SUSE by Ingram

Cyber Resilience แนวคิดสำหรับรับมือกับ Unknown Threats

ภัยคุกคามในปัจจุบันมีการพัฒนาและก้าวหน้ามากขึ้นเรื่อยๆ ภัยคุกคามที่ไม่เคยพบมาก่อน หรือที่เรียกว่า Unknown Threats / Zero-day Attacks เป็นสิ่งที่ปรากฏอยู่ในหัวข้อข่าวบ่อยๆ หลายบริษัทยักษ์ใหม่มักตกเป็นเหยื่อ ต้องเผชิญกับความสูญเสียมหาศาล คำถามคือ เราจะสามารถป้องกัน Unknown Threats หรือ Zero-day Attacks ได้อย่างไร

Unknown Threat การโจมตีที่ไม่มีทางป้องกันได้

คำตอบคือ … “แทบเป็นไปไม่ได้เลย” เนื่องจากการโจมตีเหล่านั้นเป็นสิ่งที่ไม่เคยพบเห็นมาก่อน ทำให้ไม่สามารถทำ Rule สำหรับป้องกันบน Firewall หรือใช้ Signature บน IPS / Endpoint Protection หนึ่งในวิธีป้องกันที่ดีที่สุดคงเป็น User Behaviour Analytics หรือ Machine Learning ที่เรียนรู้พฤติกรรมของการใช้งาน ถ้าพบเห็นสิ่งที่ผิดปกติก็ให้ทำการแจ้งเตือนหรือกักกันสิ่งเหล่านั้นออกจากระบบ อย่างไรก็ตาม ก็ใช่ว่าวิธีดังกล่าวจะตรวจจับและป้องกัน Unknown Threats ได้ 100% หรือได้ทันก่อนที่จะทำอันตรายระบบ

Credit: Brian Rinker
Credit: Brian Rinker

Cyber Resilience การรับมือภัยคุกคามไซเบอร์

Information Security Forum (ISF) หน่วยงานอิสระที่มุ่งเน้นการพัฒนามาตรฐาน คู่มือแนะนำ และ Best Practices เชิงเทคนิคทางด้านความมั่นคงปลอดภัยของข้อมูล ได้ทำการแบ่งภัยคุกคามและวิธีรับมือออกเป็น 3 ขั้น ได้แก่

  • ขั้นต้น Known CIA คือ ภัยคุกคามที่เป็นที่รู้จักที่ส่งผลกระทบต่อ CIA Triad ซึ่งประกอบด้วย Confidentiality, Integrity และ Availability การรับมือกับภัยคุกคามนี้เรียกว่า Information Security หรือความมั่นคงปลอดภัยข้อมูล
  • ขั้นกลาง Known non-CIA คือ ภัยคุกคามที่เป็นที่รู้จักที่ส่งผลกระทบต่อระบบอื่นนอกเหนือจาก CIA Triad เช่น Authentication, Authorization การรับมือกับภัยคุกคามนี้เรียกว่า Cyber Security หรือความมั่นคงปลอดภัยไซเบอร์
  • ขั้นสูง Unknown คือ ภัยคุกคามที่ไม่เคยพบมาก่อน ไม่สามารถทำนายได้ ไม่ชัดเจน หรือไม่คาดคิดมาก่อน เช่น การโจมตีแบบ Zero-day การรับมือกับภัยคุกคามนี้เรียกว่า Cyber Resillience

isf_cyber_security_model

Cyber Resilience ค่อนข้างต่างจาก Information Security และ Cyber Security ตรงที่ไม่ใช่แนวคิดเรื่องการป้องกันภัยคุกคามไม่ให้เกิดขึ้น แต่เป็นการมี “ความคงทน” หรือ “ความยืดหยุ่น” ต่อการถูกโจมตี กล่าวคือ เมื่อถูกโจมตี ระบบจะต้องให้บริการเชิงธุรกิจต่อไปได้ และต้องสามารถตรวจจับการโจมตีได้อย่างรวดเร็ว สามารถบล็อกการโจมตี กักกันเครื่องที่ตกเป็นเหยื่อไม่ให้แพร่กระจายการโจมตีหรือมัลแวร์สู่ระบบอื่นๆ และจัดการคลีนให้เรียบร้อย เพื่อให้ระบบกลับมาทำงานได้สมบูรณ์เป็นเหมือนเดิม

ปรับตัวจาก Protective Security ไปเป็น Responsive Security

กล่าวโดยสรุป Cyber Resilience คือ แนวทางในการเตรียมความพร้อมเพื่อตรวจจับ (Detect) และตอบสนอง (React) ต่อการถูกบุกรุกโจมตีได้อย่างรวดเร็วและมีระบบ องค์กรจำเป็นต้องปรับตัวจาก “การป้องกัน (Protective Security)” แบบดั้งเดิมที่ทำอยู่ในปัจจุบัน ไปเป็น “การเตรียมความพร้อม (Responsive Security)” ให้พร้อมรับมือต่อภัยคุกคามที่ไม่เคยพบเห็นมาก่อน

เดี๋ยวตอนถัดไปจะเขียนลงรายละเอียดเรื่อง Responsive Security นะครับ

ที่มา: Information Security Forum

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

DuckDuckGo ผู้ให้บริการ Search Engine ที่เน้นเรื่อง Privacy มีผู้ใช้งานต่อวันเกิน 100 ล้านครั้งแล้ว

DuckDuckGo ผู้ให้บริการระบบ Search Engine ที่มีการรักษาความเป็นส่วนตัวของผู้ใช้งานอย่างเข้มงวด ได้เผยถึงสถิติผู้ใช้งานทำการค้นหาข้อมูลต่อวันเกิน 100 ล้านครั้งแล้ว

นักวิจัยเสนอให้ใช้เกม Overcooked เป็นตัวชี้วัดประสิทธิภาพของระบบ Collaborative AI

ระบบ Deep Reinforcement Learning นั้นถือเป็นหนึ่งในระบบ AI หนึ่งที่มีประโยชน์มากโดยเฉพาะอย่างยิ่งในการนำไปประยุตก์ใช้งานร่วมกันหุ่นยนต์ อย่างไรก็ดี ระบบเหล่านี้มักมีปัญหาที่ไม่เคยพบมาก่อนและคาดไม่ถึงในขั้นตอนการพัฒนาเมื่อนำมาใช้งานจริง ทำให้เหล่านักวิจัยต้องมองหาแนวทางในการประเมินศักยภาพของระบบเหล่านี้ และได้เสนอให้ใช้เกม Overcooked เป็นตัวชี้วัดประสิทธิภาพนั่นเอง