ปัญหาช่องโหว่ความปลอดภัยแบบ Zero-Day หรือช่องโหว่ที่แฮ็กเกอร์ค้นพบ แล้วสร้างมัลแวร์โจมตีผ่านช่องโหว่นั้นโดยที่ผู้พัฒนาซอฟต์แวร์ไม่ทราบมาก่อน กำลังเป็นเรื่องใหญ่มากขึ้นเรื่อยๆ โดยเฉพาะซอฟต์แวร์ยอดนิยมที่ใช้กันในวงกว้าง ตัวอย่างล่าสุดในปีนี้คือ กรณีของ Flash Player จากช่องโหว่ที่ค้นพบโดย Hacking Team

ความร้ายแรงของช่องโหว่แบบ Zero-Day คือผู้ใช้ไม่มีหนทางป้องกันตัวอย่างสิ้นเชิง เนื่องจากไม่มีใครอื่นนอกจากแฮ็กเกอร์ที่รู้จักช่องโหว่นี้ ในหลายกรณีผู้ใช้แทบไม่รู้ด้วยซ้ำว่าตัวเองถูกโจมตี และต่อให้รู้ก็ไม่สามารถทำอะไรได้ เพราะต้องรอผู้พัฒนาซอฟต์แวร์ทราบข่าวการโจมตีก่อน แล้วจึงออกแพตช์แก้ให้ และจากสถิติที่ผ่านมา การรอแพตช์จากผู้พัฒนาซอฟต์แวร์มักต้องใช้เวลาหลายวัน หรือหลายครั้งเป็นหลักเดือนด้วยซ้ำ

บริษัทซอฟต์แวร์ความปลอดภัยเกือบทุกราย พยายามแก้ปัญหานี้ด้วยระบบตรวจจับมัลแวร์ที่ฉลาดขึ้น สามารถบล็อคการทำงานของมัลแวร์ที่ใช้ช่องโหว่เดียวกันที่ค้นพบในภายหลัง ระหว่างที่ต้องรอแพตช์จากผู้พัฒนาซอฟต์แวร์นั้นๆ

อย่างไรก็ตาม ข้อจำกัดเรื่องการใช้ช่องโหว่แบบ Zero-Day ทำให้บริษัทความปลอดภัยต้อง “ค้นพบ” มัลแวร์หน้าใหม่เหล่านี้ก่อน ปัจจุบันกระบวนการตรวจจับมัลแวร์ไม่สามารถใช้แนวทางการตรวจสอบ “รูปแบบ” (pattern หรือ signature) ของมัลแวร์หน้าใหม่ได้อีกแล้ว เนื่องจากมัลแวร์สามารถกลายพันธุ์ได้ตลอดเวลาเพื่อให้ระบบความปลอดภัยตรวจจับไม่ได้ แนวทางที่ยอมรับกันในปัจจุบันคือปล่อยให้มัลแวร์เข้ามารันใน “sandbox” ซึ่งเป็นคอมพิวเตอร์เสมือน (VM) ที่จำลองการทำงานของคอมพิวเตอร์จริงๆ ใช้ระบบปฏิบัติการยอดนิยมอย่าง Windows XP/7/8 เพื่อดูพฤติกรรมของไฟล์ต้องสงสัยว่าเป็นมัลแวร์หรือไม่

ปัญหาของระบบ sandbox คือมันทำได้แค่ “ตรวจสอบ” ว่าไฟล์ใดๆ เป็นมัลแวร์หรือไม่เท่านั้น สิ่งที่เกิดขึ้นหลังจากนั้นคือ บริษัทหรือหน่วยงานที่ค้นพบมัลแวร์จะต้องส่งไฟล์ตัวอย่างกลับไปให้บริษัทความปลอดภัยวิเคราะห์ และออกไฟล์ signature กลับมาอัพเดตยังฐานข้อมูลมัลแวร์อีกครั้งหนึ่ง กระบวนการนี้ต้องใช้เวลาขั้นต่ำประมาณ 1-2 วันแล้วแต่กรณี ซึ่งช่องว่างเวลา (gap time) ระหว่างการตรวจพบมัลแวร์ใหม่ จนถึงการอัพเดตฐานข้อมูลมัลแวร์เพื่อบล็อคไฟล์ลักษณะเดียวกัน กลายเป็นโอกาสให้มัลแวร์ Zero-Day เหล่านี้ใช้แพร่กระจายและโจมตีเครื่องคอมพิวเตอร์อื่นๆ ในองค์กรได้ ถ้าหากมัลแวร์ตัวนั้นเลือกโจมตีด้วยการเข้ารหัสข้อมูล (ransomware) ความเสียหายที่เกิดขึ้นย่อมกระจายเป็นวงกว้าง เพราะไม่ได้มีคอมพิวเตอร์เครื่องเดียวที่ติด ransomware แต่อาจหมายถึงคอมพิวเตอร์ของทั้งองค์กรที่ส่งต่อไฟล์มัลแวร์กันไปเรื่อยๆ ทางระบบอีเมลงานภายใน

บริษัทความปลอดภัย Trend Micro หาทางแก้ปัญหา gap time ดังกล่าว โดยร่นเวลารอการสร้างไฟล์ signature จาก 1-2 วันลงมาเหลือแค่ 1-2 ชั่วโมง เทคนิคที่ Trend Micro ใช้งานคือนำระบบตรวจจับข้อมูล Deep Discovery ที่เดิมทีเก็บไว้บนเซิร์ฟเวอร์ของ Trend Micro เท่านั้น ย้ายมาอยู่ที่ระบบรักษาความปลอดภัยของลูกค้าที่ซื้อโซลูชันนี้เลย ระบบแบบใหม่นี้มีชื่อเรียกว่า Connected Threat Defense

กระบวนการทำงานของ Connected Threat Defense คือระบบ sandbox ของ Trend Micro จะรันไฟล์ต้องสงสัยที่ถูกส่งเข้ามาในองค์กรผ่านช่องทางต่างๆ (เช่น อีเมล) เพื่อทดสอบว่าเป็นมัลแวร์หรือไม่ ซึ่งกระบวนการนี้จะใช้เวลาประมาณ 15-20 นาที (เหตุที่ต้องรอก็เพื่อป้องกันมัลแวร์ประเภทหน่วงเวลา ไม่แสดงตัวว่าประสงค์ร้ายในทันที) ถ้าหากพบว่าไฟล์ดังกล่าวมีพฤติกรรมต้องสงสัย ระบบ Deep Discovery จะสร้างไฟล์ signature ของไฟล์นั้น (เป็น hash แบบ SHA-1) แล้วกระจายไฟล์ signature ไปยังระบบสแกนมัลแวร์ทุกตัวของ Trend Micro ที่อยู่ภายในองค์กรนั้น (เช่น โปรแกรม OfficeScan Endpoint Protection) เพื่อให้ความคุ้มครองทุกอุปกรณ์ (endpoint) ในองค์กร

เมื่อซอฟต์แวร์อื่นของ Trend Micro ได้รับไฟล์ signature ใหม่ (ค่าดีฟอลต์อัพเดตทุก 1 ชั่วโมง) ก็จะสามารถสกัดกั้นมัลแวร์ตัวเดียวกันที่ถูกส่งเข้ามาเป็นไฟล์ที่สอง (หรือไฟล์เดิมที่ส่งไปยังเครื่องคอมพิวเตอร์เครื่องที่สอง) ไม่ให้รันและสร้างความเสียหายได้ ถือเป็นการจำกัดความเสียหายของมัลแวร์ไม่ให้แพร่กระจาย และลด gap time ของการตรวจพบ (detection) จาก 2 วันมาเหลือแค่ 1-2 ชั่วโมงเท่านั้น ส่วนในขั้นต่อไปก็คือรอการตรวจสอบจาก Trend Micro อย่างละเอียดตามกระบวนการปกติ

ทาง Trend Micro ระบุว่าระบบ Connected Threat Defense ในกรณีที่มีเครื่องที่ติดมัลแวร์ไปแล้ว (เช่น เครื่องแรกที่พบมัลแวร์) ระบบจะยังไม่สามารถกู้คืน (quarantine) ได้ และต้องรอการตรวจสอบอย่างละเอียดจาก Trend Micro ตามกระบวนการปกติอีกครั้ง เพื่ออัพเดตไฟล์แก้มัลแวร์ให้ แต่ความสามารถในการบล็อคมัลแวร์แบบทันท่วงที ย่อมช่วยให้องค์กรสามารถจำกัดความเสียหายของมัลแวร์ได้มาก

ระบบ Connected Threat Defense ยังสามารถทำงานกับองค์กรที่มีเครือข่ายย่อยตามจำนวนสาขาของสำนักงานได้ด้วย โดยตั้งค่าให้อัพเดตไฟล์ signature ไปยังเครื่องหลัก (master) ของแต่ละสาขาย่อย และให้เครื่องในสาขาย่อยอัพเดตไฟล์จากเครื่องหลักอีกทีหนึ่ง เพื่อประหยัดแบนด์วิธของเครือข่ายระหว่างสาขา

ในอนาคต Trend Micro จะเปิดให้ลูกค้าที่ใช้ระบบแอนตี้มัลแวร์หรือไฟร์วอลล์ของบริษัทอื่นๆ สามารถดึงข้อมูลจาก Connected Threat Defense ได้ด้วย ไม่จำกัดเฉพาะผลิตภัณฑ์ของ Trend Micro แต่เพียงอย่างเดียว

รายละเอียดเพิ่มเติมอ่านได้จาก Trend Micro