ปัจจุบันเราจะเจอกับเหตุการณ์ของแก๊งคอลเซ็นเตอร์โทรศัพท์มาหาเรา เพื่อหลอกเราให้ตกเป็นเหยื่อในการหลอกเอาเงินในบัญชีไป ซึ่งข้อมูลส่วนตัวเหล่านี้ถือเป็นข้อมูลที่สำคัญ ซึ่งหลายครั้งเองก็ได้จากองค์กรที่มีการส่งต่อ หรือซื้อขายฐานข้อมูลเหล่านี้ หรือแม้กระทั่ง ผู้บุกรุกเข้ามาในระบบของเรา และนำข้อมูลเหล่านี้กลับออกไปได้
การทำป้องกันการตรวจจับข้อมูลละเอียดอ่อนเป็นเรื่องที่สำคัญมากในปัจจุบัน เนื่องจากกฎหมาย PDPA ซึ่งองค์กรหากมี Cisco Firepower สามารถใช้งาน Firepower Sensitive Data Detection หรือ Data Loss Prevention (DLP) ได้ ผู้ดูแลระบบสามารถป้องกันข้อมูลรั่วไหลจากเหตุการณ์การรับส่งข้อมูลที่ละเอียดอ่อนโดยตั้งใจหรือโดยไม่ได้ตั้งใจ เช่น หมายเลขบัตรประชาชน หมายเลขบัตรเครดิต หมายเลขใบขับขี่ หมายเลขบัญชีธนาคาร เป็นต้น
เราจะไปดูวิธีการคอนฟิกตัว FMC เพื่อให้ Firepower สามารถตรวจจับข้อมูลเหล่านี้ ผ่านบทความนี้ด้วยกันนะครับ
ก่อนกำหนดค่าการตรวจจับข้อมูลที่ละเอียดอ่อน เราต้องตรวจสอบให้แน่ใจว่าการกำหนดค่า FTP and Telnet, IP Defragmentation และ TCP Stream Configuration นั้นถูก enable มาใช้งานในนโยบายการวิเคราะห์เครือข่าย โดยไปยังเมนู Policies -> Intrusion -> Network Analysis Policies -> Edit Snort 2 Version of Active Network Analysis Policy -> Policy Layers -> My Changes
ทำการเปลี่ยนจาก Inherit เป็น Enable ตามรูปตัวอย่างด้านล่าง
Note. ผู้ดูแลระบบสามารถเข้าไป Edit ใน Snort 2 เนื่องจาก Feature นี้ยังไม่มีใน Snort version 3เข้าไปยังเมนู Policies -> Intrusion -> Edit Snort 2 Version -> Advanced Setting -> Sensitive Data Detection -> Enable เพื่อ Enable ตัว Sensitive Data Detection
ตามค่า Default มีข้อมูลบางประเภทที่โมดูลการตรวจจับข้อมูล Sensitive Data ตรวจพบ เช่น หมายเลขบัตรเครดิต, Email Address, หมายเลขโทรศัพท์ของสหรัฐอเมริกา และหมายเลขประกันสังคม แต่เราสามารถเพิ่มประเภทข้อมูลของเราเองได้โดยใช้ regular expression และสามารถ customize ตัว Pattern ต่าง ๆ ได้ ผ่านทาง regular expression เช่น ข้อมูลที่ไม่ได้มากับ default ของอุปกรณ์ หรือจะเป็น pattern เบอร์โทรศัพท์ของประเทศไทย เช่น ขึ้นต้นด้วย 081, 089, 086 เป็นต้น
ผมจะอธิบายรายละเอียดจากภาพด้านบนนี้ เพื่อขึ้นอีกหน่อยนึงนะครับMask: หากไป Enable Mask ไว้ ระบบแทนที่ทั้งหมดยกเว้นตัวเลขสี่หลักสุดท้ายของหมายเลขบัตรเครดิต และหมายเลขประกันสังคมด้วยตัวอักษร X ในแพ็กเก็ตที่ถูกตรวจจับได้
Networks: ระบุโฮสต์ปลายทางหรือโฮสต์ต่าง ๆ เพื่อตรวจสอบ Sensitive Data เราสามารถระบุ IP Address เดียว, Network Address หรือ IP Address หลาย ๆ เครือข่าย ซึ่งเราสามารถคั่นด้วยเครื่องหมายจุลภาค หรือคอมม่า นั่นเองครับ
Global Threshold: ระบุจำนวนรวมของประเภทข้อมูลทั้งหมดที่เกิดขึ้นระหว่างเซสชันเดียวที่ตัวประมวลผลและตรวจพบก่อนสร้าง Event ในที่นี่จะเป็น default เป็นจำนวน 25
ทำการคอนฟิกกฎหรือ Rules เพื่อเปิดการใช้งานนโยบายการบุกรุก ในการตรวจจับและสร้างเหตุการณ์หรือปล่อยแพ็กเก็ตที่ละเมิด เราจำเป็นต้องเปิดใช้งาน IPS Rule ที่เกี่ยวข้องใน Policy ต่าง ๆ ด้วย
เราจะทำการเปิดใช้งานด้วย GID 138 และ 139 ในนโยบายการบุกรุก สำหรับ Sensitive Data แต่ละประเภท จะมีกฎการบุกรุกที่มีค่า GID เท่ากับ 138
ทำการ Search GID:138 เพื่อทำการ Drop และ Generate Events ออกมาเป็น Log โดยไปยัง Policy Layers>My Changes>Rules ตามภาพด้านล่างนี้ครับ
นอกจากนี้ จำเป็นต้องมี IPS ใน GID139:1 เพื่อเปิดใช้งานการตรวจจับและสร้าง Event และทำการ drop แพ็กเก็ตที่ละเมิดในประเภทข้อมูลเหล่านี้
เมื่อทำการคอนฟิก IPS Policy เสร็จเรียบร้อยแล้ว ให้นำไปใช้ใน Access Rule ในเมนู Instution Policy ได้ โดยตัวอย่างเราจะใช้ IPS Policy1 ซึ่งเป็น Policy ที่เราได้สร้างขึ้นมาก่อนหน้านี้แล้ว หากใครไม่ทันส่วนนี้สามารถกลับไปดูบทความก่อนหน้าเกี่ยวกับการทำ Policy ได้เช่นกันครับ
ผมแนบ Link มาให้นะครับ https://www.ablenet.co.th/2023/08/05/ips_firepower/
เนื่องจากเรากำหนดค่า Snort เวอร์ชัน 2 เราจึงต้องเปลี่ยนเวอร์ชัน Snort ของอุปกรณ์จากเวอร์ชั่น 3 เป็นเวอร์ชั่น 2 ก่อน เพื่อดูผลลัพธ์ของ Policy ที่ได้ทำไปก่อนหน้านี้ ซึ่งเราหวังว่าเราจะมีฟีเจอร์การตรวจจับข้อมูล Sensitive Data หรือ DLP ใน snort เวอร์ชัน 3 เร็วๆ นี้เช่นกันครับ
เราไปยังเมนู Devices -> Device Management -> click IPS Device -> Device -> Inspection Engine -> Snort Version 2
สุดท้ายเราจะมา ตรวจสอบผลลัพธ์ของ Policy การตรวจจับข้อมูล Sensitive Data ในการตรวจสอบผลลัพธ์ของการทำงาน IPS Policy เราลองรับส่งข้อมูลที่เป็นรายการ Sensitive Data ต่าง ๆ ด้วย Email Address โดยผ่าน IPS Policy จากนั้นตรวจสอบเหตุการณ์ที่เกิดขึ้นด้วยกันครับ ซึ่งจะเห็นผลลัพธ์จาก Event Log ที่ขึ้นมาว่าเป็นข้อมูลประเภท Sensitive Data ตามด้านล่างนี้
รูปด้านล่างเราเห็น Log ในส่วนของการ Drop ข้อมูลใน IPS หมายเลข GID:138 นั่นเองครับ
เป็นอันเสร็จเรียบร้อยสำหรับตัวอย่างการติดตั้ง เพื่อให้สามารถใช้งานการป้องกันข้อมูลรั่วไหล DLP หรือ ป้องกันการส่งข้อมูล Sensitive Data ออกไปข้างนอกนะครับ เรามีบทความมากมายเกี่ยวกับ Cisco Firepower และ Cybersecurity สามารถกด Tag ด้านล่างเพิ่มเติมเพื่ออ่าน และนำไปใช้งานด้วยกันนะครับ และเพื่อจะไม่พลาดบทความใหม่ ๆ สามารถกด Like กดติดตาม Facebook ของ AbleNet ได้ตามข้อมูลด้านล่างนะครับ
Note. นอกเหนือจาก Cisco Firepower แล้ว Cisco ยังมี Cisco Umbrella ที่สามารถใช้งาน DLP (Data Loss Prevention) ได้อีกด้วยครับ สามารถไปกดติดตามในช่อง Cisco Umbrella ได้ตาม Link นี้นะครับ https://www.youtube.com/@CiscoUmbrella
หากสงสัย หรือมีข้อแนะนำส่วนไหนก็สามารถติดต่อเข้ามาได้นะครับ ขอบคุณมากครับ
ติดต่อสอบถามข้อมูลเพิ่มเติมได้ที่
Website: www.ablenet.co.th
Facebook: https://www.facebook.com/ablenetcompany
Mobile: 098 859 9000
