มาลองใช้การทำ Data Analytics และระบบ SIEM วิเคราะห์หา Ransomware ในองค์กรกันเถอะ!

การวิเคราะห์ข้อมูลนั้นสามารถนำไปประยุกต์ใช้ได้หลายรูปแบบตามแต่จะจินตนาการ แต่ในครั้งนี้เราจะมาลองดูกันว่าเทคโนโลยี Data Analytics จะสามารถนับไปใช้ตรวจจับ Ransomware ภายในองค์กรกันได้อย่างไรบ้าง

Credit: ShutterStock.com
Credit: ShutterStock.com

รู้จัก Ransomware กันก่อน

Ransomware นั้นเป็นที่รู้จักกันในอีกชื่อหนึ่งว่า Malware เรียกค่าไถ่ โดย Ransomware นี้จะพยายามใช้วิธีการที่หลากหลายในการพยายามเข้าไปฝังตัวอยู่ในเครื่องของผู้ใช้งาน แล้วทำการเข้ารหัสไฟล์ทั้งหมดจนผู้ใช้งานไม่สามารถเข้าถึงไฟล์ใดๆ บนเครื่องได้เลย

สิ่งเดียวที่ผู้ใช้งานทำได้หลังจากไฟล์บนเครื่องถูก Ransomware เข้ารหัสไปแล้วทั้งหมดก็คือ การพยายามหา Key มาเพื่อถอดรหัส ซึ่ง Ransomware บางตัวที่ถูกวิเคราะห์การทำงานและมี Key ให้ใช้ถอดรหัสได้ฟรีๆ ก็มีอยู่บ้าง แต่หากโชคร้ายไปเจอกับ Ransomware ตัวที่ยังไม่สามารถแกะ Key ออกมาได้เองล่ะก็ ผู้ใช้งานจะเหลือทางเลือกเดียวคือจ่ายเงินค่าไถ่ให้กับ Hacker เป็นเงินสกุล Bitcoin เพื่อแลกกับ Key ถอดรหัสนี้ ซึ่งอาจมีราคาที่หลักพันบาทไปจนถึงหลักหลายแสนหรือหลายล้านบาทได้

 

ใช้ Splunk ช่วยวิเคราะห์หา Ransomware ภายในองค์กร

Splunk นั้นมีทั้งคุณสมบัติของการทำหน้าที่เป็นระบบ Security Information and Event Management (SIEM) และ Data Analytics ภายในตัว ทำให้ Splunk สามารถรวบรวมข้อมูลที่จำเป็นในการค้นหา Ransomware และทำการวิเคราะห์ข้อมูลเหล่านั้นเพื่อทำการค้นหา Ransomware ภายในองค์กรได้ และทีมงาน Splunk ก็ได้ทดลองแนวคิดนี้ให้เราได้ใช้เป็นแนวทางการตรวจจับ Ransomware จากการทำ Data Analytics ให้เราได้เห็นกัน

ในเบื้องต้น ทีมงาน Splunk นั้นได้ทดลองใช้ระบบ System Monitor (Sysmon) บนระบบปฏิบัติการ Microsoft Windows ที่สามารถติดตามเหตุการณ์ต่างๆ ที่เกิดขึ้นบน Windows ได้ ไม่ว่าจะเป็นการสร้าง Process ใหม่, การเชื่อมต่อระบบเครือข่าย หรือแม้แต่การเปลี่ยนแปลงของเวลาที่สร้างแต่ละไฟล์ขึ้นมา และติดตั้ง Splunk Universal Forwarder เพื่อส่งข้อมูลเหล่านี้ออกมาให้ Splunk ทำการจัดเก็บและวิเคราะห์ได้

จากนั้นทีมงาน Splunk ก็ได้ลองทำการวิเคราะห์หาเหตุการณ์การสร้างไฟล์ใหม่ๆ จำนวนมากที่เกิดขึ้นในช่วงเวลาสั้นๆ และก็ค้นพบว่าสามารถตรวจจับการสร้างไฟล์จำนวนมากในเวลาสั้นๆ ด้วยการวิเคราะห์ข้อมูลจาก Sysmon ได้สำเร็จ แต่การตรวจจับลักษณะนี้ก็ยังไม่แม่นยำนักเพราะนอกไปจากการเข้ารหัสไฟล์ของ Ransomware แล้ว การ Copy ไฟล์จำนวนมากก็จะถูกตรวจจับไปด้วยเช่นกัน

splunk_ransomware_search_screenshot

ถัดจากนั้นทีมงาน Splunk จึงได้ทำการสร้าง Workflow สำหรับตรวจสอบแต่ละไฟล์ว่าเป็นไฟล์ที่องค์กรใช้งานหรือรู้จักอยู่แล้วหรือไม่ด้วยการตรวจสอบจากค่า Hash และในขณะเดียวกันก็ตรวจสอบว่าไฟล์ .exe นั้นๆ ปลอดภัยหรือไม่ด้วยการส่งค่า Hash ไปตรวจสอบกับ VirusTotal ด้วย ทำให้องค์กรนั้นสามารถตรวจสอบความปลอดภัยของไฟล์และ .exe ต่างๆ บน PC ของทั้งองค์กรได้อยู่ตลอดเวลา

splunk_virtustotal_workflow_in_action

แนวคิดนี้ถือว่าค่อนข้างน่าสนใจแต่ยังไม่สมบูรณ์ดีนัก ซึ่งทางทีมงาน Splunk นั้นก็ยกกรณีนี้ขึ้นมาเป็นตัวอย่างให้เราได้นำไปศึกษาและต่อยอดกันเท่านั้น โดยผู้ที่สนใจสามารถอ่านรายละเอียดฉบับเต็มต่อได้ที่  http://blogs.splunk.com/2016/10/05/detecting-ransomware-attacks-with-splunk/

 

ติดต่อ STelligence ได้ทันที

stelligence_logo

ร่วมพูดคุยแลกเปลี่ยนความคิดเห็นทางด้านระบบ Data Analytics หรือสามารถสอบถามข้อมูลเพิ่มเติม ทดสอบระบบ Solution Network Monitoring หรือระบบ Data Center Monitoring, ระบบ Network Operation Center (NOC), ระบบ Security Operation Center (SOC), ระบบ SIEM ได้ทาง

  • ติดต่อบริษัท STelligence ได้ที่ info@stelligence.com
  • ติดต่อคุณธเนศ ฝ่ายขาย โทร 089-444-2443 หรือโทร 02-938-7475
  • สามารถกด Like เพื่อรับข่าวสารข้อมูลอัพเดต และ Use case ที่น่าสนใจมากมาย : www.facebook.com/stelligence
  • พูดคุยกับทางทีมงานได้แบบ Real-time ผ่าน Line ID : @stelligence
    stelligence-line-id


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

กรณีศึกษา : การออกแบบเว็บแอปพลิเคชันบน Cloud ให้มั่นคงปลอดภัย

เนื่องจากปัจจุบันมี Startup เกิดขึ้นบนระบบ Cloud เป็นส่วนใหญ่ ดังนั้นหากเราเริ่มวางแผนให้ดีตั้งแต่แรกก็จะเป็นรากฐานที่เข้มแข็งให้ธุรกิจเติบโตต่อไปได้โดยไม่เกิดเหตุการณ์รั่วไหลต่างๆ อย่างที่ปรากฎในข่าวหลายต่อหลายครั้ง วันนี้เราจึงขอสรุปบทความจาก F5 Labs ที่ได้เขียนขึ้นมาจากการสังเกตการณ์ Startup ที่ชื่อ Wanderlust Society …

ขอเชิญเข้าร่วมสัมมนาฟรี Google Cloud OnBoard รู้จัก Google Cloud Platform 30 มกราคม 2018

ทาง Google จัดงานสัมมนา Google Cloud OnBoard เพื่อแนะนำเทคโนโลยี Google Cloud Platform สำหรับผู้ที่สนใจสามารถเข้าร่วมฟังได้ฟรีๆ ในวันที่ 30 มกราคม 2018 …