Original Title: Zero-Day Vulnerabilities And The Clandestine Exploits Market: A Hermeneutic And Critical Approach
Source: doi.org/10.9790/0837-3001071120
Disclaimer: Summary generated by AI based on the provided document. Please refer to the original paper for full scientific accuracy.

ភាពងាយរងគ្រោះ Zero-Day និងទីផ្សារកេងប្រវ័ញ្ចសម្ងាត់៖ វិធីសាស្ត្រនៃការបកស្រាយ និងការត្រិះរិះពិចារណា

ចំណងជើងដើម៖ Zero-Day Vulnerabilities And The Clandestine Exploits Market: A Hermeneutic And Critical Approach

អ្នកនិពន្ធ៖ Tiago Negrão de Andrade (UNESP, Brazil), Maria Cristina Gobbi (UNESP, Brazil), Thiago Carvalho da Silva (UNESP, Brazil), Giovana Holouka (Universidade Nove de Julho, Brasil), Isac Mateus Leopoldino (Universidade Nove de Julho, Brasil)

ឆ្នាំបោះពុម្ព៖ 2025 IOSR Journal Of Humanities And Social Science

វិស័យសិក្សា៖ Cybersecurity

១. សេចក្តីសង្ខេបប្រតិបត្តិ (Executive Summary)

បញ្ហា (The Problem)៖ ឯកសារនេះពិនិត្យលើបញ្ហាទីផ្សារសម្ងាត់សម្រាប់ការជួញដូរភាពងាយរងគ្រោះប្រព័ន្ធកុំព្យូទ័រ (Zero-Day vulnerabilities) ដោយផ្តោតលើបញ្ហាប្រឈមផ្នែកសីលធម៌ សេដ្ឋកិច្ច និងសន្តិសុខសកល។

វិធីសាស្ត្រ (The Methodology)៖ ការសិក្សានេះប្រើប្រាស់វិធីសាស្ត្រវិភាគតាមបែបបកស្រាយអត្ថន័យ រួមជាមួយនឹងការសិក្សាករណីជាក់ស្តែងបែបគុណវិស័យ។

ការវិភាគតាមបែបបកស្រាយអត្ថន័យ និងបរិបទប្រវត្តិសាស្ត្រ (Hermeneutic analysis and historical contextualization)
ការសិក្សាករណីគុណវិស័យលើវប្បធម៌របស់ហាកឃ័រ (Qualitative case studies on hacker culture)
ការប្រមូលទិន្នន័យពីបណ្ណាល័យស្រាវជ្រាវ (Data collection from academic repositories)
ការវិភាគអត្ថបទ និងចំណាប់អារម្មណ៍ដោយស្វ័យប្រវត្តិ (Text Mining and Sentiment Analysis)

លទ្ធផលសំខាន់ៗ (The Verdict)៖

កត្តាហិរញ្ញវត្ថុ និងកង្វះបទប្បញ្ញត្តិ គឺជាកម្លាំងជំរុញចម្បងដែលធ្វើឱ្យទីផ្សារកេងប្រវ័ញ្ចសម្ងាត់ (Clandestine market) មានការរីកចម្រើនយ៉ាងខ្លាំង។
កម្មវិធីផ្តល់រង្វាន់រកចន្លោះប្រហោង (Bug bounty programs) របស់ក្រុមហ៊ុនស្របច្បាប់ មិនអាចប្រកួតប្រជែងជាមួយនឹងតម្លៃដ៏ខ្ពស់ និងភាពអនាមិកដែលផ្តល់ដោយទីផ្សារងងឹតឡើយ។
មានភាពចាំបាច់បន្ទាន់ក្នុងការបង្កើតក្របខ័ណ្ឌអភិបាលកិច្ចសន្តិសុខអ៊ីនធឺណិត (Cybersecurity governance frameworks) ដែលមានកិច្ចសហប្រតិបត្តិការអន្តរជាតិ តម្លាភាព និងគណនេយ្យភាពដើម្បីកាត់បន្ថយហានិភ័យសកល។

២. ការវិភាគលើប្រសិទ្ធភាព និងដែនកំណត់ (Performance & Constraints)

វិធីសាស្ត្រ (Method)	គុណសម្បត្តិ (Pros)	គុណវិបត្តិ (Cons)	លទ្ធផលគន្លឹះ (Key Result)
Clandestine / Underground Market Sale ការលក់ភាពងាយរងគ្រោះនៅលើទីផ្សារងងឹត ឬទីផ្សារសម្ងាត់	ផ្តល់ប្រាក់ចំណេញផ្នែកហិរញ្ញវត្ថុខ្ពស់ខ្លាំង និងផ្តល់នូវភាពអនាមិក (Anonymity) តាមរយៈការប្រើប្រាស់រូបិយប័ណ្ណគ្រីបតូ និងបច្ចេកវិទ្យាអ៊ិនគ្រីបកូដ។	បង្កហានិភ័យសីលធម៌ខ្ពស់ ជំរុញឱ្យមានបទល្មើសសាយប័រ និងអាចបង្កមហន្តរាយដល់សន្តិសុខសកលនៅពេលដែលវាធ្លាក់ទៅក្នុងដៃឧក្រិដ្ឋជន។	បង្កើតប្រព័ន្ធអេកូឡូស៊ីដែលមានតម្លៃខ្ពស់ ដែលលើកទឹកចិត្តហាកឃ័រឱ្យរំលងការរាយការណ៍តាមបែបប្រពៃណី ហើយចន្លោះប្រហោងត្រូវបានប្រើប្រាស់សម្រាប់ការធ្វើចារកម្ម និងការបំផ្លិចបំផ្លាញប្រព័ន្ធ។
Corporate Bug Bounty Programs កម្មវិធីផ្តល់រង្វាន់សម្រាប់ការរកឃើញចន្លោះប្រហោងរបស់ក្រុមហ៊ុន	លើកទឹកចិត្តឱ្យមានការលាតត្រដាងចន្លោះប្រហោងដោយប្រកាន់ខ្ជាប់នូវក្រមសីលធម៌ ស្របច្បាប់ និងជួយកែលម្អសុវត្ថិភាពប្រព័ន្ធមុនពេលមានការវាយប្រហារ។	ផ្តល់ប្រាក់រង្វាន់ទាបជាងឆ្ងាយបើប្រៀបធៀបទៅនឹងទីផ្សារងងឹត និងជួនកាលក្រុមហ៊ុនមានការយឺតយ៉ាវក្នុងការឆ្លើយតប ឬជួសជុលចន្លោះប្រហោង។	ក្រុមហ៊ុនធំៗដូចជា Google, Microsoft, និង Apple បានចំណាយប្រាក់រាប់លានដុល្លារ (រហូតដល់ ២លានដុល្លារក្នុងមួយករណី) ដើម្បីទាក់ទាញហាកឃ័រឱ្យរាយការណ៍ចន្លោះប្រហោងដោយស្របច្បាប់។

ការចំណាយលើធនធាន (Resource Cost)៖ ឯកសារនេះមិនបានបញ្ជាក់ពីការចំណាយលម្អិតសម្រាប់ការធ្វើការស្រាវជ្រាវនេះទេ ប៉ុន្តែបានសង្កត់ធ្ងន់លើទំហំហិរញ្ញវត្ថុដ៏ធំនៅក្នុងទីផ្សារ Zero-Day និងវិធីសាស្ត្រប្រមូលទិន្នន័យ។

Data Sources: ត្រូវការចូលប្រើប្រាស់បណ្ណាល័យស្រាវជ្រាវអន្តរជាតិ (JSTOR, ScienceDirect, IEEE Xplore, SpringerLink) និងឯកសារគោលនយោបាយសន្តិសុខជាង ៣៥០អត្ថបទ។
Software tools: ទាមទារកម្មវិធីសម្រាប់ធ្វើការវិភាគអត្ថបទដោយស្វ័យប្រវត្តិ (Automated tools for Text Mining and Sentiment Analysis) ដើម្បីវាស់ស្ទង់ទិន្នន័យពីទីផ្សារងងឹត។
Expertise: ត្រូវការអ្នកជំនាញផ្នែកសន្តិសុខសាយប័រ ការវិភាគតាមបែបបកស្រាយអត្ថន័យ (Hermeneutic Methodology) និងការយល់ដឹងពីវប្បធម៌ហាកឃ័រ (Hacker culture)។

៣. ការពិនិត្យសម្រាប់បរិបទកម្ពុជា/អាស៊ីអាគ្នេយ៍

ភាពលំអៀងនៃទិន្នន័យ (Data Bias)៖

ការសិក្សានេះពឹងផ្អែកយ៉ាងខ្លាំងលើទិន្នន័យពីប្រទេសលោកខាងលិច ក្រុមហ៊ុនបច្ចេកវិទ្យាយក្ស (Google, Microsoft) និងទីភ្នាក់ងាររបស់សហរដ្ឋអាមេរិក (DoD, NASA)។ វាមិនបានឆ្លុះបញ្ចាំងពីបរិបទ ឬបញ្ហាប្រឈមរបស់ប្រទេសកំពុងអភិវឌ្ឍន៍នោះទេ។ សម្រាប់ប្រទេសកម្ពុជា ការយល់ដឹងពីចំណុចនេះគឺសំខាន់ណាស់ ពីព្រោះកម្ពុជាប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធបច្ចេកវិទ្យាបរទេសទាំងនេះភាគច្រើន ប៉ុន្តែមិនទាន់មានក្របខ័ណ្ឌច្បាប់តឹងរ៉ឹង ឬថវិកាគ្រប់គ្រាន់ដើម្បីចូលរួមប្រកួតប្រជែងនៅក្នុងកម្មវិធីផ្តល់រង្វាន់រកចន្លោះប្រហោងនៅឡើយទេ។

លទ្ធភាពនៃការអនុវត្ត (Applicability)៖

ទោះបីជាកម្ពុជាមិនមែនជាគោលដៅចម្បងនៃទីផ្សារ Zero-Day ក៏ដោយ ក៏ការយល់ដឹងពីការគំរាមកំហែងនេះមានសារៈសំខាន់ខ្លាំងណាស់សម្រាប់ការរៀបចំយុទ្ធសាស្ត្រការពារជាតិ និងស្ថាប័នសំខាន់ៗ។

វិស័យហិរញ្ញវត្ថុ និងធនាគារ (ឧទាហរណ៍៖ ប្រព័ន្ធបាគង និងធនាគារពាណិជ្ជ): ស្ថាប័នហិរញ្ញវត្ថុនៅកម្ពុជាអាចក្លាយជាគោលដៅនៃការវាយប្រហារដោយប្រើយុទ្ធសាស្ត្រ Zero-Day ដើម្បីលួចទិន្នន័យអតិថិជន ឬរំខានប្រតិបត្តិការ ដូច្នេះធនាគារជាតិគួរតែពិចារណាបង្កើតកម្មវិធី Bug Bounty ក្នុងស្រុក។
ហេដ្ឋារចនាសម្ព័ន្ធជាតិសំខាន់ៗ (ឧទាហរណ៍៖ អគ្គិសនីកម្ពុជា EDC និងរដ្ឋាករទឹក): ការវាយប្រហារតាមរយៈ Zero-Day លើប្រព័ន្ធបញ្ជាប្រតិបត្តិការ (SCADA Systems) អាចបង្កមហន្តរាយធ្ងន់ធ្ងរដល់សេវាសាធារណៈ ទាមទារឱ្យមានការធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធសន្តិសុខជាប្រចាំ។
ប្រព័ន្ធរដ្ឋាភិបាលឌីជីថល (e-Government systems): ដើម្បីការពារទិន្នន័យជាតិពីយុទ្ធនាការចារកម្មសាយប័រ (Cyber espionage) រដ្ឋាភិបាលចាំបាច់ត្រូវមានការវាយតម្លៃសន្តិសុខកម្រិតខ្ពស់ និងការធ្វើតេស្តជ្រៀតចូល (Penetration testing) មុនពេលដាក់ឱ្យប្រើប្រាស់កម្មវិធីជាតិ។

កម្ពុជាគួរតែយកគំរូតាមបទពិសោធន៍ទាំងនេះ ដើម្បីបង្កើតក្របខ័ណ្ឌអភិបាលកិច្ចសន្តិសុខសាយប័រជាតិ និងលើកទឹកចិត្តឱ្យមានការស្រាវជ្រាវស្វែងរកចន្លោះប្រហោងប្រកបដោយក្រមសីលធម៌ មុនពេលមានការវាយប្រហារកើតឡើង។

៤. ផែនការសកម្មភាពសម្រាប់និស្សិត (Actionable Roadmap)

ដើម្បីអនុវត្តតាមការសិក្សានេះ និស្សិតគួរអនុវត្តតាមជំហានខាងក្រោម៖

សិក្សាពីមូលដ្ឋានគ្រឹះនៃសន្តិសុខសាយប័រ និងការស្រាវជ្រាវចន្លោះប្រហោង: និស្សិតគួរចាប់ផ្តើមសិក្សាពីបណ្តាញសន្តិសុខ និងរបៀបវាយតម្លៃភាពងាយរងគ្រោះ ដោយអនុវត្តជាក់ស្តែងនៅលើថ្នាក់រៀននិម្មិតដូចជា TryHackMe ឬ HackTheBox ដើម្បីយល់ពីរបៀបដែលហាកឃ័រគិត និងធ្វើការ។
ចូលរួមក្នុងវេទិកា Bug Bounty ស្របច្បាប់: បង្កើតគណនីនៅលើវេទិកាអន្តរជាតិដូចជា HackerOne ឬ Bugcrowd ដើម្បីអនុវត្តការស្វែងរកចន្លោះប្រហោងលើកម្មវិធីពិតប្រាកដ ដោយប្រកាន់ខ្ជាប់នូវក្រមសីលធម៌ (White-hat hacking) ព្រមទាំងមានឱកាសទទួលបានប្រាក់រង្វាន់ដោយស្របច្បាប់។
អនុវត្តបច្ចេកទេសវិភាគទិន្នន័យលើសន្តិសុខសាយប័រ: ប្រើប្រាស់ភាសាកូដ Python រួមជាមួយបណ្ណាល័យដូចជា NLTK ឬ spaCy ដើម្បីអនុវត្តការវិភាគអត្ថបទ (Text Mining & Sentiment Analysis) លើរបាយការណ៍សន្តិសុខ ឬនិន្នាការនៃការវាយប្រហារសាយប័រ ដូចដែលបានប្រើក្នុងការស្រាវជ្រាវនេះ។
ស្វែងយល់ពីច្បាប់ និងក្រមសីលធម៌នៃការប្រើប្រាស់អ៊ីនធឺណិត: សិក្សាពីច្បាប់ស្តីពីឧក្រិដ្ឋកម្មបច្ចេកវិទ្យារបស់កម្ពុជា និងក្របខ័ណ្ឌអន្តរជាតិ ដើម្បីធានាថារាល់សកម្មភាពធ្វើតេស្តសន្តិសុខទាំងអស់ត្រូវបានធ្វើឡើងដោយមានការអនុញ្ញាតត្រឹមត្រូវ និងចៀសវាងការធ្លាក់ចូលក្នុងសកម្មភាពទីផ្សារងងឹត (Dark Web)។
ចូលរួមសហគមន៍សន្តិសុខសាយប័រក្នុងស្រុក: ចែករំលែកចំណេះដឹងដែលទទួលបានជាមួយសហគមន៍ ឬតាមរយៈព្រឹត្តិការណ៍ដូចជា BarCamp Cambodia ឬក្លឹបបច្ចេកវិទ្យានៅសាកលវិទ្យាល័យ ដើម្បីជួយលើកកម្ពស់ការយល់ដឹងពីហានិភ័យនៃ Zero-Day ដល់ស្ថាប័នក្នុងស្រុក។

៥. វាក្យសព្ទបច្ចេកទេស (Technical Glossary)

ពាក្យបច្ចេកទេស	ការពន្យល់ជាខេមរភាសា (Khmer Explanation)	និយមន័យសាមញ្ញ (Simple Definition)
Zero-Day Vulnerabilities	គឺជាចន្លោះប្រហោងផ្នែកសន្តិសុខនៅក្នុងកម្មវិធីកុំព្យូទ័រ ដែលអ្នកបង្កើតកម្មវិធី (Developers) មិនទាន់បានដឹងនៅឡើយ។ ដោយសារតែពួកគេមិនទាន់ដឹង ដូច្នេះមិនទាន់មានកូដជួសជុល (Patch) នោះទេ ដែលធ្វើឱ្យហាកឃ័រអាចឆ្លៀតឱកាសវាយប្រហារបានភ្លាមៗដោយគ្មានការព្រមានទុកជាមុន។	ដូចជាផ្ទះមួយដែលមានទ្វារសម្ងាត់ចំហរចោល ដែលសូម្បីតែម្ចាស់ផ្ទះក៏មិនដឹង ធ្វើឱ្យចោរអាចលួចចូលបានដោយងាយស្រួលដោយមិនបាច់គាស់សោ។
Bug Bounty Programs	ជាកម្មវិធីដែលរៀបចំឡើងដោយក្រុមហ៊ុនបច្ចេកវិទ្យា (ដូចជា Google, Apple, Microsoft) ដើម្បីផ្តល់ប្រាក់រង្វាន់លើកទឹកចិត្តដល់អ្នកស្រាវជ្រាវសន្តិសុខ ឬហាកឃ័រក្រមសីលធម៌ (White-hat hackers) នៅពេលដែលពួកគេរកឃើញ និងរាយការណ៍ពីចន្លោះប្រហោងប្រព័ន្ធ ជំនួសឱ្យការយកវាទៅលក់ឱ្យឧក្រិដ្ឋជន។	ដូចជាការប្រកាសផ្តល់ប្រាក់រង្វាន់របស់ប៉ូលិសដល់ប្រជាជនណាដែលផ្តល់ព័ត៌មានពីកន្លែងលាក់ខ្លួនរបស់ចោរ ដើម្បីការពារសន្តិសុខសង្គម។
Hermeneutic analysis	ជាវិធីសាស្ត្រស្រាវជ្រាវបែបគុណវិស័យដែលផ្តោតលើការបកស្រាយអត្ថន័យស៊ីជម្រៅនៃអត្ថបទ បរិបទប្រវត្តិសាស្ត្រ និងទិដ្ឋភាពសង្គម ដើម្បីយល់ពីមូលហេតុ និងសីលធម៌នៅពីក្រោយសកម្មភាពរបស់មនុស្ស។ នៅក្នុងឯកសារនេះ វាត្រូវបានប្រើដើម្បីយល់ពីចិត្តសាស្ត្រ និងការសម្រេចចិត្តរបស់ហាកឃ័រ។	ដូចជាអ្នកស៊ើបអង្កេតម្នាក់ដែលមិនត្រឹមតែមើលភស្តុតាងជាក់ស្តែងប៉ុណ្ណោះទេ តែព្យាយាមយល់ពីចិត្តសាស្ត្រ និងកត្តាជំរុញដែលធ្វើឱ្យជនសង្ស័យប្រព្រឹត្តបទល្មើស។
Clandestine Market	សំដៅលើទីផ្សារងងឹត ឬវេទិកាសម្ងាត់នៅលើអ៊ីនធឺណិត (ជាញឹកញាប់នៅលើ Dark Web) ដែលហាកឃ័រ ឈ្មួញកណ្តាល និងអ្នកទិញ ធ្វើការជួញដូរទិញលក់ចន្លោះប្រហោងកុំព្យូទ័រដោយលាក់កំបាំងអត្តសញ្ញាណ ដើម្បីគេចពីការតាមដានរបស់រដ្ឋាភិបាល។	ដូចជាផ្សារងងឹតខុសច្បាប់លួចលាក់ដែលគេណាត់ជួបគ្នាទិញលក់អាវុធខុសច្បាប់ ដោយមិនឱ្យអាជ្ញាធរដឹង។
Cryptographic technologies	គឺជាបច្ចេកវិទ្យានៃការបំប្លែងទិន្នន័យ ឬព័ត៌មានទៅជាកូដសម្ងាត់ដែលមិនអាចអានយល់បាន ប្រសិនបើគ្មានកូនសោសម្រាប់បំប្លែងត្រឡប់មកវិញ។ នៅក្នុងទីផ្សារ Zero-Day បច្ចេកវិទ្យានេះ (រួមទាំងការបង់ប្រាក់តាមរូបិយប័ណ្ណគ្រីបតូ) ត្រូវបានប្រើប្រាស់ដើម្បីលាក់បាំងអត្តសញ្ញាណអ្នកទិញ និងអ្នកលក់កុំឱ្យអាជ្ញាធរតាមដានដានជើងឌីជីថលបាន។	ដូចជាការសរសេរសំបុត្រសម្ងាត់ដោយប្រើភាសាដែលយល់បានតែមនុស្សពីរនាក់ ធ្វើឱ្យអ្នកប្រៃសណីយ៍ឬអ្នកផ្សេងបើកមើលក៏មិនដឹងថាគេសរសេរពីអ្វី។
Rational Choice Theory	ជាទ្រឹស្តីសេដ្ឋកិច្ចដែលពន្យល់ថាមនុស្សតែងតែធ្វើការសម្រេចចិត្តដោយផ្អែកលើការគិតគូរហេតុផល ដើម្បីទទួលបានផលចំណេញផ្ទាល់ខ្លួនច្រើនបំផុត និងប្រថុយហានិភ័យតិចបំផុត។ ឯកសារនេះប្រើទ្រឹស្តីនេះដើម្បីពន្យល់ថាហេតុអ្វីហាកឃ័រសុខចិត្តលក់ចន្លោះប្រហោងនៅទីផ្សារងងឹតដែលបានលុយរាប់លាន ជាងរាយការណ៍ឱ្យក្រុមហ៊ុនស្របច្បាប់ដែលបានលុយតិចតួច។	ដូចជាអ្នកលក់ទំនិញម្នាក់ដែលសម្រេចចិត្តលក់ទំនិញទៅឱ្យអ្នកដែលហ៊ានឱ្យថ្លៃខ្ពស់បំផុត ដោយមិនខ្វល់ថាអ្នកទិញនោះយកទៅធ្វើអំពើល្អឬអាក្រក់ឡើយ។
Merton's Anomie Theory	ទ្រឹស្តីសង្គមវិទ្យាដែលលើកឡើងថា នៅពេលដែលសង្គមដាក់សម្ពាធឱ្យមនុស្សត្រូវតែទទួលបានជោគជ័យផ្នែកហិរញ្ញវត្ថុ ប៉ុន្តែមិនផ្តល់ឱកាសស្របច្បាប់គ្រប់គ្រាន់ មនុស្សនឹងងាកទៅរកមធ្យោបាយខុសច្បាប់ ឬមិនតាមទម្លាប់ធម្មតា។ នេះពន្យល់ពីការដែលហាកឃ័រងាកទៅរកផ្លូវខុសច្បាប់ព្រោះខកចិត្តនឹងការខ្វះការទទួលស្គាល់ និងដែនកំណត់ហិរញ្ញវត្ថុនៃកម្មវិធីស្របច្បាប់។	ដូចជាកីឡាករម្នាក់ដែលចង់ឈ្នះមេដាយមាសខ្លាំងពេក ប៉ុន្តែដឹងថាខ្លួនហ្វឹកហាត់មិនដល់ ក៏សម្រេចចិត្តប្រើប្រាស់ថ្នាំប៉ូវកម្លាំងខុសច្បាប់ដើម្បីយកជ័យជម្នះ។

៦. ប្រធានបទពាក់ព័ន្ធ (Further Reading)

អត្ថបទដែលបានបោះពុម្ពនៅលើ KhmerResearch ដែលទាក់ទងនឹងប្រធានបទនេះ៖

ប្រធានបទ និងសំណួរស្រាវជ្រាវដែលទាក់ទងនឹងឯកសារនេះ ដែលអ្នកអាចស្វែងរកបន្ថែម៖