ยุคสมัยของซอฟต์แวร์รักษาความปลอดภัย
ทุกวันนี้ประเด็นเกี่ยวกับความปลอดภัยมักถูกสื่อนำมาใช้ซ้ำแล้วซ้ำเล่า หากจะแยกคำว่าเทคโนโลยีตรวจจับไวรัส “รุ่นแรก” กับ “ดั้งเดิม” (หรือ “ฟอสซิส” กับ “ไดโนเสาร์”) ซึ่งทุกอันก็ขึ้นอยู่กับฐานข้อมูลไวรัส และเทคโนโลยีอันทันสมัย จำพวก Next-Gen ซึ่งคำว่า Next-Gen นั้นไม่มีใครสามารถบอกได้ว่ามันมีหน้าตาเป็นอย่างไร
ทฤษฎีวิวัฒนาการ
ก่อนอื่นเราต้องเข้าในคำว่า ‘first-generation’ หรือรุ่นแรกเสียก่อน ชุดโปรแกรมรักษาความปลอดภัยในสมัยนั้นยังคงมีการป้องกันแบบ ‘single layer’ หรือการป้องกันชั้นเดียวอยู่ อย่างการสแกนตามฐานข้อมูลไวรัส เปลี่ยนการตรวจจับและวัคซีนอย่างที่ Microsoft ร่วมมือกับ ed หรือ edlin พวกเขาอาจมีจุดประสงค์เดียวกับแอปพลิเคชั่นที่หายไปนานแล้ว คือการตรวจจับและ/หรือบล็อคซอฟต์แวร์อันตราย แต่ในตอนนี้ซอฟต์แวร์รักษาความปลอดภัยมีฟังก์ชันมากมาย
จุดกำเนิด
โปรแกรมรักษาความปลอดภัยในปัจจุบันมักไม่ใช้วิธีการเขียนโปรแกรมกว้างๆแล้วนำมารวมกัน แต่ใช้วิธีการสร้างชั้นของการป้องกัน พวกเขาสร้างผลิตภัณฑ์หลากหลายรูปแบบ รวมเทคโนโลยีที่ไม่เคยอยู่ด้วยกันมาก่อน เมื่อผลิตภัณฑ์รักษาความปลอดภัยตัวใหม่เปิดตัวออกมา ตลาดก็จะเรียกสินค้าตัวนั้นว่า Next-Gen ในทันที
ฐานข้อมูลไวรัสคืออะไร?
โปรแกรมสแกนไวรัสในปัจจุบันไม่ได้ใช้การตรวจจับแบบเป็นตัวๆอีกแล้ว แต่จะใช้การสังเกตพฤติกรรมของไฟล์ และการทำงาน ซึ่งสามารถตรวจจับได้แม่นยำกว่า แต่เท่านั้นก็ยังไม่เพียงพอต่อการรับมือกับภัยคุกคามในปัจจุบัน การป้องกันที่ดีสมควรมีมากกว่า 1 ชั้น อย่างการใช้ชุดโปรแกรมรักษาความปลอดภัยที่ได้มาตรฐาน แต่อย่างไรก็ตามตัวบุคคลเองก็เป็นส่วนสำคัญในการป้องกันภัยคุกคามด้วย ตัวผู้ใช้ต้องมีความรู้ความเข้าใจเกี่ยวกับเทคโนโลยีความปลอดภัย ซึ่งส่วนใหญ่ไม่ได้เป็นเช่นนั้นเพราะตัวอง๕ืกรเองก็ไม่ได้แหล่งข้อมูลให้พนักงานหรือผู้ใช้ศึกษา
Back to basics
ถึงแม้ว่าเทคโนโลยีใหม่ๆของผลิตภัณฑ์ Next-Gen จะมีการทำงานที่เป็นความลับอยู่ แต่การทำงานของโปรแกรมพวกนี้ก็ไม่สามารถออกจากกรอบไปได้ไกลนัก ผมไม่ได้คิดว่าผลิตภัณฑ์ Next-Gen นั้นสามารถกำจัดมัลแวร์ได้ดีกว่าเทคโนโลยีแบบพื้นฐานมากนัก เพราะคุณ Fred Cohen ผู้นิยามคำว่า “คอมพิวเตอร์ไวรัส”ในปี ค.ศ. 1984 ได้สรุปแบบพื้นๆมาว่า:
ระบุและปิดกั้นพฤติกรรมอันตราย
ตรวจจับการเปลี่ยนแปลงที่ไม่เหมาะสม
ตรวจจับรูปแบบที่เหมือนกับมัลแวร์ทั้งที่รู้จักและไม่รู้จักมาก่อน
ด้วยวิธีดำเนินการพวกนี้ทำให้การวัดผลนั้นเป็นไปไม่ได้ แต่กระบวนการเหล่านั้นก็ไม่ใช่วิธีการวัดคุณสมบัติของสินค้า ยกตัวอย่าง ‘ตัวบอกสถานะการถูกรุกราน’ หรือจะเรียกว่าฐานข้อมูลไวรัสนั้นไม่แข็งแรงก็ได้ ตัวแทนจำหน่ายหลายรายยังคงแยกความแตกต่างของการตรวจจับไม่ออก และยังเสนอขายด้วยวิธีเดิมๆอยู่
ยินดีต้องรับสู่เครื่องจักรกล
เมื่อพูดถึง ‘การวิเคราะห์พฤติกรรม’ และ ‘เครื่องจักรที่เรียนรู้ได้’ (Machine Learning หรือ ML) นับเป็นเทคโนโลยีแบบ Next-Gen เต็มตัว แต่ที่จริงแล้ว Machine Learning ไม่ได้มีเป็นเทคโนโลยีเฉพาะ เพราะกระบวนการที่แบบเป็นกลาง และแบบคู่ขนานนั้นมีประโยชน์ต่อการทำงานในด้านความปลอดภัยกับคอมพิวเตอร์
สำหรับ ‘Pure ML’ ในการตลาดแบบ Next-Gen เป็นเพียงคำสวยหรูที่ใช้เพื่ออธิบายให้ออกมาดูทันสมัย เพราะ ML ไม่ใช่สิ่งเดียวที่จะช่วยให้การตรวจจับนั้นทำงานได้ดีขึ้น เพียงแต่มีความสามารถในการทำงานโดยไม่ต้องมีคนคอยควบคุม ที่จริงแล้ว ML นั้นอยู่ในอุตสาหกรรมความปลอดภัยมานานแล้ว และเป็นเทคโนโลยีที่มีข้อดีข้อเสียเหมือนกับรูปแบบอื่นๆ จนหลายครั้งแฮกเกอร์ต้องใช้วิธีการหลีกเลี่ยงการตรวจจับของ ML ตั้งแต่เริ่มเขียนโปรแกรม
มุมมองของคน
หลายครั้งที่คนมีความเข้าใจผิดๆเกี่ยวกับเทคโนโลยีวิเคราะห์พฤติกรรมที่ใช้อยู่ในอุตสาหกรรมโปรแกรมรักษาความปลอดภัย เพราะการวิเคราะห์พฤติกรรมไม่ใช่แค่การจำข้อมูลมาเทียบกับสื่งที่มีอยู่เท่านั้น
กลไกตลาด
นักข่าวคุณ Kevin Townsend ถามผมเมื่อเร็วๆนี้:
Is there any way that the industry can help the user compare and choose between 1st […] and 2nd generation […] for the detection of malware?
การมุ่งไปทางใดทางหนึ่งไม่ว่าจะเป็น Gen 1 หรือ Gen 2 ไม่ใช่เรื่องดี ถึงแม้บางองค์กรจะโปรโมตแต่เทคโนโลยีใหม่ และบอกว่าเทคโนโลยีของเรานั้นใหม่เกินกว่าที่จะเปรียบเทียบกับเทคโนโลยีอื่นๆ แต่ไม่ว่าอย่างไรก็ยังมีวิธีที่สามารเปรียบเทียบประสิทธิภาพระหว่าง Gen 1 และ Gen 2 อย่างเช่นการใช้ตัวอย่างเพื่อทดสอบความสามารถในการตรวจจับในแต่ละสภาพแวดล้อม ถึงแม้หลายครั้งการตลาดจะทำให้เกิดการเข้าใจผิดหรือเบี่ยงเบนประเด็น ด้วยการโฆษณาของตัวแทนจำหน่าย
การทดลองจริง และ การทดลองปลอม
เว็บไซต์ VirusTotal เป็นเครื่องมือที่ใช้ทดลองตรวจจับไวรัส ผ่านโปรแกรมสแกนไวรัสหลายตัว ซึ่งประโยชน์จะเกิดขึ้นทั้งสองฝ่าย ฝ่ายผู้ใช้ก็จะได้รายงานทดสอบ ส่วนผู้ผลิตโปรแกรมก็จะได้ข้อมูลตัวอย่างมัลแวร์ และการตรวจจับไม่ใช่ความสามารถเดียวของโปรแกรมแอนตี้ไวรัส เพราะฉะนั้นเว็บไซต์ VirusTotal จึงไม่ใช่ตัวบอกถึงประสิทธิภาพของแอนตี้ไวรัส เพราะในบางครั้งที่ตัวแทนจำหน่ายบอกว่าโปรแกรมสามารถตรวจจับ Ransomware ตัวใหม่ได้ แต่เมื่อถึงเวลาทดสอบไฟล์ตัวเดิมก็ถูกนำมาใช้ซึ่งไฟล์เหล่านี้ก็เคยถูกตรวจจับได้มาก่อนแล้ว
ว่าด้วยเรื่องของความร่วมมือ
หนึ่งในเหตุการณ์ที่มีผบกระทบอย่างมากในปี 2016 ก็คือทาง VirusTotal ได้เปลี่ยน นโยบาย ซึ่งทำให้ตัวแทนจำหน่ายและผู้ผลิตเทคโนโลยี Gen 2 ไม่สามารถใช้ประโยชน์จากตัวอย่างไวรัสของ Gen 1 ได้
ซึ่งการทำอย่างนี้ทำให้ทางตัวแทนจำหน่ายไม่พอใจ กับการกระทำของ VirusTotal และจัดการทดสอบขึ้นมาเอง และโฆษณาว่าการทดสอบของพวกเขานั้นเป็นของจริง
การแบ่งปัน
มีบางตัวแทนจำหน่ายที่ยังคงติดต่อกับทาง VirusTotal อยู่ เพราะทาง VirusTotal อนุญาตให้ตัวแทนจำหน่ายใช้ Application Programming Interface เพื่อตรวจสอบไฟล์ผ่าน VirusTotal ได้ ซึ่งทำให้ทางตัวแทนจำหน่ายเสมือนมีคลังตัวอย่างเอาไว้ทำการทดสอบได้อย่างอิสระ
บทความนี้เป็นเพียงส่วนหนึ่งของรายงานของ ESET ในปี 2017: Security Held Ransom
Author: David Harley
Source: http://www.welivesecurity.com/2017/02/13/next-gen-security-software-myths-marketing/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
ยุคสมัยของซอฟต์แวร์รักษาความปลอดภัย
ทุกวันนี้ประเด็นเกี่ยวกับความปลอดภัยมักถูกสื่อนำมาใช้ซ้ำแล้วซ้ำเล่า หากจะแยกคำว่าเทคโนโลยีตรวจจับไวรัส “รุ่นแรก” กับ “ดั้งเดิม” (หรือ “ฟอสซิส” กับ “ไดโนเสาร์”) ซึ่งทุกอันก็ขึ้นอยู่กับฐานข้อมูลไวรัส และเทคโนโลยีอันทันสมัย จำพวก Next-Gen ซึ่งคำว่า Next-Gen นั้นไม่มีใครสามารถบอกได้ว่ามันมีหน้าตาเป็นอย่างไร
ทฤษฎีวิวัฒนาการ
ก่อนอื่นเราต้องเข้าในคำว่า ‘first-generation’ หรือรุ่นแรกเสียก่อน ชุดโปรแกรมรักษาความปลอดภัยในสมัยนั้นยังคงมีการป้องกันแบบ ‘single layer’ หรือการป้องกันชั้นเดียวอยู่ อย่างการสแกนตามฐานข้อมูลไวรัส เปลี่ยนการตรวจจับและวัคซีนอย่างที่ Microsoft ร่วมมือกับ ed หรือ edlin พวกเขาอาจมีจุดประสงค์เดียวกับแอปพลิเคชั่นที่หายไปนานแล้ว คือการตรวจจับและ/หรือบล็อคซอฟต์แวร์อันตราย แต่ในตอนนี้ซอฟต์แวร์รักษาความปลอดภัยมีฟังก์ชันมากมาย
จุดกำเนิด
โปรแกรมรักษาความปลอดภัยในปัจจุบันมักไม่ใช้วิธีการเขียนโปรแกรมกว้างๆแล้วนำมารวมกัน แต่ใช้วิธีการสร้างชั้นของการป้องกัน พวกเขาสร้างผลิตภัณฑ์หลากหลายรูปแบบ รวมเทคโนโลยีที่ไม่เคยอยู่ด้วยกันมาก่อน เมื่อผลิตภัณฑ์รักษาความปลอดภัยตัวใหม่เปิดตัวออกมา ตลาดก็จะเรียกสินค้าตัวนั้นว่า Next-Gen ในทันที
ฐานข้อมูลไวรัสคืออะไร?
โปรแกรมสแกนไวรัสในปัจจุบันไม่ได้ใช้การตรวจจับแบบเป็นตัวๆอีกแล้ว แต่จะใช้การสังเกตพฤติกรรมของไฟล์ และการทำงาน ซึ่งสามารถตรวจจับได้แม่นยำกว่า แต่เท่านั้นก็ยังไม่เพียงพอต่อการรับมือกับภัยคุกคามในปัจจุบัน การป้องกันที่ดีสมควรมีมากกว่า 1 ชั้น อย่างการใช้ชุดโปรแกรมรักษาความปลอดภัยที่ได้มาตรฐาน แต่อย่างไรก็ตามตัวบุคคลเองก็เป็นส่วนสำคัญในการป้องกันภัยคุกคามด้วย ตัวผู้ใช้ต้องมีความรู้ความเข้าใจเกี่ยวกับเทคโนโลยีความปลอดภัย ซึ่งส่วนใหญ่ไม่ได้เป็นเช่นนั้นเพราะตัวอง๕ืกรเองก็ไม่ได้แหล่งข้อมูลให้พนักงานหรือผู้ใช้ศึกษา
Back to basics
ถึงแม้ว่าเทคโนโลยีใหม่ๆของผลิตภัณฑ์ Next-Gen จะมีการทำงานที่เป็นความลับอยู่ แต่การทำงานของโปรแกรมพวกนี้ก็ไม่สามารถออกจากกรอบไปได้ไกลนัก ผมไม่ได้คิดว่าผลิตภัณฑ์ Next-Gen นั้นสามารถกำจัดมัลแวร์ได้ดีกว่าเทคโนโลยีแบบพื้นฐานมากนัก เพราะคุณ Fred Cohen ผู้นิยามคำว่า “คอมพิวเตอร์ไวรัส”ในปี ค.ศ. 1984 ได้สรุปแบบพื้นๆมาว่า:
ระบุและปิดกั้นพฤติกรรมอันตราย
ตรวจจับการเปลี่ยนแปลงที่ไม่เหมาะสม
ตรวจจับรูปแบบที่เหมือนกับมัลแวร์ทั้งที่รู้จักและไม่รู้จักมาก่อน
ด้วยวิธีดำเนินการพวกนี้ทำให้การวัดผลนั้นเป็นไปไม่ได้ แต่กระบวนการเหล่านั้นก็ไม่ใช่วิธีการวัดคุณสมบัติของสินค้า ยกตัวอย่าง ‘ตัวบอกสถานะการถูกรุกราน’ หรือจะเรียกว่าฐานข้อมูลไวรัสนั้นไม่แข็งแรงก็ได้ ตัวแทนจำหน่ายหลายรายยังคงแยกความแตกต่างของการตรวจจับไม่ออก และยังเสนอขายด้วยวิธีเดิมๆอยู่
ยินดีต้องรับสู่เครื่องจักรกล
เมื่อพูดถึง ‘การวิเคราะห์พฤติกรรม’ และ ‘เครื่องจักรที่เรียนรู้ได้’ (Machine Learning หรือ ML) นับเป็นเทคโนโลยีแบบ Next-Gen เต็มตัว แต่ที่จริงแล้ว Machine Learning ไม่ได้มีเป็นเทคโนโลยีเฉพาะ เพราะกระบวนการที่แบบเป็นกลาง และแบบคู่ขนานนั้นมีประโยชน์ต่อการทำงานในด้านความปลอดภัยกับคอมพิวเตอร์
สำหรับ ‘Pure ML’ ในการตลาดแบบ Next-Gen เป็นเพียงคำสวยหรูที่ใช้เพื่ออธิบายให้ออกมาดูทันสมัย เพราะ ML ไม่ใช่สิ่งเดียวที่จะช่วยให้การตรวจจับนั้นทำงานได้ดีขึ้น เพียงแต่มีความสามารถในการทำงานโดยไม่ต้องมีคนคอยควบคุม ที่จริงแล้ว ML นั้นอยู่ในอุตสาหกรรมความปลอดภัยมานานแล้ว และเป็นเทคโนโลยีที่มีข้อดีข้อเสียเหมือนกับรูปแบบอื่นๆ จนหลายครั้งแฮกเกอร์ต้องใช้วิธีการหลีกเลี่ยงการตรวจจับของ ML ตั้งแต่เริ่มเขียนโปรแกรม
มุมมองของคน
หลายครั้งที่คนมีความเข้าใจผิดๆเกี่ยวกับเทคโนโลยีวิเคราะห์พฤติกรรมที่ใช้อยู่ในอุตสาหกรรมโปรแกรมรักษาความปลอดภัย เพราะการวิเคราะห์พฤติกรรมไม่ใช่แค่การจำข้อมูลมาเทียบกับสื่งที่มีอยู่เท่านั้น
กลไกตลาด
นักข่าวคุณ Kevin Townsend ถามผมเมื่อเร็วๆนี้:
Is there any way that the industry can help the user compare and choose between 1st […] and 2nd generation […] for the detection of malware?
การมุ่งไปทางใดทางหนึ่งไม่ว่าจะเป็น Gen 1 หรือ Gen 2 ไม่ใช่เรื่องดี ถึงแม้บางองค์กรจะโปรโมตแต่เทคโนโลยีใหม่ และบอกว่าเทคโนโลยีของเรานั้นใหม่เกินกว่าที่จะเปรียบเทียบกับเทคโนโลยีอื่นๆ แต่ไม่ว่าอย่างไรก็ยังมีวิธีที่สามารเปรียบเทียบประสิทธิภาพระหว่าง Gen 1 และ Gen 2 อย่างเช่นการใช้ตัวอย่างเพื่อทดสอบความสามารถในการตรวจจับในแต่ละสภาพแวดล้อม ถึงแม้หลายครั้งการตลาดจะทำให้เกิดการเข้าใจผิดหรือเบี่ยงเบนประเด็น ด้วยการโฆษณาของตัวแทนจำหน่าย
การทดลองจริง และ การทดลองปลอม
เว็บไซต์ VirusTotal เป็นเครื่องมือที่ใช้ทดลองตรวจจับไวรัส ผ่านโปรแกรมสแกนไวรัสหลายตัว ซึ่งประโยชน์จะเกิดขึ้นทั้งสองฝ่าย ฝ่ายผู้ใช้ก็จะได้รายงานทดสอบ ส่วนผู้ผลิตโปรแกรมก็จะได้ข้อมูลตัวอย่างมัลแวร์ และการตรวจจับไม่ใช่ความสามารถเดียวของโปรแกรมแอนตี้ไวรัส เพราะฉะนั้นเว็บไซต์ VirusTotal จึงไม่ใช่ตัวบอกถึงประสิทธิภาพของแอนตี้ไวรัส เพราะในบางครั้งที่ตัวแทนจำหน่ายบอกว่าโปรแกรมสามารถตรวจจับ Ransomware ตัวใหม่ได้ แต่เมื่อถึงเวลาทดสอบไฟล์ตัวเดิมก็ถูกนำมาใช้ซึ่งไฟล์เหล่านี้ก็เคยถูกตรวจจับได้มาก่อนแล้ว
ว่าด้วยเรื่องของความร่วมมือ
หนึ่งในเหตุการณ์ที่มีผบกระทบอย่างมากในปี 2016 ก็คือทาง VirusTotal ได้เปลี่ยน นโยบาย ซึ่งทำให้ตัวแทนจำหน่ายและผู้ผลิตเทคโนโลยี Gen 2 ไม่สามารถใช้ประโยชน์จากตัวอย่างไวรัสของ Gen 1 ได้
ซึ่งการทำอย่างนี้ทำให้ทางตัวแทนจำหน่ายไม่พอใจ กับการกระทำของ VirusTotal และจัดการทดสอบขึ้นมาเอง และโฆษณาว่าการทดสอบของพวกเขานั้นเป็นของจริง
การแบ่งปัน
มีบางตัวแทนจำหน่ายที่ยังคงติดต่อกับทาง VirusTotal อยู่ เพราะทาง VirusTotal อนุญาตให้ตัวแทนจำหน่ายใช้ Application Programming Interface เพื่อตรวจสอบไฟล์ผ่าน VirusTotal ได้ ซึ่งทำให้ทางตัวแทนจำหน่ายเสมือนมีคลังตัวอย่างเอาไว้ทำการทดสอบได้อย่างอิสระ
บทความนี้เป็นเพียงส่วนหนึ่งของรายงานของ ESET ในปี 2017: Security Held Ransom
Author: David Harley
Source: http://www.welivesecurity.com/2017/02/13/next-gen-security-software-myths-marketing/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: