คำถามคอขาดบาดตายที่ Threat Intelligence Service ควรมีคำตอบ แคสเปอร์สกี้ แนะแนวทางการประเมินผลผู้ให้บริการ

เปิดศักราชใหม่กันด้วยการมาถึงของเน็ตเวิร์ก 5G ที่พร้อมรองรับการใช้งานเชิงพานิชย์ การนำปัญญาประดิษฐ์หรือ AI มาใช้งานอย่างแพร่หลาย รวมทั้งความเป็นที่นิยมของการวิเคราะห์ข้อมูล 

นอกเหนือจากความก้าวหน้าของการปฏิวัตินวัตกรรมที่มาแรง ก็ยังมีเทรนด์ฮอตห้ามพลาดอีกหนึ่ง คือ ความสำคัญของการวิเคราะห์ข้อมูลในยุคดิจิทัล เฉพาะในเขตเอเชียตะวันออกเฉียงใต้อย่างเดียว นักวิจัยของแคสเปอร์สกี้ตรวจพบว่ามีอัตราการขยับตัวจำนวนกิจกรรมของกลุ่ม Advanced Persistent Threat (APT) ส่งจารกรรมไซเบอร์ที่มีความซับซ้อนออกอาละวาดตามเป้าหมายองค์กรภาครัฐต่างๆ เพิ่มสูงขึ้น

กลุ่มผู้ก่อภัยคุกคามนี้เพิ่มความรุนแรงด้วยทูลตัวใหม่ที่ดึงเอาข้อมูลมาซุกซ่อนเอาไว้ ไม่ว่าจะเป็นข้อมูลจากหน่วยงานรัฐ หน่วยงานทางทหาร และองค์กรธุรกิจภาคเอกชนที่ตกเป็นเป้าหมายก็ไม่ละเว้น สิ่งที่เป็นเป้าหมายของกลุ่มก็คือข้อมูลข่าวสารใดๆ ที่เป็นความลับสุดยอดขององค์กรนั่นเอง 

เป็นที่น่าสนใจว่า ข้อมูลเชิงลึกอีกประเภทหนึ่งสามารถช่วยยับยั้งการการล่วงละเมิดข้อมูลที่เป็นความลับของชาติหรือขององค์กรหน่วยงานได้ นั่นก็คือ ข้อมูลเชิงลึกด้านภัยคุกคาม (Threat Intelligence) นั่นเอง เทคโนโลยีนี้สามารถที่จะช่วยให้องค์กรธุรกิจหน่วยงานต่างๆ มีความเข้าใจต่อภัยที่เข้ามาคุกคาม หรือ ที่อาจจะกำลังเข้ามาโจมตีระบบเน็ตเวิร์ก ซึ่งเป็นเรื่องที่องค์กรควรพิจารณาให้ความสำคัญ นำมาเป็นรากฐานของนโยบายด้านความความปลอดภัยไซเบอร์ขององค์กรเป็นอย่างยิ่ง 

มีบริษัทมากมายที่เสนอบริการด้านระบบความปลอดภัยไซเบอร์ แต่ว่าเราจะประเมินสมรรถภาพและเลือกบริษัทที่เหมาะสมที่สุดกันอย่างไร นายโยว เซียง เทียง ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ บริษัท แคสเปอร์สกี้ จึงขอเสนอคำถามเพื่อใช้เป็นข้อมูลในการพิจารณาดังต่อไปนี้

คำถามที่ 1 ไฟล์นี้ดูน่าสงสัยมากไหม น่าสงสัยด้านใดบ้าง

เอาตรงๆ มีความจริงอยู่สองประการในสภาพแวดล้อมไอทีซีเคียวริตี้ขององค์กร คือ คนไม่พอและงานตรวจจับล้นมือแถมไม่นับที่เป็นผลลวง (false positives) อีกด้วย ซึ่งพบได้ทั่วไปกับแผนกไอทีตามองค์กรต่างๆ ทีมงานของคุณมีความพร้อมรับมือกับภัยไซเบอร์ที่เข้ามาคุกคามข้อมูลของคุณที่เพิ่มจำนวนอย่างล้นหลามหรือไม่ อย่างไร

ความจริงคือ ไม่ใช่ว่าไฟล์ทุกไฟล์จะแฝงความร้ายกาจหรือต้องสอดส่องเป็นพิเศษไปเสียหมด บางไฟล์ก็รับมือได้ง่ายๆ ด้วยโซลูชั่นซอฟต์แวร์แอนตี้ไวรัส ข้อมูลวิเคราะห์ภัยไซเบอร์เชิงลึกที่เหมาะสมทันสมัยก็เพียงพอที่จะคัดกรองผลลวงของการตรวจจับ (false positives) ทำให้คุณมีเวลาไปใส่ใจกับตัวที่เป็นภัยร้ายกาจตัวจริงได้มากกว่า 

เป็นเรื่องสำคัญที่คุณจะต้องตระหนักว่า เอ็นด์พอยต์ซีเคียวริตี้ (Endpoint security) นั้นตรวจจับแยกประเภทไฟล์เฉพาะเพื่อลบล้างไฟล์ที่พบเป็นอันตรายต้องสงสัยเท่านั้น แต่ตัวทูลเพื่อการวิเคราะห์ (Analytic tools) ที่ควรมีอยู่ในระบบข้อมูลเกี่ยวกับภัยไซเบอร์นั้นควรจะต้องเพียงพอที่จะให้ข้อมูลรายละเอียดของไฟล์ต้องสงสัย เช่น hash ไอพีแอดเดรส หรือแม้แต่ URL

ข้อมูลรายละเอียดดังกล่าวประกอบด้วย พฤติกรรม เทคนิคการ exploit มัลแวร์ที่ตรวจพบนั้นหายากหรือไม่ ทูลที่อาชญากรไซเบอร์ใช้สร้างมัลแวร์ตัวนี้ และถ้าคุณจำเป็นต้องใช้รายงานข้อมูลเชิงลึกเกี่ยวกับมัลแวร์ตัวนั้น ก็จะต้องมีประวัติที่มา ผู้อยู่เบื้องหลัง ผู้ที่คิดสร้างขึ้นมา เป้าหมาย เป็นต้น

คำถามที่ 2 ผู้อยู่เบื้องหลังกระทำการโจมตีคือใคร นี่เป็นแนวโน้มที่เราต้องควรกังวลใจไปด้วยหรือไม่

บริการข้อมูลวิเคราะห์เชิงลึกเกี่ยวกับภัยไซเบอร์นั้นควรต้องอิงกับฐานข้อมูลที่น่าเชื่อถือ ที่อัดแน่นด้วยข้อมูลภัยประเภทต่างๆ และข้อมูลการวิเคราะห์ของผู้เชี่ยวชาญ ไม่ควรจะเป็นการจับรายงานจากแหล่งต่างๆ มาผสมกัน 

สาเหตุที่ฐานข้อมูลที่มีความสมบูรณ์และข้อมูลเชิงลึกด้านเทคนิคมีความสำคัญนั้น เป็นเพราะเป็นพื้นฐานของข้อมูลรายละเอียดลึกๆ ที่น่าเชื่อถือเกี่ยวกับภัยไซเบอร์ การที่มีข้อมูลเรียลไทม์จากทั่วโลกและการสอดส่องความเคลื่อนไหวของภัยไซเบอร์ผ่าน machine learning ที่วิเคราะห์เจาะลึกด้วยสมองมนุษย์ จะทำให้ข้อมูลของมัลแวร์ที่คุณได้รับนั้นมีความถูกต้องแม่นยำเหมาะสมที่จะนำมาใช้งานได้มากกว่า

ผู้ให้บริการข้อมูลวิเคราะห์เชิงลึกภัยไซเบอร์ของคุณนั้นควรจะต้องมีศักยภาพเพียงพอที่จะรายงานข้อมูลรายละเอียดของมัลแวร์ให้คุณได้ อาทิ กลุ่มครอบครัวของมัลแวร์ ระบุจุดที่เป็นช่องโหว่ หรือชี้ช่องทางที่มัลแวร์นี้อาศัยเข้ามาในระบบ รายการสถิติที่ผ่านมาถึงปัจจุบัน และแม้แต่ชื่อของ “parents” ที่กล่าวอ้างถึงด้วย นี่เป็นส่วนที่ไฟล์มัลแวร์ที่ไม่ร้ายกาจมากนัก hash URL และ IP address อาจจะโยงไปยังการโจมตี APT ก็ได้ จึงมีรายงานวิเคราะห์เบื้องลึกของ APT เป็นส่วนหนึ่งของบริการด้านข้อมูลภัยไซเบอร์ด้วย รายงานนี้ควรประกอบด้วยข้อมูล อาทิ กลุ่มเป้าหมายของเหยื่อและแรงจูงใจ เป็นต้น

ด้วยข้อมูลจากการตรวจจับทั่วๆ ไปนั้น คุณก็สามารถที่จะวางแผนวิธีการรับมือหรือแม้แต่ปรับความเข้มของสภาพแวดล้อมระบบความปลอดภัยที่คุณมีอยู่ได้เลย 

คำถามที่ 3 และเราควรต้องมีมาตรการดำเนินการอย่างไรบ้าง ต้องปรับเปลี่ยนระบบซีเคียวริตี้ส่วนใดบ้าง

ตอนนี้ คำถามสำคัญที่เลี่ยงไม่ได้ที่ควรจะต้องถามกับทางผู้ให้บริการข้อมูลภัยไซเบอร์ คือ คุณสามารถคาดการณ์สิ่งที่จะเกิดในอนาคตได้หรือไม่ เชื่อหรือไม่ว่าผู้ให้บริการที่ดีนั้นสามารถให้คำตอบที่อาจจะฟังดูแล้วเหมือนแฟนตาซีเพ้อฝันสำหรับคนหลายๆ คน 

บริการที่ดีนั้นต้องประกอบด้วยรายงานข้อมูลวิเคราะห์เชิงลึกของภัยไซเบอร์ที่เหมาะสมกับระบบ เพื่อเป็นส่วนหนึ่งของไซเบอร์ซีเคียวริตี้ทูลคิตที่ใช้งานได้ลงตัว รายงานดังกล่าวจะทำให้คุณเห็นภาพรวมของการโจมตี จุดอ่อนที่พร้อมจะเป็นช่องโหว่ให้เจาะเข้าระบบ รวมทั้งหลักฐานแสดงการโจมตีที่ผ่านมา การโจมตีในปัจจุบัน และที่วางแผนการเอาไว้ ซึ่งการประมวลภัยไซเบอร์ที่ผ่านมา ที่ตรวจจับได้ในปัจจุบัน และที่อาจมีเข้ามาในอนาคต มีความสำคัญต่อการปรับวางแผนกลยุทธ์รับมือ ปรับระบบซีเคียวริตี้ให้แข็งแกร่ง จำไว้ว่าข้อมูลเกี่ยวกับภัยไซเบอร์ที่ดีนั้นควรจะต้องนำมาใช้ในการปฏิบัติงานได้

ข้อมูลเบื้องลึกที่แม่นยำจะช่วยให้องค์กรของคุณเตรียมการป้องกันตัวเองและสกัดกั้นการโจมตีทางไซเบอร์ได้เป็นอย่างดี วางแผนวิธีการรับมือที่จะช่วยให้คุณดำเนินงานไปต่อได้อย่างมั่นคง แต่ถ้าหากคุณไม่มีข้อมูลเหล่านี้ คุณก็คงจะต้องคลำทางเอาในที่มืดไปช้าๆ และไม่มีอะไรแน่นอน 

คำถามเหล่านี้เป็นแค่เพียงส่วนน้อยเท่านั้นของการประเมินผลผู้ให้บริการ 

แต่ละองค์กรมีความแตกต่างเฉพาะตัวทางโครงสร้างและนโยบาย แต่ที่แน่ๆ ไม่มีอาชญากรไซเบอร์คนใดที่สามารถเอาชนะระบบป้องกันที่มีความพร้อมทั้งฟังก์ชั่นและข้อมูลสนับสนุนที่แม่นยำแบบเรียลไทม์อย่างแน่นอน

###