Pages

วันเสาร์, ธันวาคม 30

ทำนาย 7 เทคโนโลยี ด้านดีและภัยคุกคามในปี 2007 ตอนที่ 3

6. มาตรการป้องกัน CyberCrime / Terrorist
ในปี 2007 และต่อๆไป ภัยคุกคามในโลก IT จากมากขึ้น โดยผมขอจัดอันดับภัยคุกคามว่าสิ่งใดที่สร้างความเสียหายและรบกวนเรามากไปน้อย
- ภัยจาก Spam ในปี 2007 จะมากที่สุด ประกอบด้วยพื้นฐานที่ Spam ที่มาจาก E-mail พัฒนาเป็น Spam ที่ Post ตาม Web board และพัฒนาต่อเป็น Spam บน SMS , Spam IM จนเข้าถึงระบบ VoIP Spam ที่เป็นเสียงก็ได้นะครับ
- Phishing และ Scam จะมากขึ้น Phishing จากเดิมหลอกเฉพาะ website ที่เกี่ยวกับการเงิน ในปัจจุบันมีการหลอกลวงทุกวิธีการ ไม่ว่าเป็นการหลอกให้ download โปรแกรม Decode หนัง โปรแกรมเสริมความเร็วอินเตอร์เน็ท โปรแกรม Anti Spyware ที่เป็น Spyware เสียเอง ดังนี้เราเรียกว่า Web Scam ที่หลอกลวงให้ติด Malware เพื่อกลายเป็น Zombie เพื่อใช้ประโยชน์ต่อไป
และอีกหลายอย่างที่คาดไม่ถึง ในปี 2007 อาจพบ การหลอกผ่านเทคโนโลยี VoIP เป็น Phishing ที่มากับ VoIP ที่ ISC SANS ให้ศัพท์ใหม่ที่ว่า Voice-Over-IP Phishing (Vishing) เกิดขึ้นได้เช่นกัน
- Botnet และเมื่อมีเหยื่อที่เป็น Zombie มากขึ้น จากหนึ่งเครื่อง เป็นสองเครื่อง เป็นยี่สิบเครื่อง เป็นร้อยเครื่อง พันเครื่อง ก็เกิดกองทัพ Botnet ขึ้น และ botnet นี้เอง จะทำให้เกิดสงคราม DDoS และการส่ง Spam และ Phishing/Scam ใน e-mail/ SMS/ WebWorm จำนวนมหาศาลทั่วทุกมุมโลก เป็นการป่วนอินเตอร์เน็ทได้ และผมก็เชื่อว่า Botnet จะเป็นภัยคุกคามในปี 2007 เช่นกัน จากการสำรวจจาก website SRAN Malware Collection พบว่า Bonet ได้เพิ่มจำนวนขึ้นมาก
- Network Worm ซึ่งประกอบไปด้วย E-mail Worm , IM Worm , Internet Worm , IRC worm และ P2P Files Sharing Worm
- 0 day Exploit จะมีจำนวนมากขึ้น เนื่องจากมี Application ใหม่เกิดขึ้นอยู่ตลอด bug เพียงเล็กน้อย อาจส่งผลถึงการเข้าถึงระบบ ช่วงเวลา 0 day เป็นช่วงที่ผู้ไม่หวังดี เข้าถึงระบบได้ง่ายขึ้น และจะหลายเครือข่ายคอมพิวเตอร์ ที่ยังขาด patch หรือตาม patch ไม่ทัน ก็จะกลายเป็นเหยื่อ และตามไปด้วยเป็นกองกำลังให้กับ Botnet ได้เช่นกัน 0 day exploit มีวิวัฒนาการได้ ซึ่งในช่วงเวลาที่เกิด 0 day นั้นไม่นาน exploit นี้อาจจะกลายเป็น Worm ได้เช่นกัน
- Social Networking ข้อมูลที่เกี่ยวของการ Hack มีมากขึ้นทั้งในรูปตำรา Video และการเข้าถึงข่าวสารช่องโหว่ ที่ทันเหตุการณ์ หาได้บนโลกอินเตอร์เน็ท
และอื่นๆ อีกมากมายที่เป็นภัยคุกคามทางเครือข่ายคอมพิวเตอร์ จะเห็นว่าภัยคุกคามเหล่านี้จะมีความสัมพันธ์และเชื่อมโยงกัน แทบทั้งสิ้น ที่ผมต้องกล่าวภัยคุกคามก่อน ทั้งทีเป็นหัวข้อ เรื่อง มาตรการป้องกัน CyberCrime / Terrorist ก็เพราะภัยคุกคามที่เครือข่ายคอมพิวเตอร์มีจำนวนมาก จึงเป็นเรื่องง่ายสำหรับผู้ก่อการร้ายที่จะทำลาย หรือสร้างให้เกิดความเสียหาย หากจะโจมตีผ่านทางกายภาพ ก็คงไม่ทันประเทศมหาอำนาจได้ ดังนั้นจึงต้องหันมาก่อการร้ายบนโลกอินเตอร์เน็ทมากขึ้น ไม่ว่าเป็นการโจมตี website สถาบันการเงิน การปกครอง และการเข้าถึงข้อมูลต่างๆ ที่เกี่ยวข้องความมั่นคงของชาติ คงไม่แปลกใจว่า กลุ่มก่อการร้าย จะต้องไปมีการฝึกฝนให้เป็น Hacker อีกหน้าที่หนึ่ง จึงต้องเป็นหน้าที่ผู้เกี่ยวข้องในการเฝ้าระวังภัยคุกคามของกลุ่มก่อการร้าย และไม่ใช่แค่ประเทศใดประเทศหนึ่ง แต่ควรเป็นการร่วมมือกันในการเฝ้าระวังภัยคุกคามการก่อการร้ายบนโลกอินเตอร์เน็ทกันทั่วโลก ควรเป็นวาระหนึ่งที่ต้องให้ความสำคัญมากขึ้นในปี 2007
สำหรับงาน IT Security เป็นโอกาสดีสำหรับเทคโนโลยี ระบบตรวจจับผู้บุกรุก ไม่ว่าเป็น NIDS /HIPS / HIDS จะมีบทบาทมากขึ้น การสร้างศูนย์เตือนภัยทางเครือข่ายคอมพิวเตอร์ ที่เรียกว่า SOC (Security Operation Center) และให้บริการ MSSP (Management Security Services) ที่เป็นมืออาชีพ และรับประกันภัยคุกคามที่เกิดขึ้นบนเครือข่ายคอมพิวเตอร์ได้ 24 ชั่วโมง ในปี 2007 บริการ IT Security ที่เป็น Out Sourcing จะมีมากขึ้น ลองคิดเล่นๆ ดูครับ หน่วยงานราชการ , หรือรัฐวิสาหกิจ หรือรวมบริษัทเอกชน หากจ้างพนักงานที่ต้องมาดู Bug ที่เกิดขึ้นทุกวัน 0 day ที่เกิดขึ้นทุกวัน Virus/Worm , Phishing , Scam และ Spam อนาคตก็จะมีศัพท์ใหม่เกี่ยวกับภัยคุกคามมาใหม่ทุกปี รวมถึงการต้องค่อยปรับแต่ง อุปกรณ์ Network ให้ทันสมัย มีแผนฉุกเฉินในการ Backup ข้อมูล การเขียนนโยบายรักษาความปลอดภัยในองค์กร และ การสร้าง Security Awareness ให้กับเพื่อนพนักงาน อื่นๆ อีกมากมาย คงต้องจ้างพนักงานจำนวนไม่น้อย ที่ต้องดูเรื่องเหล่านี้ได้หมดทุกเรื่อง จึงเกิดบริการ MSSP ขึ้น Out Sourcing บางส่วนให้ผู้เชี่ยวชาญทำงาน
แนวโน้ม MSSP ที่ดูเหมือนจะเป็นบริการโดดเด่นได้ในปี 2007 ก็เพราะว่าในช่วงปลายปี มีบริษัทใหญ่ๆ ที่ให้บริการ MSSP ได้ ถูกควบกิจการ และร่วมให้บริการกันมากขึ้น ได้แก่ IBM ควบรวมกิจการ (Take Over) บริษัท ISS และ บริษัท Security works รวมกับ LurHQ เพื่อให้บริการ MSSP เป็นต้น

7. การควบคุมลิขสิทธิทางปัญญา
ในปี 2007 จะมีการควบคุมลิขสิทธิมากขึ้น ไม่ว่าเป็นลิขสิทธิ หนัง เพลง ซอฟแวร์ ต่างๆ และมีหน่วยงานชื่อ ฺBSA (Business Software Alliance) มาตั้งในประเทศไทย จะเห็นว่า ในเดือนตุลาคม ปี 49 ได้มีการประกาศเรื่องตรวจจับซอฟต์แวร์ที่มีการละเมิดลิขสิทธิในประเทศไทย แสดงว่ามี แนวโน้มที่เอาจริงเอาจังมากขึ้น
แบ่งซอฟต์แวร์ ที่อาจมีการละเมิดมาก ได้แก่ OS (Operating System) โดยเฉพาะจากค่าย Microsoft , ซอฟต์แวร์ Anti Virus/Spyware และ Application ในการใช้งานทั่วไป ไม่ว่าเป็น Application งาน Office เป็นต้น
มีจุดหนึ่งที่ไม่กล่าวถึงเลย นั้นคือ โปรแกรม Anti virus หากเป็นสมัยใหม่ ก็มักจะรวมความสามารถในการตรวจ Spyware ได้ในตัว ทุกค่าย และก็ถือว่าเป็นโปรแกรมยอดฮิตตลอดกาล ยังยอดขายที่ดี และจำเป็นต้องใช้ แต่ผมมองว่าในอนาคต จะตลาดซอฟต์แวร์ Anti virus จะน้อยลงโดยเฉพาะในต่างประเทศ แต่ตรงข้ามกับประเทศไทย ในประเทศไทยขายได้ และขายดีมาก อีกไม่ต่ำกว่า 3 ปี ที่กล่าวเช่นนี้เพราะว่าซอฟต์แวร์ Anti virus/spyware จะมากับ OS หรือ จะมาพร้อมกับ มือถือ (Moblie) แล้ว เช่น Microsoft Vista ก็มีระบบรักษาความปลอดภัยมาพร้อมกับ OS ทั้งการกรอง Web ไม่เหมาะสม ทั้งที่เป็น Personal Firewall และ Anti virus/spyware/Spam ในโปรแกรมเดียวกัน หรือที่เรียกว่า All in one Internet Security นั้นเอง แต่ในประเทศไทยแล้ว Microsoft Vista จะมาใช้ในไทยได้คงต้องใช้เวลาไม่ต่ำกว่า 1 ปี นับแต่ปีนี้เป็นต้นไป ดังนั้นในประเทศไทยจึงมีความจำเป็นต้องใช้ซอฟต์แวร์ Anti virus ทั้งที่เป็นแบบ Personal ตามบ้าน และ Corporate ในองค์กร เป็นการมองเฉพาะที่เป็น Host นะครับ อย่ามองเกี่ยวข้องกับเรื่อง Network เพราะใน Network ก็จำเป็นต้องมีอุปกรณ์ที่ป้องกันภัย Virus/worm/spam/spyware อีกชั้นหนึ่ง และ ไม่ต้องแปลกใจว่าทำไม มีบริษัทจัดทำซอฟต์แวร์ Anti virus/spyware เพิ่มตัวขึ้นมากมาย ที่ทำก็เพราะรอการ Take over จากบริษัทใหญ่ เพื่อรวมซอฟต์แวร์ระบบป้องกันไปสู่ OS ในค่ายใหญ่ ผมก็คิดว่าคงเหลือค่ายเดียวเช่นเคย แต่จะไปแข่งขันกันดุเดือนในการรวมซอฟต์แวร์ Antivirus/Spyware รวมถึง Spam บนมือถือ เพื่อรอบริษัทใหญ่ที่เจ้าของแบนด์มือถือชั้นนำ (ยังมีหลายค่ายมากกว่า การแข่งขันตลาด OS) เพื่อรอการ Take over ในปีหน้าและต่อๆไป มือถือกลายเป็นปัจจัยสำคัญในชีวิตประจำวัน มีระบบที่เชื่อมต่ออินเตอร์เน็ทได้ตลอดเวลา และใช้งานได้อย่าง PC ทั่วไป ปัญหาตามมาก็หนีไม่พ้นปัญหาเดิมๆ คือไวรัสคอมพิวเตอร์ (virus/worm) อีเมลขยะ (spam) และที่จะเป็นภัยคุกคามอีกอย่างก็คือเรื่องข้อมูลส่วนตัว โดยเฉพาะข้อมูลส่วนตัวบนมือถือ spyware และ adware จะมุ่งเป้าความเสียหายไปที่ข้อมูลส่วนตัว บนมือถือ นี้แหละครับเป็นเรื่องต้องกล่าวให้ทราบ ว่าจะมีการเติบโตสูงในธุรกิจซอฟต์แวร์ Anti virus/spam/spyware ส่งผลให้เกิดการควบคุมลิขสิทธิทางปัญญามากขึ้นเช่นกัน

และอีกประการหนึ่งในเรื่องการควบคุมลิขสิทธิทางปัญญา เนื่องจาก ระบบควบคุม License ของ OS Windows ก็มีการควบคุมการปลอมแปลงยากในการ crack ค่า Serial number มากขึ้น ผมคิดว่าในปี 2007 และต่อไป Open Source จะมีบทบาทมากขึ้น OS Linux ที่ทำได้ดีและ Free License อย่าง Ubuntu Linux ก็ทำได้ดีขึ้นเรื่อยๆ จนสามารถทดแทนการใช้งานผลิตภัณฑ์จาก Microsoft และ OS อื่นๆที่มี License ได้ รวมถึง Application ที่เป็น Open Source ก็ทำได้เกือบเท่าเทียมกับ Application ที่มี License แบบขาย
... แล้ว Open Source สำหรับผู้ประกอบการ เขาจะขายอะไร คำตอบก็คือ ขายงานบริการ (Services) และงาน Support การติดตั้ง การดูแลรักษา ซึ่งก็ถือว่าเป็นแนวโน้ม ให้ Open Source เกิดเป็นธุรกิจได้ และ Open Source จะเกิดการทำ Collaboration (การรวม Open Source Software มาไว้ด้วยกันกลายเป็นหนึ่งเดียว) มากขึ้น ยกตัวอย่าง E-mail Open Source ที่ขาย Support ได้แก่ Zimbra Mail ทำได้เหมือน MS Outlook Server เหมือนกันเผลอๆ อาจทำได้ดีกว่า หรือ snort เปิดเป็น Open Source ได้รับความนิยมถือว่าสูงสุดในหมวด IT Security ก็ทำธุรกิจเชิง Services และ Support มากกว่าขาย Software ทาง snort เองขาย Signature ที่ทันเหตุการณ์ เรียกว่า Snort VRT และมีบริษัทที่ตั้งขึ้นเพื่อขายอุปกรณ์ด้านระบบรักษาความปลอดภัยข้อมูล ด้วย ก็เป็นแนวทางหนึ่งในการประกอบธุรกิจด้าน IT Security
ที่ทำให้คนติดก่อน แล้วค่อยขาย แต่ถึงอย่างไร ก็ประหยัดค่าในการลงทุนไปมากกว่า Software ที่มี License เพื่อการค้าแต่ต้นอยู่ดีครับ ดังนั้นทิศทาง สำหรับทางเลือกหนึ่งของการเลือกใช้งาน ในยุคเศรษฐกิจพอเพียงคือการหันมาประยุกต์ใช้ Open Source มากขึ้น จึงอยากให้รัฐบาลและหน่วยงานที่เกี่ยวข้องกระตุ้นการสร้างงานจาก Open Source ในเมืองไทยให้มากขึ้น เพราะผมถือว่าเป็นการสร้างองค์ความรู้ให้เกิดขึ้นกับนักพัฒนาระบบ ไม่ต้องเดินตามต่างประเทศมาก เพราะเราจะไม่มีทางเดินทันได้เลย หากเราไม่เริ่มที่คิดจะเป็นผู้ประดิษฐ์เอง และถือว่าเป็นอีกทางในการช่วยลดค่าใช้จ่ายในประเทศได้

อีกประการหนึ่ง
เรามีการเจริญเติบโตในโลกอินเตอร์เน็ทเกิดขึ้นเร็วมาก เรามีอินเตอร์เน็ทความเร็วสูงใช้อย่างแพร่หลาย เมื่ออินเตอร์เน็ทมีความเร็วสูง ย่อมมีการ การแชร์ files เพลง หนัง และ ซอฟแวร์ ก็มากขึ้น สังเกตจากโปรแกรม P2P ที่มีหลากหลายโปรแกรม และ ที่สำรวจมาพบว่า เกือบเครือข่ายที่ออกอินเตอร์เน็ทได้ มีเครื่อง client ที่มีโปรแกรม P2P และ เครื่อง Server P2P มักติดตั้งตาม ISP ต่างๆ แสดงว่ามีการเล่น P2P จำนวนมากในประเทศไทย และส่วนใหญ่แล้ว files ที่แชร์บน P2P มักมีการละเมิดลิขสิทธิทางปัญญา ไม่ใช่แค่เมืองไทย แต่เป็นกันทั่วโลก โดยเฉพาะย่านเอเชีย จีน ไตหวัน มาเลเซีย และไทย เทคโนโลยีที่มาช่วยในการป้องกันการละเมิดลิขสิทธิ ก็เป็นเรื่องที่น่าจับตามอง ในปีที่แล้วผมก็เคยเขียนไว้ในหัวข้อนี้ และเทคโนโลยีที่ใช้คือ ระบบ DRM (Digital Rights Management) และในปีนี้ก็เช่นกัน เทคโนโลยี DRM ก็มีบทบาทต่อไป ที่กล่าวเช่นนี้เนื่องจาก ผู้ผลิต Skype ได้ออก Joost ที่เป็นระบบ P2P Video ดูทีวีผ่านระบบ Internet และรองรับเทคโนโลยีพวก HDTV ซึ่งก่อนหน้านี้มี Democracy ซึ่งเรียกได้ว่าเป็น Internet TV มาแล้ว ผมคิดว่าปี 2007 เป็นปีทองของ HDTV นะ สิ่งที่ตามมาก็คือเรื่องลิขสิทธิหนัง และเพลง ซึ่งป้องกันได้ด้วยเทคโนโลยี DRM นั้นเอง

และเชื่อผมไหม ว่าปี 2007 Apple จะครองตลาด IT โดยเฉพาะเทคโนโลยี Personal Computer (คอมพิวเตอร์ส่วนตัว) ไม่ใช่ Microsoft Vista เนื่องจาก Apple เมื่อได้ออก iPhone ขึ้น ก็จะถือว่าเป็นการปฏิวัติใหม่อีกก้าวของ มือถือที่เป็นคอมพิวเตอร์ได้ในตัวเอง ล้ำสมัย และราคาใกล้เคียงกับ Notebook อีกไม่นานหาก iPhone มีความจุฮาร์ดดิสที่มากขึ้น ก็อาจเป็นไปได้ว่ารูปแบบเทคโนโลยีแบบ iPhone จะมาแทนที่ Notebook ในไม่ช้า ส่วน Microsoft Vista เป็นการก้าวที่พลาด เนื่องจากต้องใช้ทรัพยากรเครื่องสูงมาก ต้องรอฮาร์ดแวร์ที่ทันสมัย จึงทำให้เปิดตัวอย่างเป็นทางการช้า กว่าจะได้ใช้ ผมคิดว่า iPhone คงครองตลาดไปเสียก่อนทั้งที iPhone ไม่ใช่ระบบปฏิบัติการ แต่ iPhone เข้าถึงส่วนบุคคลได้มากกว่า และประโยชน์ใช้สอยมากกว่า จึงทำให้อนาคต Microsoft Vista อาจเป็นระบบปฏิบัติการสำหรับคนแก่ ใช้ก็เป็นไปได้ และเมื่อเทคโนโลยีแบบ iPhone ได้รับความนิยม ก็ต้องกลับไปใส่ใจตาม 7 ข้อที่กล่าวมาในด้านการรักษาความปลอดภัยข้อมูลต่อไป


7 ข้อผ่านไปแล้ว จะเป็นไปตามที่ทำนายหรือไม่ ก็ต้องรอดูกันไปครับ เป็นห่วงเพียงคนทำงานด้าน IT Security นี้แหละครับเห็นภัยคุกคามมีมากขึ้นทุกวัน และเพิ่มความซับซ้อนทั้งในด้านเทคนิคการบุกรุกระบบ และเทคโนโลยีใหม่ที่ต้องวิ่งตามให้ทันอยู่ตลอด เกรงว่าจะประกาศยกธงขาวเสียก่อน ดังเช่น Bruce Schneier ผู้เขียนหนังสือ "Secrets and Lies" ได้กล่าวไว้ว่าเขาตามไม่ทันภัยคุกคามสมัยแล้ว มันเยอะเหลือเกินครับ คนที่ทำงานด้าน IT Security ต้องสวมวิญญาณอาชีพนักข่าวเข้าไปด้วย และสำคัญที่สุด คือเรื่องคุณธรรม เพราะ หากเรามีความรู้สูง รู้มากกว่าคนอื่น เรามีทางที่จะ ป้องกัน หรือ ทำลาย ได้ ดังนั้นคุณธรรมจึงเป็นสิ่งสำคัญ ที่เราต้องยึดถือไว้หากมีความรู้ จงแบ่งปันเพื่อคนอื่น สอนเขาให้มีจริยธรรมตั้งแต่ต้น และสร้างผลงานเพื่อป้องกันภัยข้อมูลทั้งตัวเราและคนอื่น ตลอดถึงเครือข่ายที่เราร่วมอาศัยอยู่ สุดท้ายขอเป็นกำลังใจให้กับคนทำงานด้านนี้ เราหัวอกเดียวกัน อย่าพึ่งยอมแพ้กับภัยคุกคามที่เกิดขึ้นในอนาคต ขณะที่เขียนผมได้ฟังเพลงไปด้วย และมาหยุดที่บรรทัดนี้ ก็ได้ยินเสียงคุณกมลา สุโกศล เพลง Live and Learn พอดี ฟังดูแล้ว ให้กำลังใจดีครับ หากปรับให้เข้ากับงานด้าน IT Security สำหรับผู้อ่อนล้าแล้ว ก็ทำให้สู้ต่อได้ครับ เพื่อสร้างกำลังใจในการทำงานด้านนี้ต่อไป ขอเป็นกำลังใจ ด้วยคน

ตลอดทั้งปี 2007 ไม่ว่าเป็นเช่นไร ก็ขอให้ทุกคนประสบความสำเร็จในสิ่งที่คิด มีชีวิตที่เป็นสุข ,มีจิตใจที่สงบ และ สราญอารมณ์ กันทุกคนที่อ่านบทความผม ครับ

โชคดีปีใหม่

นนทวรรธนะ สาระมาน
Nontawattana Saraman

30/12/49

วันศุกร์, ธันวาคม 29

ทำนาย 7 เทคโนโลยี ด้านดีและภัยคุกคามในปี 2007 ตอนที่ 2

4. การควบคุม Data Access Network
Data Access Network (DAN) ถือว่าเป็นศัพท์ที่ค่อนข้างใหม่ เราคงคุ้นเคยคำว่า LAN , WAN , WLAN และ MAN มาบ้าง ในปี 2007 และต่อๆ ไป จะมีศัพท์เพิ่มมาอีก คือ PAN (Personal Aera Network)
PAN จะเป็นเรื่องเกี่ยวกับอุปกรณ์พกพา ไม่ว่าเป็น มือถือ ที่ติดต่อพร้อมใช้อินเตอร์เน็ท ระบบ Bluetooth รวมไปถึง Endpoint ต่างๆ ได้แก่ Notebook พกพา , PDA มานำมาใช้งานในเครือข่ายคอมพิวเตอร์ ยุคก่อน ที่มีเพียงระบบ LAN , Wireless LAN ก็ย่อมต้องปรับตัวขึ้น เพราะภัยคุกคามด้าน Endpoint Security เป็นเรื่องที่ป้องกันลำบาก ไม่ว่าเป็นการ นำเครื่อง Notebook , PDA , Mobile Phone ที่ไม่ได้รับการควบคุม อาจจะสร้างภัยคุกคามให้เกิดขึ้นภายในองค์กรได้ ไม่ว่าเป็นการ แพร่กระจายไวรัสคอมพิวเตอร์ (Virus/Worm) , การขโมยความลับข้อมูลภายในบริษัท คัดลอกข้อมูล (Copy) ลง Hardisk บน USB Drive รวมถึงการใช้ Tools Hack เพื่อทำการบุกรุกระบบเครือข่ายภายในองค์กร ก็เกิดขึ้นได้หากไม่ควบคุม Endpoint เหล่านี้ จึงทำให้มีการหันมามองเรื่อง PAN , LAN ,WAN ,WLAN รวมเป็น Data Access Network ทั้งที่เป็น Out of Band และ In of Band

ภาพจาก cisco system ที่แสดงการควบคุม Data Access ในองค์กร ที่เรียกว่า Trust Identity Management Solution

การควบคุมเรื่อง Data Access Network เรียกว่าการทำ Pervasive Network Awareness หรือบางทีเรียกว่า Spynet ประกอบไปด้วยเทคโนโลยีดังนี้
4.1 ระบบ NIDS (Network Intrusion Detection System) ระบบตรวจจับผู้บุกรุก ที่ผมมองว่าระบบ IDS จะคืนชีพ มี 2 ประเด็น
ประเด็นที่ 1 ในอนาคตเครือข่ายคอมพิวเตอร์ จะมีขนาดใหญ่ขึ้นการเชื่อมโยงเครือข่ายคอมพิวเตอร์ภายในอาจจะมีการวิ่ง Gigabit หรือ 10 Gig ได้ในอนาคตอันใกล้ การติดตั้งระบบ NIPS (Network Intrusion Prevention System) ต้องอาศัยเครื่องขนาดใหญ่ ถึงแม้เป็น ASIC chip ก็ลำบากที่จะรองรับได้ 0 day exploit ก็มีประมาณมากขึ้นทุกวัน ถึงแม้จะมีการ upgrade Firmware ได้ก็ตาม จึงต้องหมั่น update ข่าวสารและป้องกันภัยให้ทันเหตุการณ์ ปัญหาอีกอย่างประมวลผลอาจทำให้ ข้อมูล Drop ได้ รวมถึงปัญหา False Possitive ที่ต้องอาศัยผู้เชี่ยวชาญในการวิเคราะห์เครือข่ายมานับปรับแต่งการตรวจจับเพื่อป้องกันอีกด้วย
ประเด็นที่ 2 ผมมองว่า NIPS ไม่ต่างอะไรกับ Firewall มากนัก อาจเรียกว่าเป็น Smart Firewall ได้เพราะป้องกันถึง Deep Packets Inspection แต่การทำงาน NIPS จะไม่ทราบการบุกรุกมากมายนัก เพราะต้องเน้นในเรื่อง Performance สูง ดังนั้น NIPS จึงไม่มี Data Base หรือที่เรียกว่า Signature เพียงพอกับการบุกรุกใหม่ๆ มีเพียงการวิเคราะห์ที่เป็น AI และการจับ Anomaly , NetFlow ซึ่งก็เป็นไปได้ที่จะจับและป้องกันไม่ได้ NIPS เหมาะกับ การวางเฉพาะส่วนทางออกอินเตอร์เน็ท และจุดเชื่อมต่อ (WAN) ป้องกันเรื่อง DDoS/DoS และ Network Worm จึงจะเหมาะสม หากติดตั้งระบบ NIPS ภายในเครือข่ายคอมพิวเตอร์แล้ว ควรเน้นการตรวจจับที่เจอเหตุการณ์ที่เป็นภัยคุกคาม และเก็บเป็นหลักฐานมากกว่า คือการทำ Network Awareness และ Network Forensic นั่นเอง
ผมยังเชื่อมั่นในเรื่อง signature โดยเฉพาะ signature ที่ปรับแต่งได้ นอกจากจะจับการบุกรุกและภัยคุกคามได้ดีกว่า แล้ว ยังสามารถนำ Log ที่เกิดขึ้นแม้การบุกรุกเพียงเล็กน้อย ก็นำมาใช้เป็นหลักฐานในการสืบหาผู้กระทำผิดได้ ดังนั้นระบบ NIDS แบบที่มี Data Base การบุกรุกมากๆ จะเป็นประโยชน์สำหรับการตรวจจับ (Monitoring) และควบคุม DAN (Data Access Network) ได้ NIDS สมัยใหม่ ทำเรื่อง TCP Reset ได้ ก็ถือว่าจะมาช่วยในการป้องกันภัย แบบไม่ทำให้เครือข่ายคอมพิวเตอร์ภายในไม่เกิดเรื่องการ Drop ของ Performance ได้
4.2 NAC (Network Access Control) จะเข้ามาช่วยในการควบคุม Endpoint Security ได้ ไม่ว่าเป็นการ identify Endpoint ว่ามีความเสี่ยงก่อนที่จะเข้าสู่ระบบ LAN , WLAN , PAN หรือไม่ หากมีความเสี่ยงก็ทำหน้าที่ในการกักไว้ในอีก VLAN เพื่อทำให้เครื่องปลอดภัยเสียก่อนเข้าสู่เครือข่ายภายในองค์กร , NAC ในปี 2007 อาจรวมความสามารถของ DC (Domain Controller) ที่ใช้บน Windows Server เข้ามาเพื่อระบุ บทบาทและหน้าที่ในการใช้งานของ Endpoint นั้นๆ รวมถึงกำหนด Policy ในการใช้งานต่างๆ ได้ หรือ อาจเกิดการประยุกต์ NAC กับ ระบบ VA เพื่อทำการประเมินความเสี่ยงก่อนเข้าถึงระบบภายใน ก็เป็นไปได้

4.3 VA /VM (Vulnerability Assessement / Vulnerability Management) ระบบประเมินความเสี่ยง ระบบ VA/VM ถือได้ว่าเป็นการทำงานเชิง Pro-active เพราะเป็นการตรวจสุขภาพเครื่องในเครือข่ายคอมพิวเตอร์ ได้ว่ามีความเสี่ยงและควรปรับปรุงแก้ไข อย่างไร ไม่ว่าเป็น Server ใน DMZ zone , Server Fram , และเครื่อง Client VA จะทำการประเมินความเสี่ยง และส่งข้อมูล ให้ VM บริหารจัดการความเสี่ยงนั้น ไม่ว่าเป็นรูปรายงานผลการประเมินความเสี่ยง และการเชื่อมโยงกับอุปณกร์อื่นๆ เช่น Firewall , IDS หรือ NAC
4.4 SIM (Security Information Management)
ระบบนี้ที่ยังไม่โดดเด่นนัก เป็นเพราะ SIM เหมาะกับ Provider ที่ให้บริการ MSSP และ การ Implement ที่ต้องใช้ความรู้สูง และความยากในการทำ Correlection Log ตามชนิดของอุปกรณ์ และ ซอฟต์แวร์ จึงเป็นเรื่องยากในการใช้งานจริง ต่างกับอุปกรณ์ ในข้อ 1-3 ที่กล่าวมา SIM ในอนาคตจะรวมเรื่อง NMS (Network Management System) ไปด้วยเพื่อทำการบริหารจัดการอุปกรณ์ และซอฟแวร์ที่เกิดขึ้นในเครือข่ายคอมพิวเตอร์ อีกทั้งรวมการทำ Compliance ให้สอดคล้องกับมาตรฐานระบบรักษาความปลอดภัยข้อมูล

4.5 UTM (Unified Threat Management) ถือได้ว่าเป็นอุปกรณ์เอนกประสงค์ เพราะตัวเดียวทำได้หมด ไม่ว่าเป็นการทำ Firewall (ระดับ Stat Ful Inpsection) , VPN , Load Balancing , Network Shaping , DNS Server , DHCP Server , LAN Autentication , IDS/IPS และ Proxy Anti virus/spam/spyware ได้ในตัว ดูเหมือนว่า UTM ในปี 2006 จะเป็นที่นิยมมาก โดยเฉพาะเมืองไทย ไม่แปลกครับเพราะ UTM ยังเหมาะกับเครือข่ายขนาดเล็กและกลาง นั่นคือ ธุรกิจ SME ที่มีมากมายในประเทศไทย แต่หากวางบนเครือข่ายระดับใหญ่แล้ว UTM อาจไม่ใช่ทางเลือกเนื่องจากมีคุณสมบัติการทำงานมากเกินไป ทำงานเพียงตัวเดียวไม่ไหว ต้องแยกส่วนอุปกรณ์เพื่อสร้างความเสรียฐภาพให้เกิดขึ้นบนตัวระบบเอง ในปี 2007 ผมก็ยังเชื่อว่า UTM ก็ยังเป็นสินค้าที่ขายดีต่อไป และมาช่วยในการควบคุม DAN (Data Access Network) ได้

4.6 Network CCTV Camera spynet จะสมบูรณ์ ได้ก็ต่อเมื่อต้องมองเห็นทุกการกระทำ ทั้งการกระทำผิด เหตุการณ์ผิดปกติ และภัยคุกคามอื่นๆ กล้องวงจรปิด มีมาก่อน ในยุคปัจจุบัน CCTV ดูผ่านอินเตอร์เน็ทได้ เกิดเป็น Network Camera เพื่อเฝ้าสังเกตการ ในปี 2006 ถือว่าเป็นปีของ Network Camera และคิดว่าในปี 2007 Nework Camera ก็ยังได้รับความนิยม โดยเฉพาะ Networ Camera อาจประยุกต์เข้ากับอุปกรณ์ Network ในด้านการรักษาความปลอดภัยไม่ว่าเป็น NIDS (Network Intrusion Detection) รวมกับ Networ Camera ในการเฝ้าระวังภัยทั้งทางกายภาพ และข้อมูลบนเครือข่าย จากศูนย์กลางได้

จุดสำคัญ ของ DAN (Data Access Network) อยู่ที่การเป็น Spynet ที่คอยตรวจสอบ และ ตรวจจับ สิ่งผิดปกติที่อาจจะเกิดขึ้นภายในเครือข่ายคอมพิวเตอร์ เพื่อบันทึกเป็นหลักฐาน และ เก็บเป็นข้อมูลในการประเมินความเสี่ยง รวมถึงการสร้างรายงานผลให้ตรงตาม มาตรฐาน IT Security ต่อไป


5. การสร้างเครือข่ายให้พร้อมใช้งานตลอดเวลา (Reliability)
เมื่อ Social Networking เกิดขึ้น เกิดการเชื่อมโยงข้อมูล ระบบสื่อสาร และระบบสารสนเทศ เป็นเรื่องเดียวกันแล้ว ทุกคนสามารถเข้าถึงข้อมูลได้ตลอดวเลา การทำงานสามารถทำงานได้ แม้จะอยู่ชายทะเล จะอยู่บ้าน หรืออยู่ที่ไหนๆ ในโลก ก็สามารถเข้าถึงข้อมูลเข้าสู่โลกอินเตอร์เน็ท และทำงานได้ เปิด e-mail , update งาน , update website อื่นๆ ตามต้องการ ทุกที่ตลอดเวลา ทั้งนี้ระบบเครือข่ายจึงต้องพร้อมใช้งานเช่นกัน ในปี 2007 และต่อๆไป ผมจึงมองว่า การสร้าง Network HA (High Availability) เป็นเรื่องที่ต้องทำ เทคโนโลยีที่นำมาใช้ ไม่ว่าเป็นการทำ Clustering , Grid Computing (ที่ไม่มองในแง่การประมวลผลให้มีประสิทธิสูงอย่างเดียวแต่เป็นการรวมถึงการสร้างเครือข่ายให้พร้อมใช้งานด้วย) และการทำแผนฉุกเฉิน ฺBCP(Business Continuity Plan) / DRP (Disaster Recovery Plan) รวมถึงการทำระบบ Backup ข้อมูล การทำ Storage เพื่อรักษาข้อมูลหากมีความสูญเสียและเกิดความผิดพลาดจะได้กู้ระบบคืนได้ทันเวลา ไม่กระทบกับธุรกิจ เทคโนโลยีเหล่านี้จะมีบทบาทมากขึ้นเรื่อยๆ และถือว่าเป็นเรื่องจำเป็นที่ต้องจัดทำและจัดหาเทคโนโลยีดังกล่าวมาใช้ หากมีกฏหมายได้ IT Security เกิดขึ้นในประเทศไทยจริง ผมเองก็คิดว่าคงมีข้อกฏหมาย ที่ต้องให้ทุกที่เก็บ Log ไม่ว่าเป็น Log Proxy , Log Firewall , Log IDS/IPS รวมไปถึง Log Server ต่างๆ และ Log Application ไว้ตามเวลาที่ระบุ อาจจะ 2 ปี หรือ 5 ปี เมื่อถึงเวลานั้นเทคโนโลยีในการ Backup ข้อมูลจะมีบทบาทในองค์กรมากขึ้น
ส่วนการ Backup ส่วนบุคคลนั้นแล้วก็จะมีความนิยมมากขึ้น ไม่ว่าอยู่ในรูป USB Drive ชนิดพกพา , บน iPod , บนมือถือ (Mobile Phone) เป็นต้น ผมคาดคะเน ว่าการเก็บข้อมูลส่วนบุคคล จะตกอยู่ที่ 100G ต่อคน ใน 100G บน Hardisk แบบพกพา อาจประกอบด้วย ข้อมูลเกี่ยวกับงาน , files เอกสารต่างๆ , รูปภาพ , video clip , เพลง , โปรแกรมต่างๆ และ ไวรัส : P


เอาละครับตอนนี้ผ่านไป 5 ข้อแล้ว เหลืออีก 2 ข้อจะเป็นเช่นไร ขอโปรดติดตามตอนต่อไป

นนทวรรธนะ สาระมาน
Nontawattana Saraman

วันพฤหัสบดี, ธันวาคม 28

ทำนาย 7 เทคโนโลยี ด้านดีและภัยคุกคามในปี 2007 ตอนที่ 1

ใกล้สิ้นปีอีกครั้งแล้วครับ ปีที่แล้วผมได้เขียน 7 เทคโนโลยีในการักษาความปลอดภัยข้อมูลระบบสารสนเทศไว้ ได้ลงหนังสือ Micro computer และได้เสนอใน SRAN Community ไว้ ตลอดจน Blog ของตนเอง หลายๆอย่างที่เขียนก็ตรงกับความต้องการในปี 2006 อยู่บ้าง ในปีนี้ก็เลยอยากที่จะลองเขียนอีก สามารถอ่านได้ที่ http://nontawattalk.blogspot.com/2005/12/2006.html
มีคนเขาบอกว่า "เราไม่สามารถรู้อนาคตได้ หากรู้ได้เราจะป้องกันไม่ให้เกิดเหตุการณ์ความสูญเสียที่เกิดขึ้น
และเราก็ไม่สามารถย้อนเวลาได้ หากเราทำได้ เราจะปรับปรุงแก้ไขความผิดพลาดที่เกิดขึ้น กับเหตุการณ์ที่เราไม่พึ่งให้เกิด กับชีวิตเราและคนอื่น"
แต่เราสามารถทำนายอนาคต และคาดคะเนเหตุการณ์ได้ เรียนรู้และยอมรับ เพื่อการป้องกันในอนาคต Live and Learn และผมได้ทำนาย เรื่อง IT Security ในปี 2007 ไว้ จะเป็นเช่นไรลองอ่านกันดูครับ

1. เรื่องเกี่ยวการควบคุม Social Networking
Social Networking ที่เกิดจาก Web 2.0 ที่ให้ทุกคนมีส่วนรวมกับการสร้างสรรค์ การแสดงความคิดเห็น และการเกิดศัพท์ที่เรียกว่า "Freedom Content" บนสังคม Online



จากรูปที่ 1 บอกถึงการเปลี่ยนแปลงแนวทางการสร้าง Content บน Website จนเกิดเป็น Social Networking การที่สามารถทราบถึงข้อมูลข่าวสารได้อย่างรวดเร็ว พูดง่ายๆ ว่าจะเป็นยุคของ ข่าวสารที่รู้ทันกันหมด ไม่ว่าเป็นเรื่องเทคโนโลยีใหม่ ข่าวสาร ข้อมูลส่วนตัว ราคาสินค้า หรือ การซุบซิบดารา Clip video ลับเปิดเผยได้ง่ายขึ้น เพราะนี้คือ Freedom Content เป็นสื่อเสรีที่ยากในการปิดกั้น ในส่วนของ Social Networking จึงทำให้คนเข้าถึงโลกของข้อมูลได้ง่าย และสร้างวัฒธรรม สร้างชุมชน online ที่ทันเหตุการณ์ สื่อเทคโนโลยี ที่เด่นและถือว่าเป็น Social Networking ได้แก่ wikipedia คือการปฏิรูปสารนุกรมฉบับเปิดเผยที่ทุกคนมีส่วนร่วมในการใส่เนื้อหา Youtube สังคม clip video ที่เผยแพร่ภาพเคลื่อนไหวทั่วมุมโลก จัดทำจนได้ดี เมื่อปลายปีมีการ Take over จาก Google ด้วยจำนวนเงินมหาศาล , digg สมุดบันทึก online ที่ได้เผยแพร่ website ของเราให้คนอื่นได้รับทราบมากขึ้น , Flickr ก็ถือว่าเป็น Social Networking ที่อยู่ในรูป Web 2.0 ที่ให้ทุกคนที่สมัครเป็นสมาชิกได้เผยแพร่ภาพถ่ายต่างๆ หรือนำเอาเทคโนโลยีเสียงมาใช้บนอินเตอร์เน็ท ที่เรียกว่า Podcast เช่น Odeo อัดเสียงพูด เสียงสนทนา รวมถึงบาง web ได้นำมา Podcast มาใช้ในการสัมภาษณ์บุคคลสำคัญก็มี รวมถึง ระบบ RSS ที่สามารถ Feed รับข่าวสารข้อมูลจาก website อื่นๆได้ผ่านเทคโนโลยี XML , รวมไปถึงการแชร์ files ยอดนิยมชนิด P2P (Peer-to-Peer) ที่พบว่าไม่ว่าจะเป็นเพลง หนัง หรือเอกสาร ที่หายากก็สามารถค้นหาเจอจากการใช้งาน P2P หรือจะเป็น Social Networking ชนิด Video Conference / Chat Video เหมือนกับโปรแกรม Camfrog ที่โด่งดังในช่วงท้ายปี เราก็สามารถแลกเปลี่ยนความรู้ และสร้างสังคมเสมือนเกิดขึ้นได้ผ่านอินเตอร์เน็ท ในปี 2007 จะมี Video Conference ที่เป็น Social Networking ผ่าน Web 2.0 มากขึ้น อาจจะเป็นการทำ E-Learning การประชุมผ่านอินเตอร์เน็ท เช่นพวก Web casting ก็จะทำให้มีความสะดวกในการติดต่อสื่อสารกันมากขึ้น จึงทำให้โลกอนาคต ข้อมูลจะรู้ทันกันไปหมด อินเตอร์เน็ทจะกลายเป็นสถาบันการศึกษาขนาดใหญ่ที่เป็นสังคมเสมือน ที่สามารถศึกษาหาข้อมูลเองได้ และอาจมีความรู้มากกว่าห้องเรียนจริง แต่ทั้งนี้แล้วต้องใช้วิจารณญาณในการรับรู้ด้วยเช่นกัน

อาจจะมองว่า Social Networking ทำเพียง Back-end ระบบข้างหลังภาพ ส่วน Font end ที่เป็นเนื้อหา web site นั้นเกิดจากคนอื่นๆ ที่ร่วมกันสร้างจนเกิดเป็น Web ที่มีชีวิตชีวาขึ้นมา ในโลก IT Security Website ในปี 2006 ก็หันมาใช้แนวคิด Social Networking มาช่วย ไม่ว่าเป็นการ หาอาสาสมัครเพื่อ ตรวจ spam mail , ข้อมูลที่เป็น Phishing หรือ website ที่มีความเสี่ยง ได้แก่ SiteAdvisor , SpamCop , Phishtank , ProjectHoneypots รวมถึง VMware เปิดโอกาสให้คนอื่นได้สร้าง virtual machine บนโปรแกรม VMplayer จนเกิดเป็น community Vmware ขึ้น ปรากฎการณ์ที่กล่าวมาเกิดขึ้นแล้วในปี 2006 และในปี 2007 จะมี Web ที่เป็น Social Networking มากขึ้น จนเป็นแฟชั่น
ในเรื่องภัยคุกคามหากมี Social Networking มากขึ้นจะเป็นเช่นไร คำตอบคือการควบคุมสื่อทางอินเตอร์เน็ทจะยากขึ้น เพราะทุกคนมีส่วนร่วมในเนื้อหา Website มีสิทธิ และเสรีภาพในการแสดงความคิดเห็นมากขึ้น หรือที่เรียกว่า Freedom Content เมื่อควบคุมยาก ก็จะมีการแสวงหา ผลประโยชน์จาก Social Networking และ Web 2.0 มากขึ้น เกิด Social Engineering บน Social Networking เกิดการหลอกลวงมากขึ้น จะมี Website ในเชิงหลอกลวงมากขึ้น ไม่ว่าเป็นการหลอกเพื่อได้ถึงข้อมูลส่วนตัว และข้อมูลที่ผิดจุดประสงค์และนำมาซึ่งความเสียหาย ตกอยู่ที่ผู้รู้ไม่ทัน
ภัยอีกข้อหนึ่งที่พึ่งให้สังเกต นั่นคือ ข้อมูลทะลัก หมายถึง ข่าวสารข้อมูลจะรู้ทันกันมากขึ้น แทบจะหลอกใครไม่ได้ แต่นั่นก็คือคนที่จะทันข่าวและทันข้อมูลอย่างสม่ำเสมอ จนเสพข้อมูลเกินความจำเป็น ทั้งข้อมูลที่ผิดความเป็นจริง ข่าวโคมลอย หรืออาจเป็นข้อมูลเท็จ ที่หลงผิดเชื่อเองก็เป็นได้ การที่เป็น Social Networking ที่ดีจึงต้องมีหน่วยงานที่มาควบคุมสื่อ เพื่อแยกแยะเรทในแต่ Website เช่นเดียวกับ หนัง , สถานที่โทรทัศน์ ที่มีเรทในการพิจารณา รวมถึงการควบคุมเรื่องลิขสิทธิ หนัง เพลง ซอฟแวร์ วรรกรรม และอื่นๆ ดังนั้นผมจึงเชื่อว่าในปี 2007 จะมีรัฐบาลหลายๆ ประเทศจัดทำหน่วยงานกลางที่ควบคุม Freedom Content นี้ขึ้น ซึ่งในแต่ละประเทศอาจมีเรทไม่เหมือนกัน ในปลายปี 2006 เราเห็นว่ามีบริษัทเอกชนในต่างประเทศได้ จัดทำแล้วไม่ว่าเป็น SiteAdvisor ของ Mcafee หรือ Scandoo ของ Scansafe เป็นต้นเห็นว่าเป็นแนวโน้มที่อาจจะเกิดขึ้นได้ในการควบคุมสื่ออินเตอร์เน็ทในรูปของ Website ที่เป็น Social Networking


2. เรื่องป้องกันข้อมูลส่วนตัวบนเครือข่ายคอมพิวเตอร์ (Privacy Net)

ภาพการแสดงถึงการเชื่อมต่อ Network Tor
การป้องกันภัยข้อมูลส่วนตัว จะมีบทบาทมากขึ้น จากที่กล่าวไปในข้อ 1 เรื่อง Social Networking ที่รวมถึงการเผยแพร่ข้อมูลแบบ Freedom Content ทำให้โลกอนาคตจะเป็นเรื่องที่รู้ทันกันหมด เพราะอินเตอร์เน็ท เพราะ google เพราะ Youtube และอื่นๆ ไม่แน่ข้อมูลส่วนตัวเรา อาจจะอยู่ในมือใครสักคนในโลกก็ได้ ผมเคยเขียนบทความหนึ่ง ชื่อว่า ความเป็นส่วนตัวบนโลกอินเตอร์เน็ต ที่ไม่เพียงพอ ไว้ในปี 2004 ตอนนั้นเพียงแค่ค้นหาข้อมูลจาก google เราก็แทบจะได้ข้อมูลหลายๆส่วนจากคนที่เราต้องการค้นหาแล้ว และ ปัจจุบัน เรามีระบบ เรามี Web2.0 มี Social Networking ง่ายแก่การเข้าถึงข้อมูล และแก้ไขข้อมูล ปลอมแปลงข้อมูล สารพัดวิธีการ เรามี VoIP ที่โทรศัพท์ผ่านTCP/IP เราใช้ Skype/Jabber/Gtalk/Turenetalk , และอื่นๆ ที่เกี่ยวกับ VoIP ข้อมูลย่อมผ่านเครือข่ายและออกสู่โลกอินเตอร์เน็ต อาจจะมีการทำ ARP Spoof SIP Protocol แบบ Man in the middle Attack แน่นอนเราอาจประสบปัญหาในเรื่องการดักฟัง แอบดักข้อมูล ทางโทรศัพท์มากขึ้น เรามีอุปกรณ์ และเทคโนโลยี ที่นำเข้า และเป็นเทคโนโลยี ที่เราไม่สามารถแก้ไขได้ เราเป็นผู้ใช้ อย่างเดียว ยอมมีความเสี่ยงกับการใช้ข้อมูลส่วนตัวได้แน่ ตลอดปี 2006 ได้มีการทดลองหลาย Project ในการซ่อนตัวในโลกอินเตอร์เน็ท ไม่ว่าเป็นการซ่อนตัวเพื่อเยี่ยมชม Website นั่นคือซ่อน IP จริงจากเครื่องของเรานั่นเอง ที่ต้องทำเช่นนั้นเป็นเพราะในบางประเทศไม่สามารถรับรู้ข้อมูลบางอย่างได้ การที่จะเข้าถึงข้อมูลของ Website ที่โดนแบนจากประเทศ ต้องอาศัยหลักการขอยืมใช้ IP ที่เป็น Proxy จากต่างประเทศ และ IP Proxy ในการเปิดดูเนื้อหา Website ที่โดนแบนจากประเทศนั่นๆ ในปี 2006 จิตนาการหลบหนีการตรวจจับได้ จึงเกิดแนวความคิดสร้าง Onion routing และเกิดเป็น Project Tor ขึ้น หรือที่เรียกว่า online แบบล่องหน (anonymity) ใน Tor เองก็มีหลายคนนำไปต่อยอด ไม่ว่าเป็น Torpark , Vidalia และ ล่าสุดมี Project ที่ชื่อ Psiphon ออกมาช่วงปลายปี 2006 แนวคิดเช่นเดียวกับ Tor และ GNUnet เน้นไปเรื่อง Privacy Network ที่ซ่อน IP จริง และข้อมูลที่รับและส่ง ผ่านระบบจะมีการเข้ารหัสด้วย และเมื่อเราได้เข้าสู่ IPv6 อุปกรณ์พกพาต่างๆ สามารถเชื่อมโยงอินเตอร์เน็ท การกระทำต่างๆ ก็จะมีความซับซ้อนขึ้นด้วย ใครจะรู้ว่าไม่แน่ Web Server เราอาจจะอยู่บนมือถือของเราเองก็ได้ และสร้างเป็น Scam site เปลี่ยน IP ไปเรื่อยๆ หรือเข้าอยู่ในกลุ่ม Network Anonymity ที่หาทางจับตัวได้ยากขึ้น อันนี้ไม่ได้ชี้โผลงนะครับ แต่คิดว่าเราควรหาวิธีการป้องกัน ตัวผมเองเคยเขียนบทความชื่อ Network Identity เมื่อปี 2005 กลางปีมาแล้ว และการทำ SRAN Web identity เพื่อระบุตำแหน่ง Web Server (ยังไม่เสร็จตามจิตนาการที่คิดนัก) ก็ถือว่าเป็นการระบุประวัติการใช้งาน IP บนเครือข่ายคอมพิวเตอร์ได้ ก็จะนำมาประยุกต์เพื่อป้องกันภัยคุกคามที่อาจจะเกิดขึ้น จากเรื่องที่กล่าวมาได้
จึงทำให้ผมมั่นใจว่าในปี 2007 จะเกิดกระแส เรื่อง Privacy Network ขึ้นได้ ที่กล่าวเช่นนั้นเพราะยังเป็นเรื่องใหม่มากสำหรับเมืองไทย และยากในการจัดทำ เพราะต้องอาศัยเครือข่ายคอมพิวเตอร์ ขนาดใหญ่ เพื่อรองรับ Anonymity Network แบบ Grid Computer ได้ แต่อาจเกิดขึ้นเป็นบริการหนึ่งของบริษัทเอกชนได้ เช่นกัน โดยเฉพาะ เป็นบริการเสริมในเรื่อง Management Security Services Provider หรือ MSSP ในการเสริมสร้างความปลอดภัยข้อมูลส่วนตัว หรือส่วนบุคคล ได้แก่บริการ Secure VPN ระหว่าง Site , Network Encryption และ Software Anonymity เพื่อเข้าถึงข้อมูลบนอินเตอร์เน็ทแบบไม่สามารถระบุ IP จริงได้ ตัวตนที่แท้จริงได้ ปัญหาอาจตามคือการสืบหาผู้กระทำผิดในเรื่องอาชญกรรมคอมพิวเตอร์ จะซับซ้อนและต้องการผู้เชี่ยวชาญอย่างแท้จริงในการสืบหาผู้กระทำผิด

3. การจัดทำ Compliance กับเทคโนโลยีรักษาความปลอดภัยข้อมูล



ในปีที่แล้ว ผมก็ได้พูดถึง compliance ซึ่งเป็นข้อสุดท้ายในบทความ 7 เทคโนโลยีการป้องกันภัยข้อมูลในปี 2006 ว่าจะมีบทบาทสำคัญในงาน IT security อ่านได้จาก http://nontawattalk.blogspot.com/2005/12/2006.html ในปีนี้ก็เช่นกัน ระบบเครือข่ายคอมพิวเตอร์ รวมถึงระบบองค์กรที่ต้องก้าวสู่ความปลอดภัยที่เป็นระบบและเป็นระเบียบแล้วต้องมีมาตรฐาน และมี Framework ที่เป็นแบบแผน ที่ต้องจัดระบบ IT Security ให้เป็นระเบียบ นั้นเป็นเพราะ ต้องการขจัดปัญหาเรื่อง Human Error ลองคิดดูสิว่าเมื่อระบบเครือข่ายเจริญเติบโต จนทุกที่ต้อง Online มีระบบต้องปฏิบัติงานตลอด 24 ชั่วโมง มีข้อมูลที่ต้องพร้อมใช้งาน 24 ชั่วโมง เราจะหนีจุดนี้ไม่พ้น ไม่มีธนาคารไหนในโลก ที่ไม่มีระบบ IT ไม่มีหน่วยงานหรือสถาบันใดในโลก ที่ไม่ใช้ IT ในอนาคตต้อง online ทำงาน 24 ชั่วโมง ผ่านระบบเครือข่ายคอมพิวเตอร์ คนปฏิบัติงานก็มีโอกาสที่ ทำงานผิดพลาดได้ สิ่งสำคัญและเป็นองค์ประกอบหลักด้าน IT Security ประกอบด้วย 3 ส่วน คือ เทคโนโลยี กระบวนการ และคน เราสรรหาเทคโนโลยีระบบป้องกันภัยข้อมูลมาใช้ โดยไม่มีคนไม่ได้ และหากเรามีคนเราก็ไม่สามารถทำงานได้อย่างมีประสิทธิภาพ หากไม่มี Framework ที่มีมาตรฐาน ที่มีระบบและระเบียบ จะทำให้คนทำงานได้ตรงตามเป้าหมาย และสุดท้ายคือทำให้องค์กรนั้นปลอดภัยขึ้นได้
ในต่างประเทศมีการออกเป็นกฎหมายแล้ว เพื่อให้ทิศทางในการปฏิบัติงาน ไม่ทำไม่ได้ ได้แก่ หน่วยงานที่เกี่ยวข้องสุขภาพ การให้บริการด้านสุขภาพ โรงพยาบาล สารธารณสุข ต้องมีกฏเกณฑ์ด้าน IT ตรงตาม HIPAA , หน่วยงานที่เกี่ยวข้องกับการเงิน ต้องมีกฎเกณณ์ตาม GLBA , หน่วยงานที่เกี่ยวกับราชการต้องมี กฏเกณฑ์ตรงตาม FISMA เป็นต้น นี้เป็นกฏเกณฑ์ที่ออกโดยต่างประเทศ ณ ปัจจุบันเมืองไทยยังไม่มีการควบคุมตรงนี้นะครับ เราก็เลยต้องอิงตาม ISO17799 เป็นหลัก แต่ ISO17799 ไม่ใช่กฏ ระเบียบ แต่เป็นแนวทางในการปฏิบัติ และตรวจสอบให้เกิดความปลอดภัยด้านข้อมูลสารสนเทศ ไม่ว่าเป็นอุปกรณ์ด้านระบบรักษาความปลอดภัย ก็ดี หรือเทคโนโลยีที่ช่วยเสริมสร้างความปลอดภัย ในปี 2007 และต่อๆไป จะมีการ compliance ให้ตรงตามมาตรฐานดังกล่าว เพื่อสร้างหน่วยงานที่ใช้อุปกรณ์หรือเทคโนโลยีนั้น ได้รับความสะดวกและครอบคลุมมากขึ้น ไม่ว่าเป็น เทคโนโลยีระบบตรวจจับผู้บุกรุก (IDS/IPS) , ระบบ VA (Vulnerability Assessment) / VM (Vulnerabiltity Management) , SIM (Security Information Management) และรวมถึงระบบ NAC (Network Access Control) ที่ช่วงปลายปีได้รับความนิยมมากขึ้น ก็จะต้องจัดทำ Log ที่เกิดขึ้นให้สอดคล้องกับ Compliance ได้

ในส่วน 4 ข้อที่เหลือ ผมขอต่อตอนหน้าแล้วกันครับ

นนทวรรธนะ สาระมาน
Nontawattana Saraman

วันเสาร์, ธันวาคม 23

ทดสอบส่ง Syslog SRAN กับ Switch Alcatel

วันหนึ่งเราได้ทำการทดลองยิง syslog SRAN เพื่อให้ใช้งานร่วมกับ Core Switch Alcatel สิ่งที่ทำก็เพื่อต้องการบริหารจัดการ Log ที่เกิดขึ้นจากศูนย์กลาง
อุปกรณ์
1. Alcatel omnivista WLAN
2. SRAN Security Center รุ่น SR110 (รุ่นเล็กสุด)
3. Computer 1 เครื่อง (ลงโปรแกรมบริหารจัดการ Log Omnivista ของ Alcatel)
4. notebook 2 เครื่อง
- Vmware (เพื่อทำ Web Server ที่ติดไวรัสคอมพิวเตอร์)
5. software ทดสอบ syslog (Kiwi syslog)

ภาพออกแบบเครือข่ายทดลอง Syslog Management

คลิกที่รูปเพื่อดูภาพใหญ่
Alcatel Omnivista ทำการเพิ่ม Rule ชื่อ SRAN เข้าไป ได้แก่ Virus , DDoS/DoS attack

ทำการ download virus จาก Web server ที่ติดไวรัสพบ event ที่เกิดขึ้นจะยิงส่งมาที่ omnivista ผ่าน Protocol UDP port 514



หน้าจอ SRAN Securtiy Center SR110 ประมวลผลสอดคล้องกับ syslog ที่เกิดขึ้นบน Omnivata Alcatel


นนทวรรธนะ สาระมาน
Nontawattana Saraman

วันศุกร์, ธันวาคม 22

ใช้ SRAN ตรวจจับ Program Camfrog

เมื่อวานมีการทดสอบการตรวจจับโปรแกรม Camfrog โปรแกรมที่ผู้ปกครองไม่อยากให้ลูกเล่น (ไว้เล่นเอง) การตรวจจับในครั้งนี้เราใช้ sniffer ตัว Packets Analysis ใช้ Wireshark เป็นเครื่องมือ และทำการ Copy ค่า payload ที่คิดว่าจะสามารถตรวจจับโปรแกรม Camfrog ได้และได้นำมาใส่ใน Signature เขียนจาก snort และมาใช้บน SRAN ผลปรากฏว่าสามารถจับได้ ทั้ง 4 ส่วนประกอบด้วย
- การติดต่อ Login กับ Server
- การ Join Chat Room ทราบถึงห้องที่เข้าสนทนา และ ชื่อที่ใช้ในการใช้โปรแกรม Camfrog
- Content ในการสนทนาภายใน Chat Room
- การป้องกันการเข้า Login และการ Chat ได้ (ทำใน mode IPS)
มีวีดิโอสาธิต ดูได้ที่

ภาพวีดิโอ สาธิตในการตรวจจับโปรแกรม Camfrog ==> SRAN Analysis Camfrog #1

ภาพวีดิโอ สาธิตในการป้องกันการใช้งานโปรแกรม Camfrog ==> SRAN Analysis Camfrog #2



อ่านเพิ่มเติม ได้จาก http://www.sran.net/Camfrog_Analysis

นนทวรรธนะ สาระมาน
Nontawattana Saraman

วันพุธ, ธันวาคม 20

0 day Exploit Microsoft Word

ข่าวจาก Infosec.sran.org กล่าวว่า

US-CERT เตือนถึงช่องโหว่ที่สามใน Microsoft Word ที่แตกต่างจากช่องโหว่สองประเด็นก่อนที่มีรายงานก่อนหน้านี้ ช่องโหว่นี้เกิดจาก memory corruption error เมื่อจัดการกับเอกสาร Word ที่ผิดรูปแบบ โดยการหลอกล่อให้ผู้ใช้เปิดเอกสาร Word ที่สร้างขึ้นมาพิเศษ ผู้โจมตีสามารถเอ็กซิคิวท์โค้ดที่ต้องการหรือโจมตีแบบ denial of service ได้

US-CERT เตือนให้ผู้ใช้ Microsoft Word ไม่เปิดเอกสาร Word หรือไฟล์ที่แนบมาพร้อมกับอีเมลที่มาจากแหล่งไม่น่าเชื่อถือ หรือได้รับอย่างไม่คาดหวังจากแหล่งที่น่าถือ และใช้ซอฟท์แวร์แอนตี้ไวรัสสแกนไฟล์ที่แนบมาก่อนเปิดทุกครั้ง

รายละเอียดเกี่ยวกับโค้ดทดสอบช่องโหว่

http://www.us-cert.gov/current/current_activity.html#mswd3vl
http://www.eweek.com/article2/0,1895,2072969,00.asp

เหตุการณ์จริงที่พบ
ใน site หนึ่งที่พบ Exploit นี้
ระบบ SRAN Security Center จับบันทึกได้
เรามาผ่าพิสูจน์ (Forensic) Payload ของ Exploit ตัวนี้กัน

คลิกที่รูปเพื่อดูภาพใหญ่
การจับ SRAN ตาม Signature พบว่า "EXPLOIT Microsoft Office Data Structure Corruption" เป็น Unkown Risk เนื่องจากเข้ากลุ่ม 0 day attacks
ติดตาม Protocol แบบ TCP โดยมีการเชื่อมโยง จาก Source IP port 80 ไปยัง Destination port 2382 คงที่
เมื่อทำการ zoom ลงไปเพื่อดูค่า payload โดยใช้เทคนิค Deep packet Insepection จะเห็นได้ดังนี้
คลิกที่รูปเพื่อดูภาพใหญ่

คลิกที่รูปเพื่อดูภาพใหญ่
คลิกที่รูปเพื่อดูภาพใหญ่
สังเกตว่าค่า Payload เมื่อทำเป็นค่า Binary จะเห็นเหมือนกันคือตามแทบสีน้ำเงินที่ได้ทำไว้ และ Raw Packet จะมีการเรียงตัวตามกรอบสีแดงที่เขียนไว้ ลักษณะเช่นนี้คือ 0 day Exploit Microsoft Word ซึ่ง ณ เวลาที่เขียนยังไม่มี Patch รักษา และมีโอกาสกลายเป็น Worm ได้ในช่วงเวลาอันใกล้

ตรวจจับโดยใช้ การเขียน signature snort สามารถใช้ได้ใน snort 2.4.x - snort 2.6.x

ขอบคุณ Shirkdog ผู้เขียน signature นี้ในวันที่ 14 ธันวาคม 2549 วันเดียวกันที่พบ 0 day นี้
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:”BLEEDING-EDGE EXPLOIT Microsoft Office Data Structure Corruption (unpatched)”; flow:established,to_client; content:”|CF 11 E0 A1 B1 1A E1|”; content:”|00 00 00|”; distance:617; within:3; byte_test:4,>,1677
215,0,relative,little; sid:2003212; rev:1;)


นนทวรรธนะ สาระมาน
Nontawattana Saraman

วันเสาร์, ธันวาคม 16

8 ปี Siamhelp จากวันนั้น ถึง วันนี้


ใกล้จะสิ้นปีอีกแล้วนะครับ .. เวลาสิ้นปีที่ไร ผมมักจะมองย้อนลงไปว่าปีนี้เราทำอะไรไปบ้าง เราทำอะไรให้ส่วนรวมไปบ้าง และเราทำอะไรให้ตนเองไปบ้าง ตนเองในที่นี้ คือ คิดอะไรทำอะไร อย่างที่คิดไว้หรือเปล่า หรือได้แต่คิด ไม่ได้ทำเสียที คิดย้อนกับไปแล้วปรากฏว่าได้แต่คิดเสียมากกว่า
เอาเถอะ ผมเป็นอย่างงี้แหละ ม้าตีนปลายประจำ ถึงอย่างไรเราก็ได้คิดและทำมาบ้างไม่น้อย ถึงแม้จะเป็นเพียงสิ่งเล็กๆ แต่ก็มีประวัติศาสตร์อยู่เช่นกัน
ณ ตอนนี้ย่างเข้าวันที่ 17 ธันวาคม 2549 ผมไม่ลืมย้อนหลังไปในปี 1999 หรือ ปี 2541 ผมได้เปิด Siamhelp ขึ้นมา เป็น Community เล็กๆ ที่ช่วยเหลือคนที่ติดไวรัสทางอินเตอร์เน็ต จากผมคนเดียว รวมตัวกันเป็นกลุ่ม มีอาสาสมัครมาช่วยกัน จัดทำ web site เผยแพร่ความรู้ จัดทำความรู้บนระบบ IRC และทำ Bot (script automate) เพื่อรักษาคนติดไวรัสทาง IRC ดูแล้วล้ำยุคเหมือนกันนะ เพราะแนวคิดอาสาสมัครในยุคนี้ก็ไม่ต่างอะไรกับแนวคิด Wikipedia จนกลายเป็นแนวคิด Web 2.0 ที่ทุกคนมีส่วนรวมกับการสร้างสังคมบน Web site เกิดเนื้อหาและเกิดการกระจายตัวความรู้ ไปทั่วโลก
เช้ามืดวันที่ 17 ธันวาคม 2541 ผมได้นำแนวคิดจากกลุ่ม Nohack (ซึ่งปัจจุบันนี้ แตกวงไปทำพวกโปรแกรม Anti virus หลายๆยี่ห้อไปแล้ว) มาเปิดในประเทศไทย โดยเริ่มต้นที่ IRC server dal.net ปัจจุบันนี้ไม่ทราบยังอยู่หรือไม่ จากนั้นก็กระจายตัวไปที่ Webmaster IRC และต่อกันไปเป็นชุมชน Online ขึ้นมา
The image “http://photos1.blogger.com/x/blogger/4859/3575/200/844222/siamhelp_hr.gif” cannot be displayed, because it contains errors. ปัจจุบัน Siamhelp ไม่มีแล้วนะครับ เนื่องจากตัวแทนกลุ่มหลายคน ทำงานทำการแล้ว ไม่ค่อยมีเวลา และก็สลายไปเอง แต่กลุ่มดั้งเดิม ก็ยังอยู่ในแวดวง IT Security เมืองไทย จากที่เป็นนิสิตนักศึกษา มาเป็น โปรแกรมเมอร์ มาเป็นวิศวะกรระบบ อื่นๆ อีกมากมาย หลากหลายอาชีพครับ จากนั้นได้มีการรวมตัวกันอีกในปี 2546 ช่วงต้นปี จากอดีตกลุ่ม Siamhelp 2 คน และได้จัดทำระบบชื่อว่า SRAN ขึ้นในปีเดียวกัน โดยใช้สัญลักษณ์ แมววิเชียรมาศ เป็น โลโก้ และมีคำเต็มว่า Security Revolution Analysis Network ที่เป็นเช่นนี้ได้ เพราะเรามีความรักในงานด้านนี้ และค้นคว้าหาความรู้ จนกลายเป็นเทคโนโลยีเพื่อการป้องกันภัยทางระบบเครือข่าย ที่เป็นทั้งรูปแบบ Hardware หรือ Appliance จนถึงวันนี้ทีมงานพัฒนา SRAN เกิดขึ้นเกือบ 3 รุ่น แล้วครับ จากเศษกระดาษที่เขียนไว้ จน เป็นความจริงในเชิงพาณิชย์ ถึงแม้อาจไม่โด่งดังมาก แต่สำหรับผมแล้ว รับได้ระดับหนึ่ง ในปีหน้า 2550 8 ปี siamhelp 4 ปี SRAN อย่างน้อยก็มีประวัติศาสตร์ให้ควรจดจำ
The image “http://www.gbtech.co.th/images/sran/SRAN-Anti-Virus/siamhelp_logo_ss.gif” cannot be displayed, because it contains errors. Logo แรก siamhelp ในอดีต ออกแบบโดย Ki_Mi (joy)
Logo SRAN ในปัจจุบัน

นนทวรรธนะ สาระมาน
Nontawattana Saraman

วันพฤหัสบดี, ธันวาคม 14

ที่ไหนๆ ก็เล่น P2P

P2P ต้นเหตุทำให้ Network ถ่วม <อ่านเพิ่มเติมได้ที่ http://www.sran.org/index_html/Network_flood>

ตัวอย่างเครือข่ายที่มี Traffic ถ่วม ก็เพราะที่ไหนๆ ก็เล่น P2P

ในหน้าจอระบบ SRAN Securityมีจุดสังเกตที่จะสามารถทราบถึงอาการของเครือข่ายว่ามีการใช้งานข้อมูลอย่างหนาแน่นหรือไม่เราสามารถตรวจดูได้จากหน้า summary

รูปที่ 1 แสดงถึงจำนวนข้อมูลที่รับและส่งบนเครือข่ายคอมพิวเตอร์ ที่เป็นปกติ

รูปที่ 2 แสดงถึงจำนวนข้อมูลที่รับและส่งบนเครือข่ายคอมพิวเตอร์ ที่ผิดปกติ

จะเห็นได้ว่าในรูปที่ 2 มีความหนาแน่นของการรับส่งข้อมูล บนเครือข่ายจำนวนมาก และอาจส่งผลทำให้เครือข่ายคอมพิวเตอร์นั่นทำการรับและส่งข้อมูลใหม่ที่เกิดขึ้น ทำได้ช้าและไม่คล่องตัว

เรามาพิจารณากันว่าเหตุของปัญหาเครือข่ายคอมพิวเตอร์ ที่ทำให้รับและส่งข้อมูล ช้า เกิดจากอะไร

รูปที่ 3 ภาพการใช้โปรแกรม P2P ที่เกิดขึ้นบนเครือข่ายคอมพิวเตอร์ที่มีความหนาแน่นในการรับส่งข้อมูล (คลิกที่รูปเพื่อดูภาพใหญ)่

ภัยคุกคามที่อาจเกิดจากการเล่น P2P นอกจากทำให้ bandwidth ของเครือข่ายคอมพิวเตอร์นั่น เต็มแล้ว ยังอาจส่งผลให้ malware บางชนิดหลุดแถมมากับการ download จาก dark site ได้บางที่ได้เช่นกัน และสำคัญที่สุดการ download โดยใช้เทคโนโลยี P2P มักจะละเมิดลิทธิสิทธิทางปัญญา ไม่ว่าเป็นหนัง ละคร เพลง และอื่นๆ โดยส่วนใหญ่แล้วมักเป็นเรื่องที่ไม่มีประโยชน์กับองค์กรนัก

นนทวรรธนะ สาระมาน
Nontawattana Saraman

วันอังคาร, ธันวาคม 12

FM 99.5 เพลงสากลดีๆ กับ DJ รุ่นเก๋า

ผม แทบไม่ได้ฟังเพลงตามคลื่นวิทยุ เนื่องจากหาคลื่นแบบถูกใจแทบไม่ได้ พักหลัง สัก 3 - 4 ปี จึงฟังแต่คลื่นวิทยุที่เป็นเนื้อหาสาระ ทั่วไปไม่ว่าเป็นคลื่น 96.5 ปกติฟังช่วงวันเสาร์ และ อาทิตย์ และช่วงวันธรรมดา ช่วงเที่ยงๆ , คลื่น 100.5 ฟังช่วงดึกๆ ชอบมากในรายการสวนอักษร ช่วงตีสี่ และคลื่น 101 เป็นต้น
ช่วงปลายเดือนพฤศจิกายน บังเอิญวิทยุในรถผม จำคลื่นที่บันทึกไว้ไม่ได้ เนื่องจากวันก่อนเปิดไฟไว้ รถแบทหมด เลยต้องหาคลื่นใหม่อีกครั้ง และหมุนไปเจอคลื่นนี้เข้า บรรยากาศเหมือนเจอเพื่อนเก่า เมื่อได้ยินเสียง DJ กลุ่มนี้ มีแนวเพลงสากล ทั้งเก่าและใหม่ พร้อมข้อมูลที่กลั่นจากประสบการณ์ ในคลื่น FM 99.5 ชื่อ The Raido มีนักจัดรายการ มืออาชีพ
DJ ที่จัดประกอบด้วย วิโรจน์ ควันธรรม หัวหอกคลื่นขิงแก่ , มาโนช พุฒตาล ดูและอ่าน ติดตามงานผู้ชายคุณภาพคนนี้มาตลอด , วาสนา วีระชาติพลี เพลงเด็กแนวรุ่นแรก , พิทยากร ลีลาพัฒน์ ข้อมูลดีมากครับ ฟังช่วงวันเสาร์ อาทิตย์ ช่วงบ่ายๆ , เป็นเลิศ หทัยเทียม เพลง Jazz ดีๆ , เดือนเพ็ญ สีหรัตน์ , ณัสรุจน์ แข็งแรง , The Piano และอื่นๆ คุณภาพเพลง และ ข้อมูลสาระเกี่ยวกับเพลงสากล มีครบ ฟังแล้วยิ้มครับ คลื่นนี้ : )

นนทวรรธนะ สาระมาน
Nontawattana Saraman

วันจันทร์, ธันวาคม 11

ออกแบบ SRAN ในปีหน้า 2007

วันหยุดติดต่อกัน 3 วัน คือ เสาร์ อาทิตย์ และ จันทร์ วันหยุดชดเชยรัฐธรรมนูญ ใน 3 วันที่ผ่านมานี้ สมองผมคิดถึงการออกแบบ SRAN ใน Version ใหม่ ...
ในปีที่ผ่านมา เราได้เปลี่ยนแปลง SRAN Appliance โดยแบ่งเป็น 2 อุปกรณ์ คือ ที่เป็นแบบ
1. Security Gateway หรือในศัพท์แฟชั่นเรียกว่า UTM (Unified Threat Management) โดยต่อยอดและ comply ใหม่จาก 2 OS ได้แก่ BSD และ Linux โดยใช้ชื่อเรียก Product นี้ว่า "SRAN Wall:
2. Security Center ที่เป็นพระเอกของเราประจำปี สองปีที่ผ่านมา เพราะเป็นลูกผสม ระหว่างระบบ IDS/IPS บวกความสามารถ VA (Vulnerability Assessment) และรวม VM (Vulnerability Management) ในตัว และใช้ชื่อเรียก Product นี้ว่า "SRAN Security Center"

ในปี 2007 ที่กำลังจะถึงไม่กี่วัน ผมคิดว่า จะรวม .. หรือ ทำการเพิ่มความสามารถในตัว SRAN Security Center มี 2 ทางเลือก นั่นคือรวม UTM + IPS + VA +VM หรือ สร้างใหม่บนพื้นฐานโครงสร้างเดิมของ SRAN Security Center
หนักใจเหมือนกัน .. เพราะการรวมหลายฟังชั่นการทำงานบนเครื่องเดียวกัน คงไม่ใช่สิ่งที่ดีแน่ เทียบจาก UTM หลายๆ ครั้งที่ใช้งานพร้อมกันมักจะทำได้ไม่ดีนัก

ผมจึงหันกลับมาคิด ถึงสิ่งที่ควรจะได้รับจากผู้ใช้งาน และพยายามสนองตอบความต้องการผู้ใช้ ถ้าเป็นศัพท์วัยรุ่นก็เรียกว่า "ให้โดนใจที่สุด" ถ้าเป็นอย่างงั้นแล้ว Products ในชื่อแบนด์ SRAN version ใหม่นี้ ต้องมีความพิเศษกว่า และต้องลบความสับสนการใช้เรียกชื่อ Product ผมจึงคิดว่าเราควรจะเปลี่ยนชื่อใหม่ และต้องหาคำว่าโดนใจ แบบไหนที่ทำให้ฟังชั่นการทำงาน SRAN ทำได้แบบ "โดนใจผู้ใช้งานมากที่สุด"
ผมสรุปได้ดังนี้
1. ต้องใช้งานง่าย และไม่ส่งผลกระทบกับระบบอื่น
2. ต้องมีการมองเห็นความผิดปกติที่เกิดขึ้นบนเครือข่ายคอมพิวเตอร์ได้อย่างถูกต้อง
3. สามารถใช้เป็นเครื่องมือในการค้นหา สืบหา และวิเคราะห์ปัญหา ของระบบเครือข่ายได้อย่างถูกต้อง
4. สามารถจัดเก็บ inventory Network/PC ได้แบบมี Data Base ทั้งที่ทำงานแบบ Passive / และติดตั้ง agent
5. สามารถที่ประมวลผล Log ที่เกิดขึ้นในอุปกรณ์ เพื่อทำการเปรียบเทียบให้เข้ากลุ่มของ Compliance หรือ มาตรฐานด้าน IT Security เช่น ISO17799 เป็นต้น
6. ทำการบริหารจัดการ จากศูนย์กลางได้ ทั้งที่ SOC แบบ in site และ SOC แบบ out site
ึ7. สามารถใช้งานกับ SRAN Anti virus ได้ โดยไม่ต้องเสียค่า License Anti virus Software อื่นๆ อาจทำได้มากกว่าที่คิด เช่นนำ NAC มาใช้เพื่อกักเครื่องที่ติดไวรัส และแยกวงให้อยู่อีก VLAN ซึ่งตอนนี้ก็มีแนวทางในการปฏิบัติแล้วเช่นกัน
โดยในช่วงเรียก ผมขอใช้ชื่อ SRAN รุ่นนี้ว่า Fortress ที่แปลว่า ป้อมปราการ , สถานที่ปลอดภัย หรือ ที่มั่น
เรียกชื่อเต็มว่า "SRAN Fortress"
แล้ว SRAN Wall และ SRAN Security Center ล่ะ ?
คำตอบก็คือ SRAN Wall ในปีหน้าจะเป็น CD install ส่วน Hardware สามารถจัดหาได้ตามต้องการ
ส่วน SRAN Security Center จะทำงานบน Data Center หรือ SOC แทน เรียกง่ายๆ ว่าเป็นระบบ Backoffice ด้านหลังภาพ ที่จะทำงานกับ SRAN Fortress
ส่วนรุ่นของ applinace อาจมีการเปลี่ยนแปลงรุ่นใหม่ เฉพาะที่จะเป็น SRAN Fortress นะครับ

ตอนนี้อยู่ในระหว่างการออกแบบ ครับ ระบบหลังบ้าน หรือที่เรียกว่า Backoffice ที่ใช้บริหารจัดการจากศูนย์กลาง อาจตั้งอยู่ที่ SOC ที่ ISP หรือ ใน site ลูกค้าก็ได้ ระบบนี้ผมคิดว่าจะประยุกต์แนวคิด Web 2.0 ที่ทำให้ทุกคนที่ใช้งานมีส่วนร่วมในการเฝ้าระวังภัยบนเครือข่ายของตนเอง และเป็นฐานข้อมูลการสร้างองค์ความรู้ด้าน IT security ในองค์กร หรือผู้รับบริการนั่น



ตอนนี้คงต้องหาชื่อที่เหมาะ และแนวทางที่เป็นไปได้ในทางปฏิบัติมาที่สุด ส่วนการออกแบบอุปกรณ์นี้ จะอยู่ตำแหน่งในเครือข่ายคอมพิวเตอร์ (Network) ผมจะแอบมาเผยแพร่ให้ฟังครั้งหน้า ตอนนี้อยู่ในเศษกระดาษอยู่ อดใจรออีกนิดครับ

นนทวรรธนะ สาระมาน
Nontawattana Saraman

วันจันทร์, พฤศจิกายน 27

เหตุของปัญหา(เครือข่ายคอมพิวเตอร)์

ในงานเปิดตัว Cyfence ของ CATTelecom และงาน Netday ที่ มหาวิทยาลัย เกษตรศาสตร์ บางเขน ได้มีการบรรยาย หัวข้อ Sufficient Network Security การสร้างเครือข่ายให้ปลอดภัย อย่างคุ้มค่าการลงทุน และพอเพียง โดยใช้ SRAN
ในงานได้กล่าวถึง การสร้างกรอบความคิด เพื่อแก้ไขปัญหาเครือข่ายคอมพิวเตอร์ อย่างเป็นระบบ โดยใช้หลักพุธศาสนา มาช่วย นั้นคือใช้หลักการแก้ไขปัญหาตาม อริยสัจ 4 ได้แก่
ทุกข์ = ปัญหาระบบเครือข่ายคอมพิวเตอร์
สมุทัย = เหตุของปัญหาระบบเครือข่ายคอมพิวเตอร์
นิโรจ = การแก้ไขปัญหา
มรรค = ทางออก และ สร้างความยั่งยืน

หลักการวิเคราะห์ปัญหาเครือข่าย ผมได้เสนอหลักการคิดแบบ 3 in 3 out พิจารณา ข้อมูล ที่วิ่งเข้าและออก ผ่าน จุดหลัก 3 จุด ได้แก่
Internet , Network , Host in / out


และปัญหาเหล่านี้ อาจจะเกิดจาก ทั้งที่เป็นคน และไม่ใช่คน ทั้งที่เจตนา และ ไม่เจตนา บนความรู้เท่าไม่ถึงการณ์
ที่เป็นคน ก็ได้แก่ พวกนักโจมตีระบบ (Hackers) โดยมีทั้งเจตนา และไม่เจตนา หากไม่เจตนา มักเป็น Script Kiddy ที่ทำการค้นหา Exploit ใหม่ๆ ใน Internet และทำการ scan เพื่อเข้าถึงระบบ แต่ตนเองอาจไม่รู้ตัวว่าได้เข้าถึงระบบไปแล้ว
ส่วนใหญ่ที่ไม่ใช่คน มักเรียกว่าพวก Robot หรือ Botnet โดยเกิดจาก Malware
ดังนั้นการรู้จัก Malware จึงเป็นเรื่องที่ควรศึกษา
ความหมายของ Malware ในแบบฉบับของผม คือ ความไม่ปกติ ที่ สูญเสีย C (Confidentiality) I (Integrity) และ A (Availability) อย่างใดอย่างหนึ่ง หรือ ทั้งหมด จนทำให้เกิดเป็น Virus , Worm , Trojan , Spyware , Backdoor และ Rootkit


ซึ่งอาจจะเกิดจาก เจตนา ของ Hacker เพียงคนเดียว และส่งต่อความสูญเสียข้อมูลในรวบแบบต่างๆ โดยมีการสะพานเชื่อมต่อคือ Botnet
Botnet ทำให้เกิดภัยคุกคามที่ไม่สามารถเกิดขึ้นเองได้ตามลำพัง
ภัยคุกคามที่ไม่สามารถเกิดขึ้นเองได้ตามลำพัง ได้แก่ Spam (อีเมล์ขยะ) , DoS/DDoS (การโจมตีเพื่อทำให้เครื่องปลายทางหยุดการทำงานหรือสูญเสียความเสรียฐภาพ) , และ Phishing (การหลอกหลวงในโลก Cyber)


ภัยคุกคามที่ไม่สามารถเกิดขึ้นในเองตามลำพัง ต้องอาศัย Botnet ที่อาจรับคำสั่งจาก ผู้ที่เจตนา ใน IRC , IM หรือ การแนบ files ที่หวังผลใน e-mail ซึ่งหากต้องการอ่านข้อมูลเพิ่มเติม ผมเคยเขียนเรื่อง Dark side of Internet

และภัยคุกคามที่เกิดจาก ทั้งเจตนา และ ไม่เจตนา และทั้งที่เป็นคน และ ไม่ใช่คน ล้วนแต่สร้างความเสียหายให้กับเหยื่อ ที่ รู้เท่าไม่ถึงการณ์
เพราะความไม่รู้ เราจึงต้องสร้างความรู้ เพื่อสร้างภูมิต้านทางให้กับ คนอื่น เมื่อเขาได้อยู่บนโลก Online

ตัวอย่างบางตอนที่บรรยายในงาน





นนทวรรธนะ สาระมาน
Nontawattana Saraman

24 / 11 / 49

วันพุธ, ตุลาคม 25

บรรยายในงานเปิดตัว Cyfence

CAT Telecom จัดงานเปิดตัวบริการใหม่ล่าสุด ‘Cyfence’ บริการการรักษาความปลอดภัยระบบเครือข่ายเทคโนโลยีสารสนเทศ ในวันอังคารที่ 24 ตุลาคม 2549 เวลา 10.00 น. ณ ห้องบางกอก คอนเวนชั่นเซ็นเตอร์ ชั้น 5 เซ็นทรัล พลาซ่า ลาดพร้าว
ในงานนี้ทางบริษัท Global Technology Integrated ผู้ผลิตเทคโนโลยี SRAN ได้ร่วมบรรยายหัวข้อ Sufficient Network Security บรรยายโดย นายนนทวรรธนะ สาระมาน ผู้จัดการฝ่ายผลิตภัณฑ์บริษัท Global Technology Integrated ในการบรรยายครั้งนี้มีเพื่อสร้างความตระหนักในการ ประยุกต์เทคโนโลยีด้านความปลอดภัยข้อมูลสารสนเทศ นำมาใช้ให้เกิดความคุ้มค่าแก่การลงทุน บนความพอเพียงและเรียบง่าย ซึ่งเป็นแนวคิดที่ทางบริษัทได้มีเจตนาจะเผยแพร่ให้กับทางสาธารณะชนให้เกิดประโยชน์กับสังคมไทยต่อไป

ตัวอย่างการบันทึกการบรรยายคลิกเพื่อดู video ที่รูป



นนทวรรธนะ สาระมาน
Nontawattana Saraman

วันอาทิตย์, กันยายน 10

SRAN Wall กับการทำ Traffic Management

กำหนดการรับส่งข้อมูลบนเครือข่ายคอมพิวเตอร์ โดยใช้ SRANwall

จากเดิม การใช้งานอินเตอร์เน็ททั่วไป ไม่ว่าเป็นการใช้งานที่บ้าน หรือในองค์กร บริษัท จะพบว่าเราไม่สามารถกำหนด การรับส่งข้อมูล ทั้งขาเข้าข้อมูลบนเครือข่าย และ ขาออกข้อมูลบนเครือข่าย หากไม่มีอุปกรณ์ ที่เรียกว่า Network Traffic management ในปัจจุบันทีมพัฒนา SRAN ได้พัฒนาอุปกรณ์ Security Gateway ที่ชื่อว่า SRANwall ได้รวมคุณสมบัติ Network Traffic Management เข้ามาใช้งานได้ เพื่อสร้างความคุ้มค่าแก่ผู้ใช้งานและผู้ดูแลระบบ เนื่องจาก รวมคุณสมบัติการป้องกันหลายๆอย่างในตัว

การติดตั้ง SRANwall เพื่อทำหน้าที่เป็น Network Traffic Management


Shapping

ทำการติดตั้งที่ Gateway ขององค์กร หากมีอุปกรณ์ ISDN/ADSL Router อยู่ ทำการติดตั้งหลังอุปกรณ์ดังกล่าว

คุณสมบัติในการตรวจและบริหารจัดการรับส่งข้อมูลในองค์กร ประกอบไปด้วย

1. ข้อมูล Download/ Upload files

2. Application ที่ใช้งานต่างๆ เช่น

2.1 การรับส่งข้อมูลบน HTTP ( การใช้งาน Web )

2.2 การรับส่งข้อมูลบน SMTP / POP3 / IMAP/ Lotus notes (ใช้งานรับส่ง Mail)

2.3 การรับส่งข้อมูล VoIP

2.4 การรับส่งข้อมูลการสนทนา (MSN , Yahoo, Google talk, ICQ เป็นต้น)

2.5 การรับส่งข้อมูลการใช้ Remote Access (VNC , PC anywhere, RDP เป็นต้น)

3. การรับส่งข้อมูลที่ไม่พึ่งประสงค์ในองค์กร

3.1 การใช้งาน P2P

3.2 การเล่น Games Online

ทั้งหมดที่กล่าวมานี้ ระบบ SRAN Wall “Security Gateway” สามารถควบคุมและจัดการ การใช้งาน การรับส่งข้อมูลเหล่านี้ได้ทั้งหมด จึงอาจกล่าวได้ว่า ทำให้องค์กรที่ใช้งานเกิดความคล่องตัว และใช้งานตามความสำคัญของการรับส่งข้อมูลบนเครือข่ายได้อย่างถูกต้อง

ตัวอย่างการบริหารจัดการข้อมูลเครือข่ายคอมพิวเตอร์ (Case Study)
บน Menu ควบคุม จากระบบ SRAN Wall

ในองค์กร AAA ต้องการใช้เครือข่ายคอมพิวเตอร์ โดยมีความต้องการดังนี้

ควบคุมการระดับความสำคัญการ รับส่งข้อมูลที่ต่ำ

1 . ไม่ให้มีการเล่น P2P ในช่วงเวลาทำงาน

2. ไม่ให้เล่น Games Online ในช่วงเวลาทำงาน

3. กำหนดการรับส่งข้อมูลบนโปรแกรม Chat ระบุที่ MSN เนื่องจากมีคนนิยมใช้สูง

4. กำหนดการเล่น Multimedia

ควบคุมการระดับความสำคัญการ รับส่งข้อมูลที่สูง

1. ให้ความสำคัญ กับการใช้รับส่งข้อมูล ที่เป็น Mail และ Web

2. ให้ความสำคัญ การใช้ VoIP

ผู้ดูแล เมื่อติดตั้ง SRAN wall ในตำแหน่งที่ถูกต้องแล้ว ทำการเปิด Menu ในการควบคุม ผ่าน web interface และ ผ่าน protocol SSL



shaper_1

คลิกที่ Menu ขวามือ เลือก Traffic Shaper
จะปรากฎ Web Wizard ในการควบคุมค่า การรับส่งข้อมูล


shaper_2

กำหนดค่า เริ่มต้น เลือกค่าควบคุมตามต้องการ ในภาพ กำหนด การใช้งานผ่านเครือข่าย LAN ให้ทำการ Download ที่ 128 k/sec และ ในเครือข่าย WAN ให้ทำการ upload ข้อมูลที่ 512k/sec

เมื่อกำหนดค่าเริ่มต้นแล้ว จะเป็นการควบคุมการรับส่งข้อมูลตาม Application เริ่มจาก

เรื่องของ VoIP

shaper_3

กำหนดค่า VoIP โดยสามารถเลือกใช้บริการตามผู้ให้บริการได้ และเลือก Bandwidth ในการรับส่งข้อมูล โดยมีค่าเริ่มต้นที่ 56k – 10M ขึ้นกับอัตราการเรื่องใช้บริการอินเตอร์เน็ทองค์กรนั้น

Application ที่ 2 การกำหนด P2P Networking


shaper_4_P2P

ในส่วน P2P สามารถเลือก Shaping ตามโปรแกรมได้ โดย ระบบ SRANwall รู้จัก P2P ประมาณ 20โปรแกรม ดังนี้


shaper_5_P2P

ตัวอย่างโปรแกรม P2P ที่ SRANwall รู้จัก

Application ที่ 3 คือการควบคุมการรับส่งข้อมูลของ Games Online


shaper_6_Games

ผู้ดูแลระบบเครือข่ายสามารถที่จะเลือกควบคุมการรับส่งข้อมูล ตามชนิดของ Games Online ได้ประมาณ 20 โปรแกรม

ส่วน Application อื่นๆ SRANwall ได้แบ่งเป็นหัวข้อ ดังนี้

- การ Remote Services / Terminal emulation


shaper_7_Application_remote

- Messengers (Chat โปรแกรมสนทนา)


shaper_8_Application_msn

- VPN
- Multimedia / Streaming
- Web
- Mail


shaper_9_Application_program

- Miscellaneous ( ได้แก่ DNS, ICMP, SMB, MYSQL , NNTP , CVSUP เป็นต้น)

เมื่อทำการปรับแต่งค่าตามที่บริษัท AAA ต้องการแล้ว ใน menu ควบคุม SRANwall จึงขึ้นพร้อมทำงาน
shaper_11_config_finish

จบขั้นตอนการกำหนดค่า SRAN Traffic Shaper Wizard


shaper_12_config_finish

รอระบบทำการ Reset ค่า และพร้อมทำงานต่อไป

เท่านี้ ก็สามารถควบคุม การรับส่งข้อมูลในองค์กรอย่างมีประสิทธิภาพ และสะดวกในการใช้งาน

ในระบบ SRANwall ยังมีฟังชั่นการใช้งานอื่นๆอีกมาก จะขอได้ กล่าวในตอนต่อไป

นนทวรรธนะ สาระมาน
Nontawattana Saraman

วันเสาร์, กันยายน 9

สร้าง NAC (Network Access Control) บน SRAN Wall

ทุกวันนี้ปัญหาระบบเครือข่ายกับเป็นปัญหาภายในองค์กร และกลายเป็นปัญหาสำคัญที่ยากแก่การควบคุม ปัญหาดังกล่าวคือการแพร่ระบาดไวรัสคอมพิวเตอร์ จากภายในเครือข่ายของตนเอง ทั้งที่เกิดจากเครื่อง client ในองค์กร และ เครื่องพกพาได้แก่ PC Notebook ที่สามารถนำไปใช้งานที่บ้าน หรือ ที่อื่นๆ และติดไวรัสคอมพิวเตอร์ หรือสิ่งผิดปกติอย่างอื่นจากนอกวง LAN องค์กร และเมื่อนำมาใช้งานใน LAN องค์กรแล้ว จึงแพร่กระจายไวรัสคอมพิวเตอร์ไปเครื่องอื่นๆในองค์กรอีกด้วย ปัญหานี้ จะแก้ไขได้ก็ต่อเมื่อมีระบบ NAC (Network Access Control) เพื่อเข้ามาควบคุมการลงทะเบียนเครื่องคอมพิวเตอร์ ทั้งเครื่องที่เป็น PC แบบตั้งโต๊ะ และ PC ที่เป็นเครื่องแม่ข่าย รวมถึง Notebook , PDA เป็นต้น วิธีการป้องกันเครื่องพกพาที่นำมาใช้งานในองค์กร เรียกว่า “Endpoint security”

แนวคิด Endpoint Security คือ ปลอดภัยตั้งแต่แรกเข้าสู่ระบบเครือข่าย (LAN) โดยมุ่งป้องกันภัยคุกคามที่อาจจะเกิดขึ้นได้จากเครื่อง

ทางทีมพัฒนา SRAN จึงเห็นภัยคุกคามนี้ เป็นเรื่องสำคัญ เพราะหากแต่เรามาสร้างระบบเครือข่ายให้ปลอดภัยจากภัยคุกคามภายนอกแล้ว ยังไม่เพียงพอ แต่เรายังต้องเอาใจใส่ในเครือข่ายภายในองค์กรของเราอีกด้วย จึงเป็นเรื่องที่ซับซ้อน และ ป้องกันภัยคุกคามในครั้งนี้ยากนัก รวมถึงต้องลงทุนจัดหาเทคโนโลยี เพื่อมาป้องกันภัยคุกคามชนิดนี้อีกด้วย จึงมีแนวทางการแก้ไขปัญหา โดยใช้ระบบที่ชื่อว่า SRANwall ซึ่งเป็น Security Gateway

การสร้าง NAC โดยใช้คู่กับ SRAN Wall ต้องมีอุปกรณ์เสริมดังนี้

  1. SRAN Wall 1 เครื่อง
  2. ระบบ แม่ข่ายตรวจไวรัสคอมพิวเตอร์ (Anti virus Server)
  3. ระบบประเมินความเสี่ยงบนเครือข่ายคอมพิวเตอร์ VA (Vulnerability Assessment)

คุณสมบัติทำ NAC ใน SRAN Wall คือ

  1. การที่สามารถระบุเครื่องที่ทำการต่อเชื่อมระบบ LAN ในองค์กรได้ โดยที่ให้เครื่องมาลงทะเบียนที่ตัว SRANwall
  2. สามารถสร้าง Virtual LAN เพื่อทำการกักเครื่องที่ไม่ได้รับอนุญาตให้เข้าสู่ระบบเครือข่ายได้
  3. ใน Virtual LAN ที่ทำการ กักเครื่อง สามารถ ส่งข้อมูลไปบอกเครื่องแม่ข่ายตรวจไวรัสคอมพิวเตอร์ หรือ ตรวจหาช่องโหว่ในเครื่องได้


ติดตั้งระบบ SRAN Wall ไว้เป็น Gateway ของระบบ และกำหนดค่าดังนี้

ไปที่ Menu NAC และคลิก Captive Portal


ทางผู้ดูแลระบบสามารถเลือกให้ใช้ การ authentication บน User RADIUS Server หรือจะสามารถเลือก add user เครื่องพร้อมค่า MAC address ได้เอง

คลิก pass-through MAC


เพื่อ add ค่า MAC address เครื่อง PC ที่อยู่ในวง LAN

หรือทำการ add user ใน menu users



คลิกที่ menu Allowed IP addresses




คลิกที่เพิ่ม ที่เครื่องหมาย + ใน Web ควบคุม


หรือจะระบุให้เครื่องที่ non- authentication ให้ทำการ scan ไวรัสคอมพิวเตอร์ก่อนถึงจะเข้าสู่ระบบเครือข่ายขององค์กรได้ ก็ตั้งเป็น Direction to …



เมื่อทำการ scan virus ผ่านแล้ว เครื่องปลอดจากไวรัส จึงสามารถเข้าใช้งานในองค์กรได้

หรือจะตั้งค่า Direction to เครื่องที่เป็น VA (Vulnerability Assessment) เพื่อตรวจสอบดูว่ายังขาด patch software และ OS เพื่อให้ update patch เสียก่อนก่อนที่จะเข้าสู่ระบบ LAN ในองค์กร ก็จะทำให้เครื่อง Notebook หรือ PDA ระบบพกพาต่างๆ ปลอดภัยมากขึ้นเมื่อนำใช้กับ LAN ในองค์กร

นอกจากจะสามารถควบคุมการ Access เครื่องในองค์กรได้แล้ว ยังสามารถควบคุมการใช้งาน Wireless LAN หรือพวก Hotspot ได้อีกด้วย โดยใช้หลักการเดียวกันนั้นคือ

หากเครื่องที่ไม่ได้รับ อนุญาติ ก็จะทำการ Redirect ไปที่ URL ให้ลงทะเบียนได้



โดยเราสามารถระบุ content สำหรับ URL ที่ต้องการ Redirection ได้ ตามต้องการ



ทั้งหมดนี้ จะควบคุมเครื่องแปลกปลอม ที่เข้าสู่ระบบเครือข่าย LAN ในองค์กร ได้ หากเราควบคุมเครื่องแปลกปลอมได้ การแพร่ระบาดไวรัสคอมพิวเตอร์ ที่ติดจากที่อื่น และนำแพร่เชื้อในองค์กรจะน้อยลง เครือข่ายคอมพิวเตอร์ก็จะปลอดภัยมากขึ้น


นนทวรรธนะ สาระมาน
Nontawattana Saraman


วันเสาร์, กันยายน 2

SOC in the Box

สังเกตไหมว่า ทำไม หลายองค์กร ที่ลงทุนด้านระบบรักษาความปลอดภัยไปแล้ว ถึงยังคงต้องมาปวดหัวกับเรื่องภัยคุกคามต่างๆที่เกิดขึ้นอยู่ ทั้งที่ซื้อระบบ Firewall , IDS/IPS และ software ป้องกันภัยต่างๆ ไปแล้ว ก็ยังคงไม่ปลอดภัยอยู่ดี เนื่องจากที่เราทราบกันดีว่าองค์ประกอบที่สำคัญในด้านการรักษาความปลอดภัยข้อมูล มี 3 ข้อ คือ เรื่องเทคโนโลยี คน และ กระบวนการ หากเราลงทุนเทคโนโลยีไปแล้ว แต่ยังไม่มีการดูแล คน และไม่มีการจัดการที่กระบวนการ เราก็ยังไม่ปลอดภัย เป็นโจทย์ใหญที่ทำให้ผมต้องการให้มีความปลอดภัยข้อมูลในองค์กร แบบสำเร็จรูป โดยใช้องค์ประกอบหลักใหญ่ทั้ง 3 เพื่อสร้างความลงตัว ผมมองว่า การทำให้ คน และ กระบวน การจะรวมกันได้นั้นต้องมี มาตราฐานมารองรับ โดยที่มาตราฐานที่ใช้ในการทำ Information Security มีอยู่ด้วยกันหลายรูปแบบ จึงทำให้เป็นที่สงสัย และเกิดความไม่เข้าใจว่าจะเริ่มต้นที่จุดไหนก่อนดี ?

ผมจึงได้เสนอแนวคิด การตั้ง ศูนย์เตือนภัยทางเครือข่ายคอมพิวเตอร์ ขึ้น หรือที่เรียกว่า SOC (Security Operation Center) หากแต่ SOC ตามความหมายของคนทั่วไปมักจะมองเป็นห้องบัญชาการขนาดใหญ่ และมีเครื่องคอมพิวเตอร์ไว้สังเกตการจำนวนมาก มีคนปฏิบัติหน้าที่ และค่อยเฝ้าระวังภัยที่อาจจะเกิดขึ้นบนระบบเครือข่าย ทุกคนเห็นว่าการจัดทำ SOC เป็นเรื่องที่ดี และควรจะลงมือปฏิบัติ แต่ไม่รู้จะเริ่มต้นอย่างไร ?

คำถามทั้ง 2 ที่ยังไม่ได้รับคำตอบ เหล่านี้จึงเกิดการลงทุนด้านระบบเครือข่ายความปลอดภัยจำนวนมาก โดยไม่รู้ว่าจะคุ้มทุนที่ใด
คำตอบผมมี ใน 1 Blade server โดยทั้งระบบนี้จะสามารถ compliance ตรงตาม มาตราฐานที่เราต้องการไม่ว่าเป็น ISO17799 , SOX, HIPAA คุณสามารถเลือก compliance และให้ระบบตรวจสอบว่ายังขาดตกในมาตราฐานข้อใดในองค์กรได้

ในส่วนการสร้างมาตราฐานความปลอดภัยข้อมูล บน SOC โดยสรุป สามารถแบ่ง เทคโนโลยี ในการเปรียบเทียบได้ 4 หัวข้อหลักคือ
1. Threat Detection เกี่ยวกับการตรวจตราภัยคุกคามที่อาจเกิดขึ้นบนเครือข่าย ไม่ว่าเป็นแบบ Reactive เช่น log firewall , syslog จาก devices หรือ proactive เช่น IDS/IPS , antivirus แบบ Real time , รวมถึงระบบ Network access control สำหรับ endpoint security สำหรับเครื่องพกพา และเครื่องแปลกปลอมที่เข้าสู่เครือข่าย LAN ในองค์กร
2. Vulnerability Detection / Management เกี่ยวกับการสร้างความปลอดภัยสม่ำเสมอ และการประเมินความเสี่ยงเพื่อป้องกันเครือข่ายคอมพิวเตอร์ รวมถึงเครื่องคอมพิวเตอร์ในองค์กร
3. Remediation คือ การตรวจตรา software การเก็บข้อมูล และแผนฉุกเฉินที่ต้องรองรับเมื่อเกิดสถานการณ์ที่ผิดปกติขึ้นมา
4. Security and Available Management คือ การสร้างระบบความปลอดภัยทั้งเป็นโครงสร้างหลัก และ องค์ประกอบในการบริหารจัดการ เช่น ระบบ core switch , Firewall Gateway , Remote access ,VPN , รวมถึงการทำ System Monitoring Hardware/Software

โดยทั่วไปอุปกรณ์ด้านระบบรักษาความปลอดภัย ที่นำมาใช้งานกันในประเทศไทย มักจะไปอยู่ในข้อ 4 นั่นคือ Security and Available Management และ ในส่วน Threat Detection ก็มีบทบาทมากในปี 2 ปีหลัง
หากเราประเมินดูแล้วการจัดหา เทคโนโลยีให้ตรงตาม compliance ทั้งหมดคงเป็นการลงทุนที่สูงมาก แต่เมื่อเราจับประเด็นใน 4 โหมดนี้ดังกล่าวทำให้เราทราบว่า การจัดหาเทคโนโลยีมาสร้าง SOC ก็ไม่ใช่เรื่องยากเกินไป เราสามารถสร้าง SOC ภายใน 1 ตู้ Rack หรือ 1
Blade Server ได้

SRANinaSOC_1


ในการออกแบบ SOC ที่เราเรียกว่า "SOC in box" เป็นแนวทางแก้ไขปัญหาภัยคุกคามที่เกิดขึ้นบนการใช้ข้อมูลในองค์กร แบบประหยัดงบประมาณ การลงทุน และได้ผลตามมาตราฐานการรักษาความปลอดภัย ISO17799 ได้

โดยเราสามารถแยกในแต่ละ เทคโนโลยี เพื่อบรรจุลงใน blade server ดังนี้
SRANinaSOC_2

ส่วนประกอบที่ 1 ใช้ IDS/IPS ใช้ SRAN Security Center , และระบบ FreeNAC
ส่วนประกอบที่ 2 ใช้ VA/VM ใช้ SRAN Security Center
ส่วนประกอบที่ 3 ใช้ NetXMS และ FreeNAS
ส่วนประกอบที่ 4 ใช้ SRAN Wall , OSSIM
ทั้งหมดนี้จะสามารถ comply ตาม ISO17799 ได้อย่างลงตัว
SRANinaSOC_3

เท่านี้เราสามารถสร้าง SOC บน blade server 1 เครื่อง บนเทคโนโลยี SRAN และ Open source ชั้นนำตรงตาม compliace มาตราฐานที่ ISO17799 รองรับไว้ คุ้มค่าการลงทุนประหยัดงบประมาณ สนองนโยบายเศรษฐกิจพอเพียง ได้

นนทวรรธนะ สาระมาน
Nontawattana Saraman
2/09/49