Image Alt
SRAN LT50 Hybrid

SRAN LT50 Hybrid (Thailand Innovation)

อุปกรณ์จัดเก็บข้อมูลจราจรคอมพิวเตอร์ที่ช่วยวิเคราะห์และตรวจสอบภัยคุกคามที่เกิดขึ้นบนระบบเครือข่าย  และผ่านการรับรองตามมาตรฐาน “มศอ. 4003.1-2560 ระบบเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์” จากศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC)

SRAN Light LT50 Hybrid ได้รับการขึ้นบัญชีนวัตกรรมไทย โดยสำนักงบประมาณ กระทรวงการคลัง

รหัสรายชื่อบัญชีนวัตกรรมไทย หมายเลข 050001

ชื่อสามัญของผลงานนวัตกรรมไทย : อุปกรณ์เฝ้าระวังการป้องกันภัยคุกคามบนระบบสารสนเทศและจัดเก็บข้อมูลจราจรคอมพิวเตอร์ (IT Security Monitoring and Log File Collection System)

SRAN Advanced Log Monitoring

SRAN Light LT50 Hybrid

คุณสมบัติทางเทคนิค (Feature)

  1. การสํารวจข้อมูลแบบอัตโนมัติเพื่อระบุตัวตนอุปกรณ์บนระบบเครือข่ายคอมพิวเตอร์ (Automatic Identification Device)
    1.1 รายงานการคัดแยกเครื่องที่รู้จัก (Known Device) และ ไม่รู้จัก (Unknown Device) ได้โดยการยืนยัน (Approve) เมื่อทําการยืนยันค่าแล้วหากมีอุปกรณ์แปลกปลอมเข้าสู่ระบบเครือข่ายก็สามารถตรวจพบได้ (Rouge Detection)
    1.2 รายงาน BYOD (Bring Your Own Device) แสดงค่าอุปกรณ์พกพาที่พยายามติดต่อเข้าใช้งานเครือข่ายคอมพิวเตอร์ขององค์กรได้โดยแยก Desktop (คอมพิวเตอร์พกพา เช่นโน้ตบุ๊ก) และมือถือ(Mobile) และรู้ว่าใครนําเครื่องพกพามาใช้งานภายในเครือข่าย
    1.3 รายงานการเก็บบันทึกเป็นค่าอุปกรณ์ (Device Inventory) โดยแยกการเก็บค่าจากอุปกรณ์ (Device) ชื่อผู้ใช้งานจากระบบ Active Directory, จาก Radius ค่าจากการ Authentication, ค่า IP Address ผู้ใช้งาน, ค่า MAC Address, แผนก (Department), ยี่ห้อรุ่นอุปกรณ์ เป็นต้น
    1.4 รายงานการเก็บบันทึกค่าซอฟต์แวร์ (Software Inventory) ที่ใช้ซึ่งในส่วนซอฟต์แวร์จะทําการค้นพบประเภทซอฟต์แวร์ที่ใช้ได้แก่ ซอฟต์แวร์ประเภทเว็บบราวเซอร์, ซอฟต์แวร์ประเภทมัลติมีเดีย, ซอฟต์แวร์ประเภทใช้งานในออฟฟิศ ซอฟต์แวร์ที่ไม่เหมาะสม เช่น โปรแกรม Bitorrent ก็สามารถตรวจและค้นพบได้
    1.5 การวาดรูปความเชื่อมโยงระบบเครือข่าย (Topology) สร้างภาพเสมือนบนระบบเครือข่ายเป็ น Network topology แบบ link chart ในการติดต่อสื่อสาร (Interconnection)
    1.6 การสํารวจเครื่องที่มีโอกาสเปลี่ยนค่า Leak path เชื่อมต่อกับ gateway อื่นที่ไม่ใช่ขององค์กร

2. การวิเคราะห์และเทคโนโลยีในการตรวจจับความผิดปกติข้อมูล (Detect and Analyzer)
2.1 Attack Detection รายงานการตรวจจับการโจมตี ที่เป็นพฤติกรรมที่ชัดเจนว่าทําการโจมตีระบบ ได้แก่การ Brute Force รหัสผ่านที่เกิดขึ้นบนตัวอุปกรณ์ และเครื่องแม่ข่ายที่สําคัญ เช่น Active Directory, Web Server, Mail Server เป็นต้น อีกทั้งยังสามารถตรวจพบการโจมตีโดยการยิง Exploit เข้าสู่เครื่องแม่ข่ายที่สําคัญ เป็นต้น
2.2 Malware/Virus Detection รายงานการตรวจจับมัลแวร์ /ไวรัส คอมพิวเตอร์ที่เกิดขึ้นบนระบบเครือข่าย สามารถทําการตรวจจับได้โดยไม่ต้องอาศัยการลงซอฟต์แวร์ที่เครื่องลูกข่าย (Client) แต่ทําการตรวจผ่านการรับส่งค่าที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์
2.3 Botnet Detection รายงานการตรวจบอทเน็ตภายในองค์กร และการโจมตีบอทเน็ตเข้าสู่ระบบเครือข่ายคอมพิวเตอร์ภายในองค์กร
2.4 Behavior Data Leak Detection รายงานการตรวจจับพฤติกรรมของพนักงานที่มีโอกาสสุ่มเสี่ยงในการลักลอบข้อมูลออกนอกบริษัท
2.5 Bittorrent Detection รายงานการตรวจจับการใช้งานโปรแกรมดาวโหลดไฟล์ขนาดใหญ่ที่ส่งผลกระทบต่อประสิทธิภาพการใช้งานโดยรวมภายในองค์กร
2.6 Anomaly Detection รายงานการตรวจจับภัยคุกคามที่มีความผิดปกติในการติดต่อสื่อสาร
2.7 Tor/Proxy Detection รายงานการตรวจจับซอฟต์แวร์ประเภทอําพรางการสื่อสารเพื่อใช้หลบเลี่ยงการตรวจจับข้อมูลภายในระบบเครือข่ายคอมพิวเตอร์
2.8 HTTP/SSL Analyzer รายงานการตรวจวิเคราะห์การใช้งานเว็บไซต์พร้อมจัดทําสถิติการใช้งานอินเทอร์เน็ตภายในองค์กร
2.9 APT (Advanced Persistent Threat) Detection รายงานการตรวจพฤติกรรมที่มีโอกาสเป็นภัยคุกคามประเภท APT และมีความเสี่ยงต่อองค์กร

3. การวิเคราะห์ข้อมูลจราจรคอมพิวเตอร์ (Log Analytic)
3.1 Threat event correlation รายงานการวิเคราะห์ข้อมูลจากการรวบรวมเหตุการณ์ภัยคุกคามที่เกิดขึ้นภายในระบบเครือข่ายคอมพิวเตอร์องค์กร
3.2 Risk Analyzer (High, Medium, Low) รายงานการวิเคราะห์ระดับเหตุการณ์ความเสี่ยงระดับสูง ความเสี่ยงระดับกลางและความเสี่ยงระดับตํ่า เพื่อแสดงค่าและการจัดทํารายงาน
3.3 Executive summary (Hour, Daily, Monthly) รายงานการจัดสรุปสถานการณ์ทั้งหมดให้ระดับผู้บริหารองค์กร โดยกําหนดได้ที่เป็นรายชั่วโมง รายวัน และรายเดือน
3.4 Thai Cyber Law Act รายงานความเสี่ยงที่มีโอกาสเข้าข่ายตามมาตรฐานความผิดเกี่ยวกับการใช้งานคอมพิวเตอร์ภายในองค์กร ซึ่งเป็นจุดเด่นสําคัญที่มีความแตกต่างกับสินค้าอื่นและช่วยให้ออกรายงานสําหรับผู้บริหารได้อย่างครบถ้วน

4. การเฝ้าติดตามปริมาณการใช้งานข้อมูลภายในองค์กร (Bandwidth Monitoring)
4.1 Country / City monitoring (In-out organization) รายงานผลการเฝ้าติดตามปริมาณการใช้งานข้อมูลระดับประเทศ ระดับเมือง ที่ส่งข้อมูลเข้าในองค์กรเรา และที่องค์กรของเราติดต่อไปยังโลกภายนอกเป็นการตรวจสอบข้อมูลวิ่งเข้าสู่องค์กร (Incoming data) และข้อมูลที่ถูกนําออกนอกองค์กร (Outgoing data) โดยผ่านเทคโนโลยี GeoData
4.2 Protocol and Service Bandwidth monitor จะสามารถคํานวณค่าปริมาณ Bandwidth ที่เกิดขึ้นบนระบบเครือข่ายได้โดยแยก ProtocolTCP, UDP, ICMP และ Service ตาม well know port service จะทําให้ทราบถึงปริมาณการใช้งานข้อมูลได้อย่างละเอียดและประเมินสถานการณ์ได้อย่างแม่นยํา
4.3 Application Monitoring (Software bandwidth usage) รายงานการใช้แอพพลิเคชั่นและปริมาณการใช้ข้อมูลภายในองค์กรกว่า 1,000 ชนิด ได้แก่ SAP , ERP , Orcal , Skype, Microsoft และ Enterprise แอพพลิเคชั่น SRAN รู้จักทําการเฝ้าติดตามและรายงานผ่านหน้าจอเพื่อดูปริมาณการใช้งานที่มีผลกระทบต่อองค์กร
4.4 Social Network Monitoring (Facebook, Line, Youtube, Google Video, Twitter, Pantip) รายงานการใช้งานเครือข่ายสังคมออนไลน์เพื่อให้รู้ถึงปริมาณข้อมูลที่ใช้ภายในองค์กร ได้แก่ Facebook, Line, Youtube, Google Video, Twitter และ Pantip ทําให้ผู้บริหารองค์กรสามารถทราบความเคลื่อนไหวและการใช้ปริมาณข้อมูลภายในองค์กร
4.5 User Monitoring รายงานและจัดอันดับการใช้งาน Bandwidthภายในองค์กร โดยจะเห็นรายชื่อผู้ใช้จากคุณสมบัติข้อ 1 ทําให้เราทราบถึงชื่อผู้ใช้งานและค่า Bandwidth ที่สูงสุดและทําเป็นรายงานผลได้เป็นรายชั่วโมง รายวัน และรายเดือน

5. การค้นหาข้อมูลการใช้งานในเครือข่ายในเชิงลึก (Deep Search)
5.1 การพิสูจน์หลักฐานทางข้อมูลสารสนเทศ (Network Forensic Evident data) ค้นหาเหตุการณ์ที่เกิดขึ้น แบ่งตามเนื้อหา (content search) ดังนี้ Web Access, Files Access, Network connection, SSL, Mail, Data Base, Syslog, VoIP, Remote Desktop, Radius และ Active Directory เหล่านี้สามารถค้นหา RAW Log ที่เกิดขึ้นได้ ทั้งแบบปัจจุบันและย้อนหลังตามกฎหมาย
5.2 การค้นหาข้อมูลเชิงลึกสําหรับผู้บริหารและทรัพยากรบุคคล (HR/Top Manager query sensitivity data) การค้นหาเชิงลึกสําหรับผู้บริหารระดับสูง ที่ระบุถึงพฤติกรรมการใช้งานและการสื่อสารผ่านระบบอินเทอร์เน็ตและเครือข่ายคอมพิวเตอร์ภายในองค์กร
5.3 การค้นหารวดเร็ว และสามารถใช้เงื่อนไขในการค้นหา เช่น AND OR NOT เข้ามาเกี่ยวข้องเพื่อให้การค้นเป็นไปอย่างมีประสิทธิภาพที่สุด

6. การบริหารจัดการค่าการประเมินความเสี่ยง (Vulnerability Management)
6.1 Passive Vulnerability Scanner : เป็ นการทํางานต่อเนื่องเพื่อตรวจสอบและประเมินความเสี่ยงโดยทําการตรวจสอบจากค่า CVE (Common Vulnerabilities and Exposures) การค่า SSL Heartbleed Poodle, Shellsock ที่พบเครื่องแม่ข่ายและลูกข่ายภายในองค์กรที่มีโอกาสเกิดความเสี่ยงจากช่องโหว่นี้, การตรวจสอบการรับใบ Certification ที่ไม่ถูกต้อง ที่อาจตกเป็นเหยื่อการทํา MITM (Man inThe Middle Attack) การตรวจสอบการรับใบ Certification ที่หมดอายุ expired date SSL certification) การตรวจสอบการรับส่งไฟล์ขนาดใหญ่ที่เกิดขึ้นในองค์กร , การตรวจสอบ backdoor และการสื่อสารที่ผิดวิธีจากมาตรฐาน และทําการแจ้งเตือนผ่าน Incident response notices
6.2 Active Vulnerability scanner : การตรวจสอบโดยตั้งค่า ตรวจสอบความปลอดภัยให้กับเครื่องแม่ข่ายที่ใช้ทําเป็น Active Directory การตรวจสอบรายชื่อผู้ใช้งาน ค่าความปลอดภัย รวมถึงการตรวจสอบเครื่องที่มีโอกาสติดเชื้อและมีช่องโหว่ตาม CVE
6.3 IPv6 checklist : การตรวจสอบค่า IPv6 โดยทําการส่งค่าตรวจสอบแบบ Broadcast เพื่อสํารวจเครือข่ายว่าอุปกรณ์ไหนที่รองรับค่า IPv6 และจัดทํารายงานการสํารวจ

7. การเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์และดูย้อนหลัง (Log Record and Archive)
7.1 การเก็บบันทึกข้อมูลแบบ Raw data การเก็บข้อมูลที่เป็นประโยชน์ในการสืบสวนสอบสวนและการหาผู้กระทําความผิด ด้วยการเก็บบันทึกที่สามารถทําได้แบบ Hybrid ซึ่ง SRAN เป็นต้นฉบับ
ของการทําวิธีนี้ คือการรับข้อมูลจราจรคอมพิวเตอร์แบบ Passive mode และ รับค่าจากอุปกรณ์อื่นได
7.2 รองรับค่า Log จาก AD (Active Directory), Router / Firewall / VPN, Mail Server (Support Exchange, Lotus note), DHCP, DNS, SNMP, Radius Wi-Fi Controller และทําการแยกแยะค่าการเก็บ Logโดยแบ่งเป็นหมวดให้ได้โดยอัตโนมัติรองรับการเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ที่เกี่ยวข้องกับ Protocol ที่ใช้กับอุปกรณ์สื่อสารในโรงงานอุตสาหกรรม ประเภท Modern SCADA system รองรับ Protocol DNP3, Mobus (Modicon Communication Bus) เป็นต้น
7.3 รองรับ SCP, sFTP และการ mount files log จากเครื่องอื่นมาเก็บแบบรวมศูนย์ (Centralization Log) และมีความสามารถใน Export Data ออกเพื่อใช้ในการพิสูจน์หาหลักฐาน การ Export ข้อมูลเรียงตาม ชั่วโมง วัน และ เดือน ปี
7.4 การเก็บบันทึกข้อมูลสามารถเก็บได้ตามจํานวนวันที่กฎหมายกําหนด หรือกรณีที่ต้องการเก็บเพิ่มก็สามารถขยายพื้นที่ในการจัดเก็บได้โดยมีซอฟต์แวร์ SRAN Logger Module ที่ผ่านมาตรฐาน NECTEC มศอ.๔๐๐๓.๑ – ๒๕๖๐ (NECTEC STANDARD NTS 4003.1-2560) ระบบเก็บบันทึกข้อมูลจราจร ตาม พ.ร.บ. ว่าด้วยการกระทําผิดเกี่ยวกับคอมพิวเตอร์ ปี 2560 ให้มาด้วย
7.5 การเก็บบันทึกข้อมูลมีการยืนยันความถูกต้องข้อมูล Integrity hashing confidential files

8. การเก็บบันทึกค่าสําหรับให้ IT Audit ในการตรวจสอบข้อมูล และใช้เป็นหลักฐาน (Log Audit)
8.1 การเก็บบันทึกค่า Active Directory Login active / Login fail
8.2 การเก็บบันทึกค่า SSH Login active / Login fail

คุณสมบัติเพิ่มเติม SRAN Light LT50 Hybrid

1. เป็นอุปกรณ์ Appliance หรืออุปกรณ์คอมพิวเตอร์ที่ได้มาตรฐาน สามารถเก็บรวบรวมเหตุการณ์ (logs or Events) ที่เกิดขึ้นในอุปกรณ์ที่เป็น appliances และ non-appliances เช่น Firewall, Network Devices ต่างๆ ระบบปฏิบัติการ ระบบ appliances ระบบเครือข่าย และระบบฐานข้อมูล เป็นต้น ได้อย่างน้อย 3 อุปกรณ์ต่อระบบ โดยสามารถแสดงผลอยู่ภายใต้รูปแบบ (format) เดียวกันได้
2. มีระบบการเข้ารหัสข้อมูลเพื่อใช้ยืนยันความถูกต้องของข้อมูลที่จัดเก็บตามมาตรฐาน SHA-1
3. สามารถเก็บ Log File ในรูปแบบ Syslog ของอุปกรณ์ เช่น Router, Switch, Firewall, VPN, Server ได้
4. สามารถบริหารจัดการอุปกรณ์ผ่านมาตรฐาน HTTPS, Command Line Interface และ SSH ได้
5. สามารถจัดเก็บ log file ได้ถูกต้อง ตรงตามพระราชบัญญัติว่าด้วยการกระทําผิดเกี่ยวกับคอมพิวเตอร์ ฉบับที่มีผลบังคับใช้ โดยได้รับรองมาตรฐานการจัดเก็บและรักษาความปลอดภัยของ log file ที่ได้มาตรฐานของศูนย์อิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (มศอ. 4003.1-2560)
6. สามารถทําการสํารองข้อมูล (Data Backup) ไปยังอุปกรณ์จัดเก็บข้อมูลภายนอก เช่น Tape หรือ DVD หรือ External Storage เป็นต้น ได้
7. มีระบบ Alert System รองรับการแจ้งเตือนผ่าน E-mail ไปยังผู้ดูแลระบบเมื่อมีเหตุการณ์ความเสี่ยงในระดับสูง เช่น ไวรัสคอมพิวเตอร์เข้าสู่ระบบ หรือมีการโจมตีทางไซเบอร์
( Cyber Attack ) ที่สร้างความเสียหายให้แก่องค์กร

สิทธิประโยชน์

ส่วนราชการ รัฐวิสาหกิจ หน่วยงานตามกฎหมายว่าด้วยการบริหารราชการส่วนท้องถิ่น หน่วยงานอื่น ซึ่งมีกฎหมายบัญญัติให้มีฐานะเป็นราชการบริหารส่วนท้องถิ่น หรือหน่วยงานอื่นของรัฐ สามารถจัดซื้อจัดจ้างจากผู้ขายหรือผู้ให้บริการที่มีรายชื่อตามบัญชีนวัตกรรมไทย โดยวิธีกรณีพิเศษที่เรียกชื่ออย่างอื่นซึ่งมีวิธีการทํานองเดียวกันตามระเบียบว่าด้วยการพัสดุที่หน่วยงานนั้นๆ
ถือปฏิบัติ
**อ้างอิงสิทธิประโยชน์จากเอกสาร บัญชีรายชื่อนวัตกรรมไทยฉบับเดือนมกราคม 2559 หน้าที่ 5**