Tuesday, October 4, 2022
ArticlesSansiri Sirisantakupt

ปัญญาประดิษฐ์ และระบบอัตโนมัติเพื่อความปลอดภัยบนโลกไซเบอร์

ถอดรหัสการทำงานของ ระบบอัตโนมัติแจ้งเตือนการโจมตีทางไซเบอร์ (ACD) สำหรับการป้องกันเครือข่ายของกองทัพอากาศสหรัฐฯ นำเทคโนโลยีการเรียนรู้ของเครื่อง มาใช้ตอบสนองต่อปฏิกิริยาที่น่าสงสัยบนเครือข่าย

จุดประสงค์หลักในการป้องกันเครือข่ายของกองทัพอากาศสหรัฐฯ (AFNET) ที่ทำกันอย่างเต็มรูปแบบนั้น เพื่อให้บริการแก่ผู้ใช้ของ ทอ.สหรัฐฯ สำหรับการทำงานประจำในแต่ละวันให้สามารถทำได้อย่างปลอดภัย โดยใช้ระบบอัตโนมัติ (Automation) ที่ถูกสร้างมาอย่าง ระบบอัตโนมัติแจ้งเตือนการโจมตีทางไซเบอร์ (The Air Force Cyberspace Defense: ACD) มีหน้าที่คอยเฝ้าติดตามอย่างต่อเนื่องและตอบสนองต่อปฏิกิริยา หรือการกระทำที่น่า สงสัยทางไซเบอร์

ใน 5 ปีที่ผ่านมา ทอ.สหรัฐฯ ได้นำเทคโนโลยีการเรียนรู้ของเครื่อง (ML) ที่เป็นสาขาหนึ่งของ ปัญญาประดิษฐ์ (AI) มาใช้บนโลกไซเบอร์ ด้วยคุณสมบัติของ ML จะทำให้ระบบอัตโนมัติ ACD สามารถที่จะติดตามและตอบสนองต่อปฏิกิริยาที่น่าสงสัยได้อย่างต่อเนื่องแทนการทำงานของมนุษย์ อันทำให้ระบบอัตโนมัติในแต่ละประเภทและโปรโตคอลการตอบสนองจะถูกเรียกขึ้นมา

บทความโดย: น.อ.สรรสิริ สิริสันตคุปต์ นักวิชาการกองทัพอากาศ เชี่ยวชาญด้านเทคโนโลยีสารสนเทศ การสื่อสาร และการรักษาความมั่นคงปลอยภัย ด้านอวกาศและไซเบอร์

เมื่อ ระบบอัตโนมัติแจ้งเตือนการโจมตีทางไซเบอร์ ได้ตรวจพบสิ่งที่ไม่ปกติเกิดขึ้นบนเครือข่ายของ ทอ.สหรัฐฯ ด้วยภาพรวมได้รับการยอมรับจากผู้ใช้ของ ทอ.สหรัฐฯ เป็นอย่างมาก ในปัจจุบันบริษัทและองค์กรเอกชนในสหรัฐฯ เห็นประโยชน์จากการลงทุนบนระบบอัตโนมัติ (Automation) ที่ใช้ความสามารถ ML และ ปัญญาประดิษฐ์ AI ซึ่งสามารถช่วยลดความเสี่ยงการถูกโจมตีบนโลกไซเบอร์ได้

จากบทความ Intruder Alert ของ กิเดียน กรูโด คอลัมนิสต์ US Air Force Magazine จึงขอนำเสนอการทำงานของ ACD ในแต่ละประเภท โดยบทความในฉบับมีมุมมองและรายละเอียดที่น่าสนใจดังนี้

ประเภท 1 แจ้งเตือนการบุกรุกเจาะระบบ
ความหมายอย่างเป็นทางการ

การเข้าถึงระบบเครือข่ายกองทัพอากาศสหรัฐฯ โดยไม่ได้รับอนุญาต ผู้ประสงค์ร้ายมุ่งเป้าหมายสู่ระบบเครือข่ายด้วยการได้รับสิทธิที่สามารถเข้าถึงได้ในระดับชั้นความลับ ซึ่งทำให้การเข้าถึงเครือข่ายในระดับที่สามารถทำภารกิจ หรือควบคุมเครือข่ายได้

สิ่งที่หมายถึง

นี่เป็นสถานการณ์ที่เลวร้ายที่สุด ฝ่ายตรงกันข้ามได้รับสิทธิพิเศษ เช่น สิทธิการเข้าถึงระดับผู้ดูแลระบบฯ เข้าสู่เซิร์ฟเวอร์หรือคอมพิวเตอร์เชื่อมต่อกับ AFNET ซึ่งฝ่ายตรงข้ามสามารถ ส่งข้อมูลสำคัญออกไปข้างนอก, ค้นหา, เคลื่อนที่ไปรอบๆ เครือข่ายนี้ หรือแม้กระทั่งสามารถเปิดการโจมตีเพิ่มเติมจากภายในเครือข่ายของ AFNET ต่อระบบที่สำคัญๆ ของการทำงานทั้งหมด

ประเภท 2 แจ้งเตือนการบุกรุกระดับผู้ใช้
ความหมายอย่างเป็นทางการ

การเข้าถึงระบบเครือข่ายกองทัพอากาศสหรัฐฯ โดยไม่ได้รับอนุญาต ซึ่งเป็นการเข้าถึงในแบบไม่ได้รับสิทธิพิเศษ (Nonprivileged Access) ทั่วๆ ไปอยู่ในระดับ User Access ที่ให้สิทธิการเข้าถึงระบบเครือข่ายตามสิทธิที่ได้จำกัดไว้ให้แก่ผู้ใช้แต่ละคน

สิ่งที่หมายถึง

นี่เป็นสถานการณ์ที่เลวร้ายในอันดับที่สอง เวลานี้ฝ่ายตรงข้ามมีการเข้าถึงคอมพิวเตอร์ที่มี การเชื่อมต่อกับ AFNET (ไม่ได้รับสิทธิพิเศษ) เช่น การเข้าถึงระดับผู้ใช้ ซึ่งฝ่ายตรงกันข้ามไม่สามารถทำอะไรกับคอมพิวเตอร์, เครือข่าย หรือโครงสร้างพื้นฐานนี้ อย่างไรก็ตามยังต้องการทักษะที่จำเป็นเพื่อเข้าถึงได้มากกว่านี้ นั่นก็คือมีความเป็นไปได้ที่ฝ่ายตรงกันข้ามพยายามจะเพิ่มการเข้าถึงในระดับผู้ดูแลระบบ

ประเภท 3 แจ้งความพยายามที่ไม่สำเร็จ
ความหมายอย่างเป็นทางการ

ความพยายามในการเข้าถึงระบบเครือข่ายกองทัพอากาศสหรัฐฯ โดยไม่ได้รับอนุญาต ซึ่งไม่สำเร็จโดยการป้องกันตามกลไกปกติ การกระทำในการบุกรุกดังกล่าวไม่สามารถที่จะระบุ ได้ว่าเป็นการเข้ามาเพื่อการค้นหาบนระบบเครือข่าย

สิ่งที่หมายถึง

ฝ่ายตรงข้ามพยายามเจาะระบบเครือข่ายกองทัพอากาศสหรัฐฯ แต่ต้องเผชิญกับการป้องกันของ ACD หรือนักรบไซเบอร์และพบกับความพ่ายแพ้ ถึงแม้การป้องกันจะประสบความสำเร็จในเหตุการณ์นี้ แต่ผู้ดูแลระบบก็จำเป็นต้องทำการตรวจสอบเพื่อหาในสิ่งที่ทำให้เกิดความผิดพลาด อันเป็นเหตุให้โปรโตคอลการตอบสนองถูกเรียกขึ้นมาเพื่อการป้องกัน

ประเภท 4 แจ้งเตือนปฏิเสธการให้บริการ
ความหมายอย่างเป็นทางการ

การกระทำที่ลดประสิทธิภาพ ขัดขวาง หรือยับยั้งการทำงานตามปกติบนระบบเครือข่าย AFNET

สิ่งที่หมายถึง

กองทัพอากาศสหรัฐฯ พิจารณาเป็นการโจมตีแบบปฏิเสธการให้บริการ (Denial of service) อันเป็นเหตุการณ์ที่ร้ายแรงซึ่งฝ่ายตรงข้ามอาจโจมตีด้วยอีเมล์จำนวนมากที่มาจากเครื่องคอมพิวเตอร์ เพื่อทำให้ระบบเครือข่ายที่ใช้ในภารกิจสำคัญนั้น ทำงานช้าลงจนกระทั่งหยุดการทำงาน หรือที่รู้จักในอีกชื่อหนึ่ง ว่า Botnet

ประเภท 5 แจ้งการกระทำที่ไม่เป็นไปตามข้อกำหนด
ความหมายอย่างเป็นทางการ

การกระทำที่อาจทำให้ระบบต่างๆ ของกองทัพอากาศเกิดความเสี่ยงเพิ่มขึ้น เป็นผลมาจากการกระทำของผู้ใช้ที่ได้รับสิทธินั้น ไม่เป็นไปตามข้อกำหนด

สิ่งที่หมายถึง

ผู้ใช้ที่ได้รับสิทธิเข้าถึงระบบเครือข่ายกองทัพอากาศสหรัฐฯ อาจทำให้เกิดช่องโหว่ ด้วยผู้ใช้ฯ อาจเปิดและอาจคลิกที่อีเมล์ฟิชชิ่ง หรือดาวน์โหลดซอฟต์แวร์ที่ติดไวรัสเข้าสู่ AFNET การกระทำที่ อาจสร้างความเสียหายหรือไม่ปลอดภัยโดยผู้ใช้ฯ ดังกล่าวนั้น ถือเป็นเรื่องที่เกิดขึ้นได้

ประเภท 6 แจ้งการลาดตระเวน
ความหมายอย่างเป็นทางการ

การกระทำที่ต้องการรวบรวมข้อมูล เพื่อให้ได้รู้ลักษณะของระบบต่างๆ ในกองทัพอากาศ อย่างเช่น แอปพลิเคชัน เครือข่าย และผู้ใช้ ซึ่งอาจนำไปใช้ให้เป็นประโยชน์ ถ้าต้องวางแผนในการโจมตี

สิ่งที่หมายถึง

มีคนพยายามคิดว่า เครือข่ายกองทัพอากาศสหรัฐฯ นั้นมีลักษณะอย่างไรจากมุมมองภายใน ด้วยการวาดภาพหรือ การติดตามการทำงาน คนคนนั้นไม่จำเป็นต้องเป็นฝ่ายตรงข้ามและการกระทำดังกล่าวอาจ มีเจตนาหรือไม่มีเจตนาประสงค์ร้าย ซึ่งความรู้ขนาดนี้อาจนำไปสู่การโจมตี AFNET หรือช่วยเหลือในการโจมตี AFNET

U.S. Cyber Command members work in the Integrated Cyber Center, Joint Operations Center at Fort George G. Meade, Md., April. 2, 2021. (Photo by Josef Cole) Source: ALSA
ประเภท 7 แจ้งเตือนโปรแกรมประสงค์ร้าย
ความหมายอย่างเป็นทางการ

การติดตั้งซอฟต์แวร์ที่ถูกออกแบบและถูกใช้งานโดยฝ่ายตรงข้าม ซึ่งมีเจตนาประสงค์ร้าย (Malicious Logic) เพื่อเป้าหมายในการเข้าถึงทรัพยากร หรือข้อมูลโดยไม่ได้รับความยิน ยอมจากผู้ใช้ ในประเภทนี้สามารถนำไปสู่อันตรายระดับปานกลางจนถึงขั้นรุนแรง

สิ่งที่หมายถึง

โปรแกรมหรือซอฟต์แวร์บางส่วนได้เข้าสู่ระบบเครือข่าย AFNET แล้ว โดยผ่านคอมพิวเตอร์หรือเซิร์ฟเวอร์และได้รับการติดตั้งแล้ว ซึ่งภายในโปรแกรมจะถูกออกแบบมา เพื่อดำเนินการโจมตีบนเครือข่ายหรือไม่ก็ตาม สิ่งนี้ไม่ใช่เรื่องสำคัญ แต่จำเป็นที่จะต้องได้รับการตรวจสอบ

โดยทั่วไปนั้นมักจะเข้าไปสู่ระบบเครือข่าย โดยที่ไม่ได้รับอนุญาตหรือความยินยอมจากผู้ใช้ ในบางครั้งก็มาจากการเปิดอีเมล์ฟิชชิ่ง

ประเภท 8 แจ้งการสืบสวน
ความหมายอย่างเป็นทางการ

การกระทำที่อาจเป็นการกระทำที่มีประสงค์ร้ายหรือผิดปกติ ถือว่าน่าสงสัยและกำลังอยู่ระหว่างการตรวจสอบเพิ่มเติม ซึ่งไม่มีเหตุการณ์ใดที่ถูกจัดให้เป็นประเภทนี้ แต่จะมีการจัดประเภทให้ใหม่อย่างเหมาะสมในประเภทที่ 1 – 7 หรือ ประเภทที่ 9 ก่อนที่จะ ปิดการสืบสวน

สิ่งที่หมายถึง

หากไม่มีการค้นหาต่อ ก็ยากที่ ACD จะรู้ว่าเหตุการณ์ที่เกิดขึ้นเป็นประเภทใดด้วยการบังคับให้ตรวจสอบเพิ่มเติมนั้น ก็อาจอยู่ในประเภทที่ 9 ที่ไม่เป็นภัยคุกคาม หรืออาจมีเจตนาประสงค์ร้ายก็ต้องจัดให้อยู่ในประเภทที่ร้ายแรงขึ้น

ประเภท 9 แจ้งอธิบายการกระทำที่ผิดปกติ
ความหมายอย่างเป็นทางการ

เหตุการณ์ ที่ผิดปกติได้เกิดขึ้น หลังจากได้ทำการตรวจสอบพบว่าเป็นการกระทำ ที่ไม่ได้ประสงค์ร้ายและไม่ตรงในแต่ละประเภทตามที่กำหนดไว้

สิ่งที่หมายถึง

นี่เป็นการกระทำที่ไม่เป็นอันตราย ซึ่ง ACD หรือนักรบไซเบอร์ได้กำหนดไว้ว่า ไม่เป็นภัยคุกคาม (nonthreatening) อาทิเช่น ผู้ใช้อาจทำผิดพลาดขณะใช้งานบนเครือข่าย AFNET หรือทำสิ่งที่ไม่ควรทำ ซึ่ง ACD จะจดจำสิ่งนี้ในครั้งต่อไป เพื่อไม่ให้เกิดการเรียกโปรโตคอลการตอบสนองและจะจัดการกับปัญหานี้ (ถ้าเกิดขึ้นอีก) โดยอัตโนมัติ

ข้อคิดที่ฝากไว้

กองทัพอากาศสหรัฐฯ นั้น มีขั้นตอนอย่างชัดเจนในแนวทางการปฏิบัติกับเทคโนโลยีขั้นสูง โดยเฉพาะอย่างยิ่งด้านปัญญาประดิษฐ์ (JAIC: Joint Artificial Intelligence Center)

ปัจจุบันความก้าวหน้าด้าน ML อันเป็นสาขาหนึ่งของปัญญาประดิษฐ์ (AI) มีบทบาทอย่างมากต่อระบบอัตโนมัติ (Automation) ) เช่น ระบบอัตโนมัติแจ้งเตือนการโจมตีทางไซเบอร์ ที่ไม่ได้ทำงานตามคำสั่งของโปรแกรมที่ตายตัว แต่จะเปลี่ยนแปลงการทำงานไปตามข้อมูลที่ได้เรียนรู้ มีแนวโน้มในการนำมาใช้บนโลกไซเบอร์มากขึ้นเรื่อยๆ

ถือเป็นอีกวิธีในการทำให้คอมพิวเตอร์และเครือข่ายมีความปลอดภัยที่มากขึ้น หยุดปัญหาที่ไม่น่าจะเกิดขึ้น ซึ่งถึงเวลาแล้วสำหรับการนำมาใช้ในหน่วยงานต่างๆ ทั้งภาครัฐและองค์กรเอกชน

Featured Image: USAF

อ่านบทความทั้งหมดของ น.อ. สรรสิริ สิริสันตคุปต์

Leave a Response