ตรวจจับ วิเคราะห์ และตอบโต้ ภัยคุกคามแบบ Targeted acctack ด้วย Trend Micro Discovery 3.5

Trend Micro Deep Discovery

ภัยคุกคามนึงที่น่าเป็นห่วงในแวดวงการคอมพิวเตอร์ในปัจจุบันนี้ คือสิ่งที่เรียกว่า Advanced Persistent Threats (APTs) หรือที่บางคนให้ชื่อภาษาไทยแบบตรงตัวว่า ภัยคุกคามแบบต่อเนื่องขั้นสูง ซึ่งเป็นภัยคุกคามที่เกิดจากการโจมตีแบบค่อยๆ เป็นค่อยๆ ไป อย่างสม่ำเสมอ โดยมีเป้าหมายเพื่อสร้างความเสียหาย หรือรวบรวมข้อมูล (พูดง่ายๆ คือ ขโมยนั่นแหละ) ให้มากที่สุด โดยที่ตัวผู้โจมตีนั้นมีทั้งความรู้ความสามารถ ตลอดไปจนถึงทรัพยากรต่างๆ เพียบพร้อมสำหรับการโจมตี โดยอาศัยการโจมตีผ่านทางเครื่องมือและเทคนิคหลากหลายรูปแบบ ตั้งแต่เทคนิคระดับพื้นฐานอย่าง Social engineering ไปจนถึงการใช้ความรู้ขั้นสูงและเครื่องมือในการเจาะระบบ

Advanced Persistent Threats (ต่อจากนี้จะขอเรียกว่า APTs) นั้นมีกันมาตั้งนานแล้วครับ ก็อยู่ควบคู่กับวงการคอมพิวเตอร์มานั่นแหละ เพียงแต่ว่า APTs ในยุคนี้มันน่ากลัวอยู่พอสมควรเลย เพราะ Malware มีความซับซ้อนมากขึ้น และระดับของการโจมตีนั้นก็มีความใหญ่โตมากขึ้นด้วย ตัวอย่างของภัยคุกคามที่เป็นข่าวใหญ่โตก็คือ Operation Aurora ที่ Google โดนมา และเปิดเผยให้โลกรับรู้ในบล็อกของตัวเองเมื่อปี ค.ศ. 2010 นอกจากนี้ปฏิบัติการดังกล่าวก็ยังพุ่งเป้าไปที่องค์กรอื่นๆ อีก เช่น Adobe Systems, Yahoo, Morgan Stanley ฯลฯ

 

APTs attack sequence

APTs attack sequence

 

อีกหนึ่งความน่ากลัวของภัยคุกคามอย่าง APTs นี้ก็คือ ความพยายามที่จะหลีกเลี่ยงการป้องกันของระบบรักษาความปลอดภัย และพยายามแอบซ่อนตัวอยู่ในระบบอย่างเงียบๆ เป็นระยะเวลานาน เพื่อที่จะได้เจาะเข้าถึงข้อมูลต่างๆ ภายในระบบ และลักลอบขโมยข้อมูลต่างๆ รวมถึงทรัพย์สินทางปัญญาขององค์กรออกไปด้วย ซึ่งนี่นำไปสู่คำแนะนำจากผู้เชี่ยวชาญด้านระบบรักษาความปลอดภัยของระบบคอมพิวเตอร์ว่าให้ปรับปรุงระบบรักษาความปลอดภัย เพื่อให้สามารถตรวจจับภัยคุกคามเหล่านี้ได้ในแบบ Real-time

 

Trend Micro Deep Discovery 3.5 ปกป้องภัยคุกคามแบบ Real-time

เพื่อตอบโจทย์ความต้องการป้องกันระบบคอมพิวเตอร์จากภัยคุกคามนี้ Trend Micro จึงออกผลิตภัณฑ์ Deep Security 3.5 มาเพื่อตอบโจทย์ในการต่อสู้กับ APTs และบรรดา Targeted attacks อื่นๆ (หมายถึงการโจมตีแบบที่พุ่งเป้าเฉพาะเจาะจง) ซึ่ง Deep Discovery 3.5 นี้ จะคอยเฝ้าจับตามองภัยคุกคามที่แฝงตัวเข้ามาในระบบคอมพิวเตอร์ขององค์กรแบบ Real-time แล้วเมื่อตรวจพบ ก็จะทำการวิเคราะห์ และให้ความรู้คำแนะนำเพื่อให้องค์กรของคุณสามารถตอบโต้ภัยคุกคามต่างๆ ได้

ตัว Deep Discovery 3.5 นั้นประกอบไปด้วยสองส่วนหลักๆ เลยก็คือ Deep Discovery Inspector และ Deep Discovery Advisor ครับ โดย Deep Discovery Inspector นั้นจะตรวจสอบทราฟฟิกของเครือข่าย ตรวจจับภัยคุกคาม ทำการวิเคราะห์และรายงานแบบ Real-time ส่วน Deep Discovery Advisor นั้นเป็น Option ครับ แต่ทำหน้าที่เป็น Custom sandbox analysis แล้วก็ให้ทำ Security update exports เพื่อใช้สำหรับการป้องกันภัยคุกคามในอนาคตได้

 

Deep Discovery Inspector

องค์ประกอบนี้ของ Deep Discovery นั้นจะทำการตรวจสอบทราฟฟิกของระบบเครือข่าย ทำการตรวจจับการคุกคามแบบ Real-time เพื่อป้องกันทั้ง APTs และ Targeted attacks ในรูปแบบต่างๆ ผ่านการตรวจสอบ 3 ระดับ ตั้งแต่การตรวจจับเบื้องต้น ไปจนถึงการทำ Sandbox simulation และทำการ Cross-correlation เพื่อตรวจจับการคุกคาม ซึ่งปกติแล้วจะตรวจจับได้ยาก เพราะมักจะโจมตีแบบเนิบๆ ช้าๆ เป็นระยะเวลานานๆ

Deep Discovery Inspector

นอกจากนี้ก็ยังมีฟีเจอร์

  • Advanced Threat Detection ทำการตรวจหาเนื้อหาที่เป็นอันตราย การสื่อสารหรือพฤติกรรมที่เป็นเครื่องบ่งชี้ถึง Malware หรือผู้โจมตีในทุกๆ ขั้นตอนของการโจมตี
  • Threat Tracking, Analysis and Action แสดงข้อมูลภัยคุกคามต่างๆ แบบ Real-time พร้อมการวิเคราะห์ เพื่อให้ผู้ดูแลระบบสามารถโฟกัสไปที่ความเสี่ยงจริงๆ ได้ สามารถทำการวิเคราะห์และแก้ปัญหาได้
  • Real-Time Threat Console ข้อมูลภัยคุกคามและการวิเคราะห์ อยู่ตรงนี้ทั้งหมด ค้นหาได้เพียงปลายนิ้วคลิก
  • Watch List ช่วยในการเฝ้าจับตามองภัยคุกคามในจุดที่ต้องการความปลอดภัยระดับสูง มี Asset ที่มีมูลค่ามาก
  • Threat connect ข้อมูลข่าวสารเกี่ยวกับภัยคุกคามที่จะช่วยให้ผู้ดูแลระบบทำความเข้าใจ และช่วยในการวางแผนแก้ไขปัญหา
  • SIEM (Security Information and Event Management) Management ช่วยให้เชื่อมต่อกับแพลตฟอร์ม SIEM อำนวยความสะดวกในด้านการบริหารจัดการระบบคอมพิวเตอร์ทั้งองค์กรได้จากเครื่องคอมพิวเตอร์เครื่องเดียว
  • Flexible, High-Capacity Deployment ตัว Deep Discovery Inspector นั้นถูกออกแบบมาให้มีสถาปัตยกรรมที่มีประสิทธิภาพสูง และสามารถรองรับระบบคอมพิวเตอร์ที่มี Capacity สูงๆ ได้สบายๆ

 

Deep Discovery Advisor

ตัวนี้เป็นองค์ประกอบเสริมครับ เอาไว้ทำ Sandbox analysis และ Security update exports ซึ่งมีคุณสมบัติต่างๆ ดังนี้

  • Threat Analyzer เป็นองค์ประกอบเสริมที่ออกแบบมาให้ใช้เป็น Sandbox เพื่อสร้างสภาพแวดล้อมจำลอง เพื่อวิเคราะห์ไฟล์ตัวอย่างของพวก Malware สามารถไปช่วยเสริมการทำงานของ Deep Discovery Inspector ได้ด้วย และด้วยการออกแบบสถาปัตยกรรมมาอย่างดี เลยทำให้รองรับจำนวน Sample ได้มากถึง 50,000 samples/วันเลยทีเดียว
  • Threat Intelligence Center เป็นสภาพแวดล้อมสำหรับการทำการวิเคราะห์ข้อมูลจาก Event ต่างๆ รวมถึง Log ที่ได้ เพื่อช่วยในการตรวจสอบหาภัยคุกตาม
  • Security Update Server ช่วยให้ผู้ดูแลระบบทำการ Export ข้อมูลการป้องกันภัยคุกคามออกมาจากการจำลองของ Threat Analyzer ซึ่งข้อมูลที่ได้ก็จะเป็นพวก IP Address/URL และ Hash code ที่เอาไว้สำหรับช่วยในการตรวจจับและป้องกันภัยคุกคามในอนาคตได้

Deep Discovery Advisor

 

หากต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับ Trend Micro Deep Discovery คลิกได้ที่ http://www.trendmicro.com/us/enterprise/security-risk-management/deep-discovery/index.html เลยครับ

@kafaak

ในอดีตเมื่อครั้งยังไม่ต๊อกต๋อย เคยเป็นผู้บริหารฝ่ายผลิตของโรงงานอุตสาหกรรม แต่ภายหลังเลือกงานที่ให้เวลากับชีวิต เพื่อมาอัพเดตเทรนด์เทคโนโลยีมากกว่า ปัจจุบันเป็นทั้งไอทีต๊อกต๋อยในสถานศึกษา เป็นบล็อกเกอร์ต๊อกต๋อยที่เขียนไปเรื่อยทั้งเรื่องเทคโนโลยี โซเชียลมีเดีย การตลาดดิจิตอล และจิตวิทยา เป็นที่ปรึกษาด้านการตลาดดิจิตอลให้กับธุรกิจ SMEs หลายแห่ง และเป็นวิทยากรรับเชิญด้านเทคโนโลยี การตลาดดิจิตอล และโซเชียลมีเดีย เป็นบางครา

You may also like...

Leave a Reply

%d bloggers like this: