Thursday, February 15

Network visibility : การมองเห็นความเคลื่อนไหวภายใน

“เหตุเกิดจากข้างใน จะรู้เท่าทันได้อย่างไร ?”
ในหลายๆองค์กรที่มีระบบเครือข่าย (Network) ลงทุนสูงไปกับการป้องกันภัยจากภายนอก จาก Firewall และ NIPS ไม่เพียงพอ..ในการที่จะรู้ทันเหตุการณ์ที่เกิดขึ้นโดยเฉพาะยุคปัจจุบันที่มีการติดต่อสื่อสารผ่านอินเตอร์เน็ตตลอดเวลาเช่นนี้
สำหรับภัยที่เกิดภายใน เช่นมีเครื่องติดไวรัส และกำลังแพร่กระจายตัว มีเครื่องกระทำผิดต่อนโยบายองค์กร ตลอดจนมีผู้บุกรุกภายในระบบเครือข่ายทั้งที่เจตนา และไม่เจตนา มันคือการลงทุนและการออกแบบจากวิศวกรผู้ชำนาญ ถึงจะได้ผลลัพธ์ที่ต้องการได้ ไม่ใช่แค่การลงทุนเทคโนโลยีอย่างเดียวและช่วยงานได้หมด ถึงแม้ลงทุนไปมากแต่ก็ยังไม่รู้ก็มี รู้แล้ว alert ผิดๆ ก็เยอะ (false positive)
ปัญหาภัยคุกคามทางไซเบอร์ ที่เกิดขึ้นในปัจจุบัน ต้องรู้ให้ทันทั้งภายนอก และ ภายใน
เพื่อประเมินสถานะการณ์ได้อย่างถูกต้องและใช้ในการแก้ไขปัญหาได้เร็ว ก่อนที่จะเกิดความเสียหายที่ควบคุมได้ยากลำบาก
การตรวจจับเหตุการณ์ไม่พึ่งประสงค์ Intrusion Detection Alert ผ่าน Line chat มันดีตรงที่ต้นทุนต่ำกว่า SMS และสะดวกกว่า Email มาดูกันว่าคนในนี้ทำอะไรบ้าง? (ดูที่ comment)
หวังว่าคงมีประโยชน์ต่อกัน

จากภาพบอกถึง  เครื่อง IP 192.168.1.31 มีการขุดเหมือง bitcoin
เครื่อง 192.168.1.28 มีความพยายามโจมตีไปที่ gateway 192.168.1.1 ซึ่งเป็น router / firewall ของบริษัท โดยการพยายาม scan port 16 ครั้ง ต่อเนื่องในเสี้ยววินาที
เครื่อง 192.168.1.6 แชร์ไฟล์ ไปเครื่อง 14 โดยใช้ protocol SMB version 1 มีความเสี่ยง ต่อไวรัสประเภท Ransomware ได้

ในหน่วยงาน / องค์กร สมัยควรมีการรู้เท่าทันสิ่งเหล่านี้เพราะเป็นเรื่องที่เกิดขึ้นและมีโอกาสสร้างความเสียหายให้กับองค์กรโดยที่ไม่รู้ตัว

Nontawatt  Saraman
นนทวัตต์  สาระมาน
CIPAT