Firewall แต่ละยี่ห้อ ก็มี Report แตกต่างกันออกไปครับ วันนี้เราไม่ได้มาคุยโม้โอ้อวดกันว่า Firewall ยี่ห้อไหนดีกว่ายี่ห้อไหน ผู้ผลิต Firewall ต่างก็มุ่งเน้นที่จะสร้างความปลอดภัยให้กับลูกค้าทั้งนั้น จะมีแต่คนที่นำมาใช้นี่แหละครับ ที่จะเปิดใช้ Threat detection และนำรายงานมาวิเคราะห์ เพื่อใช้ Security feature ได้อย่างเกิดประโยชน์ คุ้มค่ากับเงินหลายหมื่นหลายแสนหรือไม่ นั่นคือสิ่งที่เราจะคุยกันวันนี้.....จ่ายแล้วได้อะไร??
นี่คือหน้าจอหนึ่งที่มาจาก Log ของ WatchGuard Firebox
หน้าจอนี้ เป็นผลจากการใช้ Firebox ไปตรวจจับกิจกรรมการใช้อินเตอร์เน็ตของระบบ LAN ซึ่งภาพนี้คือ Security Dashboard เป็นรายงานที่บอกถึงกิจกรรมที่เครื่องใน LAN พยายามจะออกเน็ต แต่ถูก Block เอาไว้ เนื่องจากเป็นกิจกรรมที่ไม่ปลอดภัย เปรียบเทียบภาพนี้ให้เข้าใจได้ว่า นี่คือโจรที่ปล้นไม่สำเร็จ พยายามจะทะลุ Firebox ออกไปข้างนอก แต่ล้มเหลว แล้ว Firebox ก็นำความล้มเหลวนั้นมาประจานใน Security Dashboard
หัวข้อที่น่าสนใจ ที่จะมาคุยกันวันนี้คือ "Bot Networks" ดูตามลูกศรสีแดงที่ชี้อยู่ในภาพนะครับ จะเห็นว่า ในวันที่นำรายงานมานี้ เครื่องใน LAN พยายามจะติดต่อกับ Bot Networks ถึง 4,704 ครั้ง ตรงนี้บอกอะไรกับเรา
โจรใช้ Bot Networks ในหลาย ๆ ทางครับ เช่น
● โจรหลอกให้เราคลิกไฟล์ Malware ที่แนบมากับ Mail เมื่อ Malware เริ่มทำงาน มันก็จะเริ่มขโมย password และข้อมูลต่าง ๆ จากเครื่องของเรา ส่งไปให้กับเครือข่าย Bot Networks ของโจรที่อยู่บนอินเตอร์เน็ต ดังนั้น Bot Network ก็คือเครือข่ายของเครื่องที่โจรครอบครองอยู่บนเน็ต เป็นที่พักของข้อมูลที่ขโมยออกมา ก่อนที่โจรจะมาแวะเอาข้อมูลนั้นไปขายอีกที
● Bot Network ไม่ใช่ Malware ถ้าเข้าใจให้ง่าย น่าจะเป็นจุดพักยาเสพติด ก่อนส่งต่อให้ผู้ค้ารายย่อย
● Malware บนเครื่อง Client อาจจะไปโหลด Malware อีกตัว ที่มีขนาดใหญ่กว่า และมีความสามารถในการขโมยข้อมูลได้มากกว่านั้น โหลดจากที่ไหน ก็จาก Bot Networks นี่เองครับ
● Bot Network ไม่ใช่เครื่องของโจร แต่เป็นเครื่องที่โจรครอบครองอยู่ งงมั้ยครับ เซิร์ฟเวอร์หลายตัวที่เปิดพอร์ตอ้าซ่าเอาไว้บนเน็ต แม้มันจะทำงานได้ตามปกติไม่มีปัญหาอะไร แต่ในอีกบทบาทหนึ่ง โจรได้เข้าครอบครองเครื่องนั้น และเพิ่มหน้าที่ให้เครื่องนั้นเป็น Bot ไปด้วย
ดังนั้น จากภาพแรก ได้แสดงให้เห็นว่า ในระบบ LAN ที่ติดตั้ง Firebox นี้ มีเครื่องที่ติด Malware อยู่จำนวนหนึ่งที่พยายามติดต่อกับ Bot Networks สิ่งที่เราจะทำต่อไป คือการ Zoom เข้าไปดูว่า Bot Networks 4,704 ครั้งนั้น มาจากเครื่องไหนใน LAN และเป็น Malware ประเภทไหน
มาดูภาพต่อไปกันครับ
นี่คือภาพที่ Zoom เข้าไปแล้ว จะเห็นว่า มีเครื่องอยู่ 10 เครื่องใน LAN ที่พยายามติดต่อกับ disorderstatus. โดยใช้ http protocol
คำถามถัดมาที่น่าสนใจคือ disorderstatus. คืออะไร เป็นภัยอย่างไร ซึ่งผมคงจะอธิบายถึง Malware ตัวนี้เพียงคร่าว ๆ โดยจะขอตัดข้อความสำคัญจาก web หน้านี้มาให้อ่านกัน
https://www.welivesecurity.com/2017/12/04/eset-takes-part-global-operation-disrupt-gamarue/
Wauchos is mostly used to steal credentials and download and install additional malware onto a system. Thus, if a system is compromised with Wauchos, it’s likely that there will be several other malware families lurking on the same system.
สรุปว่า
มีเครื่องในระบบ LAN จำนวน 10 เครื่องที่ติด Malware ชื่อว่า Wauchos เป็นเครื่องมือของโจร ใช้ขโมย Password และใช้ติดตั้ง Malware ตัวอื่น ๆ เพิ่มลงในเครื่อง Client ซะอีก แถมยังสามารถโหลดไฟล์มาอัพเวอร์ชั่นให้ตัวเองได้ด้วย
ส่วน Wauchos จะขโมยข้อมูลอะไรบ้าง บอกไม่ได้ครับ เพราะข้อมูลที่ขโมยออกจากเครื่อง ก่อนจะส่งออกไปบน Bot Networks นั้น จะมีการทำ RC4 Encryption แม้เราจะจับข้อมูลที่ Malware พยายามส่งออกไป ก็อ่านไม่ออกอยู่ดี ต้องไปลุ้นกันเอาเองครับว่า โจรได้ข้อมูลอะไรจากระบบของเราไปบ้าง "ลุ้น" กับ "รู้" มันสยองไม่เท่ากันนะครับ
ข้างต้นทั้งหมด คือ ตัวอย่างให้เห็นว่า
ผลจากการอ่าน Report เท่านี้ สามารถช่วยให้ IT admin ขององค์กรนี้ นำเครื่อง 10 เครื่องนี้ออกจากระบบไปอย่างรวดเร็ว ในขณะที่ Firebox ก็ได้ตัดการติดต่อของ Malware ไปยัง Bot Networks ทำให้การส่งข้อมูลไปนอกระบบล้มเหลว การขโมยข้อมูลจึงไม่สำเร็จ เรียกได้ว่า Firebox กำจัดปลายเหตุ และรายงานต้นเหตุให้ IT admin ทราบ เพื่อระงับเหตุจากต้นเหตุได้ทันเวลา
นี่เป็นเพียงตัวอย่างเดียว ที่เราใช้ Firebox เพื่อชี้เป้าว่าเครื่องในระบบของเราเครื่องไหนที่ติด Malware โดยใช้ Report เพียงแค่วันเดียว ซึ่งผมอยากจะย้ำอีกทีว่า นี่ไม่ใช่การมาโอ้อวดว่า Firebox เก่ง เพราะรายงานหน้าตาแบบนี้ Firewall ที่ไหนก็ทำออกมาให้ได้ เนื้อหาสำคัญที่ผมอยากให้ทุกคนได้ความรู้กันไปก็คือ
เราเคยได้ใช้รายงานจาก Firewall เพื่อจับพฤติกรรม Malware ของโจรได้คาหนังคาเขาอย่างนี้ได้หรือยัง เราเคยใช้ Firewall ชี้เป้าให้ IT admin ลงมือจัดการกวาดล้าง Malware ได้อย่างตรงจุดแบบนี้หรือยัง
ผมอยากให้เรามองย้อนกลับมาดูระบบของเราครับ เรามี Firewall กันเกือบทุกองค์กรแล้ว สะกิดคนที่ดูแล Firewall ถามเขาว่า เรามีรายงานจับโจรแบบนี้บ้างหรือเปล่า ให้เขาเซ็ต Firewall ให้ถูก เปิดฟีเจอร์ขึ้นมาใช้ เอา Report มาแสดง แล้วเงินหลายหมื่นหลายแสนที่ลงทุนไป ก็จะได้ประโยชน์กลับคืนมาอย่างมหาศาลครับ
ใช้ Firewall อย่างถูกวิธี คุณจะจับโจรได้ก่อนที่ความเสียหายจะเกิด
นี่คือหน้าจอหนึ่งที่มาจาก Log ของ WatchGuard Firebox
หน้าจอนี้ เป็นผลจากการใช้ Firebox ไปตรวจจับกิจกรรมการใช้อินเตอร์เน็ตของระบบ LAN ซึ่งภาพนี้คือ Security Dashboard เป็นรายงานที่บอกถึงกิจกรรมที่เครื่องใน LAN พยายามจะออกเน็ต แต่ถูก Block เอาไว้ เนื่องจากเป็นกิจกรรมที่ไม่ปลอดภัย เปรียบเทียบภาพนี้ให้เข้าใจได้ว่า นี่คือโจรที่ปล้นไม่สำเร็จ พยายามจะทะลุ Firebox ออกไปข้างนอก แต่ล้มเหลว แล้ว Firebox ก็นำความล้มเหลวนั้นมาประจานใน Security Dashboard
หัวข้อที่น่าสนใจ ที่จะมาคุยกันวันนี้คือ "Bot Networks" ดูตามลูกศรสีแดงที่ชี้อยู่ในภาพนะครับ จะเห็นว่า ในวันที่นำรายงานมานี้ เครื่องใน LAN พยายามจะติดต่อกับ Bot Networks ถึง 4,704 ครั้ง ตรงนี้บอกอะไรกับเรา
โจรใช้ Bot Networks ในหลาย ๆ ทางครับ เช่น
● โจรหลอกให้เราคลิกไฟล์ Malware ที่แนบมากับ Mail เมื่อ Malware เริ่มทำงาน มันก็จะเริ่มขโมย password และข้อมูลต่าง ๆ จากเครื่องของเรา ส่งไปให้กับเครือข่าย Bot Networks ของโจรที่อยู่บนอินเตอร์เน็ต ดังนั้น Bot Network ก็คือเครือข่ายของเครื่องที่โจรครอบครองอยู่บนเน็ต เป็นที่พักของข้อมูลที่ขโมยออกมา ก่อนที่โจรจะมาแวะเอาข้อมูลนั้นไปขายอีกที
● Bot Network ไม่ใช่ Malware ถ้าเข้าใจให้ง่าย น่าจะเป็นจุดพักยาเสพติด ก่อนส่งต่อให้ผู้ค้ารายย่อย
● Malware บนเครื่อง Client อาจจะไปโหลด Malware อีกตัว ที่มีขนาดใหญ่กว่า และมีความสามารถในการขโมยข้อมูลได้มากกว่านั้น โหลดจากที่ไหน ก็จาก Bot Networks นี่เองครับ
● Bot Network ไม่ใช่เครื่องของโจร แต่เป็นเครื่องที่โจรครอบครองอยู่ งงมั้ยครับ เซิร์ฟเวอร์หลายตัวที่เปิดพอร์ตอ้าซ่าเอาไว้บนเน็ต แม้มันจะทำงานได้ตามปกติไม่มีปัญหาอะไร แต่ในอีกบทบาทหนึ่ง โจรได้เข้าครอบครองเครื่องนั้น และเพิ่มหน้าที่ให้เครื่องนั้นเป็น Bot ไปด้วย
ดังนั้น จากภาพแรก ได้แสดงให้เห็นว่า ในระบบ LAN ที่ติดตั้ง Firebox นี้ มีเครื่องที่ติด Malware อยู่จำนวนหนึ่งที่พยายามติดต่อกับ Bot Networks สิ่งที่เราจะทำต่อไป คือการ Zoom เข้าไปดูว่า Bot Networks 4,704 ครั้งนั้น มาจากเครื่องไหนใน LAN และเป็น Malware ประเภทไหน
มาดูภาพต่อไปกันครับ
นี่คือภาพที่ Zoom เข้าไปแล้ว จะเห็นว่า มีเครื่องอยู่ 10 เครื่องใน LAN ที่พยายามติดต่อกับ disorderstatus. โดยใช้ http protocol
คำถามถัดมาที่น่าสนใจคือ disorderstatus. คืออะไร เป็นภัยอย่างไร ซึ่งผมคงจะอธิบายถึง Malware ตัวนี้เพียงคร่าว ๆ โดยจะขอตัดข้อความสำคัญจาก web หน้านี้มาให้อ่านกัน
https://www.welivesecurity.com/2017/12/04/eset-takes-part-global-operation-disrupt-gamarue/
Wauchos is mostly used to steal credentials and download and install additional malware onto a system. Thus, if a system is compromised with Wauchos, it’s likely that there will be several other malware families lurking on the same system.
สรุปว่า
มีเครื่องในระบบ LAN จำนวน 10 เครื่องที่ติด Malware ชื่อว่า Wauchos เป็นเครื่องมือของโจร ใช้ขโมย Password และใช้ติดตั้ง Malware ตัวอื่น ๆ เพิ่มลงในเครื่อง Client ซะอีก แถมยังสามารถโหลดไฟล์มาอัพเวอร์ชั่นให้ตัวเองได้ด้วย
ส่วน Wauchos จะขโมยข้อมูลอะไรบ้าง บอกไม่ได้ครับ เพราะข้อมูลที่ขโมยออกจากเครื่อง ก่อนจะส่งออกไปบน Bot Networks นั้น จะมีการทำ RC4 Encryption แม้เราจะจับข้อมูลที่ Malware พยายามส่งออกไป ก็อ่านไม่ออกอยู่ดี ต้องไปลุ้นกันเอาเองครับว่า โจรได้ข้อมูลอะไรจากระบบของเราไปบ้าง "ลุ้น" กับ "รู้" มันสยองไม่เท่ากันนะครับ
ข้างต้นทั้งหมด คือ ตัวอย่างให้เห็นว่า
ผลจากการอ่าน Report เท่านี้ สามารถช่วยให้ IT admin ขององค์กรนี้ นำเครื่อง 10 เครื่องนี้ออกจากระบบไปอย่างรวดเร็ว ในขณะที่ Firebox ก็ได้ตัดการติดต่อของ Malware ไปยัง Bot Networks ทำให้การส่งข้อมูลไปนอกระบบล้มเหลว การขโมยข้อมูลจึงไม่สำเร็จ เรียกได้ว่า Firebox กำจัดปลายเหตุ และรายงานต้นเหตุให้ IT admin ทราบ เพื่อระงับเหตุจากต้นเหตุได้ทันเวลา
นี่เป็นเพียงตัวอย่างเดียว ที่เราใช้ Firebox เพื่อชี้เป้าว่าเครื่องในระบบของเราเครื่องไหนที่ติด Malware โดยใช้ Report เพียงแค่วันเดียว ซึ่งผมอยากจะย้ำอีกทีว่า นี่ไม่ใช่การมาโอ้อวดว่า Firebox เก่ง เพราะรายงานหน้าตาแบบนี้ Firewall ที่ไหนก็ทำออกมาให้ได้ เนื้อหาสำคัญที่ผมอยากให้ทุกคนได้ความรู้กันไปก็คือ เราเคยได้ใช้รายงานจาก Firewall เพื่อจับพฤติกรรม Malware ของโจรได้คาหนังคาเขาอย่างนี้ได้หรือยัง เราเคยใช้ Firewall ชี้เป้าให้ IT admin ลงมือจัดการกวาดล้าง Malware ได้อย่างตรงจุดแบบนี้หรือยัง
ผมอยากให้เรามองย้อนกลับมาดูระบบของเราครับ เรามี Firewall กันเกือบทุกองค์กรแล้ว สะกิดคนที่ดูแล Firewall ถามเขาว่า เรามีรายงานจับโจรแบบนี้บ้างหรือเปล่า ให้เขาเซ็ต Firewall ให้ถูก เปิดฟีเจอร์ขึ้นมาใช้ เอา Report มาแสดง แล้วเงินหลายหมื่นหลายแสนที่ลงทุนไป ก็จะได้ประโยชน์กลับคืนมาอย่างมหาศาลครับ