Big Data ตัวช่วยความปลอดภัยจากภัยไซเบอร์

14 Mar 2022 | 07:23 AM

สถานการณ์โควิด-19 คือปัจจัยสำคัญที่เร่งให้ผู้คนไปจนถึงองค์กรและธุรกิจต้องเร่งปรับพฤติกรรมให้คุ้นเคยกับเทคโนโลยีมากขึ้น ทั้งในด้านการทำงานระยะไกลและการทำธุรกรรมต่างๆ จึงนำไปสู่ช่องโหว่ในการเกิดภัยคุกคามทางไซเบอร์ ขณะเดียวกันองค์กรหลายองค์กรอาจยังไม่ได้มีการตรวจเช็กการวางระบบป้องกันที่รัดกุมพอ จึงส่งผลให้เกิดความเสี่ยงในการถูกโจมตี

ในขณะที่ผู้เชี่ยวชาญด้านการป้องกันการโจมตีทางไซเบอร์อย่าง Packetlabs คาดการณ์ว่าสิ้นปี 2564 ความเสียหายจากภัยคุกคามไซเบอร์จะสร้างค่าใช้จ่ายทั่วโลกถึง 6 ล้านล้านเหรียญสหรัฐฯ ซึ่งนับว่าเป็นสิ่งที่น่ากังวลเป็นอย่างยิ่ง เนื่องจากภัยไซเบอร์อาจส่งผลเสียมหาศาลทั้งในด้านของความเสียหายต่อข้อมูลส่วนบุคคล ข้อมูลธุรกิจทำลายภาพลักษณ์และความเชื่อมั่นขององค์กร รวมถึงส่งผลให้ธุรกิจเกิดการหยุด ชะงักทั้งในแง่การทำงานภายในองค์กร การให้บริการลูกค้า หรือการผลิตสินค้า เป็นต้น

- Hacker เปลี่ยนรูปแบบโจมตีซับซ้อน -

ในยุคดิจิทัลที่ทุกคนสามารถเข้าถึงเครื่องมือ ความรู้ต่างๆ ได้ง่ายขึ้น ทำให้แฮกเกอร์มีจำนวนมากขึ้นและเก่งขึ้นเช่นเดียวกัน จากเดิมที่การโจรกรรมข้อมูลไม่สามารถทำเงินได้ง่ายนัก เนื่องจากการโอนเงินผ่านธนาคารนั้นสามารถตรวจสอบไปยังต้นทางและปลายทางได้ แต่ในปัจจุบันได้มีการใช้สกุลเงินที่ไม่สามารถติดตามธุรกรรมได้ง่ายๆ อย่างคริปโตเคอร์เรนซี ทำให้สถิติการโจรกรรมข้อมูลเพื่อเรียกค่าไถ่หรือที่เรียกว่า Ransomware เพิ่มสูงขึ้นอย่างมาก อีกทั้งยังมีบริการรูปแบบใหม่อย่าง Ransomware-as-a-Service (RaaS) ทำให้การโจมตีองค์กรจากผู้ไม่หวังดีอาจไม่ใช่เรื่องไกลตัวอีกต่อไป นอกจากนี้ รูปแบบการโจมตีก็มีความซับซ้อนที่สูงขึ้น เช่น จากทฤษฎี Cyber Kill Chain หรือ MITRE ATT&CK ที่ได้อธิบายขั้นตอนการโจมตีระบบไอทีของแฮกเกอร์ ตั้งแต่การตรวจสอบช่องโหว่ แฝงตัวเข้าไปในระบบผ่านจุดอ่อนหรือ policy ที่หละหลวม โดยจะแฝงตัวเป็นระยะเวลาหนึ่งจนกว่าจะพบเครื่องคอมพิวเตอร์ที่มีข้อมูลสำคัญ จึงทำการโจมตีเครื่องเป้าหมาย จนถึงการขนข้อมูลออกไปในที่สุด ซึ่งความน่ากังวลคือ แฮกเกอร์มีวิธีการที่แนบเนียน ซับซ้อน และใช้เวลาอยู่ในระบบค่อนข้างนาน เพื่อหลีกเลี่ยงการตรวจจับ เช่น เลียนแบบพฤติกรรมผู้ใช้งานทั่วไป หรือแอบปิดการทำงานของระบบ Antivirus เป็นต้น

- Big Data เสริมความปลอดภัย -

จากภัยปัจจุบันที่มีความซับซ้อนยิ่งขึ้นจึงทำให้รูปแบบหรือเฟรมเวิร์กการป้องกันแบบเดิมเริ่มไม่เพียงพอที่จะป้องกันได้ การนำ Big Data มาประยุกต์ใช้ในการทำโซลูชันด้านความปลอดภัยทางไซเบอร์ถือเป็นกลยุทธ์สำคัญ ที่จะช่วยเพิ่มความสามารถให้กับองค์กรในการป้องกันการโจมตี โดยการนำข้อมูลที่เกี่ยวข้องทางด้านไซเบอร์ทั้งหมดไม่ว่าจะเป็นข้อมูลบันทึกของอุปกรณ์ ข้อมูลจากแอปพลิเคชัน รวมไปถึงข้อมูลทางด้านภัยคุกคามจากภายนอกมาจัดเก็บและประมวลผล เพื่อทำการตรวจพิสูจน์หลักฐาน (forensic) ทางดิจิทัลที่ครอบคลุมในทุกส่วนขององค์กร ขณะเดียวกันยังกล่าวได้ว่า เป็นการปลดล็อกขีดจำกัดของเครื่องมือเดิมที่รองรับเฉพาะอุปกรณ์ทางด้านไซเบอร์ที่รู้จักเท่านั้น ด้วย Big Data สามารถรองรับข้อมูลใดก็ได้จากหลากหลายชนิดที่มีขนาดใหญ่ รวมไปถึงมีการเปลี่ยนแปลงของข้อมูลที่ค่อนข้างเร็วอีกทั้งยังสามารถนำข้อมูลพฤติกรรมความผิดปกติต่างๆ ที่ตรวจสอบพบมาวางแนวทางในการป้องกันภัยไซเบอร์ในอนาคตได้ ซึ่ง Big Data สามารถเพิ่มศักยภาพให้กับระบบ cyber security ขององค์กรได้ใน 3 ส่วน ได้แก่ การสืบสวนเหตุการณ์จากข้อมูลบันทึกขนาดใหญ่ ด้านความช่วยเหลือและเพิ่มประสิทธิภาพการทำงานของทีมไอทีและความปลอดภัยทางไซเบอร์ รวมทั้งการนำข้อมูลขนาดใหญ่มาสร้างระบบวิเคราะห์และตรวจจับภัยคุกคามทางไซเบอร์ขั้นสูง สำหรับการสืบสวนเหตุการณ์จากข้อมูลบันทึกขนาดใหญ่ซึ่งเกี่ยวข้องกับพฤติกรรมของแฮกเกอร์ในปัจจุบันที่มีการแฝงตัวเข้ามาในระบบเป็นเวลานานก่อนจะกระทำการใดๆ องค์กรจึงควรใช้เทคโนโลยีหรือเครื่องมือที่สามารถรวบรวมข้อมูลเหล่านี้จัดเก็บได้ยาวนาน และวิเคราะห์เพื่อตรวจจับความผิดปกติที่เกิดขึ้นได้จากข้อมูลย้อนหลังที่ถูกจัดเก็บไว้ เช่น การตรวจสอบพฤติกรรมรายบุคคล หรืออุปกรณ์แต่ละชิ้นที่ผิดปกติไปจากพฤติกรรมเดิมบนข้อมูลพฤติกรรมของทั้งบริษัท จากข้อมูลบันทึกย้อนหลัง 1 ปีที่ผ่านมา พร้อมทั้งยังต้องสามารถรายงานผลความผิดปกติที่เกิดขึ้นได้อย่างรวดเร็วและทันท่วงทีเพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้น รวมทั้งการจัดเก็บข้อมูลย้อนหลังให้มากที่สุดเท่าที่จะทำได้จะช่วยให้นักวิเคราะห์ข้อมูลทางไซเบอร์สามารถทำการตรวจพิสูจน์หลักฐานข้อมูลย้อนหลังที่ถูกจัด เก็บไว้เพื่อสืบหาต้นตอของปัญหาที่เกิดขึ้นได้อย่างรวดเร็ว พร้อมทั้งสามารถนำข้อมูล ที่ได้ไปใช้ในการวางแนวทางป้องกันปัญหาที่อาจจะเกิดขึ้นได้ในอนาคต

ด้านความช่วยเหลือและเพิ่มประสิทธิภาพการทำงานของทีมไอทีและความปลอดภัยทางไซเบอร์คือ เมื่อมีข้อมูลของบุคคลและอุปกรณ์รวมศูนย์อยู่ ณ ที่เดียวกันแล้ว ทำให้ทีมของศูนย์ความปลอดภัยทางไซเบอร์สามารถเข้าถึงข้อมูลที่สำคัญและดำเนินการต่อได้อย่างรวดเร็ว อีกทั้งยังสามารถใช้เทคนิคสมัยใหม่อย่างการทำ data visualization เช่น การแสดงผลข้อมูลระดับการแจ้งเตือนของทุกอุปกรณ์ ที่ทำให้สามารถดูและทราบได้ทันทีว่ามีปัญหาเกิดขึ้นหรือไม่ หรือการเชื่อมความสัมพันธ์ของธุรกรรมที่เชื่อมโยงทุกอุปกรณ์เข้าด้วยกัน เพื่อให้เห็นภาพรวมของทั้งระบบขององค์กรว่ามีปัญหาเกิดขึ้นที่จุดไหนหรือไม่ ทั้งนี้จึงสามารถเป็นเครื่องมือให้กับทีมไอทีและศูนย์ความปลอดภัยทางไซเบอร์ช่วยในการลดระยะเวลาการตรวจจับ (MTTD: Mean-Time-to-Detect) และลดระยะเวลาในการตอบสนอง (MTTR: Mean-Time-to-Response) นอกจากนั้น ข้อมูลขนาดใหญ่หรือ Big Data ยังสามารถนำมาช่วยสร้างระบบวิเคราะห์และตรวจจับภัยคุกคามทางไซเบอร์ขั้นสูงได้จากข้อมูลที่ถูกจัดเก็บไว้หลากหลายแหล่ง ทำให้ได้ข้อมูลพฤติกรรมของอุปกรณ์ แอปพลิเคชัน และข้อมูลบุคคล ทำให้เห็นรูปแบบและพฤติกรรมในแต่ละส่วนที่แตกต่างกัน ซึ่งเหมาะสมและสามารถนำไปต่อยอดในการวิเคราะห์ขั้นสูงเพื่อทำโซลูชันป้องกันภัยคุกคามทางไซเบอร์ด้วยเทคนิคอย่าง Machine Learning (ML) หรือ Artificial Intelligence (AI) โดยอาศัยข้อมูลขนาดใหญ่เหล่านี้ในการเรียนรู้ และให้คอมพิวเตอร์เป็นตัวบอกถึงความผิดปกติที่เกิดขึ้น ไม่ว่าจะเป็นความผิดปกติจากต้นตออย่างมัลแวร์เอง หรือความผิดปกติจากพฤติกรรมหรืออาการที่เกิดขึ้นจากมัลแวร์หรือแฮกเกอร์ ทั้งหมดนี้จึงเป็นกลยุทธ์สำคัญที่จะช่วยยกระดับระบบความปลอดภัยทางไซเบอร์ให้มีประสิทธิภาพยิ่งขึ้น เช่น การใช้ Machine Learning เพื่อช่วยตรวจจับธุรกรรมหรือผู้เข้าใช้งานที่มีโอกาสจะกำลังแอบขนข้อมูลออกไปอย่างไม่ถูกต้อง อย่างไรก็ตาม Blendata ได้พัฒนา Blendata-Enterprise ซึ่งเป็น Code-free Big Data Platform ที่ช่วยเพิ่มประสิทธิภาพในการทำโซลูชัน cyber security ให้กับองค์กร โดยรองรับข้อมูลที่เกี่ยวข้องทางไซเบอร์ในทุกรูปแบบโดยไม่ต้องเขียนโค้ด ซึ่งสามารถทำการพิสูจน์ (forensic) หรือสืบค้นข้อมูลย้อนหลังได้ในเวลาเพียงหลักวินาที พร้อมศักยภาพในการจัดเก็บข้อมูล แบบ near real-time อีกทั้งยังสามารถติดตั้งระบบการแจ้งเตือนเมื่อเกิดเหตุผิดปกติ และสามารถนำไปต่อยอดในการทำ AI/ML เพื่อการตรวจจับภัยคุกคามทางไซเบอร์ในขั้นสูงได้