ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งให้ผู้ดูแลระบบ หน่วยงานที่ใช้ซอฟต์แวร์ และผู้ที่เกี่ยวข้อง ติดตามความเคลื่อนไหวของเทคโนโลยีปัญญาประดิษฐ์ หรือ AI ที่ใช้สำหรับค้นหาช่องโหว่ในซอฟต์แวร์ ภายใต้ชื่อ “Mythos” ซึ่งพัฒนาโดยบริษัท Anthropic และอยู่ภายใต้โครงการ “Project Glasswing”**
1. รายละเอียด
Mythos เป็นโมเดล AI ที่ถูกออกแบบมาเพื่อช่วยค้นหาช่องโหว่ หรือจุดอ่อนด้านความปลอดภัยในซอฟต์แวร์ โดยปัจจุบันยังไม่ได้เปิดให้บุคคลทั่วไปใช้งาน และจำกัดการเข้าถึงเฉพาะหน่วยงานภาครัฐและพันธมิตรบางส่วนภายใต้โครงการ Project Glasswing
มีรายงานระบุว่า Mythos ได้สแกนโครงการซอฟต์แวร์โอเพนซอร์สไปแล้วมากกว่า 1,000 โครงการ และตรวจพบช่องโหว่ระดับสูงและระดับร้ายแรงมากกว่า 6,200 รายการ รวมถึงช่องโหว่สำคัญในไลบรารี WolfSSL
อย่างไรก็ตาม Anthropic ระบุว่า การเปิดให้ใช้งานในวงกว้างจะเกิดขึ้นในอนาคต เมื่อบริษัทมั่นใจว่ามีมาตรการป้องกันการนำเทคโนโลยีดังกล่าวไปใช้ในทางที่ผิดอย่างเพียงพอแล้ว
2. ระบบหรือหน่วยงานที่ควรให้ความสำคัญ หน่วยงานที่อาจได้รับผลกระทบและควรเตรียมความพร้อม ได้แก่
2.1 หน่วยงานที่ใช้ซอฟต์แวร์โอเพนซอร์สจำนวนมาก
2.2 ทีมพัฒนาระบบและทีมรักษาความปลอดภัยไซเบอร์ ที่ต้องดูแลและแก้ไขช่องโหว่ของระบบ
2.3 หน่วยงานที่ยังไม่มีขั้นตอนการอัปเดต แก้ไข หรือจัดการช่องโหว่ที่ชัดเจนและรวดเร็ว
2.4 หน่วยงานที่มีระบบจำนวนมาก แต่มีบุคลากรหรือเครื่องมือด้านความปลอดภัยจำกัด
3. ผลกระทบที่อาจเกิดขึ้น การที่ AI สามารถค้นหาช่องโหว่ได้จำนวนมากและรวดเร็ว อาจส่งผลให้หน่วยงานต้องเผชิญกับความท้าทาย ดังนี้
3.1 พบช่องโหว่จำนวนมากในระยะเวลาอันสั้น ทำให้จัดการไม่ทัน
3.2 ผู้ดูแลระบบมีภาระงานเพิ่มขึ้นในการตรวจสอบ แก้ไข และอัปเดตระบบ
3.3 ช่องโหว่สำคัญบางรายการอาจไม่ได้รับการแก้ไขอย่างทันท่วงที
3.4 หากเทคโนโลยีลักษณะเดียวกันถูกนำไปใช้โดยผู้ไม่หวังดี อาจเพิ่มความเสี่ยงต่อการโจมตีระบบ
3.5 องค์กรอาจต้องปรับปรุงกระบวนการบริหารจัดการช่องโหว่ให้มีประสิทธิภาพมากขึ้น
4. แนวทางการตรวจสอบสำหรับผู้ดูแลระบบ ThaiCERT ขอแนะนำให้ผู้ดูแลระบบและหน่วยงานที่เกี่ยวข้องดำเนินการตรวจสอบ ดังนี้
4.1 ตรวจสอบว่าหน่วยงานมีกระบวนการจัดการช่องโหว่ของระบบอย่างเป็นระบบหรือไม่
4.2 ตรวจสอบรายการช่องโหว่ที่ยังไม่ได้แก้ไข หรือยังค้างอยู่ในระบบ
4.3 จัดลำดับความสำคัญของช่องโหว่ โดยพิจารณาจากระดับความร้ายแรง ผลกระทบ และโอกาสที่จะถูกโจมตีจริง
4.4 ตรวจสอบว่าเครื่องมือสแกนช่องโหว่ที่ใช้งานอยู่สามารถรองรับข้อมูลจำนวนมากได้หรือไม่
4.5 ตรวจสอบว่ามีขั้นตอนการติดตาม แก้ไข และยืนยันผลหลังการแก้ไขช่องโหว่อย่างครบถ้วนหรือไม่
5. แนวทางลดความเสี่ยง เพื่อเตรียมความพร้อมต่อแนวโน้มดังกล่าว หน่วยงานควรพิจารณาดำเนินการ ดังนี้
5.1 ใช้แนวทางการจัดการช่องโหว่ตามระดับความเสี่ยงจริง แทนการแก้ไขทุกช่องโหว่ด้วยความสำคัญเท่ากัน
5.2 พัฒนาหรือปรับปรุงระบบอัตโนมัติสำหรับการอัปเดต แก้ไข และติดตามสถานะช่องโหว่
5.3 ใช้ข้อมูลประกอบการตัดสินใจ เช่น EPSS หรือ Threat Intelligence เพื่อช่วยประเมินว่าช่องโหว่ใดมีโอกาสถูกนำไปโจมตีมากกว่า
5.4 เสริมความพร้อมของทีมรักษาความปลอดภัยไซเบอร์ ทีมพัฒนาระบบ และทีม DevSecOps เพื่อรองรับภาระงานที่อาจเพิ่มขึ้น
5.5 ติดตามความเคลื่อนไหวของ Project Glasswing และการเปิดใช้งาน Mythos อย่างใกล้ชิด
5.6 จัดทำแผนรองรับกรณีพบช่องโหว่จำนวนมาก เพื่อให้สามารถตรวจสอบและแก้ไขได้ตามลำดับความสำคัญ
ThaiCERT ขอแนะนำให้หน่วยงานเตรียมความพร้อมทั้งด้านกระบวนการ เครื่องมือ และบุคลากร เพื่อรองรับยุคที่ AI สามารถช่วยค้นหาช่องโหว่ในซอฟต์แวร์ได้ในปริมาณมากและรวดเร็วมากขึ้น แม้เทคโนโลยีดังกล่าวจะช่วยเพิ่มความปลอดภัยในระยะยาว แต่ในระยะสั้นอาจทำให้หน่วยงานต้องรับมือกับช่องโหว่จำนวนมากขึ้น และจำเป็นต้องมีระบบบริหารจัดการช่องโหว่ที่มีประสิทธิภาพ
แหล่งอ้างอิง