คลังเก็บป้ายกำกับ: NETWORK_SECURITY

เตือนช่องโหว่ RSA Implementation บน F5 Big-IP เสี่ยงถูกดักฟังข้อมูลที่เข้ารหัส

F5 Networks ผู้นำด้านเทคโนโลยี Application Delivery Networking ออกมาแจ้งเตือนถึงช่องโหว่ RSA Implementation บน F5 Big-IP ซึ่งช่วยให้แฮ็คเกอร์สามารถดักฟังข้อมูลที่ถูกเข้ารหัสหรือโจมตีแบบ Man-in-the-Middle โดยไม่จำเป็นต้องทราบ Private Key ได้ แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยด่วน

Credit: ShutterStock.com

ช่องโหว่ดังกล่าวมีรหัส CVE-2017-6168 ซึ่งอธิบายไว้ว่า “Virtual Server ที่ถูกตั้งค่าด้วยโปรไฟล์ Client SSL อาจมีช่องโหว่การโจมตี Adaptive Chosen Ciphertext Attack (หรือรู้จักกันในชื่อ Bleichenbacher Attack) บน RSA ซึ่งถ้าถูกเจาะ อาจก่อให้เกิดการได้มาถึง Plaintext ของข้อความที่ถูกเข้ารหัส และ/หรือถูกโจมตีแบบ Man-in-the-Middle” ถึงแม้ว่าแฮ็กเกอร์จะไม่ทราบ Private Key ที่ใช้ในการเข้ารหัสก็ตาม

Bleichenbacher Attack เป็นชื่อที่ตั้งตามนักวิจัยด้านวิทยาการรหัสลับชาวสวิตเซอร์แลนด์ Daniel Bleichenbacher ซึ่งค้นพบการโจมตีดังกล่าวเมื่อปี 2006 การโจมตีนี้ช่วยให้เขาสามารถแคร็กข้อความที่ถูกเข้ารหัสและอ่าน Plaintext ของข้อความนั้นได้หลังจากที่จบเซสชันไปแล้ว อย่างไรก็ตาม เฉพาะเซสชัน TLS ที่สร้างขึ้นโดยการเข้ารหัสแบบ RSA เท่านั้นที่ได้รับผลกระทบต่อการโจมตีนี้

Nick Sullivan จาก CloudFlare โพสต์ใน Twitter ว่า ช่องโหว่บน F5 นี้ก็เหมือนกับการโจมตีแบบ DROWN (Decrypting RSA with Obsolete and Weakened Encryption) เพียงแต่ไม่จำเป็นต้องมีเงื่อนไขของ SSLv2 แต่อย่างใด

ช่องโหว่นี้ค้นพบโดย Hanno Bock, Juraj Somorovsky จาก Ruhr-Universitat Bochum/Hackmanit GmbH และ Craig Young จาก Tripwire VERT โดยส่งผลกระทบต่อ Big-IP เวอร์ชัน 11.6.0-11.6.2, 12.0.0-12.1.2 HF1 และ 13.0.0-13.0.0 HF2 แนะนำให้ผู้ดูแลระบบ F5 รีบอัปเดตแพตช์โดยด่วน

ที่มา: https://www.theregister.co.uk/AMP/2017/11/20/f5_crypto_weakness/

from:https://www.techtalkthai.com/rsa-implementation-flaw-in-f5-big-ip/

Advertisements

รู้จักบริการ DNS ฟรีใหม่ 9.9.9.9 เสริมความปลอดภัยด้วย IBM X-Force Threat Intelligence

ก่อนหน้านี้เราอาจคุ้นเคยกับบริการ DNS ที่ 8.8.8.8 ของ Google ที่เปิดให้ใช้งานกันได้ฟรีๆ มาโดยตลอดเป็นอีกทางเลือกหนึ่ง แต่ตอนนี้ทาง Global Cyber Alliance (GCA) นั้นได้ร่วมกับ IBM เปิดบริการ Free DNS ใหม่ที่ 9.9.9.9 โดยนอกจากจะทำการ Resolve ชื่อตามปกติแล้ว บริการนี้จะยังทำการตรวจสอบปลายทางกับบริการ IBM X-Force Threat Intelligence เพื่อดูให้ด้วยว่าปลายทางนั้นๆ เป็นอันตรายต่อผู้ใช้งานหรือไม่

Credit: ShutterStock.com

 

IBM X-Force Threat Intelligence นี้มีฐานข้อมูลของเว็บไซต์และรูปภาพที่เป็นอันตรายอีกกว่า 40,000 ล้านรายการ และยังมีการอัปเดตอย่างต่อเนื่อง ดังนั้นจึงสามารถช่วยให้ผู้ที่ใช้งาน 9.9.9.9 เป็น DNS Server นี้สามารถปกป้องต้นเองเพิ่มขึ้นได้อีกชั้นหนึ่ง นอกจากนี้ IBM ยังได้ช่วยเหลือโครงการนี้ด้วยการมอบ IP Address หมายเลข 9.9.9.9 ให้กับทาง GCA ด้วย เพราะเดิมที IBM นั้นเป็นเจ้าของ IP Address วง 9.0.0.0/8 อยู่แล้ว

ส่วนผู้ที่ใช้งาน IPv6 เป็นหลักนั้น ก็สามารถตั้งค่า DNS Server ชี้ไปที่ 2620:fe::fe เพื่อใช้บริการนี้ได้เช่นกัน

GCA นั้นระบุว่าบริการนี้จะไม่ทำให้ผู้ใช้งานทำงานได้ช้าลงแต่อย่างใด และในอีก 18 เดือนถัดไป ทาง GCA ก็มีแผนที่จะเพิ่มทรัพยากรของระบบเป็น 2 เท่าอีกด้วย อีกทั้งทางทีมงาน GCA นั้นจะไม่มีการเก็บสถิติการใช้งาน DNS ของผู้ใช้งานเพื่อนำไปใช้หรือขายในเชิงการตลาดอย่างแน่นอน

GCA นี้เป็นหน่วยงานที่เกิดจากความร่วมมือกันระหว่าง City of London Police, District Attorney of Newyork County และ Center for Internet Security เพื่อร่วมกันปกป้องผู้คนทั่วโลกจากภัยคุกคามทาง Cyber โดยทาง IBM ได้เข้าไปสนับสนุนในประเด็นต่างๆ เพิ่มเติม

 

ที่มา: https://www.theregister.co.uk/2017/11/20/quad9_secure_private_dns_resolver/

from:https://www.techtalkthai.com/9-9-9-9-dns-server-will-protect-you-with-ibm-x-force-threat-intelligence/

Fortinet เปิดตัว Fortigate รุ่นใหม่ 300E และ 500E

Fortinet ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยประสิทธิภาพสูง เปิดตัว Fortigate Firewall ใหม่ 2 รุ่น คือ Fortigate 300E และ 500E ตอบโจทย์การใช้งานขององค์กรในยุค IoT และ Cloud ที่จำเป็นต้องคอยดูความมั่นคงปลอดภัยของข้อมูลที่รับส่งไปมาระหว่างแต่ละไซต์และแต่ละอุปกรณ์ตลอดเวลา ชูจุดเด่นด้านชิปประมวลผลอันทรงพลังและฟีเจอร์ที่หลากหลาย

credit : Fortinet Blog

รวดเร็วว่องไว

ใน Fortigate 300E และ 500E นี้เพิ่มขีดความสามารถให้เร็วขึ้นอย่างมาก เบื้องหลังความสำเร็จนั้นคือชิป CP9 ที่ใช้ในการประมวลผล Content และประมวลผลแบบ Parallel ได้นั่นทำให้ประสิทธิภาพดีกว่าสินค้าทั่วไปตามท้องตลาดอย่างมีนัยสำคัญ เพื่อการปกป้องภัยคุกคามและเพิ่มประสิทธิภาพด้านการทำ SSL inspection นอกจากนั้นยังสามารถแชร์ข้อมูลและงานที่เกิดขึ้นกับอุปกรณ์หรือระบบด้านความมั่นคงปลอดภัยตัวอื่นในเครือข่ายเดียวกันได้ ดังนั้นองค์กรสามารถบล็อก Content ก่อนจะกลายเป็นช่องโหว่ต่อไปได้

ประสิทธิภาพด้านความมั่นคงปลอดภัย

Advanced threat protection คือหัวใจสำคัญในการป้องกัน Zero-day ทาง Fortiguard Labs จึงทดสอบจนแน่ใจว่าสามารถเป็นผู้นำในพื้นที่สำคัญได้และรักษาผลทดสอบจาก Third-party ได้อย่างต่อเนื่อง นอกจากนี้ยังสามารถเชื่อมต่อกับ FortiSandbox เพื่อที่จะตรวจจับ Unknown Threat ได้อีกด้วย

รองรับ SD-WAN

Fortigate 300E และ 500E มาพร้อมกับการรองรับการใช้งานเครือข่ายระดับสาขาและการใช้งานแอปพลิเคชันแบบ Software as a Service โดยมีฟีเจอร์สำคัญด้านเครือข่ายเช่น ตัวควบคุมเส้นทางของ WAN และฐานข้อมูลแบบ Dynamic SaaS-based นั่นทำให้ SD-WAN มีความมั่นคงปลอดภัย

ราคาเมื่อเทียบกับสิ่งที่จะได้รับ

Fortigate 500E มาพร้อมกับพอร์ต 10 GbE ที่สามารถประมวลผล Threat Protection ได้ 4.7 Gbps และ SSL inspection ที่ 6.8 Gbps ราคาที่เสนอคือราคาดีที่สุดในตลาด ณ ตอนนี้แล้วเมื่อเทียบราคากับประสิทธิภาพที่จะได้รับ

ผู้สนใจสามารถดูผลการทดสอบได้เพิ่มเติม นอกจากนี้ยังสามารถศุึกษาเอกสาร Fortigate 300E และ เอกสาร Fortigate 500E ตามลิ้งดังกล่าว

ที่มา : https://blog.fortinet.com/2017/11/13/new-fortigate-300e-and-500e-the-next-era-of-ngfw-has-arrived

from:https://www.techtalkthai.com/fg-300e-500e-debut/

ทางการสหรัฐ Hack เครื่องบิน Boeing 757 ได้สำเร็จ ชี้สายการบินอาจล้มละลายได้หากต้องอุดช่องโหว่

ภายในงาน 2017 CyberSat Summit ที่จัดขึ้นใน Virgina ได้มีการเปิดเผยถึงความสำเร็จของ Department of Homeland Security (DHS) หรือกรมความมั่นคงแห่งมาตุภูมิสหรัฐที่สามารถทำการ Hack เครื่องบิน Boeing 757 ที่จอดอยู่ในสนามบินได้จากระยะไกล ทำให้กลายเป็นประเด็นใหญ่ไม่น้อยทีเดียวสำหรับวงการการบินในตอนนี้

Credit: ShutterStock.com

 

รายละเอียดของช่องโหว่ที่โจมตีผ่านคลื่นวิทยุหรือ RF นี้ยังถูกปกปิดเป็นความลับจากทางการสหรัฐ และสาเหตุที่ช่องโหว่นี้ไม่ถูกแก้ไขโดยสายการบินนั้นก็เป็นเพราะประเด็นเรื่องค่าใช้จ่าย ที่หากสายการบินอย่าง Southwest Airlines นั้นต้องทำการอุดช่องโหว่เหล่านี้ด้วยตนเองบนเครื่องบิน Boeing 737 ทั้งหมดที่มีอยู่ สายการบินก็อาจล้มละลายเลยก็เป็นได้ เนื่องจากค่าใช้จ่ายในการแก้ไขโค้ดแม้เพียงบรรทัดเดียวบนอุปกรณ์นั้นๆ อาจสูงถึง 1 ล้านเหรียญหรือ 35 ล้านบาท และยังต้องใช้เวลาอีกหลายปีในการติดตั้งให้สำเร็จด้วย

ทั้งนี้เครื่องบินรุ่นเก่าๆ ที่มีช่องโหว่นี้ และนับเป็น 90% ของเครื่องบินพาณิชย์นั้นต่างได้รับผลกระทบจากปัญหานี้ทั้งหมด ส่วนเครื่องบินรุ่นใหม่ๆ อย่างเช่น Boeing 787 หรือ Airbus Group A350 นั้นถูกออกแบบมาโดยมี Security ในตัวอยู่แล้วจึงไม่ได้รับผลกระทบใดๆ จากปัญหานี้

อีกประเด็นที่ถือว่าน่าสนใจไม่น้อย คือในขั้นตอนการ Maintenance อากาศยานใดๆ นั้น มักจะยังไม่มีขั้นตอนในการจัดการประเด็นเกี่ยวกับ Cyberthreat ที่อาจเกิดขึ้นได้บนเครื่องบินเลย

 

ที่มา: https://nakedsecurity.sophos.com/2017/11/15/dhs-says-it-remotely-hacked-a-boeing-757-sitting-on-a-runway/

from:https://www.techtalkthai.com/us-dhs-successfully-hacked-boeing-757/

WikiLeaks แฉ Source Code เครื่องมือสอดแนมของ CIA

เมื่อวันพฤหัสที่ผ่านมา WikiLeaks ได้เปิดเผยถึงเครื่องมือชุดใหม่ของ CIA รวมไปถึง Source Code ของเครื่องมือที่เรียกว่า Hive ที่สามารถใช้เพื่อควบคุมมัลแวร์ที่ถูกติดตั้งอยู่บนอุปกรณ์ต่างๆ ได้ ก่อนหน้านี้ WikiLeaks ได้เคยปล่อยเอกสารที่เป็นของเครื่องมือเหล่านี้ เมื่อเดือนมีนาคมถึงสิงหาคมแต่นี่เป็นครั้งแรกที่ได้ออกมาแสดง Source Code ของชุดเครื่องมือสอดแนมที่ CIA ครอบครองอยู่

 

WikiLeaks

Julian Assange ผู้ก่อตั้ง WikiLeaks ได้พูดว่านี่คือซีรี่ย์ใหม่ของเรื่องราวที่เรียกว่า ‘Vault 8’ (เป็นการตั้งชื่อเรื่องราวที่อ้างถึงขึ้นมาเอง) โดย Hive เป็นเพียงแค่ปฐมบทของการเปิดฉากในตอนนี้เท่านั้นและได้รวมรวบ Source Code ของเครื่องมือที่เคยอ้างถึงใน Vault 7  “การเปิดเผยต่อสาธารณชนครั้งนี้เปิดโอกาสให้นักข่าวสายสืบสวน ผู้เขี่ยวชาญด้าน Forensic และสาธาราณชนทั่วไป เพื่อเป็นข้อพิสูจน์และเปลี่ยนความเข้าใจเกี่ยวกับส่วนประกอบโครงสร้างของ CIA ได้ดีขึ้น นอกจากนี้ยังอ้างถึง Hive ว่าได้แก้ปัญหาสำคัญในการทำงานของมัลแวร์ที่ CIA ในเรื่องของมัลแวร์ที่ถูกฝังในเครื่องเหยื่อว่าถ้าหากไม่สามารถติดต่อกับส่วนควบคุมได้อย่างมั่งคงปลอดภัย มันก็ไร้ประโยชน์แม้ว่ามัลแวร์ตัวนั้นจะมีความซับซ้อนแค่ไหนก็ตาม” –WikiLeaks กล่าวในเว็บของตน

เมื่อเดือนมีนาคม WikiLeaks ได้รับเอกสารและเครื่องมือเจาะระบบที่ถูกขโมยมาจาก CIA แต่ว่าพวกเขายังไม่เปิดเผยถึง Code เนื่องจากอาจเผยให้เห็นช่องโหว่หรือ Bug ที่ยังไม่ได้รับการแก้ไข เพื่อไม่ให้ผู้คนไม่ได้รับผลกระทบ WikiLeaks จึงติดต่อเพื่อแจ้งเรื่องราวกับบริษัทให้จัดการช่องโหว่เหล่านั้นแต่ก็ไม่ได้รับความร่วมมือที่ดีนักในช่วงแรกเนื่องจาก WikiLeaks ไม่ได้แชร์ข้อมูลที่มีกับบริษัท อย่างไรก็ตามในภายหลังบริษัทอย่าง Cisco ก็ออกรายงานการแก้ไขช่องโหว่ที่มีจุดกำเนิดเล็กๆ มาจาก WikiLeaks

ขณะเดียวกันมีความเห็นจาก Jake Williams ผู้ตรวจสอบระบบด้านความมั่นของปลอดภัยของ Rendition Infosec ว่า Code ที่ WikiLeaks ออกมาเปิดเผยนั้นดูไม่ได้อันตรายอะไร “มันเพียงแต่ช่วยเหลือผู้เชี่ยวชาญด้าน Forensics และทำให้ CIA ไป Refactor Code ใหม่เท่านั้นเอง แต่ไม่มีอะไรที่ทำให้เกิดการโจมตีด้าน Cyber อย่างไรก็ตามการเปิดเผย Code และเครื่องมืออื่นใน Vault 7 อาจจะเป็นช่องทางให้แฮ็กเกอร์สามารถเจาะและแทรกซึมเข้าไปยังเหยื่อใหม่ๆ ได้

นอกจากนั้น Williams ยังเสริมว่า Code ของเครื่องมืออย่าง Prendemic และ Brutal Kangaroo อาจเป็นจุดเปลี่ยนของเกมเนื่องจากมันได้อ้างถึงเครื่องมือที่ CIA ใช้ในการฝังตัวอย่างแนบเนียนบนระบบ Windows และมุ่งเน้นไปยังระบบเครือข่ายแบบปิด มันเป็นไปได้ว่าอาจจะมีช่องโหว่ที่ยังไม่ถูกแพตซ์แบบ Zero-day สำหรับ USB ดังที่ถูกอ้างถึงในเอกสารของ Brutal Kangaroo อย่างไรก็ตาม WikiLeaks อ้างถึงเครื่องมือที่ปล่อยออกไปของ Vault 8 ว่าไม่ได้มี Zero-day หรือช่องโหว่ด้านความมั่นคงปลอดภัยคล้ายๆ กันที่อาจจะถูกดัดแปลงโดยบุคคลอื่น

ที่มา : https://motherboard.vice.com/en_us/article/qv3xxm/wikileaks-vault-7-vault-8-cia-source-code และ https://www.bleepingcomputer.com/news/government/wikileaks-releases-source-code-of-cia-cyber-weapon/

 

from:https://www.techtalkthai.com/wikileaks-show-vault8-cia-code/

Case Study: SD-WAN กับการสร้างเครือข่ายความมั่นคงปลอดภัยสูงในสิงคโปร์

Software-defined WAN (SD-WAN) เป็นเทคโนโลยีด้านการเชื่อมต่อความมั่นคงปลอดภัยสูงบนระบบเครือข่ายอินเทอร์เน็ตซึ่งกำลังเป็นที่น่าจับตามองในยุค Digital Transformation ด้วยคุณสมบัติด้านความง่ายในการบริหารจัดการ และความมั่นคงปลอดภัยที่สูงในขณะที่ต้นทุนต่ำ ทำให้หลายองค์กรเริ่มนำ SD-WAN เข้ามาศึกษาและใช้งาน ไม่เว้นแม้แต่แผน Smart Nation ของสิงคโปร์

บทความนี้ Silver Peak ผู้ให้บริการโซลูชัน SD-WAN ชั้นนำ ได้ออกมาตีแผ่เรื่องราวการสร้างเครือข่ายความมั่นคงปลอดภัยสูงในแผนยุทธศาสตร์ “Smart Nation” ของประเทศสิงคโปร์ เพื่อให้หน่วยงานและองค์กรในประเทศไทย ไม่ว่าจะเป็นภาครัฐหรือภาคเอกชน สามารถนำไปใช้เป็นแนวทางในการนำเทคโนโลยี SD-WAN เข้ามาใช้เพื่อสนับสนุนการดำเนินงานเชิงธุรกิจภายใต้นโยบาย Thailand 4.0

เกริ่นนำเกี่ยวกับ Smart Nation สักเล็กน้อย

Smart Nation (หรือที่รู้จักกันดีในชื่อ Smart City) เริ่มต้นเมื่อปี 2014 โดยนายกรัฐมนตรี Lee Hsien Loong ของสิงคโปร์ได้ประกาศเป็นแผนยุทธศาสตร์แห่งชาติ โดยมีวัตถุประสงค์เพื่อสร้างสภาพแวดล้อมที่มีการนำเทคโนโลยีทางด้าน IT เข้ามาช่วยเหลือและสนับสนุนการดำเนินชีวิตของประชาชน เช่น ระบบขนส่งมวลชนอัจฉริยะ ระบบไฟอัจฉริยะ หรือถังขยะอัจฉริยะ เพื่อเพิ่มคุณภาพชีวิต และทำให้ประชาชนสามารถอาศัยอยู่บนเกาะสิงคโปร์ได้อย่างมีความสุข

อย่างไรก็ตาม การนำเทคโนโลยีทางด้าน IT เข้ามาใช้งานจำเป็นต้องมีการสร้างเครือข่ายและรับส่งข้อมูลระหว่างระบบต่างๆ ที่ให้การสนับสนุนการดำเนินชีวิตของประชาชน ส่งผลให้ประเด็นด้านความมั่นคงปลอดภัยไซเบอร์ถูกหยิบยกขึ้นมาให้หน่วยงานที่เกี่ยวข้องต้องนำมาพิจารณา ซึ่งประเด็นที่ถูกวางไว้เป็นพื้นฐานที่สำคัญที่สุดคือความมั่นคงปลอดภัยของเทคโนโลยีที่ใช้และการเชื่อมต่อระหว่างกัน

สร้างเครือข่ายความมั่นคงปลอดภัยสูงสำหรับ Smart Nation ด้วย SD-WAN

เพื่อให้การติดต่อสื่อสารและรับส่งข้อมูลระหว่างระบบต่างๆ ทั่วเกาะสิงคโปร์มีความมั่นคงปลอดภัย เทคโนโลยี SD-WAN ได้ถูกนำมาศึกษาและพิจารณา ซึ่งสามารถสรุปประโยชน์ของการใช้ SD-WAN ที่มีแผน Smart Nation ได้ ดังนี้

1. ข้อมูลถูกเข้ารหัสอย่างมั่นคงปลอดภัยในราคาที่ต่ำกว่า

SD-WAN ช่วยให้หน่วยงานที่เกี่ยวข้องสามารถเชื่อมต่อหากันอย่างมั่นคงปลอดภัยผ่านเครือข่ายบรอดแบนด์ซึ่งมีราคาถูก แทนที่จะต้องลงทุนเพื่อเชื่อมต่อผ่านทางเครือข่าย MPLS ซึ่งมีราคาสูงกว่ามาก นอกจากนี้ยังมีฟังก์ชันในการเข้ารหัสข้อมูลซึ่งช่วยให้ข้อมูลสำคัญไม่หลุดออกไปสู่ภายนอกกรณีที่ระบบเครือข่ายถูกเจาะ

2. สนับสนุนการใช้บริการบนระบบ Cloud อย่างยืดหยุ่น

สามารถปรับแต่งการตั้งค่าของเครือข่าย SD-WAN ได้ในรายละเอียดเชิงลึก ซึ่งช่วยให้ SD-WAN สามารถทำงานสอดคล้องกับ Cloud Applications และนโยบายด้านความมั่นคงปลอดภัยขององค์กรได้อย่างลงตัว นอกจากนี้ยังสามารถผสานการทำงานร่วมกับ Secure Network Gateway และ Firewall เพื่อเพิ่มความมั่นคงปลอดภัยให้ถึงขีดสุดได้อีกด้วย

3. วางระบบเชื่อมต่อกับหน่วยงานสาขาได้อย่างรวดเร็ว

เนื่องจาก Smart Nation ก่อให้เกิดการกระจายการปฏิบัติงานขององค์กรออกจากศูนย์กลาง แต่สำนักงานสาขายังคงต้องมีมาตรการด้านความมั่นคงปลอดภัยตามที่องค์กรกำหนด ซึ่งเทคโนโลยี SD-WAN สามารถช่วยวางระบบบริการต่างๆ เช่น VPN, Firewall, Network Optimization โดยอาศัยคุณสมบัติ Network Functions Virtualization (NFV) ได้ทันที ส่งผลให้สามารถวางระบบเครือข่ายและความมั่นคงปลอดภัยแก่สำนักงานสาขาได้อย่างรวดเร็วและมั่นคงปลอดภัย ไม่ว่าสำนักงานสาขาเหล่านั้นจะอยู่ที่ใดก็ตาม

4. สอดคล้องกับกฎระเบียบและข้อบังคับ

ในหลายๆ อุตสาหกรรม เช่น สาธารณสุข สถาบันการเงิน หรือค้าปลีก จำเป็นต้องดำเนินงานให้สอดคล้องกับมาตรฐานหรือข้อบังคับด้านความมั่นคงปลอดภัยต่างๆ เช่น PCI-DSS, HIPAA, SOX ซึ่ง SD-WAN สามารถเข้ามาสนับสนุนองค์กรด้วยการสร้างเครือข่ายแบบเสมือนบนระบบเครือข่ายจริง (Virtual Network over the Current Network) เพื่อแยกการส่งข้อมูลแอพพลิเคชันที่ต้องการความมั่นคงปลอดภัยตามกฏระเบียบและข้อบังคับออกจากมา โดยที่ไม่ต้องใช้งบประมาณจำนวนมากมาลงทุนเพื่อสร้างระบบเครือข่ายขึ้นมาใหม่เพื่อวัตถุประสงค์ดังกล่าวโดยเฉพาะ

5. แบ่งระบบเครือข่ายเพื่อวางนโยบายกำกับดูแลได้ง่าย

การแบ่งระบบเครือข่ายออกเป็นส่วนๆ เพื่อจัดทำนโยบายด้านความมั่นคงปลอดภัยถือเป็นเรื่องท้าทายสำหรับเครือข่ายแบบ MPLS แต่ด้วยคุณสมบัติพื้นฐานทางด้านซอฟต์แวร์ของ SD-WAN ช่วยให้องค์กรสามารถแบ่งส่วนเครือข่ายและกำหนดนโยบายต่างๆ ให้สอดคล้องกับธุรกิจขององค์กรได้อย่างง่ายดาย ทั้งยังรองรับการขยายระบบในอนาคตได้อีกด้วย

จากบทความข้างต้นผู้อ่านจะได้เห็นถึงแนวคิดในการนำเทคโนโลยี SD-WAN มาใช้ โดยที่ไม่ได้มุ่งเน้นการสร้างเครือข่ายระหว่างสำนักงานเพียงอย่างเดียว การเชื่อมต่ออย่างมั่นคงปลอดภัยก็เป็นปัจจัยหนึ่งที่ SD-WAN เข้ามาช่วยตอบโจทย์ในปัจจุบัน หวังว่าผู้อ่านทุกท่านจะนำไปประยุกต์ใช้กับการวางระบบขององค์กรของตนในอนาคตได้นะครับ

from:https://www.techtalkthai.com/building-network-security-for-smart-nation-using-sd-wan/

10 ขั้นตอนเตรียมความพร้อมในการทำ Incident Response

แฮ็กเกอร์ในปัจจุบันต่างสรรหาเทคนิคและพัฒนาการโจมตีไซเบอร์ให้ทวีความแยบยลและรุนแรงขึ้นเรื่อยๆ การป้องกันเพียงอย่างเดียวไม่สามารถปกป้ององค์กรจากภัยคุกคามระดับสูงได้อีกต่อไป องค์กรจำเป็นต้องมีกระบวนการในการรับมือกับสถานการณ์ที่ผิดปกติเมื่อภัยคุกคามเหล่านั้นหลุดเข้ามาได้ ยิ่งองค์กรสามารถตอบสนองต่อภัยคุกคามได้เร็วเท่าไหร่ ยิ่งช่วยให้สามารถกักกันความเสียหายและฟื้นฟูระบบให้กลับมาใช้งานตามปกติได้เร็วมากเท่านั้น

McAfee ผู้ให้บริการโซลูชันสำหรับศูนย์ SOC ชั้นนำ จึงได้ออก White Paper หัวข้อ “Ten Ways to Prepare for Incident Response” เพื่อให้เจ้าหน้าที่ด้านความมั่นคงปลอดภัยได้นำไปใช้เป็นแนวทางในการเตรียมความพร้อมสำหรับทำ Incident Response อย่างเป็นระบบ ซึ่งสามารถสรุปเนื้อหาได้ดังนี้

1.กำหนดหน้าที่ แนวทาง และกระบวนการต่างๆ – ขณะเกิดเหตุการณ์ไม่พึงประสงค์ จำเป็นต้องมีการแบ่งแยกหน้าที่และความรับผิดชอบที่ชัดเจน เพื่อให้ทุกคนทราบถึงสิ่งที่ตนเองต้องกระทำ เช่น IR & Forensics, Network & Information Security, Endpoint Security, SOC, Legal Department, Public Relations, Policy หรือ Contracting เป็นต้น

2. สื่อสารแผนงานและกระบวนการอย่างมีประสิทธิผล – ควรวางแผนการรับมือกับเหตุการณ์ไม่พึงประสงค์ก่อนจะเกิดเหตุการณ์ขึ้นจริง ไม่ว่าจะเป็นรูปแบบการสื่อสารที่ใช้ ช่องทางการติดต่อ รวมไปถึงจัดห้องวอร์รูมที่มีสิ่งอำนวยความสะดวกครบครันต่อการประชุมเมื่อเกิดเหตุผิดปกติ ที่สำคัญคือต้องมีลิสต์รายชื่อผู้เกี่ยวข้องและวิธีการติดต่อบุคคลเหล่านั้น

3. ผสานรวม Threat Intelligence และข้อมูลภัยคุกคามต่างๆ เข้าด้วยกัน – การมี Threat Intelligence และข้อมูลเกี่ยวกับภัยคุกคามประเภทต่างๆ ช่วยให้สามารถจำแนกประเภทของภัยคุกคาม เทคนิคที่ใช้ ผลกระทบ และ IoC (Indicators of Compromise) ได้อย่างแม่นยำ ช่วยให้สามารถปกป้องระบบได้อย่างรวดเร็วและตรงจุด

4. คัดแยกและเฝ้าระวังระบบที่ได้รับผลกระทบ – หลังจากที่ระบุ IoC ได้แล้ว จำเป็นต้องตัดสินใจว่าจะทำการคัดแยกระบบที่มีปัญหาออกจากระบบเครือข่ายเพื่อป้องกันผลกระทบที่อาจเกิดขึ้นต่อระบบอื่นๆ หรือไม่ ซึ่งอาจทำได้ในเชิง Physical เช่น ดึงสายเคเบิลที่ใช้เชื่อมต่อออก หรือในเชิง Logical เช่น การใช้ Firewall หรือปิดพอร์ตบน Switch

5. จัดทำเอกสารและลงบันทึกการตอบสนองต่อเหตุการณ์ไม่พึงประสงค์ – การลงบันทึกและทำเอกสารระหว่างเกิดเหตุไม่พึงประสงค์ช่วยให้ง่ายต่อการแชร์และตรวจสอบข้อมูลย้อนหลัง รวมไปถึงทำรายงานส่งผู้บริหาร ผู้ตรวจประเมิน หรือหน่วยงานกำกับดูแลที่เกี่ยวข้อง

6. จัดทำเอกสารเหตุการณ์ไม่พึงประสงค์ตามลำดับเวลา – นอกจากจัดทำเอกสารเป็นลายลักษณ์อักษรแล้ว ควรมีการระบุและจัดลำดับเหตุการณ์ที่เกิดขึ้นตามเวลาให้ชัดเจน เพื่อให้เห็นภาพและเข้าใจเหตุการณ์ทั้งหมดได้ง่ายยิ่งขึ้น

7. เข้าใจการตอบสนองต่อภัยคุกคามในแต่ละเฟส – การตอบสนองต่อภัยคุกคามจะถูกแบ่งออกเป็น 3 เฟสหลัก คือ การระบุขอบเขตของเหตุการณ์ไม่พึงประสงค์ การกักกันภัยคุกคาม และการฟื้นฟูระบบให้กลับคืนมา ซึ่งผู้ที่ได้รับมอบหมายจำเป็นต้องศึกษากระบวนการในเฟสที่ตนรับผิดชอบให้เป็นอย่างดี เพื่อให้สามารถรับมือกับเหตุการณ์ไม่พึงประสงค์ได้อย่างถูกต้องและรวดเร็ว

8. พร้อมรับมือภัยคุกคามตลอดเวลาด้วยการทำสถาปัตยกรรม แอพพลิเคชัน และระบบปฏิบัติการให้มั่นคงปลอดภัย – ภัยคุกคามบางอย่างสามารถป้องกันได้ล่วงหน้าจากการทำให้แอพพลิเคชัน ระบบปฏิบัติ และระบบเครือข่ายมีความมั่นคงปลอดภัย เช่น อัปเดตแพทช์สม่ำเสมอ มีการแบ่งระบบเครือข่ายออกเป็นส่วนๆ ใช้การพิสูจน์ตัวตนแบบ 2-factor Authentication หรือตั้งรหัสผ่านให้แข็งแกร่ง เป็นต้น

9. จัดการและสำรองข้อมูล Log – การตรวจสอบข้อมูล Log ย้อนหลังเป็นสิ่งสำคัญมาก เนื่องจากช่วยให้สามารถจำลองสถานการณ์การโจมตีที่เคยเกิดขึ้นได้ ส่งผลให้สามารถเตรียมรับมือกับเหตุการณ์ที่คล้ายคลึงกันได้ง่ายยิ่งขึ้น โดย Log ควรเก็บจาก Antivirus, Network Traffic, PCAP, IDS/IPS, Firewall, Web Proxy, VPN, DHCP, AD และอื่นๆ

10. ใช้โซลูชันการบริหารจัดการและเฝ้าระวังอุปกรณ์ปลายทาง – อุปกรณ์ปลายทางนับว่าเป็นจุดที่อ่อนแอที่สุดในระบบเครือข่าย จึงควรมีการวางมาตรการควบคุม เช่น ติดตั้งโปรแกรม Antivirus และอัปเดตฐานข้อมูลล่าสุดเสมอ และการมีระบบบริหารจัดการจากศูนย์กลางจะช่วยลดภาระในการเฝ้าระวังอุปกรณ์ปลายทางได้เป็นอย่างมาก

ผู้ที่สนใจอ่านรายละเอียดเกี่ยวกับการเตรียมความพร้อมในการทำ Incident Response ทั้ง 10 ขั้นตอนสามารถดาวน์โหลดเอกสารฉบับเต็มได้ที่: https://www.mcafee.com/us/resources/white-papers/foundstone/wp-10-ways-prepare-incident-response.pdf

from:https://www.techtalkthai.com/10-ways-to-prepare-for-incident-response/