SRAN Light
“SRAN Light” ปฏิวัติระบบระบุตัวตนและเฝ้าระวังภัยคุกคามทางเครือข่ายแบบเดิมอย่างสิ้นเชิง ด้วยการระบุตัวตนการใช้งานไอซีทีในองค์กรวิเคราะห์พฤติกรรมการใช้งานในเชิงลึกโดยตรวจสอบลักษณะการใช้งานไอทีพร้อมประเมินค่าพฤติกรรมว่ามีความเสี่ยงสอดคล้องกับนโยบายขององค์กรที่ต้องการความคล่องตัวที่ไม่ต้องการลงทุนหลายระบบเพื่อได้มาซึ่งผลลัพธ์ที่ต้องการ
“คุณจะขจัดความไม่รู้เหล่านี้ได้ โดยใช้ SRAN Light จะช่วยให้รู้ทันปัญหาต่างๆที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์ของท่าน”SRAN Light ถูกออกแบบมาเสมือนกล้องวงจรปิดที่บันทึกการใช้งานได้อย่างครบถ้วน และสะดวกต่อการตรวจสอบพฤติกรรมการใช้งาน โดยไม่ละเมิดสิทธิส่วนบุคคลตามนโยบายขององค์กรได้อย่างลงตัว
ที่มานวัฒกรรมนี้เกิดจากทีมพัฒนา SRAN ได้เก็บเกี่ยวประสบการณ์ในงานด้าน IT Security ค้นคว้าวิจัยเพิ่มเติม และสำรวจความต้องการของลูกค้า ผนวกกับแนวโน้มที่เพิ่มสูงขึ้นของภัยคุกคามภายในองค์กร (Insider Threat) ทีมงานจึงได้พัฒนาผลิตภัณฑ์เพื่อต่อยอดจาก SRAN Security Center จนเกิดเป็น “SRAN Light” ขึ้น ซึ่ง SRAN Light นี้ ยังคงคุณสมบัติด้านการเก็บ Log File ตาม พ.ร.บ.คอมพ์ ผนวกเทคโนโลยีใหม่ “HBW” หรือ Human Behavioral Warning เพื่อเชื่อมโยงการเฝ้าระวังภัยคุกคามภายในเครือข่ายองค์กร เข้ากับงานบริหารทรัพยากรบุคคล พร้อมระบบจัดเก็บคลังข้อมูล(Inventory)
เทคโนโลยี HBW ซึ่งเป็นหัวใจของ SRAN Light นี้ ได้นำเทคนิค Intrusion Detection System ในระดับ Network Base มาผนวกเข้ากับการจัดเก็บคลังข้อมูล (Inventory) ให้สามารถตรวจจับรายชื่อพนักงาน ชื่อแผนกของหน่วยงาน ค่า MAC Address นำมาเชื่อมโยงกับ IP Address (ทั้งแบบ Dynamic และ Static IP) ได้ เพื่อประโยชน์ในการเฝ้าระวังพฤติกรรมการใช้งานไอซีทีภายในองค์กร ระบบถูกออกแบบไม่ให้มีการละเมิดสิทธิส่วนบุคคลของพนักงานในองค์กร เทคโนโลยีทั้งหมดรวมอยู่ในเครื่องเดียว ไม่ต้องติดตั้งอุปกรณ์เพิ่มเติม เพิ่มความสะดวกในการใช้งาน และเป็นประโยชน์สำหรับองค์กรในการเฝ้าระวังภัยคุกคามภายใน “Insider Threat” ที่มีสถิติเพิ่มสูงขึ้นทุกๆปี และการสืบค้นหาประวัติเหตุการณ์เพื่อหาผู้กระทำความผิดได้สะดวกมากขึ้น อีกทั้งยังสามารถเชื่อมกับงานบริหารทรัพยากรบุคคล (HR) ทำให้ทราบพฤติกรรมการใช้งาน IT ภายในองค์กร ว่ามีพฤติกรรมการใช้งานอันไม่เหมาะสมในเวลางานหรือไม่ หรือมีการลักลอบขโมยข้อมูลภายในองค์กรส่งไปยังที่อื่นนอกเวลางานหรือไม่ ช่วยให้รู้เท่าทันปัญหาการฉ้อโกง (Fraud) จากคนภายในองค์กรได้ พร้อมหลักฐานประกอบรูปคดี ทั้งยังสามารถเก็บสถิติการใช้งานรายแผนก รายบุคคล ช่วยให้การพยากรณ์การลงทุนระบบไอซีทีในองค์กรมีประสิทธิภาพมากขึ้น
ลักษณะการตรวจวิเคราะห์ Application Protocol ที่ SRAN Light สามารถเก็บบันทึกได้ แบ่ง 2 ส่วนคือ
ข้อมูลที่เกิดจากการใช้งานปกติ (Normal Traffic) ได้แก่
Web : HTTP, HTTPS
Email : SMTP, POP3, IMAP, Web Mail, Lotus Note, POP3S, SMTPS, IMAPS ซึ่งจะดูเฉพาะ Subject e-mail ในการรับส่ง
Messenger : ICQ, MSN, IRC, AIM, Yahoo, ebuddy, Camfrog ใน Mode Chat สามารถควบคุมได้ว่าจะให้แสดงข้อความการสนทนาได้ ซึ่งเป็นการป้องกันเรื่องความเป็นส่วนตัวพนักงาน
File Transfer : FTP, TFTP ,Files Sharing (Netbios)
P2P : napster, GNUtella, DirectConnect, Bittorrent, eDonkey, MANOLITO, Ares, ed2k, kaaza, soulseek และ VoIP ชนิด P2P เช่น Skype เป็นต้น
Others : Telnet, Remote Desktop, VNC, Radius
ข้อมูลที่เกิดจากการใช้งานที่ไม่ปกติ (Threat Traffic) ได้แก่
- ลักษณะการแพร่กระจายสิ่งผิดปกติ เช่น Virus/worm , Backdoor , Trojan , Malware , Botnet
- ลักษณะการโจมตีในชนิดต่างๆ เช่น DDoS/DoS , Brute force password , buffer overflow
- ลักษณะความผิดปกติจากการรับ-ส่งข้อมูล เช่น Spam การรับ-ส่งข้อมูลขยะ , Phishing การรับ-ส่งข้อมูลที่หลอกลวง, การที่อุปกรณ์เครือข่ายที่ปล่อยสัญญาณผิดปกติ จาก Protocol ICMP , SNMP เป็นต้น
- ลักษณะการปลอมแปลงข้อมูล เช่น การ Spoof ค่า MAC โดยใช้เทคนิค ARP-spoof , Spoof ค่า DNS เป็นต้น
การติดตั้งบนระบบเครือข่ายคอมพิวเตอร์
ทำได้ 3 วิธี
1. ติดตั้งแบบเฝ้าระวังและป้องกันเชิงลึก (Inline mode) การติดตั้งแบบนี้สามารถป้องกันภัยคุกคามในระดับ Application Layer ได้ เหมาะสำหรับเครือข่ายขนาดเล็ก
2.ติดตั้งแบบเฝ้าระวังและป้องกันทั่วไป (Transparent mode) การติดตั้งแบบนี้สามารถป้องกันภัยคุกคามในระดับ Layer 2 (MAC Address ) , Layer 3 (IP Address) และ Layer 4 (TCP , UDP และ Port services) เหมาะสำหรับเครือข่ายขนาดเล็ก และขนาดกลาง
3. ติดตั้งแบบเฝ้าระวัง (Passive mode) การติดตั้งแบบนี้สามารถเฝ้าระวังภัยคุกคามและพฤติกรรมการใช้งาน เหมาะติดตั้งในเครือข่ายขนาดใหญ่
คุณสมบัติเด่น SRAN Light มีดังนี้
1. สามารถเก็บบันทึก Log File และจัดเปรียบเทียบให้สอดคล้อง พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ดังนี้ – ระบุตัวตนผู้ใช้งานถึงพฤติกรรมการใช้ข้อมูลบนระบบไอทีในองค์กรโดยสามารถพิสูจน์ได้ว่า ใคร(who) ทำอะไร(what) ที่ไหน(where) เมื่อไหร่ (when) อย่างไร(why/how) ได้อย่างครบถ้วน – สามารถแยกแยะภัยคุกคามที่เกิดขึ้นในองค์กรพร้อมนำเสนอวิธีการแก้ไข – สถิติการใช้งานข้อมูลทั่วไปเพื่อจัดเก็บบันทึกตามหลักเกณฑ์การเก็บบันทึกข้อมูลจราจร
2. ช่วยให้ทราบถึงพฤติกรรมการใช้งาน IT ภายในองค์กร โดยเชื่อมโยง IP Address และ MAC Address เข้ากับข้อมูลรายชื่อพนักงาน ซึ่งสามารถเพิ่มรูปพนักงานเข้าไปในระบบได้ พร้อมเก็บประวัติการใช้งาน และสามารถเลือกดูการใช้งานแบบ Real Time Monitoring
3. สามารถจัดเก็บค่า Inventory ชนิดแบบ Passive ทางระบบเครือข่าย ซึ่งทำให้ได้ทราบถึง – รายชื่อพนักงานบริษัท (Name) – ชื่อแผนก (Department) – ชื่อระบบปฏิบัติการของพนักงาน (Operating System) – ค่า MAC Address แต่ละเครื่องในองค์กร
ภาพ การแสดงผล ค่าคลังข้อมูล (Inventory) จะสามารถเก็บประวัติการใช้งานเครื่องคอมพิวเตอร์ รายชื่อพนักงาน ชื่อแผนก ชื่อ IP ค่า MAC Address และระบบปฏิบัติการได้ โดยไม่ต้องลงซอฟต์แวร์ (agent) และแสดงรูปพนักงานได้อีกด้วย
4. รายงานผลการใช้งานข้อมูลสารสนเทศ – รายงานการใช้งานปริมาณ Bandwidth ที่สามารถเลือกช่วงเวลาได้ – รายงานการใช้งานตาม Protocol ที่สามารถเลือกช่วงเวลาได้ – รายงานภาพรวมการใช้งานไอทีในองค์กร – รายงานการใช้งานไอทีตามรายแผนก – รายงานการใช้งานไอทีตามรายบุคคล โดยสามารถเลือกรูปแบบการแสดงผลในรูปแบบไฟล์ CSV, HTML ทั้งยังสามารถออกรายงานผลเพื่อเชื่อมโยงระบบมือถือได้ผ่านช่องทาง XML
5. เฝ้าระวังพฤติกรรมการใช้งานและภัยคุกคามที่อาจเกิดขึ้นจากการใช้งานระบบไอซีทีในบริษัทโดยแยกแยะให้เป็นระดับความเสี่ยงสูง
กลางและต่ำได้
6. บันทึกข้อมูลด้วยกระบวนการที่ยืนยันความถูกต้อง (MD5) พร้อมทั้งเรียกดูย้อนหลังตามวันเวลาที่เก็บได้ อย่างน้อย 90 วัน 
7. นำเสนอสถิติการใช้งานรายแผนก รายบุคคล ช่วยให้การพยากรณ์การลงทุนระบบไอซีทีในองค์กรมีประสิทธิภาพมากขึ้น
ภาพแสดงรูปแบบการออกรายงานผล
————————————————————————-
เพิ่มความคุ้มค่า ครบทุกอย่างในเครื่องเดียว พิเศษ SRAN Light ทุกรุ่นสามารถเพิ่มประสิทธิภาพเป็นแบบระบบ Hybrid เพื่อสามารถทำเป็น Log Server ได้ในตัวเดียวกันได้จัดทำระบบตามมาตรฐานระบบเก็บ Log Server ตามกฏเกณฑ์จากศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ สำนักงานพัฒนาวิทยาศสาตร์และเทคโนโลยีแห่งชาติ (NECTEC) มศอ. 4003.1 – 2552
คุณสมบัติ New Hybrid
1. การเก็บข้อมูลจราจรสามารถเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ได้ต่อเนื่องไม่น้อยกว่า 90 วัน
2. สามารถปรับตั้งนาฬิกาภายใน ให้ตรงกับเวลาอ้างอิงมาตรฐานระดับชาติ ได้แก่ time server ของ nimt, navy, และ ThaiCERT ได้โดยอัตโนมัติ
3. มีการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตทั้งทางกายภาพและทางอิเล็กทรอนิกส์ การเข้าถึงจากระยะไกลได้ มีมาตรการด้านความมั่นคงปลอดภัยการเข้าจัดการระบบผ่านการเข้ารหัส http ด้วย ssl (HTTPS)
4. มีมาตรการในการควบคุม และป้องกันการเปลี่ยนแปลงค่าต่าง ๆ ของระบบโดยผู้ใช้ ผู้สามารถ login เข้าระบบก่อนที่จะทำการเปลี่ยนแปลงค่าต่างๆของระบบได้ และมีวิธีการในการระบุและจำแนกตัวบุคคล
5. มีระบบบันทึกประวัติการเข้าถึงและใช้งานระบบ
6. มีระบบบันทึกประวัติการเข้าถึงและใช้งานระบบต้องมีการป้องกันการแก้ไข เปลี่ยนแปลง และปลอมแปลงข้อมูลได้ บันทึกประวัติการใช้งานระบบ สามารถดูได้เท่านั้น ไม่สามารถแก้ไข เปลี่ยนแปลงและปลอมแปลงข้อมูลได้
7. มีการตรวจสอบความใช้ได้ของข้อมูลระบบจะรับข้อมูลจากอุปกรณ์ที่กำหนดและมีการยืนยันความถูกต้องของข้อมูล
|
||||
|
||||
|
||||
