Nontawatt 'n talk: โกลบอลเทคฯ เตรียมเปิดตัว "SRAN Light"

โกลบอลเทคฯ เตรียมเปิดตัว "SRAN Light" ปฏิวัติระบบเฝ้าระวังภัยคุกคามทางเครือข่ายแบบเดิมอย่างสิ้นเชิง ด้วยการระบุตัวตนการใช้งานไอซีทีในองค์กรวิเคราะห์พฤติกรรมการใช้งานในเชิงลึกโดยตรวจสอบลักษณะการใช้งานไอทีพร้อมประเมินค่าพฤติกรรมว่ามีความเสี่ยงสอดคล้องกับนโยบายขององค์กรที่ต้องการความคล่องตัวที่ไม่ต้องการลงทุนหลายระบบเพื่อได้มาซึ่งผลลัพธ์ที่ต้องการ

SRAN Light ถูกออกแบบมาเสมือนกล้องวงจรปิดที่บันทึกการใช้งานได้อย่างครบถ้วน และสะดวกต่อการตรวจสอบพฤติกรรมการใช้งาน โดยไม่ละเมิดสิทธิส่วนบุคคลตามนโนบายขององค์กรได้อย่างลงตัว

ที่มานวัฒกรรมนี้เกิดจากทีมพัฒนา SRAN ได้เก็บเกี่ยวประสบการณ์ในงานด้าน IT Security ค้นคว้าวิจัยเพิ่มเติม และสำรวจความต้องการของลูกค้า ผนวกกับแนวโน้มที่เพิ่มสูงขึ้นของภัยคุกคามภายในองค์กร (Insider Threat) ทีมงานจึงได้พัฒนาผลิตภัณฑ์เพื่อต่อยอดจาก SRAN Security Center จนเกิดเป็น "SRAN Light" ขึ้น ซึ่ง SRAN Light นี้ ยังคงคุณสมบัติด้านการเก็บ Log File ตาม พ.ร.บ.คอมพ์ ผนวกเทคโนโลยีใหม่ "HBW" หรือ Human Behavioral Warning เพื่อเชื่อมโยงการเฝ้าระวังภัยคุกคามภายในเครือข่ายองค์กร เข้ากับงานบริหารทรัพยากรบุคคล พร้อมระบบจัดเก็บคลังข้อมูล (Inventory)

เทคโนโลยี HBW ซึ่งเป็นหัวใจของ SRAN Light นี้ ได้นำเทคนิค Intrusion Detection System ในระดับ Network Base มาผนวกเข้ากับการจัดเก็บคลังข้อมูล (Inventory) ให้สามารถตรวจจับรายชื่อพนักงาน ชื่อแผนกของหน่วยงาน ค่า MAC Address นำมาเชื่อมโยงกับ IP Address (ทั้งแบบ Dynamic และ Static IP) ได้ เพื่อประโยชน์ในการเฝ้าระวังพฤติกรรมการใช้งานไอซีทีภายในองค์กร ระบบถูกออกแบบไม่ให้มีการละเมิดสิทธิส่วนบุคคลของพนักงานในองค์กร
เทคโนโลยีทั้งหมดรวมอยู่ในเครื่องเดียว ไม่ต้องติดตั้งอุปกรณ์เพิ่มเติม เพิ่มความสะดวกในการใช้งาน และเป็นประโยชน์สำหรับองค์กรในการเฝ้าระวังภัยคุกคามภายใน "Insider Threat” ที่มีสถิติเพิ่มสูงขึ้นทุกๆปี และการสืบค้นหาประวัติเหตุการณ์เพื่อหาผู้กระทำความผิดได้สะดวกมากขึ้น อีกทั้งยังสามารถเชื่อมกับงานบริหารทรัพยากรบุคคล (HR) ทำให้ทราบพฤติกรรมการใช้งาน IT ภายในองค์กร ว่ามีพฤติกรรมการใช้งานอันไม่เหมาะสมในเวลางานหรือไม่ หรือมีการลักลอบขโมยข้อมูลภายในองค์กรส่งไปยังที่อื่นนอกเวลางานหรือไม่ ช่วยให้รู้เท่าทันปัญหาการฉ้อโกง (Fraud) จากคนภายในองค์กรได้ พร้อมหลักฐานประกอบรูปคดี ทั้งยังสามารถเก็บสถิติการใช้งานรายแผนก รายบุคคล ช่วยให้การพยากรณ์การลงทุนระบบไอซีทีในองค์กรมีประสิทธิภาพมากขึ้น

ลักษณะการตรวจวิเคราะห์ Application Protocol ที่ SRAN Light สามารถเก็บบันทึกได้ แบ่ง 2 ส่วนคือ

ข้อมูลที่เกิดจากการใช้งานปกติ (Normal Traffic) ได้แก่

Web : HTTP, HTTPS

Email : SMTP, POP3, IMAP, Web Mail, Lotus Note, POP3S, SMTPS, IMAPS ซึ่งจะดูเฉพาะ Subject e-mail ในการรับส่ง

Messenger : ICQ, MSN, IRC, AIM, Yahoo, ebuddy, Camfrog ใน Mode Chat สามารถควบคุมได้ว่าจะให้แสดงข้อความการสนทนาได้ ซึ่งเป็นการป้องกันเรื่องความเป็นส่วนตัวพนักงาน

File Transfer : FTP, TFTP ,Files Sharing (Netbios)

P2P : napster, GNUtella, DirectConnect, Bittorrent, eDonkey, MANOLITO, Ares, ed2k, kaaza, soulseek และ VoIP ชนิด P2P เช่น Skype เป็นต้น

Others : Telnet, Remote Desktop, VNC, Radius

ข้อมูลที่เกิดจากการใช้งานที่ไม่ปกติ (Threat Traffic) ได้แก่

- ลักษณะการแพร่กระจายสิ่งผิดปกติ เช่น Virus/worm , Backdoor , Trojan , Malware , Botnet

- ลักษณะการโจมตีในชนิดต่างๆ เช่น DDoS/DoS , Brute force password , buffer overflow

- ลักษณะความผิดปกติจากการรับ-ส่งข้อมูล เช่น Spam การรับ-ส่งข้อมูลขยะ , Phishing การรับ-ส่งข้อมูลที่หลอกลวง, การที่อุปกรณ์เครือข่ายที่ปล่อยสัญญาณผิดปกติ จาก Protocol ICMP , SNMP เป็นต้น

- ลักษณะการปลอมแปลงข้อมูล เช่น การ Spoof ค่า MAC โดยใช้เทคนิค ARP-spoof , Spoof ค่า DNS เป็นต้น

การติดตั้งบนระบบเครือข่ายคอมพิวเตอร์

ทำได้ 3 วิธี

1. ติดตั้งแบบเฝ้าระวังและป้องกันเชิงลึก (Inline mode) การติดตั้งแบบนี้สามารถป้องกันภัยคุกคามในระดับ Application Layer ได้ เหมาะสำหรับเครือข่ายขนาดเล็ก

2.ติดตั้งแบบเฝ้าระวังและป้องกันทั่วไป (Transparent mode) การติดตั้งแบบนี้สามารถป้องกันภัยคุกคามในระดับ Layer 2 (MAC Address ) , Layer 3 (IP Address) และ Layer 4 (TCP , UDP และ Port services) เหมาะสำหรับเครือข่ายขนาดเล็ก และขนาดกลาง

3. ติดตั้งแบบเฝ้าระวัง (Passive mode) การติดตั้งแบบนี้สามารถเฝ้าระวังภัยคุกคามและพฤติกรรมการใช้งาน เหมาะติดตั้งในเครือข่ายขนาดใหญ่

คุณสมบัติเด่น SRAN Light มีดังนี้

1. สามารถเก็บบันทึก Log File และจัดเปรียบเทียบให้สอดคล้อง พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ดังนี้

- ระบุตัวตนผู้ใช้งานถึงพฤติกรรมการใช้ข้อมูลบนระบบไอทีในองค์กรโดยสามารถพิสูจน์ได้ว่า ใคร(who) ทำอะไร(what) ที่ไหน(where) เมื่อไหร่ (when) อย่างไร(why/how) ได้อย่างครบถ้วน

- สามารถแยกแยะภัยคุกคามที่เกิดขึ้นในองค์กรพร้อมนำเสนอวิธีการแก้ไข

- สถิติการใช้งานข้อมูลทั่วไปเพื่อจัดเก็บบันทึกตามหลักเกณฑ์การเก็บบันทึกข้อมูลจราจร

2. ช่วยให้ทราบถึงพฤติกรรมการใช้งาน IT ภายในองค์กร โดยเชื่อมโยง IP Address และ MAC Address เข้ากับข้อมูลรายชื่อพนักงาน ซึ่งสามารถเพิ่มรูปพนักงานเข้าไปในระบบได้ พร้อมเก็บประวัติการใช้งาน และสามารถเลือกดูการใช้งานแบบ Real Time Monitoring ผ่านระบบ Ajax บน Web Application ได้

3. สามารถจัดเก็บค่า Inventory ชนิดแบบ Passive ทางระบบเครือข่าย ซึ่งทำให้ได้ทราบถึง

- รายชื่อพนักงานบริษัท (Name)

- ชื่อแผนก (Department)

- ชื่อระบบปฏิบัติการของพนักงาน (Operating System)

- ค่า MAC Address แต่ละเครื่องในองค์กร

ภาพ การแสดงผล ค่าคลังข้อมูล (Inventory) จะสามารถเก็บประวัติการใช้งานเครื่องคอมพิวเตอร์ รายชื่อพนักงาน ชื่อแผนก ชื่อ IP ค่า MAC Address และระบบปฏิบัติการได้ โดยไม่ต้องลงซอฟต์แวร์ (agent) และแสดงรูปพนักงานได้อีกด้วย

4. รายงานผลการใช้งานข้อมูลสารสนเทศ

- รายงานการใช้งานปริมาณ Bandwidth ที่สามารถเลือกช่วงเวลาได้

- รายงานการใช้งานตาม Protocol ที่สามารถเลือกช่วงเวลาได้

- รายงานภาพรวมการใช้งานไอทีในองค์กร

- รายงานการใช้งานไอทีตามรายแผนก

- รายงานการใช้งานไอทีตามรายบุคคล

โดยสามารถเลือกรูปแบบการแสดงผลในรูปแบบไฟล์ CSV, HTML ทั้งยังสามารถออกรายงานผลเพื่อเชื่อมโยงระบบมือถือได้ผ่านช่องทาง XML

ภาพตัวอย่างการออกรายงานตามรายชื่อพนักงาน

ภาพแสดงผลลัพธ์ค่าการใช้งานระบบไอทีที่เกิดขึ้นกับพนักงานคนนี้พร้อมแสดงค่าดัชนีชี้วัดว่ามีพฤติกรรมที่มีความเสี่ยงต่อองค์กรหรือไม่โดยระบุที่สีของเหตุการณ์ที่เกิดขึ้น

5. เฝ้าระวังพฤติกรรมการใช้งาน โดยสามารถกำหนด Rule Policy ตามนโยบายบริษัทได้ เพื่อป้องกันการละเมิดสิทธิส่วนบุคคลของพนักงานในองค์กร