ข้ามไปที่เนื้อหาหลัก
กลับไปที่บล็อก มุมมองอุตสาหกรรม

เครื่องมือ AI ได้สร้างช่องว่างด้านความปลอดภัยที่เครือข่ายของคุณไม่สามารถตรวจพบได้ การควบคุมผ่านเบราว์เซอร์จะช่วยปิดช่องว่างนั้น

โดย Sarang Warudkar - ผู้จัดการผลิตภัณฑ์ด้านเทคนิคระดับสูง (PMM)

19 พฤษภาคม 2026 4 เวลาอ่าน: 1 นาที

การนำ AI แบบสร้างเนื้อหา (Generative AI) มาใช้ได้เปลี่ยนแปลงระบบความปลอดภัยขององค์กรในหลายด้านที่องค์กรจำนวนมากยังไม่ได้จัดการกับความเสี่ยงดังกล่าว ความเสี่ยงนี้ไม่ได้มาจากการโจมตีที่ซับซ้อน แต่มาจากแท็บเบราว์เซอร์เพียงแท็บเดียว

พนักงานใช้เวลาส่วนใหญ่ในแต่ละวันบนเบราว์เซอร์ เพื่อเข้าถึงข้อมูล CRM แดชบอร์ดทางการเงิน เอกสารที่แชร์กัน และเครื่องมือ AI เช่น ChatGPT Microsoft 365 Copilot และ Gemini การเพิ่มประสิทธิภาพการทำงานนั้นชัดเจน เช่นเดียวกับความเสี่ยงที่ตามมา

แอปพลิเคชัน AI ได้นำช่องป้อนข้อมูลแบบ prompt มาใช้ ซึ่งช่วยให้ข้อมูลสามารถส่งตรงจากคลิปบอร์ดของพนักงานไปยังโมเดลภายนอกได้ แพลตฟอร์มการส่งข้อความ เช่น Microsoft Teams Web และ WhatsApp Web อาศัยการเชื่อมต่อ WebSocket แบบต่อเนื่อง ซึ่งเครื่องมือความปลอดภัยเครือข่ายแบบดั้งเดิมไม่สามารถตรวจสอบได้ นอกจากนี้ แอปพลิเคชัน SaaS สมัยใหม่ยังเข้ารหัสเนื้อหา ก่อนที่ข้อมูลจะถึงพร็อกซี

ผลคือมีประเภทกิจกรรมในระหว่างการเชื่อมต่อที่เพิ่มขึ้น ซึ่งระบบควบคุมความปลอดภัยเครือข่ายที่มีอยู่ไม่สามารถตรวจจับหรือควบคุมได้ เนื่องจากกิจกรรมนี้เกิดขึ้นภายในเบราว์เซอร์ จึงจำเป็นต้องมีระบบป้องกันที่นั่นด้วย

ปัญหาความมองเห็นในเบราว์เซอร์

การตรวจสอบเครือข่ายแบบดั้งเดิมขึ้นอยู่กับข้อมูลการสื่อสาร HTTP และ HTTPS ที่ไหลผ่านพร็อกซี โมเดลนี้ทำงานได้ดีมาหลายปี แต่การเปลี่ยนแปลงสองประการได้เพิ่มความซับซ้อนให้มากขึ้น

ก่อนอื่น แอปพลิเคชัน SaaS สมัยใหม่กำลังใช้การเชื่อมต่อ WebSocket มากขึ้นเรื่อยๆ แอปพลิเคชันอย่าง Microsoft Teams, WhatsApp และ Microsoft 365 Copilot สร้างเซสชันเบราว์เซอร์ที่คงอยู่ ซึ่งสามารถหลีกเลี่ยงการตรวจสอบของพร็อกซีแบบดั้งเดิม ทำให้ทีมความปลอดภัยสูญเสียความสามารถในการติดตามกิจกรรมในเซสชัน

ประการที่สอง แอปพลิเคชันที่มีการเข้ารหัสแบบ end-to-end จะเข้ารหัสเนื้อหา ก่อนที่ข้อมูลจะถึงพร็อกซี เครื่องมือความปลอดภัยเครือข่ายสามารถมองเห็นการเชื่อมต่อได้ แต่ไม่สามารถตรวจสอบเนื้อหาที่ส่งผ่านได้

สิ่งนี้ก่อให้เกิดกิจกรรมในเบราว์เซอร์ที่อยู่นอกขอบเขตการตรวจสอบของระบบควบคุมความปลอดภัยที่มีอยู่

ความเสี่ยงจากพฤติกรรมของผู้ใช้ในชีวิตประจำวัน

เหตุการณ์การรั่วไหลของข้อมูลส่วนใหญ่ไม่ได้เกิดจากผู้โจมตีที่มีทักษะขั้นสูง แต่เกิดจากกิจกรรมประจำวันของพนักงานภายในเบราว์เซอร์ เช่น การคัดลอกและวาง การถ่ายภาพหน้าจอ การอัปโหลด และคำสั่ง AI ที่เกิดขึ้นหลังจากได้รับสิทธิ์การเข้าถึง

เหตุการณ์การเปิดเผยข้อมูลระหว่างการทำงานที่เกิดขึ้นบ่อยที่สุดมักมีรูปแบบที่คล้ายกัน นั่นคือกิจกรรมประจำที่พนักงานดำเนินการระหว่างการทำงานปกติ และเหตุการณ์เหล่านี้ยากที่จะตรวจจับหรือควบคุมด้วยเครื่องมือที่ทำงานอยู่ที่ขอบเครือข่าย

ตัวอย่าง ได้แก่:

  • การรั่วไหลของคำสั่ง – พนักงานฝ่ายการเงินคัดลอกข้อมูลเงินเดือนไปวางในเครื่องมือ AI เช่น ChatGPT เพื่อสรุปข้อมูล ไม่มีการดาวน์โหลดไฟล์และไม่มีการแจ้งเตือน DLP
  • ภาพหน้าจอ/พิมพ์ – ผู้รับจ้างเข้าถึงข้อมูลลูกค้าผ่านเซสชันเบราว์เซอร์ และถ่ายภาพหน้าจอลงบนอุปกรณ์ส่วนตัว หรือพยายามพิมพ์ข้อมูลออกมา ไม่มีบันทึกการตรวจสอบ
  • การโอนข้อมูลจากคลิปบอร์ด – พนักงานคัดลอกข้อมูลทางการเงินจากแดชบอร์ดภายในองค์กรไปยังอีเมลส่วนตัวบนเว็บ ข้อมูลดังกล่าวไม่เคยผ่านระบบไฟล์เลย

การกระทำเหล่านี้เกิดขึ้นระหว่างการทำงานปกติ และยากที่จะตรวจพบด้วยระบบควบคุมแบบดั้งเดิม

AI สร้างความรู้สึกเร่งด่วน

AI แบบสร้างเนื้อหา (Generative AI) ได้ทำให้ปัญหานี้รุนแรงขึ้น โดยการสร้างช่องป้อนข้อมูลในเบราว์เซอร์ที่รับเนื้อหาที่คัดลอกและวางได้ทุกประเภท พนักงานสามารถส่งโค้ดต้นฉบับ ข้อมูลส่วนบุคคลของลูกค้า (PII) ข้อมูลทางการเงิน เอกสารทางกฎหมาย หรือแผนการควบรวมและซื้อกิจการ (M&A) ไปยังระบบ AI ภายนอกได้ภายในไม่กี่วินาที การวิจัยในอุตสาหกรรมล่าสุดพบว่า 41% ของพนักงานมีปฏิสัมพันธ์กับเครื่องมือ AI บนเว็บอย่างสม่ำเสมอ ซึ่งไม่มีระบบควบคุมหรือกฎเกณฑ์ใดที่กำกับดูแลสิ่งที่พวกเขาคัดลอกหรืออัปโหลด สำหรับองค์กรส่วนใหญ่ ไม่มีระบบควบคุมทางเทคนิคใดระหว่างคลิปบอร์ดของพนักงานกับโมเดล AI ภายนอก 

สำหรับองค์กรหลายแห่ง ยังไม่มีมาตรการควบคุมทางเทคนิคระหว่างคลิปบอร์ดของพนักงานกับช่องป้อนคำสั่ง AI จากภายนอก

ความกดดันในการปฏิบัติตามกฎระเบียบกำลังเพิ่มขึ้น

กฎระเบียบที่มีอยู่กำหนดให้ต้องมีมาตรการป้องกันทางเทคนิคสำหรับข้อมูลที่ละเอียดอ่อนแล้ว

มาตรา 32 ของกฎระเบียบทั่วไปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (GDPR) กำหนดให้มีการคุ้มครองการประมวลผลข้อมูลส่วนบุคคล พระราชบัญญัติการโอนย้ายและการรับผิดชอบด้านประกันสุขภาพ (HIPAA) กำหนดให้มีมาตรการคุ้มครองข้อมูลด้านการดูแลสุขภาพ พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลดิจิทัลของอินเดีย กำหนดให้มีมาตรการคุ้มครองทางเทคนิคสำหรับข้อมูลส่วนบุคคล มาตรฐานความปลอดภัยข้อมูลของอุตสาหกรรมบัตรชำระเงิน (PCI DSS) กำหนดให้มีมาตรการควบคุมสำหรับข้อมูลผู้ถือบัตร

ผู้ตรวจสอบบัญชีเริ่มถามมากขึ้นว่าอะไรที่ป้องกันไม่ให้พนักงานคัดลอกข้อมูลสำคัญไปยังเครื่องมือ AI ภายนอก หลายองค์กรยังไม่มีคำตอบทางเทคนิคที่ชัดเจน

การควบคุมเบราว์เซอร์แบบไม่ใช้เอเจนต์: วิธีใหม่ในการปิดช่องว่างนี้

ตลาดได้พัฒนาวิธีการหลายแบบเพื่อเพิ่มความปลอดภัยของเบราว์เซอร์ระหว่างการใช้งาน เบราว์เซอร์องค์กรที่ปลอดภัยช่วยให้สามารถควบคุมการใช้งานอย่างละเอียดระหว่างเซสชันได้ โดยการแทนที่เบราว์เซอร์ที่พนักงานใช้ด้วยเบราว์เซอร์องค์กรที่ได้รับการจัดการอย่างเข้มงวด แบบจำลองนี้เหมาะสมกับสภาพแวดล้อมที่มีการควบคุมอย่างเข้มงวด แต่ก่อให้เกิดความยากลำบากในการนำระบบมาใช้ ระยะเวลาการติดตั้งที่ยาวนานถึงสามถึงหกเดือน และช่องว่างในการครอบคลุมด้านโครงสร้างสำหรับอุปกรณ์ BYOD และอุปกรณ์ของผู้รับจ้าง

ระบบควบคุมเบราว์เซอร์ที่ปลอดภัยแบบไม่ใช้เอเจนต์ (Agentless) ใช้แนวทางที่แตกต่างออกไป โดยบังคับใช้นโยบายการคุ้มครองข้อมูลภายในเซสชันเบราว์เซอร์ที่กำลังทำงานอยู่ ผ่านโครงสร้างพื้นฐาน SSE ที่มีอยู่ โดยไม่ต้องเปลี่ยนเบราว์เซอร์ ไม่ต้องติดตั้งเอเจนต์บนอุปกรณ์ปลายทาง และไม่ต้องให้พนักงานเปลี่ยนแปลงวิธีการทำงาน ความครอบคลุมของระบบนี้ครอบคลุม Chrome, Edge, Firefox และ Safari บนอุปกรณ์ที่ได้รับการจัดการ อุปกรณ์ BYOD และอุปกรณ์ของผู้รับจ้างอย่างเท่าเทียมกัน การเปิดใช้งานใช้เวลาเพียงไม่กี่นาที ไม่ใช่หลายเดือน

ผลลัพธ์คือประโยชน์ด้านความปลอดภัยของเบราว์เซอร์สำหรับองค์กร โดยไม่ต้องเผชิญกับปัญหาการปรับใช้และค่าใช้จ่ายที่มาพร้อมกับการเปลี่ยนเบราว์เซอร์ เบราว์เซอร์เดิมยังคงอยู่ ส่วนระบบการกำกับดูแลก็ถูกนำมาใช้

อ่านอะไรต่อไปดี

หากกิจกรรมในเซสชันที่กล่าวถึงข้างต้นฟังดูคุ้นเคยในสภาพแวดล้อมของคุณ ขั้นตอนต่อไปที่รวดเร็วที่สุดคือการเรียนรู้ว่ากลไกควบคุมเบราว์เซอร์ที่ปลอดภัยแบบไม่ใช้เอเจนต์สามารถแก้ไขปัญหานี้ได้อย่างไร

เยี่ยมชม Skyhigh Secure Browser Controls เพื่อดูว่าฟังก์ชันนี้ทำงานอย่างไร วิธีการติดตั้งผ่านแพลตฟอร์ม SSE ที่มีอยู่ของคุณ และขอบเขตการครอบคลุมบนอุปกรณ์ที่ได้รับการจัดการ อุปกรณ์ BYOD และอุปกรณ์ปลายทางของผู้รับจ้างเป็นอย่างไร

คุณยังสามารถ ขอรับการสาธิตแบบส่วนตัว ของ Secure Browser Controls ของ Skyhigh

เกี่ยวกับผู้เขียน

ซารัง วารุดการ์

ซารัง วารุดการ์

ผู้จัดการโครงการด้านเทคนิคอาวุโส

Sarang Warudkar เป็นผู้จัดการฝ่ายการตลาดผลิตภัณฑ์ที่มีประสบการณ์มากกว่า 10 ปีในด้านความปลอดภัยทางไซเบอร์ มีความเชี่ยวชาญในการจัดแนวนวัตกรรมทางเทคนิคให้สอดคล้องกับความต้องการของตลาด เขามีความเชี่ยวชาญอย่างลึกซึ้งในโซลูชันต่างๆ เช่น CASB, DLP และการตรวจจับภัยคุกคามที่ขับเคลื่อนด้วย AI ซึ่งขับเคลื่อนกลยุทธ์การออกสู่ตลาดที่มีประสิทธิผลและการมีส่วนร่วมของลูกค้า Sarang สำเร็จการศึกษาระดับปริญญาโทสาขาบริหารธุรกิจจาก IIM Bangalore และปริญญาทางวิศวกรรมศาสตร์จาก Pune University โดยผสมผสานความรู้เชิงเทคนิคและเชิงกลยุทธ์เข้าด้วยกัน

กลับไปที่บล็อก

บล็อกที่กำลังได้รับความนิยม

มุมมองอุตสาหกรรม

Modernizing Your Symantec Edge Secure Web Gateway With Skyhigh Hybrid SSE Mesh

Sarang Warudkar July 15, 2026

มุมมองอุตสาหกรรม

Skyhigh Security CSA STAR ระดับ 2 ซึ่งช่วยยกระดับมาตรฐานการรับรองความปลอดภัยบนคลาวด์แบบอิสระ

สจวร์ต เบย์ลิส และ ซารัง วารุดการ์ 25 มิถุนายน 2026

มุมมองอุตสาหกรรม

Skyhigh Security การประเมิน IRAP ที่ระดับ PROTECTED สำหรับปี 2026

สารัง วรุธกฤา และ สจวร์ต เบลลิส 21 พฤษภาคม 2026