เจาะลึก ForeScout กับการ Monitor ผู้ใช้งานและอุปกรณ์ในเครือข่ายแบบ Real Time

ForeScout CounterACT เป็นอุปกรณ์ Automated Security Control ซึ่งเป็นอีกก้าวถัดไปจากการเป็น Network Access Control วันนี้เราจะมาเจาะลึกในรายละเอียดส่วนของความสามารถ Agentless Visibility ของ ForeScout กันนะครับ

ForeScout CounterACT สามารถตรวจสอบอุปกรณ์ต่างๆ ที่ใช้งานอยู่ในระบบเครือข่ายของคุณได้ทั้งในระดับของ Network, Operating System และ Application ทำให้คุณสามารถแยกแยะได้ระหว่างอุปกรณ์ Network, Firewall, Printer, PC, Notebook, Mobile Phone, Tablet, USB Device หรือแม้แต่ IP ปลอมที่เกิดขึ้นในระบบเครือข่าย โดยสำหรับอุปกรณ์เช่น PC, Notebook แล้ว ForeScout สามารถมองเห็นถึงยี่ห้อและรุ่นของระบบปฏิบัติการ รวมถึง Service, Process และ Software ที่ติดตั้งและใช้งานอยู่ในแต่ละช่วงเวลา รวมถึงการยืนยันตัวตนว่าผู้ใช้งานเป็นใครอีกด้วย

ภาพตัวอย่างการแสดงข้อมูลโทรศัพท์มือถือที่ใช้งานในระบบเครือข่ายแบบ Real-time

วิธีการตรวจจับข้อมูลต่างๆ ของ ForeScout

ForeScout ใช้เทคนิคต่างๆ มากมายในการตรวจจับข้อมูลต่างๆ ในระบบเครือข่าย ซึ่งวิธีการต่างๆ เหล่านี้ไม่เป็นผลร้ายต่อระบบเครือข่ายเลย เพราะ ForeScout จะใช้วิธีการตามมาตรฐานในการตรวจสอบข้อมูลเท่านั้น ต่างกับผู้ผลิตบางรายที่ใช้การทำ ARP Spoofing เพื่อหลอกดักข้อมูลของผู้ใช้งานในแบบ Man-in-the-Middle Attack

วิธีการตรวจจับข้อมูลต่างๆ ของ ForeScout มีด้วยกันดังนี้

Passive Monitoring

ตรวจสอบข้อมูลในเชิง Passive ซึ่งสามารถทำได้โดยไม่ต้องทำการตั้งค่าใดๆ ในระบบเครือข่าย

  • ตรวจสอบข้อมูลการยืนยันตัวตนที่เกิดขึ้น และผลการยืนยันตัวตน
  • ทำการ Scan อุปกรณ์ต่างๆ ในระบบเครือข่ายด้วย NMAP
  • ทำการตรวจสอบ Traffic ของ DHCP และ ARP Request
  • ทำการตรวจสอบการโจมตีที่เกิดขึ้นในระบบเครือข่าย (IPS Monitoring)
  • ทำการตรวจสอบการปลอมแปลงที่เกิดขึ้นในระบบเครือข่าย (Spoof Detection)
Active Integration

ตรวจสอบข้อมูลในเชิง Active โดยให้ ForeScout CounterACT ทำการตรวจสอบข้อมูลในเชิงลึกผ่านการ Scan ในรูปแบบต่างๆ

  • ทำการ Scan ภายนอกเพื่อเก็บข้อมูลเกี่ยวกับระบบปฏิบัติการ, ผู้ผลิต, Service, Application, Process, File
  • ทำการตรวจสอบในเชิงลึกในระดับ OS และ Application สำหรับเครื่องที่สามารถติดตั้ง Agent ได้ (Agent-based)
  • ทำการตรวจสอบในเชิงลึกในระดับ OS และ Application สำหรับอุปกรณ์ที่สนับสนุน SNMP และ CLI เช่น Switch, Router, Printer เป็นต้น
Network Integration

ตรวจสอบข้อมูลร่วมกับอุปกรณ์อื่นๆ ที่มีอยู่ในระบบเครือข่าย

  • ตรวจสอบข้อมูลกับฐานข้อมูลผู้ใช้งานต่างๆ เช่น LDAP, RADIUS, Microsoft AD และ 802.1X
  • ตรวจสอบข้อมูลกับระบบ Patch Management และ Helpdesk ที่มีอยู่
  • ตรวจสอบข้อมูลกับอุปกรณ์เครือข่ายที่มีอยู่ เช่น Firewall, Router, Switch และ VPN
Network Device Detection

ตรวจสอบอุปกรณ์ Network ใหม่ๆ ที่ติดตั้งเข้ามาในระบบเครือข่าย

  • ทำการตรวจสอบข้อมูลเบื้องต้นและข้อมูลเชิงลึก (Passive & Active Interrogation)
  • ตรวจสอบพฤติกรรมการมี Multiple MAC Address บน Switch  Port หนึ่งๆ เพื่อยืนยันความเป็นอุปกรณ์ Network
  • ตรวจสอบการทำ NAT ในระบบเครือข่าย เพื่อยับยั้งการทำงานของอุปกรณ์ที่ทำ NAT ได้

ผลการตรวจจับพบอุปกรณ์ Rogue Access Point ติดตั้งอยู่ในระบบเครือข่าย

ข้อมูลที่ ForeScout สามารถนำมาแสดงได้

โดยรายละเอียดแล้ว ForeScout จะแสดงข้อมูลดังต่อไปนี้ของ Host ที่อยู่ในระบบเครือข่ายของคุณ และยังมีข้อมูลอีกมากมายที่ ForeScout สามารถแสดงให้คุณเห็นได้

Device Information
  • Device type (printer, wireless network device, laptop, etc.)
  • Device authentication/NETBIOS/domain membership
  • MAC/IP address
  • NIC vendor
  • Hostname
Security Status
  • Anti-malware agents status (installed/running) and database versions
  • Patch management agent status (installed/running)
  • Firewall status (installed/running)
  • Audit trail of changes to OS/configuration/ application
User Information
  • Username
  • Full name
  • Authentication status
  • Workgroup
  • Email address
  • Phone number
  • Guest/authentication status Device Information
  • Device type (printer, wireless network device, laptop, etc.)
  • Device authentication/NETBIOS/domain membership
  • MAC/IP address
  • NIC vendo
Operating System Status
  • Type
  • Version number
  • Patch level
  • Processes and services installed or running
  • Registry and configuration
  • File name/size/date/version
  • Shared directories Security Status
  • Anti-malware agents status (installed/running) and database versions
  • Patch management agent status (installed/running)
  • Firewall status (installed/running)
  • Audit trail of changes to OS/configuration/ application
Application Information
  • Authorized applications installed/running
  • Rogue applications installed/running
  • P2P/IM clients Installed/running
  • Application name and version number
  • Registry values
  • File sizes
  • Modification date and patch level
Peripheral information
  • Device class (disk, printer, DVD/CD, modem, NIC, memory, phone, etc.)
  • Connection type (USB, Bluetooth, infrared, wireless, etc.)
  • Device information (make, model, device ID, serial number, etc.) Network Traffic Information
  • Malicious traffic (worm propagation, device spoofing, intrusion, spam, etc.)
  • Traffic source/destination
  • Rogue NAT/DHCP behavior
Physical Layer Information
  • Switch IP, description, location
  • Switch port
  • VLAN
  • Number of devices on any port
  • 802.1x authentication status
Network Traffic Information
  • Malicious traffic (worm propagation, device spoofing, intrusion, spam, etc.)
  • Traffic source/destination
  • Rogue NAT/DHCP behavior
สำหรับใครที่สนใจข้อมูลเพิ่มเติมมากกว่านี้ สามารถเข้าชมได้ที่ ForeScout Agentless Visibility นะครับ โดยจะมี White Paper ซึ่งบอกข้อมูลรายละเอียดต่างๆ และแนวคิดที่จำเป็นสำหรับการติดตั้งระบบ Automated Security Control หรือ Network Access Control อีกด้วยครับ

———-

บทความโดย Throughwave Thailand

ท่านสามารถติดตามข่าวสารเพิ่มเติมได้ที่ https://www.throughwave.co.th