5 Use Cases การป้องกันภัยคุกคามไซเบอร์อย่างชาญฉลาดด้วย AI และ Machine Learning ของ Fortinet

ภายในงาน Cyber Defense Initiative Conference (CDIC) ครั้งที่ 18 ประจำปี 2019 ที่เพิ่งจบไป ดร. รัฐิติ์พงษ์ พุทธเจริญ Senior Manager, System Engineering จาก Fortinet Thailand ได้ออกมาแนะนำ 5 Use Cases การนำเทคโนโลยี AI และ Machine Learning เข้ามาผสานกับโซลูชันของ Fortinet ไม่ว่าจะเป็น Anti-malware, Web Filtering, Web App Security, UEBA หรือ Sandbox เพื่อยกระดับการตรวจจับและป้องกันภัยคุกคามไซเบอร์

วิวัฒนาการของการตรวจจับมัลแวร์

ดร. รัฐิติ์พงษ์ ได้แบ่งวิวัฒนาการของการตรวจจับมัลแวร์ออกเป็น 3 ยุคใหญ่ๆ ยุคแรก คือ Signature-based ซึ่งใช้การวิเคราะห์แบบ Static Analysis และต้องทราบรูปแบบ (Signature) ของมัลแวร์นั้นๆ ก่อนถึงจะตรวจจับได้ ส่งผลให้ไม่สามารถตรวจจับการโจมตีที่ไม่เคยพบมาก่อน (Unknown) หรือการโจมตีแบบ Zero-day ได้

ถัดมาในยุคที่ 2 คือ Behavioral Analysis ซึ่งใช้เทคนิค Dynamic Emulation หรือก็คือตรวจจับจากการวิเคราะห์พฤติกรรรมของมัลแวร์โดยไม่ต้องอาศัย Signature ช่วยให้สามารถตรวจจับการโจมตีที่ไม่เคยพบมาก่อนและ Zero-day ได้ อย่างไรก็ตาม วิธีการนี้ยังมีข้อจำกัดตรงที่พฤติกรรมของมัลแวร์บนแต่ละโฮสต์อาจแตกต่างกัน และต้องรอการวิเคราะห์พฤติกรรมชั่วเวลาหนึ่ง ไม่สามารถป้องกันได้แบบเรียลไทม์

ยุคที่ 3 หรือยุคปัจจุบัน เป็นยุคที่มีการนำเทคโนโลยี AI และ Machine Leaning เข้ามาช่วยคัดแยกมัลแวร์ออกจากไฟล์ปกติ ผ่านเทคนิคการสอนและโมเดลการเรียนรู้รูปแบบต่างๆ ช่วยให้สามารถวิเคราะห์การโจมตีที่ไม่เคยพบมาก่อนและ Zero-day ได้แบบเรียลไทม์ และดำเนินการตอบสนองได้อย่างอัตโนมัติ

ยกระดับการตรวจจับด้วย Neural Networks

Fortinet เป็นหนึ่งในผู้ให้บริการด้านความมั่นคงปลอดภัยที่นำเทคโนโลยี AI และ Machine Learning เข้ามาช่วยเพิ่มขีดความสามารถในการตรวจจับภัยคุกคามไซเบอร์ โดยเลือกใช้เทคนิค Neural Networks ซึ่งเป็นการเรียนรู้และคิดวิเคราะห์ที่อาศัยการจำลองการทำงานของสมองมนุษย์ หนึ่งในนั้นคือการรับข้อมูลเข้ามา แล้วรับรู้ว่าข้อมูลนั้นคืออะไร จากนั้นก็ทำการจดจำและเรียนรู้ในการรับรู้สิ่งที่คล้ายๆ กัน เช่น เริ่มแรก Machine ไม่รู้จักส้ม แต่เมื่อเราสอนให้ Machine รู้ว่านี่คือส้มจากการให้ดูรูปส้มหลายๆ รูป หลายๆ ประเภท Machine ก็จะทราบว่าสิ่งที่เรียกว่าส้มต้องมีคุณลักษณะสีส้ม ผลกลม เมื่อ Machine เห็นส้มรูปอื่นๆ ที่ไม่เคยเห็นมาก่อน หรืออาจเป็นพันธุ์อื่น ก็จะจำแนกได้ว่า สิ่งที่เห็นคือส้มตามที่ได้เรียนรู้ไว้

เช่นเดียวกัน ยิ่งให้ Machine เรียนรู้มัลแวร์หลากหลายประเภท หลากหลายรูปแบบมากเท่าไหร่ ก็ยิ่งทำให้ Machine รู้จักมัลแวร์มากขึ้นเท่านั้น แม้จะเจอมัลแวร์ที่ไม่เคยพบมาก่อน ก็สามารถพิจารณาจากคุณสมบัติแล้วจำแนกว่าเป็นมัลแวร์ออกจากไฟล์ปกติได้ สำหรับโมเดลที่ใช้เรียนรู้นั้น Fortinet เลือกนำทั้ง 3 โมเดล ได้แก่ Supervised, Unsupervised และ Reinforcement Learning มาใช้ในบริการตรวจจับภัยคุกคามของตน

เพื่อให้การสร้างโมเดล Machine Learning มีความแม่นยำ ปริมาณข้อมูลที่ให้ Machine Learning เรียนรู้จึงเป็นสิ่งสำคัญ ด้วยการที่ Fortinet ครองอันดับ 1 เจ้าของผลิตภัณฑ์ที่ส่งมอบอุปกรณ์ไปยังลูกค้ากว่า 500,000 รายทั่วโลก ทำให้ Fortinet สามารถเก็บข้อมูลจาก Sensors และไฟล์ต้องสงสัยจากอุปกรณ์ของตนได้มากถึง 100,000 ล้านรายการต่อวัน ข้อมูลเหล่านี้จะถูกส่งไปยัง FortiGuard Threat Intelligence Cloud เพื่อวิเคราะห์ว่าเป็นมัลแวร์หรือไม่ จากนั้นส่งข้อมูลต่อให้ Machine Learning เรียนรู้ถึงคุณลักษณะที่ทำให้เป็นมัลแวร์ เมื่อเรียนรู้มากขึ้น Machine Learning ก็จะสามารถตัดสินใจได้ด้วยตัวเองว่า ไฟล์ไหนเป็นไฟล์ปกติ และไฟล์ไหนมีมัลแวร์แฝงตัวอยู่

5 Use Cases การใช้ Machine Learning ป้องกันภัยคุกคามไซเบอร์อย่างชาญฉลาด

ดร. รัฐิติ์พงษ์ ได้ยกตัวอย่างการนำ Machine Learning เข้ามาผสานรวมกับโซลูชันของ Fortinet เพื่อยกระดับขีดความสามารถในการตรวจจับภัยคุกคามไซเบอร์ โดยแบ่งออกเป็น 5 Use Cases ที่น่าสนใจ ดังนี้

1. Anti-malware

ใช้ Neural Network ในการสร้างโมเดลสำหรับเรียนรู้คุณลักษณะของมัลแวร์ดังที่กล่าวไปก่อนหน้านี้ Fortinet รวบรวมข้อมูลมัลแวร์จาก FortiGuard Labs แล้วส่งต่อไปให้ Machine Learning เรียนรู้ถึงคุณลักษณะที่บ่งชี้ว่า ถ้าเจอไฟล์รูปแบบนี้ หน้าตาแบบนี้ มีฟีเจอร์แบบนี้ จะเป็นมัลแวร์ ด้วยวิธีนี้จะทำให้ Anti-malware ของ Fortinet สามารถตรวจจับมัลแวร์ตระกูลเดียวกันแต่คนละ Variant หรือมัลแวร์ชนิดใหม่แต่ใช้เทคนิคเดิมของมัลแวร์อื่นได้นอกเหนือจากการใช้ Signature เพียงอย่างเดียว

2. Web Filtering

Fortinet เริ่มใช้ Machine Learning และ AI-based DNS บน Web Filtering มาตั้งแต่ปี 2011 เพื่อคำนวณค่า “ความน่าเป็น” ของเว็บว่า เว็บที่ตรวจสอบเป็นเว็บที่อันตราย อยู่ภายใต้การควบคุมของแฮ็กเกอร์ หรือมีชื่อเสียง (Reputation) ในทางที่ไม่ดีหรือไม่ ถ้าพบว่าเป็นเว็บที่มีความเสี่ยงสูงก็จะบล็อกไม่ให้ผู้ใช้เข้าถึงเว็บนั้นๆ

3. Web App Security

Fortinet เป็นผู้ให้บริการเพียงรายเดียวที่ใช้ Machine Learning ถึง 2 ชั้นในการปกป้อง Web App จากภัยคุกคามไซเบอร์ โดยชั้นแรกจะทำหน้าที่เรียนรู้ลักษณะของทราฟฟิกที่วิ่งเข้าสู่ Web App เช่น ประเภทและความยาวของพารามิเตอร์ มาสร้างเป็นโปรไฟล์เก็บไว้ เมื่อมีการร้องขอเข้ามา ก็จะทำการเปรียบเทียบลักษณะของทราฟฟิกว่าตรงกับโปรไฟล์ที่ได้เรียนรู้ไว้หรือไม่ ถ้าไม่ ก็ต้องสงสัยไว้ว่าเป็น “ทราฟฟิกที่ผิดปกติ” แต่อาจจะยังไม่ใช่การโจมตี หลังจากนั้น ชั้นที่ 2 จะเข้ามาตรวจสอบคุณลักษณะหรือรูปแบบของ “ทราฟฟิกที่ผิดปกติ” เหล่านั้นต่อว่าสอดคล้องกับมัลแวร์หรือการโจมตีหรือไม่ ถ้าใช่ก็จะทำการบล็อกทราฟฟิกไม่ให้เข้าถึง Web App ทันที

4. UEBA

หนึ่งในเทคนิคสำคัญในการตรวจจับการโจมตีไซเบอร์แบบ Proactive คือการตรวจสอบพฤติกรรมของผู้ใช้ Fortinet ได้ทำการสอน Machine Learning ให้ทราบตั้งแต่แรกแล้วว่า พฤติกรรมที่ไม่ดีของมนุษย์บนโลกไซเบอร์มีอะไรบ้าง เช่น เข้าถึงไฟล์ของฝ่ายการเงินหรือฝ่ายบุคคลตอนกลางคืน มีการดาวน์โหลดไฟล์จำนวนมากจากพนักงานที่กำลังจะลาออก เป็นต้น ซึ่ง Fortinet จะคอยติดตามการกระทำของพนักงานในองค์กรผ่านทาง Agent ที่ติดตั้งบนเครื่อง ถ้าพบการกระทำไม่เหมาะสมที่ตรงกับที่ Machine Learning ได้เรียนรู้ไว้ ก็จะแจ้งเตือนให้ทราบทันทีว่าพฤติกรรมของพนักงานคนดังกล่าวมีความเสี่ยง ควรดำเนินการรับมือโดยเร็ว เรียกเทคนิคการตรวจสอบพฤติกรรมของผู้ใช้นี้ว่า User Entity & Behavior Analytics (UEBA)

5. Sandbox

Sandbox เป็นเทคนิคการวิเคราะห์ภัยคุกคามระดับสูงสำหรับตรวจจับการโจมตีแบบ Zero-day อย่างไรก็ตาม เทคนิคนี้จำเป็นต้องใช้เวลาในการตรวจสอบและวิเคราะห์ ทำให้ไม่สามารถป้องกันการโจมตีได้แบบเรียลไทม์ Fortinet จึงได้นำ Machine Learning เข้ามาช่วยพิจารณาคุณลักษณะหรือฟีเจอร์ของไฟล์ที่ตรวจสอบใน Sandbox ด้วย เนื่องจากถึงจะเป็นการโจมตีแบบ Zero-day แต่ก็เป็นไปได้ที่จะใช้เทคนิคเก่าๆ หรือฟีเจอร์ของมัลแวร์อื่นก็เป็นได้ การผสาน Machine Learning เข้าไปใน Sandbox นี้ นอกจากจะช่วยเพิ่มประสิทธิภาพในการตรวจจับได้ถึง 20% แล้ว ยังช่วยให้สามารถป้องกัน Zero-day บางประเภทได้แบบเรียลไทม์อีกด้วย

เกี่ยวกับ Fortinet

Fortinet ก่อตั้งขึ้นเมื่อปี 2000 เป็นผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยสมรรถนะสูงภายใต้คอนเซ็ปต์ “Broad”, “Integrated” และ “Automated” โดยมีการรักษาความมั่นคงปลอดภัยครอบคลุมทั้ง Network Operations, Security Operations, Multi-cloud Security, Application Security, Endpoint Protection และ Zero-day Threat Protection พร้อมทั้งสามารถผสานการทำงานร่วมกับแพลตฟอร์มอื่นหรือโซลูชันของ 3rd Parties ได้อย่าไร้รอยต่อ ที่สำคัญคือสามารถบริหารจัดการได้แบบรวมศูนย์และดำเนินการด้านความมั่นคงปลอดภัยได้โดยอัตโนมัติ ลดภาระของผู้ดูแลระบบและช่วยให้องค์กรสามารถโฟกัสกับการดำเนินธุรกิจได้อย่างเต็มที่

ปัจจุบันนี้มี Fortinet มีพนักงานกว่า 6,000 คน และลูกค้ากว่า 500,000 รายกระจายอยู่ทุกภูมิภาคทั่วโลก และมียอดขายสูงถึง 68,000 ล้านบาทในปี 2018 มากกว่าปีก่อนหน้านี้ถึง 20% นอกจากนี้ Fortinet ยังเป็นผลิตภัณฑ์ด้านความมั่นคงปลอดภัยอันดับ 1 ที่มีปริมาณการสั่งซื้อมากที่สุดตลอด 6 ปีที่ผ่าน แสดงให้เห็นถึงการเติบโตอย่างต่อเนื่องของ Fortinet ที่ปัจจุบันนี้มีโซลูชันครอบคลุมทั้ง Edge, Cloud, Core และ OT

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

NetApp เปิดทดสอบบริการ Backup สำหรับ Google Cloud NetApp Flex service level

NetApp ได้เพิ่มความสามารถ Backup สำหรับกลุ่มผู้ใช้ Google Cloud NetApp ในบริการแบบ Flex

Acronis เปิดตัว Agentless Backup สำหรับ Nutanix AHV

Acronis ได้นำเสนอการสำรองข้อมูลในระบบ Nutanix AHV ได้โดยไม่ต้องมี Agent ติดตั้งแต่ละ Client แค่มี Virtual Appliance ใน AHV Cluster เท่านั้น