กระบวนการ ของ Antivirus ในการเตรียมตัวเพื่อรับมือ Zero-Day

การป้องกัน จาก Zeroday

สวัสดีค่ะ วันนี้ขออธิบายเกี่ยวกับ zero-day ที่เรามักจะได้ยินกันเรื่อย ๆ ซึ่งคือไวรัสออกใหม่ นะคะ เผื่อหลาย ๆ คนอาจยังไม่เข้าใจ  และเราจะพามาดูว่าบริษัท software antivirus เค้ามีวิธีการรับมือกับ zero-day กันยังไงค่ะ

Zero-Day คืออะไร?

zero-day ในบริบทของ antivirus software นั้นหมายถึงช่องโหว่หรือข้อผิดพลาดในซอฟต์แวร์ที่ผู้จำหน่ายไม่ทราบ ซึ่งเท่ากับว่าไม่ได้รับการแก้ไขและไม่มีการแพตช์ เมื่อช่องโหว่นั้นไม่มีการแพตช์ก็จะทำให้ถูกโจมตีได้โดยที่ผู้พัฒนาซอฟต์แวร์และผู้จำหน่าย antivirus ไม่รู้มาก่อน 

zero-day นั้นเป็นที่ท้าทายของซอฟต์แวร์ antivirus มากเพราะไม่มี signature การตรวจจับก่อนหน้าและไม่มีแพทเทิร์นที่รู้จักใด ๆ สำหรับการทำการระบุและบล็อคเลย โดยทั่วไปซอฟต์แวร์ antivirus จะพึ่งพาดาต้าเบสของ signature มัลแวร์หรือรูปแบบพฤติกรรมที่รู้จักในการตรวจจับและบล็อคโค้ดหรือกิจกรรมที่เป็นอันตราย อย่างไรก็ตาม ในกรณีของช่องโหว่ zero-day นี้ ซอฟต์แวร์ antivirus อาจจะไม่มีข้อมูลที่จำเป็นซึ่งทำให้รู้จักและบรรเทาภัยคุกคาม

ผู้โจมตีซึ่งเจอ zero-day สามารถใช้ช่องโหว่นี้ในการทำการโจมตีที่กำหนดเป้าหมายเฉพาะและซับซ้อนได้ โดยมักเป็นไปเพื่อการขโมยข้อมูลเซนซิทีฟ, ต้องการการเข้าถึงที่ไม่ได้รับอนุญาต, และต้องการทำอันตรายอื่น ๆ 

เพื่อจัดการปัญหานี้ บริษัท antivirus มากมายจึงได้พยายามจัดตั้งกลยุทธ์ต่าง ๆ เช่นการวิเคราะห์แบบ heuristic, การตรวจจับตามพฤติกรรม, machine learning, และการแบ่งปันความรู้เกี่ยวกับภัยคุกคาม ซึ่งช่วยตรวจจับและบรรเทาการโจมตี zero-day โดยการวิเคราะห์พฤติกรรมซอฟต์แวร์, ระบุสิ่งผิดปกติ, และการใช้ประโยชน์จากความรู้ด้าน security ที่เป็นที่เผยแพร่กันใน community ต่างๆ

แต่ถึงแม้จะใช้เทคนิคเหล่านี้ zero-day ก็ยังสามารถสร้างความเสี่ยงได้จนกว่าจะมีการพัฒนาและปล่อยแพตช์หรือการแก้ไขจากผู้จำหน่ายซอฟต์แวร์ นี่เองจึงเป็นเหตุผลที่เราควรคอยอัพเดตซอฟต์แวร์และระบบให้เป็นแพตช์ล่าสุด, คอยฝึกฝนพฤติกรรมที่ปลอดภัยเมื่อออนไลน์, และรักษามาตรการรักษาความปลอดภัยที่ครอบคลุมซึ่งรวมไปถึงการป้องกันหลาย ๆ ชั้นนอกจากแค่ซอฟต์แวร์ antivirus

การป้องกัน จาก Zeroday

โดยทั่วไปแล้ว สิ่งที่นักพัฒนาซอฟต์แวร์ antivirus ควรเตรียมตัวสำหรับการรับมือ zero-day มีดังนี้:

  • การรีเสิร์ชอย่างต่อเนื่อง: บริษัทควรมีทีมค้นคว้าที่มุ่งมั่นทุ่มเทในการวิเคราะห์ภัยคุกคามและช่องโหว่ใหม่ ๆ โดยการจับตาดูฟอรัมความปลอดภัย, ตลาดใต้ดิน, และคำแนะนำด้านความปลอดภัยในการระบุช่องโหว่ zero-day ที่เป็นไปได้
  • การแบ่งปันความรู้ด้านภัยคุกคาม: การร่วมมือกับองค์กรความปลอดภัยและแพลตฟอร์มแบ่งปันข้อมูลอื่น ๆ ช่วยให้บริษัท antivirus มีความรู้เกี่ยวกับภัยคุกคามที่เกิดขึ้นอยู่เสมอ ๆ ทำให้สามารถพัฒนาเทคนิคการตรวจจับและการบรรเทาได้ในเชิงรุก
  • การตรวจจับตามพฤติกรรม: โซลูชัน antivirus นั้นสามารถมีกลไกตรวจจับตามพฤติกรรมที่วิเคราะห์พฤติกรรมซอฟต์แวร์เพื่อมองหากิจกรรมที่น่าสงสัยได้ วิธีการนี้ช่วยระบุการโจมตี zero-day โดยการตรวจจับรูปแบบพฤติกรรมที่ผิดปกติได้แม้จะยังไม่รู้ช่องโหว่ที่แน่ชัด 
  • Machine learning และ AI: เทคนิคอย่าง machine learning และ artificial intelligence สามารถใช้พัฒนาความสามารถของ antivirus ได้ โดยช่วยให้ซอฟต์แวร์ antivirus ได้เรียนรู้จากข้อมูลจำนวนมากมายและระบุรูปแบบหรือพฤติกรรมที่เป็นอันตรายที่เดิมทีมองไม่เห็นได้
  • การวิเคราะห์ sandbox analysis: โปรแกรม antivirus มักมีการทำ sandbox ด้วย ซึ่งแยกไฟล์หรือขั้นตอนที่น่าสงสัยไว้ในสภาพแวดล้อมที่ได้รับการควบคุม ทำให้เกิดการวิเคราะห์เชิงลึกในส่วนของพฤติกรรมที่ส่ออันตรายโดยไม่ส่งผลกระทบกับความปลอดภัยของระบบ
  • การจัดการแพตช์: การนำแพตช์ของซอฟต์แวร์มาใช้อย่างทันเวลานั้นสำคัญกับการลดความเสี่ยงจากการใช้ประโยชน์จาก zero-day ผู้จำหน่าย antivirus ควรร่วมมือกับผู้พัฒนาซอฟต์แวร์เพื่อรับการอัพเดตอย่างทันทีและทำให้แน่ใจว่าซอฟต์แวร์นั้น ๆ สามารถตรวจจับและบรรเทาช่องโหว่ที่เกี่ยวข้องได้  

สิ่งที่เราควรต้องรู้คือ แม้ซอฟต์แวร์ antivirus จะรับบทบาทหน้าที่สำคัญในการปกป้องภัยคุกคามต่าง ๆ ซึ่งรวมถึงการโจมตี zero-day ก็ไม่ได้หมายความว่าจะสามารถปกป้องได้อย่างทั่วถึงเสมอ ดังนั้น เพื่อการปกป้องที่ครอบคลุมจากภัยคุกคามที่เกิดขึ้น เราจึงควรคอยทำการอัพเดตระบบ, มีพฤติกรรมการท่องเว็บที่ปลอดภัย, และมีแนวทางการรักษาความปลอดภัยหลายชั้น