Kaspersky เผยเหตุผลที่ไม่อาจคาดหวังกับระบบป้องกันไซเบอร์แบบอัตโนมัติ

แคสเปอร์สกี้ (Kaspersky) เผยเหตุผลที่เราไม่อาจฝากความหวังทั้งหมดไว้กับระบบอัตโนมัติในการรักษาความปลอดภัยไซเบอร์…

highlight

• แคสเปอร์สกี้เผย การผสมผสานโซลูชันระบบอัตโนมัติเข้ากับความคิดสร้างสรรค์ ทักษะและการควบคุมของมนุษย์ สามารถสร้างความมั่นใจในการป้องกันภัยทางไซเบอร์ได้อย่างครอบคลุม

Kaspersky เผยเหตุผลที่ไม่อาจคาดหวังกับระบบป้องกันไซเบอร์แบบอัตโนมัติ

เราทุกคนต่างรู้ดีว่าระบบรักษาความปลอดภัยทางไซเบอร์นั้นมีต้นทุนที่สูงมาก ในปี 2021 งบประมาณด้านไอทีสำหรับองค์กรขนาดใหญ่โดยเฉลี่ยประมาณ 11.4 ล้านดอลลาร์สหรัฐ และธุรกิจขนาดกลาง และขนาดเล็กประมาณ 267,000 ดอลลาร์สหรัฐ

ในเวลาเดียวกัน การมีมาตรการรักษาความปลอดภัยที่ไม่เพียงพอก็สามารถนำไปสู่หายนะที่ และกระทบต่อความน่าเชื่อถือ ตลอดจนเงินทุนของธุรกิจอย่างมีนัยสำคัญได้ ตัวอย่างเช่น ปัญหาข้อมูลรั่วไหลจะสร้างความเสียหายต่อองค์กรขนาดใหญ่โดยเฉลี่ย 927,000 ดอลลาร์ และองค์กรอาจ สูญเสียลูกค้า ได้ถึงครึ่งหนึ่งเลยทีเดียว

สถานการณ์เช่นนี้จะนำไปสู่ภาวะที่กลืนไม่เข้าคายไม่ออก แต่ในอีกแง่มุมหนึ่งองค์กรอาจยินดีที่ได้พบโซลูชันที่จะลดต้นทุนด้านการป้องกันทางไซเบอร์ก็ได้ เพราะมุมมองในอีกด้านนั้น ต้นทุนความเสียหายที่เกิดจากความผิดพลาดในการติดตั้งเครื่องมือที่ด้อยประสิทธิภาพจะสูงกว่าที่คาดไว้มาก

คำตอบเพียงหนึ่งเดียวก็คือระบบป้องกันภัยแบบอัตโนมัติ โซลูชันที่ดีซึ่งสามารถลดต้นทุน และขจัดปัญหาข้อผิดพลาดที่เกิดจากมนุษย์ได้อย่างเฉียบขาด นอกจากนี้ ผู้คนมีแนวโน้มที่จะไว้ใจการทำงานของ AI มากกว่าเพื่อนร่วมงานที่เป็นมนุษย์ด้วยกัน

ในทางปฏิบัติแล้วการป้องกันทางไซเบอร์ที่มีประสิทธิภาพนั้น จะเกิดขึ้นได้เมื่อมีการทำงานประสานกันระหว่างโซลูชันระบบอัตโนมัติ และการทำงานของมนุษย์เท่านั้น

เซอร์เจย์ โซลดาทอฟ หัวหน้าศูนย์ปฏิบัติงานด้านความปลอดภัย แคสเปอร์สกี้ ได้อธิบายว่า อาชญากรรมทางไซเบอร์ถูกกระทำโดยฝีมือของมนุษย์ สามารถตัดสินใจได้บนพื้นฐานของกระบวนการทางความคิดที่แตกต่างกัน และสามารถดัดแปลงให้เข้ากับสภาพแวดล้อมได้อย่างรวดเร็วเช่นเดียวกับพวกเรา

อาชญากรจะมาพร้อมกับช่องทางใหม่ ๆ ในการเล็ดลอดผ่านระบบป้องกันเสมอ รวมถึงมีการคิดค้นรูปแบบกลยุทธ์ในการโจมตีแบบใหม่ และนำมาใช้งานจริง รวมถึงตั้งใจใช้จุดอ่อนของเหยื่อให้เป็นประโยชน์ในการเข้าถึงโครงสร้างพื้นฐานทางข้อมูลขององค์กร

แม้แต่ AI ที่มีความเจนจัดรอบด้านในการตรวจจับอย่างถึงที่สุดก็ยังไม่สามารถต่อต้านสารพัดมัลแวร์ที่มีอยู่ได้เพราะ AI ทำงานบนพื้นฐานของการเรียนรู้จากประสบการณ์ และการป้อนข้อมูลที่มีอยู่เดิมแต่ไม่ใช่กับสิ่งที่มีการปรับเปลี่ยนได้อย่างยืดหยุ่นตลอดเวลา

เราได้พิจารณาถึงแนวทางต่าง ๆ ในการใช้งานระบบรักษาความปลอดภัยทางไซเบอร์ที่จำเป็นต้องใช้มนุษย์เข้ามามีส่วนร่วมไว้ดังต่อไปนี้

การตรวจจับภัยคุกคามที่มีความซับซ้อน

แม้แต่เซ็นเซอร์ที่ถูกปรับจูนมาให้มีความละเอียดในการตรวจจับสูงสุดก็ไม่สามารถตรวจจับพฤติกรรมไม่พึงประสงค์ก่อนหน้านี้ได้ นี่เป็นเพราะการจู่โจมนั้นมักจะประกอบด้วยชุดคำสั่งการกระทำที่แยกจากกัน และมีรูปแบบที่เป็นไปตามระบบซึ่งสามารถหลอกให้ระบบการตรวจจับเกิดความสับสนว่าเป็นการกระทำของผู้ดูแลระบบหรือผู้ใช้ทั่วไปได้

การโจมตีแบบ Fileless การใช้งานเครื่องมือ LOLBAS อย่างหนัก การเข้ารหัสแบบ runtime ไปจนถึง downloader กับ packer เป็นสิ่งที่ช่วยให้อาชญากรสามารถเล็ดลอดผ่านโซลูชันระบบรักษาความปลอดภัย และการควบคุมได้อย่างแพร่หลาย

AI ที่ทำการวิเคราะห์การรับส่งข้อมูลทางไกลจากเซ็นเซอร์ก็ยังคงมีข้อจำกัด มันไม่สามารถเก็บรวบรวม และประมวลทุกข้อมูลที่มีความเป็นไปได้หรือพฤติกรรมใด ๆ เกิดขึ้นในช่วงเวลาต่าง ๆ ได้อย่างครบถ้วน ถึงแม้ว่าจะทำได้ก็ตาม แต่ปัญหาหรือสถานการณ์เรื่องความตื่นตัวก็ยังคงเกิดขึ้นอยู่ดี

ในส่วนนี้แสดงให้เห็นถึงความพร้อมของข้อมูลที่เกี่ยวข้องกับทุกกระบวนการที่กำลังเกิดขึ้นในระบบโครงสร้างพื้นฐาน ตัวอย่างที่ชัดเจนที่สุดคือเมื่อ AI พบสิ่งที่ตนเองเชื่อว่าเป็นภัยคุกคามแบบ APT ที่เกิดจากฝีมือมนุษย์ แต่แท้ที่จริงแล้วนั่นเป็นการทำวิจัยของพนักงานที่กำลังทุ่มเทอย่างเต็มที่ต่างหาก

ประเด็นนี้สามารถคลี่คลายได้โดยการติดต่อไปยังลูกค้า เช่น โทรศัพท์ติดต่อลูกค้า การตื่นตัวต่อสถานการณ์เป็นเรื่องสำคัญในการแยกแยะเหตุการณ์จริงออกจากการแจ้งเตือนผลบวกเท็จ เช่นเดียวกับในเรื่องนี้ ไม่ว่าระบบตรรกะของการเตือนภัยจะอิงจากพฤติกรรมเทคนิคการโจมตีนั้น ๆ หรือการวิเคราะห์ต่อสิ่งผิดปรกติก็ตาม

แต่ก็หมายความว่า AI จะไร้ประสิทธิภาพในด้านการตรวจจับภัยคุกคาม อันที่จริงแล้ว AI สามารถรับมือกับภัยคุกคามที่ตัวระบบรู้จักได้ถึง 100% และเมื่อถูกตั้งค่าอย่างเหมาะสมจะสามารถลดภาระในการวิเคราะห์ได้อีก สำหรับแคสเปอร์สกี้เราได้พัฒนาเทคโนโลยีระบบวิเคราะห์ Machine Learning (ML) สำหรับ MDR service ของเรา

โดยระบบดังกล่าวเป็นอัลกอริธึม ML ที่ถูกออกแบบมาอย่างพิถีพิถันโดยใช้ข้อมูลเก่าที่มีการจัดหมวดหมู่สำหรับการจำแนกความสำคัญของการแจ้งเตือนว่าเป็นการแจ้งเตือนผลบวกจริงหรือเท็จ โดยทุกการแจ้งเตือนจากอุปกรณ์ที่ผ่านการป้องกันจะถูกประมวลผล

โดยระบบดังกล่าว พฤติกรรมใด ๆ ก็ตามที่มีการละเมิดขอบเขตเกินกว่า 1 ใน 3 ของพฤติกรรมที่อัลกอริธึมได้จำแนกไว้ว่าเป็นการแจ้งเตือนผลบวกเท็จ และหากมีสิ่งใดที่ละเมิดขอบเขตหรือมาตรการคัดกรองที่กำหนดไว้จะถูกส่งไปยังทีมเจ้าหน้าที่วิเคราะห์ด้านความปลอดภัยเพื่อทำการตรวจสอบทันที

จากนั้นสมาชิกในทีมดังกล่าวจะทำการประเมินผลของการแจ้งเตือนแต่ละอย่าง ด้วยการใช้กระบวนการและข้อมูลเพิ่มเติมที่มีความเหมาะสมกับเคสนั้น ๆ

ซึ่งอาจยังไม่ถูกนำมาใช้โดย AI หลังจากทีมวิเคราะห์ที่เป็นมนุษย์ค้นพบแนวทางแก้ไขปัญหา ก็จะป้อนประสบการณ์องค์ความรู้นี้ลงไปในระบบวิเคราะห์ ML เพื่อที่เคสต่อไปจะได้ไม่เป็นความท้าทายที่เกินความสามารถของ AI

แนวทางการประสานงานลักษณะนี้ต้องอาศัยทักษะพิเศษ ประสบการณ์ด้านการวิเคราะห์ระดับสูง และการปรับแต่งอัลกอริธึมที่มั่นคง ข่าวดีคือแนวทางนี้ช่วยให้ทีมเจ้าหน้าที่ฝ่ายรักษาความปลอดภัยสามารถรับมือได้แม้กระทั่งกับสถานการณ์ที่มีอันตรายถึงขีดสุด

เช่น การโจมตีทางช่องโหว่อย่าง PrintNightmare ที่เลื่องลือ หรือการโจมตีแบบ APT อย่าง MuddyWater และสามารถส่งต่อองค์ความรู้อันทรงคุณค่าอย่างเช่นข้อมูลซีนาริโอการตรวจจับภัยคุกคามเหล่านี้ให้กับคนอื่นนำไปใช้ต่อได้

เมื่อมีการตรวจสอบภัยคุกคามใหม่ การลงมือไล่ล่าภัยคุกคามด้วยตนเองในเชิงรุกก็ยังเป็นสิ่งที่จำเป็น สิ่งนี้ช่วยให้ทีมเจ้าหน้าที่ระบบรักษาความปลอดภัยสามารถไล่ล่าภัยคุกคามที่กำลังแฝงตัวกบดานอย่างไม่มีใครหาเจอแต่ยังคงอาละวาดอยู่ในระบบโครงสร้างพื้นฐานข้อมูลของบริษัทได้ การไล่ล่าภัยคุกคามเชิงรุก

ช่วยให้องค์กรสามารถระบุตัวอาชญากรไซเบอร์รายนั้น ๆ รวมถึงพฤติกรรมการจรากรรมทางไซเบอร์บนระบบเครือข่ายได้ และยังช่วยให้เข้าใจถึงมูลเหตุเบื้องหลังการโจมตีเหล่านี้ไปจนถึงระบุแหล่งที่มาที่มีความน่าจะเป็นได้ รวมถึงการออกมาตรการบรรเทาความเสียหายที่มีประสิทธิภาพซึ่งจะช่วยให้หลีกเลี่ยงการโจมตีแบบเดียวกันได้

โดยสรุป นักวิเคราะห์จะต้องมีการปรับแต่งและฝึกฝนอัลกอริธึมบน AI อย่างสม่ำเสมอ เพื่อช่วยให้ AI รับมือกับภัยคุกคามใหม่ได้รวมถึงทดสอบประสิทธิภาพของการปรับปรุงครั้งล่าสุด

การประเมินความปลอดภัยขั้นสูง

การประเมินคือสิ่งที่สำคัญอย่างยิ่งยวดในการเก็บรายละเอียดเชิงลึกด้านความพร้อมของระบบรักษาความปลอดภัยทางไซเบอร์ขององค์กร แน่นอนว่ามีโซลูชันระบบอัตโนมัติที่ออกแบบมาสำหรับงานนี้โดยเฉพาะ เช่น การประเมินหาช่องโหว่ที่รู้จักกันดีสามารถช่วยให้ค้นพบช่องโหว่เปิดเผยต่อสาธารณะ

ซึ่งอยู่ภายใต้ระบบที่มีการกำหนดค่าไว้อย่างเข้มงวด กระนั้น บริการดังกล่าวยังใช้ฐานข้อมูลของปัญหาด้านระบบรักษาความปลอดภัยที่เป็นที่รู้จักแล้วแต่ไม่สามารถที่จะทดสอบความยืดหยุ่นของระบบรักษาความปลอดภัยต่อการโจมตีที่มีความซับซ้อนเป็นระบบและพฤติกรรมการคุกคามแบบไม่ปรกติได้

เพื่อสร้างความมั่นใจว่าองค์กรสามารถปกป้องตัวเองได้ ต้องมีการใช้กระบวนการประเมินในระดับที่สูงขึ้นไปอีก ตัวอย่างเช่น บริการที่สามารถจำลองสถานการณ์การโจมตีทางไซเบอร์ได้ เช่น การทดสอบการเจาะเข้าสู่ระบบ และการทำ red teaming

ซึ่งมีการทำงานในแบบควบคุมด้วยมือมากที่สุด และอิงจากประสบการณ์ และองค์ความรู้ของผู้เชี่ยวชาญ แนวทางเหล่านี้จะใช้เทคนิคต่าง ๆ รวมถึงกระบวนการ และกลยุทธ์ที่ผสมผสานกัน และปรับแต่งให้เข้ากับศักยภาพในการป้องกันภัยทางไซเบอร์ขององค์กรนั้น ๆ โดยเฉพาะ ด้วยการเลียนแบบพฤติกรรมจริงของอาชญากรไซเบอร์

การตื่นตัวด้านการรักษาความปลอดภัย

ผลการศึกษาระบุว่าองค์กรโดยทั่วไปต้องเผชิญหน้ากับการโจมตีแบบวิศวกรรมสังคมมากกว่า 700 ครั้งในแต่ละปี ยิ่งไปกว่านั้น ปัญหาของการตั้งรหัสผ่านที่อ่อนแอ และอีเมลฟิชชิ่งก็ยังอยู่ในระดับต้นๆ ของรูปแบบการโจมตีแบบพื้นฐานเสมอ อาชญากรจะเฝ้าจับตาดูกระแสและพฤติกรรมของเหยื่อราวกับเป็นนักจิตวิทยา

ในแต่ละสถานการณ์ ตั้งแต่เรื่องโรคระบาดไปจนถึงเรื่องคานเย เวสต์ ออกอัลบั้มใหม่ จะถูกใช้เป็นช่องทางในการดึงความสนใจจากเหยื่อที่หมายตาผ่านทางอีเมลฟิชชิ่งและเว็บไซต์ที่มีภัยคุกคามแอบแฝงอยู่เพื่อให้บรรลุเป้าหมายของเหล่าอาชญากร

ขณะที่อาชญากรไซเบอร์มีการพัฒนาอย่างต่อเนื่อง ทีมเจ้าหน้าที่ฝ่ายป้องกันขององค์กรก็ยังไม่สามารถถอนตัวจากกระบวนการด้านการตื่นตัวด้านการรักษาความปลอดภัยได้ พนักงานขององค์กรจำเป็นต้องมีความเข้าใจที่ชัดแจ้งต่อความสำคัญของนโยบายด้านการรักษาความปลอดภัยทางไซเบอร์

เช่นเดียวกับตระหนักถึงผลที่จะตามมาจากการกระทำใด ๆ ของตนด้วย นั่นคือเหตุผลว่าทำไมการปลูกฝังการตระหนักรู้หรือการทดสอบที่ใช้สำหรับพนักงานใหม่จึงไม่เพียงพอ ฝ่ายรักษาความปลอดภัยด้านไอทีจะต้องเฝ้าจับตาดูการศึกษาในด้านการรักษาความปลอดภัยที่เกี่ยวข้อง และคิดค้นหารูปแบบแนวทางที่สูงกว่ามาตรฐานปรกติทั่วไป

ในการส่งข้อมูลที่สำคัญให้กับเพื่อนร่วมงาน อีกแนวทางสำหรับแก้ไขปัญหานี้คือการเอาท์ซอร์กิจกรรมเหล่านี้ไปยังฝ่ายที่ทำหน้าที่ฝึกอบรมการตระหนักถึงระบบรักษาความปลอดภัยในระดับผู้ชำนาญการที่จะสร้างความมั่นใจได้ว่าข้อมูลนั้นจะมีการอัปเดตอย่างเหมาะสม และสร้างประสบการณ์เรียนรู้ที่มีความน่าสนใจ

ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) 
*** ขอขอบคุณภาพประกอบบางส่วนจาก N/A

สามารถกดติดตามข่าวสาร และบทความทางด้านเทคโนโลยีของเราได้ที่  www.facebook.com/itday.in.th