Dell Buys SecureWorks

Close Date : เดือนกุมภาพันธ์ 2011

ราคา: 612 ล้านเหรียญสหรัฐ

Dell ยักษ์ใหญ่วงการ Computer PC และ Server ได้เข้าซื้อ SecureWorks เพื่อทำให้ Portfolio ของ Dell สมบรูณ์มากยิ่งขึ้น และเพิ่มทางเลือกด้าน Security Solution ให้กับกลุ่มลูกค้าของ Dell เองในตลาดกลางและขนาดเล็กอีกด้วย

Thoma Brova buys Tripwire

Close Date: เดือนพฤษภาคม 2011

ราคา: ไม่เปิดเผย

Thoma Bravo บริษัทลงทุนยักษ์ใหญ่ที่ให้ความสนใจในการซื้อกิจการกลุ่มบริษัท IT Security เป็นอย่างมาก ก่อนได้นี้ได้เข้าลงทุนในบริษัทชื่อดังเช่น Entrust, LANDesk และ SonicWall มาในปีนี้ยังคงลงทุนในกลุ่มนี้อย่างต่อเนื่องโดยเข้าซื้อ Tripwire บริษัท Security และ Compliance Automation Solution

Thoma Bravo Buys BlueCoat

Close Date: ประกาศอย่างเป็นทางการเดือนธันวาคม 2011

ราคา: 1,300 ล้านเหรียญสหรัฐ

Thoma Brova เจ้าเดิม เรียกเสียงฮือฮาก่อนจะหมดปี 2011 โดยการเข้าลงทุนใน BlueCoat ยักษ์ใหญ่ด้าน Contents Security ถึงกว่าพันล้านเหรียญสหรัฐ ซึ่งดีลนี้ถือว่า win-win ทั้งคู่เพราะทาง BlueCoat เองก็มีสถานภาพทางการเงินที่ง่อนแง่นซึ่งได้ Thoma Bravo เข้ามาร่วมด้วยนับเป็นเรื่องที่ดี และทาง Thoma Bravo เองก็ได้เติมเต็ม Portfolio ของตนด้าน Contents Security อีกด้วย

Symantec Buys Clearwell System

Close Date: กรกฏาคม 2011

ราคา: 390 ล้านเหรียญสหรัฐ

เมื่อ Symantec ติดอาวุธให้กับ Security and Storage Solution ของตนด้วยการซื้อ Clearwell ผู้นำด้าน eDiscovery ทำให้ Symantec สามารถนำเสนอ Solution การจัดเก็บข้อมูลที่มีระบบ eDiscovery และมีความปลอดภัยสูงอีกด้วย นับเป็นการรวมจุดแข็งของทั้ง 2 บริษัทอย่างแท้จริง

IBM Buys Q1 labs

Close Date:  เดือนตุลาคม 2011

ราคา: ไม่เปิดเผย

เมื่อยักษ์ใหญ่สีน้ำเงินเข้าซื้อ Q1Laps ก็จะทำให้กลุ่มลูกค้าองค์กรของ IBM สามารถเพิ่มประสิทธิภาพและความรวดเร็วในการเฝ้าระวังด้วยการวิเคราะห์ภัยคุกคามด้วยระบบ Security Information and Event Management หรือ SIEM ทำให้แก้ปัญหาได้อย่างรวดเร็วและมีความปลอดภัยในระบบขององค์กรสูงขึ้น

McAfee Buys Nitro Security

Close date: เดือนธันวาคม 2011

ราคา: ไม่เปิดเผย

หลังการที่ IBM ประกาศซื้อ Q1Labs ได้ไม่นาน McAfee ได้ประกาศเข้าซื้อกิจการของ NitroSecurity ซึ่งเป็นบริษัทที่ทำระบบ Security Information and Event Management หรือ SIEM เหมือนกันกับ Q1Labs ซึ่งเหตุผลในการซื้อกิจการก็คงคล้ายกันกับ IBM คือเพิ่มประสิทธิภาพของ Security Solution หลักด้วยระบบ SIEM เข้าไปนั้นเอง

McAfee Buys Sentrigo

Close Date: เดือนเมษายน 2011

ราคา: ไม่เปิดเผย

ย้อนไปก่อนหน้าที่ McAfee จะซื้อ NitroSecurity ไม่กี่เดิอน McAfee ก็ได้ควักกระเป๋าซื้อบริษัท Sentrigo บริษัทที่ทำด้าน DataBase Mornitoring ทำให้ McAfee มี Security&Protection Solution ครบวงจรที่เหมาะสมกับองค์กรทุกขนาดเลยทีเดียว

Sophos Buys Astaro

Close Date: เดือนกรกฏาคม 2011

ราคา: ไม่เปิดเผย

Sophos ผู้นำด้าน Anti-Virus และ End-Point-Security ได้เพิ่มความสามารถของ Security Solution ของตนด้วยการซื้อ Astaro ที่ทำ UTM ด้าน Security เรียกได้ว่า Sophos มี Solution ตั้งแต่ End-Point จนไปถึง Network Firewall ให้ลูกค้าโดยที่ไม่ต้องมองหายี่ห้ออื่นเลยทีเดียว

Wave Systems Buys Safend

Close Date: กันยายน 2011

ราคา: 1,280 ล้านเหรียญสหรัฐ

Wave Systems ทำด้านการเข้ารหัสและการพิสูจน์ตัวตน (Encryption and Authentication) และเข้าซื้อกิจการของ Safend ที่ทำด้าน EndPoint Security&Control นั้น เมื่อรวม 2 เทคโนโลยีเข้าด้วยกัน ทำให้ Solution Data Leak Prevention (DLP) มีประสิทธิภาพและความปลอดภัยเป็นอย่างยิ่ง

GFI Buys Monitis

เมื่อ GFI Software ต้องการเพิ่มในส่วนของ Management Service ทำให้การซื้อ Monitis ที่ทำ Network Mornitoring เป็นคำตอบและเป็นการเติมเต็มให้บริการของ GFI ใน Security and Mornitoring ในระบบปฏิบัติการ Cloud ครบวงจรมากขึ้น

ที่มา : http://www.channelinsider.com

ช่องโหว่ของ Software มันมาจากไหนเนี่ย ?

ช่องโหว่ของ Software จริงๆแล้วเกิดมาจากมนุษย์นี่แหละครับ นั่นก็คือ Programmer ที่พัฒนามันขึ้นมาโดยที่ยังไม่ได้เข้าใจว่าจะต้องเขียนอย่างไรให้ Software นั้นปลอดภัย ซึ่งผมจะบอกว่ามันค่อนข้างเป็นเรื่องปกติครับที่ Programmer มือใหม่ส่วนใหญ่จะเป็นแบบนั้น อืม…… แล้วคนที่เข้าใจเรื่องความปลอดภัยน่ะ ใครล่ะ? ก็ทีมที่ดูแล Security ไงครับที่เข้าใจ แต่ก็อีกนั่นแหละครับทีม Security ก็ไม่ได้มีความรู้เรื่องเขียน Program เท่ากับ Programmer พอเห็นช่องว่างระหว่าง Programmer กับทีม Security แล้วใช่ไหมครับว่าทำไม Software ส่วนใหญ่เขียนมาจะต้องมีช่องโหว่ให้โดนเจาะได้

แล้วไง … โดนเจาะแล้วมันจะเป็นยังไงล่ะ ?

นั่นมันก็ขึ้นอยู่กับว่า Application ของคุณใช้งานทางด้านไหนไงล่ะครับ ถ้าใช้เกี่ยวกับทางด้านการเงินหรือระบบ operation ในการทำงานประจำวันก็ต้องสำคัญแน่ๆ แต่ถ้าเป็น Application ทั่วๆไปไม่ได้ใช้งานอะไรเท่าไรก็ไม่ค่อยมีผลกระทบเท่าไรครับ แต่ลองพิจารณาดูดีๆนะครับ ทุกวันนี้มี Application ที่เป็น Package มาให้เราทำการ Customize หรือไม่ว่าจะเป็น Application ที่เราพัฒนาขึ้นมาเองในองค์กรตามที่ผมกล่าวมานั้นในองค์กรเรามีกี่ Application ครับ ? ยิ่งในองค์กรมีหลาย Application ก็จะทวีคูณความเสี่ยงมากขึ้นไปเรื่อยๆครับ ผมจะยกตัวอย่างความเสี่ยงให้ฟังคร่าวๆได้ดังนี้

• สูญเสียเงิน ไม่ว่าจะเป็นทางตรงหรือทางอ้อม
• ธุรกิจหรือระบบการทำงานหยุดสนิท
• สูญเสียภาพลักษณ์ อันนี้ก็มีตัวอย่างให้เห็นในหนังสือพิมพ์ไงครับ
• ละเมิดพวก Compliance ต่างๆเช่นพวก PCI-DSS, SOX และอีกมาก

แล้วจะป้องกันได้ยังไง ?

ก็เริ่มทำ Software Security Assurance (SSA) ไงล่ะครับ ผมจะอธิบายให้ฟังคร่าวๆนะครับ SSA จะเป็นกระบวนการที่จะช่วยในการ Design และ Implement Software เพื่อให้อยู่ในระดับความปลอดภัยที่เหมาะสมซึ่งในรายละเอียดจะมีขั้นตอนที่ สามารถจะบ่งบอกถึงความเสี่ยงที่ยังไม่ได้พบหรือยังไม่สามารถจัดการได้ ถ้าเรามาทำ SSA กันอย่างมีประสิทธิภาพจะทำเกิดประโยชน์ดังนี้ครับ

• ระบุและลดความเสี่ยงจากระบบ Software ที่เราได้ทำการติดตั้งไปแล้ว
• ป้องกันการ Coding ที่ไม่ปลอดภัยไม่ว่า Software นั้นจะพัฒนากันภายในองค์กร, เป็น softwareOpensource, ซื้อมาจาก Vendor หรือแม้กระทั่งจ้าง Outsource ทำให้
• Comply ตามกฎหมายที่รัฐบาลออกมาบังคับหรือมาตรฐานต่างๆที่จำเป็นต้องปฏิบัติตามที่เกี่ยวกับความปลอดภัยของ Software Application
• ปลูกจิตสำนึกทางด้านความปลอดภัยในการพัฒนาและจัดซื้อ Software ให้กับทีมงานที่รับผิดชอบ

OK ครับ สำหรับบทความนี้ก็พอได้ทราบคร่าวๆไปแล้วเกี่ยวกับการเกิดช่องโหว่ใน Software ต่างๆว่าเกิดขึ้นมาได้อย่างไร, มีผลกระทบอย่างไรบ้าง และเราพอจะมีวิธีทางป้องกันได้อย่างไร สำหรับบทความหน้าผมจะเขียนข้อเสนอแนะเกี่ยวกับ Step วิธีการทำให้ Application ของคุณมีความปลอดภัยนะครับ สำหรับวันนี้ขอลาไปก่อนสวัสดีครับ

SQL Injection

การโจมตีโดยการยิงคำสั่ง SQL เข้าไปยังเว็บใดๆนั้นจะทำให้เห็นถึงข้อมูลเกี่ยวกับ Database ข้อดีของมันคือใช้เพื่อตรวจสอบหาช่องโหว่ในการใส่ค่า Input ในพวก User Interface ของเว็บไซต์ (website) ในทางทฤษฎีเว็บไซต์ควรมีการตรวจสอบทุกค่าที่ป้อนเข้ามาก่อนจะส่ง query นั้นไปยัง database แต่ถ้าการตรวจสอบ input นั้นไม่ได้สมบูรณ์ทุกอันหรือทุกๆ input ที่เข้ามา (อาจมีเป็นร้อยเป็นพันเลยก็ได้) ล่ะ Attacker อาจจะเปลี่ยนแปลงบางส่วนของ web request (ส่วนใหญ่ก็พวก URL parameter) เพื่อให้สามารถ query ข้อมูลจาก database ได้ ผลของการ query จะถูกแสดงในส่วนของ HTML response ซึ่งสร้างเว็บไซต์นั้น มาลองดูตัวอย่าง SQL Injection แบบง่ายๆกันดีกว่าครับ

โดยเราจะลองโจมตีเว็บเกี่ยวกับสุขภาพเว็บหนึ่งในเว็บนี้จะมีการแสดงหมายเลขประกันสังคมของสมาชิกในครอบครัวโดยอ้างอิงจากเพศด้วย URL

หลังการส่ง query นี้ไปยัง database แล้ว Web Application จะมองว่าเป็นคำสั่งดังนี้

โดย XXX จะหมายถึงชื่อของครอบครัวที่เอามาจากการล็อกอินฐานข้อมูล ถ้าเว็บนี้ไม่แข็งแรงต่อการ SQL Injection บนพารามิเตอร์ sex แล้วจะทำให้ Attacker สามารถจัดการเว็บนี้ได้อย่างง่ายได้ด้วยการ injection คำสั่งเข้ามา เช่น

เมื่อส่ง URL นี้ไปยัง database แล้วจะเกิดผลอะไรบ้าง คือมันจะมีการ query โดยคำสั่ง

ซึ่งคำสั่งนี้จะทำให้มีการแสดงข้อมูลของคนไข้ทั้งหมดในฐานข้อมูลออกมา แล้วแสดงไปยัง Attacker SQL Injection นั้นสามารถทำให้ได้มาซึ่ง username เป็นพันๆได้ในการโจมตีเพียงครั้งเดียวเลย ทำให้มันเป็นหนึ่งในภัยคุกคามที่อันตรายที่สุดเกี่ยวกับการขโมยข้อมูลของ web application เลยทีเดียว

การป้องกัน SQL Injection ด้วย Signature

กระบวนการในป้องกันด้วย signature นั้น คือ ตัวอุปกรณ์ต่างๆ ไม่ว่าจะเป็น Firewall, IPS จะคอยตรวจดู traffic ใน network โดยจะมองหา text string หรือข้อความใน packet ที่เหมือนกับ signature แล้วอุปกรณ์เหล่านั้นจะมองว่าเป็น Attack โดยส่วนใหญ่แล้ว String จะเป็นรูปแบบของ SQL Injection เช่น “or 1=1” แบบนี้เป็นแบบเบสิกที่ Attacker ใช้กัน ดังนั้นมันก็จะ match กับ signature ที่มีอยู่ ฐานข้อมูลของ signature ส่วนใหญ่จะเป็นโจมตีอย่างง่ายๆ รูปแบบทั่วๆไปเท่านั้นถึงมันจะระบุได้ว่าเป็น attack แต่เมื่ออุปกรณ์รู้แล้ว คุณคิดว่ามนุษย์อย่าง Attacker จะไม่รู้หรอว่ารูปแบบง่ายๆจะถูกตรวจจับได้ ก็ทำให้พวกเขาพัฒนาความเก่งกาจขึ้นตาม 5555

การหลีกเลี่ยงเพื่อไม่ให้ match กับ signature อย่างง่ายๆ

Attacker ส่วนมากจะใช้เทดนิคอย่างง่ายๆเพื่อหลืกเลี่ยง signature แล้วปูทางไปสู่การใช้เทคนิคขั้นโปร บุกต่อไป มาดูวิธีที่ง่ายๆกัน สัก 2-3 วิธี

1) การเข้ารหัส(Encoding)

เทคนิคนี้ถ้าลองไปดูประวัติการโจมตีต่างในเกี่ยวกับคอมพิวเตอร์จะเห็นว่าต้องมีเทคนิคนี้ เหตุผลที่มีการใช้แบบนี้กันมากเพราะบางอุปกรณ์ล้มเหลวกับการถอดรหัส(Decoding), บางตัวอาจถอดรหัสได้แต่ไม่สามารถทำแบบ real time ได้ เทคนิคการเข้ารหัส เช่น URL Encoding, UTF-8 บ่อยครั้งที่เทคนิคพวกนี้จะใช้ซ่อน attack จากการป้องกันแบบ signature ได้

2) การใช้ช่องว่าง (White Spaces Diversity)

signature ที่ใช้ป้องกัน SQL Injection หลายรูปแบบจะใช้วิธีแยก expression ด้วยช่องว่าง มันก็ง่ายเลยที่จะเกิด false positives จำนวนมากถ้ามันแยกไม่เจอคำอย่าง SELECT ที่ match กับ signature ชัวๆเลย แต่ก็มีการที่จะหลีกเลี่ยงได้เหมือนกันถ้า signature นั้นไม่ระวังมากนัก Attack อาจหลบการตรวจเจอได้โดยแทนที่ 1 ช่องว่างหรือการกด spacebar 1 ครั้ง ด้วยการใส่ 2 ช่องว่าง หรือ 1 ช่องว่าง+กด tab 1 ครั้ง

3) การแบ่งเป็นส่วนย่อยๆ ของ IP และ TCP

เป็นเทคนิคการเลี่ยง signature อีกวิธีหนึ่ง ที่จะซ่อนการโจมตีไม่ให้ match กับ signature โดยการแบ่งข้อความ(string) ใส่ลงไปในหลายๆส่วนย่อยของ packet

เทคนิคการเลี่ยง Signature แบบ advance

เมื่อได้ลองเทคนิคข้างบนมาแล้วแต่ไม่ประสบความสำเร็จเลย attacker ก็จะเปลี่ยนมาใช้เทคนิคขั้นสูงขึ้น เพื่อเลี่ยงฐานข้อมูลของ signature เราก็มาแนะนำขั้นที่สูงขึ้นหน่อย มาลองดูกัน

1) การเลี่ยง signature สำหรับ OR 1=1

SQL Injection ที่ทุกคนเคยใช้กันอย่าง “or 1=1” นั้น อย่าคิดเลยว่าจะไม่มี signature มาจับมันเป็น attack ที่ถูกจับมากที่สุด แต่ก็โชคร้าย (หรือโชคดีสำหรับ attacker เอิ้กๆ) มันมีทริกที่มีความหมายเดียวกับ

(equivalent) “or 1=1” อย่าง OR ‘Unusual’ = ‘Unusual’

แต่ยังไงก็ตามระบบที่ตรวจจับดีๆ ก็ยังสามารถระบุรูปแบบที่เหมือนกันแบบง่ายๆนี้ได้ ดังนั้น Attacker ก็ต้องหาทางเพิ่มเป็น 2 expressionเพื่อให้ดูต่างไปแต่ความหมายเหมือนเดิม อย่างการเพิ่ม N เข้าไป เช่น

OR ‘Simple’ = N’Simple’

คำสั่งนี้เป็นการบอก SQL Server ว่า cast ค่า ‘Simple’หลัง N เป็นชนิด nvarchar แต่การเปรียบเทียบค่ายังเท่าเดิม แต่ยังมีวิธีที่ดีกว่านั้นโดยเราอาจแยก string ออกเป็น 2 ตัว ค่าก็ยังเท่าเดิม เช่น

OR ‘Simple’ = ‘Sim’ + ‘ple’

วิธีนี้ก็อาจเหมือนว่าจะดีที่สุดให้ในการเลี่ยงไม่ให้ signature จับได้ แต่พวก vender สร้าง regular expressionมารับมือโดยจะมองหา “or” หรือ “=” ในข้อความแต่วิธีนี้ก็ทำให้เกิด false positive จำนวนมากเลยทีเดียว แต่ attacker ก็ไม่กลัวหา expression ใหม่ที่ให้ค่าเป็น true ก็พอมาใช้อย่าง “LIKE” ในคำสั่ง SQL ที่เป็นการเปรียบเทียบคำบางส่วน เช่น

OR ‘Simple LIKE ‘Sim%’

ตัวเลือกอื่นก็มีอย่างพวกตัวดำเนินการ “>”,”<”

OR ‘Simple’ > ‘S’

OR ‘Simple’ < ‘X’

OR 2 > 1

หรือ Attacker อาจใช้ “IN” หรือ “BETWEEN” statements

OR ‘Simple’ IN (‘Simple’)

OR ‘Simple’ BETWEEN ‘R’ AND ‘T’

เมื่อเทคนิคหลบเลี่ยงใหม่ๆถูกพัฒนาขึ้น signature ที่รองรับการโจมตีนั้นๆก็ถูกคิดค้นขึ้นตามด้วยแต่การพยายามเพิ่ม signature ให้ครอบคลุมทุกๆเทคนิคนั้นกลับทำให้ประสิทธิภาพของระบบลดลงและประมวลผลช้าอีกต่างหากและยังมีความเป็นได้หากให้ match กับ SQL Keyword หรือ Meta Character จะเกิด false positives ดูอย่าง URL นี้

ก็จะเห็นว่ากระบวนการตรวจจับด้วย signature อาจจะไม่ใช่วิธีแก้ปัญหาที่ตรงนักเท่าไร

2) การเลี่ยง signature ด้วยช่องว่าง

หลายๆ signature จะรวมช่องว่างไปด้วย เพราะ string บางอย่าง เช่น “UNION SELECT” หรือ “EXEC SP_” จะต้องมีช่องว่างถึงจะทำงานได้ถูกต้อง ในตอนต้นเราก็แนะนำการใช้ช่องว่างอย่างง่ายไปแล้ว แต่มันก็ควรเพิ่มเทคนิคกันหน่อยเพื่อต่อกรกับ signature ใหม่ๆ โดยอาจไม่ใช้ช่องว่างเลยหรือเพิ่ม character อะไรเข้าไป ตัวอย่างเช่น

…OrigText’ OR ‘Simple’ = ‘Simple’ อาจแทนด้วย …OrigText’OR’Simple’='Simple’

จากที่แสดงข้างต้นทั้ง 2 แบบให้ค่าเท่ากันแต่แบบที่ล่างไม่มีช่องว่างทำให้หลบเลี่ยง signature ได้ แต่วิธีนี้ใช้กับ keyword อย่าง “UNION SELECT” ไม่ได้ ไม่เช่นนั้นมันจะไม่ทำงาน ก็ยังมีวิธีที่เหมาะสมกับ keyword พวกนี้ อย่างภาษาซีถ้าเพื่อนๆเคยเขียนกันมาบ้าง ก็คงทราบว่าถ้าต้องการให้ส่วนใดของโปรแกรมไม่แสดงผลการทำงานหรือแค่ comment ไว้เฉยๆ ก็ใช้สัญลักษณ์เริ่มด้วย “/*” และจบด้วย “*/” วิธีนี้ก็สามารถใช้ได้กับ SQL เหมือนกัน

SELECT *

FROM tblProducts /* List of Prods */

WHERE ProdID = 5

จากความคิดนี้เราก็สามารถ Injection code ได้ดังนี้

…&ProdID=2 UNION /**/ SELECT name …

Signature จะพยายามตรวจจับ “UNION” ที่ตามด้วยช่องว่างแล้วตามด้วย “SELECT” ก็จะทำให้ไม่สามารถจับการโจมตีนี้ได้ ส่วนใหญ่เคส “/**/” สามารถแทนที่ช่องว่างเพื่อหลีกเลี่ยง signature ที่ sensitive มากๆ อย่าง “SELECT” หรือ “INSERT” SQL keyword พวกนี้จะตามด้วย 1 ช่องว่าง จากตัวอย่างข้างบน ก็จะกลายเป็น

…&ProdID=2/**/UNION/**/SELECT/**/name…

เทคนิคนี้สามารถใช้กับ Oracle ได้ แม้ว่า Oracle นั้นจะไม่ยอมให้เว้นช่องว่างหลายๆช่องได้ แต่มันก็ยอมให้ใช้สัญลักษณ์ comment อย่าง …

OrigText’/**/OR/**/’Simple’='Simple’

ส่วนเทคนิคต่อไปเป็นการหลบเลี่ยงเมื่อมีการส่งค่าพารามิเตอร์ 2 ค่าเข้าไปใน SQL เพื่อ Login อย่างเช่น

http://site/login.asp?User=X&Pass=Y

จาก request นี้จะได้คำสั่ง query ดังนี้

SELECT * FROM Users

WHERE User=’X’ AND Pass=’Y’

ในกรณีนี้เราสามารถใส่ comment เพื่อกำจัดไปซักพารามิเตอร์นึง แล้วใส่พารามิเตอร์อื่นเข้าไป อย่างนี้ครับ

…login.asp?User=X’OR’1′/*&Pass=Y*/=’1

ก็จะ query ได้ผลลัพธ์ดังนี้

SELECT * FROM Users

WHERE User=’X'OR’1′/* AND Pass=’*/=’1′

SQL Keyword อย่าง “SELECT” และ “INSERT” อาจถูกทำเป็น signature แต่ก็เจอปัญหาเดียวกับ “OR” ซึ่งก็คือ False Positive ลองคิดกันดูนะครับ ถ้าในหัวข้อ “Contact Us” ของพวกเว็บไซต์ ecommerce ลูกค้าอาจพิมมาว่า “I have selected the product, but then had a problem.” Signature มันก็จะถูกหลอกนึกว่าเป็นการโจมตีแต่ที่จริงแล้วไม่ใช่การโจมตีอะไรทั้งสิ้น

3) การเลี่ยงด้วยรูปแบบของสตริง

อีกวิธีหนึ่งก็คือการแยก string ออกเป็นส่วนๆ ซึ่งสามารถทำได้หลายรูปแบบเช่นกัน แบบแรกเลยก็กลับไปที่วิธี comment ของภาษาซี แม้ว่ามันจะไม่ทำงานเมื่อไปใช้แทนช่องว่างใน MySQL แต่มันก็สามารถแยกคำออกจากกันได้ เช่น

…UN/**/ION/**/ SE/**/LECT/**/…

อีกวิธีใช้การต่อ string(string concatenation) ฐานข้อมูลส่วนใหญ่จะให้ user ใช้คำสั่ง query โดยผ่านการส่ง string ไปยัง server มันก็จะง่ายๆเลยถ้าเราวิธีนี้แฝงไปในสตริงที่ส่งออกไป signature ก็จะจับไม่ได้ ตัวอย่างง่ายๆ ใน MS SQL ด้วยคำสั่ง EXEC จะได้

…; EXEC(‘INS’+'ERT INTO…’)

โดย keyword “INSERT” ถูกแยกเป็น 2 ส่วน ดังนั้น signature ก็จะไม่สามารถจับได้ ยังมีตัวอย่างอื่นๆอีกที่คล้ายกัน คือ ใน MS SQL จะมี SP_EXECUTESQL เป็นเวอชันใหม่ของ SP_SQLEXEC ซึ่งทั้งสองนี้จะรับ string ที่มี SQL query มา execute ทำให้ใช้วิธีนี้โจมตีได้ ในฐานข้อมูลอื่นก็พบปัญหาคล้ายๆกัน วิธีนี้ยังมีความน่าสนใจอีก คือ string ที่ใช้จะถูกเข้ารหัสเป็นฐาน 16 เพื่อไปรันอีกที อย่าง “SELECT” จะได้ค่าเป็น “0X73656c656374” ซึ่งถ้าทำแบบนี้ signature ไม่มีทางตรวจเจอเลย อีกตัวอย่างที่ดีของ MYSQL อย่างคำสั่ง OPENROWSET ที่อาจถูก string concatenation attack แฝงมาแม้การโจมตีนี้จะถูกพบแต่หลายอุปกรณ์ยังไม่สามารถใช้ signature ตรวจเจอได้

ทำไม Signature เพียงอย่างเดียวถึงไม่เพียงพอ

Signature ไม่มีประสิทธิภาพพอที่จะต่อกรกับ SQL Injection ซักเท่าไรนักจากที่ผ่านๆมา การที่พยายามสร้าง Signature ให้ครอบคลุมทุกการโจมตีนั้นจะทำให้ยิ่งแย่ลงด้วย 2 สาเหตุ คือ performance ลดลงและเกิด false positive

1) Performance

ภาษา SQL นั้นมีความยืดหยุ่นสูง Attacker สามารถเลี่ยง signature ได้ในหลายๆวิธี แม้ว่าเราจะมีฐานข้อมูล signature เป็นร้อยๆต่อ 1 ฐานข้อมูลซึ่งทำให้มันตรวจจับการโจมตีได้ และคุณคิดหรือเปล่าว่าองค์กรแต่ละแห่งไม่ได้มีแค่ database ชนิดเดียวแน่ๆ คราวนี้ signature ที่ไว้ detect คงเกือบพัน แล้วทีนี้ performance (throughput & latency) ล่ะครับจะเป็นยังไง ลดลงอย่างฮวบฮาบแน่นอน คงจะไม่มีใครที่ยอมรับในเรื่องได้แน่เลย เพราะไม่งั้นก็ต้องมาเสียค่าใช้จ่ายในการเพิ่ม performance กันอีก

2) False Positive

อย่างใน MSSQL Server มี keyword มากมาย เช่น SELECT, INSERT, CREATE, DELETE, FROM, WHERE, OR, AND, LIKE, EXEC, SP_, XP_, SQL, ROWSET, OPEN, BEGIN, END, DECLARE และ Meta Characters อีก ได้แก่ ; — + ‘ ( ) = > < @ แต่ลองคิดดูซิครับถ้าคำเหล่านี้ถูกนำมาใช้เป็น signature หมด คราวนี้ข้อมูลที่ user ส่งมาจะถูกบล็อกมากกว่า attacker โจมตีเข้ามาเสียอีก มันคงแย่แน่นอก คราวนี้คุณคงต้องการความช่วยเหลือแล้วล่ะ

การขัดขวาง SQL Injection ด้วย SecureSphere Web Application Firewall

การจะพิจารณาว่าพฤติกรรมที่เกิดขึ้นเป็น SQL Injection จริงๆหรือไม่นั้น อาจต้องยืนยันจากหลายๆอย่าง เช่น ผู้ดูแลระบบคนหนึ่ง(ทำงานเต็มเวลาเพียงแค่นั่งเผ้าดูและหาว่ามี security alert อะไรเกิดขึ้นบ้าง) อาจจะสังเกตเห็นว่า IDS แจ้งเตือนว่ามี SQL Injection เกิดขึ้นมา เขาก็ต้องไปมองหาว่ามีพฤติกรรมอะไรผิดปกติเกิดขึ้นใน database log files ถ้าเขาเจอว่ามีกิจกรรมของฐานข้อมูลที่ผิดปกติเกิดพร้อมกับที่ signature แจ้งเตือนมา เขาก็สามารถมั่นใจว่ากำลังมีการโจมตีเกิดขึ้น เพื่อระบุจริงว่าการแจ้งเตือนนั้นไม่ใช่ false positive นี่เป็นจุดประสงค์หนึ่งที่ SecureSphere Web Application Firewall จะมาช่วยคุณได้ ทำให้ไม่ต้องจ้างคนมานั่งเฝ้าตลอดเวลา โดยอุปกรณ์ตัวนี้จะรวมฐานข้อมูล signature ของ IPS เข้ากับการเก็บข้อมูลเป็น profile (Dynamic Profiling) และความรุนแรงของการโจมตีที่พบในแต่ละ layer จะเชื่อมโยงกันโดยอัตโนมัติอย่างถูกต้องซึ่งการป้องกันโดย signature อย่างเดียวไม่สามารถทำได้

Advanced IPS ที่จะสามารถระบุ characters ของ SQL Injection

SecureSphere Web Application Firewall นั้นถูกออกแบบมาเพื่อตรวจจับการรวมกันของ character ที่จะสื่อถึง SQL Injection. ฐานข้อมูล signature เกี่ยวกับ SQL Injection ของ SecureSphere(ทุกชนิดฐานข้อมูล) จะมีการอัพเดตทุกสัปดาห์โดยทีมวิจัยของ Imperva (The Application Defense Center, ADC) ถ้าเพื่อนๆ ยังจำได้จากตัวอย่างแรกๆเลย การโจมตีแบบเบสิกอย่าง “or 1=1” SecureSphere IPS จะบล็อกทันทีไม่ไต่ถามใดๆทั้งสิ้น แต่ถ้าเป็นเทคนิคการเลี่ยง signatureแบบต่างๆนั้น SecureSphere จะอาศัยจากประสบการณ์ของมัน โดยขั้นแรก SecureSphere จะ apply signature ที่จำเป็นและไม่มากจนเกินไปนัก อย่างการเลี่ยงจาก signature “or 1=1” ด้วย “Unusual = Unusual” ภัยคุกคามอันนี้จะถูกระรุได้โดย SecureSphere IPS signature จะมองหาการใช้ “or” และ “=” ร่วมกัน ภายใน URL parameter และ Signature Violation ก็จะแจ้งเตือนขึ้นมา แต่ถ้า “or” และ “=” เป็นคำทั่วๆไปใน parameter การ match บน signature นี้จะไม่ถูกบล็อกแต่อาจเกิด false positive เป็นบางครั้ง SecureSphere จะเก็บข้อมูลการใช้งานเพื่อเป็นหลักฐานไว้ใน Dynamic Profiling

Dynamic Profiling ที่จะสามารถระบุพารามิเตอร์ที่ผิดปกติได้

เทคโนโลยี Dynamic Profiling ของ SecureSphere จะพิจารณา traffic อย่างอัตโนมัติแล้วสร้าง เป็น “profile” ของไซต์นั้นๆ โดยจะระบุแต่ละองค์ประกอบไว้ในโปรไฟล์ อาทิเช่น URLs, HTTP methods, Cookies, Parameter names, Parameter lengths, Parameter types และอื่นๆ Profile จะทำการเก็บค่าเมื่อมีการใช้งาน Application และ SecureSphere นั้นสามารถตรวจจับพฤติกรรมการใช้งานเว็บไซต์และเข้าถึงฐานข้อมูลที่ผิดปกติได้ ดังนั้นเมื่อมีการใช้งานเว็บไซต์มากขึ้น SecureSphere จะมีอัลกอริทึมในการเรียนรู้และอัพเดตค่าที่เก็บในโปรไฟล์อัตโนมัติโดยเทียบจากพฤติกรรมส่วนใหญ่ที่ใช้เว็บไซต์นั้นๆ และเรายังสามารถปรับค่าเองได้ด้วยถ้ามันเป็น false positive อย่างที่ผมได้ยกตัวอย่างในตอนแรกสุดเลยเกี่ยวกับเว็บเกี่ยวกับสุขภาพที่ต้องมีการส่งค่าพารามิเตอร์ sex ซึ่งอาจถูก SQL Injection ได้ เช่น “OR Unusual = Unusual” แต่เรารู้ว่า sex มีการส่งค่าเพียง 1 ตัวอักษร ถ้าเรากำหนดได้เราก็จะป้องกันการโจมตีนี้ได้ มาดูความสามารถของ SecureSphere Dynamic Profile กันครับ

คราวนี้เมื่อเราจำกัดตัวอักษร(มันเรียนรู้เองอะ เราไม่ต้องไม่กำหนดมัน แต่เราแก้ไขได้) ได้แล้ว ถ้ามีการยิง SQL เข้ามาจะเกิดอะไรขึ้น!!!

SecureSphere Parameter Length Violation Alert ก็จะแจ้งเตือนดิครับ

ยังมีตัวอย่างของไซต์ที่มีการใช้งานจริงอีกด้วย เชิญดูครับ

Dynamic Profile ยังใช้ในการตรวจสอบการโจมตีโดยถ้ามีเหตุการณ์ใดเกิดจาก user คนเดิมซ้ำๆกัน จะทำให้อีกความสามารถของ SecureSphere คือ SecureSphere’s Correlated Attack Validation ทำงาน

Correlated Attack Validation (CAV)

โดย CAV จะเชื่อมโยงการโจมตีหรือ Violation ต่างๆที่เกิดขึ้นจาก user คนเดียวกันที่ข้ามผ่านด่านความปลอดภัยเข้ามาได้ (IPS, Dynamic Profile ฯลฯ) ถ้า user คนหนึ่ง attack แบบเดิมๆหลายๆครั้ง เราก็จะมั่นใจได้เลยว่าเขาตั้งใจจะโจมตีจริงๆ จากตัวอย่าง CAV เชื่อมโยง SQL signature violation กับ Parameter length violation เพื่อตรวจว่าเป็นการโจมตีแบบจริง ทำให้ CAV สามารถช่วยระบุการโจมตีได้อย่างแม่นยำยิ่งเมื่อมีการใช้เทคนิคในการเลี่ยง signature ขั้นสูง มันก็จะเชื่อมโยงทุก violation ที่เกิดขึ้นแล้วระบุไปยัง user คนที่โจมตีมาได้

บทสรุป

1)  SQL Injection คือ การใส่หรือแฝงคำสั่ง SQL เข้าไปใน HTTP request ที่จะส่งไปยัง Server เพื่อทำการ query, insert, delete หรือใดๆ กับฐานข้อมูล

2)  การเลี่ยงไม่ให้ SQL Injection ไป match กับ signature แบบง่ายๆ มี 3 แบบที่ได้แนะนำไป คือ การเข้ารหัส การใช้ช่องว่างและการแบ่งออกเป็นส่วนย่อยๆของ IP และ TCP ส่วนการเลี่ยงแบบขั้นสูงอาจใช้คำสั่งที่มีความหมายเหมือนกันแต่คนละรูปแบบการใช้การต่อสตริง(string concatenation) การใช้คอมเม้นท์ที่ใช้ในภาษาซี เป็นต้น

3)  การใช้ Signature Mechanism ไม่เพียงพอต่อการป้องกัน SQL Injection เพราะการโจมตีมีการพัฒนาอยู่เรื่อยๆ ถ้าต้องการให้ครอบคลุมทุกการโจมตีจะต้องเพิ่ม signature เข้าไปจำนวนมากทำให้เกิดข้อเสียอีก 2 ข้อใหญ่ คือ ทำให้ Performance ลดลงและ เกิด False Positive จำนวนมาก

4)  การป้องกัน SQL Injection บน SecureSphere Web Application Firewall โดยใช้ Advanced IPS, Dynamic Profiling และ Correlated Attack Validation ทำให้มีประสิทธิภาพในการป้องกันและเกิด false positive น้อยมาก

ผมคิดว่าบทความนี้คงทำให้เพื่อนได้รู้จักการโจมตีที่เรียกว่า “SQL Injection” มากขึ้น รวมถึงวิธีที่ Attacker นิยมใช้ พร้อมทั้งหนทางที่จะป้องกันอันตรายจากภัยนี้เพื่อให้องค์กรมีความปลอดภัยมากขึ้นนะครับ แล้วเจอกันใหม่นนะค้าบบ

ความแตกต่างระหว่าง Web Application Firewall กับ Perimeter Firewall [Episode 1] และ

ความแตกต่างระหว่าง Web Application Firewall กับ Perimeter Firewall [Episode 2]

คราวนี้เราก็มาลองเทียบกับ IPS บ้างที่มีหลายฟังก์ชันของมันทำงานใกล้เคียงกับ WAF แต่มันจะก็ยังไม่สามารถเทียบเท่า WAF ได้ เราจะมาดูกันว่าทำไมถึงเป็นเช่นนั้นนะครับ

Web Application Firewall (WAF) การทำงานของมันทั้งหมดจะมุ่งเน้นเกี่ยวกับ web application ทั้งนั้น

WAF อาจไม่ใช่ไฟร์วอลล์อย่างที่เรารู้จักกันและวิธีการทำงานก็ต่างไปจากไฟร์วอลล์แบบทั่วไปอีกด้วย เช่น จะถูกใช้เมื่อคุณต้องการการถอดรหัส SSL ของข้อมูลการใช้เว็บแอพพลิเคชัน และ การบล็อกภัยคุกคามต่างๆ ที่เกี่ยวกับระดับแอพพลิเคชัน เหล่านี้เป็นเพียงบางส่วนที่ WAF สามารถจะทำได้ เพราะว่า WAF จะจัดการที่ Application Layer เช่น HTML, XML, Cookies, JavaScript, ActiveX, คำร้องขอของผู้ใช้ และการตอบกลับจากเว็บเซิฟเวอร์ ส่วน Intrusion Prevention System(IPS) หรือระบบป้องกันการบุกรุก หน้าที่ของมันคือ ตรวจสอบ packet เพื่อพยายามป้องกันการโจมตีที่อาจเกิดขึ้นและการบุกรุกในระดับเครือข่าย IPS นั้นถูกพัฒนามาจากระบบตรวจจับการบุกรุก หรือ Intrusion Detection Systems(IDS) เป็นระบบที่ควรตรวจสอบข้อมูลซึ่งจะวิเคราะห์ข้อมูลที่เข้ามายังเครือข่ายว่าตรงกับ signature หรือนโยบายความปลอดภัยข้อใดหรือไม่ การทำงานทั้งหมดของอุปกรณ์เหล่านี้ไม่มีการถอดรหัสของข้อมูลที่เป็นความลับหรือถูกเข้ารหัสมาแต่ใช้ชุดของนโยบายหรือชุดของ signature มาตรวจสอบว่าตรงกันหรือไม่สำหรับทุกข้อมูลที่ผ่านมาในเครือข่ายแล้วจะแจ้งยัง IPS

ความแตกต่างของ WAF และ IPS

IPS นั้นจะตรวจสอบแพ็กเกตและบ่อยครั้งที่จะถูกดรอปทิ้งไปเพื่อเพิ่มประสิทธิภาพ ในการทำงานของตัวอุปกรณ์นี่ คืออีกจุดที่แตกต่างเพราะว่า WAF ต้องเก็บแพ็กเกตทั้งหมดไว้เพื่อรักษาข้อมูลของคำร้องจากผู้ใช้งานและลำดับ การตอบรับจากเซิฟเวอร์ ดังนั้น คุณสามารถพูดได้เลยว่า IPS นั้นจะจัดการเพียงพิจารณาแพ็กเกต ขณะที่ WAF จะพิจารณาการทำงานภายในแต่ละ session ของการใช้งานนั้นด้วย

WAF ไม่ใช่แค่เพียงเข้าใจการทำงานของ โปรโตคอล อย่างพวก HTTP GET, POST, HEAD และอื่นๆ แต่ยังต้องรู้พวก JavaScript, SQL, HTML, XML, Cookies และอื่นๆ การทำงานและการจัดการข้อมูลโดยพื้นฐานของ WAF นั้นจะทำงานในระดับ Application layer ซึ่งสำหรับ IPS อาจเป็นเพียงฟังก์ชันเสริมเท่านั้น

IPS และ WAF อาจจะมองว่ามันเหมือนกัน แต่คุณก็เห็นว่าชื่อมันก็ต่างกันแล้ว เช่นนั้น เราลองมาพิจารณาถึงการทำงานพื้นฐานของแต่ละอุปกรณ์กันดีกว่า โดยเริ่มจาก IPS มันจะพิจารณาสถิติการใช้งานของปริมาณงานที่ทำในช่วงเวลาหนึ่ง (throughput)และการไหลของข้อมูล (Traffic flow) ส่วน WAF นั้นจะพิจารณาเกี่ยวกับ URL, Parameter,HTTP Method, Session และ Cookie mapping WAF จะไม่จัดการเรื่องการใช้แบนด์วิสท์ (Bandwidth utilization)ส่วน IPS ก็ไม่รู้ว่า URL ที่ให้พิจารณานั้นใช้วิธีใดในการรับส่งข้อมูล เช่น POST หรือ GET จะเห็นว่า WAF จะเน้นพิจารณาเนื้อในของข้อมูลจริงๆมากกว่า ส่วนการพิจารณาของ IPS นั้น จะดูที่ signature ว่าข้อมูลที่ผ่าน IPS นั้นมีส่วนใดตรงกับฐานข้อมูล signature ที่มีอยู่หรือไม่ ดังนั้นการป้องกันในระดับ Application จึงเป็นไปไม่ได้เลยกับ IPS โดยเฉพาะกับช่องโหว่ของระดับ application หรือบางช่องโหว่ใหม่ๆที่เกิดขึ้นกับ application ที่เขียนขึ้นมาเองของแต่ละองค์กร ในเรื่องนี้ WAF นั้นจะสามารถตรวจสอบและป้องกันได้ไม่เหมือนกับ IPS เพราะว่า WAF นั้นจะมีการตระหนักถึงการใช้งานแอพพลิเคชันจริงๆ

ความต้องการในการติดตั้ง WAF นั้นจะมุ่งเน้นไปที่ป้องกัน Web Application และข้อมูลการใช้งาน Web Application ขณะที่ความต้องการในการติดตั้ง IPS จะพิจารณาการใช้งานใน Network level เพื่อตรวจสอบทุกแพ็กเกตที่ผ่านในเครือข่าย

3 เหตุผลว่าทำไม IPS and WAF นั้น จะไม่มีทางที่เหมือนกันได้เลย

บางคนอาจมองว่า IPS และ WAF นั้นเหมือนกัน ผมต้องการจะบอกว่ามีจุดไหนบ้างที่ IPS และ WAF จะไม่มีทางที่จะเหมือนกันเลย

1) ขอบเขตการใช้งาน

ในการใช้งานจริงของ IPS อาจมีการลดลงของประสิทธิภาพซึ่งจะทำให้ความสามารถในการป้องกันของ IPS นั้นลดลงตามไปด้วย เช่น การติดตั้ง IPS แบบวางขวางระหว่างเครือข่ายภายในและอินเตอร์เน็ต ดังนั้น IPS จึงต้องมีประสิทธิภาพสูงเพื่อที่จะไม่ให้เกิดความล่าช้าของการใช้งานบนเครือ ข่าย IPS จึงได้มีการนำเอา ASIC ชิพมาใช้สำหรับการตรวจสอบแพ็กเกตในระดับ Content หรือเรียกกระบวนการนี้ว่า “Deep Packet Inspection” ทำให้สามารถตรวจสอบในสายสัญญาณที่มีการส่งข้อมูลด้วยความเร็วสูงได้และใน หลาย Interface พร้อมกันด้วย สำหรับ IPS นั้น การกรองและตรวจสอบแพ็กเกตเกิดขึ้นใน memory โดยแยกแพ็กเกตและทำการวิเคราะห์แพ็กเกตซึ่งผ่านเข้ามา แต่ละแพ็กเกตซึ่งเป็นส่วนหนึ่งของ stream จะมี tag กำกับไว้เพื่อจะสามารถประกอบกลับเป็นข้อมูลที่สมบูรณ์ได้ที่เครื่องปลายทาง โดยตัว IPS จะเปรียบเทียบ stream เหล่านี้กับ signatures บนตัวอุปกรณ์ว่ามีข้อมูลไหนตรงกับ pattern ที่เป็นการโจมตีหรือไม่นั่นเอง ซึ่งเป็นหน้าที่การทำงานหลักของอุปกรณ์ชนิดนี้ IPS จะทำการตรวจสอบทุก TCP, UDP packet และบาง stream อาจถูกวิเคราะห์และ drop ทันทีไม่ให้ผ่านเครือข่ายไปได้ IPS ส่วนใหญ่จะได้ทำงานโดยการแยกและการตรวจสอบข้อมูลไปพร้อมกันในหลายๆแพ็กเก ตหรือหลายๆ stream

สำหรับการทำงานของ IPS เมื่อเทียบกับ WAF, ในตอนนี้ถ้าจะให้ IPS ทำงานกับ web-base stream ได้จะต้องมี feature พิเศษเพิ่มขึ้นมาถึงจะทำการวิเคราะห์ stream นี้ได้ เช่น ถอดรหัส SSL, Normalize ส่วนของ HTTP และค้นหา web threat ในแต่ละ packet ด้วย กระบวนการนี้จะต้องถูกทำให้เสร็จสำหรับข้อมูลที่จะถูกส่งไปยัง Web Server และ IPS จะต้องหาวิธีมาเรียนรู้ web traffic ของการใช้งานที่เกิดขึ้นแล้วควรสามารถใช้อ้างอิงกับการใช้งานในอนาคตด้วย ทุกๆลำดับการทำงานเหล่านี้ต้องเกิดขึ้นกับทุก web application traffic พร้อมๆกันด้วย โดยไม่ส่งผลกระทบกับการป้องกันทุกชนิดที่ IPS มีอยู่

2) การตลาด

ไม่มีการทำการตลาด เนื่องจากไม่มีการร้องขอข้อมูลการเปรียบเทียบผลิตภัณฑ์ WAF กับ IPS จากลูกค้าและไม่มีเกณฑ์การประเมินให้คะแนนอีกด้วย ส่วนเกณฑ์การทดสอบในห้องวิจัยที่ใช้วัดผลได้เป็นอย่างดี คือ

a) ลูกค้าจะได้อะไรบ้างในเทคโนโลยีนี้

b) ในการเลือกผลิตภัณฑ์นั้นควรใช้ดัชนีของบอร์ดใดเป็นตัวช่วยเลือก เช่น Gartner

c) เทคโนโลยีในแต่ละผลิตภัณฑ์มีการทำงานอย่างไร

ความสนใจเหล่านี้เป็นเกณฑ์เดียวกันที่ใช้ใน NSS Labs และ ICSA Labs ซึ่งยังไม่รวมเรื่องการความต้องการของการถอดรหัส SSL หรือเกณฑ์การประเมินในส่วนอื่นๆ โดย Gartner หน่วยงานที่ทำการประเมินวิเคราะห์และเปรียบเทียบผลิตภัณฑ์ต่างๆระดับโลก ไม่หวังว่าจะจัด IPS ซึ่งทำงานอย่าง WAF ได้ให้อยู่ใน IPS Magic Quadrant เพราะเรื่องการถอดรหัส SSL นั้นมีเพียง WAF ที่ทำได้และเกณฑ์การประเมินยังรวมเรื่องการวิเคราะห์แอพพลิเคชันด้วย ถ้าเกณฑ์การประเมินผลิตภัณฑ์และการตลาดไม่มุ่งเน้นไปทางเดียวกันเพื่อผลัก ดันเรื่อง IPS แล้วไม่มีทางเลยที่ vendor จะพัฒนาให้ผลิตภัณฑ์เข้าใกล้เกณฑ์การพิจารณาของ WAF เพราะคงไม่มี Vendor เจ้าไหนต้องการให้ IPS ของตัวเองได้คะแนนเพียง 17% ในการทดสอบโดยห้องวิจัยอย่างแน่นอน ถ้าคุณใช้ เกณฑ์การประเมิน WAF ของห้องวิจัย ICS กับ IPS ใดๆก็ตามเพื่อให้การตลาดที่ดีขึ้น ผมสามารถพนันได้เลยว่าไม่มีทางผ่านได้แน่นอน

3) การตรวจจับ,การแจ้งเตือน และการเก็บเหตุการณ์

WAF สามารถตรวจพบเหตุการณ์หรือสิ่งผิดปกติได้ในปริมาณและรายละเอียดที่มากกว่า IPS แต่ IPS จะพยายามชี้ว่า WAF ไม่อาจจัดการเรื่องการรายงานเหตุการณ์ที่พบซึ่งเหมือนๆกันได้ โดย IPS พยายามจะนำเสนอว่ามันสามารถตรวจพบทุกเหตุการณ์หรือทุกสิ่งที่ผิดปกติได้แม้ จะมีปริมาณมากหรือเหมือนกันแค่ไหนก็ตาม เพราะว่า vendor จะทำให้แน่ใจว่าผลิตภัณฑ์ของตนสามารถระบุภัยคุกคามมากที่สุดเท่าที่เป็นไป ได้ แต่ละเหตุการณ์ที่เกิดขึ้นต้องถูกเก็บไว้และสามารถแจ้งเตือนไปยังระบบอื่น ได้ด้วย การแจ้งเตือนก็เป็นรื่องสำคัญนักรวมทั้งข้อมูลเหตุการณ์การใช้งานเว็บก็เป็น ข้อมูลที่มีรายละเอียดมากควรถูกบันทึกและส่งไปเก็บไว้มากกว่าเหตุการณ์บน เครือข่ายที่ IPS ตรวจจับได้

สำหรับใครก็ตามที่ไม่เคยจัดการหรือเผ้าดูการทำงานของ WAF ในสภาพที่มีการใช้งานเว็บเป็นปริมาณมากหรือการใช้งานกับแอพพลิเคชันที่ถูก เขียนขึ้นมาใช้เองขององค์กรต่างๆ คุณจะรู้ว่า WAF นั้นเป็นรูปแบบการสร้างความปลอดภัยที่ดีเลยทีเดียวต่อองค์กรของคุณ เพราะข้อมูลล็อกและการแจ้งเตือนของ WAF นั้นจะแสดงแต่ละองค์ประกอบของข้อมูล HTTP ที่เชื่อมโยงกับเหตุการณ์หรือสิ่งที่ตรวจจับได้ อย่างเช่น HTML form, HTTP method, URL, Response Code และอื่นๆ อย่างไรก็ตามเหมือนกับ IPS คือ WAF จะสามารถบล็อกอะไรก็ตามที่มันวิเคราะห์แล้วว่าเป็นอันตรายและแจ้งเตือน ทุกอย่างแม้ว่าจะไม่แม่นยำ 100% เท่ากับการวิเคราะห์ของมนุษย์ก็ตาม

บทสรุป

1. ถ้า IPS มีการเพิ่มฟังก์ชันการวิเคราะห์ web traffic ขึ้นมาจะทำให้ศักยภาพในการทำงานหลักหรือระบบป้องกันผู้บุกรุกจะมี ประสิทธิภาพลดลง และ ทำให้การทำงานของเครือข่ายช้าไปด้วย

2. เมื่อพิจารณาจากเกณฑ์การประเมินผลิตภัณฑ์ของห้องวิจัยต่างๆแล้ว มันเป็นเรื่องยากที่จะพัฒนา IPS ให้ผ่านเกณฑ์หรือข้อกำหนดของ WAF จึงไม่มี vendor เจ้าใดจะกล้าลงทุนและทำการตลาดในเรื่องนี้

3. WAF นั้นมีการเก็บข้อมูลหรือเหตุการณ์ต่างๆของการใช้งาน web application ที่มีความละเอียดมากกว่าไม่ใช่รู้เพียง IP Address อะไร หรือ port อะไรเท่านั้น ยังสามารถเห็นถึง method ที่ใช้ในการรับส่งข้อมูล หรือพารามิเตอร์ที่ใช้ว่าเป็นค่าอะไรเลยทีเดียว

โดยมีการตรวจจับภัยคุกคามที่ก้าวหน้าขึ้น, การเรียนรู้การใช้งาน App แล้วสร้างเป็น profile, สามารถเชื่อมโยงเหตุการณ์ที่เกิดขึ้นได้ และมันยังไม่ได้แค่ปกป้องเพียงส่วนนอกสุดก่อนออกเน็ตเท่านั้น ยังปกป้องได้ทั้งการโจมตีจากภายนอกและภายในด้วย เรามาดูหัวข้อที่น่าสนใจของมันกันดีกว่า

ความปลอดภัยได้จะได้รับซึ่งครอบคลุมทั้ง Web Application และ Database

• สามารถปกป้องทุกอย่างจากการโจมตีที่รู้จักตาม signature ที่มีอยู่ และการโจมตีที่ไม่รู้จักซึ่งเกิดขึ้นทุกๆวัน โดยจะทำการอัพเดตข้อมูลจาก Imperva Application Defense Center หรือ ADC
• สามารถปกป้องได้ทั้งการโจมตีจากนอกและจากภายใน
• สามารถดูข้อมูลการติดต่อกันของทั้ง Web และ Database
• มีการแจ้งเตือน(Alerting) และการปกป้องที่เหมาะสมกับการโจมตีที่เกิดขึ้น

ความเสี่ยงที่เกิดขึ้นจากการติดตั้ง

• มันง่ายต่อการใช้งานและติดตั้ง โดยเพียงไปวางขวางระหว่าง Internal Network และ Internet แต่เป็นเพียงรูปแบบหนึ่งของการติดตั้ง
• ไม่ต้องเปลี่ยนแปลง Application หรือ Network เลย
• Zero Latency

Web Application Firewall VS TOP 10 OWASP Vulnerabilities

Web Application Firewall VS Intrusion Prevention System

Self learning & Profiling

มันจะทำการเรียนรู้ก่อนว่า Application ขององค์กรเรามีหน้า page อะไรบ้างโดยเรียนรู้จากการใช้งานจริงๆ ของ user แล้วเก็บข้อมูลเป็น profile ไว้ เพราะเมื่อเรียนรู้เสร็จพร้อมที่จะใช้งานจริงๆ แล้ว profile นี้จะมีประโยชน์มากเนื่องจากถ้ามีการใช้งานที่ผิดจากข้อมูลที่เก็บไว้นั้น อาจจะเป็นการโจมตีได้ก็จะทำให้เราสามารถจะป้องกันได้ทันท่วงที

User Tracking

บทสรุป

ความต้องการในการปกป้องโปรแกรมประยุกต์หรือ Web Application Security มีแต่มากขึ้นทุกวัน เราควรจะป้องกัน Database และ application ขององค์กรเราได้ทันที เมื่อมี attacks เกิดขึ้น จากที่เห็นกันจาก OWASP Top 10 vulnerabilities ฟังก์ชั่นในการบล็อกการโจมตีนั้นอาจเป็นเพียงเรื่องเล็กๆ ของปัญหาที่พบจริงเกี่ยวกับ Web Application Security แล้วอะไรบ้างล่ะที่ SecureSphere ต่างจาก Perimeter Firewall

• สามารถป้องกัน Top 10 OWASP Vulnerabilities ได้ทั้งหมด
• มีการอัพเดตการโจมตีใหม่ๆ ที่เกิดขึ้นจาก Imperva Application Defense Center เพื่อสามารถป้องกันการโจมตีได้อย่างทันท่วงที
• Self learning – มีการเรียนรู้ Application อย่างแท้จริงซึ่งต่างจากพวก firewall, IDS, IPS ที่จะต้อง match กับ signature เท่านั้น ทำให้เกิด false-positive สูง
• Profiling – มีการเก็บพฤติกรรมการใช้งานจริงของ user ว่า page นั้นควรจะใส่ค่าพารามิเตอร์ที่มีความยาวเท่าใด ตัวอักษรชนิดอะไร
• Session Tracking – เพื่อทำให้รู้ว่ามีใครบ้างที่ log in อย่างถูกต้องหรือมีความพยายาม log in เข้าใช้ page ใดๆ ของ Application ของเราได้

WAF vs Firewall ก็คงจบแล้วครับ เด๋วคราวหน้าจะมาอัพเดตเทคโนโลยีเกี่ยวกับ security ให้ฟังกันอีกนะครับ เพื่อนๆ มีความคิดเห็นอย่างไรก็เล่าสู่กันฟังบ้างน๊า แล้วเจอกันครับ

แต่เมื่อเอามันมาใช้งานกันจริงๆแล้ว มันก็ป้องกันได้แค่ระดับโครงสร้างทั่วไปของโปรแกรมเท่านั้น เราจะมาลองเปรียบเทียบให้ดูกันว่าไฟร์วอลล์เจ้าใหญ่ๆ อย่าง checkpoint และ netscreen และผู้ที่เชี่ยวชาญการป้องกัน Application โดยเฉพาะอย่าง Imperva โดยจะวิเคราะห์ความปลอดภัยตาม Open Web Application Security Project (OWASP) ใน 10 อันดันที่ถูกโจมตีบ่อยที่สุดจากทั่วโลก

OWASP Top Ten application security vulnerabilities

1. Unvalidated Parameters คือ ค่าที่ผู้ใช้ป้อนทาง Application แต่ไม่เป็นไปที่กำหนดไว้อาจเพื่อโจมตี Applicaiotn หรือเข้าใจผิดก็ตาม ทำให้ Attacker สามารถใช้วิธีนี้โจมตีในส่วนของ Backend ได้
2. Broken Access Control คือ การที่มีผู้ใช้งานทำการยืนยันและพิสูจน์ตัวตนอย่างไม่เหมาะสม เพื่อเข้าถึงข้อมูล
3. Broken Accent & Session Management คือ การที่บัญชีผู้ใช้งานไม่มีการป้องกันที่เหมาะสม ทำให้ Attacker สามารถขโมยรหัสผ่าน, keys, token ไปได้ ทำให้สามารถปลอมตัวเป็นผู้ใช้คนนั้นได้
4. Cross-Site Scripting (XSS) คือ กระบวนการที่เว็บไซต์ส่งการโจมตีไปยังเครื่องผู้ใช้ปลายทางผ่าน browser
5. Buffer Overflow คือ การที่ข้อมูลมีขนาดใหญ่เกินกว่ามาตรฐานที่ตั้งไว้
6. Command Injection Flaws โดยทั่วไปแล้ว web application จะมีการส่งผ่าน parameter นั่นจึงเป็นอีกช่องทางของ Attackers ที่จะแอบฝังคำสั่งอันตรายๆมากับพารามิเตอร์เหล่านั้น
7. Error Handling Problems คือ การที่เมื่อเกิดปัญหาอะไรขึ้นเครื่องเซิฟเวอร์จะแจ้งเตือนผ่าน browser ทำให้ผู้ใช้ทราบข้อมูลต่างๆได้ เช่น ใช้ IIS หรือ Apache, version อะไร เป็นต้น
8. Insecure Use of Cryptography อาจเป็นการใช้วิธีเข้ารหัสที่มีความปลอดภัยต่ำ
9. Remote Administration Flaws คือ การที่ Attackers ซึ่งไม่มีสิทธิ์ระดับ Administrative สามารถได้สิทธ์นั้นมาทำให้ Attackers ที่ได้สิทธิ์นั้นก็จะสามารถจัดการเว็บของคุณได้ทั้งหมด
10. Web & Application Server Misconfiguration เป็นเรื่องยากที่จะ config ให้ server มีความปลอดภัยมากที่สุด

Perimeter Firewall

คราวนี้มาลองดูกันว่าทั้ง Check Point และ NetScreen มี feature อะไรเพิ่มขึ้นมาบ้าง เพื่อ Web Application Security

Perimeter Firewall VS TOP 10 OWASP

ต่อไปเรามาดูกันว่า Feature ที่เพิ่มขึ้นมาของ Perimeter Firewall นั้นจะช่วยป้องกันช่องโหว่จาก list ของ OWASP ได้ทุกข้อจริงหรือไม่

วิธีการเพิ่ม Web Application Security

เราจะเห็นได้ว่าส่วนใหญ่ที่ไฟร์วอลล์ทั่วไป ป้องกันการโจมตี Web Application ไม่ได้ เพราะมันไม่รู้ว่าแต่ละหน้าเว็บ แต่ละ URL มันมีพฤติกรรมการใช้งานอย่างไร เช่น บาง URL อาจมีการส่ง parameter เฉพาะของ URL นั้นๆ ถ้า Attacker จะพยายามแก้ไขค่าและส่งไปยัง URLใดๆ ไฟร์วอลล์ควรจะต้องตรวจจับได้ นั่นคือ การเก็บข้อมูลที่เรียกว่า Profiling และควรรวมไปถึงพวกคำสั่ง SQL ที่ติดต่อกับ Database ด้วย เพื่อจะได้มั่นใจได้ว่า Attackers ไม่ส่งอะไรแปลกๆไปยัง database เพื่อทำการมิชอบกับฐานข้อมูล

คุณรู้สึกไหมว่าถ้าบริษัทเรามี Applications เยอะๆ เราจะทำอย่างไรให้มันปลอดภัย ถ้าแค่ไม่เกิน 10 application เราก็คงสามารถมานั่งไล่ดูทีละโปรแกรมแล้วทำให้มัน secure ขึ้น หรืออาจสร้าง white list แต่มันก็เกิดปัญหาตามมาอยู่ดีนั่นก็คือ เรื่อง false Positive จำนวนมากมาย นี่ยังไม่รวมถึงพวก app ที่เชื่อมต่อกับ database นะครับ ที่นี้ใครล่ะจะมาคอยนั่งดูโค้ดว่าตรงไหนไม่ปลอดภัย ผมล่ะไม่คนหนึ่ง เหอๆๆ มึนก่อนแน่นอน เมื่อเรามีการ Profiling มันจะควรจะมีการเรียนรู้ด้วยตัวมันเองด้วยที่เรียกว่า Self Learning Capabilities ทำไมล่ะ? เพราะว่าเมื่อมี URL ใหม่ หรือ SQL queries ที่ถูกเพิ่มเข้ามามันจะเรียนรู้เองแบบ dynamic ได้ และถ้าให้ดีควรจะมีการตรวจดูว่าเมื่อมีคนเข้ามา ใช้งาน Application แล้วเขามีการใช้งานเป็นอย่างไร มีการส่งพารามิเตอร์อะไรบ้าง แล้วถ้าเขาเข้ามาใช้งาน App อีกมีการใช้งานผิดไปจากที่เคยใช้หรือเปล่า และก็ควรสามารถบล็อกการใช้งานที่ผิดแปลกไปจากเดิมได้ในทันที แต่ก็คงต้องมีการให้มันเรียนรู้การใช้งานของผู้ใช้สักพักอ่ะนะ แล้วมันก็จะเป็น Firewall ที่ฉลาดขั้นเทพเลย 555 แถม web admin ก็สบายไม่ต้องมานั่งทำ White list อีก, developer ก็สบายด้วยเพราะแม้ว่า code ที่เขียนมานั้นจะไม่ secure เอาซะเลยมันจะเรียนรู้และบล็อกได้ ถ้า Developer ว่างๆ ก็ค่อยมาแก้ให้มัน secure ขึ้นก็ได้

ผมคงต้องไปทำงานก่อนนะครับ แล้วจะมาต่อกันตอน 2 ว่าไอ้ที่ Perimeter Firewall ไม่สามารถป้องกัน Web Application ได้นั้น SecureSphere ของ Imperva จะช่วยป้องกันได้ในระดับไหน แล้วเจอกันค้าบ

ปัญหาเดิมๆที่เราเจอในการพยายามปกป้อง Web application ก็คือ

• การปกป้อง Web application ที่ดีที่สุดคือการ secure coding หรือการเขียนโปรแกรม ให้ได้มาตรฐานความปลอดภัยนั่นแหละครับ แต่!! …ความเป็นจริงคือ 83% ของโปรเจค Application มักจะล้าช้าครับ หรือไม่เสร็จตามเวลาที่กำหนดไว้ครับ เพราะฉะนั้น secure coding ก็จะเอาไว้ทีหลังครับขึ้นระบบ Production กันก่อน!!
• โปรเจค Application ต่างๆจะมีการเพิ่ม module หรือมีการเปลี่ยนแปลงบ่อยก็เลยทำให้ต้องมีการมานั่ง secure coding กันอยู่เรื่อยๆครับ ยิ่งเพิ่ม module เยอะงาน secure coding ก็จะเพิ่มเป็นเงาตามตัว
• แต่ก่อนนี้เรามักจะนำ IPS/IDS เข้ามาวางขวางไว้เพื่อจับการโจมตีต่างๆก่อนที่มันจะวิ่งมาสู่ระบบ app ของเรา ปัญหาก็คือการแจ้งเตือนผิดพลาดเยอะ (false positive) จนเราเลิกดู Report มันซะเลยครับ แล้วไอ้ที่มันเป็นแบบนี้เพราะว่า IPS/IDS ถูกออกแบบมาเพื่อป้องการการโจมตีทาง network ซะเป็นส่วนใหญ่ ถ้าจะป้องกัน Web app ก็จะต้องรู้จักการทำงานของมันจริงๆ คราวนี้ก็มีเรื่องให้คิดแล้วล่ะครับเพราะว่า Web application ที่เป็น Package ก็มีมากมายหลายยี่ห้อเช่นพวก Oracle, SAP นี่ยังไม่รวมที่เขียนเองอีกนะครับ

แล้วแบบนี้จะปกป้องระบบ Web Application ของเรากันได้ยังไง?

ในที่สุดก็มีการจัดตั้ง Open Web Application Security Project (OWASP) ขึ้นมาครับซึ่งเป็นสังคม online ที่ตั้งขึ้นมา จุดประสงค์เพื่อทำให้การป้องกัน web application มันเป็นความจริงขึ้นมาให้ได้ (ฟังดูเหมือนเป็นภารกิจอะไรซักอย่างใช่ไหมครับ?) มันจำเป็นต้องทำกันแบบนี้ครับเพราะว่าการโจมตีทาง web app นี่มันเยอะจริงๆครับ ผมว่าเพื่อนๆคงจะเคยเห็นคำจำพวกนี้

คราวนี้ลองนึกดูนะครับว่าแต่ละชนิดก็มีวิธีโจมตีได้หลายแบบอีก เพราะฉะนั้นทาง OWASP ก็เลยแนะนำว่าให้ระบบ WAF นั้นจะต้องแก้ไขข้อบกพร่องข้างต้นรวมทั้งยังป้องกันพวกการโจมตีเหล่านี้ได้ อีกด้วย

แล้วตกลง Web Application Firewall คืออะไร?

WAF เป็นอาจจะเป็นได้ทั้ง software ที่เอามาลงไว้ใน server หรือเป็นพวกอุปกรณ์ appliance ที่หน้าตาคล้าย Firewall ไปที่เราเคยเห็นกันนี่แหละครับแต่ระบบภายในจะทำหน้าทีจับพวก HTTP Traffic ต่างๆเช่นพวกข้อมูลที่เป็น web services ที่ชอบวิ่งผ่าน port 80 กับ port 443 ส่วนข้อมูลที่อื่นๆมันก็จะไม่สนใจครับปล่อยผ่านไป แต่ความเก่งกาจของมันนั้นก็คือการที่มันถูกออกแบบมาเฉพาะเจาะจงในการป้องกัน การโจมตีที่เกิดขึ้นกับ Web Application นั่นเอง ซึ่งลำดับการทำงานของระบบจะเป็นวงจรแบบนี้ครับ

• ประเมินระบบ : ระบบ WAF จะทำการ crawling หรือเข้าไปอ่าน web app ของเราทุกหน้า ตามที่เราได้ระบุ server ไว้ให้และจดจำไว้รวมทั้งเก็บข้อมูลพฤติกรรมการใช้งานของ user ทุกคน แล้วก็เก็บเอาไว้ทำ white-list เพื่อใช้ในการเปรียบเทียบแยกกันระหว่างการโจมตีกับการใช้งานธรรมดา และ หลังจากนั้นมันก็จะทำการประเมินความเสี่ยงของระบบ web app ของเรา ซึ่งในช่วงของการประเมินนี้ มักจะ config ระบบ WAF ให้ทำการ monitor traffic อย่างเดียวหรือยังไม่มีการ block traffic ใดๆทั้งสิ้น
• ทำ Policy : หลังจากที่ระบบทำการประเมินมาระยะนึงแล้วก็มาถึงการทำ Policy ระบบส่วนใหญ่จะทำ Policy แบบ auto มาให้เราระดับนึงแล้วแต่จะไห้ดีก็ต้องจูนกันดีๆล่ะครับเพราะว่าหลังจากทำ Policy เสร็จเราจะเปิด active mode เพื่อให้ Firewall ทำการ block traffic ที่เป็นการโจมตีกันแล้ว ถ้าหากไม่จูนให้ดีๆมันอาจจะ block คำสั่งการใช้งานปกติได้ซึ่งจะทำให้เกิดความยุ่งยากกับชีวิตในภายหลังแน่ๆ ครับ
• Monitor ระบบ: ทำ policy เสร็จแล้วก็จะถึงเวลาที่เรามาจัดกลุ่ม users ที่จะเข้ามาใช้งานระบบ WAF ครับ ที่ต้องจัดกลุ่มก็เพราะว่าระบบ WAF หนึ่งระบบก็จะสามารถป้องกันระบบ web app ในองค์กรตั้งแต่หนึ่งระบบ จนถึงหลายร้อยระบบคราวนี้ทีมที่จะเข้ามาเกี่ยวข้องก็อาจจะมีหลายทีมครับ เราก็จัด group user ให้เหมาะสม แล้วก็จัดการเปิด active mode ให้มัน block traffic การโจมตีต่างๆซะระหว่างนี้เราอาจจะต้องดูแลใกล้ชิดหน่อยครับ เผื่อมีอะไรผิดพลาด หลังจากนั้นเราก็ลอง monitor ระบบเพื่อดูรายละเอียดการทำงานต่างๆ
• วัดผล & ทำรายงาน : หลังจากที่ เปิดให้ WAF ทำงานกันเต็มที่แล้วเราก็จะได้เห็นรายงานในเชิงลึก(โคด) ของการทำงานในด้านการ block traffic ที่เป็นการโจมตีหรือพวกพฤติกรรมการใช้งานของ user แปลกๆ เช่นมี user คนนึงพยายาม log-in หน้าแรกแล้วกระโดดไปหน้าทำรายการดึงข้อมูลใน database แบบนี้ก็ผิดปกติจากที่ระบบเคยเก็บพฤติกรรมเป็น white-list ไว้ และสุดท้ายก็เป็นการปรับแต่งรายงานให้ได้ข้อมูลตามที่เราต้องการ ส่วนใหญ่ระบบหลายๆยี่ห้อก็จะมี template มาไว้ให้รวมทั้งพวก Compliance ต่างๆเช่น HIPPA, PCI, และอื่นๆ ก็แล้วแต่จะเลือกกันครับ

 แล้วปกติเค้าวางมันไว้ตรงไหนของระบบ network?

จากรูปจะเห็นว่าข้อมูลจาก Internet วิ่งเข้ามาที่ Firewall ซึ่งปกติก็จะเปิด port 80 กับ port 443 ครับ ส่วนใหญ่แล้วก็จะวาง WAF ไว้ที่หน้า Data Center หรือข้างหน้า Web app ที่เราอยากจะปกป้องครับ

สรุปแล้วแล้วประโยชน์มันคืออะไร?

•  ต้องการปกป้อง web app เนื่องจากมีการเพิ่ม-ลด module ทำ secure coding ไม่ทันขึ้น production WAF ช่วยได้แน่ๆ
• ต้องการระบบที่มาตรวจจับกิจกรรมการใช้งาน web application ของ user ต่างๆ เพื่อใช้เป็นหลักฐานเช่นพวก Internet Banking
• ต้องการนำมาปกป้องพวกรูปแบบการโจมตีเช่นพวก Cross-Site-Scripting, Buffer Overflow และอีกทั้งหลายแหล่ที่ได้กล่าวมา
• ต้องการระบบเดียวที่ใช้ป้องกันได้หลาย app และหลายชนิดเช่นพวก web app ที่พัฒนาเองและพวก app packaged ต่างๆ
• ต้องการลดต้นทุนการทำ secure coding สำหรับ server คิดว่าจ่ายเงินให้ vendor มาทำ secure code เพิ่มแล้วไม่คุ้ม

 ครับ!!! ประโยชน์ที่ยกตัวอย่างเท่าทีผมพอจะนึกออกตอนนี้ น่าจะพอทำให้เห็นภาพขึ้นบ้างไม่มากก็น้อยนะครับ ไว้ว่างๆผมจะมาเขียนเรื่องการนำไปใช้ใด้ได้ประโยชน์แบบละเอียดกว่านี้แล้ว กันนะครับ ส่วนวันนี้ผมขอตัวไปทำงานก่อนคับ บาย..

สวัสดีครับ กลับมาพบกับผมอีกครั้งหลังจากห่างหาย update ข้อมูลข่าวสารเกี่ยวกับ PaloAlto Networks firewall ไปนาน มาครั้งนี้ผมขอนำเสนอบทความที่เกี่ยวข้องกับสถิติการใช้งานของระบบเครือ ข่ายมหาวิทยาลัยกว่า 35 แห่งทั่วโลก สถิติเป็นอย่างไรติดตามอ่านกันได้เลยครับ ……

สิ่งที่น่าสนใจจากสถิติการใช้งานภายในมหาวิทยาลัย

เป็นเวลานานกว่า 18 เดือน นับตั้งแต่เดือนเมษายน ปี 2008 ,ทาง PaloAlto Networks ได้รวบรวสถิติต่างๆจากมหาวิทยาลัยที่ติดตั้ง PaloAlto Networks firewall และตรวจสอบ traffic ซึ่งผลลัพธ์ที่ออกมานั้น ถูกสร้างเป็น Application Visibility and Risk report เพื่อแจกจ่ายไปยังฝ่ายระบบเครือข่ายของมหาวิทยาลัยและฝ่าย security โดยภาพรวมนั้นพบว่า มีสถิติการใช้งาน application ถึง 589 ตัวและใช้ bandwidth รวมไปถึง 64 terabytes ซึ่งทาง PaloAlto Networks ได้สรุปหัวข้อที่น่าสนใจของรายงานไว้ดังนี้

นักศึกษามีการใช้งาน application ที่หลบหลีกการตรวจจับของระบบ security

จำนวนการใช้งาน external proxies, encrypted tunnel และ remote access มีค่อนข้างมาก เป็นสิ่งที่แสดงให้เห็นว่านักศึกษามีขั้นตอนวิธีการซับซ้อนมากขึ้น เพื่อปกปิดการใช้งานของตัวเอง และเราจะไม่พบการใช้งานพวกนี้เลยถ้าหากว่าเครือข่ายในมหาวิทยาลัยนั้นไม่ได้ มีระบบเฝ้าระวังที่มีประสิทธิภาพ

การใช้งาน Peer-to-peer file sharing ยังคงเป็นการใช้งานหลักๆ ที่พบในมหาวิทยาลัย

• 97% ของมหาวิทยาลัยที่สำรวจมา (34 ที่จากทั้งหมด 35 ที่) พบว่า มีการใช้งาน P2P file sharing อย่างมาก มีจำนวน application 24 ตัว ใช้ bandwidth ไป 13.0 terabytes หรือคิดเป็น 21.7% ของ bandwidth ที่ใช้ทั้งหมด แสดงให้เห็นว่า P2P ยังคงเป็นปัญหาที่สำคัญในเครือข่ายมหาวิทยาลัย
• ทางมหาวิทยาลัยในอเมริกาต้องจัดการกับคำขอร้องจากRIAA เพื่อควบคุมการใช้งาน P2P และยังพบภัยคุกคามตัวใหม่ก็คือ Mariposa ซึ่งมีกระจายตัวอย่างรวดเร็วในเครือข่ายที่การใช้งาน P2P

พฤติกรรมของนักศึกษาที่ใช้เวลาเล่น application บันเทิงมากขึ้น

• พบว่ามีการใช้งาน application ถึง 203 ตัวที่เป็น เกมส์, social networking, media, file sharing และท่องเวบต่างๆ โดย bandwidth ที่ใช้ไปกับ application เหล่านี้มากกว่า 48 terabytes หรือ 78% ของการใช้ bandwidth ทั้งหมด

คุณสมบัติของ application ที่ทำให้มองเห็นและควบคุมได้ยากลำบากขึ้น

• เนื่องจาก application ทั้งหมด 589 ตัวที่พบ,มีจำนวน 356 ตัว (คิดเป็น 60%) สามารถใช้งานผ่าน port 80 หรือ 443 หรือเป็นแบบ hop port และเนื่องด้วยคุณสมบัติของ application ที่วิ่งบน port มาตรฐานเหล่านี้เอง ทำให้นำความเสี่ยงมาสู่ระบบได้ เพราะ firewall ที่เป็น port-based นั้นไม่สามารถที่มองเห็นและควบคุมการใช้งาน application นั้นได้

รายงานนี้สร้างจากข้อมูลที่เก็บรวมรวบจาก PaloAlto Networks firewall ที่ติดตั้งในมหาวิทยลัยต่างๆ ใน mode ของ tap mode หรือว่า virtual wire mode โดยตรวจสอบ traffic ขาเข้าและออกจาก internet gateway หลังจากสิ้นสุดระยะเวลาเก็บข้อมูลแล้ว ได้สร้างตัวรายงาน Application Visibility and Risk Report (AVR Report) เพื่อแสดงผลของความเสี่ยงในการใช้งาน application และแสดงให้เห็นภาพที่ชัดเจนของการใช้งานภายในเครือข่าย ซึ่งข้อมูลจากแต่ละมหาวิทยาลัยจาก AVR Report ได้ถูกรวบรวม, วิเคราะห์และสรุปได้ดังนี้….

Introduction

ปัจจุบันนักศึกษาของมหาวิทยาลัยมีความรู้และความเข้าใจด้านคอมพิวเตอร์ มากกว่าแต่ก่อน เห็นได้จากการใช้งาน application ที่หลากหลาย ไม่ว่าจะเป็นด้านสังคม, บันเทิงและใช้ค้นคว้าด้านการศึกษา ด้วยความหลากหลายของการใช้งาน application เพราะเนื่องจากว่า network ของมหาวิทยลัยนั้นเปิดให้ใช้งานอย่างอิสระ ทำให้ทีม security ของมหาวิทยาลัยนั้นรับมือได้ลำบากมาก โดยด้านหนึ่งทีม security ก็ถูกถามถึงความอิสระในการใช้งานภายมหาวิทยาลัย และในด้านหนึ่งก็ต้องการที่จะป้องกัน network จากภัยคุกคามต่างๆและข้อมูลที่สำคัญในเครือข่าย

ในการวิเคราะห์ระบบเครือข่ายของมหาวิทยาลัย 35 แห่งทั่วโลก PaloAlto Networks พบว่ามีการใช้งาน application ที่หลากหลาย มีทั้งบันเทิง สังคม และด้านการศึกษา โดย Peer-to-peer file sharing ยังคงมีการใช้งานอย่างมาก ในขณะที่ browser-based file sharing ก็ใช้งานมากขึ้นเช่นกัน จึงไม่เป็นที่น่าแปลกใจว่า application ที่นักศึกษาใช้นั้นจะเน้นที่ด้านบันเทิงมากกว่าด้านการศึกษาอย่างเห็นได้ชัด

และยังมีอีก application ที่ไม่คาดคิดว่าจะใช้งานกันมากก็คือประเภท proxies, encrypted tunneling และ remote desktop access ทำให้เกิดคำถามว่า :

1. ถ้า network ให้อิสระในการใช้งานแล้ว ทำไมถึงใช้ application เหล่านี้เพื่อปกปิดการใช้งานของตัวเอง ??
2. หรือเป็นเพราะความพยายามควบคุมการใช้ application บางตัว จึงทำให้นักศึกษาหันมาใช้การปกปิดตัวเองเพื่อใช้งาน application ที่ตัวเองต้องการ ??

แต่ไม่ว่าจะด้วยเหตุผลใดก็ตามแต่ สถิติได้ชี้ชัดแล้วว่า นักศึกษานั้นใช้งาน application ใดๆก็ตามที่เค้าต้องการใช้ และ security administrator ต้องควบคุมการใช้งานของนักศึกษาไม่ว่าในรูปแบบใดๆก็ตามต่อไป

การใช้งาน application ที่หลบหลีกการตรวจจับของระบบ security

หนึ่งในสิ่งที่น่าสนใจมากของสถิติการใช้งานระหว่างการวิเคราะห์ก็คือ ความถี่ในการใช้งาน external proxies, encrypted tunnels and remote access ซึ่งสิ่งที่พบเหล่านี้ค่อนข้างจะขัดแย้งกับรูปแบบการให้บริการของเครือ ข่ายมหาวิทยาลัย เพราะว่าในเครือข่ายของมหาวิทยาลัยนั้นเปิดให้ใช้งานอย่างอิสระ แต่ทำไมต้องใช้ application ที่สามารถ bypass ระบบ security

- หรือเป็นเพราะว่านักศึกษามีความหวั่นเกรงไปเอง มากเกินไป ?

- หรือมหาวิทยาลัยควบคุมการใช้งานมากเกินไป ?

ถ้าเราไม่คำนึงถึงเหตุผลข้างต้นแล้ว ถือได้ว่าเป็นเรื่องแปลกการใช้งานของ application เหล่านี้ที่มีระดับการใช้งานพอสมควร

EXTERNAL PROXIES

มี proxy 2 ประเภทที่สามารถใช้เพื่อวัตถุประสงค์ในการ bypass ระบบ security ประเภทแรกคือ private proxy ซึ่งเป็น software application ที่ติดตั้งบน server และใช้โดยผู้ใช้เพียงคนเดียว ในกรณีนี้ นักศึกษาจะติดตั้ง software ใน computer ที่บ้านหรือเครื่องอื่นนอกเครือข่ายมหาวิทยาลัย จากนั้นนักศึกษาคนนี้จะ browse ไปยัง proxy ที่ตัวเองตั้งไว้ ซึ่งจะพบใน log ของ PaloAlto Networks firewall ว่าเป็นการใช้งาน web browsing ทั่วๆไป

จากการวิเคราะห์พบว่ามี proxies ทั้งสิ้น 21 ตัวซึ่งรวมไปถึง HTTP proxy ที่อาจจะใช้งานภายในมหาวิทยาลัยเอง หากไม่รวม HTTP proxy แล้ว จะพบว่าเป็น external proxies ทั้งหมด 100% ของการใช้งาน proxy ในมหาวิทยาลัย ซึ่งมีจำนวน 12 ตัว และจำนวนเฉลี่ยที่พบในแต่ละมหาวิทยาลัยคือ 4 ตัว โดยส่วนใหญ่ proxy ที่ตรวจพบ คือ CGIProxy จำนวน 63% และ PHProxy 60% ตามลำดับ

proxy ประเภทที่สองคือ public proxy หรือ proxy service โดยการ implement ก็คล้ายๆ กับ proxy ประเภทแรก แต่ให้บริการแก่ประชาชนทั่วไป อย่างเช่น นักศึกษาต้องเรียกดูเว็บโดยไม่ต้องการให้ใครรู้ว่าเข้าไปยังเวบใด สามารถเข้าไปที่เวบ www.proxy.org และเลือก proxy จาก 1 ใน 7700 ตัว จากนั้นก็ระบุเวบไซต์ที่ต้องการเข้า โดยเราสามารถลงทะเบียนกับ proxy.org เพื่อขอรับ update e-mail ที่่แจ้งข้อมูล proxy site ใหม่ในแต่ละวันได้

proxy ทั้งสองประเภทนี้ traffic ของการใช้งานภายใน PaloAlto Networks firewall ดูเหมือนกับว่าเป็นการท่องเวบตามปกติและ polices ส่วนใหญ่ปล่อยผ่าน traffic เหล่านี้ เป็นผลให้นักศึกษาสามารถ bypass การควบคุมการใช้งาน รวมถึงการตรวจสอบภัยคุมคาม และอาจทำให้ข้อมูลสำคัญของมหาวิทยาลัยถูกเปิดเผยได้ ซึ่งเป็นความเสี่ยงที่ไม่ควรจะเกิดขึ้นเลย

ENCRYPTED TUNNEL APPLICATIONS

ในขณะที่ proxy เป็น application หลักที่ใช้เพื่อ bypass การควบคุมการใช้งาน web, application ประเภท encrypted tunnel นั้นเป็นกระบวนการปกปิดการใช้งานที่ซับซ้อนขึ้น ทำให้นักศึกษาซ่อนการใช้งาน application ใน encrypted tunnel ซึ่งมีสองเหตุผลที่สามารถคิดได้คือ

1. นักศึกษาใช้โปรแกรมเหล่านี้เพื่อ bypass ระบบ security และ policies ที่มีในมหาวิทยาลัย เช่น ห้ามการใช้งาน P2P
2. นักศึกษามีความกังวลเกี่ยวกับความเป็นส่วนตัวของเขา

application ประเภทนี้มี 2 ประเภทคือ

1. application ที่มีการรับรองโดยองค์กรและเป็นมาตรฐาน (IPSec, IKE, ESP, Secure Access)
2. applicatoin ที่ไม่ได้มีการรับรองและไม่ได้เป็นมาตรฐาน (Hamachi, TOR, UltraSurf, Gpass)

หากเราไม่รวม application ที่มหาวิทยาลัยรองรับให้ใช้งานเช่น IPSec VPN จะพบว่ามี application 10 ตัวและไม่น่าแปลกที่ SSL, SSH จะพบถึง 100%, 94% ตามลำดับ แต่อย่างไรก็ตามเราก็ยังพบว่ามีการใช้งาน TOR, GPasss และ UltraSurf เป็นจำนวนมากเหมือนกัน

TOR (The Onion Router) เป็นตัวอย่างของ application ประเภท encrypted tunnel ที่พัฒนาโดยกระทรวงกลาโหม ของประเทศสหรัฐอเมริกา เป็นวิธีการสื่อสารที่ปลอดภัยกว่า version เก่าของมันก็คือ DARPA.NET ซึ่ง TOR นั้นเป็น application แบบ client-server โดยส่วนของ client จะติดตั้งที่เครื่อง end-user เมื่อมีการเชื่อมต่อไปยังเวบไซต์ ข้อมูลที่ส่งนั้นจะถูกกระจายไปยัง TOR node และไม่มี node ใดที่ได้รับข้อมูลทั้งหมด ทำให้มั่นใจได้ว่าจะไม่ถูกลุกล้ำความเป็นส่วนตัวเนื่องจากใช้ proprietary encryption สุดท้ายแล้ว ข้อมูลก็จะกลับมารวมเมื่อถึงผู้รับปลายทาง

Hamachi และ UltraSurf มีลักษณะเช่นเดียวกันกับ TOR ทั้งหมดนี้จะต้องให้ client ติดตั้ง software เพื่อเชื่อมต่อไปยังเครือข่ายของ server บน internet จากจุดนี้เอง traffic จะไปตามจุดหมายต่างๆ ตามแต่ละที่ ที่ application เขียนขึ้น จุดประสงค์ก็เพื่อ เพื่อ bypass security นั่นเอง

การใช้งาน application ประเภทนี้แสดงให้เห็นว่า application อื่นที่อยู่ใน tunnel จะสามารถ bypass การควบคุมและระบบ security ทำให้ระบบเครือข่ายของมหาวิทยาลัยเกิดความเสี่ยงด้านความปลอดภัย เช่นการ transfer file ที่มีลิขสิทธิ์หรือ malware ที่อาจะเข้ามาในระบบ

REMOTE DESKTOP CONTROL APPLICATIONS

application ที่เป็น remote desktop มีลักษณะคล้ายกับ SSH ในแง่ที่ว่าฝ่าย IT ใช้งานเพื่อแก้ไขคอมพิวเตอร์หรือ server ระยะไกล ถ้าหากไม่ต้องทำงานเหล่านี้ application นี้ก็คงไม่มีความหมาย แต่นักศึกษาสามารถใช้เพื่อ remote ไปยังเครื่องอื่นและกระทำสิ่งใดๆ เพื่ออำพรางตัวเองได้ โดยพบทั้งสิ้น 21 application โดยเฉลี่ยแล้วในแต่ละมหาวิทยาลัยมี 6 ตัว

บาง application เช่น pcAnywhere และ GoToMyPc เป็นโปรแกรมเชิงพาณิชย์ ขณะที่ application อื่นๆ เช่น RDP และ telnet เป็นส่วนหนึ่งของระบบปฏิบัติการที่มีอยู่แล้ว , RDP เป็น application ในลักษณะ client-sever โดยปกติใช้ port 3389 และสามารถย้ายไปยัง port อื่นได้ RDP เป็น feature มาตรฐานใน Window XP Professional ทำให้ผู้ใช้งานสามารถเข้าถึง computer ที่ต้องการผ่านทาง internet จากคอมพิวเตอร์, Pocket PC หรือ smart phone ในที่ใดก็ตามได้ เมื่อเชื่อมต่อกันแล้ว Remote Desktop สามารถให้เราใช้งาน mouse, keyboard เพื่อควบคุม computer ปลายทางได้เหมือนกับเราอยู่ที่หน้าจอ และด้วย Remote Desktop ทำให้ผู้ใช้สามารถที่วาง computer ไว้ที่ออฟฟิศได้ โดยที่ยังสามารถเข้าไปจัดการกับไฟล์ , application และ e-mail ต่างๆ ได้ด้วย RDP ทำให้นักศึกษาสามารถกำหนดค่าใน PC ตัวเองสามารถเชื่อมต่อไปยัง PC ข้างนอกได้และทำให้สามารถเรียกใช้โปรแกรมใดๆ ก็ตามที่ต้องการ, แลกเปลี่ยนไฟล์, เรียกใช้ P2P application, ฟังเพลง, ท่องเวบต่างๆ ซึ่ง traffic ทั้งหมดนี้จะอยู่ใน tunnel ที่มีการ encrypte ด้วย RC4 แม้ว่าจะเป็นที่รู้กันว่าอาจจะเป็นช่องโหว่ที่ทำให้เกิด man-in-the middle attack

เกริ่นนำ

Palo Alto Networks (PAN) Firewall มีความสามารถในการมองเห็น application ที่ใช้งานในระบบเครือข่าย อีกทั้งยังควบคุมการใช้งาน application,

ผู้ใช้งาน application และ content ต่างๆได้ โดยใช้เทคโนโลยีที่เป็นลิขสิทธิ์เฉพาะของ Palo Alto Networks เอง คือ App-ID, User-ID และ Content-ID ซึ่งการใช้ PAN Firewall สามารถทำให้แผนก IT รู้ได้ว่ามี application ใดบ้างที่ใช้งานอยู่ในระบบ และกำหนด policy ขึ้นมาเพื่อกำหนดผู้ใช้งาน, กลุ่มผู้ใช้ใน Active Directory ได้ (ใช้เทคโนโลยี User-ID) และในส่วนของ application ที่อนุญาตให้ใช้งานนั้น แพคเกตข้อมูลจะถูกตรวจสอบ threat ด้วยเทคโนโลยี Content-ID อีกขั้นหนึ่ง

เมื่อติดตั้ง Firewall ในตำแหน่งของ internet gateway แล้วนั้น เราสามารถเห็นว่ามี application ประเภทใดใช้งานอยู่บ้าง เช่น P2P, external proxies, webmail, IM, social networking เป็นต้น หรืออาจจะเป็น end-user application ที่เป็น application ด้านธุรกิจซึ่งใช้งานกันอย่างกว้างขวางอย่างเช่น Exchange, Lotus Notes และ SharePoint ดังนั้นสิ่งที่เราได้รับอย่างชัดเจนเมื่อติดตั้ง Firewall ที่ gateway นั่นก็คือ ความสามารถในการมองเห็น application ที่ใช้งาน ซึ่งช่วยในการตรวจสอบการใช้งาน application ต่างๆไปด้วย และสามารถบลอคการใช้งานของผู้ใช้ได้ ขึ้นอยู่กับนโยบายการใช้งานของแต่ละหน่วยงาน ดังนั้นหากตำแหน่งที่ติดตั้ง Firewall เปลี่ยนจาก gateway เข้ามาเป็น datacenter แล้ว สิ่งได้เราจะได้จากตำแหน่งใหม่ที่ติดตั้งจะเป็นการควบคุมการใช้งาน, การป้องกัน threat ต่างๆ, ความรวดเร็วในการสื่อสารข้อมูล รวมทั้งจำนวน throughput ที่รองรับได้อย่างมาก

• การควมคุมการใช้งานนั้น หมายถึง เราสามารถแยก zone ของ datacenter ได้เป็นทั้งในรูปแบบของ physical หรือ logical และกำหนดว่าจะให้ business application หรือกลุ่มของผู้ใช้ใดบ้างที่สามารถเข้าถึง zone ของ datacenter ได้
• ส่วนของ datacenter นั้นเป็นหัวใจหลักขององค์กร เป็นส่วนที่เกี่ยวข้องกับ transaction และ application ที่ใช้งานภายในองค์กร ดังนั้นจึงตกเป็นเป้าหมายของผู้โจมตีได้ เราจึงควรป้องกันความเสี่ยงโดยป้องกันช่องโหว่ที่อาจเกิดขึ้นภายใน และ การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตจากภายนอก
• ประสิทธิภาพของตัว Firewall นั้นเป็นส่วนที่ใช้ในการพิจารณาว่าตำแหน่งที่ติดตั้ง Firewall มีความเหมาะสมแค่ไหน เพราะหากเกิดความล่าช้าในการรับส่งแพคเกตข้อมูลแล้ว อาจเป็นผลให้กระทบต่อการดำเนินธุรกิจ และสูญเสียรายได้ขององค์กรไป

PAN Firewall สามารถแบ่งแยก datacenter โดยใช้ policy ที่กำหนดได้ทั้ง application, user หรือ group ของ user ใน Active directory โดยการกำหนด policy ที่เกี่ยวข้องกับ user นั้น ทำให้เราตรวจสอบและป้องกัน threat ที่อาจเกิดขึ้นจากโอนถ่ายข้อมูลที่ไม่ได้รับอนุญาตของ application ที่สำคัญการกำหนดการใช้งานได้ทั้ง user และ application นั้น ยังไม่มี Firewall ตัวใดในตลาดขณะนี้ที่สามารถทำได้

ควบคุมการใช้งานโดยกำหนด policy ได้ในระดับ user และ application

รูปแบบการกำหนด policy เพื่อควบคุม datacenter นั้นมีหลากหลายรูปแบบ แบบแรกคือ กระบวนการแยก datacenter โดย segmentation เพื่อจำกัดการเข้าถึง datacenter รูปแบบถัดมาคือการกำหนด policy เพื่อควบคุม traffic ที่เข้าออกจากระบบ และกำหนด user ที่เข้าถึง datacenter โดยไม่รบกวนการใช้งานรูปแบบเดิมที่เป็นปกติ

แบ่ง DC โดยใช้ network segmentation

รูปแบบการ segmentation ของระบบเครือข่ายมีหลายรูปแบบ สำหรับ PAN Firewall นั้นสามารถใช้ได้ทั้งในรูปแบบของ hardware และ software ทำให้ผู้ใช้งานสามารถแบ่งระบบเครือข่ายของตัวเองเป็นส่วนที่สำคัญหลายๆ ส่วนได้

• PAN Firewall ทุกๆตัวนั้นสามารถรองรับรูปแบบการแบ่ง security zone จุดประสงค์ก็เพื่อแบ่ง datacenter ในรูปแบบเดียวกับ network segment โดย security zone นั้นเป็นรูปแบบการแบ่งแบบ logical สำหรับ physical interface(s), VLANs หรือ ช่วงของ IP addresses
• ส่วนของ Interfaces นั้นสามารถกำหนด security zone โดยอาจจะมีการตั้งค่าการเชื่อมต่อเป็น layer2, layer3 หรือ mode อื่นๆ ช่วยให้การติดตั้งตัว Firewall เป็นเรื่องสะดวกในทุกรูปแบบของระบบเครือข่าย โดยไม่จำเป็นต้องเปลี่ยน network topology

• รูปแบบของ signature
  แทนที่จะแยกใช้ชุดของ engine ในการตรวจสอบ signature และ threat ทาง PAN ใช้ threat engine และ รูปแบบ signature ที่สอดคล้องกัน ในการตรวจสอบและบลอคพวก malware ทั้งหลาย ทำให้ลดความล่าช้าของการส่งแพค เกตได้อีกด้วย
• Stream-based threat scanning
  virus, spyware และช่องโหว่ต่างๆ จะถูกตรวจสอบแบบ stream-based scanning ด้วยเทคนิคนี้ การตรวจสอบแพคเกตจะเริ่มต้นทันทีที่แพคเกตข้อมูลแรกมาถึง แทนที่จะรอให้ไฟล์ทั้งหมดโหลดมายัง memory ให้หมดแล้วค่อยเริ่มการตรวจสอบ ซึ่งเป็นวิธีการแก้ปัญหาความช้าของข้อมูลที่เกิดขึ้น firewall ทั่วๆ ไป นั่นก็คือ เมื่อ PAN firewall ได้รับแพคเกตมาก็ทำจะตรวจสอบและส่งไปยังปลายทางทันที่โดยที่ไม่จำเป็นต้อง ใช้ buffer ในการรอรับข้อมูล

ด้วยรูปแบบ file-based scanning ของ Anti-virus นั้น จะเริ่มการตรวจสอบเมื่อไฟล์ได้รับจนครบแล้วและเก็บเป็น buffer ไว้ใน memory ซึ่งไฟล์นั้นก็จะอยู่ใน memory จนกระทั่งตรวจสอบเสร็จ หลังจากนั้นก็ลบออกไป จึงเป็นเหตุให้เกิดปัญหาเรื่องประสิทธิภาพและเกิดความล่าช้าของแพคเกตข้อมูล รวมทั้งอาจทำให้เกิด time-out ของการเชื่อมต่อได้ เนื่องจากจำเป็นต้องให้โหลดไฟล์ในสมบูรณ์แล้วตรวจสอบให้เสร็จสิ้นก่อน ในการติดตั้ง PAN Firewall กั้น datacenter นั้น ด้วยความเร็วและเทคนิคการตรวจสอบแพคเกตแบบ stream-based ทำให้สามารถส่งผ่านข้อมูลแพคเกตได้ด้วย throughput ระดับ multi-gbps โดยไม่ทำให้ประสิทธิภาพของ PAN Firewall ตกลงไป

• การป้องกันช่องโหว่ของ network และ application
  ด้วยรูปแบบ signature ที่มีความสอดคล้องกับ threat ต่างๆ ของ IPS feature ทำให้สามารถป้องกันการโจมตีผ่านทางช่องโหว่ของ network และ application-layer และด้วย IPS feature นี้ยังป้องกันการจากการโจมตีแบบต่างๆ เช่น buffer overflows, DoS attacks and port scans, viruses และ spyware ด้วยการตรวจสอบเพียงแค่รอบเดียว
• File and data filtering
  จากสมมติฐานที่ว่าการป้องกัน datacenter มีหลายระดับในการดำเนินการนั้น เริ่มด้วยเรากำหนด policy เพื่อตรวจสอบ traffic ขาออก เพื่อป้องกันการส่งออก file หรือ data ที่ไม่ได้รับอนุญาต และใช้ประโยชน์จากการวิเคราะห์ในเชิงลึกของ App-ID และ Content-ID ซึ่งช่วยให้ admin นั้นสามารถกำหนด policy ของ data filtering ได้ เพื่อตรวจสอบว่ามีการส่งข้อมูลของ social security numbers, หมายเลข credit card หรือไม่ และยังกำหนด data patterns เองได้ หรือตรวจสอบประเภทของ file (ไม่ได้ดูเพียงแค่นามสกุลไฟล์) ที่ส่งออกไป โดยเราสามารถกำหนด action จาก data filtering ได้ เช่น ให้บลอคการส่งไฟล์, ให้บันทึกลอคเหตุการณ์นั้นไว้ หรือส่ง alert ซึ่งเราสามารถกำหนดให้ทำทั้งสามรูปแบบเลยก็ได้

PAN Firewall ที่สามารถการปกป้อง datacenter ได้อย่างมีประสิทธิภาพ

สิ่งที่ต้องคำนึงถึงอย่างหนึ่งในการป้องกัน DC ก็คือการรักษาระดับของ traffic ที่วิ่งเข้าออก DC อยู่อย่างมากมาย ซึ่งหากเกิดความล่าช้าของการส่งแพคเกตหรือ throughput ที่มีการลดลง จะเป็นผลให้ความปลอดภัยของ traffic ถูกบั่นทอนลงไป ทาง PAN Firewall จึงได้คิดสถาปัตยกรรม SP3 (single pass parallel processing) เพื่อป้องกันสภาพแวดล้อมของ datacenter ที่สามารถรองรับความเร็วได้ถึง 10 Gbps

ด้วยส่วนประกอบที่สำคัญสองส่วนของ SP3 สองส่วนก็คือ single pass software และ parallel processing hardware ที่ทำงานกันอย่างสัมพันธ์กัน ช่วยให้การจัดการ Firewall เป็นไปอย่างง่ายดาย, มีความสามารถประมวลผลแบบ stream-base และประสิทธิภาพการทำงานของ firewall ที่ดีเยี่ยม

SINGLE PASS SOFTWARE

single pass software ของ PAN นั้น ถูกออกแบบมาเพื่อรองรับสองฟังก์ชัน ฟังก์ชันแรกคือการเปิดแพคเกตเพียงครั้งเดียว เพื่อประมวณผลด้าน network, policy, application identification และ decoding, และsignature matching ทำให้สามารถตรวจสอบ threat และ content ได้เลย การทำเช่นนี้เป็นการช่วยลดเวลาในการประมวลผลจากหลายๆ function ใน 1 device

ฟังก์ชันที่สองคือ การตรวจสอบ content ด้วยรูปแบบ stream-based และใช้การตรวจสอบ signature เพื่อค้นหาและบอลค threat แทนที่จะใช้ engine ที่แยกออกจากกันเป็น signature(โดยปกติต้องใช้การ scan หลายรอบ) และ file proxies (ต้องโหลดไฟล์เสร็จก่อนการ scan) ดังนั้นด้วยเทคโนโลยี single pass software ทำให้การตรวจสอบ content เป็นไปได้อย่างรวดเร็วไม่เกิดความล่าช่าในการรับส่งข้อมูลแพคเกต

PARALLEL PROCESSING HARDWARE

อีกส่วนหนึ่งของสถาปัตยกรรม SP3 ก็คือส่วนของ hardware โดย PAN นั้นใช้การประมวลผลแบบขนานเพื่อเพิ่มประสิทธิภาพของ single pass software ซึ่งได้แก่

• Networking
  ใช้ในการประมวลผลด้าน network โดยเฉพาะ เช่น routing, flow lookup, stats counting, NAT
• Security
  User-ID, App-ID และการตรวจสอบ policy จะถูกประมวลผลด้วย multi-core processing engine เพื่อเพิ่มความเร็วในการทำงานเฉพาะด้านไม่ว่าจะเป็น encryption, decryption, และ decompression
• Threat prevention
  Content-ID จะมีหน่วยประมวลผลของตัวเองเพื่อจำแนก malware ทั้งหลาย
• Management
  หน่วยประมวลผลด้านการจัดการจะรับผิดชอบเรื่อง การตั้งค่าของ Firewall, การเก็บ log, และการทำ report ในขณะนี้หน่วยประมวลผลด้านนี้ทำงาน จะไม่มีผลกระทบใดๆ กับ hardware ที่ทำงานด้านประมวลผล traffic

ส่วนสุดท้ายของสถาปัตยกรรมก็คือการแยกส่วนของ physical เป็นสองส่วนคือ data plane และ control plane หากมีการประมวลในด้านใดด้านหนึ่งมาก มันจะไม่กระทำการทำงานของอีกด้านหนึ่ง เช่น หาก admin กำลังสั่งสร้าง report จำนวนมาก มันก็จะไม่กระทบความสามารถในการประมวลผลแพคเกต และด้วยสถาปัตยกรรม single pass parallel processing ทำให้การป้องกันปัญหาด้าน network นั้น มีความครอบคลุมทุกส่วน ทั้ง application และ user รวมถึง threat ต่างๆ ทำให้ PAN Firewall นั้นสามารถปกป้อง DC ได้ด้วยการทำงานอย่างมีประสิทธิภาพที่ดี

ตัวอย่างการติดตั้ง PAN Firewall กั้นขวาง DataCenter

รูปเป็นตัวอย่างการติดตั้ง firewall โดยเราใช้คุณสมบัติของ virtual system เพื่อแบ่งตัว box เสมือนว่า เรามี firewall 2 ตัวในการติดตั้ง โดยรายละเอียดคร่าวๆ ของการติดตั้งในรูปแบบนี้คือ

เราจะมี 2 virtual system และมี 4 zone

• ส่วน PAN_VSYS_1 ส่วนนี้ทำหน้าที่กั้นการเชื่อมต่อ internet ภายนอกกับระบบเครือข่ายที่ใช้งานภายใน
• ส่วน PAN_VSYS_2 เป็นส่วนที่รับผิดชอบในการกั้นการเชื่อมต่อที่จะมายัง datacenter

โดยระบบทั้งหมดนี้ เราสามารถติดตั้งได้โดยใช้ PAN firewall แค่เพียง 1 ตัวเท่านั้น

สามารถควบคุมการใช้งานได้อย่างครอบคลุมและประสิทธิภาพของ Firewall ที่ยอดเยี่ยม

datacenter นั้นเป็นหัวใจหลักขององค์กร เป็นที่ที่เกี่ยวข้องกับ transaction และ application ด้านธุรกิจขององค์กร ในสมัยก่อน application ของ DC มีการใช้งานเพียงภายในองค์กรด้วย bandwidth ที่ไม่สูงมากและปัญหาของ delay นั้น ก็ไม่ได้มีผลกระทบอะไรมากมายกับธุรกิจที่ดำเนินไป

แต่ด้วยเวลาที่เปลี่ยนแปลงไป application ของ DC นั้นมีการเชื่อมต่อทั้งจากภายนอกและภายในองค์กร โดยในปัจจุบัน application ส่วนใหญ่มีการเชื่อมต่อด้วย HTTP และใช้งานกันอยู่ตลอดเวลาเป็นแบบ real-time หากเกิดปัญหาในเรื่องของความล่าช้าของการรับส่งแพคเกต, ประสิทธิภาพของระบบลดลงหรือเรื่องของระบบไฟฟ้าที่ขัดข้อง ส่งผลกระทบต่อการดำเนินธุรกิจ ซึ่งเป็นเรื่องที่ไม่สามารถรับได้ เพราะฉะนั้น ด้วยรูปแบบของ traffic ที่เปลี่ยนแปลงไป ประกอบกับความต้องการในการป้องกัน application ให้ปลอดภัยจากการโจมตีผ่านช่องโหว่ PAN Firewall สามารถตอบโจทย์ตรงนี้ได้เป็นอย่างดี เนื่องด้วยประสิทธิภาพของตัว Firewall, ความสามารถในการควบคุมการใช้งานทั้ง application และ user, สามารถรองรับ throughput ได้มากโดยไม่เกิดความล่าช้าของการรับส่งแพคเกตข้อมูล

หากจะหาวิธีการป้องกัน datacenter ของคุณให้ปลอดภัยในยุคปัจจุบัน แนะนำ PAN Firewall เป็นคำตอบสุดท้ายของคุณครับ……………. ขอบคุณครับ

เนื่องด้วยทุกวันนี้มีเรื่องราวเกี่ยวกับการรั่วไหลของข้อมูลในองค์กร ( Data Leaks ) อาจจะด้วยความบังเอิญหรือด้วยเจตนาของใครบางคน ซึ่งมันเกิดขึ้นอย่างมากมายและต่อเนื่อง ทำให้เทคโนโลยี DPL ( Data Leak Prevention ) กลายเป็นที่ต้องการ เพื่อใช้ในการแก้ไขปัญหานี้ แต่ด้วยความที่ข้อมูลในองค์กรใหญ่ๆ นั้นมีขอบเขต, ขนาดข้อมูลและการกระจายของข้อมูลที่ทำให้เราสามารถรู้ได้เพียงว่า

• ข้อมูลนั้นอยู่ที่ไหน
• ใครเป็นเจ้าของข้อมูลนั้น

ผลลัพธ์คือ ความก้าวหน้าของโปรเจค DLP นั้นเป็นไปอย่างล่าช้า ยิ่งไปกว่านั้น บริษัทส่วนมากขาดการควบคุมการใช้งานในระดับ Application ทำให้เกิดความไม่ชัดเจนว่าเทคโนโลยี DLP นั้นจะสามารถช่วยเหลือการรั่วไหลของข้อมูลได้จริง ?? โดยมีเหตุการ์ณตัวอย่างที่เคยเกิดขึ้นจริงอย่างเช่นกรณีของ US Army, Pfizer เป็นต้น

บางองค์กรนั้นใช้ความพยายามที่จะ implement ระบบ Data Leak Prevention ที่มีขนาดใหญ่ เพื่อรองรับกับโมเดลทางธุรกิจของตัวเองหรือเพื่อรองรับกับเหตุผลขององค์กร เอง แต่โดยทั่วไปในองค์กรส่วนใหญ่นั้นจะควบคุมการใช้ Application แทน ซึ่งแม้ว่าจะควบคุมสักเพียงใดก็ตาม ต่างก็เคยประสบปัญหาข้อมูลรั่วไหล ทำให้เกิดผลเป็นที่ยอมรับโดยทั่วกันว่า ควรจะหยุดส่งข้อมูลข้อมูลต่างๆ ที่ควรเป็นความลับไปภายนอกองค์กร อย่างเช่น credit card หรือ social security number ดังนั้น ความพยายามที่จะควบคุมขอบเขตของข้อมูลนั้นเป็นเรื่องที่สมควรทำอย่างยิ่ง ไม่ว่าจะเป็นการแบ่งขอบเขตข้อมูลระหว่างภายนอกและภายในองค์กร หรือ user ภายในกับ resource ภายใน data center ขององค์กร โดยตำแหน่งที่กล่าวมานี้ เป็นตำแหน่งที่เหมาะสมในการวาง firewall มากที่สุด เพราะจะสามารถเห็นทุกๆ traffic ได้

แต่เนื่องด้วยในปัจจุบัน firewall ส่วนใหญ่จะกำหนด policy ที่ขึ้นอยู่กับ port และ protocol ทำให้ไม่สามารถช่วยแก้ปัญหารั่วไหลของข้อมูลได้ เพราะว่า firewall เองไม่สามารถรู้ได้ว่าเป็น user คนใดที่กำลังใช้งาน application นั้นอยู่ และมี content เป็นอย่างไรบ้าง

การรั่วไหลของข้อมูลยังเป็นปัญหาที่แก้ไม่ตกสำหรับหลายๆองค์กร

ในแต่ละวัน มีการเปิดเผยข้อมูลส่วนตัวไปสู่สาธารณะด้วยอัตราที่สูงขึ้น อย่างเช่น ข่าวของเลขบัตรเครดิต 10 ใบใน 1000 ใบ มีการรั่วไหลไปจากผู้ขายสินค้าสู่สาธารณะในแต่ละสัปดาห์ หรือว่า social security number มีการรั่วไหลออกจากหน่วยงานของรัฐบาลอเมริกา, องค์กรด้านสุขภาพต่างๆหรือจากตัวเจ้าของบัตรเอง และก็มีตัวอย่างเกิดขึ้นไม่นานมานี้ ( เดือนธันวาคม 2008 ) ว่า เนื่องจากการตั้งค่า server เพื่อบลอคการใช้งาน p2p ผิดพลาด ทำให้ฐานข้อมูลของทหารสหรัฐจำนวน 24,000 คนถูกเปิดเผย หรือเหตุการณ์ของ Walter Reed Medical Center ที่ข้อมูลของผู้ป่วยถูกเผยแพร่ออกไป ตัวอย่างเหล่านี้แสดงให้เห็นว่าการบลอคตัว application ด้วย policy ของ firewall เพียงอย่างเดียวนั้น ไม่สามารถช่วยแก้ปัญหาการรั่วไหลของข้อมูลได้

เทคโนโลยี DLP ที่แสนจะแพง ยุ่งยาก และไม่สมบูรณ์ !!!!

เทคโนโลยี DLP นั้นได้เสนอความน่าสนใจให้แก่หลายๆ องค์กร IT ด้วยความเชื่อที่ว่า จะช่วยให้องค์กรนั้นสามารถปกปิดข้อมูลที่เป็นความลับต่างๆ ไม่ให้รั่วไหลได้ ซึ่งทาง provider ที่ให้บริการเทคโนโลยีด้านนี้ก็ยังติดปัญหาอยู่ เพราะคำถามที่ว่าหากเราต้องการทั้ง access control, reporting, data classification, data at-rest vs. data in-transit, data ownership, desktop agents, server agents,และ encryption นั้น มันจะทำให้โปรเจค DLP เกิดความล่าช้าในการดำเนินการให้แต่ละองค์กร

ดังนั้นผู้ลงทุนที่กล้าเสี่ยงกับเทคโนโลยี DLP ได้ใช้เงินไปกับ DLP vendor ต่างๆ มากมาย และกลับกลายมาเข้าเป็นผู้เข้ายึดบริษัทด้าน security นั้นๆเอง ซึ่งได้มีการเจริญเติบโตขึ้นเรื่อยๆ ทำให้ผู้ลงทุนเหล่านี้ได้ขยายขอบเขตฟังก์ชัน DLP อย่างไม่มีที่สิ้นสุด บาง vendor ในตลาดนั้นกลายเป็น data loss prevention แทน เพราะว่าได้รวมเอาฟังก์ชันข้อมูล security มาใส่ไว้ในอุปกรณ์ แม้กระทั่งรวมส่วนของ storage management ไว้ด้วย สิ่งเหล่านี้เป็นขอบเขตของ DLP ที่ขยับขยายขึ้น ถึงแม้จะมีประโยชน์ แต่มันก็เพิ่มความซับซ้อน, เวลาของผู้ดูแล และค่าใช้จ่ายมากขึ้น เป็นที่น่าแปลกกว่านั้นคือ การรั่วไหลของข้อมูลนั้นบางครั้งเกิดจากการไม่อนุญาตให้ใช้งาน p2p file sharing application และการตั้งค่าผิด ปัญหานี้ไม่ได้รับการแก้ไขในเทคโนโลยี DLP ที่มีจำหน่ายอยู่ในตลาดปัจจุบัน เนื่องจากไม่ได้สนใจการควบคุมการใช้งาน application นั่นเอง

Palo Alto NetworksTM … firewall ตัวแรกที่มีฟังก์ชัน DLP

PAN สามารถมองเห็นทุก traffic ในระบบเครือข่าย และสามารถควบคุมการใช้งาน application ของแต่ละ user ได้ รวมทั้งสามารถตรวจสอบ content ของ application ด้วยเทคโนโลยีที่สำคัญ 3 ตัวก็คือ App-ID, Content-ID, and User-ID ประกอบกับ hardware ที่มีการออกแบบโดยเฉพาะ ทำให้การควบคุม application ภายในองค์กรนั้นเป็นไปอย่างมีประสิทธิภาพ

App-IDTM นั้นจะช่วยในการแยกแยะ application โดยที่ไม่สนใจว่า application นั้นจะรันอยู่ที่ port, protocol หรือมีการ encryption อย่างไร โดย App-ID สามารถแยกแยะได้มากกว่า 750 application โดยทาง Palo Alto Networks ได้เพิ่มเติม application 3-5 ตัวในทุกๆสัปดาห์ ทำให้องค์กรนั้นสามารถควบคุมการใช้งาน application ได้โดยตรง ไม่ใช่แค่เพียงกำหนด port

Content-ID ช่วยในการระบุ content โดยประกอบไปด้วยส่วนสำคัญด้านระบบความปลอดภัย 3 ตัวคือ confidential data ( คือฟังก์ชัน DLP นั่นเอง ),threat prevention และ URL filtering โดย Content-ID นั้นเป็น engine ที่ตรวจสอบข้อมูลในรูปแบบ stream โดยใช้ signature รูปแบบต่างๆ ซึ่งหมายถึงว่ามันไม่จำเป็นต้องใช้ buffer และทำการสแกนแค่เพียงครั้งเดียว, PAN-OS นั้นทำให้การ implement DLP สามารถทำได้ง่ายใน firewall ดังแสดงในภาพด้าล่าง เราสามารถกำหนด data filtering profile ของ policy ได้ โดยพิจารณาว่าข้อมูลประเภทใดที่ต้องการตรวจสอบและสามารถกำหนด weight ( คือการกำหนดลำดับว่าหาก content ใน packet ไปตรงกับ pattern ที่มี weight มากกว่าก่อน ก็จะนำ Pattern นั้นไปตรวจสอบกับ policy ต่อไป ) ซึ่ง data pattern นี้ เรายังสามารถกำหนดได้เองเป็น regular expression ได้อีกด้วย

User-ID ที่สามารถเชื่อมต่อกับ Active Directory ขององค์กรได้ ทำให้แต่ละ policy นั้นครอบคลุมไปถึงการใช้งาน application, ความปลอดภัยของ content และกำหนดได้ว่า user ในองค์กรคนไหนหรือกลุ่มไหนที่สามารถใช้งาน application ได้ เนื่องด้วย Platform ของ PAN firewall ที่มีประสิทธิภาพ ที่ไม่เคยมีมาก่อนในอุปกรณ์ใดๆ โดยมี throughput ถึง 10 Gbps เมื่อเปิดใช้การ scan application traffic เพื่อตรวจสอบการรั่วไหลข้อมูล สาเหตุที่สามารถให้ throughput ได้ถึงขนาดนี้เป็นเพราะว่าเหตุผล 2 อย่างคือ

- hardware architecture

มีการแบ่งส่วนของ data ซึ่งควบคุมเกี่ยวกับประมวลผล traffic และส่วนของ control ที่ควบคุมในเรื่องการจัดการตัวอุปกรณ์ ทำให้เมื่อมีการประมวลผลอย่างหนักในทั้งสองฝั่ง จะไม่ส่งผลกระทบซึ่งกันและกัน สังเกตจากรูปด้านล่าง

โดยแต่ละส่วนจะมี cpu เป็นของตัวเอง โดย bandwidth ในการเชื่อมต่อระหว่างกัน 10 Gb ใน PA-4000 series และ 1 GB ใน PA-2000 series

- single pass software

วิศวกรของ Palo Alto Networks กำหนดรูปแบบการประมวลผล traffic โดยผ่าน engine ต่างๆ ภายใน device เพียงครั้งเดียว โดย engine แบ่งเป็น networking engine, classification engine, pattern matching engine และ policy engine ทำให้ไม่เกิดปัญหา delay เหมือน firewall ทั่วไปๆ ที่แต่ละ engine จะอยู่คนละอุปกรณ์กัน ทำให้เราสามารถกำหนด policy เพื่อควบคุม application, user และ content ต่างๆ ได้ ( รวมทั้งข้อมูลที่เป็นความลับและ threat ) ดังรูปด้านล่าง

บทสรุปของการใช้ PAN firewall เพื่อรองรับ DLP

เทคโนโลยี DLP นั้นเป็นสิ่งที่คุ้มค่ามากสำหรับองค์กร แต่ด้วยเหตุจากความซับซ้อน ราคาที่สูงและใช้เวลาในการ implement ระยะหนึ่ง ซึ่งในขณะเดียวกัน firewall โดยทั่วๆไป นั่นก็อยู่ในตำแหน่งที่สามารถช่วยแก้ปัญหา data leak ได้ แต่เนื่องจาก firewall นั้นไม่สามารถที่จะมองเห็นถึงขึ้น application, user และ content ได้ ทำให้ไม่สามารถทำอะไรได้เลย ดังนั้น firewall จึงควรมีความาสามารถ

1. บลอค application ที่ไม่ต้องการให้ใช้งาน
2. สามารถตรวจสอบ application ที่ใช้งานว่า มีข้อมูลควรปกปิดเป็นความลับหรือไม่
3. มองเห็น traffic ในระบบเครือข่ายและสามารถกำหนด policy ของทุกๆ user และกลุ่มของ user ได้ ไม่เพียงเฉพาะ IP address