เทคโนโลยี SDSN หรือ Software-Defined Secure Network เป็นเทคโนโลยีที่น่าสนใจ และกำลังเป็นที่พิจารณาขององค์กรต่างๆ ทั้งนี้ก็เพื่อที่จะสร้างระบบการป้องกันที่ดีมากขึ้น เพราะในปัจจุบันพบว่าภัยที่เกิดขึ้นมีความอันตรายมาก
โดยรายงานของทาง Risk Based Security ระบุว่าในปี 2016 นั้นมีการโจรกรรมข้อมูลของผู้ใช้งานมากกว่า 4.2 พันล้านราย และรายงานวิจัยของ Juniper ก็คาดการณ์ว่ามูลค่าความเสียหายรวมของอาชญากรรมไซเบอร์ในปี 2019 จะสูงถึง 2 ล้านล้านดอลลาร์สหรัฐฯ แต่อย่างไรก็ตาม โซลูชั่น SDSN ในตลาดนั้นกลับมีจุดอ่อนและข้อจำกัดมากมาย ไม่ว่าจะเป็น
1. ข้อจำกัดในการป้องกันกับภัยคุกคามที่มาด้านระนาบข้าง
2. โพลิซีความปลอดภัยที่ซับซ้อนเกินกว่าจะจัดการ
3. ปัญหาด้านสามารถในเชิงของ Visibility
4. ระบบไม่ประสานงานกัน และยังคงให้ความสำคัญแค่ที่ตัวไฟร์วอลล์เท่านั้น
ดังนั้นจึงจำเป็นต้องหาโครงสร้างเครือข่ายที่ปลอดภัยอย่างแท้จริง เพื่อจะสร้างระบบการป้องกันสูงสุด โดยระบบดังกล่าวจะต้อง
1. มีระบบการตรวจจับอันตรายที่แม่นยำ
สำหรับอันตรายที่รู้จักนั้น (Known threats) ระบบจะต้องพิจารณาข้อมูลของอันตรายจากบันทึก Log บนระบบ และข้อมูลจากบนคลาวด์ ทั้ง C&C, Geo-IP, และเธิร์ดปาร์ตี้อื่นๆ ผ่าน REST API ส่วนอันตรายที่ไม่รู้จัก (Unknown threats) ควรจะมีการใช้การแซนด์บ็อกซ์, กลไก Machine Learning, และ Deception
2. มีการกำหนดโพลิซี และวิเคราะห์ข้อมูลจากศูนย์กลาง
ทั้งนี้ก็เพื่อให้การมองเห็นทุกซอกทุกมุมบนเครือข่าย สามารถรวบรวมโพลิซีความปลอดภัยให้เป็นหนึ่งเดียว และจัดการได้จากแผงควบคุมศูนย์กลาง
3. บังคับใช้โพลิซีได้ทุกตำแหน่ง
เพื่อสามารถยกระดับองค์ประกอบใดบนเครือข่ายก็ได้ให้เป็นจุดบังคับใช้ และช่วยเร่งความเร็วพร้อมทำให้ระบบจัดการอันตรายทำงานแบบอัตโนมัติ และยังควรที่จะรักษาความปลอดภัยแก่ทราฟิกทั้งในทิศทางแบบ E-W และ N-S ได้
เรามาลองดูกันว่าระบบความปลอดภัย ที่ทำให้เครือข่ายปลอดภัยอย่างแท้จริงนั้นเป็นอย่างไร สำหรับขั้นตอนต่อไปนี้เป็นโฟลว์การทำงานของระบบเมื่อมีการติดชื้อบนโฮสต์
จากภาพข้างต้น เราอธิบายได้ดังนี้
1. เครื่องลูกพยายามดาวน์โหลดมัลแวร์ที่ไม่รู้จัก
2. ไฟร์วอลล์ Next-Gen ซีรี่ย์ SRX สแกนไฟล์
3. ไฟร์วอลล์ Next-Gen ซีรี่ย์ SRX ส่งไฟล์ขึ้นไปที่ SkyATP เพื่อวิเคราะห์
4. SkyATP ตรวจพบว่าเป็นมัลแวร์ และแจ้งเตือนกลับมายังไฟร์วอลล์ และ Policy Enforcer
5. ไฟร์วอลล์ SRX ปิดกั้นไม่ให้ดาวน์โหลดไฟล์ดังกล่าว
6. Policy Enforcer จำกัดบริเวณโฮสต์ไปอยู่บน VLAN อื่น หรือปิดกั้นการเข้าถึงผ่านสวิตช์หรือแอคเซสพอยต์ระดับ Access
7. การแพร่เชื้อทั้งในทิศ E-W และ N-S ถูกปิดกั้น เพื่อป้องกันการระบาดในแนวระนาบ
กล่าวสรุปก็คือ ระบบและโซลูชั่นการป้องกันภัยที่ดีนั้น จะต้องสามารถ บังคับใช้โพลิซีแบบอัตโนมัติ และแบบไดนามิกได้ มีระบบจัดการอันตรายแบบประสานงานร่วมกัน สามารถที่จะให้การมองเห็นเครือข่ายที่ดีที่สุด และบริหารจัดการโกบอลโพลิซีได้
ท่านใดสนใจผลิตภัณฑ์ SDSN จาก Juniper Networks สามารถติดต่อได้ที่ INGRAM MICRO (THAILAND) LTD.
คุณ Pongwut Assaneewuttikorn, Senior Product Manager / Advance Security Solutions Unit โทร +662 012 2222 อีเมล์
TH-PMSecurity@ingrammicro.com
