Cybersecurity

การตัดสินใจผิดพลาดของ AI อาจร้ายแรงกว่าไวรัสมัลแวร์

การตรวจจับผิดพลาดอาจส่งผลร้ายมากกว่าที่คุณคิด

สำหรับธุรกิจการตัดสินใจผิดพลาดอาจสร้างความเสียหายมหาศาลได้ ในวงการความปลอดภัยก็เช่นกัน การเรียกไฟล์ปกติว่าเป็นไวรัสอาจสร้างความเสียหายมากกว่าที่คิด

แล้วจะทำอย่างไรคุณถึงจะมีอัตราการตรวจจับที่สูง และโอกาสที่จะตรวจจับผิดพลาดที่ต่ำ? คำตอบก็คือโปรแกรมรักษาความปลอดภัยที่ดีบวกกับการกำกับดูแลที่ดี

ในโลกของความปลอดภัยไซเบอร์ ทุกสิ่งทุกอย่างถูกแยกออกเป็นปลอดภัยหรืออันตราย ซึ่งในชีวิตจริงมีมากกว่านั้น อย่างอะไรที่ไม่สามารถแบ่งดำกับขาวได้เราจะเรียกว่าสีเทา

สำหรับพวกเรา ESET เราเจอกับสถานการณ์กลืนไม่เข้าคลายไม่ออกแทบทุกวัน เพราะภัยคุกคามเติบโตขึ้นอย่างต่อเนื่อง จำนวนชิ้นที่เราต้องทดสอบเพื่อป้องกันการผิดพลาดก็มากขึ้น การผิดพลาดรูปแบบนี้เรียกว่า False Positive (FPs)

โปรแกรมรักษาความปลอดภัยจะเป็นตัวกำหนดว่าไฟล์นั้นๆมีสถานะปลอดภัยหรืออันตราย ซึ่งส่งผลให้ไฟล์โดนกักเก็บ, บล็อก หรือลบทิ้ง แต่มีเทคโนโลยีหน้าใหม่อย่าง Machine Learning(ML) หรือโปรแกรมที่มีความสามารถเรียนรู้ได้ด้วยตนเองออกมาบอกว่าพวกเขาสามารถทำได้ดีกว่านั้น

การเกิด False Positive มีหลายระดับ ตั้งแต่ปัญหาเล็กน้อยที่สามารถแก้ไขกันเองได้ จนถึงระดับที่ทำให้องค์กรหยุดชะงักหรือสร้างความเสียหายให้กับองค์กรมากกว่าไวรัสมัลแวร์

การตรวจจับที่มากไปอาจทำให้เกิด False Positive

ธุรกิจส่วนใหญ่เรียกคอมพิวเตอร์ที่ใช้ทำงานว่า Endpoint หรือ User และด้วยจำนวนของข้อมูลที่ไหลเข้ามาจำนวนมาก จึงเป็นไปได้ยากที่จะคาดเดาว่าแยกว่าสิ่งไหนผลอดภัยหรืออันตราย ข้อมูลที่ไหลเข้ามาอาจเป็นอันตรายได้ เพราะฉะนั้นเราถึงต้องมีการสังเกตการณ์

การใช้การตรวจจับแบบ Aggressive อย่างที่มีใน Machine Learning ไม่สามารถแก้ปัญหานี้ได้ ด้วยเงื่อนไขที่ว่าการตรวจจับที่มากไปอาจนำไปสู่การเกิด False Positive ได้และอาจลงเอยทำให้ระบบไม่สามารถทำงานได้ ให้คิดภาพเหมือนเครื่องคิดเลขที่ถูกใส่คำสั่งจนเครื่องผิดปกติ

เมื่อ False Positive เกิดขึ้นผู้ดูแลระบบมีสองทางเลือกคือ 1. เก็บการตั้งค่าเอาไว้และจัดการกับ False Positive ด้วยตัวเองหรือ 2. ล้างการตั้งค่าทั้งหมด ซึ่งทั้งสองทางเลือกทำให้เกิดช่องโหว่ทั้งสิ้น

ทำไมเราถึงต้องหลีกเลี่ยง False Positive?

นอกจากความผิดปกติของเครื่อง User แล้ว False Positive มีผลเสียอื่นๆ ลองนึกภาพโรงงานผลิตรถยนต์ต้องหยุดการผลิต เพราะโปรแกรมรักษาความปลอดภัยดันไปลบไฟล์โปรแกรมของเครื่องจักรที่ใช้ทำงาน เนื่องจากคิดว่าเป็นอันตราย

ในกรณีแบบนี้ต้องดำเนินการแก้ไขอย่างรวดเร็ว โดยใช้คนเป็นผู้ดูแล และหากเป็นกรณีของ Machine Learning อาจต้องรอแพทช์เนื่องจากระบบนี้ไม่มีคนควบคุม ซึ่งใช้เวลาพอสมควรเพราะต้องผ่านขั้นตอนซับซ้อนเข้าไปเพื่อแก้ไข

สมดุลของความปลอดภัย

แล้วองค์กรจะหาโปรแกรมที่สามารถป้องกันภัยคุกคามและการตรวจจับไม่ผิดพลาด แต่ลงเป็นไม่ได้ที่จะมีอัตราการตรวจจับ 100% และ False Positive เป็น 0%

บางสถานที่อย่างโรงงานประกอบรถยนต์ต้องการการสังเกตการณ์ 24 ชั่วโมง และมีคนสามารถรับมือกับสถานการณ์น่าสงสัยได้อย่างรวดเร็ว

ทางเลือกที่ดีที่สุดสำหรับองค์กร

องค์กรนิยมใช้การผสมผสานโปรแกรมรักษาความปลอดภัยในแบบเฉพาะของแต่ละองค์กร โดยยิ่งสามารถกำหนดกิจกรรมได้น้อยที่สุด พื้นที่ของความเสี่ยงก็ยิ่งน้อยลงไป และเหลือแต่กิจกรรมและไฟล์ที่ถูกต้องเท่านั้น ในอีกมุมหนึ่งอาจทำให้ความผิดพลาดนั้นรุนแรงขึ้น เพราะไฟล์เหล่านั้นจะถูกนำไปเสี่ยง

ทางที่ดีที่สุดก็คือการใช้ชุดโปรแกรมรักษาความปลอดภัยที่มีคุณภาพ และตรวจสอบความถูกต้องเพื่อลด False Positive ให้ได้มากที่สุด

Author: ONDREJ KUBOVIČ
Source:
https://www.welivesecurity.com/2017/05/09/false-positives-can-costly-malware-infection/
Translated by: Worapon H.

%d bloggers like this: