TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ในงาน IBM ASEAN Connect 2017 ทาง IBM ได้ออกมาเปิดเผยถึงวิสัยทัศน์ทางด้านระบบ Security Operations Center (SOC) แห่งอนาคตที่จะเริ่มมีการนำ Cognitive Computing หรือ Artificial Intelligence (AI) ไปใช้งานกันอย่างเป็นสากล รวมถึง Cognitive Computing เองก็จะมีบทบาทสำคัญในเทคโนโลยีทางด้าน IT Security ด้วยกันหลายประการ ดังนี้
การวิเคราะห์หาความสัมพันธ์ของข้อมูลขนาดใหญ่ คืองานสำคัญทางด้าน IT Security
การวิเคราะห์หาความสัมพันธ์ของข้อมูลขนาดใหญ่ นอกจากจะเป็นสิ่งที่สามารถนำไปใช้คุณค่าเพิ่มเติมทางด้านธุรกิจได้อย่างมหาศาลแล้ว ทาง IBM ก็ยังมองว่าการนำแนวคิดนี้มาใช้ในเชิง IT Security ก็ถือเป็นประเด็นสำคัญ เพราะเมื่อระบบ IT เติบโตขึ้น, การโจมตีมีความซับซ้อนมากขึ้น การตรวจสอบเหตุการณ์และข้อมูลของสิ่งต่างๆ ที่เกิดขึ้นภายในระบบ IT นั้นก็ย่อมต้องเกี่ยวข้องกับข้อมูลขนาดที่ใหญ่ขึ้นตามไปด้วย และ Cognitive Computing ก็จะมาช่วยทำการวิเคราะห์ข้อมูลเหล่านี้เพื่อหาความสัมพันธ์ต่างๆ ที่เกิดขึ้นให้โดยอัตโนมัติ ด้วยการผสานข้อมูลทั้งภายในและภายนอกองค์กรเข้าด้วยกัน ลดภาระหน้าที่ของเหล่าผู้ดูแลระบบลงไปนั่นเอง
คำว่าการวิเคราะห์ข้อมูลในที่นี้ไม่ได้หมายถึงแต่เรื่องของการวิเคราะห์ในเชิงตรรกะอย่างเดียวเท่านั้น แต่อีกงานสำคัญที่จะเกิดขึ้นถัดจากนี้ก็คือการทำ Data Visualization ในเชิง IT Security เพื่อช่วยให้การติดตามและวิเคราะห์ปัญหาต่างๆ โดยมืออาชีพทางด้านความมั่นคงปลอดภัยสามารถทำงานได้อย่างง่ายดายยิ่งขึ้น
Cyber Analysis: ผสานเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นภายในองค์กร เข้ากับฐานข้อมูลอาชญากรไซเบอร์จากภายนอก
หลายๆ ครั้งการสืบสวนทางด้าน IT Security นั้นมักจบลงเพียงที่การทราบถึงวิธีการที่ผู้โจมตีใช้ และความเสียหายที่เกิดขึ้น เพื่อให้องค์กรสามารถป้องกันตัวเองไม่ให้เกิดการโจมตีซ้ำสอง และวางแผนรับมือกับกรณีข้อมูลรั่วไหลเพื่อจำกัดวงความเสียหายได้ แต่ในอีกมุมหนึ่งของ IBM นั้น การมุ่งเป้าเพื่อหาว่าการโจมตีครั้งใดน่าจะเกิดขึ้นจากอาชญากรคนไหนหรือกลุ่มใด รวมไปถึงมีความน่าจะเป็นว่าเป็นการโจมตีจากประเทศไหนก็ถือเป็นเรื่องที่จะละเลยไม่ได้ โดยเฉพาะอย่างยิ่งในการโจมตีขนาดใหญ่ที่สร้างความเสียหายได้อย่างร้ายแรง
IBM จึงได้ทำการผสานระบบ IBM QRadar ระบบ SIEM เรือธงของ IBM เข้ากับ IBM I2-EIA ระบบ Security Data Analytics & Visualization ที่จะนำข้อมูลจาก SIEM ภายในองค์กรไปทำการวิเคราะห์รวมกับฐานข้อมูลด้าน IT Security จากภายนอกองค์กร และสร้าง Data Visualization ในรูปแบบที่หลากหลายเพื่อเป็นประโยชน์ต่อการวิเคราะห์เหตุการณ์ในแต่ละครั้ง เช่น ตรวจสอบความสัมพันธ์ของเหตุการณ์ที่เกิดขึ้นต่างๆ ในการโจมตี, วิเคราะห์ว่าการโจมตีที่เกิดขึ้นนี้เพิ่งเกิดขึ้นที่ส่วนใดบนโลกนี้มาก่อนหน้าหรือไม่?, มีแนวโน้มว่าการโจมตีครั้งนี้จะเป็นแคมเปญของอาชญากรกลุ่มใด, อาชญากรกลุ่มเดียวกันเคยโจมตีใครไปบ้างด้วยวิธีการใด และอื่นๆ
ข้อมูลที่ IBM I2-EIA นำมาแสดงนี้จะสามารถทำการ Replay เพื่อให้เหล่าทีมงานทางด้าน IT Security สามารถทำความเข้าใจกับเหตุการณ์ที่เกิดขึ้นได้อย่างรวดเร็ว ในขณะที่การรู้ตัวคนร้ายก็อาจทำให้องค์กรเข้าใจวัตถุประสงค์ในการโจมตีและรูปแบบในการโจมตีมากยิ่งขึ้น เพื่อเตรียมพร้อมล่วงหน้าได้ว่าการโจมตีต่อเนื่องที่อาจเกิดขึ้นได้นั้นจะมาในรูปแบบใด
Sensor สำหรับตรวจจับด้านความปลอดภัยแบบใหม่ๆ จะเกิดขึ้นมาอย่างต่อเนื่องเพื่อตอบรับโลกของ Internet of Things (IoT)
การมาของ Internet of Things (IoT) นั้นทำให้ภาพของระบบเครือข่ายขององค์กรเปลี่ยนไปค่อนข้างมาก ทั้งในเชิงของสถาปัตยกรรมการออกแบบ, Topology, เทคโนโลยี ไปจนถึงความรุนแรงที่การโจมตีทางด้าน ITจะก่อให้เกิดได้ ในขณะที่การใช้งาน IoT นั้นก็มีรูปแบบที่หลากหลายมาก เหล่าผู้ผลิตทั่วโลกจึงกำลังเริ่มพัฒนาเทคโนโลยีใหม่ๆ สำหรับความปลอดภัยทางด้าน IoT โดยเฉพาะกันอย่างต่อเนื่อง
ในมุมของการตรวจจับการโจมตีจากข้อมูลระบบเครือข่ายนั้น เหล่าผู้ผลิตเองต่างก็เริ่มพัฒนา Sensor เพื่อตรวจสอบและวิเคราะห์ข้อมูลด้านความปลอดภัยเพิ่มเติมเพื่อให้รองรับเทคโนโลยีการเชื่อมต่อที่หลากหลาย รวมถึงพฤติกรรมเฉพาะของอุปกรณ์ IoT ที่มีข้อมูลในรูปแบบที่ค่อนข้างตายตัว แต่ก็มีปริมาณของข้อมูลที่มหาศาลมากจาก Sensor ที่มีจำนวนมากและกระจัดกระจาย ตัวอย่างเช่น ปัจจุบันเริ่มมีผู้พัฒนา Security Sensor สำหรับระบบ SCADA ที่ใช้ IoT กันโดยเฉพาะ เพื่อตรวจจับการโจมตีที่อาจเกิดขึ้นบนระบบ SCADA และต่อไปเราก็อาจเห็นเทคโนโลยีลักษณะเดียวกันนี้ที่ถูกออกแบบมาเฉพาะสำหรับ Connected Car, Drone, Smart Home, Smart Building และอื่นๆ อีกมากมายได้เช่นกัน
แน่นอนว่าข้อมูลจากระบบเหล่านี้ก็จะต้องถูกส่งต่อเพื่อนำไปจัดเก็บเข้ากับระบบ SIEM และทำการวิเคราะห์เพื่อแสดงผลในระบบ Security Operations Center (SOC) ต่อไปด้วยในอนาคต ซึ่งเมื่อถึงเวลานั้นเราก็จะต้องเผชิญกับข้อมูลด้านความปลอดภัยที่มี Pattern หลากหลาย และการโจมตีที่เข้ามาจากหลากหลายทิศทางมากยิ่งขึ้นกว่าแต่ก่อนพร้อมๆ กันนั่นเอง ในขณะเดียวกันระบบ AI หรือ Cognitive Computing ก็ต้องมีการเรียนรู้ Pattern การโจมตีรูปแบบใหม่ๆ บนช่องทางใหม่ๆ เหล่านี้เพิ่มเติมด้วย
Train AI ให้ทำ Incident Response: โครงสร้างพื้นฐานเป็นสิ่งจำเป็น
อีกแนวคิดหนึ่งที่จะเป็นอนาคตของวงการ Security ที่มี AI เข้าไปเกี่ยวข้อง ก็คือการ Train ระบบ AI ให้สามารถทำ Incident Response ได้โดยอัตโนมัติ ซึ่งองค์กรจะต้องจัดเตรียมข้อมูลเพื่อให้ AI ได้เรียนรู้ ไม่ว่าจะเป็นข้อมุลจากระบบ Log, Email หรือ Ticketing System เพื่อเรียนรู้ว่ากรณีใดร้ายแรงมากน้อยแค่ไหน เกี่ยวข้องกับระบบอะไร และต้องแก้ไขปัญหาอย่างไร เพื่อให้ท้ายที่สุดแล้วระบบ Incident Response นั้นมี AI เข้ามาช่วยรับมือกับปัญหาเบื้องต้น และทำให้เหล่าวิศวกรด้านระบบรักษาความปลอดภัยสามารถใช้เวลาเต็มที่กับปัญหาที่มีความซับซ้อนสูงกว่าได้
นอกจากนี้ถึงแม้จะเป็นปัญหาที่มีความซับซ้อนสูง AI ก็สามารถทำความเข้าใจกับปัญหา และทำการค้นหาข้อมูลที่เกี่ยวข้องมารอไว้ล่วงหน้าเพื่อให้เหล่าวิศวกรสามารถทำงานได้อย่างรวดเร็วยิ่งขึ้นและแม่นยำยิ่งขึ้นได้
