IDS NIDS HIDS คืออะไร

Intrusion Detection System (IDS) คือ? คือ Hardware, Software, และ Cloud ซึ่งเป็นระบบที่เอาไว้ตรวจสอบ การรับส่งข้อมูลเครือข่าย(network traffic) เพื่อหากิจกรรมที่น่าสงสัย(suspicious activity) และทำนายทายทัก เห้ยหนุ่มหน้าตาดูซีดๆ เป็นไข้แน่เลย(เป็นหมอดูหรือเปล่านะ?) จากนั้นจะทำการแจ้งเตือนเมื่อพบกิจกรรมดังกล่าว ไปยังผู้ดูแลโดยวิธีการต่างๆ ไม่ว่าจะเป็นหน้า console IDS, email, หรือถูกจัดเก็บจากระบบกวาด logs เอาไปอ่านอีกทีอย่าง SIEM เพื่อทำการวิเคราะห์อีกต่อยอดกันไป แต่ถ้าว่าเหรียญนั้นมี2ด้าน จริงอยู่ที่ระบบสามารถตรวจจับหาพวก Malware แต่ก็ไม่ได้เสมอไป เค้าอาจจะสบายดีแต่หน้าซีดเพราะโดยภรรยาริบเงินเดือนเอาไว้ก็เป็นได้ ดังนั้นระบบคุณจำเป็นต้องมีการ Tuning เมื่อทำการติดตั้ง ว่าโดยปกติแล้วระบบมีอะไรบ้าง บางที   IDS อาจจะมองว่าเป็น Malware ยกตัวอย่างเช่น task schedule ไป run script ต่างๆ เช่น Backup, Delete Logs เราต้องไปทำ exclude […]

Host Based Firewall คืออะไร?

Host-based Firewall คืออะไร? เชื่อว่าหลายๆ คนที่ทำงานด้าน IT อาจจะรู้จักกันดีกับ Firewall ที่เป็น Hardware เช่น Palo Alto, Juniper, Sonic Wall, Fortigate และอื่นๆ ที่ทำการจัดการ traffic ที่ต้องการ allow หรือ block จาก internet (WAN) ที่เราคุ้นเคยกัน ในส่วนของ host-based firewall จะเป็นการจัดการ traffic เหมือนกับ firewall hardware  ที่จะเข้ามายังเครื่อง PC, Server, หรือ Device นั้นๆ ว่าจะทำการเปิด port อะไร, allow หรือ deny ip ไหน (อ้าวแล้วเพื่อ? ก็เพราะตัวนี้ไม่ได้ต่อในโลก internet แต่มันก็จำเป็นต้องมีไว้กันใน LAN […]

Botnet คืออะไร

Botnet คือ? “botnet” เกิดจากคำว่า”robot” และ “network”คือเครือข่ายของคอมพิวเตอร์ที่รวบรวมมาจากการติดมัลแวร์ ซึ่งควบคุมจากศูนย์กลางโดยbot herder หรือ zombie master สามารถสั่งbot หรือ zombie computer ทุกเครื่องให้กระทำการต่างๆเช่น การโจมตี DDOS , Brute force , และอื่นๆโดยที่คอมพิวเตอร์ที่เป็น bot ไม่รู้ตัวหรือและไม่ได้รับความยินยอมมาก่อน   Botnet มีหลักการควบคุมอย่างไร? Bot herders ควบคุม botnet โดยใช้ Model มี 2 ประเภทคือ 1. Centralized, Client-Server Model ควบคุมโดยปกมี bot herder server เพียง 1 เครื่องไปยัง bot แต่ก็สามารถเพิ่มเครื่อง sub-herders, หรือ proxies ได้ อย่างไรก็ตามคำสั่งจะยังคงตาม […]

Rootkit คือ?

Rootkit Rootkit คือมัลแวร์ที่ฝังตัวเองอยู่ลึกเข้าไปในระบบปฏิบัติการ (OS) และมีสามารถเข้าควบคุมระบบได้ทั้งหมด บวกกับการซ่อนตัวเองอย่างแนบเนียนทำให้ OS มองว่าตัวมันคือส่วนองค์ประกอบหนึ่งในสารระบบและไม่สามารถตรวจพบได้ จากการหาใน task manager หรือ management tools ต่างๆ เนื่องจากพวกมันชอบฝังตัวอยู่ใน level ring0 ในระดับ kernel หรือต่ำกว่านั้น ซึ่งในระดับ user ใช้งานจะอยู่ที่ ring3 ตามภาพด้านล่าง Rootkit นอกจากการเข้าแทนที่ kernel OS, driver ใน OS, ยังสามารถแทรกซึม app library ได้อีกด้วย ที่ใช้ชื่อว่า Rootkit เพราะว่าแรกเริ่มใน Unix OS ในส่วนของ user ที่มีสิทธิ์การเข้าถึงมากที่สุดมีชื่อว่า root แม้แต่ใน window ก็ยังใช้ชื่อ window rootkit ถึงแม้ไม่มีก็ตาม ประเภทของ Rootkit Kernel […]

Spyware คือ?

สปายแวร์ (อังกฤษ: spyware) หมายถึง ประเภทซอฟต์แวร์ที่ออกแบบเพื่อสังเกตการณ์หรือดักจับข้อมูล หรือควบคุมเครื่องคอมพิวเตอร์ โดยที่ผู้ใช้ไม่รับทราบว่าได้ติดตั้งเอาไว้ หรือผู้ใช้ไม่ยอมรับ ซึ่งส่วนใหญ่แล้วเพื่อสร้างผลประโยชน์แก่ผู้อื่น ในความหมายทั่วไป สปายแวร์ คือ ประเภทโปรแกรมคอมพิวเตอร์ที่บันทึกการกระทำของผู้ใช้บนเครื่องคอมพิวเตอร์ และส่งผ่านอินเทอร์เน็ตโดยที่ผู้ใช้ไม่ได้รับทราบ โปรแกรมแอบดักข้อมูลนั้นสามารถรวบรวมข้อมูล สถิติการใช้งานจากผู้ใช้ได้หลายอย่างขึ้นอยู่กับการออกแบบของโปรแกรม ซึ่งส่วนใหญ่แล้วบันทึกเว็บไซต์ที่ผู้ใช้เข้าถึง และส่งไปยังบริษัทโฆษณาต่างๆ บางโปรแกรมอาจบันทึกว่าผู้ใช้พิมพ์อะไรบ้าง เพื่อพยายามค้นหารหัสผ่าน หรือเลขหมายบัตรเครดิต หรือ สปายแวร์ ก็คือ โปรแกรมเล็ก ๆ ที่ถูกเขียนขึ้นมาสอดส่อง (สปาย) การใช้งานเครื่องคอมพิวเตอร์ของคุณ อาจจะเพื่อโฆษณาสินค้าต่าง ๆ สปายแวร์บางตัวก็สร้างความรำคาญเพราะจะเปิดหน้าต่างโฆษณาบ่อย ๆ แต่บางตัวร้ายกว่านั้น คือ ทำให้คุณใช้อินเตอร์เน็ทไม่ได้เลย ไม่ว่าจะไปเวบไหน ก็จะโชว์หน้าต่างโฆษณา เพิ่มเติมคือ spyware บางตัวถึงขั้นสามารถจับภาพหน้าจอได้ และส่งอีเมล์เข้าไปหาคนสร้างได้ ตัวอย่างเช่น SAINT Spyware ที่สามารถดัก keyboard ตาม trigger ที่ตั้งไว้ เช่นพิมพ์ keyboard 10 ครั้ง spyware […]

12.Ransomware คืออะไร? มาทำความเข้าใจและวิธีการป้องกันการโจมตีกันเถอะ ^^

ภาพตัวอย่าง: ขั้นตอนการเรียกค่าไถ่ของ Ransomware คำนิยามของ RansomwareRansomeware จัดอยู่ในประเภทมัลแวร์ (Malware) รูปแบบหนึ่ง ที่อาชญากรไซเบอร์ หรือเหล่าแฮคเกอร์ใช้โจมตีข้อมูลไม่ไฟล์ต่างๆ หรือว่าจะเป็นหน้าจอคอมพิวเตอร์ของผู้ใช้งานทั่วไปหรือภายในองค์กร โดยพฤติกรรมของ Ransomware มักจะทำการ Lock file, desktop หรือทำ encryption file เพื่อไม่ให้เหยื่อเข้าใช้งานไฟล์ที่ถูก Lock ไว้ได้ จากนั้นจะมีข้อความเพื่อทำการเรียกค่าไถ่ข้อมูลที่ได้ Lock ไว้หากเหยื่อยินยอมจ่ายค่าไถ่แฮกเกอร์ก็จะปลดล็อคให้ หากไม่จ่ายเงินข้อมูลดังกล่าวก็อาจจะหายไปตลอดการ! โดยส่วนใหญ่การที่จะตกเหยื่อของ Ransomware นั้นจะมีสาเหตุมาจากการที่ผู้ใช้งานดาวน์โหลดไฟล์ผ่านทางเว็บไซต์ที่ไม่น่าเชื่อถือและเป็นอันตราย เมื่อดาวน์โหลดมาแล้วกลับได้ Ransomware มาแทน ซึ่ง โดยหลักแล้ว Ransomware มักจะมุ่งเน้นโจมตีผ่านระบบปฏิบัติการ Microsoft Windows แต่ผลของการเข้า Lock ไฟล์นั้น สามารถกระจายไปยังที่เก็บข้อมูลต่างๆ ไม่ว่าจะเป็นใน PC, Servers, หรือ Cloud ก็โดนด้วยแม้ว่าจะมีรายงานว่าผู้ใช้งานคอมพิวเตอร์ทั่วไปโดนโจมตี ในระยะหลังๆ Ransomware ได้ทำการเน้นโจมตีระดับ องค์กรมากขึ้นเนื่องด้วยความสามารถกำลังเงินในการจ่ายแหละ ภาพตัวอย่าง: Ransomware […]

ม้าโทรจัน มัลแวร์คือ? What Trojan Horse Malware?

ขอเล่าที่มาของคำนี้ก่อนนะครับโทรจัน หรือ Trojan เป็นคำที่สร้างมาจาก สงคราม Trojan ระหว่าง Troy และ Greece ซึ่งเปรียบถึงม้าโครงไม้ขนาดใหญ่ ม้าไม้นี้เกิดขึ้นจากอุบายของโอดิสเซียส ในการบุกเข้าเมือง Troy ที่มีป้อมปราการแข็งแรง หลังจากที่รบยืดเยื้อมานานถึง 10 ปีแล้ว ด้วยการให้ทหารสร้างม้าไม้นี้ขึ้นมา แล้วลากไปวางไว้หน้ากำแพงเมืองTroy แล้วให้ทหาร Greeceแสร้งทำเป็นล่าถอยออกไปเมื่อชาวTroy เห็นแล้วเข้าใจว่าเป็นบรรณาการที่ทางฝ่ายGreece สร้างขึ้นมาเพื่อบูชาเทพเจ้าและล่าถอยไปแล้ว Troy จึงลากเข้าไปไว้ในเมืองและฉลองชัยชนะเมื่อตกดึก ทหารGreece ที่ซ่อนตัวอยู่ในม้าไม้ ก็ไต่ลงมาเปิดประตูเมืองให้ทหารที่อยู่นอกประตูเมือง Greeceเข้ามาเผาเมืองและปล้นเมืองTroyได้สำเร็จ เอาละครับ Trojan บางคนเรียก Trojan Virus บางคนเรียก Trojan Malware ซึ่งจัดอยู่ในประเภท Malware อันตรายประเภทนึง ที่สร้าง ความเสียหาย ทำการรบกวน ขโมย ข้อมูล data หรือ netwok บางครั้งก็ดูเป็น application ปกติเลย (Software แปลกๆชอบมาเสนอตัวเองบ่อยๆ หรือ […]

ไวรัสหนอนคือ? What is Worm?

ไวรัสหนอนคือ? What is Worm? Worm จัดว่าเป็น Malware ประเภทหนึ่ง ลักษณะการทำงานคล้าย Virus แต่ก็มีจุดทีแตกต่างอยู่บ้าง ตามบทความก่อนหน้าที่เราพูดถึงกันเรื่อง Virus ผู้ใช้งานต้องทำการ ติดตั้ง, เปิดไฟล์ หรือคลิกใช้งาน macroแต่สำหรับ Worm จะแพร่กระจายตัวเองได้โดยไม่ผ่านการตอบสนองหรือผ่านการกระทำใดๆจากผู้ใช้งาน ตัวอย่างเช่น Worm Stuxnet virus การแพร่เชื้อWorm จะทำการแพร่ ไปยัง Network ผ่านช่องโหว่ต่างเช่่น system หรือ application ที่ยังไม่ได้ patch เช่น MS08-067, MS01_033 ของ Microsoftหรือการโจมตีแบบ buffer overflow attack เพื่อเอา worm ไปวาง อาการสามารถทำให้ network traffic หรือ System ช้ามากๆ เนื่องจากมันกำลังแพร่กระจายโดยการ replicate ตัวเองโดยใช้ CPU/RAM […]

ไวรัสคือ? What is a Virus?

Virus ประกอบไปด้วย Code อันตราย โดยจะทำให้เครื่องคอมพิวเตอร์ผู้ใช้งานติดเชื้อโดยไม่รู้ตัวเช่นการโหลด Software หรือ Game เถื่อน มาจาก Website โดยไฟล์พวกนี้ถูกแก้ไขดัดแปลง License เพื่อให้เราใช้กันได้ฟรีๆแต่มักจะมีของแถมข้างในมาให้ด้วยเมื่อเราทำการ install ส่วนมากจะมีไฟล์ Crack ซึ่งแนะนำให้เราปิด Antivirus/Firewall และจากนั้น computer คุณก็ติด Virus เรียบร้อยนอกจากนี้คนที่อยู่ใน network เดียวกับคุณก็อาจจะซวยติด Virus ไปด้วย ประเภท Virus เบื้องต้น 10 ชนิด 1.boot sector virusVirus ที่เก็บตัวเองอยู่ในบูตเซกเตอร์ของหน่วยความจำ ไม่ว่าจะเป็น HDD, SSD หรือ Media ประเภทอื่นๆ เมื่อเครื่องคอมพิวเตอร์เริ่มทํางานขึ้นมาครั้งแรก เครื่องจะเข้าไปอ่านบูตเซกเตอร์โดยในบูตเซกเตอร์จะมี code ไว้ใช้ในการเรียกระบบปฏิบัติการขึ้นมาทํางาน การทํางานของ Boot Sector Virus คือ จะเข้าไปแทนที่โปรแกรมที่อยูในบูตเซกเตอร์ถ้าติดอยูในฮาร์ดดิส Virus จะเข้าไปอยู่บริเวณที่เรี่ยกวา […]

11.MITRE ATT&CK Framework คืออะไร?

MITER ATT&CK ได้รับการพัฒนาโดยองค์กรไม่แสวงหาผลกำไร MITER ในปี 2556 ชื่อมาจากคำย่อของ Adversarial Tactics, Techniques และ Common Knowledge (ATT&CK) The MITRE ATT&ACK framework เป็นทรัพยากรฟรีที่เข้าถึงได้ทั่วโลก ซึ่งสามารถช่วยแนะนำองค์กรผ่านเหตุการณ์การละเมิดความปลอดภัยที่สันนิษฐานได้ และสามารถเปลี่ยนแนวทางการจัดการความเสี่ยงขององค์กรซึ่งความรู้จะเกี่ยวข้องกกับองค์ความรู้ดังนี้ Adversary/attacker behaviors Threat models Techniques Mitigation tactics แนวคิดก็คือการทำความเข้าใจวิธีการโจมตีมากมายจากผู้โจมตีจริง ทำให้องค์กรมีความสามารถในการเตรียมพร้อมและการรับมือกับความเสี่ยง ให้มุมมองของผู้โจมตีในแต่ละขั้นตอนของวงจรชีวิตการโจมตีทางไซเบอร์ตั้งแต่ต้นจนจบ ประเด็นสำคัญ: ตัวอย่างในชีวิตจริงเชิงลึกเกี่ยวกับพฤติกรรมที่เกี่ยวข้องของผู้โจมตีหรือแฮคเกอร์ เทคนิคและวิธีการโจมตี ภาษาที่เกี่ยวกับวิธีการโจมตีต่างๆ framework ดังกล่าวช่วยให้มองเห็นและเข้าถึงได้ ทำให้บุคลากรด้านความปลอดภัยทางไซเบอร์สามารถระบุและตอบสนองต่อความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่หลากหลายด้วยแนวทางการจัดการความเสี่ยงที่เหมาะสม ATT&CK framework ครอบคลุมสาขาวิชาความปลอดภัยทางไซเบอร์หลายสาขา ได้แก่: Detection Intelligence Containment Risk management Security engineering ใครสามารถใช้  ATT&CK framework ได้บ้าง? องค์ความรู้นั้นสามารถช่วยแนะนำองค์กร ไม่ว่าจะเป็นเอกชน […]