ระบบอัตโนมัติในการรักษาความปลอดภัยไซเบอร์

แคสเปอร์สกี้เผย การผสมผสานโซลูชันระบบอัตโนมัติเข้ากับความคิดสร้างสรรค์ ทักษะและการควบคุมของมนุษย์ สามารถสร้างความมั่นใจในการป้องกันภัยทางไซเบอร์ได้อย่างครอบคลุม

เราทุกคนต่างรู้ดีว่าระบบรักษาความปลอดภัยทางไซเบอร์นั้นมีต้นทุนที่สูงมาก ในปี 2021 งบประมาณด้านไอทีสำหรับองค์กรขนาดใหญ่โดยเฉลี่ยประมาณ 11.4 ล้านดอลลาร์สหรัฐ และธุรกิจขนาดกลางและขนาดเล็กประมาณ 267,000 ดอลลาร์สหรัฐ

ในเวลาเดียวกัน การมีมาตรการรักษาความปลอดภัยที่ไม่เพียงพอก็สามารถนำไปสู่หายนะที่และกระทบต่อความน่าเชื่อถือ ตลอดจนเงินทุนของธุรกิจอย่างมีนัยสำคัญได้ ตัวอย่างเช่น ปัญหาข้อมูลรั่วไหลจะสร้างความเสียหายต่อองค์กรขนาดใหญ่โดยเฉลี่ย 927,000 ดอลลาร์ และองค์กรอาจสูญเสียลูกค้าได้ถึงครึ่งหนึ่งเลยทีเดียว

สถานการณ์เช่นนี้จะนำไปสู่ภาวะที่กลืนไม่เข้าคายไม่ออก แต่ในอีกแง่มุมหนึ่งองค์กรอาจยินดีที่ได้พบโซลูชันที่จะลดต้นทุนด้านการป้องกันทางไซเบอร์ก็ได้ เพราะมุมมองในอีกด้านนั้น ต้นทุนความเสียหายที่เกิดจากความผิดพลาดในการติดตั้งเครื่องมือที่ด้อยประสิทธิภาพจะสูงกว่าที่คาดไว้มาก คำตอบเพียงหนึ่งเดียวก็คือระบบป้องกันภัยแบบอัตโนมัติ โซลูชันที่ดีซึ่งสามารถลดต้นทุนและขจัดปัญหาข้อผิดพลาดที่เกิดจากมนุษย์ได้อย่างเฉียบขาด นอกจากนี้ ผู้คนมีแนวโน้มที่จะไว้ใจการทำงานของ AI มากกว่าเพื่อนร่วมงานที่เป็นมนุษย์ด้วยกัน

ในทางปฏิบัติแล้วการป้องกันทางไซเบอร์ที่มีประสิทธิภาพนั้น จะเกิดขึ้นได้เมื่อมีการทำงานประสานกันระหว่างโซลูชันระบบอัตโนมัติและการทำงานของมนุษย์เท่านั้น ซึ่งนายเซอร์เจย์ โซลดาทอฟ หัวหน้าศูนย์ปฏิบัติงานด้านความปลอดภัย แคสเปอร์สกี้ ได้อธิบายว่า "อาชญากรรมทางไซเบอร์ถูกกระทำโดยฝีมือของมนุษย์ สามารถตัดสินใจได้บนพื้นฐานของกระบวนการทางความคิดที่แตกต่างกัน และสามารถดัดแปลงให้เข้ากับสภาพแวดล้อมได้อย่างรวดเร็วเช่นเดียวกับพวกเรา อาชญากรจะมาพร้อมกับช่องทางใหม่ ๆ ในการเล็ดลอดผ่านระบบป้องกันเสมอ รวมถึงมีการคิดค้นรูปแบบกลยุทธ์ในการโจมตีแบบใหม่และนำมาใช้งานจริง รวมถึงตั้งใจใช้จุดอ่อนของเหยื่อให้เป็นประโยชน์ในการเข้าถึงโครงสร้างพื้นฐานทางข้อมูลขององค์กร แม้แต่ AI ที่มีความเจนจัดรอบด้านในการตรวจจับอย่างถึงที่สุดก็ยังไม่สามารถต่อต้านสารพัดมัลแวร์ที่มีอยู่ได้เพราะ AI ทำงานบนพื้นฐานของการเรียนรู้จากประสบการณ์และการป้อนข้อมูลที่มีอยู่เดิมแต่ไม่ใช่กับสิ่งที่มีการปรับเปลี่ยนได้อย่างยืดหยุ่นตลอดเวลา"

เราได้พิจารณาถึงแนวทางต่าง ๆ ในการใช้งานระบบรักษาความปลอดภัยทางไซเบอร์ที่จำเป็นต้องใช้มนุษย์เข้ามามีส่วนร่วมไว้ดังต่อไปนี้

การตรวจจับภัยคุกคามที่มีความซับซ้อน

แม้แต่เซ็นเซอร์ที่ถูกปรับจูนมาให้มีความละเอียดในการตรวจจับสูงสุดก็ไม่สามารถตรวจจับพฤติกรรมไม่พึงประสงค์ก่อนหน้านี้ได้ นี่เป็นเพราะการจู่โจมนั้นมักจะประกอบด้วยชุดคำสั่งการกระทำที่แยกจากกันและมีรูปแบบที่เป็นไปตามระบบซึ่งสามารถหลอกให้ระบบการตรวจจับเกิดความสับสนว่าเป็นการกระทำของผู้ดูแลระบบหรือผู้ใช้ทั่วไปได้ การโจมตีแบบ Fileless การใช้งานเครื่องมือ LOLBAS อย่างหนัก การเข้ารหัสแบบ runtime ไปจนถึง downloader กับ packer เป็นสิ่งที่ช่วยให้อาชญากรสามารถเล็ดลอดผ่านโซลูชันระบบรักษาความปลอดภัยและการควบคุมได้อย่างแพร่หลาย

AI ที่ทำการวิเคราะห์การรับส่งข้อมูลทางไกลจากเซ็นเซอร์ก็ยังคงมีข้อจำกัด มันไม่สามารถเก็บรวบรวมและประมวลทุกข้อมูลที่มีความเป็นไปได้หรือพฤติกรรมใดๆ เกิดขึ้นในช่วงเวลาต่างๆ ได้อย่างครบถ้วน ถึงแม้ว่าจะทำได้ก็ตาม แต่ปัญหาหรือสถานการณ์เรื่องความตื่นตัวก็ยังคงเกิดขึ้นอยู่ดี ในส่วนนี้แสดงให้เห็นถึงความพร้อมของข้อมูลที่เกี่ยวข้องกับทุกกระบวนการที่กำลังเกิดขึ้นในระบบโครงสร้างพื้นฐาน ตัวอย่างที่ชัดเจนที่สุดคือเมื่อ AI พบสิ่งที่ตนเองเชื่อว่าเป็นภัยคุกคามแบบ APT ที่เกิดจากฝีมือมนุษย์ แต่แท้ที่จริงแล้วนั่นเป็นการทำวิจัยของพนักงานที่กำลังทุ่มเทอย่างเต็มที่ต่างหาก ประเด็นนี้สามารถคลี่คลายได้โดยการติดต่อไปยังลูกค้า เช่น โทรศัพท์ติดต่อลูกค้า การตื่นตัวต่อสถานการณ์เป็นเรื่องสำคัญในการแยกแยะเหตุการณ์จริงออกจากการแจ้งเตือนผลบวกเท็จเช่นเดียวกับในเรื่องนี้ ไม่ว่าระบบตรรกะของการเตือนภัยจะอิงจากพฤติกรรมเทคนิคการโจมตีนั้นๆ หรือการวิเคราะห์ต่อสิ่งผิดปรกติก็ตาม

แต่ก็หมายความว่า AI จะไร้ประสิทธิภาพในด้านการตรวจจับภัยคุกคาม อันที่จริงแล้ว AI สามารถรับมือกับภัยคุกคามที่ตัวระบบรู้จักได้ถึง 100% และเมื่อถูกตั้งค่าอย่างเหมาะสมจะสามารถลดภาระในการวิเคราะห์ได้อีก สำหรับแคสเปอร์สกี้เราได้พัฒนาเทคโนโลยีระบบวิเคราะห์ Machine Learning (ML) สำหรับ MDR service ของเรา โดยระบบดังกล่าวเป็นอัลกอริธึม ML ที่ถูกออกแบบมาอย่างพิถีพิถันโดยใช้ข้อมูลเก่าที่มีการจัดหมวดหมู่สำหรับการจำแนกความสำคัญของการแจ้งเตือนว่าเป็นการแจ้งเตือนผลบวกจริงหรือเท็จ โดยทุกการแจ้งเตือนจากอุปกรณ์ที่ผ่านการป้องกันจะถูกประมวลผลโดยระบบดังกล่าว พฤติกรรมใด ๆ ก็ตามที่มีการละเมิดขอบเขตเกินกว่าหนึ่งในสามของพฤติกรรมที่อัลกอริธึมได้จำแนกไว้ว่าเป็นการแจ้งเตือนผลบวกเท็จและหากมีสิ่งใดที่ละเมิดขอบเขตหรือมาตรการคัดกรองที่กำหนดไว้จะถูกส่งไปยังทีมเจ้าหน้าที่วิเคราะห์ด้านความปลอดภัยเพื่อทำการตรวจสอบทันที จากนั้นสมาชิกในทีมดังกล่าวจะทำการประเมินผลของการแจ้งเตือนแต่ละอย่าง ด้วยการใช้กระบวนการและข้อมูลเพิ่มเติมที่มีความเหมาะสมกับเคสนั้น ๆ ซึ่งอาจยังไม่ถูกนำมาใช้โดย AI หลังจากทีมวิเคราะห์ที่เป็นมนุษย์ค้นพบแนวทางแก้ไขปัญหา ก็จะป้อนประสบการณ์องค์ความรู้นี้ลงไปในระบบวิเคราะห์ ML เพื่อที่เคสต่อไปจะได้ไม่เป็นความท้าทายที่เกินความสามารถของ AI

แนวทางการประสานงานลักษณะนี้ต้องอาศัยทักษะพิเศษ ประสบการณ์ด้านการวิเคราะห์ระดับสูง และการปรับแต่งอัลกอริธึมที่มั่นคง ข่าวดีคือแนวทางนี้ช่วยให้ทีมเจ้าหน้าที่ฝ่ายรักษาความปลอดภัยสามารถรับมือได้แม้กระทั่งกับสถานการณ์ที่มีอันตรายถึงขีดสุด เช่น การโจมตีทางช่องโหว่อย่าง PrintNightmare ที่เลื่องลือ หรือการโจมตีแบบ APT อย่าง MuddyWater และสามารถส่งต่อองค์ความรู้อันทรงคุณค่าอย่างเช่นข้อมูลซีนาริโอการตรวจจับภัยคุกคามเหล่านี้ให้กับคนอื่นนำไปใช้ต่อได้

เมื่อมีการตรวจสอบภัยคุกคามใหม่ การลงมือไล่ล่าภัยคุกคามด้วยตนเองในเชิงรุกก็ยังเป็นสิ่งที่จำเป็น สิ่งนี้ช่วยให้ทีมเจ้าหน้าที่ระบบรักษาความปลอดภัยสามารถไล่ล่าภัยคุกคามที่กำลังแฝงตัวกบดานอย่างไม่มีใครหาเจอแต่ยังคงอาละวาดอยู่ในระบบโครงสร้างพื้นฐานข้อมูลของบริษัทได้ การไล่ล่าภัยคุกคามเชิงรุกช่วยให้องค์กรสามารถระบุตัวอาชญากรไซเบอร์รายนั้น ๆ รวมถึงพฤติกรรมการจรากรรมทางไซเบอร์บนระบบเครือข่ายได้ และยังช่วยให้เข้าใจถึงมูลเหตุเบื้องหลังการโจมตีเหล่านี้ไปจนถึงระบุแหล่งที่มาที่มีความน่าจะเป็นได้ รวมถึงการออกมาตรการบรรเทาความเสียหายที่มีประสิทธิภาพซึ่งจะช่วยให้หลีกเลี่ยงการโจมตีแบบเดียวกันได้

โดยสรุป นักวิเคราะห์จะต้องมีการปรับแต่งและฝึกฝนอัลกอริธึมบน AI อย่างสม่ำเสมอ เพื่อช่วยให้ AI รับมือกับภัยคุกคามใหม่ได้รวมถึงทดสอบประสิทธิภาพของการปรับปรุงครั้งล่าสุด

การประเมินความปลอดภัยขั้นสูง

การประเมินคือสิ่งที่สำคัญอย่างยิ่งยวดในการเก็บรายละเอียดเชิงลึกด้านความพร้อมของระบบรักษาความปลอดภัยทางไซเบอร์ขององค์กร แน่นอนว่ามีโซลูชันระบบอัตโนมัติที่ออกแบบมาสำหรับงานนี้โดยเฉพาะ เช่น การประเมินหาช่องโหว่ที่รู้จักกันดีสามารถช่วยให้ค้นพบช่องโหว่เปิดเผยต่อสาธารณะซึ่งอยู่ภายใต้ระบบที่มีการกำหนดค่าไว้อย่างเข้มงวด กระนั้น บริการดังกล่าวยังใช้ฐานข้อมูลของปัญหาด้านระบบรักษาความปลอดภัยที่เป็นที่รู้จักแล้วแต่ไม่สามารถที่จะทดสอบความยืดหยุ่นของระบบรักษาความปลอดภัยต่อการโจมตีที่มีความซับซ้อนเป็นระบบและพฤติกรรมการคุกคามแบบไม่ปรกติได้

เพื่อสร้างความมั่นใจว่าองค์กรสามารถปกป้องตัวเองได้ ต้องมีการใช้กระบวนการประเมินในระดับที่สูงขึ้นไปอีก ตัวอย่างเช่น บริการที่สามารถจำลองสถานการณ์การโจมตีทางไซเบอร์ได้ เช่น การทดสอบการเจาะเข้าสู่ระบบและการทำ red teaming ซึ่งมีการทำงานในแบบควบคุมด้วยมือมากที่สุดและอิงจากประสบการณ์และองค์ความรู้ของผู้เชี่ยวชาญ แนวทางเหล่านี้จะใช้เทคนิคต่าง ๆ รวมถึงกระบวนการและกลยุทธ์ที่ผสมผสานกัน และปรับแต่งให้เข้ากับศักยภาพในการป้องกันภัยทางไซเบอร์ขององค์กรนั้น ๆ โดยเฉพาะ ด้วยการเลียนแบบพฤติกรรมจริงของอาชญากรไซเบอร์

การตื่นตัวด้านการรักษาความปลอดภัย

ผลการศึกษาระบุว่าองค์กรโดยทั่วไปต้องเผชิญหน้ากับการโจมตีแบบวิศวกรรมสังคมมากกว่า 700 ครั้งในแต่ละปี ยิ่งไปกว่านั้น ปัญหาของการตั้งรหัสผ่านที่อ่อนแอและอีเมลฟิชชิ่งก็ยังอยู่ในระดับต้นๆ ของรูปแบบการโจมตีแบบพื้นฐานเสมอ อาชญากรจะเฝ้าจับตาดูกระแสและพฤติกรรมของเหยื่อราวกับเป็นนักจิตวิทยา ในแต่ละสถานการณ์ ตั้งแต่เรื่องโรคระบาดไปจนถึงเรื่องคานเย เวสต์ ออกอัลบั้มใหม่ จะถูกใช้เป็นช่องทางในการดึงความสนใจจากเหยื่อที่หมายตาผ่านทางอีเมลฟิชชิ่งและเว็บไซต์ที่มีภัยคุกคามแอบแฝงอยู่เพื่อให้บรรลุเป้าหมายของเหล่าอาชญากร

ขณะที่อาชญากรไซเบอร์มีการพัฒนาอย่างต่อเนื่อง ทีมเจ้าหน้าที่ฝ่ายป้องกันขององค์กรก็ยังไม่สามารถถอนตัวจากกระบวนการด้านการตื่นตัวด้านการรักษาความปลอดภัยได้ พนักงานขององค์กรจำเป็นต้องมีความเข้าใจที่ชัดแจ้งต่อความสำคัญของนโยบายด้านการรักษาความปลอดภัยทางไซเบอร์ เช่นเดียวกับตระหนักถึงผลที่จะตามมาจากการกระทำใด ๆ ของตนด้วย นั่นคือเหตุผลว่าทำไมการปลูกฝังการตระหนักรู้หรือการทดสอบที่ใช้สำหรับพนักงานใหม่จึงไม่เพียงพอ ฝ่ายรักษาความปลอดภัยด้านไอทีจะต้องเฝ้าจับตาดูการศึกษาในด้านการรักษาความปลอดภัยที่เกี่ยวข้อง และคิดค้นหารูปแบบแนวทางที่สูงกว่ามาตรฐานปรกติทั่วไปในการส่งข้อมูลที่สำคัญให้กับเพื่อนร่วมงาน อีกแนวทางสำหรับแก้ไขปัญหานี้คือการเอาท์ซอร์กิจกรรมเหล่านี้ไปยังฝ่ายที่ทำหน้าที่ฝึกอบรมการตระหนักถึงระบบรักษาความปลอดภัยในระดับผู้ชำนาญการที่จะสร้างความมั่นใจได้ว่าข้อมูลนั้นจะมีการอัปเดตอย่างเหมาะสมและสร้างประสบการณ์เรียนรู้ที่มีความน่าสนใจ

ที่กล่าวมานี้ไม่ได้หมายความว่าฝ่ายรักษาความปลอดภัยจะต้องเมินเฉยต่อการปรับเปลี่ยนไปใช้ระบบอัตโนมัติ หรือต้องรับมือกับอาชญากรไซเบอร์ด้วย "มือเปล่า" โดยเฉพาะอย่างยิ่ง เมื่ออาชญากรมีความพยายามที่จะพัฒนาการโจมตีให้มีประสิทธิภาพสูงขึ้นเท่าที่จะเป็นไปได้อยู่เสมอ และมักจะหันไปเล็งเป้าโซลูชันระบบอัตโนมัติโดยการใช้แมชชีนเลิร์นนิ่งเพื่อเก็บรวบรวมข้อมูลเกี่ยวกับเป้าหมายที่คาดหวัง การเจาะรหัสผ่านแบบ brute force และหาช่องโหว่ผ่าน fuzzing การโจมตีแบบ DDoS การสร้างมัลแวร์และอื่นๆ

ดังนั้น ข้อเท็จจริงจึงปรากฏอยู่ที่ใดที่หนึ่งภายในประเด็นเหล่านี้ มีเพียงการผสมผสานโซลูชันระบบอัตโนมัติกับความคิดสร้างสรรค์ ทักษะและการควบคุมของมนุษย์เท่านั้นที่จะสามารถสร้างความมั่นใจในการป้องกันภัยทางไซเบอร์ได้อย่างครอบคลุม

ที่มา: พิตอน คอมมิวนิเคชั่น

๑๙ เม.ย.	บิทูเมน มารีน บริษัทลูก TASCO ลงนามสัญญาต่อเรือขนส่งยางมะตอย เสริมศักยภาพกองเรือ
๑๙ เม.ย.	รมว.เกษตรฯ ลุยร้อยเอ็ด ผลักดันโครงการพัฒนาแหล่งน้ำ 3 แห่ง
๑๙ เม.ย.	กูรูหุ้นเชียร์ซื้อ PSP เคาะเป้าราคาสูงสุด 8 บ./หุ้น ยอดขายพุ่ง-หนี้ลด ดันกำไรปี 67 ออลไทม์ไฮ ดีล MA สร้าง New S-Curve
๑๙ เม.ย.	ข้าวกล้อง-จักรีภัทร พร้อมเต็มร้อย! ประเดิม จูเนียร์จีพี สนามแรก ประเทศอิตาลี
๑๙ เม.ย.	กรมประมงขอเชิญร่วมแข่งขันตกปลาชะโด
๑๙ เม.ย.	เชลล์ดอน การ์ตูนดังร่วมสาดความสนุกในเทศกาลสงกรานต์
๑๙ เม.ย.	สปสช. ติดปีกเทคโนโลยีไอทีด้วยคลาวด์กลางภาครัฐ GDCC ยกระดับบริการบัตรทองรวดเร็วทันสมัย ดูแลสุขภาพคนไทยยุคดิจิทัล
๑๙ เม.ย.	GSK ร่วมงาน Re-imagining UK Aging Care Event ของสถานทูตอังกฤษ มุ่งสร้างเสริมภูมิคุ้มกันผู้สูงอายุ
๑๙ เม.ย.	เอส เอฟ จับมือ กปน. มอบสิทธิ์ดูฟรีรวม 1,000 ที่นั่ง เพียงใช้ MWA Point ที่ เอส เอฟ!!
๑๙ เม.ย.	เตรียมพร้อมนับถอยหลัง 12 ชั่วโมงสุดท้าย! ก่อนเริ่มประวัติศาสตร์ครั้งใหม่ Bitcoin Halving ครั้งที่ 4

ระบบอัตโนมัติในการรักษาความปลอดภัยไซเบอร์

ข่าวประชาสัมพันธ์ล่าสุด