SRAN เป็นมากกว่า การเก็บ Log

พฤษภาคม 8, 2013

SRAN เป็นมากกว่า การเก็บ Log

SRAN เป็นมากกว่า การเก็บ Log หมายความว่าอย่างไร เรามาไขข้อสงสัยไปพร้อมๆ กัน

1. คำว่า SRAN เป็นคำย่อหรือไม่ และออกเสียงว่าอย่างไร ?

ตอบ : SRAN ที่จริงแล้วเป็นคำย่อ ซึ่งย่อมาจากคำว่า Security Revolution Analysis Network ถ้าให้ออกเสียงต้องบอกว่า S เอส R อาร์ A เอ N เอ็น

แต่เพื่อความสะดวกทางผู้ผลิตเรียกว่า “สราญ” Sa-Ran สัญลักษณ์ หรือเรียกว่าโลโก้ เป็นแมววิเชียรมาส ซึ่งเป็นแมวไทยเก้าจุด

ที่ต้องออกเสียงว่า “สราญ” เพราะต้องการให้ทุกที่ ที่ใช้ SRAN นั้นมีความตื่นรู้ รู้ทันปัญหา รู้ทันภัยคุกคาม เพราะทางเราเชื่อว่าไม่มีระบบใดที่จะสามารถป้องกันภัยคุกคามได้ 100%

การตื่นรู้บนระบบเครือข่าย นั้นจะเกิดความทุกข์น้อยที่สุดสำหรับผู้ดูแลระบบ รวมถึงเจ้าของกิจการเอง ซึ่งจะทำให้เกิดความสุข และ สราญตามมา

2. หากเราใช้ SRAN ในเครือข่ายองค์กรของเราแล้วเราจะได้ประโยชน์อย่างไรบ้าง ?

ตอบ : ประโยชน์จากการใช้ SRAN แบ่งออกตามบทบาทหน้าที่ทางเทคนิค ซึ่งหน่วยงาน หรือบริษัทที่ติดตั้งอุปกรณ์ SRAN จะได้รับประโยชน์ดังนี้คือ

1. การวิเคราะห์การใช้ข้อมูลสารสนเทศทางระบบเครือข่าย (Network Analysis) ซึ่งจะทำให้ผู้ใช้งานสามารถวิเคราะห์ปริมาณข้อมูลจราจร (Data Traffic) ทั้งขาเข้าองค์กร

และ ขาออกจากองค์กรได้ จากนั้นสามารถวิเคราะห์ถึงการใช้งานตาม Application Protocol ทั้งขาเข้าและออก ได้ผ่านเว็บอินเตอร์เฟส ซึ่งไม่ต้องลงซอฟต์แวร์ใดที่เครื่องลูกข่ายเลย

2. การวิเคราะห์และสืบค้าหาผู้กระทำผิด เนื่องจากระบบ SRAN มีเทคโนโลยี NIDS/IPS ในตัวอุปกรณ์ ฐานข้อมูลดังกล่าวจึงสามารถตรวจหาภัยคุกคามบนระบบเครือข่าย

ตลอดจนพฤติกรรมการใช้งานของผู้ใช้งาน User ภายในองค์กรได้อีกด้วย ว่ามีพฤติกรรมที่เข้าข่ายความเสี่ยงตามมาตรา 5 -11 หรือไม่ หากพบก็จะแจ้งเตือนบนหน้าเว็บอินเตอร์เฟส

ซึ่งทำให้ผู้ดูแลระบบสามารถป้องกันภัยก่อนที่จะเกิดเป็นคดีความขึ้นได้ อีกทางหนึ่งหากเกิดเป็นคดีความขึ้นเราสามารถนำ Log ที่พบไปใช้ช่วยเหลือพนักงานเจ้าหน้าที่หรือเจ้าหน้าที่ตำรวจ

เพื่อเพิ่มความสะดวกในการสืบค้นหาผู้กระทำความผิด (Forensics) ได้อีกทางหนึ่งด้วย เนื่องจากเทคโนโลยี NIDS/IPS ที่ปรับปรุงฐานข้อมูลจากทีม SRAN เอง

เพื่อช่วยวิเคราะห์ข้อมูลตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ 2550 ทำให้ข้อมูลที่วิเคราะห์แล้ว (Correlation) มีความสอดคล้องกับกฏหมายไทยมากที่สุด

3. การประเมินความเสี่ยง หรือในศัพท์อังกฤษเรียกว่า Vulnerability Assessment / Management โดยที่อุปกรณ์ SRAN Security Center ตั้งแต่รุ่น SR – L ขึ้นไปสามารถทำการประเมินความเสี่ยง

ได้เพื่อพิจารณาความอ่อนแอ และช่องโหว่ จากการ Scan Port / Services ที่เปิดขึ้นบนเครื่องคอมพิวเตอร์นั้น และตรวจช่องโหว่ตามค่า CVE (Common Vulnerabilities and Exposures)

ทั้งที่เป็นอุปกรณ์เครือข่าย เครื่องแม่ข่าย และ Application

4. การนำเหตุการณ์ที่เกิดขึ้นเปรียบเทียบตามมาตรฐาน (Log Compliance) ข้อมูลที่ผ่านอุปกรณ์ SRAN จัดคัดเลือกเป็น 2 กลุ่มใหญ่คือข้อมูลที่เป็นการใช้งานปกติ (Normal Traffic)

และ ข้อมูลที่ไม่ปกติ (Threat Traffic) ซึ่งทั้งหมดนี้จะนำมาเปรียบเทียบตามเหตุการณ์ให้สอดคล้องกับมาตรฐาน ISO 27001 / 2005 และพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ 2550

โดยจัดเปรียบเทียบเพื่อให้รู้ทันเหตุการณ์ ตามมาตรา 5 – มาตรา 11 ที่สามารถแปลความทางเทคนิคได้ ซึ่งจะช่วยทำให้ผู้ดูแลระบบมีความสะดวกในการประเมินสถานการณ์ได้โดยอัตโนมัติ

คุณสมบัติทางเทคนิคทั้ง 4 ข้อ ล้วนบรรจุอยู่ในอุปกรณ์เดียว ซึ่งตรงตามนิยามของทาง SRAN ว่า “Lower Cost More Secure” ซึ่งหมายถึงผู้ใช้ได้รับ “ความปลอดภัยอย่างคุ้มค่า” นั่นเอง

3. การติดตั้งอปุกรณ์ SRAN ควรติดตั้งที่ใด และเพื่ออะไร จึงติดตั้งเช่นนั้น ?

ตอบ : การติดตั้ง SRAN สามารถติดตั้งได้ 2 วิธี คือ

1. การติดตั้งแบบขวางทางระบบเครือข่าย ระหว่างอุปกรณ์ กับ อุปกรณ์ หรือ อุปกรณ์ และระบบเครือข่าย ทั้งที่เป็นเครือข่ายภายใน และข้ามกันระหว่างเครือข่ายภายนอก

การติดตั้งแบบนี้เรียกศัพท์ทางเทคนิคว่า การติดตั้งแบบ “In-Line” โดยการติดตั้งแบบ Inline นั้นจะไม่ได้เกี่ยวข้องกับค่า Configuration เดิม ไม่ต้องตั้งค่า Routing ใหม่

ไม่ต้องตั้งค่า NAT และ Default Gateway ใหม่ ซึ่งจะมีความสะดวกในการใช้งานเป็นอย่างมาก แต่สำคัญว่า SRAN ทุกรุ่นไม่ได้ออกแบบมาเป็นระบบ Inline อย่างสมบูรณ์แบบ

ทั้งนี้หากองค์กรใดจะติดตั้ง SRAN แบบ Inline ให้คำนึงถึงค่าพื้นฐานในการรองรับอุปกรณ์ และจำนวน Concurrent Session บนระบบเครือข่ายเป็นหลัก การติดตั้ง In-line

เหมาะกับเครือข่ายขนาดเล็กเท่านั้น และการติดตั้งแบบ In-line สามารถป้องกันภัยคุกคามได้ การติดตั้งแบบ In-line เพื่อป้องกันภัยคุกคามได้ด้วย พร้อมทั้งบันทึกข้อมูลทางจราจรได้พร้อมกัน

เหมาะสมสำหรับเครือข่ายขนาดเล็กเท่านั้น

2. การติดตั้งโดยใช้ความสามารถของอุปกรณ์ Switch ทำการ Mirror Data Traffic มาที่อุปกรณ์ SRAN เป็นวิธีที่ทางบริษัทผู้ผลิตแนะนำให้ใช้ เนื่องจากอุปกรณ์ SRAN

ออกแบบเพื่อเป็นอุปกรณ์ที่ใช้สำหรับการทำงานเก็บบันทึกข้อมูลเพื่อใช้เป็นหลักฐานในการพิสูจน์หาการกระทำผิดอันเกี่ยวข้องกับการใช้งานระบบสารสนเทศ

หรือเรียกศัพท์ทางเทคนิคว่าการทำ Forensics นั้นเอง การทำ Mirror Port จากอุปกรณ์ Switch ที่สามารถทำ Management Port ได้ หรือหาก Switch นั้นไม่สามารถทำ Mirror port ได้

ก็ต้องใช้อุปกรณ์เสริมเช่นอุปกรณ์ในการ TAP Network เพื่อโยนข้อมูลทั้งหมดที่ผ่านเข้าออกระบบเครือข่ายมาให้อุปกรณ์ SRAN เป็นต้น การติดตั้งแบบ Passive mode เหมาะกับทุกระบบเครือข่าย

และสามารถใช้ได้แบบไม่มีผลกระทบกับเครือข่ายเดิม ทั้ง Passive และ Inline คุณสมบัติทางเทคโนโลยีของอุปกรณ์ SRAN ยังคงเหมือนกัน

4. เทคนิคการเก็บบันทึกข้อมูลจราจรของ SRAN ใช้หลักการใด ? และ ข้อดี ข้อเสียสำหรับวิธีนี้เป็นอย่างไร ?

ตอบ : เทคนิคการเก็บบันทึกข้อมูลจราจรโดยใช้ SRAN ใช้ 3 เทคโนโลยี เป็นส่วนผสมได้แก่

1. เทคนิคการทำ Flow Base Collector นั้นคือ การตรวจลักษณะการใช้งาน Bandwidth ผ่าน Protocol ICMP , TCP , UDP และ SNMP เพื่อดูลักษณะการใช้งาน

ทั้งที่เป็นข้อมูลขาเข้าระบบเครือข่าย และ ขาออกจากระบบเครือข่ายที่ใช้งาน

2. เทคนิคการวิเคราะห์ โดยเปรียบเทียบตามฐานข้อมูล ส่วนนี้จะสามารถรู้ถึง Application Protocol ต่างๆ ไม่ว่าเป็นการใช้งาน Web , Mail , Chat , Telnet , VNC ,

Remote Desktop , Upload/Download และ การทำ VoIP ผ่านบางซอฟต์แวร์ ที่อยู่ในฐานข้อมูล SRAN

3. เทคนิคการตรวจจับค่า Syslog จากตัวอุปกรณ์ โดยสามารถรับค่า Syslog จากอุปกรณ์ เช่น Router , Firewall , IDS/IPS และ Proxy เครื่องแม่ข่ายเช่น Domain Controller ,

Proxy Server และ Web / Mail Server ได้ โดยกำหนดค่าตั้งรับ syslog ผ่านในอุปกรณ์ SRAN ซึ่งจะมีอยู่ในรุ่นที่เป็น Hybrid Log Recorder คือ รุ่น SR-L Hybrid ขึ้นไปเท่านั้น

ข้อดีการใช้เทคนิคการเก็บ Log แบบ SRAN คือ

1. ติดตั้งสะดวก

2. ตัดปัญหาการออกแบบ และผลกระทบกับระบบเครือข่ายเดิมที่มีอยู่

3. ลดปัญหาเรื่องราคาที่บานปลาย จากการออกแบบ และ การติดตั้งระบบ

4. ใช้เนื้อที่เก็บบันทึกน้อย

5. สามารถรู้ลักษณะการใช้งานเครื่องลูกข่าย (Client) ซึ่งเป็นประโยชน์ในการตีกรอบหลักฐานหาผู้กระทำผิดให้เล็กลง และสามารถระบุตัวตนผู้ใช้งานได้อย่างถูกต้อง

พร้อมหลักฐานที่สามารถยืนยันในชั้นศาลได้อีกด้วย

6. สามารถเก็บบันทึกข้อมูลจราจร เพื่อออกรายงานผลได้อย่างเป็นระบบอัตโนมัติ ซึ่งประหยัดเวลาในการวินิจฉัยและการค้นหาผู้กระทำความผิด

7. อุปกรณ์ SRAN สามารถแยกแยะเหตุการณ์ให้มีความสอดคล้องกับพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ 2550 โดยอัตโนมัติ

ซึ่งสามารถเปรียบเทียบเหตุการณ์ (Correlation Log) ตามมาตรา 5 – มาตรา 11 ที่สามารถแปลความทางเทคนิคได้

8. อุปกรณ์มีความสามารถเก็บบันทึกข้อมูลจราจรตามมาตรา 26 เพื่อความสะดวกเราทำหน้าจอในการเก็บบันทึกโดยแบ่งวัน เวลา ตามปฏิทินการใช้งาน พร้อมค่ายืนยัน Log file

ซึ่งมีความสะดวกในการค้นหาอีกด้วย

สามารถอ่านเพิ่มเติมได้ที่ การอ่านค่า Log จาก SRAN ได้ที่ http://www.sran.net/archives/134

ข้อเสีย

1. หากไม่ใช่ SRAN รุ่น Hybrid แล้ว Log ที่เกิดขึ้นเป็น Log ที่เกิดจากการใช้งานระบบสารสนเทศ ทั้งข้อมูลขาเข้า และ ขาออก เป็น Log ที่เกิดขึ้นบนระบบเครือข่าย และสามารถตรวจเครื่องลูกข่ายได้

แต่ Log นั้นอาจเกิดความเข้าใจผิดได้ (False Positive) หากไม่มีการวิเคราะห์เชิงลึก เพราะ Log ไม่ได้เกิดขึ้นจาก LocalHost อุปกรณ์ นั้นโดยตรง

2. หากติดตั้งแบบ Passive mode โดยต้องการความสามารถ Switch เพื่อทำการ Mirror port มาให้นั้น ต้องอาศัย Switch ที่ทำการ Management ได้ หรือต้องใช้อุปกรณ์เสริมมาช่วย

จึงจะเก็บบันทึกข้อมูลจราจรได้

3. การติดตั้งแบบ In-line mode ถึงแม้จะสามารถป้องกันภัยคุกคามที่เกิดขึ้นได้ แต่อาจไม่เหมาะกับองค์กรที่มีเครื่องคอมพิวเตอร์มากกว่า 100 เครื่องขึ้นไป โปรดดูคุณสมบัติทางฮาร์ดแวร์

และการรองรับข้อมูลจาก Data Sheet ของบริษัท

5. ในมาตรา 8 ของ พ.ร.บ. คอมพ์ฯ ได้กล่าวถึงการดักข้อมูล (Sniffer) การใช้อุปกรณ์ SRAN ถือว่าเป็นการดักข้อมูลหรือไม่ ?

ตอบ : มาตรานี้ดูที่เจตนาเป็นหลัก หากเป็นการใช้ sniffer เพื่อดักข้อมูลผู้อื่น เช่น User / Password โดยมิชอบก็จะเข้าข่ายฐานความผิด ส่วนอุปกรณ์ SRAN

ใช้เทคนิคการกรองข้อมูลผ่านทางระบบเครือข่าย ไม่ใช่เทคนิคของ Sniffer เนื่องจากการใช้ Sniffer คือ Dump ข้อมูลทั้งหมดผ่านทางระบบเครือข่าย และเก็บบันทึกทุกเหตุการณ์การกระทำ

แต่ SRAN ไม่ได้บันทึกหมดทุกเหตุการณ์ เพียงพิจารณาตามหลักห่วงโซ่ของเหตุการณ์ (Chain of event) ซึ่งพิจารณาตาม Field ที่กฏหมายกำหนดให้เก็บช่วยประหยัดการออกแบบและติดตั้ง

และสามารถตรวจสอบได้ว่า ใคร ทำอะไร ที่ไหน อย่างไร เวลาใด ได้อย่างเป็นระบบ และสะดวกในการค้นหาผู้กระทำความผิดเกี่ยวกับคอมพิวเตอร์ ซึ่งตรงกับสาระสำคัญทางพระราชบัญญัตินี้

คือต้องการหาผู้กระทำความผิดมาลงโทษ การเก็บบันทึกข้อมูลของ SRAN จึงมากกว่าการเป็นตัวเก็บเพียงอย่างเดียวแต่สามารถตรวจสอบ และวิเคราะห์หลักฐานที่ค้นพบได้ ตามหลักสืบสวนสอบสวน

จึงมีประโยชน์อย่างยิ่งสำหรับผู้ดูแลระบบ ที่ต้องการวิเคราะห์หาสาเหตุ รวมถึงพนักงานเจ้าหน้าที่ และเจ้าหน้าที่ตำรวจ ตลอดจนนายจ้างที่ต้องการทราบถึงพฤติกรรมการใช้งานระบบสารสนเทศ

ภายในองค์กรที่ดูไม่ยากจนเกินไป

Sniffer คือการทำดักทางระบบเครือข่ายเพื่อนำข้อมูลทั้งหมดมาวิเคราะห์ หรือกระทำการอย่างใดอย่างหนึ่งเพื่อใช้ประโยชน์ หาก SRAN เก็บบันทึกข้อมูลจราจรทั้งหมด เนื้อที่ในการเก็บบันทึกต้องสูงมาก

แต่ในแต่ละรุ่น SRAN พื้นฐานอยู่เพียง 250G ซึ่งสามารถเก็บได้มากกว่า 90 วันที่กฏหมายกำหนดให้ พร้อมทั้งมีการยืนยันค่า Log ผ่านอัลกอริทึ่ม MD5 อีกด้วย

อีกทั้ง SRAN ในรุ่น Hybrid ยังสามารถรับค่า syslog จากอุปกรณ์สำคัญๆ ได้อีกด้วย สรุปได้ว่า

ข้อมูลผ่านทางระบบเครือข่ายทั้งการใช้งาน Bandwidth , Protocol และลักษณะการใช้งานทั้งอุปกรณ์เครื่องแม่ข่าย และเครื่องลูกข่าย SRAN สามารถเก็บบันทึกได้

โดยแบ่งแยกการตรวจจับตามฐานข้อมูล ทั้งที่เป็นข้อมูลปกติ (Normal Traffic) และข้อมูลไม่ปกติ (Threat Traffic) เพื่อนำมาทำการเปรียบเทียบเหตุการณ์ (Correlation)

ซึ่งวิธีนี้จะสามารถวิเคราะห์ถึงการใช้งานในขั้น Application ได้

รวมถึงจะทราบพฤติกรรมการใช้งาน User ที่มีความเสี่ยงตามมาตราต่างๆ ได้ หากใช้เทคนิคอื่นอาจจะไม่ทราบถึงพฤติกรรมการใช้งาน คือไม่รู้ค่า ว่าทำอะไร (What) และทำอย่างไร (Why) ได้

ซึ่งจากประสบการณ์พบว่า การก่อการร้าย การหมิ่นประมาท การก่อกวน การโจมตี และบุกรุกระบบต่างๆ มักจะเกิดขึ้นจากการใช้งานอินเตอร์เน็ต และมักเกิดขึ้นจากเครื่องลูกข่าย

หากใช้วิธีอื่นจะพบปัญหาเมื่อเป็นปลายเหตุแล้ว อุปกรณ์ SRAN จึงถูกออกแบบมาเพื่อประหยัดงบประมาณในการจัดหาเทคโนโลยีการเก็บบันทึก พร้อมทั้ง Forensic ได้ในตัว

6. การระบุตัวตนของ SRAN มีหลักการอย่างไร ?

ตอบ : หลักการระบุตัวตนของ SRAN ประกอบด้วย

1. การระบุตัวตนการใช้งานเครื่องลูกข่าย โดยอุปกรณ์ SRAN สามารถทำการ Passive Inventory เพื่อเก็บเป็นคลังข้อมูลการใช้งานซึ่งจะสามารถทราบถึง ชื่อเครื่องลูกข่าย (Host name)

IP Address ค่า MAC Address และลักษณะการใช้งานตาม Application Protocol อ่านเพิ่มเติมได้ที่http://www.sran.net/archives/83

2. การระบุชื่อผู้ใช้งานผ่านระบบ Active Directory บน LDAP Protocol SRAN สามารถทราบถึงชื่อผู้ใช้งานหากมีการ Join Domain ผ่านระบบ Windows/Linux Active Directory ได้

ซึ่งสามารถอ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/86

3. การระบุตัวตนผ่าน Syslog ใน SRAN รุ่นที่เป็น Hybrid ขึ้นไป สามารถทราบถึงการใช้งาน User ชื่อ User ที่ใช้งานรายละเอียดการ Login และความผิดพลาดเกี่ยวกับการระบุตัวตนได้

ซึ่งสามารถอ่านข้อมูลเพิ่มเติมได้ที่ http://www.sran.net/archives/140