blog

  • 13
    09

    Bug in Windows Kernel Could Prevent Security Software From Identifying Malware

    Malware developers can abuse a programming error in the Windows kernel to prevent security software from identifying if, and when, malicious modules have been loaded at runtime.

    The bug affects PsSetLoadImageNotifyRoutine, one of the low-level mechanisms some security solutions use to identify when code has been loaded into the kernel or user space.

    The problem is that an attacker can exploit this bug in a way that PsSetLoadImageNotifyRoutine returns an invalid module name, allowing an attacker to disguise malware as a legitimate operation.

    Bug affects all Windows versions released in the past 17 years
    The issue came to light earlier this year when enSilo researchers were analyzing the Windows kernel code. Omri Misgav, Security Researcher at enSilo and the one who discovered the issue, says the bug affects all Windows versions released since Windows 2000.

    Misgav’s tests showed that the programming error has survived up to the most recent Windows 10 releases.

    Microsoft introduced the PsSetLoadImageNotifyRoutine notification mechanism as a way to programmatically notify app developers of newly registered drivers. Because the system could also detect when a PE image was loaded into virtual memory, the mechanism was also integrated with antivirus software as a way to detect some types of malicious operations.

    Microsoft did not see this as a security issue
    Right now, the biggest problem is that security software relies on this method to detect some types of malicious operations.

    “We did not test any specific security software,” Misgav told Bleeping Computer via email. “We are aware that some vendors do use this mechanism, however at this point in time we cannot say if and how the use of the faulty [PsSetLoadImageNotifyRoutine] information affects them.”

    “We [also] contacted MSRC [Microsoft Security Response Center] about this issue at the beginning of this year,” Misgav told Bleeping. “They did not deem it as a security issue.”

    “Some references online indicate that the bug was somewhat known, but as far as we can tell its root cause and full implications weren't described in detail up until now,” the researcher also said.

    For technical details, an enSilo blog post details the fine intricacies of how PsSetLoadImageNotifyRoutine works and how the bug alters its normal, supposed behavior.

  • 01
    11

    Microsoft ปฏิเสธที่จะแก้ไขช่องโหว่ใน Windows Kernel ที่เปิดให้ Malware หลบการตรวจจับของ Malware Scanner ได้

    หลังจากที่มีนักวิจัยออกมาตรวจพบช่องโหว่บน Windows Kernel ตั้งแต่รุ่น 2000 เป็นต้นมาจนถึงปัจจุบันที่ทำให้ Malware สามารถหลบเลี่ยงการตรวจจับของ Malware Scanner ได้ ทาง Microsoft ได้ออกมาปฏิเสธที่จะแก้ไขช่องโหว่นี้

    ในสัปดาห์ที่ผ่านมา Omri Misgav นักวิจัยด้านความมั่นคงปลอดภัยจาก enSilo ได้ตรวจพบช่องโหว่ใน System Call ของระบบปฏิบัติการ Microsoft Windows ตั้งแต่รุ่น 2000 จนถึงรุ่นปัจจุบัน โดย System Call ที่มีชื่อว่า PsSetLoadImageNotifyRoutine ซึ่งถูกเรียกใช้โดยเหล่าเครื่องมือ Antivirus และ Malware Scanner เพื่อตรวจสอบค้นหาโค้ดที่อาจเป็นอันตรายในหน่วยความจำของระบบนี้กลับมีช่องโหว่ที่ทำให้เหล่า Malware สามารถใช้หลบเลี่ยงการตรวจสอบได้ เนื่องจากโค้ดในส่วน API นั้นมีความผิดพลาด ทำให้ผู้โจมตีสามารถนำความผิดพลาดเหล่านี้ไปใช้เพื่อหลอกให้ระบบปฏิบัติการทำการตรวจสอบไฟล์อื่นๆ แทนที่จะเป็นโค้ดของตัว Malware แทนได้ และทำให้ Malware นั้นๆ หลบเลี่ยงการตรวจสอบได้นั่นเอง

    อย่างไรก็ดี หลังจากที่ enSilo ได้แจ้งช่องโหว่นี้ไปยัง Microsoft แล้วก็ยังไม่มีความคืบหน้าใดๆ เกิดขึ้น ทาง The Register จึงได้ทำการสอบถามไปยัง Microsoft และได้คำตอบกลับมาว่าทางวิศวกรของ Microsoft ไม่ได้มองว่าช่องโหว่นี้เป็นอันตราย และปัจจุบันก็ยังไม่มีแผนที่จะออกอัปเดตใดๆ สำหรับประเด็นนี้

    สำหรับท่านที่สนใจหรือต้องการข้อมูลใดเพิ่มเติม สามารถติดต่อ Ensilo distributor in thailand : info@infosec.co.th

    ที่มา: https://www.theregister.co.uk/2017/09/08/microsoft_says_it_wont_fix_kernel_flaw_its_not_a_security_issue_apparently/

  • 01
    11

    Phishing ภัยหลอกลวงบนโลกออนไลน์ที่คุณต้องเจอ

    Phishing (ฟิชชิ่ง) คือ การหลอกลวงรูปแบบหนึ่งผ่านการส่งอีเมล โดยมีเจตนาให้ได้มาซึ่งล็อกอิน และรหัสผ่านของเหยื่อ โดยคำว่า Phishing จะเป็นคำพ้องเสียงกับคำว่า Fishing (ฟิชชิ่ง) ที่แปลว่า การตกปลา แต่ในที่นี้ Phishing จะเป็นการตกเอาข้อมูลของเหยื่อนั่นเอง

    หลักการของฟิชชิ่ง คือ ใช้การส่งอีเมลไปหาบุคคลเป้าหมาย (เหยื่อ) โดยเนื้อหาของอีเมลจะเป็นการหลอกลวงในสิ่งที่เหยื่อมีความคุ้นเคย เช่น หลอกเอาข้อมูลล็อกอินและรหัสผ่านเข้าสู่ระบบบัตรเครดิต หรืออินเทอร์เน็ตแบงค์กิ้ง หรือ Paypal (เพย์แพล) หรือ Facebook (เฟซบุ๊ก) เป็นต้น ซึ่งเนื้อหามักจะหลอกลวงในสิ่งที่ทำให้เหยื่อเกิดจินตนาการคล้อยตาม ยกตัวอย่างเช่น หลอกว่า “บัญชี Paypal ของคุณมีการจ่ายเงินซื้อของไปเป็นจำนวนเงิน xxx บาท และหากคุณไม่ได้ทำรายการซื้อนี้ ให้คลิกเพื่อเข้าไปแก้ไขข้อมูล” โดยในเนื้ออีเมลจะใส่ URL เว็บไซต์ปลอม ซึ่งมีหน้าตาเหมือนกับเว็บไซต์ Paypal แล้วมีช่องให้กรอกล็อกอินและรหัสผ่าน เมื่อเหยื่อหลงเชื่อกรอกข้อมูลเข้าไป หน้าเว็บไซต์ปลอมก็จะแสดงผล เช่น “ระบบขัดข้อง ไม่สามารถเข้าใช้งานได้ในเวลานี้” หรือแจ้งว่า “รหัสผ่านไม่ถูกต้อง” ซึ่งในขณะเดียวกันแฮกเกอร์ก็ได้เก็บข้อมูลล็อกอินและรหัสผ่านที่เหยื่อกรอกไปแล้ว เพื่อนำไปใช้ในการล็อกอินเข้าระบบจริงต่อไป เพื่อเข้าไปทำธุรกรรมอิเล็กทรอนิกส์ หรือนำไปซื้อของในอินเทอร์เน็ต เป็นต้น

    ส่วนการหลอกลวงฟิชชิ่งของโซเชียลมีเดีย เช่น เฟซบุ๊ก มักจะเป็นอีเมลหลอกลวงว่า “อาจมีคนกำลังพยายามเข้าสู่เฟซบุ๊กของท่าน เพื่อความปลอดภัยให้ทำการล็อกอินเข้าไปเปลี่ยนรหัสผ่าน” เป็นต้น เมื่อเหยื่อหลงเชื่อ ก็จะถูกดักเอาข้อมูลล็อกอินและรหัสผ่านไปใช้เพื่อเข้าสู่เฟซบุ๊กจริงของเหยื่อต่อไป
    ซึ่งบริษัท UIH มีบริการ Clean Mail on Cloud พร้อมให้บริการแก่คุณด้วยความมั่นใจ โดยบริการฯ ของ UIH ได้เลือกใช้ผลิตภัณฑ์ Proofpoint ซึ่งเป็นผลิตภัณฑ์ที่ได้รับการยอมรับว่าอยู่ในอันดับที่ดีที่สุดของ Gartner Magic Quadrant ในเรื่องของ Mail Security Gateway

    สำหรับท่านที่สนใจหรือต้องการข้อมูลใดเพิ่มเติม สามารถติดต่อ Proofpoint distributor in thailand : info@infosec.co.th

    หรือ อ่านรายละเอียด ได้ที่ https://www.uih.co.th/th/internet-solution/vas/clean-mail-on-cloud
    เรียบเรียงข้อมูลโดย ฝ่าย Network Operations บริษัท ยูไนเต็ด อินฟอร์เมชั่น ไฮเวย์ จำกัด

  • 06
    07

    11 เทคโนโลยีสำคัญด้านความมั่นคงปลอดภัยในปี 2017 โดย Gartner

    เครดิตภาพจาก: Maksim Kabakou/ShutterStock

    Gartner บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกมาเปิดเผยถึงเทคโนโลยีด้านความมั่นคงปลอดภัยสารสนเทศที่น่าจับตามองในปี 2017 ซึ่งได้บรรยายไปภายในงาน Gartner Security & Risk Management Summit เมื่อสัปดาห์ที่ผ่านมา ซึ่งประกอบด้วย 11 รายการ ดังนี้

    1. Cloud Workload Protection Platform
    Data Center ยุคใหม่รองรับภาระงานที่รันบนแพตฟอร์มหลากหลายประเภท ไม่ว่าจะเป็น อุปกรณ์ Physical, Virtual Machines (VMs), Container, Private Cloud และ Public Cloud IaaS เทคโนโลยี Cloud Workload Protection Platform (CWPP) แบบไฮบริด ช่วยให้ผู้ดูแลระบบรักษาความมั่นคงปลอดภัยสารสนเทศสามารถผสานการป้องกันภาระงานบนแพลตฟอร์มเหล่านี้และการจัดทำนโยบายด้านความมั่นคงปลอดภัยได้ภายในหน้าคอนโซลเดียว โดยไม่ต้องสนใจว่าภาระงานดังกล่าวรันอยู่บนแพลตฟอร์มไหน

    2. Remote Browser
    การโจมตีที่ประสบความสำเร็จเกือบทั้งหมดมาจากอินเทอร์เน็ตสาธารณะ และการโจมตีผ่านเบราเซอร์ก็เป็นวิธียอดนิยมสำหรับใช้โจมตีผู้ใช้ ถึงแม้ว่าผู้ดูแลระบบรักษาความมั่นคงปลอดภัยสารสนเทศจะไม่สามารถหยุดยั้งการโจมตีได้ แต่สามารถกักกันความเสียหายได้โดยการแยกเซสชันการใช้งานอินเทอร์เน็ตของผู้ใช้ออกจากระบบเครือข่ายและอุปกรณ์ปลายทางขององค์กร การแยกฟังก์ชันการเล่นอินเทอร์เน็ตผ่านเบราเซอร์ออกมานี้ ช่วยให้มัลแวร์ไม่สามารถทะลุผ่านมายังระบบของผู้ใช้ รวมไปถึงช่วยลดช่องทางที่แฮ็คเกอร์ใช้โจมตีโดยการโยกความเสี่ยงไปยังเซสชันของเซิร์ฟเวอร์แทน ซึ่งสามารถรีเซ็ตเซสชัน แท็บที่เปิดใหม่ หรือ URL ที่เข้าถึง ให้อยู่สถานะที่มั่นใจว่ามีความมั่นคงปลอดภัย

    3. Deception
    นิยามของเทคโนโลยี Deception คือการใช้เหยื่อล่อ นกต่อ หรือเล่ห์เหลี่ยมที่ถูกออกแบบมาเพื่อขัดขวาง หรือหลบหนีจากกระบวนการทางความเข้าใจของแฮ็คเกอร์ ขัดขวางเครื่องมือที่แฮ็คเกอร์ใช้โจมตีอัตโนมัติ ยืดเวลาที่แฮ็คเกอร์ต้องใช้โจมตีออกไป หรือตรวจจับการโจมตี การวางเทคโนโลยี Deception ไว้ด้านหลัง Firewall ทำให้องค์กรสามารถตรวจจับการเจาะระบบป้องกันได้อย่างแม่นยำมากขึ้น ซึ่งปัจจุบันนี้เทคโนโลยี Deception เข้ามาเสริมความแข็งแกร่งด้านความมั่นคงปลอดภัยในหลายๆ องค์ประกอบ ได้แก่ อุปกรณ์ปลายทาง ระบบเครือข่าย แอพพลิเคชัน และข้อมูล

    4. Endpoint Detection and Response
    Endpoint Detection and Response (EDR) เป็นโซลูชันที่พัฒนาต่อยอดมาจากมาตรการควบคุมเชิงป้องกันบนอุปกรณ์ปลายทาง เช่น Antivirus โดยสามารถเฝ้าระวังพฤติกรรมที่ผิดปกติ และการกระทำที่ส่อแววว่าเป็นพฤติกรรมที่ประสงค์ร้าย บนอุปกรณ์ปลายทาง Gartner ทำนายไว้ว่า ในปี 2020 จำนวน 80% ขององค์กรขนาดใหญ่ 25% ขององค์กรขนาดกลาง และ 10% ขององค์กรขนาดเล็ก จะมีการนำโซลูชัน EDR เข้ามาใช้งาน

    5. Network Traffic Analysis
    Network Traffic Analysis (NTA) เป็นโซลูชันสำหรับติดตามและเฝ้าระวังทราฟฟิก การไหลของข้อมูล และการเชื่อมต่อบนระบบเครือข่ายเพื่อตรวจสอบหาพฤติกรรมที่ไม่พึงประสงค์ องค์กรที่กำลังมองหาโซลูชันบนระบบเครือข่ายสำหรับใช้ตรวจจับการโจมตีระดับสูงที่สามารถบายพาสระบบรักษาความมั่นคงปลอดภัยหน้าบ้านเข้ามาได้ ควรนำ NTA ไว้พิจารณา

    6. Managed Detection and Response
    Managed Detection and Response (MDR) เป็นบริการสำหรับผู้ที่กำลังมองหาการตรวจจับ ตอบสนอง และเฝ้าระวังภัยคุกคามภายในองค์กรอย่างต่อเนื่อง แต่ขาดซึ่งผู้เชี่ยวชาญหรือทรัพยากรในการบริหารจัดการด้วยตนเอง ความต้องการของ MDR ในตลาดของธุรกิจระดับ SMB และองค์กรขนาดเล็กเริ่มมีมากขึ้นเรื่อยๆ เนื่องจาก MDR เข้ามาตอบโจทย์สิ่งที่พวกเขาต้องการ

    7. Microsegmentation
    เมื่อแฮ็คเกอร์สามารถแทรกซึมเข้ามายังระบบขององค์กรได้แล้ว พวกเขามักจะพยายามแทรกซึมต่อไปยังอุปกรณ์ข้างเคียงอื่นๆ เพื่อค้นหาเป้าหมายที่แท้จริง Microsegmentation เป็นกระบวนการการแบ่งระบบออกเป็นส่วนๆ และแบ่งแยกออกจากกันอย่างเด็ดขาดภายใต้สภาวะแวดล้อมแบบ Virtualization เพื่อจุดประสงค์ด้านความมั่นคงปลอดภัย เช่นเดียวกับผนังแยกในเรือดำน้ำ Microsegmentation ช่วยจำกัดความเสียหายจากการที่ระบบถูกเจาะ ก่อนหน้านี้ Microsegment เคยถูกเรียกว่าเป็นเครื่องมือที่ช่วยในการป้องกันการแทรกซึมของแฮ็คเกอร์ที่ย้ายตัวเองไปมาระหว่างเซิร์ฟเวอร์ในระดับหรือโซนเดียวกัน แต่ตอนนี้ครอบคลุมถึงการย้ายตัวเองไปมาในสภาวะแวดล้อมแบบ Virtualization ด้วย

    8. Software-defined Parameters
    นิยามของ Software-defined Parameter (SDP) คือกลุ่มของอุปกรณ์ที่ต่างประเภทกัน แต่เชื่อมต่อถึงกันบนระบบเครือข่ายภายในสภาวะแวดล้อมปิดที่มั่นคงปลอดภัย ซึ่งอุปกรณ์เหล่านี้ปกติจะถูกซ่อนจากการเข้าถึงจากภายนอก และการเข้าจึงอุปกรณ์ภายในจะถูกจำกัดผ่านทาง Broker ที่เชื่อถือได้ ซึ่งช่วยให้สามารถปกปิดทรัพยากรจากสาธารณะและลดช่องทางในการถูกโจมตี Gartner พยากรณ์ไว้ว่า เมื่อถึงปลายปี 2017 อย่างน้อย 10% ขององค์กรขนาดใหญ่จะใช้ประโยชน์จากเทคโนโลยี SDP ในการแยกสภาวะแวดล้อมที่สำคัญออกมาจากระบบเครือข่ายปกติ

    9. Cloud Access Security Brokers
    Cloud Access Security Brokers (CASBs) ช่วยอุดช่องโหว่ด้านความมั่นคงปลอดภัยที่เกิดจากการใช้บริการบนระบบ Cloud และอุปกรณ์พกพาที่เพิ่มมากขึ้น CASB ช่วยให้ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสามารถควบคุมการใช้บริการบนระบบ Cloud ของผู้ใช้และอุปกรณ์ต่างๆ ได้พร้อมกันภายในจุดเดียว การเติบโตของการใช้ SaaS และความกังวลเรื่องความมั่นคงปลอดภัย ความเป็นส่วนบุคคล และการปฎิบัติตามข้อบังคับ ทำให้เกิดความต้องการด้าน Visibility และ Control บนระบบ Cloud มากยิ่งขึ้น

    10. OSS Security Scanning and Software Composition Analysis for DevSecOps
    ผู้ดูแลระบบรักษาความมั่นคงปลอดภัยต้องสามารถมีส่วนร่วมกับมาตรการด้านความมั่นคงปลอดภัยได้โดยไม่ต้องลงไปตั้งค่าด้วยตนเอง ผ่านทางการเข้าร่วม DevSecOps Cycle กับทีม DevOps แบบเนียนๆ แต่ไม่ขัดขวางความคล่องตัวในการทำงานของ DevOps ที่สำคัญคือสามารถบริหารจัดการความเสี่ยงและดำเนินการตามข้อบังคับและกฎหมายต่างๆ ได้ มาตรการควบคุมจะต้องสามารถทำงานได้โดยอัตโนมัติภายใน Toolchain ของ DevOps เพื่อให้สามารถบรรลุวัตถุประสงค์ดังกล่าว เครื่องมือ Software Composition Analysis (SCA) ถูกใช้เพื่อวิเคราะห์ซอร์สโค้ด โมดูล เฟรมเวิร์ก และไลบรารี่ที่นักพัฒนาใช้ เพื่อระบุและจัดเก็บ OSS Components และตรวจสอบช่องโหว่ด้านความมั่นคงปลอดภัยหรือประเด็นด้าน License ก่อนที่แอพพลิเคชันจะถูกนำไปใช้งานจริง

    11. Container Security
    Container ใช้โมเดลการแชร์ระบบปฏิบัติการ แฮ็คเกอร์ที่พบช่องโหว่บนระบบปฏิบัติการสามารถแฮ็ค Container ที่รันอยู่ด้านบนได้ทั้งหมด แต่ไม่ใช่ว่าการใช้ Container จะไม่มั่นคงปลอดภัย เพียงแค่ Container ถูกวางอยู่บนสภาวะแวดล้อมที่ไม่มั่นคงปลอดภัยโดยตัวนักพัฒนาเอง ซึ่งไม่มีทีมความมั่นคงปลอดภัยเข้ามามีส่วนร่วม หรือมีส่วนร่วมในการให้คำแนะนำน้อยมาก โซลูชันด้านความมั่นคงปลอดภัยบนระบบเครือข่ายและอุปกรณ์ปลายทางแบบดั้งเดิมไม่สามารถป้องกันภัยคุกคามบน Container ได้ โซลูชันด้านความมั่นคงปลอดภัยสำหรับ Container จึงเกิดมาเพื่อปกป้องการนำ Container มาใช้ ตั้งแต่การเริ่มสร้าง Container จนถึงการนำแอพพลิเคชันไปใช้งานจริง และโซลูชันส่วนใหญ่จะมาพร้อมกับคุณสมบัติ Preproduction Scanning และ Runtime Monitoring and Protection

    อ่านรายละเอียดฉบับเต็มได้ที่: http://www.gartner.com/newsroom/id/3744917

    ที่มา:https://www.techtalkthai.com/top-security-technologies-in-2017/

  • 06
    07

    เลือก Firewall อย่างไรดีในปี 2017

    เราต่างเคยได้ยินกันมาแต่ไหนแต่ไรในเรื่องวิธีการป้องกันระบบ IT ให้ปลอดภัย และเมื่อพูดถึงเรื่องนี้ก็มักจะได้ยินคำว่า “Firewall” อยู่เสมอ ไม่ว่าจะจากในภาพยนต์ หรือบทสัมภาษณ์ของผู้เชี่ยวชาญ ซึ่ง Firewall เปรียบเสมือนด่านหน้าการป้องกันอย่างแรกของระบบที่ทุกคนคิดถึง แต่ที่หลายๆคนไม่ทราบคือ Firewall มีชนิดที่หลากหลายและมีความสามารถในแต่ละประเภทไม่ซ้ำกันให้เลือกใช้งานให้เหมาะสมกับความต้องการ ในบทความนี้เราจะมาดูกันว่า มีอะไรบ้างและจะเลือกใช้ให้เหมาะสมกับระบบของเรายังไง
    Traditional Firewall

    Firewall มาตรฐานทั่วไปในอดีตจะทำงานในระดับสูงสุดที่ Network Layer (อ้างอิงจาก OSI Model) มีหน้าที่ควบคุมการใช้งาน traffic, ควบคุมการใช้งานเครื่องที่มาใช้ในเครือข่าย มี 2 แบบ หลักๆ คือแบบ Stateless และแบบ Stateful

    Stateless จะเป็นการคอยมอง traffic และจำกัดหรือปฎิเสธ packet ซึ่งดูตาม Source และ Destination IP Address หรือค่า static ใดๆ เช่น port เป็นต้น โดยไม่ได้สนใจ pattern หรือ data flow ใดๆ
    Stateful จะเปลี่ยนจากการคอยมอง traffic แต่เป็นมองการเชื่อมต่อแบบ end-to-end มีความสามารถจำสถานะการเชื่อมต่อได้ อีกทั้งยังสามารถเพิ่มการเฝ้าระวังเส้นทางการเชื่อมต่อได้ โดยสามารถทำส่วน IPSec (IP Security) เพื่อทำท่อเพื่อเข้ารหัสการรับส่งข้อมูลได้นั่นเอง

    สิ่งที่แตกต่างระหว่าง Stateless และ Stateful ทำให้ความเหมาะสมในการใช้งานก็แตกต่าง ไปเช่นกัน Stateless จะเหมาะสำหรับการใช้งานที่ Traffic ค่อนข้างเยอะและมีความเร็วในการจัดการ Packet ได้เร็วกว่า แต่ Stateful จะได้เรื่องการเก็บรายละเอียดการใช้งานต่างๆ ของ Connection แทน

    ส่วนการวาง Firewall โดยปกติจะวางไว้ด้านหลัง Router เลยเรียกได้ว่าเป็น การวางในส่วนที่แทบจะนอกสุดของระบบเครือข่ายเลย เพื่อกรอง Packet ที่เข้ามามีแต่ส่วนที่เรา อนุญาตเท่านั้น ซึ่งแน่นอนว่าเราอาจจะมี Firewall อีกตัวหนึ่ง เพื่อกั้นระหว่างการใช้งานภายในของ ผู้ใช้งานเองกับ Server ภายในก็สามารถทำได้

    Next Generation Firewall

    Next Generation Firewall (NGFW) เป็น Firewall ที่มีการยกระดับการป้องกันให้ทำงานได้ อย่างครอบคลุมมากขึ้น มีประสิทธิภาพที่มากขึ้น เป็นไปตามชื่อนั่นคืออีกยุคสมัยหนึ่งของ Firewall เพื่อจะรับมือภัยคุกคามที่ซับซ้อน และการใช้งานของผู้ใช้งานที่หลากหลายมากขึ้นนั่นเอง โดย Feature หลายๆอย่างที่เพิ่มเข้ามาในแต่ละ Vendor ก็จะคล้ายๆกัน ดังนี้

    เข้าใจถึงระดับ Application Layer นั่นคือแทนที่จะมองเป็นแค่ข้อมูลที่ส่งผ่าน port 80,443 เป็นการใช้งานของ application ประเภทใด แยกออกว่าเป็นการใช้โปรแกรมอย่าง LINE, Facebook Application, Facebook Game หรือไม่ เมื่อเข้าใจว่าเป็นการใช้งาน application ใดๆก็จะสามารถควบคุมการใช้งานเพิ่มเติมได้ เช่น การระบุเวลาการเล่น Facebook ภายในองค์กร เป็นต้น
    ติดตั้งระบบ IPS (Intrusion Protection System) เพิ่มเติมเข้าไป ทำให้สามารถป้องกันการ โจมตีภัยคุกคามต่างๆที่เป็น “Well-known attack ต่างๆได้ ไม่ว่าจะเป็น Known exploit attacks, การใช้งานที่ผิดปกติ Activity รวมถึงสามารถทำ traffic behavioral analysis ได้อีกด้วย
    เพิ่มความสามารถในการ track user ร่วมกับระบบ authentication ที่มี(เช่น Active Directory, LDAP เป็นต้น ทำให้ไม่เพียงแต่การป้องกันการใช้งาน Network ในระดับ network layer เท่านั้น ยังสามารถแบ่งแยกการเข้าถึง server ต่างๆโดยดูจาก user ของผู้ใช้งานอีกด้วย
    สามารถทำงานในลักษณะ Bridge mode หรือ Route Mode ก็ได้เช่นกัน
    มีการติดตั้งระบบ Antivirus เข้าไปเพิ่มอีกด้วย ซึ่งนั่นทำให้สามารถดักจับ Malware ต่างๆ ที่ผู้ใช้งานที่ใช้งานเครือข่ายผ่าน NGFW อีกด้วย
    อีกทั้งยังสามารถมีการนำข้อมูลจากภายนอกอย่าง Blacklist IP หรือ Sandbox สำหรับทำ Malware analysis มาเป็นตัวช่วยในการป้องกันเพิ่มเติมได้อีกด้วย

    จากประสิทธิภาพทั้งหมดเราจะเห็นว่า NGFW ไม่ได้มาเพื่อตอบโจทย์การป้องกัน ในลักษณะ เดิมอีกต่อไป NGFW ยังเน้นการป้องกันในส่วนของผู้ใช้งานให้มากขึ้นเป็นอย่างมาก การวาง NGFW นั้นจริงๆแล้วสามารถแทน Firewall ได้เลย แต่เพื่อไม่ให้ NGFW ทำงานหนักมากเกินไป NGFW จึงควรไว้หลัง Firewall เสียมากกว่า โดย NGFW ยี่ห้อที่ได้รับความนิยมมีหลายยี่ห้อ เช่น Palo Alto, Cisco, Checkpoint, Fortigate เป็นต้น

    Firewall สำหรับ Server โดยเฉพาะ
    Web Application Firewall (WAF)

    Web Application Firewall เป็น Firewall ที่ถูกสร้างขึ้นมาเพื่อใช้ป้องกันการโจมตีทางด้าน HTTP หรือก็คือการโจมตีที่เจาะจงมาที่เว็บไซต์นั่นเอง ซึ่งการป้องกันของ WAF นั้นจะมีด้วยกันหลายส่วน ไม่ว่าจะเป็น

    well-known attack หรือก็คือ pattern การโจมตีทั่วไปที่สามารถพบได้ทั่วไป
    การตรวจสอบว่าเป็นการใช้งานที่ผิดไปจาก HTTP Protocol หรือไม่
    การเรียนรู้การใช้งานปกติก่อนจะป้องกันการใช้งานที่ผิดปกติต่างๆ
    การใช้งาน threat intelligence ต่างๆ ไม่ว่าจะเป็นลักษณะการ request ที่เข้าข่ายว่าเป็น bot, Blacklist IP จากแหล่งต่างๆ เพื่อช่วยป้องกันการโจมตี
    การทำ virtual patching ให้กับเว็บไซด์ก่อน นั่นคือการป้องกันการโจมตีของช่องโหว่ใดๆ ที่ถูกประกาศ
    การรองรับการเข้ารหัสและถอดรหัส SSL ที่ WAF

    จริงๆแล้วยังมี Feature อีกมากมายหลากหลายขึ้นอยู่กับ product แต่ละเจ้า โดยการวางของ WAF นั้นจะพยายามให้ใกล้กับเว็บไซด์ที่ใกล้ที่สุดเท่าที่จะทำได้ โดยยี่ห้อที่ได้รับความนิยมมีด้วยกัน หลายเจ้า เช่น Imperva, Barracuda, Fortiweb เป็นต้น

    Database Firewall

    Database Firewall (DBF) เป็น Firewall ที่ไม่เพียงแต่เอาไว้สำหรับการป้องกันการโจมตี ที่จะเกิดขึ้นกับ Database แต่ยังเป็นการ audit การใช้งาน Database ทั้งหมดที่อยู่ภายใต้ความดูแล ของ DBF อีกด้วย ทั้งนี้ความสามารถของ DBF ทำได้ทั้งในส่วน

    ในหลายๆองค์กรจำเป็นต้องมีการ audit การใช้งาน database เพื่อจะตอบโจทย์ในการทำ Compliane ต่างๆ เช่น PCI-DSS เป็นต้น ดังนั้นจำเป็นต้องมีการเก็บ query ทั้งหมดที่เกิดขึ้น แต่เมื่อกระทำการ audit จะทำให้ระบบมีประสิทธิภาพการทำงานที่ลดลง ดังนั้นการใช้งาน DBF ในการเก็บ query ทั้งหมดแทน Database Server จึงช่วยในเรื่องนี้ได้มาก เพราะได้ทั้งตอบโจทย์ในเรื่องการ audit และประสิทธิภาพที่ยังคงที่
    การป้องกันการโจมตีที่เข้ามายัง Database ในลักษณะที่เป็น SQL Injection Attack
    การตรวจสอบสิทธิ์การเข้าใช้งานของ user แต่ละคน รวมถึงการควบคุมการเข้าถึงโดย user ไปยัง Database หรือ table ใดๆในระบบ
    DBF ส่วนใหญ่จะสามารถทำงานได้ทั้งแบบ Sniff Mode และ Inline Mode

    วิธีการวางของ DBF ก็จะคล้ายๆกับ WAF แทนที่จะวางใกล้กับเว็บไซด์ ก็กลายเป็นวางใกล้กับ database แทนนั่นเอง ณ ปัจจุบัน ตลาดของ DBF ยังมีผู้เล่นในตลาดอยู่น้อยมากๆ โดยยี่ห้อที่ได้รับความนิยมมากที่สุด ณ ตอนนี้คือ Imperva
    สรุป

    กาลเวลาที่เปลี่ยนไปทำให้อะไรๆ ก็ต้องปรับตัว ยิ่ง Malware พัฒนามากขึ้นเท่าไหร่ ฝ่ายป้องกันก็ต้องพัฒนาตามมากขึ้นเท่านั้นเช่นกัน สิ่งที่เราไม่ควรมองข้ามคือการคอยเฝ้าระวังภัย คุกคามที่อาจเกิดขึ้นใหม่ทุกๆวัน เพื่อให้องค์กรเราไม่ตกเป็นเหยื่อของภัยคุกคามเหล่านั้นนั่นเอง

    ที่มา:https://www.catcyfence.com/it-security/article/pick-the-firewall-in-year-2017/

1 2 3 4 5 6 7 8 9