ISAC Cambodia (InfoSec)
GeneralSecurity News

Pro-active Log Review Might Be A Good Idea

សព្វថ្ងៃនេះ ការនិយាយទូរស័ព្ទនិងចូលទៅកាន់ Facebook គឺជាទម្លាប់មួយទៅហើយ។ ប៉ុន្តែចុះបើអ្នក បោះបង់ចោលការងារទាំងស្រុងរបស់អ្នក ហើយបញ្ជូនឲ្យអ្នកផ្សេង នៅក្រៅប្រទេស ធ្វើជំនួសអ្នកវិញនោះ ដូចជានៅចិន? តើអ្នកគិតថាដូម្តេច?

ករណីេនះគឺកើតឡើងចំពោះអ្នកអភិវឌ្ឍន៍កូដកុំព្យូទ័រម្នាក់ ដែលបានបង់លុយឲ្យទៅក្រុមហ៊ុន⁣ទីប្រឹក្សាចិនចំនួន ២០ភាគរយ នៃចំនួនប្រាក់ខែសរុបរបស់គាត់ ដើម្បីធ្វើការងារ ឲ្យគាត់។ គាត់ត្រូវបានហៅថា Bob ដែលជាបុគ្គលិក របស់ក្រុមហ៊ុនអាមេរិចមួយ ធ្វើការទាក់ទងនឹង ហេដ្ឋារចនាសម្ព័ន្ធគន្លឺះ (critical infrastructure) ហើយការងារគាត់ គឺសរសេរកម្មវិធី C++, Java, Python, Ruby ក៏ដូចជាភាសាដទៃទៀតដែរ។

ប៉ុន្តែក្រៅពីជំនាញរបស់គាត់ Bob មិនបានធ្វើការងាររបស់គាត់ទេ។ នេះគឺជាការងារដែលគាត់ធ្វើប្រចាំថ្ងៃ៖

  • 9:00 a.m. – Arrive and surf Reddit for a couple of hours. Watch cat videos.
    11:30 a.m. – Take lunch
    1:00 p.m. – Ebay time
    2:00 p.m. – Facebook updates, LinkedIn
    4:30 p.m. – End-of-day update email to management
    5:00 p.m. – Go home

នេះមិនជាបញ្ហាតែមួយនៃក្រុមហ៊ុនរបស់ Bob ឡើយ ដែលក្នុងរបាយការណ័របស់ Verizon បានបង្ហាញថា បញ្ហាដូចគ្នានេះ កើតមានឡើងចំពោះក្រុមហ៊ុនជាច្រើន ដែល រកប្រាក់ចំណូលបាន រាប់រយពាន់ដុល្លាក្នុងមួយឆ្នាំ ក្នុងពេលដែលក្រុមហ៊ុនចិន ទទួលការងាររកចំណូលបាន ក្នុងរង្វង់តែ 50,000$ ប៉ុណ្ណោះក្នុងមួយឆ្នាំ។

តើមានអ្វីបន្ថែមទៀតនៅពេលដែលការវាយតម្លៃការងាររបស់ Bob ត្រូវបានគេបង្ហាញ? វាគឺជាគម្រូអាជីវកម្ម មួយដែលដំណើរការយ៉ាងល្អ។ សម្រាប់រយៈពេលប៉ុន្មានឆ្នាំ កន្លងទៅនេះ Bob បានទទួលនូវការវាយតម្លៃថា “Excellent Remarks” ។ កូដកុំព្យូទ័ររបស់គាត់គឺល្អ (clean) សរសេរមានបែបបទត្រឹមត្រូវ (well-written) ហើយបញ្ជូនបានទាន់ពេលវេលាត្រឹមត្រូវ។ ពីត្រីមាសមួយទៅត្រីមាសមួយ ការវាយតម្លៃប្រសិទ្ធិភាពរបស់គាត់ គឺជា developer ដ៏ល្អបំផុត។

តើមូលហេតុអ្វីបានជាក្រុមហ៊ុនដឹងថា  Bob បញ្ជូនការងាររបស់គាត់ទៅប្រទេសចិន?

ការត្រួតពិនិត្យនូវ VPN logs បានបង្ហាញថា មានការ log ចូលមកពីប្រទេសចនិន ដោយប្រើប្រាស់ឈ្មោះរបស់ បុគ្គលិកក្រុមហ៊ុន។ ប៉ុន្តែបុគ្គលិកនោះគឺកំពុងធ្វើការ នៅតុរបស់គាត់ មើលកុំព្យូទ័រគាត់។ ក្រុមហ៊ុនមានការសង្ស័យ ជាជំហានដំបូងថា មាន malware ដែលអាចធ្វើការបង្វែរ traffic ចេញពីក្នុង trusted internal connection ទៅកាន់ប្រទេសចិន ហើយបន្ទាប់មកត្រលប់មកវិញ។

ការស៊ើុបអង្កេតចាប់ផ្តើមពីការសិក្សាទៅលើ network topology, segmentation, authentication, log collection etc. ។ នៅក្នុង log នោះ បានបង្ហាញឲ្យឃើញថា មានការភ្ជាប់មកពី Shenyang (China) ស្ទើរតែរាល់ថ្ងៃ ហើយការភ្ជាប់នោះចំណាយពេលពេញមួយថ្ងៃការងារ។ ការស៊ើុបអង្កេតបន្តទៀត គឺផ្តោតទៅលើបុគ្គលិកផ្ទាល់តែម្តង ដែលគាត់គឺជាមនុស្សដែលមានសិទ្ធិ ក្នុងការប្រើប្រាស់ VPN ។

ជាបន្តទៀត ការសើុបអង្កេតបានផ្តោតទៅលើកុំព្យូទ័ររបស់ ⁣Bob ដោយធ្វើការចម្លងយកទិន្នន័យ hard disk ទាំងមូល (forensic image) ដែលអាចអនុញ្ញាត ឲ្យ យើងធ្វើការស្រោចស្រង់មកវិញ (recoverable) នូវឯកសារនានាតាមតែអាចធ្វើទៅបាន។ ធ្វើបែបនេះវានឹងអាចជួយកំណត់ថាតើ មាននូវកម្មវិធីសង្ស័យណាមួយ (malicious software) ដែលត្រូវបានលប់ចោល។ ការរកឃើញគឺបានធ្វើឲ្យអ្នកទាំងអស់មានការភ្ញាក់ផ្អើលជាខ្លាំង នោះគឺឯកសារ វិក័យប័ត្ររាប់រយ ជា PDF មកពី Shenyang ប្រទេសចិន។

សរុបសេចក្តីមក Bob បានបញ្ជូនការងារប្រចាំថ្ងៃរបស់គាត់ទៅឲ្យ ក្រុមហ៊ុនចិន។ ចំណែកសិទ្ធិអនុញ្ញាតក្នុងការចូលទៅកាន់ VPN នោះគឺមិនមានបញ្ហានោះឡើយ ដោយ គាត់បានប្រាប់ពី UserName/Password គាត់ ព្រមទាំងបានផ្ញើរតាម FedEx នូវ RSA token របស់គាត់ទៅចិន។

ប្រភព៖

http://securityblog.verizonbusiness.com/2013/01/14/case-study-pro-active-log-review-might-be-a-good-idea/

Show More
Apsara Media Services (AMS)

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button