Original Title: Zero-day Vulnerability
Disclaimer: Summary generated by AI based on the provided document. Please refer to the original paper for full scientific accuracy.

ភាពងាយរងគ្រោះប្រភេទ Zero-day

ចំណងជើងដើម៖ Zero-day Vulnerability

អ្នកនិពន្ធ៖ Bhagya Bhadran (Dept. of Computing and Informatics, Bournemouth University), Niki Kapadia (Dept. of Computing and Informatics, Bournemouth University)

ឆ្នាំបោះពុម្ព៖ IEEE

វិស័យសិក្សា៖ Cybersecurity

១. សេចក្តីសង្ខេបប្រតិបត្តិ (Executive Summary)

បញ្ហា (The Problem)៖ ឯកសារនេះដោះស្រាយបញ្ហាការគំរាមកំហែងដែលកំពុងកើនឡើងនៃភាពងាយរងគ្រោះប្រភេទ Zero-day ដែលមិនទាន់ត្រូវបានស្គាល់ដោយអ្នកបង្កើតកម្មវិធី និងត្រូវបានគេវាយប្រហារមុនពេលមានការជួសជុល ដែលធ្វើឱ្យពួកវាពិបាកក្នុងការរកឃើញដោយប្រើវិធីសាស្ត្រប្រពៃណី។

វិធីសាស្ត្រ (The Methodology)៖ ការសិក្សានេះស្នើឡើងនូវយន្តការការពារដ៏ទូលំទូលាយមួយដោយប្រើប្រាស់បច្ចេកទេសស្រាវជ្រាវរកការវាយប្រហារបែបកូនកាត់ ដែលរួមបញ្ចូលការវិភាគទាំងបែបស្ងៀមស្ងាត់ និងសកម្ម រួមជាមួយនឹងវិធានការការពារជាមុន។

ការវិភាគបែបស្ងៀមស្ងាត់ (Static Analysis) ដើម្បីទាញយកលក្ខណៈសម្បត្តិ និងហត្ថលេខានៃកូដ (code signatures) ដោយមិនបាច់ដំណើរការកម្មវិធី។
ការវិភាគបែបសកម្ម (Dynamic Analysis) និងការដាក់ឱ្យដំណើរការក្នុងបរិស្ថានបិទជិត (Sandboxing) ដើម្បីតាមដានឥរិយាបថរបស់មេរោគក្នុងពេលជាក់ស្តែង។
ការប្រើប្រាស់ជញ្ជាំងភ្លើងកម្មវិធីបណ្តាញ (Web Application Firewall - WAF) និងកម្មវិធីកម្ចាត់មេរោគជំនាន់ថ្មី (Next-Gen Antivirus - NGAV)។
យុទ្ធសាស្ត្រគ្រប់គ្រងការជួសជុលកម្មវិធី (Patch Management Software) ដើម្បីកាត់បន្ថយរយៈពេលនៃភាពងាយរងគ្រោះ។

លទ្ធផលសំខាន់ៗ (The Verdict)៖

បច្ចេកទេសវិភាគបែបកូនកាត់ (Hybrid analysis) បង្កើនភាពត្រឹមត្រូវខ្ពស់ក្នុងការស្វែងរកមេរោគដោយរួមបញ្ចូលអត្ថប្រយោជន៍នៃការវិភាគទាំងសកម្ម និងស្ងៀមស្ងាត់។
ការអនុវត្តជញ្ជាំងភ្លើងកម្មវិធីបណ្តាញ (WAF) នៅផ្នែកខាងចុងនៃបណ្តាញ (network edge) ដើរតួនាទីយ៉ាងសំខាន់ក្នុងការត្រួតពិនិត្យ និងទប់ស្កាត់ការវាយប្រហារ Zero-day។
ការរួមបញ្ចូលគ្នានូវយុទ្ធសាស្ត្រការពារចម្រុះ រួមទាំង NGAV និងការគ្រប់គ្រងការជួសជុល បង្កើតបានជាប្រព័ន្ធការពារដ៏រឹងមាំ និងមានភាពបត់បែនដែលអាចទប់ទល់នឹងការវិវឌ្ឍនៃការគំរាមកំហែងតាមប្រព័ន្ធអ៊ីនធឺណិត។

២. ការវិភាគលើប្រសិទ្ធភាព និងដែនកំណត់ (Performance & Constraints)

វិធីសាស្ត្រ (Method)	គុណសម្បត្តិ (Pros)	គុណវិបត្តិ (Cons)	លទ្ធផលគន្លឹះ (Key Result)
Static Signature-Based Detection ការរកឃើញផ្អែកលើហត្ថលេខាស្ងៀមស្ងាត់	មានភាពរហ័ស និងមានប្រសិទ្ធភាពខ្ពស់ក្នុងការទប់ស្កាត់ការគំរាមកំហែង និងមេរោគដែលត្រូវបានគេស្គាល់រួចហើយ។	មិនអាចរកឃើញមេរោគប្រភេទ Zero-day ឬមេរោគដែលមិនទាន់មានទិន្នន័យហត្ថលេខាក្នុងមូលដ្ឋានទិន្នន័យ (Database) នោះទេ។	ដំណើរការជាមូលដ្ឋានដ៏ល្អសម្រាប់ការកំណត់អត្តសញ្ញាណរហ័ស ប៉ុន្តែខ្វះសមត្ថភាពទប់ទល់នឹងការគំរាមកំហែងថ្មីៗ។
Dynamic Heuristic Detection & Sandboxing ការរកឃើញបែបសកម្មដោយផ្អែកលើអាកប្បកិរិយា និងបរិស្ថានបិទជិត	អាចស្វែងរកការគំរាមកំហែងថ្មីៗ និងមេរោគដែលលាក់កំបាំង ដោយសង្កេតមើលអាកប្បកិរិយារបស់វានៅក្នុងបរិស្ថានមានសុវត្ថិភាព។	ទាមទារពេលវេលាដំណើរការខ្ពស់ (Latency) និងអាចចាញ់បោកបច្ចេកទេសគេចវេះ (Evasion techniques) របស់មេរោគមួយចំនួន។	ផ្តល់ការយល់ដឹងស៊ីជម្រៅពីសកម្មភាពមេរោគក្នុងពេលជាក់ស្តែង ដែលមានសារៈសំខាន់ក្នុងការបង្កើតដំណោះស្រាយទប់ស្កាត់។
Hybrid Analysis Detection Techniques បច្ចេកទេសវិភាគរកការវាយប្រហារបែបកូនកាត់	បង្កើនភាពត្រឹមត្រូវខ្ពស់បំផុតដោយរួមបញ្ចូលគ្នានូវភាពរហ័សនៃការវិភាគស្ងៀមស្ងាត់ និងការយល់ដឹងស៊ីជម្រៅនៃការវិភាគសកម្ម។	ត្រូវការហេដ្ឋារចនាសម្ព័ន្ធស្មុគស្មាញ និងធនធានកុំព្យូទ័រខ្ពស់ដើម្បីដំណើរការបច្ចេកទេសទាំងពីរក្នុងពេលតែមួយ។	បង្កើតបានជាប្រព័ន្ធការពារដ៏បត់បែន និងរឹងមាំ ដែលអាចបែងចែកបានយ៉ាងច្បាស់រវាងកម្មវិធីធម្មតា និងមេរោគគ្រោះថ្នាក់។
Next-Gen Antivirus Solutions (NGAV) & Web Application Firewall (WAF) កម្មវិធីកម្ចាត់មេរោគជំនាន់ថ្មី និងជញ្ជាំងភ្លើងកម្មវិធីបណ្តាញ	ទប់ស្កាត់ការវាយប្រហារដោយផ្ទាល់នៅកម្រិតកម្មវិធី (Application layer) និងតាមដានសកម្មភាពដោយប្រើបច្ចេកវិទ្យា AI ។	ទាមទារការធ្វើបច្ចុប្បន្នភាពជាប្រចាំ ការកំណត់រចនាសម្ព័ន្ធច្បាស់លាស់ និងការរួមបញ្ចូលជាមួយប្រព័ន្ធធំៗផ្សេងទៀត។	ការពារប្រកបដោយប្រសិទ្ធភាពនូវការវាយប្រហារកំពូលទាំង ១០ របស់ OWASP និងទប់ស្កាត់ Zero-day attacks មុនពេលពួកវាធ្វើសកម្មភាព។

ការចំណាយលើធនធាន (Resource Cost)៖ ទោះបីជាឯកសារមិនបានបញ្ជាក់ពីតម្លៃជាតួលេខច្បាស់លាស់ក៏ដោយ ប៉ុន្តែវាបានសង្កត់ធ្ងន់យ៉ាងខ្លាំងទៅលើតម្រូវការហេដ្ឋារចនាសម្ព័ន្ធបច្ចេកវិទ្យា និងធនធានមនុស្សដែលមានជំនាញច្បាស់លាស់។

Hardware: ត្រូវការម៉ាស៊ីនមេ (Servers) ឧបករណ៍បណ្តាញ (Network gateways) និង CPU Emulators ដែលមានកម្លាំងគ្រប់គ្រាន់សម្រាប់ដំណើរការ Sandboxing ដោយមិនប៉ះពាល់ដល់ល្បឿនប្រព័ន្ធកណ្តាល។
Software: តម្រូវឱ្យមានប្រព័ន្ធការពារកម្រិតខ្ពស់ដូចជា WAF (On-premise ឬ Cloud-based), កម្មវិធីគ្រប់គ្រងព្រឹត្តិការណ៍សន្តិសុខ (SIEM), និងកម្មវិធីគ្រប់គ្រងការជួសជុលដោយស្វ័យប្រវត្តិ (Automated Patch Management)។
Expertise: ចាំបាច់ត្រូវមានអ្នកជំនាញសន្តិសុខអុីនធឺណិត អ្នកអភិវឌ្ឍន៍កម្មវិធី និងក្រុម IT ដែលមានសមត្ថភាពក្នុងការវិភាគកូដ ធ្វើតេស្តវាយលុក (Penetration testing) និងគ្រប់គ្រងហានិភ័យ។

៣. ការពិនិត្យសម្រាប់បរិបទកម្ពុជា/អាស៊ីអាគ្នេយ៍

ភាពលំអៀងនៃទិន្នន័យ (Data Bias)៖

ការសិក្សានេះពឹងផ្អែកជាចម្បងលើការត្រួតពិនិត្យឯកសារស្រាវជ្រាវ (Literature Review) និងទ្រឹស្តីទូទៅនៃសន្តិសុខអុីនធឺណិត ដោយមិនមានប្រើប្រាស់សំណុំទិន្នន័យ (Dataset) ឬភូមិសាស្ត្រជាក់លាក់ណាមួយឡើយ។ សម្រាប់ប្រទេសកម្ពុជា នេះមានន័យថាការអនុវត្តជាក់ស្តែងចាំបាច់ត្រូវមានការធ្វើតេស្តបន្សាំទៅនឹងហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញក្នុងស្រុក និងកម្រិតចំណេះដឹងរបស់អ្នកប្រើប្រាស់។

លទ្ធភាពនៃការអនុវត្ត (Applicability)៖

វិធីសាស្ត្រវិភាគបែបកូនកាត់ និងការប្រើប្រាស់ WAF/NGAV ដែលស្នើឡើងក្នុងឯកសារនេះ គឺពិតជាមានភាពចាំបាច់ និងអាចយកមកអនុវត្តបានយ៉ាងមានប្រសិទ្ធភាពនៅក្នុងបរិបទនៃការរីកចម្រើនផ្នែកឌីជីថលរបស់ប្រទេសកម្ពុជា។

វិស័យហិរញ្ញវត្ថុ និងធនាគារ (Financial & Banking Sector): ធនាគារពាណិជ្ជក្នុងស្រុក និងប្រព័ន្ធទូទាត់ប្រាក់ដូចជាបាគង (Bakong) អាចប្រើប្រាស់ WAF និង NGAV ដើម្បីការពារកម្មវិធីទូរស័ព្ទរបស់ខ្លួនពីការវាយប្រហារ Zero-day ដែលប៉ុនប៉ងលួចទិន្នន័យអតិថិជន និងប្រាក់។
ក្រសួង និងស្ថាប័នរដ្ឋ (Government Ministries - e-Government): ក្រសួងស្ថាប័នរដ្ឋអាចអនុវត្តយុទ្ធសាស្ត្រគ្រប់គ្រងការជួសជុល (Patch Management) និងការធ្វើតេស្តវាយលុក (Penetration testing) ជាប្រចាំ ដើម្បីការពារគេហទំព័រសេវាសាធារណៈពីការវាយប្រហារបំបែកប្រព័ន្ធ។
ក្រុមហ៊ុនទូរគមនាគមន៍ (Telecommunication Companies): ប្រព័ន្ធកូនកាត់ (Hybrid analysis) និងការតាមដានចរាចរណ៍ទិន្នន័យ (Event stream monitoring) អាចជួយក្រុមហ៊ុនទូរស័ព្ទចល័តនៅកម្ពុជារកឃើញ និងទប់ស្កាត់ការគំរាមកំហែងទ្រង់ទ្រាយធំមុនពេលវាឆ្លងចូលដល់អ្នកប្រើប្រាស់ចុងក្រោយ។

សរុបមក ការកសាងប្រព័ន្ធការពារពហុស្រទាប់តាមការណែនាំនេះ នឹងជួយកាត់បន្ថយហានិភ័យនៃការរអាក់រអួលសេវាកម្មកម្រិតជាតិ និងការពារកេរ្តិ៍ឈ្មោះស្ថាប័ននានានៅកម្ពុជាបានយ៉ាងរឹងមាំ។

៤. ផែនការសកម្មភាពសម្រាប់និស្សិត (Actionable Roadmap)

ដើម្បីអនុវត្តតាមការសិក្សានេះ និស្សិតគួរអនុវត្តតាមជំហានខាងក្រោម៖

ជំហានទី ១៖ សិក្សាមូលដ្ឋានគ្រឹះនៃការវិភាគមេរោគ (Understand Malware Analysis Fundamentals): ចាប់ផ្តើមដោយការរៀនបែងចែករវាង Static និង Dynamic Analysis ព្រមទាំងទាញយកឯកសារកូដសង្ស័យមកសាកល្បងត្រួតពិនិត្យដោយប្រើប្រាស់ VirusTotal ឬសូហ្វវែរវិភាគកូដដូចជា Ghidra។
ជំហានទី ២៖ រៀបចំបរិស្ថានសាកល្បងសុវត្ថិភាព (Set up a Sandbox Environment): ដំឡើងប្រព័ន្ធសាកល្បងដាច់ដោយឡែកមួយនៅលើកុំព្យូទ័ររបស់អ្នកដោយប្រើ Cuckoo Sandbox ឬ VirtualBox ដើម្បីអនុវត្តការបើកមើលអាកប្បកិរិយារបស់មេរោគដោយមិនមានហានិភ័យដល់ប្រព័ន្ធប្រតិបត្តិការចម្បង។
ជំហានទី ៣៖ អនុវត្តការកំណត់រចនាសម្ព័ន្ធ WAF (Implement Web Application Firewall): សាកល្បងការពារគេហទំព័រមូលដ្ឋាន (Localhost) របស់អ្នកពីការវាយប្រហារតាមរយៈការដំឡើង ModSecurity ឬសិក្សាពីការកំណត់ច្បាប់ (Rule configuration) តាមរយៈសេវាកម្ម Cloud ដូចជា Cloudflare WAF។
ជំហានទី ៤៖ រៀបចំប្រព័ន្ធគ្រប់គ្រងកំណត់ហេតុ និងព្រឹត្តិការណ៍ (Set up SIEM System): ប្រើប្រាស់ឧបករណ៍ Open-source ដូចជា Wazuh ឬ Splunk Free Version ដើម្បីប្រមូល និងវិភាគទិន្នន័យចរាចរណ៍បណ្តាញ (Log monitoring) ក្នុងការកំណត់រករាល់សកម្មភាពដែលមិនប្រក្រតី។
ជំហានទី ៥៖ ស្វែងយល់ពីបច្ចេកវិទ្យា Machine Learning សម្រាប់សន្តិសុខអុីនធឺណិត (Explore ML for Cybersecurity): អនុវត្តការសរសេរកូដដោយប្រើប្រាស់ Python (Scikit-learn) ដើម្បីបង្កើតម៉ូដែលចំណាត់ថ្នាក់សាមញ្ញមួយ ដែលអាចរៀនបែងចែករវាងកម្មវិធីដែលមានសុវត្ថិភាព និងកម្មវិធីដែលមានហានិភ័យដោយផ្អែកលើលក្ខណៈទិន្នន័យ (Features extracted)។

៥. វាក្យសព្ទបច្ចេកទេស (Technical Glossary)

ពាក្យបច្ចេកទេស	ការពន្យល់ជាខេមរភាសា (Khmer Explanation)	និយមន័យសាមញ្ញ (Simple Definition)
Zero-day Vulnerability	ចន្លោះប្រហោង ឬកំហុសឆ្គងនៅក្នុងកូដកម្មវិធីដែលអ្នកបង្កើតកម្មវិធីមិនទាន់បានដឹង ឬមិនទាន់បានបញ្ចេញកញ្ចប់ជួសជុល (Patch) នៅឡើយ ដែលអនុញ្ញាតឱ្យពួក Hacker អាចវាយប្រហារបានភ្លាមៗដោយគ្មានការរារាំង។	ដូចជាទ្វារផ្ទះមួយដែលមានសោខូចពីកំណើត ហើយចោរដឹងពីរបៀបបើកចូលមុនពេលម្ចាស់ផ្ទះដឹងខ្លួននិងហៅជាងមកជួសជុល។
Static Signature-Based Detection	វិធីសាស្ត្រត្រួតពិនិត្យឯកសារ ឬកូដដោយមិនចាំបាច់ដំណើរការវា ដើម្បីស្វែងរកទម្រង់កូដ (Signatures) របស់មេរោគដែលធ្លាប់បានកត់ត្រាទុកក្នុងប្រព័ន្ធទិន្នន័យ (Database) ពីមុនមក។	ដូចជាប៉ូលីសឆែកមើលស្នាមម្រាមដៃរបស់ជនសង្ស័យ ធៀបនឹងបញ្ជីមុខសញ្ញាចោរចាស់ៗនៅក្នុងបញ្ជីខ្មៅ។
Dynamic Heuristic Detection	បច្ចេកទេសស្វែងរកមេរោគដោយការសង្កេតមើលសកម្មភាពជាក់ស្តែង និងឥរិយាបថនៃកម្មវិធីពេលវាកំពុងដំណើរការ ជំនួសឱ្យការគ្រាន់តែផ្ទៀងផ្ទាត់ទម្រង់កូដ ដើម្បីចាប់យកមេរោគប្រភេទថ្មីដែលចេះបន្លំខ្លួន។	ដូចជាការតាមដានសកម្មភាពមនុស្សប្លែកមុខនៅក្នុងផ្សារ បើឃើញគេលួចរបស់ទើបចាប់ ជំនួសឱ្យការចាប់តែមនុស្សដែលមានមុខក្នុងបញ្ជីខ្មៅ។
Sandboxing	ការបង្កើតបរិស្ថានកុំព្យូទ័រសិប្បនិម្មិត និងបិទជិត ដើម្បីដាក់ដំណើរការកម្មវិធីដែលគួរឱ្យសង្ស័យ ក្នុងគោលបំណងតាមដានអាកប្បកិរិយារបស់វាដោយមិនឱ្យវាឆ្លង ឬបំផ្លាញប្រព័ន្ធកុំព្យូទ័រពិតប្រាកដ។	ដូចជាការចាប់សត្វពស់ពិសដាក់ក្នុងទូកញ្ចក់បិទជិត ដើម្បីអង្កេតមើលសកម្មភាពរបស់វាដោយសុវត្ថិភាព ដោយមិនបារម្ភថាវាអាចចេញមកខាំយើងបាន។
Hybrid analysis	ការច្របាច់បញ្ចូលគ្នានូវបច្ចេកទេសវិភាគមេរោគទាំងបែបស្ងៀមស្ងាត់ (Static) និងបែបសកម្ម (Dynamic) ក្នុងពេលតែមួយ ដើម្បីទទួលបានភាពត្រឹមត្រូវខ្ពស់បំផុតក្នុងការស្វែងរកទាំងមេរោគដែលធ្លាប់ស្គាល់ និងមេរោគថ្មីៗ។	ដូចជាគ្រូពេទ្យពិនិត្យទាំងប្រវត្តិជំងឺចាស់ផង និងឆ្លុះអេកូមើលសរីរាង្គខាងក្នុងផ្ទាល់ផង ដើម្បីធ្វើរោគវិនិច្ឆ័យឱ្យបានច្បាស់លាស់បំផុត។
Web application firewall (WAF)	ប្រព័ន្ធការពារដែលដាក់ពាំងនៅចន្លោះកម្មវិធីបណ្តាញ (Web Application) និងអុីនធឺណិត ដើម្បីត្រង និងទប់ស្កាត់ចរាចរណ៍ទិន្នន័យដែលគួរឱ្យសង្ស័យ ឬប៉ុនប៉ងវាយប្រហារតាមរយៈចន្លោះប្រហោងនៃគេហទំព័រ។	ដូចជាសន្តិសុខយាមនៅច្រកចូលអគារ ដែលឆែកមើលកាបូបមនុស្សគ្រប់គ្នា ដើម្បីការពារកុំឱ្យមានអ្នកយកអាវុធចូលមកក្នុងអគារបាន។
Penetration testing	ការធ្វើតេស្តសាកល្បងវាយលុកប្រព័ន្ធកុំព្យូទ័រខ្លួនឯងដោយអ្នកជំនាញសន្តិសុខ (White-hat hackers) ដើម្បីស្វែងរកចំណុចខ្សោយ និងចន្លោះប្រហោងមុនពេលពួក Hacker ទុច្ចរិតពិតប្រាកដមកកេងចំណេញពីវា។	ដូចជាម្ចាស់ធនាគារជួលអ្នកជំនាញខាងលួច ឱ្យមកសាកល្បងលួចទម្លុះទូដែក ដើម្បីរកមើលកន្លែងណាដែលងាយរងគ្រោះរួចកែសម្រួលវាឱ្យកាន់តែរឹងមាំ។
Next-Gen Antivirus Solutions (NGAV)	កម្មវិធីកម្ចាត់មេរោគជំនាន់ថ្មីដែលប្រើប្រាស់បញ្ញាសិប្បនិម្មិត (AI) និងការវិភាគឥរិយាបថស៊ីជម្រៅ ដើម្បីទប់ស្កាត់ការគំរាមកំហែងស្មុគស្មាញ និងមេរោគប្រភេទ Zero-day ដែលកម្មវិធី Antivirus ធម្មតាមើលមិនឃើញ។	ដូចជារ៉ាដាទំនើបដែលអាចស្គាល់ និងបាញ់ទម្លាក់យន្តហោះសត្រូវដោយស្វ័យប្រវត្តិដោយផ្អែកលើការហោះហើរខុសប្រក្រតី ទោះបីជាវាមិនដែលស្គាល់ម៉ូដែលយន្តហោះនោះពីមុនមកក៏ដោយ។

៦. ប្រធានបទពាក់ព័ន្ធ (Further Reading)

អត្ថបទដែលបានបោះពុម្ពនៅលើ KhmerResearch ដែលទាក់ទងនឹងប្រធានបទនេះ៖

ប្រធានបទ និងសំណួរស្រាវជ្រាវដែលទាក់ទងនឹងឯកសារនេះ ដែលអ្នកអាចស្វែងរកបន្ថែម៖