Eleader June 2015
ปัจจุบันการทำ Digital Forensic นั้นเป็นกลยุทธ์สำคัญที่ช่วยให้องค์กรสามารถรับมือกับ Advanced Threats ได้ ทั้งนี้ก็เพราะว่า Advanced Threats นั้นมีความสามารถในการหลบหลีกขบวนการป้องกัน (Prevention) และการตรวจจับ (Detection) เป็นต้นว่า Malware สามารถที่จะหลุดรอด Firewall Policy ได้ เนื่องจากแพร่กระจายบนโพรโตคอล HTTP ที่ไม่สามารถบล็อกได้ หรือการที่ Malware สามารถหลุดรอดการตรวจจับจาก Antivirus ได้ เนื่องจากเป็น Malware รุ่นใหม่ที่มนุษย์ยังไม่รู้จัก
ดังนั้นผู้เชี่ยวชาญจึงแนะนำให้ผู้บริหารระบบรักษาความปลอดภัยตั้งสมมติฐานไว้ว่า ระบบคอมพิวเตอร์ตกเป็นเหยื่อของ Advanced Threats อยู่ตลอดเวลา หากแต่ยังไม่มีหลักฐานปรากฏ เมื่อสมมติฐานดังกล่าวถูกตั้งขึ้น ขบวนการ Incident Response จะเกิดขึ้น เพื่อศึกษาผลกระทบ และกำหนดมาตรการรับมือกับ Advance Threats ซึ่งเทคนิคหนึ่งที่นิยมใช้ในขบวนการนี้ก็คือ การทำ Digital Forensic นั่นเอง
โดยรายละเอียด Digital Forensic คือขบวนการวิเคราะห์ และตีความข้อมูลทางอิเล็กทรอนิกส์ เพื่อการสืบสวนเรื่องราว ต่างๆ ซึ่งประกอบไปด้วยขั้นตอนที่สำคัญก็คือ การกู้คืนหลักฐาน (Reconstruction/Recovering) และการเก็บรักษาหลักฐาน (Preservation) ซึ่งในอดีตนั้นนิยมใช้เป็นเครื่องมือเพื่อค้นหา หลักฐานทางกระบวนการยุติธรรม เมื่อศึกษาลงไปในรายละเอียด Digital Forensic ได้ถูกแบ่งออกเป็นอีกอย่างน้อย สองประเภท คือ Computer Forensic และ Network Forensic ซึ่งทั้งสองวิธีนี้ล้วนแต่มีข้อได้เปรียบเสียเปรียบที่แตกต่างกัน
โดยข้อได้เปรียบเสียเปรียบเป็นต้นว่า Computer Forensic มักจะสามารถให้ข้อมูลเกี่ยวกับ Malware ได้ละเอียดกว่า เพราะการวิเคราะห์เกิดขึ้นบนเครื่องคอมพิวเตอร์ซึ่งเป็นจุดเกิดเหตุ แต่ในขณะเดียวกันการทำComputer Forensic ก็มักจะมีข้อเสียเปรียบ ในด้านการครอบคลุมจำนวนเครื่องคอมพิวเตอร์ เนื่องจากการทำ Computer Forensic มักจะต้องติดตั้งเครื่องมือ วิเคราะห์ลงบนเครื่องคอมพิวเตอร์เป้าหมาย ซึ่งอาจไม่สามารถกระทำได้ในบางกรณี
ในทางตรงกันข้าม Network Forensic มีความสามารถในการครอบคลุมจำนวนเครื่องคอมพิวเตอร์ที่กว้างกว่า อันเนื่องมาจากการทำ Network Forensic มักใช้เครื่องมือติดตั้งเครื่องลงไปในระบบเครือข่าย จึงช่วยให้สามารถครอบคลุมคอมพิวเตอร์ได้มากขึ้น แต่ข้อมูลที่ได้ก็จะมีความละเอียดน้อยกว่า เพราะเป็นการวิเคราะห์เฉพาะข้อมูลที่เกิดขึ้นบนระบบเครือข่ายเท่านั้น ซึ่งหากหลักฐานสำคัญไม่ปรากฏบนระบบเครือข่าย ก็อาจทำให้การสืบสวนเป็นไปได้ยากขึ้น
ในทางทฤษฎีนั้น ผู้บริหารระบบฯ ควรจัดหาและใช้ประโยชน์ จากทั้ง Digital Forensic ทั้งสองระบบเพื่อให้ได้มาซึ่งข้อมูลที่ครบถ้วน แต่เป็นที่ทราบกันดีว่าในทางปฏิบัตินั้นองค์กรมักมีข้อจำกัดบางประการ เช่น งบประมาณ และความเป็นไปได้ในการติดตั้ง ทำให้ผู้บริหารระบบฯ อาจต้องเลือกติดตั้งเพียงระบบใดระบบหนึ่ง ซึ่งผลงานวิจัยพบว่าองค์กรที่ติดตั้ง Network Forensic เพียงอย่างเดียวมีมากกว่า Computer Forensic เพียงอย่างเดียวอยู่ที่ร้อยละหก
เมื่อพิจารณาข้อมูลนี้ควบคู่ไปกับเหตุการณ์ Advanced Treat ที่โด่งดัง อย่างเช่น Stuxnet Malware ซึ่งโจมตีการทำงาน ของ Centrifuge ภายในโรงงานเสริมสมรรถนะนิวเคลียร์โดย Malware ดังกล่าว มีพฤติกรรมแพร่กระจายผ่านระบบเครือข่าย และมีเป้าหมายเข้าไปควบคุมอุปกรณ์ PLC ที่ทำหน้าที่ควบคุมเครื่องจักร ในกรณีเช่นนี้การทำ Network Forensic เพื่อตรวจจับ Malware จึงมีความเหมาะสมและเป็นไปได้มากกว่าวิธีการอื่น
เมื่อสำรวจท้องตลาดปัจจุบันจะพบว่ามีผู้ผลิตเครื่องมือสำหรับทำ Network Forensic หลากหลายยี่ห้อ ซึ่งโดยทั่วไปแล้ว ผู้ผลิตเหล่านี้มักจะออกแบบเครื่องมือให้มีความสามารถ ดังต่อไปนี้
ความสามารถในการจับและเก็บรักษา Network Packet ลงในสตอเรจขนาดใหญ่ โดยมีขนาดในระดับเทราไบต์ และมีการทำ Indexing เพื่อเพิ่มความรวดเร็วในการค้นหา
ความสามารถในการกู้คืน และเล่นย้อนกลับ Network Flow ซึ่งช่วยการวิเคราะห์แบบย้อนกลับ (Retrospective Analysis) สามารถกระทำได้
ความสามารถในการวิเคราะห์เบื้องต้น เช่น ความสามารถในการจัดความสัมพันธ์ของ Network Flows ต่างๆ เข้าด้วยกัน เพื่อช่วยให้มนุษย์สามารถค้นหา วิเคราะห์ได้รวดเร็วขึ้น
ความสามารถในการจัดทำรายงาน เพื่อให้สอดคล้องกับมาตรฐานต่างๆ อย่างเช่น PCI, DSS
ซึ่งจากการสังเกตการณ์ของผู้เขียน พบว่าในช่วงไม่กี่ปีที่ผ่านมา ผู้ผลิต Network Forensic หลายราย ได้พยายามปรับปรุง สินค้าของตนให้มีประสิทธิภาพในการตรวจจับ Malware มากขึ้น อย่างไรก็ตามมีเพียงผู้ผลิตไม่กี่รายเท่านั้นที่พื้นฐานของบริษัทมีความเชี่ยวชาญทางด้าน Malware เป็นพิเศษ ซึ่งหนึ่งในนั้นคือ บริษัท Bluecoat ในลำดับถัดไปนั้นทางผู้เขียนจะขออ้างอิงเทคโนโลยีและวิธีการของ Bluecoat เพื่อใช้เป็นต้นแบบในการอธิบายถึงหลักการทำงานของ Network Forensic เพื่อตรวจจับ Malware
อุปกรณ์สำหรับทำ Network Forensic ของบริษัท Bluecoat มีชื่อเรียกว่า Security Analytic Platform ซึ่งประกอบไปด้วยหน้าที่เป็นเซนเซอร์สำหรับจับ Network Packet และ Security Analytic Storage ทำหน้าที่เก็บบันทึก Network Packet ในระยะยาว ซึ่งในการติดตั้งนั้นเข้ากับระบบเครือข่ายจำเป็นจะต้องมีอุปกรณ์อีกชนิดหนึ่งที่เรียกว่า Network Tapping สำหรับทำสำเนาของ Network Packet ส่งมายังเซนเซอร์ ซึ่งอุปกรณ์ Network Tapping นี้อาจใช้ผลิตภัณฑ์ทั่วไปตามท้องตลาดก็ได้ หรือหากใช้อุปกรณ์ที่เรียกว่า SSL Visibility Appliance ของ Bluecoat ก็จะได้ทั้งความสามารถ SSL Decryptor เพิ่มเติมเข้ามาภายในอุปกรณ์ชุดเดียวกัน
ซึ่งความสามารถนี้ เป็นสิ่งสำคัญ เพราะ Advanced Threats หลายชนิดซ่อนตัวมาใน Encrypted Traffic ทำให้อุปกรณ์ Network Forensic ไม่สามารถวิเคราะห์ได้ นอกจากนี้ SSL Visibility Appliance ยังมีความสามารถในการเลือกถอดรหัส SSL Traffic เพื่อลดผลกระทบต่อ Compliance ขององค์กร และ Privacy ของผู้ใช้งาน
เป็นต้นว่า อุปกรณ์สามารถกำหนดได้ว่าจะไม่ถอดรหัส หากเป็น SSL Traffic ของสถาบันทางการเงินแต่หากเป็น SSL Traffic ของเว็บไซต์ในกลุ่มเสี่ยงจึงจะทำการถอดรหัส ซึ่งในการถอดรหัส SSL นั้นผู้เขียนขอแนะนำเพิ่มเติมว่าผู้ดูแลระบบเครือข่ายฯ จำเป็นต้องคำนึงถึงการติดตั้ง Certificate ลงบนฝั่ง Client ด้วย ซึ่งโดยทั่วไปแล้วสามารถจัดการได้ผ่าน Group Policy ของ Window NT
สำหรับจุดที่ควรติดตั้ง Network Tapping นั้นควรจะเป็นจุดที่ครอบคลุมระบบเครือข่ายทั้งหมด ซึ่งระบบเครือข่ายขนาดใหญ่อาจต้องใช้อุปกรณ์จำนวนมากกว่า 1 ชุดในการติดตั้ง ซึ่งในกรณีนี้จะมีอุปกรณ์เพิ่มเติมสำหรับทำ Centralized Management ที่เรียกว่า Security Analytic Central Manager เพิ่มเข้ามา
อย่างไรก็ตาม ผู้เขียนสังเกตว่าการติดตั้งส่วนใหญ่ มักจะเป็นการติดตั้งเพียงจุดเดียว อาจเนื่องมาจากงบประมาณที่จำกัด ซึ่งโดยส่วนใหญ่ผู้บริหารระบบฯ จะทำการติดตั้งเพียงจุดเดียวระหว่าง Firewall และ Network ภายในเพื่อดักจับการเชื่อมต่อระหว่าง Malware และ Command&Conquer Center และในบริเวณนี้มักเป็นจุดที่มี Link Bandwidth ไม่สูงมาก ทำให้ราคาอุปกรณ์ไม่สูงมากนัก เมื่อเปรียบเทียบกับการติดตั้งในจุดอื่นๆ
ขั้นตอนการตรวจจับ Advanced Treat มีดังนี้
ขั้นตอนที่ 1: เมื่อ Malware เข้ามาในระบบเครือข่ายอุปกรณ์รักษาความปลอดภัย เช่น Proxy, Firewall และ Antivirus จะทำหน้าที่ป้องกัน (Preventive) และตรวจจับได้ (Detective) Known Malware ซึ่งโดยมากแล้วอาศัยระบบ Signature
ขั้นตอนที่ 2: Unknown Malware จะยังคงสามารถหลุดรอด เข้ามาได้ อุปกรณ์ที่ทำหน้าที่ Analysis เช่น Sandbox จะพยายามวิเคราะห์ ซึ่งหากตรวจพบอันตรายก็จะทำการแจ้งให้ Community ทราบ โดยสุดท้ายแล้วจะทำให้เกิด Signature ที่เพิ่มขึ้นในอุปกรณ์รักษาความปลอดภัยในขั้นตอนที่ 1 เพื่อป้องกันการติด Unknown Malware ซ้ำ
ขั้นตอนที่ 3: ย่อมมี Unknown Malware บางส่วนหลุดรอดการวิเคราะห์ของ Sandbox ไปได้ ซึ่งอุปกรณ์ Network Forensic จะทำการบันทึก Network Packet ทั้งหมดเก็บไว้ เพื่อเริ่มต้นขบวนการตรวจจับ และวิเคราะห์ซ้ำใหม่อีกครั้งในภายหลัง โดยหวังว่าในอนาคต Community จะมีข้อมูลของ Unknown Malware ตัวนี้เพิ่มขึ้นทำให้สามารถตรวจจับได้ หรือในขั้นตอนนี้อาจต้องอาศัยมันสมองของมนุษย์ในการค้นหา Unknown Malware โดยอุปกรณ์ Network Forensic จะมีเครื่องมือช่วยให้มนุษย์วิเคราะห์ได้รวดเร็วขึ้น
ขั้นตอนที่ 4: หากในขั้นตอนที่ 4 ระบบสามารถตรวจจับ Unknown Malware ได้ในภายหลัง ระบบก็จะแจ้งให้กับ Community ทราบ เช่นกันกับที่เกิดขึ้นในขั้นตอนที่ 2 เพื่อป้องกันการติด Unknown Malware ซ้ำ
ขั้นตอนที่ 5: อุปกรณ์ Network Forensic จะมีความสามารถในการออกรายงานเพื่อให้ผู้ดูแลระบบฯ สามารถวางแผนปรับปรุงช่องโหว่ รายงานผลกระทบที่เกิดขึ้นจากการติด Malware และติดต่อกับ Computer Forensic เพื่อทำการสั่งลบ Malware ที่เป็นอันตรายออกไปได้
ขั้นตอนที่ 6: กระบวนการทั้งหมดจะเริ่มต้นใหม่อยู่เรื่อยๆ ไม่มีวันจบสิ้น เพื่อให้สามารถตรวจจับ Advanced Threat ได้อย่างต่อเนื่อง
โดยสรุปแล้ว Network Forensic เป็นเครื่องมือตัวหนึ่งที่ในปัจจุบันถูกประยุกต์นำมาใช้ในการรับมือกับ Advanced Threat โดยมีสมมติฐานว่า ระบบคอมพิวเตอร์ตกอยู่ภายใต้การโจมตีของ Advanced Threat อยู่ตลอดเวลา ทำให้ขบวนการ Incident Response เริ่มขึ้นอย่างไม่รู้จบ
ปัจจุบันมีผู้ผลิตสินค้าพัฒนาอุปกรณ์ Network Forensic อยู่หลายราย ผู้บริหารระบบฯ จึงควรเลือกพิจารณาโซลูชันจากผู้ผลิตที่มีประสบการณ์ และชำนาญทางด้าน Malware เนื่องจากระบบ Network Forensic นั้นจะต้องประสานงานกับระบบอื่นอยู่ตลอดเวลา เพื่อทำให้ระบบป้องกันสามารถทำงานได้อย่างสมบูรณ์ และจัดเตรียมบุคลากรที่มีความรู้ และความสามารถในการวิเคราะห์ Advanced Threat เนื่องจากการอาศัยเครื่องมือและระบบอัตโนมัติอาจไม่เพียงพออีกต่อไป