ปัจจุบันแม้ว่าองค์กรทั่วไปจะมีการติดดั้งอุปกรณ์รักษาความปลอดภัยที่ทันสมัย ไม่ว่าจะเป็น Next Generation Firewall, Intrusion Prevention System (IPS), Web Application Firewall (WAF) หรือแม้กระทั่งโซลูชันจาก Sandbox แต่อุปกรณ์เหล่านี้ก็ยังไม่สามารถป้องกันภัยคุกคามขั้นสูงที่มีความซับซ้อนได้ ดังจะเห็นได้จากที่องค์กรเหล่านี้ยังพบปัญหาใหม่ๆ ที่อุปกรณ์เดิมไม่สามารถตรวจจับและป้องกันได้ เช่น ปัญหาการโจมตีจากมัลแวร์ขั้นสูง ที่มาขโมยข้อมูลหรือสร้างความเสียหายให้กับข้อมูลภายในองค์กร
Lastline ได้ใช้เวลามากกว่าสิบปีในการค้นคว้าและวิจัยเกี่ยวกับกลยุทธ์และเทคนิคการหลบเลี่ยงการตรวจจับของภัยคุกคามในรูปแบบต่างๆ ผลลัพธ์ที่ได้คือซอฟต์แวร์แพลตฟอร์มในการตรวจจับและป้องกันภัยคุกคามขั้นสูง ที่สามารถนำไปเชื่อมต่อและเสริมประสิทธิภาพระบบรักษาความปลอดภัยในปัจจุบันให้สมบูรณ์ยิ่งขึ้น
ฟีเจอร์ของ Lastline
1. High Resolution Malware Analysis
Lastline วิเคราะห์พฤติกรรมของ Malware ในระดับชุดคำสั่งบน CPU และ Memory ทำให้สามารถวิเคราะห์และตรวจจับ Malware ได้ละเอียดและถูกต้องมากกว่าโซลูชันโดยทั่วไปที่ทำการวิเคราะห์ในระดับ OS emulation และ virtualization เท่านั้น ซึ่งไม่สามารถตรวจจับ Malware เชิงลึกที่ใช้เทคนิคหลบเลี่ยงการตรวจจับได้
2. Big Data Analysis of Enterprise Traffic
Lastline รวบรวมข้อมูลทราฟฟิกในองค์กรทั้งหมด (ไม่ว่าจะเป็น flow information, DNS query, meta-information, etc) และใช้เทคนิคทั้ง Machine Learning และ Anomaly Detection ในการวิเคราะห์และตรวจจับทราฟฟิกที่ไม่ปลอดภัยหรือมีพฤติกรรมต้องสงสัย โดยรองรับทราฟฟิกการใช้งานทุกประเภทภายในองค์กร ไม่ว่าจะเป็น OS (Windows, MAC OSX, Android), Physical server หรือ Virtual host, service, web, email และ mobile application เป็นต้น
3. Active Threat Discovery
Lastline มีเทคนิคในเก็บรวบรวมข้อมูลและสร้างฐานข้อมูลของภัยคุกคามก่อนที่จะแพร่กระจายมายังผู้ใช้งาน โดยใช้เทคนิคและ algorithm ในการเชื่อมไปยังลิงค์ต่างๆ บนเว็บไซต์ทั่วโลก เพื่อตรวจสอบหาเว็บไซต์ที่ไม่ปลอดภัยและเป็นแหล่งแพร่กระจายของมัลแวร์
4. Incident Centric Correlation
Lastline เชื่อมโยงความสัมพันธ์ของเหตุการณ์ต่างๆ ที่เกิดขึ้น พร้อมระดับความรุนแรงของเหตุการณ์ โดยแสดงผลบน Dashboard พร้อมรายละเอียดและขั้นตอนในการแก้ไขและกำจัดปัญหาที่เกิดขึ้น
5. System Information & Event Management Integration
Lastline สามารถ export ข้อมูล syslog ไปยังระบบ SIEM เพื่อทำงานร่วมกันในการเก็บวิเคราะห์ข้อมูล นอกจากนี้ Lastline ยังสามารถส่งข้อมูลให้ระบบ Security อื่นๆ เช่น IPS, Endpoint, UTM, NGFW เพื่อทำ Policy ในการป้องกันและแก้ไขปัญหาที่เกิดขึ้นได้
ส่วนประกอบและการทำงานของ Lastline
แพลตฟอร์มของ Lastline ประกอบด้วยส่วนประกอบสำคัญ 4 ส่วน คือ Sensor, Engine, Manager และ Advanced Threat Intelligence โดยส่วนประกอบทั้ง 4 ส่วนนี้จะทำงานร่วมกันในการวิเคราะห์ทราฟฟิกบนเครือข่าย เพื่อตรวจสอบและป้องกันภัยคุกคามที่เกิดขึ้น
ขั้นตอนที่ 1: Sensor ตรวจสอบทราฟฟิกบนเครือข่าย Sensor ทำหน้าที่ตรวจสอบทราฟฟิกบนเครือข่าย โดยวัตถุ (object) ต้องสงสัยที่พบจะถูกดึงออกมาจากทราฟฟิกเพื่อตรวจสอบ ไม่ว่าจะเป็นการใช้งานเว็บไซต์ อีเมล์ หรือ File Sharing ต่างๆ หากวัตถุนั้นเป็นภัยคุกคามที่ Lastline รู้จักอยู่แล้ว วัตถุนั้นก็จะถูกบล็อกโดยทันที แต่หากเป็นวัตถุต้องสงสัยที่ไม่รู้จัก ก็จะถูกส่งไปให้ Next-Generation Sandbox ตรวจสอบและวิเคราะห์เชิงลึกต่อไป
ขั้นตอนที่ 2: วิเคราะห์ทราฟฟิกบน Engine ด้วยเทคโนโลยี Next-Generation Sandbox วัตถุต้องสงสัยจะถูกส่งมาวิเคราะห์เชิงลึกบน Lastline Engine ซึ่งใช้เทคโนโลยี Full-System emulation Sandbox เพื่อตรวจสอบพฤติกรรมของวัตถุว่ามีลักษณะหรือพฤติกรรมที่ก่อให้เกิดภัยคุกคามหรือไม่แบบเรียลไทม์ (real time) โดยเป็นเทคโนโลยีเดียวที่ Lastline มีซึ่งแตกต่างจากเทคโนโลยี Sandbox ทั่วไปที่มีในท้องตลาด ที่ใช้เทคนิคการทำ OS emulation และ virtualization ซึ่งไม่สามารถตรวจสอบพฤติกรรมเชิงลึกของภัยคุกคามที่พยายามซ่อนตัวอยู่ได้ ข้อมูลที่ตรวจสอบจาก Engine จะส่งต่อไปยัง Lastline Manager เพื่อจัดลำดับความสำคัญของภัยคุกคามที่ตรวจพบ
ขั้นตอนที่ 3: Manager เครื่องมือและ Dashboard จัดลำดับความสำคัญในการรับมือกับเหตุการณ์ (Incident Response) ที่เกิดขึ้น Lastline Manager รวบรวมข้อมูลจาก Sensor และ Engine รวมถึงอุปกรณ์ Security อื่นๆ เพื่อเชื่อมโยงความสัมพันธ์และแสดงผลข้อมูลเหตุการณ์ทางด้านความปลอดภัย (Security Incident) เพื่อให้ทีมงานที่เกี่ยวข้องสามารถจัดลำดับความสำคัญและวางแผนการรับมือกับเหตุการณ์ที่เกิดขึ้นได้
ขั้นตอนที่ 4: Threat Intelligence ฐานข้อมูลภัยคุกคามแบบเรียลไทม์ Threat Intelligence เป็นฐานข้อมูลที่เก็บข้อมูลข้อมูลภัยคุกคามและการโจมตี ซึ่งประกอบไปด้วยข้อมูล Command and Control Server ที่ยัง active อยู่ ณ ปัจจุบัน, ข้อมูล object ที่มี zero-day exploit ข้อมูลเว็บไซต์ที่ฝังมัลแวร์และรายละเอียดการแพร่กระจายของมัลแวร์ รวมไปถึงข้อมูล rule ที่สร้างมาจาก IDS/IPS และ YARA เป็นต้น โดยฐานข้อมูลนี้จะถูก update แบบเรียลไทม์ทั้งจากข้อมูลภายในระบบของลูกค้าที่ติดตั้ง Lastline และข้อมูลจาก partner ของ Lastline ทั่วโลก รูปแบบการติดตั้ง Lastline ออกแบบโซลูชันให้ง่ายต่อการติดตั้ง โดยคอมโพเนนต์ในแต่ละส่วนเป็น software ที่สามารถนำไปติดตั้งบนเซิร์ฟเวอร์ทั่วไปได้ และสำหรับ Sensor สามารถติดตั้งบนระบบ Virtualization ได้
ติดตั้งบน Cloud กรณีนี้ Manager และ Engine จะถูกติดตั้งบน Lastline Data Center และติตตั้งเฉพาะ Sensor ไว้ที่ไซต์ลูกค้าตามจุดต่างๆ เท่านั้น โดย Sensor จะเชื่อมต่อไปยัง Manager แบบ SSL-encrypt เพื่อความปลอดภัยของข้อมูล ด้วยวิธีนี้องค์กรสามารถประหยัดค่าใช้จ่ายและใช้เวลาในการติดตั้งภายใน 30 นาที
ติดตั้งแบบ On-Premise
อุปกรณ์ทั้งหมด ได้แก่ Sensor, Manager และ Engine จะถูกติดตั้งที่ไซต์ของลูกค้า
Hardware Sizing
ส่วนประกอบของ Lastline ทั้ง Sensor, Manager และ Engine สามารถติดตั้งลงบนฮาร์ดแวร์ทั่วไปที่มี spec ตรงตามคำแนะนำได้ โดย Sensor แต่ละตัวนั้นสามารถรองรับการ monitor ทราฟฟิกได้พร้อมกันถึง 4 พอร์ต ทั้งพอร์ตแบบ 1G และ 10G นอกจากนี้ยังสามารถติดตั้งบน VMWare ได้ โดยสามารถติดตั้ง Sensor หลายจุด เพื่อรองรับการ monitor ทราฟฟิกจากหลาย network พร้อมกันได้
สำหรับ Engine ซึ่งทำหน้าที่เป็น Next Generation Sandbox นั้น สามารถรองรับการวิเคราะห์ object ได้ 10,000 object/วัน และรองรับการขยายได้ไม่จำกัด
ส่วนประกอบสุดท้าย คือ Manager สามารถทำงานร่วมกับ Sensor ได้สูงสุด 200 Sensor และ 30 Engine ต่อ Manager 1 ระบบ
ด้วยโครงสร้างของ Lastline ที่เป็น software และแยกการทำงานของแต่ละส่วนอย่างชัดเจน ทำให้การขยายเพิ่มประสิทธิภาพในอนาคตทำได้ง่ายขึ้น โดยสามารถขยายในแต่ละส่วนที่เกี่ยวข้องเท่านั้น
สำหรับผู้สนใจโซลูชันจาก Lastline สามารถสอบถามข้อมูลเพิ่มเติมได้ที่คุณสาธิต โทร 089-7711513