ข่าวไอที Blognone » ไมโครซอฟท์เล่าประสบการณ์ตรวจจับการโจมตีไซเบอร์ในช่องโหว่ที่ไม่เคยมีรายงานจากคอมพิวเตอร์นับล้านอย่างไร

ไมโครซอฟท์เล่าประสบการณ์ตรวจจับการโจมตีไซเบอร์ในช่องโหว่ที่ไม่เคยมีรายงานจากคอมพิวเตอร์นับล้านอย่างไร

26 ธันวาคม 2021
1   0

ภัยไซเบอร์มีความซับซ้อนสูงขึ้นเรื่อยๆ ในช่วงไม่กี่ปีที่ผ่านมา จากการใช้งานช่องโหว่ที่ไม่เคยมีรายงานก่อนหน้า (0-day) เพื่อโจมตีเป้าหมาย การใช้ช่องโหว่เช่นนี้ทำให้องค์กรป้องกันตัวได้ยากเพราะไม่มีข้อมูลว่าซอฟต์แวร์ตัวไหนจะตกเป็นเป้าการโจมตีบ้าง บริษัทใหญ่ๆ ระดับโลกที่มีซอฟต์แวร์รันอยู่ในเครื่องผู้ใช้จำนวนมาก มักมีโครงการจัดการภัยไซเบอร์ในภาพใหญ่ เพื่อเพิ่มความปลอดภัยให้โลกไซเบอร์โดยรวม เช่น Project Zero ของกูเกิลที่มักเผยแพร่งานวิจัยช่องโหว่ของซอฟต์แวร์ต่างๆ ไม่ว่าจะเป็นของกูเกิลเองหรือของผู้ผลิตอื่นๆ ทางฝั่งไมโครซอฟท์นั้นก็มีโครงการแบบเดียวกัน และเมื่อต้นเดือนที่ผ่านมา Blognone ก็ได้พูดคุยกับ Aanchal Gupta รองประธานของไมโครซอฟท์ที่ดูแลด้านความปลอดภัยไซเบอร์ โดยเธอมาเล่าถึงการทำงานของ Microsoft Security Response Center (MSRC) ศูนย์ความปลอดภัยไซเบอร์ของไมโครซอฟท์ที่พยายามช่วยเพิ่มความปลอดภัยไซเบอร์ให้โลกโดยรวม

MSRC มีภารกิจ 4 ด้าน เพื่อช่วยเพิ่มความปลอดภัย และกิจกรรมต่างๆ ในรอบ 12 เดือนที่ผ่านมา ได้แก่

  1. วิจัยช่องโหว่ซอฟต์แวร์: ค้นหาช่องโหว่ของซอฟต์แวร์ต่างๆ ในปีที่ผ่านมาพบช่องโหว่รวม 938 รายการ
  2. ตรวจจับการโจมตีและหาทางแก้ไข: พบการโจมตีด้วยช่องโหว่ 0-day ทั้งหมด 25 ช่องโหว่ จากการโจมตีประมาณ 7,000 ครั้ง
  3. ร่วมมือกับนักวิจัย: ผ่านโครงการรายงานช่องโหว่ได้รางวัล จ่ายไป 1,261 รายงาน รวมรางวัลกว่า 400 ล้านบาท ให้กับนักวิจัย 341 คน
  4. รับมือการโจมตี (incident response): ป้องกันการโจมตีได้ 70,000 ล้านครั้ง

No Description

MSRC ดึงข้อมูลจากแหล่งต่างๆ มาประมวลผล เช่น การยืนยันตัวตนเดือนละ 630,000 ล้านครั้ง, การสแกนเว็บ (ผ่าน Bing) เดือนละ 18,000 หน้าเพจ, อีเมลเดือนละ 400,000 ล้านฉบับ นอกจากนี้ยังมีข้อมูลจากแหล่งภายนอก เช่น ตัวอย่างมัลแวร์, ข้อมูลจากตลาดมืด รวมข้อมูลทั้งหมด 24 ล้านล้านรายการต่อวัน

ข้อมูลเหล่านี้ไม่สามารถประมวลผลด้วยมนุษย์ได้ทัน MSRC อาศัยปัญญาประดิษฐ์และโมเดล machine learning เพื่อกรองอีเวนต์ทั้งหมดให้เหลือเป็นการเตือนภัยระดับหลายพันรายการต่อวัน โดยรายการเตือนเหล่านี้อาจจะไม่ใช่การโจมตีอะไรแต่มีความผิดปกติให้ชวนติดตาม เช่น การล็อกอินที่สำเร็จดี แต่ผู้ใช้กำลังล็อกอินจากหมายเลขไอพีที่ผิดไปจากเดิม จากนั้นกรองลงไปอีกจนเหลือกรณีที่ต้องสอบสวนหลักร้อยเหตุการณ์ต่อวัน ขณะที่มีผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ทำงานในทีมกว่า 8,500 คน

ข้อมูลที่ได้จากการวิเคราะห์นั้นเมื่อยืนยันว่าเป็นการโจมตีจริงไมโครซอฟท์จะส่งไปยังบริการอื่นๆ เช่น Microsoft Defender เพื่อตรวจจับการโจมตีและส่งกลับเข้าไปยังระบบเก็บข้อมูลมาวิเคราะห์เพิ่มเติมต่อไป

ที่มา - งานแถลงข่าวออนไลน์ MSRC ภูมิภาเอเชียแปซิฟิก

[source: https://www.blognone.com/node/126453]