การป้องกันภัยคุกคามในระบบปฏิบัติการ Unix/Linux ด้วย ObserveIT

การป้องกันภัยคุกคามในระบบปฏิบัติการ Unix/Linux ด้วย ObserveIT

ระบบปฏิบัติการ Unix และ Linux ได้รับความนิยมในองกรค์เพิ่มขึ้น ด้วยความนิยมที่เพิ่มมากขึ้น ระบบปฏิบัติการ Unix/Linux ก็ได้กลายเป็นเป้าหมายในการโจมตีเพิ่มมากขึ้นด้วยเช่นกัน กรณีภัยคุกคามภายนอก Hacker สามารถเข้ามาในระบบปฏิบัติการ Unix/Linux ผ่่นทาง internet อย่างไรก็แล้วแต่ ภัยคุกคามที่ใหญ่ที่สุดที่มีผลต่อระบบปฏิบัติการ Unix/Linux ของคุณ ไม่ใช่ที่มาจากภัยนอกแต่เป็นภายใน

ภัยคุกคามภายใน ในระบบปฏิบัติการ Unix/Linux

ภัยคุกคามภายในสามารถมาได้จากทุกที่ แต่ในระบบปฏิบัติการ Unix/Linux จะมีภัยคุกคามจากภายในบางชนิดที่จะส่งผลให้รบบทั้งสองเกิดปัญหาขึ้นมาและเป็นอันตรายอย่างยิ่ง

  • ผู้ใช้ทำการสร้างหรือแฝงตัวเพื่อที่จะทำ backdoor
  • user ทีมีสิทธิการเข้าถึงระบบ ทำการสำเนาaccount ของตัวเอง และกำหนดสิทธิพิเศษให้กับ user ของตัวเอง
  • System administrator หรือ Developer ทำการฝัง code เพื่ออนุญาติให้ user ทำอะไรบางอย่าง หรือทำให้เกิดความเสียหายกับเซิฟเวอร์

ภัยคุกคามภายในเหล่านี้เป็นภัยคุกคามทั่วไป แต่ลองดู use case ที่แสดงให้เห็นถึงอันตรายของภัยคุกคามภายในโดยไม่มี monitoring solution ที่เหมาะสมในสถานที่นั้น ๆ

Insider Threat Report CTA

SANS 20 Banner_0

John เป็นผู้ดูแลในระบบปฏิบัติการ UNIX มีหน้าที่รับผิดชอบเซิฟเวอร์ประมาณ 100 เครื่องใน data center ของบริษัท แต่ละครั้ง John จะได้รับการแจ้งเตือนหรือปัญหาที่เกิดขึ้นกับเซิฟเวอร์ John ต้องเข้าไปที่เซิฟเวอร์โดยผ่านทาง ssh เพื่อแก้ไขปัญหาที่เกิดจากการแจ้งเตือน เซิฟเวอร์ที่มีปัญหาไม่อนุญาติให้ผู้ใช้งานเชื่อมต่อกับเซิฟเวอร์โดยใช้ชื่อบัญชี root โดยตรง ดังนั้น John จึงเข้าสู่ระบบโดยใช้บัญชีธรรมดา และใช้คำสั่งที่ต้องการสิทธในระดับ root โดยใช้คำสั่ง sudo

John ขี้เกียจพิมพ์รหัสผ่านแต่ละครั้งที่เขาต้องการเข้าไปเชื่อมต่อแต่ละเซิฟเวอร์ ดังนั้น John จึงสร้าง bash script ขึ้นมาตั้งชื่อว่า testme.sh ใน bash script มีคำสั่งที่ใช้สำหรับสร้าง local user บนเครื่องเซิฟเวอร์ และยังกำหนดสิทธในระดับ root (uid=0) ให้อีกด้วย bash script นี้ได้ทำการเพิ่ม ssh public key ให้กับ user ที่ john ได้สร้างขึ้น ซึ่งช่วยให้ user ที่ john สร้างขึ้นสามารถที่จะใช้คำสั่งบนเซิฟเวอร์โดยไม่ต้องพิมพ์รหัสผ่าน อีกทั้ง bash script ที่ john ได้สร้างขึ้นยังสามารถที่จำลบร่องลอยของการกระทำต่างๆ และไม่มีประวัติการเข้าสู่ระบบ โดยใช้คำสั่ง testme.sh John จึงรอดพ้นจากการถูกเก็บ log สำหรับการกระทำต่าง ๆ และระบบตรวจสอบต่างๆ

Protecting-Against-Threats-in-Unix-Linux
Protecting-Against-Threats-in-Unix-Linux2Protecting-Against-Threats-in-Unix-Linux3
 

ภัยคุกคามภายในเหล่านี้เกิดขึ้นได้โดยที่ไม่มีใครเห็น ในองค์กรจึงจำเป็นจะต้องวางระบบในองค์กรนั้น ๆ เพื่อตรวจสอบการกระทำของผู้ใช้งาน/ผู้ดูแลระบบ All activities recording เหล่านั้น

ความสามารถของ ObserveIT ในการตรวจสอบ UNIX/Linux

ObserveIT มีวิธีที่จะ monitoring ระบบปฏิบัติการ UNIX/Linux ที่แตกต่างจาก Solution สำหรับ monitoring อื่น ๆ ทั้งหมด Agent ของ ObserveIT สามารถที่จะ monitor process activities และพฤติกรรมการใช้งานที่ผิดปกติ Agent สามารถที่จะบันทึก user session ใดๆ และในการบันทึกแต่ละ user session จะสามารถเห็นคำสั่งที่กำลังทำงานหรือแสดงผลอยู่ในระบบปฏิบัติการ UNIX/LINUX โดยแต่ละ user session จะแยกออกจากกัน Agent จะทำการส่งข้อมูลไปที่เซิฟเวอร์กลางเพื่อที่จะสร้างการแจ้งเตือนเมื่อมีคำสั่งหรือ specific parameter ที่เป็นสาเหตุให้เกิดการแจ้งเตือนบนพื้นฐานของ security rules ที่เรากำหนดไว้ล่วงหน้า ObserveIT administrator สามารถที่จะติดตามการแจ้งเตือนโดยสามารถดูได้จากวีดีโอของ user session ข้อมูลต่างๆยังถูก index เก็บไว้และสามารถที่จะค้นหาได้ ซึ่งจะช่วยให้ผู้ดูแลระบบสามารถค้นหาได้เร็วและหาวีดีโอที่เกี่ยวข้องได้

ประโยชน์ของ ObserveIT UNIX/LINUX

  • Process Base Inspection: solution ของ ObserveIT คือ ดังนั้นจึงมีความสามารถในการติดตาม flow of process และ sub processes และแสดงผลแบบ real time และเข้าถึงการข้อมูลต่างๆ โดยใช้ web UI interface.
  • Centralize Management: ObserveIT’s centrailzed control dashboard ช่วยให้องค์กรสามารถตรวจสอบเซิฟเวอร์ขององค์กรทั้งหมด เมื่อมีเหตุการณ์เกิดขึ้นตามกฏที่เราตั้งไว้ ก็จะแจ้งเตือนได้ในรูปแบบ real- time  และสามารถที่จะกำหนดกฏให้แต่ละเซิฟเวอร์ได้เพียงคลิก
  • Multi-platform Support: ObserveIT สามารถใช้ได้กับ Linux distributions ประเภทหลักๆ และทั้งหมดในระบบปฏิบัติการ Unix เช่น AIX, HPUX, และ Solaris และใน Microsoft Platforms
  • Segregation of Duties: ObserveIT ช่วย (CSO: Chief Security Officer)  ทำการ deploy และ enforce monitoring rules ไปที่เซิฟเวอร์ได้โดยตรง โดยไม่ต้องพึ่งผู้ดูแลระบบ
  • Forensics Abilities: ในกรณีของการละเมิดกฏ ในขณะที่ ObserveIT กำลังบันทึกอยู่ security officer สามารถที่จะตรวจสอบดูย้อนหลังดูการกระทำทั้งหมดว่าทำอะไรไปบ้าง รวมทั้งความพยายามที่ผู้ละเมิดพยายามปกปิดการกระทำที่เกิดขึ้น ในกรณีที่เซิฟเวอร์ถูกลบ
  • Real Time Activity Alerts: ObserveIT มีการแจ้งเตือนแบบ real time นั่นคือจะมีการแจ้งเตือนเมื่อมีการละเมิดกฏที่เราได้ตั้งขึ้น ตัวอย่าง ติดตั้ง pakage หรือ ทำการใช้คำสั่งที่ไม่อนุญาติ เช่น wget, curi, gzip และ co
  • User Activity Inception: ObserveIT ทำการ monitors ผู้ใช้ที่กำลังทำผิดกฏ เช่น ผู้ดูแลระบบที่  หรือ developer ทำการเพิ่ม backdoor script ไปที่เซิฟเวอร์หรือบางคนเชื่อมจาก server console โดยตรง
  • Intrusion Dictation: ObserveIT ตรวจสอบการละเมิดการทำงานที่ถูกต้องเพื่อที่จะเข้าไป Hack Server ตัวอย่างเช่น Hacker ต้องการ hack server โดยใช้ช่องโหว่ของเว็ปไซต์ทำการอัพโหลด Shell Script เข้าไปที่เว็ปไซต์ และให้ Shell Script ทำการ connect กับมาที่เครื่องของ Hacker

ความสามารถของ ObserveIT ด้วย UNIX/Linux Agent ช่วยให้บริษัทต่างๆ สามารถบันทึก, ดูย้อนหลัง, ค้นหา และแจ้งเตือน เกี่ยวกับการกระทำต่างๆของผู้ใช้ ObserveIT คือ บริษัทซอต์ฟแวร์ด้านความปลอดภัยที่มีการวิเคราะห์ แจ้งเตือน และติดตามแสดงผลเพื่อระบุตัวตนเมื่อมีผู้ใช้มีการใช้งานที่ก่อให้เกิดความเสี่ยงต่อธุรกิจของคุณ กว่า 1,200 บริษัท เช่น Cigna, Charles Schwab และ Starbucks ใช้ ObserveIT เพื่อการทำ incident response, forensics และ compliance. ObserveIT มีเทคโนโลยีที่เรียกว่า screen-recording สามารถทำการcapture ทุกการกระทำของผู้ใช้งาน โดยไม่สน environment และจะทำการแปลงจากภาพ screenshot เป็น User Activity Logs ซึ่งจะทำให้สามารถค้นหา, วิเคราะห์ และทำการตรวจสอบการกระทำของผู้ใช้งานได้โดยง่าย ObserveIT ช่วยให้บริษัทป้องกันการสูญเสียของบริษัท และข้อมูลที่สำคัญของลูกค้าโดยทำการตรวจสอบพฤติกรรมที่น่าสงสัยในแบบ real-time และสามารถสืบได้ว่าเกิดอะไรขึ้น

ที่มา http://www.observeit.com/blog/protecting-against-threats-unixlinux

About the Author

Comments are closed.