Mythos ของ Anthropic สร้างความตื่นตระหนกให้กับตลาด และหลังจากได้เห็นสิ่งที่มันทำอย่างใกล้ชิด—โดยการใช้งานในสภาพแวดล้อมองค์กรจริงร่วมกับลูกค้าที่มีสิทธิ์เข้าถึง และใช้เวลาหลายสัปดาห์พูดคุยกับ CISO และผู้นำด้าน IAM ที่กำลังปรับเปลี่ยนกลยุทธ์—ผมจึงเข้าใจว่าทำไม
ผลการค้นพบหลักไม่ได้อยู่ที่เทคนิคใหม่ๆ แต่อยู่ที่เวลา Mythos บีบอัดห่วงโซ่การโจมตีทั้งหมดให้เหลือเพียงไม่กี่นาที ทำลายสมมติฐานที่การตรวจจับ การกำกับดูแล และการจัดการช่องโหว่พึ่งพามาโดยตลอดกว่าสามสิบปี สิ่งที่ยังคงอยู่คือการควบคุมแบบเรียลไทม์: ประเมินตัวตน ทำความเข้าใจบริบท ประเมินความเสี่ยง บังคับใช้การตัดสินใจในการเข้าถึงแบบเรียลไทม์ ก่อนที่การตรวจสอบสิทธิ์จะเสร็จสมบูรณ์ นั่นคือสิ่งที่สำคัญ Silverfort ถูกสร้างขึ้นตั้งแต่เริ่มต้นเพื่อส่งมอบสิ่งแรกใน Active Directoryจากนั้นก็ใช้ระบบคลาวด์ และตอนนี้ก็ใช้เอเจนต์ AI แล้ว
Mythos คืออะไร และทำไมจึงสำคัญ
แอนโทรปิกเปิดตัว ตัวอย่างผลงานของ Claude Mythos ในเดือนเมษายน 2025 ในฐานะแบบจำลองที่จำกัดอย่างจงใจซึ่งสร้างขึ้นสำหรับงานด้านความปลอดภัยทางไซเบอร์ขั้นสูง ในช่วงหลายสัปดาห์ต่อมา นักวิจัยอิสระ 38 คนได้บันทึกผลการค้นพบที่เหนือกว่าเกณฑ์มาตรฐานอย่างมาก ได้แก่ การระบุห่วงโซ่ช่องโหว่ที่ซับซ้อนได้ในชั่วข้ามคืน การสร้างช่องโหว่ที่ใช้งานได้จริงโดยใช้คำแนะนำจากมนุษย์น้อยที่สุด และการให้เหตุผลเชิงรุกแบบอัตโนมัติในระดับที่ไม่เคยมีมาก่อน
โครงการกลาสวิง นำสิ่งนี้ไปใช้ในสภาพแวดล้อมขององค์กร โดยที่องค์กรต่างๆ ทดสอบ Mythos กับตัวเองในสถานการณ์จำลองทีมแดงที่มีการควบคุม รูปแบบที่ได้นั้นสม่ำเสมอ: แผนการโจมตีมาตรฐานทำงานได้อย่างรวดเร็วจนไม่มีเวลาให้มนุษย์ตอบโต้ได้เลย นี่ไม่ใช่เรื่องน่าประหลาดใจหากพิจารณาแยกเป็นรายกรณี รายงานของ Anthropic เดือนพฤศจิกายน 2025 ก่อนหน้านี้เคยมีการบันทึกกรณีการจารกรรมข้อมูลโดยใช้ AI ช่วยเหลือ ซึ่งความสามารถของเอเจนต์นั้นก้าวข้ามบทบาทการให้คำปรึกษาและมีส่วนร่วมอย่างแข็งขันในการดำเนินการบุกรุก เครื่องมือจำลองการโจมตีที่ใช้ AI เมื่อเทคโนโลยีเหล่านี้พร้อมใช้งานอย่างแพร่หลายแล้ว แนวโน้มจึงชัดเจน: ความสามารถเหล่านี้ไม่ได้จำกัดอยู่แค่ในรุ่นใดรุ่นหนึ่งหรือโปรแกรมที่มีการควบคุมอีกต่อไป
ปัจจุบัน กระบวนการโจมตีถูกวัดเป็นนาที และอัตลักษณ์คือประเด็นสำคัญที่สุด
เอージェนต์ AI ดำเนินการโจมตีตามเวลาของเครื่องจักร โดยไม่ลังเล ไม่จัดลำดับความสำคัญ พวกมันตรวจสอบตัวตน ทดสอบข้อมูลประจำตัว เชื่อมโยงการตั้งค่าที่ไม่ถูกต้อง เปลี่ยนเส้นทาง และขโมยข้อมูลออกไปอย่างต่อเนื่อง ผ่านทุกเส้นทางที่เป็นไปได้พร้อมกัน ข้อมูล เรื่องราวบอกเล่าว่า: ในปี 2025 เวลาเฉลี่ยในการทะลวงแนวป้องกันลดลงเหลือ 34 นาที การเคลื่อนที่ด้านข้างที่เร็วที่สุด: สี่นาที การถอนตัวออกในเวลาเพียงหกนาที ตัวเลขเหล่านี้เป็นข้อมูลก่อนที่ Mythos จะเข้ามาเป็นผู้โจมตี
การเปลี่ยนแปลงไม่ได้อยู่ที่เทคนิค การใช้ข้อมูลประจำตัวซ้ำ การตั้งค่า ESC1 ผิดพลาด บัญชีผู้ใช้ที่มีสิทธิ์มากเกินไป—สิ่งเหล่านี้ไม่ใช่เรื่องใหม่เลย แล้วอะไรคือการเปลี่ยนแปลง is เศรษฐศาสตร์เป็นเรื่องใหม่: ต้นทุนในการค้นหาและระบุจุดอ่อนเหล่านี้ลดลงจนเกือบเป็นศูนย์ นี่คือเหตุผลว่าทำไมศาสตร์ด้านการระบุตัวตนและการเข้าถึงจึงอยู่ในจุดเปลี่ยนที่สำคัญ ซอฟต์แวร์ได้รับการแก้ไขข้อบกพร่อง เครือข่ายได้รับการแบ่งส่วน อุปกรณ์ปลายทางได้รับการเสริมความปลอดภัย แต่ทุกการกระทำ ไม่ว่าจะเป็นมนุษย์ เครื่องจักร หรือตัวแทน AI ล้วนต้องมีการตรวจสอบสิทธิ์ สำหรับทีม IAM, PAM และ IGA นี่ไม่ใช่บทบาทสนับสนุนอีกต่อไป แต่เป็นสนามรบหลัก
สมมติฐานด้านความปลอดภัยตลอดสามทศวรรษ ถูกลบล้างไปหมดแล้ว
ระบบรักษาความปลอดภัยหลักทุกระบบที่พัฒนาขึ้นตั้งแต่ทศวรรษ 1990 เป็นต้นมา ล้วนตั้งอยู่บนสมมติฐานโดยปริยายข้อหนึ่ง นั่นคือ มีช่วงเวลาหนึ่งระหว่างที่ผู้โจมตีเคลื่อนไหวและเมื่อผู้ป้องกันตอบสนอง แต่ปัจจุบันสมมติฐานนั้นไม่เป็นจริงอีกต่อไปแล้ว
การตรวจจับและการตอบสนอง เดิมทีคาดการณ์ว่าเวลาในการบุกรุกนั้นนานพอที่จะทำให้เกิดสัญญาณเตือนและมีมนุษย์เข้ามาจัดการ แต่การโจมตีด้วยความเร็วของเครื่องจักรทำให้ช่องว่างนั้นหายไป การตรวจจับจึงกลายเป็นการสังเกตการณ์ ไม่ใช่การป้องกัน
การจัดการช่องโหว่ สมมติว่าคุณจะค้นหาและแก้ไขช่องโหว่ที่สำคัญก่อน Mythos ไม่จำเป็นต้องมีช่องโหว่ที่สำคัญ (แม้ว่ามันจะสามารถค้นหาได้ตามต้องการ) มันเชื่อมโยงช่องโหว่ทั่วไปเข้าด้วยกันเป็นเส้นทางการเจาะระบบที่ผู้โจมตีที่เป็นมนุษย์คงไม่มีเวลาและความอดทนมากพอที่จะสร้างขึ้นมาได้
จีเอ สันนิษฐานว่าการตรวจสอบการเข้าถึงเป็นระยะจะตรวจจับความผิดปกติได้ก่อนที่จะกลายเป็นปัญหา แต่ระบบนี้ใช้ไม่ได้ผลกับตัวแทน AI เลย: AI ทำงานเร็วขึ้น มีหลายตัวตน ไม่สามารถคาดเดาได้ และไม่สนใจรอบการรับรองรายไตรมาสของคุณ หลายตัวถูกออกแบบมาให้ใช้งานได้ไม่นาน—ถูกสร้างขึ้น ใช้ และหายไปก่อนที่จะมีการตรวจสอบใดๆ เกิดขึ้น
การกำกับดูแลในช่วงเวลาบริหารจัดการนั้นไม่สามารถมีน้ำหนักมากเท่าที่เคยเป็นมาได้อีกต่อไปแล้ว ท่าทีในการกำกับดูแลมีความสำคัญ แต่ไม่ใช่การควบคุมหลักอีกต่อไป การควบคุมหลักอยู่ที่เวลาการทำงานจริงต่างหาก
การแข่งขันแก้ไขปัญหานั้นไม่มีทางชนะได้
ผู้ปฏิบัติงานบางรายตอบสนองด้วยการเพิ่มความเข้มข้นในการจัดการช่องโหว่ ผมไม่เคยเชื่อในกลยุทธ์การไล่ล่าแบบแมวกับหนู และยิ่งไม่เชื่อในตอนนี้ หนูฉลาดขึ้น มันสร้างแผนที่เขาวงกตทั้งหมดก่อนที่จะเคลื่อนที่ รู้ว่ากับดักทุกอันอยู่ที่ไหน และหาเส้นทางไปถึงชีสได้ถึงสิบเจ็ดเส้นทางในขณะที่คุณยังคงเฝ้ามองรูแรกอยู่ คุณจะไม่ชนะด้วยการสร้างกับดักที่เร็วกว่า เปลี่ยนสถานที่ที่คุณแข่งขันเถอะ
ระบบควบคุมรุ่นใหม่ที่สร้างขึ้นเพื่อการทำงานของเครื่องจักร
ตลาดอุปกรณ์ปลายทางได้เปลี่ยนผ่านจุดนี้ไปเมื่อสิบปีที่แล้ว โปรแกรมป้องกันไวรัสได้ถูกแทนที่ด้วยการป้องกันแบบเรียลไทม์ที่ดักจับการทำงานก่อนที่จะเสร็จสมบูรณ์ เครื่องมือที่ยังคงอยู่รอดได้ย้ายเข้าไปอยู่ในเส้นทางการทำงาน ไม่ใช่ทำงานควบคู่ไปกับมัน ระบบรักษาความปลอดภัยข้อมูลประจำตัวก็กำลังอยู่ในจุดเปลี่ยนเดียวกันในขณะนี้ แพลตฟอร์มรุ่นใหม่กำลังถูกสร้างขึ้นโดยเน้นการบังคับใช้แบบเรียลไทม์และการตัดสินใจเข้าถึงแบบเรียลไทม์ในขณะที่ทำการตรวจสอบสิทธิ์ รวมถึงผู้เล่นรายเก่าที่เชี่ยวชาญในด้านนี้มานาน Active Directory และขณะนี้กำลังขยายรากฐานนั้นไปสู่สภาพแวดล้อมคลาวด์และเอเจนต์ หลักการพื้นฐานยังคงเหมือนเดิม: จุดควบคุมเพียงจุดเดียวที่สามารถเอาชนะการโจมตีด้วยความเร็วของเครื่องจักรได้ คือจุดที่ทำงานด้วยความเร็วของเครื่องจักร ภายในกระบวนการเข้าถึง ก่อนที่ประตูจะเปิดออก
สิ่งที่ CISO และผู้นำด้าน IAM กำลังปรับเทียบแตกต่างกันออกไป
1. เวลาในการทำงานคือสิ่งสำคัญที่สุด
คำขอการตรวจสอบสิทธิ์ทุกรายการจะได้รับการประเมินแบบเรียลไทม์โดยพิจารณาจากบริบทแบบไดนามิก และจะมีการตัดสินใจก่อนที่จะอนุญาตให้เข้าถึง หากบัญชีบริการที่เคยตรวจสอบสิทธิ์กับเซิร์ฟเวอร์สองเครื่องมาเป็นเวลาสามปี จู่ๆ ก็ขอเข้าถึงตัวควบคุมโดเมนในเวลาตี 3 คำตอบก็คือ "ไม่" (ภายในไม่กี่มิลลิวินาที) สำหรับทีม IAM และ PAM นี่คือการเปลี่ยนแปลงทางสถาปัตยกรรมที่สำคัญที่สุด: จากการจัดเตรียมและการกำกับดูแลเป็นหลักในการควบคุม ไปสู่การบังคับใช้ในขณะทำงาน โดยมีบริบทแบบเรียลไทม์และนโยบายแบบไดนามิกเป็นตัวป้อนข้อมูล
2. ปัญญาประดิษฐ์ในวงจรการตัดสินใจการเข้าถึง
คำตอบสำหรับการโจมตีด้วยความเร็วระดับ AI คือ AI ในวงจรการตัดสินใจการเข้าถึงโดยได้รับบริบทของข้อมูลระบุตัวตนแบบเรียลไทม์ เช่น เจตนา ประวัติพฤติกรรม ความละเอียดอ่อนของสินทรัพย์ บริบทขององค์กร สัญญาณภัยคุกคาม และลักษณะของคำขอ โมเดลจะทำการตัดสินใจหรือแนะนำการตัดสินใจ เช่น อนุญาต ปฏิเสธ เพิ่มระดับ อนุญาตโดยมีข้อจำกัด หรือเปลี่ยนเส้นทาง มนุษย์ยังคงมีส่วนร่วมในการตัดสินใจที่มีความเสี่ยงสูง AI จะรับหน้าที่ในสิ่งที่เดิมไม่ควรต้องใช้การตัดสินใจของมนุษย์
3. ถือว่าการละเมิดเป็นโหมดการทำงานมาตรฐาน
การกู้คืนจากการโจมตีโดยเอเจนต์ AI จะไม่ทิ้งร่องรอยมัลแวร์แบบดั้งเดิม ร่องรอยการตรวจสอบจะอยู่ในชั้นข้อมูลประจำตัว: บันทึกการตรวจสอบสิทธิ์ รูปแบบการเข้าถึง การใช้สิทธิ์พิเศษ สร้างภาพรวมข้อมูลประจำตัวและฐานสถานะการเข้าถึงที่คุณสามารถย้อนกลับไปได้ องค์กรที่ทำการจำลองการโจมตีโดยใช้แบบจำลองกับตัวเองในตอนนี้ จะเป็นองค์กรที่สามารถประเมินเหตุการณ์จริงได้ภายในไม่กี่ชั่วโมง ไม่ใช่หลายสัปดาห์ พวกเขาจะเป็น... ยืดหยุ่น—ไม่ใช่เพราะพวกเขาโชคดี แต่เป็นเพราะพวกเขาฝึกฝนมา
4. ท่าทีของตัวแทนก่อนที่การเปิดเผยข้อมูลจะกลายเป็นการละเมิด
องค์กรส่วนใหญ่แทบไม่มีอะไรสร้างไว้ที่นี่เลย ตัวแทน AI ยืนยันตัวตนด้วยบัญชีที่มีสิทธิ์เกินความจำเป็น การกระทำของพวกมันไม่สามารถระบุแหล่งที่มาได้ และพฤติกรรมของพวกมันก็ไม่ได้อ้างอิงจากสิ่งใดเลย ทุกธุรกรรมของตัวแทนจะต้องสามารถตรวจสอบย้อนกลับไปยังมนุษย์ผู้ริเริ่มได้ผ่านทางระบบ กราฟประจำตัวต้องสามารถวิเคราะห์เจตนาได้: การกระทำนี้สอดคล้องกับวัตถุประสงค์ที่ตัวแทนระบุไว้หรือไม่? การตัดสินใจเกี่ยวกับการเข้าถึงไม่สามารถเป็นแบบไบนารีได้ ต้องอนุญาต ปฏิเสธ อนุญาตบางส่วน เปลี่ยนเส้นทาง การเข้าถึงแบบจำกัดเวลา ทั้งหมดนี้ต้องทำด้วยความเร็วของเครื่องจักรและตรวจสอบได้อย่างครบถ้วน
5. ขอบเขตนั้นปรากฏอยู่ทุกหนทุกแห่งแล้ว รวมถึงภายในด้วย
ข้อมูลประจำตัวแบบคงที่และสิทธิ์การเข้าถึงแบบถาวรเป็นความเสี่ยงเสมอ และเมื่อเผชิญกับการโจมตีที่รวดเร็วระดับ AI... มันคือช่องโหว่ที่เปิดกว้าง การครอบคลุมต้องสม่ำเสมอในทุกประเภทของข้อมูลประจำตัว ทุกสภาพแวดล้อม และทุกเส้นทางการเข้าถึง ภายในต้องมีมาตรฐานเดียวกันกับภายนอก: ไม่มีข้อมูลประจำตัวที่ไม่ได้รับการตรวจสอบ ไม่มีความไว้วางใจโดยปริยาย ไม่มีช่องโหว่ที่ผู้กระทำความผิดสามารถเชื่อมโยงไปยังเส้นทางการละเมิดได้ ระบบ PAM ไม่สามารถทำงานได้อย่างโดดเดี่ยวอีกต่อไป องค์กรที่มองว่าการเข้าถึงแบบพิเศษเป็นเพียงการตรวจสอบเพื่อปฏิบัติตามกฎระเบียบ จะได้รู้ว่ามันมีราคาที่ต้องจ่ายเท่าไหร่
อะไร Silverfort สามารถทำเพื่อคุณ
หากการโจมตีเกิดขึ้นด้วยความเร็วของเครื่องจักร การควบคุมความปลอดภัยก็ต้องทำงานด้วยความเร็วเดียวกันภายในกระบวนการเข้าถึงนั่นเอง ซึ่งนั่นคือสิ่งที่สำคัญ Silverfort ส่งมอบ
Silverfort ผสานรวมการรักษาความปลอดภัยข้อมูลประจำตัวเข้ากับการตรวจสอบสิทธิ์และการเข้าถึงโดยตรงในทุกข้อมูลประจำตัว ไม่ว่าจะเป็นมนุษย์ เครื่องจักร และตัวแทน AI รวมถึงทุกสภาพแวดล้อม หัวใจสำคัญคือ การป้องกันการเข้าถึงขณะทำงาน (RAP)ซึ่งผสานรวมเข้ากับโครงสร้างพื้นฐาน IAM ที่มีอยู่แล้วได้อย่างลงตัว เช่น Active Directory หรือใช้แพลตฟอร์มตัวแทนเพื่อรักษาความปลอดภัยจากภายใน แทนที่จะพึ่งพาการตรวจจับหลังจากเกิดเหตุการณ์แล้ว Silverfort ระบบจะประเมิน ตัดสินใจเกี่ยวกับการเข้าถึงแบบไดนามิก และบังคับใช้การตัดสินใจเหล่านั้นแบบเรียลไทม์ ก่อนที่การตรวจสอบสิทธิ์จะเสร็จสมบูรณ์ นี่ไม่ใช่ชั้นการมองเห็นหรือนโยบายเพิ่มเติม แต่เป็นจุดควบคุมส่วนกลางที่ทำงานแบบเรียลไทม์และครอบคลุมระดับองค์กร
ในทางปฏิบัตินี้หมายถึง:
หยุดยั้งภัยคุกคาม ณ ขณะที่กำลังเข้าถึงระบบ คำขอการตรวจสอบสิทธิ์ทุกรายการจะได้รับการประเมินในระหว่างการทำงาน โดยพิจารณาจากบริบทข้อมูลประจำตัว พฤติกรรม และความเสี่ยงที่เปลี่ยนแปลงไป การปิดกั้นหรือเพิ่มระดับการเข้าถึงที่น่าสงสัย ก่อนที่จะกลายเป็นการเคลื่อนย้ายในแนวนอนหรือการยกระดับสิทธิพิเศษ
แซงหน้าความเร็วของผู้โจมตีด้วยการบังคับใช้กฎแบบอินไลน์ เมื่อระยะเวลาในการโจมตีสั้นลง ความได้เปรียบจะตกอยู่กับผู้ที่สามารถลงมือได้ก่อน Silverfort การป้องกันขณะทำงาน ช่วยให้มั่นใจได้ว่าการเข้าถึงที่ไม่ได้รับอนุญาตจะถูกหยุดยั้งก่อนที่จะแพร่กระจายออกไป
การรักษาความปลอดภัยของเอージェนต์ AI ในฐานะตัวตนระดับชั้นนำ ตัวแทน AI ได้รับการปฏิบัติเช่นเดียวกับตัวตนอื่นๆด้วยความเข้มงวดเช่นเดียวกัน Silverfort ช่วยให้มองเห็นกิจกรรมของเอเจนต์ได้อย่างชัดเจน บังคับใช้สิทธิ์ขั้นต่ำ และควบคุมการกระทำแบบเรียลไทม์เพื่อป้องกันการใช้ในทางที่ผิด การเข้าถึงเกินขอบเขต หรือการเข้าถึงโดยไม่ได้รับอนุญาต
ขจัดจุดบอดด้านอัตลักษณ์ Silverfort ขยายการคุ้มครองครอบคลุมทุกอัตลักษณ์และสภาพแวดล้อม รวมถึง ระบบที่ยากต่อการรักษาความปลอดภัยแบบดั้งเดิมเช่น โครงสร้างพื้นฐานเดิมและแอปพลิเคชันที่พัฒนาขึ้นเองภายในองค์กร
บรรทัดล่าง
ตำนานคือสัญญาณการโจมตีที่ขับเคลื่อนด้วย AI กำลังผลักดันการละเมิดตัวตน การยกระดับสิทธิ์ และการเคลื่อนย้ายข้ามระบบไปสู่ระดับเวลาของเครื่องจักร การแข่งขันในการแก้ไขช่องโหว่นั้นไม่มีวันชนะ การตรวจจับในปัจจุบันคือการตรวจสอบทางนิติวิทยาศาสตร์ สมมติฐานที่ใช้ได้มานานกว่าสามสิบปีนั้นหมดอายุลงแล้ว
สำหรับสาขาวิชาด้านการระบุตัวตนและการเข้าถึง นี่คือช่วงเวลาสำคัญ การตัดสินใจและการบังคับใช้ในขณะทำงานไม่ใช่ทางเลือกอีกต่อไปแล้ว สถานที่เดียวที่เหลืออยู่สำหรับการแข่งขันคือภายในกระบวนการตรวจสอบสิทธิ์และการเข้าถึง ก่อนที่ประตูจะเปิดออก และด้วยความเร็วที่ผู้โจมตีเคลื่อนไหวอยู่แล้ว
เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับความสำคัญของการบังคับใช้แบบเรียลไทม์ในระดับใหญ่ โปรดลงทะเบียนเข้าร่วมกิจกรรม LinkedIn Live ที่กำลังจะจัดขึ้น: “การควบคุมการเข้าถึงขณะทำงานแบบอัตโนมัติ: อนาคตของการรักษาความปลอดภัยข้อมูลประจำตัวมาถึงแล้ว"
