ปัจจุบันแม้ว่าองค์กรทั่วไปจะมีการติดดั้งอุปกรณ์รักษาความปลอดภัยที่ทันสมัย ไม่ว่าจะเป็น Next Generation Firewall, Intrusion Prevention System (IPS), Web Application Firewall (WAF) หรือแม้กระทั่งโซลูชันจาก Sandbox
แต่อุปกรณ์เหล่านี้ก็ยังไม่สามารถป้องกันภัยคุกคามขั้นสูงที่มีความซับซ้อนได้ ดังจะเห็นได้จากที่องค์กรเหล่านี้ยังพบปัญหาใหม่ๆ ที่อุปกรณ์เดิมไม่สามารถตรวจจับและป้องกันได้ เช่น ปัญหาการโจมตีจากมัลแวร์ขั้นสูง ที่มาขโมยข้อมูลหรือสร้างความเสียหายให้กับข้อมูลภายในองค์กร

Lastline ได้ใช้เวลามากกว่าสิบปีในการค้นคว้าและวิจัยเกี่ยวกับกลยุทธ์และเทคนิคการหลบเลี่ยงการตรวจจับของภัยคุกคามในรูปแบบต่างๆ ผลลัพธ์ที่ได้คือซอฟต์แวร์แพลตฟอร์มในการตรวจจับและป้องกันภัยคุกคามขั้นสูง ที่สามารถนำไปเชื่อมต่อและเสริมประสิทธิภาพระบบรักษาความปลอดภัยในปัจจุบันให้สมบูรณ์ยิ่งขึ้น

ฟีเจอร์ของ Lastline

  1. High Resolution Malware Analysis

Lastline วิเคราะห์พฤติกรรมของ Malware ในระดับชุดคำสั่งบน CPU และ Memory ทำให้สามารถวิเคราะห์และตรวจจับ Malware ได้ละเอียดและถูกต้องมากกว่าโซลูชันโดยทั่วไปที่ทำการวิเคราะห์ในระดับ OS emulation และ virtualization เท่านั้น ซึ่งไม่สามารถตรวจจับ Malware เชิงลึกที่ใช้เทคนิคหลบเลี่ยงการตรวจจับได้

traditional-apt-sandbox-vs-lastline-full-system-emulation

2. Big Data Analysis of Enterprise Traffic

Lastline รวบรวมข้อมูลทราฟฟิกในองค์กรทั้งหมด (ไม่ว่าจะเป็น flow information, DNS query, meta-information, etc) และใช้เทคนิคทั้ง Machine Learning และ Anomaly Detection ในการวิเคราะห์และตรวจจับทราฟฟิกที่ไม่ปลอดภัยหรือมีพฤติกรรมต้องสงสัย โดยรองรับทราฟฟิกการใช้งานทุกประเภทภายในองค์กร ไม่ว่าจะเป็น OS (Windows, MAC OSX, Android), Physical server หรือ Virtual host, service, web, email และ mobile application เป็นต้น

total-coverage

3. Active Threat Discovery

Lastline มีเทคนิคในเก็บรวบรวมข้อมูลและสร้างฐานข้อมูลของภัยคุกคามก่อนที่จะแพร่กระจายมายังผู้ใช้งาน โดยใช้เทคนิคและ algorithm ในการเชื่อมไปยังลิงค์ต่างๆ บนเว็บไซต์ทั่วโลก เพื่อตรวจสอบหาเว็บไซต์ที่ไม่ปลอดภัยและเป็นแหล่งแพร่กระจายของมัลแวร์

scale-unlimited-locations-breach-detection-advanced-threat

4. Incident Centric Correlation

Lastline เชื่อมโยงความสัมพันธ์ของเหตุการณ์ต่างๆ ที่เกิดขึ้น พร้อมระดับความรุนแรงของเหตุการณ์ โดยแสดงผลบน Dashboard พร้อมรายละเอียดและขั้นตอนในการแก้ไขและกำจัดปัญหาที่เกิดขึ้น

breach-incident-rollup

5. System Information & Event Management Integration

Lastline สามารถ export ข้อมูล syslog ไปยังระบบ SIEM เพื่อทำงานร่วมกันในการเก็บวิเคราะห์ข้อมูล นอกจากนี้ Lastline ยังสามารถส่งข้อมูลให้ระบบ Security อื่นๆ เช่น IPS, Endpoint, UTM, NGFW เพื่อทำ Policy ในการป้องกันและแก้ไขปัญหาที่เกิดขึ้นได้

lastline-integrations

ส่วนประกอบและการทำงานของ Lastline

แพลตฟอร์มของ Lastline ประกอบด้วยส่วนประกอบสำคัญ 4 ส่วน คือ Sensor, Engine, Manager และ Advanced Threat Intelligence โดยส่วนประกอบทั้ง 4 ส่วนนี้จะทำงานร่วมกันในการวิเคราะห์ทราฟฟิกบนเครือข่าย เพื่อตรวจสอบและป้องกันภัยคุกคามที่เกิดขึ้น

lastline-component

  • ขั้นตอนที่ 1: Sensor ตรวจสอบทราฟฟิกบนเครือข่าย

Sensor ทำหน้าที่ตรวจสอบทราฟฟิกบนเครือข่าย โดยวัตถุ (object) ต้องสงสัยที่พบจะถูกดึงออกมาจากทราฟฟิกเพื่อตรวจสอบ ไม่ว่าจะเป็นการใช้งานเว็บไซต์ อีเมล์ หรือ File Sharing ต่างๆ หากวัตถุนั้นเป็นภัยคุกคามที่ Lastline รู้จักอยู่แล้ว วัตถุนั้นก็จะถูกบล็อกโดยทันที แต่หากเป็นวัตถุต้องสงสัยที่ไม่รู้จัก ก็จะถูกส่งไปให้ Next-Generation Sandbox ตรวจสอบและวิเคราะห์เชิงลึกต่อไป

  • ขั้นตอนที่ 2: วิเคราะห์ทราฟฟิกบน Engine ด้วยเทคโนโลยี Next-Generation Sandbox

วัตถุต้องสงสัยจะถูกส่งมาวิเคราะห์เชิงลึกบน Lastline Engine ซึ่งใช้เทคโนโลยี Full-System emulation Sandbox เพื่อตรวจสอบพฤติกรรมของวัตถุว่ามีลักษณะหรือพฤติกรรมที่ก่อให้เกิดภัยคุกคามหรือไม่แบบเรียลไทม์ (real time) โดยเป็นเทคโนโลยีเดียวที่ Lastline มีซึ่งแตกต่างจากเทคโนโลยี Sandbox ทั่วไปที่มีในท้องตลาด ที่ใช้เทคนิคการทำ OS emulation และ virtualization ซึ่งไม่สามารถตรวจสอบพฤติกรรมเชิงลึกของภัยคุกคามที่พยายามซ่อนตัวอยู่ได้ ข้อมูลที่ตรวจสอบจาก Engine จะส่งต่อไปยัง Lastline Manager เพื่อจัดลำดับความสำคัญของภัยคุกคามที่ตรวจพบ

  • ขั้นตอนที่ 3: Manager เครื่องมือและ Dashboard จัดลำดับความสำคัญในการรับมือกับเหตุการณ์ (Incident Response) ที่เกิดขึ้น

Lastline Manager รวบรวมข้อมูลจาก Sensor และ Engine รวมถึงอุปกรณ์ Security อื่นๆ เพื่อเชื่อมโยงความสัมพันธ์และแสดงผลข้อมูลเหตุการณ์ทางด้านความปลอดภัย (Security Incident) เพื่อให้ทีมงานที่เกี่ยวข้องสามารถจัดลำดับความสำคัญและวางแผนการรับมือกับเหตุการณ์ที่เกิดขึ้นได้

  • ขั้นตอนที่ 4: Threat Intelligence ฐานข้อมูลภัยคุกคามแบบเรียลไทม์

Threat Intelligence เป็นฐานข้อมูลที่เก็บข้อมูลข้อมูลภัยคุกคามและการโจมตี ซึ่งประกอบไปด้วยข้อมูล Command and Control Server ที่ยัง active อยู่ ณ ปัจจุบัน, ข้อมูล object ที่มี zero-day exploit ข้อมูลเว็บไซต์ที่ฝังมัลแวร์และรายละเอียดการแพร่กระจายของมัลแวร์ รวมไปถึงข้อมูล rule ที่สร้างมาจาก IDS/IPS และ YARA เป็นต้น โดยฐานข้อมูลนี้จะถูก update แบบเรียลไทม์ทั้งจากข้อมูลภายในระบบของลูกค้าที่ติดตั้ง Lastline และข้อมูลจาก partner ของ Lastline ทั่วโลก

รูปแบบการติดตั้ง

Lastline ออกแบบโซลูชันให้ง่ายต่อการติดตั้ง โดยคอมโพเนนต์ในแต่ละส่วนเป็น software ที่สามารถนำไปติดตั้งบนเซิร์ฟเวอร์ทั่วไปได้ และสำหรับ Sensor สามารถติดตั้งบนระบบ Virtualization ได้

  • ติดตั้งบน Cloud

กรณีนี้ Manager และ Engine จะถูกติดตั้งบน Lastline Data Center และติตตั้งเฉพาะ Sensor ไว้ที่ไซต์ลูกค้าตามจุดต่างๆ เท่านั้น โดย Sensor จะเชื่อมต่อไปยัง Manager แบบ SSL-encrypt เพื่อความปลอดภัยของข้อมูล ด้วยวิธีนี้องค์กรสามารถประหยัดค่าใช้จ่ายและใช้เวลาในการติดตั้งภายใน 30 นาที

cloud-deployment

  • ติดตั้งแบบ On-Premise

อุปกรณ์ทั้งหมด ได้แก่ Sensor, Manager และ Engine จะถูกติดตั้งที่ไซต์ของลูกค้า

on-premise-deployment

 

Hardware Sizing

ส่วนประกอบของ Lastline ทั้ง Sensor, Manager และ Engine สามารถติดตั้งลงบนฮาร์ดแวร์ทั่วไปที่มี spec ตรงตามคำแนะนำได้ โดย Sensor แต่ละตัวนั้นสามารถรองรับการ monitor ทราฟฟิกได้พร้อมกันถึง 4 พอร์ต ทั้งพอร์ตแบบ 1G และ 10G นอกจากนี้ยังสามารถติดตั้งบน VMWare ได้ โดยสามารถติดตั้ง Sensor หลายจุด เพื่อรองรับการ monitor ทราฟฟิกจากหลาย network พร้อมกันได้

สำหรับ Engine ซึ่งทำหน้าที่เป็น Next Generation Sandbox นั้น สามารถรองรับการวิเคราะห์ object ได้ 10,000 object/วัน และรองรับการขยายได้ไม่จำกัด

ส่วนประกอบสุดท้าย คือ Manager สามารถทำงานร่วมกับ Sensor ได้สูงสุด 200 Sensor และ 30 Engine ต่อ Manager 1 ระบบ

ด้วยโครงสร้างของ Lastline ที่เป็น software และแยกการทำงานของแต่ละส่วนอย่างชัดเจน ทำให้การขยายเพิ่มประสิทธิภาพในอนาคตทำได้ง่ายขึ้น โดยสามารถขยายในแต่ละส่วนที่เกี่ยวข้องเท่านั้น

สำหรับผู้สนใจโซลูชันจาก Lastline สามารถสอบถามข้อมูลเพิ่มเติมได้ที่คุณสาธิต โทร 089-7711513 หรือคุณกชพร โทร 089-2024761 หรือที่อีเมล์ sale@nextwave.co.th