เจาะลึก ForeScout ตอนที่ 2 กับการปกป้องระบบเครือข่ายจากการโจมตีต่างๆ
หลังจากคราวที่แล้วได้เล่าถึงความสามารถในการ Monitor ผู้ใช้งานและอุปกรณ์ในระบบเครือข่ายในเชิงลึกของ ForeScout CounterACT ไปเรียบร้อยแล้ว คราวนี้เราจะมาดูกันต่อครับว่า ForeScout จะช่วยปกป้องระบบเครือข่ายของคุณจากการโจมตีรูปแบบต่างๆ ได้อย่างไรบ้าง
การตรวจจับการโจมตีที่เกิดขึ้น (Threat Detection)
การตรวจจับการโจมตีที่เกิดขึ้น (Threat Detection) ของ ForeScout CounterACT มีวิธีการด้วยกันดังนี้
ตรวจจับ Traffic การโจมตีที่เกิดขึ้น
- ดูข้อมูลของการโจมตีที่เกิดขึ้น เช่น เหตุการณ์การแพร่กระจาย Worm ที่เกิดขึ้น, การพยายามเข้าถึงข้อมูล Web Site จริง และอื่นๆ อีกมากมาย
- ตรวจจับผู้ทำการ Probe ระบบเครือข่าย
- ตรวจจับผู้ที่ทำเหตุการณ์ที่เสี่ยงต่อความปลอดภัยของระบบเครือข่าย
ตรวจจับการ Scan ที่เกิดขึ้น
- ตรวจจับการ Scan Finger, HTTP, NetBIOS
- ตรวจจับการพยายาม Login ที่ผิดปกติ เช่น การทำ Username Scan หรือ Password Scan ที่เกิดขึ้น
- ตรวจจับการทำ Vertical Scan, Horizontal Scan, Ping Sweep Scan
- ตรวจจับ SNMP Scan สำหรับการโจมตีอุปกรณ์ Network
ตรวจจับ Email Worm ในระบบเครือข่าย
- ตรวจจับเหตุการณ์การส่ง Email จำนวนมากผิดปกติ
- ตรวจจับ Attachment ที่ผิดปกติใน Email
- ตรวจจับการปลอมแปลง Sender
- ตรวจจับปริมาณ Recipient ที่ผิดปกติ
- ตรวจจับปริมาณ Email Server ที่ทำการเชื่อมต่อ
การโต้ตอบและป้องกันการโจมตีที่เกิดขึ้น (Threat Prevention)
การโต้ตอบและป้องกันการโจมตีที่เกิดขึ้น (Threat Prevention) ของ ForeScout CounterACT มีวิธีการต่างๆ ด้วยกันดังนี้
การ Block IP และ Service
- ยับยั้งการใช้งานระบบเครือข่ายทั้งหมดของผู้ที่ทำการโจมตี
- ยับยั้งการใช้งานเฉพาะ Service ที่ใช้ในการโจมตีของผู้ที่ทำการโจมตี
- บันทึกข้อมูลเหตุการณ์การโจมตีที่เกิดขึ้น
การชะลอการแพร่กระจายของ Worm
- ใช้เทคนิคการทำ Worm Slow Down เพื่อให้เครื่องที่ติด Worm ไม่สามารถแพร่กระจาย Worm ได้อย่างรวดเร็ว
- ทำให้ระบบเครือข่ายไม่รวน ไม่กระทบต่อการใช้งานปกติของผู้อื่นในระบบเครือข่าย
- ทำให้ผู้ดูแลระบบมีเวลาวิเคราะห์การโจมตี เพื่อกำหนดวิธียับยั้งที่เหมาะสมเอง หรือให้ ForeScout ทำหน้าที่ยับยั้ง Worm โดยอัตโนมัติ
- ทำให้เครื่องที่ติด Worm ยังคงใช้งานได้ เป็นการปกป้องระบบเครือข่ายแบบประนีประนอมระหว่างการใช้งาน และความปลอดภัย
การแจ้งเตือนผู้ใช้งานถึงเหตุการณ์ที่เกิดขึ้น
- แจ้งเตือนถึงเหตุการณ์การโจมตีที่เกิดขึ้นโดยเครื่องนั้นๆ ของผู้ใช้งานผ่านทาง HTTP/HTTPS และมีการให้กดยืนยันรับทราบเหตุการณ์ที่เกิดขึ้น พร้อมบันทึกการยืนยันนั้นไว้โดยอัตโนมัติ
- แจ้งเตือนผ่านทาง Balloon Box โดยอัตโนมัติ เพื่อความสะดวกของผู้รับสาร
- แจ้งเตือนผ่านทาง Email ของผู้ใช้งานนั้นๆ โดยอัตโนมัตื
การควบคุมความปลอดภัยของ Endpoint
- บังคับให้อัพเดต Operating System Patch
- บังคับให้อัพเดต Microsoft Hotfix ที่จำเป็น
- ตรวจสอบ Vulnerability ที่มีปรากฎบน Host แต่ละเครื่อง
- บังคับติดตั้งและใช้งาน Personal Firewall Software ต่างๆ เช่น ZoneAlarm, Windows, Symantec, Sygate, McAfee และอื่นๆ อีกมากมาย
- บังคับติดตั้งและใช้งาน Antivirus ต่างๆ เช่น Avast, Trend Micro, Symantec, Sophos, McAfee, Kaspersky, ESET, CA, BitDefender, AhnLab, AVG และอื่นๆ อีกมากมาย
- บังคับติดตั้งและใช้งาน Antispyware ต่างๆ เช่น Windows Defender, Webroot Spy Sweeper, Spyware Doctor, Spyware Blaster, Spybot-Search and Destroy, McAfee, Lavasoft Ad-Aware, Kephyr Bazooka Adware and Spyware Scanner, CounterSpy, Anonymaizer และอื่นๆ อีกมากมาย
———-
บทความโดย Throughwave Thailand
ท่านสามารถติดตามข่าวสารเพิ่มเติมได้ที่ https://www.throughwave.co.th