The Power of SIEM: Cisco กำลังจะซื้อ Splunk ด้วย 20B USD?

หลายคนคงเคยได้ยินและรู้จัก SIEM มาแล้ว จากการเกิดขึ้นมาของ พรบ.คอมพิวเตอร์ ซึ่งจำเป็นต้องให้ผู้ใช้งาน หรือองค์การต่าง ๆ เก็บข้อมูลของผู้ใช้งานที่ต้องออกสู่โลกอินเตอร์เน็ต โดย SIEM มันเป็นมากกว่าการเก็บ Log เฉย ๆ แต่มันเป็นตัวที่จะนำ Data/Big Data มาทำการวิเคราะห์ ที่มาของ SIEM จึงย่อมาจาก Security information and event management (SIEM) คือระบบ เครื่องมือ และเทคโนโลยีที่ช่วยให้เจ้าของธุรกิจสามารถมองเห็นการรักษาความปลอดภัยข้อมูลขององค์กรได้อย่างสมบูรณ์ นำเสนอมุมมองด้านความปลอดภัยแบบองค์รวมที่เหนือกว่าโซลูชันแบบเดิมที่ผ่านมา ที่มาภาพ: https://www.wallarm.com/what/siem-whats-security-information-and-event-management-technology-part-1 Log Server แบบเดิมที่ผ่านมาเป็นเพียงแค่เก็บ Raw Log ไว้ และมีหน้า Dashboard ไว้ดูความเป็นไปเท่านั้น แต่ SIEM มันไปไกลกว่านี้ ธุรกิจที่รับผิดชอบด้านความปลอดภัยทั้งขนาดเล็กและขนาดใหญ่มีทั้งอุปกรณ์ และโปรแกรมมากมายที่ให้การป้องกันและการรายงานด้านความปลอดภัย สิ่งเหล่านี้สร้างข้อมูลจำนวนมหาศาล – มีข้อมูลมากกว่าที่มนุษย์หรือตัวเก็บ Log Server จะประมวลผลได้ ดังนั้น […]

วิธีแก้ปัญหา การไม่สามารถเปลี่ยนรหัส User บน AD ได้

ในบทความนี้จะเป็นการแนะนำการแก้ไขปัญหา The following error occurred while attempting to set password for users (password doesn’t meet policy requirement) หรือการไม่สามารถเปลี่ยนรหัสผ่าน Users บน Active Directory ได้ เนื่องจาก password ที่ผู้ใช้ต้องการ ไม่เข้ากับเงื่อนไขความปลอดภัยที่ถูก default setup ไว้ ซึ่งวิธีการแก้ไขสามารถทำตามแบบ Step by step ได้เลยครับ วิธีการปิด Security Password ของ Users  Step 0: เมื่อทำการคลิกเปลี่ยนรหัสผ่าน จะพบกับ Error logs ดังรูป Step 1: คลิก Start จากนั้นพิมพ์ secpol.msc > Enter Step 2: คลิก Security Settings > […]

มีอะไรใหม่ใน ISE 3.x

ในปัจจุบันเรามักจะได้ยินคำว่า Zero Trust กันบ่อยมากขึ้น หลายคนอาจจะสงสัยว่ามันคืออะไร และเกี่ยวข้องอะไรกับการรักษาความมั่นคงและความปลอดภัยในระบบเครือข่าย รวมไปถึงข้อมูลภายในองค์กร Zero Trust ชื่อบอกอยู่แล้ว และแปลตรงตัวคือ ความไว้ใจเป็นศูนย์ ก็คือไม่ไว้ใจใครเลย ไม่เชื่อใจใคร ต้องพิสูจน์ให้เห็นก่อนว่าเป็นใคร ก่อนที่จะเข้ามา access หรือใช้งานในระบบเครือข่ายภายในองค์กรเรา ไม่ว่าจะเข้ามาจากภายใน หรือภายนอกองค์กรก็ตาม โดยมีมาตรการการควบคุมข้อมูลหรือสารสนเทศเหล่านั้น เพราะฉะนั้นการที่เราใช้งาน Firewall เพื่อนำมากรอง, Filter หรือกั้น Traffic ต่าง ๆ อย่างเดียวอาจจะไม่เพียงพออีกต่อไป เราต้องมีเรื่องของ NAC (Network Access Control) รวมไปถึงการป้องกันการเจาะ Credential ต่าง ๆ ในองค์กรของเรา Solution ที่ตอบโจทย์และแก้ปัญหา Pain เหล่านี้ก็คือ MFA (Multi-Factor Authentication) เป็นการใช้หลาย ๆ ปัจจัยเข้ามามีส่วนตรวจสอบและยืนยันบุคคล เปรียบเสมือนเราเข้าไปในอาคารใด อาคารหนึ่งต้องมีบัตรประชาชนยืนยันตัวตน รวมถึงแจ้งชื่อ นามสกุล และหน่วยงานของเราด้วย […]

How to block DDoS Attack with Cisco ASA Firewall

เมื่อพูดถึง DoS (Denial of Service attacks) หรือ DDoS (Distributed DoS attacks) เรามักจะนึกถึงการโจมตีเพื่อมีผลให้ไม่สามารถใช้งานทรัพยากรที่เรามีอยู่ในระบบเครือข่ายของเราได้ เช่น Web Server, Email Server, File Server, Database Server หรือ IP PBX Server เป็นต้น หรืออาจจะเป็นการโจมตีโดยการส่งจำนวนมากไปยังเป้าหมาย ซึ่งทำให้เกิดการใช้แบนด์วิดธ์อย่างเต็มที่และ/หรือทำให้ทรัพยากรของเป้าหมายถูกใช้ไปจนหมด การโจมตีแบบ DoS ไม่จำเป็นต้องโจมตีที่ระบบของเหยื่อโดยตรง สามารถโจมตีไปที่ระบบซึ่งอยู่นอกขอบเขตของระบบของเหยื่อได้ ในหลายๆ กรณี จุดที่ผู้โจมตีใช้โจมตีนั้นมักจะเป็นระบบที่ถูก compromise โดยผู้โจมตีแล้ว ผู้โจมตีมักจะไม่ใช้ระบบของตนเองในการโจมตีต่อผู้อื่น เพราะอาจจะถูกตรวจสอบถึงตัวได้โดยง่าย การป้องกันการโจมตีไม่เพียงแต่เป็นการป้องกันการใช้งานอินเทอร์เน็ตในทางที่ผิด หากแต่ยังป้องกันไม่ให้มีการใช้ทรัพยากรเหล่านี้ไปโจมตีระบบของผู้อื่นต่อไป การป้องกันการโจมตีแบบ DoS ยังเป็นเรื่องที่ยากและต้องศึกษากันอีก การทำ rate limiting, packet filetring, หรือใช้งาน tweaking software ก็สามารถลดผลกระทบที่เกิดจากการโจมตีแบบ DoS ได้ […]

วิธีการทำ Rate Limit (Traffic Shaping) บน Cisco FirePOWER

ช่วงที่ผ่านมาผมได้มี Requirement จากทางลูกค้ารายนึงในประเทศเพื่อนบ้านของเราซึ่งค่าให้บริการอินเตอร์เน็ตยังราคาสูงมาก ตรงกันข้ามกับเมืองไทยที่ราคาค่อนข้างถูกลงมาเรื่อย ๆ สวนทางกับความเร็วที่เพิ่มขึ้นให้กับทางลูกค้า จึงทำให้ลูกค้าในฝั่งประเทศเพื่อนบ้านเราหลาย ๆ องค์กรมีความต้องการก็คือ ต้องการ Shape Bandwidth หรือจำกัดความเร็วของการใช้งานอินเตอร์เน็ตโดยกำหนดเป็น By User ที่ sync จาก Active Directory ทางลูกค้ามี FirePOWER รุ่น FP2120 ซึ่งเป็นรุ่นที่ต้องบริหารจัดการแบบ Offbox โดยใช้ FMC (FirePOWER Management Center) ที่เป็น Guest อยู่บน VMWare ESXi ทำการ Configure มาที่ตัวอุปกรณ์ FP2120 หลายคนที่เคยทำ Cisco PIX Firewall และ ASA Firewall เมื่อมาเจอความต้องการของลูกค้าแบบนี้ก็มักจะส่ายหน้า และก็บอกกลับไปว่าจอด ทำไม่ได้ แต่ผมกำลังมาแจ้งข่าวดีว่า Cisco FirePOWER รุ่นใหม่พร้อมกับตัว FMC […]

ASA 5516-X FirePOWER

อุปกรณ์รักษาความปลอดภัย (ASA5516-X-K9) เป็นอุปกรณ์เฉพาะ Hardware appliance ที่ออกเพื่อทำหน้าที่ Firewall , Next Generation Intrusion Prevention System และ VPN Gateway หรือเทียบเท่า มี Flash Memory ไม่น้อยกว่า 8 GBและมี Solid-state drive ไม่น้อยกว่า 100GB มีการเชื่อมต่อ (Concurrent/Maximum connections) ได้สูงสุดไม่น้อยกว่า 250,000 sessions และ 20,000 connections per second โดยมี Firewall Throughput สูงสุดไม่น้อยกว่า 8 Gbps มี Intrusion Prevention Throughput และ Firewall Throughput รวมสูงสุดไม่น้อยกว่า 450 Mbps สามารถทำ […]