คลังเก็บป้ายกำกับ: ADVANCED_THREAT_PROTECTION

แนะนำโซลูชันด้าน Security สำหรับ Enterprise ของ Kaspersky Lab

ถ้าพูดถึงซอฟต์แวร์แอนตี้ไวรัส หลายๆ คนคงรู้จักชื่อแคสเปอร์สกี้ แลป (Kaspersky Lab) เป็นอย่างดี หรือสำหรับการใช้งานระดับองค์กร โซลูชัน Endpoint Security ของแคสเปอร์สกี้ แลปก็เป็นตัวเลือกอันดับต้นๆ ที่ทั่วโลกต่างให้การยอมรับ อย่างไรก็ตามแคสเปอร์สกี้ แลปไม่ได้ให้บริการเพียงแค่โซลูชันสำหรับปกป้องอุปกรณ์ Endpoint เพียงอย่างเดียว แต่ยังมีโซลูชันอื่นสำหรับ Enterprise อีกมาก ไม่ว่าจะเป็น Hybrid Cloud Security, Advanced Threat Protection, Fraud Detection หรือ IoT Security ซึ่งบทความนี้เราจะมาทำความรู้จักโซลูชันเหล่านี้กันครับ

** ดาวน์โหลดเอกสารแนะนำโซลูชันสำหรับองค์กรจากแคสเปอร์สกี้ แลป ฉบับภาษาไทยได้ที่นี่

ทำความรู้จักแคสเปอร์สกี้ แลปในมุมมองระดับ Enterprise ก่อน

แคสเปอร์สกี้ แลปก่อตั้งขึ้นเมื่อปี 1997 โดยผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยนามว่า Eugene Kaspersky โดยมีวัตถุประสงค์เพื่อให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยสำหรับบุคคลทั่วไปและองค์กร ปัจจุบันมีพนักงานผู้เชี่ยวชาญด้านต่างๆ มากกว่า 3,900 คนให้บริการใน 5 ภูมิภาค ครอบคลุมกว่า 200 ประเทศทั่วโลก

แคสเปอร์สกี้ แลปเป็น 1 ใน 4 ผู้ให้บริการโซลูชัน Endpoint Security ที่ใหญ่ที่สุดในโลก โดยโซลูชันด้านความมั่นคงปลอดภัยของแคสเปอร์สกี้ แลปผ่านการรีวิว ทดสอบ และได้รับการรับรองจากสถาบันวิจัยอิสระ เช่น AV-TEST, AV-Comparatives, Virus Bulletin, NSS Labs และอื่นๆ มากที่สุด นอกจากนี้แคสเปอร์สกี้ แลปยังได้รับรางวัล Platinum Award จาก Gartner Peer Insights Customers’ Choice ในปี 2017 อีกด้วย ซึ่งรางวัลนี้จะถูกมอบให้กับ Vendor ที่ผ่านการรีวิวจากการใช้งานจริงของผู้ใช้ และมีคะแนนการใช้งานสูงสุด

Global Research & Analysis Team เบื้องหลังความสำเร็จของ Kaspersky Lab

หัวใจสำคัญที่ทำให้โซลูชันด้านความมั่นคงปลอดภัยของ Kaspersky Lab เป็นที่ยอมรับจากองค์กรชั้นนำทั่วโลก คือ การมี Threat Intelligence ที่แข็งแกร่ง ทีมนักวิจัยที่อยู่เบื้องหลังการสร้าง Threat Intelligence นี้คือ Global Research & Analysis Team (GReAT) ก่อตั้งขึ้นเมื่อปี 2018 โดยมีเป้าหมายเพื่อค้นหาและวิเคราะห์การโจมตีแบบ APT, แคมเปญการจารกรรมข้อมูลไซเบอร์, มัลแวร์, Ransomware และแนวโน้มของอาชญากรรมไซเบอร์จากทั่วโลก เพื่อให้มั่นใจว่าทีมงานสามารถรู้เท่าทันภัยคุกคามและเทคนิคการโจมตีสมัยใหม่ รวมไปถึงสามารถพัฒนานวัตกรรมสำหรับรับมือการภัยคุกคามเหล่านั้นได้อย่างมีประสิทธิภาพ

ปัจจุบันนี้ GReAT ได้รวมนักวิจัยด้านความมั่นคงปลอดภัยจากทั่วโลก ไม่ว่าจะเป็นยุโรป รัสเซีย อเมริกา เอเชีย หรือตะวันออกกลาง มาไว้มากกว่า 40 คน สามารถตรวจจับมัลแวร์ได้มากกว่า 360,000 รายการต่อวัน และเป็นผู้อยู่เบื้องหลังการค้นพบแคมเปญการจารกรรมข้อมูลไซเบอร์และภัยคุกคามระดับสูงในปัจจุบันอีกหลายรายการ ไม่ว่าจะเป็น Flame, Gauss, miniFlame, RedOctober, NetTraveler, Icefog, Careto/The Mask, Darkhotel, Regin, Cloud Atlas, Carbanak, Equation, Duqu 2.0, Metel, Adwind, ProjectSauron, Sofacy (Fancy Bear), CozyDuke (Cozy Bear), Turla, Lazarus, ExPetr, ShadowPad, WhiteBear และอื่นๆ

แนะนำ 6 โซลูชันด้านความมั่นคงปลอดภัยสำหรับ Enterprise

แคสเปอร์สกี้ แลปให้บริการผลิตภัณฑ์และโซลูชันด้านความมั่นคงปลอดภัยตั้งแต่การใช้งานตามบ้าน ธุรกิจขนาดเล็ก ขนาดกลาง ไปจนถึงองค์กรขนาดใหญ่ ครอบคลุมทุกอุตสาหกรรม จนถึงตอนนี้มีลูกค้าระดับองค์กรมากกว่า 270,000 ราย และมีผู้ใช้ที่ได้รับการปกป้องด้วยเทคโนโลยีของแคสเปอร์สกี้ แลปมากกว่า 400 ล้านคนทั่วโลก โซลูชันสำหรับ Enterprise ของ Kaspersky แบ่งออกเป็น 6 กลุ่มหลัก ได้แก่

Threat Management and Defense

โซลูชันสำหรับป้องกันภัยคุกคามระดับสูงและลดความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ ซึ่งผสานรวมเทคนิค Machine Learning, Big Data/Threat Intelligence และ Expert Analysis สำหรับตรวจจับภัยคุกคาม วิเคราะห์เหตุการณ์ ตอบสนองต่อสถานการณ์ที่ผิดปกติ และปกป้องระบบเครือข่ายเชิงรุก เพื่อลดความเสี่ยงที่จะตกเป็นเป้าหมายของอาชญากรรมไซเบอร์ให้เหลือน้อยที่สุด

Threat Management and Defense เป็นโซลูชัน Threat Intelligence ที่ได้รับการสนับสนุนโดยทีมนักวิจัย GReAT เพื่อเพิ่มความแข็งแกร่งให้แก่โซลูชันอื่นๆ ของแคสเปอร์สกี้ แลป ได้แก่ Anti Targeted Attack Platform, Endpoint Detection and Response และ Cybersecurity Services

Hybrid Cloud Security

โซลูชันสำหรับปกป้องและเฝ้าระวังการใช้งานภายใต้สภาวะแวดล้อมแบบ Cloud ทั้ง Private, Public และ Hybrid Cloud ไม่ว่าจะเป็น Physical Servers, VDI, Storage Systems หรือ Workload บน AWS และ Microsoft Azure จากมัลแวร์และภัยคุกคามประเภทต่างๆ รวมไปถึงสนับสนุนการออกแบบสถาปัตยกรรมของระบบภายใต้โมเดลแบบ Zero-trust เพื่อเพิ่มความมั่นคงปลอดภัย

Endpoint Security

แพลตฟอร์มสำหรับปกป้องอุปกรณ์ปลายทาง ไม่ว่าจะเป็นเซิร์ฟเวอร์ พีซี โน๊ตบุ๊ก แท็บเล็ต หรือสมาร์ตโฟน ซึ่งครอบคลุมตั้งแต่การตรวจจับ ป้องกัน และตอบสนองต่อภัยคุกคามทุกรูปแบบรวมไปถึง Targeted Attacks และ Advanced Persistent Threats (APTs) นอกจากนี้ยังผสานรวมเทคโนโลยี Advanced Behavior Detection ซึ่งใช้เทคนิค Machine Learning ในการตรวจจับพฤติกรรมที่ผิดปกติ เพื่อกักกันความเสียหายก่อนที่จะแพร่กระจายไปยังส่วนอื่นๆ ของระบบ

Fraud Prevention

โซลูชันที่ผสานรวมเทคโนโลยีระดับสูงสำหรับตรวจจับการหลอกลวง ต้มตุ๋น และการกระทำไม่พึงประสงค์บนระบบเครือข่ายขององค์กร เช่น การแฮ็กบัญชีผู้ใช้ การฟอกเงิน พฤติกรรมที่ผิดปกติ มัลแวร์ โดยใช้เทคนิคการตรวจสอบและวิเคราะห์อัตลักษณ์ พฤติกรรมผู้ใช้ อุปกรณ์ และอื่นๆ นอกจากนี้ยังให้บริการ Fraud Intelligence เพื่อให้เข้าใจถึงพฤติกรรมเชิงลึกของแก๊งต้มตุ๋นสำหรับวางแผนป้องกันเชิงรุกอีกด้วย

Industrial Cybersecurity

Kaspersky Industrial Cybersecurity เป็นโซลูชันที่ถูกออกแบบมาสำหรับปกป้อง SCADA Servers, HMI, Engineering Workstations, PLCs และระบบเครือข่ายของอุตสาหรรมและโครงสร้างพื้นฐานสำคัญของประเทศโดยเฉพาะ โดยไม่ส่งผลกระทบต่อการทำงานและกระบวนการใดๆ ของอุตสาหกรรม นอกจากนี้ Kaspersky Lab ยังมีทีม ICS Cyber Emergency Response Team สำหรับเฝ้าระวังและแจ้งเตือนภัยคุกคามที่เกี่ยวข้องกับระบบ ICS โดยเฉพาะอีกด้วย เพื่อให้มั่นใจว่าทุกอุตสาหกรรมสามารถดำเนินงานได้อย่างต่อเนื่อง ไม่มีหยุดชะงัก

Internet of Things and Embedded Security

ให้บริการ KasperskyOS ซึ่งเป็นระบบปฏิบัติการที่ถูกออกแบบมาอย่างมั่นคงปลอดภัยสำหรับการใช้งาน Internet of Things โดยเฉพาะ ช่วยปกป้องข้อมูลสำคัญ เช่น กุญแจที่ใช้เข้ารหัส จากการเข้าถึงโดยมิชอบ และการเปลี่ยนแปลงแก้ไขเฟิร์มแวร์โดยไม่ได้รับอนุญาต นอกจากนี้ยังให้บริการเครื่องมือสำหรับปกป้องซอฟต์แวร์และชิ้นส่วนฮาร์ดแวร์ที่เชื่อมต่อกับระบบทั้งหมดจากช่องโหว่และการโจมตีไซเบอร์แบบต่างๆ

โปร่งใสในการให้บริการด้วย Global Transparency Initiative

หลังจากที่ถูกสหรัฐฯ กล่าวหาว่าบริษัทมีส่วนได้ส่วนเสียกับรัฐบาลรัสเซียแคสเปอร์สกี้ แลปจึงได้เริ่มแผนยุทธศาสตร์ Global Transparency Initiative ในเดือนตุลาคม 2017 เพื่อยืนยันความโปร่งใสในการให้บริการและเพิ่มความเชื่อมั่นให้แก่ลูกค้า พาร์ทเนอร์ และหน่วยงานรัฐที่เกี่ยวข้อง โดยเปิดให้ผู้ที่ต้องการสามารถเข้ามาตรวจสอบ Source Code, กระบวนการพัฒนาซอฟต์แวร์, มาตรการควบคุม และการดำเนินงานเชิงธุรกิจต่างๆ ของผลิตภัณฑ์ได้ก่อนที่จะตัดสินใจเลือกใช้บริการ

ล่าสุดแคสเปอร์สกี้ แลปเตรียมสร้าง “Transparency Center” ในเมืองซูริค ประเทศสวิตเซอร์แลนด์ ซึ่งจะรวมเซิร์ฟเวอร์ที่เก็บข้อมูลลูกค้าของแคสเปอร์สกี้ แลปทั่วโลกเกือบทั้งหมด ไม่ว่าจะเป็นยุโรป อเมริกาเหนือ ออสเตรเลีย ญี่ปุ่น เกาหลีใต้ และสิงคโปร์ รวมไปถึงสายการผลิตซอฟต์แวร์ที่แคสเปอร์สกี้ แลปใช้สำหรับประกอบและจัดการผลิตภัณฑ์ต่างๆ ของตน แทนที่จะดำเนินการภายในประเทศรัสเซียเพียงอย่างเดียว เพื่อเพิ่มความโปร่งใสในการให้บริการ คาดว่า Transparency Center แห่งนี้จะแล้วเสร็จประมาณปลายปี 2018 นี้ และจะเริ่มย้ายข้อมูลลูกค้าและสายการผลิตซอฟต์แวร์จากประเทศรัสเซียมายัง Transparency Center ภายในปี 2019

** ดาวน์โหลดเอกสารแนะนำโซลูชันสำหรับองค์กรจากแคสเปอร์สกี้ แลป ฉบับภาษาไทยได้ที่นี่

from:https://www.techtalkthai.com/solutions-for-enterprises-by-kaspersky-lab/

Advertisements

US-CERT เตือนระวัง TYPEFRAME Malware จากเกาหลีเหนือ เน้นโจมตีระบบของ Microsoft เป็นหลัก

US-CERT ได้ออกมาเตือนถึงแคมเปญการโจมตีด้วย Trojan Malware ที่มีชื่อว่า TYPEFRAME จากเกาหลีเหนือ โดยตั้งชื่อแคมเปญครั้งนี้ว่า HIDDEN COBRA

 

Credit: ShutterStock.com

 

ในการแจ้งเตือนครั้งนี้ไม่ได้ระบุว่ามีระบบที่ตกเป็นเหยื่อของการโจมตีมากน้อยแค่ไหน โดยมีการวิเคราะห์ตัวอย่างของ Malware ด้วยกัน 11 รายการที่มีทั้งไฟล์ Windows Executable แบบ 32-bit และ 64-bit รวมถึงมีไฟล์ Microsoft Word ที่มี VBA Macro อยู่ภายใน ซึ่งสามารถทำการโหลดและติดตั้ง Malware, Proxy และ Remote Access Trojan (RAT) พร้อมทั้งเชื่อมต่อไปยัง Command and Control (C2) Server เพื่อรับคำสั่งต่างๆ เพิ่มเติม รวมถึงยังมีการเปลี่ยนแปลงการตั้งค่าระบบ Firewall เพื่อเปิดรับการเชื่อมต่อขาเข้ามาอีกด้วย

Malware เหล่านี้ถูกสร้างขึ้นมาใช้โจมตีตั้งแต่ปี 2015 – 2017 โดย IP Address ของ C2 Server ที่ใช้นั้นได้แก่ 111.207.78.204, 181.119.19.56, 184.107.209.2, 59.90.93.97, 80.91.118.45, 81.0.213.173 และ 98.101.211.162 ซึ่งเป็น Server ที่กระจายอยู่ในหลากหลายประเทศทั่วโลก

สำหรับ Advisory ฉบับเต็มที่ระบุถึงพฤติกรรมการโจมตีและวิธีการรับมือฉบับเต็ม สามารถอ่านได้ที่ https://www.us-cert.gov/ncas/analysis-reports/AR18-165A ครับ

 

ที่มา: https://www.theregister.co.uk/2018/06/18/us_cert_warns_of_more_north_korean_malware/

from:https://www.techtalkthai.com/us-cert-warns-about-typeframe-malware-from-north-korea/

เปิดตัว Palo Alto Networks Traps for Android ตรวจจับ Malware บน Android โดยเฉพาะ

Palo Alto Networks ได้ออกมาประกาศเปิดตัว Traps for Android เทคโนโลยีสำหรับตรวจจับ Malware บนอุปกรณ์ Smartphone และ Tablet ที่ใช้ระบบปฏิบัติการ Android โดยเฉพาะ

 

Credit: Palo Alto Networks

 

Traps for Android นี้จะทำการวิเคราะห์ Application และ File ที่ต้องสงสัยว่าอาจเป็น Malware รวมถึงยังสามารถทำการส่ง Application หรือ File ที่ไม่รู้จักเพื่อไปทำการวิเคราะห์เพิ่มเติมบน Palo Alto Networks WildFire ได้ โดย Traps for Android นี้จะรองรับระบบปฏิบัติการ Android 4.4 เป็นต้นไป

สาเหตุที่ Palo Alto Networks หันมาให้ความสำคัญกับด้าน Security บน Android นี้ ก็เป็นเพราะตัวเลขสถิติด้านการใช้งานอุปกรณ์ Android ทั่วโลกนั้นเติบโตอย่างรวดเร็ว โดยมีการคาดว่าในปี 2023 จะมีอุปกรณ์ Mobile มากถึง 10,000 ล้านอุปกรณ์ โดย 90% ของยอดขายอุปกรณ์ Mobile ในปัจจุบันนั้นก็เป็น Android ทั้งสิ้น ทำให้อุปกรณ์ Android ตกเป็นเหยื่อของการโจมตีที่หลากหลาย โดยในระหว่างปี 2016 – 2017 Palo Alto Networks WildFire นั้นก็ได้รับตัวอย่างภัยคุกคามบน Android มากขึ้นถึง 101% เลยทีเดียว

สำหรับผู้ที่สนใจรายงานด้านภัยคุกคามต่างๆ บนอุปกรณ์ Mobile สามารถโหลดเอกสารรายงานฟรีจาก Palo Alto Networks ได้ที่ http://go.paloaltonetworks.com/riding-network

 

ที่มา: https://researchcenter.paloaltonetworks.com/2018/06/introducing-traps-android/

from:https://www.techtalkthai.com/palo-alto-networks-traps-for-android-is-announced/

แนะนำ Darktrace โซลูชันป้องกันภัยคุกคามแบบ AI-Based

เมื่อไม่นานมานี้เราได้ไปพบกับผลิตภัณฑ์น่าสนใจตัวหนึ่งที่ถูกออกแบบมาให้ตรวจจับภัยคุกคามแบบต่างๆ ด้วยการใช้ Machine Learning ซึ่งเราก็เห็นว่าน่าสนใจดีเพราะเป็นแนวคิดที่ค่อนข้างทันสมัย เราจึงเข้าไปศึกษาตัวผลิตภัณฑ์และมานำเสนอให้ผู้อ่านได้ติดตามกันจะเป็นยังไงนั้นไปดูกันเลย

http://www.darktrace.com

ทำไม Machine Learning จึงมีความสำคัญต่อด้าน Security?

ในด้าน Security ผู้เชี่ยวชาญส่วนใหญ่เห็นตรงกันว่าไม่มีเครื่องมือหรือโซลูชันใดป้องกันภัยคุกคามได้ 100% ซึ่งโซลูชันแบบ Signature-based อย่างเดียวไม่สามารถต่อกรกับภัยคุกคามสมัยที่มุ่งเน้นเพื่อหลบเลี่ยงการตรวจจับและซ่อนตัวให้ได้นานเพื่อขโมยข้อมูล (APT)  ดังนั้นจึงเป็นที่มาของโซลูชันการป้องกันแบบ Behavior-based ที่นำเทคโนโลยีของ Machine Learning เข้ามาใช้เพื่อเรียนรู้ความแตกต่างระหว่างพฤติกรรมการใช้งานปกติและที่ผิดแผกไปจากเดิม (anomaly)

Darktrace คืออะไร ?

Darktrace เป็นผลิตภัณฑ์ป้องกันภัยคุกคามทีออกแบบด้วย Machine Learning อย่างแท้จริงด้วยโมเดลทางคณิตศาสตร์ ซึ่งทำให้การตรวจจับมีประสิทธิภาพถูกต้องแม่นยำ ลดค่า False Positive ลง และด้วยหน้า GUI ที่สามารถ Investigate ข้อมูลได้ครบถ้วนถายในหน้าเดียว ทำให้ผู้ใช้สะดวก ง่าย และไม่จำเป็นต้องรู้เรื่องคณิตศาสตร์ขั้นสูง

องค์ประกอบของและรูปแบบการทำงานของ Darktrace

http://www.darktrace.com/datasheet

องค์ประกอบมีอยู่ด้วยกัน 3 ส่วนดังนี้

1.Darkflow

ส่วนที่เก็บข้อมูลเครือข่ายและคัดกรองเฉพาะสิ่งที่เราสนใจให้กับโมเดลซึ่ง Darkflow สามารถรองรับข้อมูลได้ถึง 350 มิติ เลยทีเดียว ตัวอย่างเช่น ขนาดของไบต์ที่ส่ง เวลาที่ส่ง ความยาวของข้อมูล เป็นต้น จะเห็นได้ว่ายังมีอีกมากมายตามรูปด้านล่าง

http://www.darktrace.com/datasheet

2.Model 

สมการทางคณิตศาสตร์ที่ใช้ในการจำแนกข้อมูลของ Darktrace คือสมการที่ชื่อ Recursive Bayesian Estimation หรือ Bayes Filter (คนที่พื้นฐานด้าน Data Science หรือ Machine Learning คงรู้จักเป็นอย่างดีแล้ว) โดยทีมนักคณิตศาสตร์และผู้เชี่ยวชาญของ Darktrace ได้สร้างโมเดลพฤติกรรมที่ปกติมาให้แล้วเป็น 3 กลุ่มคือ พฤติกรรมของผู้ใช้งาน พฤติกรรมของอุปกรณ์ และ พฤติกรรมของเครือข่าย ซึ่งโมเดลเริ่มต้นนี้ผู้เชี่ยวชาญตัดสินแล้วว่าการใช้งานปกติเป็นอย่างไร ดังนั้นเมื่อนำ Darktrace มาใช้งานกับองค์กรของลูกค้า โมเดลเริ่มต้นนี้จะมีการอัปเดตผ่าน Call Home อยู่เรื่อยๆ เพื่อปรับให้เหมาะสมกับแต่ละองค์กร นอกจากนี้ Darktrace เองยังมีเครื่องมือให้ผู้ใช้งานที่มีความรู้ด้าน Machine Learning และ Security เข้ามาปรับแต่งโมเดลได้ในเชิงลึก

3.Threat Visualizer

http://www.darktrace.com/datasheet

ส่วนแสดงผลแจ้งเตือนต่างๆ (อารมณ์เหมือนเราดูผลลัพธ์บน Firewall) แต่จุดเด่นก็คือมีการแสดงผลเป็น 3 มิติทำให้เข้าใจได้ง่าย อีกทั้งยังมีการออกแบบมาให้ทำการ Query ที่ซับซ้อนได้ผ่านทางช่อง Search ซึ่งช่วยให้ผู้ดูแลเรียกดูข้อมูลของ Object ที่สนใจได้โดยตรง

โดยตัวการแสดงผลมีทางเลือกได้ 4 ช่องทางคือ

1. Threat tray จะเป็นหน้าจอ 3 มิติในโปรแกรมเมื่อเราล็อกอินเข้าตัว Darktrace

2. Dynamic Threat Dashboard เป็นหน้าจอแสดงอีเว้นต์ของเหตุการณ์ต่าง โดยได้มีการออกแบบให้ง่ายต่อทีมวิเคราะห์ข้อมูลด้วยการจำแนกข้อมูลมาระดับหนึ่งเพื่อให้มองภาพความสัมพันธ์ของเหตุการณ์ได้และขุดลึกไปถึงรายละเอียดปลีกย่อยได้ต่อไป

3. SOC Dashboard หน้าจอที่แสดงผลอีเว้นต์เหตุการณ์ต่างๆ บนมือถือ ซึ่งรองรับกับแพลตฟอร์มของ iOS ได้นั่นเอง

4. Automatic Alert ตัว Darktrace สามารถ Export ข้อมูลไปให้กับระบบ SIEM ได้หรือผ่านทาง API ไปยังระบบของ SOC และลิงก์ย้อนกลับมายังข้อมูล incident ใน Visualizer ได้

ส่วนการตอบสนองภัยคุกคามต่างๆ อย่างอัตโนมัติ

http://www.darktrace.ocm/datasheet

Darktrace เรียกส่วน Automatic Respond ว่า Antigena ซึ่งภายในนั้นมีโมเดลสำหรับภัยคุกคามแต่ละรูปแบบ เช่น Ransomware ใช้พอร์ท 445 ผ่านโปรโตคอล SMB ถ้าพบแล้วควรตอบสนองอย่างไร (คล้ายกับเรากำหนด Rule ให้กับ Firewall ว่ามีการเชื่อมต่อทางพอร์ตนี้ให้ Block ) แต่ข้อดีของ Darktrace คือสามารถทำได้ยืดหยุ่นกว่า เช่น เราจะบล็อกการเชื่อมต่อที่มีการส่ง Syn Packet มาทางพอร์ตที่สนใจ เป็นต้น มีหัวข้อที่ต้องรู้เกี่ยวกับ Antigena  3 ข้อดังนี้

1.Model

Darktrace แบ่งโมเดลการตอบสนองภัยคุกคามเป็น 4 กลุ่ม คือ Compliance, External Threat, Insider Threat และ Significant Anomaly โดยเริ่มแรกนั้นมีโมเดลต้นแบบมาให้อยู่แล้วในระดับหนึ่ง เช่น Insider Threat คือพฤติกรรมที่ทาง Darktrace ระบุว่าผิดปกติภายในการใช้งานเครือข่าย เช่นกันในส่วนนี้ผู้มีความรู้ด้าน Machine Learning และ Security สามารถเข้าไปปรับแต่งหรือสร้างโมเดลการตอบสนองภัยคุกคามที่ Darktrace เตรียมไว้ให้ได้ (ตามรูปด้านล่าง)

http://www.darktrace.com/datasheet

2.Mode และ Action

ในการใช้งาน Machine Learning นั้นต้องออกแบบมาให้สามารถรับมือกับ False Positive ได้ (การแจ้งเตือนผิดพลาดคือเหตุการณ์ปกติแต่แจ้งว่าไม่ดี) ดังนั้นตัว Antigena จึงทำงานได้ 3 โหมดดังนี้

  • Passive คือ เมื่อเกิดเหตุการณ์ตรงตามเงื่อนทีกําหนดไว้ ระบบจะแจ้งเตือนไปยังผู้ที่เกี่ยวข้อง
  • Human Confirmation คือ รอคําสั่งของผู้ดูแลให้เข้ามายืนยันและตัดสินใจว่าจะปฏิบัติอย่างไรต่อไป
  • Active คือ ปฏิบัติตามเงื่อนไขพารามิเตอร์ที่กําหนดไว้ทันทีโดยอัตโนมัติ เช่นการส่ง TCP Reset Package เพื่อตัดการเชื่อมต่อ

Action หลังจากที่พบเหตุการณ์ผิดปกติทำได้ดังนี้

  • หยุดหรือหน่วง เพื่อทำให้กิจกรรมที่เชี่อมโยงกับภัยคุกคามช้าลงแต่ไม่ได้บล็อก
  • กักกันชั่วคราว เช่น กำหนดให้ผู้ใช้งานหรืออุปกรณ์นั้น ใช้งานไม่ได้เป็นเวลาที่กำหนดเพื่อรอให้ทีมงานเข้ามาตรวจสอบ แต่ถ้าหากตรวจสอบพบว่าเป็นการแจ้งเตือนผิดพลาดก็ปลดออกหรือขยายเวลาการกักกันได้

3.โมดูลของ Antigena มี 3 ระดับตามรูปด้านล่าง 

  • Internet – ตอบสนองกับอุปกรณ์และการเชื่อมต่อของเครือข่าย รวมถึงสิทธิ์การเข้าถึงของผู้ใช้งาน
  • Network – ควบคุมผู้ใช้งานและการเข้าถึงของเครื่องต่อเครือข่ายอินเทอร์เน็ตและอื่นๆ
  • Email – ตอบสนองพฤติกรรมอีเมลขาเข้าและออก รวมถึงดูเนื้อหาของอีเมลด้วย
http://www.darktrace.com/datasheet

การทำงานของ Darktrace ไม่รบกวนการทำงานปกติ

เมื่อประกอบ Darktrace Core (Classifier), Visualizer และ Antigena เข้าด้วยกันจะทำให้เราสามารถกำหนดการทำงานได้ (ตามรูปด้านล่าง) โดยเส้นประคือ Classifier บอกว่าอะไรปกติและถ้า Antigena บอกว่าไม่ปกติจะให้ตอบสนองอย่างไร และแสดงผลผ่าน Virtualizer ซึ่งตัว Darktrace เองสามารถจัดการเฉพาะพฤติกรรมที่ผิดแปลกไปจากเดิมจริงๆ โดยไม่กระทบกับการใช้งานปกติของ Object นั้น (เส้นหนาสีม่วง)

http://www.darktrace.com/datasheet

เปรียบเทียบข้อดีข้อเสีย

ลำดับ
ข้อดี
ข้อเสีย
1.
มีการตั้งต้นโมเดล Classifier และ Antigena มาให้แล้วดังนั้นผู้ที่มีความรู้ฝั่ง Machine Learning และ Security จำกัดก็สามารถใช้งานได้
ต้องแน่ใจว่าทราฟฟิคข้อมูลที่จะนำไปพัฒนาโมเดลนั้นปลอดภัย โดยอาจจะตัดโซนจำลองระบบจริงมาทำก่อน
2.
โมเดลของ Classifier และ Antigena Model สามารถปรับแต่งหรือสร้างเองได้ ทำให้มีความยืดหยุ่นสูงมากๆ
การปรับแต่งโมเดลให้เกิดประสิทธิภาพสูงสุดนั้นต้องอาศัยพื้นฐานความรู้ในเรื่องของ Security และ Machine Learning เพื่อทำสร้างโมเดลที่เหมาะสมกับการใช้งาน
3.
การปรับแต่งหรือสร้างโมเดลถูกออกแบบมาในเชิงสัญลักษณ์เพื่อผู้ใช้ไม่ต้องมีความรู้คณิตศาสตร์ขั้นสูง
องค์กรที่มีการเปลี่ยนแปลงรูปแบบการใช้งานอยู่เรื่อยๆ บ่อยๆ อาจจะเข้าสู่สภาวะสเถียรได้ช้าเพราะต้องให้โมเดลเรียนรู้ปรับตัวอยู่เสมอ (แต่พบได้น้อยมากในความเป็นจริง)
4.
Antegina สามารถตอบสนองภัยคุกคามได้อย่างอัตโนมัติจึงป้องกันภัยได้อย่างฉับไว และ สามารถเลือกเป็น Manual เพื่อแก้ไขปัญหา False Positive ในช่วงเริ่มต้นใช้งานได้
5.
การทดสอบขอ POC สามารถ Span ทราฟฟิคจาก Switch เข้ามาได้จึงลดความยุ่งยากและไม่ส่งผลกระทบต่อระบบหลัก
6.
มีการอัปเดตโมเดลผ่านทางอินเทอร์เน็ตเรื่อยๆ ให้ทำให้โมเดลมีความทันสมัยต่อภัยคุกคามใหม่ๆ

สรุป

Darktrace สามารถเข้ามาช่วยปกป้องภัยคุกคามขององค์กรแบบ Behavior-based ได้อย่างแท้จริงด้วยเทคโนโลยี Machine Learning ซึ่งสามารถปรับให้เหมาะสมเข้ากับสภาพแวดล้อมของแต่ละองค์กรได้อีกด้วย นอกจากนี้ถือเป็นผลิตภัณฑ์ที่ออกแบบมาให้ตรงตามโจทย์ของโซลูชันป้องกันด้านความมั่นคงปลอดภัยที่ต้องมีคือ ตอบสนองได้อัตโนมัติเพื่อความรวดเร็ว สามารถจัดการกับภัยคุกคามได้ด้วยตัวเองทั้ง Detection และ Respond พร้อมกันนี้ยังเปิดโอกาสให้ส่งข้อมูลต่อไปยัง Third-party อย่าง Splunk, QRadar, ArcSight และ LogRythm เพื่อทำการวิเคราะห์เชิงลึกต่อไปได้ผ่าน API สามารถศึกษาเพิ่มเติมได้ที่ https://www.darktrace.com/resources/#data-sheets

ติดต่อ M. Tech

ผู้สนใจทดลองสามารถติดต่อตัวแทนจำหน่ายจากทีมงาน M-Solutions Technology (Thailand) ได้ทาง e-mail: chaisiri@mtechpro.com หรือ โทร 02-0596500

from:https://www.techtalkthai.com/reviews-darktrace-ai-based-security-solution/

‘MnuBot’ Banking Trojan ที่ใช้เซิร์ฟเวอร์ MSSQL เป็น C&C

ทีมงานด้านความมั่นคงปลอดภัยของ IBM ได้ค้นพบ Banking Trojan ที่ชื่อว่า MnuBot และ เขียนด้วย Delphi ที่ใช้เทคนิคซับซ้อน โดยใช้การเชื่อมต่อและรับคำสั่งผ่านทาง Microsoft SQL จากภายนอกเพื่อหลีกเลี่ยงการตรวจจับของระบบป้องกันทั่วไป

Credit: ShutterStock.com

จากรายงานพบว่าพฤติกรรมของมัลแวร์ตัวนี้คือมีการฝัง Credentials ที่เข้ารหัสไว้เพื่อใช้เชื่อมต่อไปยัง C&C เซิร์ฟเวอร์ที่เป็นฐานข้อมูล MSSQL เพื่อเรียกคำสั่งใหม่และสั่งการตัวเอง โดยนักวิจัยคาดว่าผู้คิดค้นกรรมวิธีนี้ต้องการเลี่ยงการตรวจจับป้องกันโดยทำเป็นเหมือนทราฟฟิคปกติใช้งานฐานข้อมูลทั่วไป นอกจากนี้ยังมีข้อดีอื่นๆ คือเนื่องจากมัลแวร์ได้รับไฟล์ตั้งค่าจากเซิร์ฟเวอร์ SQL ธรรมดาปกติซึ่งไม่ต้องฝังข้อมูลมาก่อน ดังนั้นเจ้าของมัลแวร์จะเริ่มการปฏิบัติการเมื่อใดก็ได้ มากกว่านั้นถ้ารู้สึกว่าถูกแกะรอยอยู่ก็สามารถปิดเซิร์ฟเวอร์ทิ้งทำให้มัลแวร์ไม่เงียบไปโดยสิ้นเชิงและฝ่ายป้องกันก็ไม่สามารถทำ Reverse Engineer เพื่อศึกษาการโจมตีได้

การศึกษายังพบว่ามัลแวร์ถูกออกแบบ Modular คือ ประกอบด้วย 2 ส่วน

  • ส่วนแรกเพื่อเช็คว่าเจ้าของเครื่องติดมัลแวร์หรือยังโดยเช็คจากไฟล์ชื่อ Desk.txt ในโฟลเดอร์ AppData Roaming หากยังไม่เคยติดมัลแวร์มาก่อนจะเข้าไปสร้างไฟล์ชื่อนี้และเปิดสภาพแวดล้อมของหน้าจอผู้ใช้ใหม่ซึ่งจะไม่เห็นการปฏิบัติการของมัลแวร์ที่ซ่อนอยู่ โดยไฟล์นี้เองจะเอาไว้เก็บข้อมูลของหน้าจอที่ซ่อนอยู่และส่วนประกอบที่สองจะทราบตรงกันที่จุดนี้ด้วย
  • ส่วนที่สองจะเข้าสู่โหมด Remote Access Trojan อย่างเป็นทางการและเชื่อมต่อกับฐานข้อมูล MSSQL โดยมีความสามารถดังนี้

1. รับไฟล์ตั้งค่าเวอร์ชันล่าสุด

2. Execute คำสั่งจากไฟล์ตั้งค่าที่ได้มา

3. ทำการดักจับคีย์

4. ปลอมแปลงการคลิกของผู้ใช้งาน

5. ปลอมแปลงอินพุตน์จากคีย์บอร์ดของผู้ใช้

6. เก็บภาพของหน้าจอและบราวน์เซอร์

7. รีสตาร์ทเครื่อง

8. ยกเลิกการติดตั้งแอปพลิเคชัน

9. สร้างการวางทับหน้า Portal ของแบงก์จริง (ลิสต์รายชื่อของธุรกรรมการเงินที่สนใจและการวางทับการแสดงผลได้รับมาจากการอัปเดตไฟล์ตั้งค่า)

อย่างไรก็ตาม MnuBot สร้างความประหลาดใจให้ทีมงานของ IBM ไม่น้อยเพราะปกติแล้ว Trojan ที่เขียนด้วย Delphi จะไม่ปรากฏความซับซ้อนมากเท่านี้ อีกทั้งยังมีการซ่อนตัวผ่านการใช้งานที่ดูเหมือนปกติอีกด้วย ซึ่งคาดว่าผู้สร้าง Trojan มีประสบการณ์ความเชี่ยวชาญสูงมาก แต่เคราะห์ยังดีที่การโจมตียังอยู่ในแถบบราซิลเท่านั้น

ที่มา : https://www.bleepingcomputer.com/news/security/mnubot-banking-trojan-tries-to-hide-behind-seemingly-innocent-mssql-traffic/

from:https://www.techtalkthai.com/mnubot-banking-trojan-used-mssql-as-cc-server/

Sponsored Webinar: วิดีโอย้อนหลังเรื่อง “7 ขั้นตอนการทำ Cloud Adoption อย่างมั่นคงปลอดภัย”

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย TechTalk Webinar เรื่อง “7 ขั้นตอนการทำ Cloud Adoption อย่างมั่นคงปลอดภัย” ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถดูวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

ผู้บรรยาย: ดร. รัฐิติ์พงษ์ พุทธเจริญ หัวหน้าฝ่ายวิศวกร Symantec ประจำประเทศไทย กัมพูชา ลาว และพม่า

เนื้อหาการบรรยาย

ในยุค Thailand 4.0 นี้ หลายองค์กรทั่วไทยต่างเริ่มนำระบบ Cloud เข้ามาใช้งานมากขึ้น เนื่องจากความง่ายและความรวดเร็วในการพัฒนาผลิตภัณฑ์หรือนำเสนอบริการใหม่ๆ ออกสู่ตลาด รวมไปถึงสามารถรองรับการขยายระบบในอนาคตได้เป็นอย่างดี อย่างไรก็ตาม การนำระบบ Cloud เข้ามาใช้อย่างไม่ระมัดระวังอาจก่อให้เกิดปัญหา Shadow IT/Data และข้อมูลสำคัญขององค์กรรั่วไหลสู่สาธารณะได้

Webinar นี้ ทาง Symantec Thailand จะบรรยยายถึงความเสี่ยงและภัยคุกคามที่ต้องคำนึงถึงเมื่อองค์กรเริ่มนำระบบ Cloud เข้ามาใช้งาน ไม่ว่าจะเป็น Public, Private หรือ Hybrid Cloud รวมไปถึงแนะนำขั้นตอนการวางมาตรการควบคุมเพื่อให้สามารถใช้ระบบ Cloud เหล่านั้นได้อย่างมั่นคงปลอดภัย โดยเนื้อหาจะประกอบด้วย

  • ความท้าทายของการใช้บริการบนระบบ Cloud ในปัจจุบัน
  • ความเสี่ยงและภัยคุกคามบนระบบ Cloud
  • 7 ขั้นตอนการวางมาตรการควบคุมการใช้ระบบ Cloud
  • โซลูชันของ Symantec สามารถตอบโจทย์การทำ Cloud Adoption ได้อย่างไร
  • ถามตอบประเด็นด้านความมั่นคงปลอดภัยบนระบบ Cloud

from:https://www.techtalkthai.com/sponsored-webinar-secured-cloud-adoption-by-symantec-video/

พบ Banking Trojan ใช้เทคนิคใหม่หลบการตรวจของ Antivirus และ Browser

นักวิจัยจาก ESET ได้รายงานพบ Banking Trojan ที่มีการใช้เทคนิคใหม่เพื่อหลบเลี่ยงการตรวจจับของ Antivirus และการป้องกันด้านความมั่นคงปลอดภัยในระดับ Browser โดยให้ชื่อมัลแวร์ตัวนี้ว่า BackSwap นอกจากนี้คาดกันว่าเทคนิคใหม่ที่ไม่เคยพบเห็นมาก่อนนี้จะกลายเป็นต้นแบบการโจมตีให้แฮ็กเกอร์กลุ่มอื่นๆ ต่อไปในอนาคต

Credit: ShutterStock

เทคนิคของ Banking Trojan แบบเดิมๆ มี 2 วิธี

  • แก้ไข Local DNS และการตั้งค่าอินเทอร์เน็ตของผู้ใช้งาน โดยการดักจับการเรียกใช้งานไซต์ของธุรกรรมการเงินและทำการ Redirect ผู้ใช้ผ่าน Proxy ไปยังหน้าเว็บเลียนแบบหน้าธุรกรรมการเงินจริงเพื่อหลอกให้ใส่ Credentials
  • Inject โค้ดอันตรายเข้าไปยังโปรเซสของ Browser ซึ่งวิธีการนี้พักหลัง Banking Trojan ดังๆ หลายตัวนิยมมาก เช่น Dridex, Ursnif, Zbot, Trickbot, Qbot และอื่นๆ อย่างไรก็ตามบรรดา Browser หรือ Antivirus ทั้งหลายเริ่มรู้ทันจึงมีการปรับปรุงให้ทำได้ยากมาก จนอาจกลายเป็นสาเหตุที่คนร้ายย้ายไปโจมตีช่องทางอื่นแทน เช่น in-browser Miner, Ransomware หรืออื่นๆ

รายงานของ ESET ได้เผยถึงเทคนิคใหม่ 3 เทคนิคซึ่งต่างกับวิธีการเดิมๆ ดังนี้

  • เทคนิคที่ใช้ตรวจจับการเรียกใช้งานเว็บไซต์ด้านการเงิน

โทรจันตัวนี้ได้อาศัยกลไกของ Windows ปกติที่เรียกว่า ‘Message Loop‘ (เนื่องจากการเขียน GUI แบบ Windows เป็น Event Driven ที่มี Queue เพื่อเก็บข้อความของ Action Message ดังนั้นทางผู้เขียนโปรแกรมบน Windows ที่ใช้งาน GUI จึงมักมีการใช้งานโค้ดวนลูปเพื่อรอรับคำสั่งจากผู้ใช้) เพื่อดักจับรูปแบบของ URL ที่ต้องการ เช่น HTTPS หรือ ชื่อของธนาคารที่สนใจ เนื่องจาก Browser ก็เป็นหนึ่งแอปพลิเคชันที่มี GUI เหมือนกัน

BackSwap ได้เลือกใช้เทคนิคการปลอมแปลงการกดคีย์อย่างใดอย่างหนึ่งตามด้านล่างเพื่อทำให้เนื้อหาที่โหลดมานั้นเป็นไปตามที่ต้องการ

  • มัลแวร์ใช้ Developer Console ของ Browser อย่างผิดวัตถุประสงค์

1.ใส่ Script อันตรายไว้ใน Clipboard
2.ทำให้หน้าต่างของ Browser มองไม่เห็น
3.ปลอมแปลงการกดคีย์เพื่อเปิด Browser Console ในโหมด Developer (ใน Chrome ใช้ CTRL+SHIFT+J, ใน Firefox ใช้ CTRL+SHIFT+K)
4.ปลอมแปลงการกดคีย์ Copy (CTRL+V) เพื่อแปะเนื้อหาของ Clipboard ไว้ใน Developer Console
5.ปลอมแปลงการกดคีย์ Enter เพื่อเริ่มต้นการทำงานโค้ดอันตราย
6.โค้ดอันตรายเข้าไปแก้ไขเนื้อหาหน้า Portal ของธุรกรรมการเงินนั้นเพื่อควบคุมให้ผู้ใช้เห็นตามที่แฮ็กเกอร์ต้องการ
7.ปลอมแปลงการกดคีย์เพื่อปิดหน้าต่าง Browser Console โหมด Developer
8.ทำให้หน้าต่างของ Browser มองเห็นได้อีกครั้งหนึ่ง

ดูแล้วเหมือนหลายขั้นตอนแต่พอทำงานด้วยโค้ดอัตโนมัติสิ่งเหล่านี้จะเกิดขึ้นไวมาก ดังนั้นผู้ใช้งานส่วนใหญ่อาจจะไม่ทันสังเกตถึงความผิิดปกติเลยและไม่สามารถแยกแยะว่าเป็น Browser ปกติหรือเป็นแค่อาการหยุดชะงักเท่านั้น

  • มัลแวร์ใช้โปรโตคอล JavaScript ผ่าน Address Bar ด้วย

1.มัลแวร์จำลองการกดคีย์ CTRL + L เพื่อเลือกที่ Address Bar ของ Browser
2.จำลองกดคีย์ DELETE เพื่อเคลียร์ค่าใน URL
3.พิมพ์ “javascript:” ใน Address bar แต่พิมพ์ทีละตัวเพื่อหลีกเลี่ยงการป้องกัน XSS ของ Browser
4.แปะโค้ดอันตรายต่อหลัง “javascript:”
5.จำลองการกดคีย์เพื่อ Execute code
6.เคลียร์ค่าใน Address Bar เพื่อกลบเกลื่อนร่องรอย

ESET กล่าวว่าการโจมตีนี้รองรับกับ Browser อย่าง Chrome, Firefox และ IE แต่ถ้าปรับเปลี่ยนนิดหน่อยก็น่าจะใช้ได้กับทุก Browser สมัยใหม่ที่รองรับ Console Developer และ โปรโตคอล “javascript:” อย่างไรก็ตามรายงานพบว่ากลุ่มเป้าหมายของ BackSwap ยังจำกัดอยู่ในธนาคารแถบโปแลนด์เท่านั้น โดยทาง ESET แจ้งผู้เกี่ยวข้องเพื่อแก้ไขแล้ว ดังนั้นต้องคอยจับตาดูสถานการณ์ของเทคนิคต้นแบบนี้ต่อไป ผู้สนใจสามารถดูรายงานของ ESET ได้ที่นี่

ที่มา : https://www.bleepingcomputer.com/news/security/backswap-banking-trojan-uses-never-before-seen-techniques/

from:https://www.techtalkthai.com/eset-found-backswap-banking-trojan-come-up-with-novel-techniques/