ผลบวกปลอม หรือ False Positive ไม่ได้มีแค่เฉพาะกับการตรวจโรคโควิด-19 ขึ้น 2 ขีดเท่านั้น แต่ยังมีการใช้คำนี้ในโลกของความปลอดภัยทางไซเบอร์ ในการพูดถึงการแจ้งเตือนที่ผิดพลาด
เช่น แจ้งเตือนภัยคุกคาม ทั้ง ๆ ที่ไม่มีอะไร ซึ่งก่อให้เกิดความเหนื่อยล้าโดยใช่เหตุในกลุ่มคนทำงานด้านนี้เป็นอย่างมาก มีรายงานแสดงให้เห็นว่ากว่า 20 เปอร์เซ็นต์ของการแจ้งเตือนทางไซเบอร์นั้นเป็นผลบวกปลอม
False Positive หรือผลบวกปลอม ไม่ได้มีแค่เฉพาะกับการตรวจโรคโควิด-19 ขึ้น 2 ขีดเท่านั้น แต่ยังมีการใช้คำนี้ในโลกของความปลอดภัยทางไซเบอร์ ในการพูดถึงการแจ้งเตือนที่ผิดพลาด เช่น แจ้งเตือนภัยคุกคาม ทั้ง ๆ ที่ไม่มีอะไร ซึ่งก่อให้เกิดความเหนื่อยล้าโดยใช่เหตุในกลุ่มคนทำงานด้านนี้เป็นอย่างมาก มีรายงานแสดงให้เห็นว่ากว่า 20 เปอร์เซ็นต์ของการแจ้งเตือนทางไซเบอร์นั้นเป็นผลบวกปลอม
ในโลกของการทำงานด้านความปลอดภัยทางไซเบอร์ ภารกิจหลักของเราคือการตรวจจับช่องโหว่ หรือการโจมตีที่เกิดขึ้นในระบบ ระบบตรวจจับการโจมตีจะทำงานโดยการตรวจหาและเลือกแจ้งเตือนถึงสิ่งที่ระบบมองว่าเป็นการโจมตี ในกรณีนี้จึงไม่ได้มีเพียงแต่ False Positive เท่านั้น ยังมีสิ่งที่เรียกว่า False Negative กล่าวคือ เกิดการโจมตีขึ้นแต่ดันไม่ได้แจ้งเตือน
ความผิดพลาดของระบบจึงแบ่งได้สองแบบ
- False Positive แจ้งเตือนทั้งที่ไม่ได้มีการโจมตีหรือช่องโหว่
- False Negative การที่ระบบตรวจจับพลาด ตรวจไม่เจอและไม่แจ้งเตือนช่องโหว่หรือการโจมตี
ในการแก้ไข ผลบวกปลอม เราจะต้องเพิ่มความแม่นยำของเครื่องมือในการตรวจจับขึ้นให้ เช่น ใช้การตั้งค่าว่าถ้าระบบมั่นใจ 99.999 เปอร์เซ็นต์ว่านี่คือการโจมตีหรือช่องโหว่แล้วค่อยแจ้งเตือน
แต่สิ่งหนึ่งที่เราลืมไปคือกรณีนี้เราก็ยังไม่สามารถแก้ปัญหา False Negative หรือการที่ระบบตรวจจับพลาด ตรวจไม่เจอและไม่แจ้งเตือนช่องโหว่หรือการโจมตี ซึ่งอาจก่อปัญหาตามมาได้ หรือถ้าเราตั้งค่าระบบให้ตรวจจับทุกการโจมตี เราก็สามารถแก้ปัญหา False Negative ได้ เพราะจะมีการแจ้งเตือนทุกการกระทำที่เข้าข่ายของช่องโหว่และการโจมตี แต่ในกรณีนี้เราก็จะต้องเจอกับ False Positive แจ้งเตือนทั้งที่ไม่ได้มีการโจมตีหรือช่องโหว่จำนวนมาก
ซึ่งผลบวกปลอม เองเป็นสาเหตุที่ทำให้กลุ่มบุคลากรทางไซเบอร์ต้องเจอกับความเหน็ดเหนื่อยในการต้องรับการแจ้งเตือนไม่จริง การแก้ปัญหาด้วยการเมินการแจ้งเตือนก็อาจนำไปสู่การโจมตีที่สร้างความเสียหายครั้งใหญ่ แต่การรับทุกการแจ้งเตือนก็อาจทำให้เหนื่อยจนเกิดการหมดไฟได้
แล้วเราจะแก้ปัญหานี้อย่างไร?
เริ่มจากการปรับตัวและทำใจยอมรับก่อนว่า การได้รับการแจ้งเตือนที่พลาดบ้างแต่ได้ครบ นั้นดีกว่าการไม่ได้รับการแจ้งเตือนสำคัญ ซึ่งอาจเกิดขึ้นได้หากเราใช้เครื่องมือที่ไม่มี False Positive เลย เป็นไปได้สูงมากว่าเครื่องมือเหล่านั้นอาจมองข้ามบางอย่างไปจนก่อให้เกิดปัญหาภายหลัง
อีกสิ่งสำคัญที่เราทำได้ การใช้เลือกทีมผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ที่มีความเชี่ยวชาญ ซึ่งคลาวด์เซค เอเซีย เพียบพร้อมไปด้วยบุคลากรที่มีคุณภาพ เพื่อตรวจสอบว่าเครื่องมือของเรามีแนวโน้มจะแจ้งเตือนผิดพลาดในรูปแบบไหน ตั้งค่าและออกแบบระบบ เช่น สร้างชีท ไฟล์ หรือ Directory ที่ให้ผู้ใช้สามารถบันทึก False Positiveได้ จดจำและนำข้อสังเกตเหล่านั้นมาพัฒนาเครื่องมือและอัลกอริธึมของเรา หรือตั้งค่าไม่ให้มีการเตือน False Positive เหล่านั้นอีก แต่ต้องแน่ใจแล้วว่าจะไม่มี False Negative รูปแบบนั้นหลุดมานะ
หากท่านได้รับรายงานสรุปการตรวจจับช่องโหว่จากผู้ให้บริการด้านความปลอดภัยที่ได้รับการคัดกรองแล้ว อย่างสม่ำเสมอ การพัฒนาและเสริมสร้างให้องค์กรของท่านสามารถเดินหน้าสู่ความสำเร็จได้อย่าง ราบรื่น และยั่งยืนต่อไป
Reference:
-Lakshmanan, R., 2022. The Benefits of Building a Mature and Diverse Blue Team [online] The Hacker News. Available at: https://thehackernews.com/2022/08/the-benefits-of-building-mature-and.html [Accessed 8 September 2022]
Contact Cloudsec Asia today to safeguard your organization against cyber threats.
We are your premier cybersecurity solution and consulting provider in the APAC region