เหตุผลที่เราไม่อาจฝากความหวังทั้งหมดไว้กับระบบอัตโนมัติในการรักษาความปลอดภัยไซเบอร์

เราทุกคนต่างรู้ดีว่าระบบรักษาความปลอดภัยทางไซเบอร์นั้นมีต้นทุนที่สูงมาก ในปี 2021 งบประมาณด้านไอทีสำหรับองค์กรขนาดใหญ่โดยเฉลี่ยประมาณ 11.4 ล้านดอลลาร์สหรัฐ และธุรกิจขนาดกลางและขนาดเล็กประมาณ 267,000 ดอลลาร์สหรัฐ

ในเวลาเดียวกัน การมีมาตรการรักษาความปลอดภัยที่ไม่เพียงพอก็สามารถนำไปสู่หายนะที่และกระทบต่อความน่าเชื่อถือ ตลอดจนเงินทุนของธุรกิจอย่างมีนัยสำคัญได้ ตัวอย่างเช่น ปัญหาข้อมูลรั่วไหลจะสร้างความเสียหายต่อองค์กรขนาดใหญ่โดยเฉลี่ย 927,000 ดอลลาร์ และองค์กรอาจสูญเสียลูกค้าได้ถึงครึ่งหนึ่งเลยทีเดียว

สถานการณ์เช่นนี้จะนำไปสู่ภาวะที่กลืนไม่เข้าคายไม่ออก แต่ในอีกแง่มุมหนึ่งองค์กรอาจยินดีที่ได้พบโซลูชันที่จะลดต้นทุนด้านการป้องกันทางไซเบอร์ก็ได้ เพราะมุมมองในอีกด้านนั้น ต้นทุนความเสียหายที่เกิดจากความผิดพลาดในการติดตั้งเครื่องมือที่ด้อยประสิทธิภาพจะสูงกว่าที่คาดไว้มาก คำตอบเพียงหนึ่งเดียวก็คือระบบป้องกันภัยแบบอัตโนมัติ โซลูชันที่ดีซึ่งสามารถลดต้นทุนและขจัดปัญหาข้อผิดพลาดที่เกิดจากมนุษย์ได้อย่างเฉียบขาด นอกจากนี้ ผู้คนมีแนวโน้มที่จะไว้ใจการทำงานของ AI มากกว่าเพื่อนร่วมงานที่เป็นมนุษย์ด้วยกัน

ในทางปฏิบัติแล้วการป้องกันทางไซเบอร์ที่มีประสิทธิภาพนั้น จะเกิดขึ้นได้เมื่อมีการทำงานประสานกันระหว่างโซลูชันระบบอัตโนมัติและการทำงานของมนุษย์เท่านั้น ซึ่งนายเซอร์เจย์ โซลดาทอฟ หัวหน้าศูนย์ปฏิบัติงานด้านความปลอดภัย แคสเปอร์สกี้ ได้อธิบายว่า “อาชญากรรมทางไซเบอร์ถูกกระทำโดยฝีมือของมนุษย์ สามารถตัดสินใจได้บนพื้นฐานของกระบวนการทางความคิดที่แตกต่างกัน และสามารถดัดแปลงให้เข้ากับสภาพแวดล้อมได้อย่างรวดเร็วเช่นเดียวกับพวกเรา อาชญากรจะมาพร้อมกับช่องทางใหม่ ๆ ในการเล็ดลอดผ่านระบบป้องกันเสมอ รวมถึงมีการคิดค้นรูปแบบกลยุทธ์ในการโจมตีแบบใหม่และนำมาใช้งานจริง รวมถึงตั้งใจใช้จุดอ่อนของเหยื่อให้เป็นประโยชน์ในการเข้าถึงโครงสร้างพื้นฐานทางข้อมูลขององค์กร แม้แต่ AI ที่มีความเจนจัดรอบด้านในการตรวจจับอย่างถึงที่สุดก็ยังไม่สามารถต่อต้านสารพัดมัลแวร์ที่มีอยู่ได้เพราะ AI ทำงานบนพื้นฐานของการเรียนรู้จากประสบการณ์และการป้อนข้อมูลที่มีอยู่เดิมแต่ไม่ใช่กับสิ่งที่มีการปรับเปลี่ยนได้อย่างยืดหยุ่นตลอดเวลา”

เราได้พิจารณาถึงแนวทางต่าง ๆ ในการใช้งานระบบรักษาความปลอดภัยทางไซเบอร์ที่จำเป็นต้องใช้มนุษย์เข้ามามีส่วนร่วมไว้ดังต่อไปนี้

การตรวจจับภัยคุกคามที่มีความซับซ้อน

แม้แต่เซ็นเซอร์ที่ถูกปรับจูนมาให้มีความละเอียดในการตรวจจับสูงสุดก็ไม่สามารถตรวจจับพฤติกรรมไม่พึงประสงค์ก่อนหน้านี้ได้ นี่เป็นเพราะการจู่โจมนั้นมักจะประกอบด้วยชุดคำสั่งการกระทำที่แยกจากกันและมีรูปแบบที่เป็นไปตามระบบซึ่งสามารถหลอกให้ระบบการตรวจจับเกิดความสับสนว่าเป็นการกระทำของผู้ดูแลระบบหรือผู้ใช้ทั่วไปได้ การโจมตีแบบ Fileless การใช้งานเครื่องมือ LOLBAS อย่างหนัก การเข้ารหัสแบบ runtime ไปจนถึง downloader กับ packer เป็นสิ่งที่ช่วยให้อาชญากรสามารถเล็ดลอดผ่านโซลูชันระบบรักษาความปลอดภัยและการควบคุมได้อย่างแพร่หลาย

AI ที่ทำการวิเคราะห์การรับส่งข้อมูลทางไกลจากเซ็นเซอร์ก็ยังคงมีข้อจำกัด มันไม่สามารถเก็บรวบรวมและประมวลทุกข้อมูลที่มีความเป็นไปได้หรือพฤติกรรมใดๆ เกิดขึ้นในช่วงเวลาต่างๆ ได้อย่างครบถ้วน ถึงแม้ว่าจะทำได้ก็ตาม แต่ปัญหาหรือสถานการณ์เรื่องความตื่นตัวก็ยังคงเกิดขึ้นอยู่ดี ในส่วนนี้แสดงให้เห็นถึงความพร้อมของข้อมูลที่เกี่ยวข้องกับทุกกระบวนการที่กำลังเกิดขึ้นในระบบโครงสร้างพื้นฐาน ตัวอย่างที่ชัดเจนที่สุดคือเมื่อ AI พบสิ่งที่ตนเองเชื่อว่าเป็นภัยคุกคามแบบ APT ที่เกิดจากฝีมือมนุษย์ แต่แท้ที่จริงแล้วนั่นเป็นการทำวิจัยของพนักงานที่กำลังทุ่มเทอย่างเต็มที่ต่างหาก ประเด็นนี้สามารถคลี่คลายได้โดยการติดต่อไปยังลูกค้า เช่น โทรศัพท์ติดต่อลูกค้า การตื่นตัวต่อสถานการณ์เป็นเรื่องสำคัญในการแยกแยะเหตุการณ์จริงออกจากการแจ้งเตือนผลบวกเท็จเช่นเดียวกับในเรื่องนี้ ไม่ว่าระบบตรรกะของการเตือนภัยจะอิงจากพฤติกรรมเทคนิคการโจมตีนั้นๆ หรือการวิเคราะห์ต่อสิ่งผิดปรกติก็ตาม

แต่ก็หมายความว่า AI จะไร้ประสิทธิภาพในด้านการตรวจจับภัยคุกคาม อันที่จริงแล้ว AI สามารถรับมือกับภัยคุกคามที่ตัวระบบรู้จักได้ถึง 100% และเมื่อถูกตั้งค่าอย่างเหมาะสมจะสามารถลดภาระในการวิเคราะห์ได้อีก สำหรับแคสเปอร์สกี้เราได้พัฒนาเทคโนโลยีระบบวิเคราะห์ Machine Learning (ML) สำหรับ MDR service ของเรา โดยระบบดังกล่าวเป็นอัลกอริธึม ML ที่ถูกออกแบบมาอย่างพิถีพิถันโดยใช้ข้อมูลเก่าที่มีการจัดหมวดหมู่สำหรับการจำแนกความสำคัญของการแจ้งเตือนว่าเป็นการแจ้งเตือนผลบวกจริงหรือเท็จ โดยทุกการแจ้งเตือนจากอุปกรณ์ที่ผ่านการป้องกันจะถูกประมวลผลโดยระบบดังกล่าว พฤติกรรมใด ๆ ก็ตามที่มีการละเมิดขอบเขตเกินกว่าหนึ่งในสามของพฤติกรรมที่อัลกอริธึมได้จำแนกไว้ว่าเป็นการแจ้งเตือนผลบวกเท็จและหากมีสิ่งใดที่ละเมิดขอบเขตหรือมาตรการคัดกรองที่กำหนดไว้จะถูกส่งไปยังทีมเจ้าหน้าที่วิเคราะห์ด้านความปลอดภัยเพื่อทำการตรวจสอบทันที จากนั้นสมาชิกในทีมดังกล่าวจะทำการประเมินผลของการแจ้งเตือนแต่ละอย่าง ด้วยการใช้กระบวนการและข้อมูลเพิ่มเติมที่มีความเหมาะสมกับเคสนั้น ๆ ซึ่งอาจยังไม่ถูกนำมาใช้โดย AI หลังจากทีมวิเคราะห์ที่เป็นมนุษย์ค้นพบแนวทางแก้ไขปัญหา ก็จะป้อนประสบการณ์องค์ความรู้นี้ลงไปในระบบวิเคราะห์ ML เพื่อที่เคสต่อไปจะได้ไม่เป็นความท้าทายที่เกินความสามารถของ AI

แนวทางการประสานงานลักษณะนี้ต้องอาศัยทักษะพิเศษ ประสบการณ์ด้านการวิเคราะห์ระดับสูง และการปรับแต่งอัลกอริธึมที่มั่นคง ข่าวดีคือแนวทางนี้ช่วยให้ทีมเจ้าหน้าที่ฝ่ายรักษาความปลอดภัยสามารถรับมือได้แม้กระทั่งกับสถานการณ์ที่มีอันตรายถึงขีดสุด เช่น การโจมตีทางช่องโหว่อย่าง PrintNightmare ที่เลื่องลือ หรือการโจมตีแบบ APT อย่าง MuddyWater และสามารถส่งต่อองค์ความรู้อันทรงคุณค่าอย่างเช่นข้อมูลซีนาริโอการตรวจจับภัยคุกคามเหล่านี้ให้กับคนอื่นนำไปใช้ต่อได้

เมื่อมีการตรวจสอบภัยคุกคามใหม่ การลงมือไล่ล่าภัยคุกคามด้วยตนเองในเชิงรุกก็ยังเป็นสิ่งที่จำเป็น สิ่งนี้ช่วยให้ทีมเจ้าหน้าที่ระบบรักษาความปลอดภัยสามารถไล่ล่าภัยคุกคามที่กำลังแฝงตัวกบดานอย่างไม่มีใครหาเจอแต่ยังคงอาละวาดอยู่ในระบบโครงสร้างพื้นฐานข้อมูลของบริษัทได้ การไล่ล่าภัยคุกคามเชิงรุกช่วยให้องค์กรสามารถระบุตัวอาชญากรไซเบอร์รายนั้น ๆ รวมถึงพฤติกรรมการจรากรรมทางไซเบอร์บนระบบเครือข่ายได้ และยังช่วยให้เข้าใจถึงมูลเหตุเบื้องหลังการโจมตีเหล่านี้ไปจนถึงระบุแหล่งที่มาที่มีความน่าจะเป็นได้ รวมถึงการออกมาตรการบรรเทาความเสียหายที่มีประสิทธิภาพซึ่งจะช่วยให้หลีกเลี่ยงการโจมตีแบบเดียวกันได้

โดยสรุป นักวิเคราะห์จะต้องมีการปรับแต่งและฝึกฝนอัลกอริธึมบน AI อย่างสม่ำเสมอ เพื่อช่วยให้ AI รับมือกับภัยคุกคามใหม่ได้รวมถึงทดสอบประสิทธิภาพของการปรับปรุงครั้งล่าสุด

การประเมินความปลอดภัยขั้นสูง

การประเมินคือสิ่งที่สำคัญอย่างยิ่งยวดในการเก็บรายละเอียดเชิงลึกด้านความพร้อมของระบบรักษาความปลอดภัยทางไซเบอร์ขององค์กร แน่นอนว่ามีโซลูชันระบบอัตโนมัติที่ออกแบบมาสำหรับงานนี้โดยเฉพาะ เช่น การประเมินหาช่องโหว่ที่รู้จักกันดีสามารถช่วยให้ค้นพบช่องโหว่เปิดเผยต่อสาธารณะซึ่งอยู่ภายใต้ระบบที่มีการกำหนดค่าไว้อย่างเข้มงวด กระนั้น บริการดังกล่าวยังใช้ฐานข้อมูลของปัญหาด้านระบบรักษาความปลอดภัยที่เป็นที่รู้จักแล้วแต่ไม่สามารถที่จะทดสอบความยืดหยุ่นของระบบรักษาความปลอดภัยต่อการโจมตีที่มีความซับซ้อนเป็นระบบและพฤติกรรมการคุกคามแบบไม่ปรกติได้

เพื่อสร้างความมั่นใจว่าองค์กรสามารถปกป้องตัวเองได้ ต้องมีการใช้กระบวนการประเมินในระดับที่สูงขึ้นไปอีก ตัวอย่างเช่น บริการที่สามารถจำลองสถานการณ์การโจมตีทางไซเบอร์ได้ เช่น การทดสอบการเจาะเข้าสู่ระบบและการทำ red teaming ซึ่งมีการทำงานในแบบควบคุมด้วยมือมากที่สุดและอิงจากประสบการณ์และองค์ความรู้ของผู้เชี่ยวชาญ แนวทางเหล่านี้จะใช้เทคนิคต่าง ๆ รวมถึงกระบวนการและกลยุทธ์ที่ผสมผสานกัน และปรับแต่งให้เข้ากับศักยภาพในการป้องกันภัยทางไซเบอร์ขององค์กรนั้น ๆ โดยเฉพาะ ด้วยการเลียนแบบพฤติกรรมจริงของอาชญากรไซเบอร์

การตื่นตัวด้านการรักษาความปลอดภัย

ผลการศึกษาระบุว่าองค์กรโดยทั่วไปต้องเผชิญหน้ากับการโจมตีแบบวิศวกรรมสังคมมากกว่า 700 ครั้งในแต่ละปี ยิ่งไปกว่านั้น ปัญหาของการตั้งรหัสผ่านที่อ่อนแอและอีเมลฟิชชิ่งก็ยังอยู่ในระดับต้นๆ ของรูปแบบการโจมตีแบบพื้นฐานเสมอ อาชญากรจะเฝ้าจับตาดูกระแสและพฤติกรรมของเหยื่อราวกับเป็นนักจิตวิทยา ในแต่ละสถานการณ์ ตั้งแต่เรื่องโรคระบาดไปจนถึงเรื่องคานเย เวสต์ ออกอัลบั้มใหม่ จะถูกใช้เป็นช่องทางในการดึงความสนใจจากเหยื่อที่หมายตาผ่านทางอีเมลฟิชชิ่งและเว็บไซต์ที่มีภัยคุกคามแอบแฝงอยู่เพื่อให้บรรลุเป้าหมายของเหล่าอาชญากร

ขณะที่อาชญากรไซเบอร์มีการพัฒนาอย่างต่อเนื่อง ทีมเจ้าหน้าที่ฝ่ายป้องกันขององค์กรก็ยังไม่สามารถถอนตัวจากกระบวนการด้านการตื่นตัวด้านการรักษาความปลอดภัยได้ พนักงานขององค์กรจำเป็นต้องมีความเข้าใจที่ชัดแจ้งต่อความสำคัญของนโยบายด้านการรักษาความปลอดภัยทางไซเบอร์ เช่นเดียวกับตระหนักถึงผลที่จะตามมาจากการกระทำใด ๆ ของตนด้วย นั่นคือเหตุผลว่าทำไมการปลูกฝังการตระหนักรู้หรือการทดสอบที่ใช้สำหรับพนักงานใหม่จึงไม่เพียงพอ ฝ่ายรักษาความปลอดภัยด้านไอทีจะต้องเฝ้าจับตาดูการศึกษาในด้านการรักษาความปลอดภัยที่เกี่ยวข้อง และคิดค้นหารูปแบบแนวทางที่สูงกว่ามาตรฐานปรกติทั่วไปในการส่งข้อมูลที่สำคัญให้กับเพื่อนร่วมงาน อีกแนวทางสำหรับแก้ไขปัญหานี้คือการเอาท์ซอร์กิจกรรมเหล่านี้ไปยังฝ่ายที่ทำหน้าที่ฝึกอบรมการตระหนักถึงระบบรักษาความปลอดภัยในระดับผู้ชำนาญการที่จะสร้างความมั่นใจได้ว่าข้อมูลนั้นจะมีการอัปเดตอย่างเหมาะสมและสร้างประสบการณ์เรียนรู้ที่มีความน่าสนใจ

——–

ที่กล่าวมานี้ไม่ได้หมายความว่าฝ่ายรักษาความปลอดภัยจะต้องเมินเฉยต่อการปรับเปลี่ยนไปใช้ระบบอัตโนมัติ หรือต้องรับมือกับอาชญากรไซเบอร์ด้วย “มือเปล่า” โดยเฉพาะอย่างยิ่ง เมื่ออาชญากรมีความพยายามที่จะพัฒนาการโจมตีให้มีประสิทธิภาพสูงขึ้นเท่าที่จะเป็นไปได้อยู่เสมอ และมักจะหันไปเล็งเป้าโซลูชันระบบอัตโนมัติโดยการใช้แมชชีนเลิร์นนิ่งเพื่อเก็บรวบรวมข้อมูลเกี่ยวกับเป้าหมายที่คาดหวัง การเจาะรหัสผ่านแบบ brute force และหาช่องโหว่ผ่าน fuzzing การโจมตีแบบ DDoS การสร้างมัลแวร์และอื่นๆ

ดังนั้น ข้อเท็จจริงจึงปรากฏอยู่ที่ใดที่หนึ่งภายในประเด็นเหล่านี้ มีเพียงการผสมผสานโซลูชันระบบอัตโนมัติกับความคิดสร้างสรรค์ ทักษะและการควบคุมของมนุษย์เท่านั้นที่จะสามารถสร้างความมั่นใจในการป้องกันภัยทางไซเบอร์ได้อย่างครอบคลุม

แสดงความคิดเห็น