เจาะลึก ForeScout กับการ Monitor ผู้ใช้งานและอุปกรณ์ในเครือข่ายแบบ Real Time
ForeScout CounterACT เป็นอุปกรณ์ Automated Security Control ซึ่งเป็นอีกก้าวถัดไปจากการเป็น Network Access Control วันนี้เราจะมาเจาะลึกในรายละเอียดส่วนของความสามารถ Agentless Visibility ของ ForeScout กันนะครับ
ForeScout CounterACT สามารถตรวจสอบอุปกรณ์ต่างๆ ที่ใช้งานอยู่ในระบบเครือข่ายของคุณได้ทั้งในระดับของ Network, Operating System และ Application ทำให้คุณสามารถแยกแยะได้ระหว่างอุปกรณ์ Network, Firewall, Printer, PC, Notebook, Mobile Phone, Tablet, USB Device หรือแม้แต่ IP ปลอมที่เกิดขึ้นในระบบเครือข่าย โดยสำหรับอุปกรณ์เช่น PC, Notebook แล้ว ForeScout สามารถมองเห็นถึงยี่ห้อและรุ่นของระบบปฏิบัติการ รวมถึง Service, Process และ Software ที่ติดตั้งและใช้งานอยู่ในแต่ละช่วงเวลา รวมถึงการยืนยันตัวตนว่าผู้ใช้งานเป็นใครอีกด้วย
วิธีการตรวจจับข้อมูลต่างๆ ของ ForeScout
ForeScout ใช้เทคนิคต่างๆ มากมายในการตรวจจับข้อมูลต่างๆ ในระบบเครือข่าย ซึ่งวิธีการต่างๆ เหล่านี้ไม่เป็นผลร้ายต่อระบบเครือข่ายเลย เพราะ ForeScout จะใช้วิธีการตามมาตรฐานในการตรวจสอบข้อมูลเท่านั้น ต่างกับผู้ผลิตบางรายที่ใช้การทำ ARP Spoofing เพื่อหลอกดักข้อมูลของผู้ใช้งานในแบบ Man-in-the-Middle Attack
วิธีการตรวจจับข้อมูลต่างๆ ของ ForeScout มีด้วยกันดังนี้
Passive Monitoring
ตรวจสอบข้อมูลในเชิง Passive ซึ่งสามารถทำได้โดยไม่ต้องทำการตั้งค่าใดๆ ในระบบเครือข่าย
- ตรวจสอบข้อมูลการยืนยันตัวตนที่เกิดขึ้น และผลการยืนยันตัวตน
- ทำการ Scan อุปกรณ์ต่างๆ ในระบบเครือข่ายด้วย NMAP
- ทำการตรวจสอบ Traffic ของ DHCP และ ARP Request
- ทำการตรวจสอบการโจมตีที่เกิดขึ้นในระบบเครือข่าย (IPS Monitoring)
- ทำการตรวจสอบการปลอมแปลงที่เกิดขึ้นในระบบเครือข่าย (Spoof Detection)
Active Integration
ตรวจสอบข้อมูลในเชิง Active โดยให้ ForeScout CounterACT ทำการตรวจสอบข้อมูลในเชิงลึกผ่านการ Scan ในรูปแบบต่างๆ
- ทำการ Scan ภายนอกเพื่อเก็บข้อมูลเกี่ยวกับระบบปฏิบัติการ, ผู้ผลิต, Service, Application, Process, File
- ทำการตรวจสอบในเชิงลึกในระดับ OS และ Application สำหรับเครื่องที่สามารถติดตั้ง Agent ได้ (Agent-based)
- ทำการตรวจสอบในเชิงลึกในระดับ OS และ Application สำหรับอุปกรณ์ที่สนับสนุน SNMP และ CLI เช่น Switch, Router, Printer เป็นต้น
Network Integration
ตรวจสอบข้อมูลร่วมกับอุปกรณ์อื่นๆ ที่มีอยู่ในระบบเครือข่าย
- ตรวจสอบข้อมูลกับฐานข้อมูลผู้ใช้งานต่างๆ เช่น LDAP, RADIUS, Microsoft AD และ 802.1X
- ตรวจสอบข้อมูลกับระบบ Patch Management และ Helpdesk ที่มีอยู่
- ตรวจสอบข้อมูลกับอุปกรณ์เครือข่ายที่มีอยู่ เช่น Firewall, Router, Switch และ VPN
Network Device Detection
ตรวจสอบอุปกรณ์ Network ใหม่ๆ ที่ติดตั้งเข้ามาในระบบเครือข่าย
- ทำการตรวจสอบข้อมูลเบื้องต้นและข้อมูลเชิงลึก (Passive & Active Interrogation)
- ตรวจสอบพฤติกรรมการมี Multiple MAC Address บน Switch Port หนึ่งๆ เพื่อยืนยันความเป็นอุปกรณ์ Network
- ตรวจสอบการทำ NAT ในระบบเครือข่าย เพื่อยับยั้งการทำงานของอุปกรณ์ที่ทำ NAT ได้
ข้อมูลที่ ForeScout สามารถนำมาแสดงได้
โดยรายละเอียดแล้ว ForeScout จะแสดงข้อมูลดังต่อไปนี้ของ Host ที่อยู่ในระบบเครือข่ายของคุณ และยังมีข้อมูลอีกมากมายที่ ForeScout สามารถแสดงให้คุณเห็นได้
Device Information
- Device type (printer, wireless network device, laptop, etc.)
- Device authentication/NETBIOS/domain membership
- MAC/IP address
- NIC vendor
- Hostname
Security Status
- Anti-malware agents status (installed/running) and database versions
- Patch management agent status (installed/running)
- Firewall status (installed/running)
- Audit trail of changes to OS/configuration/ application
User Information
- Username
- Full name
- Authentication status
- Workgroup
- Email address
- Phone number
- Guest/authentication status Device Information
- Device type (printer, wireless network device, laptop, etc.)
- Device authentication/NETBIOS/domain membership
- MAC/IP address
- NIC vendo
Operating System Status
- Type
- Version number
- Patch level
- Processes and services installed or running
- Registry and configuration
- File name/size/date/version
- Shared directories Security Status
- Anti-malware agents status (installed/running) and database versions
- Patch management agent status (installed/running)
- Firewall status (installed/running)
- Audit trail of changes to OS/configuration/ application
Application Information
- Authorized applications installed/running
- Rogue applications installed/running
- P2P/IM clients Installed/running
- Application name and version number
- Registry values
- File sizes
- Modification date and patch level
Peripheral information
- Device class (disk, printer, DVD/CD, modem, NIC, memory, phone, etc.)
- Connection type (USB, Bluetooth, infrared, wireless, etc.)
- Device information (make, model, device ID, serial number, etc.) Network Traffic Information
- Malicious traffic (worm propagation, device spoofing, intrusion, spam, etc.)
- Traffic source/destination
- Rogue NAT/DHCP behavior
Physical Layer Information
- Switch IP, description, location
- Switch port
- VLAN
- Number of devices on any port
- 802.1x authentication status
Network Traffic Information
- Malicious traffic (worm propagation, device spoofing, intrusion, spam, etc.)
- Traffic source/destination
- Rogue NAT/DHCP behavior
———-
บทความโดย Throughwave Thailand
ท่านสามารถติดตามข่าวสารเพิ่มเติมได้ที่ https://www.throughwave.co.th