…ใช้ AI Fuzzing และแมชชีนเลิร์นนิ่งช่วยค้นพบช่องโหว่บนเครือข่ายและซอฟต์แวร์ใหม่ๆ
ฟอร์ติเน็ต (NASDAQ: FTNT) ผู้นำระดับโลกด้านโซลูชันการรักษาความปลอดภัยแบบไซเบอร์แบบบูรณาการและแบบอัตโนมัติ เปิดเผยถึงแนวโน้มภัยคุกคามในปี ค.ศ. 2019 รวบรวมโดยทีมงานฟอร์ติการ์ดแล็บส์ (FortiGuard Labs) ซึ่งการคาดการณ์เหล่านี้แสดงให้เห็นถึงวิธีการและเทคนิคที่นักวิจัยคาดว่าจะเกิดขึ้นในอนาคตอันใกล้ พร้อมกับการเปลี่ยนแปลงในด้านกลยุทธ์ที่สำคัญ ซึ่งจะช่วยให้องค์กรสามารถป้องกันการโจมตีในอนาคตเหล่านี้ได้
วิทยา จันทร์เมฆา Network Security Architect แห่งฟอร์ติเน็ตได้กล่าวว่า “เราจะเห็นความก้าวหน้าในการใช้ทูลส์และบริการอาชญากรรมไซเบอร์ที่ใช้ประโยชน์จากระบบอัตโนมัติและเอไอมากยิ่งขึ้น องค์กรจึงจำเป็นต้องคิดทบทวนกลยุทธ์ของตนเพื่อให้สามารถคาดการณ์ถึงภัยคุกคามที่ดีขึ้น นอกจากนี้ องค์กรควรใช้ระบบอัตโนมัติและเอไอเพื่อลดโอกาสที่จะถูกบุกรุก เปลี่ยนจากการถูกคุกคามให้เป็นการตรวจจับภัย และจากการตรวจจับไปเป็นการควบคุมภัย ซึ่งสามารถทำได้โดยบูรณาการองค์ประกอบด้านความปลอดภัยทั้งหมดไว้ในเครือข่ายซีเคียวริตี้แฟบริค ซึ่งจะสามารถแบ่งปันข้อมูลอัจฉริยะด้านความปลอดภัยแบบไดนามิก เพื่อการปกป้องที่ครอบคลุมครบถ้วนและเพื่อศักยภาพในการมองเห็นในทุกส่วนของเครือข่าย จากเครือข่ายไอโอทีไปจนถึงเครือข่ายมัลติคลาวด์”
การคุกคามจะฉลาดและซับซ้อนมากขึ้น
องค์กรอาชญากรรมจำนวนมากพิจารณาใช้เทคนิคการโจมตีไม่ใช่เพียงแต่ในแง่ของประสิทธิภาพของการโจมตีเท่านั้น แต่ยังพิจารณาถึงหนทางที่จะสร้างรายได้มากที่สุด รวมถึงต้นทุนที่จำเป็นในการพัฒนา ปรับเปลี่ยนและใช้งานเทคนิคนั้นอีกด้วย จึงเป็นผลทำให้อาชญากรรมหยุดใช้เทคนิคกลยุทธ์โจมตีหลายประเภท เนื่องจากยังไม่ตอบสนองต่อโมเดลทางการเงินที่อาชญากรไซเบอร์ใช้อยู่ นอกจากนี้ องค์กรอาชญากรรมจึงเปลี่ยนกลยุทธ์มาให้ความสำคัญแก่ทรัพยากรมนุษย์ กระบวนการและเทคโนโลยี จึงทำให้องค์กรอาชญากรรมกลับมาคิดทบทวนถึงมูลค่าทางการเงินของเป้าหมายที่ตนกำหนดไว้
ในขณะที่องค์กรต่างๆ กำลังนำเทคโนโลยีและกลยุทธ์ใหม่ๆ มาใช้งาน เช่น แมชชีนเลิร์นนิ่ง (Machine Learning) และระบบอัตโนมัติ (Automation) มาใช้ ซึ่งส่งผลกระทบให้อาชญากรไซเบอร์เปลี่ยนวิธีการโจมตีและเร่งพยายามพัฒนาตนเองให้เข้ากับแมชชีนเลิร์นนิ่งและระบบอัตโนมัติเช่นกัน ทั้งนี้ ฟอร์ติเน็ตคาดการณ์ว่าชุมชนอาชญากรรมไซเบอร์มีแนวโน้มที่จะใช้กลยุทธ์ดังต่อไปนี้ ซึ่งจะทำให้อุตสาหกรรมป้องกันภัยไซเบอร์ทั้งหลายจะต้องติดตามอย่างใกล้ชิดเช่นกัน
การคาดการณ์ที่ 1 ในเรื่องการใช้ Artificial Intelligence Fuzzing (AIF) และช่องโหว่ (Vulnerabilities)
ฟัสซิ่ง (Fuzzing) เป็นเทคโนโลยีที่ใช้กันอย่างแพร่หลายในห้องทดลองโดยนักวิจัยผู้เชี่ยวชาญด้านภัยคุกคามเพื่อค้นหาช่องโหว่ในส่วนติดต่อกับฮาร์ดแวร์และซอฟต์แวร์และแอปพลิเคชัน โดยการป้อนค่าข้อมูลที่ไม่ถูกต้อง ไม่คาดคิดหรือกึ่งสุ่มเข้าไปยังฟังก์ชันอินเทอร์เฟซหรือโปรแกรมต่างๆ และตรวจสอบเหตุการณ์ เช่น การหยุดทำงาน การกระโดดข้ามไปที่ขั้นตอนการแก้ไขโปรแกรมโดยที่ไม่มีคำสั่ง การยืนยันรหัสโค้ดที่ผิดพลาด การรั่วไหลของหน่วยความจำที่อาจเกิดขึ้น และท้ายสุด จะแจ้งให้ผู้พัฒนาทำการแก้ไขข้อบกพร่อง ซึ่งในอดีตนั้นมีเพียงวิศวกรที่มีทักษะสูงจำนวนหนึ่งที่ทำงานในห้องปฏิบัติการเท่านั้นที่ใช้เทคนิคเหล่านี้
อย่างไรก็ตาม ต่อมามีการใช้โมเดลแมชชีนเลิร์นนิ่งกับกระบวนการเหล่านี้ จึงทำให้เราคาดการณ์ว่าเทคนิคนี้ที่เรียกว่า AIF (Artificial Intelligence Fuzzing) จะเปลี่ยนไป คือ มีประสิทธิภาพมากขึ้น สามารถพัฒนาดัดแปลงให้ทำงานเฉพาะได้มากขึ้น และทำให้เหล่าผู้ที่มีความรู้ด้านเทคนิคน้อยกว่าสามารถใช้งานได้กว้างขวางมากขึ้น
ดังนั้น เมื่ออาชญากรไซเบอร์เองเริ่มใช้แมชชีนเลิร์นนิ่งมาพัฒนาโปรแกรมฟัสซิ่งที่ทำงานอย่างอัตโนมัติตลอดเวลา จะทำให้พวกเขาสามารถเร่งกระบวนการและพบช่องโหว่ใหม่ๆ ที่ยังไม่มีใครค้นพบมาก่อน ซึ่งเรียกกันว่า ภัยประเภทซีโร่ เดย์ (Zero-Day Attack) ได้เร็วขึ้น จำนวนการโจมตีแบบ Zero-Day ที่กำหนดเป้าหมายไปยังโปรแกรมและแพลตฟอร์มต่างๆ จะเพิ่มมากขึ้น
การคาดการณ์ที่ 2 การทำเหมืองแบบ Zero-Day โดยใช้ AIF
เมื่อมีเทคนิค AIF แล้ว อาชญากรไซเบอร์จะสามารถใช้ชี้ไปที่โค้ดภายในสภาพแวดล้อมที่มีการควบคุมเพื่อขุดเหมืองให้กับการโจมตีแบบ Zero-Day Exploit (เอ็กซ์ปลอยท์ หมายถึง พฤติกรรมการใช้ประโยชน์จาก “จุดอ่อน” หรือ “ช่องโหว่” ในซอฟต์แวร์) ทำให้มีจำนวนภัย Zero-Day Exploit สูงมากขึ้น เมื่อขั้นตอนนี้มีความคล่องตัวมากขึ้น จะเกิดบริการทำเหมืองแบบ Zero-Day Mining-a-Service ที่สามารถสร้างการโจมตีเฉพาะสำหรับเป้าหมายแต่ละรายได้วิธีนี้จะเปลี่ยนวิธีการที่องค์กรต่างๆ รักษาความปลอดภัยเนื่องจากจะไม่มีทางใดที่จะคาดการณ์ได้ว่าจะเกิดภัย Zero-Day ขึ้นที่ใดและไม่มีวิธีการการป้องกันอย่างเหมาะสมได้ ซึ่งเป็นเรื่องที่ท้าทายมากโดยเฉพาะอย่างยิ่งในองค์กรในวันนี้ที่ใช้ทูลส์รักษาความปลอดภัยแบบดั้งเดิมที่แยกทำงานกัน
“มูลค่าบริการ” ของ Zero-Days
ในอดีตนั้น มูลค่าการโจมตีแบบ Zero-Day ค่อนข้างสูง เนื่องจากต้องใช้เวลา ความพยายามและทักษะที่จำเป็นมากมายเพื่อที่ค้นพบช่องโหว่ แต่เนื่องจากมีการใช้เทคโนโลยีเอไอมาเป็นระยะเวลาหนึ่งแล้ว ทำให้การโจมตีแบบ Zero-Day กลายเป็นสิ่งที่พบได้ง่ายมากขึ้น ทั้งนี้ เราเองได้เห็นการแพร่กระจายของเอ็กซ์ปลอยท์ แบบดั้งเดิมมาแล้ว เช่น Ransomware และ Botnets ซึ่งเป็นแรงผลักดันให้โซลูชันด้านความปลอดภัยแบบเดิมๆ ทำงานเต็มขีดจำกัดของตนมาแล้วในช่วงนั้น ทั้งนี้ การเพิ่มจำนวนและความหลากหลายของช่องโหว่ที่มีอยู่และเอ็กซ์ปลอยท์ต่างๆ รวมถึงความสามารถในการสร้างการโจมตีแบบ Zero-Day และการให้บริการ Zero-Day Exploita-Service ทั้งหมดดังกล่าวจะมีผลต่อประเภทและอัตราค่าบริการในเว็บมืดสูงมากขึ้น
การคาดการณ์ที่ 3 เกี่ยวกับบริการ Swarm-as-a-Service
การโจมตีที่ซับซ้อนมากมักจะใช้เทคโนโลยีอัจฉริยะที่ได้มาจากการทำงานแบบกลุ่มที่เรียกว่า Swarm-Based Intelligence Technology เช่น Hivenets (กลุ่มภัยคุกคามทำงานรวมกันคล้ายรังผึ้ง) ซึ่งภัยคุกคามใหม่ๆ ที่เกิดขึ้นนี้จะถูกใช้เพื่อสร้างบอทอัจฉริยะที่มีขนาดใหญ่ ซึ่งสามารถทำงานร่วมกันได้และเป็นอิสระ เครือข่ายเหล่านี้จะไม่เพียงกระตุ้นความจำเป็นให้องค์กรต้องยกระดับเทคโนโลยีในการปกป้องตนแล้ว ยังเหมือนกับการทำเหมืองแบบ Zero-Day ที่ภัยรูปแบบนี้จะมีผลกระทบต่อโมเดลการทำธุรกิจของอาชญากรรมไซเบอร์ต่อไปในอนาคตอีกด้วย
ในขณะปัจจุบันนี้ ระบบนิเวศทางอาชญากรรมใช้ทรัพยากรมนุษย์ทำงานเป็นจำนวนมาก สามารถเช่าแฮกเกอร์มืออาชีพบางรายในการสร้างเอ็กซ์ปลอยท์โดยจ่ายเป็นค่าธรรมเนียม หรือแม้กระทั่งให้สร้างความก้าวหน้าใหม่ๆ ในด้านการแฮก เช่น บริการ Ransomware-as-a-Service ที่ต้องใช้วิศวกรแฮกเกอร์ที่แตกต่างกันในงานแต่ละประเภท อาทิ ในการสร้างและทดสอบเอ็กซ์ปลอยท์และในการจัดการเซิร์ฟเวอร์ Back-End C2 แต่เมื่อเกิดบริการ Swarms-as-a-Service ที่เป็นอิสระและฉลาดสามารถเรียนรู้ด้วยตนเอง จะทำให้ปริมาณการติดต่อกันโดยตรงระหว่างลูกค้าที่เป็นแฮกเกอร์และผู้ประกอบการให้บริการภัยแบล็คแฮทจะลดลงอย่างมาก
การคาดการณ์ที่ 4 เมนูตามสั่ง A-la-Carte Swarms
การแยกแบ่งกลุ่ม (Swarm) หนึ่งออกเป็นงานย่อยๆ ที่แตกต่างกันเพื่อให้บรรลุผลที่ต้องการนั้นจะคล้ายกันกับที่องค์กรทั่วโลกก้าวไปใช้งานแบบเสมือนจริง (Virtualization) ซึ่งในเครือข่ายเสมือนจริงนั้น ทรัพยากรต่างๆ จะใช้งานอุปกรณ์เสมือนมากหรือน้อยจะขึ้นอยู่กับความจำเป็นในการแก้ไขปัญหาเฉพาะนั้น เช่น แบนด์วิธ และในทำนองเดียวกัน จะสามารถจัดสรรทรัพยากรในเครือข่ายแบบกลุ่ม Swarm ในการจัดการกับความท้าทายเฉพาะที่พบในกลุ่มการโจมตีในครั้งนั้นได้
Swarm เป็นกลุ่มพฤติกรรมของระบบแบบกระจายศูนย์ ซึ่งถูกนำมาประยุกต์ใช้ในเอไอ และเมื่อรวมกลุ่ม Swarm ที่ผู้ประกอบธุรกิจอาชญากรได้ตั้งโปรแกรมล่วงหน้าไว้แล้ว เข้ากับทูลส์ด้านการวิเคราะห์และเอ็กซ์ปลอยท์ เข้ากับโปรโตคอลการเรียนรู้ได้ด้วยตนเองที่อนุญาตให้ทำงานเป็นกลุ่มที่ปรับแต่งโปรโตคอลที่ใช้การโจมตีจะทำให้การซื้อการโจมตีทางไซเบอร์ทำได้ง่ายเหมือนการเลือกจากเมนูอาหารตามสั่งเลยทีเดียว อาชญากรอาจเลือกซื้อ Swarm ได้หลายรูปแบบ อาทิ ใช้ Swarm ในการทำ AI Fuzzing เพื่อหาจุดอ่อน Zero-Day ใหม่ๆ หรือให้ Swarm ท่องไปในเครือข่าย หลบหลีกการตรวจจับและ/หรือเก็บข้อมูลพิเศษบางอย่าง หรือให้ Swarm เข้าไปควบคุมการใช้งานหรือทรัพยากรของเครือข่ายบางอย่าง เป็นต้น
การคาดการณ์ที่ 5 ภัยในแมชชีนเลิร์นนิ่ง
แมชชีนเลิร์นนิ่งเป็นทูลส์ที่มีแนวโน้มว่าจะถูกใช้งานมากที่สุดทูลส์หนึ่ง ซึ่งระบบและอุปกรณ์รักษาความปลอดภัยสามารถได้รับการฝึกอบรมเพื่อดำเนินการเฉพาะอย่างเป็นอิสระได้ เช่น พฤติกรรมพื้นฐานการประยุกต์การวิเคราะห์พฤติกรรมในการระบุภัยคุกคามที่ซับซ้อน หรือการติดตามและแก้ไขอุปกรณ์ต่างๆ แต่น่าเสียดายที่อาชญากรในโลกไซเบอร์ได้ใช้ประโยชน์จากแมชชีนเลิร์นนิ่งด้วยเช่นกัน ทั้งนี้ อาชญากรไซเบอร์จะกำหนดเป้าหมายในกระบวนการเรียนรู้ของเครื่องคอมพิวเตอร์ และจะสามารถฝึกอุปกรณ์หรือระบบเพื่อไม่ใช้แพทช์หรืออัปเดตลงบนอุปกรณ์ที่ระบุเฉพาะได้ หรือให้อุปกรณ์มองข้ามแอปพลิเคชันหรือพฤติกรรมบางประเภทไปหรือไม่บันทึกทราฟฟิกบางประเภทเพื่อหลีกเลี่ยงการถูกตรวจพบ ทั้งหมดนี้มีผลกระทบสูงต่อวิวัฒนาการของเทคโนโลยีแมชชีนเลิร์นนิ่งและเอไอ
กระบวนการป้องกันภัยคุกคามจะซับซ้อนมากขึ้น
เพื่อต่อต้านการพัฒนาด้านมืดเหล่านี้ องค์กรจะต้องยกระดับขีดความสำคัญของอาชญากรไซเบอร์ ทั้งนี้กลยุทธ์เชิงป้องกันต่อไปนี้จะทำให้องค์กรให้บริการอาชญากรรมไซเบอร์ เปลี่ยนยุทธวิธี แก้ไขการโจมตีของตน และพัฒนาวิธีใหม่ในการประเมินโอกาสในการคุกคามอีกด้วย
การใช้กลยุทธ์การหลอกลวงขั้นสูง : องค์กรควรรวมเทคนิคการหลอกลวงทั้งหลายเข้ากับกลยุทธ์ด้านความปลอดภัยขององค์กรเพื่อให้ได้เครือข่ายที่สร้างขึ้นจากข้อมูลที่เป็นเท็จ ซึ่งจะบังคับให้ผู้ประสงค์ร้ายตรวจสอบข้อมูลด้านภัยคุกคามอัจฉริยะ (Threat Intelligence) ของตนตลอดเวลา จะใช้เวลาและทรัพยากรในการตรวจหาข้อมูลที่ผิดพลาดไม่เป็นความจริง (False Positive) มากขึ้นและจะตรวจสอบว่าทรัพยากรเครือข่ายที่ตนเห็นนั้นถูกต้องมีจริงและเนื่องจากองค์กรสามารถพบการคุกคามบนทรัพยากรเครือข่ายที่ผิดพลาดนั้นได้ทันที และเรียกใช้มาตรการตอบโต้ได้โดยอัตโนมัติจึงทำให้ผู้บุกรุกจะต้องเพิ่มความระมัดระวังมากขึ้น แม้แต่ในการใช้กลยุทธ์พื้นฐานมากขึ้น เช่น การตรวจสอบเครือข่าย
ใช้ความร่วมมือแบบเปิดและรวมเป็นหนึ่งเดียว : หนึ่งในวิธีที่ง่ายที่สุดสำหรับอาชญากรในโลกไซเบอร์ในการโจมตีที่มีอยู่และหลบเลี่ยงการตรวจพบคือ ใช้วิธีเปลี่ยนแปลงเพียงเล็กน้อยเท่านั้น เช่น การเปลี่ยนไอพีแอดเดรส ดังนั้น วิธีการที่มีประสิทธิภาพเพื่อให้ทันกับการเปลี่ยนแปลงดังกล่าวคือการแบ่งปันข้อมูลด้านภัยคุกคามอัจฉริยะร่วมกันอย่างแข็งขัน เนื่องจากข้อมูลด้านภัยคุกคามอัจฉริยะที่อัปเดตอย่างต่อเนื่อง จะช่วยให้ผู้ขายอุปกรณ์ด้านความปลอดภัยของลูกค้าสามารถติดตามสถานการณ์ภัยคุกคามล่าสุดได้ทันท่วงที นอกจากนี้ การให้ความร่วมมือกันแบบเปิดและแบ่งปันกลยุทธ์ที่ผู้โจมตีใช้กัน ระหว่างองค์กรวิจัยด้านภัยคุกคาม พันธมิตรในอุตสาหกรรม ผู้ผลิตอุปกรณ์ด้านความปลอดภัย และหน่วยงานผู้มีอำนาจบังคับใช้กฎหมายจะช่วยลดเวลาในการตรวจจับภัยคุกคามใหม่ๆ ได้อย่างรวดเร็ว โดยการเปิดเผย
บทสรุป ความเร็ว บูรณาการ และระบบอัตโนมัติเป็นพื้นฐานด้านความปลอดภัยไซเบอร์ที่สำคัญ
ไม่มียุทธศาสตร์การป้องกันในอนาคตที่เกี่ยวกับแมชชีนเลิร์นนิ่งและระบบที่ทำงานโดยอัตโนมัติโดยปราศจากวิธีในการรวบรวมกระบวนการ และจัดการกับข้อมูลภัยในรูปแบบบูรณาการเพื่อให้ได้การตอบสนองที่ชาญฉลาด ดังนั้น เพื่อต่อสู้กับความซับซ้อนที่เพิ่มขึ้นของภัยคุกคาม องค์กรจึงต้องรวมองค์ประกอบด้านความปลอดภัยทั้งหมดไว้ใน “เครือข่ายซีเคียวริตี้แฟบริค” เครือข่ายเพื่อความปลอดภัยในการค้นหาและตอบสนองต่อภัยคุกคามด้วยความเร็วและสามารถปรับได้ตลอดเวลา ทั้งนี้ จะมีการแบ่งปันข้อมูลอัจฉริยะด้านความปลอดภัยขั้นสูงและใช้ร่วมกันในองค์ประกอบด้านความปลอดภัยทั้งหมดบนเครือข่ายซีเคียวริตี้แฟบริคได้อย่างอัตโนมัติ จึงช่วยลดความจำเป็นในการตรวจจับและช่วยโต้ตอบภัยได้อย่างรวดเร็ว
ฟอร์ติเน็ต (NASDAQ: FTNT)ปกป้ององค์กรผู้ให้บริการหน่วยงานรัฐบาลที่ใหญ่ที่สุดในโลก ฟอร์ติเน็ตช่วยให้ลูกค้าสามารถมีข้อมูลเชิงลึกและการป้องกันที่ราบรื่นเพื่อให้พ้นภัยคุกคาม และยังเพิ่มประสิทธิภาพการทำงานที่เยี่ยมยอดให้เครือข่ายที่ไร้พรมแดนในวันนี้และในอนาคต ซีเคียวริตี้แฟบลิคซึ่งเป็นสถาปัตยกรรมใหม่จากฟอร์ติเน็ตเท่านั้นที่จะช่วยสร้างเกราะความปลอดภัยโดยจะไม่ยอมแพ้แก่ภัยที่เข้ามา ไม่ว่าจะอยู่ในเครือข่าย แอปพลิเคชัน คลาวด์ หรือโมบาย ฟอร์ติเน็ตดำรงตำแหน่งเป็น #1 ในการได้ส่งอุปกรณ์ด้านความปลอดภัยสู่ตลาดโลกมากที่สุด และมีลูกค้ามากกว่า 360,000 รายทั่วโลกที่ให้ความไว้วางใจฟอร์ติเน็ตในการช่วยสร้างเกราะป้องกันองค์กรของตน |