ย้อนกลับไปสมัยฤดูเลือกตั้ง ปธน. สหรัฐฯ ในปี 2559 เคยมีข่าวว่า แฮกเกอร์ชาวรัสเซียทำการแทรกซึมเครือข่ายคอมพิวเตอร์ของคณะกรรมการบริหารพรรคเดโมแครต และคนร้ายได้ข้อมูลอีเมลลับเฉพาะจำนวนมาก ทำให้เกิดการด่างพร้อยในระบบรักษาความปลอดภัยขององค์กรระดับชาติที่บริหารประเทศในช่วงนั้น และแน่นอนคงไม่มีใครกล้าจินตนาการถึงเทคโนโลยีที่ล้ำยุคสามารถใช้งานง่ายราวกับ Search Engine ที่เราใช้กันอยู่ทุกวันนี้ เพื่อใช้สแกนเครือข่ายค้นหาการลักลอบเจาะระบบโดยแฮกเกอร์

อย่างไรก็ตาม เมื่อวันที่ 4 มี.ค. ที่ผ่านมาในงาน RSA Conference 2019 (อีเวนท์นานาชาติประจำปีที่รวมเหล่าคนในแวดวงความปลอดภัยไซเบอร์ ปีนี้จัดขึ้นที่เมือง San Francisco สหรัฐฯ) จินตนาการดังกล่าวได้กลายเป็นความจริงขึ้นมาแล้ว หลังจากบริษัท Chronicle ซึ่งเป็นบริษัทลูกของ Google ซึ่งประกอบธุรกิจให้บริการการป้องกันภัยไซเบอร์สำหรับองค์กรได้เปิดตัว “Backstory” เครื่องมือค้นหาการลักลอบเจาะระบบเป็นครั้งแรกของโลก โดยเครื่องมือดังกล่าวอาศัยสถาปัตยากรรมพื้นฐานของเครื่องมือรักษาความปลอดภัยไซเบอร์ที่ Google ใช้งานอยู่ในปัจจุบัน
Backstory ให้บริการในรูปแบบ Cloud ที่องค์กรสามารถอัพโหลด เก็บข้อมูล เพื่อวิเคราะห์ความเสี่ยงด้านความปลอดภัยและแนวโน้มการถูกโจมตี

เมื่อต้นปีที่ผ่านมา นสพ. Wall Street Journal ได้ตีแผ่ระบบรักษาความปลอดภัยไซเบอร์ของ Google ซึ่งมี Google’s Threat Analysis Group (TAG) คอยเฝ้าระวังภัยอยู่ ในเนื้อหาได้เอ่ยถึงเครื่องมือตรวจสอบการโจมตี เรียกว่า “VirusTotal” โดยผ่านการแสดงผลแบบ Dashboard ที่ Google เรียกมันว่า Nirvana ซึ่งเชื่อมต่อเครื่องมือต่างๆ ไว้ด้วยกันกับ TAG ทีมงานที่เต็มไปด้วยผู้เชี่ยวชาญด้านความปลอดภัยระดับแนวหน้า

VirusTotal ถือเป็นองค์ประกอบของ Backstory ก็ว่าได้ VirusTotal มีผลงานโดดเด่นเมื่อปลายปีที่แล้ว ในการดักจับมัลแวร์ชื่อ Shamoon ที่เคยโจมตีธุรกิจน้ำมันและแก๊สจนเสียหายมหาศาลมาแล้ว เครื่องมือดังกล่าว ทำงานโดยการเชื่อมข้อมูลต่างๆ ที่เกี่ยวกับการสื่อสารภายในเครือข่าย ข้อมูลการโจมตีจากภายนอก และการเฝ้าติดตามสัญญาณเตือนภัยต่างๆ เข้าด้วยกัน

เครื่องมือนี้ถือเป็นตัวอย่างแสดงให้เห็นถึงความล้ำหน้าของ Google ด้านเทคโนโลยีในการประยุกต์ใช้ทรัพย์สินที่บริษัทตัวเองมีอยู่มาดัดแปลงเป็นสินค้าหรือบริการใหม่ นั่นคือการนำความสามารถในการจัดเก็บและการจัดทำดัชนีข้อมูลขนาดมหึมาระดับเพทาไบต์ (1 เพทาไบต์ เทียบเท่าประมาณฮาร์ดดิสก์ 1 TB จำนวน 1 พันลูกรวมกัน) มาทำให้ง่ายต่อการค้นหาในเวลาอันรวดเร็ว
PACCAR บริษัทออกแบบและผลิตรถยนต์เพื่อการพาณิชย์ซึ่งถือเป็นลูกค้ารายแรกของ Chronicle ได้ถ่ายทอดประสบการณ์ไว้ว่า Backstory มีความสามารถในการดักจับข้อมูลจำนวนมหาศาลและสามารถการค้นหาสิ่งที่ต้องการได้อย่างรวดเร็ว

เครื่องมือใหม่นี้ยังเป็นการสะท้อนให้เห็นว่าในการค้นหาและหยุดแฮกเกอร์นั้นไม่ใช่เรื่องง่ายๆ เหมือนการเล่นเกม “แมวจับหนู” เนื่องจากมันซับซ้อนมากและต้องอาศัยพลังการประมวลผลมหาศาลของคอมพิเตอร์มาใช้ในการนี้

Backstory ทำงานอย่างไร?

Backstory ทำงานโดยการจัดเก็บข้อมูลจำนวนมากจากลูกค้าของ Chronicle ข้อมูลนี้เป็นข้อมูลที่บันทึกทุกสิ่งที่เกิดขึ้นบนเครือข่ายของบริษัท นั่นหมายรวมถึงข้อมูล เช่น เว็บไซต์ที่คอมพิวเตอร์ในระบบเคยเชื่อมต่อด้วยทุก URL
ผู้พัฒนาได้สร้างเปลือกนอกเพื่อครอบระบบต่างๆ ของ Google ไว้ เพื่อให้ลูกค้าสามารถอัพโหลดข้อมูลด้านความปลอดภัย รวมทั้งข้อมูล DNS Traffic, Netflow, และข้อมูลบันทึกเกี่ยวกับ Endpoint และ Proxy เป็นต้น ข้อมูลดังกล่าวจะถูกจัดเรียบเรียงเป็นระเบียบ หลังจากนั้นเครื่องมือในการวิเคราะห์จะทำเริ่มงานโดยอัตโนมัติทันที
Backstory จะศึกษาความเป็นไปภายในเครือข่ายของลูกค้า และเปรียบเทียบกับรูปแบบที่ส่อถึงการถูกโจมตี จากฐานข้อมูลมหาศาลที่บันทึกพฤติกรรมการโจมตีต่างๆ เอาไว้ เครื่องมือนี้สามารถแจ้งเตือนให้ทราบได้ว่า เครือข่ายของลูกค้าเคยถูกใช้งานเพื่อเข้าถึงเว็บที่ไม่ปลอดภัย หรือไฟล์ที่ติดมัลแวร์ หรือไม่
โดยทั่วไป ผู้ดูแลระบบมักเก็บข้อมูล Network Traffic ไว้เพียงไม่กี่สัปดาห์เท่านั้น จึงไม่สามารถนำมาวิเคราะห์ หากกรณีมีการลักลอบเจาะระบบก่อนหน้าระยะเวลานั้น ปัญหานี้ Backstory สามารถตอบโจทย์ได้อย่างง่ายดาย เนื่องจากมีการเก็บข้อมูลต่อเนื่องยาวนาน

อ้างอิงที่มา
https://www.cnet.com/news/new-cybersecurity-tool-lets-companies-google-their-systems-for-hackers/
https://medium.com/@chroniclesec/introducing-backstory-45dd9b4d4a6d



เนื้อหาที่เกี่ยวข้อง

1. หมดยุค ‘รหัสผ่าน’? หรือ WebAuthn มาตรฐานใหม่จะเข้ามาแทน

2. Facebook ล่ม! นานที่สุดในประวัติศาสตร์ เกิดจากอะไรกันแน่?

3. 6 ข้อพฤติกรรม ทำแล้วมือถือถูกแฮก!

4. ระวัง ส่วนขยาย Browser เปิดช่องเว็บไซต์ขโมยข้อมูลผู้ใช้

5. Google ออกเครื่องมือที่ช่วยเตือนผู้ใช้เมื่อนำชุดข้อมูลผู้ใช้ที่เคยรั่วไหลมาใช้