Pro-active Log Review Might Be A Good Idea
សព្វថ្ងៃនេះ ការនិយាយទូរស័ព្ទនិងចូលទៅកាន់ Facebook គឺជាទម្លាប់មួយទៅហើយ។ ប៉ុន្តែចុះបើអ្នក បោះបង់ចោលការងារទាំងស្រុងរបស់អ្នក ហើយបញ្ជូនឲ្យអ្នកផ្សេង នៅក្រៅប្រទេស ធ្វើជំនួសអ្នកវិញនោះ ដូចជានៅចិន? តើអ្នកគិតថាដូម្តេច?
ករណីេនះគឺកើតឡើងចំពោះអ្នកអភិវឌ្ឍន៍កូដកុំព្យូទ័រម្នាក់ ដែលបានបង់លុយឲ្យទៅក្រុមហ៊ុនទីប្រឹក្សាចិនចំនួន ២០ភាគរយ នៃចំនួនប្រាក់ខែសរុបរបស់គាត់ ដើម្បីធ្វើការងារ ឲ្យគាត់។ គាត់ត្រូវបានហៅថា Bob ដែលជាបុគ្គលិក របស់ក្រុមហ៊ុនអាមេរិចមួយ ធ្វើការទាក់ទងនឹង ហេដ្ឋារចនាសម្ព័ន្ធគន្លឺះ (critical infrastructure) ហើយការងារគាត់ គឺសរសេរកម្មវិធី C++, Java, Python, Ruby ក៏ដូចជាភាសាដទៃទៀតដែរ។
ប៉ុន្តែក្រៅពីជំនាញរបស់គាត់ Bob មិនបានធ្វើការងាររបស់គាត់ទេ។ នេះគឺជាការងារដែលគាត់ធ្វើប្រចាំថ្ងៃ៖
- 9:00 a.m. – Arrive and surf Reddit for a couple of hours. Watch cat videos.
11:30 a.m. – Take lunch
1:00 p.m. – Ebay time
2:00 p.m. – Facebook updates, LinkedIn
4:30 p.m. – End-of-day update email to management
5:00 p.m. – Go home
នេះមិនជាបញ្ហាតែមួយនៃក្រុមហ៊ុនរបស់ Bob ឡើយ ដែលក្នុងរបាយការណ័របស់ Verizon បានបង្ហាញថា បញ្ហាដូចគ្នានេះ កើតមានឡើងចំពោះក្រុមហ៊ុនជាច្រើន ដែល រកប្រាក់ចំណូលបាន រាប់រយពាន់ដុល្លាក្នុងមួយឆ្នាំ ក្នុងពេលដែលក្រុមហ៊ុនចិន ទទួលការងាររកចំណូលបាន ក្នុងរង្វង់តែ 50,000$ ប៉ុណ្ណោះក្នុងមួយឆ្នាំ។
តើមានអ្វីបន្ថែមទៀតនៅពេលដែលការវាយតម្លៃការងាររបស់ Bob ត្រូវបានគេបង្ហាញ? វាគឺជាគម្រូអាជីវកម្ម មួយដែលដំណើរការយ៉ាងល្អ។ សម្រាប់រយៈពេលប៉ុន្មានឆ្នាំ កន្លងទៅនេះ Bob បានទទួលនូវការវាយតម្លៃថា “Excellent Remarks” ។ កូដកុំព្យូទ័ររបស់គាត់គឺល្អ (clean) សរសេរមានបែបបទត្រឹមត្រូវ (well-written) ហើយបញ្ជូនបានទាន់ពេលវេលាត្រឹមត្រូវ។ ពីត្រីមាសមួយទៅត្រីមាសមួយ ការវាយតម្លៃប្រសិទ្ធិភាពរបស់គាត់ គឺជា developer ដ៏ល្អបំផុត។
តើមូលហេតុអ្វីបានជាក្រុមហ៊ុនដឹងថា Bob បញ្ជូនការងាររបស់គាត់ទៅប្រទេសចិន?
ការត្រួតពិនិត្យនូវ VPN logs បានបង្ហាញថា មានការ log ចូលមកពីប្រទេសចនិន ដោយប្រើប្រាស់ឈ្មោះរបស់ បុគ្គលិកក្រុមហ៊ុន។ ប៉ុន្តែបុគ្គលិកនោះគឺកំពុងធ្វើការ នៅតុរបស់គាត់ មើលកុំព្យូទ័រគាត់។ ក្រុមហ៊ុនមានការសង្ស័យ ជាជំហានដំបូងថា មាន malware ដែលអាចធ្វើការបង្វែរ traffic ចេញពីក្នុង trusted internal connection ទៅកាន់ប្រទេសចិន ហើយបន្ទាប់មកត្រលប់មកវិញ។
ការស៊ើុបអង្កេតចាប់ផ្តើមពីការសិក្សាទៅលើ network topology, segmentation, authentication, log collection etc. ។ នៅក្នុង log នោះ បានបង្ហាញឲ្យឃើញថា មានការភ្ជាប់មកពី Shenyang (China) ស្ទើរតែរាល់ថ្ងៃ ហើយការភ្ជាប់នោះចំណាយពេលពេញមួយថ្ងៃការងារ។ ការស៊ើុបអង្កេតបន្តទៀត គឺផ្តោតទៅលើបុគ្គលិកផ្ទាល់តែម្តង ដែលគាត់គឺជាមនុស្សដែលមានសិទ្ធិ ក្នុងការប្រើប្រាស់ VPN ។
ជាបន្តទៀត ការសើុបអង្កេតបានផ្តោតទៅលើកុំព្យូទ័ររបស់ Bob ដោយធ្វើការចម្លងយកទិន្នន័យ hard disk ទាំងមូល (forensic image) ដែលអាចអនុញ្ញាត ឲ្យ យើងធ្វើការស្រោចស្រង់មកវិញ (recoverable) នូវឯកសារនានាតាមតែអាចធ្វើទៅបាន។ ធ្វើបែបនេះវានឹងអាចជួយកំណត់ថាតើ មាននូវកម្មវិធីសង្ស័យណាមួយ (malicious software) ដែលត្រូវបានលប់ចោល។ ការរកឃើញគឺបានធ្វើឲ្យអ្នកទាំងអស់មានការភ្ញាក់ផ្អើលជាខ្លាំង នោះគឺឯកសារ វិក័យប័ត្ររាប់រយ ជា PDF មកពី Shenyang ប្រទេសចិន។
សរុបសេចក្តីមក Bob បានបញ្ជូនការងារប្រចាំថ្ងៃរបស់គាត់ទៅឲ្យ ក្រុមហ៊ុនចិន។ ចំណែកសិទ្ធិអនុញ្ញាតក្នុងការចូលទៅកាន់ VPN នោះគឺមិនមានបញ្ហានោះឡើយ ដោយ គាត់បានប្រាប់ពី UserName/Password គាត់ ព្រមទាំងបានផ្ញើរតាម FedEx នូវ RSA token របស់គាត់ទៅចិន។
ប្រភព៖
http://securityblog.verizonbusiness.com/2013/01/14/case-study-pro-active-log-review-might-be-a-good-idea/