Blockdit Logo (Mobile)
พิตติคม
19 พ.ค. 2022 เวลา 18:04 • วิทยาศาสตร์ & เทคโนโลยี
AI ที่เรียนรู้ด้วยตนเองคืออะไรและจัดการกับ Ransomware อย่างไร
ในอดีตมีสิ่งที่มีความแน่นอนสองประการในชีวิตคือความตายและภาษี แต่มิจฉาชีพออนไลน์ทั่วโลกได้สร้างสิ่งที่สามขึ้นมาแล้ว มันคือ Ransomware กลไกการโจมตีนี้ยังคงได้รับแรงผลักดันเนื่องจากมันมีความสำเร็จอย่างมหัศจรรย์ แม้จะมีคำเตือนจากรัฐบาลแต่เหยื่อยังคงต้องจ่ายเงินโดยใช้ช่องทางสกุลเงินดิจิทัลที่มีความง่ายและแรงเสียดทานต่ำ ซึ่งทำให้กลุ่มอาชญากรมีความกล้ามากขึ้น
Darktrace บริษัทรักษาความปลอดภัยที่ขับเคลื่อนด้วย AI มีเป้าหมายที่จะหยุดการแพร่กระจายของ Ransomware โดยป้องกันไม่ให้ลูกค้าตกเป็นเหยื่อเลย ในการทำเช่นนั้น พวกเขาต้องการกลไกการป้องกันที่ทำงานด้วยความเร็วของเครื่องคอมพิวเตอร์อย่างมาก
ตามรายงานภัยคุกคามจาก Ransomware ปี 2021 ของ Darktrace การโจมตีของ Ransomware กำลังเพิ่มมากขึ้น โดยเตือนว่าธุรกิจต่างๆ จะประสบกับการโจมตีเหล่านี้ทุกๆ 11 วินาทีในปี 2021 เพิ่มขึ้นจาก 40 วินาทีในปี 2016
Ransomware เกิดตั้งแต่ปี 2017 โดยการเพิ่มขึ้นของสกุลเงินดิจิทัลนั้นเป็นปัจจัยสำคัญ Cryptocurrency กลายเป็นกระแสหลักและเข้าถึงได้ง่ายขึ้นมาก ทำให้ผู้ก่อการเรียกค่าไถ่ถอนเงินจากค่าไถ่ของเหยื่อได้ง่ายขึ้นมาก
การรวมกันของกลุ่มอาชญากรสร้างความได้เปรียบ แม้ว่าการโจมตีระดับสูงในบริษัทขนาดใหญ่ เช่น Colonial และ JBS Meals อาจสร้างความตระหนักของสาธารณชนได้ แต่ก็เป็นเพียงส่วนเล็กๆ ของภูเขาน้ำแข็ง หลายคนไม่ทราบว่ามีการโจมตีระดับล่างนับพันที่กำหนดเป้าหมายไปยังองค์กรขนาดเล็ก
การโจมตีบางครั้งมาจากกลุ่มที่มีความซับซ้อน เช่น REvil หรือ BlackMatter ที่เราเห็นในข่าว แต่บ่อยครั้งพวกเขามาจากกลุ่มที่ไม่เป็นที่รู้จักซึ่งไม่ได้ประกาศตัวเอง กลุ่มเหล่านี้เป็นเพียง Ransomware ที่ฉวยโอกาส
ความหลากหลายของกลุ่ม Ransomware ทำให้ยากต่อการระบุแนวโน้มการโจมตีที่ชัดเจนอีกต่อไป เทคนิคนั้นจะแตกต่างกันไปตามแต่ละกลุ่มที่มักจะเปลี่ยนเครื่องมือเมื่อเวลาผ่านไป เป้าหมายของพวกเขาก็มีความหลากหลายเช่นกัน
ตัวอย่างเช่น กลุ่ม Ransomware FIN12 ใช้การระบาดใหญ่ในการโจมตีองค์กรด้านการดูแลสุขภาพ และมีแนวโน้มที่จะเห็นกลุ่ม Ransomware อื่นๆ ซ้ำเติมต่อเป้าหมายที่เปราะบางเหล่านี้ นอกจากนี้ยังเปลี่ยนจากการใช้ TrickBot เป็นเครื่องมือแสวงหาผลประโยชน์หลังการละเมิดไปเป็นซอฟต์แวร์อื่นๆ รวมถึง Cobalt Strike Beacon
กลยุทธ์การสร้างรายได้ก็พัฒนาขึ้นเช่นกัน พวกมิจฉาชีพเหล่านี้มีความเป็นมืออาชีพอย่างมากในวงกว้าง หากการเข้ารหัสข้อมูลไม่เพียงพอต่อการรีดไถเงิน พวกเขาก็จะใช้ภัยคุกคามซ้ำอย่างที่ 2 ทำการกรองข้อมูลล่วงหน้าเพื่อกดดันจุดที่สอง
หากยังไม่เพียงพอบางพวกเริ่มใช้การปฏิเสธการให้บริการแบบกระจาย (DDoS) เป็นจุดกดดันที่สามในการรีดไถเงิน และผู้ชำนาญ Ransomware บางคนได้พูดถึงการพยายามสร้างสรรค์สิ่งใหม่ ๆ ในการรีดไถเงินโดยการทำให้ได้ตามเป้าหมายของพวกเขา
บางกลุ่มใช้เวลามากมายในเครือข่ายของเป้าหมายในการกรองข้อมูลเพื่อบีบค่าไถ่ให้ได้สูงสุดจากเหยื่อ กลุ่มอื่นๆ เช่น FIN12 เลือกใช้การโจมตีด้วยความเร็วสูง เพียงเข้ารหัสข้อมูล และโจมตีหลายเป้าหมายอย่างรวดเร็ว
เพื่อต่อสู้กับ Ransomware เราจำเป็นที่จะต้องใช้ความรวดเร็ว
ด้วยกลวิธี เทคนิค และขั้นตอนต่างๆ นี้ทำให้ Ransomware ไม่สามารถถูกคาดเดาได้ Darktrace เชื่อว่าปัญหาจะเลวร้ายมากขึ้นจนไม่สามารถจัดการโดยในระดับมนุษย์ได้อีกต่อไป ความแปลกใหม่และความเร็วของ Ransomware สมัยใหม่นั้นต้องการแนวทางของ AI
น่าเสียดายที่บริษัทส่วนใหญ่ยังคงป้องกันตัวเองได้ไม่ดีนักในปี 2021 แม้ว่าพวกเขาจะเป็นบริษัทใหญ่ที่มีงบประมาณมหาศาล แต่ก็อาจไม่เพียงพอต่อการป้องกันตัวจาก Ransomware
ภูมิทัศน์ของ Ransomware ที่ซับซ้อนมากขึ้นไม่ใช่ปัญหาเดียวสำหรับผู้ทำหน้าที่ป้องกัน อีกปัญหาหนึ่งคือความซับซ้อนในด้านไอที เนื่องจากการล่มสลายของขอบเขตเครือข่าย ด้วยทรัพย์สินที่ตั้งอยู่ใน Cloud และในสำนักงานและบ้านที่อยู่ห่างไกล รูปแบบดั้งเดิมที่ใช้กำหนดขอบเขตของเครือข่ายมีความเกี่ยวข้องน้อยลง แต่บริษัทต่างๆ ต้องปกป้องทุกสิ่งทุกอย่างและทุกที่เอง
ปัญหาอื่นคือการขาดทรัพยากร ผู้โจมตีมักใช้เวลาหลายชั่วโมงหรือก่อนวันหยุดสำคัญ เช่นเดียวกันกับการโจมตีของ Ransomware บน Kaseya ผู้ให้บริการตรวจสอบระยะไกล การโจมตีโดยกลุ่ม REvil เกิดขึ้นเมื่อวันที่ 2 กรกฎาคม ก่อนวันหยุดยาวของวันที่ 4 กรกฎาคม ซึ่งผู้คนจำนวนมากจะไม่อยู่ที่ทำงาน
เป็นการยากที่จะตอบสนองต่อ Ransomware อย่างรวดเร็ว เมื่อคุณต้องเรียกใช้ศูนย์ปฏิบัติการความปลอดภัย (SOC) กับทีมงาน แต่น่าตกใจที่บริษัทส่วนใหญ่ไม่มี SOC
AI ที่สามารถสอนตัวเองให้ต่อสู้กับ Ransomware
จุดอ่อนเหล่านี้ในการป้องกันของมนุษย์เป็นเหตุผลหลักในการนำ AI มาใช้ในการป้องกันความปลอดภัยทางไซเบอร์ Darktrace ต่อสู้กับ Ransomware โดยใช้สิ่งที่เรียกว่า 'Self-Learning AI'
AI เปรียบเสมือนกับระบบภูมิคุ้มกันแบบดิจิทัล ซึ่งทำงานเหมือนกับร่างกายมนุษย์แบบเดียวกับแอนติบอดีในกระแสเลือดของคุณ มันรับรู้ว่าอะไรเป็นปกติ และทำงานอย่างต่อเนื่องเพื่อรักษาสถานะนั้น ในการทำเช่นนั้น มันจะตรวจจับพฤติกรรมบนเครือข่ายของคุณที่เบี่ยงเบนไปจากพื้นฐานปกติและจัดการกับมัน
ทำไม AI ถึงมีประโยชน์ในสถานการณ์การเรียกค่าไถ่ ด้วยแนวการโจมตีที่วุ่นวาย, เคลื่อนไหวเร็ว และผันผวนมาก จึงเป็นเรื่องยากที่จะอาศัยเพียงลายเซ็นซอฟต์แวร์ที่เป็นที่รู้จักและรูปแบบการรับส่งข้อมูลเครือข่ายเพื่อระบุการโจมตีที่น่าจะเป็นไปได้
ในทำนองเดียวกัน การตอบสนองต่อรูปแบบคงที่เหล่านี้ด้วยกฎที่กำหนดไว้ล่วงหน้านั้นไม่ได้ผลเพราะไม่ได้ป้องกัน Ransomware ใหม่ๆที่กำลังพัฒนา แต่ AI ช่วยให้บริษัทต่างๆ สามารถตรวจพบ Ransomware สายพันธุ์ใหม่ที่คุณไม่เคยพบเห็นมาก่อนได้
การต่อสู้กับ Ransomware ในทางปฏิบัติ
ในทางปฏิบัติมีวิธีการอย่างไรที่ AI ขัดขวางการโจมตีของ Ransomware ในโลกแห่งความเป็นจริงได้
สิ่งเดียวที่คุณทำได้เพื่อหยุดผู้โจมตี Ransomware ไม่ให้ประสบความสำเร็จคือตรวจพบพวกมันตั้งแต่เนิ่น ๆ เมื่อพวกมันพยายามตั้งหลัก ตามหลักการแล้วสิ่งนี้จะเกิดขึ้นก่อนการติดไวรัสRansomware โดย Darktrace จะสแกนอีเมล หนึ่งในช่องทางการจัดส่งที่ได้รับความนิยมมากที่สุดสำหรับ Ransomware เพื่อตรวจจับรูปแบบที่ผิดปกติ
ผลิตภัณฑ์ Darktrace จะรับรู้การสื่อสารที่ผิดปกติซึ่งโดยปกติเกิดขึ้นเมื่อสัญญาณปลายทางถูกบุกรุกเพื่อให้คอมพิวเตอร์เครื่องอื่นติดเชื้อ
นี่คือสิ่งที่เกิดขึ้นเมื่อผู้โจมตี Ransomware กำหนดเป้าหมายไปยัง Client ของ Darktrace บริษัทในอุตสาหกรรมการผลิตอุปกรณ์อิเล็กทรอนิกส์ซึ่งไม่ได้ใช้ผลิตภัณฑ์ Darktrace เพื่อตรวจหาระยะเริ่มต้นของการโจมตี ยังคงพบลูกค้าที่ติดเชื้อบีคอนอย่างผิดปกติบน SMB นั่นหมายความว่ามันกำลังดำเนินการโจมตีด้วยการเข้ารหัส
การตอบสนองด้วยตนเอง
ในกรณีนี้ บริษัทได้เลือกที่จะเปิดใช้งานความสามารถในการตอบสนองอัตโนมัติของ Darktrace และต้องแยกแยะสิ่งนี้จากการตอบกลับอัตโนมัติซึ่งอาศัยการกระทำที่กำหนดไว้ล่วงหน้า และขึ้นอยู่กับข้อมูลที่มนุษย์ป้อนให้ก่อนเสมอ
การตอบสนองอัตโนมัติจะดำเนินการโดยบูรณาการกับการควบคุมที่มีอยู่ เช่น Firewalls หรือการควบคุมการเข้าถึงเครือข่าย หรือใช้วิธีดั้งเดิมของ Darktrace หรือดำเนินการที่เกี่ยวข้องกับ EDR แต่ตรรกะเบื้องหลังการกระทำและการตัดสินใจเกี่ยวกับสิ่งที่ควรทำล้วนมาจาก Darktrace
การตัดสินใจที่ขับเคลื่อนโดย AI นั้นมุ่งเน้นไปที่การฟื้นฟูสภาพปกติให้กับระบบ และขยายการทำงานเมื่อเวลาผ่านไปตามพฤติกรรมที่ซอฟต์แวร์ตรวจพบ ไปจนถึงการกักกันอุปกรณ์ ซึ่งช่วยให้ซอฟต์แวร์ดำเนินการอย่างเหมาะสมด้วยความเร็วของเครื่องโดยไม่กระทบต่อประสบการณ์ของผู้ใช้เกินความจำเป็น
ในกรณีนี้ Darktrace จะบล็อกการเชื่อมต่อที่ผิดปกติจากอุปกรณ์ที่ติดไวรัสทันที หยุดการเข้ารหัสไฟล์ส่วนใหญ่ในเครือข่าย จากนั้นกักกันอุปกรณ์ที่ติดไวรัสเป็นเวลา 24 ชั่วโมง ควบคุมการโจมตีและทำให้ทีมรักษาความปลอดภัยมีโอกาสดำเนินการต่อไปได้สะดวกขึ้น
โฆษณา