คลังเก็บป้ายกำกับ: WEB_SECURITY

Microsoft ออกเตือนช่องโหว่ Zero-day บน IE ที่ถูกใช้โจมตีแล้ว

Microsoft ได้ออก Advisory เพื่อบรรเทาปัญหาช่องโหว่ Zero-day ที่นำไปสู่การโจมตี RCE บน Internet Explorer (IE) โดยมีรายงานว่าถูกใช้โจมตีแล้ว จึงแนะนำให้ผู้ใช้งานปฏิบัติตามอย่างเคร่งครัด

แม้จะยังไม่มีแพตช์อย่างเป็นทางการกับช่องโหว่ CVE-2020-0674 แต่ก็คาดว่า Microsoft จะออกแพตช์ฉุกเฉินมาในเร็วๆ นี้ โดยความร้ายแรงก็คือเป็นช่องโหว่ที่สามารถใช้เพื่อลอบรันโค้ดจากทางไกล (RCE) ที่เกิดขึ้นจากกลไกของสคิร์ปต์ที่จัดการ Object ในหน่วยความจำของ IE ซึ่งความผิดพลาดของหน่วยความจำอาจนำไปสู่การลอบรันโค้ดในบริบทของผู้ใช้งาน ดังนั้นหากผู้ใช้งานมีสิทธิ์ระดับผู้ดูแลแฮ็กเกอร์ก็จะได้สิทธิ์เหล่านั้นโดยสมบูรณ์ สำหรับการใช้งานบนเว็บเพียงแค่แฮ็กเกอร์สร้างเว็บไซต์อันตรายขึ้นมาและลวงให้เหยื่อเข้าชมเว็บไซต์นั้นก็สามารถโจมตีช่องโหว่ได้ เช่น ส่งเมลที่แนบลิงก์เว็บไปหาเหยื่อ

ขั้นตอนการบรรเทาปัญหาจาก Microsoft โดยใช้คำสั่งใน Administrative Prompt ทำได้ดังนี้

ผู้ใช้งาน 32 บิต

  • takeown /f %windir%\system32\jscript.dll
  • cacls %windir%\system32\jscript.dll /E /P everyone:N

ผู้ใช้งาน 64 บิต

  • takeown /f %windir%\syswow64\jscript.dll
  • cacls %windir%\syswow64\jscript.dll /E /P everyone:N
  • takeown /f %windir%\system32\jscript.dll
  • cacls %windir%\system32\jscript.dll /E /P everyone:N

สำหรับผู้สนใจสามารถติดตามเพิ่มเติมได้ที่นี่

ที่มา :  https://www.bleepingcomputer.com/news/security/microsoft-issues-mitigation-for-actively-exploited-ie-zero-day/ และ  https://www.zdnet.com/article/microsoft-warns-about-internet-explorer-zero-day-but-no-patch-yet/

from:https://www.techtalkthai.com/microsoft-warning-ie-zero-day-explioted-cve-2020-0674/

พบช่องโหว่ร้ายแรงบน WordPress Plugin คาดกระทบกว่า 320,000 เว็บไซต์

มีการค้นพบช่องโหว่ของ WordPress Plugin 2 ตัวคือ InfiniteWP Client และ WP Time Capsule คาดว่ามีผู้ใช้งานในเว็บไซต์กว่า 320,000 แห่งจึงแนะนำให้ตรวจสอบและอัปเดต

InfiniteWP Client และ WP Time Capsule เอาไว้ใช้จัดการเว็บไซต์ WordPress ได้หลายแห่งจากเซิร์ฟเวอร์เดียว รวมถึงทำ Backup ไฟล์และฐานข้อมูลตอนอัปเดตเว็บ โดยผู้เชี่ยวชาญจาก WebArx พบว่า Plugin ทั้งคู่มีปัญหาระดับโลจิคัลในโค้ด ซึ่งทำให้สามารถล็อกอินบัญชีระดับผู้ดูแลได้โดยไม่ต้องมีรหัสผ่าน

ช่องโหว่บน InfiniteWP Client เวอร์ชันต่ำกว่า 1.9.4.5 คือสามารถส่ง POST Request กับ JSON และ Base64 Encoding เพื่อลัดผ่านการร้องขอรหัสผ่านได้ หากรู้เพียงแค่ชื่อบัญชีระดับแอดมิน ในขณะที่ WP Time Capsule เวอร์ชันต่ำกว่า 1.21.16 สามารถประดิษฐ์ String ใส่ใน POST Request เพื่อดึงเอาลิสต์ของบัญชีผู้ดูแลออกมาและล็อกอินด้วยบัญชีชื่อแรกได้ โดยทั้งสองมีผู้ใช้ราว 300,000 และ 20,000 รายตามลำดับ

อย่างไรก็ตามหลังจากได้รับแจ้งเจ้าของ Plugin ทั้งสองก็รีบอัปเดตตัวเองในวันถัดไป ดังนั้นผู้ที่ใช้งานต้องรีบแพตช์นะครับเพราะถือเป็นช่องโหว่ร้ายแรง โดย WebArx ชี้ว่าเป็นเรื่องยากที่จะป้องกันด้วย Firewall เนื่องจากหน้าตาของ Payload ดีและไม่ดีแทบไม่ต่างกัน

ที่มา :  https://www.zdnet.com/article/critical-bugs-in-wordpress-plugins-infinitewp-wp-time-capsule-expose-300000-websites-to-attack/

from:https://www.techtalkthai.com/found-critical-bugs-in-wordpress-plugin-infinitewp-and-wp-time-capsule/

Black Hat Asia 2020 เปิดลงทะเบียน Early Bird แล้ว ใส่โค้ดจาก TechTalkThai รับส่วนลดเพิ่ม 15%

Black Hat เตรียมจัดงานประชุมทางด้าน Security ระดับนานาชาติ “Black Hat Asia 2020” ณ ประเทศสิงคโปร์ในวันที่ 31 มีนาคม ถึง 3 เมษายนนี้ พร้อมเปิดลงทะเบียนช่วง Early Bird ในราคาพิเศษ ผู้ที่สนใจสามารถใช้โค้ดส่วนลดเพิ่มอีกทันที 15% เมื่อลงทะเบียนผ่าน TechTalkThai

เกี่ยวกับงานประชุม Black Hat Asia 2020

Black Hat เป็นงานอบรมและประชุมกึ่งวิชาการระดับนานาชาติที่หมุนเวียนผลัดกันจัดที่สหรัฐฯ ยุโรป และเอเชีย โดยที่กำลังจะจัดล่าสุด คือ Black Hat Asia 2020 ซึ่งจะจัดขึ้นที่ Marina Bay Sands ประเทศสิงคโปร์ในวันที่ 31 มีนาคม ถึง 3 เมษายน 2020 รวมระยะเวลา 4 วันโดย 2 วันแรกจะเป็นการจัดคอร์สอบรมซึ่งจะเน้นไปทาง Offensive Security และ 2 วันหลังจะเป็นงานสัมมนาที่รวบรวมเนื้อหาทางด้าน Security หลากหลายแขนงไว้ด้วยกัน นอกจากนี้ภายในงานยังรวบรวม Vendors ด้าน Security จากทั่วโลกมาให้คำแนะนำ พร้อมอัปเดตเทคโนโลยี แนวโน้ม และเทคนิคใหม่ๆ อีกด้วย

รายละเอียดเกี่ยวกับงานประชุม: https://www.blackhat.com/asia-20

วันอบรม 31 มีนาคม ถึง 1 เมษายน 2020 (ดูรายละเอียดตารางอบรม)
วันสัมมนา 2 – 3 มีนาคม 2020 (ดูหัวข้อและบทคัดย่อการสัมมนา)
เวลา 9.00 – 17.00 น.
สถานที่ Marina Bay Sands ประเทศสิงคโปร์
ค่าอบรม เริ่มต้นที่ SGD4,400 (ประมาณ 90,000 บาท)
ค่าเข้างานสัมมนา SGD1,900 (ประมาณ 42,500 บาท) สำหรับบุคคลทั่วไป
SGD1,000 (ประมาณ 22,500 บาท) สำหรับนักศึกษา
ลิงค์ลงทะเบียน https://www.blackhat.com/asia-20/registration.html
โค้ดส่วนลดพิเศษ 1TTT20A

** พิเศษ ราคาช่วง Early Bird ลดเหลือเพียง S$1,700 (ประมาณ 38,000 บาท) สำหรับบุคคลทั่วไปจนถึงวันที่ 24 มกราคมนี้เท่านั้น **

งานนี้เหมาะกับใคร

Black Hat ถือว่าเป็นหนึ่งในงานสัมมนาด้าน Security ชั้นนำระดับโลก โดยปีนี้เนื้อหาจะแบ่งออกเป็น 16 ธีมครอบคลุมศาสตร์ด้าน Security เกือบทั้งหมด ได้แก่ Applied Security, Community, Cryptography, Data Forensics/Incident Response, Exploit Development, Hardware/Embedded, Internet of Things, Malware, Mobile, Network Defense, Platform Security, Policy, Reverse Engineering, Security Development Lifecycle, Smart Grid/Industrial Security และ Web AppSec เหมาะสำหรับผู้ที่สนใจทางด้าน Security ทุกผู้ทุกระดับ แต่จะเน้นผู้ที่สนใจ Offensive Security เป็นพิเศษ เพราะส่วนมากเป็นการนำเสนอช่องโหว่หรือวิธีการเจาะระบบรูปแบบใหม่ๆ รวมไปถึงการทำ Reverse Engineering

นักศึกษาระดับปริญญาตรีอาจยังไม่มีทักษะและความรู้เพียงพอในการเข้าฟังบรรยาย แต่ระดับปริญญาโทขึ้นไปที่เคยเรียนหรือมีประสบการณ์ทางด้าน Security มาแล้วถือว่าไม่มีปัญหา นอกจากนี้เนื้อหาบางหัวข้อก็เป็นงานวิจัยเชิงวิชาการที่สามารถนำมาต่อยอดหรือใช้เป็นแหล่งอ้างอิงให้แก่งานวิจัยของตนได้

ตัวอย่างเนื้อหาภายในงาน Black Hat Asia ปีก่อนๆ ได้ที่นี่

ติดตามข่าวสารล่าสุดจาก Black Hat ได้ที่

Twitter: @BlackHatEvents
Facebook: facebook.com/Black-Hat-Events-107691635153/
Flickr: https://www.flickr.com/photos/blackhatevents/

from:https://www.techtalkthai.com/black-hat-asia-2020-early-bird-registration/

รู้จักกับเทคโนโลยี Remote Browser Isolation ใหม่ของ Cloudflare

Cloudflare ได้ประกาศเข้าซื้อกิจการ S2 Systems Corporation เจ้าของเทคโนโลยี Remote Browser Isolation ที่แตกต่างกับผลิตภัณฑ์อื่นในตลาดทาง Cloudflare จึงได้เขียนอธิบายถึงเทคโนโลยีนี้ว่าเป็นอย่างไร

ปัจจุบันความเสี่ยงที่เกิดขึ้นบน Endpoint ในองค์กรหลายสาเหตุเกิดจาก Browser ทั้งนั้นเช่น เปิดลิงก์ Phishing ดาวน์โหลดไฟล์ที่ติดมัลแวร์เข้ามา แม้กระทั่ง Cross-site Script (XSS) เป็นต้น อย่างไรก็ตามโซลูชันที่องค์กรมีส่วนใหญ่ยังพึ่งพาการใช้งาน Signature ของไฟล์ URL หรือ DNS เท่านั้น ที่เราทราบกันดีว่าคงไม่เพียงพอ ด้วยเหตุนี้เององค์กรจึงกำลังพบอุปสรรคที่เกิดจากการ Browsing ใน 3 ด้าน

  • Security – เหตุการณ์ด้านความมั่นคงปลอดภัยและข้อมูลรั่วไหล ทำให้เกิดค่าใช้จ่ายในการกู้คืนหรือเสียชื่อเสียงและมีผลกระทบกับการดำเนินธุรกิจ
  • Control – ไม่สามารถควบคุมการใช้งานว่าใคร ดาวน์โหลดอะไร อย่างไร ได้อย่างมีประสิทธิภาพ 
  • Compliance – โดนลงโทษหรือปรับเมื่อไม่ผ่านมาตรฐานการตรวจสอบ

นอกจากนี้ยังไม่นับปัญหาที่เกิดขึ้นกับ User Experience เมื่อถูกควบคุมด้วยโซลูชัน ดังนั้นจึงเป็นที่มาของโซลูชัน Browser Isolation โดยไอเดียก็คือการสร้างช่องว่างระหว่างส่วน Web Browser และอุปกรณ์ Endpoint ไม่ให้การโจมตีลามมาจาก Browser ซึ่งเป็นไปได้ 2 รูปแบบคือ

  • Local Browser Isolation – เป็นการแบ่งแยก Browser ขึ้นในระดับแอปพลิเคชันหรือ OS เช่นการทำ Sandboxing แต่ข้อเสียคือกินทรัพยากรสูง รวมถึงยังไม่ตอบโจทย์เรื่อง Control และ Compliance ได้อยู่ดี
  • Remote Browser Isolation – มีทางเป็นไปได้ 2 แบบคือ On-premise หรือการตั้งเซิร์ฟเวอร์ขึ้นในองค์กรแต่ก็ไม่ได้กำจัดความเสี่ยงออกจากองค์กรอยู่ดี จึงนำไปสู่โซลูชันแบบ Cloud-based Remote Browsing Isolation ที่สามารถตอบโจทย์ Control และ Compliance ได้โดย S2 Systems Corporation ก็เป็นเช่นนั้น

Remote Browser Isolation (RBI) ทำงานอย่างไร 

credit : Cloudflare

S2 Systems ไม่ใช่ผู้เล่นรายเดียวในตลาด RBI ดังนั้นในตลาดมีผู้เล่นรายอื่นอยู่แล้ว โดยการทำงานของ RBI โดยทั่วไปเป็นดังนี้ (ดูภาพด้านบน)

  • Remote Browser Isolation Service จะถูกรันขึ้นใน Containerize Instance โดย 1 instance ต่อ 1 ผู้ใช้งานทำหน้าที่ปฏิสัมพันธ์กับเว็บไซต์คั่นกลางแทน
  • Remote Browser Isolation Service จะส่งการ Render เนื้อหากลับไปยัง Endpoint ด้วยโปรโตคอลและ Format พิเศษตามแต่ไอเดียของผลิตภัณฑ์
  • กิจกรรมใดๆ ของผู้ใช้งาน เช่น แป้นพิมพ์ เมาส์ และการ Scrolling จะถูกส่งกลับไปยัง isolation service ผ่านช่องทางเข้ารหัสและถูกประมวลผลที่ RBI service

สำหรับโซลูชันทั่วไปในท้องตลาดผู้เล่นหลายรายจะต้องมีการติดตั้ง Client ลงบน Endpoint ในขณะที่อีกหลายรายใช้การรองรับ HTML5 ทำให้ไม่ต้องติดตั้ง Agent และเรียกตัวเองว่า Agentless นั่นเอง โดยตัว Instance จะถูก Terminate ลงหากพบว่าถูกโจมตีและสร้าง Instance ใหม่ขึ้นมาแทนป้องกันการ Breach จาก Container นอกจากนี้ยังมีระบบ File Viewer เพื่อช่วยลดการดาวน์โหลดและสามารถตรวจจับมัลแวร์ในไฟล์ได้ แต่ปัญหาที่ตามมาคือโซลูชันเหล่านี้มักแฝงไปด้วย Cost ในการดำเนินงาน ไม่รองรับขยายการใช้งาน ความเข้ากันได้กับเว็บไซต์ เปลืองแบนวิธด์และความสามารถของฮาร์ดแวร์และซอฟต์แวร์ จึงกระทบ User Experience ในการใช้งาน

เทคโนโลยี RBI ในท้องตลาดทั้งหมด

ปัจจุบันเทคโนโลยี RBI ในท้องตลาดทั้งหมดจะตกอยู่ใน 2 รูปแบบคือ (ตามรูปประกอบด้านบน)

  • Pixel Pushing – เป็นวิธีการเดียวกับ Remote Desktop และ VNC (ส่งลำดับ Pixel ของรูปมา) ซึ่งข้อดีคือได้เรื่อง Security แต่ยังไม่สามารถขยายการใช้งาน รวมถึงกินแบนวิธด์สูง ไม่สามารถถ่ายทอดความละเอียดสูงได้เหมือนจริง รวมถึงไม่รองรับหน้าจอประเภทมือถือ จึงกระทบต่อ User Experience อย่างมีนัยสำคัญ
  • Dom Reconstruction – สร้างเว็บเพจใหม่ขึ้นมาด้วยการขจัดสิ่งเจอปนที่อยู่ในโค้ด HTML, CSS และอื่นๆ ออกแล้วค่อยส่งมาให้ Endpoint วิธีการนี้ได้เรื่อง User Experience, Cost, latency แต่กลับไม่แก้ไขเรื่อง Security เพราะไม่มีทางที่เราจะมั่นใจการคัดกรองของโซลูชันได้ 100% เนื่องจากภัยคุกคามอัปเดตอยู่เสมอ และอาจทำให้การแสดงผลพังได้หากตามการอัปเดตใหม่ไม่ทัน เช่น G-Suite หรือ Office 365 ที่อัปเดตเรื่อยๆ

เทคโนโลยี S2 Systems

S2 Systems มีเทคโนโลยีในสิทธิบัตรของตัวเองอย่างไม่เหมือนใครชื่อว่า Network Vector Rendering (NVR) ซึ่งพัฒนาขึ้นจากโอเพ่นซอร์ส Chromium ที่มีผู้ใช้งานมากที่สุด โดยกลไกภายในคือ Chromium ได้ใช้ไลบรารี่กราฟฟิคที่ชื่อ Skia เพื่อ Render ทุกสิ่งอย่างภายใน Chromium ซึ่งรองรับได้ใน Android, Google Chromes, Chrome OS, Firefox, Fitbit OS, Flutter และผลิตภัณฑ์อื่นด้วย

สิ่งที่ S2 Systems ทำคือการให้ NVR ไป Intercept ตัว RBI Service ของ Chromium ให้ส่งคำสั่งวาดผ่านช่องทางเข้ารหัสกลับมาที่ Endpoint Browser ที่รองรับกับ HTML5 (ปัจจุบัน Browser ส่วนใหญ่รองรับอยู่แล้ว) จากนั้น NVR ทำการ Pre-rasterisation (ปรับ Format เป็นเวกเตอร์) คำสั่ง Skia API จึงยิ่งทำให้รวดเร็วมากขึ้นอีก (ตามรูปด้านบน)

ในทางปฏิบัติหากใช้งานครั้งแรก S2 RBI Service จะส่ง NVR WebAssembly (Wasm lib) มาให้ Endpoint Browser ก่อนซึ่งมีการแคชเก็บเอาไว้ใช้ต่อด้วย โดยภายใน Wasm lib จะมี Skia lib ที่จำเป็นให้ Endpoint Browser ใช้คุยกับ RBI Service

ด้วยเหตุนี้เองวิธีการของ S2 Systems จึงตอบโจทย์ทั้งในด้าน Performance, Compatibility, Security, Low-latency และ User Experience รวมถึงยังสามารถเพิ่มเติมกับบริการเข้ามาได้ เช่น DLP, Phishing Detection และอื่นๆ โดย Cloudflare ได้นำความสามารถใหม่เข้าไว้ใน Cloudflare for team ในส่วน Gateway Enterprise นั่นเอง

ที่มา :  https://blog.cloudflare.com/cloudflare-and-remote-browser-isolation/

from:https://www.techtalkthai.com/introduction-to-s2-cloudflare-remote-browser-isolation/

เตือนช่องโหว่ Zero-day บน Firefox กำลังถูกแฮ็กเกอร์ใช้โจมตี รีบอัปเดตแพตช์ด่วน

Mozilla ประกาศออกแพตช์ใหม่บนเบราว์เซอร์ Firefox และ Firefox ESR หลังนักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จาก Qihoo 360 ATA พบช่องโหว่ Zero-day ซึ่งกำลังถูกกลุ่มแฮ็กเกอร์ใช้โจมตีอยู่ในขณะนี้ แนะนำให้ผู้ใช้รีบอัปเดตโดยด่วน

ช่องโหว่ Zero-day ดังกล่าวมีรหัส CVE-2019-17026 เป็นช่องโหว่ประเภท Type Confusion ความรุนแรงระดับ Critical บน IonMonkey just-in-time (JIT) Compiler ที่อยู่ใน SpiderMonkey JavaScript Engine ของ Mozilla ซึ่งช่วยให้แฮ็กเกอร์สามารถล่มการทำงานของแอปพลิเคชันหรือลอบรันโค้ดแปลกปลอมได้

จนถึงตอนนี้ Mozilla ยังไม่ได้เปิดเผยรายละเอียดของช่องโหว่ รวมไปถึงวิธีที่แฮ็กเกอร์สามารถใช้โจมตี แต่คาดการณ์ว่าช่องโหว่นี้ช่วยให้แฮ็กเกอร์สามารถโจมตีได้จากระยะไกล โดยหลอกให้ผู้ใช้เข้าถึงเว็บเพจที่สร้างขึ้นมาเป็นพิเศษ แล้วโจมตีช่องโหว่เพื่อลอบรันโค้ดแปลกปลอมบนระบบของผู้ใช้ภายใต้บริบทของแอปพลิเคชัน Firefox

Mozilla แนะนำให้ผู้ใช้รีบอัปเดต Firefox 72.0.1 หรือ Firefox ESR 68.4.1 โดยด่วน

ที่มา: https://thehackernews.com/2020/01/firefox-cyberattack.html

from:https://www.techtalkthai.com/firefox-patches-zero-day-flaw-exploiding-in-the-wild/

Firefox 72 ออกแล้ว!

Mozilla ได้ประกาศออก Firefox เวอร์ชัน 72 โดยมีฟีเจอร์ใหม่หลายรายการ

ฟีเจอร์ใหม่มีดังนี้

  • Block Fingerprinter – Fingerprinter คือกลไกที่ทำให้ Third-party สามารถติดตามคุณสมับัติของการใช้งานเราได้นอกเหนือจากคุ๊กกี้ เช่น IP หรือ Agent Header โดยจะมีการตั้งบล็อกอย่างอัตโนมัติ (Standard)
  • Hide Notification – ซ่อนการแจ้งเตือนเดิมที่ต้องไปกดบางอย่างถึงจะหายไป เป็นรูปข้อความในแถบ Address แทนไว้กดดูได้ (ตามรูปด้านล่าง)
credit : BleepingComputer
  • Picture-in-Picture – เพิ่ม Picture-in-Picture API ให้กับ Mac และ Linux แล้ว
  • Security – อัปเดตแพตช์แก้ไขช่องโหว่ 11 รายการ โดย 5 รายการถูกจัดอยู่ในระดับความรุนแรงสูงซึ่ง 4 รายการในนั้นสามารถนำไปสู่การลอบรันโค้ดได้ด้วยเพจที่ประดิษฐ์ขึ้นมาพิเศษ 

ผู้ใช้งานสามารถดาวน์โหลดเวอร์ชันใหม่ได้แล้วทั้งบน Linux, Mac และ Windows สำหรับผู้สนใจสามารถติดตามรายละเอียดเพิ่มเติมได้ที่นี่

ที่มา :  https://www.bleepingcomputer.com/news/software/firefox-72-out-with-fingerprinter-blocking-hidden-notification-prompts/

from:https://www.techtalkthai.com/firefox-72-has-been-released/

5 Use Cases การป้องกันภัยคุกคามไซเบอร์อย่างชาญฉลาดด้วย AI และ Machine Learning ของ Fortinet

ภายในงาน Cyber Defense Initiative Conference (CDIC) ครั้งที่ 18 ประจำปี 2019 ที่เพิ่งจบไป ดร. รัฐิติ์พงศ์ พุธเจริญ Senior Manager, System Engineering จาก Fortinet Thailand ได้ออกมาแนะนำ 5 Use Cases การนำเทคโนโลยี AI และ Machine Learning เข้ามาผสานกับโซลูชันของ Fortinet ไม่ว่าจะเป็น Anti-malware, Web Filtering, Web App Security, UEBA หรือ Sandbox เพื่อยกระดับการตรวจจับและป้องกันภัยคุกคามไซเบอร์

วิวัฒนาการของการตรวจจับมัลแวร์

ดร. รัฐิติ์พงศ์ ได้แบ่งวิวัฒนาการของการตรวจจับมัลแวร์ออกเป็น 3 ยุคใหญ่ๆ ยุคแรก คือ Signature-based ซึ่งใช้การวิเคราะห์แบบ Static Analysis และต้องทราบรูปแบบ (Signature) ของมัลแวร์นั้นๆ ก่อนถึงจะตรวจจับได้ ส่งผลให้ไม่สามารถตรวจจับการโจมตีที่ไม่เคยพบมาก่อน (Unknown) หรือการโจมตีแบบ Zero-day ได้

ถัดมาในยุคที่ 2 คือ Behavioral Analysis ซึ่งใช้เทคนิค Dynamic Emulation หรือก็คือตรวจจับจากการวิเคราะห์พฤติกรรรมของมัลแวร์โดยไม่ต้องอาศัย Signature ช่วยให้สามารถตรวจจับการโจมตีที่ไม่เคยพบมาก่อนและ Zero-day ได้ อย่างไรก็ตาม วิธีการนี้ยังมีข้อจำกัดตรงที่พฤติกรรมของมัลแวร์บนแต่ละโฮสต์อาจแตกต่างกัน และต้องรอการวิเคราะห์พฤติกรรมชั่วเวลาหนึ่ง ไม่สามารถป้องกันได้แบบเรียลไทม์

ยุคที่ 3 หรือยุคปัจจุบัน เป็นยุคที่มีการนำเทคโนโลยี AI และ Machine Leaning เข้ามาช่วยคัดแยกมัลแวร์ออกจากไฟล์ปกติ ผ่านเทคนิคการสอนและโมเดลการเรียนรู้รูปแบบต่างๆ ช่วยให้สามารถวิเคราะห์การโจมตีที่ไม่เคยพบมาก่อนและ Zero-day ได้แบบเรียลไทม์ และดำเนินการตอบสนองได้อย่างอัตโนมัติ

ยกระดับการตรวจจับด้วย Neural Networks

Fortinet เป็นหนึ่งในผู้ให้บริการด้านความมั่นคงปลอดภัยที่นำเทคโนโลยี AI และ Machine Learning เข้ามาช่วยเพิ่มขีดความสามารถในการตรวจจับภัยคุกคามไซเบอร์ โดยเลือกใช้เทคนิค Neural Networks ซึ่งเป็นการเรียนรู้และคิดวิเคราะห์ที่อาศัยการจำลองการทำงานของสมองมนุษย์ หนึ่งในนั้นคือการรับข้อมูลเข้ามา แล้วรับรู้ว่าข้อมูลนั้นคืออะไร จากนั้นก็ทำการจดจำและเรียนรู้ในการรับรู้สิ่งที่คล้ายๆ กัน เช่น เริ่มแรก Machine ไม่รู้จักส้ม แต่เมื่อเราสอนให้ Machine รู้ว่านี่คือส้มจากการให้ดูรูปส้มหลายๆ รูป หลายๆ ประเภท Machine ก็จะทราบว่าสิ่งที่เรียกว่าส้มต้องมีคุณลักษณะสีส้ม ผลกลม เมื่อ Machine เห็นส้มรูปอื่นๆ ที่ไม่เคยเห็นมาก่อน หรืออาจเป็นพันธุ์อื่น ก็จะจำแนกได้ว่า สิ่งที่เห็นคือส้มตามที่ได้เรียนรู้ไว้

เช่นเดียวกัน ยิ่งให้ Machine เรียนรู้มัลแวร์หลากหลายประเภท หลากหลายรูปแบบมากเท่าไหร่ ก็ยิ่งทำให้ Machine รู้จักมัลแวร์มากขึ้นเท่านั้น แม้จะเจอมัลแวร์ที่ไม่เคยพบมาก่อน ก็สามารถพิจารณาจากคุณสมบัติแล้วจำแนกว่าเป็นมัลแวร์ออกจากไฟล์ปกติได้ สำหรับโมเดลที่ใช้เรียนรู้นั้น Fortinet เลือกนำทั้ง 3 โมเดล ได้แก่ Supervised, Unsupervised และ Reinforcement Learning มาใช้ในบริการตรวจจับภัยคุกคามของตน

เพื่อให้การสร้างโมเดล Machine Learning มีความแม่นยำ ปริมาณข้อมูลที่ให้ Machine Learning เรียนรู้จึงเป็นสิ่งสำคัญ ด้วยการที่ Fortinet ครองอันดับ 1 เจ้าของผลิตภัณฑ์ที่ส่งมอบอุปกรณ์ไปยังลูกค้ากว่า 500,000 รายทั่วโลก ทำให้ Fortinet สามารถเก็บข้อมูลจาก Sensors และไฟล์ต้องสงสัยจากอุปกรณ์ของตนได้มากถึง 100,000 ล้านรายการต่อวัน ข้อมูลเหล่านี้จะถูกส่งไปยัง FortiGuard Threat Intelligence Cloud เพื่อวิเคราะห์ว่าเป็นมัลแวร์หรือไม่ จากนั้นส่งข้อมูลต่อให้ Machine Learning เรียนรู้ถึงคุณลักษณะที่ทำให้เป็นมัลแวร์ เมื่อเรียนรู้มากขึ้น Machine Learning ก็จะสามารถตัดสินใจได้ด้วยตัวเองว่า ไฟล์ไหนเป็นไฟล์ปกติ และไฟล์ไหนมีมัลแวร์แฝงตัวอยู่

5 Use Cases การใช้ Machine Learning ป้องกันภัยคุกคามไซเบอร์อย่างชาญฉลาด

ดร. รัฐิติ์พงศ์ ได้ยกตัวอย่างการนำ Machine Learning เข้ามาผสานรวมกับโซลูชันของ Fortinet เพื่อยกระดับขีดความสามารถในการตรวจจับภัยคุกคามไซเบอร์ โดยแบ่งออกเป็น 5 Use Cases ที่น่าสนใจ ดังนี้

1. Anti-malware

ใช้ Neural Network ในการสร้างโมเดลสำหรับเรียนรู้คุณลักษณะของมัลแวร์ดังที่กล่าวไปก่อนหน้านี้ Fortinet รวบรวมข้อมูลมัลแวร์จาก FortiGuard Labs แล้วส่งต่อไปให้ Machine Learning เรียนรู้ถึงคุณลักษณะที่บ่งชี้ว่า ถ้าเจอไฟล์รูปแบบนี้ หน้าตาแบบนี้ มีฟีเจอร์แบบนี้ จะเป็นมัลแวร์ ด้วยวิธีนี้จะทำให้ Anti-malware ของ Fortinet สามารถตรวจจับมัลแวร์ตระกูลเดียวกันแต่คนละ Variant หรือมัลแวร์ชนิดใหม่แต่ใช้เทคนิคเดิมของมัลแวร์อื่นได้นอกเหนือจากการใช้ Signature เพียงอย่างเดียว

2. Web Filtering

Fortinet เริ่มใช้ Machine Learning และ AI-based DNS บน Web Filtering มาตั้งแต่ปี 2011 เพื่อคำนวณค่า “ความน่าเป็น” ของเว็บว่า เว็บที่ตรวจสอบเป็นเว็บที่อันตราย อยู่ภายใต้การควบคุมของแฮ็กเกอร์ หรือมีชื่อเสียง (Reputation) ในทางที่ไม่ดีหรือไม่ ถ้าพบว่าเป็นเว็บที่มีความเสี่ยงสูงก็จะบล็อกไม่ให้ผู้ใช้เข้าถึงเว็บนั้นๆ

3. Web App Security

Fortinet เป็นผู้ให้บริการเพียงรายเดียวที่ใช้ Machine Learning ถึง 2 ชั้นในการปกป้อง Web App จากภัยคุกคามไซเบอร์ โดยชั้นแรกจะทำหน้าที่เรียนรู้ลักษณะของทราฟฟิกที่วิ่งเข้าสู่ Web App เช่น ประเภทและความยาวของพารามิเตอร์ มาสร้างเป็นโปรไฟล์เก็บไว้ เมื่อมีการร้องขอเข้ามา ก็จะทำการเปรียบเทียบลักษณะของทราฟฟิกว่าตรงกับโปรไฟล์ที่ได้เรียนรู้ไว้หรือไม่ ถ้าไม่ ก็ต้องสงสัยไว้ว่าเป็น “ทราฟฟิกที่ผิดปกติ” แต่อาจจะยังไม่ใช่การโจมตี หลังจากนั้น ชั้นที่ 2 จะเข้ามาตรวจสอบคุณลักษณะหรือรูปแบบของ “ทราฟฟิกที่ผิดปกติ” เหล่านั้นต่อว่าสอดคล้องกับมัลแวร์หรือการโจมตีหรือไม่ ถ้าใช่ก็จะทำการบล็อกทราฟฟิกไม่ให้เข้าถึง Web App ทันที

4. UEBA

หนึ่งในเทคนิคสำคัญในการตรวจจับการโจมตีไซเบอร์แบบ Proactive คือการตรวจสอบพฤติกรรมของผู้ใช้ Fortinet ได้ทำการสอน Machine Learning ให้ทราบตั้งแต่แรกแล้วว่า พฤติกรรมที่ไม่ดีของมนุษย์บนโลกไซเบอร์มีอะไรบ้าง เช่น เข้าถึงไฟล์ของฝ่ายการเงินหรือฝ่ายบุคคลตอนกลางคืน มีการดาวน์โหลดไฟล์จำนวนมากจากพนักงานที่กำลังจะลาออก เป็นต้น ซึ่ง Fortinet จะคอยติดตามการกระทำของพนักงานในองค์กรผ่านทาง Agent ที่ติดตั้งบนเครื่อง ถ้าพบการกระทำไม่เหมาะสมที่ตรงกับที่ Machine Learning ได้เรียนรู้ไว้ ก็จะแจ้งเตือนให้ทราบทันทีว่าพฤติกรรมของพนักงานคนดังกล่าวมีความเสี่ยง ควรดำเนินการรับมือโดยเร็ว เรียกเทคนิคการตรวจสอบพฤติกรรมของผู้ใช้นี้ว่า User Entity & Behavior Analytics (UEBA)

5. Sandbox

Sandbox เป็นเทคนิคการวิเคราะห์ภัยคุกคามระดับสูงสำหรับตรวจจับการโจมตีแบบ Zero-day อย่างไรก็ตาม เทคนิคนี้จำเป็นต้องใช้เวลาในการตรวจสอบและวิเคราะห์ ทำให้ไม่สามารถป้องกันการโจมตีได้แบบเรียลไทม์ Fortinet จึงได้นำ Machine Learning เข้ามาช่วยพิจารณาคุณลักษณะหรือฟีเจอร์ของไฟล์ที่ตรวจสอบใน Sandbox ด้วย เนื่องจากถึงจะเป็นการโจมตีแบบ Zero-day แต่ก็เป็นไปได้ที่จะใช้เทคนิคเก่าๆ หรือฟีเจอร์ของมัลแวร์อื่นก็เป็นได้ การผสาน Machine Learning เข้าไปใน Sandbox นี้ นอกจากจะช่วยเพิ่มประสิทธิภาพในการตรวจจับได้ถึง 20% แล้ว ยังช่วยให้สามารถป้องกัน Zero-day บางประเภทได้แบบเรียลไทม์อีกด้วย

เกี่ยวกับ Fortinet

Fortinet ก่อตั้งขึ้นเมื่อปี 2000 เป็นผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยสมรรถนะสูงภายใต้คอนเซ็ปต์ “Broad”, “Integrated” และ “Automated” โดยมีการรักษาความมั่นคงปลอดภัยครอบคลุมทั้ง Network Operations, Security Operations, Multi-cloud Security, Application Security, Endpoint Protection และ Zero-day Threat Protection พร้อมทั้งสามารถผสานการทำงานร่วมกับแพลตฟอร์มอื่นหรือโซลูชันของ 3rd Parties ได้อย่าไร้รอยต่อ ที่สำคัญคือสามารถบริหารจัดการได้แบบรวมศูนย์และดำเนินการด้านความมั่นคงปลอดภัยได้โดยอัตโนมัติ ลดภาระของผู้ดูแลระบบและช่วยให้องค์กรสามารถโฟกัสกับการดำเนินธุรกิจได้อย่างเต็มที่

ปัจจุบันนี้มี Fortinet มีพนักงานกว่า 6,000 คน และลูกค้ากว่า 500,000 รายกระจายอยู่ทุกภูมิภาคทั่วโลก และมียอดขายสูงถึง 68,000 ล้านบาทในปี 2018 มากกว่าปีก่อนหน้านี้ถึง 20% นอกจากนี้ Fortinet ยังเป็นผลิตภัณฑ์ด้านความมั่นคงปลอดภัยอันดับ 1 ที่มีปริมาณการสั่งซื้อมากที่สุดตลอด 6 ปีที่ผ่าน แสดงให้เห็นถึงการเติบโตอย่างต่อเนื่องของ Fortinet ที่ปัจจุบันนี้มีโซลูชันครอบคลุมทั้ง Edge, Cloud, Core และ OT

from:https://www.techtalkthai.com/5-use-cases-of-using-ai-and-machine-learning-to-prevent-cyber-threats/