คนไม่ไหว AI ต้องช่วย! ระวังปี 67 ภัยไซเบอร์ล้นมือ (Cyber Weekend)

ชัดเจนแล้วว่าแนวโน้มหลักในวงการไซเบอร์ซิเคียวริตีปี 2567 จะต่อยอดจากปี 2566 ทั้งภาวะภัยออนไลน์ที่ส่อแววล้นทะลักยิ่งขึ้นจนมนุษย์ไม่อาจจัดการได้เอง และการยกทัพปัญญาประดิษฐ์ หรือ AI มาช่วยเสริมแกร่งกระบวนการต้านโจรไฮเทค

สถานการณ์แบบนี้ทำให้หลายบริษัทหนักใจกับระบบไซเบอร์ซิเคียวริตีของตัวเอง โดยเฉพาะบริษัทที่ยังใช้งานอุปกรณ์เครือข่ายรุ่นดั้งเดิม ซึ่งอาจใช้งานคนละยี่ห้อหรือมีการแยกกันทำงานเป็นชิ้นเพราะเมื่อทำงานร่วมกันไม่ได้ การสร้างระบบป้องกันภัยไซเบอร์ที่ทำงานอัตโนมัติก็เกิดไม่ได้จึงต้องมีการเพิ่มพนักงานเข้ามาดูแล และสุดท้ายทำให้ไม่สามารถพาตัวเองให้รองรับภัยมหาศาลในปีถัดๆ ไป แถมยังอาจทำให้เสียต้นทุนโดยใช่เหตุ

ความเสียหายนี้ไม่ใช่เรื่องเล่นๆ เพราะผลวิจัยบอกว่าเวลาที่ถูกโจมตี บริษัทส่วนใหญ่ใช้เวลาเฉลี่ยกว่า 21 วันในการตรวจสอบพบเจอ แปลว่ากว่าจะได้เริ่มดำเนินการอุดช่องโหว่แฮกเกอร์สามารถนำข้อมูลไปทำสิ่งร้ายได้นานหลายสัปดาห์แล้ว ความท้าทายเหล่านี้ทำให้คำว่าการดำเนินงานด้านการรักษาความปลอดภัย (Security Operations) หรือที่คนทั่วโลกเรียกกันว่า SecOps นั้นมีความสำคัญมากขึ้น โดยการสำรวจล่าสุดพบว่า 52% ของบริษัททั่วโลกนั้นมอง SecOps เป็นงานมีความยุ่งยาก และบริษัทในประเทศไทยจำนวนมากยังไม่มี

***ภัยล้นคนไม่ไหว

รัตติพงษ์ พุทธเจริญ ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบ ฟอร์ติเน็ต ประเทศไทย กล่าวถึงผลสำรวจใหม่ที่จัดทำร่วมกับ IDC เกี่ยวกับสถานการณ์การดำเนินงานด้านการรักษาความปลอดภัย ในหัวข้อ The State of Security Operations (SecOps) ในภาคพื้นเอเชียแปซิฟิกว่า จากการสัมภาษณ์ผู้บริหารบริษัทรวม 550 คนทั่วเอเชีย (ในจำนวนนี้มาจากประเทศไทย 50 คน) พบว่า Top 5 ภัยคุกคาม 5 อันดับแรก ได้แก่ ฟิชชิ่ง การขโมยข้อมูลส่วนตัว แรนซัมแวร์ ช่องโหว่ที่ยังไม่ได้รับการแก้ไข และการโจมตีอุปกรณ์ IoT ซึ่งภาพรวมภัยคุกคามจะแตกต่างกันไปตามแต่ละประเทศ

“ภัยหลักคือ 2 ตัวแรก คือ ฟิชชิ่งกับภัยขโมยอัตลักษณ์ รวมกันเกิน 50% ถือเป็นตัวที่น่ากังวลที่สุด ตัวที่บ้านเราได้ยินบ่อยคือแรนซัมแวร์ นั้นอยู่อันดับ 3 เติบโต 100% ต่อปี การเติบโต 2 เท่าแบบนี้ค่อนข้างน่ากลัว” นายรัตติพงษ์ กล่าว “การทำงานจากทางไกลหรือรีโมตเวิร์กทำให้ภัยในองค์กรเพิ่มขึ้นโดย 80% รู้สึกว่าช่องโหว่เพิ่มขึ้น ส่วนหนึ่งเป็นเพราะองค์กรมีความรู้ไม่เพียงพอ ไม่มีความใส่ใจอุปกรณ์ที่ใช้ ไม่มีการแจ้งเหตุสิ่งน่าสงสัยให้ทราบ หลังจากนั้นก็เกิดแรนซัมแวร์ขึ้นมา”


การสำรวจพบว่าภัยไซเบอร์ปี 67 นั้นเกี่ยวข้องกับอิมแพกต์ของเทคโนโลยี Top 5 ที่ใช้มากในบริษัททั่วเอเชียแปซิฟิกนั่นคือเทคโนโลยีคลาวด์ ซึ่งปัจจุบันพบว่าผู้ให้บริการคลาวด์จำนวนมากตบเท้าเข้ามาเปิดศูนย์ข้อมูลในไทย ยังมีเทคโนโลยีไฮบริดเวิร์ก ปัญญาประดิษฐ์ เทคโนโลยีประมวลผลที่เอดจ์ ระบบ IT/OT เช่น เทคโนโลยีในโรงงานหรือโรงไฟฟ้า ซึ่งทำให้ปัจจุบันมีการแฮกมากขึ้นตามการใช้งานที่เพิ่มขึ้นบนผู้ดูแลที่ยังมีจำนวนน้อยอยู่

เมื่อพูดถึงผู้ดูแลระบบ การสำรวจพบว่าบริษัทกว่า 98% บอกว่ายากมากในการรักษาคนไอที หลายบริษัทประสบปัญหาบุคลากรที่มีใบรับรองถูกซื้อตัวไปทำงานที่อื่น จึงมีการลงทุนทำออโตเมชันในระบบไซเบอร์ซิเคียวริตี เบื้องต้น พบว่ามีการทำแล้วในบริษัทไทยกว่า 96% ของกลุ่มตัวอย่าง โดยส่วนใหญ่พอใจกับระบบเพราะทำแล้วได้ผลดี

“กลุ่มตัวอย่าง 93% บอกว่าระบบอัตโนมัติสามารถตรวจจับภัยไซเบอร์ได้เร็ว แต่ 25% บอกว่ายังไม่พอใจ แปลว่ายังต้องพัฒนา เช่น การยกระดับให้ระบบกลั่นกรองได้ว่าภัยไหนสำคัญ ต้องดำเนินการก่อนหรือหลัง และหลังจากพบภัยต้องหยุดให้ได้ ไม่ให้เครื่องที่ติดเชื้อไปคุยกับเครื่องอื่นในระบบ และจะยิ่งดีหากระบบสามารถกำจัดเอาไวรัสออกไปได้เอง รวมถึงจะยิ่งดีมากขึ้นหากระบบออโตเมชันสามารถกู้ไฟล์ที่เสียหายกลับมาได้”

อย่างไรก็ตาม ความสามารถทั้งหมดนี้สามารถทำได้แล้ว เพียงแต่บางองค์กรยังไม่ได้หยิบมาใช้ รัตติพงษ์ จึงเชื่อว่ายังมีโอกาสที่ตลาด SecOps จะขยายตัวอีกในปี 2567

ในภาพรวม การแจ้งเตือนที่เข้ามาในระบบออโตเมชัน พบว่ามีเฉลี่ย 220 ภัยต่อวัน จำนวนนี้สูงมากจนอาจเกินกว่าความสามารถในการจัดการของพนักงาน บางบริษัทโดยในเอเชียแปซิฟิกพบว่า 3 ใน 4 ขององค์กรไม่ได้มีการประเมินความเสี่ยง ทำให้ไม่ทราบว่าจุดอ่อนของระบบที่องค์กรมีนั้นอยู่ที่ใดซึ่งเมื่อไม่ทราบว่าจุดใดต้องระวังเป็นพิเศษ บริษัทจึงไม่สามารถวางแผนเพื่อตรวจจับภัยได้ดีเท่าที่ควร


ในขณะที่บางบริษัทเคยประสบกับเหตุการณ์ภัยคุกคามมากถึง 500 ครั้งต่อวัน การสำรวจพบว่าโดยเฉลี่ยแล้วบริษัทจะมีผู้เชี่ยวชาญด้าน SecOps อยู่เพียง 1 คน ซึ่งต้องดูแลพนักงานจำนวน 219 คน และต้องจัดการกับการแจ้งเตือนประมาณ 35 ครั้งต่อวัน ทำให้เวิร์กโหลดกลายเป็นความกดดันหลักของบรรดาผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์ เพราะต้องใช้เวลาประมาณ 14 นาทีในการจัดการกับการแจ้งเตือนแต่ละครั้งตลอดระยะเวลา 8 ชั่วโมงของการทำงานในแต่ละวัน



***โอกาสทอง SecOps

ข้อจำกัดเหล่านี้ตอกย้ำถึงโอกาสของ SecOps ในปี 2567 โดยฟอร์ติเน็ตมองว่าการทำซิเคียวริตีโอเปอเรชันนั้นจะต้องทำให้อุปกรณ์เครือข่าย เช่น ไฟล์วอลล์รู้ว่ามีมัลแวร์อยู่ในระบบ แล้วปิดตัวเองลง ก่อนจะแจ้งให้ทีมงานทราบ สิ่งที่ฟอร์นิเน็ตทำคือการพัฒนาอุปกรณ์เครือข่ายไอทีแบบปลอดภัย โดยนำเอาเทคโนโลยีซิเคียวริตีมาบวกกับเทคโนโลยีเครือข่าย ให้เกิดเป็นความปลอดภัยแบบครบวงจรที่มากกว่าบริการศูนย์ SoC รวมถึงการให้บริการรักษาความปลอดภัยบนคลาวด์แบบครอบจักรวาล (Universal SaSE) ซึ่งดูแลลูกค้าองค์กรได้ไม่ว่าจะอยู่บนคลาวด์ค่ายใด

“การดูแลที่มากกว่าศูนย์ SoC คือความครบทุกฟังก์ชันที่มีในเฟรมเวิร์ก ทั้งวิเคราะห์ความเสี่ยง ว่าข้อมูลหลุดไปที่เว็บใต้ดินหรือไม่ มีโซลูชันที่เป็นบริการดูว่าองค์กรมีความเสี่ยงใด เมื่อเกิดเสียหายก็กู้ระบบกลับมา” นายรัตติพงษ์ กล่าว “จากเวลาที่เคยใช้ในการตรวจจับ 21 วัน และมีโอกาสที่ข้อมูลจะไหลไปไกล นั้นสามารถลดเหลือ 12 นาที และการใช้เวลามากมายในการจัดการ สามารถลดเวลาลงเหลือ 1 ชั่วโมง”

ในอีกด้าน ปี 67 อาจเป็นปีที่การรักษาความปลอดภัยไซเบอร์ได้รับอิทธิพลจากเทคโนโลยีปัญญาประดิษฐ์แบบ GenAI ที่สามารถสร้างเนื้อหาได้ตามคำถามที่ป้อน เห็นได้จากการเปิดตัว “ฟอร์ติเน็ตแอดไวซ์เซอร์” บริการที่ลูกค้าฟอร์ติเน็ตสามารถถามคำถาม เพื่อให้ GenAI แนะนำขั้นตอนการดำเนินการหากพบภัยโจมตี โดยสามารถตอบคำถามเรื่องไซเบอร์ซิเคียวริตี เพื่อให้ทีมไอทีนำไปใช้ได้ รวมถึงสามารถขอข้อมูลเกี่ยวกับมัลแวร์ที่ต้องการอย่างลึกซึ้งขึ้น หรือรายงานประวัติการโจมตีใน 30 วันที่มัลแวร์นี้ออกอาละวาด

“เราสามารถขอให้ AI สร้างคู่มือหรือเพลย์บุ๊กออโตเมชัน เพื่อให้รู้เลยว่าใครยิงมา ทั้งหมดนี้ตอบได้โดย GenAI ไม่มีค่าใช้จ่าย และมีการฝังลงในระบบช่วยเหลือลูกค้าแล้วทุกคนเข้าไปคุยได้”

ที่สุดแล้ว ฟอร์ติเน็ตเชื่อว่าสถานการณ์ราคาในตลาดไซเบอร์ซิเคียวริตีช่วงยุคที่ AI เฟื่องฟูนั้นจะมีเม็ดเงินสะพัดมากขึ้น เนื่องจากบริษัทต่างมีความจำเป็นต้องลงทุนทำ SecOps อย่างต่อเนื่องเพื่อดูแลความปลอดภัย และให้เป็นไปตามกฎเกณฑ์การกำกับดูแลของภาครัฐ ในภาพรวมเชื่อว่าจะเกิดแรงกระเพื่อมเรื่องการไม่ต้องพึ่งพาบุคลากรที่มีค่าตัวแพงลิ่ว เป็นการลดภาระการใช้คนขององค์กรได้