เจาะลึก ForeScout ตอนที่ 2 กับการปกป้องระบบเครือข่ายจากการโจมตีต่างๆ

หลังจากคราวที่แล้วได้เล่าถึงความสามารถในการ Monitor ผู้ใช้งานและอุปกรณ์ในระบบเครือข่ายในเชิงลึกของ ForeScout CounterACT ไปเรียบร้อยแล้ว คราวนี้เราจะมาดูกันต่อครับว่า ForeScout จะช่วยปกป้องระบบเครือข่ายของคุณจากการโจมตีรูปแบบต่างๆ ได้อย่างไรบ้าง

 

การตรวจจับการโจมตีที่เกิดขึ้น (Threat Detection)

การตรวจจับการโจมตีที่เกิดขึ้น (Threat Detection) ของ ForeScout CounterACT มีวิธีการด้วยกันดังนี้

ตรวจจับ Traffic การโจมตีที่เกิดขึ้น

  • ดูข้อมูลของการโจมตีที่เกิดขึ้น เช่น เหตุการณ์การแพร่กระจาย Worm ที่เกิดขึ้น, การพยายามเข้าถึงข้อมูล Web Site จริง และอื่นๆ อีกมากมาย
  • ตรวจจับผู้ทำการ Probe ระบบเครือข่าย
  • ตรวจจับผู้ที่ทำเหตุการณ์ที่เสี่ยงต่อความปลอดภัยของระบบเครือข่าย

ตรวจจับการ Scan ที่เกิดขึ้น

  • ตรวจจับการ Scan Finger, HTTP, NetBIOS
  • ตรวจจับการพยายาม Login ที่ผิดปกติ เช่น การทำ Username Scan หรือ Password Scan ที่เกิดขึ้น
  • ตรวจจับการทำ Vertical Scan, Horizontal Scan, Ping Sweep Scan
  • ตรวจจับ SNMP Scan สำหรับการโจมตีอุปกรณ์ Network

ตรวจจับ Email Worm ในระบบเครือข่าย

  • ตรวจจับเหตุการณ์การส่ง Email จำนวนมากผิดปกติ
  • ตรวจจับ Attachment ที่ผิดปกติใน Email
  • ตรวจจับการปลอมแปลง Sender
  • ตรวจจับปริมาณ Recipient ที่ผิดปกติ
  • ตรวจจับปริมาณ Email Server ที่ทำการเชื่อมต่อ

การโต้ตอบและป้องกันการโจมตีที่เกิดขึ้น (Threat Prevention)

การโต้ตอบและป้องกันการโจมตีที่เกิดขึ้น (Threat Prevention) ของ ForeScout CounterACT มีวิธีการต่างๆ ด้วยกันดังนี้

การ Block IP และ Service

  • ยับยั้งการใช้งานระบบเครือข่ายทั้งหมดของผู้ที่ทำการโจมตี
  • ยับยั้งการใช้งานเฉพาะ Service ที่ใช้ในการโจมตีของผู้ที่ทำการโจมตี
  • บันทึกข้อมูลเหตุการณ์การโจมตีที่เกิดขึ้น

การชะลอการแพร่กระจายของ Worm

  • ใช้เทคนิคการทำ Worm Slow Down เพื่อให้เครื่องที่ติด Worm ไม่สามารถแพร่กระจาย Worm ได้อย่างรวดเร็ว
  • ทำให้ระบบเครือข่ายไม่รวน ไม่กระทบต่อการใช้งานปกติของผู้อื่นในระบบเครือข่าย
  • ทำให้ผู้ดูแลระบบมีเวลาวิเคราะห์การโจมตี เพื่อกำหนดวิธียับยั้งที่เหมาะสมเอง หรือให้ ForeScout ทำหน้าที่ยับยั้ง Worm โดยอัตโนมัติ
  • ทำให้เครื่องที่ติด Worm ยังคงใช้งานได้ เป็นการปกป้องระบบเครือข่ายแบบประนีประนอมระหว่างการใช้งาน และความปลอดภัย

การแจ้งเตือนผู้ใช้งานถึงเหตุการณ์ที่เกิดขึ้น

  • แจ้งเตือนถึงเหตุการณ์การโจมตีที่เกิดขึ้นโดยเครื่องนั้นๆ ของผู้ใช้งานผ่านทาง HTTP/HTTPS และมีการให้กดยืนยันรับทราบเหตุการณ์ที่เกิดขึ้น พร้อมบันทึกการยืนยันนั้นไว้โดยอัตโนมัติ
  • แจ้งเตือนผ่านทาง Balloon Box โดยอัตโนมัติ เพื่อความสะดวกของผู้รับสาร
  • แจ้งเตือนผ่านทาง Email ของผู้ใช้งานนั้นๆ โดยอัตโนมัตื

 การควบคุมความปลอดภัยของ Endpoint

  • บังคับให้อัพเดต Operating System Patch
  • บังคับให้อัพเดต Microsoft Hotfix ที่จำเป็น
  • ตรวจสอบ Vulnerability ที่มีปรากฎบน Host แต่ละเครื่อง
  • บังคับติดตั้งและใช้งาน Personal Firewall Software ต่างๆ เช่น ZoneAlarm, Windows, Symantec, Sygate, McAfee และอื่นๆ อีกมากมาย
  • บังคับติดตั้งและใช้งาน Antivirus ต่างๆ เช่น Avast, Trend Micro, Symantec, Sophos, McAfee, Kaspersky, ESET, CA, BitDefender, AhnLab, AVG และอื่นๆ อีกมากมาย
  • บังคับติดตั้งและใช้งาน Antispyware ต่างๆ เช่น Windows Defender, Webroot Spy Sweeper, Spyware Doctor, Spyware Blaster, Spybot-Search and Destroy, McAfee, Lavasoft Ad-Aware, Kephyr Bazooka Adware and Spyware Scanner, CounterSpy, Anonymaizer และอื่นๆ อีกมากมาย

เปรียบเทียบความสามารถในการทำ Threat Prevention ของ ForeScout กับการปกป้องแบบเก่าๆ ที่มีอยู่

ซึ่งด้วยความสามารถของ ForeScout CounterACT นี้ ก็สามารถทำงานร่วมก้บ Layer 7 Firewall, IPS, SIEM, Log Server และอุปกรณ์ Enterprise Security ต่างๆ อีกมากมาย ส่งผลให้ ForeScout ได้รับมาตรฐานต่างๆ ทางด้านความปลอดภัยระดับสูงทางการทหาร และการเงินมามากมาย โดยถ้าหากใครสนใจข้อมูลเพิ่มเติมก็สามารถเข้าไปดูได้ที่ ForeScout CounterACT Threat Prevention และดาวน์โหลดตัวอย่างวิธีการยับยั้ง Worm ชื่อดังอย่าง Conficker ได้เลยนะครับ

———-

บทความโดย Throughwave Thailand

ท่านสามารถติดตามข่าวสารเพิ่มเติมได้ที่ https://www.throughwave.co.th