ที่มา
เกิดจากการตั้งคำถามที่ว่าเราจะรู้เท่าทันการโจมตีทางไซเบอร์ได้อย่างไร ?
"หากเราไม่มี Log files เราหมดสิทธิรู้ได้ หากเราไม่มีระบบเฝ้าระวังภัยคุกคามทางไซเบอร์เราหมดสิทธิรู้ได้แน่นอน" ดังนั้นเริ่มต้นคือต้องมี Log ก่อน
องค์กรไหนมีตัวเก็บ Log files และได้เปิดค้นหาดูย้อนหลัง หรือดูในช่วงเวลานั้น ไม่ว่าประเภท Log นั้นจะเป็น Network Log หรือ Log ที่เกิดขึ้นจาก Application ของเครื่องแม่ข่ายโดยเฉพาะเป็น Public IP หรือไอพีจริง ด้วยแล้ว จะพบว่ามีการโจมตีทางไซเบอร์เกิดขึ้นตลอดเวลา
ไม่ว่าเป็นการโจมตีประเภท Brute Force รหัสผ่านผ่านช่องทาง Protocol SSH , การเจาะระบบผ่านโรบ็อตเพื่อเข้ายึดเครื่องแม่ข่ายผ่าน Web Application (Web Attack XSS , SQLi etc) หรือแม้กระทั่งถูกเปลี่ยนหน้าเว็บเพจ (Defacement) ซึ่งเหล่านี้เป็นเหตุการณ์ที่หลายหน่วยงานองค์กรประสบพบเจอแม้กระทั่งหนักสุดคือการโจมตีแบบ DDoS/DoS ที่เพียงชั่วพริบตาอาจทำให้ระบบหยุดชะงักตั้งแต่ต้นทางผู้ให้บริการ ISP ท่อเต็มจนไปถึงเว็บไซต์ที่เผยแพร่ข้อมูล
ในหลายหน่วยงานที่มีเครื่องไม้เครื่องพร้อมอาจจะรู้ทันและเห็นการโจมตีทางไซเบอร์ตลอดจนแก้ไขปัญหาฉุกเฉินได้อย่างทันเวลา (Incident Response) โดยส่วนใหญ่แล้วลงทุนในด้านนี้สูงหรือใช้งบประมาณหลายสิบล้านบาทถึงทำให้รู้เท่าทันภัยและการโจมตีทางไซเบอร์
แต่ยังมีอีกหลายองค์กรซึ่งเป็นส่วนใหญ่ของประเทศที่จะรู้ก็ต่อเมื่อโดนเจาะระบบไปแล้ว โดยเฉพาะเว็บไซต์หน่วยงานอันเป็นภาพลักษณ์ขององค์กร
เพื่อตอบคำถามดังนี้
(1) เราจะรู้ทันการโจมตีทางไซเบอร์ได้อย่างไร ?
(2) เมื่อเรารู้แล้วเราพร้อมที่รับมือและแก้ไขสถานการณ์ฉุกเฉินได้อย่างไร ?
(3) หลักฐานเราจะระบุตัวตนนักโจมตีระบบด้วยวิธีไหน ?
(4) ทั้ง 3 ข้อที่กล่าวมาทั้งหมดนี้อยู่บนงบประมาณที่ประหยัดและคุ้มค่าที่สุด
เราจะทำได้อย่างไร ? ซึ่งเป็นที่มาของ RealLog
แล้ว RealLog คืออะไร ?
RealLog เกิดขึ้นจากการพัฒนาของทีมงาน SRAN โดยตั้งข้อสังเกตว่าเนื่องจากการป้องกันภัยคุกคามทางไซเบอร์ไม่สามารถป้องกันได้ 100% จะดีกว่าไหม หากมีระบบที่สามารถรู้เท่าทันการโจมตีและระบุการกระทำผิดได้ โดยมีความละเอียดของข้อมูลสูงพอที่จะวิเคราะห์หรือแกะรอยหาต้นตอของผู้กระทำความผิดได้อย่างสะดวกและรวดเร็ว รวมถึงหาวิธีการแก้ไขปัญหาและสถานการณ์ฉุกเฉินได้อย่างมีประสิทธิภาพที่สุด
"เพราะการป้องกันแฮกไม่สามารถป้องกันได้ 100% แต่เรามีทางที่รู้ทันปัญหาและแก้ไขสถานะการณ์ที่เกิดขึ้นได้อย่างทันท่วงที ด้วย RealLog"
ในต่างประเทศเรียกระบบแบบนี้ว่า Security Orchestration คือการนำ Log files ที่มีคุณภาพที่เกิดจากการวิเคราะห์แล้วจากอุปกรณ์ SIEM (Security Information Event Management) หรือ เครื่องมืออื่นๆ อันเป็นกระบวนการกลั่นกรองข้อมูลจาก Log files ที่สมบูรณ์ โดยนำมาเทียบกับค่าดัชนีชี้วัดความเสี่ยงที่เรียกว่า IOC (Indicator of Compromise) ในการเทียบค่า Log นี้เองจะทำให้ทราบถึงการโจมตีทางไซเบอร์ได้อย่างแม่นยำและถูกต้องมากขึ้น เมื่อทราบค่าที่ถูกต้องแม่นยำแล้วระบบจะทำการแจ้งเตือนและหยุดการยั้งการโจมตีที่เกิดขึ้นพร้อมซ่อมแซมส่วนที่ชำรุดเพื่อให้ระบบกลับมาใช้งานได้อย่างปกติ
RealLog is "Security Orchestration (for web server)"
หลักการทำงาน
หลักการทำงาน คือ การรับค่า Log จาก Access log คือ log ที่มีในเว็บไซต์ทั่วไปส่งเข้า IOC agent และค่าการประเมินความเสี่ยงแบบสังเกตการณ์ทำแบบต่อเนื่อง (Passive Vulnerability Assessment) ค่า Log ดังกล่าวส่งไปที่ IOC agent ส่วนสุดท้ายคือ Log จากระบบเฝ้าระวังภัยคุกคามทางเครือข่ายคอมพิวเตอร์ (Intrusion Detection System) log ส่วนนี้ก็จะถูกส่งไปที่ IOC agent จากนั้น IOC agent จะคัดกลั่นกรองข้อมูล โดยใช้เทคนิคทาบ Log เทียบเคียงจากค่าดัชนีความเสี่ยงเพื่อประมวลผลเป็น RealLog ในการเทียบค่า Log นี้เองจะทำให้ทราบถึงการโจมตีทางไซเบอร์ได้อย่างแม่นยำและถูกต้องมากขึ้น เมื่อทราบค่าที่ถูกต้องแม่นยำแล้วระบบจะทำการแจ้งเตือนและหยุดการยั้งการโจมตีที่เกิดขึ้นพร้อมซ่อมแซมส่วนที่ชำรุดเพื่อให้ระบบกลับมาใช้งานได้อย่างปกติ
RealLog เป็นระบบ Security Orchestration แบบหนึ่ง โดยทีมงาน SRAN ผู้พัฒนานั้นได้ออกแบบมาเพื่อการระบุตัวตนนักโจมตีระบบและการแก้ไขสถานะการณ์ฉุกเฉินจากการโจมตีเว็บไซต์เป็นหลัก
โดยมีคุณสมบัติดังนี้
องค์ประกอบที่ 1 เรื่องการวิเคราะห์ Log และการมองเห็น (Log Visibility and Analysis)
1. การรวมศูนย์วิเคราะห์ Log web server หรือ Farm server เพื่อการรู้เท่าทันการโจมตีทางไซเบอร์
2. การมองเห็นค่า SSL ที่เกิดขึ้นผ่านการโจมตีเว็บไซต์
3. การใช้งานปกติและข้อมูลที่มีความเสี่ยงเพื่อทำการเก็บบันทึกข้อมูลตามกฎหมาย
4. การออกรายงานสถิติและการวิเคราะห์ผ่านแผนที่ภูมิศาสตร์
5. การเห็นค่าไอพีที่แท้จริงหลัง IP NAT (Behind IP NAT / local address)
6. การเห็นค่าไอพีที่แท้จริงหลังการผ่าน Proxy/Anonymous (Behind IP Proxy/Anonymous)
7. การเห็นค่าซอฟต์แวร์ ชนิดของบราวเซอร์และระบบปฏิบัติการ
8. การเก็บบันทึกประวัติ Session cookie
9. การค้นหาข้อมูลและการเลือกดูย้อนหลัง
องค์ประกอบที่ 2 เรื่องการระบุตัวตนนักโจมตีระบบ (Identify Real Attacker)
1. การระบุตำแหน่ง IP Geo-location ที่ได้จากฐานข้อมูลกลาง และแสดงผลผ่านแผนที่ภูมิสารสนเทศ
2. การระบุตำแหน่งที่แท้จริง Real location access จากละติจูด (latitude) และลองติจูด (longitude)
3. การระบุค่า IP Address / ASN ชื่อหน่วยงานองค์กร ชื่อประเทศ และชื่อเมือง
องค์ประกอบที่ 3 การประเมินความเสี่ยงอย่างต่อเนื่องเพื่อวิเคราะห์หาปัญหาระบบอย่างแท้จริง
1. การนำ Log จากระบบ NIDS (Network Intrusion Detection System) เพื่อนำมาวิเคราะห์หาปัญหาที่เกิดขึ้น
2. การนำ Log จากการทำ Passive Vulnerability Assessment เพื่อนำมาวิเคราะห์หาปัญหาที่เกิดขึ้น
3. การตรวจจับลักษณะการโจมตีโดยใช้มาตรฐาน OWASP เป็นค่ากำหนด
4. การตรวจจับภัยคุกคามโดยการเปรียบเทียบค่า Log files จาก IOC (Indicator of Compromise)
5. การแจ้งเตือน (Notice) เพื่อระบุปัญหาที่เกิดขึ้นผ่านเว็บบริหารจัดการ (Web management gui)
6. ตรวจจับไอพีแอดเดรสที่ทำการใช้เครื่องการสแกนอันกระทบต่อระบบการใช้งานได้ (Scanner Tools Detection)
7. ตรวจจับการ Brute Force ระบบผ่านช่องทาง Protocol อื่นที่มีความสำคัญต่อระบบได้
8. ตรวจจับปริมาณ Session จากแหล่งที่มาต้นทางไอพีแอดเดรสอันส่งผลกระทบต่อระบบได้
องค์ประกอบที่ 4 การแจ้งไขปัญหาฉุกเฉิน (Incident Response) และการป้องกันภัยคุกคามจากการโจมตีทางไซเบอร์ (Cyber Protection)
1. เมื่อพบการแจ้งเตือน (Alerts) สามารถสั่งระงับการเข้าถึงนักโจมตีระบบได้
2. รายงานสำหรับการแจ้งเตือน และแจ้งสถานะการณ์ความเสี่ยงที่พบ
3. การตั้งค่าการปิดกั้นชุดไอพีอันตราย
4. การตั้งค่าปิดกั้นการเข้าถึงในการอำพรางตัวตน (Anonymous)
5. แสดงค่าสถานะการปิดกั้นและการป้องกันภัยคุกคามทางไซเบอร์ที่เกิดขึ้น
นนทวัตต์ สาระมาน
SRAN Dev Team
08/02/60