ตอบข้อที่สอง : เช่นเดียวกับข้อที่ 1 คือควรมีการกำหนดบทบาทและหน้าที่ของผู้ดูแล Log ผู้ที่เข้าถึง log ผู้ที่ทำการ archive log โดยมีกรอบคือ Data owner คือใคร มีบทบาทหน้าที่อย่างไร Data custody คือใคร มีบทบาท อย่างไร ออกเป็น Policy ในองค์กรเสียก่อน จากนั้นค่อยทำให้ SRAN
*** อย่าลืมว่า SRAN เป็นเพียงเทคโนโลยี ในการอำนวยความสะดวกในการบริหารจัดการข้อมูลสารสนเทศให้รู้ทันปัญหาและเก็บบันทึกข้อมูลจราจร ให้ถูกต้องตามกฏหมายคอมพิวเตอร์ เท่านั้น **

ตอบข้อที่สาม : SRAN Light มีการตรวจสอบข้อมูล 2 ประเภท คือ ข้อมูลปกติ และ ไม่ปกติ
ข้อมูลปกติ ที่เกิดจากการใช้ข้อมูลสารสนเทศ ทั้งใน วง LAN และ ในการติดต่อสื่อสารผ่าน Internet ได้แก่ Web , Mail , Chat อื่่นๆ เป็นต้น ไม่มีภัยคุกคามการติดต่อสื่อสารเหล่านั้นจะเก็บเข้าไปในรูป Log ที่สามารถค้นหา และทำการ Hashing ข้อมูลเพื่อป้องกันการแก้ไข ในกรณีที่มีการทุจริตเกิดขึ้นในองค์กร

ข้อมูลไม่ปกติ ที่เกิดจากการใช้ข้อมูลสารสนเทศ เช่น ติดไวรัส ติดเป็นเหยื่อ botnet ส่ง spam และอื่นๆ นั้น SRAN จะใช้หลักการของ Network Intrusion Detection System ในการตรวจสอบ โดยมีฐานข้อมูลของพฤติกรรมอันไม่ปกติอยู่ในเครื่อง SRAN และมีการ update ฐานข้อมูลดังกล่าวตามระยะเวลาของ License ของ SRAN หากอยู่ในประกัน SRAN จะมีการอัพเดทอย่างสม่ำเสมอเพื่อได้เรียนรู้ถึงภัยคุกคามที่เกิดขึ้นมาใหม่ ได้ทันเวลา

และเมื่อ SRAN มีการเรียนรู้เรื่องภัยคุกคาม ทีมพัฒนา SRAN จึงได้จัดหมวดหมู่ (Category) ของระดับความรุนแรงของภัยนั้น ว่ามีความเสี่ยง สูง กลาง และต่ำ อย่างไร ซึ่งในระบบ สามารถเปิดให้ ผู้ใช้งาน บริหารจัดการความเสี่ยงตามหมวดหมู่ของกลุ่ม Signature ที่เตรียมไว้ใน SRAN ได้ ทั้งนี้ขึ้นกับ Security Policy ขององค์กรด้วย ยกตัวอย่าง เช่น บางองค์กร อาจจะถือว่าการเล่น MSN เป็นภัยคุกคามที่รุนแรง โดยเฉพาะการส่ง file ออกนอกบริษัท ดังนั้น SRAN ก็จะเริ่มค่าว่าการส่ง file ผ่าน Protocol MSN นั้นจะมีความเสี่ยงที่สูง เป็นต้น ส่วนความเสี่ยงสูงที่มากับ SRAN ส่วนใหญ่จะเป็นเรื่องภัยจาก Malware และการทำ P2P เป็นหลัก
ส่วนภัยที่เกิดจากความเสี่ยงปานกลาง และต่ำ ส่วนมากเป็นเรื่องเกี่ยวกับการ config ที่ไม่เหมาะสมในอุปกรณ์เครือข่าย เช่น Switch , Router หรือ Firewall ที่ปล่อยค่า ICMP หรือ Broadcast แบบไร้ที่มาที่ไป เป็นต้น

ตอบคำถามที่ 4 : หาผู้กระทำความผิดได้ หากในองค์กรนั้นทำระบบ Authentication และเอา Log Authentication โยนเข้ามาที่ SRAN Light แนะนำว่าควรใช้ SRAN Light รุ่น Hybrid เนื่องจากจะรับ syslog ได้ และได้มาตราฐานตามการเก็บ Log จาก NECTEC
ส่วนหากองค์กรหรือบริษัท ยังไม่มีระบบ Authentication ทางบริษัทฯ (Global Technology Integrated : www.gbtech.co.th ) มีแนวทางในการจัดทำระบบให้สมบูรณ์

ทั้งหมดนี้ต้องเรียนว่าระบบจะสมบูรณ์ได้ไม่ได้ขึ้นกับ เทคโนโลยี อย่างเดียวแต่ต้องขึ้นการ คน และ กระบวนการด้วย ดังนั้นทางบริษัท ฯ ยินดีให้คำปรึกษา พร้อมการออกแบบระบบ เพื่อให้ยั้งยืนในอนาคตต่อไป

ขอบคุณสำหรับคำถามที่ถามมา

ทีมพัฒนาวิจัย SRAN (SRAN-Dev)

ขอบคุณล่วงหน้าสำหรับคำตอบนะคะ