TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ปัจจุบันนี้การโจมตีเว็บไซต์นั้นกลายเป็นที่แพร่หลายเป็นอย่างมาก ไม่ว่าจะเป็นการโจมตีเพื่อใช้เป็นฐานแพร่กระจาย Malware, โจมตีเพื่อเรียกค่าไถ่ด้วย Ransomware หรือโจมตีเพื่อนำไปใช้ทำ DDoS ใส่ระบบอื่นๆ ต่อก็ตาม แนวทางเบื้องต้นที่ทุกๆ ธุรกิจควรทำเพื่อปกป้องเว็บไซต์ให้ปลอดภัยอยู่เสมอจึงมีดังนี้
1. รู้จักให้ถ่องแท้ว่าในเว็บไซต์ของตัวเองมีอะไรประกอบอยู่บ้าง และทำงานอย่างไร
เป็นข้อที่หลายๆ เว็บไซต์ตกม้าตายตั้งแต่เริ่มแล้ว เพราะไม่รู้ด้วยซ้ำว่าภายในระบบเว็บไซต์หรือ Server ที่ติดตั้งระบบเว็บไซต์เหล่านั้นมีอะไรอยู่ภายในบ้าง ขั้นแรกของการรักษาความปลอดภัยที่ดีนั้นก็คือการรู้ก่อนว่าเรามีการใช้งานเทคโนโลยีอะไรที่ส่วนไหนบ้าง และจะได้ทำการรักษาความปลอดภัยหรือป้องกันการโจมตีรูปแบบต่างๆ ได้ดี ไม่ว่าจะเป็นระบบ Web Server, Database Server, Web Framework, Content Management System (CMS), Proxy Server, DNS Server, SSH, FTP, SSL, Operating System และอื่นๆ เพราะในการโจมตีเว็บไซต์นั้น ช่องโหว่ใดๆ ในองค์ประกอบย่อยๆ เหล่านี้ก็อาจนำมาซึ่งหายนะต่อเว็บไซต์และธุรกิจได้ทั้งสิ้น
หลังจากที่เรารู้แล้วว่าเว็บไซต์ของเรานั้นมีอะไรอยู่ข้างในบ้าง ขั้นถัดๆ ไปก็คือการวางแผนในการเสริมการรักษาความปลอดภัยให้แก่ระบบแต่ละส่วนนั่นเอง
หลายคนเข้าใจว่าการใช้ Cloud ก็ทำให้เว็บไซต์ปลอดภัยแล้ว ในความเป็นจริงนั้นความเชื่อนี้ก็ยังถือว่าผิดอยู่มากทีเดียว ถึงแม้จะไปใช้ Cloud แล้ว ก็ยังมีงานอีกจำนวนมากที่ผู้ดูแลระบบและนักพัฒนาเว็บไซต์ต้องระมัดระวังเพื่อให้ระบบเว็บไซต์ยังคงมีความปลอดภัยอยู่ดี
2. หมั่นอัปเดต Patch ของระบบทั้งหมดที่เกี่ยวข้อง
หนึ่งในช่องทางที่ถูกใช้โจมตีมากที่สุดในวันนี้ก็คือการอาศัยช่องโหว่ของระบบเว็บไซต์ที่มีอยู่ในการโจมตี ซึ่งหลายครั้งผู้โจมตีก็มีการค้นพบช่องโหว่เหล่านี้ก่อนที่ผู้พัฒนาจะมีการอุดช่องโหว่ หรือหลายครั้งหลังจากที่ผู้พัฒนาอุดช่องโหว่ไปแล้ว ผู้โจมตีก็อาศัยช่องโหว่นั้นในการโจมตีเว็บไซต์ที่ยังไม่ยอมอัปเดตระบบ ทำให้มีเว็บไซต์จำนวนมากบนโลกตกเป็นเหยื่อของการโจมตีในลักษณะนี้
ช่องโหว่เหล่านี้มีขึ้นได้ในทุกระดับและทุกส่วนประกอบย่อยของเว็บไซต์ทั้งสิ้น ดังนั้นเหล่าผู้ดูแลระบบเว็บไซต์และนักพัฒนาเว็บไซต์นั้นต่างก็ควรหมั่นติดตามข่าวสารเกี่ยวกับช่องโหว่ต่างๆ ของระบบที่ตนเองใช้งาน และจัดวางกระบวนการในการอุดช่องโหว่เหล่านั้นอย่างสม่ำเสมอ
3. ตั้งรหัสผ่านทั้งหมดให้ปลอดภัย อย่าใช้ Default เด็ดขาด
การกำหนดรหัสผ่านของส่วนประกอบต่างๆ ในเว็บไซต์ให้ปลอดภัยและยากต่อการคาดเดาถือเป็นสิ่งง่ายๆ ที่จำเป็นแต่มักถูกละเลยอยู่เสมอ บางรายถึงขั้นไม่ตั้งรหัสผ่านเลยก็มี ซึ่งถือเป็นการประมาทอย่างร้ายแรง
ไม่ว่าจะเป็นระบบทดสอบ, โค้ดที่อยู่ระหว่างการพัฒนา, ระบบสำรอง หรือแม้แต่ระบบ Production นั้นก็ควรตั้งรหัสผ่านให้ปลอดภัยทั้งหมดอยู่เสมอให้ติดเป็นนิสัย จะได้ไม่ถูกโจมตีจากการคาดเดารหัสผ่านหรือใช้รหัสผ่านพื้นฐานในอนาคต
4. ตั้งค่าการทำงานของระบบต่างๆ ให้ปลอดภัย
การกำหนดค่าการทำงานของเว็บไซต์ให้มีความปลอดภัยนั้นก็ถือเป็นอีกสิ่งสำคัญเช่นกัน ไม่ว่าจะเป็นการกำหนดค่าที่ระดับของ Web Server หรือ Proxy Server ให้ทนทานและยากต่อการเข้าถึงข้อมูลต่างๆ ที่ไม่ได้รับอนุญาต, การทำความเข้าใจและกำหนดการตั้งค่าเชิงลึกให้ระบบทำงานอย่างปลอดภัย, การจำกัดรูปแบบที่ใช้ได้ในการยืนยันตัวตนเข้าถึงระบบจากระยะไกล และอื่นๆ
การนำเครื่องมือต่างๆ มาใช้ตรวจจับพฤติกรรมต้องสงสัยและยับยั้งการโจมตีนั้นก็ถือเป็นทางเลือกที่ดีเช่นกัน แต่ก็ต้องหมั่นติดตามด้วยว่าระบบเหล่านั้นมีช่องโหว่หรืออัปเดตอะไรที่ต้องคอยจัดการหรือไม่ไปด้วยในเวลาเดียวกัน
5. กำหนดสิทธิ์ในการเข้าถึงและใช้งานแต่ละ Folder ให้ดีๆ
เป็นอีกประเด็นที่หลายๆ เว็บมักจะตกม้าตายจากการที่ขาดความรู้พื้นฐานของระบบปฏิบัติการและระบบเว็บไซต์ ซึ่งความผิดพลาดในการกำหนดสิทธิ์เหล่านี้จะนำมาซึ่งการฝังโค้ดหรือไฟล์อันตรายสำหรับการโจมตีได้อย่างง่ายดาย และเป็นประเด็นเบื้องต้นที่ทุกเว็บไซต์ควรจะรีบจัดการก่อนเป็นอันดับแรกเลย
สิ่งที่ควรเริ่มต้นทำคือศึกษาโครงสร้างของระบบเว็บไซต์ว่า Folder หรือ Directory ไหนควรมีสิทธิ์ในการทำอะไรและเข้าถึงโดยผู้ใช้งานคนไหนได้บ้าง แล้วจึงจำกัดสิทธิ์ตามเท่าที่มีการใช้งานเท่านั้น เพื่อลดความเสี่ยงในการถูกโจมตีลงไปได้ระดับหนึ่ง
6. จำกัดประเภทของไฟล์ที่อัปโหลดได้ในระบบ
การจำกัดประเภทของไฟล์ที่อัปโหลดได้ในระบบนี้จะทำให้การโจมตีเกิดได้ยากขึ้นอีกขั้นหนึ่ง เพราะโอกาสที่ไฟล์แปลกปลอมในรูปแบบที่ไม่รู้จักจะหลุดรอดเข้ามาได้นั้นก็จะลดลงไปด้วย
7. ใช้ HTTPS เพิ่มความมั่นใจให้ผู้ใช้งาน แถมยังเพิ่ม SEO Ranking ไปด้วย
หลายๆ คนมักจะเข้าใจผิดว่าหากเว็บไซต์ใช้ HTTPS ก็ถือว่าเข้ารหัสและปลอดภัยเพียงพอแล้ว ในความเป็นจริงนั้นการทำ HTTPS สามารถป้องกันการโจมตีและดักขโมยข้อมูลหรือปลอมแปลงเว็บไซต์ได้บางรูปแบบเท่านั้น ไม่ได้ป้องกันได้ทั้งหมด ดังนั้นถึงแม้เว็บไซต์จะเป็น HTTPS แล้ว ก็ยังมีงานอื่นๆ อีกจำนวนมากที่ต้องทำเพื่อป้องกันไม่ให้เว็บไซต์ของเราถูกโจมตี
สำหรับเว็บไซต์ที่ยังไม่ได้เปลี่ยนไปใช้ HTTPS ก็ควรวางแผนเปลี่ยนได้แล้ว โดยเว็บไซต์ขนาดเล็กอาจจะง่ายซักหน่อยเพราะไม่ต้องใช้ Resource เยอะมากนัก แต่หากเป็นเว็บไซต์ขนาดใหญ่ที่มีผู้ใช้งานนับแสนหรือล้านคนเข้าใช้งาน การเปลี่ยนไปใช้ HTTPS นั้นจะต้องมีการใช้พลังประมวลผลเพิ่มขึ้นอีกเป็นอย่างมาก ดังนั้นก็ต้องวางแผนกันดีๆ
การใช้ HTTPS นอกจากจะช่วยเสริมความปลอดภัยให้กับเว็บไซต์ได้ในหลายประเด็นแล้ว ก็ยังช่วยทำให้ SEO Ranking ใน Google เพิ่มสูงขึ้นด้วยเช่นกัน
8. สำรองข้อมูลเอาไว้บนระบบอื่น พร้อมให้กู้คืนย้อนหลังได้อยู่เสมอ
การสำรองข้อมูลเอาไว้บน Server ต่างเครื่องนั้นถือเป็นสิ่งที่จำเป็นเป็นอย่างมากในการลดความเสี่ยงที่ข้อมูลของเว็บไซต์ทั้งหมดจะสูญหายไปพร้อมๆ กับระบบ Production รวมไปถึงกรณีที่ถูกติดตั้ง Ransomware เรียกค่าไถ่บน Server โดยตรง การมีข้อมูลสำรองถึงแม้จะไม่ได้เป็นการป้องกันไม่ให้ถูกโจมตีได้สำเร็จ แต่อย่างน้อยๆ หลังการโจมตีเกิดขึ้นแล้ว เว็บไซต์ก็ยังพอจะดำเนินกิจการต่อไปได้หากมีข้อมูลสำรองอยู่
9. มีระบบติดตามการทำงานของเว็บไซต์อยู่ตลอด จะได้รู้ทันทีหากมีอะไรผิดปกติเกิดขึ้น
การติดตามการทำงานของเว็บไซต์อย่างสม่ำเสมอและตอบสนองต่อทุกๆ ปัญหาได้อย่างทันท่วงทีก็ถือเป็นสิ่งที่จำเป็นมากทีเดียว เพื่อลด Downtime ที่จะเกิดขึ้นจากการที่เว็บไซต์มีปัญหา และลดความเสี่ยงต่อผู้ใช้งานและผู้อื่นในกรณีที่เว็บไซต์ถูกใช้เป็นฐานในการปล่อย Malware, Ransomware หรือ DDoS ให้ได้
10. วางแผนรับมือเบื้องต้นหากถูกโจมตี DDoS และโจมตีในรูปแบบอื่นๆ
Distributed Denial of Service หรือ DDoS นั้นเริ่มจะกลายเป็นการโจมตีพื้นฐานมากขึ้นเรื่อยๆ แล้วด้วยค่าใช้จ่ายในการโจมตีที่ไม่แพงนักแต่ทำให้บริการของเว็บไซต์ต่างๆ สามารถหยุดชะงักลงได้ การป้องกัน DDoS นั้นมีด้วยกันหลากหลายรูปแบบไม่ว่าจะเป็นการเพิ่มความสามารถในการรองรับการเรียกใช้เว็บไซต์ให้ได้มากขึ้นด้วยวิธีการต่างๆ หรือใช้งานเทคโนโลยี DDoS Protection โดยตรงก็ตามแต่
ทั้งนี้สิ่งที่ควรทำก็คือการวางแผนรับมือล่วงหน้า ว่าถ้าหากถูกโจมตีแบบ DDoS หรือโจมตีรูปแบบอื่นๆ แล้วเว็บไซต์หรือธุรกิจจะทำอย่างไร? จะป้องกันที่ระดับไหน? ใครจะมีบทบาทรับผิดชอบอะไรบ้าง? เรียกได้ว่าเป็นการกำหนดกระบวนการในการโต้ตอบต่อกรณีเหล่านี้ในขั้นพื้นฐานเพื่อแก้ไขปัญหาให้ได้รวดเร็วที่สุดนั่นเอง
อย่าเข้าใจผิด! ทำครบ 10 ข้อนี้แล้ววก็ไม่ได้หมายความว่าเว็บจะปลอดภัย 100%
นอกจาก 10 ข้อนี้แล้วก็ยังมีแนวทางอื่นๆ เพิ่มเติมนอกเหนือไปจากนี้อีกมากมาย แต่เบื้องต้นหากทำได้ 10 ข้อนี้ก่อนก็ถือว่าเป็นพื้นฐานที่ดีสำหรับการรักษาความปลอดภัยให้แก่ระบบเว็บไซต์ของคุณแล้ว แต่ก็อย่าเพิ่งประมาทไป ไม่ใช่ว่าทำได้แค่ 10 ข้อนี้แล้วระบบของคุณจะปลอดภัย 100% การระมัดระวังตัวและศึกษาหาความรู้อย่างต่อเนื่องไม่ประมาทนั้นคือสิ่งที่จำเป็นในการรักษาความปลอดภัยของเว็บไซต์
ให้ทีมงานมืออาชีพจาก UnixDev ช่วยดูแลเว็บไซต์ของคุณให้ทนทานปลอดภัย!
ทีมงาน UnixDev เป็นทีมงานผู้เชี่ยวชาญทางด้าน Systems Engineering ที่มีประสบการณ์การดูแลเว็บไซต์ขนาดหลายสิบล้านผู้ใช้งานในแต่ละวัน และสามารถให้บริการครบวงจรสำรหับการดูแลรักษาเว็บไซต์ให้มีทั้งความเร็ว, ความทนทาน และความปลอดภัยได้อย่างครบวงจรเบ็ดเสร็จในผู้ให้บริการเดียว ทำให้คุณสามารถมุ่งเน้นไปที่การพัฒนาธุรกิจของคุณได้อย่างเต็มที่ ไม่ต้องพะวงกับประเด็นทางด้านเทคโนโลยีเชิงลึกอีกต่อไป
ผู้ที่สนใจโซลูชั่น Open Source Software ต่างๆ รวมถึง Linux/Unix/OpenStack, Data Center Infrastructure, VMware vSphere/VSAN/NSX/vCloud, Microsoft Windows Server และระบบ CMS สำเร็จรูปที่มีประสิทธิภาพสูงและปลอดภัยระดับองค์กรพร้อมบริการครบวงจร ทั้ง WordPress และ Magento หรือกำลังมองหาทีมงาน Outsource Linux/VMware/Windows Systems Engineer สามารถติดต่อทีมงาน UnixDev ได้ทันทีที่โทร 081-651-9393 หรืออีเมลล์ info@unixdev.co.th
เกี่ยวกับ UnixDev
UnixDev คือทีมงานผู้เชี่ยวชาญทางด้าน System Engineering ที่ครอบคลุมทั้ง Linux, Unix, Microsoft Windows และ VMware แบบ Full Stack ซึ่งสามารถให้บริการในการตรวจสอบแก้ไขปัญหาและปรับปรุงประสิทธิภาพและความปลอดภัยสำหรับระบบ Hypervisor, Operating System, Application, Web Application ไปจนถึง Database แบบครบวงจร https://www.unixdev.co.th
