Monday, October 27

จะดีไหมหากคุณรู้ทันว่าใครกำลัง Hack เว็บของคุณ ?










จะดีไหมหากคุณรู้ทันว่าใครกำลัง Hack เว็บของคุณ ?
เป็นโจทย์ใหญ่สำหรับทีมพัฒนา เราได้รวบรวมข้อมูลด้วยวัตถุประสงค์ที่ว่าคนเข้าชมเว็บคุณนั้นเป็นใคร มาจากไหน และกำลังทำอะไร โดยเฉพาะกำลัง Hack เว็บคุณอยู่หรือไม่ ?

การพัฒนา SRAN Data Safehouse จึงเกิดขึ้น
จากการพัฒนาเกือบ 2 ปี และถือได้ว่าเป็นผลงานชิ้นเยี่ยมชิ้นหนึ่งที่ผมและทีมพัฒนา SRAN ภูมิใจ ประกอบกับเมืองไทยเราได้มีการจัดระเบียบมาตราฐานการเก็บ Log ด้วยนั้น SRAN Data Safehouse จึงเด่นขึ้นมาอีกครั้ง
หากเราพิจารณาการเก็บ Log ตาม พ.ร.บ คอมพิวเตอร์ ฯ พบว่ามองได้ 2 กรณี
กรณีที่หนึ่ง เป็นการเก็บ Log จากภายในองค์กร จุดประสงค์เพื่อเป็นหลักฐานในการสืบสวนสอบสวนหาผู้กระทำความผิด และแน่นอนส่วนใหญ่ผู้กระทำความผิดก็มักจะเป็นผู้ใช้งานในองค์กร ซึ่งในกรณีนี้ IP ที่พบเห็นมักเป็น IP Private ก็หมายถึง IP หลัง NAT นั้นเอง ซึ่งกรณีนี้มีวิธีการเก็บได้มากมาย อาจจะเก็บจาก Log Firewall , Log IDS , Log Radius หรือ Log Network Proxy ก็สุดแล้วแต่การติดตั้งและความพอดีพอใช้สำหรับองค์กร ที่พอให้หลักฐานนี้กับเจ้าหน้าที่พนักงาน หรือเจ้าหน้าที่ตำรวจได้ หากมีการกระทำความผิดเกิดขึ้น ซึ่งหากเป็นสูตรลัดเลยก็ต้องเลือกใช้ SRAN Security Center + SRANwall ก็น่าจะพอเพียงแล้วสำหรับกรณีที่หนึ่ง
อีกกรณีหนึ่ง เป็นการเก็บบันทึกข้อมูลที่เป็นสาธารณะข้อมูล มักเป็น IP / Domain ที่เป็น Public เช่น พวก Website ต่างๆ ซึ่งจะพบว่าผู้กระทำความผิดมักเป็นคนที่ใช้ข้อมูลเว็บ เช่นเว็บบอร์ด เว็บใช้ในการ Upload / Download ผู้กระทำความผิดอาจจะใช้อินเตอร์เน็ตที่บ้าน ที่ต่างจังหวัด หรือต่างประเทศก็ได้ ทำอย่างไรเราจึงจะเก็บบันทึกการใช้งานกรณีนี้ได้
ก็มีหลากหลายวิธี หากเราเป็นเจ้าของพื้นที่เว็บเอง ก็อาจจะเอา Log ของ Web Server มาก็ได้ หรือเช่าพื้นที่จาก Hosting ก็อาจขอให้ Hosting เก็บ Log ให้เราก็ได้ การเก็บ Log Web นั้นจะว่าง่ายก็ง่าย จะว่ายากก็ยากเนื่องจาก Log Web server มักเป็น Log ที่ดูลำบาก และต้องใช้ผู้เชี่ยวชาญเป็นผู้วิเคราะห์ ยังพอไม่ การนำ Log ออกมาโชว์ได้ ผู้ดูแล Web Server นั้นก็ต้องมีความรู้สำหรับการจัดเก็บ Log ให้ถูกต้องตามกฏเกณฑ์ที่กระทรวงไอซีทีกำหนดอีกด้วย สรุปแล้วไม่ง่ายนักที่จะเก็บให้ครบถ้วน

ดังนั้นสิ่งที่มีอยู่เดิมของ SRAN Data Safehouse คือรู้ทันภัยคุกคาม ก็บวกวิธีการเก็บ Log ที่ถูกต้องไปด้วย และแสดงผลให้ดูสะดวก ง่าย และพิจารณาหาความสัมพันธ์ของเหตุการณ์ได้อย่างถูกต้อง
จึงเป็นที่มาของการเปิดตัว SRAN Data Safehouse ขึ้น ซึ่งผมขอนำ Presentation ที่ตัวเองได้กล่าวบรรยายในงานเปิดตัวนี้มานำเสนอ




SRAN Data Safehouseรายละเอียดเพิ่มอ่านได้ที่ http://safehouse.sran.net
รูปแบบการบริการ https://safehouse.sran.net/services.html
คู่มือการใช้งาน https://safehouse.sran.net/man/manual.html

นนทวรรธนะ สาระมาน
Nontawattana Saraman

No comments: