แนะองค์กรใช้ AI ป้องภัยไซเบอร์ยุค 5G

แนะองค์กรใช้ AI ป้องภัยไซเบอร์ยุค 5G

องค์กรควรใช้ AI เพิ่มความเร็วในการป้องกัน ตรวจจับและตอบสนองต่อภัยคุกคามร่วมกับข้อมูลภัยคุกคามอัจฉริยะที่สามารถปฏิบัติตามได้ทันที

ฟอร์ติการ์ดแล็บส์คาดการณ์ว่าภัยไซเบอร์จะใช้ประโยชน์จาก Intelligent Edge สร้างภัยที่คุกคามเร็วและส่งผลกระทบเป็นวงกว้างมากขึ้น องค์กรควรใช้ AI เพิ่มความเร็วในการป้องกัน ตรวจจับและตอบสนองต่อภัยคุกคามร่วมกับข้อมูลภัยคุกคามอัจฉริยะที่สามารถปฏิบัติตามได้ทันทีจะมีความสำคัญอย่างยิ่งในการป้องกันการโจมตี

ดร.รัฐิติ์พงษ์ พุทธเจริญ ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบ ฟอร์ติเน็ต    เปิดเผยว่าฟอร์ติการ์ดแล็บส์คาดการณ์ภูมิทัศน์ และภัยคุกคามทางไซเบอร์ที่เกิดขึ้นในปี 2564 และในอนาคต   โดยผู้ประสงค์ร้ายในโลกไซเบอร์กำลังใช้ประโยชน์จากเครือข่าย Edge อัจฉริยะ อุปกรณ์ที่รองรับ 5G และพัฒนาการของพลังในการประมวลผล มาสร้างภัยคุกคามรูปแบบใหม่และขั้นสูงด้วยความเร็วและขนาดที่ไม่เคยมีมาก่อน นอกจากนี้ ผู้คุกคามจะยังคงเปลี่ยนทรัพยากรที่สำคัญเพื่อกำหนดเป้าหมายและใช้ประโยชน์จากสภาพแวดล้อมที่เกิดขึ้นใหม่ เช่น พนักงานที่ทำงานจากระยะไกลหรือแม้แต่สภาพแวดล้อมส่วน Edge สำหรับ Operational Technology (OT) ใหม่ๆ แทนที่จะกำหนดเป้าหมายไปที่เครือข่ายส่วน Core

เครือข่าย Edge อัจฉริยะเป้าจู่โจม

ในช่วงไม่กี่ปีที่ผ่านมานี้ เครือข่าย Edge แบบเดิมมีการเปลี่ยนแปลงไปมาก เกิดสภาพแวดล้อมใหม่ที่เป็นแบบ Multiple Edge อันประกอบไปด้วยการทำงานของเครือข่าย LAN WAN มัลติคลาวด์ ดาต้าเซ็นเตอร์ ผู้ทำงานจากระยะไกล ไอโอทีและอื่นๆ ที่มีลักษณะแตกต่างกันไปและมีความเสี่ยงที่แตกต่างกัน แต่เชื่อมโยงกัน หลายองค์กรกลับให้ความสำคัญไปที่ความเร็วของเครือข่ายและการปรับเปลี่ยนไปสู่ดิจิทัลมากกว่าศักยภาพในการมองเห็นจากส่วนกลางและการควบคุมแบบผสานรวมศูนย์ ด้วยเหตุนี้ ผู้ไม่ประสงค์ดีจึงมุ่งพัฒนาการโจมตีไปที่สภาพแวดล้อมดังกล่าวนี้และจะใช้ประโยชน์จากความเร็วของ 5G อีกด้วย

โทรจันร่วมกำหนดเป้าหมายไปยัง Edge: พบว่าอาชญากรไซเบอร์ได้เปลี่ยนเป้าหมายการโจมตีไปที่เครือข่ายที่เกิดขึ้นใหม่ๆ รวมทั้งเครือข่ายของผู้ใช้งานปลายทางที่บ้านและใช้ทรัพยากรในบ้านในการสร้างภัยคุกคามอื่นๆ ต่อไปอีกด้วย เช่น เร้าเตอร์ตัวเก่าๆ และระบบสันทนาการในที่บ้าน เมื่อภัยคุกคามสามารถควบคุมหรือแอบขโมยข้อมูลสำคัญของผู้ใช้งานออกมาได้ จึงมีแนวโน้มว่า เมื่ออาชญากรไซเบอร์เข้าใจพฤติกรรมและแนวโน้มการใช้งานของพนักงานที่ทำงานจากที่บ้านอย่างชัดเจนแล้ว จะสามารถกระทำการคุกคามได้รอบคอบมากขึ้น ไม่เป็นที่ผิดสังเกตหรือน่าสงสัย และจะโจมตีกลับไปที่เครือข่ายขององค์กร ยิ่งไปกว่านั้น มัลแวร์ที่ถูกพัฒนาให้ฉลาดมากขึ้นขั้นสูงขึ้นจะใช้โทรจัน EAT ประเภทใหม่ (Edge Access Trojans) ก่อกิจกรรมการรุกรานที่อันตรายต่อระบบ เช่น การแทรกแซงคำสั่งเสียงให้เครือข่ายยอมรับการบุกรุกของระบบเพิ่มเติมหรือออกคำสั่งโจมตีเพิ่มเติม

ภัยคุกคาม Swarm Attacks ที่ส่วน Edge: ในปีที่แล้ว ฟอร์ติการ์ดแล็บส์ได้คาดการณ์ว่าผู้ประสงค์ร้ายจะใช้ความก้าวหน้าของเทคโนโลยีเครือข่าย 5G สร้างภัยคุกคามประเภทที่การโจมตีที่ใช้ความฉลาดแบบกลุ่ม (Swarm-based attacks) คล้ายการทำงานของผึ้งหรือปลวก เนื่องจากการประสานการทำงานแบบฝูงผึ้งจะต้องใช้พลังในการสื่อสาร แบ่งปันข้อมูล แบ่งปันแอปพลิเคชั่น และประมวลผลของฝูงภัยสูงซึ่งมีอยู่ในเครือข่าย 5G  ดังนั้นในปีหน้านี้ เราจะเห็นภัยประเภท Swarm-based attacks เข้ายึดอุปกรณ์  5G   และแบ่งอุปกรณ์ดังกล่าวออกเป็นกลุ่มย่อย หลังจากนั้น จะกำหนดเป้าหมายเหยื่อเครือข่ายหรืออุปกรณ์กลุ่มใหม่อีกครั้ง ภัย Swarm นี้ใช้พลังในการประมวลผล (Computing power) จำนวนมากเพื่อเปิดใช้งาน Swarmbots แต่ละตัว รวมทั้งเพื่อแบ่งปันข้อมูลอย่างมีประสิทธิภาพแบบเรียลไทม์ในฝูงบอท  สิ่งนี้ทำให้าสามารถค้นพบ แบ่งปันและคุกคามช่องโหว่ได้อย่างรวดเร็ว และเปลี่ยนวิธีการโจมตีในรูปแบบอื่นต่อไป

 

ภัยประเภทวิศวกรรมสังคมจะฉลาดขึ้น: จากการอาศัยพัฒนาการของ 5G และพลังในการประมวลผล ที่ส่วนเครือข่าย Edge ที่เร็วขึ้นนี้ จะทำให้ภัยประเภทวิศวกรรมสังคม (Social Engineering) ที่อาศัยใช้สถานการณ์กับเหยื่อที่มีความอ่อนไหวเช่น การหลอกถามรหัสผ่าน การหลอกให้ส่งข้อมูลที่สำคัญให้นั้นไม่ได้เพียงแค่คุกคามควบคุมอุปกรณ์หรือระบบตามบ้านเท่านั้น แต่จะอุปกรณ์ของผู้ใช้งานตามบ้านจะถูกใช้เป็นสื่อที่บรรจุการโจมตีที่ล้ำลึกกว่าเดิม การโจมตีประเภทใช้วิศวกรรมมีเป้าหมายจะใช้ประโยชน์จากข้อมูลเชิงลึกที่สำคัญของเหยื่อ อาทิ กิจวัตรประจำวัน นิสัย หรือข้อมูลทางการเงิน เกิดการโจมตีที่ชาญฉลาดมากขึ้น นำไปสู่ความเสียหายที่มีมากกว่าเพียงการปิดระบบรักษาความปลอดภัย การปิดใช้งานกล้องถ่ายรูป หรือการขโมยอุปกรณ์อัจฉริยะต่างๆ แต่จะสามารถเข้าควบคุม แอบเรียกค้นข้อมูล และการเรียกค่าไถ่ข้อมูลสำคัญได้

เกิดภัยแรนซัมแวร์ใหม่ๆ ที่ส่วน OT Edge : แรนซัมแวร์ (Ransomware) หรือภัยเรียกค่าไถ่มีการพัฒนาอย่างต่อเนื่อง ในปัจจุบันนี้ ระบบไอทีต่างๆ เริ่มผสานรวมเข้ากับระบบเทคโนโลยีการดำเนินงาน (Operational Technology: OT) มากขึ้นโดยเฉพาะในโครงสร้างพื้นฐานที่สำคัญ จึงทำให้ข้อมูล อุปกรณ์จะตกอยู่ในความเสี่ยงมากขึ้น ในปีที่ผ่านมา เหยื่อของภัยแรนซัมแวร์ตัดสินใจไม่จ่ายค่าไถ่หลายราย ผู้สร้างภัยชนิดนี้จึงได้โต้ตอบว่าจะเปิดเผยข้อมูลอ่อนไหวของเหยื่อหากไม่จ่ายค่าไถ่ (แทนที่จะยึดเก็บข้อมูลเอาไว้)  จึงส่งให้ในปีค.ศ. 2021 หน้านั้น การขู่กรรโชก การหมิ่นประมาทและการทำให้เสียชื่อเสียงกลายเป็นเป้าหมายของภัยแรนซัมแวร์  ยิ่งไปกว่านั้น ภายในโครงข่าย OT Edge ซึ่งรวมถึงโครงสร้างพื้นฐานที่สำคัญนั้นอาศัยการเชื่อมต่อและสื่อสารของอุปกรณ์ภาคสนามและเซ็นเซอร์มากมาย หากอุปกรณ์เหล่านี้ตกเป็นเป้าหมายของอาชญากรไซเบอร์มากขึ้นเรื่อยๆ จะยิ่งทำให้ในอนาคต ชีวิตของมนุษย์เราจะตกอยู่ในความเสี่ยงมากขึ้น 

สำหรับการคาดการณ์ในอนาคตนั้นการโจมตีประเภทอื่นๆ ที่มุ่งเป้าไปที่การพัฒนาประสิทธิภาพการประมวลผล (Computing performance) และนวัตกรรมในการเชื่อมต่อ (Innovation in connectivity) เพื่อสร้างผลประโยชน์ให้แก่อาชญากรไซเบอร์ การโจมตีเหล่านี้จะช่วยให้ผู้ประสงค์ร้ายสามารถเข้าคุกคามไปที่เป้าหมายใหม่ๆ และจะท้าทายผู้ที่รับผิดชอบป้องกันเร่งหาวิธีเอาชนะที่รวดเร็ว

เกิดภัย Cryptomining ขั้นสูงขึ้น: หากอาชญากรไซเบอร์ต้องการใช้ความสามารถของ ML และ AI เข้ามาพัฒนาศักยภาพการโจมตีของตนเองในอนาคต จึงส่งให้พลังในการประมวลผล (Processing power) มีความสำคัญ  ซึ่งหากอาชญากรไซเบอร์สามารถส่งมัลแวร์ Crypto-mining เข้าดึงทรัพยากรของระบบคอมพิวเตอร์ (CPU) เพื่อใช้ในการกระบวนการขุดเหมือง (Mining)  และเข้าควบคุมอุปกรณ์ที่ Edge ได้ จะสามารถประมวลผลข้อมูลจำนวนมหาศาลได้ และรู้ว่าอุปกรณ์ต่างๆ ที่ Edge นั้นถูกใช้งานอย่างไรและเมื่อใด  จะสามารถคุกคามอุปกรณ์คอมพิวเตอร์รองต่อไปได้โดยเป็นที่สังเกตน้อยลงกว่ามาก

เกิดภัยโจมตีบนอวกาศ:  ระบบการสื่อสารแบบใหม่ๆ ขยายระบบมากขึ้นและเริ่มเชื่อมต่อกับระบบที่ใช้ดาวเทียมมากขึ้น จึงทำให้การเชื่อมต่อของระบบดาวเทียมและการสื่อสารโทรคมนาคมโดยรวมอาจเป็นเป้าหมายที่น่าสนใจสำหรับอาชญากรไซเบอร์  ดังนั้น หากเกิดภัยคุกคามโจมตีที่สถานีฐานดาวเทียมและสามารถแพร่กระจายมัลแวร์ผ่านเครือข่ายดาวเทียมไปได้ อาจทำให้ผู้ประสงค์ร้ายสามารถโจมตีผู้ใช้งานที่เชื่อมต่อในเครือข่ายดาวเทียมได้หลายล้านคน หรือก่อให้เกิดการโจมตีประเภท DDoS ที่อาจขัดขวางหรือหยุดการสื่อสารที่สำคัญได้

เกิดภัยคุกคามที่การประมวลผลแบบควอนตัม: จากมุมมองด้านความปลอดภัยทางไซเบอร์ การประมวลผลแบบควอนตัม (Quantum Computing) อาจสามารถท้าทายประสิทธิภาพของเทคโนโลยีการเข้ารหัสในอนาคตได้ จึงทำให้การประมวลผลแบบควอนตัมอาจสร้างความเสี่ยงแบบใหม่ได้  ทั้งนี้ พลังการประมวลผลมหาศาลของคอมพิวเตอร์ควอนตัมสามารถทำให้สามารถแก้ไขอัลกอริทึมการเข้ารหัสแบบอสมมาตรบางอย่างได้ ด้วยเหตุนี้ องค์กรต่างๆ จึงต้องเตรียมที่จะเปลี่ยนไปใช้อัลกอริธึมการเข้ารหัสลับที่ต้านทานควอนตัมโดยใช้หลักการของความคล่องตัวในการเข้ารหัส เพื่อให้แน่ใจว่ามีการปกป้องข้อมูลในปัจจุบันและอนาคต แม้ว่าอาชญากรไซเบอร์โดยทั่วไปจะไม่สามารถเข้าถึงคอมพิวเตอร์ควอนตัมได้ แต่มีอาชญากรไซเบอร์หลายแห่งที่สามารถทำได้  ดังนั้น องค์กรควรเตรียมแผนการเข้ารหัสลับไว้ล่วงหน้าก่อนจะเกิดภัยขึ้นจริง

ภัยคุกคามเริ่มมีในรูปแบบบริการ Darknet และกำลังจะเป็นส่วนหนึ่งของชุดเครื่องมือโอเพนซอร์ส  ทำให้แนวโน้มการโจมตีเหล่านี้จะค่อยๆ กลายเป็นจริงขึ้นมา  ดังนั้น องค์กรจึงจำเป็นต้องผสมผสานทรัพยากรสำคัญ ด้านเทคโนโลยี ทีมงาน การฝึกอบรมและความร่วมมืออย่างระมัดระวังเพื่อป้องกันการโจมตีทางไซเบอร์ในอนาคต

จำเป็นต้องใช้ AI : วิวัฒนาการของ AI มีความสำคัญอย่างยิ่งต่อการป้องกันในอนาคตจากการโจมตีที่กำลังพัฒนา ทั้งนี้ AI จะต้องพัฒนาไปสู่รุ่นเน็กซ์เจนเนอเรชั่นยุคต่อไป จะต้องใช้ประโยชน์จากโหนดกลุ่มต่างๆ ที่เรียนรู้ได้ด้วยตนเองและถูกขับเคลื่อนโดย ML แบบบูรณาการอันคล้ายคลึงกับระบบประสาทของมนุษย์  ซึ่งเทคโนโลยีที่ปรับปรุง AI ที่สามารถมองเห็นคาดการณ์และตอบโต้การโจมตีจะต้องกลายเป็นความจริงในอนาคต เนื่องจากการโจมตีทางไซเบอร์ในอนาคตจะเกิดขึ้นในความเร็วระดับหนึ่งในล้านของวินาที (Microsecond)  มนุษย์จะต้องมั่นใจว่าระบบรักษาความปลอดภัยของตนได้รับข้อมูลอันชาญฉลาดอย่างเพียงพอ ซึ่งจะช่วยให้ระบบสามารถตอบโต้การโจมตีได้อย่างแข็งแกร่ง และยังสามารถคาดถึงการโจมตีในอนาคตเพื่อที่องค์กรจะสามารถหลีกเลี่ยงได้ทัน

ความร่วมมือมีความสำคัญต่ออนาคต: องค์กรต่างๆ ไม่สามารถคิดว่าจะป้องกันผู้ประสงค์ร้ายทางไซเบอร์ได้ด้วยตนเอง พวกเขาจะต้องรู้ว่าควรแจ้งใครให้ทราบหากเกิดการโจมตีขึ้น เพื่อให้สามารถใช้ร่องรอย ลายนิ้วมือ  (Fingerprints) ที่มีนั้นร่วมกันได้อย่างเหมาะสม และหน่วยงานที่รับผิดชอบบังคับใช้กฎหมาย (Law enforcement) จะสามารถบังคับใช้กฎหมายให้เกิดผลได้ ดังนั้น ผู้ค้าอุปกรณ์ด้านความปลอดภัย (Cybersecurity vendor) องค์กรวิจัยภัยคุกคาม (Threat research organizations) และกลุ่มอุตสาหกรรมอื่นๆ (Other industry groups) จำเป็นต้องร่วมมือกันเพื่อแบ่งปันข้อมูล บังคับใช้กฎหมายเพื่อช่วยเข้าถึงโครงสร้างภายในของผู้ประสงค์ร้ายเพื่อป้องกันการโจมตีในอนาคตได้อย่างรัดกุม อาชญากรไซเบอร์ไม่มีพรมแดนบนโลกออนไลน์ ดังนั้น การต่อสู้กับอาชญากรรมไซเบอร์จึงจำเป็นต้องก้าวข้ามพรมแดนเช่นกัน โดยการทำงานร่วมกันเท่านั้นจึงจะสามารถสร้างกระแสต่อต้านอาชญากรไซเบอร์ได้

สร้างศักยภาพให้กับ Blue Teams: ทีมข่าวกรองภัยคุกคามของฟอร์ติเน็ตได้วิเคราะห์ถึงกลยุทธ์ เทคนิคและขั้นตอนการคุกคาม (Tactics, techniques, and procedures: TTPs) ของผู้ประสงค์ร้าย รวมถึงคู่มือนักแสดงภัยคุกคาม (Threat actor playbooks) และได้ป้อนข้อมูลดังกล่าวเข้าระบบ AI เพื่อตรวจจับรูปแบบการโจมตีได้ ซึ่งในทำนองเดียวกัน เมื่อองค์กรต่างๆ แสดงแผนที่ที่เกิดภัยคุกคาม (Heatmap) ที่ใช้งานอยู่ในปัจจุบันแล้ว ระบบอัจฉริยะเหล่านี้จะสามารถสร้างตัวล่อที่น่าสนใจไว้ตามเส้นทางการโจมตี และทำให้เป้าหมายเครือข่ายสับสนได้  ในที่สุด การฝึกอบรมสร้างตัวล่อประเภทนี้จะทำให้องค์กรต่างๆ สามารถสร้างทีมสีน้ำเงินที่มีศักยภาพ สามารถรับผิดชอบเรื่องการตรวจจับ รับมือ ป้องกันภัยคุกคามทางไซเบอร์ รักษา สร้างการควบคุมที่เหนือกว่าได้ อย่างแข็งแกร่ง

ผู้ที่ต้องการการป้องกันภัยจำเป็นต้องใช้ประโยชน์จากศักยภาพของเอไอ (Artificial Intelligence: AI) และแมชชีนเลิร์นนิ่ง (Machine Learning: ML) เพื่อเพิ่มความเร็วในการป้องกัน การตรวจจับและการตอบสนองต่อภัยคุกคาม นอกจากนี้ องค์กรจำเป็นต้องมีข่าวข้อมูลภัยคุกคามอัจฉริยะที่นำไปปฏิบัติได้ทันทีและแบบบูรณาการจะเป็นสิ่งสำคัญในการปรับปรุงความสามารถขององค์กรในการป้องกันแบบเรียลไทม์ ให้ทันต้อการโจมตีอันรวดเร็วที่เกิดเพิ่มมากขึ้นอย่างต่อเนื่อง