นายวิทยา จันทร์เมฆา Network Security Architect แห่งฟอร์ติเน็ตได้กล่าวว่า "เราจะเห็นความก้าวหน้าในการใช้ทูลส์และบริการอาชญากรรมไซเบอร์ที่ใช้ประโยชน์จากระบบอัตโนมัติและเอไอมากยิ่งขึ้น องค์กรจึงจำเป็นต้องคิดทบทวนกลยุทธ์ของตนเพื่อให้สามารถคาดการณ์ถึงภัยคุกคามที่ดีขึ้น นอกจากนี้ องค์กรควรใช้ระบบอัตโนมัติและเอไอเพื่อลดโอกาสที่จะถูกบุกรุก เปลี่ยนจากการถูกคุกคามให้เป็นการตรวจจับภัย และจากการตรวจจับไปเป็นการควบคุมภัย ซึ่งสามารถทำได้โดยบูรณาการองค์ประกอบด้านความปลอดภัยทั้งหมดไว้ในเครือข่ายซีเคียวริตี้แฟบริคซึ่งจะสามารถแบ่งปันข้อมูลอัจฉริยะด้านความปลอดภัยแบบไดนามิก เพื่อการปกป้องที่ครอบคลุมครบถ้วนและเพื่อศักยภาพในการมองเห็นในทุกส่วนของเครือข่าย จากเครือข่ายไอโอทีไปจนถึงเครือข่ายมัลติคลาวด์"
ฟอร์ติเน็ต (NASDAQ: FTNT) ผู้นำระดับโลกด้านโซลูชันการรักษาความปลอดภัยแบบไซเบอร์แบบบูรณาการและแบบอัตโนมัติเปิดเผยถึงแนวโน้มภัยคุกคามในปีคศ. 2019 รวบรวมโดยทีมงานฟอร์ติการ์ดแล็บส์ (FortiGuard Labs) ซึ่งการคาดการณ์เหล่านี้แสดงให้เห็นถึงวิธีการและเทคนิคที่นักวิจัยคาดว่าจะเกิดขึ้นในอนาคตอันใกล้ พร้อมกับการเปลี่ยนแปลงในด้านกลยุทธ์ที่สำคัญซึ่งจะช่วยให้องค์กรสามารถป้องกันการโจมตีในอนาคตเหล่านี้ได้ หากท่านต้องการรายละเอียดเพิ่มเติมเกี่ยวกับการคาดการณ์ โปรดคลิกที่บล็อกนี้
การคุกคามจะฉลาดและซับซ้อนมากขึ้น
องค์กรอาชญากรรมจำนวนมากพิจารณาใช้เทคนิคการโจมตีไม่ใช่เพียงแต่ในแง่ของประสิทธิภาพของการโจมตีเท่านั้น แต่ยังพิจารณาถึงหนทางที่จะสร้างรายได้มากที่สุด รวมถึงต้นทุนที่จำเป็นในการพัฒนา ปรับเปลี่ยนและใช้งานเทคนิคนั้นอีกด้วย จึงเป็นผลทำให้อาชญากรรมหยุดใช้เทคนิคกลยุทธ์โจมตีหลายประเภท เนื่องจากยังไม่ตอบสนองต่อโมเดลทางการเงินที่อาชญากรไซเบอร์ใช้อยู่ นอกจากนี้ องค์กรอาชญากรรมจึงเปลี่ยนกลยุทธ์มาให้ความสำคัญแก่ทรัพยากรมนุษย์ กระบวนการและเทคโนโลยี จึงทำให้องค์กรอาชญากรรมกลับมาคิดทบทวนถึงมูลค่าทางการเงินของเป้าหมายที่ตนกำหนดไว้
ในขณะที่องค์กรต่างๆ กำลังนำเทคโนโลยีและกลยุทธ์ใหม่ๆ มาใช้งาน เช่น แมชชีนเลิร์นนิ่ง (Machine Learning) และระบบอัตโนมัติ (Automation) มาใช้ ซึ่งส่งผลกระทบให้อาชญากรไซเบอร์เปลี่ยนวิธีการโจมตีและเร่งพยายามพัฒนาตนเองให้เข้ากับแมชชีนเลิร์นนิ่งและระบบอัตโนมัติเช่นกัน ทั้งนี้ ฟอร์ติเน็ตคาดการณ์ว่าชุมชนอาชญากรรมไซเบอร์มีแนวโน้มที่จะใช้กลยุทธ์ดังต่อไปนี้ ซึ่งจะทำให้อุตสาหกรรมป้องกันภัยไซเบอร์ทั้งหลายจะต้องติดตามอย่างใกล้ชิดเช่นกัน:
การคาดการณ์ที่ 1: ในเรื่องการใช้ Artificial Intelligence Fuzzing (AIF) และช่องโหว่ (Vulnerabilities)
ฟัสซิ่ง (Fuzzing) เป็นเทคโนโลยีที่ใช้กันอย่างแพร่หลายในห้องทดลองโดยนักวิจัยผู้เชี่ยวชาญด้านภัยคุกคามเพื่อค้นหาช่องโหว่ในส่วนติดต่อกับฮาร์ดแวร์และซอฟต์แวร์และแอปพลิเคชัน โดยการป้อนค่าข้อมูลที่ไม่ถูกต้อง ไม่คาดคิดหรือกึ่งสุ่มเข้าไปยังฟังค์ชั่น อินเทอร์เฟซหรือโปรแกรมต่างๆ และดูตรวจสอบเหตุการณ์ เช่น การหยุดทำงาน การกระโดดข้ามไปที่ขั้นตอนการแก้ไขโปรแกรมโดยที่ไม่มีคำสั่ง การยืนยันรหัสโค้ดที่ผิดพลาด การรั่วไหลของหน่วยความจำที่อาจเกิดขึ้น และท้ายสุด จะแจ้งให้ผู้พัฒนาทำการแก้ไขข้อบกพร่อง ซึ่งในอดีตนั้น มีเพียงวิศวกรที่มีทักษะสูงจำนวนหนึ่งที่ทำงานในห้องปฏิบัติการเท่านั้นที่ใช้เทคนิคเหล่านี้
อย่างไรก็ตาม ต่อมา มีการใช้โมเดลแมชชีนเลิร์นนิ่งกับกระบวนการเหล่านี้ จึงทำให้เราคาดการณ์ว่าเทคนิคนี้ที่เรียกว่า AIF (Artificial Intelligence Fuzzing) จะเปลี่ยนไป คือ มีประสิทธิภาพมากขึ้น สามารถพัฒนาดัดแปลงให้ทำงานเฉพาะได้มากขึ้น และทำให้เหล่าผู้ที่มีความรู้ด้านเทคนิคน้อยกว่าสามารถใช้งานได้กว้างขวางมากขึ้น
ดังนั้น เมื่ออาชญากรไซเบอร์เองเริ่มใช้แมชชีนเลิร์นนิ่งมาพัฒนาโปรแกรมฟัสซิ่งที่ทำงานอย่างอัตโนมัติตลอดเวลา จะทำให้พวกเขาสามารถเร่งกระบวนการและพบช่องโหว่ใหม่ๆ ที่ยังไม่มีใครค้นพบมากก่อน ซึ่งเรียกกันว่า ภัยประเภทซีโร่ เดย์ (Zero-day attack) ได้เร็วขึ้น จำนวนการโจมตีแบบ Zero-day ที่กำหนดเป้าหมายไปยังโปรแกรมและแพลตฟอร์มต่างๆ จะเพิ่มมากขึ้น
การคาดการณ์ที่ 2: การทำเหมืองแบบ Zero-Day โดยใช้ AIF:
เมื่อมีเทคนิค AIF แล้ว อาชญากรไซเบอร์จะสามารถใช้ชี้ไปที่โค้ดภายในสภาพแวดล้อมที่มีการควบคุมเพื่อทำขุดเหมืองให้กับการโจมตีแบบ Zero-day Exploit (เอ็กซ์ปลอยท์ หมายถึง พฤติกรรมการใช้ประโยชน์จาก "จุดอ่อน" หรือ "ช่องโหว่" ในซอฟแวร์) ทำให้มีจำนวนภัย Zero-day Exploit สูงมากขึ้น เมื่อขั้นตอนนี้มีความคล่องตัวมากขึ้น จะเกิดบริการทำเหมืองแบบ Zero-day mining-a-service ที่สามารถการสร้างการโจมตีเฉพาะสำหรับเป้าหมายแต่ละรายได้ วิธีนี้จะเปลี่ยนวิธีการที่องค์กรต่างๆ รักษาความปลอดภัยเนื่องจากจะไม่มีทางใดที่จะคาดการณ์ได้ว่าจะเกิดภัย Zero-day ขึ้นที่ใดและไม่มีวิธีการการป้องกันอย่างเหมาะสมได้ ซึ่งเป็นเรื่องที่ท้าทายมาก โดยเฉพาะอย่างยิ่งในองค์กรในวันนี้ที่ใช้ทูลส์รักษาความปลอดภัยแบบดั้งเดิมที่แยกทำงานกัน
ในอดีตนั้น มูลค่าการโจมตีแบบ Zero-day ค่อนข้างสูงเนื่องจากต้องใช้เวลา ความพยายามและทักษะที่จำเป็นมากมายเพื่อที่ค้นพบช่องโหว่ แต่เนื่องจากมีการใช้เทคโนโลยีเอไอมาเป็นระยะเวลาหนึ่งแล้ว ทำให้การโจมตีแบบ Zero-day กลายเป็นสิ่งที่พบได้ง่ายมากขึ้น ทั้งนี้ เราเองได้เห็นการแพร่กระจายของเอ็กซ์ปลอยท์แบบดั้งเดิมมาแล้ว เช่น Ransomware และ Botnets ซึ่งเป็นแรงผลักดันให้โซลูชันด้านความปลอดภัยแบบเดิมๆ ทำงานเต็มขีดจำกัดของตนมาแล้วในช่วงนั้น ทั้งนี้ การเพิ่มจำนวนและความหลากหลายของช่องโหว่ที่มีอยู่และเอ็กซ์ปลอยท์ต่างๆ รวมถึงความสามารถในการสร้างการโจมตีแบบ Zero-day และการให้บริการ Zero-day exploit-a-service ทั้งหมดดังกล่าวจะมีผลต่อประเภทและอัตราค่าบริการในเว็บมืดสูงมากขึ้น
การคาดการณ์ที่ 3: เกี่ยวกับบริการ Swarm-as-a-Service:
การโจมตีที่ซับซ้อนมากมักจะใช้เทคโนโลยีอัจฉริยะที่ได้มาจากการทำงานแบบกลุ่มที่เรียกว่า Swarm-based intelligence technology เช่น Hivenets (กลุ่มภัยคุกคามทำงานรวมกันคล้ายรังผึ้ง) ซึ่งภัยคุกคามใหม่ๆ ที่เกิดขึ้นนี้จะถูกใช้เพื่อสร้างบอทอัจฉริยะที่มีขนาดใหญ่ซึ่งสามารถทำงานร่วมกันได้และเป็นอิสระ เครือข่ายเหล่านี้จะไม่เพียงกระตุ้นความจำเป็นให้องค์กรต้องยกระดับเทคโนโลยีในการปกป้องตนแล้ว ยังเหมือนกับการทำเหมืองแบบ Zero-day ที่ภัยรูปแบบนี้จะมีผลกระทบต่อโมเดลการทำธุรกิจของอาชญากรรมไซเบอร์ต่อไปในอนาคตอีกด้วย
ในขณะปัจจุบันนี้ ระบบนิเวศทางอาญากรรมใช้ทรัพยากรมนุษย์ทำงานเป็นจำนวนมาก สามารถเช่าแฮกเกอร์มืออาชีพบางรายในการสร้างเอ็กซ์ปลอยท์โดยจ่ายเป็นค่าธรรมเนียม หรือแม้กระทั่งให้สร้างความก้าวหน้าใหม่ๆ ในด้านการแฮก เช่น บริการ Ransomware-as-a-Service ที่ต้องใช้วิศวกรแฮกเกอร์ที่แตกต่างกันในงานแต่ละประเภท อาทิ ในการสร้าง และในการทดสอบเอ็กซ์ปลอยท์และในการจัดการเซิร์ฟเวอร์ Back-end C2 แต่เมื่อเกิดบริการ Swarms-as-a-Service ที่เป็นอิสระและฉลาดสามารถเรียนรู้ด้วยตนเอง จะทำให้ปริมาณการติดต่อกันโดยตรงระหว่างลูกค้าที่เป็นแฮ็กเกอร์และผู้ประกอบการให้บริการภัยแบล็คแฮทจะลดลงอย่างมาก
การคาดการณ์ที่ 4: เมนูตามสั่ง A - la – Carte Swarms:
การแยกแบ่งกลุ่ม (Swarm) หนึ่งออกเป็นงานย่อยๆ ที่แตกต่างกันเพื่อให้บรรลุผลที่ต้องการนั้นจะคล้ายกันกับที่องค์กรทั่วโลกก้าวไปใช้งานแบบเสมือนจริง (Virtualization) ซึ่งในเครือข่ายเสมือนจริงนั้น ทรัพยากรต่างๆ จะใช้งานอุปกรณ์เสมือนมากหรือน้อยจะขึ้นอยู่กับความจำเป็นในการแก้ไขปัญหาเฉพาะนั้น เช่น แบนด์วิธ และในทำนองเดียวกัน จะสามารถจัดสรรทรัพยากรในเครือข่ายแบบกลุ่ม Swarm ในการจัดการกับความท้าทายเฉพาะที่พบในกลุ่มการโจมตีในครั้งนั้นได้
Swarm เป็นกลุ่มพฤติกรรมของระบบแบบกระจายศูนย์ซึ่งถูกนำมาประยุกต์ใช้ในเอไอ และเมื่อรวมกลุ่ม Swarm ที่ผู้ประกอบธุรกิจอาชญากรได้ตั้งโปรแกรมล่วงหน้าไว้แล้ว เข้ากับทูลส์ด้านการวิเคราะห์และเอ็กซ์ปลอยท์ เข้ากับโปรโตคอลการเรียนรู้ได้ด้วยตนเองที่อนุญาตให้ทำงานเป็นกลุ่มที่ปรับแต่งโปรโตคอลที่ใช้การโจมตี จะทำให้การซื้อการโจมตีทางไซเบอร์ทำได้ง่ายเหมือนการเลือกจากเมนูอาหารตามสั่งเลยทีเดียว อาชญากรอาจเลือกซื้อ Swarm ได้หลายรูปแบบ อาทิ ใช้ Swarm ในการทำ AI Fuzzing เพื่อหาจุดอ่อน Zero-Day ใหม่ๆ หรือ ให้ Swarm ท่องไปในเครือข่าย หลบหลีกการตรวจจับและ/หรือเก็บข้อมูลพิเศษบางอย่าง หรือให้ Swarm เข้าไปควบคุมการใช้งานหรือทรัพยากรของเครือข่ายบางอย่าง เป็นต้น
การคาดการณ์ที่ 5: ภัยในแมชชีนเลิร์นนิ่ง:
แมชชีนเลิร์นนิ่งเป็นทูลส์ที่มีแนวโน้มว่าจะถูกใช้งานมากที่สุดทูลส์หนึ่ง ซึ่งระบบและอุปกรณ์รักษาความปลอดภัยสามารถได้รับการฝึกอบรมเพื่อดำเนินการเฉพาะอย่างเป็นอิสระได้ เช่น พฤติกรรมพื้นฐานการประยุกต์การวิเคราะห์พฤติกรรมในการระบุภัยคุกคามที่ซับซ้อน หรือการติดตามและแก้ไขอุปกรณ์ต่างๆ แต่น่าเสียดายที่อาชญากรในโลกไซเบอร์ได้ใช้ประโยชน์จากแมชชีนเลิร์นนิ่งด้วยเช่นกัน ทั้งนี้ อาชญากรไซเบอร์จะกำหนดเป้าหมายในกระบวนการเรียนรู้ของเครื่องคอมพิวเตอร์ และจะสามารถฝึกอุปกรณ์หรือระบบเพื่อไม่ใช้แพทช์หรืออัปเดตลงบนอุปกรณ์ที่ระบุเฉพาะได้ หรือให้อุปกรณ์มองข้ามแอพพลิเคชันหรือพฤติกรรมบางประเภทไป หรือไม่บันทึกทราฟฟิคบางประเภทเพื่อหลีกเลี่ยงการถูกตรวจพบ ทั้งหมดนี้มีผลกระทบสูงต่อวิวัฒนาการของเทคโนโลยีแมชชีนเลิร์นนิ่งและเอไอ
กระบวนการป้องกันภัยคุกคามจะซับซ้อนมากขึ้น
เพื่อต่อต้านการพัฒนาด้านมืดเหล่านี้ องค์กรจะต้องยกระดับขีดความสำคัญของอาชญากรไซเบอร์ ทั้งนี้ กลยุทธ์เชิงป้องกันต่อไปนี้จะทำให้องค์กรให้บริการอาชญากรรมไซเบอร์ เปลี่ยนยุทธวิธี แก้ไขการโจมตีของตน และพัฒนาวิธีใหม่ในการประเมินโอกาสในการคุกคามอีกด้วย
องค์กรควรรวมเทคนิคการหลอกลวงทั้งหลายเข้ากับกลยุทธ์ด้านความปลอดภัยขององค์กร เพื่อให้ได้เครือข่ายที่สร้างขึ้นจากข้อมูลที่เป็นเท็จ ซึ่งจะบังคับให้ผู้ประสงค์ร้ายตรวจสอบข้อมูลด้านภัยคุกคามอัจฉริยะ (Threat intelligence) ของตนตลอดเวลา จะใช้เวลาและทรัพยากรในการตรวจหาข้อมูลที่ผิดพลาดไม่เป็นความจริง (False positive) มากขึ้น และจะตรวจสอบว่าทรัพยากรเครือข่ายที่ตนเห็นนั้นถูกต้องมีจริง และเนื่องจากองค์กรสามารถพบการคุกคามบนทรัพยากรเครือข่ายที่ผิดพลาดนั้นได้ทันที และเรียกใช้มาตรการตอบโต้ได้โดยอัตโนมัติ จึงทำให้ผู้บุกรุกจะต้องเพิ่มความระมัดระวังมากขึ้น แม้แต่ในการใช้กลยุทธ์พื้นฐานมากขึ้น เช่น การตรวจสอบเครือข่าย
หนึ่งในวิธีที่ง่ายที่สุดสำหรับอาชญากรในโลกไซเบอร์ในการโจมตีที่มีอยู่และหลบเลี่ยงการตรวจพบคือ ใช้วิธีเปลี่ยนแปลงเพียงเล็กน้อยเท่านั้น เช่น การเปลี่ยนไอพีแอดเดรส ดังนั้น วิธีการที่มีประสิทธิภาพเพื่อให้ทันกับการเปลี่ยนแปลงดังกล่าวคือการแบ่งปันข้อมูลด้านภัยคุกคามอัจฉริยะ ร่วมกันอย่างแข็งขัน เนื่องจากข้อมูลด้านภัยคุกคามอัจฉริยะที่อัปเดตอย่างต่อเนื่องจะช่วยให้ผู้ขายอุปกรณ์ด้านความปลอดภัยและลูกค้าสามารถติดตามสถานการณ์ภัยคุกคามล่าสุดได้ทันท่วงที นอกจากนี้ การให้ความร่วมมือกันแบบเปิดและแบ่งปันกลยุทธ์ที่ผู้โจมตีใช้กัน ระหว่างองค์กรวิจัยด้านภัยคุกคาม พันธมิตรในอุตสาหกรรม ผู้ผลิตอุปกรณ์ด้านความปลอดภัย และหน่วยงานผู้มีอำนาจบังคับใช้กฎหมายจะช่วยลดเวลาในการตรวจจับภัยคุกคามใหม่ๆ ได้อย่างรวดเร็ว โดยการเปิดเผย
บทสรุป: ความเร็ว บูรณาการ และระบบอัตโนมัติเป็นพื้นฐานด้านความปลอดภัยไซเบอร์ที่สำคัญ
ไม่มียุทธศาสตร์การป้องกันในอนาคตที่เกี่ยวกับแมชชีนเลิร์นนิ่งและระบบที่ทำงานโดยอัตโนมัติโดยปราศจากวิธีในการรวบรวม กระบวนการ และจัดการกับข้อมูลภัยในรูปแบบบูรณาการเพื่อให้ได้การตอบสนองที่ชาญฉลาด ดังนั้น เพื่อต่อสู้กับความซับซ้อนที่เพิ่มขึ้นของภัยคุกคาม องค์กรจึงต้องรวมองค์ประกอบด้านความปลอดภัยทั้งหมดไว้ใน “เครือข่ายซีเคียวริตี้แฟบริค” เครือข่ายเพื่อความปลอดภัยในการค้นหาและตอบสนองต่อภัยคุกคามด้วยความเร็วและสามารถปรับได้ตลอดเวลา ทั้งนี้ จะมีการแบ่งปันข้อมูลอัจฉริยะด้านความปลอดภัยขั้นสูงและใช้ร่วมกันในองค์ประกอบด้านความปลอดภัยทั้งหมดบนเครือข่ายซีเคียวริตี้แฟบริคได้อย่างอัตโนมัติ จึงช่วยลดความจำเป็นในการตรวจจับและช่วยโต้ตอบภัยได้อย่างรวดเร็ว