Cybersecurity

ซอฟต์แวร์รักษาความปลอดภัยรุ่นต่อไป: ปริศนาและการตลาด

เทคโนโลยีตรวจจับไวรัส Gen 1 และ Gen 2 มีจริงหรือไม่? และแตกต่างกันอย่างไร?

ยุคสมัยของซอฟต์แวร์รักษาความปลอดภัย

ทุกวันนี้ประเด็นเกี่ยวกับความปลอดภัยมักถูกสื่อนำมาใช้ซ้ำแล้วซ้ำเล่า หากจะแยกคำว่าเทคโนโลยีตรวจจับไวรัส “รุ่นแรก” กับ “ดั้งเดิม” (หรือ “ฟอสซิส” กับ “ไดโนเสาร์”) ซึ่งทุกอันก็ขึ้นอยู่กับฐานข้อมูลไวรัส และเทคโนโลยีอันทันสมัย จำพวก Next-Gen ซึ่งคำว่า Next-Gen นั้นไม่มีใครสามารถบอกได้ว่ามันมีหน้าตาเป็นอย่างไร

ทฤษฎีวิวัฒนาการ

shutterstock_548699302

ก่อนอื่นเราต้องเข้าในคำว่า ‘first-generation’ หรือรุ่นแรกเสียก่อน ชุดโปรแกรมรักษาความปลอดภัยในสมัยนั้นยังคงมีการป้องกันแบบ ‘single layer’ หรือการป้องกันชั้นเดียวอยู่ อย่างการสแกนตามฐานข้อมูลไวรัส เปลี่ยนการตรวจจับและวัคซีนอย่างที่ Microsoft ร่วมมือกับ ed หรือ edlin พวกเขาอาจมีจุดประสงค์เดียวกับแอปพลิเคชั่นที่หายไปนานแล้ว คือการตรวจจับและ/หรือบล็อคซอฟต์แวร์อันตราย แต่ในตอนนี้ซอฟต์แวร์รักษาความปลอดภัยมีฟังก์ชันมากมาย

จุดกำเนิด

โปรแกรมรักษาความปลอดภัยในปัจจุบันมักไม่ใช้วิธีการเขียนโปรแกรมกว้างๆแล้วนำมารวมกัน แต่ใช้วิธีการสร้างชั้นของการป้องกัน พวกเขาสร้างผลิตภัณฑ์หลากหลายรูปแบบ รวมเทคโนโลยีที่ไม่เคยอยู่ด้วยกันมาก่อน เมื่อผลิตภัณฑ์รักษาความปลอดภัยตัวใหม่เปิดตัวออกมา ตลาดก็จะเรียกสินค้าตัวนั้นว่า Next-Gen ในทันที

ฐานข้อมูลไวรัสคืออะไร?

โปรแกรมสแกนไวรัสในปัจจุบันไม่ได้ใช้การตรวจจับแบบเป็นตัวๆอีกแล้ว แต่จะใช้การสังเกตพฤติกรรมของไฟล์ และการทำงาน ซึ่งสามารถตรวจจับได้แม่นยำกว่า แต่เท่านั้นก็ยังไม่เพียงพอต่อการรับมือกับภัยคุกคามในปัจจุบัน การป้องกันที่ดีสมควรมีมากกว่า 1 ชั้น อย่างการใช้ชุดโปรแกรมรักษาความปลอดภัยที่ได้มาตรฐาน แต่อย่างไรก็ตามตัวบุคคลเองก็เป็นส่วนสำคัญในการป้องกันภัยคุกคามด้วย ตัวผู้ใช้ต้องมีความรู้ความเข้าใจเกี่ยวกับเทคโนโลยีความปลอดภัย ซึ่งส่วนใหญ่ไม่ได้เป็นเช่นนั้นเพราะตัวอง๕ืกรเองก็ไม่ได้แหล่งข้อมูลให้พนักงานหรือผู้ใช้ศึกษา

Back to basics

ถึงแม้ว่าเทคโนโลยีใหม่ๆของผลิตภัณฑ์ Next-Gen จะมีการทำงานที่เป็นความลับอยู่ แต่การทำงานของโปรแกรมพวกนี้ก็ไม่สามารถออกจากกรอบไปได้ไกลนัก ผมไม่ได้คิดว่าผลิตภัณฑ์ Next-Gen นั้นสามารถกำจัดมัลแวร์ได้ดีกว่าเทคโนโลยีแบบพื้นฐานมากนัก เพราะคุณ Fred Cohen ผู้นิยามคำว่า “คอมพิวเตอร์ไวรัส”ในปี ค.ศ. 1984 ได้สรุปแบบพื้นๆมาว่า:

ระบุและปิดกั้นพฤติกรรมอันตราย

ตรวจจับการเปลี่ยนแปลงที่ไม่เหมาะสม

ตรวจจับรูปแบบที่เหมือนกับมัลแวร์ทั้งที่รู้จักและไม่รู้จักมาก่อน

ด้วยวิธีดำเนินการพวกนี้ทำให้การวัดผลนั้นเป็นไปไม่ได้ แต่กระบวนการเหล่านั้นก็ไม่ใช่วิธีการวัดคุณสมบัติของสินค้า ยกตัวอย่าง ‘ตัวบอกสถานะการถูกรุกราน’ หรือจะเรียกว่าฐานข้อมูลไวรัสนั้นไม่แข็งแรงก็ได้ ตัวแทนจำหน่ายหลายรายยังคงแยกความแตกต่างของการตรวจจับไม่ออก และยังเสนอขายด้วยวิธีเดิมๆอยู่

ยินดีต้องรับสู่เครื่องจักรกล

เมื่อพูดถึง ‘การวิเคราะห์พฤติกรรม’ และ ‘เครื่องจักรที่เรียนรู้ได้’ (Machine Learning หรือ ML) นับเป็นเทคโนโลยีแบบ Next-Gen เต็มตัว แต่ที่จริงแล้ว Machine Learning ไม่ได้มีเป็นเทคโนโลยีเฉพาะ เพราะกระบวนการที่แบบเป็นกลาง และแบบคู่ขนานนั้นมีประโยชน์ต่อการทำงานในด้านความปลอดภัยกับคอมพิวเตอร์

สำหรับ ‘Pure ML’ ในการตลาดแบบ Next-Gen เป็นเพียงคำสวยหรูที่ใช้เพื่ออธิบายให้ออกมาดูทันสมัย เพราะ ML ไม่ใช่สิ่งเดียวที่จะช่วยให้การตรวจจับนั้นทำงานได้ดีขึ้น เพียงแต่มีความสามารถในการทำงานโดยไม่ต้องมีคนคอยควบคุม ที่จริงแล้ว ML นั้นอยู่ในอุตสาหกรรมความปลอดภัยมานานแล้ว และเป็นเทคโนโลยีที่มีข้อดีข้อเสียเหมือนกับรูปแบบอื่นๆ จนหลายครั้งแฮกเกอร์ต้องใช้วิธีการหลีกเลี่ยงการตรวจจับของ ML ตั้งแต่เริ่มเขียนโปรแกรม

มุมมองของคน

shutterstock_418409443

หลายครั้งที่คนมีความเข้าใจผิดๆเกี่ยวกับเทคโนโลยีวิเคราะห์พฤติกรรมที่ใช้อยู่ในอุตสาหกรรมโปรแกรมรักษาความปลอดภัย เพราะการวิเคราะห์พฤติกรรมไม่ใช่แค่การจำข้อมูลมาเทียบกับสื่งที่มีอยู่เท่านั้น

กลไกตลาด

นักข่าวคุณ Kevin Townsend ถามผมเมื่อเร็วๆนี้:

Is there any way that the industry can help the user compare and choose between 1st […] and 2nd generation […] for the detection of malware?

การมุ่งไปทางใดทางหนึ่งไม่ว่าจะเป็น Gen 1 หรือ Gen 2 ไม่ใช่เรื่องดี ถึงแม้บางองค์กรจะโปรโมตแต่เทคโนโลยีใหม่ และบอกว่าเทคโนโลยีของเรานั้นใหม่เกินกว่าที่จะเปรียบเทียบกับเทคโนโลยีอื่นๆ แต่ไม่ว่าอย่างไรก็ยังมีวิธีที่สามารเปรียบเทียบประสิทธิภาพระหว่าง Gen 1 และ Gen 2 อย่างเช่นการใช้ตัวอย่างเพื่อทดสอบความสามารถในการตรวจจับในแต่ละสภาพแวดล้อม ถึงแม้หลายครั้งการตลาดจะทำให้เกิดการเข้าใจผิดหรือเบี่ยงเบนประเด็น ด้วยการโฆษณาของตัวแทนจำหน่าย

การทดลองจริง และ การทดลองปลอม

เว็บไซต์ VirusTotal เป็นเครื่องมือที่ใช้ทดลองตรวจจับไวรัส ผ่านโปรแกรมสแกนไวรัสหลายตัว ซึ่งประโยชน์จะเกิดขึ้นทั้งสองฝ่าย ฝ่ายผู้ใช้ก็จะได้รายงานทดสอบ ส่วนผู้ผลิตโปรแกรมก็จะได้ข้อมูลตัวอย่างมัลแวร์ และการตรวจจับไม่ใช่ความสามารถเดียวของโปรแกรมแอนตี้ไวรัส เพราะฉะนั้นเว็บไซต์ VirusTotal จึงไม่ใช่ตัวบอกถึงประสิทธิภาพของแอนตี้ไวรัส เพราะในบางครั้งที่ตัวแทนจำหน่ายบอกว่าโปรแกรมสามารถตรวจจับ Ransomware ตัวใหม่ได้ แต่เมื่อถึงเวลาทดสอบไฟล์ตัวเดิมก็ถูกนำมาใช้ซึ่งไฟล์เหล่านี้ก็เคยถูกตรวจจับได้มาก่อนแล้ว

ว่าด้วยเรื่องของความร่วมมือ

หนึ่งในเหตุการณ์ที่มีผบกระทบอย่างมากในปี 2016 ก็คือทาง VirusTotal ได้เปลี่ยน นโยบาย ซึ่งทำให้ตัวแทนจำหน่ายและผู้ผลิตเทคโนโลยี Gen 2 ไม่สามารถใช้ประโยชน์จากตัวอย่างไวรัสของ Gen 1 ได้

ซึ่งการทำอย่างนี้ทำให้ทางตัวแทนจำหน่ายไม่พอใจ กับการกระทำของ VirusTotal และจัดการทดสอบขึ้นมาเอง และโฆษณาว่าการทดสอบของพวกเขานั้นเป็นของจริง

การแบ่งปัน

มีบางตัวแทนจำหน่ายที่ยังคงติดต่อกับทาง VirusTotal อยู่ เพราะทาง VirusTotal อนุญาตให้ตัวแทนจำหน่ายใช้ Application Programming Interface เพื่อตรวจสอบไฟล์ผ่าน VirusTotal ได้ ซึ่งทำให้ทางตัวแทนจำหน่ายเสมือนมีคลังตัวอย่างเอาไว้ทำการทดสอบได้อย่างอิสระ

บทความนี้เป็นเพียงส่วนหนึ่งของรายงานของ ESET ในปี 2017: Security Held Ransom

Author: David Harley
Source: http://www.welivesecurity.com/2017/02/13/next-gen-security-software-myths-marketing/
Translated by: Worapon H.

%d bloggers like this: