Vulnerability Management

RealScan : ระบบบริหารจัดการความเสี่ยงและการประเมินความเสี่ยงที่เกิดขึ้นภายในองค์กร

ความเป็นมา เรามองเห็นความจำเป็นในการตรวจสอบและประเมินความเสี่ยงระบบสารสนเทศภายในองค์กร  ซึ่งองค์กรขนาดใหญ่มักจะมีนโยบายให้มีการตรวจสอบและประเมินความเสี่ยงเป็นระยะ แต่ส่วนองค์กรขนาดกลางและเล็กแทบไม่สามารถจะมีเทคโนโลยีที่มาช่วยตรวจและประเมินความเสี่ยงได้ว่าเครื่องแม่ข่าย และระบบเครือข่าย รวมทั้งซอฟต์แวร์ เฟริมแวร์  แอพลิเคชั่นที่เราใช้งานนั้นมีช่องโหว่ และ ความเสี่ยงภัยที่มีผลกระทบต่อธุรกิจองค์กร

การประเมินความเสี่ยงก็ไม่ต่างอะไรกับการตรวจสุขภาพของคนเรา  ในองค์กรระดับ Enterprise เท่านั้นถึงจะมีการทำ Vulnerability Management  คือการค้นหาความเสี่ยงอย่างต่อเนื่องเพื่อปรับปรุงความมั่นคงปลอดภัยข้อมูลอย่างต่อเนื่อง แต่ขณะเดียวกันองค์กรขนาดกลางและเล็กนั้นแทบไม่มีโอกาสได้ทำเนื่องจากค่าใช้จ่ายในการประเมินความเสี่ยงระบบนั้นมีค่าที่สูงและเพื่อเป็นการลดค่าใช้จ่ายการประเมินความเสี่ยง จำเป็นต้องมีผู้เชี่ยวชาญเฉพาะด้านมาตรวจสอบระบบให้ เราจึงทำบริการที่ชื่อว่า “RealScan” โดยมีเทคโนโลยี AI ( Artificial Intelligence)  โดยใช้ Machine Learning  ในการวิเคราะห์ความเสี่ยง และกำหนดค่าคะแนน (Score) ความเสี่ยงที่มีผลกระทบต่อองค์กร และเพื่อการปรับปรุงเพื่อรอดพ้นจากภัยคุกคามที่เกิดขี้นในอนาคต

คุณสมบัติเบื้องต้นมีดังนี้


Discovery : สำรวจอุปกรณ์คอมพิวเตอร์บนเครือข่าย

สำรวจเครือข่ายคอมพิวเตอร์โดยทำการบันทึกอุปกรณ์คอมพิวเตอร์ อุปกรณ์พกพา เช่น มือถือ และ แท็ปเล็ท อุปกรณ์ใช้ในสำนักงาน เครื่องถ่ายเอกสาร อุปกรณ์เครือข่ายได้แก่ เราเตอร์ (Router) , สวิตท์ (Switch) , ตัวกระจายสัญญาณไร้สาย (Access Point) รวมถึงอุปกรณ์อื่นๆ เช่น กล้องวงจรปิด เซ็นเซอร์ IoT (Internet of Thing) และทุกอุปกรณ์ที่มีค่าไอพีแอดเดรส

Machine Learning : ระบบเรียนรู้ข้อมูลด้วยตัวเอง โดยเรียนรู้และแยกแยะว่าอุปกรณ์ที่เกิดขึ้นบนระบบเครือข่ายเป็นเครื่องที่รู้จัก (Known Devices) และ อุปกรณ์ที่ไม่รู้จักมาก่อน (Unknown Devices)

Vulnerability Assessment : ระบบตรวจสอบหาช่องโหว่และประเมินเมินความเสี่ยง โดยทำการตรวจสอบจากค่าซอฟต์แวร์ แอพลิเคชั่น ค่าเวอร์ชั่น ค่าการติดต่อสื่อสาร และนำมาเปรียบเทียบกับการให้คะแนนความเสี่ยงและบอกถึงผลกระทบภัยคุกคามที่มีผลต่อระบบเครือข่ายองค์กร

Forward Log to Centralized log :  ข้อมูลที่เกิดขึ้นจากอุปกรณ์ Preventum สามารถส่งค่า Log เพื่อจัดทำรายงาน (Report) จากส่วนกลางได้ โดยตัวที่มารับค่า Log ต้องใช้ร่วมกับ SRAN RealLog ถึงสามารถอ่านค่า Log ได้อย่างสมบูรณ์

ภาพจากระบบ  : chandanbn.github.io/cvss

คุณสมบัติของส่วนตรวจสอบ (Realscan)

ประกอบด้วย

  1. การจัดเก็บรวบรวมเครื่องคอมพิวเตอร์ที่มีในระบบ (Inventory) พร้อมออกรายงานผลเครื่องที่มีอยู่ในปัจจุบัน
  2. มีการแยกแยะเครื่องคอมพิวเตอร์โดยผ่านเทคโนโลยี Machine Learning เพื่อที่กำหนดได้ว่าเครื่องนี้มีอยู่ในระบบและเครื่องเหล่านี้เป็นเครื่องแปลกปลอมที่เข้าสู่ระบบ (Rouge Device Detection)
  3. การตรวจสอบเครื่องคอมพิวเตอร์หรืออุปกรณ์สื่อสารแบบพกพาแบบอัตโนมัติ เพื่อที่รายงานผลช่องโหว่ (Vulnerability) และอาจจะสร้างความเสียหายให้แก่ระบบเครือข่ายคอมพิวเตอร์
  4. รายงานผลการเปิดพอร์ตบริการ (Port Services) ของเครื่องคอมพิวเตอร์ที่อยู่ในระบบเครือข่าย
  5. รายงานซอฟต์แวร์เวอร์ชั่นที่เกิดขึ้นในเครื่องคอมพิวเตอร์และอุปกรณ์พกพาเพื่อจัดเก็บเป็นประวัติข้อมูลและการตรวจเทียบค่าช่องโหว่ต่อไป
  6. สามารถตรวจสอบเพื่อหาช่องโหว่อุปกรณ์เครือข่ายคอมพิวเตอร์ คอมพิวเตอร์ เครื่องแม่ข่าย และอุปกรณ์สื่อสารเฉพาะอันได้แก่ ระบบ SCADA เป็นต้น
  7. สามารถตรวจสอบเพื่อหาความเสี่ยงจากเครื่องแม่ข่ายและอุปกรณ์สื่อจากการติดเชื้อไวรัสคอมพิวเตอร์ อันได้แก่ตรวจ ransomware wannacry เป็นต้น
  8. สามารถตรวจสอบเพื่อหาช่องโหว่ที่เกิดจากการเขียน Web Application Program ตาม OWASP 10 TOP อันได้แก่ตรวจสอบ SQL injection , XSS (cross site scripting) , Clickjacking , file inclusion เป็นต้น
  9. สามารถตรวจสอบระดับค่าความแข็งแรงของการเข้ารหัส SSL ได้
  10. มีความสามารถในการตรวจสอบค่ารหัสผ่าน โดยการทดสอบ Brute Force เพื่อประเมินหาความเสี่ยงจากการตั้งรหัสผ่านที่ง่ายต่อการเดา
  11. รายงานการตรวจสอบโดยทำการสแกนหาความเสี่ยงจาก CVE (Common Vulnerabilities and Exposures) และ ผลกระทบต่อธุรกิจผ่านค่า CVSS (Common Vulnerability Scoring System V.30 ) และ CWE (Common Weakness Enumeration) โดยจัดทำรายงานในรูปแบบภาษาไทย
  12. รายงานภาพรวมคะแนนความเสี่ยงที่เกิดขึ้นจากระบบเครือข่ายคอมพิวเตอร์พร้อมข้อเสนอแนะในการปรับปรุงให้มีความปลอดภัยมากขึ้น

หมายเหตุ : สามารถต่อยอดในการทำ PCI /DSS Compliance ได้

ภาพแสดงการสำรวจข้อมูลบนระบบเครือข่ายโดยทำงานแบบอัตโนมัติ

 

ภาพตัวอย่างรายงานผลความเสี่ยงที่เกิดขึ้นบนเครื่องแม่ข่ายที่เข้ารับการประเมิน