ในโลกที่มีการเชื่อมต่ออินเทอร์เน็ตและออนไลน์อยู่ตลอดเวลา คอมพิวเตอร์เครื่องใหม่ ถ้าไม่มีการป้องกันเมื่อมีการตรวจ จะสามารถติดเชื้อมัลแวร์ได้ในเวลาไม่กี่นาที
บทความ โดย บริษัท แซส ซอฟท์แวร์ (ไทยแลนด์) จำกัด
แม้ว่าเจ้าหน้าที่ของรัฐหลายรายจะยืนกรานว่า ขณะนี้สหรัฐฯ ได้เข้าร่วมในสงครามไซเบอร์แล้ว แต่ดูเหมือนว่าพวกเขาจะยังเข้าไม่ถึงจุดที่ผู้โจมตีกำลังจัดการกับโครงสร้างพื้นฐานที่สำคัญ (85% เป็นของภาคเอกชน) โดยการทำให้ระบบติดต่อสื่อสารต้องหยุดชะงัก หรือการปิดระบบของหน่วยงานต่างๆ ในขณะที่เจ้าหน้าที่ของรัฐจากประเทศอื่นๆ เองนั้นต่างก็บอกว่าประเทศของตนอาจเข้าร่วมในสงครามไซเบอร์แล้วเช่นกัน แม้ว่าจะมีขอบเขตที่เล็กกว่าก็ตาม
แนวโน้มดังกล่าวแสดงให้เห็นได้อย่างชัดเจน ตัวอย่างเช่น จำนวนเหตุการณ์ที่หน่วยงานต่างๆ ของรัฐบาลกลางสหรัฐฯ ได้รายงานต่อทีมงานการเตรียมความพร้อมฉุกเฉินด้านคอมพิวเตอร์แห่งสหรัฐอเมริกา (United States Computer Emergency Readiness Team: US-CERT) ซึ่งเพิ่มจำนวนจาก 5,503 เหตุการณ์ในปี 2549 เป็น 16,843 เหตุการณ์ในปี 2551 ซึ่งสามารถคิดเป็นสัดส่วนที่เพิ่มมากขึ้นถึง 206% อย่างไรก็ตาม จำนวนเหตุการณ์ดังกล่าวอาจน้อยกว่าความเป็นจริง เนื่องจากรายงานดังกล่าวครอบคลุมเฉพาะเหตุการณ์ที่ตรวจพบเท่านั้น จะเห็นได้ว่าในโลกที่มีการเชื่อมต่ออินเทอร์เน็ตและออนไลน์อยู่ตลอดเวลา คอมพิวเตอร์เครื่องใหม่ ถ้าไม่มีการป้องกันเมื่อมีการตรวจ จะสามารถติดเชื้อมัลแวร์ได้ในเวลาไม่กี่นาที
กองกำลังนับล้าน
ประเภทของภัยคุกคามและการโจมตีนั้น มีจำนวนมากและกำลังขยายตัวอย่างมหาศาล อีกทั้งยังมีความซับซ้อน และมีความคล่องตัวเพิ่มขึ้นอย่างมาก ภัยคุกคามและการโจมตีดังกล่าวมาจากต่างชาติ แก๊งค์อาชญากร แฮคเกอร์ กลุ่มนักเจาะระบบนิรนาม บุคคลวงในที่ประสงค์ร้าย และบรรดาผู้ก่อการร้ายต่างๆ ซึ่งการโจมตีที่ร้ายแรง มีความซับซ้อน และเกิดขึ้นอย่างต่อเนื่องนั้นส่วนใหญ่จะมาจากรัฐบาลต่างชาติและกลุ่มอาชญากรที่มีการจัดระเบียบมาเป็นอย่างดี
โดยในบางครั้งอาจร่วมมือกันด้วยการใช้ แฮคเกอร์และวิศวกรนับแสนรายที่ได้รับแรงจูงใจสูง ตลอดจนผ่านการฝึกอบรมมาอย่างดี และพร้อมโจมตีทั้งในทางตรงและทางอ้อม แม้ว่าสหรัฐอเมริกาจะไม่ใช่ประเทศเดียวที่ตกอยู่ในภาวะสูญเสียทรัพย์สินทางปัญญาและข้อมูลเฉพาะที่มีความสำคัญเป็นจำนวนมากถึงระดับเทราไบต์ แต่ก็ถือได้ว่าเป็นประเทศที่ตกเป็นเป้าหมายใหญ่ที่สุด
สำหรับภัยคุกคามและการโจมตีต่างๆ นั้น ประกอบด้วยการโจมตีเพื่อให้ระบบหยุดการให้บริการ (denial of service), การโจมตีแบบกระจายเพื่อให้ระบบหยุดการให้บริการ (distributed denial of service), การใช้ประโยชน์จากช่องโหว่, ระเบิดตรรกะ, ตัวสอดแนมข้อมูล, ม้าโทรจัน, ไวรัส, หนอน, สปายแวร์, การเจาะระบบโทรศัพท์ (war-dialing), การเจาะระบบไร้สาย (war-driving) , สแปม, ฟิชชิง, การหลอกลวง, ฟาร์มมิงและบ็อตเน็ต ซึ่งมักจะมาในลักษณะที่ผสมผสานชนิดต่างๆ เข้าด้วยกัน ทั้งนี้ แพนด้าแล็บส์ คาดการณ์ว่า 99.6% ของอีเมลทั้งหมดที่ส่งตรงถึงกล่องจดหมายของรัฐบาลสหรัฐฯ นั้นเป็นข้อความสแปมหรือข้อความที่เป็นอันตราย โดยมีเพียง 0.4% เท่านั้นที่ถูกต้องปลอดภัย
ตัวเลขสำคัญในสงครามไซเบอร์
206: เปอร์เซ็นต์ที่เพิ่มขึ้นของเหตุการณ์ที่ตรวจพบโดยหน่วยงานกลางของรัฐบาลสหรัฐฯ (ปี พ.ศ. 2549-2551)
8: จำนวนเดือนที่ซอฟต์แวร์อันตรายทำงานอยู่ภายในคอมพิวเตอร์ของภาครัฐโดยที่ไม่มีการตรวจพบ
99.6: เปอร์เซ็นต์ของอีเมลทั้งหมดที่ส่งถึงรัฐบาลที่เป็นสแปมหรือเป็นอันตราย
0.4: เปอร์เซ็นต์ของอีเมลที่ถูกต้องปลอดภัยอย่างแท้จริง
กังวลหนักกว่าเดิม
เจ้าหน้าที่ที่ป้องกันโลกไซเบอร์มีความกังวลอย่างมากเกี่ยวกับการโจมตีต่างๆ ที่อาจจะเกิดขึ้น โดยเฉพาะจากบุคคลวงในที่มีเป้าหมายในการขโมย แก้ไข หรือทำลายข้อมูล จากสถานการณ์ล่าสุดพบว่าการโจมตีขั้นสูงอันเป็นภัยคุกคามที่เกิดขึ้นอย่างต่อเนื่องนั้นได้มีจำนวนเพิ่มมากขึ้นถึงในระดับที่น่ากังวลเป็นอย่างมาก การโจมตีเหล่านี้จะแทรกซึมเข้าสู่องค์กรและแอบใส่โปรแกรมซอฟต์แวร์ที่ทำหน้าที่ขโมยหรือแก้ไขข้อมูลลงในระบบซ้ำแล้วซ้ำเล่า และโดยทั่วไปแล้วซอฟต์แวร์ดังกล่าวจะแฝงตัวอยู่ในระบบเป็นระยะเวลายาวนานถึงแปดเดือนก่อนที่จะถูกตรวจพบ ซึ่งนั่นทำให้ผู้ดูแลจัดการด้านไอทีของรัฐบาลไม่เป็นอันได้พักผ่อน
เนื่องจากข้อมูลที่พวกเขาต้องให้การคุ้มครองนั้นกำลังขยายตัวเพิ่มมากขึ้นที่ระดับเทราไบต์ในแต่ละเดือน พวกเขากำลังถูกถาโถมด้วยข้อมูลที่ไม่มีความเกี่ยวข้องและเชื่อมโยงกันในจำนวนมหาศาลซึ่งได้มาจากระบบรักษาความปลอดภัยทั้งหมดที่มีอยู่ในครอบครอง นอกจากนี้ ระบบดังกล่าวนั้นก็ยังมีความหลากหลายและแตกต่างกันโดยสิ้นเชิง โดยจะเห็นได้ว่าโครงสร้างพื้นฐานไอทีของระบบที่มีอยู่นั้นไม่สามารถช่วยให้ผู้ดูแลได้รับมุมมองที่ครอบคลุมในการรับรู้สถานการณ์ของโลกไซเบอร์ได้เลย
ภัยคุกคามซับซ้อนกว่าเดิม
เจ้าหน้าที่คุ้มครองโลกไซเบอร์ต้องทำงานอย่างหนักและตกอยู่ในภาวะเครียดอย่างมาก อันเป็นผลมาจากที่พวกเขาต้องใช้เวลาส่วนใหญ่ไปกับการอุดช่องโหว่ รับมือกับอันตรายที่เข้ามา และซ่อมแซมแก้ไขระบบเครือข่าย พวกเขาต้องตกอยู่ในสภาพของผู้ไล่ตามอย่างไม่มีที่สิ้นสุด ในขณะที่เหล่าผู้โจมตีต่างพัฒนาเทคนิคที่มีความซับซ้อนมากขึ้นและสามารถโต้กลับการแก้ไขที่มีต่อระบบความปลอดภัยได้อย่างรวดเร็วด้วยการสร้างภัยคุกคามใหม่ๆ ออกมาและมีความซับซ้อนยิ่งกว่าเดิม
อย่างไรก็ตาม หน่วยงานภาครัฐบางแห่งได้จัดตั้งศูนย์ดำเนินงานด้านการรักษาความปลอดภัยสำหรับโลกไซเบอร์ ซึ่งนับว่าเป็นสิ่งที่ดีเยี่ยมในการติดตามตรวจสอบเครือข่าย แต่พวกเขากลับไม่ได้จัดเตรียมเครื่องมือให้ผู้ปฏิบัติงานและนักวิเคราะห์สามารถทำความเข้าใจถึงสิ่งที่ผลักดันให้เกิดการโจมตี การบุกรุก และความผิดปกติต่างๆ นั่นคือไม่ได้บอกความหมายของสิ่งที่เกิดขึ้นทั้งหมด และสิ่งที่จะเกิดขึ้นตามมาด้วย แม้ว่าแดชบอร์ด ข้อมูลด้านการรักษาความปลอดภัย และระบบการจัดการเหตุการณ์จะเป็นสิ่งที่ดีเยี่ยมสำหรับการจัดทำรายงานเกี่ยวกับสิ่งที่กำลังจะเกิดขึ้นและสิ่งที่เกิดขึ้นไปแล้ว แต่ก็ไม่ได้ถูกนำมาใช้มากนักในการตรวจหาและวิเคราะห์รูปแบบ ทำนายการโจมตีในอนาคต แจ้งเตือนและส่งคำเตือน หรือสร้างสถานการณ์จำลองแบบ What-if
นายซัลไม อัซมี อดีตประธานเจ้าหน้าที่ฝ่ายสารสนเทศ (ซีไอโอ) จากสำนักงานสืบสวนกลาง สหรัฐฯ กล่าวว่าด้วยสภาพแวดล้อมของโลกไซเบอร์ในปัจจุบัน หน่วยงานภาครัฐทั่วโลกจะต้องยอมรับความจริงที่ว่าพวกเขาได้เข้าร่วมในการทำสงครามไซเบอร์แล้ว และในสภาพแวดล้อมดังกล่าว อัซมี บอกด้วยว่านักวิเคราะห์ด้านไซเบอร์จะต้องใช้เครื่องมือและกระบวนการที่สามารถเชื่อมโยงความสัมพันธ์ของข้อมูล เพิ่มประสิทธิภาพในการรับรู้สถานการณ์ได้ดีขึ้น ตลอดจนช่วยบรรเทาปัญหาด้านการขาดแคลนบุคลากรที่มีคุณสมบัติเหมาะสมสำหรับงานด้านการรักษาความปลอดภัยระบบไอที
อาวุธสำคัญ: การวิเคราะห์ทางไซเบอร์
การวิเคราะห์สามารถจัดเตรียมเครื่องมือและกระบวนการจำนวนมากได้ผ่านทางการวิเคราะห์ทางสถิติและการสร้างแบบจำลอง ซึ่งการวิเคราะห์ส่วนใหญ่สามารถปรับใช้กับการตรวจจับการฉ้อโกง การจัดการด้านการเงิน หรือทรัพยากรบุคคลได้
การวิเคราะห์ทางไซเบอร์จะช่วยรัฐบาลเพิ่มขีดความสามารถที่ครอบคลุมและมีประสิทธิภาพ ตลอดจนสามารถรับรู้สถานการณ์ที่เกี่ยวข้องกับความปลอดภัยของระบบ เครือข่าย และองค์กรของตนได้ ด้วยการติดตามตรวจสอบเหตุการณ์ต่างๆ เปิดเผยช่องโหว่ ภัยคุกคามและรูปแบบที่เกิดขึ้น การผสานรวมข้อมูลที่แตกต่างกันให้เป็นหนึ่งเดียวเพื่อค้นหารูปแบบและแนวโน้มที่เกิดขึ้น และการทำนายการโจมตีและภัยคุกคามอนาคตเพื่อให้หน่วยงานต่างๆ สามารถดำเนินมาตรการเชิงรุกสำหรับการปกป้องข้อมูลและเครือข่ายของตน
การวิเคราะห์ทางไซเบอร์สามารถช่วยหน่วยงานภาครัฐแก้ปัญหาสำคัญสูงสุดสองประการได้ นั่นคือ การประสานความร่วมมือด้านการรักษาความปลอดภัยสำหรับโลกไซเบอร์และการสร้างระบบการวัดที่สามารถใช้งานได้จริงเพื่อวัดประสิทธิภาพของความพยายามในการรักษาความปลอดภัยดังกล่าว
การวิเคราะห์ทางไซเบอร์สามารถดำเนินการโดย
ให้การติดตามตรวจสอบเกือบเรียลไทม์ที่สามารถสร้างการแจ้งเตือนการโจมตี ได้โดยอัตโนมัติในขณะที่ลดจำนวนผลบวกที่เป็นเท็จให้เหลือน้อยลง รวมถึง เชื่อมโยงความสัมพันธ์ และผสานข้อมูลจากอุปกรณ์ติดตามตรวจสอบเครือข่ายทั้งหมดและแหล่งอื่นๆ เพื่อให้การดูแลเครือข่ายและการรับรู้สถานการณ์มีประสิทธิภาพมากขึ้น
ตรวจหาและให้คะแนนระดับความร้ายแรงของการโจมตีที่อาจจะเกิดขึ้นก่อนที่จะเกิดขึ้นจริงเพื่อที่จะได้ให้การสนับสนุนป้องกันและเข้าแทรกแซงภัยคุกคามได้อย่างทันท่วงที
ให้ความสามารถในการรับรู้ความผิดปกติล่วงหน้าที่เกิดขึ้นภายในระบบการจราจรของเครือข่าย ตลอดจนเปิดเผยความสัมพันธ์ที่ซ่อนอยู่และรูปแบบของลักษณะการทำงานที่ช่วยระบุการโจมตีซึ่งแฝงตัวอยู่ในระบบเป็นระยะเวลายาวนานได้
การวิเคราะห์จะให้มุมมองที่ครอบคลุมในการเดินหมากทั้งขาวและดำได้ทั้งกระดาน มุมมองที่ครอบคลุมนี้ช่วยให้องค์กรภาครัฐสามารถปรับปรุงการทำงานร่วมกันในด้านการรักษาความปลอดภัยสำหรับโลกไซเบอร์ให้ดียิ่งขึ้น อีกทั้งยังสร้างระบบการวัดที่ให้ภาพที่ชัดเจนมากขึ้นสำหรับความพยายามดังกล่าว และสุดท้าย การวิเคราะห์จะช่วยให้รัฐบาลและองค์กรต่างๆ สามารถเข้าใจ ใช้ และปกป้องข้อมูลของตนได้ดีขึ้นไม่ว่าจะมีปริมาณ เงื่อนไข สถานะ หรืออยู่ในตำแหน่งที่ตั้งใดก็ตาม
บรรเทาความเสี่ยงด้านความปลอดภัย
เจ้าหน้าที่ที่ป้องกันโลกไซเบอร์ของรัฐไม่ต้องปฏิบัติตามกระบวนทัศน์ที่ล้าสมัยในการป้องกันและแก้ไข การอุดช่องโหว่และกำจัดภัยอันตรายต่างๆ อีกต่อไป พวกเขาสามารถใช้มุมมองกลยุทธ์เชิงรุกแทนการเฝ้าจับตาดูโลกไซเบอร์และทำการโต้ตอบกับภัยคุกคามและการโจมตีที่เกิดขึ้นในรูปแบบเดิม จะเห็นได้ว่าในปัจจุบันภัยคุกคามและการโจมตีกำลังขยายตัวอย่างรวดเร็วและมีความซับซ้อนมากขึ้น ที่สำคัญฝ่ายตรงข้ามมีความฉลาด ไหวพริบ และมีความคล่องตัวสูง ดังนั้นให้ลืมสคริปต์แบบง่ายๆ และแฮคเกอร์ที่ซ่อนตัวอยู่ในห้องใต้ดินไปได้เลย เพราะบ่อยครั้งที่ผู้โจมตีมักจะเป็นรัฐบาลต่างชาติ และ/หรือองค์กรอาชญากรข้ามชาติ
การใช้การวิเคราะห์เพื่อให้การรักษาความปลอดภัยสำหรับโลกไซเบอร์นั้น จะช่วยให้หน่วยงานภาครัฐสามารถคิดตรึกตรองและปฏิบัติการกลยุทธ์เชิงรุกเพื่อบรรเทาความเสี่ยงด้านความปลอดภัย และป้องกันข้อมูล ตลอดจนโครงสร้างพื้นฐานด้านไอทีของตนให้ปลอดภัยได้ เมื่อใช้การวิเคราะห์ ผู้จัดการด้านรักษาความปลอดภัยระบบไอทีจะกลายเป็นเป็นนักกลยุทธ์ที่สามารถกำหนดมาตรการสามหรือสี่อย่างล่วงหน้าเพื่อรับมือและจู่โจมภัยคุกคามที่กำลังจะเกิดขึ้นได้ กล่าวคือ เป็นการพลิกบทบาทจากการเดินตามเกมไปเป็นการรุกฆาตแทนนั่นเอง
เขียนโดย นายมาร์ค คาแกน เป็นที่ปรึกษา นักเขียน และนักวิเคราะห์ด้านกิจการต่างประเทศและการป้องกัน การรักษาความปลอดภัย และข่าวกรองในกรุงวอชิงตันดีซีเป็นระยะเวลายาวนาน โดยเขาเริ่มต้นสายอาชีพที่ต้องอาศัยความชำนาญการแขนงนี้จากการเป็นนักวิเคราะห์ด้านข่าวกรองกลาโหม ของสหรัฐอเมริกา