TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
การวิเคราะห์ข้อมูลนั้นสามารถนำไปประยุกต์ใช้ได้หลายรูปแบบตามแต่จะจินตนาการ แต่ในครั้งนี้เราจะมาลองดูกันว่าเทคโนโลยี Data Analytics จะสามารถนับไปใช้ตรวจจับ Ransomware ภายในองค์กรกันได้อย่างไรบ้าง
รู้จัก Ransomware กันก่อน
Ransomware นั้นเป็นที่รู้จักกันในอีกชื่อหนึ่งว่า Malware เรียกค่าไถ่ โดย Ransomware นี้จะพยายามใช้วิธีการที่หลากหลายในการพยายามเข้าไปฝังตัวอยู่ในเครื่องของผู้ใช้งาน แล้วทำการเข้ารหัสไฟล์ทั้งหมดจนผู้ใช้งานไม่สามารถเข้าถึงไฟล์ใดๆ บนเครื่องได้เลย
สิ่งเดียวที่ผู้ใช้งานทำได้หลังจากไฟล์บนเครื่องถูก Ransomware เข้ารหัสไปแล้วทั้งหมดก็คือ การพยายามหา Key มาเพื่อถอดรหัส ซึ่ง Ransomware บางตัวที่ถูกวิเคราะห์การทำงานและมี Key ให้ใช้ถอดรหัสได้ฟรีๆ ก็มีอยู่บ้าง แต่หากโชคร้ายไปเจอกับ Ransomware ตัวที่ยังไม่สามารถแกะ Key ออกมาได้เองล่ะก็ ผู้ใช้งานจะเหลือทางเลือกเดียวคือจ่ายเงินค่าไถ่ให้กับ Hacker เป็นเงินสกุล Bitcoin เพื่อแลกกับ Key ถอดรหัสนี้ ซึ่งอาจมีราคาที่หลักพันบาทไปจนถึงหลักหลายแสนหรือหลายล้านบาทได้
ใช้ Splunk ช่วยวิเคราะห์หา Ransomware ภายในองค์กร
Splunk นั้นมีทั้งคุณสมบัติของการทำหน้าที่เป็นระบบ Security Information and Event Management (SIEM) และ Data Analytics ภายในตัว ทำให้ Splunk สามารถรวบรวมข้อมูลที่จำเป็นในการค้นหา Ransomware และทำการวิเคราะห์ข้อมูลเหล่านั้นเพื่อทำการค้นหา Ransomware ภายในองค์กรได้ และทีมงาน Splunk ก็ได้ทดลองแนวคิดนี้ให้เราได้ใช้เป็นแนวทางการตรวจจับ Ransomware จากการทำ Data Analytics ให้เราได้เห็นกัน
ในเบื้องต้น ทีมงาน Splunk นั้นได้ทดลองใช้ระบบ System Monitor (Sysmon) บนระบบปฏิบัติการ Microsoft Windows ที่สามารถติดตามเหตุการณ์ต่างๆ ที่เกิดขึ้นบน Windows ได้ ไม่ว่าจะเป็นการสร้าง Process ใหม่, การเชื่อมต่อระบบเครือข่าย หรือแม้แต่การเปลี่ยนแปลงของเวลาที่สร้างแต่ละไฟล์ขึ้นมา และติดตั้ง Splunk Universal Forwarder เพื่อส่งข้อมูลเหล่านี้ออกมาให้ Splunk ทำการจัดเก็บและวิเคราะห์ได้
จากนั้นทีมงาน Splunk ก็ได้ลองทำการวิเคราะห์หาเหตุการณ์การสร้างไฟล์ใหม่ๆ จำนวนมากที่เกิดขึ้นในช่วงเวลาสั้นๆ และก็ค้นพบว่าสามารถตรวจจับการสร้างไฟล์จำนวนมากในเวลาสั้นๆ ด้วยการวิเคราะห์ข้อมูลจาก Sysmon ได้สำเร็จ แต่การตรวจจับลักษณะนี้ก็ยังไม่แม่นยำนักเพราะนอกไปจากการเข้ารหัสไฟล์ของ Ransomware แล้ว การ Copy ไฟล์จำนวนมากก็จะถูกตรวจจับไปด้วยเช่นกัน
ถัดจากนั้นทีมงาน Splunk จึงได้ทำการสร้าง Workflow สำหรับตรวจสอบแต่ละไฟล์ว่าเป็นไฟล์ที่องค์กรใช้งานหรือรู้จักอยู่แล้วหรือไม่ด้วยการตรวจสอบจากค่า Hash และในขณะเดียวกันก็ตรวจสอบว่าไฟล์ .exe นั้นๆ ปลอดภัยหรือไม่ด้วยการส่งค่า Hash ไปตรวจสอบกับ VirusTotal ด้วย ทำให้องค์กรนั้นสามารถตรวจสอบความปลอดภัยของไฟล์และ .exe ต่างๆ บน PC ของทั้งองค์กรได้อยู่ตลอดเวลา
แนวคิดนี้ถือว่าค่อนข้างน่าสนใจแต่ยังไม่สมบูรณ์ดีนัก ซึ่งทางทีมงาน Splunk นั้นก็ยกกรณีนี้ขึ้นมาเป็นตัวอย่างให้เราได้นำไปศึกษาและต่อยอดกันเท่านั้น โดยผู้ที่สนใจสามารถอ่านรายละเอียดฉบับเต็มต่อได้ที่ http://blogs.splunk.com/2016/10/05/detecting-ransomware-attacks-with-splunk/
ติดต่อ STelligence ได้ทันที
ร่วมพูดคุยแลกเปลี่ยนความคิดเห็นทางด้านระบบ Data Analytics หรือสามารถสอบถามข้อมูลเพิ่มเติม ทดสอบระบบ Solution Network Monitoring หรือระบบ Data Center Monitoring, ระบบ Network Operation Center (NOC), ระบบ Security Operation Center (SOC), ระบบ SIEM ได้ทาง
- ติดต่อบริษัท STelligence ได้ที่ info@stelligence.com
- ติดต่อคุณธเนศ ฝ่ายขาย โทร 089-444-2443 หรือโทร 02-938-7475
- สามารถกด Like เพื่อรับข่าวสารข้อมูลอัพเดต และ Use case ที่น่าสนใจมากมาย : www.facebook.com/stelligence
- พูดคุยกับทางทีมงานได้แบบ Real-time ผ่าน Line ID : @stelligence
