TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
หลายคนคงเคยได้ยินเจ้าของผลิตภัณฑ์ Next-generation Endpoint Protection/Antivirus พูดถึงการนำปัญญาประดิษฐ์ (Artificial Intelligence) หรือเทคนิค Machine Learning มาใช้เพื่อตรวจจับภัยคุกคามหรือเหตุผิดปกติที่ไม่เคยพบเห็นมาก่อน ภายในงาน Black Hat Asia 2017 ที่เพิ่งจบไปนี้ Greg Singh, Director Pre-sales Engineering จาก Cylance ได้ออกมาเล่าถึงเทคนิคดังกล่าวเพื่อให้พวกเราได้เห็นภาพของ Machine Learning มากขึ้น
Singh กล่าวในงาน Black Hat Asia 2017 ว่ามัลแวร์ในปัจจุบันมีการพัฒนาให้ทวีความซับซ้อนและรุนแรงยิ่งขึ้นเรื่อยๆ ไม่ว่าจะเป็น Ransomware หรือ Advanced Persistent Threats (APTs) ซึ่งวิธีการป้องกันมัลแวร์แบบดั้งเดิมที่ใช้ Signature ไม่สามารถตรวจจับมัลแวร์สมัยใหม่ได้อย่างมีประสิทธิภาพเพียงพออีกต่อไป ต่อให้องค์กรผ่านมาตรฐานด้านความมั่นคงปลอดภัย องค์กรเหล่านั้นก็ยังคงตกอยู่ในความเสี่ยงอยู่ดี
Singh ได้ระบุถึงปัญหาและความเสี่ยงที่พบในการป้องกันมัลแวร์ยุคใหม่ ได้แก่
- การตกเป็นเหยื่อรายแรก: การป้องกันมัลแวร์แบบดั้งเดิมต้องอาศัยองค์ความรู้จากคนที่เคยถูกโจมตีมาก่อน แล้วมาสร้างเป็น Signature สำหรับตรวจจับ แต่มัลแวร์ยุคใหม่นิยมหลบซ่อนตนเองหรือเป็นมัลแวร์แบบ Zero-day ที่ไม่เคยพบมาก่อน กรณีนี้เป็นไปไม่ได้เลยที่การป้องกันมัลแวร์แบบดั้งเดิมจะตรวจจับและบล็อกมัลแวร์ได้
- จัดเก็บข้อมูลหลายที่: ระบบป้องกันมัลแวร์ในปัจจุบันนิยมเก็บข้อมูล Signature หลายที่ ทั้งแบบ Local บนอุปกรณ์ของผู้ใช้ และบนระบบ Cloud ความเสี่ยงที่ตามมาคือ จะทราบได้อย่างไรว่าควรใช้ Signature จากที่ไหน และถ้ามีปัญหาในการเข้าถึงที่เก็บข้อมูล Signature เหล่านั้นจะทำอย่างไร
- ตรรกะที่ใช้ยกระดับ: ปกติแล้วผลิตภัณฑ์ที่ใช้ป้องกันมัลแวร์จะเริ่มตรวจสอบ Signature บนอุปกรณ์ก่อน จากนั้นก็ไปตรวจบนระบบ Cloud และสุดท้ายคือใช้ Sandboxing การยกระดับการตรวจสอบนี้กระทำโดยอัตโนมัติ ผู้ใช้จะมั่นใจได้อย่างไรว่า การยกระดับการตรวจสอบแต่ละครั้งเป็นสิ่งที่จำเป็นต้องทำจริงๆ และไม่เป็นการสิ้นเปลืองเวลาและทรัพยากรโดยใช่เหตุ
Singh เชื่อว่าปัญหาและความเสี่ยงเหล่านี้สามารถแก้ไขได้โดยใช้ AI แต่ต้องภายใต้เงื่อนไขที่กำหนด ได้แก่
- เป็นอุปกรณ์หรือซอฟต์แวร์ขนาดเล็ก
- สามารถขยายคุณสมบัติและความสามารถได้ง่าย
- มีประสิทธิภาพในการดำเนินการ และก่อให้เกิดดีเลย์ต่ำ
- มีการอัปเดตไม่บ่อยมากนัก เช่น 6 เดือนครั้ง และไฟล์อัปเดตมีขนาดเล็กง
- ประสิทธิภาพสูง มีอัตราการตรวจจับที่องค์กรขนาดใหญ่สามารถยอมรับได้
Singh ได้บรรยายถึงเทคนิค Machine Learning ซึ่งใช้ในการพัฒนา AI โดยระบุว่า Machine Learning เป็นเทคนิคในการสกัดองค์ความรู้ (Intelligence) จากข้อมูลขนาดใหญ่ (Big Data) เพื่อใช้ในการตรวจจับมัลแวร์ที่ไม่เคยพบมาก่อน
“เป้าหมายของ AI คือการสร้างสติปัญญาแบบมนุษย์ เช่น เมื่อเราเห็นแมว เราทราบได้อย่างไรว่าสิ่งที่เห็นคือแมว เราอาจพิจารณาจากรูปร่าง หน้าตา ลักษณะ และองค์ประกอบต่างๆ มัลแวร์ก็เช่นกัน เมื่อเราเห็นไฟล์ เราจะทราบได้อย่างไรว่ามันเป็นมัลแวร์ เราก็ต้องพิจารณาจากคุณสมบัติของไฟล์นั้น นอกจากนี้ เราสามารถจับแมวใส่เสื้อผ้าปลอมตัวเป็นสัตว์ชนิดอื่นได้เช่นกัน กลายเป็นเทคนิคการหลบหลีก (Evasion Technique) ของมัลแวร์ที่แฮ็คเกอร์นิยมใช้” — Singh เปรียบเทียบการรู้จักมัลแวร์กับแมว
ที่สำคัญคือ AI จะเก่งหรือไม่เก่งนอกจากขึ้นอยู่กับอัลกอริธึมแล้ว ยังขึ้นกับปริมาณข้อมูลที่ใช้เรียนรู้อีกด้วย นอกจากนี้การแบ่งกลุ่มข้อมูล (Clustering) มีความสำคัญมากในการค้นหาความเหมือนของข้อมูล เพื่อแสดงแนวโน้มและข้อมูลรายละเอียดเชิงลึกอื่นๆ ยกตัวอย่างรูปด้านล่าง เครื่องหมายกากบาทคือมัลแวร์ การแบ่งกลุ่มข้อมูลช่วยให้ทราบได้ว่า จุดสีบริเวณข้างเคียงเครื่องหมายกากบาทเป็นมัลแวร์ชนิดเดียวกันแต่อาจะต่างสายพันธุ์กัน เป็นต้น เหล่านี้ช่วยให้ AI เกิดสติปัญญาในการที่จะสามารถมองเห็นไฟล์แล้วจำแนกได้ทันทีว่าเป็นไฟล์ปกติหรือมัลแวร์กันแน่
