จบไปเป็นที่เรียบร้อยกับ “Workshop เส้นทางสู่นักเจาะระบบ” งานอบรมฟรีจากทาง TechTalk Thai ร่วมกับ Mayaseven ผู้ให้บริการด้าน Offensive Security Services ชั้นนำระดับประเทศ เมื่อวันเสาร์อาทิตย์ที่ 23-24 กรกฎาคม 2022 ณ BITEC ห้อง Silk 1-2 ที่ผ่านมา สำหรับใครที่ได้เข้ามาร่วม Workshop กันทั้งสองวัน เชื่อว่าได้ประโยชน์จากเนื้อหา Cybersecurity และเส้นทางในการเป็นนักเจาะระบบที่อัดแน่นเต็ม ๆ ทั้ง 2 วันอย่างแน่นอน

หากใครพลาดโอกาสไปงานที่ผ่านมาก็ไม่ต้องเสียใจไป เพราะว่าบทความนี้ทีมงาน TechTalk Thai อยากจะบอกเล่าถึงบรรยากาศ Workshop ในงานนี้ว่าเป็นอย่างไร ทำอะไรกันบ้าง พร้อมข้อคิดที่ได้จาก Mayaseven ที่อยากจะให้ผู้อ่านทุกท่านนำไปพิจารณาเพื่อต่อยอดและเสริมสร้างเรื่อง Cybersecurity ให้แข็งแกร่งขึ้น ไม่ว่าเป็นการทำงานภายในองค์กรหรือว่าใช้งานส่วนตัว เพราะภัยอันตรายต่าง ๆ อาจจะใกล้ตัวกว่าที่คุณคิดก็เป็นได้

บรรยากาศสบาย ๆ เนื้อหา Cybersecurity อัดแน่น

ภายในงานทั้ง 2 วันนี้ ทางคุณนพ ภูมิไธสง ผู้ก่อตั้ง Mayaseven ได้นำทีมบรรยายในเรื่องราวต่าง ๆ ของการเป็นนักเจาะระบบ ตั้งแต่เรื่องตลาดแรงงาน สายอาชีพในด้าน Cybersecurity ไปจนถึงเรื่องกระบวนการทำงานในการเป็นนักเจาะระบบ หรือนักทดสอบระบบ พร้อมทั้งเหตุการณ์ใหญ่ ๆ ที่เกิดขึ้นในโลกใบนี้แล้ว เพื่อเป็นกรณีศึกษาว่าทำไมเรื่องของ Security และการทดสอบเจาะระบบก่อนนำใช้งานขึ้นจริงนั้นเป็นเรื่องที่ “สำคัญยิ่ง”

ทั้งสองวัน ทีมงาน Mayaseven ได้สาธิตการ “แฮก” บนสภาพแวดล้อมที่จำลองขึ้นมากันให้เห็นสด ๆ ผ่านเครื่อง VM ที่ติดตั้ง Kali Linux ไว้ ด้วยคำสั่ง Command Line บน Linux และ Power Shell มากมายพร้อมเครื่องมือยอดนิยมต่าง ๆ มากมาย เช่น Bloodhound, Metasploit หรือ Burp Suite ที่สามารถนำมาประยุกต์ผสมผสานกันจนสามารถยึดเครื่อง Server เครื่องหนึ่งแล้วสามารถทำการแฮกไปเรื่อย ๆ จนกระทั่งยึดถึง Domain Server ได้เลย

อีกส่วนหนึ่งที่มีพูดถึงในงานนี้ด้วยเช่นกัน นั่นคือ OWASP Top 10 ปี 2021 ช่องโหว่บน Web Application และ API ที่แม้แต่ Firewall ก็อาจไม่สามารถป้องกันได้ ซึ่งทีม Mayaseven ได้อธิบายให้เห็นภาพของแต่ละกรณี พร้อมทั้งแนะนำคู่มือที่ควรจะไปศึกษาต่อยอดเพิ่มเติมได้ ทั้ง OWASP Application Security Verification Standard (ASVS) หรือว่า OWASP Web Security Testing Guide และได้โชว์การแฮกเว็บที่จำลองไว้กันให้ดูสด ๆ ซึ่งทำให้เห็นภาพได้ว่าถ้าหากพัฒนาเว็บไซต์ไม่ปลอดภัยดีพอ อาจนำมาซึ่งความเสียหายมากกว่าที่คาดคิดไว้ได้แน่นอน

Workshop เข้มข้น แข่ง CTF สุดเร้าใจ

หลังจากเรียนภาคทฤษฎีและดูสาธิตการแฮกแล้ว ภายในงานยังมี Workshop ทดลองใช้ Burp Suite ไปพร้อม ๆ กันเพื่อทดลองดักจับ Package ระหว่างทางแล้วปรับค่าข้อมูลจากที่ส่งผ่านหน้าเว็บบางอย่างเพื่อไปส่งต่อยังระบบหลังบ้าน (Backend) ซึ่งถ้าหากระบบ Backend ทำไว้ไม่ดี เช่น ไม่ได้ดักจับกรณีจำนวนสินค้าหรือเงินห้ามติดลบ ก็จะทำให้โดนเปลี่ยนค่าระหว่างส่งจากหน้าเว็บ ส่งผลให้ระบบทำงานผิดพลาดได้อย่างง่ายดาย

นอกจากนี้ Mayaseven ยังได้เตรียมการจำลอง CTF (Capture The Flag) แข่งขันแฮกชิงธงที่ให้ทุกคนได้มาสนุกร่วมกันบนทรัพยากรจำลองของทาง Mayaseven ที่เชื่อว่าทุกคนน่าจะสนุกและตื่นเต้น ที่ได้มาประลองฝีมือในการเจาะระบบกันจริง ๆ ภายในเวลาอันจำกัด ซึ่งจากตัวเลขการ Solved ปัญหาแต่ละข้อได้นั้น เชื่อว่าแต่ละท่านที่เข้าร่วมงานน่าจะมีฝีมืออยู่ไม่น้อยเลยทีเดียว 

ทั้งนี้ คุณนพและทีมได้ชี้ให้เห็นชัดเจนว่าตลาดแรงงานในด้าน Cybersecurity นั้นยังคงขาดแคลนอยู่อย่างต่อเนื่อง เหตุผลที่สำคัญนั่นเป็นเพราะเรื่องของ Security นั้นจะอยู่ในทุกที่ทุกแห่ง ไม่ว่าเทคโนโลยีจะก้าวล้ำไปเพียงใด หรือว่าจะเกิดนวัตกรรมอะไรขึ้นมาใหม่ ยังไงก็ตามจะต้องมีเรื่องความมั่นคงปลอดภัยที่ต้องเดินไปด้วยกันเสมอ อย่างที่เห็นกันว่าแม้กระทั่ง Blockchain ที่เชื่อกันว่าจะเป็นเทคโนโลยีเปลี่ยนโลก ก็ยังหนีไม่พ้นในเรื่อง Cybersecurity อยู่ดี ซึ่ง Mayaseven ได้เปิดรับสมัครงานอยู่ ณ ตอนนี้ สามารถเข้าไปดูรายละเอียดเพิ่มเติมได้ที่นี่

5 ข้อคิดจาก Workshop โดย Mayaseven

หลังจากผ่าน Workshop โดย Mayaseven ครั้งนี้ไป บอกได้เลยว่ามีข้อคิดมากมายที่ได้มาจาก Workshop ที่จะปรับเปลี่ยนความคิดบางอย่างในการใช้ชีวิตในโลกดิจิทัลปัจจุบันอย่างแน่นอน ซึ่งทีมงาน TechTalk Thai ขอนำเสนอ 5 ข้อคิดที่ได้จาก Workshop โดย Mayaseven ครั้งนี้ให้กับผู้อ่านได้พิจารณากันอีกครั้งหนึ่ง ดังต่อไปนี้

“ห้าม”ทดลองเจาะระบบใครก็ตาม หากยังไม่มีสัญญาข้อตกลงที่เป็นลายลักษณ์อักษร

ข้อนี้คือสิ่งแรกที่คุณนพเน้นย้ำมาตั้งแต่วันแรกและเน้นอยู่ตลอดทั้งงาน Workshop เหตุผลนั้นง่าย ๆ เลยว่าเพราะแม้ท่านจะมีเจตนาประสงค์ดีอยากจะทดสอบระบบให้ แต่เมื่อเกิดเหตุความเสียหายขึ้นใด ๆ ก็ตาม ก็อาจจะทำให้เกิดเป็นคดีความหรือข้อพิพาททางกฎหมายได้เลย ดังนั้น หากใครต้องการอยากเป็นนักเจาะระบบ การมีสัญญาและขอบเขตการทดสอบที่เป็นลายลักษณ์อักษรชัดเจนนั้นจะดีที่สุด “ห้ามกระทำการใด ๆ ด้วยการตกลงด้วยคำพูดแบบปากเปล่าเด็ดขาด”

ไม่มีทางที่ระบบที่พัฒนามาหลายเดือน จะค้นพบบั๊กทั้งหมดภายใน 3-5 วันที่จ้างมาทดสอบ Penetration Testing

ประเด็นนี้สำคัญมาก หลาย ๆ คนอาจจะเข้าใจอยู่แล้วว่ายังไงระบบที่พัฒนาขึ้นมาก็ย่อมมีบั๊ก ซึ่งบางคนอาจจะบอกว่าเป็นหน้าที่ของนักทดสอบระบบ (Tester) ที่จะค้นหาบั๊กออกมาให้ได้มากที่สุดหรือทั้งหมดให้ได้อยู่แล้ว แต่อย่างไรก็ดี เรื่อง Security นั้นจะเหนือกว่าที่คิดไว้ เพราะว่าถ้าหากว่าไม่ได้มีการออกแบบวางโครง Security เข้าไปตั้งแต่แรกแล้วปล่อยให้นักพัฒนาระบบดำเนินการเรื่อยมาจนกระทั้งระบบเสร็จสิ้นแล้วพบเจอความเสี่ยงหรือช่องโหว่ในเรื่อง Security ในภายหลัง มีโอกาสที่จะทำให้ระบบนั้นอาจจะต้องรื้อทำใหม่เลยก็เป็นได้ 

ดังนั้น เรื่องของ Security ไม่ใช่เรื่องเฉพาะแค่นักทดสอบระบบเท่านั้น หากแต่นักพัฒนาระบบหรือว่าผู้ดูแลระบบเองก็จำเป็นจะต้องพิจารณาและจัดการไว้ตั้งแต่เริ่มพัฒนาระบบใด ๆ ขึ้นมา ซึ่งวิธีการนี้นอกจากจะช่วยทั้งเรื่องลดค่าใช้จ่ายในการแก้ไขปิดช่องโหว่ในภายหลังได้แล้ว ยังช่วยให้การพัฒนาระบบมีความเสี่ยงน้อยลงไปอีกด้วย

เครื่องและระบบในองค์กรควรต้องทนทานต่อการสแกนได้ทั้งหมดเป็นขั้นต่ำ

แน่นอนว่าภายในองค์กรย่อมมีเครื่องและระบบที่หลากหลายมากมาย ซึ่งช่องโหว่ก็ย่อมจะมากตามกันไปเช่นกัน ดังที่เห็นในเว็บไซต์ https://www.exploit-db.com/ ที่มีลิสต์ช่องโหว่ไว้มากมายเต็มไปหมด ดังนั้น วิธีการขั้นต่ำที่ง่ายที่สุดที่จะทำให้สบายใจได้ไปเปราะหนึ่งก่อนนั่นคือการเลือกใช้งานระบบสแกนช่องโหว่ความปลอดภัยที่สามารถทำการตรวจสอบระบบและเครื่องได้อย่างรวดเร็วและง่ายที่จะดำเนินการได้ทันที ซึ่งทั้งระบบและเครื่องต่าง ๆ ภายในองค์กรควรจะต้องผ่านมาตรฐานการตรวจสอบด้วยเครื่องมือเป็นขั้นต่ำ เพราะหากเครื่องมือตรวจสอบพบเจอช่องโหว่ได้ ก็แสดงให้เห็นชัดเจนแล้วว่ามีความเสี่ยงอยู่จริง ๆ

มี Firewall แล้ว ไม่ใช่ว่าจะปลอดภัยแล้วทั้งหมด

Firewall ไม่ใช่พระเจ้า ขนาด Firewall เองยังมีหลายแบบหลายระดับ และที่สำคัญคือหากช่องโหว่ที่มีดันสามารถทำงานได้ข้าม Firewall เช่น ช่องโหว่ที่มีอยู่ใน Web Application ที่วางไว้อยู่ภายในเครื่อง Web Server ที่อยู่หลัง Firewall ซึ่งหากถูกเจาะผ่าน Web App แล้วโดนยึดเครื่อง Web Server ไป ก็มีโอกาสโดนใช้เครื่อง Web Server ไปดึงข้อมูลจาก Database แล้วส่งออกไปในอินเทอร์เน็ต ข้าม Firewall ไปได้อย่างง่ายดาย เป็นต้น สิ่งนี้จึงชี้ให้เห็นว่าต่อให้มี Firewall แล้ว ระบบต่าง ๆ ที่ใช้ภายในองค์กรก็ต้องทำให้ปลอดภัยด้วยเช่นกัน

อัปเดต Patch ให้ไว ใช้ซอฟต์แวร์ที่น่าเชื่อถือเสมอ

หลัง ๆ มานี้จะเห็นข่าวสารด้าน Cybersecurity มากมาย ว่าคนโดนเจาะด้วยบั๊ก Zero-Day ต่าง ๆ นานา ซึ่งส่วนหนึ่งอาจเป็นผลพวงมาจากบั๊กนั้นยังไม่ได้รับการแก้ไขจึงทำให้เกิดเป็นช่องโหว่ที่ผู้ไม่ประสงค์ดีสามารถกระทำการได้ทันที แต่อย่างไรก็ดี เมื่อทางผู้ผลิตซอฟต์แวร์ได้ออก Patch ใหม่ที่ปิดช่องโหว่ต่าง ๆ ออกมาแล้ว “ให้ดำเนินการอัปเดต Patch ให้เร็วที่สุดไว้เสมอ” เพื่อปิดช่องโหว่ความเสี่ยงที่อาจเกิดเหตุขึ้นได้ให้มากที่สุด รวมทั้งซอฟต์แวร์ที่เลือกใช้มา ให้พิจารณาถึงความน่าเชื่อถือด้วยว่าใครเป็นผู้พัฒนา มีคนใช้งานมากน้อยเพียงใด และผลการ Review หรือคะแนนที่ได้นั้นมากน้อยแค่ไหน 

ส่งท้าย แต่ไม่ท้ายสุด

แม้ว่าจะมีข้อคิดอีกมากมายที่ไม่ได้พูดถึงในบทความนี้ แต่ก็เชื่อว่า 5 แนวคิดดังกล่าวคือพื้นฐานของนักเจาะระบบและชาวไอทีทั่วไปควรจะต้องเข้าใจ เพราะว่า Cybersecurity นั้นเป็นเรื่องของทุกคน และมันใกล้ตัวผู้อ่านมากกว่าที่คิด

สุดท้ายนี้ ทาง TechTalk Thai และ Mayaseven ต้องขอขอบพระคุณผู้เข้าร่วมงาน Workshop ที่ผ่านมาทุกท่านที่เสียสละเวลามา ณ ที่นี้ ซึ่งทีมงานหวังว่าทุกท่านจะได้รับประโยชน์และความรู้ในเรื่อง Cybersecurity ไปประยุกต์ใช้ในชีวิตประจำวัน รวมทั้งสร้างแรงบันดาลใจให้กับทุกท่านสนใจในเรื่องความมั่นคงปลอดภัยมากยิ่งขึ้นได้ไม่มากก็น้อย นอกจากนี้ ต้องขอขอบคุณทาง Palo Alto Networks ที่ได้สนับสนุนการจัดงานสัมมนาครั้งนี้มา ณ ที่นี้ด้วย และหากมีงานดี ๆ เช่นนี้อีกในอนาคต ทางทีม TechTalk Thai จะมาประชาสัมพันธ์เชิญชวนทุกท่านในโอกาสหน้าต่อไป

ถ้าหากใครรู้สึก “อิน” สนุกไปกับสายงาน Cybersecurity แบบนี้ อยากจะต่อยอดไปเป็นผู้เชี่ยวชาญในการเจาะระบบต่อไป ทาง Mayaseven มีช่องทางให้ติดตามทั้งบน Facebook และ YouTube ซึ่งในนั้นยังมีเรื่องราวด้าน Cybersecurity อีกมามายให้ติดตามและอัปเดตกันตลอด และถ้าใครสนใจอยากร่วมงานกับทาง Mayaseven สามารถไปดูรายละเอียดเพิ่มเติมได้ที่เว็บไซต์ของ Mayaseven และติดต่อเข้าไปพูดคุยกับทีมงานได้เลย