SlideShare a Scribd company logo

คุณสมบัติของข้อมูลกิจกรรมและองค์ประกอบอื่นๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยและสมรรถนะของแม่ข่ายเว็บ

Download as PPTX, PDF
C
Chaisuriya

การฝึกอบรมหลักสูตร การวิเคราะห์ข้อมูลกิจกรรม (log) ของแม่ข่ายเว็บ เพื่อตรวจสอบและปรับปรุงระดับความมั่นคงปลอดภัยขององค์กร หัวข้อ คุณสมบัติของข้อมูลกิจกรรมและองค์ประกอบอื่นๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยและสมรรถนะของแม่ข่ายเว็บ

Internet
1 of 22
การฝึกอบรมหลักสูตร การวิเคราะห์ข ้อมูลกิจกรรม (log) ของแม่ข่ายเว็บ เพื่อตรวจสอบและปรับปรุงระดับความมั่นคงปลอดภัยของ องค์กร คุณสมบัติของข ้อมูลกิจกรรมและองค์ประกอบ อื่นๆ ที่เกี่ยวข ้องกับความมั่นคงปลอดภัยและ สมรรถนะของแม่ข่ายเว็บ ดร.ศรายุทธ ฉายสุริยะ SARAYUT.CHA@CDTI.AC.TH วันพุธที่ 24 พฤษภาคม 2566 เวลา 9.00 - 16.00 น. ณ ห ้อง 4308 ชั้น 3 อาคาร 604 สถาบันเทคโนโลยีจิตรลดา
Topics แม่ข่ายเว็ป และแอปพลิเคชันอื่นๆ ที่ให ้บริการผ่าน HTTP protocol รูปแบบของข ้อมูลกิจกรรม การวิเคราะห์ข ้อมูลกิจกรรม รายงานผลการวิเคราะห์
แม่ข่ายเว็ป และ แอปพลิเคชัน อื่นๆที่ให ้บริการ ผ่าน HTTP protocol
HTTP Server Web Log GET /index.html HTTP/1.1 Host: www.cdti.ac.th ....... HTTP/1.1 200 OK ....... อ ้างอิง https://www3.ntu.edu.sg/home/ehchua/programming/webprogramming/http_basics.html
Alice – Bob และ Eve Alice Bob ข้อมูลไปยัง Bob Eve (Eavesdropper)
รูปแบบของ ข ้อมูลกิจกรรม Web Log NCSA COMMON LOG FORMAT W3C LOG FORMAT
NCSA Common Log format (ใช ้ใน apache httpd) Field Sample Description Remote host address 192.168.1.1 The IP address of the client that made the request. Remote log name - Not used. This value is always a hyphen. User name Sarayut The name of the authenticated user that accessed the server. Anonymous users are indicated by a hyphen. The best practice is for the application always to provide the user name. Date, time, and Greenwich mean time (GMT) offset [10/Oct/1999:21:15:05 +0500] The local date and time at which the activity occurred. The offset from Greenwich mean time is also indicated. Request and Protocol version "GET /index.html HTTP/1.0" The HTTP protocol version that the client used. Service status code 200 The HTTP status code. (A value of 200 indicates that the request completed successfully.) Bytes sent 1043 The number of bytes sent by the server. 172.21.13.45 - MicrosoftJohnDoe [07/Apr/2004:17:39:04 -0800] "GET /scripts/iisadmin/ism.dll?http/serv HTTP/1.0" 200 3401 125.125.125.125 - dsmith [10/Oct/1999:21:15:05 +0500] "GET /index.html HTTP/1.0" 200 1043 ตัวอย่าง
NCSA extended log format field sample Descripiton Referer "http://www.ibm.com/" The URL which linked the user to your site. (Optional) user_agent "Mozilla/4.05 [en] (WinNT; I)" The Web browser and platform used by the visitor to your site.(Optional) cookies "USERID=CustomerA;IMPID=01234" Cookies are pieces of information that the HTTP server can send back to client along the with the requested resources. A client's browser may store this information and subsequently send it back to the HTTP server upon making additional resource requests. The HTTP server can establish multiple cookies per HTTP request. ตัวอย่าง "http://www.ibm.com/" "Mozilla/4.05 [en] (WinNT; I)" "USERID=CustomerA;IMPID=01234"
W3C Log format (ใช ้ใน IIS) #Software: Microsoft HTTP Server API 2.0 #Version: 1.0 #Date: 2002-05-02 17:42:15 #Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status cs(User-Agent) HEAD Detail 2023-03-06 00:00:00 W3SVC1 HCISAPP1 192.168.2.11 GET / - 80 - 192.168.2.10 HTTP/0.9 - - - - 200 0 0 703 7 0 2023-03-06 00:00:02 W3SVC1 HCISAPP1 192.168.2.11 HEAD / - 80 - 192.168.2.10 HTTP/1.1 Mozilla/5.0+(compatible;+PRTG+Network+Monitor+(www.paessler.com);+Windows) UserCulture=en-US - 172.31.162.101 200 0 0 247 223 0 ... ... c Client s Server r Remote cs Client to Server. sc Server to Client. sr Server to Remote Server rs Remote Server to Server x Application specific identifier.
ตัวอย่างข ้อมูลใน Web Log ที่ต ้องสนใจ
Private IP address และการวิเคราะห์ ข ้อมูล Top Hosts report
ข ้อมูลกิจกรรมอื่นๆ ที่เกี่ยวข ้องกับการแม่ ข่ายเว็บ Name Description Windows Event Log OS level Log ของ Windows server (อาทิ event log ของแม่ข่ายเว็บ แบบ Windows) Syslog มาตรฐาน log ที่นิยมใช ้ในระบบ Unix/Linux/อุปกรณ์เครือข่าย Database Log กรณีที่แม่ข่ายเว็บเชื่อมต่อกับ database Firewall Log Firewall ที่เกี่ยวข ้อง มักมีรูปแบบไม่เหมือนกันสาหรับ firewall ยี่ห ้อ ต่างๆ Load balancer Log Load balancer ที่เกี่ยวข ้อง มักมีรูปแบบไม่เหมือนกันสาหรับ load balancer ยี่ห ้อต่างๆ Proxy Log Proxy server ที่เกี่ยวข ้อง ทั้งที่เป็น proxy server สาหรับผู้ใช ้ทั่วไป และ reverse proxy Wifi Access Point Authenticate log สาหรับผู้ใช ้ภายใน ที่ใช ้งานผ่าน wifi access point
Windows Event Log Logging is the act of keeping a log of events that occur in a computer system, such as problems, errors or just information on current operations. Windows Event log type: - Application Log - System Log - Security Log - Setup Log Event Viewer
ตัวอย่าง Event Log ที่ต ้องสนใจ Logged Source Message 2023-03-06 11:52:11 PM MSSQLSERVER Login failed for user 'sa'. Reason: Password did not match that for the login provided. [CLIENT: 217.64.30.89] 2023-03-06 11:52:11 PM MSSQLSERVER Login failed for user 'sa'. Reason: Password did not match that for the login provided. [CLIENT: 217.64.30.89] Logged Date Computer Message 2023-03-10 6:03:13 AM XISDB Recovery completed for database xlab (database ID 98) in 2 second(s) (analysis 452 ms, redo 250 ms, undo 930 ms [system undo 5D0D00000A00000007000000480043004900530044004200000007000000 6D00610073007400650072000000 ms, regular undo %8 ms].) This is an informational message only. No user action is required. 2023-03-10 6:03:13 AM XISDB Recovery completed for database xdep432 (database ID 36) in 2 second(s) (analysis 419 ms, redo 0 ms, undo 805 ms [system undo 5D0D00000A00000007000000480043004900530044004200000000000000 ms, regular undo %8 ms].) This is an informational message only. No user action is required.
ขั้นตอนการวิเคราะห์ ศึกษา บริบทและ ข้อมูล กิจกรรม วิเคราะห์ ความเสี่ยง จัดทา รายงานผล การ วิเคราะห์ - Configuration - ฟังก์ชันของระบบ - ผู้ใช ้นโยบายของ หน่วยงาน - ความเสี่ยง - ปัญหาที่อาจมีอยู่ - Log - ใช ้ เครื่องมือ/ เทคนิกต่างๆ - ตรวจทาน กับ ผู้เกี่ยวข ้อง
รายงานผลการวิเคราะห์ ข ้อมูลกิจกรรม
รูปแบบของรายงาน สรุปผู้บริหาร วิธีการวิเคราะห์ ข้อมูลที่ใช้ในการวิเคราะห์ ประเด็นความเสี่ยง/ปัญหา #1 ประเด็นความเสี่ยง/ปัญหา #2 ... หลักการวิเคราะห์  แยก “ข ้อเท็จจริง” ออกจาก “ข ้อสังเกตุ” “ผลกระทบ” “คาแนะนา” ซึ่งเป็นผลการวิเคราะห์ วิเคราะห์โดยมีเป้าหมายที่ปรับปรุงระบบให ้ดีขึ้น (เป้าหมายในทางบวก) แสดงวิธีการวิเคราะห์ให ้ชัดเจน อ ้างอิงข ้อเท็จจริงที่รวบรวมได ้ ประเมินระดับความร ้ายแรง ความยากง่ายในการ แก ้ปัญหาเสมอ หากเวลาและโอกาศเอื้ออานวย ควรเปิดโอกาสให ้ เจ ้าของระบบมีโอกาส ในการโต ้แย ้ง แสดงความเห็น ก่อนส่งรายงานอย่างเป็นทางการ เนื้อหาในรายงาน มักเป็นข ้อมูลปิด ไม่ควรเปิดเผยให ้ผู้ ไม่เกี่ยวข ้อง
ประเด็นที่ n: การโจมตีเครื่องแม่ข่ายระบบ จัดการฐานข ้อมูลแบบ Password Attack ข้อเท็จจริงที่ตรวจพบ ( Findings ) ข ้อมูลกิจกรรม (Windows Event Log – Application Log) ในเครื่องแม่ข่ายระบบ จัดการฐานข ้อมูล XDB ซึ่งมีข ้อมูลตั้งแต่วันที่ d1 ถึง d2 (ประกาณ 5 วัน) มีข ้อมูลแสดงถึง การปฏิเสธการ ขอเข ้าสู่ระบบฐานข ้อมูล (Login) จานวนมาก (41,845 รายการ) .... แสดงให ้เห็นว่าเป็นการโจมตีทางไซเบอร์ ในรูปแบบ Password Attack ผ่านโปรโตคอล ms-sql-s ที่พอร์ท 1433 ซึ่งผู้โจมตีจะใช ้ เทคนิคต่างๆ ในการคาดเดารหัสผ่านของ ผู้ใช ้ระบบ เพื่อให ้ผ่านขั้นตอนการพิสูจน์ ตัวตนของระบบเป้าหมาย (ซึ่งในกรณีนี้ หมายถึงระบบฐานข ้อมูล SQLServer บน
ข ้อสังเกต (Observations) 1.การโจมตีรูปแบบนี้เข ้าข่ายการกระทาความผิดตามมาตรา 10 ผู้ใด กระทาด ้วยประการใดโดยมิชอบ เพื่อให ้การทางาน ของระบบ คอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถ ทางานตามปกติได ้ต ้องระวาง โทษจาคุกไม่เกินห ้าปี และปรับไม่เกิน หนึ่งแสนบาท หรือทั้งจาทั้งปรับ พระราชบัญญัติว่าด ้วยการกระทา ความผิด เกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560/2550 2.การจัดเก็บข ้อมูลกิจกรรมมีข ้อบกพร่อง โดยพบว่าระบบไม่ได ้จัดเก็บ ข ้อมูลกิจกรรมของระบบจัดการฐาน ข ้อมูลไว ้ในการวิเคราะห์นี้ จึงมี ข ้อมูลเพียงระยะสั้นๆ (5 วัน) เราจึงไม่มีข ้อมูลว่าการโจมตีแบบนี้ เกิดขึ้น นานแค่ไหนแล ้ว ซึ่งโดยหลักการแล ้ว ข ้อมูลกิจกรรมนี้ควรเก็บไว ้อย่าง น้อย 90 วัน ทั้งนี้ข ้อมูลกิจกรรมถือเป็นส่วนหนึ่งของข ้อมูล จราจรที่ต ้อง จัดเก็บไว ้90 วัน ตามพระราชบัญญัติว่าด ้วยการกระทาความผิดเกี่ยวกับ คอมพิวเตอร์ พ.ศ. 2560/2550 มาตรา ๒๖ ผู้ให ้บริการต ้องเก็บรักษา ข ้อมูลจราจรทางคอมพิวเตอร์ไว ้ไม่น้อยกว่าเก ้าสิบวัน นับแต่วันที่ข ้อมูล
ผลกระทบ (Impacts) 1.การขอเข ้าสู่ระบบปริมาณถึง 8,369 ครั้งต่อวันโดยผู้ประสงค์ ร ้าย (Attackers) ย่อมมีผลกระทบอย่างร ้ายแรงต่อ ประสิทธิภาพของระบบจัดการฐานข ้อมูล ซึ่งเป็นหัวใจของ ระบบสารสนเทศศูนย์บริการสาธารณสุข โดยกระทบกับเกือบ ทุกๆ บริการด ้านสารสนเทศ โดยเฉพาะอย่างยิ่งด ้านสมรรถนะ ของระบบ 2....
คาแนะนา (Recommendations) 1.แจ ้งความดาเนินคดีต่อผู้โจมตีที่อยู่ ภายในประเทศไทย 2.ตรวจสอบคอมพิวเตอร์ที่ใช ้ที่อยู่ IP ที่ปรากฏ ในตาราง โดยที่ 2.1.หาผู้ควบคุมคอมพิวเตอร์เครื่องนั้น ดาเนินการ แจ ้งความดาเนินคดีตามความเหมาะสม 2.2.หากพบ malware ให ้ดาเนินล ้างเครื่อง และ กาหนดมาตรการในป้องกันการเกิดปัญหาซ้า 3.ตรวจสอบกระบวนการเปิด firewall ให ้ระบบ ภายนอกเข ้าถึงแม่ข่ายระบบฐานข ้อมูลได ้ว่า เกิดขึ้นได ้อย่างไร และโดยใคร รวมไปถึงการ กาหนดมาตรการในการป้องกันเหตุนี้ ใน อนาคตด ้วย ....
Q&A

Recommended

Centralized Log Server Thai version
Centralized Log Server Thai versionCentralized Log Server Thai version
Centralized Log Server Thai versionSoftnix Technology
 
แปล Design and implementation of e
แปล Design and implementation of eแปล Design and implementation of e
แปล Design and implementation of eSchool
 
Building ec
Building ecBuilding ec
Building ecanusorn kraiwatnussorn
 
ระบบการยืนยันตัวตนเข้าใช้งานเครือข่ายไร้สาย
ระบบการยืนยันตัวตนเข้าใช้งานเครือข่ายไร้สายระบบการยืนยันตัวตนเข้าใช้งานเครือข่ายไร้สาย
ระบบการยืนยันตัวตนเข้าใช้งานเครือข่ายไร้สายPokpong Hemathurin
 
เครื่องมือและเทคนิคการวิเคระห์ในกลุ่มซอฟต์แวร์วิเคราะห์ข้อมูลกิจกรรมแม่ข่ายเว็บ
เครื่องมือและเทคนิคการวิเคระห์ในกลุ่มซอฟต์แวร์วิเคราะห์ข้อมูลกิจกรรมแม่ข่ายเว็บเครื่องมือและเทคนิคการวิเคระห์ในกลุ่มซอฟต์แวร์วิเคราะห์ข้อมูลกิจกรรมแม่ข่ายเว็บ
เครื่องมือและเทคนิคการวิเคระห์ในกลุ่มซอฟต์แวร์วิเคราะห์ข้อมูลกิจกรรมแม่ข่ายเว็บChaisuriya
 
session cookies
session cookiessession cookies
session cookiesCC Nakhon Pathom Rajabhat University
 
รูปแบบของรายงานวิเคราะห์ระดับความมั่นคงปลอดภัย
รูปแบบของรายงานวิเคราะห์ระดับความมั่นคงปลอดภัยรูปแบบของรายงานวิเคราะห์ระดับความมั่นคงปลอดภัย
รูปแบบของรายงานวิเคราะห์ระดับความมั่นคงปลอดภัยChaisuriya
 
Websocket & HTML5
Websocket & HTML5Websocket & HTML5
Websocket & HTML5Bhuridech Sudsee
 

Recommended

Centralized Log Server Thai version
Centralized Log Server Thai versionCentralized Log Server Thai version
Centralized Log Server Thai versionSoftnix Technology
 
แปล Design and implementation of e
แปล Design and implementation of eแปล Design and implementation of e
แปล Design and implementation of eSchool
 
Building ec
Building ecBuilding ec
Building ecanusorn kraiwatnussorn
 
ระบบการยืนยันตัวตนเข้าใช้งานเครือข่ายไร้สาย
ระบบการยืนยันตัวตนเข้าใช้งานเครือข่ายไร้สายระบบการยืนยันตัวตนเข้าใช้งานเครือข่ายไร้สาย
ระบบการยืนยันตัวตนเข้าใช้งานเครือข่ายไร้สายPokpong Hemathurin
 
เครื่องมือและเทคนิคการวิเคระห์ในกลุ่มซอฟต์แวร์วิเคราะห์ข้อมูลกิจกรรมแม่ข่ายเว็บ
เครื่องมือและเทคนิคการวิเคระห์ในกลุ่มซอฟต์แวร์วิเคราะห์ข้อมูลกิจกรรมแม่ข่ายเว็บเครื่องมือและเทคนิคการวิเคระห์ในกลุ่มซอฟต์แวร์วิเคราะห์ข้อมูลกิจกรรมแม่ข่ายเว็บ
เครื่องมือและเทคนิคการวิเคระห์ในกลุ่มซอฟต์แวร์วิเคราะห์ข้อมูลกิจกรรมแม่ข่ายเว็บChaisuriya
 
session cookies
session cookiessession cookies
session cookiesCC Nakhon Pathom Rajabhat University
 
รูปแบบของรายงานวิเคราะห์ระดับความมั่นคงปลอดภัย
รูปแบบของรายงานวิเคราะห์ระดับความมั่นคงปลอดภัยรูปแบบของรายงานวิเคราะห์ระดับความมั่นคงปลอดภัย
รูปแบบของรายงานวิเคราะห์ระดับความมั่นคงปลอดภัยChaisuriya
 
Websocket & HTML5
Websocket & HTML5Websocket & HTML5
Websocket & HTML5Bhuridech Sudsee
 
SA Chapter 11
SA Chapter 11SA Chapter 11
SA Chapter 11Nuth Otanasap
 
Yuu
YuuYuu
Yuusirinet
 
Ten
TenTen
Tensirinet
 
New
NewNew
Newsirinet
 
การพัฒนาซอฟแวร์
การพัฒนาซอฟแวร์การพัฒนาซอฟแวร์
การพัฒนาซอฟแวร์karmpu
 
Activity 4
Activity 4Activity 4
Activity 4Saralee Kenhuad
 
การบริการสารสนเทศบนเว็บด้วย OSS : Joomla Workshop
การบริการสารสนเทศบนเว็บด้วย OSS : Joomla Workshopการบริการสารสนเทศบนเว็บด้วย OSS : Joomla Workshop
การบริการสารสนเทศบนเว็บด้วย OSS : Joomla WorkshopSatapon Yosakonkun
 
SA Chapter 9
SA Chapter 9SA Chapter 9
SA Chapter 9Nuth Otanasap
 
ตัวอย่างบทที่ 3 วิทยานิพนธ์เว็บไซต์เพื่อสุขภาพ
ตัวอย่างบทที่ 3 วิทยานิพนธ์เว็บไซต์เพื่อสุขภาพตัวอย่างบทที่ 3 วิทยานิพนธ์เว็บไซต์เพื่อสุขภาพ
ตัวอย่างบทที่ 3 วิทยานิพนธ์เว็บไซต์เพื่อสุขภาพrubtumproject.com
 
เครื่องมือในการออกแบบบัญชีด้วยคอมพิวเตอร์
เครื่องมือในการออกแบบบัญชีด้วยคอมพิวเตอร์เครื่องมือในการออกแบบบัญชีด้วยคอมพิวเตอร์
เครื่องมือในการออกแบบบัญชีด้วยคอมพิวเตอร์Witoon Thammatuch-aree
 
เครื่องมือในกลุ่ม BI, SIEM, ระบบจัดการฐานข้อมูล และการเขียนโปรแกรมวิเคราะห์เฉ...
เครื่องมือในกลุ่ม BI, SIEM, ระบบจัดการฐานข้อมูล และการเขียนโปรแกรมวิเคราะห์เฉ...เครื่องมือในกลุ่ม BI, SIEM, ระบบจัดการฐานข้อมูล และการเขียนโปรแกรมวิเคราะห์เฉ...
เครื่องมือในกลุ่ม BI, SIEM, ระบบจัดการฐานข้อมูล และการเขียนโปรแกรมวิเคราะห์เฉ...Chaisuriya
 
นุ๊ก
นุ๊กนุ๊ก
นุ๊กsirinet
 
โบ
โบโบ
โบsirinet
 
Best
BestBest
Bestsirinet
 
หมวย
หมวยหมวย
หมวยsirinet
 
ดรีม
ดรีมดรีม
ดรีมsirinet
 
หมวย
หมวยหมวย
หมวยsirinet
 
หวิว
หวิวหวิว
หวิวViewMik
 
รออกแบบเว็บไซต์
รออกแบบเว็บไซต์รออกแบบเว็บไซต์
รออกแบบเว็บไซต์sirinet
 
Health Information Privacy and Security Management
Health Information Privacy and Security ManagementHealth Information Privacy and Security Management
Health Information Privacy and Security ManagementNawanan Theera-Ampornpunt
 

More Related Content

Similar to คุณสมบัติของข้อมูลกิจกรรมและองค์ประกอบอื่นๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยและสมรรถนะของแม่ข่ายเว็บ

การพัฒนาซอฟแวร์
การพัฒนาซอฟแวร์การพัฒนาซอฟแวร์
การพัฒนาซอฟแวร์karmpu
 
การบริการสารสนเทศบนเว็บด้วย OSS : Joomla Workshop
การบริการสารสนเทศบนเว็บด้วย OSS : Joomla Workshopการบริการสารสนเทศบนเว็บด้วย OSS : Joomla Workshop
การบริการสารสนเทศบนเว็บด้วย OSS : Joomla WorkshopSatapon Yosakonkun
 
ตัวอย่างบทที่ 3 วิทยานิพนธ์เว็บไซต์เพื่อสุขภาพ
ตัวอย่างบทที่ 3 วิทยานิพนธ์เว็บไซต์เพื่อสุขภาพตัวอย่างบทที่ 3 วิทยานิพนธ์เว็บไซต์เพื่อสุขภาพ
ตัวอย่างบทที่ 3 วิทยานิพนธ์เว็บไซต์เพื่อสุขภาพrubtumproject.com
 
เครื่องมือในการออกแบบบัญชีด้วยคอมพิวเตอร์
เครื่องมือในการออกแบบบัญชีด้วยคอมพิวเตอร์เครื่องมือในการออกแบบบัญชีด้วยคอมพิวเตอร์
เครื่องมือในการออกแบบบัญชีด้วยคอมพิวเตอร์Witoon Thammatuch-aree
 
เครื่องมือในกลุ่ม BI, SIEM, ระบบจัดการฐานข้อมูล และการเขียนโปรแกรมวิเคราะห์เฉ...
เครื่องมือในกลุ่ม BI, SIEM, ระบบจัดการฐานข้อมูล และการเขียนโปรแกรมวิเคราะห์เฉ...เครื่องมือในกลุ่ม BI, SIEM, ระบบจัดการฐานข้อมูล และการเขียนโปรแกรมวิเคราะห์เฉ...
เครื่องมือในกลุ่ม BI, SIEM, ระบบจัดการฐานข้อมูล และการเขียนโปรแกรมวิเคราะห์เฉ...Chaisuriya
 
นุ๊ก
นุ๊กนุ๊ก
นุ๊กsirinet
 
หมวย
หมวยหมวย
หมวยsirinet
 
ดรีม
ดรีมดรีม
ดรีมsirinet
 
หมวย
หมวยหมวย
หมวยsirinet
 
หวิว
หวิวหวิว
หวิวViewMik
 
รออกแบบเว็บไซต์
รออกแบบเว็บไซต์รออกแบบเว็บไซต์
รออกแบบเว็บไซต์sirinet
 
Health Information Privacy and Security Management
Health Information Privacy and Security ManagementHealth Information Privacy and Security Management
Health Information Privacy and Security ManagementNawanan Theera-Ampornpunt
 

Similar to คุณสมบัติของข้อมูลกิจกรรมและองค์ประกอบอื่นๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยและสมรรถนะของแม่ข่ายเว็บ (20)

SA Chapter 11
SA Chapter 11SA Chapter 11
SA Chapter 11
 
Yuu
YuuYuu
Yuu
 
Ten
TenTen
Ten
 
New
NewNew
New
 
การพัฒนาซอฟแวร์
การพัฒนาซอฟแวร์การพัฒนาซอฟแวร์
การพัฒนาซอฟแวร์
 
Activity 4
Activity 4Activity 4
Activity 4
 
การบริการสารสนเทศบนเว็บด้วย OSS : Joomla Workshop
การบริการสารสนเทศบนเว็บด้วย OSS : Joomla Workshopการบริการสารสนเทศบนเว็บด้วย OSS : Joomla Workshop
การบริการสารสนเทศบนเว็บด้วย OSS : Joomla Workshop
 
SA Chapter 9
SA Chapter 9SA Chapter 9
SA Chapter 9
 
ตัวอย่างบทที่ 3 วิทยานิพนธ์เว็บไซต์เพื่อสุขภาพ
ตัวอย่างบทที่ 3 วิทยานิพนธ์เว็บไซต์เพื่อสุขภาพตัวอย่างบทที่ 3 วิทยานิพนธ์เว็บไซต์เพื่อสุขภาพ
ตัวอย่างบทที่ 3 วิทยานิพนธ์เว็บไซต์เพื่อสุขภาพ
 
เครื่องมือในการออกแบบบัญชีด้วยคอมพิวเตอร์
เครื่องมือในการออกแบบบัญชีด้วยคอมพิวเตอร์เครื่องมือในการออกแบบบัญชีด้วยคอมพิวเตอร์
เครื่องมือในการออกแบบบัญชีด้วยคอมพิวเตอร์
 
เครื่องมือในกลุ่ม BI, SIEM, ระบบจัดการฐานข้อมูล และการเขียนโปรแกรมวิเคราะห์เฉ...
เครื่องมือในกลุ่ม BI, SIEM, ระบบจัดการฐานข้อมูล และการเขียนโปรแกรมวิเคราะห์เฉ...เครื่องมือในกลุ่ม BI, SIEM, ระบบจัดการฐานข้อมูล และการเขียนโปรแกรมวิเคราะห์เฉ...
เครื่องมือในกลุ่ม BI, SIEM, ระบบจัดการฐานข้อมูล และการเขียนโปรแกรมวิเคราะห์เฉ...
 
นุ๊ก
นุ๊กนุ๊ก
นุ๊ก
 
โบ
โบโบ
โบ
 
Best
BestBest
Best
 
หมวย
หมวยหมวย
หมวย
 
ดรีม
ดรีมดรีม
ดรีม
 
หมวย
หมวยหมวย
หมวย
 
หวิว
หวิวหวิว
หวิว
 
รออกแบบเว็บไซต์
รออกแบบเว็บไซต์รออกแบบเว็บไซต์
รออกแบบเว็บไซต์
 
Health Information Privacy and Security Management
Health Information Privacy and Security ManagementHealth Information Privacy and Security Management
Health Information Privacy and Security Management
 

คุณสมบัติของข้อมูลกิจกรรมและองค์ประกอบอื่นๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยและสมรรถนะของแม่ข่ายเว็บ

  • 1. การฝึกอบรมหลักสูตร การวิเคราะห์ข ้อมูลกิจกรรม (log) ของแม่ข่ายเว็บ เพื่อตรวจสอบและปรับปรุงระดับความมั่นคงปลอดภัยของ องค์กร คุณสมบัติของข ้อมูลกิจกรรมและองค์ประกอบ อื่นๆ ที่เกี่ยวข ้องกับความมั่นคงปลอดภัยและ สมรรถนะของแม่ข่ายเว็บ ดร.ศรายุทธ ฉายสุริยะ SARAYUT.CHA@CDTI.AC.TH วันพุธที่ 24 พฤษภาคม 2566 เวลา 9.00 - 16.00 น. ณ ห ้อง 4308 ชั้น 3 อาคาร 604 สถาบันเทคโนโลยีจิตรลดา
  • 2. Topics แม่ข่ายเว็ป และแอปพลิเคชันอื่นๆ ที่ให ้บริการผ่าน HTTP protocol รูปแบบของข ้อมูลกิจกรรม การวิเคราะห์ข ้อมูลกิจกรรม รายงานผลการวิเคราะห์
  • 4. HTTP Server Web Log GET /index.html HTTP/1.1 Host: www.cdti.ac.th ....... HTTP/1.1 200 OK ....... อ ้างอิง https://www3.ntu.edu.sg/home/ehchua/programming/webprogramming/http_basics.html
  • 5. Alice – Bob และ Eve Alice Bob ข้อมูลไปยัง Bob Eve (Eavesdropper)
  • 7. NCSA Common Log format (ใช ้ใน apache httpd) Field Sample Description Remote host address 192.168.1.1 The IP address of the client that made the request. Remote log name - Not used. This value is always a hyphen. User name Sarayut The name of the authenticated user that accessed the server. Anonymous users are indicated by a hyphen. The best practice is for the application always to provide the user name. Date, time, and Greenwich mean time (GMT) offset [10/Oct/1999:21:15:05 +0500] The local date and time at which the activity occurred. The offset from Greenwich mean time is also indicated. Request and Protocol version "GET /index.html HTTP/1.0" The HTTP protocol version that the client used. Service status code 200 The HTTP status code. (A value of 200 indicates that the request completed successfully.) Bytes sent 1043 The number of bytes sent by the server. 172.21.13.45 - MicrosoftJohnDoe [07/Apr/2004:17:39:04 -0800] "GET /scripts/iisadmin/ism.dll?http/serv HTTP/1.0" 200 3401 125.125.125.125 - dsmith [10/Oct/1999:21:15:05 +0500] "GET /index.html HTTP/1.0" 200 1043 ตัวอย่าง
  • 8. NCSA extended log format field sample Descripiton Referer "http://www.ibm.com/" The URL which linked the user to your site. (Optional) user_agent "Mozilla/4.05 [en] (WinNT; I)" The Web browser and platform used by the visitor to your site.(Optional) cookies "USERID=CustomerA;IMPID=01234" Cookies are pieces of information that the HTTP server can send back to client along the with the requested resources. A client's browser may store this information and subsequently send it back to the HTTP server upon making additional resource requests. The HTTP server can establish multiple cookies per HTTP request. ตัวอย่าง "http://www.ibm.com/" "Mozilla/4.05 [en] (WinNT; I)" "USERID=CustomerA;IMPID=01234"
  • 9. W3C Log format (ใช ้ใน IIS) #Software: Microsoft HTTP Server API 2.0 #Version: 1.0 #Date: 2002-05-02 17:42:15 #Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status cs(User-Agent) HEAD Detail 2023-03-06 00:00:00 W3SVC1 HCISAPP1 192.168.2.11 GET / - 80 - 192.168.2.10 HTTP/0.9 - - - - 200 0 0 703 7 0 2023-03-06 00:00:02 W3SVC1 HCISAPP1 192.168.2.11 HEAD / - 80 - 192.168.2.10 HTTP/1.1 Mozilla/5.0+(compatible;+PRTG+Network+Monitor+(www.paessler.com);+Windows) UserCulture=en-US - 172.31.162.101 200 0 0 247 223 0 ... ... c Client s Server r Remote cs Client to Server. sc Server to Client. sr Server to Remote Server rs Remote Server to Server x Application specific identifier.
  • 10. ตัวอย่างข ้อมูลใน Web Log ที่ต ้องสนใจ
  • 12. ข ้อมูลกิจกรรมอื่นๆ ที่เกี่ยวข ้องกับการแม่ ข่ายเว็บ Name Description Windows Event Log OS level Log ของ Windows server (อาทิ event log ของแม่ข่ายเว็บ แบบ Windows) Syslog มาตรฐาน log ที่นิยมใช ้ในระบบ Unix/Linux/อุปกรณ์เครือข่าย Database Log กรณีที่แม่ข่ายเว็บเชื่อมต่อกับ database Firewall Log Firewall ที่เกี่ยวข ้อง มักมีรูปแบบไม่เหมือนกันสาหรับ firewall ยี่ห ้อ ต่างๆ Load balancer Log Load balancer ที่เกี่ยวข ้อง มักมีรูปแบบไม่เหมือนกันสาหรับ load balancer ยี่ห ้อต่างๆ Proxy Log Proxy server ที่เกี่ยวข ้อง ทั้งที่เป็น proxy server สาหรับผู้ใช ้ทั่วไป และ reverse proxy Wifi Access Point Authenticate log สาหรับผู้ใช ้ภายใน ที่ใช ้งานผ่าน wifi access point
  • 13. Windows Event Log Logging is the act of keeping a log of events that occur in a computer system, such as problems, errors or just information on current operations. Windows Event log type: - Application Log - System Log - Security Log - Setup Log Event Viewer
  • 14. ตัวอย่าง Event Log ที่ต ้องสนใจ Logged Source Message 2023-03-06 11:52:11 PM MSSQLSERVER Login failed for user 'sa'. Reason: Password did not match that for the login provided. [CLIENT: 217.64.30.89] 2023-03-06 11:52:11 PM MSSQLSERVER Login failed for user 'sa'. Reason: Password did not match that for the login provided. [CLIENT: 217.64.30.89] Logged Date Computer Message 2023-03-10 6:03:13 AM XISDB Recovery completed for database xlab (database ID 98) in 2 second(s) (analysis 452 ms, redo 250 ms, undo 930 ms [system undo 5D0D00000A00000007000000480043004900530044004200000007000000 6D00610073007400650072000000 ms, regular undo %8 ms].) This is an informational message only. No user action is required. 2023-03-10 6:03:13 AM XISDB Recovery completed for database xdep432 (database ID 36) in 2 second(s) (analysis 419 ms, redo 0 ms, undo 805 ms [system undo 5D0D00000A00000007000000480043004900530044004200000000000000 ms, regular undo %8 ms].) This is an informational message only. No user action is required.
  • 15. ขั้นตอนการวิเคราะห์ ศึกษา บริบทและ ข้อมูล กิจกรรม วิเคราะห์ ความเสี่ยง จัดทา รายงานผล การ วิเคราะห์ - Configuration - ฟังก์ชันของระบบ - ผู้ใช ้นโยบายของ หน่วยงาน - ความเสี่ยง - ปัญหาที่อาจมีอยู่ - Log - ใช ้ เครื่องมือ/ เทคนิกต่างๆ - ตรวจทาน กับ ผู้เกี่ยวข ้อง
  • 17. รูปแบบของรายงาน สรุปผู้บริหาร วิธีการวิเคราะห์ ข้อมูลที่ใช้ในการวิเคราะห์ ประเด็นความเสี่ยง/ปัญหา #1 ประเด็นความเสี่ยง/ปัญหา #2 ... หลักการวิเคราะห์  แยก “ข ้อเท็จจริง” ออกจาก “ข ้อสังเกตุ” “ผลกระทบ” “คาแนะนา” ซึ่งเป็นผลการวิเคราะห์ วิเคราะห์โดยมีเป้าหมายที่ปรับปรุงระบบให ้ดีขึ้น (เป้าหมายในทางบวก) แสดงวิธีการวิเคราะห์ให ้ชัดเจน อ ้างอิงข ้อเท็จจริงที่รวบรวมได ้ ประเมินระดับความร ้ายแรง ความยากง่ายในการ แก ้ปัญหาเสมอ หากเวลาและโอกาศเอื้ออานวย ควรเปิดโอกาสให ้ เจ ้าของระบบมีโอกาส ในการโต ้แย ้ง แสดงความเห็น ก่อนส่งรายงานอย่างเป็นทางการ เนื้อหาในรายงาน มักเป็นข ้อมูลปิด ไม่ควรเปิดเผยให ้ผู้ ไม่เกี่ยวข ้อง
  • 18. ประเด็นที่ n: การโจมตีเครื่องแม่ข่ายระบบ จัดการฐานข ้อมูลแบบ Password Attack ข้อเท็จจริงที่ตรวจพบ ( Findings ) ข ้อมูลกิจกรรม (Windows Event Log – Application Log) ในเครื่องแม่ข่ายระบบ จัดการฐานข ้อมูล XDB ซึ่งมีข ้อมูลตั้งแต่วันที่ d1 ถึง d2 (ประกาณ 5 วัน) มีข ้อมูลแสดงถึง การปฏิเสธการ ขอเข ้าสู่ระบบฐานข ้อมูล (Login) จานวนมาก (41,845 รายการ) .... แสดงให ้เห็นว่าเป็นการโจมตีทางไซเบอร์ ในรูปแบบ Password Attack ผ่านโปรโตคอล ms-sql-s ที่พอร์ท 1433 ซึ่งผู้โจมตีจะใช ้ เทคนิคต่างๆ ในการคาดเดารหัสผ่านของ ผู้ใช ้ระบบ เพื่อให ้ผ่านขั้นตอนการพิสูจน์ ตัวตนของระบบเป้าหมาย (ซึ่งในกรณีนี้ หมายถึงระบบฐานข ้อมูล SQLServer บน
  • 19. ข ้อสังเกต (Observations) 1.การโจมตีรูปแบบนี้เข ้าข่ายการกระทาความผิดตามมาตรา 10 ผู้ใด กระทาด ้วยประการใดโดยมิชอบ เพื่อให ้การทางาน ของระบบ คอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถ ทางานตามปกติได ้ต ้องระวาง โทษจาคุกไม่เกินห ้าปี และปรับไม่เกิน หนึ่งแสนบาท หรือทั้งจาทั้งปรับ พระราชบัญญัติว่าด ้วยการกระทา ความผิด เกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560/2550 2.การจัดเก็บข ้อมูลกิจกรรมมีข ้อบกพร่อง โดยพบว่าระบบไม่ได ้จัดเก็บ ข ้อมูลกิจกรรมของระบบจัดการฐาน ข ้อมูลไว ้ในการวิเคราะห์นี้ จึงมี ข ้อมูลเพียงระยะสั้นๆ (5 วัน) เราจึงไม่มีข ้อมูลว่าการโจมตีแบบนี้ เกิดขึ้น นานแค่ไหนแล ้ว ซึ่งโดยหลักการแล ้ว ข ้อมูลกิจกรรมนี้ควรเก็บไว ้อย่าง น้อย 90 วัน ทั้งนี้ข ้อมูลกิจกรรมถือเป็นส่วนหนึ่งของข ้อมูล จราจรที่ต ้อง จัดเก็บไว ้90 วัน ตามพระราชบัญญัติว่าด ้วยการกระทาความผิดเกี่ยวกับ คอมพิวเตอร์ พ.ศ. 2560/2550 มาตรา ๒๖ ผู้ให ้บริการต ้องเก็บรักษา ข ้อมูลจราจรทางคอมพิวเตอร์ไว ้ไม่น้อยกว่าเก ้าสิบวัน นับแต่วันที่ข ้อมูล
  • 20. ผลกระทบ (Impacts) 1.การขอเข ้าสู่ระบบปริมาณถึง 8,369 ครั้งต่อวันโดยผู้ประสงค์ ร ้าย (Attackers) ย่อมมีผลกระทบอย่างร ้ายแรงต่อ ประสิทธิภาพของระบบจัดการฐานข ้อมูล ซึ่งเป็นหัวใจของ ระบบสารสนเทศศูนย์บริการสาธารณสุข โดยกระทบกับเกือบ ทุกๆ บริการด ้านสารสนเทศ โดยเฉพาะอย่างยิ่งด ้านสมรรถนะ ของระบบ 2....
  • 21. คาแนะนา (Recommendations) 1.แจ ้งความดาเนินคดีต่อผู้โจมตีที่อยู่ ภายในประเทศไทย 2.ตรวจสอบคอมพิวเตอร์ที่ใช ้ที่อยู่ IP ที่ปรากฏ ในตาราง โดยที่ 2.1.หาผู้ควบคุมคอมพิวเตอร์เครื่องนั้น ดาเนินการ แจ ้งความดาเนินคดีตามความเหมาะสม 2.2.หากพบ malware ให ้ดาเนินล ้างเครื่อง และ กาหนดมาตรการในป้องกันการเกิดปัญหาซ้า 3.ตรวจสอบกระบวนการเปิด firewall ให ้ระบบ ภายนอกเข ้าถึงแม่ข่ายระบบฐานข ้อมูลได ้ว่า เกิดขึ้นได ้อย่างไร และโดยใคร รวมไปถึงการ กาหนดมาตรการในการป้องกันเหตุนี้ ใน อนาคตด ้วย ....
  • 22. Q&A