Friday, August 30

Big data เป็นอะไรได้บ้าง

ย่อเรื่องจากงานเขียนเดิม


Wednesday, August 28

มายาเทค

มายาเทค กับประเทศไทย
"เศรษฐกิจถดถอย อุปทานหมู่ ที่เป็นจริง"
เหตุเพราะ เราเล่นกับ Future มากเกินไป

ในศาสนาพุธ กล่าวไว้ว่า “ให้ดำเนินชีวิตโดยอยู่กับปัจจุบัน” แต่หลายครั้งที่เรา ก็จะแย้งว่า ชีวิตเราต้องมีอนาคต และทุกคนที่มีลมหายใจอยู่ ก็ต้องการอนาคตที่ดีขึ้น
ด้วยเหตุปัจจัยที่กระตุ้นกิเลสของเราเอง ทำให้การรู้เท่าทันสถานะการณ์รอบข้างได้น้อยลง

"เราเล่นกับ Future มากเกินไป" ในส่วนประกอบของเศรษฐกิจและสังคมที่เป็นอยู่ ผมขอหยิบยกตัวอย่างสักเรื่อง อันได้แก่
ธุรกิจ e-Commerce เรากำลังเผชิญ "มายาเทค" ที่มาเป็น platform ข้ามชาติ ที่ส่งผลต่อการเปลี่ยนแปลงพฤติกรรมความเป็นอยู่ เจ้าใหญ่ที่มาฆ่ารายเล็กรายน้อย ที่ปรับตัวไม่ทันและทุนไม่ถึง ทำลายโครงสร้าง การตลาด ระบบขนส่ง และอื่นๆ ชนิดที่ทุกคนต้องถอยเพราะไม่สามารถเห็นสภาพขาดทุนแบบนั้น นานๆ ได้
เจ้าใหญ่ที่ active อยู่คือ Lazada และ Shopee ยังไม่พบคำว่ากำไรมากว่า 3 ปี ล่าสุดปี 2018 ขาดทุนกว่า 4 พันล้านบาท รวมแต่เปิดมาเกือบหมื่นล้าน ซึ่งไม่แปลก ที่ต่างธุรกิจก็ต้องมีจุด ROI
ซึ่งชุดความคิดนี้ ถึงมีความเสี่ยงผู้เล่นในไทยก็ยอมสู้ เป็นทีมงานขั้นเทพก็ว่าได้แต่สู้ข้ามชาติไม่ได้ตรง ทุนที่หนาจ่ายแบบไม่อั้น ก็ต้องยอมกลุ่มจีน (Alibaba) จนในตลาดปัจจุบันของ e-Commerce ไทยมี active หลักเพียงแค่นี้ ยังไม่มีใครได้กำไรจากงานนี้ยกเว้น พวกที่ทำโลจีสติก อย่างเช่น Kerry เป็นต้น ที่กำไรงามและมีทีท่าว่าจะแซงรายใหญ่ในไทยเสียด้วย


E-commerce platform ขาดทุนเยอะขนาดนั้นทำไมยังคงทำธุรกิจต่อ ?
คำตอบคือ อยู่เพราะอนาคต
อีกทั้งจำนวนผู้ใช้งานกินประชากรมากขึ้น มีโอกาสคืนทุนได้ในไม่ช้า บริษัทโตขึ้น เงินหมุนเวียนจากบริษัทแม่ และธนาคาร เพื่อพยุงให้ทำธุรกิจต้องเดินต่อได้ .... (แบกกันต่อไปนะ Startup)

ด้วยการเล่น Future เกินไป ทำให้ Supply Chain ในประเทศไทย ทึ่ยังปรับตัวไม่ทัน จึงกระทบไปด้วย
และเมื่อแบกและเข็นกันไปไม่ไหว ก็ต้องหาทางลงแบบไม่เข้าเนื้อใคร (สร้างสกุลเงินใหม่มาล้างเลยไหม)

ไม่ต่างกับธุรกิจ Entertainment ก็เล่น Future เกินไป โดยเฉพาะธุรกิจ streaming online มาลักษณะเดียวกันคือ เป็น Platform ข้ามชาติ สะดวก ใช้งานไม่สะดุด เบื้องหลัง Infra ขนาดใหญ่ มิได้เพียงเสกขึ้นมาฟรี ทุกอย่างย่อมลงทุน และเป็นการลงทุนไม่น้อย ก็เป็นเช่น e-Commerce คือขาดทุนตลอด เพื่อต้องการได้มีผู้ใช้งานจำนวนมาก และมาทำลาย Supply Chain ในประเทศ ที่ยังปรับตัวไม่ทัน

คำถามเมื่อไหร่ ธุรกิจเหล่านี้จะคืนทุน (ROI) ?
และเป็นเช่นนี้ Platform ข้ามชาติ เข้ามาให้คนติด ทำลาย Supply chain ที่หาเลี้ยงชีพเล็กๆน้อยๆ ของคนในชาติไป

และทั้งนี้ ยังไม่ร่วมกันกับ ธุรกิจอื่น ที่ใช้ นวัตกรรมเศรษฐกิจ ผ่าน platform เช่น อสังหาริมทรัพย์, รถยนต์ และการขนส่ง, การศึกษา พลังงาน การเงินและกลุ่ม Startup ที่ลงทุนกันเยอะเกินมูลค่า ซึ่งหากวิเคราะห์ให้ดี มีน้อยนักที่กำไร ส่วนใหญ่ "เล่นกับ Future เกินไป"

ด้วยเหตุนี้ย่อมกระทบต่อสังคมและเศรษฐกิจเรา ซึ่งมาในรูป "มายาเทค" นี้เอง

การก่อตัวของ "มายาเทค" ประกอบด้วย
(1) รูปแบบ platform ข้ามชาติ ที่มาพร้อมเทคโนโลยี มี Cloud Infra มี app ที่เข้าถึงง่าย พร้อมทำ Big data ต่อยอดเป็น AI ได้ -->
(2) ปั้มเงินจากนอกประเทศแบบไม่อั้นเพื่อเข้าแทนที่ระบบเดิม -->
(3) คนใช้งานแล้วติด จนต้องใช้เป็นส่วนหนึ่งในชีวิตประจำวัน -->
(4) ทำลายโครงสร้าง เดิมบนห่วงโซ่ธุรกิจที่ปรับตัวไม่ทัน เข้าแทนที่ อุปสงค์ อุปทาน ที่อ่อนแอ ของคนในชาติ

รวม (1) ถึง (4) ขอนิยามส่วนตัวว่า "มายาเทค"
และมายาเทคนี้แหละ ที่เราภาคภูมิใจหนักหนา กลัวตกยุคดิจิทัลกัน ซึ่งแท้จริงแล้วสิ่งที่เราใช้อยู่เป็นเพียงเปลือก มิใช่แก่น

ภาพ สรุปปรากฎการ์ณมายาเทค 

ปัญหาการถดถอยของเศรษฐกิจ มันเกิดขึ้นในขั้นตอนที่ (2) ปั้มเงินออกมาไม่อั้น นี้แหละ ที่เรียกว่า เล่นกับ Future เกินไป ต่างชาติที่ลงเงินอยู่ได้ แต่โครงสร้างการค้าขายในชาติไทยจะออกอาการเสียมากกว่าได้และโทษเศรษฐกิจแย่ ตามระเบียบ

เงินที่ปั้มขึ้นมาเพื่อพยุงธุรกิจ platform ข้ามชาติ(จีน และอเมริกา) นี้แหละ มีผลกระทบกันและกันผลพ่วงจากสิ่งนี้ย่อมเกิดกับสิ่งนี้
เป็นไปตามกฎปฏิจจสมุปบาท ที่อุปมาอุปไมยดังว่า

"สรรพสิ่งยืมตัวเองมาจากการมีอยู่ของสิ่งอื่น เช่นเดียวกันกับ ในทะเลมีสายฝน ในหยาดฝนมีทะเลกว้าง ละอองไอในก้อนเมฆ แท้จริงแล้วคือท้องทะเลที่กำลังเดินทาง เมื่อเราเห็นฝนก็คือเห็นทะเล เห็นทะเลก็คือเห็นฝน" (จากการบรรยาย เรื่องสุญญตา เสกสรรค์ ประเสริฐกุล 2549)

ฉันใด เมื่อก้อนเมฆคือหนี้สินก้อนโต ไม่นานต้องเทเป็นฝนลงสู่ท้องทะเลเป็นแน่แท้ และด้วย
ทุกอย่างเชื่อมและกระทบซึ่งกันและกัน เป็น "butterfly effect" แน่นอนกระทบไปหมด (รวมทั้งฮ่องกงก็เป็นได้ : P)

เงินที่ปั้มออกเพื่อสร้าง Platform ข้ามชาติ ต้องมีดาต้าเซ็นเตอร์ขนาดสุดถนนวิทยุ(เปรียบเทียบ) เพื่อรองรับ Big data และ AI ที่เราชื่นชมกัน

เงินที่ปั้มออกเพื่อพยุงธุรกิจให้ eyeball จำนวนมากเพียงเพื่อให้ app ติดตลาด เมื่อคนติด app จะได้ข้อมูล Big data และพฤติกรรมบริโภคจากเราไปทั้งสิ้น

เพราะตัวเราเอง....ที่เล่นกับ Future มากเกินไป

"มันเป็นเพียง มายาเทค ไม่ต้องตามให้ทันทั้งหมดเราก็อยู่ได้ (จริงไหม)


โปรดอยู่กับปัจจุบัน และรู้เท่าทัน ทุกอย่างมีทางออก
ด้วยความหวังดี

Nontawatt S
20/08/62

Tuesday, August 27

Network Log มีความสำคัญอย่างไร

Network Log มีความสำคัญอย่างไร ?

เมื่อพูดถึง Log files หลายคนคงเข้าใจว่าต้องนำ Log จากเครื่องแม่ข่าย (Server) เพื่อโยนเข้ามาเก็บส่วนกลาง ผ่านเทคโนโลยี Centralized Log management ไม่ว่าเป็น Log ที่เกิดจากระบบ System ในเครื่อง หรือ Log ที่เกิดจาก Application
(Log files คือการเก็บบันทึกข้อมูลที่เกิดขึ้น)

ยกตัวอย่าง หากในองค์กรหนึ่งมีการตั้ง AD Server (Active Directory) เพื่อเป็น AAAและA
Authentication คือ การระบุตัวตน เพื่อใช้ยืนยันตัวตน ของผู้ใช้งานภายในองค์กร เช่น การ Login เข้าระบบเครือข่าย Login เพื่อยืนยันตัวตนในการเข้าถึงระบบงาน ยืนยันและระบุตัวตนสำหรับการใช้งานอินเทอร์เน็ต เป็นต้น

Authorization คือ การกำหนดสิทธิในการเข้าถึง Application เข้าถึงระบบ เข้าถึงไฟล์ และเข้าถึงข้อมูล เป็นต้น

Accounting คือ รายชื่อผู้ใช้งานที่มีการสร้างขึ้นจากผู้ดูแลระบบ ส่วนใหญ่เป็นรายชื่อพนักงานในองค์กร

และ A ตัวสุดท้ายคือ Auditing เป็นการตรวจสอบ Log ที่เกิดขึ้น ส่วนใหญ่แล้วก็จะเป็น Log ที่เกิดจาก Authentication, Authorization และ Accounting ของเครื่อง Active Directory Server นี้แหละ

และยังมี Application Log ที่สำคัญ อื่นๆ ที่นิยมนำมาเก็บ บน Log Management ก็เช่น Log Web Server, Log Mail Server, Log DHCP/DNS Server, Log จาก Files Sharing, Log ระบบที่สร้างขึ้นจากแอพลิเคชั่นในองค์กร เช่นระบบ ERP ระบบบัญชี เป็นต้น ซึ่งหากเก็บหมดนี้ก็ถือใช้พื้นที่ในการเก็บจำนวนมาก และหากเก็บหมดได้ นี้แหละคือ Big data ที่ทุกองค์กรมีอยู่ใกล้ตัวที่สุด เป็นข้อมูลภายในองค์กร ซึ่งรัฐบาลจากทำ Big data แต่ไม่รู้จะเริ่มอย่างไง อยากให้มาดูในส่วนนี้จะเริ่มต้นได้ (สำหรับหน่วยงานที่ไม่มีข้อสาธารณะจำนวนมากและต่อเนื่อง)


Big data ส่วนนี้มิใช่ข้อมูลที่แสดงต่อสาธารณะ แต่มีประโยชน์ต่อหน่วยงานมาก ช่วยให้รอดพ้นจากภัยไซเบอร์ได้ อันเนื่องมาจากการมองเห็น และรู้เท่าทันขึ้น จาก Log files

Log มาจากเครื่อง ส่งมาเก็บจะพบปัญหาได้หากเกิดความผิดพลาดในระบบเช่นไวรัสลงที่เครื่องแม่ข่าย (Server) ที่กล่าวมาทั้งหมดเหล่านี้ไม่ว่าจะเป็นเครื่อง AD Server, Files sharing server, และ Web Server การส่ง Log มาเก็บที่ Centralized Log management อาจจะมีความผิดพลาด เช่น ไวรัสคอมพิวเตอร์ บางชนิดอาจทำลาย Log ลบ Log ทำให้ไม่มี Log ส่งมาเก็บที่ส่วนกลาง ไม่สามารถหา ร่องรอยการโจมตีได้


ภาพ Log ที่เกิดจาก RDP ที่เกิดจาก Network Log เป็น GUI จาก SRAN LT 50 Hybrid

Log ที่มาจาก Network นั้นสำคัญ ?
หากเกิดกรณีดังกล่าว เช่นไวรัสเข้าไปลบ Log ในเครื่อง Server เราจะทำอย่างไร
ผมจึงจะขอเวลาเขียนบทความนี้เพื่อทำความเข้าใจ ดังนี้

Log Network ประกอบด้วย
1) Log ที่มาจากอุปกรณ์ Network เช่น Log Firewall, Log Router, Log Switch หลายองค์กรทำการส่ง Log เฉพาะ Log Firewall เพื่อ เข้า Centralized Log management เพราะตัวอื่นๆ จะมีปริมาณข้อมูลเยอะและมีเหตุการณ์ที่ซ้ำซ้อน ดังนั้นหากติดตั้ง Firewall แบบถูกวิธี Log Firewall ถือว่าเป็นประโยชน์มาก
แต่ด้วยว่า Firewall มีหลายระดับ ระดับที่ราคาแพง (หลักแสนขึ้นถึงหลักหลายล้าน) จะมีครบ

ส่วน Firewall ทั่วไป อย่างน้อยจะเห็น Log ที่ได้จะเห็น การสื่อสาร ต้นทาง (IP Source/ Source Port) และ ปลายทาง (IP Destination/ Destination Port) และ Protocol สถานะการเชื่อมต่อ

Firewall ที่เป็นระดับ Application Firewall ก็จะเพิ่มเติมการมองเห็น Application ที่ใช้งาน Bandwidth ที่ใช้งาน เช่น มองเห็น Protocol ที่สำคัญ เช่น HTTP, SMTP, DNS, DHCP, FTP, SSH เป็นต้น ซึ่งหากรู้จัก และ Application ที่สื่อสารบน Protocol เหล่านี้ เช่น Skyp, Facebook, Line, Gmail เป็นต้น แต่ไม่ได้หมายถึงว่าเห็นข้อความ เนื้อ content ผู้ส่งและผู้รับได้ เห็นเพียงรู้ว่าใช้ Application อะไร Bandwidth เท่าไหร่ ลักษณะการสื่อสารเท่านั้น

Firewall ในระดับ NextGen ก็จะป้องกันภัยคุกคามที่มาทางระบบเครือข่าย และ Application ได้ด้วย
แต่ทั้งนี้ Log ที่มาจาก Firewall ส่งมาเก็บ ก็ใช่ว่าจะสมบูรณ์ เพราะไม่สามารถมองเห็น Log Network ภายในองค์กรได้

Log Network ที่เกิดขึ้นในองค์กร การแชร์ไฟล์ map drive, Log ที่มากับกล้องวงจรปิด CCTV ที่ติดภายในอาคาร Log ที่เกิดจากการควบคุมเครื่องจักรในโรงงานอุตสาหกรรม, Log ที่เกิดจากแพร่ไวรัสภายในเครือข่าย LAN เป้นต้น

การที่ Firewall จะมองเห็นได้ทั้งหมดเป็นไปไม่ได้

ดังนั้นแบบที่ 2 ที่จะกล่าวถึงคือการสำเนาข้อมูลผ่านระบบเครือข่ายคอมพิวเตอร์ หรือเรียกว่า Mirror traffic จึงเกิดขึ้น สำหรับผมชอบวิธีนี้ที่สุดเพราะผลกระทบน้อยและ Log ที่ได้รับมามีประโยชน์ ไม่สามารถถูกแก้ไขจากไวรัสคอมพิวเตอร์ได้ เห็นอย่างไร บอกอย่างนั้น ตามที่เคยกล่าวว่า "Log files ไม่เคยโกหกเรา"

2) Log Network ที่ได้จากการสำเนาข้อมูล
(Mirror traffic)
หากระบบเครือข่ายในองค์กรของเรามีขนาดใหญ่ อาจมีการแบ่งโซนระบบเครือข่ายออกเป็น โซนสำหรับเครื่องแม่ข่ายสำคัญ โซนผู้ใช้งานภายในองค์กร โซน WiFi โซนตามแผนกงาน เป็นต้น ก็ทำการสำเนาข้อมูลแต่ละส่วนมาเพื่อเก็บบันทึกเป็น Log Network ได้
ด้วยวิธีนี้ มีหลายโปรแกรมที่มองเห็นและแกะ Protocol ที่สำคัญ เช่น
Log AD ที่เกิดจาก Kerberos สำหรับใช้ Active Directory จะได้ใกล้เคียงกับ Log ที่เก็บในเครื่อง AD Server สามารถมองเห็นทาง Network ได้เช่นกัน

Log Web Server มีความใกล้เคียง access.log หรือเทียบเท่ากัน จากที่มาจากเครื่องแม่ข่าย
Log Files share ที่ผ่าน Protocol Netbios และ SMB ก็เห็นเช่นเดียวกัน ใกล้เคียงจาก Log จากเครื่องแม่ข่ายส่งมา

Log Remote ไม่ว่าเป็น Remote Desktop, VPN, SSH, FTP ก็มองเห็น และใกล้เคียงกับ Log ที่มาจากเครื่องแม่ข่ายส่งมา ซึ่งไวรัสตัวใหม่ ที่พึ่งเกิดขึ้นก็ใช้ช่องโหว่ของ RDP โดยส่วนใหญ่แล้วหาได้น้อยมากที่ใครจะโยน Log RDP มาเก็บ ส่วนใหญ่จะได้จาก Network Log นี้แหละหากไม่มี Network Log อย่าหวังว่าจะได้ข้อมูลและลักษณะการติดต่อสื่อสาร


ภาพLog RDP เมื่อจัดทำสถิติ ผ่าน command line ที่มองเห็นผ่าน Network Log เช่นกัน

Log การระบุตัวตน ที่เกิดจาก Radius Protocol ก็มองเห็น และใกล้เคียงกับ Log ที่มาจากเครื่องแม่ข่ายส่งมา

ดังนั้นแบบที่ 2 ประหยัดงบกว่าแน่ และได้สิ่งที่เพียงพอแล้วสำหรับผู้ดูแลระบบเครือข่าย

ผมจึงอยากจะเขียนไว้เพื่อสร้างความเข้าใจ ซึ่งทั้งหมดที่เขียนมาล้วนมาจากประสบการณ์ทั้งสิ้น

"Log files ไม่เคยโกหกเรา"














Nontawatt Saraman

27/08/62