ระบบจัดเก็บข้อมูลและป้องกันการเข้าถึงเว็บไซต์ (Reallog of website)
RealLog เกิดขึ้นจากการพัฒนาของทีมงาน SRAN โดยตั้งข้อสังเกตว่าเนื่องจากการป้องกันภัยคุกคามทางไซเบอร์ไม่สามารถป้องกันได้ 100% จะดีกว่าไหม หากมีระบบที่สามารถรู้เท่าทันการโจมตีและระบุการกระทำผิดได้ โดยมีความละเอียดของข้อมูลสูงพอที่จะวิเคราะห์หรือแกะรอยหาต้นตอของผู้กระทำความผิดได้อย่างสะดวกและรวดเร็ว รวมถึงหาวิธีการแก้ไขปัญหาและสถานการณ์ฉุกเฉินได้อย่างมีประสิทธิภาพที่สุด
“เพราะการป้องกันแฮกไม่สามารถป้องกันได้ 100% แต่เรามีทางที่รู้ทันปัญหาและแก้ไขสถานะการณ์ที่เกิดขึ้นได้อย่างทันท่วงที ด้วย RealLog”
ในต่างประเทศเรียกระบบแบบนี้ว่า Security Orchestration คือการนำ Log files ที่มีคุณภาพที่เกิดจากการวิเคราะห์แล้วจากอุปกรณ์ SIEM (Security Information Event Management) หรือ เครื่องมืออื่นๆ อันเป็นกระบวนการกลั่นกรองข้อมูลจาก Log files ที่สมบูรณ์ โดยนำมาเทียบกับค่าดัชนีชี้วัดความเสี่ยงที่เรียกว่า IOC (Indicator of Compromise) ในการเทียบค่า Log นี้เองจะทำให้ทราบถึงการโจมตีทางไซเบอร์ได้อย่างแม่นยำและถูกต้องมากขึ้น เมื่อทราบค่าที่ถูกต้องแม่นยำแล้วระบบจะทำการแจ้งเตือนและหยุดการยั้งการโจมตีที่เกิดขึ้นพร้อมซ่อมแซมส่วนที่ชำรุดเพื่อให้ระบบกลับมาใช้งานได้อย่างปกติ
หลักการทำงาน
หลักการทำงาน คือ การรับค่า Log จาก Access log คือ log ที่มีในเว็บไซต์ทั่วไปส่งเข้า IOC agent และค่าการประเมินความเสี่ยงแบบสังเกตการณ์ทำแบบต่อเนื่อง (Passive Vulnerability Assessment) ค่า Log ดังกล่าวส่งไปที่ IOC agent ส่วนสุดท้ายคือ Log จากระบบเฝ้าระวังภัยคุกคามทางเครือข่ายคอมพิวเตอร์ (Intrusion Detection System) log ส่วนนี้ก็จะถูกส่งไปที่ IOC agent จากนั้น IOC agent จะคัดกลั่นกรองข้อมูล โดยใช้เทคนิคทาบ Log เทียบเคียงจากค่าดัชนีความเสี่ยงเพื่อประมวลผลเป็น RealLog ในการเทียบค่า Log นี้เองจะทำให้ทราบถึงการโจมตีทางไซเบอร์ได้อย่างแม่นยำและถูกต้องมากขึ้น เมื่อทราบค่าที่ถูกต้องแม่นยำแล้วระบบจะทำการแจ้งเตือนและหยุดการยั้งการโจมตีที่เกิดขึ้นพร้อมซ่อมแซมส่วนที่ชำรุดเพื่อให้ระบบกลับมาใช้งานได้อย่างปกติ
RealLog เป็นระบบ Security Orchestration แบบหนึ่ง โดยทีมงาน SRAN ผู้พัฒนานั้นได้ออกแบบมาเพื่อการระบุตัวตนนักโจมตีระบบและการแก้ไขสถานะการณ์ฉุกเฉินจากการโจมตีเว็บไซต์เป็นหลัก
การออกแบบ RealLog คือการต่อยอดจากสิ่งที่เคยทำมาเมื่อประมาณปี 2007 SRAN Data Safehouse ผ่านมา 10 ปีพอดี ได้ฤกษ์ออกแบบใหม่หมด โดยได้นำเทคนิค “Security Orchestration” เข้ามาผสมผสาน โดยองค์ประกอบภายในได้นำเทคนิคสมัยใหม่เข้าใช้งานทั้งหมด
โดยมีคุณสมบัติดังนี้
องค์ประกอบที่ 1 เรื่องการวิเคราะห์ Log และการมองเห็น (Log Visibility and Analysis)
1. การรวมศูนย์วิเคราะห์ Log web server หรือ Farm server เพื่อการรู้เท่าทันการโจมตีทางไซเบอร์
2. การมองเห็นค่า SSL ที่เกิดขึ้นผ่านการโจมตีเว็บไซต์
3. การใช้งานปกติและข้อมูลที่มีความเสี่ยงเพื่อทำการเก็บบันทึกข้อมูลตามกฎหมาย
4. การออกรายงานสถิติและการวิเคราะห์ผ่านแผนที่ภูมิศาสตร์
5. การเห็นค่าไอพีที่แท้จริงหลัง IP NAT (Behind IP NAT / local address)
6. การเห็นค่าไอพีที่แท้จริงหลังการผ่าน Proxy/Anonymous (Behind IP Proxy/Anonymous)
7. การเห็นค่าซอฟต์แวร์ ชนิดของบราวเซอร์และระบบปฏิบัติการ
8. การเก็บบันทึกประวัติ Session cookie
9. การค้นหาข้อมูลและการเลือกดูย้อนหลัง
องค์ประกอบที่ 2 เรื่องการระบุตัวตนนักโจมตีระบบ (Identify Real Attacker)
1. การระบุตำแหน่ง IP Geo-location ที่ได้จากฐานข้อมูลกลาง และแสดงผลผ่านแผนที่ภูมิสารสนเทศ
2. การระบุตำแหน่งที่แท้จริง Real location access จากละติจูด (latitude) และลองติจูด (longitude)
3. การระบุค่า IP Address / ASN ชื่อหน่วยงานองค์กร ชื่อประเทศ และชื่อเมือง
องค์ประกอบที่ 3 การป้องกันภัยคุกคามจากการโจมตีทางไซเบอร์ (Cyber Protection)
1. เมื่อพบการแจ้งเตือน (Alerts) สามารถสั่งระงับการเข้าถึงนักโจมตีระบบได้
2. รายงานสำหรับการแจ้งเตือน และแจ้งสถานะการณ์ความเสี่ยงที่พบ
3. การตั้งค่าการปิดกั้นชุดไอพีอันตราย
4. การตั้งค่าปิดกั้นการเข้าถึงในการอำพรางตัวตน (Anonymous)
5. แสดงค่าสถานะการปิดกั้นและการป้องกันภัยคุกคามทางไซเบอร์ที่เกิดขึ้น
สรุปตารางคุณสมบัติ Reallog
คุณสมบัติ |
Reallog R1 (For Website)
|
Reallog extra (For Website)
|
องค์ประกอบที่ 1 เรื่องการวิเคราะห์ Log และการมองเห็น (Log Visibility and Analysis) 1.1 การรวมศูนย์วิเคราะห์ Log web server หรือ Farm server เพื่อการรู้เท่าทันการโจมตีทางไซเบอร์ 1.2 การมองเห็นค่า SSL ที่เกิดขึ้นผ่านการโจมตีเว็บไซต์ 1.3 การใช้งานปกติและข้อมูลที่มีความเสี่ยงเพื่อทำการเก็บบันทึกข้อมูลตามกฎหมาย 1.4 การออกรายงานสถิติและการวิเคราะห์ผ่านแผนที่ภูมิศาสตร์ 1.5 การเห็นค่าไอพีที่แท้จริงหลัง IP NAT (Behind IP NAT / local address) 1.6 การเห็นค่าไอพีที่แท้จริงหลังการผ่าน Proxy/Anonymous (Behind IP Proxy/Anonymous) 1.7 การเห็นค่าซอฟต์แวร์ ชนิดของบราวเซอร์และระบบปฏิบัติการ 1.8 การเก็บบันทึกประวัติ Session cookie 1.9 การค้นหาข้อมูลและการเลือกดูย้อนหลัง |
√ |
√
|
องค์ประกอบที่ 2 เรื่องการระบุตัวตนนักโจมตีระบบ (Identify Real Attacker) 2.1 การระบุตำแหน่ง IP Geo-location ที่ได้จากฐานข้อมูลกลาง และแสดงผลผ่านแผนที่ภูมิสารสนเทศ 2.2 การระบุตำแหน่งที่แท้จริง Real location access จากละติจูด (latitude) และลองติจูด (longitude) 2.3 การระบุค่า IP Address / ASN ชื่อหน่วยงานองค์กร ชื่อประเทศ และชื่อเมือง |
√ | √ |
องค์ประกอบที่ 3 ป้องกันภัยคุกคามจากการโจมตีทางไซเบอร์ (Cyber Protection)
3.1 การตั้งค่าการปิดกั้นชุดไอพีอันตราย 3.2 การตั้งค่าปิดกั้นการเข้าถึงในการอำพรางตัวตน (Anonymous) 3.3 แสดงค่าสถานะการปิดกั้นและการป้องกันภัยคุกคามทางไซเบอร์ที่เกิดขึ้น |
√ | √ |
11. จำนวนเครื่องที่รองรับ |
1 Subdomain website |
ติดต่อเราเพื่อทำการออกแบบระบบ |
12. อัตราค่าบริการ | ติดต่อตัวแทนขาย | ติดต่อตัวแทนขาย |