นักกลยุทธ์ความปลอดภัยเครือข่ายระดับโลก
Global Security Strategist, Fortinet
ในเวลานี้ ทุกปี ผมรวบรวมงานวิจัยล่าสุดของผมทั้งหมดที่เกี่ยวกับแนวโน้มของอาชญากรรมไซเบอร์ การวิจัยภัยคุกคาม รวมทั้งการพัฒนาเทคโนโลยีที่เกี่ยวข้องต่างๆ ออกมาเป็นรายงานให้กับฟอร์ติเน็ต สะท้อนให้เห็นว่าภูมิทัศน์ความปลอดภัยทางไซเบอร์จะมีลักษณะอย่างไรทั้งในระยะสั้นและอนาคต ผมคิดว่าการมองในภาพรวมและคาดการณ์นี้มีความสำคัญมาก เนื่องจากชุมชนอาชญากรไซเบอร์ประสบความสำเร็จในการคุกคาม โดยอาศัยทำนายการตัดสินใจของเหยื่อที่แม่นยำมากขึ้น และใช้ประโยชน์จากการเชื่อมโยงเครือข่ายมากขึ้น จึงพบภัยคุกคามมากขึ้น
อาชญากรไซเบอร์ใช้กลยุทธ์ "โจมตีในทุกรูปแบบ" ในการโจมตีของพวกเขา เราจึงเห็นการพัฒนาวิธีการโจมตีที่ซับซ้อนมากขึ้น เช่น เราได้เห็นการใช้เทคนิคการหลบหลีกขั้นสูง (Advanced Evasion Techniques: AETs) เพิ่มมากขึ้นอย่างชัดเจน เทคนิคยอดนิยมดังกล่าวนี้ออกแบบมาโดยความตั้งใจให้สามารถป้องกันการตรวจจับ อีกทั้งยังสามารถปิดฟังก์ชั่นด้านความปลอดภัยและอุปกรณ์ได้ สามารถปฏิบัติงานได้โดยไม่ถูกตรวจพบอีกด้วย
อย่างไรก็ตาม เราสังเกตุเห็นกลยุทธ์ที่อาชญากรไซเบอร์ใช้เพิ่มเติมอีก กลยุทธ์แรก คือ เหมือนกับองค์กรทั่วๆ ไปที่พวกเขาจะไม่ใช้เงินหากไม่จำเป็นหรือไม่ต้องการ เช่น จากรายงานภัยคุกคามภูมิทัศน์ความปลอดภัยทางไซเบอร์ล่าสุดจากฟอร์ติเน็ต แสดงให้เห็นว่าอาชญากรไซเบอร์สามารถกำหนดเป้าหมายช่องโหว่จากปีคศ. 2007 ได้มากกว่าปีคศ. 2018-2019 จึงทำให้อาชญากรไซเบอร์ไม่จำเป็นต้องลงทุนพัฒนามัลแวร์ทูลส์ใหม่ ในเมื่อองค์กรยังมีการป้องกันเครือข่ายของตนในระดับที่ต่ำอยู่ ยังมีโอกาสในการคุกคามสูงอยู่
อีกกลยุทธ์ที่ใช้ คือ การกำหนดเป้าหมายการโจมตีในปริมาณมากที่สุด เช่น ในรายงานเดียวกันนี้พบว่า อาชญากรกำลังกำหนดเป้าหมายไปยังบริการที่ส่วนเอจ ที่มีการเชื่อมต่อกับสาธารณชนมากขึ้น ซึ่งอาจเป็นการฉวยโอกาสที่องค์กรกำลังขะมักเขม้นอัปเกรดอุปกรณ์เกตเวย์รักษาความปลอดภัยให้ระบบอีเมลของตนและฝึกอบรมบุคลากรเพื่อต่อสู้กับภัยฟิชชิ่งที่มีมากมายในขณะนี้อยู่ อาชญากรจึงใช้กลยุทธ์โจมตีที่แตกต่างกันในปริมาณมาก และคุกคามเข้ามาในเครือข่ายได้สำเร็จ
และที่น่าสนใจมากที่สุดในขณะนี้ คือ การพัฒนากลยุทธ์การโจมตีที่ใช้การทำงานร่วมของภัยประเภทหนอน (Swarm-based attacks) ซึ่งผมได้เคยออกรายงานมาระยะหนึ่งแล้ว ทั้งนี้ ภัยหนอนอัจฉริยะกลุ่มใหม่ที่เกิดจากบอทที่ปรับแต่งได้ และถูกจัดกลุ่มรวมกันตามฟังก์ชั่นการโจมตีที่เฉพาะเจาะจง หนอนอัจฉริยะกลุ่มใหม่นี้จะสามารถแบ่งปันและเรียนรู้จากกันและกันได้แบบเรียลไทม์ สามารถกำหนดเครือข่ายเป้าหมาย และโจมตีเหยื่อ ในทุกด้านได้พร้อมๆ กันอย่างง่ายดาย ดังนั้น จึงเป็นความท้าทายในศักยภาพของเครือข่ายที่จะต้องป้องกันตนเองให้ได้อย่างแข็งแกร่ง
ใครได้เปรียบกว่าใคร?
องค์กรมีความจำเป็นที่ต้องเข้าใจแนวโน้มเหล่านี้เป็นอย่างยิ่ง เนื่องจากในการแข่งขันในด้านไซเบอร์นั้นชุมชนอาชญากรมักจะมีข้อได้เปรียบมากกว่า โดยเฉพาะอย่างยิ่งเมื่อองค์กรทั่วโลกยังคงใช้ผลิตภัณฑ์ที่ทำงานป้องกันเฉพาะจุด (Traditional point products) และใช้กลยุทธ์การรักษาความปลอดภัยที่ให้การป้องกันสูงเฉพาะส่วน (Stovepiped security strategies) อยู่ ดังนั้น องค์กรต่างๆ จึงจำเป็นต้องปรับเปลี่ยนกระบวนวิสัยทัศน์ทั้งหมดที่องค์กรควรคิดถึงและปรับใช้ระบบความปลอดภัยไซเบอร์อย่างไรบ้าง
จวบจนปัจจุบันนี้ บางองค์กรยังคงใช้กลยุทธ์แบบเดิมๆ ที่ไม่ได้ผล มาใช้ป้องกันรักษาความปลอดภัยเครือข่ายใหม่ๆ ของตนเอง เช่น ใช้ทูลส์ด้านความปลอดภัยที่ทำงานแยกกันมาบริหารเครือข่ายบนคลาวด์ ซึ่งนับว่าเป็นการนำกลยุทธ์ที่ไม่เหมาะสมมาใช้ เนื่องจากอุปกรณ์ที่ทำงานแยกจากกันจะยิ่งเพิ่มความซับซ้อนและภาระเพิ่มเติมให้กับเจ้าหน้าที่ไอทีมากยิ่งขึ้น อีกทั้งยังเป็นการลดศักยภาพในการมองเห็นภายในเครือข่ายและลดอำนาจในการบริหารเครือข่ายที่จำเป็นต้องมีในการค้นพบและหยุดการโจมตีที่มีปริมาณมาก ที่ผู้ประสงค์ร้ายออกแบบมาเพื่อโจมตีทางช่องโหว่เฉพาะมากมายต่างๆ
อย่างไรก็ตาม เมื่อนำเครือข่าย 5G มาใช้อาจช่วยเร่งให้การเปลี่ยนแปลงกระบวนทัศนะด้านความปลอดภัยได้เร็วขึ้น เนื่องจากจะเกิดศูนย์บ่มเพาะที่สมบูรณ์แบบสำหรับการพัฒนาการโจมตีแบบฝูง Swarm-based attacks ของภัยหนอนบนเครือข่าย 5G นอกจากนี้ เครือข่ายขอบส่วนเอจที่รองรับการใช้งาน 5G นี้จะมีศักยภาพสูงสามารถสร้างเครือข่ายท้องถิ่นเฉพาะกิจได้อย่างรวดเร็ว จึงสามารถแบ่งปัน ประมวลผลของข้อมูลและแอปพลิเคชันได้อย่างรวดเร็ว ส่งผลให้กลุ่มอุปกรณ์ที่ถูกโจมตีสามารถทำงานร่วมกันเพื่อกำหนดเป้าหมายเหยื่อที่ความเร็วระดับ 5G ได้ไปด้วย หมายความว่า การโจมตีในอนาคตจะยิ่งฉลาด รวดเร็วและมีลักษณะเฉพาะ จึงทำให้เหลือเทคโนโลยีด้านความปลอดภัยในปัจจุบันเพียงจำนวนน้อยที่ยังจะสามารถต่อสู้กับภัยคุกคามดังกล่าวได้อย่างมีประสิทธิภาพได้ เช่น การใช้กลยุทธ์แบบต่อเนื่อง (Persistent strategy) เป็นต้น
องค์กรสามารถเป็นผู้ชนะได้ด้วยเอไอ
ในการก้าวออกจากวังวนนี้ องค์กรจำเป็นต้องเริ่มใช้เทคโนโลยีและกลยุทธ์ประเภทเดียวกันเพื่อปกป้องเครือข่ายที่อาชญากรใช้ในการคุกคามเข้ามา นั่นคือ การใช้วิธีการป้องกันภัยแบบบูรณาการอย่างชาญฉลาดซึ่งใช้ประโยชน์จากพลังงานและทรัพยากรที่องค์กรมีอยู่ในปัจจุบัน เทคโนโลยีเอไอ (Artificial Intelligence: AI) เป็นหนึ่งในความหวังที่ดีที่สุดในการช่วยองค์กรเผชิญกับปัญหาภัยคุกคามใหม่ๆ นี้ได้ โดยมีเป้าหมายคือการพัฒนาระบบภูมิคุ้มกันแบบปรับตัวได้เองสำหรับเครือข่าย คล้ายกับระบบภูมิคุ้มกันในร่างกายมนุษย์ ซึ่งในร่างกายของเรา จะมีเซลล์เม็ดเลือดขาวที่จะเข้ามาช่วยเหลือเมื่อตรวจพบปัญหาโดยอัตโนมัติ เพื่อต่อสู้กับการติดเชื้อ ในขณะที่ยังจะส่งข้อมูลกลับไปที่สมองเพื่อการประมวลผลที่มากขึ้น เช่น การจัดสรรทรัพยากรเพิ่มเติมหรือจดจำการใช้ยาปฏิชีวนะ
เมื่อเอไอพัฒนาจากรูปแบบปัจจุบันซึ่งส่วนใหญ่จะใช้ในการกรองข้อมูลขนาดใหญ่เพื่อแก้ไขปัญหา มันจะสามารถทำงานได้มากขึ้นคล้ายระบบภูมิคุ้มกันของมนุษย์หรือเครือข่ายระบบประสาท เอไอจะทำงานอยู่บนโหนดที่มีการเรียนรู้ ติดตั้งใช้งานเป็นส่วนๆ หรือระดับภูมิภาค และมีการเชื่อมต่อระหว่างกัน จึงสามารถรวบรวมข้อมูลในส่วนหรือภูมิภาคนั้น แล้วจึงมาแบ่งปัน เชื่อมโยงและวิเคราะห์ข้อมูลเหล่านั้นแบบกระจาย (Distributed manner)
พัฒนาการในอนาคตที่น่าสนใจ
บทความนี้มีเพียงบางแนวคิดเท่านั้น มีแนวโน้มที่น่าสนใจมากมายที่ผู้บริหารธุรกิจและทีมไอทีควรทำความคุ้นเคยไว้ อันได้แก่:
- Machine Learning: รวมเทคโนโลยีแมชชีนเลิร์นนิ่งเข้ากับการวิเคราะห์ทางสถิติเพื่อคาดการณ์การโจมตี จะช่วยเปิดเผยรูปแบบการโจมตีพื้นฐานของอาชญากรไซเบอร์ ซึ่งจะทำให้ระบบเอไอสามารถทำนายการเคลื่อนไหวในครั้งต่อไปของผู้โจมตีได้ รวมถึง คาดการณ์ว่าการโจมตีครั้งต่อไปจะเกิดขึ้นที่ใด คาดว่ามีว่าผู้ไม่ประสงค์ดีจะเป็นประเภทไหน
- Deception Technologies: ควรมองลึกลงไปว่าเทคโนโลยีการหลอกลวงใหม่จะสามารถใช้สร้างชั้นการป้องกันแข็งแกร่งที่ทะลุผ่านเครือข่ายเข้ามาไม่ได้อย่างแท้จริงได้ย่างไร
- Law Enforcement: การบังคับใช้กฎหมายล่าสุดจะช่วยให้องค์กรก้าวไปข้างหน้า เผชิญอาชญากรรมไซเบอร์ได้อย่างไร
- New Zero-Day Exploits: อาชญากรไซเบอร์สามารถโจมตีแบบ New Zero-Day Exploits (การใช้ประโยชน์จากการโจมตีขั้นสูงที่ช่องโหว่ได้วางแผนและกำหนดเอาไว้แล้วแต่องค์กรไม่รู้ทัน) ที่มีเพิ่มมากขึ้น ร่วมเข้ากับระบบเอไอแบเปิด จะทำให้อาชญากรไซเบอร์สามารถโจมตีในรูปแบบและสถานที่ที่องค์กรจำนวนมากไม่ได้มีกระบวนการเตรียมตัวป้องกันไว้
ควรเริ่มต้นด้วยกลยุทธ์แบบหลอมรวม
แนวโน้มเหล่านี้ช่วยเน้นย้ำถึงความจำเป็นที่จะต้องใช้แนวทางใหม่ในการรักษาความปลอดภัยที่ได้รับการออกแบบมาตามหลักการของโซลูชั่นแบบบูรณาการ รวมกับเทคโนโลยเอไอและแมชชีนเลิร์นนิ่งขั้นสูง และเทคนิคที่เกี่ยวข้องอื่นๆ ทั้งนี้ การเชื่อมโยงระหว่างระบบแมชชีนเลิร์นนิ่งจะมีความสำคัญเป็นพิเศษเพื่อให้โหนดแมชชีนเลิร์นนิ่งในภูมิภาคนั้นสามารถปรับให้เข้ากับการกำหนดค่าท้องถิ่นเฉพาะได้
ด้วยการเปลี่ยนความรับผิดชอบให้ไปสู่กระบวนการเรียนรู้ด้วยตนเองที่สามารถทำงานคล้ายกับระบบภูมิต้านทานของมนุษย์ เช่น การค้นหา การตรวจจับ และการตอบสนองต่อเหตุการณ์ด้านความปลอดภัย จะส่งให้ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ที่มีอยู่จำนวนจำกัดนั้นจะมีเวลาและทรัพยากรมาพัฒนากลยุทธ์เครือข่ายที่เปลี่ยนแปลงอยู่ตลอดเวลาได้อย่างแข็งแกร่ง