windows 7, Windows 8 หรือแม้แต่ Windows XP ที่เป็นทั้ง 32-bit และ 64-bit (Windows 10 กำลังจะตามมาในไม่ช้า) และสรุปพฤติกรรมการทำงานของ Malware ทั้งหมด พร้อมประเมินระดับความเสี่ยงของ Malware ตัวนี้

ddi-console1

ทันทีที่ตรวจพบ Malware แล้ว ในหน้าจอของ Trend Micro Control Manager ที่เป็นระบบ Centralized Management ของ Trend Micro ก็จะแสดงรายการความเสี่ยงทั้งหมดที่ตรวจพบ รวมถึง Malware เมื่อครู่ด้วย พร้อมทั้งแสดง Checksum/Hash ที่สามารถนำไปใช้สร้างเป็น Signature ต่อเนื่องได้ทันที พร้อมทั้งส่ง Signature เหล่านี้ไปยัง OfficeScan และกำหนด Action เช่น เก็บ Log สำหรับตรวจสอบ, Block ไม่ให้เปิดใช้งานไฟล์เหล่านั้น หรือ จัดการ Quarantine ไฟล์เหล่านั้นได้ทันทีจากศูนย์กลาง จัดการกับ Malware ได้อย่างรวดเร็วทันที

ddi-console3

เมื่อกลับไปดูที่เครื่องลูกข่ายที่เราได้ติดตั้งไฟล์ Malware ลงไปในตอนแรกแล้ว ก็จะพบกว่า OfficeScan บนเครื่องลูกข่ายนั้น สามารถตรวจจับและยับยั้ง Malware ตัวนั้นได้ทันที เนื่องจากได้รับการอัพเดต Signature มาแล้วนั่นเอง

osce-1

osce-2

ขั้นตอนการโต้ตอบ Malware นี้สามารถทำการตั้งค่าให้ทำงานแบบอัตโนมัติได้ เพื่อให้ระบบทั้งหมดของ Trend Micro ทำการโต้ตอบการโจมตีเหล่านี้ทั้งหมดได้โดยอัตโนมัติทันทีที่ตรวจพบใน Sandbox บน Trend Micro Deep Discovery หรือจะทำการกำหนดค่าแบบ Manual โดยให้ผู้ดูแลระบบทำการตัดสินใจเป็นกรณีๆ ไปก็ได้

โดยหลังจากนั้น ทีมรักษาความปลอดภัยของระบบเครือข่ายองค์กรก็สามารถทำการติดตาม Activity ที่เกิดขึ้นย้อนหลังเกี่ยวกับประเด็นทางด้านความปลอดภัยได้จากหน้าจอของ Deep Discovery Analyzer ได้เลย ทำให้การกลับมาสืบสวนเกี่ยวกับการโจมตีต่างๆ ที่เคยเกิดขึ้นสามารถทำได้อย่างครบวงจร

ddi-console2

การต่อยอดในอนาคต

ระบบ Connected Threat Defense นี้ปัจจุบันยังต้องอาศัยผลิตภัณฑ์ของ Trend Micro ทั้งหมดในการนำมาใช้งานจริงได้ แต่ทาง Trend Micro ก็ได้เปิดเผยว่ามีแผนในอนาคตที่จะพัฒนาเทคโนโลยี Connected Threat Defense นี้ ให้สามารถทำงานร่วมกับระบบรักษาความปลอดภัยต่างๆ ของผู้ผลิตรายอื่นๆ ได้ด้วย ทำให้การป้องกันระบบเครือข่ายจาก Malware และ Zero-day สามารถทำได้ครอบคลุมยิ่งขึ้น ภายในระบบเครือข่ายขององค์กรที่มีความหลากหลายสูง

 

ร่วมทดสอบ Connected Threat Defense ได้ในงาน CloudSec ประเทศไทย วันที่ 10 กันยายน 2558

cloudsec_logo_2015

ในงาน CloudSec ซึ่งเป็นงานสัมมนาทางด้านความปลอดภัยของ IT ในเชิงวิชาการที่กำลังจะจัดขึ้นในประเทศไทยในเร็วๆ นี้ โดยมี Trend Micro เป็นผู้สนับสนุนหลัก และทาง Trend Micro เองก็จะมีกิจกรรม Hands-on-Lab ซึ่งมีความเป็นไปได้ว่าจะเปิดให้ผู้ที่สนใจได้เข้าทดสอบการทำงานจริงของ Trend Micro Connected Threat Defense ได้เลย สำหรับผู้ที่สนใจพบกับการเปิดตัวเทคโนโลยี Connected Threat Defense จาก Trend Micro ครั้งแรกในงาน CLOUDSEC Thailand 2015 โดยตรวจสอบรายละเอียดและลงทะเบียนได้ทันทีที่ https://www.cloudsec.com/th เลยครับ

 

สุดท้ายนี้ ต้องขอขอบคุณทีมงาน Trend Micro ประเทศไทยที่มาอัพเดตเทคโนโลยีใหม่ๆ ให้ได้ทราบกันนะครับ ส่วนผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถติดต่อทีมงาน Trend Micro โดยตรงได้ทันทีที่ 02-646-1968 หรือ อีเมล์ marketing.th@trendmicro.com เลยครับ



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เหตุ Ransomware ในโรงพยาบาลในเยอรมนีอาจเกี่ยวข้องกับการเสียชีวิตของผู้ป่วย

ทางการเยอรมนีกำลังตรวจสอบเหตุผู้ป่วยเสียชีวิตหลังจากที่โรงพยาบาลแห่งหนึ่งในเมือง Dusseldorf ถูกโจมตีด้วย Ransomware เมื่อสัปดาห์ที่ผ่านมา

4 Session ห้ามพลาดกับ VMware Blockchain ในงาน VMworld 2020 พร้อมลุ้นรับ iPad และของรางวัลอีกมากมาย วันที่ 30 ก.ย. – 1 ต.ค. 2020

ในงาน VMworld 2020 ที่กำลังจะจัดขึ้นในวันที่ 30 ก.ย. - 1 ต.ค. 2020 นี้ ทาง VMware มี Session แยกเฉพาะสำหรับเทคโนโลยี Enterprise Blockchain เพื่อให้ผู้ที่สนใจได้เข้าไปเรียนรู้และทำแล็บกันฟรีๆ พร้อมลุ้นรับ iPad และของรางวัลอีกมากมายได้ง่ายๆ จากชุมชน VMUG Thailand โดยมีรายละเอียดการลงทะเบียนเข้าร่วมงานและทำแล็บดังนี้