การตรวจสอบความปลอดภัยเพียงชั้นเดียวไม่เพียงพอ: เหตุผลที่ต้องมีการปกป้องข้อมูลส่วนบุคคลแบบหลายชั้น

ระบบรักษาความปลอดภัยส่วนใหญ่สร้างขึ้นบนสมมติฐานที่อันตราย: การตรวจสอบเพียงครั้งเดียวก็เพียงพอที่จะป้องกันผู้ฉ้อโกงได้แล้ว แต่ความจริงไม่ใช่เช่นนั้น และตัวเลขต่างๆ ก็แสดงให้เห็นอย่างชัดเจนในทันที

ข้อมูลประจำตัวเป็นสิ่งแรกที่ถูกโจมตี ข้อมูลจาก Microsoft Entra แสดงให้เห็นว่าการโจมตีโดยใช้รหัสผ่านคิดเป็นสัดส่วนมากกว่า 99% ของการโจมตีเพื่อระบุตัวตนกว่า 600 ล้านครั้งต่อวัน รหัสผ่านแบบใช้ครั้งเดียว (OTP) ที่ส่งทาง SMS บนโทรศัพท์ของคุณก็ใช้การไม่ได้ผลเช่นกัน การโจมตีแบบสลับซิม เพิ่ม ขึ้นมากกว่า 1,000% ต่อปีในสหราชอาณาจักรเพียงแห่งเดียว

ดังนั้นองค์กรต่างๆ จึงหันมาใช้ไบโอเมตริกส์ใบหน้า และผู้โจมตีก็ทำตาม เพราะระบบที่มีความปลอดภัยสูง – ระบบที่ปกป้องกระบวนการสำคัญ บัญชีการเงิน ข้อมูลที่ละเอียดอ่อน – ดึงดูดผู้โจมตีที่มีความมุ่งมั่นมากที่สุด ในปี 2024 เพียงปีเดียว iProov พบว่า:

• การโจมตีด้วยกล้องเสมือนจริงแบบเนทีฟเพิ่มขึ้นถึง 2,665%
• การโจมตี ด้วยการสลับใบหน้าโดยใช้ เทคโนโลยี deepfake เพิ่มขึ้นสามเท่า
• การโจมตีด้วยการฉีดสารเข้าเส้นเลือด เพิ่มขึ้น 783% (และเพิ่มขึ้นอีก 740% ในปี 2025 )

นี่ไม่ใช่แค่ตัวเลขที่มากขึ้นเท่านั้น แต่แสดงถึงการเปลี่ยนแปลงพื้นฐาน: ปัจจุบันผู้โจมตีมุ่งเป้าไปที่ชั้นไบโอเมตริกโดยเฉพาะ โดยหลีกเลี่ยงการป้องกันที่องค์กรคิดว่าสามารถ "ตั้งค่าแล้วไม่ต้องดูแลอีกต่อไป" ปัญหาคือการสันนิษฐานว่าการตรวจสอบเพียงอย่างเดียว แม้จะซับซ้อนเพียงใด ก็เพียงพอแล้ว

เมื่อเราพูดถึงระบบรักษาความปลอดภัยแบบหลายชั้นในที่นี้ เราไม่ได้หมายถึง การตรวจสอบสิทธิ์แบบหลายปัจจัย แบบดั้งเดิม เช่น การใช้รหัสผ่านควบคู่กับแอปตรวจสอบสิทธิ์ (แม้ว่าจะเป็นสิ่งที่แนะนำอย่างยิ่งและบังคับ ใช้มากขึ้นในหลายประเทศและอุตสาหกรรม ) เรากำลังพูดถึงกลยุทธ์การป้องกันเชิงลึกภายในแต่ละปัจจัยเอง — การวางซ้อนการควบคุมความปลอดภัยหลายชั้นภายในระบบตรวจสอบไบโอเมตริกซ์จะช่วยให้มั่นใจได้ว่า หากการตรวจสอบหนึ่งถูกหลอก การตรวจสอบอื่นๆ จะตรวจจับสิ่งที่พลาดไป ได้

การตรวจสอบแบบจุดเดียว โดยเฉพาะอย่างยิ่ง โซลูชันการตรวจสอบความมีชีวิตชีวา ที่ไม่ได้รับการรับรอง นั้น ล้าสมัยไปแล้วเมื่อเผชิญกับภัยคุกคามนี้

ดังที่ Gartner ได้กล่าวไว้:

“ผู้นำผลิตภัณฑ์ในด้านการตรวจสอบตัวตนกำลังถูกผลักดันให้ปรับใช้แนวทางแบบองค์รวมมากขึ้น ซึ่งรวมเอากลยุทธ์การป้องกันหลายชั้นเข้าไว้ด้วย เพื่อต่อต้านภาพปลอมที่สร้างขึ้นด้วยเทคโนโลยี Deepfake”
รายงานผลกระทบของ AI และ Deepfake ต่อการตรวจสอบยืนยันตัวตน

การรักษาความปลอดภัยของข้อมูลส่วนบุคคลออนไลน์นั้นเปรียบเสมือนการแข่งขันด้านอาวุธ มันคือวิวัฒนาการอย่างต่อเนื่อง ไม่ใช่สมการที่สามารถแก้ได้แล้วเก็บไว้ นี่คือเหตุผลที่สถาปัตยกรรมของการป้องกันของคุณมีความสำคัญพอๆ กับความแข็งแกร่งของแต่ละองค์ประกอบ มาสำรวจกันว่าทำไมการป้องกันข้อมูลส่วนบุคคลแบบหลายชั้นจึงมีความจำเป็น และจะช่วยให้คุณก้าวล้ำหน้าผู้ไม่หวังดีได้อย่างไร

ปัญหาของการรักษาความปลอดภัยแบบจุดเดียว

การเปรียบเทียบกับรหัสผ่านนั้นไม่ใช่เรื่องบังเอิญ รหัสผ่านล้มเหลวไม่ใช่เพราะแนวคิดผิด แต่เพราะผู้โจมตีมีความซับซ้อนมากขึ้นจนสามารถเอาชนะการตรวจสอบข้อมูลประจำตัวแบบปัจจัยเดียวได้ในวงกว้างด้วยวิธีการต่างๆ เช่น การโจมตีแบบเดาแบบสุ่ม (brute force attack) และ การยัดข้อมูลประจำตัว (credential stuffing ) พลวัตเดียวกันนี้เกิดขึ้นในโซลูชันไบโอเมตริกที่มีความน่าเชื่อถือต่ำ โดยมีการโจมตีที่ซับซ้อนมากขึ้นเรื่อยๆ ซึ่ง แพร่หลาย บรรจุ และจำหน่ายโดยผู้ฉ้อโกง

การตรวจสอบความมีชีวิตด้วยไบโอเมตริกซ์ ไม่ได้มีประสิทธิภาพเท่ากันทั้งหมด ผู้ให้บริการบางรายอาศัยการตรวจสอบภาพเพียงเฟรมเดียว: ใบหน้านี้ ดูเหมือน จริงหรือไม่? ปัญหาคือเครื่องมือสลับใบหน้า กล้องเสมือนจริง และซอฟต์แวร์ดีพเฟคสมัยใหม่ได้รับการออกแบบมาโดยเฉพาะเพื่อให้ผ่านการตรวจสอบแบบนั้นได้ iProov ได้ระบุชุดค่าผสมการโจมตีที่เป็นไปได้มากกว่า 115,000 แบบ จากเครื่องมือที่เราติดตามอย่างต่อเนื่อง การตรวจสอบเพียงอย่างเดียวไม่สามารถครอบคลุมพื้นที่การโจมตีทั้งหมดได้

การตรวจสอบภาพเฟรมเดียวเป็นการบันทึกภาพนิ่ง ไม่ใช่การปรากฏตัวจริง ไม่สามารถพิสูจน์ได้ว่าใครอยู่ที่นั่นจริง ๆ เพียงแต่แสดงให้เห็นว่าภาพดูเหมือนจริง และภาพปลอมจำนวนมากถูกออกแบบมาให้ ดูเหมือน จริง ได้สำเร็จ

และการพึ่งพาคนเป็นทางเลือกสุดท้ายก็ไม่ใช่คำตอบเช่นกัน มีเพียง 0.1% ของคนเท่านั้นที่สามารถแยกแยะสื่อปลอมได้อย่างแม่นยำ เมื่อ 99.9% ของคนไม่สามารถแยกแยะของจริงออกจากของปลอมได้ การตรวจสอบด้วยตนเองจึงกลายเป็นจุดอ่อนมากกว่าเป็นมาตรการป้องกัน

คุณอาจตั้งคำถามอย่างสมเหตุสมผลว่า: ถ้าการตรวจสอบแบบจุดเดียวเป็นปัญหา แล้วนั่นจะไม่ส่งผลกระทบต่อผู้จำหน่ายระบบไบโอเมตริกซ์รายใดเลยหรือ รวมถึง iProov ด้วย? ถ้า iProov ใช้การตรวจสอบแบบจุดเดียว ก็จะเป็นเช่นนั้น แต่ iProov ไม่ใช่ ความแตกต่างอยู่ที่โครงสร้าง และนั่นคือสิ่งที่เราจะอธิบายต่อไป

ระบบรักษาความปลอดภัยแบบหลายชั้นด้วยไบโอเมตริกทำงานอย่างไร

คำตอบไม่ใช่การเพิ่มเลเยอร์มากขึ้นโดยปราศจากความสัมพันธ์ที่ชาญฉลาด เพราะนั่นจะสร้างเพียงสัญญาณรบกวนและความขัดแย้ง เป้าหมายคือการบูรณาการอย่างเหมาะสม โดยที่แต่ละเลเยอร์จะให้สัญญาณที่แตกต่างกัน ซึ่งเมื่อวิเคราะห์ร่วมกันแล้วจะสร้างภาพที่สมบูรณ์ซึ่งเลเยอร์เดียวไม่สามารถมองเห็นได้

แต่ละชั้นจะตรวจสอบหลักฐานที่แตกต่างกัน นั่นหมายความว่าหากผู้โจมตีสามารถหลอกลวงชั้นหนึ่งได้ ชั้นถัดไปก็จะมองหาหลักฐานที่แตกต่างออกไปโดยสิ้นเชิง และยากต่อการหลอกลวงด้วยวิธีเดียวกันมากยิ่งขึ้น

สิ่งนี้มีความสำคัญอย่างยิ่งสำหรับการโจมตีแบบฉีดข้อมูล – ซึ่งเป็นหนึ่งในภัยคุกคามที่ใหญ่ที่สุดต่อระบบไบโอเมตริกซ์ ดังที่ NIST ได้ยอมรับไว้ แตกต่างจากการโจมตีแบบนำเสนอแบบดั้งเดิม (เช่น การถือภาพถ่ายหรือวิดีโอไว้ที่กล้อง) การโจมตีแบบฉีดข้อมูลจะข้ามขั้นตอนการทำงานของกล้องไปโดยสิ้นเชิง แทนที่จะใช้กล้อง ผู้โจมตีจะป้อนวิดีโอปลอมเข้าไปในระบบโดยตรง

หากระบบของคุณตรวจสอบเฉพาะภาพอย่างเดียว อาจจะไม่รู้ด้วยซ้ำว่ากำลังเกิดเหตุการณ์นี้ขึ้น การวิเคราะห์สัญญาณเพิ่มเติม เช่น ความสมบูรณ์ของอุปกรณ์ การใช้งาน อีมูเลเตอร์ และความสอดคล้องของสภาพแวดล้อม เป็นสิ่งสำคัญอย่างยิ่ง หากไม่มีการตรวจสอบเพิ่มเติมเหล่านี้ แม้แต่การตรวจจับความมีชีวิตที่แข็งแกร่งก็อาจตรวจไม่พบการโจมตีได้

ดูว่าวิธีการแบบหลายชั้นของ iProov ตรวจจับและบล็อกการโจมตีสมัยใหม่ได้อย่างไร:

1: ชั้นภาพ: การตรวจจับความมีชีวิตขั้นสูง

ชั้นแรกเป็นการพิสูจน์ว่ามีบุคคลจริงอยู่ตรงนั้น ไม่ใช่รูปถ่าย วิดีโอ ภาพปลอม หรือหน้ากาก ซึ่งเหนือกว่าการตรวจสอบเพียงแค่ว่าใบหน้าดูสมจริงหรือไม่

Dynamic Liveness ใช้ เทคโนโลยี Flashmark™ – หน้าจอของคุณจะสว่างขึ้นด้วยสีแบบสุ่ม ในขณะที่ระบบจะวิเคราะห์ว่าแสงสะท้อนจากใบหน้าจริงอย่างไรในหลายเฟรม สิ่งนี้สร้าง การตอบสนองแบบเรี ยลไทม์ที่ไม่เหมือนใคร ซึ่งแทบเป็นไปไม่ได้เลยที่จะปลอมแปลง แม้แต่ด้วยเทคโนโลยี deepfake ที่ซับซ้อน เพราะมันพิสูจน์ได้ว่าบุคคลนั้นอยู่ตรง นั้นจริง ๆ ในขณะนั้น ไม่ใช่ การโจมตีแบบเล่นซ้ำ

2: ชั้นเมตาเดตา: นิติวิทยาศาสตร์ดิจิทัล

ในขณะที่การตรวจจับความมีชีวิตจะตรวจสอบ ตัวบุคคล เลเยอร์เมตาเดตาจะตรวจสอบ สภาพแวดล้อมดิจิทัล ซึ่งรวมถึง:

• ตรวจจับอุปกรณ์ที่ถูกบุกรุก (เจลเบรกหรือรูท)
• การตรวจจับโปรแกรมจำลอง ซึ่งมักใช้ในการปฏิบัติการฉ้อโกงขนาดใหญ่
• การระบุ VPN หรือโปรแกรมปกปิดตัวตนที่ปิดบังแหล่งที่มาที่แท้จริงของอุปกรณ์
• ตรวจสอบสัญญาณทางเทคนิคเทียบกับอุปกรณ์ที่อ้างสิทธิ์

ลองพิจารณาประเด็นสุดท้าย: ผู้โจมตีแสดงสิ่งที่ดูเหมือนจะเป็น iPhone แต่ขนาดภาพในกระแสข้อมูลไม่ตรงกับความละเอียดใดๆ ที่กล้อง iPhone เคยผลิตได้ สัญญาณนั้นเพียงอย่างเดียวไม่พิสูจน์ว่าเป็นการฉ้อโกง แต่เมื่อรวมกับ VPN ต้นทาง IP ที่ผิดปกติ และข้อมูลความมีชีวิตที่ส่งผ่านได้อย่างราบรื่นเกินไป มันอาจเป็นสัญญาณเตือนภัยร้ายแรงได้

มันเปรียบเสมือนหนังสือเดินทางดิจิทัลที่ดูเหมือนของจริง แต่มีโฮโลแกรมของประเทศที่ไม่ถูกต้อง มิจฉาชีพสมัยใหม่จะไม่ถูกจับได้ด้วยสัญญาณเพียงอย่างเดียวเสมอไป การตรวจสอบด้วย GPS การวิเคราะห์ IP หรือการตรวจจับการมีชีวิตอยู่เพียงอย่างเดียว ล้วนมีจุดบอด กุญแจสำคัญคือการทำให้แน่ใจว่าแต่ละชั้นของการตรวจสอบนั้นให้ข้อมูลเฉพาะที่ช่วยเสริมความแข็งแกร่งให้กับการตัดสินใจโดยรวม

3: ข้อได้เปรียบของการตรวจสอบอย่างต่อเนื่อง

เนื่องจากนี่คือการแข่งขันด้านอาวุธ การติดตั้งใช้งานจึงไม่ใช่จุดจบของเรื่องราว เครื่องมือโจมตีที่เคยเป็นของกลุ่มผู้เชี่ยวชาญเมื่อปีที่แล้ว ตอนนี้ถูกนำมาขายในรูปแบบ " บริการก่ออาชญากรรม " ให้กับทุกคนที่มีบัตรชำระเงิน

ศูนย์ปฏิบัติการด้านความปลอดภัย (iSOC) ของ iProov วิเคราะห์ข้อมูลการโจมตีในโลกแห่งความเป็นจริงอย่างต่อเนื่อง อัปเดตวิธีการตรวจจับและอัลกอริธึมตาม การเปลี่ยนแปลงของภัยคุกคาม นี่ไม่ใช่ระบบที่คุณตั้งค่าแล้วลืมไป แต่เป็นระบบป้องกันเชิงรุกและปรับตัวได้ ระบบแบบคงที่ แม้จะออกแบบมาดีแค่ไหนในตอนเริ่มต้น ก็เป็นเป้าหมายที่ตายตัว

เนื่องจาก iSOC ตรวจสอบทั้งระบบ ไม่ใช่แค่ส่วนประกอบเดียว จึงสามารถตรวจจับรูปแบบที่การตรวจสอบเพียงจุดเดียวอาจพลาดไปได้ หากผู้โจมตีพบวิธีที่จะหลีกเลี่ยงชั้นใดชั้นหนึ่งได้ การเจาะระบบนั้นจะไม่ถูกซ่อนไว้ มันจะกลายเป็นข้อมูลข่าวกรอง ระบบสามารถเสริมความแข็งแกร่ง กฎการตรวจจับได้รับการอัปเดต และการป้องกันได้รับการเสริมกำลังก่อนที่กลยุทธ์นั้นจะแพร่กระจายออกไป

ด้วยการตรวจสอบความปลอดภัยเพียงครั้งเดียว การพยายามฉ้อโกงที่สำเร็จอาจไม่ถูกตรวจพบ แต่ด้วยการตรวจสอบอย่างต่อเนื่อง ทุกเหตุการณ์จะกลายเป็นสัญญาณเตือนและโอกาสในการปรับตัว

ภัยคุกคามเปลี่ยนแปลงไป การตอบสนองก็ต้องเปลี่ยนแปลงไปด้วยเช่นกัน ท่าทีด้านความปลอดภัยเชิงรุกนี้เป็นท่าทีเดียวที่เหมาะสมในสภาพแวดล้อมของภัยคุกคามที่เปลี่ยนแปลงอยู่ตลอดเวลา และเมื่อไม่มีการตรวจสอบใดที่จะเป็นคำตอบสุดท้ายได้เสมอไป

ความคิดที่สูญเสีย ไป

เทคโนโลยี Deepfake จะพัฒนาขึ้น การโจมตีแบบ Injection จะแพร่หลายมากขึ้น และเครื่องมือโจมตีจะมีราคาถูกลง

ตัวแปรเดียวที่คุณควบคุมได้คือสถาปัตยกรรมของคุณ

การป้องกันหลายชั้น—ที่ผสานรวมการตรวจสอบสถานะการทำงานขั้นสูง ข้อมูลเมตาอัจฉริยะ และการตรวจสอบภัยคุกคามเชิงรุก—คือวิธีการกำจัดจุดอ่อนเพียงจุดเดียวที่ผู้โจมตีใช้ประโยชน์ ไม่ใช่ด้วยการทำให้การตรวจสอบเพียงจุดเดียวยากต่อการเจาะ แต่ด้วยการรับประกันว่าการตรวจสอบเพียงจุดเดียวไม่เพียงพอที่จะเอาชนะระบบได้

คำถามไม่ได้อยู่ที่ว่าการรักษาความปลอดภัยหลายชั้นคุ้มค่ากับการลงทุนหรือไม่ แต่เป็นว่าคุณสามารถดำเนินธุรกิจได้โดยปราศจากระบบรักษาความปลอดภัยนั้นได้หรือไม่

---

สนใจเรียนรู้เพิ่มเติมเกี่ยวกับโซลูชันไบโอเมตริกแบบหลายชั้นของ iProov หรือไม่?

• เป็นผู้จำหน่ายรายแรกและรายเดียวที่ได้รับ การประเมินระดับ 4 จาก Ingenium สำหรับการตรวจจับการโจมตีแบบฉีดข้อมูล – ซึ่งเป็นมาตรฐานที่เหนือกว่าระดับสูงสุดของ CEN TS 18099 (CEN High) ทั้งในด้านขอบเขตและความเข้มงวด ในการทดสอบอิสระเป็นเวลา 40 วัน ไม่พบช่องทางการโจมตีแบบฉีดข้อมูลใดๆ: ใบหน้าสังเคราะห์และวิดีโอ deepfake ไม่มีที่ไป อัตราการปฏิเสธจากผู้ใช้ที่ถูกต้องตามกฎหมาย: เพียง 1.3% ซึ่งต่ำกว่าเกณฑ์ 15% ที่มาตรฐานกำหนดไว้มาก
• เมื่อไม่นานมานี้ บริษัทเป็นผู้จำหน่ายรายแรกและรายเดียวที่ ตรงตามข้อกำหนดการตรวจสอบไบโอเมตริกซ์ที่ระบุไว้ในเอกสาร NIST Special Publication 800-63-4 Digital Identity Guidelines ฉบับใหม่
• จองการสาธิตเพื่อรับคำปรึกษาได้แล้ววันนี้