RealLog เกิดขึ้นจากการพัฒนาของทีมงาน SRAN   โดยตั้งข้อสังเกตว่าเนื่องจากการป้องกันภัยคุกคามทางไซเบอร์ไม่สามารถป้องกันได้ 100%   จะดีกว่าไหม หากมีระบบที่สามารถรู้เท่าทันการโจมตีและระบุการกระทำผิดได้  โดยมีความละเอียดของข้อมูลสูงพอที่จะวิเคราะห์หรือแกะรอยหาต้นตอของผู้กระทำความผิดได้อย่างสะดวกและรวดเร็ว  รวมถึงหาวิธีการแก้ไขปัญหาและสถานการณ์ฉุกเฉินได้อย่างมีประสิทธิภาพที่สุด

“เพราะการป้องกันแฮกไม่สามารถป้องกันได้ 100%  แต่เรามีทางที่รู้ทันปัญหาและแก้ไขสถานะการณ์ที่เกิดขึ้นได้อย่างทันท่วงที ด้วย RealLog”

ในต่างประเทศเรียกระบบแบบนี้ว่า Security Orchestration คือการนำ Log files ที่มีคุณภาพที่เกิดจากการวิเคราะห์แล้วจากอุปกรณ์ SIEM (Security Information Event Management) หรือ เครื่องมืออื่นๆ อันเป็นกระบวนการกลั่นกรองข้อมูลจาก Log files ที่สมบูรณ์ โดยนำมาเทียบกับค่าดัชนีชี้วัดความเสี่ยงที่เรียกว่า IOC (Indicator of Compromise) ในการเทียบค่า Log นี้เองจะทำให้ทราบถึงการโจมตีทางไซเบอร์ได้อย่างแม่นยำและถูกต้องมากขึ้น เมื่อทราบค่าที่ถูกต้องแม่นยำแล้วระบบจะทำการแจ้งเตือนและหยุดการยั้งการโจมตีที่เกิดขึ้นพร้อมซ่อมแซมส่วนที่ชำรุดเพื่อให้ระบบกลับมาใช้งานได้อย่างปกติ

หลักการทำงาน 

หลักการทำงาน คือ การรับค่า Log จาก Access log คือ log ที่มีในเว็บไซต์ทั่วไปส่งเข้า IOC agent และค่าการประเมินความเสี่ยงแบบสังเกตการณ์ทำแบบต่อเนื่อง (Passive Vulnerability Assessment) ค่า Log ดังกล่าวส่งไปที่ IOC agent ส่วนสุดท้ายคือ Log จากระบบเฝ้าระวังภัยคุกคามทางเครือข่ายคอมพิวเตอร์ (Intrusion Detection System) log ส่วนนี้ก็จะถูกส่งไปที่ IOC agent  จากนั้น IOC agent จะคัดกลั่นกรองข้อมูล โดยใช้เทคนิคทาบ Log เทียบเคียงจากค่าดัชนีความเสี่ยงเพื่อประมวลผลเป็น RealLog   ในการเทียบค่า Log นี้เองจะทำให้ทราบถึงการโจมตีทางไซเบอร์ได้อย่างแม่นยำและถูกต้องมากขึ้น เมื่อทราบค่าที่ถูกต้องแม่นยำแล้วระบบจะทำการแจ้งเตือนและหยุดการยั้งการโจมตีที่เกิดขึ้นพร้อมซ่อมแซมส่วนที่ชำรุดเพื่อให้ระบบกลับมาใช้งานได้อย่างปกติ

RealLog เป็นระบบ Security Orchestration แบบหนึ่ง โดยทีมงาน SRAN ผู้พัฒนานั้นได้ออกแบบมาเพื่อการระบุตัวตนนักโจมตีระบบและการแก้ไขสถานะการณ์ฉุกเฉินจากการโจมตีเว็บไซต์เป็นหลัก

การออกแบบ RealLog  คือการต่อยอดจากสิ่งที่เคยทำมาเมื่อประมาณปี 2007 SRAN Data Safehouse ผ่านมา 10 ปีพอดี ได้ฤกษ์ออกแบบใหม่หมด โดยได้นำเทคนิค “Security Orchestration” เข้ามาผสมผสาน โดยองค์ประกอบภายในได้นำเทคนิคสมัยใหม่เข้าใช้งานทั้งหมด

โดยมีคุณสมบัติดังนี้

องค์ประกอบที่ 1  เรื่องการวิเคราะห์ Log และการมองเห็น  (Log Visibility and Analysis) 
1. การรวมศูนย์วิเคราะห์ Log web server หรือ Farm server  เพื่อการรู้เท่าทันการโจมตีทางไซเบอร์
2. การมองเห็นค่า SSL ที่เกิดขึ้นผ่านการโจมตีเว็บไซต์
3. การใช้งานปกติและข้อมูลที่มีความเสี่ยงเพื่อทำการเก็บบันทึกข้อมูลตามกฎหมาย
4. การออกรายงานสถิติและการวิเคราะห์ผ่านแผนที่ภูมิศาสตร์
5. การเห็นค่าไอพีที่แท้จริงหลัง IP NAT (Behind IP NAT / local address)
6. การเห็นค่าไอพีที่แท้จริงหลังการผ่าน Proxy/Anonymous  (Behind IP Proxy/Anonymous)
7. การเห็นค่าซอฟต์แวร์ ชนิดของบราวเซอร์และระบบปฏิบัติการ
8. การเก็บบันทึกประวัติ Session cookie
9. การค้นหาข้อมูลและการเลือกดูย้อนหลัง

องค์ประกอบที่ 2  เรื่องการระบุตัวตนนักโจมตีระบบ (Identify Real Attacker)
1. การระบุตำแหน่ง IP Geo-location ที่ได้จากฐานข้อมูลกลาง และแสดงผลผ่านแผนที่ภูมิสารสนเทศ
2. การระบุตำแหน่งที่แท้จริง Real location access จากละติจูด (latitude) และลองติจูด (longitude)
3. การระบุค่า IP Address / ASN  ชื่อหน่วยงานองค์กร ชื่อประเทศ และชื่อเมือง

 องค์ประกอบที่ 3  การประเมินความเสี่ยงอย่างต่อเนื่องเพื่อวิเคราะห์หาปัญหาระบบอย่างแท้จริง

1. การนำ Log จากระบบ NIDS (Network Intrusion Detection System) เพื่อนำมาวิเคราะห์หาปัญหาที่เกิดขึ้น
2. การนำ Log จากการทำ Passive Vulnerability Assessment  เพื่อนำมาวิเคราะห์หาปัญหาที่เกิดขึ้น
3. การตรวจจับลักษณะการโจมตีโดยใช้มาตรฐาน OWASP  เป็นค่ากำหนด
4. การตรวจจับภัยคุกคามโดยการเปรียบเทียบค่า Log files จาก IOC (Indicator of Compromise)
5. การแจ้งเตือน (Notice) เพื่อระบุปัญหาที่เกิดขึ้นผ่านเว็บบริหารจัดการ (Web management gui)
6. ตรวจจับไอพีแอดเดรสที่ทำการใช้เครื่องการสแกนอันกระทบต่อระบบการใช้งานได้ (Scanner Tools Detection)
7. ตรวจจับการ Brute Force ระบบผ่านช่องทาง Protocol อื่นที่มีความสำคัญต่อระบบได้
8. ตรวจจับปริมาณ Session จากแหล่งที่มาต้นทางไอพีแอดเดรสอันส่งผลกระทบต่อระบบได้

องค์ประกอบที่ 4  การแจ้งไขปัญหาฉุกเฉิน (Incident Response) และการป้องกันภัยคุกคามจากการโจมตีทางไซเบอร์ (Cyber Protection)
1. เมื่อพบการแจ้งเตือน (Alerts)  สามารถสั่งระงับการเข้าถึงนักโจมตีระบบได้
2. รายงานสำหรับการแจ้งเตือน และแจ้งสถานะการณ์ความเสี่ยงที่พบ

3. การตั้งค่าการปิดกั้นชุดไอพีอันตราย
4. การตั้งค่าปิดกั้นการเข้าถึงในการอำพรางตัวตน (Anonymous)
5. แสดงค่าสถานะการปิดกั้นและการป้องกันภัยคุกคามทางไซเบอร์ที่เกิดขึ้น

=================================================

สนใจติดต่อเป็นตัวแทนขาย

โทรศัพท์ 02 9825454, 02 9825445, 02 9825455,  และ 02 9843088

Sales at gbtech.co.th