เคยสงสัยกันไหมว่า ถ้าระบบโจมตีทางไซเบอร์ใช้ AI และระบบป้องกันก็ใช้ AI เช่นกัน เราจะรู้ได้อย่างไรว่าระบบป้องกันของเรา จะเหนือว่าของผู้โจมตี
ในปัจจุบันที่เหล่าแฮคเกอร์หรือผู้โจมตีได้มีการนำ AI เข้ามาใช้เพื่อเสาะหาช่องโหว่ รวมทั้งใช้เจาะระบบ ทางฝ่ายป้องกันหลาย ๆ รายก็ไม่ยอมน้อยหน้า ซึ่งก็ยกระดับการป้องกันด้วยการใช้ AI ด้วยเหมือนกัน แค่ความสงสัยเกิดขึ้นเมื่อ ถ้า Machine VS Machine อะไรจุดชี้ว่าฝ่ายป้องกันจะเป็นฝ่ายชนะ
ในโอกาศนี้คนเขียนมีโอกาศเข้าร่วมงานแถลงข่าว Palo Alto Network ซึ่งเป็นบริษัทที่ทำโซลูชั่นเกี่ยวกับซอฟต์แวร์ซีเคียวริตี้ได้ออกมาเผยว่า บริษัทได้ออกโซลูชั่นตัวใหม่ออกมาชื่อ Cortex โดยใช้ AI ในการเรียนรู้พฤติกรรมแปลกปลอมในระบบ Network เครื่อง Endpoint และระบบ Cloud
ทางบริษัทเล่าถึงปัญหาว่าในปัจจุบัน บริษัทต่าง ๆ ใช้ระบบป้องกันคุณภาพสูง แต่การป้องกันดันเป็นแบบ Silo เกิดจากการที่แต่ละอุปกรณ์ใช้ระบบรักษาความปลอดภัยแยกจากกัน ทำให้ไม่สามารถบูรณาการข้อมูลการตรวจพบเข้าด้วยกันและสั่งการเพื่อให้เกิดการทำงานร่วมกันแบบอัตโนมัติได้
เช่น มี User 1 ส่งไฟล์ในรูปแบบ .Docs ระบบป้องกันด่านแรกจะไม่ตรวจจับเพราะเป็นไฟล์เอกสาร จนกระทั่งมีการส่งไฟล์เดิมเป็นร้อยครั้ง ถ้าเราไม่มี Security Analyse คอยมอนิเตอร์ก็จะไม่รู้เลยว่า มีมัลแวร์บางอย่างพยายามจะส่งข้อมูลเดิม ๆ อยู่
ในอีกนัยหนึ่ง Security Analyse ไม่ใช่บุคคลากรที่จะหาได้เว็บไซต์รับสมัครงานหรือเด็กจบใหม่ ซึ่งจะต้องเป็นผู้ที่ประสบการณ์ด้านซีเคียวริตี้เป็นอย่างดี แบบว่า มองโค๊ดแว๊บเดียวแล้วรู้ได้ทันทีว่า กำลังมีการโจมตี หรือ คาดการณ์ได้ว่าจะเกิดการโจมตีขึ่้น และถึงหาได้ ค่าจ้างบุคลลากรประเภทนี้ไม่ต่ำกว่าแสนแน่นอน เปรียบเสมือนเป็นมนุษย์ทองคำในยุคนี้
ทั้งนี้ในโซลูัชั่นของ Cortex ที่อ้างว่า นำ AI มาใช้งานนั้น ได้มีการทำระบบ Machine Learning คล้าย ๆ กับระบบ AI ทั่ว ๆ ไป โดยเอาเซ็นเซอร์ไปติดตั้งในจุดต่าง ๆ เช่น ในระบบ Network,cloud หรือ E์ndpoint จากนั้นให้เซนเซอร์เก็บข้อมูลและนำไปประมวผลแล้วจึงตัดสินใจ
สำหรับผู้ที่จะเริ่มใช้ต้องให้ AI มีการเรียนรู้อย่างน้อย 7 วัน หรือสูงสุดคือ 25 วัน เพื่อให้ AI ให้เข้าใจระบบการทำงานภายใน โดยหลังจากเรียนรู้ AI จะสามารถคาดการณ์ภัยคุกคามต่าง ๆ ที่จะเกิดขึ้นได้ล่วงหน้า เช่น ถ้ามียูสเซอร์คนหนึ่งพยายามจะส่งเมลหลายสิบครั้งทั้งที่รู้ว่าส่งไม่ผ่าน AI ก็จะหมายหัวและส่งเรื่องให้คนควบคุม ว่าจะจัดการอย่างไรต่อไป
จุดสังเกตุของระบบนี้คือ ถ้าอยากจะใช้ให้เกิดประโยชน์อย่างเต็มร้อยเปอร์เซ็นต์ นั่นแปลว่า เราต้องคิดตั้งเซ็นเซอร์ในในทุก ๆ Silo ของข้อมูลตั่งแต่ต้นทางยันปลายทาง เพราะ AI จำเป็นต้องใช้ข้อมูลจำนวนมหาศาลเพื่อเรียนรู้ หากการตรวจจับภัยคุกคามที่เกิดขึ้น
และถ้าจะให้ผู้เขียนสรุปว่าใครจะเป็นฝ่ายชนะระหว่าง Machine VS Machine นั้นคงขึ้นอยู่กับความเร็วในการประมวลผลและข้อมูลที่ AI ทางฝ่ายป้องกันที่จะได้เรียนรู้ นั่นแปลว่าต้องมี Logs เพียงพอที่จะใช้ในการใช้ตรวจสอบและตัดสินใจในการตอบสนองต่อภัยคุกคามที่เกิดขึ้น
