แนะนำ ‘PentestCrowd’ แพลตฟอร์มล่าบั๊กแห่งแรกในประเทศไทยโดยทีมงานมืออาชีพจาก ACinfotec

สำหรับนักเจาะระบบทั้งหลายไม่ว่าจะเป็น นิสิต นักศึกษา นักวิจัยอิสระ หรือผู้มีอาชีพในสายงาน Pentest วันนี้เวทีของท่านมาถึงแล้วซึ่งเป็นครั้งแรกในประเทศไทยกับโครงการ Bug Bounty เมื่อ ACinfotec หนึ่งในบริษัทด้าน Security Consulting รายใหญ่ได้ออกมาเปิดตัวแพลตฟอร์มที่ชื่อ ‘PentestCrowd’ (เพ็นเทสต์คราวด์) โดยเปิดรับสมัครผู้สนใจรอบแรกแล้ว อนึ่งเวทีนี้ยังเป็นโอกาสอันดีขององค์กรต่างๆ ทั้งจากภาครัฐและเอกชนให้มาเข้าร่วมเปิดระบบเพื่อทดสอบความแข็งแกร่งกับ Pentester มืออาชีพภายใต้กติกาที่รัดกุม อีกทั้งยังสามารถควบคุมค่าใช้จ่ายอย่างมีประสิทธิภาพเพราะเป็นการ ‘จ่ายเมื่อเจอ'(ช่องโหว่) เท่านั้น

เมื่อวันพฤหัสที่ 22 พฤษภาคมที่ผ่านมา ในงานสัมมนา Cybersecurity Knowledge Sharing Series II ครั้งที่ 8 ซึ่งจัดขึ้นโดย ETDA (สพธอ.) ร่วมกับ Palo Alto Networks และ ACinfotec ได้มีการเปิดตัวแพลตฟอร์มล่าบั๊กหรือที่เราเรียกว่า Bug Bounty ทั้งนี้เราได้รับเกียรติจาก 2 วิทยากรคือคุณศาศวัต มาลัยวงศ์ และ คุณณัฐกรณ์ ธีระประยุติ มาเล่ารายละเอียดตั้งแต่ความเป็นมาของการทำ Bug Bounty รวมไปถึงแนวโน้มการทำ Pentest ในประเทศไทยและแพลตฟอร์มใหม่ ‘PentestCrowd’

คุณศาศวัต มาลัยวงศ์ และ คุณณัฐกรณ์ ธีระประยุติ

ความสำคัญของการทำ Pentest 

จุดประสงค์หลักของการทำ Pentest แบ่งได้ 2 ส่วน คือหนึ่งเพื่อตอบโจทย์ระเบียบข้อบังคับขององค์กรซึ่งในองค์กรขนาดใหญ่มักมีข้อบังคับเหล่านี้เพื่อกำกับว่าระบบจะได้รับการใส่ใจด้านความมั่นคงปลอดภัยอย่างต่อเนื่อง ส่วนที่สองคือเพื่อการันตีและตอบคำถามว่าระบบที่องค์กรใช้อยู่ในปัจจุบันมั่นคงปลอดภัยมากน้อยแค่ไหนเพราะ Pentest คือการสวมบทบาทและแนวคิดการเป็นแฮกเกอร์เพื่อหาช่องโหว่เหล่านั้น อย่างไรก็ตาม Pentest มีความแตกต่างกับ Vulnerability Assessment (VA) ตรงที่ VA มักเป็นเพียงการใช้เครื่องมือสแกนหาช่องโหว่และผู้ปฏิบัตินั้นอาจจะมี Skill น้อยกว่า Pentester ที่ต้องอาศัยฝีมือและความเชี่ยวชาญในการหาช่องโหว่ รวมถึงต้องตีความและแปลผลเพื่อให้คำแนะนำแก่องค์กรซึ่ง Pentester ที่ดีต้องสามารถแนะนำช่องโหว่ในเชิงของ People Process และ Technology ได้ด้วย

แนวโน้มของการทำ Pentest และความมั่นคงปลอดภัยขององค์กรในประเทศไทย

รูปแบบของการทำ Pentest ตั้งแต่อดีตจนถึงปัจจุบันในประเทศไทยทางคุณศาศวัตได้อธิบายไว้ดังนี้

  • 2010-2017 – เป็นลักษณะของ Project-based คือทำการทดสอบเป็นรายโปรเจกต์ไป
  • 2017-2019 – เทรนด์การพัฒนาแอปพลิเคชันในลักษณะของ Agile และ DevOps ทำให้องค์กรมีความต้องการ Pentest อย่างต่อเนื่อง ดังนั้นรูปแบบที่มักพบในการจ้างงานคือคิดเป็น Man day แบบเหมารวม เช่น จ้างเหมา 500 วันและเรียกใช้งานได้เรื่อย ๆ จนกว่าจะหมดสัญญาแต่กระนั้นปัญหาความไม่ต่อเนื่องยังไม่หมดไปเพราะการเรียกใช้นั้นยังขึ้นอยู่กับบริษัทที่เป็นผู้ว่าจ้างว่าสะดวกเรียกใช้ตอนไหน
  • 2019-Future – Vulnerability-based คือแนวโน้มที่กำลังเกิดขึ้นในปัจจุบันและในอนาคตซึ่งกำลังได้รับความนิยมขึ้นเรื่อย ๆ ในเมืองไทยด้วยคอนเซปต์ที่ว่า ‘เจอจึงจ่าย’ โดยจะตอบโจทย์ความต่อเนื่องและให้ความคุ้มค่ากับองค์กรมากกว่าด้วย

สำหรับมาตรฐานของการรักษาความมั่นคงปลอดภัยในประเทศไทย กลุ่มที่น่าจะมีความตื่นตัวกับเรื่องของ Cybersecurity มากที่สุดคงจะหนีไม่พ้นกลุ่มการเงินธนาคารเพราะมี Regulator คอยกำกับมาตรการต่าง ๆ ขององค์กรภายใต้การดูแลเช่น ธนาคารแห่งประเทศไทยได้กำหนดให้ธนาคารทุกแห่งต้องปฏิบัติตามมาตรฐาน ISO 27001 หรือ กลต. กำหนดให้หน่วยงานต้องมีการเตรียมพร้อมรับมือเหตุการณ์ภัยคุกคามด้วยวิธีการฝึกซ้อมจำลองสถานการณ์ (Cyber Drill)

อย่างไรก็ตาม ยังมีธุรกิจอีกจำนวนมากที่ต้องใส่ใจเรื่องของ Cybersecurity เพราะเป็นเป้าหมายสำคัญของแฮกเกอร์ เช่น กลุ่มพลังงาน โรงพยาบาล โทรคมนาคม หรือแม้แต่ Startup ที่ให้บริการออนไลน์ เป็นต้น โดยจากสถิติของ ACinfotec จากการสำรวจเว็บไซต์ของลูกค้ากว่า 250 แห่ง พบช่องโหว่ถึง 2,151 รายการซึ่งช่องโหว่ ที่น่าสนใจคือ 32% ใช้รหัสผ่านที่คาดเดาได้ง่ายหรือเก็บ Hash รหัสผ่านโดยใช้อัลกอริทึมที่ไม่ปลอดภัย นอกจากนี้ 47% มีการใช้ CMS (Content Management System) ที่ไม่ปลอดภัย เช่น จ้าง Third-party ให้ทำการเขียนโปรแกรมขึ้นมาเองซึ่งมีความมั่นคงปลอดภัยน้อยกว่า CMS ที่ใช้กันทั่วไปในตลาด เช่น WordPress เป็นต้น อย่างไรก็ตามแม้จะใช้ CMS ชื่อดังอย่าง WordPress ก็ยังจำเป็นต้อง Patch ช่องโหว่ด้านความปลอดภัยอย่างสม่ำเสมอ

นอกจากนี้ทาง ACinfotec ยังได้ให้ความรู้ถึงอีก 1 คอนเซปต์คือ Red Teaming ที่ว่าด้วยเรื่องของการทดสอบว่าบุคคลากรในองค์กรจะสามารถตรวจพบและรับมือกับภัยคุกคามได้หรือไม่ ด้วยการโจมตีไปยัง Infrastructure, Application หรือ Endpoint ขององค์กรแบบไม่สร้างความเสียหาย แต่เน้นให้คล้ายคลึงกับการโจมตีจริงของ Hacker เพื่อให้ทีม Security ขององค์กรได้ลับฝีมือ โดยความแตกต่างของ Red Teaming และ Pentest คือ Red Teaming จะเปิดโอกาสให้ทีมงานที่เกี่ยวข้องขององค์กรได้มีส่วนร่วมในการฝึกซ้อมรับมือภัยคุกคาม ในขณะที่การทำ Pentest นั้น ทีมงานขององค์กรไม่ต้องทำอะไรในระหว่างที่ Pentester ทำการเจาะระบบเพียงแต่รอรับ Report แล้วค่อยทำการแก้ไขช่องโหว่ที่ตรวจพบเท่านั้น จึงมีความแตกต่างกันพอสมควร

ประวัติของ Bug Bounty 

อันที่จริงแล้วเรื่องราวของ Bug Bounty ไม่ใช่เรื่องใหม่เลยเพราะกำเนิดขึ้นครั้งแรกราวยุค 80 แล้วและครั้งที่สองในมือของ Netscape ราวปี 1995 อย่างไรก็ดีเมื่อปี 2016 โครงการ Bug Bounty อันโด่งดังก็เกิดขึ้นในมือของหน่วยงานกลาโหมสหรัฐที่เปิดโครงการล่าบั๊กภายใต้ชื่อ “Hack The Pentagon” ที่เชิญเหล่าแฮกเกอร์ให้เข้ามาเจาะหน้าเว็บของหน่วยงานภายใต้กำกับดูแลซึ่งผลลัพธ์ก็คือในเวลา 24 วันมีช่องโหว่ที่ถูกค้นพบกว่า 138 รายการและมีผู้เข้าร่วมกว่า 1,400 คนโดยงบรางวัลทั้งหมดคือ 150,000 ดอลล่าร์สหรัฐฯ (หรือเฉลี่ย 1,086 ดอลล่าร์ต่อ 1 ช่องโหว่เท่านั้นเอง) โดยหลังจากครั้งนั้นก็เกิดโครงการ Bug Bounty ภายใต้บริษัทและภาครัฐในหลายประเทศตามมาจำนวนมาก เช่น Google, Facebook แม้กระทั่ง Starbucks แต่สิ่งหนึ่งที่เราเห็นได้ดีจากตัวเลขคือราคาค่าใช้จ่ายนั้นถือว่าอาจจะถูกกว่าการจ้าง Pentester มาหาช่องโหว่เสียด้วยซ้ำ..

Bug Bounty vs Pentest

ปัญหาของการทำ Pentest ไม่ได้มีแค่เรื่องของราคาเท่านั้นแต่ยังมีปัญหาแฝงในวงการด้วยนั่นก็คือ ‘Skill’ เพราะการหา Pentester ฝีมือฉกาจทุกด้านในคนเดียวไม่ใช่เรื่องง่ายเนื่องจากแต่ละคนก็มีความถนัดแตกต่างกันไป เช่น Android Pentester อาจจะไม่ได้เชี่ยวชาญ iOS หรือคนถนัดเจาะ Web Apps อาจจะไม่เชี่ยวชาญเกี่ยวกับ Mobile เป็นต้น ดังนั้นจึงขอสรุปประโยชน์ของการทำ Pentest เทียบกับการใช้โครงการ Bug Bounty เพื่อหาช่องโหว่ไว้ดังนี้

แล้วโครงการ Bug Bounty จะมาทดแทนการทำ Pentest หรือไม่?

คำตอบคือ “ไม่” เพราะการหาช่องโหว่ด้วย Bug Bounty นั้นมีลักษณะที่แตกต่างจาก Pentest ตามที่กล่าวไปแล้ว อันที่จริง Bug Bounty จะเป็นเครื่องมือเสริมให้กับการทำ Pentest ด้วย เพราะ Bug Bounty มีจุดเด่นที่ทำได้อย่างต่อเนื่อง (Continuous) ดังนั้นองค์กรควรพิจารณาทำ Pentest สำหรับระบบสำคัญอย่างน้อยปีละครั้ง ในขณะเดียวกันก็กำหนดให้มีการทำ Bug Bounty ควบคู่กันไปด้วย จะได้มั่นใจว่าในช่วงที่ไม่ได้ทำ Pentest ก็มีโอกาสตรวจพบช่องโหว่นั่นเอง

PentestCrowd คืออะไร?

PentestCrowd หรือแพลตฟอร์ม Bug Bounty ซึ่งพัฒนาโดย ACinfotec โดยทางบริษัทมุ่งหวังที่จะสร้าง Ecosystem แห่งแรกในประเทศไทยเพื่อนำพานักวิจัยด้านความมั่นคงปลอดภัยประกอบด้วย นิสิต นักศึกษา ผู้เชี่ยวชาญอิสระหรือสายอาชีพด้าน Pentester เข้ามาแสดงฝีมืออย่างสร้างสรรค์ให้กับองค์กรหรือบริษัทที่ต้องการยกระดับความมั่นคงปลอดภัยและยังสามารถบริหารจัดการค่าใช้จ่ายให้เกิดประโยชน์อย่างสูงสุดอีกด้วย

ข้อดีสำหรับ Pentester 

  • มีเวทีที่ถูกต้องเพื่อฝึกฝนทักษะให้เห็นระบบจริงซึ่งบางครั้งระบบจำลองให้ไม่ได้
  • มีการจัดทำ Ranking ซึ่งสามารถใช้เป็นโพรไฟล์อ้างอิงถึงฝีมือหรือนำไปสมัครงาน/เข้างานได้
  • มีค่าตอบแทนให้ (ทีมงานแง้มว่าต่อไปอาจจะมีผลตอบแทนรูปแบบอื่นนอกเหนือจากเงินด้วย)
  • ระบบเป็นภาษาไทยทำให้ลดความสับสนในการสื่อสารและความเข้าใจกติกาได้
  • ช่องโหว่ที่ค้นพบไปถึงมือองค์กรได้จริง (เราจะเห็นได้บ่อยครั้งมีคนพบช่องโหว่แล้วติดต่อใครไม่ได้เลยจึงเปิดเผยต่อสาธารณะจนเป็นข่าว)

ข้อดีสำหรับบริษัทและองค์กร 

  • ตอบโจทย์เรื่องความมั่นคงปลอดภัยได้ฉับไวเพราะมีคนมารายงานถึงช่องโหว่ทันทีที่ตรวจพบ
  • สามารถพิจารณาแชร์ข้อมูลให้ผู้ประกอบธุรกิจรายอื่น ๆ (ขึ้นกับความสมัครใจ) เพื่อยกระดับความมั่นคงปลอดภัยในภาพรวมของประเทศแถมยังสร้างภาพลักษณ์ที่น่าเชื่อถือด้วย
  • สามารถควบคุมค่าใช้จ่ายได้อย่างมีประสิทธิภาพเพราะจ่ายแค่ที่เจอทำให้องค์กรที่มีงบประมาณจำกัดก็สามารถเข้าร่วมได้

วิธีการปฏิบัติและกติกาของการใช้งาน PentestCrowd

อันดับแรกผู้สนใจทั้งฝั่งผู้ทดสอบที่มีอายุตั้งแต่ 18 ปีขึ้นไปและองค์กรจะต้องเข้าไปลงทะเบียนยืนยันตัวตนกันก่อนได้ที่  https://www.pentestcrowd.com อย่างไรก็ตามทีมงานเผยว่าสำหรับ Pentester ที่ไม่ต้องการเปิดเผยตัวตนกับบริษัทเจ้าของแคมเปญก็มีวิธีการทำได้ ดังนั้นสบายใจได้ว่าความเป็นส่วนตัวของท่านจะไม่ถูกเปิดเผย นอกจากนี้การทดสอบจะมีข้อจำกัดที่ทางองค์กรกำหนดเอาไว้ด้วย เช่น ห้ามทำลายล้างให้ระบบใช้งานไม่ได้ หรือให้ใช้เฉพาะวิธีการโจมตีที่กำหนดไว้เท่านั้น เช่น ห้ามใช้ Malware เป็นต้น รวมถึงต้องเซ็นสัญญาไม่เปิดเผยช่องโหว่ที่ค้นพบจนกว่าจะทำการแก้ไขแล้ว (แล้วแต่ข้อตกลงว่ากี่วันหรือห้ามเลย) 

เมื่อ Pentester ทำการ Submit ช่องโหว่ที่ค้นพบไปแล้ว ACinfotec จะมีผู้เชี่ยวชาญเพื่อยืนยันกลั่นกรองว่าช่องโหว่นี้ถูกต้องหรือไม่และประสานงาน 2 ฝ่าย โดยฝั่งองค์กรเองก็แน่ใจเรื่องของความถูกต้องและมีคนคอยจัดการให้ ในทางกลับกัน Pentester ก็สบายใจได้ว่าจะได้รับค่าตอบแทนอย่างยุติธรรม เช่น เรื่องของใครส่งก่อนส่งหลัง ถูกต้องหรือไม่เพราะอะไร สามารถคุยกับผู้เชี่ยวชาญอย่างมีเหตุผลและภาษาเดียวกัน อย่างไรก็ตามทางคุณศาศวัต แนะนำว่า “แพลตฟอร์มนี้เหมาะกับองค์กรหรือบริษัทในทุกขนาดแต่เรื่องสำคัญคือต้องมีความพร้อมในการแก้ไขช่องโหว่ที่ได้รับแจ้งด้วยมิเช่นนั้นทุกอย่างก็ไม่เกิดประโยชน์

กำหนดการเปิดตัวแคมเปญแรก

ปัจจุบันมีการรับสมัคร Pentester เข้าร่วมแคมเปญแบบ Closed Beta แล้วตั้งแต่วันที่ 22-31 พฤษภาคมและจะประกาศให้เริ่มต้นทำการ Hack ในแคมเปญแรกนั่นคือการเจาะระบบ ‘PentestCrowd’ ที่กำลังพูดถึงนี้ ภายในต้นเดือนมิถุนายนโดยมีงบประมาณของแคมเปญคือ 100,000 บาท นอกจากนี้ในแคมเปญที่ 2 หรือ ‘Free Hack’ จะเริ่มต้นในเดือนกรกฎาคมซึ่งเปิดโอกาสให้องค์กร/สถาบันไม่แสวงผลกำไร Startup SME หรือสถาบันการศึกษาที่สนใจ สามารถสมัครเข้ามาเพื่อให้ทีมงานคัดเลือก โดยหน่วยงานที่ได้รับคัดเลือกจะได้ทำ Bug Bounty ฟรี โดยไม่มีค่าใช่จ่าย ซึ่งในแคมเปญนี้มีการอัดฉีดจากสปอนเซอร์มาแล้วที่ 100,000 บาทเช่นกัน

น่าสนใจไม่น้อยเลยครับสำหรับแพลตฟอร์ม Bug Bounty แห่งแรกในประเทศไทย ดังนั้นสำหรับน้อง ๆ พี่ ๆ เพื่อน ๆ ที่มีความสนใจและมีใจรักการเจาะระบบก็ขอเชิญเข้ามา “เปลี่ยนความเก่งเป็นรายได้” กับ ACinfotec กันนะครับ

ผู้สนใจสามารถติดต่อเพิ่มเติมได้ตามที่อยู่ด้านล่างครับ

การสมัครเข้าร่วมโครงการ

สอบถามข้อมูลเพิ่มเติมได้ที่

อัปเดตติดตามข่าวสารจาก ACinfotec ได้ที่

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Sumo Logic เปิดตัว Mo Copilot พลิกโฉม DevSecOps ด้วย AI

ในงาน Re:Invent ของ Amazon Web Services บริษัท Sumo Logic ได้ประกาศเปิดตัว Mo Copilot เครื่องมือสำหรับ DevSecOps ที่ช่วยลดเวลาตอบสนองในการแก้ปัญหาสำคัญด้วยการใช้ …

Veeam เตือนพบช่องโหว่ร้ายแรงใน Service Provider Console เสี่ยงถูกโจมตี

Veeam ออกอัปเดตความปลอดภัยแก้ไขช่องโหว่ร้ายแรงใน Service Provider Console ที่อาจถูกใช้โจมตีแบบ Remote Code Execution (RCE)