Palo Alto Networks Daily Security Report

การรายงานการรักษาความปลอดภัยของข้อมูลแบบรายวัน ซึ่งจะมีการแสดงข้อมูลการเข้าใช้งานอินเตอร์เนตทั้งหมด ในที่นี้ข้อมูลที่ได้นั้นมาจากมหาวิทยาลัยสงขลานครินทร์ทั้งวิทยาเขตหาดใหญ่ และ วิทยาเขตภูเก็ต โดยที่จะมีการแสดงข้อมูลต่างๆ ผ่านทางกราฟและตาราง ซึ่งมีรายละเอียดดังนี้

http://file2.uploadfile.biz/i/IWEXMEIMIEDHWH

ข้อมูลเพิ่มเติม

THREAT PREVENTION

ภัยคุกคามต่อองค์กรมีหลายรูปแบบ ภัยคุกคามได้เพิ่มขึ้นจากการหลบหลีกการใช้ application และยังหลีกหลีก firewall แบบเดิมๆ และ ระบบ IPS ทำให้มันแย่ลง, ภัยคุกคามที่สามารถ customized เองได้อย่างสมบูรณ์เพื่อกำหนดเป้าหมายเครือข่าย , มีการจัดกัดค่าของ legacy มากขึ้น การป้องกันภัยคุกคามใหม่ๆ จะอมีความต้องการวิธีการใหม่ๆเพื่อตระหนักถึงพวก application, การประสานให้ภัยคุกคามมีข้อบังคับภัย และการควบคุมภัยคุกคามทั้งที่รู้จักและไม่รู้จัก

Next-Generation-firewalls

เพื่อที่จะป้องกันภัยคุกคามได้อย่างมีประสิทธิภาพ องค์กรจำเป็นที่จะต้องช่วยลดช่องทางแรกของการโจมตี – เริ่มต้นด้วยการควบคุมพวก application ที่ run บนระบบเน็ตเวิร์คขององค์กร จากนั้นองค์กรต้องทำการ scan traffic ที่วิ่งบน application สำหรับภัยคุกคามที่แพร่หลายมากขึ้น – ไม่จำกัดคำนิยามของตัวเองกับประเภทของภัยคุมคาม เช่น (“virus” หรือ “exploit”) สุดท้ายแล้ว , ในสภาพแวดล้อมทางเศรษฐกิจในปัจจุบันองค์กรจำเป็นต้องไม่เพิ่มความซับซ้อนและค่าใช้จ่ายให้กับองค์กร

Palo Alto Networks next generation firewalls มอบประสิทธิภาพการทำงานสูงสุดที่เป็นวิธีการแก้ปัญหาการป้องกันภัยคุกคาม ลด latency , multi-Gbps platform based เป็นแบบ SP3 Architecture , Palo Alto Networks next generation firewalls :

จำกัด traffic ใช้งานที่ได้รับการอนุมัติขณะที่หลีกเลี่ยงความเสี่ยงจาก application ที่ไม่จำเป็น
สแกน application “ได้ดี” สำหรับหลากหลายของภัยคุกคาม - exploits, viruses, spyware, even confidential data leaks – กับ single pass, stream-based scan
ให้มีการวิเคราะห์โดยตรงและมองเห็นการปฏิบัติการที่ไม่รู้จัก และตรวจสอบ traffic ใหม่ หรือ กลุ่มเป้าหมายภัยคุกคาม
การรวมเอาความชาญฉลาด, ทำ policies และ ทำ report ระหว่าง firewall และ threats prevention function
รักษาประสิทธิภาพของเครือข่ายและ throughput ในขณะที่ให้ IPS และการป้องกันภัยคุกคาม
ลดความซับซ้อนของระบบโครงสร้างพื้นฐานให้มีนโยบายเดียว, high port-count และมีประสิทธิภาพสูง

การใช้งานระบบเครือข่ายภายในมหาวิทยาลัย…..อิสระเพื่อค้นคว้าความรู้ |หรือ| วิกฤติของการใช้งานที่ไม่เหมาะสมของนักศึกษา

เป็นเวลานานกว่า 18 เดือน นับตั้งแต่เดือนเมษายน ปี 2008 ,ทาง PaloAlto Networks ได้รวบรวสถิติต่างๆจากมหาวิทยาลัยที่ติดตั้ง PaloAlto Networks firewall และตรวจสอบ traffic ซึ่งผลลัพธ์ที่ออกมานั้น ถูกสร้างเป็น Application Visibility and Risk report เพื่อแจกจ่ายไปยังฝ่ายระบบเครือข่ายของมหาวิทยาลัยและฝ่าย security โดยภาพรวมนั้นพบว่า มีสถิติการใช้งาน application ถึง 589 ตัวและใช้ bandwidth รวมไปถึง 64 terabytes ซึ่งทาง PaloAlto Networks ได้สรุปหัวข้อที่น่าสนใจของรายงานไว้ดังนี้

นักศึกษามีการใช้งาน application ที่หลบหลีกการตรวจจับของระบบ security

จำนวนการใช้งาน external proxies, encrypted tunnel และ remote access มีค่อนข้างมาก เป็นสิ่งที่แสดงให้เห็นว่านักศึกษามีขั้นตอนวิธีการซับซ้อนมากขึ้น เพื่อปกปิดการใช้งานของตัวเอง และเราจะไม่พบการใช้งานพวกนี้เลยถ้าหากว่าเครือข่ายในมหาวิทยาลัยนั้นไม่ได้ มีระบบเฝ้าระวังที่มีประสิทธิภาพ

การใช้งาน Peer-to-peer file sharing ยังคงเป็นการใช้งานหลักๆ ที่พบในมหาวิทยาลัย

97% ของมหาวิทยาลัยที่สำรวจมา (34 ที่จากทั้งหมด 35 ที่) พบว่า มีการใช้งาน P2P file sharing อย่างมาก มีจำนวน application 24 ตัว ใช้ bandwidth ไป 13.0 terabytes หรือคิดเป็น 21.7% ของ bandwidth ที่ใช้ทั้งหมด แสดงให้เห็นว่า P2P ยังคงเป็นปัญหาที่สำคัญในเครือข่ายมหาวิทยาลัย
ทางมหาวิทยาลัยในอเมริกาต้องจัดการกับคำขอร้องจากRIAA เพื่อควบคุมการใช้งาน P2P และยังพบภัยคุกคามตัวใหม่ก็คือ Mariposa ซึ่งมีกระจายตัวอย่างรวดเร็วในเครือข่ายที่การใช้งาน P2P

Logo ของหน่วยงาน RIAA

การใช้งาน application ประเภท file sharing ผ่านทาง web browser มีแนวโน้มมากขึ้น

โดยเฉลี่ยมีการใช้งาน file sharing ผ่านทาง web browser ถึง 11 applications ในมหาวิทยาลัย 33 แห่งจาก 35 แห่งที่สำรวจ (คิดเป็น 94%) โดย application ประเภทนี้ต่างจาก P2P คือง่ายต่อการถ่ายโอน file ขนาดใหญ่ เช่น เพลง หรือ ภาพยนตร์ และอาจเปิดเผยช่องทางให้โจมตีเครือข่ายของมหาวิทยาลัยได้

พฤติกรรมของนักศึกษาที่ใช้เวลาเล่น application บันเทิงมากขึ้น

พบว่ามีการใช้งาน application ถึง 203 ตัวที่เป็น เกมส์, social networking, media, file sharing และท่องเวบต่างๆ โดย bandwidth ที่ใช้ไปกับ application เหล่านี้มากกว่า 48 terabytes หรือ 78% ของการใช้ bandwidth ทั้งหมด

คุณสมบัติของ application ที่ทำให้มองเห็นและควบคุมได้ยากลำบากขึ้น

เนื่องจาก application ทั้งหมด 589 ตัวที่พบ,มีจำนวน 356 ตัว (คิดเป็น 60%) สามารถใช้งานผ่าน port 80 หรือ 443 หรือเป็นแบบ hop port และเนื่องด้วยคุณสมบัติของ application ที่วิ่งบน port มาตรฐานเหล่านี้เอง ทำให้นำความเสี่ยงมาสู่ระบบได้ เพราะ firewall ที่เป็น port-based นั้นไม่สามารถที่มองเห็นและควบคุมการใช้งาน application นั้นได้

รายงานนี้สร้างจากข้อมูลที่เก็บรวมรวบจาก PaloAlto Networks firewall ที่ติดตั้งในมหาวิทยลัยต่างๆ ใน mode ของ tap mode หรือว่า virtual wire mode โดยตรวจสอบ traffic ขาเข้าและออกจาก internet gateway หลังจากสิ้นสุดระยะเวลาเก็บข้อมูลแล้ว ได้สร้างตัวรายงาน Application Visibility and Risk Report (AVR Report) เพื่อแสดงผลของความเสี่ยงในการใช้งาน application และแสดงให้เห็นภาพที่ชัดเจนของการใช้งานภายในเครือข่าย ซึ่งข้อมูลจากแต่ละมหาวิทยาลัยจาก AVR Report ได้ถูกรวบรวม, วิเคราะห์และสรุปได้ดังนี้….

Introduction

ปัจจุบันนักศึกษาของมหาวิทยาลัยมีความรู้และความเข้าใจด้านคอมพิวเตอร์ มากกว่าแต่ก่อน เห็นได้จากการใช้งาน application ที่หลากหลาย ไม่ว่าจะเป็นด้านสังคม, บันเทิงและใช้ค้นคว้าด้านการศึกษา ด้วยความหลากหลายของการใช้งาน application เพราะเนื่องจากว่า network ของมหาวิทยลัยนั้นเปิดให้ใช้งานอย่างอิสระ ทำให้ทีม security ของมหาวิทยาลัยนั้นรับมือได้ลำบากมาก โดยด้านหนึ่งทีม security ก็ถูกถามถึงความอิสระในการใช้งานภายมหาวิทยาลัย และในด้านหนึ่งก็ต้องการที่จะป้องกัน network จากภัยคุกคามต่างๆและข้อมูลที่สำคัญในเครือข่าย

ในการวิเคราะห์ระบบเครือข่ายของมหาวิทยาลัย 35 แห่งทั่วโลก PaloAlto Networks พบว่ามีการใช้งาน application ที่หลากหลาย มีทั้งบันเทิง สังคม และด้านการศึกษา โดย Peer-to-peer file sharing ยังคงมีการใช้งานอย่างมาก ในขณะที่ browser-based file sharing ก็ใช้งานมากขึ้นเช่นกัน จึงไม่เป็นที่น่าแปลกใจว่า application ที่นักศึกษาใช้นั้นจะเน้นที่ด้านบันเทิงมากกว่าด้านการศึกษาอย่างเห็นได้ชัด

และยังมีอีก application ที่ไม่คาดคิดว่าจะใช้งานกันมากก็คือประเภท proxies, encrypted tunneling และ remote desktop access ทำให้เกิดคำถามว่า :

ถ้า network ให้อิสระในการใช้งานแล้ว ทำไมถึงใช้ application เหล่านี้เพื่อปกปิดการใช้งานของตัวเอง ??
หรือเป็นเพราะความพยายามควบคุมการใช้ application บางตัว จึงทำให้นักศึกษาหันมาใช้การปกปิดตัวเองเพื่อใช้งาน application ที่ตัวเองต้องการ ??

แต่ไม่ว่าจะด้วยเหตุผลใดก็ตามแต่ สถิติได้ชี้ชัดแล้วว่า นักศึกษานั้นใช้งาน application ใดๆก็ตามที่เค้าต้องการใช้ และ security administrator ต้องควบคุมการใช้งานของนักศึกษาไม่ว่าในรูปแบบใดๆก็ตามต่อไป

การใช้งาน application ที่หลบหลีกการตรวจจับของระบบ security

หนึ่งในสิ่งที่น่าสนใจมากของสถิติการใช้งานระหว่างการวิเคราะห์ก็คือ ความถี่ในการใช้งาน external proxies, encrypted tunnels and remote access ซึ่งสิ่งที่พบเหล่านี้ค่อนข้างจะขัดแย้งกับรูปแบบการให้บริการของเครือ ข่ายมหาวิทยาลัย เพราะว่าในเครือข่ายของมหาวิทยาลัยนั้นเปิดให้ใช้งานอย่างอิสระ แต่ทำไมต้องใช้ application ที่สามารถ bypass ระบบ security

- หรือเป็นเพราะว่านักศึกษามีความหวั่นเกรงไปเอง มากเกินไป ?

- หรือมหาวิทยาลัยควบคุมการใช้งานมากเกินไป ?

ถ้าเราไม่คำนึงถึงเหตุผลข้างต้นแล้ว ถือได้ว่าเป็นเรื่องแปลกการใช้งานของ application เหล่านี้ที่มีระดับการใช้งานพอสมควร

Credit-By-http://www.mindterra.com/firewall

คำถามหลังการศึกษา

1.ทำไม Top URL categories อันดับ 1-4 ของมหาวิทยาลัย มีแต่เว็ปที่ทางมหาวิทยาลัยนั้นบล๊อคไม่ให้นักศึกษาเข้าใช้งาน ??

2.ถ้า network ให้อิสระในการใช้งานแล้ว ทำไมถึงใช้ application เหล่านี้เพื่อปกปิดการใช้งานของตัวเอง ??

3.ทำไมนักศึกษาจึงต้องใช้การปกปิดตัวเองเพื่อใช้งาน application ที่ตัวเองต้องการ ??

เขียนใน GotoKnow โดย ชัชวาล พร้อมมูล
ใน บันทึกการฝึกงาน

คำสำคัญ (Tags): #Palo Alto Networks Daily Security Report#palo

หมายเลขบันทึก: 481930เขียนเมื่อ 14 มีนาคม 2012 11:09 น. ()แก้ไขเมื่อ 14 มิถุนายน 2012 11:09 น. ()สัญญาอนุญาต: ครีเอทีฟคอมมอนส์แบบ แสดงที่มา-ไม่ใช้เพื่อการค้า-อนุญาตแบบเดียวกันจำนวนที่อ่าน

ความเห็น (0)

ไม่มีความเห็น