แรนซัมแวร์ (Ransomware) ยังคงเป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่สร้างความเสียหายต่อองค์กรต่างๆ มากที่สุดในปัจจุบัน การโจมตีเหล่านี้อาจนำไปสู่การสูญเสียทางการเงินครั้งใหญ่ การหยุดทำงานของระบบ และการถูกละเมิดข้อมูล ซึ่งส่งผลกระทบต่อองค์กรทุกขนาดและทุกอุตสาหกรรม รวมถึงภาคสุขภาพ การค้าปลีก การศึกษา การผลิต และภาครัฐ จากสถิติ เหตุโจมตีที่เกี่ยวข้องกับแรนซัมแวร์คิดเป็น 21% ของการโจมตีทั้งหมดที่ Mandiant รวบรวมข้อมูลในปี 2024 โดยมีค่าใช้จ่ายสำหรับเหตุการณ์การโจมตีแรนซัมแวร์หรือการขู่กรรโชกทางไซเบอร์โดยเฉลี่ยมากกว่า 5 ล้านดอลลาร์สหรัฐ หรือราว 160 ล้านบาท
ประเด็นสำคัญ
จากการตรวจสอบของ Mandiant ในปี 2024 พบว่า 89% ขององค์กรในญี่ปุ่นและเอเชียแปซิฟิก (JAPAC) ที่ได้รับผลกระทบจากแรนซัมแวร์มักทราบเรื่องเหตุโจมตีจากบุคคลภายนอกเท่านั้น (เช่น ผู้โจมตีเอง หรือ หน่วยงานบังคับใช้กฎหมาย) สถิตินี้ชี้ให้เห็นถึงข้อจำกัดด้านความสามารถในการตรวจจับและแทรกแซงภายใน เนื่องจากองค์กรส่วนใหญ่ในภูมิภาคนี้จะทราบว่าตนเองถูกโจมตีเมื่อมีการส่งข้อความเรียกค่าไถ่ หรือเมื่อบุคคลที่สามส่งสัญญาณเตือน
เพื่อตอบสนองต่อความเสี่ยงนี้ Google Cloud จึงได้ประกาศว่ากำลังปรับปรุง Google Drive for Desktop ด้วยความสามารถในการตรวจจับและแทรกแซงแรนซัมแวร์ โดยขับเคลื่อนด้วย AI เพื่อหยุดการซิงค์ไฟล์โดยอัตโนมัติและช่วยให้ผู้ใช้สามารถกู้คืนไฟล์ได้ง่ายเพียงไม่กี่คลิก
การเปิดตัวเทคโนโลยีครั้งนี้ถือเป็นการตอบโจทย์ความท้าทายที่ใหญ่ที่สุดอย่างหนึ่งในโลกไซเบอร์ และเป็นการอุดช่องโหว่สำคัญที่เรียกว่า ‘The Missing Middle’ ซึ่งเป็นจุดที่โซลูชันความปลอดภัยส่วนใหญ่ในปัจจุบันยังไปไม่ถึง
Kristina Behr, Vice President, Collaboration Applications, Google Workspace กล่าวว่า แรนซัมแวร์ยังคงเป็นความกังวลอันดับต้นๆ ที่ทำให้องค์กรทุกขนาดต้องกังวล
ขณะที่ Luke Camery, Product Manager, Security and Compliance, Collaboration Applications, Google Workspace ในฐานะผู้นำทีมวิศวกรรมของโครงการนี้ อธิบายว่า แนวทางการป้องกันในปัจจุบันมีข้อบกพร่องพื้นฐานคือมุ่งเน้นไปที่ 2 ปลายทางเท่านั้น ได้แก่
- ด่านหน้า (Antivirus): พยายามตรวจจับและบล็อกไฟล์อันตรายก่อนที่จะเริ่มทำงาน ซึ่งหากพลาดก็เท่ากับเปิดประตูให้การโจมตีเริ่มต้นขึ้น
- ด่านสุดท้าย (Backup & Restore): การสำรองและกู้คืนข้อมูลหลังจากที่ระบบถูกโจมตีและสร้างความเสียหายไปแล้ว ซึ่งมักจะมาพร้อมกับ Downtime และต้นทุนมหาศาล
“เราตระหนักว่ามีช่องว่างตรงกลางที่ขาดหายไป” Luke กล่าว “เราต้องการวางกับดักสำหรับผู้โจมตีทันทีหลังจากการโจมตีเริ่มต้นขึ้น มันเปรียบเหมือนระบบเตือนภัยในบ้านที่ไม่ได้แค่ส่งเสียงดัง แต่ยังดักจับผู้บุกรุกไว้ที่ทางเข้า ไม่ให้พวกเขาสร้างความเสียหายหรือหลบหนีไปได้”
AI ทำงานอย่างไร? จาก ‘ตรวจจับไฟล์’ สู่ ‘ตรวจจับพฤติกรรม’
หัวใจของโซลูชันใหม่นี้คือโมเดล AI ที่เป็นกรรมสิทธิ์ของ Google ซึ่งได้รับการฝึกฝนจากตัวอย่างแรนซัมแวร์ในโลกจริงนับล้านเคส โดยใช้ข้อมูลจากทีม Mandiant และ VirusTotal ของ Google เอง แต่แทนที่จะมองหาไฟล์ที่เป็นอันตรายเหมือน Antivirus ทั่วไป AI ตัวนี้กลับมองหา “พฤติกรรม” หรือ “การเปลี่ยนแปลงที่เป็นอันตราย” ต่อไฟล์
ตัวอย่างเช่น เมื่อ AI ตรวจพบพฤติกรรมที่น่าสงสัย เช่น การพยายามเข้ารหัส (Encrypt) หรือแก้ไขไฟล์จำนวนมากอย่างรวดเร็ว, การเปลี่ยนนามสกุลไฟล์เป็นรูปแบบที่แรนซัมแวร์นิยมใช้ หรือการทำให้ไฟล์ที่เคยอ่านได้กลายเป็นไฟล์ที่อ่านไม่ได้ ระบบจะเข้าแทรกแซงทันที:
- หยุดการซิงค์ไฟล์: ระบบจะปฏิเสธการเปลี่ยนแปลงไฟล์ทั้งหมดจากผู้ใช้รายนั้นไปยังคลาวด์ เพื่อป้องกันไม่ให้ความเสียหายแพร่กระจาย
- สร้างฟองสบู่ป้องกัน: แยกไฟล์ของผู้ใช้ที่ถูกโจมตีออกจากระบบ เพื่อจำกัดวงความเสียหาย
- แจ้งเตือนและนำสู่การกู้คืน: แจ้งเตือนผู้ใช้และผู้ดูแลระบบถึงการโจมตีที่เกิดขึ้น
Luke ระบุว่าระบบทำงานได้รวดเร็วมาก โดยจะเริ่มทำงานหลังจากตรวจพบความเสียหายเพียง 3-5 ไฟล์แรก เท่านั้น ซึ่งช่วยลดผลกระทบได้อย่างมหาศาล
ไม่ใช่แค่ป้องกัน แต่กู้คืนได้ทันทีในไม่กี่คลิก
นอกจากการหยุดยั้งแล้ว ฟีเจอร์นี้ยังผสานรวมกับระบบกู้คืนไฟล์ (Restoration) รูปแบบใหม่ที่ใช้งานง่าย ผู้ใช้สามารถเข้าไปยังหน้าเว็บอินเทอร์เฟซของ Drive และเลือกกู้คืนไฟล์ที่ได้รับผลกระทบเพียงไม่กี่ไฟล์กลับสู่เวอร์ชันที่ดีก่อนหน้าการโจมตีได้ในเวลาเพียงไม่กี่วินาที โดยไม่จำเป็นต้องใช้เครื่องมือภายนอกที่ซับซ้อนหรือเสียค่าใช้จ่ายเพิ่มเติม
ทีมงาน Google ย้ำว่าฟีเจอร์นี้ ไม่ได้ถูกออกแบบมาเพื่อแทนที่โปรแกรม Antivirus หรือ EDR แต่ทำหน้าที่เป็น “แนวป้องกันชั้นที่สองและสาม” ที่จะทำงานร่วมกัน “เรายังคงแนะนำให้คุณใช้โปรแกรมป้องกันไวรัสเป็นด่านหน้า และให้เราเข้ามาเป็นแนวป้องกันสำรองของคุณ” Luke กล่าว
แนวทางแบบเดิมในการต่อสู้กับแรนซัมแวร์นั้นไม่เพียงพอ
อรรณพ ศิริติกุล Country Director, Google Cloud ประเทศไทย กล่าวว่า “สิ่งที่เราเปิดตัวและพร้อมให้บริการในวันนี้คือการป้องกันอีกชั้นหนึ่งที่แตกต่างไปจากเดิมโดยสิ้นเชิง ในขณะที่โซลูชันป้องกันไวรัสยังคงทำงานเพื่อหยุดไม่ให้แรนซัมแวร์เข้ามา เราได้สร้างระบบการป้องกันเพื่อหยุดไม่ให้แรนซัมแวร์ทำงานได้เมื่อเข้ามาในระบบแล้ว โดยการตรวจจับและแทรกแซงที่ขับเคลื่อนด้วย AI ใน Google Drive for Desktop จะระบุจุดบ่งชี้สำคัญของการโจมตีด้วยแรนซัมแวร์ ซึ่งก็คือการพยายามเข้ารหัสไฟล์จำนวนมาก และจะแทรกแซงอย่างรวดเร็วเพื่อสร้าง “เกราะป้องกัน” รอบไฟล์ของผู้ใช้ก่อนที่การโจมตีจะแพร่กระจายด้วยการหยุดการซิงค์ไฟล์กับระบบคลาวด์โดยอัตโนมัติ ซึ่งจะช่วยป้องกันไม่ให้แรนซัมแวร์ทำลายไฟล์สำคัญและทำให้ใช้งานไม่ได้”
“นอกจากนี้ ระบบป้องกันมัลแวร์ในตัวที่มีอยู่ของ Google Drive ยังช่วยสกัดไม่ให้แรนซัมแวร์แพร่กระจายไปยังอุปกรณ์อื่นๆ และเข้าควบคุมเครือข่ายทั้งหมดได้ เมื่อทำงานร่วมกัน การป้องกันเหล่านี้จะช่วยลดความเสี่ยงไม่ให้ธุรกิจ โรงเรียน โรงพยาบาล หน่วยงานรัฐบาล และอื่นๆ ต้องหยุดชะงักจากการโจมตีด้วยแรนซัมแวร์ที่เคยสร้างความเสียหายอย่างรุนแรงมาก่อนหน้านี้” อรรณพ กล่าว
ระบบการตรวจจับและแทรกแซงแรนซัมแวร์ที่ขับเคลื่อนด้วย AI นี้เริ่มทยอยเปิดให้บริการแล้ววันนี้ในเวอร์ชันเบต้าแบบเปิด โดยเป็นหนึ่งของมาตรการรักษาความปลอดภัยระดับองค์กรที่มีอยู่มากมายใน Google Drive ซึ่งมอบการปกป้องข้อมูลสำคัญและช่วยให้ธุรกิจสามารถดำเนินงานได้อย่างต่อเนื่องสำหรับองค์กรทุกขนาด การปรับปรุงดังกล่าวถูกรวมอยู่ในแพ็กเกจเชิงพานิชย์ส่วนใหญ่ของ Google Workspace โดยไม่มีค่าใช้จ่ายเพิ่มเติม ขณะเดียวกันผู้ใช้งานทั่วไปก็ยังได้รับประโยชน์จากความสามารถในการกู้คืนไฟล์ โดยไม่เสียค่าใช้จ่ายเช่นกัน
