โอเพ่นซอร์สในยุค AI กับ พิมพ์เขียวความปลอดภัยใหม่ ของ เร้ดแฮท

แม้ช่องโหว่ความปลอดภัยระบบไอทีจะพุ่งสูงขึ้นกว่า 520% แต่การปฏิวัติซัพพลายเชนซอฟต์แวร์ด้วยความโปร่งใสแบบระบบเปิดและการผสานพลัง AI จะช่วยให้องค์กรธุรกิจสามารถปิดช่องโหว่ร้ายแรงได้ทันท่วงทีก่อนสายเกินไป

จุดเปลี่ยนความปลอดภัยไอทีองค์กรเมื่อ AI เปิดทางให้ช่องโหว่พุ่งสูง

ในยุคปัจจุบันพาดหัวข่าวส่วนใหญ่มักจะเต็มไปด้วยเรื่องราวของช่องโหว่ zero day ที่ขับเคลื่อนและเกิดขึ้นจากเทคโนโลยีปัญญาประดิษฐ์หรือ AI ซึ่งสถานการณ์ดังกล่าวส่งผลให้เกิดคำถามสำคัญตามมาในแวดวงธุรกิจว่า องค์กรในปัจจุบันกำลังเผชิญกับความเสี่ยงที่มากเกินไปหรือไม่จากการเลือกใช้ซอฟต์แวร์โอเพ่นซอร์สในการดำเนินงาน ประเด็นนี้ถือเป็นเรื่องที่ไม่ควรมองข้ามอย่างเด็ดขาด เนื่องจากในปัจจุบันซอฟต์แวร์โอเพ่นซอร์สได้กลายมาเป็นรากฐานสำคัญ โดยครองสัดส่วนเฉลี่ยมากกว่าสามในสี่ของคลังซอร์สโค้ดทั้งหมดที่องค์กรหนึ่ง ๆ ใช้ในการพัฒนาซอฟต์แวร์หรือระบบไอทีภายในองค์กร (codebase) ไปเรียบร้อยแล้ว

อย่างไรก็ดี เร้ดแฮท เผยคำตอบต่อข้อสงสัยนี้ว่า ซอฟต์แวร์โอเพ่นซอร์สยังคงเป็นระบบที่มีความปลอดภัยโดยเนื้อแท้ มีโครงสร้างที่แข็งแกร่ง และมีความปลอดภัยฝังตัวอยู่ตั้งแต่ระดับรากฐานเริ่มแรกอย่างเหนียวแน่น โอเพ่นซอร์สทำหน้าที่เป็นฐานรากที่มีประสิทธิภาพสูงให้กับเทคโนโลยีสมัยใหม่ทั้งหมด โดยบทบาทของมันไม่ได้จำกัดอยู่เพียงแค่ระบบปฏิบัติการ Linux เท่านั้น แต่ยังแผ่ขยายไปถึงแอปพลิเคชันเซิร์ฟเวอร์ ฐานข้อมูล เส้นทางเครือข่าย สภาพแวดล้อมในการพัฒนาซอฟต์แวร์ รวมถึงส่วนประกอบที่มองไม่เห็นอื่น ๆ ทั้งหมดซึ่งถักทอขึ้นมาเป็นโครงสร้างพื้นฐานทางเทคโนโลยีขององค์กรในยุคดิจิทัล

ความจริงที่ปฏิเสธไม่ได้ในปัจจุบันคือ ไม่มีทางเลือกอื่นใดที่ดีไปกว่าและจะมาทดแทนระบบโอเพ่นซอร์สได้อีกแล้วในเวลานี้ แม้ซอฟต์แวร์กรรมสิทธิ์ (Proprietary Software) อาจจะดูเหมือนเป็นทางเลือกที่ใกล้เคียงที่สุดเพราะมีบริษัทเป็นเจ้าของและคอยควบคุมดูแลด้วยตนเองเพียงผู้เดียว แต่มันยังคงขาดทั้งในเรื่องของขนาดที่กว้างขวาง ความหลากหลาย และความแพร่หลายเมื่อนำมาเปรียบเทียบกับระบบโอเพ่นซอร์ส ยิ่งไปกว่านั้น ซอร์สโค้ดของซอฟต์แวร์กรรมสิทธิ์นั้นเปรียบเสมือนกล่องดำที่มีเพียงเวนเดอร์ผู้ขายเท่านั้นที่เป็นผู้ตัดสินใจว่าจะแก้ไขอะไรและเมื่อไร ซึ่งเมื่อตรวจพบช่องโหว่ก็มักจะถูกปิดเป็นความลับอันส่งผลให้ความเสี่ยงถูกย้ายไปอยู่ในจุดที่มองไม่เห็นและกลายเป็นสิ่งที่ไม่สามารถคาดเดาได้ เปิดโอกาสให้ภัยคุกคามแพร่กระจายในมุมมืดตรงกันข้ามกับโอเพ่นซอร์สที่เปิดให้ทุกคนเข้าถึงซอร์สโค้ดเพื่อช่วยกันตรวจสอบตามแนวคิดที่ว่าเมื่อมีคนช่วยดูมากพอ บั๊กย่อมไม่มีที่ให้ซ่อน

ความท้าทายด้านความเร็วและข้อจำกัดของการจัดการแพตช์ในองค์กร

แม้ว่าระบบนิเวศแบบเปิดจะมีความโปร่งใสและได้เปรียบในการระดมสมองจากกลุ่มคนจำนวนมากในชุมชนเพื่อรับมือกับภัยคุกคามยุคใหม่ แต่สิ่งที่เปลี่ยนแปลงไปอย่างสิ้นเชิงในปัจจุบันคือความเร็วของฝั่งผู้โจมตี สถิติระบุเด่นชัดว่าจำนวนช่องโหว่ความปลอดภัยที่ถูกเปิดเผยต่อสาธารณะ (CVEs) พุ่งสูงขึ้นมากกว่า 520% ตั้งแต่ปี 2016 เป็นต้นมา ขณะเดียวกันเครื่องมือสแกนที่ขับเคลื่อนด้วย AI ในปัจจุบันก็สามารถตรวจพบช่องโหว่ร้ายแรงประเภท zero-day ได้ภายในเวลาไม่กี่ชั่วโมง แทนที่จะต้องใช้เวลาเป็นเดือน ๆ เหมือนในอดีต ทว่าปัญหาย้อนศรที่เกิดขึ้นคือ ช่องโหว่ที่ถูกค้นพบโดย AI เหล่านั้นกลับได้รับการแก้ไขหรือทำการแพตช์จริง ๆ ไม่ถึง 1% เท่านั้นในปัจจุบัน

ความท้าทายหลักในปัจจุบันจึงตกไปอยู่ที่ขีดความสามารถในการดำเนินงานขององค์กรธุรกิจ ว่าจะสามารถนำตัวแก้ไขหรือฟิกส์ (fixes) เหล่านั้นมาทดสอบและเปิดใช้งานจริงได้ทันท่วงทีหรือไม่ ปัญหานี้ทวีความรุนแรงยิ่งขึ้นจากความล้มเหลวในการผสานการทำงานร่วมกันขององค์กรใหญ่ ๆ ที่ต่างคนต่างต้องพึ่งพาแพ็กเกจโอเพ่นซอร์สหลัก ๆ ชุดเดียวกัน เช่น Spring Framework, Jackson, Log4j, Pandas และ OpenSSL แต่เนื่องจากขาดการประสานงานที่ดีพอ จึงทำให้เกิดภาพของการต่างคนต่างตรวจหาช่องโหว่แบบเดียวกัน พัฒนาแพตช์แยกกันในพื้นที่ปิดของตนเอง และรักษาเวอร์ชันย่อยส่วนตัวเอาไว้โดยที่ไม่มีใครในระบบนิเวศได้ประโยชน์ร่วมด้วยเลย

ผลลัพธ์จากการทำงานแยกส่วนดังกล่าวทำให้เกิดการทำงานที่ซ้ำซ้อนด้วยต้นทุนที่สูงลิ่ว แต่กลับได้คุณภาพที่ไม่แน่นอน ในขณะที่ระบบนิเวศในภาพรวมก็ยังคงต้องเผชิญกับความเสี่ยงในระดับสูงเท่าเดิม การที่องค์กรจะคงความปลอดภัยทางเทคโนโลยีเอาไว้ได้ในสภาวะเช่นนี้ จึงจำเป็นอย่างยิ่งที่จะต้องเปลี่ยนพฤติกรรมจากการทำงานในมุมมืด หันเข้ามามีส่วนร่วมกับชุมชนผู้พัฒนาหลัก (upstream communities) อย่างจริงจัง เร่งยกระดับมาตรฐานการดำเนินงานด้านไอทีภายใน และที่สำคัญที่สุดคือการลงมือทำสิ่งเหล่านี้ไปด้วยกันเพื่อสร้างความปลอดภัยที่เป็นระบบและยั่งยืน

5 ขั้นตอนปฏิบัติการเชิงรุกปกป้องซัพพลายเชนซอฟต์แวร์ทันที

เพื่อปิดช่องทางไม่ให้ภัยคุกคามทางไซเบอร์สามารถเล็ดลอดเข้ามาทำลายระบบได้ องค์กรธุรกิจจำเป็นต้องมีมาตรการที่ปฏิบัติได้จริงและเห็นผลทันที ขั้นตอนแรกที่สำคัญคือการเลือกใช้แพลตฟอร์มที่มีเวนเดอร์หรือผู้จำหน่ายที่มีความรับผิดชอบและพร้อมให้การสนับสนุนอยู่เบื้องหลัง โดยองค์กรต้องตรวจสอบให้แน่ใจว่าเวนเดอร์ผู้ดูแลระบบเหล่านั้นเป็นผู้ที่มีส่วนร่วมอย่างจริงจังในโครงการโอเพ่นซอร์สต้นน้ำ มีประวัติการนำแพตช์จากเวอร์ชันล่าสุดย้อนไปติดตั้งให้เวอร์ชันเก่า (security backports) และมีกระบวนการแจ้งเตือนช่องโหว่อย่างรับผิดชอบ ซึ่งสะท้อนถึงความมุ่งมั่นในการดูแลรักษาชุมชนให้แข็งแกร่ง ไม่ใช่เพียงแค่ต้องการรักษาผลประโยชน์ทางธุรกิจเท่านั้น

ขั้นตอนต่อมาคือการจัดทำรายการส่วนประกอบที่ต้องพึ่งพากันทั้งหมดภายในองค์กร โดยเริ่มจากการตรวจสอบพอร์ตโฟลิโอของแอปพลิเคชันเพื่อสร้างฐานข้อมูลอ้างอิง (baseline) แล้วระบุไลบรารีโอเพ่นซอร์สทั้งหมด รวมถึงส่วนประกอบที่เกี่ยวเนื่องกัน (transitive dependency) และเวอร์ชันที่ถูกล็อกไว้ (pinned version) ที่ใช้งานอยู่จริง ควบคู่ไปกับการวัดรอบระยะเวลาการแพตช์จนถึงการนำไปใช้จริง โดยประเมินว่าแพตช์จากต้นทางต้องใช้เวลานานเท่าใดในการผ่านระบบสแกนความปลอดภัย การทดสอบ และคณะกรรมการพิจารณาความเปลี่ยนแปลงจนถึงการเปิดใช้งานจริงบนระบบ เพื่อตั้งเป้าหมายในการลดระยะเวลานี้ลงให้สั้นที่สุด

นอกจากนี้ องค์กรต้องปรับเปลี่ยนไปป์ไลน์ของการประกอบซอฟต์แวร์ใหม่ (rebuild) และติดตั้งใหม่ (redeploy) ให้เป็นระบบอัตโนมัติทั้งหมด เนื่องจากช่วงเวลาที่เสี่ยงต่อการถูกโจมตีหดสั้นลงจากหลักเดือนเหลือเพียงไม่กี่ชั่วโมง การอัปเดตแบบแมนนวลจึงไม่ตอบโจทย์อีกต่อไป และขั้นตอนสุดท้ายคือการเลือกใช้โซลูชันด้านความปลอดภัยแบบเชิงรุกที่มี zero-CVE baselines และการปกป้องระบบขณะทำงาน (runtime protection) เช่น เทคโนโลยี Red Hat Hardened Images, Red Hat Trusted Libraries และ OpenShift Advanced Cluster Security เพื่อช่วยให้องค์กรสามารถขับเคลื่อนงานและพัฒนาสิ่งใหม่ ๆ ได้อย่างปลอดภัยและรวดเร็วยิ่งขึ้น

Project Lightwell พลังพันธมิตร 5 พันล้านเหรียญขับเคลื่อนความปลอดภัยด้วย AI

ท่ามกลางความเร่งรีบในการปรับปรุงระบบให้เป็นอัตโนมัติ ล่าสุดทางไอบีเอ็ม (IBM) และ เร้ดแฮท (Red Hat) ได้ร่วมมือกันสร้างจุดเปลี่ยนครั้งใหญ่ให้กับอุตสาหกรรมซอฟต์แวร์ ด้วยการเปิดตัวโครงการ Project Lightwell ซึ่งเป็นความร่วมมือร่วมทุนครั้งประวัติศาสตร์มูลค่าสูงถึง 5 พันล้านเหรียญสหรัฐฯ โครงการนี้ได้รับการสนับสนุนจากกองกำลังวิศวกรผู้เชี่ยวชาญกว่า 20,000 คนทั่วโลก โดยมีเป้าหมายสำคัญเพื่อร่วมมือกันสร้างกลไกแก้ไขช่องโหว่ (remediation engine) ที่ออกแบบมาเพื่อให้บริการและจัดการตัวแก้ไขหรือฟิกส์ (fixes) เหล่านั้นเป็นการเฉพาะ ซึ่งจะพลิกโฉมความปลอดภัยของซัพพลายเชนของซอฟต์แวร์ในยุค AI อย่างสิ้นเชิง

การทำงานของ Project Lightwell จะเป็นการนำเอาวินัยทางวิศวกรรมอันเข้มงวดของเร้ดแฮทที่ผ่านการพิสูจน์มาแล้วนานกว่าสองทศวรรษ ในเรื่องการนำแพตช์ความปลอดภัยจากเวอร์ชันใหม่ล่าสุดส่งย้อนกลับไปแก้ไขให้กับซอฟต์แวร์เวอร์ชันเก่า (backporting) ขยายขีดความสามารถจากเดิมที่จำกัดอยู่ในระดับระบบปฏิบัติการ ขึ้นไปสู่ระดับแอปพลิเคชันเฟรมเวิร์กและกลุ่ม dependency ที่กว้างขึ้น โดยจะเริ่มต้นระบบเครือข่ายความปลอดภัยนี้ในกลุ่ม Maven/Java ก่อนจะขยายผลต่อไปยัง PyPI, npm รวมถึงแพลตฟอร์มอื่น ๆ ในอนาคตอย่างเป็นระบบ

“การนำพลังของ AI เข้ามาผสานรวมกับการประมวลผลภัยคุกคามปริมาณมหาศาล ควบคู่ไปกับความเชี่ยวชาญของวิศวกรที่เป็นมนุษย์ จะช่วยให้เราสามารถเจาะลึกเข้าไปแก้ไขช่องโหว่ (surgical fixes) บนซอฟต์แวร์เวอร์ชันที่มีเสถียรภาพซึ่งองค์กรใช้งานจริงได้อย่างแม่นยำที่สุด” นายคริส ไรท์, ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี และรองประธานอาวุโสฝ่ายวิศวกรรมระดับโลก, เร้ดแฮท กล่าวเน้นย้ำถึงแนวคิดการทำงาน “กระบวนการนี้จะช่วยตัดความจำเป็นขององค์กรในการสุ่มอัปเดตเวอร์ชันใหม่แบบสุ่มเสี่ยง ซึ่งบ่อยครั้งมักจะสร้างความเสียหายและทำให้ระบบไอทีหลักขององค์กรหยุดชะงักโดยไม่จำเป็น”

ทำลายวงจรโค้ดแยกส่วนด้วยหลักการส่งคืนสู่โครงการต้นน้ำ

ปัญหาใหญ่ที่องค์กรส่วนใหญ่ต้องเผชิญในอดีตคือ หากไม่มีกลไกในการส่งฟิกส์กลับคืนสู่โครงการต้นทาง ทุก ๆ แบ็กพอร์ตที่องค์กรพัฒนาขึ้นมาใช้เองจะกลายเป็นการแยกโค้ดมาทำเองเป็นการภายในอย่างถาวร ซึ่งส่งผลให้องค์กรต้องแบกรับภาระค่าใช้จ่ายและเวลาในการคอยดูแลโค้ดเหล่านั้นต่อไปทุกครั้งเมื่อมีช่องโหว่ใหม่เกิดขึ้น หรือเมื่อมีการอัปเดตความเปลี่ยนแปลงของ dependency ในอนาคต สิ่งนี้กลายเป็นการเพิ่มทั้งต้นทุนและความเสี่ยงทางธุรกิจในระยะยาวอย่างหลีกเลี่ยงไม่ได้ แต่ Project Lightwell จะเข้ามาทำลายวงจรที่สิ้นเปลืองนี้อย่างสิ้นเชิง

ภายใต้กลไกการทำงานของ Project Lightwell เร้ดแฮทจะทำหน้าที่เป็นผู้พัฒนาฟิกซ์เพื่อส่งมอบให้กับองค์กรสมาชิกใช้งาน พร้อมกับทำหน้าที่ส่งฟิกซ์เหล่านั้นกลับคืนให้กับโครงการโอเพ่นซอร์สต้นน้ำนั้น ๆ ด้วย การดำเนินการดังกล่าวจะทำให้ตัวแก้ไขเหล่านั้นกลายเป็นส่วนหนึ่งของซอร์สโค้ดสาธารณะ (public codebase) ที่ทุกคนสามารถเข้าถึงและใช้ประโยชน์ร่วมกันได้ นอกจากนี้ โครงการยังจับมือร่วมกับกลุ่มผู้นำชั้นนำด้านการเงินและโครงสร้างพื้นฐานที่สำคัญของโลก เพื่อจัดตั้งศูนย์กลางการแลกเปลี่ยนข้อมูลระดับองค์กรที่ปลอดภัยและเป็นระบบร่วมกัน

เครือข่ายอัจฉริยะในรูปแบบความร่วมมือนี้จะมอบความสามารถหลัก 3 ประการที่ไม่มีองค์กรใดสามารถสร้างขึ้นเองได้โดยลำพัง ประการแรก สมาชิกจะสามารถแชร์การค้นพบช่องโหว่ใหม่ ๆ และได้รับแพตช์ที่ผ่านการประสานงานร่วมกันก่อนที่จะมีการเปิดเผยสู่สาธารณะ ประการที่สอง ทุกแพตช์จะถูกส่งมอบแบบพร้อมใช้งานในระบบจริง (production-ready) ที่มีการทำ cryptographic signature ควบคู่มากับ machine-readable SBOM และรายงานเตือนภัยด้านความปลอดภัยเพื่อตอบโจทย์ด้านการปฏิบัติตามกฎระเบียบอย่างครบถ้วน และประการสุดท้ายคือการดำเนินงานภายใต้หลักการส่งตัวแก้ไขคืนกลับไปยังโครงการโอเพ่นซอร์สต้นทางเสมอ (upstream-always mandate) เพื่อเปลี่ยนจากการต่างคนต่างป้องกัน มาเป็นการส่งคืนความก้าวหน้าด้านความปลอดภัยกลับสู่ชุมชนอย่างเป็นระบบเพื่อประโยชน์ของทุกคนในโลกไอที

#OpenSource #Cybersecurity #ProjectLightwell #RedHat #ArtificialIntelligence #EnterpriseSoftware #SoftwareSupplyChain #ITInfrastructure

Related Posts