ตรวจสอบพฤติกรรมเสี่ยง เลี่ยงภัยคุกคามจากในองค์กร ด้วย Log Management
จะรู้ได้อย่างไรว่าพนักงานในองค์กรละเลยมาตรการความปลอดภัย หรือนำข้อมูลออกไปภายนอกองค์กรหรือไม่ นี่เป็นเพียงแค่หนึ่งในพฤติกรรมเสี่ยงที่อาจก่อให้เกิดภัยคุกคาม ตามมาซึ่งความเสียหายทั้งกรณีข้อมูลรั่วไหล หรือเป็นภัยถึงขึ้นเกิดการละเมิดข้อมูลมหาศาล
เป็นที่ทราบดีว่า แม้องค์กรจะมีการออกนโยบายหรือมาตรการความปลอดภัยที่ชัดเจน หากแต่สาเหตุที่ก่อให้เกิดภัยคุกคามทางไซเบอร์ส่วนใหญ่เกิดจากพฤติกรรมของคนในองค์กรเอง ไม่ว่าจะเป็นการใช้งานที่ไม่ระมัดระวัง การเปิดเผยข้อมูลที่อาจตกเป็นเป้าหมายของแฮ็กเกอร์ หรือการไม่ปฏิบัติตามนโยบายความปลอดภัยทางไซเบอร์อย่างเคร่งครัด เหล่านี้เองคือ “ภัยคุกคามจากคนในองค์กร (Insider Threats)” ซึ่งแบ่งได้ 2 ประเภทหลัก ได้แก่
1. พฤติกรรมที่ไม่ได้ตั้งใจ (Unintentional Insider Threat) : เกิดจากการที่พนักงานทำผิดพลาดโดยไม่ตั้งใจ เช่น คลิกลิงก์ฟิชชิง ส่งข้อมูลสำคัญไปยังบุคคลภายนอก หรือใช้รหัสผ่านที่ง่ายต่อการคาดเดา
2. พฤติกรรมที่ตั้งใจ (Intentional Insider Threat) : เป็นการกระทำที่ตั้งใจให้เกิดความเสียหาย เช่น การขโมยข้อมูล การขายข้อมูลให้คู่แข่ง หรือการใช้อำนาจเข้าถึงข้อมูลเพื่อผลประโยชน์ส่วนตัว
สอดคล้องกับรายงาน Cybersecurity Insiders 2024 Insider Threat Report ที่พบว่า 48% ขององค์กรรายงานว่า การโจมตีจากภายในองค์กรเกิดขึ้นบ่อยครั้งมากขึ้นในช่วง 1 ปีที่ผ่านมา ขณะที่ 76% ขององค์กรระบุว่า ความซับซ้อนระหว่างกระบวนการทางธุรกิจและกระบวนการทางไอที เป็นปัจจัยหลักที่ทำให้ความเสี่ยงจากภายในเพิ่มขึ้น และ 52% ขององค์กรเปิดเผยว่า พวกเขาไม่มีเครื่องมือในการจัดการภัยคุกคามจากภายใน
เพื่อให้องค์กรสามารถตรวจสอบ รับมือกับพฤติกรรมเสี่ยงได้อย่างรวดเร็ว การมีโซลูชันหรือเครื่องมือที่ช่วยในการติดตาม ตรวจสอบ จึงไม่ใช่แค่ทางออก แต่เป็นตัวเลือกที่ดีสำหรับการวางแผนมาตรการลดความเสี่ยงต่อภัยคุกคามทางไซเบอร์ที่เป็นรูปธรรม
การเก็บ Log ตามกฎหมาย
ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 (หรือ พ.ร.บ. คอมพิวเตอร์ ปี 2560) ของประเทศไทย
โดยเฉพาะมาตรา 26 กำหนดไว้ว่า ผู้ให้บริการต้องเก็บ ข้อมูลจราจรทางคอมพิวเตอร์ (Log files) ไว้มากกว่า 90 วัน จากวันที่ข้อมูลนั้นถูกบันทึก และในกรณีที่มีคดีความหรือคำสั่งจากเจ้าหน้าที่ที่เกี่ยวข้อง ผู้ให้บริการต้องเก็บรักษาข้อมูล (Achrive) เหล่านี้ไว้นานถึง 2 ปี เพื่อใช้เป็นหลักฐานในการตรวจสอบหรือสืบสวน แน่นอนว่ากลุ่มองค์กรหรือภาคธุรกิจเองก็หนีไม่พ้น ไม่ว่าจะเป็น
- ผู้ให้บริการอินเทอร์เน็ตและโทรคมนาคม
- ผู้ให้บริการอินเทอร์เน็ต (Internet Service Providers – ISP)
- ผู้ให้บริการเครือข่ายโทรคมนาคม (Telecommunications Providers)
- ผู้ให้บริการเครือข่ายมือถือ (Mobile Network Providers)
- ผู้ให้บริการเช่าระบบคอมพิวเตอร์ (Cloud Services Providers)
- Infrastructure as a Service (IaaS) ผู้ให้บริการโครงสร้างพื้นฐานบนคลาวด์ เช่น AWS, Microsoft Azure
- Platform as a Service (PaaS) ผู้ให้บริการแพลตฟอร์มสำหรับพัฒนาแอปพลิเคชัน
- Software as a Service (SaaS) ผู้ให้บริการซอฟต์แวร์ผ่านทางคลาวด์ เช่น Google Workspace, Microsoft 365
- Data Storage as a Service (DSaaS) ผู้ให้บริการพื้นที่จัดเก็บข้อมูลออนไลน์ เช่น Dropbox, Google Drive
- Caching Delivery Network (CDN) ผู้ให้บริการจัดส่งเนื้อหาเว็บไซต์อย่างรวดเร็ว เช่น Cloudflare, Akamai
- ผู้ให้บริการดิจิทัลที่ใช้ระบบคอมพิวเตอร์ในการให้บริการ
- ผู้ให้บริการด้านการเงิน เช่น ธนาคาร, สถาบันการเงิน, Fintech
- ผู้ให้บริการด้านสุขภาพ เช่น โรงพยาบาล, คลินิก, Telemedicine
- ธุรกิจ Lifestyle, อสังหาริมทรัพย์, อาหารและการเกษตร, การท่องเที่ยว, อุตสาหกรรม, ประกันภัย, การศึกษา
- ผู้ให้บริการด้าน เพลง, ศิลปะ, ธุรกิจจำหน่ายสินค้า (E-Commerce) และบริการอื่น ๆ ที่ใช้เครือข่ายคอมพิวเตอร์
- ผู้ให้บริการข้อมูลผ่านแอปพลิเคชัน (Application Providers)
- ผู้ให้บริการ Webboard และ Blog
- ผู้ให้บริการ Internet Banking
- ผู้ให้บริการระบบชำระเงินอิเล็กทรอนิกส์ (Electronic Payment Service Provider)
- ผู้ให้บริการ Web Service, E-Commerce และ E-Transactions
หากไม่มีการปฏิบัติตาม กฎหมายมีบทลงโทษระบุไว้ดังนี้
- ผู้ให้บริการมีภาระหน้าที่เก็บข้อมูลจราจรทางคอมพิวเตอร์เท่าที่จำเป็น เพื่อให้สามารถระบุตัวผู้ใช้บริการได้ หากผู้ให้บริการใดไม่ปฏิบัติตามต้องระวางโทษปรับไม่เกิน 500,000 บาท
- ผู้ให้บริการใดไม่ให้ความร่วมมือในการจัดส่งข้อมูลจราจรทางคอมพิวเตอร์ ต้องระวางโทษปรับไม่เกิน 200,000 บาท และปรับรายวันอีกไม่เกินวันละ 5,000 บาท จนกว่าจะปฏิบัติให้ถูกต้อง
Log Management บน OneFence
เพื่อให้องค์กรทุกขนาดทุกประเภทมีเครื่องมือที่เหมาะสม รองรับการใช้งานทั้งกับธุรกิจระดับนานาชาติ และภาคธุรกิจไทย Security Pitch จึงได้พัฒนาโซลูชัน Cybersecurity ด้วยการออกแบบระบบรวบรวม จัดเก็บไฟล์ Log และข้อมูลด้านความปลอดภัย หาความสัมพันธ์ เกี่ยวกับเหตุภัยคุกคามได้ในเบื้องต้น ด้วยโมดูล Log Management ซึ่งผ่านการรับรองคุณภาพตามมาตรฐานการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ จาก ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) และยังได้ใบรับรองสินค้าที่ผลิตในประเทศไทย Made in Thailand (MiT) จากสภาอุตสาหกรรมแห่งประเทศไทย
เลือกเก็บข้อมูลได้หลาย Indices
ได้แก่
- Firewall
- IPS/IDS
- Servers
- Windows Server
- Active Directory
- Databases
- Anti-Virus
- Application
- Web Application Firewall
- Mail gateway
ฟีเจอร์หลักของ Log Management บน OneFence
- Log Search ค้นหาข้อมูล
ฟีเจอร์นี้จะช่วยให้ผู้ใช้งานสามารถค้นหาข้อมูล Log ที่อยู่ในระบบได้ ทั้งจาก Firewall, Servers, Databases, Network Security, Operating System และ Access Point อื่นๆ เพื่อนำมาวิเคราะห์เหตุการณ์ที่เกิดขึ้น ได้อย่างรวดเร็ว เช่น ทีมมอนิเตอร์สามารถค้นหา Raw Log และหาความสัมพันธ์ของเหตุการณ์ที่เกิดขึ้น เพื่อนำไปตรวจสอบกรณีมีการ Login เข้าระบบหลายครั้งเกินปกติ ทั้งนี้เพื่อให้องค์กรสามารถระบุและตรวจจับการโจมตี หรือการละเมิดได้
- Log Forwarding ส่ง log ไปยังอุปกรณ์ปลายทางอื่น ๆ
สามารถส่งข้อมูล Log ไปยังอุปกรณ์ที่รองรับ Syslog ซึ่งเป็นโปรโตคอลมาตรฐานที่ใช้สำหรับ ส่งข้อข้อมูล Log จากระบบ Log Management เช่น ระบบ SIEM หรือเซิร์ฟเวอร์กลาง โดยมีวัตถุประสงค์เพื่อการรวมศูนย์ข้อมูลเพื่อการวิเคราะห์และตรวจสอบที่มีประสิทธิภาพมากขึ้น
- รองรับการทำ Hashing เช่น MD5, SHA1, SHA512, SHA256
การทำ Hashing ซึ่งเป็นวิธีการเข้ารหัสด้วยอัลกอริทึม ช่วยให้มั่นใจว่าข้อมูล Log ไม่ถูกแก้ไขหรือปลอมแปลง เป็นการป้องกันไม่ให้ผู้ไม่หวังดีเปลี่ยนแปลงข้อมูล เพื่อเพื่อความปลอดภัยของข้อมูล และเพิ่มความน่าเชื่อถือของข้อมูล Log ที่จะใช้ในการตรวจสอบ
- Backup Data เพิ่มความปลอดภัยในการสำรองข้อมูล
สำรองข้อมูล Log เพื่อป้องกันข้อมูลสูญหาย และผู้ใช้งานสามารถกู้ข้อมูลได้อย่างมีประสิทธิภาพ ช่วยลดความเสี่ยงและมั่นใจว่าข้อมูลจะพร้อมใช้งานอยู่เสมอ
- รองรับข้อมูลขนาดเล็กไปถึงขนาดใหญ่ พร้อมระบบ Autoscaling
ระบบ Autoscaling ช่วยให้ OneFence สามารถรองรับการจัดการข้อมูล Log ที่ไหลเข้ามาจำนวนมากได้ โดยไม่กระทบต่อประสิทธิภาพของระบบ ซึ่งเป็นสิ่งจำเป็นในกรณีที่มีข้อมูลเข้ามาอย่างต่อเนื่องหรือในช่วงที่มีการโจมตี
- Whitelist กำหนด IP ต้นทางและปลายทาง
การกำหนด Whitelist เพื่อให้สามารถระบุเฉพาะ IP ที่ได้รับอนุญาตเท่านั้น ที่จะสามารถส่ง Raw Log ได้ ทั้งนี้เพื่อลดความเสี่ยงจากการโจมตีจากภายนอก
- รองรับการทำ Compression (บีบอัดข้อมูล) ได้หลาย Format เช่น ZIP, GZ, LZ4, LZO
การบีบอัดข้อมูล Log ช่วยลดขนาดของข้อมูลเมื่อต้องมีการทำ Hashing ตามที่กฎหมาย พ.ร.บ.คอมพิวเตอร์ พ.ศ.2560 ได้ระบุไว้ ซึ่งจะทำให้ประหยัดพื้นที่ในการจัดเก็บและเพิ่มประสิทธิภาพในการส่งข้อมูล โดยไม่สูญเสียคุณภาพของข้อมูล
- รองรับการออกรายงาน (Report)
ระบบสามารถสร้างรายงานที่แสดงข้อมูลเกี่ยวกับปริมาณเหตุการณ์ใน Logs ปริมาณข้อมูล Log ปริมาณ Network Traffic และการใช้ทรัพยากรของระบบ พร้อมทั้งรองรับการส่งออกรายงานในรูปแบบไฟล์ PDF, CSV และ JSON
ทั้งนี้วิธีการดำเนินการจะเริ่มจาก Log Management ทำการเก็บข้อมูลจาก Network Security หรืออุปกรณ์เครือข่ายที่มีการเชื่อมต่อไว้ จากนั้นจึงนำข้อมูล Raw Log (ข้อมูล Log จากอุปกรณ์ต่างๆ ที่ไม่ได้ผ่านการประมวลผล) มาคัดแยกข้อมูล ด้วย Log Parser (เครื่องมือหรือซอฟต์แวร์ที่ใช้ในการอ่าน วิเคราะห์ และแยกแยะข้อมูลจาก Log File) ซึ่งผู้ดูแลระบบสามารถเข้าไปค้นหาข้อมูลผ่าน Log Search และเลือกฐานข้อมูลจาก Indices ที่ต้องการ เพื่อดึงข้อมูล Log ขึ้นมาตรวจสอบได้
ข้อมูล Log ที่ได้มานั้นยังทำงานเชื่อมต่อกับ ระบบวิเคราะห์หาความสัมพันธ์ แจ้งเตือนเพื่อป้องกันและตรวจจับภัยคุกคามทางไซเบอร์ ด้วย Security Information and Event Management (SIEM) โดยระบบจะทำการวิเคราะห์หาความสัมพันธ์ของเหตุภัยคุกคามเมื่อมีการตรวจพบ และแจ้งเตือนไปยังนักวิเคราะห์ความปลอดภัยทางไซเบอร์ขององค์กร
บทความหน้าเราจะมาเจาะลึกกันว่า ข้อดีของการมีระบบ SIEM จะเป็นประโยชน์อย่างไรต่อองค์กร
สอบถามข้อมูลผลิตภัณฑ์ “OneFence”
Tel. : 061-462-6414, 02-103-6462
Line : @securitypitch
Email : [email protected]
บทความที่น่าสนใจ