คลังเก็บป้ายกำกับ: DATA_SECURITY_AND_PRIVACY

local.jpg

US-CERT แนะ Admin ใช้ Firewall ปิด Windows SMB

US Computer Emergency Readiness Team หรือ US-CERT ออกมาแนะนำให้ผู้ดูแลระบบขององค์กรยกเลิกการใช้โปรโตคอล Windows SMB เวอร์ชันเก่า และใช้ Firewall ในการควบคุมการเข้าถึง File Server หลังจากที่มีความเป็นไปได้ว่า Zero-day Exploit ของกลุ่มแฮ็คเกอร์ Shadow Brokers จะถูกเผยแพร่สู่สาธารณะเร็วๆ นี้


Credit: ShutterStock.com

การแจ้งเตือนนี้ไม่ได้ระบุถึงชื่อ Shadow Brokers โดยตรง แต่ออกมาเป็นคำแนะนำหลังพบว่าเป็นไปได้ที่จะมีช่องโหว่ใหม่ปรากฏบนโปรโตคอล SMB แต่เมื่อพิจารณาจากช่วงเวลาและข่าวที่ Shadow Brokers ลดราคาเครื่องมือแฮ็คที่ขโมยมาจาก NSA จนเหลือราคาที่อาจมีคนซื้อไปใช้ รวมไปการที่เครื่องมือเหล่านั้นมีวิธีเจาะช่องโหว่ Zero-day บนโปรโตคอล Windows SMB จึงเป็นไปได้สูงที่คำแนะนำของ US-CERT นี้มีสาเหตุมาจาก Shadow Brokers

US-CERT ระบุว่า ผู้ดูแลระบบควรยกเลิกการใช้ SMB เวอร์ชันแรก และบล็อกทราฟฟิค SMB ทั้งหมดที่มาจากเครือข่ายภายนอก เพื่อเป็นการป้องกันการโจมตีที่อาจเกิดขึ้นได้ในอนาคต

“เพื่อรับมือกับช่องโหว่บน SMB ที่อาจจะถูกโจมตีได้ในอนาคต US-CERT พร้อมให้บริการ Best Practices ที่เกี่ยวข้องกับการป้องกัน SMB ซึ่งสามารถใช้ได้บนระบบ Windows ทั่วไป และการใช้โปรโตคอล SMB เวอร์ชันเก่าอาจถูกแฮ็คเกอร์โจมตีเพื่อขโมยข้อมูลสำคัญออกไปได้”​ — US-CERT อธิบายใน Advisory

US-CERT แนะนำให้ผู้ดูแลระบบดำเนินการเกี่ยวกับ SMB ดังนี้

  • ยกเลิกการใช้ SMB v1
  • บล็อกการใช้ SMB ทุกเวอร์ชันที่มาจากเครือข่ายภายนอก ไม่ว่าจะเป็น TCP พอร์ต 445 และพอร์ตอื่นๆ ที่เกี่ยวข้อง เช่น UCP พอร์ต 137 – 138 และ TCP พอร์ต 139

รายละเอียดเพิ่มเติมเกี่ยวกับความมั่นคงปลอดภัยของ SBM สามารถดูได้ที่ Microsoft Advisory 2696547 และ 204279

ที่มา: https://www.theregister.co.uk/2017/01/18/uscert_warns_admins_to_kill_smb_after_shadow_brokers_dump/

from:https://www.techtalkthai.com/us-cert-warns-admin-to-firewall-off-smb/

local.jpg

อัปเดตฟีเจอร์ใหม่ล่าสุดของ Blue Coat และ Symantec พร้อมผสานรวมโซลูชัน

เดือนธันวาคมที่ผ่านมา Symantec + Blue Coat จัดงานเลี้ยงขอบคุณพาร์ทเนอร์ พร้อมประกาศทิศทางและกลยุทธ์ของ Blue Coat หลังถูก Symantec ควบรวมกิจการ ระบุพร้อมมุ่งสู่ความเป็นหนึ่งด้าน Endpoint, Network และ Cloud Security ในนามของ Symantec นอกจากนี้ ยังมีการอัปเดตฟีเจอร์ของทุกโซลูชันครั้งใหญ่

Blue Coat ผนวกรวมกับ Symantec เรียบร้อย พร้อมใช้ชื่อ “Symantec” ในปี 2017 นี้

คุณชาญวิทย์ อิทธิวัฒนะ ผู้จัดการฝ่ายขายประจำประเทศไทยของ Symantec + Blue Coat ระบุว่า Symantec เป็นผู้นำด้านระบบ Endpoint Security ส่วน Blue Coat ก็เป็นผู้นำด้าน Network Security เมื่อทั้งสองโซลูชันเข้าด้วยกัน ทำให้สามารถตอบโจทย์ความมั่นคงปลอดภัยแบบครบวงจร ตั้งแต่ระดับ Endpoint ไปจนถึงระดับ Network และต่อยอดไปยังระบบ Cloud ที่สำคัญคือ ตอนนี้ Symantec และ Blue Coat สามารถทำงานร่วมกันได้อย่างไร้รอยต่อเป็นที่เรียบร้อย เช่น โซลูชัน CASB ของ Blue Coat สามารถใช้ฟีเจอร์ Cloud DLP ของ Symantec เพื่อป้องกันข้อมูลบนระบบ Cloud รั่วไหลสู่สาธารณะได้

“หลังผนวกรวมกับ Blue Coat แล้ว Symantec กลายเป็นโซลูชันด้านความมั่นคงปลอดภัยไซเบอร์แบบ End-to-end อย่างแท้จริง โดยมีโซลูชันครอบคลุมตั้งแต่ระดับ Endpoint, Network ไปจนถึงระบบ Cloud ในแง่ของการทำตลาดในไทยและทั่วโลกนั้น เราพร้อมซัพพอร์ตลูกค้าและพาร์ทเนอร์เพื่อให้ Symantec กลับมาเป็นอันดับหนึ่งทางด้านระบบรักษาความมั่นคงปลอดภัยอีกครั้งหนึ่ง และในเดือนมีนาคมปีนี้เอง เราจะกลายเป็น ’Symantec’ อย่างสมบูรณ์” — คุณชาญวิทย์กล่าว

Symantec + Blue Coat ครองอันดับหนึ่งของ Gartner Magic Quadrant ถึง 4 รายการ

การันตีความเป็นหนึ่งทางด้าน Endpoint Security และ Network Security ด้วยความเป็น Leader ของ Gartner Magic Quadrant ถึง 3 รายการ ได้แก่

  • Secure Web Gateway: Blue Coat ครองตำแหน่ง Leader มายาวนานถึง 9 ปี ซึ่ง Gartner ได้ให้ความเห็นว่า “ProxySG เป็น Proxy ที่แข็งแกร่งที่สุดในตลาด”
  • Data Loss Prevention: Symantec เป็นอันดับหนึ่งทั้งทางด้าน Ability of Execute และ Completeness of Vision ซึ่งปกป้องข้อมูลสำคัญตั้งแต่ระดับ Endpoint, Network ไปจนถึง Cloud
  • Endpoint Protection: Symantec พร้อมให้บริการ Antivirus, Incident & Response และ DLP ในระดับ Endpoint ในขณะที่ Blue Coat มีบริการ Web Security สำหรับปกป้องอุปกรณ์ Endpoint จากภัยคุกคามบนอินเทอร์เน็ต
  • Managed Security Service: Symantec พร้อมให้คำปรึกษาและเฝ้าระวังภัยคุกคามด้วยทีมงานที่มีความเชี่ยวชาญ เพื่อให้สามารถตอบสนองต่อเหตุการณ์ที่ไม่พึงประสงค์ได้อย่างรวดเร็ว และเป็นระบบ

โดยสรุปแล้ว หลัง Symantec + Blue Coat พร้อมนำเสนอโซลูชัน Content Security แบบครบวงจร โดยแบ่งออกเป็น 4 กลุ่ม คือ

  • Information: Data Security, Encrypted Traffic Management, VIP/Identity และ Managed PKI
  • Users: Endpoint Protection, Endpoint Detection, Data Center และ Management & Compliance
  • Web: Web Protection, Content Analysis, CASB และ Security Analytics
  • Messaging: Email Protection, Anti-phishing, Message Security และ Encryption

ที่สำคัญคือ Global Threat Intelligence ของ Symantec และ Blue Coat ถูกผสานรวมกันเป็นที่เรียบร้อย ส่งผลให้สามารถตรวจจับภัยคุกคามทั่วโลกได้มากถึง 3,500,000 รายการต่อวัน รวมไปถึงรู้จักและสามารถควบคุมการใช้ Cloud Applications ได้มากกว่า 12,000 แอพพลิเคชัน

อัปเดตโซลูชัน Secure Web Gateway พร้อมให้บริการฟังก์ชัน Web Application Firewall ฟรี

Secure Web Gateway หรือที่รู้จักกันดีในนาม ProxySG ถูกออกแบบมาเพื่อการปกป้องพนักงานและอุปกรณ์ Endpoint ขององค์กรจากภัยคุกคามบนอินเทอร์เน็ต ป้องกันข้อมูลสำคัญรั่วไหลสู่ภายนอก รวมไปถึงควบคุมการเข้าถึงเว็บของพนักงานให้เป็นไปตามนโยบายที่บริษัทกำหนด โดยรองรับการติดตั้ง 3 แบบ คือ Appliance (ProxySG), Vitual Appliance (vSWG) และ Web Security Service (WSS)

คุณสมบัติเด่นของ Secure Web Gateway ประกอบด้วย

  • ให้บริการ Proxy สำหรับทุก Endpoint ตั้งแต่การพิสูจน์ตัวตนก่อนใช้อินเทอร์เน็ต ตรวจสอบ Content ไปจนถึงการทำ SSL Offload
  • ควบคุมการเข้าถึงเว็บไซต์ได้มากถึง 84 กลุ่มและ Cloud Service กว่า 12,000 แอพพลิเคชัน เพื่อให้เป็นไปตามนโยบายที่องค์กรกำหนด รวมไปถึงช่วยลดปัญหา Shadow IT
  • ป้องกันภัยคุกคามที่มาจากอินเทอร์เน็ต โดยสามารถกรอง URL ที่เป็นแหล่งกำเนิดของภัยคุกคามได้มากถึง 90% และสามารถทำงานร่วมกับ Content Analysis System (CAS) เพื่อตรวจจับและป้องกันมัลแวร์ได้ทั้งแบบ Known และ Unknown
  • เพิ่มประสิทธิภาพการใช้งานอินเทอร์เน็ตให้ถึงขีดสุดผ่านการทำ Video Acceleration, Split Tunneling, Dynamic Caching และ Protocol Optimization

นอกจากนี้ Secure Web Gateway ทั้ง ProxySG, Advanced Secure Gateway (ASG) และ vSWG สามารถติดตั้งในรูปของ Reverse Proxy เพื่อทำหน้าที่เป็น Web Application Firewall ได้ด้วยเช่นกัน โดยไม่จำเป็นต้องติดตั้งซอฟต์แวร์หรือสั่งซื้อ License ใดๆ เพิ่มเติม

ฟังก์ชัน Web Application Firewall มีคุณสมบัติเด่นสำคัญ 3 ประการ คือ

  • สามารถติดตั้งแบบ Inline วางขวางหน้า Web Server ที่ต้องการปกป้องได้ทันที พร้อมรองรับการพิสูจน์ตัวตนของผู้ใช้มากถึง 14 วิธี
  • ป้องกันการโจมตีเว็บแอพพลิเคชันครอบคลุม OWASP Top 10 รวมไปถึงสามารถตรวจสอบไฟล์เพื่อป้องกันการโจมตีแบบ Advanced Persistent Threats
  • แทนที่การทำ Whitelisting ด้วย “Content Nature Detection” ซึ่งเป็นระบบ Global Dynamic Profiling ที่ผ่านมาตรวจสอบจาก Symantec + Blue Coat มาเป็นอย่างดี ช่วยลดอัตราการเกิด False Positive และตรวจจับการโจมตีแบบ Zero-day ได้แม่นยำยิ่งขึ้น

ผสาน Symantec เข้าระบบ CAS และ MAA เพื่อตอบสนองภัยคุกคามเชิงรุก

Content Analysis System หรือ CAS เป็นอุปกรณ์ที่ทำงานร่วมกับ Secure Web Gateway สำหรับตรวจจับภัยคุกคามและมัลแวร์ที่มาจากอินเทอร์เน็ต ซึ่งนอกจากจะสามารถตรวจจับ Known Threats โดยใช้ Antivirus Engine ได้สูงสุดถึง 2 ยี่ห้อแล้ว ยังมีระบบ Static Code Analysis สำหรับตรวจจับ Unknown Threats ได้แบบเรียลไทม์โดยไม่จำเป็นต้องอาศัยอุปกรณ์ภายนอกเพิ่มเติม การตรวจสอบมัลแวร์ของ CAS แบ่งออกเป็น 4 ขั้นตอนดังนี้

  1. Hash Reputation: เทคนิคการทำ Whitelisting โดยอนุญาตให้ไฟล์ที่ไม่มีมัลแวร์หรือพาหะเท่านั้นที่ข้ามผ่าน Gateway เข้ามาได้
  2. Dual AV: ระบบป้องกันมัลแวร์แบบ Signature-based รองรับการเลือกใช้ AV Engine ของ McAfee, Sophos, Kaspersky Lab และ Symantec ได้สูงสุดถึง 2 ยี่ห้อพร้อมกัน
  3. Predictive File Analysis: วิเคราะห์ไฟล์ด้วยเทคนิคทางคณิตศาสตร์เพื่อค้นหา Advanced Threats หรือ Zero-day Attack แบบเรียลไทม์ โดยไม่ต้อง Execute ไฟล์นั้นๆ
  4. Behavioral Analysis: เทคนิคการตรวจจับ Advanced Threats และ Zero-day Attack ระดับสูง โดยอาศัยการทำ Advanced Sandboxing เพื่อวิเคราะห์พฤติกรรมของการ Execute ไฟล์ ซึ่ง CAS มี API สำหรับส่งไฟล์ไปตรวจสอบต่อใน Malware Analysis Appliance (MAA) หรือ Sandbox ของ FireEye และ LastLine

อย่างไรก็ตาม ภัยคุกคามในปัจจุบัน เช่น Advanced Persistent Threats มีการพัฒนาเทคนิคใหม่ๆ เพื่อหลบเลี่ยงระบบตรวจจับ รวมไปถึง Sandbox กล่าวคือ ถ้ามัลแวร์ทราบว่าตัวเองกำลังรันอยู่ใน Virtual Machine ก็จะนิ่งเงียบ ไม่แสดงพฤติกรรมใดๆ ให้ระบบตรวจจับได้ Malware Analysis Appliance (MAA) เป็นโซลูชัน Advanced Sandboxing ของ Symantec + Blue Coat ที่ออกแบบมาเพื่อรับมือกับปัญหาดังกล่าว โดยมีคุณสมบัติ Dual-Detection Hybrid Analysis กล่าวคือ นอกจาก Virtual Machine แล้ว MAA ยังมี PC Emulator สำหรับใช้ตรวจสอบพฤติกรรมของมัลแวร์ที่หลบเลี่ยงการรันบน Virtual Machine ได้อีกด้วย นอกจากนี้ Virutal Machine ของ MAA เองยังรองรับการติดตั้งซอฟต์แวร์เพิ่มเติม เพื่อให้เหมือนการใช้งานในสภาวะแวดล้อมจริงมากยิ่งขึ้น

ที่สำคัญคือ เมื่อ CAS และ MAA ของ Blue Coat ตรวจพบภัยคุกคามแล้ว สามารถแจ้งเตือนไปยัง Endpoint Protection ของ Symantec เพื่อเตรียมรับมือกับภัยคุกคามรูปแบบเดียวกันในอนาคตได้ ซึ่งเป็นการเสริมความมั่นคงปลอดภัยเชิงรุกให้แก่อุปกรณ์ Endpoint ขณะใช้งานนอกองค์กร

แผนภาพด้านล่างแสดงขั้นตอนการวิเคราะห์และตรวจจับมัลแวร์ของ Symantec + Blue Coat โดยสรุป

Symantec SEP 14 พร้อมฟีเจอร์ใหม่รับมือกับ Advanced Threats โดยเฉพาะ

Symantec Endpoint Protection 14 หรือ SEP 14 เป็นโซลูชัน Next-generation Endpoint Protection ล่าสุดของ Symantec ที่ถูกออกแบบมาเพื่อปกป้องอุปกรณ์ Endpoint จากทั้ง Known และ Unknown Threats โดยมีการเพิ่มประสิทธิภาพให้ดีกว่าเวอร์ชันก่อนหน้านี้ถึง 15% และกินทรัพยากรของเครื่องต่ำ ที่สำคัญคือ SEP 14 มีการเพิ่มคุณสมบัติ Incident Response ซึ่งช่วยแจ้งเตือนผู้ดูแลระบบให้สามารถรับมือกับภัยคุกคามได้อย่างรวดเร็ว

ฟีเจอร์เด่นของ SEP 14 ประกอบด้วย

  • Host-based Firewall & Intrusion Prevention: บล็อกมัลแวร์ก่อนที่จะแพร่กระจายเข้าสู่เครื่อง และคัดกรองทราฟฟิค
  • Application and Device Control: ควบคุมการใช้อุปกรณ์และแอพพลิเคชัน ตรวจสอบพฤติกรรมผู้ใช้ รวมไปถึงการทำ Blacklisting และ Whitelisting
  • Memory Exploit Mitigation: ป้องกัน Zero-day Exploits ผ่านทางช่องโหว่ของซอฟต์แวร์
  • Reputation Analysis: ตรวจสอบว่าไฟล์และเว็บไซต์ที่กำลังเข้าถึงมาจากช่องทางที่ไม่พึงประสงค์หรือไม่
  • Advanced Machine Learning: ตรวจจับ Known และ Unknown Threats ร่วมกับระบบ Intelligent Threat Cloud ตั้งแต่ Pre-execution Phase โดยไม่ต้องใช้ Signatures
  • Emulator: เทคนิค Anti-evasion สำหรับตรวจจับมัลแวร์ที่แอบซ่อนตัวจากระบบตรวจจับ
  • Antivirus: ตรวจจับและกำจัดมัลแวร์บนระบบคอมพิวเตอร์
  • Behavior Monitoring: เฝ้าระวังและบล็อกไฟล์ที่มีพฤติกรรมต้องสงสัยหรือผิดแปลกไปจากปกติ
  • Intelligent Threat Cloud: ตรวจสอบภัยคุกคามด้วยฐานข้อมูลล่าสุดบนระบบ Cloud ซึ่งช่วยลดขนาดของ Signature ลงได้ถึง 70% รวมถึงช่วยลดภาระการทำงานของ Agent

นอกจากนี้ SEP 14 ยังเพิ่มฟีเจอร์สำหรับทำ Incident Response เพื่อให้ตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วและมีประสิทธิภาพ ดังนี้

  • Power Eraser: กำจัดมัลแวร์อย่างถอนรากถอนโคน
  • Host Integrity: ตรวจจับการเปลี่ยนแปลงที่ผิดปกติ กักกันอุปกรณ์เพื่อควบคุมการแพร่กระจาย และประเมินความเสียหายที่เกิดขึ้น
  • System Lockdown: ทำ Blacklist และ Whitelist สำหรับแอพพลิเคชันที่ต้องสงสัย และที่เชื่อถือได้
  • Secure Web Gateway Integration: ทำงานร่วมกับ Secure Web Gateway เพื่อแจ้งเตือนและรับมือกับภัยคุกคามแบบเชิงรุก
  • EDR Console: ทำงานร่วมกับ Symantec ATP Endpoint เพื่อตรวจจับและรับมือกับภัยคุกคามระดับสูงโดยไม่ต้องติดตั้ง Agent เพิ่มเติม

กล่าวโดยสรุป SEP 14 เป็นการรวม 4 ฟีเจอร์เข้าด้วยกัน ได้แก่ Anti-malware, Next-generation Endpoint Protection, Exploit Prevention และ Endpoint Detection & Response

Symantec DLP ป้องกันข้อมูลรั่วไหลสู่สาธารณะอย่างอัจฉริยะ

Data Loss Prevention หรือ DLP เป็นโซลูชันด้านความมั่นคงปลอดภัยพื้นฐานขององค์กร เพื่อปกป้องข้อมูลสำคัญและข้อมูลความลับ เช่น ทรัพย์สินทางปัญญา ข้อมูลส่วนบุคคล ข้อมูลทางการเงิน และอื่นๆ ไม่ให้รั่วไหลออกจากองค์กรสู่สาธารณะ ซึ่งสิ่งท้าทายที่สุดสำหรับผู้ดูแลระบบคือการกำหนดเงื่อนไขสำหรับตรวจสอบข้อมูลเหล่านั้นได้อย่างแม่นยำและมีประสิทธิภาพ

ฟังก์ชัน DLP ที่มาพร้อมกับอุปกรณ์ด้านความมั่นคงปลอดภัย เช่น Next-generation Firewall, Secure Web Gateway มักต้องกำหนดเงื่อนไขของการตรวจสอบข้อมูลสำคัญผ่าน Keyword หรือ Regular Expression ซึ่งทำได้ยาก ไม่ครอบคลุม และโอกาสเกิด False Positive สูง Symactec DLP จึงนำเสนอเทคนิคอัจฉริยะ 5 รายการเพื่อช่วยให้ผู้ดูแลระบบสามารถกำหนดเงื่อนไขการตรวจจับข้อมูลสำคัญได้อย่างรวดเร็วและอัตโนมัติ

  1. Described Content Matching: ระบุ Keyword หรือ Regular Expression เพื่อกำหนดรูปแบบของข้อมูลสำคัญด้วยตนเอง
  2. Exact Data Matching: เปรียบเทียบข้อมูลที่ออกจากองค์กรกับฐานข้อมูลสำคัญที่กำหนดไว้แต่แรก
  3. Indexed Document Matching: สร้างเงื่อนไขผ่านการทำ Hashing ข้อมูลแต่ละส่วนในไฟล์เอกสารสำคัญ ถ้าข้อมูลในไฟล์เอกสารอื่นมีผลลัพธ์การ Hashing ตรงกัน ระบบจะทำการบล็อกเพื่อป้องกันข้อมูลรั่วไหล
  4. Vector Machine Learning: จัดทำ Keyword จากไฟล์เอกสารสำคัญโดยอัตโนมัติ เพื่อนำไปเป็นเงื่อนไขในการตรวจสอยการรั่วไหลของข้อมูล
  5. Form Recognition: กำหนด Form ที่ระบุข้อมูลสำคัญ ถ้าพบว่ามีการกรอกข้อมูลลงบน Form นั้นๆ แล้วส่งออกภายนอก ระบบจะทำการบล็อกทันที

นอกจากนี้ Symantec DLP ยังสามารถทำงานร่วมกับ Symactec ClouSOC หรือ CASB เพื่อป้องกันข้อมูลสำคัญขององค์กรถูกเคลื่อนย้ายไปสู่ระบบ Cloud โดยไม่ได้รับอนุญาตได้อีกด้วย

แนะนำโซลูชันอื่นๆ จาก Symantec + Blue Coat

นอกจากหลายโซลูชันที่มีการอัปเดตฟีเจอร์ครั้งใหญ่มากมาย Symantec + Blue Coat ยังนำเสนอโซลูชันอื่นๆ ที่พร้อมตอบโจทย์ความต้องการของลูกค้าในสภาวะแวดล้อมแบบต่างๆ ตั้งแต่การป้องกันในระดับ Endpoint ไปจนถึงระดับ Network และ Cloud ดังนี้

  • Blue Coat Advanced Secure Gateway: Appliance ที่ผสานรวมโซลูชัน Secure Web Gateway และ Content Analysis System ไว้ภายในฮาร์ดแวร์เดียวกัน ซึ่งช่วยควบคุมการใช้งานอินเทอร์เน็ตของพนักงานในองค์กร พร้อมทั้งปกป้องพวกเขาจากภัยคุกคามทั้ง Known และ Unknown Threats ภายในอุปกรณ์เดียวกัน รวมถึงช่วยลดความยุ่งยากในการติดตั้ง บริหารจัดการ และบำรุงรักษา
  • Blue Coat Encrypted Traffic Management: อุปกรณ์สำหรับทำถอดรหัส SSL แล้วส่งข้อมูลแบบ Plain-text ต่อไปให้อุปกรณ์อื่นๆ เช่น Next-generation Firewall, IPS, Sandbox และ DLP เพื่อทำการประมวลผลและคัดกรองทราฟฟิค ภายใต้แนวคิด “Decrypt Once – Feed Many” ซึ่งช่วยเพิ่มประสิทธิภาพและลดภาระการถอดรหัสได้สูงสุดถึง 80%
  • Blue Coat Security Analytics: อุปกรณ์สำหรับเก็บข้อมูลทราฟฟิคทั้งหมด พร้อมสร้าง Metadata เพื่อให้ค้นหาข้อมูลได้อย่างรวดเร็ว เปรียบเสมือนเป็นกล้องวงจรปิดซึ่งช่วยให้ผู้ดูแลระบบสามารถดูทราฟฟิคย้อนหลังเมื่อมี Incident เกิดขึ้น เพื่อทำการตรวจสอบ วิเคราะห์ และเก็บหลักฐานที่เกี่ยวข้องกับเหตุการณ์ภัยคุกคามได้
  • Blue Coat CASB: Cloud Access Security Broker หรือ CASB เป็นโซลูชัน Cloud SOC สำหรับบริหารจัดการและควบคุมการใช้ Cloud Applications เช่น Office 365, Salesforce, Dropbox และอื่นๆ ให้เป็นไปตามนโยบายที่องค์กรกำหนด เพื่อลดปัญหา Shodow IT และ Shadow Data อันเนื่องมาจากการใช้ Cloud Applications โดยไม่ได้รับอนุญาต
  • Blue Cloud Data Protection: โซลูชันสำหรับปกป้องข้อมูลสำคัญขององค์กรตั้งแต่เดินทางออกไปยังระบบ Cloud ระหว่างถูกจัดเก็บอยู่ในระบบ Cloud และเมื่อถูกนำไปใช้ โดยอาศัยเทคนิคสำคัญ 2 ประการคือ Encryption และ Tokenization ถึงแม้ว่าข้อมูลจะถูกดักฟังหรือรั่วไหลสู่ภายนอก บุคคลที่สามและแฮ็คเกอร์ก็ไม่สามารถอ่านหรือเข้าใจได้
  • Symantec Endpoint Management: ตรวจสอบและบริหารจัดการการตั้งค่าบนอุปกรณ์ Endpoint ให้เป็นไปตามนโยบายขององค์กรโดยอัตโนมัติ เช่น ติดตั้งแอพพลิเคชันเชิงธุรกิจ อัปเดตแพทช์ล่าสุด ตั้งค่าการใช้อีเมลและระบบเครือข่ายไร้สาย รวมไปถึงแก้ไขปัญหาต่างๆ ที่เกิดขึ้น โดยรองรับทั้ง Windows, Mac OS X และ Linux
  • Symantec Encryption: โซลูชันสำหรับเข้ารหัสข้อมูลบนฮาร์ดดิสก์ อุปกรณ์ต่อพ่วง ไฟล์ที่แชร์ผ่านเครือข่าย อีเมล และอุปกรณ์พกพา สำหรับกรณีที่อุปกรณ์สูญหายหรือถูกขโมย นอกจากนี้ ยังสามารถทำงานร่วมกับ Symantec DLP เพื่อเข้ารหัสเฉพาะข้อมูลสำคัญได้
  • Symantec Advanced Threat Protection Platform: ระบบตรวจจับและแจ้งเตือนภัยคุกคามระดับสูง ไม่ว่าจะเป็น Unknown Malware หรือ Zero-day Exploits ทั้งบนระบบเครือข่าย ระบบอีเมล และ อุปกรณ์ Endpoint โดยใช้เทคโนโลยีสำคัญหลายประการ เช่น IoC Feeds, IPS, Antivirus, Reputation Analysis, Endpoint Behaviors, Machine Learning และ Cloud-based Sandboxing & Correlation
  • Symantec Data Center Security: โซลูชันที่ถูกออกแบบมาเพื่อป้องกันภัยคุกคามบนเซิร์ฟเวอร์ภายในห้อง Data Center โดยเฉพาะ ซึ่งครอบคลุมระบบ Virtualization, Platforms, Cloud Providers/Platforms และ Containers โดยมีฟีเจอร์เด่น ได้แก่ Host-based IPS, Sandboxing & Process Access Control, File & System Tamper Prevention, Memory Control, Real-time File Integrity Monitoring, Configuration Monitoring และอื่นๆ
  • Symantec Secure Mail Gateway: โซลูชันการป้องกันมัลแวร์และ SPAM สำหรับระบบอีเมล ซึ่งมาพร้อมกับคุณสมบัติ Adaptive Reputation Management ที่สามารถกรอง SPAM จากผู้ส่งที่ไม่พึงประสงค์ได้มากถึง 95% นอกจากนี้ยังมีระบบ DLP สำหรับป้องกันข้อมูลสำคัญในอีเมลรั่วไหลสู่ภายนอก และระบบการเข้ารหัสอีเมลเพื่อเพิ่มความมั่นคงปลอดภัยให้ถึงขีดสุด

Cyber Security Services: บริการ Managed Security Services ของ Symantec ซึ่งพร้อมดูแล ให้คำปรึกษา เฝ้าระวัง และแจ้งเตือนเมื่อมีภัยคุกคามหรือเหตุการณ์ผิดปกติเกิดขึ้นบนระบบเครือข่ายอันแสนสำคัญของลูกค้า รวมไปถึงมีบริการอบรมเพื่อเพิ่มพูนศักยภาพด้านความมั่นคงปลอดภัยให้แก่พนักงานในองค์กร

ภาพด้านล่างแสดงโซลูชันรวมทั้งหมดของ Symantec และ Blue Coat ทั้งแบบ On-premise และ Cloud-based ภายใน 1 หน้า

ปิดท้ายด้วยรูปทีมงาน Symantec + Blue Coat ครับ

from:https://www.techtalkthai.com/symantec-blue-coat-intro-to-2017/

local.jpg

25 รหัสผ่านยอดนิยมในปี 2016 … 123456 ยังคงครองตำแหน่งอันดับ 1

Keeper Security ผู้ให้บริการโซลูชัน Password Manager และ Secure Digital Vault ชื่อดังได้ออกมาเปิดเผยถึง 25 รหัสผ่านที่ผู้ใช้นิยมตั้งในปี 2016 โดยเก็บข้อมูลจากรหัสผ่านกว่า 10 ล้านรายการที่เปิดเผยสู่สาธารณะจากเหตุการณ์ Data Breach ทั่วโลก พบว่ารหัสผ่านยอดนิยมยังคงเป็น 123456 มากถึง 17%

25 รหัสผ่านยอดนิยมประกอบด้วย

  1. 123456
  2. 123456789
  3. qwerty
  4. 12345678
  5. 111111
  6. 1234567890
  7. 1234567
  8. password
  9. 123123
  10. 987654321
  11. qwertyuiop
  12. mynoob
  13. 123321
  14. 666666
  15. 18atcskd2w
  16. 7777777
  17. 1q2w3e4r
  18. 654321
  19. 555555
  20. 3rjs1la7qe
  21. google
  22. 1q2w3e4r5t
  23. 123qwe
  24. zxcvbnm
  25. 1q2w3e

ผลวิเคราะห์รหัสผ่าน

  • รหัสผ่านที่นิยมมากที่สุด คือ “123456” คิดเป็น 17% ในขณะที่รหัสผ่าน 25 อันดับแรกนี้ กินส่วนแบ่งมากถึง 50% จากรหัสผ่านรวม 10 ล้านรหัสที่ทำการวิเคราะห์
  • เทียบกับปี 2015 รหัสผ่านที่นิยมใช้ยังคงคล้ายๆ เดิม นั่นคือ ผู้ใช้ยังคงไม่ตระหนักถึงความเสี่ยง เป็นหน้าที่ของผู้ดูแลระบบของโอเปอเรเตอร์ในการกำหนดนโยบายการตั้งรหัสผ่านให้แข็งแกร่งเพื่อเพิ่มความมั่นคงปลอดภัย
  • 7 รหัสผ่านจาก 15 อันดับแรก มีความยาวเพียง 6 ตัวอักษรหรือสั้นกว่านั้น ซึ่งแฮ็คเกอร์ใช้เวลาแคร็กเพียงหลักวินาทีก็ประสบความสำเร็จ
  • การปรากฏของรหัสผ่าย “1q2w3e4r” และ “123qwe” แสดงให้เห็นว่าผู้ใช้พยายามทำให้รหัสผ่านตัวเองแข็งแกร่งขึ้นโดยผสมตัวเลขกับตัวอักษร แต่แค่นี้ยังไม่เพียงพอ เพราะ Dictionary-based Password Cracker มีลิสต์ของการเรียงตัวอักษรรูปแบบต่างๆ ไว้รออยู่แล้ว สามารถแคร็กได้ภายในเวลาอันรวดเร็ว
  • รหัสผ่าน “18atcskd2w” และ “3rjs1la7qe” ซึ่งเหมือนเป็นการสุ่มตัวอักษรอย่างแท้จริง กลับปรากฏว่ากลายเป็นรหัสผ่านที่ถูกนำมาใช้บ่อย จากการตรวจสอบพบว่าเกิดจาก Bot ใช้รหัสผ่านเหล่านี้ในบัญชีอีเมลปลอมสำหรับส่ง Spam และ Phishing ผู้ให้บริการอีเมลควรเพิ่มการตรวจสอบและกรอง Bot ให้ดียิ่งขึ้น

สำหรับองค์กรที่ต้องการกำหนดนโยบายรหัสผ่านใหม่ให้มั่นคงปลอดภัย แนะนำให้ลองดูเอกสาร NIST SP 800-63-3 เรื่อง Digital Authentication Guidelines ครับ เอกสารชุดนี้ระบุถึงวิธีการตั้งรหัสผ่านให้แข็งแกร่ง ในขณะที่ยังคงความง่ายและไม่เป็นภาระต่อผู้ใช้มากนัก สามารถดูรายละเอียดได้ที่ https://www.techtalkthai.com/nist-sp-800-63-3-digital-authentication-guideline/

ที่มา: https://blog.keepersecurity.com/2017/01/13/most-common-passwords-of-2016-research-study/

from:https://www.techtalkthai.com/25-most-popular-passwords-in-2016/

local.jpg

TechTalk Webinar: Improve Security with DNS โดยทีมงาน Cisco Thailand

TechTalkThai ขอเรียนเชิญเหล่าผู้ดูแลระบบภายในองค์กรทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง “Improve Security with DNS โดยทีมงาน Cisco Thailand” เพื่อทำความรู้จักกับแนวโน้มเรื่องความปลอดภัยเกี่ยวกับ DNS และการรักษาความปลอดภัยในองค์กรด้วยการนำ DNS มาใช้ ในวันที่ 23 มกราคม 2017 เวลา 14.00 โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

 

รายละเอียดการบรรยาย

หัวข้อ: Improve Security with DNS โดยทีมงาน Cisco Thailand
ผู้บรรยาย: คุณสุวิชชา มุสิจรัล วิศวกรที่ปรึกษาแห่ง Cisco Thailand
วันเวลา: วันจันทร์ที่ 23 มกราคม 2017 เวลา 14.00 – 15.30 น.
ช่องทางการบรรยาย: Cisco WebEx Meeting
จำนวนผู้เข้าร่วมสูงสุด: 100 คน
ภาษา: ไทย

 

เนื้อหาการบรรยาย

เนื่องจากการโจมตีระบบบเครือข่ายและผู้ใช้งานในทุกวันนี้มีรูปแบบที่หลากหลาย การนำเทคนิคการรักษาความปลอดภัยในรูปแบบต่างๆ มาใช้งานเพื่อให้ตรวจจับและยับยั้งการโจมตีเหล่านี้ให้ได้มากขึ้นจึงกลายเป็นแนวทางของเหล่าองค์กร และ DNS เองก็เป็นหนึ่งในเทคโนโลยีที่นอกจากจะตกเป็นเป้าของการโจมตีเป็นอย่างมากในปี 2016 ที่ผ่านมาแล้ว DNS เองก็ยังเป็นเทคโนโลยีที่จะนำมาใช้ในการปกป้องผู้ใช้งานจากการโจมตีที่หลากหลายรูปแบบในปัจจุบันนี้ได้ด้วยเช่นกัน

 

การบรรยายนี้เหมาะกับใคร?

เนื่องจากเนื้อหาจะเป็นการเล่าถึงภาพรวมทางด้านความปลอดภัยที่เกี่ยวข้องกับ DNS และการนำไปใช้งานในองค์กร เนื้อหาการบรรยายครั้งนี้จึงเหมาะกับเหล่าผู้ดูแลระบบเครือข่ายและผู้รักษาความปลอดภัยระบบเครือข่ายภายในองค์กร และหากมีคำถามใดๆ ก็สามารถสอบถามกับคุณสุวิชชา ผู้เชี่ยวชาญด้านความปลอดภัยจาก Cisco Thailand ได้โดยตรงทันที

 

1 ชั่วโมงเต็มกับ TechTalk Webinar ผ่าน Cisco WebEx Meeting

หลายท่านอาจประสบปัญหาเรื่องเวลา หรือการเดินทางมายังงานสัมมนาที่ต่างๆ ทำให้พลาดโอกาสในการอัพเดทเทรนด์และเทคโนโลยีอันเป็นที่น่าสนใจในปัจจุบัน TechTalkThai จึงได้ริเริ่มโปรเจ็คท์ TechTalk Webinar สำหรับกระจายความรู้ และอัพเดทข่าวสารทางด้าน Enterprise IT ผ่านทางระบบ Web Conferencing (Cisco WebEx) เพื่อให้ทุกท่านสามารถรับชมและฟังการบรรยายจากผู้เชี่ยวชาญและ Vendor ต่างๆ จากที่ไหนก็ได้ ที่สำคัญคือ ทุกท่านสามารถเข้าร่วม TechTalk Webinar ได้ฟรี โดยไม่จำเป็นต้องเสียค่าใช้จ่ายแต่อย่างใด

 

ลงทะเบียนเข้าร่วม TechTalk Webinar ได้ฟรี

ผู้ที่สนใจสามารถกรอกแบบฟอร์มเพื่อเข้าร่วม TechTalk Webinar ในหัวข้อนี้ได้ฟรีๆ ทันที โดยทีมงาน TechTalkThai ขอสงวนสิทธิ์ในการสุ่มเลือกผู้เข้าร่วม TechTalk Webinar จำนวน 100 ท่านในวันที่ 23 มกราคม 2017 นะครับ

from:https://www.techtalkthai.com/techtalk-webinar-improve-security-dns-by-cisco-thailand/

local.jpg

Google เปิดตัว Cloud Key Management Service สำหรับบริหารจัดการกุญแจเข้ารหัส

วันพุธที่ผ่านมา Google ได้ประกาศเปิดตัว Cloud Key Management Service เวอร์ชันเบต้า เพื่อช่วยให้ลูกค้าของ Google Cloud Platform สามารถบริหารจัดการกุญแจที่ใช้เข้ารหัสข้อมูลได้ง่ายยิ่งขึ้น

หลังจากที่ Edward Snowden อดีตเจ้าหน้าที่ของ NSA ออกมาเปิดเผยถึงแผนสอดแนมระบบอินเทอร์เน็ตของสหรัฐฯ ทำให้การเข้าหรัสข้อมูลกลายเป็นประเด็นสำคัญของผู้ให้บริการระบบ Cloud โดยเฉพาะอย่างยิ่งการเข้ารหัสข้อมูลที่ลูกค้าสามารถบริหารจัดการกุญแจที่ใช้เข้ารหัสเองได้

หลายบริการในสหรัฐฯ เริ่มเสนอให้ลูกค้าเป็นผู้เก็บกุญแจสำหรับเข้ารหัสเอง (Customer-supplied Encryption Keys: CSEK) ซึ่งทาง Amazon AWS ก็เร่ิมเสนอ CSEK สำหรับ S3 ตั้งแต่เดือนมิถุนายน 2014 และมี Key Management Service ให้บริการในเดือนพฤศจิกายน ส่วนทาง Microsoft Azure ก็เพิ่มทางเลือก CSEK แก่ลูกค้าผ่านทาง Key Vault ในเดือนมกราคม 2015 ที่ผ่านมา ในขณะที่ Google ก็พร้อมให้บริการ Cloud Key Management Service เวอร์ชันทดสอบวันนี้แล้ว

ลูกค้าของ Google Cloud Platform สามารถใช้ Cloud Key Management Service ในการสร้าง ใช้งาน สับเปลี่ยน และทำลายกุญแจเข้ารหัสข้อมูลแบบ AES-256 นอกจากนี้ยังมีบริการ REST API สำหรับสนับสนุนการเข้ารหัสและถอดรหัสข้อมูลอีกด้วย โดยบริการ Key Management Service นี้จะถูกผสานรวมเข้ากับ Cloud Identity Access Management และ Cloud Audit Logging

Cloud Key Management Service ใช้อัลกอริธึม AES และเครื่องมืออื่นๆ เช่นเดียวกับที่ใช้ในการเข้าหรัสข้อมูลบน Google Cloud Storage ซึ่งมีความแข็งแกร่งเป็นอย่างมาก รวมทั้งมีการตรวจสอบหาช่องโหว่และจุดอ่อนตลอดเวลา เพื่อปรับปรุงบริการให้ดียิ่งขึ้น

“Cloud KMS นำเสนอ Cloud-based Root of Trust ที่ช่วยให้คุณสามารถเฝ้าระวังและตรวจประเมิน [กุญแจสำหรับเข้ารหัสข้อมูล] ได้ ระบบบริหารจัดการกุญแจสำหรับเข้ารหัสที่เป็นแบบ Ad-hoc หรือ Custom-built นั้นยากต่อการบำรุงรักษาและขยายระบบ ในฐานะที่เป็นโซลูชันทางเลือก Cloud KMS ช่วยให้คุณสามารถเก็บกุญแจอย่างปลอดภัยได้ง่ายขึ้น” — Maya Kaczorowski ระบุใน Blog ของ Google

รายละเอียดเพิ่มเติม: https://cloudplatform.googleblog.com/

ที่มา: http://www.theregister.co.uk/2017/01/12/google_cloud_unlocks_key_achievement/

from:https://www.techtalkthai.com/google-cloud-key-management-service-beta/

local.jpg

นักวิจัยชาวญี่ปุ่นสุดเจ๋ง ถอดลายนิ้วมือจากรูปถ่ายในระยะ 3 เมตรได้สำเร็จ

แต่อาจเป็นปัญหาด้านความมั่นคงปลอดภัย

ทีมนักวิจัยจาก National Institute of Informatics (NII) ประกาศการค้นพบวิธีดึงลายนิ้วมือออกจากรูปภาพที่ถ่ายจากระยะไกลได้มากถึง 3 เมตร ซึ่งการค้นพบนี้อาจส่งผลกระบทบต่อการพิสูจน์ตัวตนแบบ Biomatrics ซึ่งนิยมใช้ลายนิ้วมือในการยืนยันตัวตนในปัจจุบัน

Sankei Shimbun และ Isao Echizen จากแผนกวิจัยด้าน Digital Content และ Media Sciences ของ NII เปิดเผยต่อหนังสือพิมพ์ประเทศญี่ปุ่นว่า พวกเขาค้นพบวิธีดึงลายนิ้วมือจากรูปภาพถึงแม้ว่าจะถ่ายจากมือถือก็ตาม เนื่องจากปัจจุบันนี้มือถือสมัยใหม่มีการพัฒนากล้องถ่ายรูปให้มีประสิทธิภาพมากยิ่งขึ้น ซึ่งสามารถเก็บรายละเอียดเพียงพอที่จะระบุตัวตนว่าผู้ที่ถูกถ่ายคือใคร เพียงแค่ผู้ที่ถูกถ่ายต้องเปิดเผยนิ้วมือให้เห็นเท่านั้น

เมื่องานวิจัยนี้ถูกเผยแพร่สู่สาธารณะ ย่อมเป็นไปที่แฮ็คเกอร์จะนำไปใช้ประโยชน์ในการค้นหารูปภาพออนไลน์ แล้วนำใบหน้าและลายนิ้วมือไปปลอมตัวว่าเป็นบุคคลดังกล่าว ที่น่าเป็นกังวลคือ วัฒนธรรมของคนหลายประเทศ (รวมประเทศไทย) มักชู 2 นิ้วขณะถ่ายรูปเซลฟี่ แล้วอัปโหลดรูปภาพไปยัง Social Media ต่างๆ เพื่ออวดเพื่อนๆ ส่งผลให้เสี่ยงต่อการถูกแฮ็คเกอร์นำรูปถ่ายไปวิเคราะห์ลายนิ้วมือแล้วเอาไปใช้ในทางที่ผิดได้ง่ายขึ้น

ที่มา: https://www.bleepingcomputer.com/news/security/scientists-extract-fingerprints-from-photos-taken-from-up-to-three-meters-away/

from:https://www.techtalkthai.com/researchers-can-extract-fingerprint-from-3-metres-away/

local.jpg

7 ประเด็นที่ต้องตั้งคำถามก่อนซื้อ Web Application Firewall

ในยุค Digital Economy นี้ หลายองค์กรมีการนำเทคโนโลยีเข้ามาสนับสนุนธุรกิจของตนมากขึ้น หนึ่งในการเปลี่ยนแปลงที่เห็นชัดที่สุดคือการให้บริการลูกค้าออนไลน์ ซึ่งส่วนใหญ่มักกระทำผ่านเว็บแอพพลิเคชัน เช่น การชำระค่าบริการออนไลน์ การซื้อของออนไลน์ หรือการให้บริการ Content ออนไลน์ เป็นต้น กล่าวได้ว่า เว็บแอพพลิเคชันกลายเป็นหน้าบ้านอันแสนสำคัญสำหรับองค์กร

Web Application Firewall ระบบป้องกันภัยคุกคามสำหรับเว็บแอพพลิเคชันโดยเฉพาะ

บริษัทที่ประสบความสำเร็จในยุค Digital Economy ย่อมทราบดีกว่า เว็บแอพพลิเคชันมีความสำคัญต่อแบรนด์และชื่อเสียงของพวกเขามากเพียงใด การปล่อยให้เว็บแอพพลิเคชันถูกแฮ็คหรือถูกโจมตีย่อมส่งผลกระทบต่อความน่าเชื่อถือและความไว้วางใจของลูกค้า การกำหนดนโยบายและวางมาตรการควบคุมจึงกลายเป็นสิ่งสำคัญที่ทำให้เว็บแอพพลิเคชันมั่นคงปลอดภัยอยู่เสมอ หนึ่งในมาตรการที่ใช้รับมือกับการโจมตีไซเบอร์ได้อย่างมีประสิทธิภาพ คือ Web Application Firewall (WAF)

Web Application Firewall ต่างจาก Firewall ทั่วไปตรงที่ถูกออกแบบมาเพื่อตรวจจับและป้องกันภัยคุกคามที่พุ่งเป้ามายังเว็บแอพพลิเคชันโดยเฉพาะ เช่น SQL Injection, Cross-site Scripting, CSRF และอื่นๆ ซึ่งปัจจุบันนี้ มีผู้ให้บริการ Web Application Firewall เป็นจำนวนมาก ทั้งในรูปของอุปกรณ์ฮาร์ดแวร์ Appliance และโซลูชันบนระบบ Cloud … คำถามคือ แล้วเราควรจะเลือกใช้ Web Application Firewall แบบใด ยี่ห้อไหน จึงจะเหมาะสมกับองค์กรมากที่สุด ?

7 ประเด็นที่ต้องพิจารณาเมื่อเลือกซื้อ Web Application Firewall

Akamai ผู้ให้บริการระบบ CDN และโซลูชัน Cloud Security ชั้นนำของโลก ได้ให้คำแนะนำในการเลือกซื้อ Web Application Firewall โดยผู้ใช้ควรพิจารณาถึงคำถามเหล่านี้ขณะ POC หรือก่อนตัดสินใจซื้อกับ Vendor ซึ่งมีทั้งหมด 7 ข้อ ดังนี้

1. Throughput ที่เราจำเป็นต้องใช้มีขนาดเท่าไหร่ ?

WAF ทำหน้าที่ปกป้องเว็บไซต์และแอพพลิเคชันผ่านการตรวจสอบ HTTP และ HTTPS Request ซึ่งช่วยหลีกเลี่ยงการรั่วไหลของข้อมูลสู่ภายนอก การเปลี่ยนหน้าเว็บไซต์ และการเข้าควบคุม Web Server แต่การตรวจสอบเหล่านี้ย่อมมาพร้อมกับความหน่วง (Latency) ซึ่งทำให้เข้าถึงเว็บแอพพลิเคชันได้ช้าลง กล่าวคือ ถ้าขนาดของการโจมตี (หรือทราฟฟิคของการใช้งานปกติ) สูงเกินกว่า Throughput ของ WAF อาจทำให้ WAF ประมวลผลทราฟฟิคได้ช้ากว่าปกติ หรือเลวร้ายที่สุดคือ WAF อาจหยุดการทำงานแล้วปล่อยผ่านทราฟฟิค (Fail Open) หรือบล็อกทราฟฟิคทั้งหมดแทนได้ (Fail Close)

โดยปกติแล้ว Throughput ของ WAF จะถูกจำกัดโดยประสิทธิภาพของฮาร์ดแวร์ ซึ่ง WAF แบบ On-premise จะมี Throughput สูงสุดประมาณ 2 Gbps ในขณะที่ถ้าเป็น WAF แบบ Cloud-based จะสามารถขยาย Throughtput ได้มากกว่านั้น ซึ่งเหมาะสำหรับองค์กรขนาดใหญ่ที่ต้องให้บริการระบบออนไลน์แก่ลูกค้าเป็นจำนวนมาก

2. ความสามารถในการตรวจจับการโจมตีรูปแบบใหม่ๆ เป็นอย่างไร ?

ยิ่ง Vendor และ WAF เฝ้าสังเกตการโจมตีมากเท่าไหร่ ยิ่งสามารถเรียนรู้วิธีการโจมตี รวมไปถึงคุณลักษณะต่างๆ ได้ดีมากเท่านั้น ผู้ใช้ควรถาม Vendor ให้ชัดเจนว่า “มีการเก็บข้อมูลการโจมตีหรือไม่?”, “จากที่ไหนบ้าง?”, “อัปเดตข้อมูลบ่อยแค่ไหน?” และ “เอาข้อมูลมาใช้เพื่อเพิ่มความมั่นคงปลอดภัยได้อย่างไร?”

ส่วนใหญ่แล้ว WAF แบบ On-premise สามารถประมวลผลข้อมูลที่วิ่งมายังเว็บแอพพลิเคชันที่ป้องกันอยู่ได้เท่านั้น ส่งผลให้บาง Vendor ต้องซื้อ Threat Feeds จากผู้ให้บริการรายอื่น หรือพึ่งพาเฉพาะข้อมูลที่ลูกค้าแชร์ให้เพียงอย่างเดียว การรู้ที่มาที่ไปของข้อมูลการโจมตีที่ใช้อัปเดตอุปกรณ์ย่อมช่วยให้ผู้ใช้สามารถประเมินคุณภาพของ WAF ได้เป็นอย่างดี

3. Vendor ที่เราเลือกมีบริการ Threat Intelligence หรือไม่ ?

ข้อมูลการโจมตีนับได้ว่าเป็นส่ิงสำคัญในการสร้าง Threat Intelligence … “ข้อมูลการโจมตีถูกจัดเก็บและนำมาใช้หรือไม่?”, “Vendor นำข้อมูลเหล่านั้นมาเพิ่มความมั่นคงปลอดภัยได้อย่างไร?”, “Vendor มี Framework ในการทดสอบก่อนนำข้อมูลเหล่านั้นมาอัปเดตที่ WAF หรือไม่?” และ “ข้อมูลการโจมตีถูกนำมาใช้เพื่อปรับแต่ง WAF Rules ได้อย่างไร?” … เหล่านี้คือคำถามที่ผู้ใช้ควรถาม Vendor เพื่อให้ทราบถึงศักยภาพด้าน Threat Intelligence และเพื่อให้รู้ว่า WAF ที่เลือกใช้งานสามารถปรับแต่งให้สอดคล้องกับการโจมตีรูปแบบใหม่ๆ ได้อย่างยืดหยุ่นหรือไม่

4. ใครสามารถบริหารจัดการ Web Application Firewall ของเราได้บ้าง ?

WAF แบบ Cloud-based มักถูกบริหารจัดการและดูแลโดยพาร์ทเนอร์ MSSP หรือทาง Vendor เอง ซึ่งปกติแล้วสามารถควบคุม WAF ได้ผ่านทาง Web GUI ไม่ว่าจะเป็นการตั้งค่า Rules การติดตามทราฟฟิค การอัปเดต White/Black Lists และอื่นๆ ในขณะที่ WAF แบบ On-premise ส่วนใหญ่จะเน้นเพียงแค่การขายอุปกรณ์แล้วจบไป ไม่มีบริการเสริมสำหรับบริหารจัดการและปรับแต่งอุปกรณ์ให้สามารถปกป้องเว็บแอพพลิเคชันได้อย่างมั่นคงปลอดภัย ผู้ใช้จำเป็นต้องว่าจ้างพนักงานเข้ามาตั้งค่า บริหารจัดการ และอัปเดต Rules ต่างๆ ที่สำคัญคือต้องสามารถวิเคราะห์แนวโน้มการโจมตีเพื่อให้สามารถป้องกันแบบเชิงรุกได้ ดังนั้น ต้องไม่ลืมคำนวณค่าจ้างพนักงานเพิ่มเติมเป็นส่วนหนึ่งของ OpEx ด้วย

5. อัตราการเกิด False Negative ของ Web Application Firewall ที่เราเลือกสูงแค่ไหน ?

ไม่มี WAF ใดที่สามารถป้องกันภัยคุกคามได้ 100% ตัวชี้วัดประสิทธิผลด้านความมั่นคงปลอดภัยของ WAF ที่สำคัญคืออัตราการเกิด False Negative ซึ่งเป็นตัวเลขที่ระบุจำนวนการโจมตีที่ WAF ไม่สามารถตรวจจับได้และปล่อยผ่านทราฟฟิคอันตรายเข้าสู่เว็บแอพพลิเคชัน ยิ่ง False Negative มีค่ามากเท่าไหร่ WAF ยิ่งมีคุณภาพแย่มากเท่านั้น ผู้ใช้ควรถามวิธีการชี้วัด False Negative จาก Vendor รวมไปถึงอัตราการเกิด False Negative ของซอฟต์แวร์เวอร์ชันล่าสุด

6. แล้วอัตราการเกิด False Positive ล่ะ ?

เช่นเดียวกับ False Negative อีกหนึ่งตัวชี้วัดประสิทธิผลที่สำคัญของ WAF คือ อัตราการเกิด False Positive ซึ่งระบุจำนวน Request ปกติของผู้ใช้ที่ WAF ประมวลผลผิดว่าเป็นภัยคุกคาม ย่ิง False Positive มีค่ามากเท่าไหร่ WAF ยิ่งตรวจจับทราฟฟิคปกติผิดพลาดมากเท่านั้น ซึ่งอาจส่งผลต่อความพึงพอใจในการใช้งานเว็บแอพพลิเคชันของลูกค้าได้

WAF ที่มีอัตรา False Negative ต่ำ มักจะมี False Positive สูง หรือในทางกลับกัน WAF ที่มีอัตรา False Negative สูง ก็มักจะมี False Positive ต่ำ ซึ่งโซลูชัน WAF โดยส่วนใหญ่มักให้ผู้ใช้เป็นคนเลือกระหว่าง 2 ทางเลือกนี้ ผู้ใช้อาจต้องตัดสินใจว่าจะยอมทนบล็อกลูกค้าหรือจะปล่อยให้การโจมตีผ่านไปได้

7. Web Application Firewall ที่เลือกมีการทำ Rate Control, Brute Force Protection และ DDoS Mitigation หรือไม่ ?

WAF แบบ Cloud-based ในปัจจุบันส่วนใหญ่มาพร้อมกับฟีเจอร์ DDoS Mitigation, Rate Control และ Brute Force Protection เนื่องจากแฮ็คเกอร์ในปัจจุบันมักผสานหลายเทคนิคในการโจมตีเว็บแอพพลิเคชัน เช่น เบี่ยงเบนความสนใจเหยื่อด้วยการโจมตีแบบ DDoS ไปก่อน จากนั้นก็สอดแทรกการโจมตีที่ใช้ขโมยข้อมูลแฝงเข้ามาด้วยโดยที่เหยื่อไม่รู้ตัว ในกรณีที่ WAF ที่เลือกไม่มีฟีเจอร์สำหรับรับมือกับการโจมตีแบบ DDoS แนะนำให้ผู้ใช้หาโซลูชันเสริม เพื่อเพิ่มความมั่นคงปลอดภัยแก่เว็บแอพพลิเคชันให้ถึงขีดสุด

Akamai ร่วมกับ WIT พร้อมให้บริการ Web Security ในประเทศไทย

Akamai ได้จับมือเป็นพันธมิตรร่วมกับ บริษัท เวิลด์ อินฟอร์เมชั่น เทคโนโลยี จำกัด (WIT) ผู้มีประสบการณ์ในการติดตั้งและวางระบบ IT Infrastructure มานานกว่า 27 ปี เพื่อให้มั่นใจได้ว่า สามารถส่งมอบบริการ CDN และโซลูชัน Web Security ให้แก่ผู้ใช้ในประเทศไทยได้อย่างมีประสิทธิภาพ และคืนผลกำไรได้อย่างรวดเร็ว

จนถึงวันนี้ Akamai ได้ให้บริการ CDN แบบ Next-generation แก่องค์กรที่มีชื่อเสียงทั่วโลกมากกว่า 1,000 ราย เช่น Standard Chartered, Cathay Pacific, KKBOX, Adobe และ IBM ซึ่งในไทยเอง ด้วยความสนับสนุนจาก WIT ก็ได้ให้บริการแก่บริษัทชั้นนำทั่วประเทศมากกว่า 10 แห่ง ผู้ที่สนใจสามารถสอบถามรายละเอียดเพิ่มเติมได้ที่อีเมล sales@wit.co.th หรือโทร 02-237-3555

from:https://www.techtalkthai.com/7-questions-ask-before-buying-waf/