Amazon Web Services (AWS) ประกาศเพิ่มความสามารถใหม่ให้ Security Hub รองรับการดูแลความปลอดภัยบน Microsoft Azure พร้อมชุดเครื่องมือป้องกันภัยด้าน AI โดยตั้งเป้าให้บริการนี้เป็น control plane แบบ full-stack ที่ครอบคลุม infrastructure ข้าม Cloud หลายเจ้า

ทิศทางนี้สะท้อนมุมมองของ AWS ที่ว่าการรวบรวมข้อมูลแจ้งเตือน (findings) มาไว้บน dashboard เดียวไม่เพียงพออีกต่อไป เมื่อเทคนิคการโจมตีมีความเร็วและซับซ้อนมากขึ้น สิ่งที่ยากคือการทำความเข้าใจ เชื่อมโยง และตอบสนองต่อ findings เหล่านั้นให้ทันก่อนที่ผู้โจมตีจะลงมือ องค์กรที่ได้เปรียบจึงเป็นองค์กรที่มองเห็นภาพความเสี่ยงทั่วทั้งระบบและตอบสนองได้รวดเร็ว ไม่ใช่องค์กรที่มี dashboard มากที่สุด
ความสามารถ multicloud สำหรับ Microsoft Azure เปิดให้ลูกค้า AWS ทุกรายใช้งานได้อย่างเป็นทางการ (GA) ตั้งแต่วันนี้ โดย Security Hub สามารถค้นหาและตรวจสอบ resources บน Azure ได้โดยตรง ไม่ว่าจะเป็น Virtual Machine, Container, Function App และ user identity จากนั้นจะประเมินหาภัยคุกคามอย่างการตั้งค่าผิดพลาด (misconfiguration) ช่องโหว่ของซอฟต์แวร์ และการเปิดสู่อินเทอร์เน็ต โดยอ้างอิงการตรวจสอบ posture ตามมาตรฐาน CIS Azure Foundations Benchmark ทั้งนี้ findings จาก Azure จะถูกจัดลำดับความสำคัญเคียงข้าง findings ของ AWS ในรูปแบบเดียวกัน ใช้ automation และ response workflow ชุดเดียวกัน ทำให้ทีมงานทำงานบนมุมมองความเสี่ยงเดียว แทนที่จะต้องมานั่งเทียบข้อมูลจากหลายระบบ
นอกจากนี้ AWS ยังเพิ่มการป้องกันด้าน AI ให้ Amazon GuardDuty เพื่อรับมือกับภัยรูปแบบใหม่ที่เรียกว่า “cost harvesting” ซึ่งเป็นการที่ผู้โจมตีขโมย credential ของผู้ใช้งานไปเรียกใช้ foundation model ราคาแพงโดยให้เหยื่อเป็นผู้แบกรับค่าใช้จ่าย เพราะการทำ inference มีต้นทุนสูงและมีความต้องการมาก การเข้าถึงที่ถูกขโมยจึงถูกแปลงเป็นมูลค่าได้ทันทีโดยไม่ต้องตั้ง infrastructure ใดๆ ความสามารถใหม่นี้ (GA แล้ววันนี้ พร้อมทดลองใช้ฟรี 30 วัน) ทำงานโดยวิเคราะห์ CloudTrail data event เพื่อมองหาการเรียกใช้ model ที่ผิดปกติบน Amazon Bedrock และ Amazon SageMaker ที่อาจเป็นสัญญาณของการโจมตี นอกจากนี้ GuardDuty ยังได้ความสามารถที่สองคือ AI-powered investigations ซึ่งออกแบบมาแก้ปัญหา alert fatigue ที่ทีมความปลอดภัยเผชิญมากขึ้นเรื่อยๆ โดยใช้ AI agent ทำการสืบสวนแบบอัตโนมัติ วิเคราะห์บริบทของ findings และคัดกรองว่าการแจ้งเตือนใดเป็นภัยคุกคามจริง แต่ละการสืบสวนจะให้ผลประเมิน (disposition assessment) พร้อมคะแนนความเชื่อมั่น การจัดหมวดตาม MITRE ATT&CK หลักฐานประกอบ และคำแนะนำที่ชัดเจนว่าควร suppress, contain หรือ remediate โดยปัจจุบันเปิดให้ใช้งานในระยะ preview
อีกหนึ่งความสามารถที่น่าสนใจคือ Security Hub AI Inventory ที่ช่วยให้องค์กรมองเห็น AI asset ทั้งหมดของตน เพราะองค์กรไม่สามารถปกป้อง asset ที่ตนไม่รู้ว่ามีอยู่ได้ ระบบนี้จะค้นหา asset โดยอัตโนมัติ ติดตามบริการที่ AWS จัดการให้อย่าง Bedrock และ SageMaker ผ่าน AWS Config อีกทั้งยังระบุ model แบบ self-hosted และ 3rd-party ที่รันอยู่บน Amazon EC2, ECS และ EKS ผ่านการวิเคราะห์ runtime แล้ว map เข้ากับ infrastructure ที่รองรับได้โดยตรง ความสามารถนี้เปิดใช้งาน GA แล้ววันนี้โดยไม่มีค่าใช้จ่ายเพิ่มเติม
สุดท้าย AWS ประกาศขยาย ecosystem ของ Security Hub Extended ให้ครอบคลุมพันธมิตรที่คัดสรรแล้ว 21 ระบบ โดยใช้มาตรฐาน Open Cybersecurity Schema Framework (OCSF) สร้างชั้น integration ที่เปิดให้เครื่องมือจาก 3rd-party อย่าง Zscaler, Splunk และ CrowdStrike แลกเปลี่ยนข้อมูลความปลอดภัยและ map เส้นทางการโจมตี (attack path) แบบเรียลไทม์ ทั้งหมดนี้สะท้อนแนวคิดใหม่ของ AWS ที่เน้นความเป็นเอกภาพในการดำเนินงาน (operational unity) สำหรับสภาพแวดล้อม multicloud ซึ่งสอดคล้องกับความจริงที่ว่าองค์กรส่วนใหญ่ในปัจจุบันใช้ Cloud มากกว่าหนึ่งเจ้า
TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย







