คลังเก็บป้ายกำกับ: NETWORK_SECURITY

local.jpg

เตรียมเปิดตัว Kali Linux Certified Professional ใบรับรองผู้เชี่ยวชาญ Kali Linux

Kali Linux Distribution ฉลองครบรอบ 10 ปีด้วยการประกาศเตรียมเปิดตัว Certificate สำหรับผู้เชี่ยวชาญการใช้ Kali Linux คือ Kali Linux Certified Professional (KLCP) ภายในงาน Black Hat USA 2017 ที่จะจัดขึ้นในเดือนกรกฎาคมนี้

KLCP จะเป็น Certificate อย่างเป็นทางการฉบับแรก และเป็นฉบับเดียวที่ใช้ยืนยันความเชี่ยวชาญของผู้ใช้ Kali Linux โดยจะถูกพัฒนาออกมาเป็น Certificate สำหรับทั้งผู้เริ่มต้นและผู้เชี่ยวชาญทางด้าน Information Security และสายงานอื่นๆ ที่เกี่ยวข้อง Certificate นี้จะโฟกัสที่วิธีการสร้าง Custom Packages, Host Repositories, บริหารจัดการและประสานการทำงานหลายๆ Instances, สร้าง Custom ISOs และอื่นๆ

นอกจากนี้ ในวันที่ 5 มิถุนายน 2017 Kali Linux จะประกาศเปิดตัว Kali Linux Revealed: Mastering the Penetration Testing Distribution ซึ่งเป็นหนังสือคู่มือ Kali Linux Platform อย่างเป็นทางการ ซึ่งแน่นอนว่าเวอร์ชันออนไลน์จะพร้อมให้ผู้ที่สนใจดาวน์โหลดไปเรียนรู้และฝึกฝนทักษะการใช้ Kali Linux ได้ฟรี ที่สำคัญคือองค์ความรู้ในหนังสือจะถูกนำมาใช้สำหรับสอบ KLCP อีกด้วย

“พวกเราตื่นเต้นและยินดีที่จะนำเสนอเครื่องมือต่างๆ ให้กับสังคม Information Security ในช่วงเวลาที่ยากลำบากนี้ มีหลายอย่างที่แสดงให้เห็นว่าโลก Cyber Security กำลังเข้าสู่จุดวิกฤต ความสามารถเชิงเทคนิคของผู้เชี่ยวชาญทางด้าน Information Security เริ่มลดต่ำลงกว่าที่ควรจะเป็นเรื่อยๆ หลายคนไม่สามารถรับมือกับภัยคุกคามที่อยู่ตรงหน้าได้ดีพอ แต่ความต้องการผู้เชี่ยวชาญที่มีทักษะสูงกลับเพิ่มมากขึ้นอย่างเห็นได้ชัด” — Mati Aharoni หัวหน้าทีมอบรมและพัฒนา Kali Linux กล่าว

ที่มา: https://www.helpnetsecurity.com/2017/01/19/kali-linux-certification/

from:https://www.techtalkthai.com/kali-linux-certified-professional-intro/

local.jpg

พบแล้ว !! ผู้อยู่เบื้องหลัง Mirai Botnet กลับเป็นผู้ให้บริการ DDoS Protection

Brian Krebs เจ้าของ KrebsOnSecurity.com และนักสืบอาชญากรรมไซเบอร์ชื่อดัง ออกมาเปิดเผยถึงผู้ที่อยู่เบื้องหลังการพัฒนา Mirai มัลแวร์ตัวร้ายที่พุ่งเป้าเปลี่ยนอุปกรณ์ IoT ให้กลายเป็น DDoS Botnet สำหรับถล่มเป้าหมาย ที่น่าตกใจคือ บุคคลนั้นกลับเป็นผู้ให้บริการโซลูชันสำหรับรับมือการโจมตีแบบ DDoS ซะเอง

ก่อนหน้านี้ที่ซอร์สโค้ดของมัลแวร์ Mirai ถูกเผยแพร่ออกสู่สาธารณะ ผู้ที่นำซอร์สโค้ดมัลแวร์ดังกล่าวมาแจกจ่ายใช้นามปากกาว่า “Anna-Senpai” ซึ่ง Krebs ได้พยายามสืบเสาะจนพบว่า แท้ที่จริงแล้ว Anna-Senpai เชื่อมโยงกับแฮ็คเกอร์ชาว New Jersey ชื่อว่า “Para Jha” ซึ่งเป็นทั้งผู้ที่พัฒนาและแพร่กระจายมัลแวร์ Mirai ก่อให้เกิดการโจมตีไปทั่วโลกเมื่อช่วงปลายปี 2016 ที่ผ่านมา รวมไปถึง Blog ของ Krebs เอง ที่สำคัญคือ Jha ยังเป็นเจ้าของบริษัทผู้ให้บริการ DDoS Mitigation นาม ProTraf Solutions อีกด้วย

Krebs ระบุว่า สาเหตุของการพัฒนามัลแวร์ Mirai มาจากการที่ Jha และผองเพื่อนของเขา ต้องการสร้าง Botnet สำหรับใช้โจมตีเซิร์ฟเวอร์ที่ให้บริการ Minecraft แล้วล่อให้ลูกค้าที่ไม่พอใจมาใช้บริการ DDoS Mitigation ของตน เนื่องจากก่อนหน้านี้ในปี 2014 การโจมตีเซิร์ฟเวอร์ Minecraft สามารถสร้างรายได้ให้กับแฮ็คเกอร์ได้มากถึง $50,000 หรือประมาณ 1.8 ล้านบาท

นอกจากนี้ Krebs ยังได้กล่าวถึงเหตุการณ์ที่ Jha ติดต่อกับ ISP รายใหญ่เพื่อขอปิด C&C Server ของ IoT คู่แข่ง และวิธีการสร้างโค้ดไม่พึงประสงค์สำหรับจัดการ Botnet ฝ่ายตรงข้ามอย่าง Qbot ถ้า ISP ไม่สนใจคำร้องขอของ Jha เขาจะทำการโจมตีแบบ DDoS ไปที่ ISP รายนั้นเพื่อขัดขวางการทำงาน

ที่มา: https://www.theregister.co.uk/2017/01/20/krebs_mirai_authors/

from:https://www.techtalkthai.com/mirai-author-found/

local.jpg

อัปเดตฟีเจอร์ใหม่ล่าสุดของ Blue Coat และ Symantec พร้อมผสานรวมโซลูชัน

เดือนธันวาคมที่ผ่านมา Symantec + Blue Coat จัดงานเลี้ยงขอบคุณพาร์ทเนอร์ พร้อมประกาศทิศทางและกลยุทธ์ของ Blue Coat หลังถูก Symantec ควบรวมกิจการ ระบุพร้อมมุ่งสู่ความเป็นหนึ่งด้าน Endpoint, Network และ Cloud Security ในนามของ Symantec นอกจากนี้ ยังมีการอัปเดตฟีเจอร์ของทุกโซลูชันครั้งใหญ่

Blue Coat ผนวกรวมกับ Symantec เรียบร้อย พร้อมใช้ชื่อ “Symantec” ในปี 2017 นี้

คุณชาญวิทย์ อิทธิวัฒนะ ผู้จัดการฝ่ายขายประจำประเทศไทยของ Symantec + Blue Coat ระบุว่า Symantec เป็นผู้นำด้านระบบ Endpoint Security ส่วน Blue Coat ก็เป็นผู้นำด้าน Network Security เมื่อทั้งสองโซลูชันเข้าด้วยกัน ทำให้สามารถตอบโจทย์ความมั่นคงปลอดภัยแบบครบวงจร ตั้งแต่ระดับ Endpoint ไปจนถึงระดับ Network และต่อยอดไปยังระบบ Cloud ที่สำคัญคือ ตอนนี้ Symantec และ Blue Coat สามารถทำงานร่วมกันได้อย่างไร้รอยต่อเป็นที่เรียบร้อย เช่น โซลูชัน CASB ของ Blue Coat สามารถใช้ฟีเจอร์ Cloud DLP ของ Symantec เพื่อป้องกันข้อมูลบนระบบ Cloud รั่วไหลสู่สาธารณะได้

“หลังผนวกรวมกับ Blue Coat แล้ว Symantec กลายเป็นโซลูชันด้านความมั่นคงปลอดภัยไซเบอร์แบบ End-to-end อย่างแท้จริง โดยมีโซลูชันครอบคลุมตั้งแต่ระดับ Endpoint, Network ไปจนถึงระบบ Cloud ในแง่ของการทำตลาดในไทยและทั่วโลกนั้น เราพร้อมซัพพอร์ตลูกค้าและพาร์ทเนอร์เพื่อให้ Symantec กลับมาเป็นอันดับหนึ่งทางด้านระบบรักษาความมั่นคงปลอดภัยอีกครั้งหนึ่ง และในเดือนมีนาคมปีนี้เอง เราจะกลายเป็น ’Symantec’ อย่างสมบูรณ์” — คุณชาญวิทย์กล่าว

Symantec + Blue Coat ครองอันดับหนึ่งของ Gartner Magic Quadrant ถึง 4 รายการ

การันตีความเป็นหนึ่งทางด้าน Endpoint Security และ Network Security ด้วยความเป็น Leader ของ Gartner Magic Quadrant ถึง 3 รายการ ได้แก่

  • Secure Web Gateway: Blue Coat ครองตำแหน่ง Leader มายาวนานถึง 9 ปี ซึ่ง Gartner ได้ให้ความเห็นว่า “ProxySG เป็น Proxy ที่แข็งแกร่งที่สุดในตลาด”
  • Data Loss Prevention: Symantec เป็นอันดับหนึ่งทั้งทางด้าน Ability of Execute และ Completeness of Vision ซึ่งปกป้องข้อมูลสำคัญตั้งแต่ระดับ Endpoint, Network ไปจนถึง Cloud
  • Endpoint Protection: Symantec พร้อมให้บริการ Antivirus, Incident & Response และ DLP ในระดับ Endpoint ในขณะที่ Blue Coat มีบริการ Web Security สำหรับปกป้องอุปกรณ์ Endpoint จากภัยคุกคามบนอินเทอร์เน็ต
  • Managed Security Service: Symantec พร้อมให้คำปรึกษาและเฝ้าระวังภัยคุกคามด้วยทีมงานที่มีความเชี่ยวชาญ เพื่อให้สามารถตอบสนองต่อเหตุการณ์ที่ไม่พึงประสงค์ได้อย่างรวดเร็ว และเป็นระบบ

โดยสรุปแล้ว หลัง Symantec + Blue Coat พร้อมนำเสนอโซลูชัน Content Security แบบครบวงจร โดยแบ่งออกเป็น 4 กลุ่ม คือ

  • Information: Data Security, Encrypted Traffic Management, VIP/Identity และ Managed PKI
  • Users: Endpoint Protection, Endpoint Detection, Data Center และ Management & Compliance
  • Web: Web Protection, Content Analysis, CASB และ Security Analytics
  • Messaging: Email Protection, Anti-phishing, Message Security และ Encryption

ที่สำคัญคือ Global Threat Intelligence ของ Symantec และ Blue Coat ถูกผสานรวมกันเป็นที่เรียบร้อย ส่งผลให้สามารถตรวจจับภัยคุกคามทั่วโลกได้มากถึง 3,500,000 รายการต่อวัน รวมไปถึงรู้จักและสามารถควบคุมการใช้ Cloud Applications ได้มากกว่า 12,000 แอพพลิเคชัน

อัปเดตโซลูชัน Secure Web Gateway พร้อมให้บริการฟังก์ชัน Web Application Firewall ฟรี

Secure Web Gateway หรือที่รู้จักกันดีในนาม ProxySG ถูกออกแบบมาเพื่อการปกป้องพนักงานและอุปกรณ์ Endpoint ขององค์กรจากภัยคุกคามบนอินเทอร์เน็ต ป้องกันข้อมูลสำคัญรั่วไหลสู่ภายนอก รวมไปถึงควบคุมการเข้าถึงเว็บของพนักงานให้เป็นไปตามนโยบายที่บริษัทกำหนด โดยรองรับการติดตั้ง 3 แบบ คือ Appliance (ProxySG), Vitual Appliance (vSWG) และ Web Security Service (WSS)

คุณสมบัติเด่นของ Secure Web Gateway ประกอบด้วย

  • ให้บริการ Proxy สำหรับทุก Endpoint ตั้งแต่การพิสูจน์ตัวตนก่อนใช้อินเทอร์เน็ต ตรวจสอบ Content ไปจนถึงการทำ SSL Offload
  • ควบคุมการเข้าถึงเว็บไซต์ได้มากถึง 84 กลุ่มและ Cloud Service กว่า 12,000 แอพพลิเคชัน เพื่อให้เป็นไปตามนโยบายที่องค์กรกำหนด รวมไปถึงช่วยลดปัญหา Shadow IT
  • ป้องกันภัยคุกคามที่มาจากอินเทอร์เน็ต โดยสามารถกรอง URL ที่เป็นแหล่งกำเนิดของภัยคุกคามได้มากถึง 90% และสามารถทำงานร่วมกับ Content Analysis System (CAS) เพื่อตรวจจับและป้องกันมัลแวร์ได้ทั้งแบบ Known และ Unknown
  • เพิ่มประสิทธิภาพการใช้งานอินเทอร์เน็ตให้ถึงขีดสุดผ่านการทำ Video Acceleration, Split Tunneling, Dynamic Caching และ Protocol Optimization

นอกจากนี้ Secure Web Gateway ทั้ง ProxySG, Advanced Secure Gateway (ASG) และ vSWG สามารถติดตั้งในรูปของ Reverse Proxy เพื่อทำหน้าที่เป็น Web Application Firewall ได้ด้วยเช่นกัน โดยไม่จำเป็นต้องติดตั้งซอฟต์แวร์หรือสั่งซื้อ License ใดๆ เพิ่มเติม

ฟังก์ชัน Web Application Firewall มีคุณสมบัติเด่นสำคัญ 3 ประการ คือ

  • สามารถติดตั้งแบบ Inline วางขวางหน้า Web Server ที่ต้องการปกป้องได้ทันที พร้อมรองรับการพิสูจน์ตัวตนของผู้ใช้มากถึง 14 วิธี
  • ป้องกันการโจมตีเว็บแอพพลิเคชันครอบคลุม OWASP Top 10 รวมไปถึงสามารถตรวจสอบไฟล์เพื่อป้องกันการโจมตีแบบ Advanced Persistent Threats
  • แทนที่การทำ Whitelisting ด้วย “Content Nature Detection” ซึ่งเป็นระบบ Global Dynamic Profiling ที่ผ่านมาตรวจสอบจาก Symantec + Blue Coat มาเป็นอย่างดี ช่วยลดอัตราการเกิด False Positive และตรวจจับการโจมตีแบบ Zero-day ได้แม่นยำยิ่งขึ้น

ผสาน Symantec เข้าระบบ CAS และ MAA เพื่อตอบสนองภัยคุกคามเชิงรุก

Content Analysis System หรือ CAS เป็นอุปกรณ์ที่ทำงานร่วมกับ Secure Web Gateway สำหรับตรวจจับภัยคุกคามและมัลแวร์ที่มาจากอินเทอร์เน็ต ซึ่งนอกจากจะสามารถตรวจจับ Known Threats โดยใช้ Antivirus Engine ได้สูงสุดถึง 2 ยี่ห้อแล้ว ยังมีระบบ Static Code Analysis สำหรับตรวจจับ Unknown Threats ได้แบบเรียลไทม์โดยไม่จำเป็นต้องอาศัยอุปกรณ์ภายนอกเพิ่มเติม การตรวจสอบมัลแวร์ของ CAS แบ่งออกเป็น 4 ขั้นตอนดังนี้

  1. Hash Reputation: เทคนิคการทำ Whitelisting โดยอนุญาตให้ไฟล์ที่ไม่มีมัลแวร์หรือพาหะเท่านั้นที่ข้ามผ่าน Gateway เข้ามาได้
  2. Dual AV: ระบบป้องกันมัลแวร์แบบ Signature-based รองรับการเลือกใช้ AV Engine ของ McAfee, Sophos, Kaspersky Lab และ Symantec ได้สูงสุดถึง 2 ยี่ห้อพร้อมกัน
  3. Predictive File Analysis: วิเคราะห์ไฟล์ด้วยเทคนิคทางคณิตศาสตร์เพื่อค้นหา Advanced Threats หรือ Zero-day Attack แบบเรียลไทม์ โดยไม่ต้อง Execute ไฟล์นั้นๆ
  4. Behavioral Analysis: เทคนิคการตรวจจับ Advanced Threats และ Zero-day Attack ระดับสูง โดยอาศัยการทำ Advanced Sandboxing เพื่อวิเคราะห์พฤติกรรมของการ Execute ไฟล์ ซึ่ง CAS มี API สำหรับส่งไฟล์ไปตรวจสอบต่อใน Malware Analysis Appliance (MAA) หรือ Sandbox ของ FireEye และ LastLine

อย่างไรก็ตาม ภัยคุกคามในปัจจุบัน เช่น Advanced Persistent Threats มีการพัฒนาเทคนิคใหม่ๆ เพื่อหลบเลี่ยงระบบตรวจจับ รวมไปถึง Sandbox กล่าวคือ ถ้ามัลแวร์ทราบว่าตัวเองกำลังรันอยู่ใน Virtual Machine ก็จะนิ่งเงียบ ไม่แสดงพฤติกรรมใดๆ ให้ระบบตรวจจับได้ Malware Analysis Appliance (MAA) เป็นโซลูชัน Advanced Sandboxing ของ Symantec + Blue Coat ที่ออกแบบมาเพื่อรับมือกับปัญหาดังกล่าว โดยมีคุณสมบัติ Dual-Detection Hybrid Analysis กล่าวคือ นอกจาก Virtual Machine แล้ว MAA ยังมี PC Emulator สำหรับใช้ตรวจสอบพฤติกรรมของมัลแวร์ที่หลบเลี่ยงการรันบน Virtual Machine ได้อีกด้วย นอกจากนี้ Virutal Machine ของ MAA เองยังรองรับการติดตั้งซอฟต์แวร์เพิ่มเติม เพื่อให้เหมือนการใช้งานในสภาวะแวดล้อมจริงมากยิ่งขึ้น

ที่สำคัญคือ เมื่อ CAS และ MAA ของ Blue Coat ตรวจพบภัยคุกคามแล้ว สามารถแจ้งเตือนไปยัง Endpoint Protection ของ Symantec เพื่อเตรียมรับมือกับภัยคุกคามรูปแบบเดียวกันในอนาคตได้ ซึ่งเป็นการเสริมความมั่นคงปลอดภัยเชิงรุกให้แก่อุปกรณ์ Endpoint ขณะใช้งานนอกองค์กร

แผนภาพด้านล่างแสดงขั้นตอนการวิเคราะห์และตรวจจับมัลแวร์ของ Symantec + Blue Coat โดยสรุป

Symantec SEP 14 พร้อมฟีเจอร์ใหม่รับมือกับ Advanced Threats โดยเฉพาะ

Symantec Endpoint Protection 14 หรือ SEP 14 เป็นโซลูชัน Next-generation Endpoint Protection ล่าสุดของ Symantec ที่ถูกออกแบบมาเพื่อปกป้องอุปกรณ์ Endpoint จากทั้ง Known และ Unknown Threats โดยมีการเพิ่มประสิทธิภาพให้ดีกว่าเวอร์ชันก่อนหน้านี้ถึง 15% และกินทรัพยากรของเครื่องต่ำ ที่สำคัญคือ SEP 14 มีการเพิ่มคุณสมบัติ Incident Response ซึ่งช่วยแจ้งเตือนผู้ดูแลระบบให้สามารถรับมือกับภัยคุกคามได้อย่างรวดเร็ว

ฟีเจอร์เด่นของ SEP 14 ประกอบด้วย

  • Host-based Firewall & Intrusion Prevention: บล็อกมัลแวร์ก่อนที่จะแพร่กระจายเข้าสู่เครื่อง และคัดกรองทราฟฟิค
  • Application and Device Control: ควบคุมการใช้อุปกรณ์และแอพพลิเคชัน ตรวจสอบพฤติกรรมผู้ใช้ รวมไปถึงการทำ Blacklisting และ Whitelisting
  • Memory Exploit Mitigation: ป้องกัน Zero-day Exploits ผ่านทางช่องโหว่ของซอฟต์แวร์
  • Reputation Analysis: ตรวจสอบว่าไฟล์และเว็บไซต์ที่กำลังเข้าถึงมาจากช่องทางที่ไม่พึงประสงค์หรือไม่
  • Advanced Machine Learning: ตรวจจับ Known และ Unknown Threats ร่วมกับระบบ Intelligent Threat Cloud ตั้งแต่ Pre-execution Phase โดยไม่ต้องใช้ Signatures
  • Emulator: เทคนิค Anti-evasion สำหรับตรวจจับมัลแวร์ที่แอบซ่อนตัวจากระบบตรวจจับ
  • Antivirus: ตรวจจับและกำจัดมัลแวร์บนระบบคอมพิวเตอร์
  • Behavior Monitoring: เฝ้าระวังและบล็อกไฟล์ที่มีพฤติกรรมต้องสงสัยหรือผิดแปลกไปจากปกติ
  • Intelligent Threat Cloud: ตรวจสอบภัยคุกคามด้วยฐานข้อมูลล่าสุดบนระบบ Cloud ซึ่งช่วยลดขนาดของ Signature ลงได้ถึง 70% รวมถึงช่วยลดภาระการทำงานของ Agent

นอกจากนี้ SEP 14 ยังเพิ่มฟีเจอร์สำหรับทำ Incident Response เพื่อให้ตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วและมีประสิทธิภาพ ดังนี้

  • Power Eraser: กำจัดมัลแวร์อย่างถอนรากถอนโคน
  • Host Integrity: ตรวจจับการเปลี่ยนแปลงที่ผิดปกติ กักกันอุปกรณ์เพื่อควบคุมการแพร่กระจาย และประเมินความเสียหายที่เกิดขึ้น
  • System Lockdown: ทำ Blacklist และ Whitelist สำหรับแอพพลิเคชันที่ต้องสงสัย และที่เชื่อถือได้
  • Secure Web Gateway Integration: ทำงานร่วมกับ Secure Web Gateway เพื่อแจ้งเตือนและรับมือกับภัยคุกคามแบบเชิงรุก
  • EDR Console: ทำงานร่วมกับ Symantec ATP Endpoint เพื่อตรวจจับและรับมือกับภัยคุกคามระดับสูงโดยไม่ต้องติดตั้ง Agent เพิ่มเติม

กล่าวโดยสรุป SEP 14 เป็นการรวม 4 ฟีเจอร์เข้าด้วยกัน ได้แก่ Anti-malware, Next-generation Endpoint Protection, Exploit Prevention และ Endpoint Detection & Response

Symantec DLP ป้องกันข้อมูลรั่วไหลสู่สาธารณะอย่างอัจฉริยะ

Data Loss Prevention หรือ DLP เป็นโซลูชันด้านความมั่นคงปลอดภัยพื้นฐานขององค์กร เพื่อปกป้องข้อมูลสำคัญและข้อมูลความลับ เช่น ทรัพย์สินทางปัญญา ข้อมูลส่วนบุคคล ข้อมูลทางการเงิน และอื่นๆ ไม่ให้รั่วไหลออกจากองค์กรสู่สาธารณะ ซึ่งสิ่งท้าทายที่สุดสำหรับผู้ดูแลระบบคือการกำหนดเงื่อนไขสำหรับตรวจสอบข้อมูลเหล่านั้นได้อย่างแม่นยำและมีประสิทธิภาพ

ฟังก์ชัน DLP ที่มาพร้อมกับอุปกรณ์ด้านความมั่นคงปลอดภัย เช่น Next-generation Firewall, Secure Web Gateway มักต้องกำหนดเงื่อนไขของการตรวจสอบข้อมูลสำคัญผ่าน Keyword หรือ Regular Expression ซึ่งทำได้ยาก ไม่ครอบคลุม และโอกาสเกิด False Positive สูง Symactec DLP จึงนำเสนอเทคนิคอัจฉริยะ 5 รายการเพื่อช่วยให้ผู้ดูแลระบบสามารถกำหนดเงื่อนไขการตรวจจับข้อมูลสำคัญได้อย่างรวดเร็วและอัตโนมัติ

  1. Described Content Matching: ระบุ Keyword หรือ Regular Expression เพื่อกำหนดรูปแบบของข้อมูลสำคัญด้วยตนเอง
  2. Exact Data Matching: เปรียบเทียบข้อมูลที่ออกจากองค์กรกับฐานข้อมูลสำคัญที่กำหนดไว้แต่แรก
  3. Indexed Document Matching: สร้างเงื่อนไขผ่านการทำ Hashing ข้อมูลแต่ละส่วนในไฟล์เอกสารสำคัญ ถ้าข้อมูลในไฟล์เอกสารอื่นมีผลลัพธ์การ Hashing ตรงกัน ระบบจะทำการบล็อกเพื่อป้องกันข้อมูลรั่วไหล
  4. Vector Machine Learning: จัดทำ Keyword จากไฟล์เอกสารสำคัญโดยอัตโนมัติ เพื่อนำไปเป็นเงื่อนไขในการตรวจสอยการรั่วไหลของข้อมูล
  5. Form Recognition: กำหนด Form ที่ระบุข้อมูลสำคัญ ถ้าพบว่ามีการกรอกข้อมูลลงบน Form นั้นๆ แล้วส่งออกภายนอก ระบบจะทำการบล็อกทันที

นอกจากนี้ Symantec DLP ยังสามารถทำงานร่วมกับ Symactec ClouSOC หรือ CASB เพื่อป้องกันข้อมูลสำคัญขององค์กรถูกเคลื่อนย้ายไปสู่ระบบ Cloud โดยไม่ได้รับอนุญาตได้อีกด้วย

แนะนำโซลูชันอื่นๆ จาก Symantec + Blue Coat

นอกจากหลายโซลูชันที่มีการอัปเดตฟีเจอร์ครั้งใหญ่มากมาย Symantec + Blue Coat ยังนำเสนอโซลูชันอื่นๆ ที่พร้อมตอบโจทย์ความต้องการของลูกค้าในสภาวะแวดล้อมแบบต่างๆ ตั้งแต่การป้องกันในระดับ Endpoint ไปจนถึงระดับ Network และ Cloud ดังนี้

  • Blue Coat Advanced Secure Gateway: Appliance ที่ผสานรวมโซลูชัน Secure Web Gateway และ Content Analysis System ไว้ภายในฮาร์ดแวร์เดียวกัน ซึ่งช่วยควบคุมการใช้งานอินเทอร์เน็ตของพนักงานในองค์กร พร้อมทั้งปกป้องพวกเขาจากภัยคุกคามทั้ง Known และ Unknown Threats ภายในอุปกรณ์เดียวกัน รวมถึงช่วยลดความยุ่งยากในการติดตั้ง บริหารจัดการ และบำรุงรักษา
  • Blue Coat Encrypted Traffic Management: อุปกรณ์สำหรับทำถอดรหัส SSL แล้วส่งข้อมูลแบบ Plain-text ต่อไปให้อุปกรณ์อื่นๆ เช่น Next-generation Firewall, IPS, Sandbox และ DLP เพื่อทำการประมวลผลและคัดกรองทราฟฟิค ภายใต้แนวคิด “Decrypt Once – Feed Many” ซึ่งช่วยเพิ่มประสิทธิภาพและลดภาระการถอดรหัสได้สูงสุดถึง 80%
  • Blue Coat Security Analytics: อุปกรณ์สำหรับเก็บข้อมูลทราฟฟิคทั้งหมด พร้อมสร้าง Metadata เพื่อให้ค้นหาข้อมูลได้อย่างรวดเร็ว เปรียบเสมือนเป็นกล้องวงจรปิดซึ่งช่วยให้ผู้ดูแลระบบสามารถดูทราฟฟิคย้อนหลังเมื่อมี Incident เกิดขึ้น เพื่อทำการตรวจสอบ วิเคราะห์ และเก็บหลักฐานที่เกี่ยวข้องกับเหตุการณ์ภัยคุกคามได้
  • Blue Coat CASB: Cloud Access Security Broker หรือ CASB เป็นโซลูชัน Cloud SOC สำหรับบริหารจัดการและควบคุมการใช้ Cloud Applications เช่น Office 365, Salesforce, Dropbox และอื่นๆ ให้เป็นไปตามนโยบายที่องค์กรกำหนด เพื่อลดปัญหา Shodow IT และ Shadow Data อันเนื่องมาจากการใช้ Cloud Applications โดยไม่ได้รับอนุญาต
  • Blue Cloud Data Protection: โซลูชันสำหรับปกป้องข้อมูลสำคัญขององค์กรตั้งแต่เดินทางออกไปยังระบบ Cloud ระหว่างถูกจัดเก็บอยู่ในระบบ Cloud และเมื่อถูกนำไปใช้ โดยอาศัยเทคนิคสำคัญ 2 ประการคือ Encryption และ Tokenization ถึงแม้ว่าข้อมูลจะถูกดักฟังหรือรั่วไหลสู่ภายนอก บุคคลที่สามและแฮ็คเกอร์ก็ไม่สามารถอ่านหรือเข้าใจได้
  • Symantec Endpoint Management: ตรวจสอบและบริหารจัดการการตั้งค่าบนอุปกรณ์ Endpoint ให้เป็นไปตามนโยบายขององค์กรโดยอัตโนมัติ เช่น ติดตั้งแอพพลิเคชันเชิงธุรกิจ อัปเดตแพทช์ล่าสุด ตั้งค่าการใช้อีเมลและระบบเครือข่ายไร้สาย รวมไปถึงแก้ไขปัญหาต่างๆ ที่เกิดขึ้น โดยรองรับทั้ง Windows, Mac OS X และ Linux
  • Symantec Encryption: โซลูชันสำหรับเข้ารหัสข้อมูลบนฮาร์ดดิสก์ อุปกรณ์ต่อพ่วง ไฟล์ที่แชร์ผ่านเครือข่าย อีเมล และอุปกรณ์พกพา สำหรับกรณีที่อุปกรณ์สูญหายหรือถูกขโมย นอกจากนี้ ยังสามารถทำงานร่วมกับ Symantec DLP เพื่อเข้ารหัสเฉพาะข้อมูลสำคัญได้
  • Symantec Advanced Threat Protection Platform: ระบบตรวจจับและแจ้งเตือนภัยคุกคามระดับสูง ไม่ว่าจะเป็น Unknown Malware หรือ Zero-day Exploits ทั้งบนระบบเครือข่าย ระบบอีเมล และ อุปกรณ์ Endpoint โดยใช้เทคโนโลยีสำคัญหลายประการ เช่น IoC Feeds, IPS, Antivirus, Reputation Analysis, Endpoint Behaviors, Machine Learning และ Cloud-based Sandboxing & Correlation
  • Symantec Data Center Security: โซลูชันที่ถูกออกแบบมาเพื่อป้องกันภัยคุกคามบนเซิร์ฟเวอร์ภายในห้อง Data Center โดยเฉพาะ ซึ่งครอบคลุมระบบ Virtualization, Platforms, Cloud Providers/Platforms และ Containers โดยมีฟีเจอร์เด่น ได้แก่ Host-based IPS, Sandboxing & Process Access Control, File & System Tamper Prevention, Memory Control, Real-time File Integrity Monitoring, Configuration Monitoring และอื่นๆ
  • Symantec Secure Mail Gateway: โซลูชันการป้องกันมัลแวร์และ SPAM สำหรับระบบอีเมล ซึ่งมาพร้อมกับคุณสมบัติ Adaptive Reputation Management ที่สามารถกรอง SPAM จากผู้ส่งที่ไม่พึงประสงค์ได้มากถึง 95% นอกจากนี้ยังมีระบบ DLP สำหรับป้องกันข้อมูลสำคัญในอีเมลรั่วไหลสู่ภายนอก และระบบการเข้ารหัสอีเมลเพื่อเพิ่มความมั่นคงปลอดภัยให้ถึงขีดสุด

Cyber Security Services: บริการ Managed Security Services ของ Symantec ซึ่งพร้อมดูแล ให้คำปรึกษา เฝ้าระวัง และแจ้งเตือนเมื่อมีภัยคุกคามหรือเหตุการณ์ผิดปกติเกิดขึ้นบนระบบเครือข่ายอันแสนสำคัญของลูกค้า รวมไปถึงมีบริการอบรมเพื่อเพิ่มพูนศักยภาพด้านความมั่นคงปลอดภัยให้แก่พนักงานในองค์กร

ภาพด้านล่างแสดงโซลูชันรวมทั้งหมดของ Symantec และ Blue Coat ทั้งแบบ On-premise และ Cloud-based ภายใน 1 หน้า

ปิดท้ายด้วยรูปทีมงาน Symantec + Blue Coat ครับ

from:https://www.techtalkthai.com/symantec-blue-coat-intro-to-2017/

local.jpg

พยากรณ์แนวโน้มด้านความมั่นคงปลอดภัยปี 2017 โดย Cisco

ปี 2016 ที่ผ่านมาจะเห็นว่ามีภัยคุกคามแบบใหม่ๆ เกิดขึ้นมากมาย ส่งผลให้ตลาดด้าน Security เติบโตอย่างรวดเร็ว ทาง Gartner คาดการณ์ว่าตลาด Cybersecurity จะพุ่งทะลุ 3.5 ล้านล้านบาทในปี 2019 ถึงแม้ว่าแต่ละ Vendor จะออกโซลูชันด้าน Security ที่มีฟีเจอร์มาให้เลือกใช้มากมาย แต่สิ่งที่ลูกค้าต้องการจริงๆ ยังคงเป็นประเด็น 3 ข้อพื้นฐาน คือ

  • การควบคุมคนที่เข้ามาในระบบเครือข่าย
  • ไม่รู้ว่าระบบเครือข่าย ณ ตอนนี้มีช่องโหว่ให้โดนโจมตีหรือไม่
  • ไม่แน่ใจว่าจะตอบสนองต่อภัยคุกคามได้อย่างไร

Credit: Maksim Kabakou/ShutterStock

 

Cisco จึงได้พยากรณ์แนวโน้มของโซลูชันด้าน Enterprise Network Security ในปี 2017 นี้ ดังนี้

1. Integrated Security

IDC คาดการณ์ว่าในปี 2020 จะมีอุปกรณ์ใหม่เชื่อมต่อกับระบบอินเทอร์เน็ต 1,000,000 เครื่องทุกชั่วโมง เมื่อมีอุปกรณ์และแอพพลิเคชันออนไลน์มากขึ้น ย่อมส่งผลให้เกิดช่องทางที่แฮ็คเกอร์สามารถใช้โจมตีได้มากขึ้นตาม เพื่อลดความเสี่ยงและความซับซ้อนลง Security จำเป็นต้องผสานรวมอยู่ในทั้งโซลูชันฮาร์ดแวร์และซอฟต์แวร์ และแต่ละโซลูชันต้องทำงานร่วมกันได้เพื่อให้เกิดเป็น Multilayer Protection ที่สำคัญคือสถาปัตยกรรมโครงสร้างต้องเป็นแบบเปิด ง่าย และทำงานได้โดยอัตโนมัติ

2. Visibility จะถูกปรับปรุงให้ดียิ่งขึ้น

รายงานจาก Ponemon Institute 76% ของผู้เชี่ยวชาญด้าน IT ระบุว่า การขาดความสามารถด้าน Visibility ถือเป็นปัญหาใหญ่ในการตรวจจับภัยคุกคาม จึงเป็นเรื่องสำคัญมากที่ผู้ดูแลระบบจะต้องทราบว่าเกิดอะไรขึ้นระบบเครือข่าย ไม่ว่าจะเป็นระดับแอพพลิเคชัน ผู้ใช้ หรือแม้แต่อุปกรณ์

3. เน้นการทำ Analytics

จากการสำรวจของ SANS Institute พบว่าหลายองค์กรมีการนำระบบ Analytics เข้ามาใช้เสริมกลยุทธ์ด้าน Security ประเภทและจำนวนของข้อมูลที่เก็บรวบรวมยิ่งมีมากเท่าไหร่ ยิ่งร่นระยะเวลาในการตรวจจับภัยคุกคามได้มากเท่านั้น การพิจารณาบริบทรอบข้างและกระบวนการทางด้าน Intelligence ต่างๆ ช่วยให้มองเห็นรายละเอียดเชิงลึกของสถานการณ์มากขึ้น รวมไปถึงช่วยให้ตรวจจับสิ่งผิดปกติและพฤติกรรมที่ไม่พึงประสงค์ของผู้ใช้ได้อย่างแม่นยำ

4. เดินหน้าไประบบ Cloud

ปฏิเสธไม่ได้ว่าในอนาคตทุกองค์กรจะเดินหน้าไปใช้ระบบ Cloud เนื่องจากมีความยืดหยุ่น ใช้งานง่าย และสามารถขยายระบบได้อย่างอิสระ ส่ิงที่ตามมาติดๆ ย่อมเป็น Security บนระบบ Cloud ในปีนี้ คาดการณ์ว่าจะได้เห็นการปกป้องข้อมูลและแอพพลิเคชันที่ใช้งานบนระบบ Cloud มากขึ้น โดยเฉพาะ Cloud-delivered และ Cloud-administered Security โซลูชันเหล่านี้ช่วยให้ผู้ดูแลระบบสามารถติดตั้งและใช้งานระบบ Cloud ที่มีความมั่นคงปลอดภัยได้อย่างรวดเร็วและง่ายต่อการจัดการ

ที่มา: http://blogs.cisco.com/enterprise/2017-enterprise-network-security-trends

from:https://www.techtalkthai.com/enterprise-network-security-predictions-2017/

local.jpg

7 ประเด็นที่ต้องตั้งคำถามก่อนซื้อ Web Application Firewall

ในยุค Digital Economy นี้ หลายองค์กรมีการนำเทคโนโลยีเข้ามาสนับสนุนธุรกิจของตนมากขึ้น หนึ่งในการเปลี่ยนแปลงที่เห็นชัดที่สุดคือการให้บริการลูกค้าออนไลน์ ซึ่งส่วนใหญ่มักกระทำผ่านเว็บแอพพลิเคชัน เช่น การชำระค่าบริการออนไลน์ การซื้อของออนไลน์ หรือการให้บริการ Content ออนไลน์ เป็นต้น กล่าวได้ว่า เว็บแอพพลิเคชันกลายเป็นหน้าบ้านอันแสนสำคัญสำหรับองค์กร

Web Application Firewall ระบบป้องกันภัยคุกคามสำหรับเว็บแอพพลิเคชันโดยเฉพาะ

บริษัทที่ประสบความสำเร็จในยุค Digital Economy ย่อมทราบดีกว่า เว็บแอพพลิเคชันมีความสำคัญต่อแบรนด์และชื่อเสียงของพวกเขามากเพียงใด การปล่อยให้เว็บแอพพลิเคชันถูกแฮ็คหรือถูกโจมตีย่อมส่งผลกระทบต่อความน่าเชื่อถือและความไว้วางใจของลูกค้า การกำหนดนโยบายและวางมาตรการควบคุมจึงกลายเป็นสิ่งสำคัญที่ทำให้เว็บแอพพลิเคชันมั่นคงปลอดภัยอยู่เสมอ หนึ่งในมาตรการที่ใช้รับมือกับการโจมตีไซเบอร์ได้อย่างมีประสิทธิภาพ คือ Web Application Firewall (WAF)

Web Application Firewall ต่างจาก Firewall ทั่วไปตรงที่ถูกออกแบบมาเพื่อตรวจจับและป้องกันภัยคุกคามที่พุ่งเป้ามายังเว็บแอพพลิเคชันโดยเฉพาะ เช่น SQL Injection, Cross-site Scripting, CSRF และอื่นๆ ซึ่งปัจจุบันนี้ มีผู้ให้บริการ Web Application Firewall เป็นจำนวนมาก ทั้งในรูปของอุปกรณ์ฮาร์ดแวร์ Appliance และโซลูชันบนระบบ Cloud … คำถามคือ แล้วเราควรจะเลือกใช้ Web Application Firewall แบบใด ยี่ห้อไหน จึงจะเหมาะสมกับองค์กรมากที่สุด ?

7 ประเด็นที่ต้องพิจารณาเมื่อเลือกซื้อ Web Application Firewall

Akamai ผู้ให้บริการระบบ CDN และโซลูชัน Cloud Security ชั้นนำของโลก ได้ให้คำแนะนำในการเลือกซื้อ Web Application Firewall โดยผู้ใช้ควรพิจารณาถึงคำถามเหล่านี้ขณะ POC หรือก่อนตัดสินใจซื้อกับ Vendor ซึ่งมีทั้งหมด 7 ข้อ ดังนี้

1. Throughput ที่เราจำเป็นต้องใช้มีขนาดเท่าไหร่ ?

WAF ทำหน้าที่ปกป้องเว็บไซต์และแอพพลิเคชันผ่านการตรวจสอบ HTTP และ HTTPS Request ซึ่งช่วยหลีกเลี่ยงการรั่วไหลของข้อมูลสู่ภายนอก การเปลี่ยนหน้าเว็บไซต์ และการเข้าควบคุม Web Server แต่การตรวจสอบเหล่านี้ย่อมมาพร้อมกับความหน่วง (Latency) ซึ่งทำให้เข้าถึงเว็บแอพพลิเคชันได้ช้าลง กล่าวคือ ถ้าขนาดของการโจมตี (หรือทราฟฟิคของการใช้งานปกติ) สูงเกินกว่า Throughput ของ WAF อาจทำให้ WAF ประมวลผลทราฟฟิคได้ช้ากว่าปกติ หรือเลวร้ายที่สุดคือ WAF อาจหยุดการทำงานแล้วปล่อยผ่านทราฟฟิค (Fail Open) หรือบล็อกทราฟฟิคทั้งหมดแทนได้ (Fail Close)

โดยปกติแล้ว Throughput ของ WAF จะถูกจำกัดโดยประสิทธิภาพของฮาร์ดแวร์ ซึ่ง WAF แบบ On-premise จะมี Throughput สูงสุดประมาณ 2 Gbps ในขณะที่ถ้าเป็น WAF แบบ Cloud-based จะสามารถขยาย Throughtput ได้มากกว่านั้น ซึ่งเหมาะสำหรับองค์กรขนาดใหญ่ที่ต้องให้บริการระบบออนไลน์แก่ลูกค้าเป็นจำนวนมาก

2. ความสามารถในการตรวจจับการโจมตีรูปแบบใหม่ๆ เป็นอย่างไร ?

ยิ่ง Vendor และ WAF เฝ้าสังเกตการโจมตีมากเท่าไหร่ ยิ่งสามารถเรียนรู้วิธีการโจมตี รวมไปถึงคุณลักษณะต่างๆ ได้ดีมากเท่านั้น ผู้ใช้ควรถาม Vendor ให้ชัดเจนว่า “มีการเก็บข้อมูลการโจมตีหรือไม่?”, “จากที่ไหนบ้าง?”, “อัปเดตข้อมูลบ่อยแค่ไหน?” และ “เอาข้อมูลมาใช้เพื่อเพิ่มความมั่นคงปลอดภัยได้อย่างไร?”

ส่วนใหญ่แล้ว WAF แบบ On-premise สามารถประมวลผลข้อมูลที่วิ่งมายังเว็บแอพพลิเคชันที่ป้องกันอยู่ได้เท่านั้น ส่งผลให้บาง Vendor ต้องซื้อ Threat Feeds จากผู้ให้บริการรายอื่น หรือพึ่งพาเฉพาะข้อมูลที่ลูกค้าแชร์ให้เพียงอย่างเดียว การรู้ที่มาที่ไปของข้อมูลการโจมตีที่ใช้อัปเดตอุปกรณ์ย่อมช่วยให้ผู้ใช้สามารถประเมินคุณภาพของ WAF ได้เป็นอย่างดี

3. Vendor ที่เราเลือกมีบริการ Threat Intelligence หรือไม่ ?

ข้อมูลการโจมตีนับได้ว่าเป็นส่ิงสำคัญในการสร้าง Threat Intelligence … “ข้อมูลการโจมตีถูกจัดเก็บและนำมาใช้หรือไม่?”, “Vendor นำข้อมูลเหล่านั้นมาเพิ่มความมั่นคงปลอดภัยได้อย่างไร?”, “Vendor มี Framework ในการทดสอบก่อนนำข้อมูลเหล่านั้นมาอัปเดตที่ WAF หรือไม่?” และ “ข้อมูลการโจมตีถูกนำมาใช้เพื่อปรับแต่ง WAF Rules ได้อย่างไร?” … เหล่านี้คือคำถามที่ผู้ใช้ควรถาม Vendor เพื่อให้ทราบถึงศักยภาพด้าน Threat Intelligence และเพื่อให้รู้ว่า WAF ที่เลือกใช้งานสามารถปรับแต่งให้สอดคล้องกับการโจมตีรูปแบบใหม่ๆ ได้อย่างยืดหยุ่นหรือไม่

4. ใครสามารถบริหารจัดการ Web Application Firewall ของเราได้บ้าง ?

WAF แบบ Cloud-based มักถูกบริหารจัดการและดูแลโดยพาร์ทเนอร์ MSSP หรือทาง Vendor เอง ซึ่งปกติแล้วสามารถควบคุม WAF ได้ผ่านทาง Web GUI ไม่ว่าจะเป็นการตั้งค่า Rules การติดตามทราฟฟิค การอัปเดต White/Black Lists และอื่นๆ ในขณะที่ WAF แบบ On-premise ส่วนใหญ่จะเน้นเพียงแค่การขายอุปกรณ์แล้วจบไป ไม่มีบริการเสริมสำหรับบริหารจัดการและปรับแต่งอุปกรณ์ให้สามารถปกป้องเว็บแอพพลิเคชันได้อย่างมั่นคงปลอดภัย ผู้ใช้จำเป็นต้องว่าจ้างพนักงานเข้ามาตั้งค่า บริหารจัดการ และอัปเดต Rules ต่างๆ ที่สำคัญคือต้องสามารถวิเคราะห์แนวโน้มการโจมตีเพื่อให้สามารถป้องกันแบบเชิงรุกได้ ดังนั้น ต้องไม่ลืมคำนวณค่าจ้างพนักงานเพิ่มเติมเป็นส่วนหนึ่งของ OpEx ด้วย

5. อัตราการเกิด False Negative ของ Web Application Firewall ที่เราเลือกสูงแค่ไหน ?

ไม่มี WAF ใดที่สามารถป้องกันภัยคุกคามได้ 100% ตัวชี้วัดประสิทธิผลด้านความมั่นคงปลอดภัยของ WAF ที่สำคัญคืออัตราการเกิด False Negative ซึ่งเป็นตัวเลขที่ระบุจำนวนการโจมตีที่ WAF ไม่สามารถตรวจจับได้และปล่อยผ่านทราฟฟิคอันตรายเข้าสู่เว็บแอพพลิเคชัน ยิ่ง False Negative มีค่ามากเท่าไหร่ WAF ยิ่งมีคุณภาพแย่มากเท่านั้น ผู้ใช้ควรถามวิธีการชี้วัด False Negative จาก Vendor รวมไปถึงอัตราการเกิด False Negative ของซอฟต์แวร์เวอร์ชันล่าสุด

6. แล้วอัตราการเกิด False Positive ล่ะ ?

เช่นเดียวกับ False Negative อีกหนึ่งตัวชี้วัดประสิทธิผลที่สำคัญของ WAF คือ อัตราการเกิด False Positive ซึ่งระบุจำนวน Request ปกติของผู้ใช้ที่ WAF ประมวลผลผิดว่าเป็นภัยคุกคาม ย่ิง False Positive มีค่ามากเท่าไหร่ WAF ยิ่งตรวจจับทราฟฟิคปกติผิดพลาดมากเท่านั้น ซึ่งอาจส่งผลต่อความพึงพอใจในการใช้งานเว็บแอพพลิเคชันของลูกค้าได้

WAF ที่มีอัตรา False Negative ต่ำ มักจะมี False Positive สูง หรือในทางกลับกัน WAF ที่มีอัตรา False Negative สูง ก็มักจะมี False Positive ต่ำ ซึ่งโซลูชัน WAF โดยส่วนใหญ่มักให้ผู้ใช้เป็นคนเลือกระหว่าง 2 ทางเลือกนี้ ผู้ใช้อาจต้องตัดสินใจว่าจะยอมทนบล็อกลูกค้าหรือจะปล่อยให้การโจมตีผ่านไปได้

7. Web Application Firewall ที่เลือกมีการทำ Rate Control, Brute Force Protection และ DDoS Mitigation หรือไม่ ?

WAF แบบ Cloud-based ในปัจจุบันส่วนใหญ่มาพร้อมกับฟีเจอร์ DDoS Mitigation, Rate Control และ Brute Force Protection เนื่องจากแฮ็คเกอร์ในปัจจุบันมักผสานหลายเทคนิคในการโจมตีเว็บแอพพลิเคชัน เช่น เบี่ยงเบนความสนใจเหยื่อด้วยการโจมตีแบบ DDoS ไปก่อน จากนั้นก็สอดแทรกการโจมตีที่ใช้ขโมยข้อมูลแฝงเข้ามาด้วยโดยที่เหยื่อไม่รู้ตัว ในกรณีที่ WAF ที่เลือกไม่มีฟีเจอร์สำหรับรับมือกับการโจมตีแบบ DDoS แนะนำให้ผู้ใช้หาโซลูชันเสริม เพื่อเพิ่มความมั่นคงปลอดภัยแก่เว็บแอพพลิเคชันให้ถึงขีดสุด

Akamai ร่วมกับ WIT พร้อมให้บริการ Web Security ในประเทศไทย

Akamai ได้จับมือเป็นพันธมิตรร่วมกับ บริษัท เวิลด์ อินฟอร์เมชั่น เทคโนโลยี จำกัด (WIT) ผู้มีประสบการณ์ในการติดตั้งและวางระบบ IT Infrastructure มานานกว่า 27 ปี เพื่อให้มั่นใจได้ว่า สามารถส่งมอบบริการ CDN และโซลูชัน Web Security ให้แก่ผู้ใช้ในประเทศไทยได้อย่างมีประสิทธิภาพ และคืนผลกำไรได้อย่างรวดเร็ว

จนถึงวันนี้ Akamai ได้ให้บริการ CDN แบบ Next-generation แก่องค์กรที่มีชื่อเสียงทั่วโลกมากกว่า 1,000 ราย เช่น Standard Chartered, Cathay Pacific, KKBOX, Adobe และ IBM ซึ่งในไทยเอง ด้วยความสนับสนุนจาก WIT ก็ได้ให้บริการแก่บริษัทชั้นนำทั่วประเทศมากกว่า 10 แห่ง ผู้ที่สนใจสามารถสอบถามรายละเอียดเพิ่มเติมได้ที่อีเมล sales@wit.co.th หรือโทร 02-237-3555

from:https://www.techtalkthai.com/7-questions-ask-before-buying-waf/

local.jpg

คอร์สฟรี Kali Linux Hacking Lab สำหรับผู้เริ่มต้น

สำหรับผู้เริ่มต้นที่ต้องการศึกษาการใช้ Kali Linux ในการทดสอบเจาะระบบและเรียนรู้การใช้เครื่องมือต่างๆ สามารถลงคอร์ส Kali Linux Hacking Lab for Beginners บน Udemy ได้ฟรี ช่วงนี้เท่านั้น

จุดประสงค์ของคอร์ส Kali Linux Hacking Lab for Beginners คือการสร้างพื้นฐานการแฮ็คอย่างถูกจริยธรรมและการใช้ Kali Linux เบื้องต้นสำหรับทดลองเจาะระบบรูปแบบต่างๆ รวมไปถึงการใช้เครื่องมือ เช่น NMAP และ Wireshark คอร์สนี้เหมาะสำหรับผู้เริ่มต้นทำ Penetration Testing ตั้งแต่ยังไม่เคยมีประสบการณ์มาก่อนหรือมีประสบการณ์เล็กน้อย

เนื้อหาภายในคอร์สประกอบด้วย

  • บทนำ – การแฮ็คอย่างมีจริยธรรม (Ethical Hacking)
  • การสร้าง Virtual Hacking Lab – ติดตั้ง Virtual Machine และ Kali Linux
  • การทำ Footprinting โดยใช้ NMAP
  • การดักจับรหัสผ่านและไฟล์ข้อมูลโดยใช้ Wireshark
  • การแฮ็ค WordPress เบื้องต้น

รวม 17 บทเรียน ระยะเวลา 1 ชั่วโมงครึ่ง

ผู้ที่สนใจสามารถลงทะเบียนเรียนได้ฟรีที่ http://bit.ly/2iQHUQ1 (Udemy Coupon Code: BESTBLACKHAT)

from:https://www.techtalkthai.com/kali-linux-hacking-lab-for-beginners/

local.jpg

เหตุใด SIEM ยังไม่เพียงพอ?

ในช่วงเวลาหลายปีที่ผ่านมาปฏิเสธไม่ได้ว่าระบบ SIEM (Security Information and Event Management) เป็นระบบที่อยู่คู่กับศูนย์เฝ้าระวังด้านความมั่นคงปลอดภัย (Security Operation Center) นั้น เป็นเทคโนโลยีที่สำคัญที่ทุกองค์กรต้องมี แต่เนื่องด้วยภัยคุกคามไซเบอร์และอุปกรณ์ทางด้านฮาร์ดแวร์/ซอฟต์แวร์นั้นได้เปลี่ยนแปลงรูปแบบไปมากในปัจจุบัน จึงทำให้ระบบ SIEM ที่เคยมีประสิทธิภาพสูง ไม่สามารถตรวจจับภัยคุกคามที่ถูกปรับปรุงให้มีรูปแบบใหม่ๆ และมีความซับซ้อนมากขึ้นได้

เหตุใด SIEM จึงไม่สามารถทำงานได้ตามความคาดหวัง

กล่าวย้อนถึงหลักการทำงานของเทคโนโลยี SIEM นั้น การทำงานหลักๆ ของระบบ SIEM จะพึ่งพาข้อมูลที่จะป้อนเข้ามาในระบบด้วย Log จากอุปกรณ์ทางด้านความมั่นคงปลอดภัยและระบบงานต่างๆ ที่ติดตั้งใช้งานในเครือข่ายองค์กร ยกตัวอย่างเช่น Firewall, IPS, Antivirus รวมไปถึงแอพพลิเคชันระบบฐานข้อมูลในองค์กร เช่น Web Application, Database Server, File Server เป็นต้น ซึ่งในปัจจุบัน Log ที่กล่าวถึงข้างต้น มีข้อมูลที่ไม่เพียงพอให้กับระบบ SIEM วิเคราะห์หาภัยคุกคามที่เกิดขึ้นได้ เนื่องจากข้อจำกัดดังต่อไปนี้

1. รูปแบบการติดตั้งเพื่อนำเข้าข้อมูล (Deployment Form Factor)

  • Agent – การติดตั้งซอฟต์แวร์เล็กๆ ลงบนระบบงานและระบบความมั่นคงปลอดภัย เพื่อดึงข้อมูล Log จากระบบต่างๆ แล้วส่งต่อมาที่ระบบ SIEM ซึ่งก่อให้เกิดผลกระทบต่อประสิทธิภาพการทำงานของระบบต้นทาง ประการแรกเนื่องจากต้องใช้ทรัพยากรจากระบบดังกล่าว ประการที่สอง ส่งผลให้การบริหารจัดการทำได้ยากหาก Agent นั้นๆ หยุดทำงานลงไป ทำให้ทีม SOC ขาดความคล่องตัวในการทำงานและเกิดข้อขัดแย้งกับทีมที่บริหารจัดการระบบงาน ที่จะต้องมีการร้องขอเพื่อทำการติดตั้ง บำรุงรักษา และอัปเกรดซอฟต์แวร์ต่างๆ
  • Agentless – การรับส่ง Log อีกวิธีหนึ่ง กล่าวคือ ตั้งค่าให้อุปกรณ์ในระบบเครือข่ายทำการส่งข้อมูล Log มาที่ระบบ SIEM โดยตรง ข้อดีคือความสะดวก แต่ก็มีข้อเสียเช่นกัน ได้แก่ ประการแรก การเปิดให้อุปกรณ์ต่างๆ ส่งข้อมูล Log มาทั้งหมดจะทำให้ประสิทธิภาพและทรัพยากรของระบบนั้นๆ ลดลงไปโดยอัตโนมัติ ประการที่สอง เนื่องจากอุปกรณ์หลายๆ ประเภทจะทำการส่ง Log ในรูปแบบข้อมูล Plain Text ซึ่งไม่มีการเข้ารหัส จึงสุ่มเสี่ยงที่จะถูกโจมตีแบบ Man-in-the-Middle และ Log ถูกเปลี่ยนแปลงแก้ไขก่อนที่จะส่งมาถึงระบบ SIEM ขององค์กร
  • Virtual Machine Traffic – การตรวจสอบข้อมูลที่รับส่งไปมาภายใน Virtualization กันเองทำได้ยาก เนื่องจากหากต้องการข้อมูลหลายๆ ชนิดของระบบงานและระบบความมั่นคงปลอดภัยที่ทำงานใน Virtualization นั้น จะต้องใช้จำนวนซอฟต์แวร์ Agent จำนวนมาก ก่อให้เกิดจุดที่ระบบ SIEM เข้าไปดูแลไม่ทั่วถึง
  • Internet of Things (IoT) – ในปัจจุบันอุปกรณ์ประเภท Internet of Things ได้มีบทบาทและจำนวนมากขึ้น เช่น ระบบกล้องวงจรปิด ระบบความปลอดภัยทางด้านกายภาพ (Physical Access Control) อุปกรณ์เหล่านี้ส่วนใหญ่ไม่สามารถส่ง Log ออกมาได้ รวมไปถึงไม่สามารถติดตั้งซอฟต์แวร์Agent ลงไปได้ด้วยเช่นกัน ทำให้เกิดจุดอับที่ระบบ SIEM ไม่สามารถลงไปตรวจตราได้อย่างครอบคลุมเนื่องจากขาดข้อมูล Log จากอุปกรณ์ IoT

2. SSL Visibility

ในปัจจุบันข้อมูลหลายๆ ชนิดของระบบงาน และการใช้งานอินเทอร์เน็ตถูกปกป้องความลับด้วยเทคโนโลยีการเข้ารหัสลับที่เรียกว่า SSL/TLS ซึ่งถือเป็นข้อดีอย่างมหาศาล แต่ในข้อดีก็มีข้อเสียในตัวเองด้วย กล่าวคือ ข้อมูลที่ถูกเข้ารหัสด้วย SSL/TLS นั้น ไม่สามารถถอดรหัสออกมาเพื่อส่งต่อให้ระบบ SIEM เข้าไปวิเคราะห์หาภัยคุกคามภายในได้ ส่งผลให้การลงทุนบนระบบรักษาความมั่นคงปลอดภัยหลายล้านบาทสูญเปล่าไปโดยปริยาย

3. False Positive

ระบบ SIEM จำเป็นต้องมีการปรับตั้งค่าเพื่อลดอัตราการเกิด False Positive ทว่าในปัจจุบันการทำ Fine-Tuning ให้ระบบ SIEM มีความถูกต้องแม่นยำนั้น ได้ทวีความยากและมีอุปสรรคมากขึ้น เช่น การจัดเก็บข้อมูล Log ไม่ครอบคลุมเนื่องด้วยข้อจำกัดของ License ที่จะต้องสอดคล้องกับจำนวนซอฟต์แวร์ Agent ที่ได้ทำการจัดซื้อ, การเข้าไม่ถึงข้อมูล Log ของระบบงานบางอย่างเช่น IoT, VM, Cloud, BYOD (ดังที่กล่าวไว้ในข้อ 1 และข้อ 2) ทำให้การวิเคราะห์ของ SIEM ไม่แม่นยำเพียงพอ และไม่สามารถที่จะทำ Fine-Tuning ได้อย่างมีประสิทธิภาพอีกต่อไป เพราะไม่มีข้อมูลดิบที่จะนำเข้ามาวิเคราะห์ได้

อีกประเด็นหนึ่งซึ่งถือเป็นเรื่องสำคัญมาก คือ จะทำอย่างไรที่จะจำแนกแยกแยะผลของการวิเคราะห์ของ SIEM ว่า เหตุการณ์ใดเป็นผลกระทบเชิงความมั่นคงปลอดภัย และเหตุการณ์ใดเป็นผลกระทบเชิงประสิทธิภาพของระบบงาน ซึ่งประเด็นนี้ถือเป็นความท้าทายที่น่าสนใจ เพราะไม่ใช่ทุกเหตุการณ์จะเป็นเหตุการณ์ที่กระทบต่อความมั่นคงปลอดภัยทั้งหมด อาจจะเป็นผลกระทบจากทรัพยากรในระบบงานก็เป็นได้

4. Hop by Hop Analytics

การวิเคราะห์ของ SIEM ในปัจจุบันนั้นเป็นการวิเคราะห์แบบ Horizontal Analysis หมายความว่าทำการวิเคราะห์ในมิติเดียว ซึ่งเป็นผลมาจากการที่ SIEM เก็บข้อมูลแบบ หนึ่งต่อหนึ่ง ยกตัวอย่างเช่น Log จากระบบฐานข้อมูลที่ส่งเข้ามายัง SIEM ก็จะเป็น Log จากระบบฐานข้อมูลที่ตั้งอยู่ใน Data Center แห่งเดียวเท่านั้น ทำให้ SIEM ไม่สามารถรู้ได้เลยว่าหากระบบฐานข้อมูลตอบกลับการร้องขอไปที่ผู้ใช้ที่อยู่ต่างเครือข่ายออกไป จะยังมีการตอบสนองที่ถูกต้องอยู่หรือไม่

สิ่งที่ขาดไปของ SIEM ก็คือการวิเคราะห์ในหลายๆ มิติ เป็นการวิเคราะห์ข้อมูลจากหลายๆ Hop ของเครือข่าย เพื่อทำการตรวจสอบว่า ในแต่ละช่วงของเครือข่ายที่เชื่อมต่อผ่านขอบเขตของ Router หรือ Firewall ยังทำงานได้ปกติ หรือมีความเสี่ยงต่อภัยคุกคามได้หรือไม่ โดยการวิเคราะห์และเปรียบเทียบเพื่อเชื่อมโยงความสัมพันธ์ระหว่างแต่ละ Tier ให้เกิดความแม่นยำในการตรวจจับย่ิงขึ้น

ดังนั้น จะเสริมสมรรถภาพและความสามารถของระบบ SIEM ได้อย่างไร

ในปัจจุบันมีเทคโนโลยีที่จะเข้ามาช่วยการเฝ้าระวังด้านความมั่นคงปลอดภัยอยู่หลากหลาย และเทคโนโลยีที่จะเข้ามาเสริมความสามารถของ SIEM มีดังนี้

  1. Big Data Technique – การใช้เทคนิคการวิเคราะห์ข้อมูลโดยใช้เทคนิคของ Big Data โดยทำการเก็บข้อมูลที่ไม่ใช่ข้อมูล Log เพียงอย่างเดียว แต่เป็นการเก็บข้อมูลที่รับส่งไปมาบนระบบเครือข่าย ทั้งนี้เพื่อสร้างขอบเขตการดูแลที่กว้างและสร้างความลึกของข้อมูลให้มากขึ้น ทำให้ระบบ SIEM สามารถลงลึกเพื่อจับตาดูภัยคุกคามได้อย่างแม่นยำ และลดข้อจำกัดของการติดตั้งซอฟต์แวร์ Agent เอเจนท์ลงไป
  2. SSL Decryption – เทคโนโลยีในการถอดรหัสข้อมูล SSL เพื่อนำมาวิเคราะห์หารูปแบบของภัยคุกคามที่มากับข้อมูลที่เข้ารหัส ซึ่งจะทำให้ SIEM สามารถลงลึกไปในข้อมูลที่มีชั้นความลับที่ซับซ้อนได้
  3. Multi-Hop Traffic Visibility – เครื่องมือประเภท Intelligence Network Broker ช่วยนำส่งข้อมูลที่สำคัญในเครือข่ายที่ซับซ้อนและแบ่งเป็น Hop ออกมาแล้วนำส่งไปยัง Big Data Analytics ส่งผลให้สามารถวิเคราะห์ เปรียบเทียบ แจ้งเตือนข้อมูลได้หลากหลายมิติ และลดจุดอับสายตาของ SIEM ได้เป็นอย่างดี

ทั้งนี้ในการสร้างทีม SOC ที่ดีจะต้องประกอบไปด้วยสามเสาหลักคือ People, Process และTechnology ดังนั้นจะเป็นการดีหากทุกๆ องค์กรมุ่งหน้าทำการพัฒนาองค์ประกอบทั้งสามส่วนนี้ไปพร้อมกัน เพื่อสร้างระบบความมั่นคงปลอดภัยที่มีประสิทธิภาพให้เกิดแก่องค์กรเอง

สำหรับผู้นำด้าน Security Delivery Platform ในตลาดตอนนี้คงหนีไม่พ้น Gigamon ซึ่งพร้อมนำส่งข้อมูลประเภท Port Mirroring, NetFlow/IPFix Generator, Application Session Filtering รวมไปถึงทำการถอดรหัสข้อมูล SSL เพื่อส่งข้อมูลไปจัดเก็บและวิเคราะห์ยังระบบ SIEM, Network Performance Monitor, Application Performance Monitor, IPS/IDS และเครื่องมือทางด้าน Forensics ต่างๆ

Gigamon: Security Delivery Platform ช่วยให้ทีม SOC และ NOC ได้รับข้อมูลที่ครบถ้วนสมบูรณ์ เพื่อเพิ่มประสิทธิภาพและความแม่นยำในการตรวจจับภัยคุกคาม วิเคราะห์ และแจ้งเตือนถึงปัญหาที่เกิดจากประสิทธิภาพของระบบ IT ได้อย่างรวดเร็ว นอกจากนี้ยังช่วยเพิ่มความสะดวกคล่องตัวในการบริหารจัดการ รวมไปถึงช่วยลดต้นทุนค่าใช้จ่ายทางด้านอุปกรณ์และ License ที่ใช้งานได้เป็นอย่างมาก

nForce Secure จับมือกับ Gigamon พร้อมให้บริการ Security Delivery Platform ในประเทศไทย

บริษัท nForce Secure จับมือเป็นพันธมิตรร่วมกับ Gigamon ผุ้ใช้บริการ Security Deliver Platform ชั้นนำระดับโลก ด้วยประสบการณ์เป็นที่ปรึกษาและตัวแทนจำหน่ายระบบรักษาความมั่นคงปลอดภัยมานานกว่า 10 ปี ทำให้มั่นใจได้บริษัทฯ สามารถส่งมอบโซลูชันของ Gigamon เพื่อพัฒนาระบบ SOC ขององค์กรได้อย่างมีประสิทธิภาพ และช่วยให้องค์กรพร้อมรับมือกับภัยคุกคามไซเบอร์ในปัจจุบันได้อย่างครอบคลุม

ผู้ที่สนใจโซลูชันของ Gigamon สามารถติดต่อเพื่อสอบถามรายละเอียดเพิ่มเติมหรือทดสอบ POC ได้ที่

คุณสิทธิพงษ์ นทีประสิทธิพร
Product Manager
โทร. 0919974691 / 02-2740984
sittipong@nforcesecure.com
sale@nforcesecure.com

from:https://www.techtalkthai.com/why-siem-not-enough/