ไลฟ์สไตล์

โลกไซเบอร์ 2020 เริ่มอยู่ยากขึ้นแล้ว

By นักรบ เนียมนามธรรม | คอลัมน์ Think Secure05 พ.ค. 2020 เวลา 3:20 น.
โลกไซเบอร์ 2020 เริ่มอยู่ยากขึ้นแล้ว

ในขณะที่ผู้คนต้องปรับเปลี่ยนพฤติกรรมไปสู่บริบทใหม่ในโลกเดิม หรือ New Normal ในโลกไซเบอร์ก็ต้องเจอศึกหนักภันคุกคามจากบอท (Bot) ที่วันนี้ถูกพัฒนาให้ฉลาดพอๆ กับคน สามารถเลียนแบบพฤติกรรมคน ซึ่งอาจจะหลอกลวง รวมถึงละเมิดการใช้งานแอพพลิเคชั่นได้

บอทสามารถเลียนแบบพฤติกรรมของมนุษย์ได้อย่างแนบเนียน เป็นเวลาเกินกว่า 1 เดือนที่เราอยู่กับวิกฤติโควิด-19 จนทำให้เกิด New Normal ขึ้นมา อีกทั้งยังเกิดพฤติกรรมการทำงานจากที่บ้านหรือเวิร์คฟรอมโฮมในขณะที่บางธุรกิจก็ต้องปรับเปลี่ยนรูปแบบการขายสินค้าใหม่ๆ หรือย้ายไปขายแบบออนไลน์และเดลิเวอรี่

โลกไซเบอร์เองก็มีเรื่องใหม่เช่นกัน โดยบอท (Bot) ที่เป็นภัยคุกคามอย่างหนึ่ง ถูกพัฒนาให้เฉลียวฉลาดจนมีพฤติกรรมที่ใกล้เคียงกับมนุษย์จริงๆ จนเป็นการยากที่จะแยกความต่างระหว่างบอทและผู้ใช้งาน (User) 

ดังนั้นในขณะที่มนุษย์ยังสามารถเหนื่อยและหมดแรงได้ แต่บอทกลับทำงานได้อย่างไม่รู้จักเหน็ดเหนื่อย เมื่อบอทที่แสนฉลาดเหล่านี้ทำงานจึงเปรียบเสมือนการมีมนุษย์ที่จ้องจะทำร้ายระบบอยู่ตลอดเวลา

เชื่อหรือไม่ว่าบอทเหล่านี้ สามารถเลียนแบบพฤติกรรมของมนุษย์ได้อย่างแนบเนียน ไม่ว่าจะเป็นลักษณะการพิมพ์ การเคลื่อนที่ของเมาส์ และแม้กระทั่งประวัติการท่องเว็บต่างๆ

ทั้งจะเห็นว่าตัวบอทนั้นมีพฤติกรรมการใช้งานเว็บไซต์ที่เหมือนกับมนุษย์ทั่วไป เพื่อหลอกลวง รวมถึงละเมิดการใช้งานแอพพลิเคชั่น ด้วยเหตุนี้การตรวจจับการจู่โจมที่อาศัยการดูพฤติกรรมอันน่าสงสัย (Anomaly Detection) จึงไม่สามารถหยุดการโจมตีจากบอทที่มีความฉลาดเหล่านี้ได้ และจำเป็นต้องมีแพลตฟอร์มที่จะมารับมือบอทประเภทนี้

เนื่องจากอุปกรณ์ป้องกันด้านความปลอดภัยบนเว็บที่เป็นแบบเก่า เช่น Web Application Firewalls (WAF) รวมถึง Runtime Application Self-Protection (RASP) ไม่สามารถตรวจพบการจู่โจมจากบอทเหล่านี้ได้ ด้วยเหตุผล 3 ข้อ

1.อุปกรณ์เหล่านี้อาศัย Ruleset ซึ่ง Ruleset ในอุปกรณ์ป้องกันด้านความปลอดภัยของแอพพลิเคชั่นนั้นออกแบบมา เพื่อหลีกเลี่ยง False Positive จึงทำให้บ่อยครั้งความสามารถในการตรวจพบบอทเหล่านี้ด้อยประสิทธิภาพลง

2.อุปกรณ์เหล่านี้มุ่งเน้นไปที่ช่องโหว่เพียงอย่างเดียว การปกป้องช่องโหว่ อย่างเช่น Cross-site Scripting, SQL Injections และอื่นๆ สามารถปกป้องได้จากอุปกรณ์ป้องกันความปลอดภัยของแอพพลิเคชั่นทั่วๆไป แต่พวกบอทนั้นไม่ได้มุ่งโจมตีมายังช่องโหว่เหล่านี้ได้

3.การอาศัยเทคนิคการตรวจจับพฤติกรรมที่ผิดปกติ (Anomaly Detection) ถึงแม้ว่าจะเป็นเทคนิคที่มีประโยชน์แต่ก็ไม่ได้ช่วยในการตรวจพบบอทประเภทนี้ได้ เพราะมีพฤติกรรมการเลียนแบบผู้ใช้งานจริง จึงทำให้เทคนิคนี้มองว่าพฤติกรรมเหล่านั้นเป็นสิ่งปกติ ทำให้ตรวจจับไม่ได้

ดังนั้นเพื่อความปลอดภัย ผู้ดูแลจึงควรมองหาแพลตฟอร์มที่มีความฉลาดและมีการตรวจค้นภัยคุกคามแบบซับซ้อนให้ได้ ไม่เพียงเท่านั้นเครื่องมือที่ใช้จะต้องไม่ไปรบกวนการใช้งานของผู้ใช้งานบนเว็บไซต์และมีความสามารถอย่างน้อย 3 ข้อดังนี้

เนื้อหาที่เกี่ยวข้อง

1.มีเทคนิคการตรวจจับบอทแบบหลายชั้น ด้วยการป้องกันการจู่โจมจากบอทต้องอาศัยเทคนิคการตรวจจับที่ฉลาดกว่าการใช้ Signature-based รวมไปถึงสิ่งที่ใช้ระบุตัวตนอย่าง Indicator of Compromise ดังนั้นเครื่องมือนี้จะต้องแม่นยำและสามารถระบุได้ว่าทราฟฟิกที่เข้ามานั้นเป็นฝีมือของมนุษย์หรือบอท แม้จะมาจากอุปกรณ์เดียวกันก็ตาม

2.มี Threat Intelligence เพราะการอาศัยเทคโนโลยีเพียงอย่างเดียวอาจไม่เพียงพอต่อการหยุดภัยคุกคามเหล่านี้ได้ ต้องอาศัย Threat Intelligence ในการทำความเข้าใจว่า ใคร และ ทำไม เป็นผู้อยู่เบื้องหลังของการจู่โจมในแต่ละครั้ง

3.มี Continuous Adaptation เพราะการจู่โจมจากบอทเหล่านี้มีการปรับเปลี่ยนและประยุกต์วิธีการอยู่เสมอ ฉะนั้นการตรวจจับก็ต้องมีการปรับเปลี่ยนและประยุกต์ใช้วิธีการใหม่ๆ เช่นกัน เพื่อให้สามารถรู้เท่าทันวิธีการที่ บอทเหล่านี้ใช้จู่โจมได้

เมื่อมีเครื่องมือที่จะมาช่วยป้องกันการจู่โจมที่มีบอทแสนฉลาดเหล่านี้เป็นอาวุธ ก็จะทำให้คุณมั่นใจได้มากขึ้นว่าระบบขององค์กรจะมีความปลอดภัย ไม่เสี่ยงเกิดภัยคุกคามอันไม่พึงประสงค์ครับ