เจาะลึก ForeScout ตอนที่ 3 กับการบริหารจัดการและควบคุมเครื่องลูกข่ายจากศูนย์กลาง
ต่อเนื่องจากบทความ เจาะลึก ForeScout กับการ Monitor ผู้ใช้งานและอุปกรณ์ในเครือข่ายแบบ Real Time และ เจาะลึก ForeScout ตอนที่ 2 กับการปกป้องระบบเครือข่ายจากการโจมตีต่างๆ คราวนี้ก็มาถึงตอนที่ 3 กันบ้างกับการบริหารจัดการและควบคุมเครื่องลูกข่ายจากศูนย์กลางด้วย ForeScout CounterACT ซึ่งเป็นอุปกรณ์ Next Generation Network Access Control หรือเรียกในอีกชื่อหนึ่งว่า Automated Security Control นั่นเอง มาลองดูกันเลยว่า ForeScout จะช่วยอะไรเราได้บ้าง
สร้าง Hardware และ Software Inventory
หลังจากที่ ForeScout ได้ทำการตรวจสอบและจำแนกประเภทอุปกรณ์ภายในระบบเครือข่ายเราไปโดยอัตโนมัติจากความสามารถ Real Time Network Monitoring แล้ว ForeScout ก็จะช่วยสร้าง Hardware Inventory และ Software Inventory ที่บอกถึงรายการของ Hardware ต่างๆ ในระบบเครือข่ายของเรา ไม่ว่าจะเป็นอุปกรณ์เครือข่าย, Server, PC, Notebook, Smartphone, Tablet, IP Phone, CCTV, Printer, Scanner และอื่นๆ อีกมากมาย รวมถึงรายละเอียดของระบบปฏิบัติการแต่ละชนิดเช่น Microsoft Windows 7, Microsoft Windows Phone, Linux, Unix, Apple Mac OS X, Apple iOS, Google Android, Nokia Symbian, Blackberry หรือแม้แต่ Cisco IOS ก็ตาม
นอกจากนี้สำหรับเครื่องที่มีการติดตั้ง Software Agent หรือทำการ Join AD ก็จะสามารถสร้าง Hardware Inventory ของ Peripheral Device อย่างเช่น USB Thumb Drive, USD Hard Drive, USB Printer, USB Charging Mobile Device และอื่นๆ ได้ อีกทั้ง ForeScout ยังช่วยสร้าง Software Inventory ให้อีกด้วย โดยทำการรวบรวม Software ต่างๆ ที่ติดตั้งภายในเครื่อง, Process ต่างๆ ที่ใช้งาน, Application ต่างๆ ที่ใช้งาน และ Service ต่างๆ ที่ใช้งาน พร้อมให้ผู้ดูแลระบบสามารถค้นหาได้ทั้ง Hardware และ Software ที่ติดตั้งใช้งานได้ตลอดเวลา พร้อมให้ทำรายงานส่งทีม Audit ได้ทันทีอีกด้วย
จำแนกอุปกรณ์เครือข่ายตามแผนกใน Microsoft Active Directory
สำหรับองค์กรที่มีการใช้งาน Microsoft Active Directory ในฐานะ Domain Controller เพื่อการยืนยันตัวตนทั้งผ่านทางการ Join Domain และการยืนยันตัวตนผ่านหน้าเว็บก็ตาม ForeScout สามารถนำข้อมูลการยืนยันตัวตนเหล่านั้นมาผูกเข้ากับอุปกรณ์ลูกข่ายต่างๆ ได้ทันที ทำให้เราสามารถจำแนกอุปกรณ์ตามแผนกต่างๆ ได้ว่าแต่ละแผนกมีจำนวนอุปกรณ์เท่าไหร่ และใครใช้งานอุปกรณ์ชิ้นใดอยู่บ้าง ส่งผลให้การทำการตรวจสอบทรัพย์สินและการ Audit ทางด้านความปลอดภัยเป็นไปได้อย่างรวดเร็วและง่ายดาย รวมถึงการ Support ผู้ใช้งานก็สามารถทำได้ง่ายขึ้นอีกด้วย
ควบคุมการใช้งาน Application และ Process
นอกเหนือไปจากการติดตามเครื่องลูกข่ายและอุปกรณ์เครือข่ายแล้ว ForeScout ยังสามารถควบคุมการใช้งาน Application และ Process ได้อย่างมีประสิทธิภาพอีกด้วย โดยผู้ดูแลระบบสามารถสร้างนโยบายการบังคับใช้งานหรือห้ามใช้งาน Application และ Process ใดๆ ก็ได้ตามต้องการ จากนั้น ForeScout จะทำการตรวจสอบว่ามี Application หรือ Process ใดๆ ที่ผิดต่อนโยบายที่กำหนดไว้ และบังคับ Run หรือ Kill ไปยัง Application หรือ Process นั้นๆ ได้โดยอัตโนมัติตลอดเวลา รวมถึงเมื่อผู้ดูแลระบบตรวจพบการใช้งาน Application และ Process อื่นๆ นอกเหนือจากนโยบายที่กำหนดไว้ ก็สามารถทำการ Kill แบบ Manual ได้เช่นกัน
และเมื่อ ForeScout ตรวจพบว่าเครื่องลูกข่ายใดยังไม่ทำการติดตั้ง Software ที่ผู้ดูแลระบบกำหนดไว้ ForeScout ก็สามารถช่วยติดตั้ง Software เหล่านั้นให้ได้ทันที เรียกได้ว่าเป็นหนึ่งในความสามารถที่ช่วยอำนวยความสะดวกแก่ผู้ดูแลระบบเป็นอย่างมากนั่นเอง
ตัวอย่างการสร้าง Software Inventory และควบคุม Process ของ PC
ควบคุมการใช้งาน Anti-virus, Anti-spyware และ Data Leakage Prevention (DLP)
ForeScout มีความสามารถสำหรับการควบคุม Application ทางด้านความปลอดภัยโดยเฉพาะต่างๆ อยู่มากมาย ไม่ว่าจะเป็นการควบคุมการใช้งาน Anti-virus, Anti-spyware และ Data Leakage Prevention Software (DLP) โดย ForeScout สามารถตรวจสอบถึงสถานะการติดตั้ง, การเรียกใช้งาน และการอัพเดตซอฟต์แวร์ต่างๆ เหล่านั้น ทำให้ Application และ Process ทางด้านความปลอดภัยถูกบังคับเรียกใช้งานและอัพเดตตลอดเวลาโดยอัตโนมัติ ส่งผลให้ผู้ดูแลระบบสามารถมั่นใจในความปลอดภัยของเครื่องลูกข่ายได้อย่างแน่นอน โดย ForeScout สามารถควบคุมซอฟต์แวร์เหล่านี้ได้ทุกยี่ห้อและทุกรุ่น รวมถึงเปิดให้ผู้ดูแลระบบทำการ Customize เพื่อให้ ForeScout สามารถควบคุมซอฟต์แวร์เหล่านี้ได้อย่างครอบคลุมอีกด้วย เพื่อให้การตรวจสอบทางด้านความปลอดภัยข้อมูลขององค์กรหรือการทำ Audit ตามมาตรฐานต่างๆ เป็นไปได้อย่างราบรื่นและมีประสิทธิภาพ
ควบคุม Patch ของ Microsoft Windows
เพื่อความปลอดภัยที่รัดกุมยิ่งขึ้นในระบบเครือข่าย ForeScout สามารถช่วยตรวจสอบและบังคับอัพเดต Patch ทางด้านความปลอดภัยของ Microsoft Windows ในแต่ละรุ่นได้โดยอัตโนมัติ โดยผู้ดูแลระบบสามารถเลือกทำการ Patch เฉพาะส่วนที่จำเป็นต่อองค์กรได้ รวมถึงสามารถทำรายงานทางด้านความปลอดภัยสำหรับการทำ Audit ความปลอดภัยให้แก่เครื่องลูกข่ายทั้งหมดได้
ควบคุมการใช้งาน USB
การควบคุมการใช้งาน USB ถือเป็นความสามารถหนึ่งที่จำเป็นมากต่อการควบคุมความปลอดภัยของเครื่องลูกข่ายขององค์กร เนื่องจาก Virus และ Worm ส่วนมากในทุกวันนี้ติดต่อผ่านทาง USB Thumbdrive รวมถึงการขโมยข้อมูลอันประเมินค่าไม่ได้ขององค์กรก็เช่นเดียวกัน โดย ForeScout สามารถเลือกบังคับยับยั้งการเชื่อมต่อกับ USB Device เฉพาะประเภทได้ ไม่ว่าจะเป็น USB External Storage, USB Router, USB Printer และอื่นๆ อีกมากมาย ทำให้เครื่องลูกข่ายยังสามารถทำการเชื่อมต่อกับอุปกรณ์ USB ที่จำเป็นต่อการทำงานได้ ในขณะที่ไม่สามารถติดต่อกับ USB Thumbdrive ที่อาจทำให้ติด Virus และ Worm ได้
นอกจากนี้การบังคับ USB ยังสามารถเลือกตามระดับสิทธิ์ของผู้ใช้งานแต่ละคนตามการยืนยันตัวตนได้อีกด้วย
ตักเตือนและแจ้งข้อความแก่ผู้ใช้งานภายในระบบเครือข่าย
ไม่ว่าจะเป็นการบังคับเครื่องลูกข่ายในรูปแบบใดๆ ก็ตาม การติดต่อสื่อสารและพูดคุยระหว่างผู้ดูแลระบบและผู้ใช้งานถือเป็นปัจจัยที่สำคัญที่สุดที่จะส่งผลให้นโยบายเหล่านั้นประสบความสำเร็จได้ ForeScout จึงได้เตรียมวิธีการต่างๆ ในการติดต่อสื่อสารระหว่างผู้ดูแลระบบแลผู้ใช้งานมาให้อย่างครบถ้วน โดยเมื่อผู้ใช้งานหรือเครื่องลูกข่ายมีการทำอะไรที่ผิดนโยบาย เช่น การติดตั้งและใช้งานซอฟต์แวรที่ไม่อนุญาต ForeScout ก็สามารถทำการส่งข้อความไปหาผู้ใช้งานได้ผ่านทางวิธีการดังต่อไปนี้
- การส่ง Web Notification พร้อม Agreement Acceptance – โดยการส่งข้อความผ่านทางหน้าเว็บ พร้อมทั้งมีปุ่ม Accept เพื่อให้ผู้ใช้งานกดยืนยันว่ารับรู้ข้อความที่ส่งไปแล้ว และจัดเก็บลงฐานข้อมูลเอาไว้ด้วย วิธีการนี้เหมาะสมกับการแจ้งเตือนกรณีผู้ใช้งานระบบเครือข่ายทำผิดนโยบายใดๆ และต้องการให้มีการรับรู้ถึงนโยบาย และกดปุ่มรับทราบได้
- การส่งข้อความผ่านทาง Balloon Message – โดยการส่งข้อความเป็น Balloon ทางด้านขวาล่างของหน้าจอ วิธีการนี้เหมาะสมกับการแจ้งเตือนสถานะทั่วๆ ไป หรือแจ้งเตือนเหตุการณ์ที่เกิดขึ้นกับเครื่องลูกข่าย เช่น ตรวจพบไวรัส หรือ ทำการอัพเดตเสร็จแล้ว เป็นต้น
- การส่ง Email Message – โดยการส่ง Email ไปหาผู้ที่ใช้งานเครื่องลูกข่ายนั้นๆ วิธีการนี้เหมาะสำหรับการแจ้งข้อความต่างๆ อย่างเป็นทางการ
- การส่งข้อความระหว่างยืนยันตัวตน – โดยการดัดแปลงหน้ายืนยันตัวตนให้มีส่วนแจ้งข่าวสารเข้าไปด้วย วิธีการนี้เหมาะกับการแจ้งข่าวรายวันให้ผู้ใช้งานระบบเครือข่ายรับทราบ
ตรวจจับและยับยั้ง Worm, Virus และ Hacker
นอกเหนือจากการบังคับ Application และ Process ต่างๆ ที่เครื่องลูกข่ายแล้ว ForeScout ยังสามารถประยุกต์นำความสามารถในการตรวจจับและยับยั้ง Worm, Virus และ Hacker ดังที่เคยเสนอในตอนที่แล้วมาใช้ร่วมกับการควบคุมเครื่องลูกข่ายอีกด้วย โดยเมื่อ ForeScout ทำการตรวจจับและยับยั้ง Worm, Virus และ Hacker เรียบร้อยแล้ว ForeScout ยังสามารถช่วยบังคับเครื่องลูกข่ายให้ทำการ Scan Virus ในตัวเองเพื่อพยายามกำจัดต้นตอของปัญหาอีกด้วย
จัดเก็บ Log เหตุการณ์ของเครื่องลูกข่าย
ForeScout มีความยืดหยุ่นในการออกแบบนโยบายความปลอดภัยเป็นอย่างมาก และหนึ่งในนั้นก็คือการกำหนดว่าเหตุการณ์ใดจะส่ง Log ข้อความแบบไหนไปยัง Log Server ได้อีกด้วย โดยผู้ดูแลระบบสามารถกำหนดเหตุการณ์ที่ต้องการบันทึกลง Log พร้อมทั้งกำหนดรูปแบบของข้อความได้ด้วยตัวเอง โดยสามารถดึงเอาค่าตัวแปรต่างๆ ในระบบ ไม่ว่าจะเป็น IP Address ของเครื่องลูกข่าย, ผู้ที่กำลังใช้งานเครื่องลูกข่าย, ชื่อของ Application/Process ที่ใช้งาน, ชื่อของ Application/Process ที่ขาดไป, ประเภทของการโจมตี และอื่นๆ อีกมากมายมากำหนดลงในข้อความได้โดยอัตโนมัติ
ความสามารถนี้ถือว่าเป็นสิ่งที่จำเป็นและเติมเต็มความสามารถของระบบ Security Information and Event Management หรือ SIEM เป็นอย่างมาก เนื่องจากเดิม SIEM นั้นจะทำการเก็บข้อมูลได้จากอุปกรณ์เครือข่ายเท่านั้น แต่ด้วย ForeScout ก็จะทำให้ระบบ SIEM สามารถเก็บข้อมูลทางด้านความปลอดภัยของเครื่องลูกข่ายไปได้พร้อมๆ กัน อีกทั้ง ForeScout ยังสามารถทำการ Integrate เข้ากับระบบ SIEM ชั้นนำอย่าง HP ArcSight, EMC RSA enVision และ McAfee ePo ได้เป็นอย่างดีอีกด้วย
ถ้าหากท่านสนใจ ForeScout สามารถติดต่อได้ที่ info@throughwave.co.th หรือโทร 02-210-0969 เพื่อสอบถามรายละเอียดได้ทันที