นักวิเคราะห์จาก ABI บริษัทวิจัยประมาณการว่าภายในปี 2021 จะมีงบใช้จ่ายของ Machine Learning ในด้านความมั่นคงปลอดภัยสูงถึง 96$ พันล้าน ซึ่งในตอนนี้บริษัทยักษ์ใหญ่ เช่น Google หรือ Amazon ก็ขยับตัวเข้ามาในเรื่องนี้อย่างจริงจัง เช่น เดียวกับผู้ผลิตอุปกรณ์ด้านความมั่นคงปลอดภัยระดับองค์กรต่างๆ ก็เริ่มใช้เทคโนโลยีนี้เข้ามาตรวจจับภัยคุกคามแทนที่การใช้ Signature-based แบบเดิมเพียงอย่างเดียว เราจึงขอสรุปกรณีศึกษาตัวอย่างการประยุกต์ใช้งาน Machine Learning กับความมั่นคงปลอดภัยในปัจจุบันมาให้ผู้อ่านได้เห็นภาพมากขึ้น
- ตรวจจับพฤติกรรมที่ไม่ประสงค์ดี
Machine Learning จะช่วยภาคธุรกิจตรวจจับกิจกรรมที่ไม่หวังดีเร็วยิ่งขึ้นและหยุดยั้งการโจมตีได้ก่อนที่มันจะเริ่ม David Palmer ผู้อำนวยการของ Darktrace (Startup แห่งนึงในสหราชอาณาจักร) กล่าวว่าบริษัทของตนเพิ่งได้ช่วยเหลือคาสิโนแห่งหนึ่งในอเมริกาเหนือโดยอัลกอริทึมของบริษัทได้ตรวจพบการโจมตีเพื่อพยายามนำข้อมูลออกไป นอกจากนี้ลูกค้าของตนไม่ได้รับผลกระทบจากเหตุการณ์ Wannacry ที่เกิดขึ้นเมื่อกลางปีเลยแม้ว่าบางรายไม่ได้มีแพตซ์เพื่อป้องกันก็ตาม
2. ช่วยสนับสนุนมนุษย์ในเรื่องความมั่นคงปลอดภัยสำหรับมือถือ
Google เองก็มีเทคโนโลยี Machine Learning เพื่อวิเคราะห์ภัยคุกคามบนมือถือเช่นกัน นอกจากนี้เมื่อเดือนตุลาคมที่ผ่านมาบริษัทอย่าง MobileIron บริษัทซอฟต์แวร์เพื่อบริหารจัดการมือถือระดับองค์กรและ Zimperium บริษัทที่พัฒนาซอฟต์แวร์ต่อต้านภัยคุกคามบนมือถือได้ร่วมกันพัฒนาโซลูชันเพื่อป้องกันมัลแวร์บนมือถือโดยการใช้เทคโนโลยี Machine Learning เพื่อตรวจจับอุปกรณ์ เครือข่าย ภัยคุกคามของแอปพลิเคชัน ให้สามารถตอบสนองกับเหตุการณ์และป้องกันข้อมูลของบริษัทได้อย่างอัตโนมัติ
- ช่วยสนับสนุนมนุษย์ในเรื่องการวิเคราะห์ภัยคุกคาม
ในปี 2016 MIT ได้พัฒนาแพลตฟอร์ม (AI2) ด้านความมั่นคงปลอดภัยที่ใช้ Machine Learning ช่วยตรวจสอบการล็อกอินหลายล้านครั้งต่อวันและส่งข้อมูลต่อไปให้นักวิเคราะห์ ผลปรากฏว่าสามารถลดการแจ้งเตือนได้กว่า 100 ครั้งต่อวัน โดยการทดสอบร่วมกันจาก MIT และ PatternEX (Startup แห่งนึง) พบว่าระบบมีความแม่นยำในการตรวจจับสูงถึง 85% และยังสามารถลด False Positive ลงไปถึง 5 เท่าอีกด้วย
- ช่วยงานด้านความมั่นคงปลอดภัยที่มีลักษณะซ้ำซากจำเจ
Palmer กล่าวว่าข้อดีของ Machine Learning ที่แท้จริงคือ “ลดการทำงานซ้ำซากจำเจ หรือกิจกรรมในการตัดสินใจบางอย่างที่มีคุณค่าไม่มากนัก เช่น การคัดแยกข้อมูลภัยคุกคามเป็นต้น” เพื่อให้เจ้าหน้าที่ไปดูแลงานอย่างอื่นที่มีความสำคัญมากกว่า
- ปิดช่องโหว่แบบ Zero-day
ทีมงานจากมหาวิทยาลัยรัฐ Arizona ได้ใช้ Machine Learning เพื่อติดตามข้อมูลใน Dark Web เพื่อระบุข้อมูลที่เชื่อมโยงไปยังช่องโหว่ที่เป็น Zero-day สิ่งนี้จะเป็นประโยชน์ต่อองค์กรเพื่อปิดช่องโหว่ก่อนจะนำไปสู่เหตุการณ์รั่วไหลของข้อมูล
- Machine Learning ไม่ได้ดีไปหมดทุกอย่าง มันยังคงมีสิ่งที่เรียกว่า False Positive (การแจ้งเตือนผิดพลาด) โดยนักวิเคราะห์บางคนถึงขนาดกล่าวว่ามันเป็นเหมือนโซลูชัน Black Box ที่ CISO ไม่ควรจะแน่ใจทั้งหมดกับสิ่งที่ซ่อนอยู่ภายใน คล้ายกับเอาความเชื่อถือและความรับผิดชอบฝากไว้กับเจ้าของผลิตภัณฑ์และ Machine
- มีความเห็นจาก Palmer ว่าโซลูชัน Machine Learning จากผู้ผลิตบางรายไม่ได้เป็นการ Learning จริง ซึ่งควรเรียนรู้ข้อมูลจากสภาพแวดล้อมลูกค้าแต่กลับใช้ข้อมูลจาก Cloud ของผู้ผลิตเองแล้วนำมาให้ลูกค้าใช้ ดังนั้นมันก็ไม่ต่างอะไรกับ Signatures Antivirus
- คุณภาพอัลกอริทึมขึ้นกับข้อมูลที่เรียนรู้ว่าสามารถป้อนข้อมูลที่เหมาะสมให้กับ Machine ได้หรือไม่ หากได้ข้อมูลคุณภาพต่ำไปผลลัพธ์ที่ออกมาย่อมไม่ดีเช่นกัน