สรุปบทความโดยย่อ

การวิเคราะห์พฤติกรรมการใช้งาน (Behavioral Analytics: BA) จากข้อมูล Access Logs คือกการรวบรวมและวิเคราะห์ข้อมูลพฤติกรรมของผู้ใช้บริการ เพื่อตรวจจับความผิดปกติในการใช้บริการ โดยข้อมูลที่ใช้ประกอบด้วยข้อมูลแบบคงที่ เช่น Device ID และ OS Version และข้อมูลแบบพลวัต เช่น Geolocation, Login Time และ Activity Data ในการใช้ระบบ BA ต้องมีการพิจารณาข้อดีและข้อจำกัดของการติดตั้งระบบ BA บน Cloud-based และ On-premise รวมถึงประเด็นด้านจริยธรรมและความเป็นส่วนตัว เช่น ความเสี่ยงจากการละเมิดข้อมูลและการใช้ข้อมูลเกินวัตถุประสงค์ เพื่อจัดการความเสี่ยงเหล่านี้ ผู้ให้บริการต้องปฏิบัติตามกฎระเบียบ เช่น GDPR และ PDPA พร้อมใช้มาตรการปกป้องข้อมูล เช่น การเข้ารหัส การทำให้ข้อมูลไม่ระบุตัวตน และการควบคุมการเข้าถึง รวมถึงการจัดตั้งกรอบธรรมาภิบาลข้อมูลเพื่อสร้างความไว้วางใจและการใช้ข้อมูลอย่างมีความรับผิดชอบ

 อ่านออกเสียง  หยุดอ่าน

1. บทนำ
ในยุคที่อัตลักษณ์ดิจิทัล (Digital ID) เป็นสิ่งแทนตัวตนของเราในการเข้าถึงการทำธุรกรรมออนไลน์ และใช้บริการออนไลน์ในชีวิตประจำวัน [1] การพัฒนาระบบ Digital ID ที่มีประสิทธิภาพช่วยเพิ่มความสะดวกและสร้างโอกาสทางเศรษฐกิจ โดยมีการคาดการณ์ว่าสามารถเพิ่มมูลค่า GDP ได้ถึง 3 – 13% ภายในปี 2030 [2] อย่างไรก็ตาม การใช้งาน Digital ID ที่เพิ่มขึ้นนี้ก็มาพร้อมกับความเสี่ยงด้านความมั่นคงปลอดภัย เช่น การโจมตีแบบฟิชชิ่ง การขโมยบัญชีผู้ใช้บริการ และการรั่วไหลของข้อมูลส่วนบุคคล ส่งผลให้การยืนยันตัวตนเพื่อใช้งาน Digital ID ในปัจจุบันอาจไม่ปลอดภัยอย่างที่เราคิด [3] [4]

จากการที่ภัยคุกคามทางไซเบอร์มีความซับซ้อนมากขึ้น ทั้งจากการโจมตีด้วยมัลแวร์ การใช้เทคนิควิศวกรรมสังคม และการนำ AI มาใช้ในทางที่ผิด [3] [5] การยืนยันตัวตนแบบเรียบง่าย ไม่ซับซ้อน และการไม่พฤติกรรมการใช้งานของผู้ใช้บริการ อาจนำมาซึ่งความเสี่ยงจากการถูกโจมตีได้ หน่วยงานผู้ให้บริการจึงควรมีแนวทางหรือวิธีตรวจสอบผู้ใช้บริการอย่างต่อเนื่อง เพื่อให้สามารถแยกแยะพฤติกรรมการใช้บริการที่ผิดปกติได้ [6]

การวิเคราะห์พฤติกรรมการใช้งาน (Behavioral Analytics: BA) เป็นแนวทางที่น่าสนใจ ซึ่งใช้ข้อมูลจาก Access Logs เพื่อสร้าง profile พฤติกรรมของผู้ใช้บริการและตรวจจับความผิดปกติระหว่างการใช้บริการแบบเรียลไทม์ [7] การทำ BA ช่วยสนับสนุนแนวคิดการยืนยันตัวตนอย่างต่อเนื่อง (Continuous Authentication) ซึ่งช่วยลดความเสี่ยงจากการโจมตี เช่น การยึดครองบัญชี และเพิ่มความปลอดภัยของระบบได้ [8] [9] อย่างไรก็ตาม การนำ BA มาใช้ต้องคำนึงถึงความสมดุลระหว่างความมั่นคงปลอดภัยและความเป็นส่วนตัวของผู้ใช้บริการ [10]

2. การวิเคราะห์พฤติกรรมการใช้งาน (Behavioral Analytics: BA)
ในบริบทของความมั่นคงปลอดภัย BA คือกระบวนการรวบรวมและวิเคราะห์ข้อมูลพฤติกรรมของผู้ใช้และเอนทิตี (เช่น อุปกรณ์ แอปพลิเคชัน เซิร์ฟเวอร์ เครือข่าย) จำนวนมหาศาลเพื่อระบุรูปแบบ แนวโน้ม และความผิดปกติที่อาจบ่งชี้ถึงภัยคุกคามด้านความมั่นคงปลอดภัย [11] ในบางระบบ BA จะรวบรวมข้อมูลพฤติกรรม(behavioral baseline) ของผู้ใช้บริการ และเมื่อตรวจพบพฤติกรรมที่ผิดปกติ ระบบจะแจ้งเตือนภัยคุกคามหรือความเสี่ยงที่อาจเกิดขึ้น [12]

2.1 ความแตกต่างระหว่าง ข้อมูลแบบคงที่ (Static Attributes) และ ข้อมูลแบบพลวัต (Dynamic Attributes)
ประเภทของข้อมูลที่นำมาใช้ในการวิเคราะห์ข้อมูลพฤติกรรมการใช้ Digital ID ของผู้ใช้บริการ สามารถแบ่งออกเป็นสองประเภทหลัก ได้แก่ ข้อมูลแบบคงที่ (Static Attributes) และข้อมูลแบบพลวัต (Dynamic Attributes) การทำความเข้าใจความแตกต่างระหว่างสองประเภทนี้มีความสำคัญอย่างยิ่งต่อการออกแบบและปรับใช้ระบบ BA ที่มีประสิทธิภาพ ซึ่งจำเป็นต่อการตรวจจับภัยคุกคามที่ซับซ้อนหรือมีการเลียนแบบพฤติกรรมตามปกติของผู้ใช้บริการอย่างแนบเนียน [20]

2.1.1 ข้อมูลแบบคงที่ คือ ข้อมูลที่เมื่อกำหนดแล้วจะไม่เปลี่ยนแปลงหรือเปลี่ยนแปลงไม่บ่อยนัก [13] ซึ่งมักจะใช้เพื่อการระบุตัวตนและสร้างโปรไฟล์ของผู้ใช้บริการ ตัวอย่างของข้อมูลแบบคงที่ เช่น

• รหัสประจำตัวอุปกรณ์ (Registered Device ID): คือ รหัสเฉพาะตัวของของอุปกรณ์ซึ่งกำหนดมาตั้งแต่ต้นโดยโรงงานผู้ผลิต เช่น MAC address และ IP Address [14]
• ประเภทของอุปกรณ์ (Device Type): คือ ประเภทของอุปกรณ์ที่ใช้ในการเข้าถึงบริการ เช่น คอมพิวเตอร์เดสก์ท็อป แล็ปท็อป แท็บเล็ต หรือสมาร์ทโฟน
• เวอร์ชันของระบบปฏิบัติการ (OS Version): คือ ชื่อและเวอร์ชันของระบบปฏิบัติการที่ใช้เข้าถึงบริการ เช่น Windows 11, macOS 15 และ Android 14 [15]
• ภาษาและเขตเวลา (Language and Time Zone Settings): คือ ภาษาและเขตเวลาที่อุปกรณ์กำลังใช้อยู่ [15]

ข้อมูลแบบคงที่ เป็นข้อมูลพื้นฐานที่สำคัญสำหรับการระบุตัวตนผู้ใช้บริการ แต่ก็มีข้อจำกัดในการใช้ตรวจจับภัยคุกคามที่เกิดขึ้นแบบเรียลไทม์หรือภัยคุกคามที่ต้องอาศัยการตรวจจับการเปลี่ยนแปลงพฤติกรรมของผู้ใช้บริการ [16]

2.1.2 ข้อมูลแบบพลวัต คือข้อมูลที่เปลี่ยนแปลงตลอดเวลาตามการใช้งานของผู้ใช้บริการหรือมีการเปลี่ยนแปลงค่อนข้างถี่ [13] ข้อมูลประเภทนี้มีความสำคัญอย่างมากในการวิเคราะห์พฤติกรรมของผู้ใช้บริการ เนื่องจากสามารถแสดงถึงการปฏิสัมพันธ์ระหว่างอุปกรณ์ของผู้ใช้บริการและระบบของผู้ให้บริการแบบเรียลไทม์ซึ่งช่วยให้ระบบของผู้ให้บริการสามารถตรวจจับความผิดปกติที่เกิดขึ้นในเซสชัน (Session) ของผู้ใช้บริการได้ [16] ตัวอย่างของข้อมูลแบบพลวัต เช่น

• ตำแหน่งทางภูมิศาสตร์ (Geolocation): คือ ตำแหน่งพิกัดในปัจจุบันของผู้ใช้บริการ เช่น เมือง ประเทศ และพิกัดเส้นรุ้ง (Latitude) เส้นแวง (Longitude) [6]
• การตรวจสอบความเร็วของกิจกรรม (Velocity Check): Velocity Check หรือ Velocity Limit คือ การตรวจสอบความเร็วของการทำกิจกรรมหรือธุรกรรมของผู้ใช้บริการภายในช่วงเวลาที่กำหนด เพื่อหาพฤติกรรมที่ผิดปกติ เช่น ล็อกอินจากสองประเทศที่ห่างกันในเวลาสั้น ๆ หรือการทำธุรกรรมจำนวนมากในเวลาอันรวดเร็ว ข้อมูลนี้ช่วยในการตรวจจับและป้องกันการฉ้อโกงที่เกิดจากการทำธุรกรรมนี่น่าสงสัย เพราะถึงแม้แต่ละกิจกรรมจะดูปกติ แต่เมื่อเกิดขึ้นเร็วเกินไปก็อาจเป็นสัญญาณของความเสี่ยงได้ [23]
• เวลาที่เข้าสู่ระบบ (Login Time): คือ Timestamp ของเวลาที่ผู้ใช้บริการเข้าสู่ระบบ [7]
• ช่วงเวลาการใช้บริการตามปกติ (Typical Access Hours): คือ ช่วงเวลาที่ผู้ใช้บริการมักจะเข้าถึงและใช้บริการต่าง ๆ ของระบบ เช่น 9:00 น. - 17:00 น.
• ระยะเวลาการใช้งานต่อเซสชัน (Average Session Duration): คือ ระยะเวลาโดยเฉลี่ยที่ผู้ใช้บริการทำธุรกรรมหรือกิจกรรมต่าง ๆ ในแต่ละเซสชัน
• ความถี่ในการเข้าสู่ระบบ (Login Frequency): คือ บันทึกของจำนวนครั้งที่ผู้ใช้บริการเข้าสู่ระบบในช่วงระยะเวลาหนึ่ง
• ข้อมูลกิจกรรม (Activity Data): คือ บันทึก (Log) การปฏิสัมพันธ์ระหว่างอุปกรณ์ของผู้ใช้บริการและระบบของผู้ให้บริการ เช่น การเคลื่อนไหวของเมาส์ จังหวะการพิมพ์ ความเร็วในการปัดหน้าจอ และลำดับการคลิกปุมบนหน้าเว็บไซต์ [6]
• ข้อมูลการเข้าถึงทรัพยากร (Resource Access Data): คือ บันทึก (Log) การเข้าถึงทรัพยากรหรือไฟล์ต่าง ๆ ในระบบของผู้ให้บริการ เช่น แอปพลิเคชันที่ใช้ในการเข้าถึงทรัพยากร ประเภทของทรัพยากร และปริมาณทรัพยากรที่ถูกถ่ายโอน [7]
• มูลค่าธุรกรรมตามปกติ (Typical Transaction Value): คือ ค่าเฉลี่ยมูลค่าของธุรกรรมหรือจำนวนเงินที่ในการทำธุรกรรมแต่ละครั้ง การทำธุรกรรมที่มีมูลค่าสูงผิดปกติหรือการทำธุรกรรมเล็กน้อยหลายครั้งในช่วงเวลาสั้น ๆ อาจเป็นจุดบ่งชี้ถึงการฉ้อโกงด้านการเงินได้ [7]
• ความถี่ในการรีเซ็ตรหัสผ่าน (Password Reset Frequency): คือ บันทึกของจำนวนครั้งในการรีเซ็ตรหัสผ่านในช่วงระยะเวลาหนึ่ง [17]
• ลำดับการเรียกใช้ API (API Call Sequences): คือ บันทึก (Log) รูปแบบ (Pattern) ของการเรียกใช้ฟังก์ชันต่าง ๆ ของระบบผ่าน API เช่น การแก้ไขข้อมูลส่วนตัว การรีเซ็ตรหัสผ่าน และการลบเซสชั่นบนอุปกรณ์อื่น ๆ การวิเคราะห์ลำดับการโจมตีของผู้ไม่หวังดีจะสามารถนำมาสร้างเป็นรูปแบบของการเรียกใช้ฟังก์ชันต่าง ๆ ซึ่งสามารถใช้บ่งชี้ถึงพฤติกรรมที่อาจเป็นอันตรายของผู้ไม่หวังดีหรือแสดงถึงความเสี่ยงที่ผู้ใช้บริการกำลังถูกโจมตีได้ [18]

ข้อมูลแบบพลวัต เป็นข้อมูลสำคัญสำหรับการตรวจจับภัยคุกคามหรือความเสี่ยงแบบเรียลไทม์ ซึ่งช่วยให้ระบบของผู้ให้บริการสามารถวิเคราะห์และสร้างรูปแบบ (Pattern) ของลักษณะการใช้บริการโดยปกติของผู้ใช้บริการ และแจ้งเตือนความเสี่ยงเมื่อรูปแบบการใช้บริการมีการเปลี่ยนแปลงที่ผิดปกติ [19]

2.2 การเปรียบเทียบระบบ BA บน Cloud-based และ On-premise
การทำระบบ BA นั้นสามารถทำได้ทั้งบนคลาวด์ (Cloud-based) และบนระบบเซิร์ฟเวอร์ (Server) ภายในองค์กร (On-premise) โดยทั้งสองรูปแบบนั้นมีข้อดีและข้อเสียที่แตกต่างกัน ซึ่งเป็นจุดที่องค์กรหรือหน่วยงานผู้ให้บริการที่ต้องการทำระบบ BA ควรนำมาพิจารณา [21]

2.2.1. Cloud-based(เช่น AWS, Azure, GCP security services):

• ข้อดี:
  • ความสามารถในการปรับขนาด (Scalability): มีความยืดหยุ่นในการปรับขนาดสูง ทำให้องค์กรสามารถเพิ่มหรือลดทรัพยากรได้ตามความต้องการ โดยไม่ต้องลงทุนในฮาร์ดแวร์เพิ่มเติม [21] ซึ่งมีส่วนสำคัญสำหรับการจัดการบันทึกการเข้าถึงบริการ (Access Log) ที่มีปริมาณมาก
  • ต้นทุน (Cost): โดยทั่วไปมีต้นทุนในการเริ่มต้นที่ต่ำกว่า เนื่องจากไม่ต้องลงทุนในฮาร์ดแวร์และซอฟต์แวร์ แต่จะเป็นรูปแบบของการจ่ายตามการใช้งาน (pay-as-you-go) แทน [21]
  • การบำรุงรักษา (Maintenance): ผู้ให้บริการคลาวด์เป็นผู้รับผิดชอบการบำรุงรักษา การอัปเดต และการจัดการโครงสร้างพื้นฐาน ทำให้ลดภาระงานของทีม IT ภายในองค์กร [21]
  • ความปลอดภัย (Security): ผู้ให้บริการคลาวด์รายใหญ่มักจะลงทุนมหาศาลในมาตรการรักษาความปลอดภัยขั้นสูงและบุคลากรผู้เชี่ยวชาญ ซึ่งอาจสูงกว่าที่องค์กรส่วนใหญ่จะสามารถทำได้ด้วยตนเอง [22]
• ข้อเสีย:
  • ความน่าเชื่อถือ (Reliability): ข้อมูลพฤติกรรมของผู้ใช้บริการถูกจัดเก็บบนระบบของคลาวด์ ซึ่งถือเป็นส่วนที่อยู่ภายนอกระบบของผู้ให้บริการ ทำให้ต้องระมัดระวังเรื่องความน่าเชื่อถือของผู้ให้บริการคลาวด์ [21]
  • การปรับแต่ง (Customization): มีข้อจำกัดในการปรับแต่งคุณสมบัติและส่วนประกอบด้านความมั่นคงปลอดภัยต่าง ๆ บนระบบคลาวด์ [21]

2.2.2 On-premise Solutions (ติดตั้งบนระบบเซิร์ฟเวอร์ภายในองค์กร):

• ข้อดี:
  • การควบคุมและปรับแต่งแบบเต็มรูปแบบ (Full Control): ผู้ให้บริการสามารถควบคุมโครงสร้างพื้นฐานด้านความมั่นคงปลอดภัยได้เองทั้งหมด เช่ร ระบบตรวจจับการโจมตี และวการเข้ารหัสข้อมูล [21]
  • ความเป็นส่วนตัว (Privacy): ข้อมูลพฤติกรรมของผู้ใช้บริการถูกจัดเก็บภายในองค์กร ทำให้มีความเป็นส่วนตัวและลดความกังวลเกี่ยวกับการเข้าถึงข้อมูลโดยบุคคลที่สาม [21]
• ข้อเสีย:
  • ต้นทุนเริ่มต้นและค่าบำรุงรักษาสูง (High Initial and Maintenance Costs): ต้องมีการลงทุนจำนวนมากในฮาร์ดแวร์ ซอฟต์แวร์ และบุคลากร IT สำหรับการติดตั้ง บำรุงรักษา และพัฒนาระบบ [21]
  • ความสามารถในการปรับขนาดที่จำกัด (Limited Scalability): การปรับขนาดต้องใช้การลงทุนเพิ่มเติมในฮาร์ดแวร์และเวลา ซึ่งอาจเป็นข้อจำกัดสำหรับองค์กรที่มีการเพิ่มขึ้นอย่างรวดเร็วของบันทึกการเข้าถึงบริการ (Access Log) [21]

ทั้งนี้ องค์กรหรือหน่วยงานผู้ให้บริการอาจพิจารณาใช้แนวทางแบบไฮบริด (Hybrid) ซึ่งรวมข้อดีของทั้งระบบ Cloud-based และ On-premise เข้าด้วยกัน โดยเก็บข้อมูลที่ละเอียดอ่อนไว้ในองค์กร และใช้คลาวด์สำหรับข้อมูลที่มีปริมาณมากและไม่เป็นความลับ เพื่อให้เกิดความยืดหยุ่นในการจัดการและสามารถปรับขนาดของระบบให้เหมาะสมกับปริมาณและการวิเคราะห์ข้อมูลได้ [22]