Connect with us

การรักษาความปลอดภัยโครงสร้างพื้นฐานจากการโจมตี Ransomware – Thought Leaders

ความปลอดภัยไซเบอร์

การรักษาความปลอดภัยโครงสร้างพื้นฐานจากการโจมตี Ransomware – Thought Leaders

mm
Published
Updated

โดย Dr. Aviv Yehezkel, ผู้ร่วมก่อตั้งและ CTO, Cynamics

จากโรงพยาบาลไปจนถึงโรงเรียนและโรงงานแปรรูปเนื้อสัตว์ ไม่มีอุตสาหกรรมใดที่ไม่สำคัญต่อผู้โจมตี Ransomware Ransomware จะทำให้บริษัทในสหรัฐฯ เสียค่าใช้จ่าย 3.68 พันล้านดอลลาร์ในหนึ่งปีนี้ เพียงอย่างเดียว ผู้ดำเนินการเครือข่ายและความปลอดภัยต้องการการปกปิดเครือข่ายระดับสูงเพื่อป้องกันและบรรเทาผลกระทบจากการโจมตี Ransomware ความซับซ้อนของสถาปัตยกรรมที่เพิ่มขึ้น – ซึ่งรวมถึงส่วนประกอบบนพื้นฐาน legacy, ระบบเสมือนและคลาวด์ที่ทำงานบนเครือข่าย – ทำให้การได้รับการมองเห็นแบบสมบูรณ์เป็นเรื่องที่เป็นไปไม่ได้ สถานะปัจจุบันไม่ได้ผล วิธีการใหม่ๆ จึงจำเป็นต้องใช้

โซลูชันปัจจุบันไม่สามารถตอบสนองความต้องการเครือข่าย

นอกเหนือจากการซับซ้อนมากขึ้น เครือข่ายยังเพิ่มขึ้นในขนาด ระดับ และปริมาณข้อมูลที่เครือข่ายจัดการอยู่นั้นเพิ่มขึ้นอย่างต่อเนื่องในหลายภาคส่วน เครือข่ายเหล่านี้มีจุดเชื่อมต่อและไซต์เครือข่าย (ทางกายภาพและ/หรือเชิงตรรกะ) มากขึ้น ในขณะที่เครือข่ายกำลังเพิ่มขึ้นในระดับและความซับซ้อนอย่างมาก โซลูชันความปลอดภัยส่วนใหญ่ยังคงพึ่งพาวิธีการแบบดั้งเดิม เช่น อุปกรณ์และเอเจนต์ ซึ่งไม่ได้ออกแบบมาเพื่อรองรับความซับซ้อนและปริมาณข้อมูลในระดับนี้

โซลูชันการตรวจจับและตอบสนองเครือข่าย (NDR) ปัจจุบันยังคงใช้วิธีการที่ออกแบบมาสำหรับเครือข่ายในยุคที่ง่ายกว่า โซลูชันเหล่านี้ต้องใช้แรงงาน มีค่าใช้จ่ายสูงในการใช้งาน และมีประสิทธิภาพลดลง พวกเขาต้องใช้อุปกรณ์ เซ็นเซอร์ และ/หรือโพรบในการรวบรวมและวิเคราะห์ข้อมูลเครือข่าย อย่างไรก็ตาม ไม่สามารถครอบคลุมเครือข่ายทั้งหมดด้วยอุปกรณ์เหล่านี้ได้ พวกเขาต้องการการวิเคราะห์ 100% ของข้อมูลเครือข่าย – ซึ่งไม่ใช่เรื่องที่เป็นไปได้ ซึ่งบังคับให้บริษัทต่างๆ ต้องประนีประนอมทุกวันโดยจำกัดการครอบคลุมและการตรวจจับไว้เพียงบางส่วนของเครือข่าย ทำให้ส่วนใหญ่ของเครือข่ายกลายเป็นจุดบอดที่อ่อนแอ

นอกจากนี้ ผู้ให้บริการ NDR ส่วนใหญ่ใช้วิธีการอุปกรณ์ ซึ่งใช้การเชื่อมต่อหรือการขยายพอร์ตเพื่อวิเคราะห์การรับส่งข้อมูลเครือข่าย วิธีการนี้ไม่สามารถปรับขนาดได้ง่าย และขยายพื้นที่โจมตีขององค์กรโดยตรงไปยังแกนกลางของเครือข่ายลูกค้า เช่นเดียวกับที่สังเกตเห็นหลายครั้งในปีที่แล้วด้วยการโจมตี “การระบาด” ของการโจมตีแบบซัพพลายเชน ในสภาพแวดล้อมดิจิทัลที่เชื่อมต่อกันในปัจจุบัน วิธีการนี้ล้มเหลวในการให้ความโปร่งใส่เพียงพอข้ามเครือข่ายอัจฉริยะที่ซับซ้อนที่เพิ่มขึ้น และทำให้องค์กรต่างๆ ตกอยู่ในจุดบอด

ปัญหาเรื่องความสามารถในการมองเห็นและความแปลกใหม่

การโจมตี Ransomware ส่วนใหญ่เริ่มต้นด้วยการเจาะเครือข่าย ซึ่งมักจะเกิดขึ้นได้จากการใช้ประโยชน์จากช่องโหว่ในพื้นที่รักษาความปลอดภัยของเครือข่าย และผู้โจมตีจะเริ่มเคลื่อนย้ายผ่านเครือข่ายของคุณและพยายามเพิ่มความเสียหายให้สูงสุด โดยการกระโดดจากจุดหนึ่งไปยังอีกจุดหนึ่งจนกระทั่งสามารถติดเชื้อโฮสต์ได้เพียงพอสำหรับการโจมตี พวกเขาจะพบจุดบอดที่ไม่ได้รับการตรวจสอบ – เมื่อคุณปล่อยให้พื้นที่บางส่วนไม่มีการครอบคลุม คุณจะสร้างพื้นที่มากมายให้กับกลุ่มผู้กระทำผิดทางไซเบอร์ในการแอบเข้ามา

มีปัญหาใหญ่อีกประการหนึ่งด้วย: โซลูชันการตรวจจับส่วนใหญ่ไม่สังเกตเห็นความแปลกใหม่ พวกเขาจะถูกฝึกให้มองหาสัญญาณและกฎที่เฉพาะเจาะจงซึ่งเกี่ยวข้องกับการโจมตี Ransomware ที่ทราบกันดี แต่การโจมตี Ransomware ใหม่ๆ และรูปแบบใหม่ๆ กำลังถูกพัฒนาอยู่เสมอ – และแม้แต่การเปลี่ยนแปลงเล็กน้อยจากสัญญาณที่เครื่องมือเหล่านี้ถูกฝึกให้ตรวจจับและระบุสามารถทำให้การโจมตินั้นไม่ถูกสังเกตเห็น

บทบาทของ AI และ ML

นักวิเคราะห์มนุษย์ ไม่ว่าจะมีความฉลาดและความสามารถมากเพียงใด ก็ไม่สามารถตรวจสอบเครือข่ายในปัจจุบันได้ด้วยตนเอง – และคุณไม่สามารถครอบคลุมเครือข่ายทั้งหมดด้วยอุปกรณ์และเอเจนต์ได้ แต่การปล่อยให้บางส่วนของเครือข่ายไม่มีการครอบคลุมไม่ใช่ตัวเลือก ผู้โจมตีและกลุ่มผู้กระทำผิดทางไซเบอร์กำลังมองหาวิธีการแทรกซึมและแอบเข้ามาอยู่เสมอ

คุณสามารถเอาชนะความท้าทายเหล่านี้ได้อย่างไร เทคนิค AI และ ML สามารถมีบทบาทสำคัญในการตรวจจับและตอบสนองเครือข่าย ML สามารถใช้เพื่ออนุมานพฤติกรรมของการรับส่งข้อมูลเครือข่าย 100% โดยอาศัยการ取样的เศษส่วนเล็กๆ ของข้อมูลเครือข่าย จากนั้น มันสามารถเรียนรู้ได้ด้วยตนเองว่ารูปแบบเครือข่ายใดที่ถูกต้องหรือน่าสงสัย และ “เข้าใจ” แนวโน้มที่เปลี่ยนแปลงในเครือข่ายโดยอัตโนมัติ

สิ่งที่ทำให้ ML และ AI มีประโยชน์คือความสามารถในการตรวจจับรูปแบบที่ซ่อนอยู่ซึ่งบ่งบอกถึงการโจมตี – เพื่อเปิดเผยสิ่งที่เกิดขึ้นจริงบนเครือข่ายในเวลาจริง ซึ่งจะกำจัดความจำเป็นที่ไม่สมจริงและต้องใช้ค่าใช้จ่ายในการครอบคลุมเครือข่ายทั้งหมด นอกจากนี้ยังช่วยแก้ไขปัญหาเกี่ยวกับการพัฒนารูปแบบการโจมตี Ransomware ใหม่ๆ ที่กล่าวถึงข้างต้น

นวัตกรรมที่จำเป็น

Ransomware ไม่หยุดยั้ง มันชัดเจนแล้วว่าวิธีการรักษาความปลอดภัยแบบดั้งเดิมไม่ได้ผลหรือตามทันภัยคุกคามที่เปลี่ยนแปลงไป มันเป็นภัยคุกคามที่ทำให้องค์กรต่างๆ เสียค่าใช้จ่ายหลายพันล้านดอลลาร์ ดูเหมือนว่าไม่สามารถหยุดยั้งได้ แต่ก็ต้องหยุดยั้งให้ได้ แต่นั่นง่ายกว่าที่จะพูดเมื่อเครือข่ายส่วนใหญ่กำลังซับซ้อนมากขึ้นและรวมถึงส่วนประกอบที่เก่าและใหม่

กลุ่มผู้โจมตีทางไซเบอร์กำลังใช้ AI ให้เกิดประโยชน์ ดังนั้นผู้ดำเนินการเครือข่ายจึงต้องทำเช่นเดียวกัน กลยุทธ์ความปลอดภัยใหม่ควรรวมถึง NDR ที่ขับเคลื่อนด้วย AI โดยอาศัยการ取樣 โซลูชันเหล่านี้ใช้เศษส่วนเล็กๆ ของการรับส่งข้อมูลเครือข่ายเพื่อเรียนรู้สิ่งที่ปกติสำหรับเครือข่ายทั้งหมด ทำให้สามารถมองเห็นได้ไม่เช่นนั้น จะเป็นตัวอย่างของโซลูชันนวัตกรรมที่จำเป็นต้องอยู่เหนือการโจมตี Ransomware และภัยคุกคามเครือข่ายอื่นๆ ที่กำลังดำเนินอยู่ในปัจจุบัน

mm

ดร. อาวิว เยเฮซเคิล เป็นผู้ร่วมก่อตั้งและ CTO ของ Cynamics ซึ่งเป็น Next Generation (NG) Network Detection and Response (NDR) solution รายเดียวในตลาดที่ใช้โปรโตคอลสุ่มตัวอย่างมาตรฐานที่มีในเกตเวย์ทุกตัว อัลกอริทึมที่ได้รับสิทธิบัตร และ AI และ Machine Learning เพื่อให้สามารถคาดการณ์และมองเห็นภัยคุกคามได้อย่างรวดเร็วและครอบคลุม