อนาคตต่อไปของมุมมองด้านภัยคุกคามไซเบอร์กำลังเข้าสู่จุดเปลี่ยนครั้งสำคัญ โดย ฟอร์ติเน็ต (Fortinet) ได้เผยรายงานคาดการณ์ภัยคุกคามไซเบอร์ประจำปี 2026 ชี้ว่าปีนี้จะเป็นปีที่ปัญญาประดิษฐ์ (AI) จะเข้ามาเร่งทุกอย่างให้เร็วขึ้นอย่างที่ไม่เคยเกิดขึ้นมาก่อน การแข่งขันระหว่างผู้โจมตีและฝ่ายป้องกันจะตัดสินกันด้วย "ความเร็ว" โดยเฉพาะอย่างยิ่งเมื่ออาชญากรรมไซเบอร์ได้พัฒนาไปสู่การเป็นอุตสาหกรรมที่มีการจัดการอย่างเป็นระบบ ขับเคลื่อนด้วยระบบอัตโนมัติและความเชี่ยวชาญเฉพาะทาง
ดร.ศุภกร กังพิศดาร ผู้จัดการประจำประเทศไทย และลาว ฟอร์ติเน็ต กล่าวว่า ผลการศึกษาแสดงให้เห็นอย่างชัดเจนว่าอาชญากรรมไซเบอร์จะไม่ใช่แค่กิจกรรมเพื่อฉวยโอกาสอีกต่อไป แต่จะพัฒนาไปสู่ระบบอุตสาหกรรมที่ดำเนินการด้วยความเร็วในระดับเครื่องจักร เมื่อระบบอัตโนมัติ ความเชี่ยวชาญเฉพาะทาง และ AI กำหนดนิยามใหม่ให้กับทุกขั้นตอนของวงจรการโจมตี ระยะเวลาระหว่างการถูกเจาะระบบจนถึงการสร้างผลกระทบจะสั้นลงเรื่อย ๆ ปัจจัยกำหนดความสำเร็จในปี 2026 จึงไม่ได้ขึ้นอยู่กับนวัตกรรมเพียงอย่างเดียว แต่ขึ้นอยู่กับความรวดเร็วในการเปลี่ยนข้อมูลข่าวกรองภัยคุกคามให้กลายเป็นการปฏิบัติจริง จนกำเนิดโรงงานอาชญากรรมไซเบอร์อัตโนมัติ
"รายงานจาก FortiGuard Labs ระบุว่า การเติบโตเต็มที่ของ AI ระบบอัตโนมัติ และซัพพลายเชนด้านอาชญากรรมทางไซเบอร์ ทำให้การเจาะระบบทำได้ง่ายและเร็วกว่าที่ผ่านมาอย่างมาก ผู้โจมตีจะใช้เวลาน้อยลงในการคิดค้นเครื่องมือใหม่ๆ และหันมาปรับปรุงเทคนิคที่ใช้งานได้ผลดีอยู่แล้วให้ดำเนินไปแบบอัตโนมัติ"
วิวัฒนาการสู่ยุค Gen 3 และความเร็วเหนือมนุษย์
กระบวนการโจมตีได้วิวัฒนาการมาถึงยุคที่ 3 (Gen 3) ซึ่งเป็นยุคที่ AI เข้ามาสนับสนุนการทำงานทั้งหมด ทำให้การโจมตีมีประสิทธิภาพและขนาดใหญ่ขึ้น ซึ่งต่างจากยุคที่ 1 (ปี 2000-2010) ที่เป็นการเขียนโค้ดด้วยมือแบบพื้นฐาน และยุคที่ 2 ที่เริ่มมีการสร้างทีมและซื้อขายเครื่องมือบน Dark Web อย่างเป็นระบบ
ในยุคปัจจุบัน AI จะเข้ามาจัดการการสอดแนม เร่งกระบวนการบุกรุก วิเคราะห์ข้อมูลที่ถูกขโมย และสร้างข้อความสำหรับการเจรจาเรียกค่าไถ่ เอเจนต์อาชญากรรมไซเบอร์ที่ทำงานแบบอัตโนมัติบนดาร์กเว็บจะเริ่มดำเนินการโจมตีได้ครบจบทุกขั้นตอนโดยแทบไม่ต้องอาศัยการควบคุมจากมนุษย์ การเปลี่ยนแปลงเหล่านี้เพิ่มศักยภาพให้ผู้โจมตีได้แบบทวีคูณ จากเดิมที่เครือข่ายแรนซัมแวร์อาจจัดการได้เพียงไม่กี่แคมเปญ ก็สามารถเปิดปฏิบัติการได้นับสิบแคมเปญพร้อมกัน
AI มีความสามารถในการ "คิดเองได้" (Autonomous AI) เช่น การคาดเดารหัสผ่าน หรือการสร้างอีเมลหลอกลวง (Social Engineering Email) แบบอัตโนมัติที่สมจริงมาก ความเร็วของการโจมตีกลายเป็นปัจจัยเสี่ยงที่สำคัญ โดยช่วงเวลาระหว่างการบุกรุกจนถึงการสร้างผลกระทบเสียหาย จากเดิมที่ใช้หลายวันจะลดลงเหลือเพียงแค่ไม่กี่นาที ตัวอย่างเช่น เมื่อมีการประกาศช่องโหว่ (Vulnerability) ออกมา ผู้โจมตีสามารถค้นหาวิธีโจมตีได้สำเร็จภายในเวลาไม่ถึง 5 วัน (4.75 วัน) ซึ่งต่างจากยุคก่อนที่อาจใช้เวลาเป็นปี
AI ฉลาดรับข้อมูลไวและแปลงข้อมูลเป็นเงินอย่างรวดเร็ว
ข้อมูลได้กลายเป็นปัจจัยสำคัญอย่างยิ่งต่อผู้โจมตีในปี 2025-2026 เพราะ AI ต้องการ "บริโภค" ข้อมูลเพื่อใช้ในการโจมตี ข้อมูลที่รั่วไหลจำนวนมหาศาล (เช่น user/password เป็นล้านบัญชี) จะถูก AI นำไปวิเคราะห์ความน่าจะเป็นในการล็อกอินเข้าสู่ระบบอย่างรวดเร็ว
นอกจากนี้ AI ยังเร่งการแปลงข้อมูลเป็นเงินได้รวดเร็วขึ้น ทันทีที่ผู้โจมตีเข้าถึงฐานข้อมูลที่ถูกขโมย เครื่องมือ AI จะทำการวิเคราะห์และจัดลำดับความสำคัญทันทีเพื่อประเมินว่าเหยื่อรายใดให้ผลตอบแทนได้สูงสุด พร้อมสร้างข้อความข่มขู่เพื่อเรียกค่าไถ่โดยเจาะจงเป็นรายบุคคล ทำให้ข้อมูลถูกเปลี่ยนเป็นเงินได้เร็วยิ่งขึ้นกว่าที่เคย
ยุคใหม่ของการโจมตีเฉพาะกิจและตลาดมืดที่มีโครงสร้าง
FortiGuard Labs คาดการณ์ว่าจะเห็นเอเจนต์ AI เฉพาะทางที่ออกแบบมาเพื่อสนับสนุนการดำเนินการของอาชญากรไซเบอร์ แม้ว่าเอเจนต์เหล่านี้จะยังไม่สามารถดำเนินการได้อย่างอิสระ แต่จะเริ่มทำให้ขั้นตอนสำคัญของเส้นทางโจมตีดำเนินไปในแบบอัตโนมัติและมีประสิทธิภาพมากขึ้น ซึ่งรวมถึงการขโมยข้อมูลส่วนบุคคล (Credential Theft) การขยายการเข้าถึงภายในเครือข่าย (Lateral Movement) และการนำข้อมูลมาแสวงหาประโยชน์ (Data Monetization)
มัลแวร์เฉพาะกิจและแรนซัมแวร์แบบผสมผสาน
ภัยคุกคามไซเบอร์ปัจจุบันมีความเฉพาะเจาะจงสูง โดยเป็นมัลแวร์ที่ถูกสร้างมาเพื่อวัตถุประสงค์เฉพาะ (Purpose-built) และถูกดัดแปลง (modify) ให้เหมาะสมกับหน่วยงานเป้าหมายแต่ละแห่ง ผู้โจมตีจะทำการบ้านและรวบรวมข้อมูลอย่างละเอียดเพื่อเจาะระบบที่มีความซับซ้อน เช่น ระบบควบคุมการผลิตในโรงงานอุตสาหกรรม หรือระบบสาธารณสุข ซึ่งเป็นเป้าหมายที่มีความอ่อนไหวสูงและมีโอกาสเรียกค่าไถ่ได้สูง
รูปแบบของแรนซัมแวร์ในปี 2026 จะเป็นการโจมตีแบบผสมผสาน (Blended Ransomware) ซึ่งไม่จำกัดอยู่แค่การเข้ารหัสไฟล์เพียงอย่างเดียว แต่ยังรวมถึงการขู่เผยแพร่ข้อมูลที่ถูกขโมย (ถ้าไม่จ่าย) และสุดท้ายหากยังปฏิเสธ มัลแวร์ก็จะมุ่งเป้าให้ระบบล่มหรือดาวน์เพื่อสร้างความเสียหายทางธุรกิจขั้นรุนแรง
ตลาดมืดจากสินค้าสู่บริการเฉพาะทาง
เศรษฐกิจใต้ดินจะมีโครงสร้างที่เป็นระบบมากขึ้น โดยจะมีการปรับบริการเช่าบอตเน็ตและข้อมูลประจำตัวที่ขโมยมานำเสนอให้ตรงต่อความต้องการเฉพาะมากขึ้นในปี 2026 การเพิ่มมูลค่าของข้อมูลและระบบอัตโนมัติจะช่วยให้ผู้ขายสามารถนำเสนอแพ็กเกจที่เฉพาะเจาะจงมากขึ้น โดยแบ่งตามอุตสาหกรรม ภูมิศาสตร์ และโปรไฟล์ของระบบ แทนแพ็กเกจทั่วไปที่มีอยู่ในตลาดใต้ดิน
ตลาดมืดยังเริ่มนำแนวคิดการให้บริการลูกค้ามาใช้ ทั้งการให้คะแนนความน่าเชื่อถือ และระบบตัวกลางจัดการธุรกรรมแบบอัตโนมัติ นวัตกรรมเหล่านี้ช่วยเร่งพัฒนาอาชญากรรมไซเบอร์สู่การเป็นอุตสาหกรรมอย่างเต็มรูปแบบ นอกจากนี้ ตลาดมืดยังมีการจำหน่ายเครื่องมือโจมตีในรูปแบบ “as-a-service” ต่างๆ เช่น Ransomware for hire หรือแม้แต่แชตบอตที่ชื่อ Warm GPT ที่ใช้ในการสร้างมัลแวร์ ทำให้ใครก็ตามสามารถเริ่มต้นธุรกิจอาชญากรรมไซเบอร์ได้อย่างสะดวกสบาย
กลยุทธ์ป้องกันแบบ "อุตสาหกรรม" และ Machine-Speed Defense
เมื่อการโจมตีทำงานแบบอัตโนมัติและขนานกัน (concurrently) จากหลายช่องทาง ฝ่ายป้องกันแบบดั้งเดิมที่ทำงานตามลำดับขั้น (Sequential) คือต้องตรวจจับ (Detect) ให้เจอก่อนจึงจะสามารถกักกัน (Contain) ได้ จะไม่สามารถรับมือได้ทันท่วงที ดังนั้น ฝ่ายป้องกันเองจึงจำเป็นที่จะต้องตอบโต้ด้วยประสิทธิภาพและการประสานการทำงานในระดับเดียวกัน
ดร.รัฐิติ์พงษ์ พุทธเจริญ ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบ ฟอร์ติเน็ต กล่าวว่า การตั้งค่าระบบที่กำหนดไว้แบบตายตัวและการตรวจสอบหรือประเมินความปลอดภัยแค่ตามรอบเวลา ไม่สามารถโต้ตอบได้ทันในสภาพแวดล้อมที่ผู้โจมตีใช้ระบบอัตโนมัติในการสอดแนม เพิ่มสิทธิ์เข้าถึง และเรียกค่าไถ่ภายในเวลาแค่เพียงไม่กี่นาที
ในปี 2026 การดำเนินงานด้านความปลอดภัยไซเบอร์จะใกล้เคียงกับสิ่งที่ FortiGuard Labs อธิบายว่าเป็นการป้องกันด้วย ความเร็วระดับเครื่องจักร (Machine-Speed Defense) ซึ่งเป็นกระบวนการต่อเนื่องในการรวบรวมและวิเคราะห์ข่าวกรองภัยคุกคาม พร้อมตรวจสอบความถูกต้องและควบคุมสถานการณ์ที่ช่วยลดเวลาในการตรวจจับ และตอบสนองจากหลายชั่วโมงเหลือเพียงไม่กี่นาที
สามองค์ประกอบหลักของการป้องกันที่มีความยืดหยุ่น (Resilient Defense)
องค์กรต้องยกระดับการป้องกันไปสู่ “การสร้างโรงงานอัตโนมัติเพื่อป้องกัน” (Industrialize Defense) โดยมีคุณสมบัติหลัก 3 ประการคือ
1.บูรณาการ (Integrate) ระบบความปลอดภัยต่าง ๆ ทั่วทั้งเครือข่ายต้องเชื่อมต่อเข้าด้วยกันเป็นระบบเดียว เพื่อลดความซ้ำซ้อนและง่ายต่อการบริหารจัดการ
2.ชาญฉลาด (Intelligent) ต้องอาศัยข้อมูลภัยคุกคามอัจฉริยะ (Threat Intelligence/Global Intelligence) ที่มาจากแหล่งข้อมูลที่เชื่อถือได้และรวบรวมจากระดับโลก เพื่อทำการวิเคราะห์ ประเมิน และคาดการณ์ภัยคุกคามที่อาจเกิดขึ้น
3.อัตโนมัติ (Automate) กระบวนการตอบสนองต่อเหตุการณ์ (Incident Response) ต้องทำโดยอัตโนมัติเพื่อลดเวลาในการรับมือ
ฝ่ายป้องกันต้องนำข้อมูลข่าวกรองภัยคุกคามมาใช้ในการคาดการณ์ภัยคุกคามที่อาจผ่านเข้ามาในระบบของเรา เมื่อตรวจพบภัยคุกคาม ระบบจะต้องตอบสนองแบบอัตโนมัติทันที กระบวนการนี้ต้องสามารถค้นหาและกำจัดภัยคุกคามได้โดยอัตโนมัติ นอกจากนี้ กรอบการทำงานอย่างการจัดการความเสี่ยงจากภัยคุกคามอย่างต่อเนื่อง (CTEM) และ MITRE ATT&CK จะต้องถูกนำมาใช้เพื่อช่วยให้ฝ่ายป้องกันสามารถระบุภัยคุกคามที่กำลังเกิดขึ้น ระบุช่องโหว่ และจัดลำดับความสำคัญในการแก้ไขได้อย่างรวดเร็วด้วยข้อมูลแบบเรียลไทม์
AI เป็นรากฐานสำคัญของการป้องกัน
AI ได้ถูกฝังเป็นส่วนพื้นฐาน (Fundamental) ของระบบความมั่นคงไซเบอร์มานานกว่า 15 ปีในบริษัทไซเบอร์ซีเคียวริตี้ชั้นนำ AI สามารถช่วยในการวิเคราะห์ข้อมูลล็อกและสร้างการแจ้งเตือน (alert) ลดเวลาในการจัดทำรายงานจากหลายวันเหลือเพียงช่วงเวลาสั้นๆ ช่วยในการออกแบบคอนฟิกและการแก้ไขปัญหา (troubleshooting) รวมถึงการจำแนกประเภทอีเมลและการจัดการเคส (case handling) ที่เหมาะสม
บุคลากร, Identity และความร่วมมือระดับโลก ตลอดจนภัยคุกคามต่ออัตลักษณ์บุคคล (Identity)
การระบุตัวตนจะต้องเป็นรากฐานการดำเนินงานด้านความปลอดภัย องค์กรจะต้องยืนยันตัวตนไม่ใช่แค่ในรายบุคคลเท่านั้น แต่ยังรวมถึงเอเจนต์ที่ทำงานอัตโนมัติ กระบวนการที่ขับเคลื่อนด้วย AI และการสื่อสารระหว่างเครื่องจักรอีกด้วย
ภัยคุกคามในปัจจุบันให้ความสำคัญกับ “อัตลักษณ์” (Identity) เป็นอันดับแรก ไม่ว่าจะเป็น Identity ของบุคคล (ชื่อผู้ใช้, รหัสผ่าน) หรือ Identity ของเครื่องจักร การจัดการตัวตนที่ไม่ใช่มนุษย์ (Non-Human Identities) จะกลายเป็นปัจจัยสำคัญในการป้องกันการขยายสิทธิ์การเข้าถึงในวงกว้างและการรั่วไหลของข้อมูล หากผู้โจมตีสามารถเข้าถึงและใช้ "ตัวตน" ของบุคคลที่มีสิทธิ์พิเศษได้ ก็จะเกิดความไม่ปลอดภัย ทำให้ยุคนี้ถูกเรียกว่าเป็น "ยุคของ Identity"
การยกระดับบุคลากรและการทำงานร่วมกับ AI ในยุคที่ AI ทำงานแทนได้ในงานทั่วไปและงานที่ทำซ้ำๆ บุคลากรด้านไอทีและบุคลากรในองค์กรจะต้องยกระดับทักษะ (up-skill) เพื่อทำงานที่ AI ทำไม่ได้ ซึ่งได้แก่ งานที่ต้องใช้การตัดสินใจ การยืนยัน (confirm) และการกำกับดูแลระบบที่ AI ทำงานอยู่ องค์กรไม่สามารถพึ่งพา AI เพียงอย่างเดียว หรือพึ่งพาคนเพียงอย่างเดียวได้อีกต่อไป แต่ต้องให้คนทำงานร่วมกับ AI
ความร่วมมือระดับโลกและการยับยั้งภัยคุกคาม
อาชญากรรมไซเบอร์ที่พัฒนาสู่รูปแบบอุตสาหกรรมจะยิ่งต้องอาศัยความร่วมมือในระดับโลกที่มีการประสานงานมากขึ้น มีการแบ่งปันข้อมูลข่าวกรอง (Threat Intel Sharing) ระหว่างหน่วยงานภาครัฐและเอกชน เช่น ในประเทศไทยผ่านระบบของ สกมช. ในระดับสากล มีความร่วมมือกับองค์กรอย่าง World Economic Forum ในการจัดทำ Cyber Threat Atlas ที่แสดงแผนที่ภัยคุกคามทั่วโลก
โครงการริเริ่มต่าง ๆ เช่น Operation Serengeti 2.0 ของ INTERPOL ที่ได้รับการสนับสนุนจากฟอร์ติเน็ต แสดงให้เห็นว่าการแบ่งปันข้อมูลข่าวกรองร่วมกันและการสกัดกั้นอย่างมีเป้าหมายสามารถทำลายโครงสร้างพื้นฐานของอาชญากรรมได้อย่างมีประสิทธิภาพ นอกจากนี้ บริษัทยังร่วมมือกับ Europol ในการจับกุมอาชญากรไซเบอร์กว่า 1,000 ราย และจัดการเครือข่ายที่เกี่ยวข้องได้กว่า 1,100 เครือข่าย และโครงการใหม่ ๆ อย่าง โครงการรางวัลนำจับอาชญากรรมไซเบอร์ (Fortinet-Crime Stoppers International Cybercrime Bounty Program) จะช่วยเพิ่มศักยภาพในการยับยั้งภัยคุกคามและเพิ่มความรับผิดชอบต่อการกระทำผิดในระดับนานาชาติ
แนวโน้มอนาคต (ปี 2027)
FortiGuard Labs คาดการณ์ว่า ภายในปี 2027 อาชญากรรมไซเบอร์จะขยายตัวไปในระดับเทียบเท่าอุตสาหกรรมระดับโลกที่ถูกกฎหมาย การโจมตีจะถูกทำเป็นระบบอัตโนมัติมากขึ้นผ่านโมเดล Agentic AI โดยเอเจนต์แบบฝูง (Swarm-Based Agents) จะเริ่มประสานงานกันแบบกึ่งอัตโนมัติและปรับเปลี่ยนวิธีการตามพฤติกรรมตอบสนองจากฝ่ายป้องกัน พร้อมเพิ่มการโจมตีซัพพลายเชนที่ซับซ้อนมากขึ้น ซึ่งจะมุ่งเป้าไปยังระบบ AI และระบบฝังตัวในอุปกรณ์ต่างๆ (Embedded Systems)
ความเร็วและขนาดจะเป็นตัวกำหนดทศวรรษถัดไป องค์กรที่สามารถผสานรวมข่าวกรองภัยคุกคาม ระบบอัตโนมัติ และความเชี่ยวชาญของมนุษย์ไว้ในระบบเดียวและสามารถตอบสนองได้อย่างทันท่วงที จะเป็นองค์กรที่พร้อมมากที่สุดในการรับมือกับความท้าทายที่กำลังจะเกิดขึ้น
เพื่อทำความเข้าใจถึงความสำคัญของระบบป้องกันอัตโนมัติในยุคสงครามไซเบอร์ความเร็วสูง ลองนึกถึงระบบรักษาความปลอดภัยในบ้านสมัยใหม่ แทนที่จะมีเพียงกล้องวงจรปิดที่บันทึกภาพไว้รอให้เราทุกคนมานั่งดูภายหลัง ที่เป็นการป้องกันแบบดั้งเดิม ระบบป้องกันสมัยใหม่ต้องสามารถตรวจจับผู้บุกรุกโดยอัตโนมัติ (AI), ล็อกประตูทันที (ระบบอัตโนมัติ), และเรียกตำรวจ (การตอบสนองที่รวดเร็ว) ได้ภายในไม่กี่วินาที โดยไม่จำเป็นต้องรอให้มนุษย์ตัดสินใจ ซึ่งนี่คือหัวใจของ "Machine-Speed Defense" ที่ต้องเท่าทันความเร็วของอาชญากรไซเบอร์ยุค AI