ประเด็นของ AI ในรอบปีที่ผ่านมาได้สร้างแรงกระเพื่อมให้โลกจนเป็นที่รับรู้กันได้อย่างไม่เคยมีมาก่อน โดยเฉพาะ Generative AI อย่าง ChatGPT ที่ได้กลายเป็นข้อถกเถียงในด้านของความอันตราย ตลอดจนประโยชน์ที่พิสูจน์ได้แก่การประกอบอาชีพด้านต่างๆ
ด้วยเหตุนี้เองในธีมของงานประจำปีของ M.Tech Security Exchange 2023 วันที่ 6 เดือน 7 ในปีนี้ จึงมาพร้อมกับหัวข้อ Cybersecurity และ AI ทั้งนี้ยังเป็นการครบรอบ 20 ปีของ M.Tech อีกด้วย ทีมงาน TechTalkThai จึงขอรวบรวมประเด็นสำคัญที่เกิดขึ้นในงานครั้งนี้มาให้ได้ติดตามกันครับ
“ภัยคุกคามทางไซเบอร์ได้ทวีความซับซ้อนมากขึ้น ที่กลายเป็นภัยกับทุกอุตสาหกรรมอย่างไม่ละเว้น สืบเนื่องจากความหลากหลายทางการปฏิบัติงานขององค์กรเองด้วยเช่น คลาวด์ แอปพลิเคชัน การทำงานจากทุกหนแห่ง และสิ่งที่มีอยู่เดิม คำถามคือเราจะมั่นใจได้อย่างไรว่าโครงสร้างพื้นฐานของเรานั้นพร้อมรับมือกับการโจมตี อีกทั้งเครื่องมือที่นำเข้ามาสามารถทำงานร่วมกันได้แค่ไหน นั่นคือประเด็นสำคัญแรกในสถานการณ์ปัจจุบัน” คุณกฤษณา เขมากรณ์ ผู้จัดการประจำประเทศไทย, บริษัท เอ็ม-โซลูชั่นส์ เทคโนโลยี (ประเทศไทย) จำกัด กล่าวเปิดงาน
นอกจากนี้เองประเด็นที่น่าสนใจไม่แพ้กันก็คือการที่แฮ็กเกอร์ได้ติดอาวุธคลังแสงของตนด้วยความสามารถของ AI ทำให้การประดิษฐ์กลเม็ดและวิธีการหลอกล่อเหยื่อเป็นเรื่องง่ายขึ้น เช่นกันกับกลไกการโจมตีที่ถูกจับได้ยากขึ้น ด้วยเหตุนี้เองฝ่ายป้องกันขององค์กรก็จำเป็นต้องประยุกต์ใช้ AI เข้ามาเพิ่มศักยภาพของเราด้วยเช่นกัน แต่คำถามคือแล้วจะทำอย่างไร?
ทั้งนี้ไม่ว่าสถานการณ์จะมุ่งหน้าไปในทิศทางใด สิ่งหนึ่งที่ยังคงเป็นแนวทางปฏิบัติในการป้องกันได้เสมอก็คือ Zero Trust ที่คุณกฤษณา ได้เน้นย้ำกับผู้ฟังทุกท่านมาตั้งแต่งานปีก่อนแล้ว โดยประกอบไปด้วยสาระสำคัญ 5 ข้อคือ Identity, Network Security, Endpoint Security, Application Security และ Data Security นั่นเอง
ยอมรับกับหนี้จากเทคโนโลยีและบทบาทของ AI ในปัจจุบัน
“เมื่อเราไม่พร้อม และไม่เคยจ่ายหนี้ทางเทคโนโลยี เราจึงถูกเช็คบิล” — พล.อ.ต. อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) กล่าว
พล.อ.ต. อมร ชมเชย ได้เริ่มเปิดการบรรยายให้ทุกท่านได้หวนกลับมาคิดถึงหนี้ทางเทคโนโลยี (Technology Debt) โดยจากประสบการณ์ในหน่วยงานราชการหลาย 10 ปีต้องยอมรับความจริงว่าหลังจากที่มีคำสั่งให้เกิดการนำเทคโนโลยีอินเทอร์เน็ตเข้ามาใช้งาน หนี้ทางเทคโนโลยีก็ได้เริ่มต้นขึ้นแล้ว เช่น สถานการณ์ที่ผู้ดูแลไม่เพียงพอทำให้แพตช์ไม่ทัน เมื่อคนเดิมลาออกคนใหม่ก็มาสานต่อได้อย่างตะกุกตะกัก บุคคลากรอาจยังไม่พร้อมที่จะใช้งานอย่างระมัดระวัง เป็นต้น ปัญหาที่ซ่อนอยู่เหล่านี้ได้สั่งสมจนก่อตัวเป็นเหตุการณ์ถูกโจมตีทางไซเบอร์ในหน่วยงานราชการต่างๆ เช่นกันทุกธุรกิจต้องคำนึงถึงหนี้ทางเทคโนโลยีอย่างรอบคอบถึงความเสี่ยงที่ตามมา ไม่ใช่เพียงแค่มองแต่ประโยชน์ที่จะได้รับเท่านนั้น ซึ่งหลังจากเกิดการตระหนักรู้แล้วแผนการป้องกัน ฝึกซ้อม และอบรม จึงจะเกิดขึ้นได้อย่างมีจุดมุ่งหมายและสอดคล้องกับบริบทขององค์กร มิเช่นนั้นท่านก็จะถูกเช็คบิลโดยภัยต่างๆ เช่น แรนซัมแวร์เป็นต้น
AI กำลังทำให้เกิดกระแสที่ถกเถียงในหลายมุมมอง แต่ในทางความมั่นคงปลอดภัย AI ได้มาถึงแล้วอย่างเป็นรูปธรรม ตัวอย่างเช่น ซอฟต์แวร์เจาะระบบมีการใช้ AI เพื่อยกระดับการปฏิบัติงานซึ่งทั้งฝ่ายโจมตีและป้องกันต่างใช้ประโยชน์ได้ทั้งสิ้น โดย พล.อ.ต. อมร ยังเสริมว่าตัวตนก็เป็นอีกหนึ่งปัญหาที่น่ากังวลด้วยศักยภาพการปลอมแปลงของ AI ที่ ทำให้ทุกองค์กรควรหาทางยกระดับการพิสูจน์ตัวตนให้เข้มข้นพร้อมติดตามการใช้งานไปอย่างน้อยเนื่อง
ในอนาคต พล.อากาศเอก อมร ได้เน้นย้ำให้ทุกคนเกิดความตระหนักรู้อย่างเข้าใจว่า AI ไม่ใช่สิ่งที่เชื่อถือได้ 100% เพราะแฮ็กเกอร์อาจเริ่มต้นการแฮ็กตั้งแต่การเรียนรู้ของ AI ด้วยซ้ำไป ดังนั้นทักษะการคิด วิเคราะห์ และแยกแยะ ข้อมูลยังคงเป็นหน้าที่ของเรา ในระดับองค์กรเองก็มีเทคโนโลยีที่น่าสนใจที่ช่วยการป้องกันในเชิงรุกอย่าง Honeypot และ Deception เช่นกันคนที่อยู่ในฝั่งป้องกันก็ต้องศึกษาเครื่องมือที่คนร้ายนำมาใช้ให้เข้าใจถึงภาพการโจมตีด้วย ที่สำคัญที่สุดคือต้องมีแผนรับมือสร้าง Cyber Resilience ที่พร้อมพาองค์กรเดินทางต่อไปในภาวะฉุกเฉินได้
เพิ่มพลังให้ Cybersecurity ด้วย AI
ยิ่งเครื่องมือตรวจจับละเอียดเท่าไหร่ปริมาณข้อมูลที่เก็บได้ย่อมมากตามตัว ด้วยเหตุนี้เองโซลูชัน EDR จึงสร้างภาระข้อมูลมหาศาล ทำให้การรวบรวมข้อมูลไปวิเคราะห์บนคลาวด์อาจตอบโจทย์มากกว่า ซึ่ง Sentinel One เป็นหนึ่งในนั้นที่นำเสนอแพลตฟอร์มการวิเคราะห์ข้อมูลที่ชื่อว่า Singularity Platform โดยรวมข้อมูลทั้ง EDR, XDR, Cloud, Identity และ MDR เข้ามาหาความเชื่อมโยง นำไปสู่การป้องกันอย่างอัตโนมัติแบบไร้ Playbook ประเด็นสำคัญของงานวันนี้คือการประกาศฟีเจอร์ใหม่ ‘Purple AI’ หรือ Generative AI ที่ช่วยให้ผู้ใช้งานปฏิสัมพันธ์กับระบบได้ด้วยการถามคำถามง่ายๆ ลดระยะเวลาการค้นหาข้อมูลอันไร้ที่สิ้นสุด
นวัตกรรมของ Threat Sensor ที่เสริมความสามารถของ AI
Check Point เผยสถิติว่าประเทศไทยได้ตกเป็นเป้าหมายของการโจมตีลำดับต้นๆในภูมิภาคอาเซียนในรอบ 6 เดือนที่ผ่านมา ความน่าสนใจคือโรงงานเบียดแซงกลุ่มธุรกิจอื่นสู่เป้าหมายอันดับหนึ่ง ซึ่งข้อมูลเหล่านี้ถูกจัดเก็บและวิเคราะห์มาจากสถิติของ Check Point ที่มองเห็นเหตุการณ์เหล่านี้ราว 2 พันล้านครั้งต่อวัน แน่นอนว่าด้วยปริมาณของข้อมูล ศูนย์ข้อมูลของ Check Point ย่อมได้รับความช่วยเหลือจาก AI แต่คำถามคือแล้วการมี AI นั้นดีอย่างไร
AI ได้เข้ามาช่วยให้การป้องกันมีประสิทธิภาพมากยิ่งขึ้น แทนที่จะอาศัยเพียงแค่ Signature แต่ AI จะสามารถเฝ้าระวังพฤติกรรมที่เป็นอันตรายใหม่ หากมีลูกค้ารายใดรายหนึ่งได้บังเอิญพบกับการโจมตีใหม่ AI เหล่านี้ก็จะตรวจจับและอัปเดตฐานความรู้ให้แก่ลูกค้าทุกรายในเวลาอันสั้น โดยกลไกเหล่านี้เป็นส่วนหนึ่งในโซลูชันของ Check Point อยู่แล้วไม่ว่าจะเป็น Check Point Quantum (Firewall), Cloud Guard(cloud Security) และ Harmony (User & Devices) ด้วยเหตุนี้เองผู้ใช้งานจึงมั่นใจได้เลยว่าทุกวินาทีของท่านจะได้รับการคุ้มครองเสมออย่างทันท่วงที
SoC แห่งอนาคต
NetWitness ผู้เชี่ยวชาญด้านโซลูชันการวิเคราะห์ข้อมูลเช่น XDR, LDR, NDR, SOAR และ EDR ได้กล่าวถึงความสามารถที่ SOC ต้องมีในอนาคต เนื่องจากความท้าทายต่างๆเช่น Digital Transformation, Compliance และกฏหมายด้านข้อมูล รวมถึง AI ที่คนร้ายนำมาติดอาวุธให้การโจมตี ด้วยเหตุนี้เององค์กรจึงควรคิดใหม่ในเรื่องการดำเนินงานของ SOC ใน 3 ส่วนคือ People, Process และ Technology
อย่างไรก็ดีก่อนที่จะวางแผนด้านการป้องกันองค์กรจะต้องมองเห็นภาพรวมของความผิดปกติที่เกิดขึ้นเสียก่อน ซึ่งเทคโนโลยีที่ NetWitness นำเสนอจะสามารถรวมศูนย์ข้อมูล วิเคราะห์ และจัดลำดับความสำคัญ หรือตอบสนองเหตุการณ์ได้อย่างอัตโนมัติ เพื่อเป็นการจัดการปัญหาในเชิงรุก แต่ไม่ว่าเทคโนโลยีจะอำนวยความสะดวกได้แค่ไหน สิ่งสำคัญที่องค์กรไม่สามารถละเลยได้ก็คือการให้ความรู้บุคคลากรอย่างสม่ำเสมอ พร้อมกับมีแผนตอบสนองเหตุการณ์ไม่คาดฝันที่ได้รับการซับซ้อมมาเป็นอย่างดี
คุณค่าของเวลา
ทุกคนทราบดีว่าเวลาเป็นสิ่งที่มีจำกัดและเงินไม่สามารถซื้อได้ ในแง่ของมุมมองด้านความมั่นคงปลอดภัย ทุกวินาทีที่ผ่านเลยไปหมายถึงความร้ายแรงของการโจมตีที่เพิ่มขึ้นด้วย แต่ด้วยข้อจำกัดที่บุคคลากรทางไอทีไม่เคยเพียงพอต่อปริมาณงาน โดยเฉพาะผู้ปฏิบัติการด้านความมั่นคงปลอดภัยทางไซเบอร์ ที่มีงานล้นมือตั้งแต่การรักษา Compliance, SOC, Zero Trust ที่ถูกคาดหวังด้วยความรวดเร็ว นั่นจึงเป็นเหตุผลทางสถิติที่ไม่น่าแปลกใจว่าค่าเฉลี่ยของการแพตช์มักล่าช้าหลังการประกาศหลายสัปดาห์หรือหลายเดือน
การจัดการ Endpoint ก็เป็นปัญหาใหญ่ ยุ่งยากด้วยปริมาณตัวเครื่องเองและซอฟต์แวร์ที่ติดตั้งภายในเครื่อง ไปจนถึงพฤติกรรมการใช้งานของผู้ใช้ ที่ทั้งหมดล้วนแต่เป็นความเสี่ยงต่อองค์กรทั้งสิ้น แต่ด้วยแนวคิดการใช้งานของ Tanium การบริหารจัดการอุปกรณ์เหล่านี้จะไม่ยากอีกต่อไป เช่น การเรียกดูข้อมูลผ่านคำถามง่ายๆ ทำให้การสืบค้นปัญหาง่ายขึ้นจากเดิมที่ต้องใช้คำสั่งซับซ้อน โดยเพียงแค่ผู้ใช้งาน ถาม เพื่อรับข้อมูล และปฏิบัติการเพื่อตอบสนองได้ในเสี้ยววินาทีจากศูนย์กลาง ผ่านคอนเซปต์ ‘ASK-KNOW-ACT’
จากภูมิปัญญาสู่ WAAP
Imperva ได้ตีแผ่ให้ทุกคนได้เห็นถึงความหมายของคำว่า AI (Artificial Intelligence) ซึ่งอันที่จริงแล้วสิ่งที่สำคัญที่สุดที่ลูกค้าควรได้รับคือ สิ่งที่ถูกประดิษฐ์ (Artificial) ขึ้นเพื่อตอบคำถามเช่น เกิดอะไรขึ้น กระทบระบบส่วนใด เมื่อไหร่ เหตุการณ์สิ้นสุดหรือยัง และใครเป็นผู้กระทำ โดยทั้งหมดมาจากการประมวลสิ่งที่เรียกว่าเป็นภูมิปัญญา (Intelligence) เข้าด้วยกัน สำหรับ Imperva เองก็คิดค้นภูมิปัญญาเหล่านี้เพื่อประดิษฐ์เป็นโซลูชันในด้าน Data Security และ Application Security โดยเน้นย้ำถึงคอนเซปต์ที่เรียกว่า WAAP ที่ไม่ใช่เพียงแค่ Web Application Firewall แบบเดิมๆ แต่อาศัยพลังแห่ง AI ที่รองรับช่องทางการสื่อสารของแอปพลิเคชันยอดนิยมอย่าง API ด้วย ทำให้มีมิติการตรวจจับที่หลากหลาย ต่างกันออกไปในแต่ละช่องทางเช่น FQDN แต่ละตัวก็จะได้รับการปกป้องที่เหมาะสมไม่เหมือนกันทั้งหมด
ติดอาวุธศูนย์ SOC ด้วย AI
LogRhythm ผู้นำเสนอโซลูชันด้าน SIEM ได้เผยถึงความยุ่งยากของการตรวจจับเหตุการณ์ในปัจจุบัน ยกตัวอย่างเช่นมุมมองด้าน Identity ที่ประกอบด้วยหลายส่วนเช่น Username, Email และอื่นๆ ที่บ่งชี้ได้ถึงตัวตน นอกจากนี้ยังมีข้อมูลจาก NDR, EDR และระบบอื่นที่ต้องถูกวิเคราะห์รวมกันภายใต้ SIEM เพื่อวิเคราะห์ถึงการโจมตี รวมถึงแรนซัมแวร์เองก็มีพฤติกรรมบางอย่างที่บ่งชี้ถึงภัยคุกคามได้เช่นกัน อย่างไรก็ดี AI มีบทบาทอย่างยิ่งที่จะเข้ามาช่วยผู้ปฏิบัติการใน SOC ได้ ในกรณีของ LogRhythm ได้นำเสนอ AI Engine ที่มีมาพร้อมใช้งานภายในโซลูชันหรือผู้ใช้อาจปรับแต่งเพิ่มเติมก็ได้ เพื่อตรวจจับการโจมตีภายนอกและภายใน พฤติกรรมที่ผิดปกติของผู้ใช้ เครือข่ายและ Endpoint โดย AI สามารถเรียนรู้ข้อมูล metadata ได้ถึง 70 Field เพื่อแปรผลเชื่อมโยงเป็นคะแนนที่สามารถใช้จัดลำดับเหตุการณ์ได้
วิกฤติของ Identity
RSA ที่กำลังมุ่งหน้าสู่ความเป็น Identity Platform ได้ชี้ให้เห็นถึงความสำคัญของวิกฤติที่กำลังเกิดขึ้นจาก Identity โดย AI ที่ง่ายขึ้นและช่วยให้ผู้ไม่ประสงค์ดีสามารถสร้างกลไกการโจมตีที่แนบเนียบและเสมือนจริงมากขึ้นเช่น การปลอมแปลงตัวบุคคลได้อย่างสมจริงด้วยเทคโนโลยี Deepfake หรือการแต่งอีเมลเพื่อล่อลวง (Phishing) ซึ่งทำได้ง่ายขึ้นมาก ยิ่งในภาวะที่ SOC ของท่านกำลังถูกโหมกระหน่ำด้วยการแจ้งเตือน หากเป็นบัญชีที่ถูกแฮ็กจะทำให้การแยกแยะภัยยากขึ้นไปอีก แต่เคราะห์ดีที่ AI ถูกนำเข้ามาใช้เพื่อป้องกันได้เช่นกัน โดย RSA มองว่า AI และมนุษย์ต้องทำงานเกื้อกูลกัน แต่ท้ายที่สุดมนุษย์คือผู้ตัดสินทุกอย่าง
เข้าใจ Blind spot ที่เกิดขึ้นใน Lateral Movement
การสกัดกั้นร้ายที่เคลื่อนไหวคืบคลานจากอุปกรณ์หรือระบบไปสู่เหยื่อรายถัดไปเป็นเรื่องที่ทำได้ยากในความเป็นจริง โดยคนร้ายมักอาศัยจุดอับที่ของระบบจากความเป็นจริงที่ว่า ไม่ใช่ทุกระบบที่สามารถใช้งาน MFA ได้อย่างระบบเก่าเดิมๆหรือบางช่องทางเช่น PowerShell และ Command Line เป็นต้น นอกจากนี้ยังมีเรื่องของ Service Account หรือบัญชีของแอปที่ใช้ปฏิสัมพันธ์กัน โดยมักติดตามได้ยากหรือไม่ค่อยเป็นที่รับรู้ อาจเป็นการ Hardcode เอาไว้ ยกตัวอย่างที่เห็นได้ชัดคือ microservices ที่เกิดขึ้นและหายไปอยู่เสมอ ทั้งยังมีจำนานมาก ด้วยเหตุนี้เองการติดตาม identity ขององค์กรในปัจจุบันจึงต้องอาศัยโซลูชันที่ควรมีความสามารถของ AI อย่าง Silverfort ที่สามารถทำ Risk Score ให้ผู้ติดตามได้เห็น และทำงานส่งต่อได้กับ SIEM, SOAR หรือโซลูชัน Third Party อื่นๆ
บทส่งท้าย
M.Tech ได้นำเสนอความสำคัญของ AI ที่เกิดขึ้นในโลกของ Cybersecurity โดยผู้ได้ประโยชน์ไม่ได้มีแค่ฝั่งการโจมตีเท่านั้น แต่ในโซลูชันการป้องกันเองก็มีการประยุกต์ใช้ AI มานานแล้วเช่นกัน อย่างไรก็ดีไม่ว่าสุดท้ายแล้ว AI จะก้าวไปไกลแค่ไหนผู้ตัดสินใจสูงสุดยังคงเป็น มนุษย์ อยู่นั่นเอง ที่จะเป็นคนพิจารณาว่าควรตอบสนองอย่างไร ซึ่งด้วยหัวข้อมากมายที่อัดแน่นมาด้วยคุณภาพในวันนี้ ทุกท่านคงพอจะได้ดื่มด่ำไปกับความมั่นคงปลอดภัยที่ M.Tech ส่งตรงถึงทุกท่านให้ได้อัปเดตกันทุกปี คิดถึงโซลูชันด้าน Cybersecurity คิดถึง M.Tech ติดต่อทีมงานได้โดยตรงที่ https://mtechpro.com/ หรือทางอีเมล sales@mtechpro.com หรือ โทร 0-2059-6500