“ถอดรหัสการทำงานของ ระบบอัตโนมัติแจ้งเตือนการโจมตีทางไซเบอร์ (ACD) สำหรับการป้องกันเครือข่ายของกองทัพอากาศสหรัฐฯ นำเทคโนโลยีการเรียนรู้ของเครื่อง มาใช้ตอบสนองต่อปฏิกิริยาที่น่าสงสัยบนเครือข่าย
จุดประสงค์หลักในการป้องกันเครือข่ายของกองทัพอากาศสหรัฐฯ (AFNET) ที่ทำกันอย่างเต็มรูปแบบนั้น เพื่อให้บริการแก่ผู้ใช้ของ ทอ.สหรัฐฯ สำหรับการทำงานประจำในแต่ละวันให้สามารถทำได้อย่างปลอดภัย โดยใช้ระบบอัตโนมัติ (Automation) ที่ถูกสร้างมาอย่าง ระบบอัตโนมัติแจ้งเตือนการโจมตีทางไซเบอร์ (The Air Force Cyberspace Defense: ACD) มีหน้าที่คอยเฝ้าติดตามอย่างต่อเนื่องและตอบสนองต่อปฏิกิริยา หรือการกระทำที่น่า สงสัยทางไซเบอร์
ใน 5 ปีที่ผ่านมา ทอ.สหรัฐฯ ได้นำเทคโนโลยีการเรียนรู้ของเครื่อง (ML) ที่เป็นสาขาหนึ่งของ ปัญญาประดิษฐ์ (AI) มาใช้บนโลกไซเบอร์ ด้วยคุณสมบัติของ ML จะทำให้ระบบอัตโนมัติ ACD สามารถที่จะติดตามและตอบสนองต่อปฏิกิริยาที่น่าสงสัยได้อย่างต่อเนื่องแทนการทำงานของมนุษย์ อันทำให้ระบบอัตโนมัติในแต่ละประเภทและโปรโตคอลการตอบสนองจะถูกเรียกขึ้นมา
เมื่อ ระบบอัตโนมัติแจ้งเตือนการโจมตีทางไซเบอร์ ได้ตรวจพบสิ่งที่ไม่ปกติเกิดขึ้นบนเครือข่ายของ ทอ.สหรัฐฯ ด้วยภาพรวมได้รับการยอมรับจากผู้ใช้ของ ทอ.สหรัฐฯ เป็นอย่างมาก ในปัจจุบันบริษัทและองค์กรเอกชนในสหรัฐฯ เห็นประโยชน์จากการลงทุนบนระบบอัตโนมัติ (Automation) ที่ใช้ความสามารถ ML และ ปัญญาประดิษฐ์ AI ซึ่งสามารถช่วยลดความเสี่ยงการถูกโจมตีบนโลกไซเบอร์ได้
จากบทความ Intruder Alert ของ กิเดียน กรูโด คอลัมนิสต์ US Air Force Magazine จึงขอนำเสนอการทำงานของ ACD ในแต่ละประเภท โดยบทความในฉบับมีมุมมองและรายละเอียดที่น่าสนใจดังนี้
ประเภท 1 แจ้งเตือนการบุกรุกเจาะระบบ
ความหมายอย่างเป็นทางการ
การเข้าถึงระบบเครือข่ายกองทัพอากาศสหรัฐฯ โดยไม่ได้รับอนุญาต ผู้ประสงค์ร้ายมุ่งเป้าหมายสู่ระบบเครือข่ายด้วยการได้รับสิทธิที่สามารถเข้าถึงได้ในระดับชั้นความลับ ซึ่งทำให้การเข้าถึงเครือข่ายในระดับที่สามารถทำภารกิจ หรือควบคุมเครือข่ายได้
สิ่งที่หมายถึง
นี่เป็นสถานการณ์ที่เลวร้ายที่สุด ฝ่ายตรงกันข้ามได้รับสิทธิพิเศษ เช่น สิทธิการเข้าถึงระดับผู้ดูแลระบบฯ เข้าสู่เซิร์ฟเวอร์หรือคอมพิวเตอร์เชื่อมต่อกับ AFNET ซึ่งฝ่ายตรงข้ามสามารถ ส่งข้อมูลสำคัญออกไปข้างนอก, ค้นหา, เคลื่อนที่ไปรอบๆ เครือข่ายนี้ หรือแม้กระทั่งสามารถเปิดการโจมตีเพิ่มเติมจากภายในเครือข่ายของ AFNET ต่อระบบที่สำคัญๆ ของการทำงานทั้งหมด
ประเภท 2 แจ้งเตือนการบุกรุกระดับผู้ใช้
ความหมายอย่างเป็นทางการ
การเข้าถึงระบบเครือข่ายกองทัพอากาศสหรัฐฯ โดยไม่ได้รับอนุญาต ซึ่งเป็นการเข้าถึงในแบบไม่ได้รับสิทธิพิเศษ (Nonprivileged Access) ทั่วๆ ไปอยู่ในระดับ User Access ที่ให้สิทธิการเข้าถึงระบบเครือข่ายตามสิทธิที่ได้จำกัดไว้ให้แก่ผู้ใช้แต่ละคน
สิ่งที่หมายถึง
นี่เป็นสถานการณ์ที่เลวร้ายในอันดับที่สอง เวลานี้ฝ่ายตรงข้ามมีการเข้าถึงคอมพิวเตอร์ที่มี การเชื่อมต่อกับ AFNET (ไม่ได้รับสิทธิพิเศษ) เช่น การเข้าถึงระดับผู้ใช้ ซึ่งฝ่ายตรงกันข้ามไม่สามารถทำอะไรกับคอมพิวเตอร์, เครือข่าย หรือโครงสร้างพื้นฐานนี้ อย่างไรก็ตามยังต้องการทักษะที่จำเป็นเพื่อเข้าถึงได้มากกว่านี้ นั่นก็คือมีความเป็นไปได้ที่ฝ่ายตรงกันข้ามพยายามจะเพิ่มการเข้าถึงในระดับผู้ดูแลระบบ
ประเภท 3 แจ้งความพยายามที่ไม่สำเร็จ
ความหมายอย่างเป็นทางการ
ความพยายามในการเข้าถึงระบบเครือข่ายกองทัพอากาศสหรัฐฯ โดยไม่ได้รับอนุญาต ซึ่งไม่สำเร็จโดยการป้องกันตามกลไกปกติ การกระทำในการบุกรุกดังกล่าวไม่สามารถที่จะระบุ ได้ว่าเป็นการเข้ามาเพื่อการค้นหาบนระบบเครือข่าย
สิ่งที่หมายถึง
ฝ่ายตรงข้ามพยายามเจาะระบบเครือข่ายกองทัพอากาศสหรัฐฯ แต่ต้องเผชิญกับการป้องกันของ ACD หรือนักรบไซเบอร์และพบกับความพ่ายแพ้ ถึงแม้การป้องกันจะประสบความสำเร็จในเหตุการณ์นี้ แต่ผู้ดูแลระบบก็จำเป็นต้องทำการตรวจสอบเพื่อหาในสิ่งที่ทำให้เกิดความผิดพลาด อันเป็นเหตุให้โปรโตคอลการตอบสนองถูกเรียกขึ้นมาเพื่อการป้องกัน
ประเภท 4 แจ้งเตือนปฏิเสธการให้บริการ
ความหมายอย่างเป็นทางการ
การกระทำที่ลดประสิทธิภาพ ขัดขวาง หรือยับยั้งการทำงานตามปกติบนระบบเครือข่าย AFNET
สิ่งที่หมายถึง
กองทัพอากาศสหรัฐฯ พิจารณาเป็นการโจมตีแบบปฏิเสธการให้บริการ (Denial of service) อันเป็นเหตุการณ์ที่ร้ายแรงซึ่งฝ่ายตรงข้ามอาจโจมตีด้วยอีเมล์จำนวนมากที่มาจากเครื่องคอมพิวเตอร์ เพื่อทำให้ระบบเครือข่ายที่ใช้ในภารกิจสำคัญนั้น ทำงานช้าลงจนกระทั่งหยุดการทำงาน หรือที่รู้จักในอีกชื่อหนึ่ง ว่า Botnet
ประเภท 5 แจ้งการกระทำที่ไม่เป็นไปตามข้อกำหนด
ความหมายอย่างเป็นทางการ
การกระทำที่อาจทำให้ระบบต่างๆ ของกองทัพอากาศเกิดความเสี่ยงเพิ่มขึ้น เป็นผลมาจากการกระทำของผู้ใช้ที่ได้รับสิทธินั้น ไม่เป็นไปตามข้อกำหนด
สิ่งที่หมายถึง
ผู้ใช้ที่ได้รับสิทธิเข้าถึงระบบเครือข่ายกองทัพอากาศสหรัฐฯ อาจทำให้เกิดช่องโหว่ ด้วยผู้ใช้ฯ อาจเปิดและอาจคลิกที่อีเมล์ฟิชชิ่ง หรือดาวน์โหลดซอฟต์แวร์ที่ติดไวรัสเข้าสู่ AFNET การกระทำที่ อาจสร้างความเสียหายหรือไม่ปลอดภัยโดยผู้ใช้ฯ ดังกล่าวนั้น ถือเป็นเรื่องที่เกิดขึ้นได้
ประเภท 6 แจ้งการลาดตระเวน
ความหมายอย่างเป็นทางการ
การกระทำที่ต้องการรวบรวมข้อมูล เพื่อให้ได้รู้ลักษณะของระบบต่างๆ ในกองทัพอากาศ อย่างเช่น แอปพลิเคชัน เครือข่าย และผู้ใช้ ซึ่งอาจนำไปใช้ให้เป็นประโยชน์ ถ้าต้องวางแผนในการโจมตี
สิ่งที่หมายถึง
มีคนพยายามคิดว่า เครือข่ายกองทัพอากาศสหรัฐฯ นั้นมีลักษณะอย่างไรจากมุมมองภายใน ด้วยการวาดภาพหรือ การติดตามการทำงาน คนคนนั้นไม่จำเป็นต้องเป็นฝ่ายตรงข้ามและการกระทำดังกล่าวอาจ มีเจตนาหรือไม่มีเจตนาประสงค์ร้าย ซึ่งความรู้ขนาดนี้อาจนำไปสู่การโจมตี AFNET หรือช่วยเหลือในการโจมตี AFNET
ประเภท 7 แจ้งเตือนโปรแกรมประสงค์ร้าย
ความหมายอย่างเป็นทางการ
การติดตั้งซอฟต์แวร์ที่ถูกออกแบบและถูกใช้งานโดยฝ่ายตรงข้าม ซึ่งมีเจตนาประสงค์ร้าย (Malicious Logic) เพื่อเป้าหมายในการเข้าถึงทรัพยากร หรือข้อมูลโดยไม่ได้รับความยิน ยอมจากผู้ใช้ ในประเภทนี้สามารถนำไปสู่อันตรายระดับปานกลางจนถึงขั้นรุนแรง
สิ่งที่หมายถึง
โปรแกรมหรือซอฟต์แวร์บางส่วนได้เข้าสู่ระบบเครือข่าย AFNET แล้ว โดยผ่านคอมพิวเตอร์หรือเซิร์ฟเวอร์และได้รับการติดตั้งแล้ว ซึ่งภายในโปรแกรมจะถูกออกแบบมา เพื่อดำเนินการโจมตีบนเครือข่ายหรือไม่ก็ตาม สิ่งนี้ไม่ใช่เรื่องสำคัญ แต่จำเป็นที่จะต้องได้รับการตรวจสอบ
โดยทั่วไปนั้นมักจะเข้าไปสู่ระบบเครือข่าย โดยที่ไม่ได้รับอนุญาตหรือความยินยอมจากผู้ใช้ ในบางครั้งก็มาจากการเปิดอีเมล์ฟิชชิ่ง
ประเภท 8 แจ้งการสืบสวน
ความหมายอย่างเป็นทางการ
การกระทำที่อาจเป็นการกระทำที่มีประสงค์ร้ายหรือผิดปกติ ถือว่าน่าสงสัยและกำลังอยู่ระหว่างการตรวจสอบเพิ่มเติม ซึ่งไม่มีเหตุการณ์ใดที่ถูกจัดให้เป็นประเภทนี้ แต่จะมีการจัดประเภทให้ใหม่อย่างเหมาะสมในประเภทที่ 1 – 7 หรือ ประเภทที่ 9 ก่อนที่จะ ปิดการสืบสวน
สิ่งที่หมายถึง
หากไม่มีการค้นหาต่อ ก็ยากที่ ACD จะรู้ว่าเหตุการณ์ที่เกิดขึ้นเป็นประเภทใดด้วยการบังคับให้ตรวจสอบเพิ่มเติมนั้น ก็อาจอยู่ในประเภทที่ 9 ที่ไม่เป็นภัยคุกคาม หรืออาจมีเจตนาประสงค์ร้ายก็ต้องจัดให้อยู่ในประเภทที่ร้ายแรงขึ้น
ประเภท 9 แจ้งอธิบายการกระทำที่ผิดปกติ
ความหมายอย่างเป็นทางการ
เหตุการณ์ ที่ผิดปกติได้เกิดขึ้น หลังจากได้ทำการตรวจสอบพบว่าเป็นการกระทำ ที่ไม่ได้ประสงค์ร้ายและไม่ตรงในแต่ละประเภทตามที่กำหนดไว้
สิ่งที่หมายถึง
นี่เป็นการกระทำที่ไม่เป็นอันตราย ซึ่ง ACD หรือนักรบไซเบอร์ได้กำหนดไว้ว่า ไม่เป็นภัยคุกคาม (nonthreatening) อาทิเช่น ผู้ใช้อาจทำผิดพลาดขณะใช้งานบนเครือข่าย AFNET หรือทำสิ่งที่ไม่ควรทำ ซึ่ง ACD จะจดจำสิ่งนี้ในครั้งต่อไป เพื่อไม่ให้เกิดการเรียกโปรโตคอลการตอบสนองและจะจัดการกับปัญหานี้ (ถ้าเกิดขึ้นอีก) โดยอัตโนมัติ
ข้อคิดที่ฝากไว้
กองทัพอากาศสหรัฐฯ นั้น มีขั้นตอนอย่างชัดเจนในแนวทางการปฏิบัติกับเทคโนโลยีขั้นสูง โดยเฉพาะอย่างยิ่งด้านปัญญาประดิษฐ์ (JAIC: Joint Artificial Intelligence Center)
ปัจจุบันความก้าวหน้าด้าน ML อันเป็นสาขาหนึ่งของปัญญาประดิษฐ์ (AI) มีบทบาทอย่างมากต่อระบบอัตโนมัติ (Automation) ) เช่น ระบบอัตโนมัติแจ้งเตือนการโจมตีทางไซเบอร์ ที่ไม่ได้ทำงานตามคำสั่งของโปรแกรมที่ตายตัว แต่จะเปลี่ยนแปลงการทำงานไปตามข้อมูลที่ได้เรียนรู้ มีแนวโน้มในการนำมาใช้บนโลกไซเบอร์มากขึ้นเรื่อยๆ
ถือเป็นอีกวิธีในการทำให้คอมพิวเตอร์และเครือข่ายมีความปลอดภัยที่มากขึ้น หยุดปัญหาที่ไม่น่าจะเกิดขึ้น ซึ่งถึงเวลาแล้วสำหรับการนำมาใช้ในหน่วยงานต่างๆ ทั้งภาครัฐและองค์กรเอกชน
Featured Image: USAF
อ่านบทความทั้งหมดของ น.อ. สรรสิริ สิริสันตคุปต์
