Search

ปกป้องภัยคุกคามขั้นสูง ด้วยแพลตฟอร์มจาก Lastline

ปัจจุบันแม้ว่าองค์กรทั่วไปจะมีการติดดั้งอุปกรณ์รักษาความปลอดภัยที่ทันสมัย ไม่ว่าจะเป็น Next Generation Firewall, Intrusion Prevention System (IPS), Web Application Firewall (WAF) หรือแม้กระทั่งโซลูชันจาก Sandbox แต่อุปกรณ์เหล่านี้ก็ยังไม่สามารถป้องกันภัยคุกคามขั้นสูงที่มีความซับซ้อนได้ ดังจะเห็นได้จากที่องค์กรเหล่านี้ยังพบปัญหาใหม่ๆ ที่อุปกรณ์เดิมไม่สามารถตรวจจับและป้องกันได้ เช่น ปัญหาการโจมตีจากมัลแวร์ขั้นสูง ที่มาขโมยข้อมูลหรือสร้างความเสียหายให้กับข้อมูลภายในองค์กร

Lastline ได้ใช้เวลามากกว่าสิบปีในการค้นคว้าและวิจัยเกี่ยวกับกลยุทธ์และเทคนิคการหลบเลี่ยงการตรวจจับของภัยคุกคามในรูปแบบต่างๆ ผลลัพธ์ที่ได้คือซอฟต์แวร์แพลตฟอร์มในการตรวจจับและป้องกันภัยคุกคามขั้นสูง ที่สามารถนำไปเชื่อมต่อและเสริมประสิทธิภาพระบบรักษาความปลอดภัยในปัจจุบันให้สมบูรณ์ยิ่งขึ้น

ฟีเจอร์ของ Lastline

1. High Resolution Malware Analysis

Lastline วิเคราะห์พฤติกรรมของ Malware ในระดับชุดคำสั่งบน CPU และ Memory ทำให้สามารถวิเคราะห์และตรวจจับ Malware ได้ละเอียดและถูกต้องมากกว่าโซลูชันโดยทั่วไปที่ทำการวิเคราะห์ในระดับ OS emulation และ virtualization เท่านั้น ซึ่งไม่สามารถตรวจจับ Malware เชิงลึกที่ใช้เทคนิคหลบเลี่ยงการตรวจจับได้


2. Big Data Analysis of Enterprise Traffic

Lastline รวบรวมข้อมูลทราฟฟิกในองค์กรทั้งหมด (ไม่ว่าจะเป็น flow information, DNS query, meta-information, etc) และใช้เทคนิคทั้ง Machine Learning และ Anomaly Detection ในการวิเคราะห์และตรวจจับทราฟฟิกที่ไม่ปลอดภัยหรือมีพฤติกรรมต้องสงสัย โดยรองรับทราฟฟิกการใช้งานทุกประเภทภายในองค์กร ไม่ว่าจะเป็น OS (Windows, MAC OSX, Android), Physical server หรือ Virtual host, service, web, email และ mobile application เป็นต้น



3. Active Threat Discovery

Lastline มีเทคนิคในเก็บรวบรวมข้อมูลและสร้างฐานข้อมูลของภัยคุกคามก่อนที่จะแพร่กระจายมายังผู้ใช้งาน โดยใช้เทคนิคและ algorithm ในการเชื่อมไปยังลิงค์ต่างๆ บนเว็บไซต์ทั่วโลก เพื่อตรวจสอบหาเว็บไซต์ที่ไม่ปลอดภัยและเป็นแหล่งแพร่กระจายของมัลแวร์


4. Incident Centric Correlation

Lastline เชื่อมโยงความสัมพันธ์ของเหตุการณ์ต่างๆ ที่เกิดขึ้น พร้อมระดับความรุนแรงของเหตุการณ์ โดยแสดงผลบน Dashboard พร้อมรายละเอียดและขั้นตอนในการแก้ไขและกำจัดปัญหาที่เกิดขึ้น

5. System Information & Event Management Integration

Lastline สามารถ export ข้อมูล syslog ไปยังระบบ SIEM เพื่อทำงานร่วมกันในการเก็บวิเคราะห์ข้อมูล นอกจากนี้ Lastline ยังสามารถส่งข้อมูลให้ระบบ Security อื่นๆ เช่น IPS, Endpoint, UTM, NGFW เพื่อทำ Policy ในการป้องกันและแก้ไขปัญหาที่เกิดขึ้นได้

ส่วนประกอบและการทำงานของ Lastline

แพลตฟอร์มของ Lastline ประกอบด้วยส่วนประกอบสำคัญ 4 ส่วน คือ Sensor, Engine, Manager และ Advanced Threat Intelligence โดยส่วนประกอบทั้ง 4 ส่วนนี้จะทำงานร่วมกันในการวิเคราะห์ทราฟฟิกบนเครือข่าย เพื่อตรวจสอบและป้องกันภัยคุกคามที่เกิดขึ้น


  • ขั้นตอนที่ 1: Sensor ตรวจสอบทราฟฟิกบนเครือข่าย Sensor ทำหน้าที่ตรวจสอบทราฟฟิกบนเครือข่าย โดยวัตถุ (object) ต้องสงสัยที่พบจะถูกดึงออกมาจากทราฟฟิกเพื่อตรวจสอบ ไม่ว่าจะเป็นการใช้งานเว็บไซต์ อีเมล์ หรือ File Sharing ต่างๆ หากวัตถุนั้นเป็นภัยคุกคามที่ Lastline รู้จักอยู่แล้ว วัตถุนั้นก็จะถูกบล็อกโดยทันที แต่หากเป็นวัตถุต้องสงสัยที่ไม่รู้จัก ก็จะถูกส่งไปให้ Next-Generation Sandbox ตรวจสอบและวิเคราะห์เชิงลึกต่อไป

  • ขั้นตอนที่ 2: วิเคราะห์ทราฟฟิกบน Engine ด้วยเทคโนโลยี Next-Generation Sandbox วัตถุต้องสงสัยจะถูกส่งมาวิเคราะห์เชิงลึกบน Lastline Engine ซึ่งใช้เทคโนโลยี Full-System emulation Sandbox เพื่อตรวจสอบพฤติกรรมของวัตถุว่ามีลักษณะหรือพฤติกรรมที่ก่อให้เกิดภัยคุกคามหรือไม่แบบเรียลไทม์ (real time) โดยเป็นเทคโนโลยีเดียวที่ Lastline มีซึ่งแตกต่างจากเทคโนโลยี Sandbox ทั่วไปที่มีในท้องตลาด ที่ใช้เทคนิคการทำ OS emulation และ virtualization ซึ่งไม่สามารถตรวจสอบพฤติกรรมเชิงลึกของภัยคุกคามที่พยายามซ่อนตัวอยู่ได้ ข้อมูลที่ตรวจสอบจาก Engine จะส่งต่อไปยัง Lastline Manager เพื่อจัดลำดับความสำคัญของภัยคุกคามที่ตรวจพบ

  • ขั้นตอนที่ 3: Manager เครื่องมือและ Dashboard จัดลำดับความสำคัญในการรับมือกับเหตุการณ์ (Incident Response) ที่เกิดขึ้น Lastline Manager รวบรวมข้อมูลจาก Sensor และ Engine รวมถึงอุปกรณ์ Security อื่นๆ เพื่อเชื่อมโยงความสัมพันธ์และแสดงผลข้อมูลเหตุการณ์ทางด้านความปลอดภัย (Security Incident) เพื่อให้ทีมงานที่เกี่ยวข้องสามารถจัดลำดับความสำคัญและวางแผนการรับมือกับเหตุการณ์ที่เกิดขึ้นได้


  • ขั้นตอนที่ 4: Threat Intelligence ฐานข้อมูลภัยคุกคามแบบเรียลไทม์ Threat Intelligence เป็นฐานข้อมูลที่เก็บข้อมูลข้อมูลภัยคุกคามและการโจมตี ซึ่งประกอบไปด้วยข้อมูล Command and Control Server ที่ยัง active อยู่ ณ ปัจจุบัน, ข้อมูล object ที่มี zero-day exploit ข้อมูลเว็บไซต์ที่ฝังมัลแวร์และรายละเอียดการแพร่กระจายของมัลแวร์ รวมไปถึงข้อมูล rule ที่สร้างมาจาก IDS/IPS และ YARA เป็นต้น โดยฐานข้อมูลนี้จะถูก update แบบเรียลไทม์ทั้งจากข้อมูลภายในระบบของลูกค้าที่ติดตั้ง Lastline และข้อมูลจาก partner ของ Lastline ทั่วโลก รูปแบบการติดตั้ง Lastline ออกแบบโซลูชันให้ง่ายต่อการติดตั้ง โดยคอมโพเนนต์ในแต่ละส่วนเป็น software ที่สามารถนำไปติดตั้งบนเซิร์ฟเวอร์ทั่วไปได้ และสำหรับ Sensor สามารถติดตั้งบนระบบ Virtualization ได้

  • ติดตั้งบน Cloud กรณีนี้ Manager และ Engine จะถูกติดตั้งบน Lastline Data Center และติตตั้งเฉพาะ Sensor ไว้ที่ไซต์ลูกค้าตามจุดต่างๆ เท่านั้น โดย Sensor จะเชื่อมต่อไปยัง Manager แบบ SSL-encrypt เพื่อความปลอดภัยของข้อมูล ด้วยวิธีนี้องค์กรสามารถประหยัดค่าใช้จ่ายและใช้เวลาในการติดตั้งภายใน 30 นาที

ติดตั้งแบบ On-Premise

อุปกรณ์ทั้งหมด ได้แก่ Sensor, Manager และ Engine จะถูกติดตั้งที่ไซต์ของลูกค้า


Hardware Sizing

ส่วนประกอบของ Lastline ทั้ง Sensor, Manager และ Engine สามารถติดตั้งลงบนฮาร์ดแวร์ทั่วไปที่มี spec ตรงตามคำแนะนำได้ โดย Sensor แต่ละตัวนั้นสามารถรองรับการ monitor ทราฟฟิกได้พร้อมกันถึง 4 พอร์ต ทั้งพอร์ตแบบ 1G และ 10G นอกจากนี้ยังสามารถติดตั้งบน VMWare ได้ โดยสามารถติดตั้ง Sensor หลายจุด เพื่อรองรับการ monitor ทราฟฟิกจากหลาย network พร้อมกันได้

สำหรับ Engine ซึ่งทำหน้าที่เป็น Next Generation Sandbox นั้น สามารถรองรับการวิเคราะห์ object ได้ 10,000 object/วัน และรองรับการขยายได้ไม่จำกัด

ส่วนประกอบสุดท้าย คือ Manager สามารถทำงานร่วมกับ Sensor ได้สูงสุด 200 Sensor และ 30 Engine ต่อ Manager 1 ระบบ

ด้วยโครงสร้างของ Lastline ที่เป็น software และแยกการทำงานของแต่ละส่วนอย่างชัดเจน ทำให้การขยายเพิ่มประสิทธิภาพในอนาคตทำได้ง่ายขึ้น โดยสามารถขยายในแต่ละส่วนที่เกี่ยวข้องเท่านั้น

สำหรับผู้สนใจโซลูชันจาก Lastline สามารถสอบถามข้อมูลเพิ่มเติมได้ที่คุณสาธิต โทร 089-7711513

7 views

CONTACT US

QUESTIONS? WE'RE HERE TO HELP 

About Us

NextWave (Thailand) Co.,Ltd., a distribution company for Networking and related products, was established in 2013 and is managed by staffs with more than 10 years’ experience in IT industry.

Contact Us

Address : 7A-1 @Area Nonsi5, Nonsi Road, Chongnonsi,
Yannawa, Bangkok 10120 Thailand
Mon-Fri 9.00-18.00
T : +662-294-7907
E: Sales@nextwave.co.th