แนวทางปฏิบัติ NIST 800-63-4: การเรียกร้องให้ดำเนินการด้านอัตลักษณ์

สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (NIST) ได้เผยแพร่ เอกสารพิเศษ (SP) 800-63-4 ซึ่งเป็นการปรับปรุงล่าสุดของแนวทางปฏิบัติเกี่ยวกับเอกลักษณ์ดิจิทัล

แนวทางฉบับใหม่ปี 2025 นี้แสดงให้เห็นถึงการทบทวนความหมายของ “การรักษาความปลอดภัยข้อมูลประจำตัวดิจิทัล” อย่างพื้นฐาน ในยุคของวิดีโอที่สร้างโดย AI ตลาดซื้อขายบริการอาชญากรรม ข้อมูล ประจำตัวสังเคราะห์ และการโจมตีทางดิจิทัลที่ซับซ้อน หากคุณมีหน้าที่รับผิดชอบในการตรวจสอบข้อมูลประจำตัว การรับรองความถูกต้อง หรือความน่าเชื่อถือทางดิจิทัล แนวทางเหล่านี้ไม่ใช่แค่แหล่งข้อมูลที่สำคัญเท่านั้น แต่ยังเป็นการเรียกร้องให้คุณลงมือปฏิบัติด้วย

บทความนี้จะอธิบายถึงสิ่งที่เปลี่ยนแปลงไป เหตุใดจึงมีความสำคัญ และมีความหมายอย่างไรต่อกลยุทธ์ด้านอัตลักษณ์และเกณฑ์การแก้ปัญหาของคุณ

เหตุใด NIST จึงต้องเขียนกฎใหม่ (เนื่องจากสถานการณ์ภัยคุกคามเปลี่ยนแปลงไปอย่างสิ้นเชิง)

นี่เป็นการอัปเดตครั้งแรกของแนวทางปฏิบัติเกี่ยวกับเอกลักษณ์ดิจิทัลของ NIST นับตั้งแต่ปี 2017 ซึ่งเป็นช่วงเวลาก่อนการเปลี่ยนแปลงครั้งใหญ่ในภูมิทัศน์ของภัยคุกคาม ด้วยการเติบโตอย่างรวดเร็วของปัญญาประดิษฐ์เชิงสร้างสรรค์ และการแพร่หลายของเครื่องมือโจมตีที่ซับซ้อนซึ่งมุ่งเป้าไปที่ระบบเอกลักษณ์ดิจิทัล

อันที่จริงแล้ว สถานการณ์ภัยคุกคามในปี 2025 นั้นแตกต่างไปจากปี 2017 อย่างสิ้นเชิง:

• เครื่องมือสร้างภาพปลอมแบบ Deepfake มีให้ใช้งานอย่างแพร่หลายและได้รับการพัฒนาอย่างต่อเนื่อง
• ตัวตนจำลองที่สร้างขึ้นโดย AI อาจแยกไม่ออกจากคนจริง
• มีการสตรีมภาพปลอม (Deepfake) เข้าสู่แพลตฟอร์มการประชุมทางวิดีโอ เช่น Zoom และ Teams แบบเรียลไทม์ ทำให้ผู้โจมตีสามารถปลอมตัวเป็นเพื่อนร่วมงานและผู้บริหารระหว่างการสนทนาสด หรือหลีกเลี่ยง การตรวจสอบยืนยันตัวตนในการสนทนาทางวิดีโอ ได้
• กล้องเสมือน การดัดแปลงอุปกรณ์ และการโจมตีแบบฉีดข้อมูล สามารถหลีกเลี่ยงการตรวจจับความมีชีวิตที่ด้อยคุณภาพได้อย่างสิ้นเชิง

NIST ระบุอย่างชัดเจนว่าแนวทางเหล่านี้มุ่งเน้นไปที่ “ภูมิทัศน์ดิจิทัลที่เปลี่ยนแปลงไป” และการเพิ่มขึ้นของภัยคุกคามที่ซับซ้อนซึ่งขับเคลื่อนด้วย AI และทั้งหมดนี้เกิดขึ้นในช่วงเวลาที่บริการแบบดั้งเดิมที่ต้องพบปะกันโดยตรงจำนวนมากขึ้นได้ย้ายไปอยู่บนระบบออนไลน์

ศูนย์ปฏิบัติการด้านความปลอดภัยของ iProov (iSOC) ได้บันทึกการเพิ่มขึ้นของการโจมตีด้วยการสลับใบหน้าถึง 704% ตั้งแต่ครึ่งแรกของปี 2023 ถึงครึ่งหลังของปี 2023 และ เพิ่มขึ้นอีก 300% ในปี 2024

บทเรียนที่ได้นั้นชัดเจน: องค์กรต่างๆ ไม่สามารถพึ่งพาโมเดลความปลอดภัยที่ออกแบบมาก่อนการแพร่หลายของปัญญาประดิษฐ์เชิงสร้างสรรค์ได้อีกต่อไป 

การเปลี่ยนแปลงครั้งสำคัญ: ยกระดับมาตรฐาน PAD และแนะนำ IAD

มาตรฐาน NIST SP 800-63-4 กำหนดให้ การตรวจจับการโจมตีแบบนำเสนอ (Presentation Attack Detection หรือ PAD) เป็นข้อบังคับสำหรับกรณีการใช้งานที่มีความน่าเชื่อถือสูงภายใต้ IAL2 และ AAL2

มาตรฐานและแนวทางการระบุตัวตนดิจิทัลในอดีตมุ่งเน้นไปที่ PAD (Presentation Adversion) ซึ่งไม่ได้ตรวจจับว่าบุคคลนั้นอยู่ ณ สถานที่จริงหรือไม่ แต่จะตรวจจับสิ่งบ่งชี้ตัวตน เช่น ภาพถ่าย วิดีโอ หรือหน้ากาก เพื่อพิจารณาว่า นี่คือใบหน้าจริงหรือใบหน้าปลอม

สิ่งที่เปลี่ยนแปลงไปมีดังนี้: คำจำกัดความของ PAD ที่เพียงพอของ NIST ในปัจจุบันครอบคลุมมากกว่า การตรวจสอบความมีชีวิต ขั้นพื้นฐาน NIST กำหนดให้ต้องมีทั้ง PAD และการป้องกัน การโจมตีแบบแทรกแซง – การโจมตีทางไซเบอร์ที่หลีกเลี่ยงกล้องบนอุปกรณ์ หรือถูกแทรกเข้าไปในกระแสข้อมูล – เป็นข้อกำหนดที่แยกจากกันและเสริมซึ่งกันและกัน แนวทางดังกล่าวต้องการให้ผู้ตรวจสอบ “ทำการพิจารณาประสิทธิภาพ ความสมบูรณ์ และความถูกต้องของเซ็นเซอร์และอุปกรณ์ปลายทาง” มาตรฐานได้เปลี่ยนแปลงไปอย่างสิ้นเชิง เนื่องจากองค์กรต่างๆ ต้องจัดการทั้ง PAD และ IAD ในปัจจุบัน

มาตรฐานได้เปลี่ยนแปลงไปอย่างสิ้นเชิง เนื่องจากปัจจุบันองค์กรต่างๆ ต้องจัดการทั้ง PAD และ IAD ไปพร้อมกัน

โซลูชันไบโอเมตริกส่วนใหญ่สามารถรับมือกับการโจมตีแบบปลอมแปลงข้อมูลขั้นพื้นฐานได้ ซึ่งเป็นข้อกำหนดขั้นต่ำ มีเพียงไม่กี่โซลูชันเท่านั้นที่สามารถตรวจจับได้ว่าข้อมูลทั้งหมดถูกบุกรุกในระดับดิจิทัลหรือ ถูกแทนที่ภายในสตรีมวิดีโอต้นฉบับ ซึ่งเป็นสิ่งที่ NIST กำหนดไว้ในปัจจุบัน และเป็นสิ่งที่ผู้โจมตีที่มีความซับซ้อนกำลังทำอยู่

หัวข้อสนทนาได้เปลี่ยนจาก “คุณมีระบบตรวจจับบุคคลที่มีชีวิตอยู่หรือไม่” ไปเป็น “คุณสามารถพิสูจน์ได้หรือไม่ว่าบุคคลที่เกี่ยวข้องอยู่ ณ จุดบันทึกภาพจริง ๆ และสามารถรับมือกับการโจมตีแบบแทรกข้อมูลที่ซับซ้อนได้หรือไม่”

NIST แนะนำอะไรบ้างในแนวทางปฏิบัติฉบับปรับปรุงใหม่?

มาตรฐาน NIST SP 800-63-4 นำเสนอการควบคุมเฉพาะที่เปลี่ยนแปลงวิธีการทำงาน:

• สำหรับการรับรองตัวตนระดับ 2 (IAL2): องค์กรที่ใช้การตรวจสอบตัวตนระยะไกลแบบอะซิงโครนัสจะต้องดำเนินการตรวจจับการโจมตีแบบปลอมแปลง และวิเคราะห์สื่อเพื่อหาลายเซ็นของเนื้อหาที่สร้างโดย AI และ deepfake
• สำหรับการรับรองความถูกต้องระดับ 2 (AAL2): ระบบการตรวจสอบความถูกต้องโดยใช้การยืนยันใบหน้าจะต้องใช้ PAD (Pattern Attack) ที่สำคัญคือ ผู้ตรวจสอบจำเป็นต้องประเมินประสิทธิภาพและความสมบูรณ์ของเซ็นเซอร์และจุดเชื่อมต่อที่เกี่ยวข้องเพื่อตรวจจับการโจมตีแบบแทรกแซง
• สำหรับระดับการรับรองความปลอดภัยของสหพันธ์ระดับ 2 (FAL2): ระบบต้องป้องกันการโจมตีด้วยการปลอมแปลงข้อมูลและการโจมตีแบบแทรกข้อมูล โดยเฉพาะอย่างยิ่ง “ผู้โจมตีส่งสื่อที่ไม่น่าเชื่อถือ เช่น วิดีโอปลอมของผู้ใช้”

NIST ได้กำหนดขอบเขตที่ชัดเจนระหว่างการตรวจสอบความมีชีวิตขั้นพื้นฐานและการรับรองการมีอยู่จริง ซึ่งรวมถึงการป้องกันการโจมตีแบบฉีดข้อมูลและการปลอมแปลงสื่อ

ดังนั้น คุณจะตรวจสอบได้อย่างไรว่าโซลูชันของคุณสอดคล้องกับการปรับปรุงแนวทางปฏิบัติของ NIST Digital Identity หรือไม่?

การตรวจสอบโดยอิสระ: มาตรฐาน CEN สำหรับ IAD

แม้ว่า NIST จะกำหนดข้อกำหนดต่างๆ แต่ก็ยังต้องการการทดสอบตามมาตรฐานอุตสาหกรรมเพื่อตรวจสอบความถูกต้องของคำกล่าวอ้างของผู้ผลิต นอกเหนือจากการรับรองตนเอง มาตรฐานดังกล่าวมีอยู่แล้วในปัจจุบัน นั่นคือ CEN TS 18099 สำหรับการตรวจจับการโจมตีแบบฉีดข้อมูล ซึ่งเป็นมาตรฐานการทดสอบเพียงมาตรฐานเดียวที่ออกแบบมาโดยเฉพาะเพื่อทดสอบความสามารถของระบบไบโอเมตริกในการตรวจจับและกำจัดภัยคุกคามที่ใช้การฉีดข้อมูลเป็นหลัก

เมื่อต้นปีที่ผ่านมา iProov ได้รับการประเมินมาตรฐาน CEN TS 18099 ระดับ 2 (สูง) จาก Ingenium Biometric Laboratories ซึ่งเป็นห้องปฏิบัติการอิสระที่ได้รับการรับรองมาตรฐาน ISO/IEC 17025 เราเป็นบริษัทแรกที่ผ่านการรับรองจาก Ingenium เนื่องจากสถาปัตยกรรมของเราได้รับการออกแบบมาโดยเฉพาะเพื่อรับมือกับสื่อปลอมและการโจมตีแบบฉีดข้อมูล

ความสอดคล้องกันระหว่างแนวทางของ NIST และ CEN ไม่ใช่เรื่องบังเอิญ เมื่อหน่วยงานอิสระสองแห่งเห็นพ้องต้องกันในแบบจำลองภัยคุกคามเดียวกัน โดยหน่วยงานหนึ่งกำหนดข้อกำหนดใหม่และอีกหน่วยงานหนึ่งกำหนดมาตรฐานการทดสอบ นั่นเป็นการยืนยันว่าภัยคุกคามจากการโจมตีแบบฉีดข้อมูลนั้นเป็นเรื่องจริง มีความซับซ้อน และต้องการการป้องกันที่ผ่านการทดสอบอย่างอิสระ CEN TS 18099 ให้การสนับสนุนที่เป็นกลางจากบุคคลที่สามต่อข้อกำหนดของ NIST นั่นคือ การป้องกันการโจมตีแบบฉีดข้อมูลและสื่อปลอม

ถามคำถามนี้คำถามเดียว…

ต่อไปนี้คือวิธีระบุผู้ให้บริการระบบยืนยันตัวตนที่มีความทนทานต่อภัยคุกคามจาก AI:

“คุณสามารถพิสูจน์ได้หรือไม่ว่ามีบุคคลที่มีชีวิตอยู่จริง ณ จุดที่ทำการบันทึกภาพ และสามารถป้องกันการโจมตีด้วยวิธีการ/เครื่องมือแทรกแซงที่ซับซ้อนหลากหลายรูปแบบได้หรือไม่?”

การตรวจจับความมีชีวิตขั้นพื้นฐานและการป้องกันการปลอมแปลงทางกายภาพเพียงอย่างเดียวไม่เพียงพอที่จะเป็นไปตามแนวทางของ NIST หลักฐานควรมาจากใบรับรองที่ได้รับการตรวจสอบโดยห้องปฏิบัติการทดสอบที่ได้รับการรับรอง ตรวจสอบให้แน่ใจว่าผู้ขายสามารถแสดงให้เห็นได้ว่า:

• วิธีการปกป้องความสมบูรณ์ของกระแสข้อมูลทั้งหมดและตรวจสอบความสมบูรณ์ของเซ็นเซอร์/อุปกรณ์ปลายทางเพื่อตรวจจับการโจมตีแบบแทรกข้อมูล ตามที่ NIST แนะนำ
• พวกเขาผ่านการทดสอบมาตรฐานอะไรบ้างในการตรวจจับการโจมตีแบบฉีดข้อมูล ไม่ใช่แค่สิ่งที่กล่าวอ้างเท่านั้น 
• อัตราการยอมรับการนำเสนอการโจมตีแบบแอบอ้าง (Impostor Attack Presentation Accept Rate หรือ IAPAR) ของพวกเขา และการเปรียบเทียบกับเกณฑ์ของ NIST

สถาปัตยกรรมของ iProov สอดคล้องกับสิ่งใดบ้าง

แนวทางของ iProov ผสานรวมสามชั้นที่สอดคล้องกับมาตรฐาน NIST อย่างชัดเจน:

• เทคโนโลยี Dynamic Liveness ® with Flashmark ™ มอบ PAD และ IAD ขั้นสูงตามที่ NIST กำหนด – ยืนยันตัวตนที่แท้จริงของบุคคลนั้นแบบเรียลไทม์ ณ จุดบันทึกภาพ Flashmark สร้างข้อมูลไบโอเมตริกที่ไม่ซ้ำกันสำหรับการตรวจสอบแต่ละครั้ง ซึ่งไม่สามารถลอกเลียนแบบ ขโมย หรือนำกลับมาใช้ใหม่ได้ เราได้รับการรับรอง iBeta PAD ตามมาตรฐาน ISO/IEC 30107-3 ระดับ 1 และ 2 (อัตราความสำเร็จในการโจมตี 0%) และ การรับรองการตรวจสอบใบหน้า FIDO ซึ่งมีอัตราการยอมรับการนำเสนอการโจมตีแอบอ้าง (IAPAR) 0%
• แพลตฟอร์มไบโอเมตริกส์เชิงวิทยาศาสตร์ของ iProov วิเคราะห์กระแสข้อมูลทั้งหมดเพื่อหาหลักฐานการแทรกข้อมูล การเล่นซ้ำ และสื่อที่สร้างโดย AI ซึ่งตอบสนองความต้องการของ NIST ในการป้องกัน "วิดีโอปลอม" และการโจมตีแบบแทรกข้อมูลโดยตรง ผ่านมาตรฐาน CEN TS 18099 ซึ่งเป็นมาตรฐานเดียวของโลกสำหรับการตรวจจับการโจมตีแบบแทรกข้อมูล
• iSOC ให้บริการข่าวกรองและเฝ้าระวังภัยคุกคามตลอด 24 ชั่วโมง 7 วันต่อสัปดาห์ ซึ่งเป็นการเฝ้าระวังอย่างต่อเนื่องที่ NIST แนะนำสำหรับการตรวจจับภัยคุกคามที่ใช้ AI ที่มีการเปลี่ยนแปลงอยู่ตลอดเวลา

ตารางด้านล่างแสดงหลักฐานการปฏิบัติตามแนวทางที่กำหนด: 

สถาปัตยกรรมนี้แสดงให้เห็นว่า iProov เป็นผู้จำหน่ายรายแรกและรายเดียวที่ตรงตาม ข้อกำหนดการตรวจสอบไบโอเมตริกซ์ที่ระบุไว้ในแนวทางปฏิบัติใหม่ของ NIST

แล้วจะเกิดอะไรขึ้นต่อไป?

การเผยแพร่มาตรฐาน NIST SP 800-63-4 ส่งผลกระทบโดยตรงต่อกระบวนการจัดซื้อจัดจ้างแล้ว

ผู้เชี่ยวชาญด้านความปลอดภัยจำเป็นต้องตรวจสอบขั้นตอนการทำงานปัจจุบันเทียบกับแนวทางเหล่านี้ ทีมจัดซื้อและผู้มีอำนาจตัดสินใจจำเป็นต้องเข้าใจข้อกำหนดทางเทคโนโลยีสำหรับทั้ง PAD และ IAD รูปแบบการทำงานได้เปลี่ยนแปลงไปแล้ว และองค์กรต่างๆ มีอำนาจมากขึ้นในการตั้งคำถามที่รอบรู้ต่อ ผู้จำหน่ายระบบไบโอเมตริกซ์ ของตน

ในบทความถัดไปของชุดนี้ เราจะนำเสนอโครงสร้างเชิงปฏิบัติสำหรับการตรวจสอบโซลูชันไบโอเมตริกปัจจุบันหรือที่กำลังจะนำมาใช้ของคุณ โดยเทียบกับมาตรฐาน NIST SP 800-63-4

ระบบยืนยันตัวตนปัจจุบันของคุณมีประสิทธิภาพแค่ไหน? 

• ใช้ เครื่องมือประเมินความมีชีวิตชีวาของผู้ให้บริการแบบอินเทอร์แอ็กทีฟ ของเรา
• ดาวน์โหลด อีบุ๊กฟรีของเราเรื่อง วิธีการประเมินผู้ให้บริการไบโอเมตริกซ์
• จองการสาธิต เพื่อขอรับคำปรึกษาจากผู้เชี่ยวชาญของเราได้เลย