ฟอร์ติเน็ตคาดในปี 2019 องค์กรจะใช้ระบบอัตโนมัติมากขึ้นเพื่อต่อสู้กับภัยคุกคาม ใช้ AI Fuzzing และแมชชีนเลิร์นนิ่งช่วยค้นพบช่องโหว่บนเครือข่ายและซอฟต์แวร์ใหม่ๆ

ฟอร์ติเน็ตคาดในปี 2019 องค์กรจะใช้ระบบอัตโนมัติมากขึ้นเพื่อต่อสู้กับภัยคุกคาม ใช้ AI Fuzzing และแมชชีนเลิร์นนิ่งช่วยค้นพบช่องโหว่บนเครือข่ายและซอฟต์แวร์ใหม่ๆ การคาดการณ์เหล่านี้แสดงให้เห็นถึงวิธีการและเทคนิคที่นักวิจัยคาดว่าจะเกิดขึ้นในอนาคตอันใกล้ เพื่อพร้อมกับการเปลี่ยนแปลงในด้านกลยุทธ์ที่สำคัญซึ่งจะช่วยให้องค์กรสามารถป้องกันการโจมตีในอนาคต

     ปี18 เกิดอะไรบ้าง ในส่วนของภัยคุกคาม

      แฮงค์เกอร์พยามที่จะขโมยข้อมูลของโรงแรม การจอง การเข้าพัก รวมถึงรายชื่อ ข้อมูลบัตรเครดิต ของผู้เข้าพัก ซึ่งในปี18 นี้ ธุรกิจโรงแรม โดนแฮงค์ข้อมูล คิดเป็นมูลค่า 500 ล้านเหรียญ โดย การเจาะข้อมูลโดนเจาะในส่วนของเวปเซิร์ฟเวอร์ ซึ่งสามารถฝังบอร์ท เพื่อแฮงค์ข้อมูลได้อย่างง่ายดาย รวมถึงการแฮงค์ข้อมูลตามบ้านเรือนต่างเช่น เจาะตามอินเตอร์เน็ตบ้าน ร้านค้าขนาดเล็ก ฯลฯ โดยแฮงค์เกอร์ สามารถที่จะเจาะข้อมูลได้อย่างง่ายดาย เพียงไม่กี่คลิกเท่านั้น

      ในส่วนของ IOT ที่เป็นส่วนของไอพี เช่น พริ้นเตอร์ เล้าท์เตอร์ ฯ แฮงค์เกอร์สามารถที่จะเจาะระบบข้อมูล เพื่อเข้ามาขโมยข้อมูล โดยสามารถที่จะทำให้ระบบของบริษัทไม่สามารถเปิดเวปไซต์ หรือเพื่อทำลายชื่อเสียงของบริษัท ซึ่งบางครั้ง อาจเกิดจากการใช้งานของผู้ใช้ทั่วไป หรือการเจาะเข้าไปใสส่วนของสมาร์ทบิ้วดิ้ง เช่น การเปิดปิดแอร์ ประตู ฯ ซึ่งสามารถที่จะทำได้ ซึ่งสามารถใช้สมาร์ทดิไวซ์ ในการเจาะเข้าระบบต่างๆ

     ส่วนของสมาร์ทโฟน ทั้งแอนดอร์ย และไอโอเอส ซึ่งแอนดอรย์ จะมีสัดส่วนที่โดนเจาะได้ง่ายกว่า เช่น การใช้อินเตอร์เน็ตแบงค์กิ้งค์ ซึ่งการส่งโอทีพี (รหัสเข้าใช้งาน) ไปยังแฮงค์เกอร์ ก็จะทำให้ผู้ร้ายสามารถเข้าใช้งานระบบของผู้ใช้งาน ซึ่งแฮงค์เกอร์ สามารถที่จะฝังระบบต่างๆ เพื่อเจาะเข้าไปใช้ข้อมูล ของผู้บริโภคได้เช่นกัน 

    ปี 2019 ฟอร์ติเน็ตคาดการณ์ว่าชุมชนอาชญากรรมไซเบอร์มีแนวโน้มที่จะใช้กลยุทธ์ดังต่อไปนี้

     การคาดการณ์ที่ 1: ในเรื่องการใช้ Artificial Intelligence Fuzzing (AIF) และช่องโหว่ (Vulnerabilities) ฟัสซิ่ง (Fuzzing)

     เป็นเทคโนโลยีที่ใช้กันอย่างแพร่หลายในห้องทดลองโดยนักวิจัยผู้เชี่ยวชาญด้านภัยคุกคามเพื่อค้นหาช่องโหว่ในส่วนติดต่อกับฮาร์ดแวร์และซอฟต์แวร์และแอปพลิเคชัน โดยการป้อนค่าข้อมูลที่ไม่ถูกต้อง ไม่คาดคิดหรือกึ่งสุ่มเข้าไปยังฟังค์ชั่น อินเทอร์เฟซหรือโปรแกรมต่างๆ และดูตรวจสอบเหตุการณ์ เช่น การหยุดทำงาน การกระโดดข้ามไปที่ขั้นตอนการแก้ไขโปรแกรมโดยที่ไม่มีคำสั่ง การยืนยันรหัสโค้ดที่ผิดพลาด การรั่วไหลของหน่วยความจำที่อาจเกิดขึ้น และท้ายสุด จะแจ้งให้ผู้พัฒนาทำการแก้ไขข้อบกพร่อง

       ในอดีตนั้น มีเพียงวิศวกรที่มีทักษะสูงจำนวนหนึ่งที่ทำงานในห้องปฏิบัติการเท่านั้นที่ใช้เทคนิคเหล่านี้ อย่างไรก็ตาม ต่อมา มีการใช้โมเดลแมชชีนเลิร์นนิ่งกับกระบวนการเหล่านี้ จึงทำให้เราคาดการณ์ว่าเทคนิคนี้ที่เรียกว่า AIF (Artificial Intelligence Fuzzing) จะเปลี่ยนไป คือ มีประสิทธิภาพมากขึ้น สามารถพัฒนาดัดแปลงให้ทำงานเฉพาะได้มากขึ้นและทำให้เหล่าผู้ที่มีความรู้ด้านเทคนิคน้อยกว่าสามารถใช้งานได้กว้างขวางมากขึ้น

      ดังนั้น เมื่ออาชญากรไซเบอร์เองเริ่มใช้แมชชีนเลิร์นนิ่งมาพัฒนาโปรแกรมฟัสซิ่งที่ทำงานอย่างอัตโนมัติตลอดเวลาทำให้พวกเขาสามารถเร่งกระบวนการและพบช่องโหว่ใหม่ๆ ที่ยังไม่มีใครค้นพบมากก่อน เรียกกันว่า ภัยประเภทซีโร่ เดย์ (Zero-day attack) ได้เร็วขึ้น จำนวนการโจมตีแบบ Zero-day ที่กำหนดเป้าหมายไปยังโปรแกรมและแพลตฟอร์มต่างๆ จะเพิ่มมากขึ้น

     การคาดการณ์ที่ 2: การทำเหมืองแบบ Zero-Day โดยใช้ AIF:

     เมื่อมีเทคนิค AIF แล้วอาชญากรไซเบอร์จะสามารถใช้ชี้ไปที่โค้ดภายในสภาพแวดล้อมที่มีการควบคุมเพื่อทำขุดเหมืองให้กับการโจมตีแบบ Zero-day Exploit  (เอ็กซ์ปลอยท์ หมายถึง พฤติกรรมการใช้ประโยชน์จาก “จุดอ่อน” หรือ “ช่องโหว่” ในซอฟแวร์)  ทำให้มีจำนวนภัย Zero-day Exploit สูงมากขึ้น เมื่อขั้นตอนนี้มีความคล่องตัวมากขึ้น จะเกิดบริการทำเหมืองแบบ Zero-day mining-a-service ที่สามารถการสร้างการโจมตีเฉพาะสำหรับเป้าหมายแต่ละรายได้

    วิธีนี้จะเปลี่ยนวิธีการที่องค์กรต่างๆ รักษาความปลอดภัยเนื่องจากจะไม่มีทางใดที่จะคาดการณ์ได้ว่าจะเกิดภัย Zero-day ขึ้นที่ใดและไม่มีวิธีการการป้องกันอย่างเหมาะสมได้  ซึ่งเป็นเรื่องที่ท้าทายมาก โดยเฉพาะอย่างยิ่งในองค์กรในวันนี้ที่ใช้ทูลส์รักษาความปลอดภัยแบบดั้งเดิมที่แยกทำงานกัน

      •    “มูลค่าบริการ” ของ Zero-Days: ในอดีตนั้น มูลค่าการโจมตีแบบ Zero-day ค่อนข้างสูงเนื่องจากต้องใช้เวลา ความพยายามและทักษะที่จำเป็นมากมายเพื่อที่ค้นพบช่องโหว่ แต่เนื่องจากมีการใช้เทคโนโลยีเอไอมาเป็นระยะเวลาหนึ่งแล้ว  ทำให้การโจมตีแบบ Zero-day กลายเป็นสิ่งที่พบได้ง่ายมากขึ้น ทั้งนี้ เราเองได้เห็นการแพร่กระจายของเอ็กซ์ปลอยท์แบบดั้งเดิมมาแล้ว เช่น Ransomware และ Botnets เป็นแรงผลักดันให้โซลูชันด้านความปลอดภัยแบบเดิมๆ ทำงานเต็มขีดจำกัดของตนมาแล้วในช่วงนั้น

     ทั้งนี้ การเพิ่มจำนวนและความหลากหลายของช่องโหว่ที่มีอยู่และเอ็กซ์ปลอยท์ต่างๆ รวมถึงความสามารถในการสร้างการโจมตีแบบ Zero-day และการให้บริการ Zero-day exploit-a-service ทั้งหมดดังกล่าวจะมีผลต่อประเภทและอัตราค่าบริการในเว็บมืดสูงมากขึ้น

    การคาดการณ์ที่ 3: เกี่ยวกับบริการ Swarm-as-a-Service:

     การโจมตีที่ซับซ้อนมากมักจะใช้เทคโนโลยีอัจฉริยะที่ได้มาจากการทำงานแบบกลุ่มที่เรียกว่า Swarm-based intelligence technology เช่น Hivenets (กลุ่มภัยคุกคามทำงานรวมกันคล้ายรังผึ้ง)  ซึ่งภัยคุกคามใหม่ๆ ที่เกิดขึ้นนี้จะถูกใช้เพื่อสร้างบอทอัจฉริยะที่มีขนาดใหญ่ซึ่งสามารถทำงานร่วมกันได้และเป็นอิสระ เครือข่ายเหล่านี้จะไม่เพียงกระตุ้นความจำเป็นให้องค์กรต้องยกระดับเทคโนโลยีในการปกป้องตนแล้ว ยังเหมือนกับการทำเหมืองแบบ Zero-day ภัยรูปแบบนี้จะมีผลกระทบต่อโมเดลการทำธุรกิจของอาชญากรรมไซเบอร์ต่อไปในอนาคตอีกด้วย

     ปัจจุบันนี้ ระบบนิเวศทางอาญากรรมใช้ทรัพยากรมนุษย์ทำงานเป็นจำนวนมากสามารถเช่าแฮกเกอร์มืออาชีพบางรายในการสร้างเอ็กซ์ปลอยท์โดยจ่ายเป็นค่าธรรมเนียมหรือแม้กระทั่งให้สร้างความก้าวหน้าใหม่ๆ ในด้านการแฮก เช่น บริการ Ransomware-as-a-Service ที่ต้องใช้วิศวกรแฮกเกอร์ที่แตกต่างกันในงานแต่ละประเภท อาทิ ในการสร้างและในการทดสอบเอ็กซ์ปลอยท์และในการจัดการเซิร์ฟเวอร์ Back-end C2  แต่เมื่อเกิดบริการ Swarms-as-a-Service ที่เป็นอิสระและฉลาดสามารถเรียนรู้ด้วยตนเอง ทำให้ปริมาณการติดต่อกันโดยตรงระหว่างลูกค้าที่เป็นแฮ็กเกอร์และผู้ประกอบการให้บริการภัยแบล็คแฮทจะลดลงอย่างมาก

     การคาดการณ์ที่ 4: เมนูตามสั่ง A – la – Carte Swarms:

    การแยกแบ่งกลุ่ม (Swarm) หนึ่งออกเป็นงานย่อยๆ ที่แตกต่างกันเพื่อให้บรรลุผลที่ต้องการนั้นจะคล้ายกันกับที่องค์กรทั่วโลกก้าวไปใช้งานแบบเสมือนจริง (Virtualization) ซึ่งในเครือข่ายเสมือนจริงนั้น ทรัพยากรต่างๆ จะใช้งานอุปกรณ์เสมือนมากหรือน้อยจะขึ้นอยู่กับความจำเป็นในการแก้ไขปัญหาเฉพาะนั้น เช่น แบนด์วิธ  และในทำนองเดียวกัน จะสามารถจัดสรรทรัพยากรในเครือข่ายแบบกลุ่ม Swarm ในการจัดการกับความท้าทายเฉพาะที่พบในกลุ่มการโจมตีในครั้งนั้นได้ Swarm เป็นกลุ่มพฤติกรรมของระบบแบบกระจายศูนย์ซึ่งถูกนำมาประยุกต์ใช้ในเอไอ และเมื่อรวมกลุ่ม Swarm ที่ผู้ประกอบธุรกิจอาชญากรได้ตั้งโปรแกรมล่วงหน้าไว้แล้ว เข้ากับทูลส์ด้านการวิเคราะห์และเอ็กซ์ปลอยท์ เข้ากับโปรโตคอลการเรียนรู้ได้ด้วยตนเองที่อนุญาตให้ทำงานเป็นกลุ่มที่ปรับแต่งโปรโตคอลที่ใช้การโจมตี ทำให้การซื้อการโจมตีทางไซเบอร์ทำได้ง่ายเหมือนการเลือกจากเมนูอาหารตามสั่งเลยทีเดียว

     อาชญากรอาจเลือกซื้อ Swarm ได้หลายรูปแบบ อาทิ ใช้ Swarm ในการทำ AI Fuzzing เพื่อหาจุดอ่อน Zero-Day ใหม่ๆ หรือ ให้ Swarm ท่องไปในเครือข่ายหลบหลีกการตรวจจับและ/หรือเก็บข้อมูลพิเศษบางอย่าง  หรือให้ Swarm เข้าไปควบคุมการใช้งานหรือทรัพยากรของเครือข่ายบางอย่าง เป็นต้น

    การคาดการณ์ที่ 5: ภัยในแมชชีนเลิร์นนิ่ง:

     แมชชีนเลิร์นนิ่งเป็นทูลส์ที่มีแนวโน้มว่าจะถูกใช้งานมากที่สุดทูลส์หนึ่ง ซึ่งระบบและอุปกรณ์รักษาความปลอดภัยสามารถได้รับการฝึกอบรมเพื่อดำเนินการเฉพาะอย่างเป็นอิสระได้ เช่น พฤติกรรมพื้นฐานการประยุกต์การวิเคราะห์พฤติกรรมในการระบุภัยคุกคามที่ซับซ้อน หรือการติดตามและแก้ไขอุปกรณ์ต่างๆ แต่น่าเสียดายที่อาชญากรในโลกไซเบอร์ได้ใช้ประโยชน์จากแมชชีนเลิร์นนิ่งด้วยเช่นกัน

     ทั้งนี้ อาชญากรไซเบอร์จะกำหนดเป้าหมายในกระบวนการเรียนรู้ของเครื่องคอมพิวเตอร์ และจะสามารถฝึกอุปกรณ์หรือระบบเพื่อไม่ใช้แพทช์หรืออัปเดตลงบนอุปกรณ์ที่ระบุเฉพาะได้ หรือให้อุปกรณ์มองข้ามแอพพลิเคชันหรือพฤติกรรมบางประเภทไป หรือไม่บันทึกทราฟฟิคบางประเภทเพื่อหลีกเลี่ยงการถูกตรวจพบ ทั้งหมดนี้มีผลกระทบสูงต่อวิวัฒนาการของเทคโนโลยีแมชชีนเลิร์นนิ่งและเอไอ 

    “กระบวนการป้องกันภัยคุกคามจะซับซ้อนมากขึ้น ในส่วนขององค์กร น่าจะใช้งบ 10% ในส่วนของไอทีซิเคียวริตี้ เรามองว่า บริษัทต่างๆ น่าจะมีการเพิ่มงบประมาณ ในส่วนของการวางระบบป้องกันที่มากขึ้น เพื่อให้ครอบคลุมกับระบบต่างๆ  ในส่วนของผู้ใช้ทั่วไป ผู้ใช้มือถือ ควรลงซอร์ฟแวร์ ที่ถูกต้อง ไม่ใช่ของฟรี หรือของเถื่อน หรือแม้แต่อุปกรณ์ที่เป็นสมาร์ทโฮม สมาร์ทซีซีทีวี ควรมีการปรับปรุงหรือเปลี่ยพาสเวิร์ด เพื่อสร้างความปลอดภัยให้กับอุปกรณ์ต่างๆ ภายในบ้าน ควรมีการตั้งวันไทม์ พาสเวิร์ด เพื่อเป็นการเบื้องต้นด้วย 

     ความเร็ว บูรณาการ และระบบอัตโนมัติเป็นพื้นฐานด้านความปลอดภัยไซเบอร์ที่สำคัญ ไม่มียุทธศาสตร์การป้องกันในอนาคตที่เกี่ยวกับแมชชีนเลิร์นนิ่งและระบบที่ทำงานโดยอัตโนมัติโดยปราศจากวิธีในการรวบรวมกระบวนการ และจัดการกับข้อมูลภัยในรูปแบบบูรณาการเพื่อให้ได้การตอบสนองที่ชาญฉลาด ดังนั้น เพื่อต่อสู้กับความซับซ้อนที่เพิ่มขึ้นของภัยคุกคาม องค์กรจึงต้องรวมองค์ประกอบด้านความปลอดภัยทั้งหมดไว้ใน “เครือข่ายซีเคียวริตี้แฟบริค” เครือข่ายเพื่อความปลอดภัยในการค้นหาและตอบสนองต่อภัยคุกคามด้วยความเร็วและสามารถปรับได้ตลอดเวลา ทั้งนี้ จะมีการแบ่งปันข้อมูลอัจฉริยะด้านความปลอดภัยขั้นสูงและใช้ร่วมกันในองค์ประกอบด้านความปลอดภัยทั้งหมดบนเครือข่ายซีเคียวริตี้แฟบริคได้อย่างอัตโนมัติ จึงช่วยลดความจำเป็นในการตรวจจับและช่วยโต้ตอบภัยได้อย่างรวดเร็ว”

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องที่ต้องการถูกทำเครื่องหมาย *