ระบบจัดเก็บข้อมูลและป้องกันการเข้าถึงเว็บไซต์ (Reallog of website)

RealLog เกิดขึ้นจากการพัฒนาของทีมงาน SRAN   โดยตั้งข้อสังเกตว่าเนื่องจากการป้องกันภัยคุกคามทางไซเบอร์ไม่สามารถป้องกันได้ 100%   จะดีกว่าไหม หากมีระบบที่สามารถรู้เท่าทันการโจมตีและระบุการกระทำผิดได้  โดยมีความละเอียดของข้อมูลสูงพอที่จะวิเคราะห์หรือแกะรอยหาต้นตอของผู้กระทำความผิดได้อย่างสะดวกและรวดเร็ว  รวมถึงหาวิธีการแก้ไขปัญหาและสถานการณ์ฉุกเฉินได้อย่างมีประสิทธิภาพที่สุด

“เพราะการป้องกันแฮกไม่สามารถป้องกันได้ 100%  แต่เรามีทางที่รู้ทันปัญหาและแก้ไขสถานะการณ์ที่เกิดขึ้นได้อย่างทันท่วงที ด้วย RealLog”

ในต่างประเทศเรียกระบบแบบนี้ว่า Security Orchestration คือการนำ Log files ที่มีคุณภาพที่เกิดจากการวิเคราะห์แล้วจากอุปกรณ์ SIEM (Security Information Event Management) หรือ เครื่องมืออื่นๆ อันเป็นกระบวนการกลั่นกรองข้อมูลจาก Log files ที่สมบูรณ์ โดยนำมาเทียบกับค่าดัชนีชี้วัดความเสี่ยงที่เรียกว่า IOC (Indicator of Compromise) ในการเทียบค่า Log นี้เองจะทำให้ทราบถึงการโจมตีทางไซเบอร์ได้อย่างแม่นยำและถูกต้องมากขึ้น เมื่อทราบค่าที่ถูกต้องแม่นยำแล้วระบบจะทำการแจ้งเตือนและหยุดการยั้งการโจมตีที่เกิดขึ้นพร้อมซ่อมแซมส่วนที่ชำรุดเพื่อให้ระบบกลับมาใช้งานได้อย่างปกติ

หลักการทำงาน 

หลักการทำงาน คือ การรับค่า Log จาก Access log คือ log ที่มีในเว็บไซต์ทั่วไปส่งเข้า IOC agent และค่าการประเมินความเสี่ยงแบบสังเกตการณ์ทำแบบต่อเนื่อง (Passive Vulnerability Assessment) ค่า Log ดังกล่าวส่งไปที่ IOC agent ส่วนสุดท้ายคือ Log จากระบบเฝ้าระวังภัยคุกคามทางเครือข่ายคอมพิวเตอร์ (Intrusion Detection System) log ส่วนนี้ก็จะถูกส่งไปที่ IOC agent  จากนั้น IOC agent จะคัดกลั่นกรองข้อมูล โดยใช้เทคนิคทาบ Log เทียบเคียงจากค่าดัชนีความเสี่ยงเพื่อประมวลผลเป็น RealLog   ในการเทียบค่า Log นี้เองจะทำให้ทราบถึงการโจมตีทางไซเบอร์ได้อย่างแม่นยำและถูกต้องมากขึ้น เมื่อทราบค่าที่ถูกต้องแม่นยำแล้วระบบจะทำการแจ้งเตือนและหยุดการยั้งการโจมตีที่เกิดขึ้นพร้อมซ่อมแซมส่วนที่ชำรุดเพื่อให้ระบบกลับมาใช้งานได้อย่างปกติ

RealLog เป็นระบบ Security Orchestration แบบหนึ่ง โดยทีมงาน SRAN ผู้พัฒนานั้นได้ออกแบบมาเพื่อการระบุตัวตนนักโจมตีระบบและการแก้ไขสถานะการณ์ฉุกเฉินจากการโจมตีเว็บไซต์เป็นหลัก

การออกแบบ RealLog  คือการต่อยอดจากสิ่งที่เคยทำมาเมื่อประมาณปี 2007 SRAN Data Safehouse ผ่านมา 10 ปีพอดี ได้ฤกษ์ออกแบบใหม่หมด โดยได้นำเทคนิค “Security Orchestration” เข้ามาผสมผสาน โดยองค์ประกอบภายในได้นำเทคนิคสมัยใหม่เข้าใช้งานทั้งหมด

โดยมคุณสมบัติดังนี้

องค์ประกอบที่ 1  เรื่องการวิเคราะห์ Log และการมองเห็น  (Log Visibility and Analysis) 
1. การรวมศูนย์วิเคราะห์ Log web server หรือ Farm server  เพื่อการรู้เท่าทันการโจมตีทางไซเบอร์
2. การมองเห็นค่า SSL ที่เกิดขึ้นผ่านการโจมตีเว็บไซต์
3. การใช้งานปกติและข้อมูลที่มีความเสี่ยงเพื่อทำการเก็บบันทึกข้อมูลตามกฎหมาย
4. การออกรายงานสถิติและการวิเคราะห์ผ่านแผนที่ภูมิศาสตร์
5. การเห็นค่าไอพีที่แท้จริงหลัง IP NAT (Behind IP NAT / local address)
6. การเห็นค่าไอพีที่แท้จริงหลังการผ่าน Proxy/Anonymous  (Behind IP Proxy/Anonymous)
7. การเห็นค่าซอฟต์แวร์ ชนิดของบราวเซอร์และระบบปฏิบัติการ
8. การเก็บบันทึกประวัติ Session cookie
9. การค้นหาข้อมูลและการเลือกดูย้อนหลัง

องค์ประกอบที่ 2  เรื่องการระบุตัวตนนักโจมตีระบบ (Identify Real Attacker)
1. การระบุตำแหน่ง IP Geo-location ที่ได้จากฐานข้อมูลกลาง และแสดงผลผ่านแผนที่ภูมิสารสนเทศ
2. การระบุตำแหน่งที่แท้จริง Real location access จากละติจูด (latitude) และลองติจูด (longitude)
3. การระบุค่า IP Address / ASN  ชื่อหน่วยงานองค์กร ชื่อประเทศ และชื่อเมือง

 องค์ประกอบที่ 3 การป้องกันภัยคุกคามจากการโจมตีทางไซเบอร์ (Cyber Protection)
1. เมื่อพบการแจ้งเตือน (Alerts)  สามารถสั่งระงับการเข้าถึงนักโจมตีระบบได้
2. รายงานสำหรับการแจ้งเตือน และแจ้งสถานะการณ์ความเสี่ยงที่พบ

3. การตั้งค่าการปิดกั้นชุดไอพีอันตราย
4. การตั้งค่าปิดกั้นการเข้าถึงในการอำพรางตัวตน (Anonymous)
5. แสดงค่าสถานะการปิดกั้นและการป้องกันภัยคุกคามทางไซเบอร์ที่เกิดขึ้น

 

สรุปตารางคุณสมบัติ Reallog

คุณสมบัติ

Reallog R1

(For Website)

Reallog extra

(For Website)

 องค์ประกอบที่ 1  เรื่องการวิเคราะห์ Log และการมองเห็น  (Log Visibility and Analysis) 
1.1 การรวมศูนย์วิเคราะห์ Log web server หรือ Farm server  เพื่อการรู้เท่าทันการโจมตีทางไซเบอร์
1.2 การมองเห็นค่า SSL ที่เกิดขึ้นผ่านการโจมตีเว็บไซต์
1.3 การใช้งานปกติและข้อมูลที่มีความเสี่ยงเพื่อทำการเก็บบันทึกข้อมูลตามกฎหมาย
1.4 การออกรายงานสถิติและการวิเคราะห์ผ่านแผนที่ภูมิศาสตร์
1.5 การเห็นค่าไอพีที่แท้จริงหลัง IP NAT (Behind IP NAT / local address)
1.6 การเห็นค่าไอพีที่แท้จริงหลังการผ่าน Proxy/Anonymous  (Behind IP Proxy/Anonymous)
1.7 การเห็นค่าซอฟต์แวร์ ชนิดของบราวเซอร์และระบบปฏิบัติการ
1.8 การเก็บบันทึกประวัติ Session cookie
1.9 การค้นหาข้อมูลและการเลือกดูย้อนหลัง
 √

 √

 

 องค์ประกอบที่ 2  เรื่องการระบุตัวตนนักโจมตีระบบ (Identify Real Attacker)
2.1 การระบุตำแหน่ง IP Geo-location ที่ได้จากฐานข้อมูลกลาง และแสดงผลผ่านแผนที่ภูมิสารสนเทศ
2.2 การระบุตำแหน่งที่แท้จริง Real location access จากละติจูด (latitude) และลองติจูด (longitude)
2.3 การระบุค่า IP Address / ASN  ชื่อหน่วยงานองค์กร ชื่อประเทศ และชื่อเมือง
 √  √
 องค์ประกอบที่ 3  ป้องกันภัยคุกคามจากการโจมตีทางไซเบอร์ (Cyber Protection)

3.1 การตั้งค่าการปิดกั้นชุดไอพีอันตราย

3.2 การตั้งค่าปิดกั้นการเข้าถึงในการอำพรางตัวตน (Anonymous)

3.3 แสดงค่าสถานะการปิดกั้นและการป้องกันภัยคุกคามทางไซเบอร์ที่เกิดขึ้น

 √  √
 11.  จำนวนเครื่องที่รองรับ

 1 Subdomain website

ติดต่อเราเพื่อทำการออกแบบระบบ

 12. อัตราค่าบริการ ติดต่อตัวแทนขาย ติดต่อตัวแทนขาย

 

 

 

seers cmp badge