[Black Hat Asia 2016] นักวิจัยเตือน DLP อาจถูกขโมยข้อมูลเสียเอง ถ้าไม่ตรวจสอบช่องโหว่ให้ดี

black_hat_2016_logo

ในงาน Black Hat Asia 2016 ที่กำลังจัดอยู่นี้ Zach Lanier นักวิจัยด้านความมั่นคงปลอดภัยจาก Cylance และ Kelly Lum วิศวกรด้านความมั่นคงปลอดภัยจาก Tumblr ได้ออกมาเตือนถึงการเลือกใช้โซลูชัน DLP ยอดนิยมในปัจจุบัน เนื่องจากบางครั้งอาจเกิดปัญหาเรื่องการเข้าซื้อกิจการของบริษัทเล็กๆ แต่ยังไม่ได้รวมโซลูชันเข้าด้วยกันอย่างสมบูรณ์ ส่งผลให้อาจเกิดช่องโหว่บน DLP ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลออกไปได้

black_hat_1-2

แนะนำ DLP เบื้องต้นกันก่อน

DLP ย่อมาจาก Data Leak Prevention เป็นโซลูชันสำหรับป้องกันการรั่วไหลข้อมูลออกสู่ภายนอก ไม่ว่าพนักงานในองค์กรจะตั้งใจหรือไม่ได้ตั้งใจก็ตาม DLP นับว่าเป็นโซลูชันสำคัญที่ทุกองค์กรต้องมี ไม่ว่าจะเป็นโซลูชันแยกต่างหาก หรือเป็นฟีเจอร์ add-on บนโซลูชันด้านความปลอดภัยอื่นๆ เนื่องจากเป็นสิ่งที่ช่วยการันตีได้ว่า ข้อมูลความลับขององค์กรจะอยู่เฉพาะภายในองค์กรเท่านั้น ไม่เล็ดลอดออกสู่ภายนอก รวมทั้งอาจเรียกได้ว่าเป็นโซลูชันที่ช่วยป้องกันพนักงานที่ซื่อสัตย์สุจริตขององค์กรทำอะไรโง่ๆ อีกด้วย

DLP ที่ไม่ปลอดภัย อาจเป็นช่องโหว่เสียเอง

เนื่องจาก DLP จำเป็นต้องคอยเฝ้าระวังและตรวจสอบทราฟฟิค ไม่ว่าจะเป็นบนเครือข่าย อีเมล หรือที่จะส่งออกไปยังระบบ Cloud ส่งผลให้ DLP จำเป็นต้องมีสิทธิ์การเข้าถึงข้อมูลที่สูง มิเช่นนั้นจะไม่สามารถตรวจสอบข้อมูลข้างในได้ ปัญหาที่ตามมาคือ ถ้า DLP กลับกลายเป็นสิ่งที่ไม่มั่นคงปลอดภัยเสียเอง เช่น กรณีที่ Vendor รายใหญ่เข้าซื้อกิจการของ Vendor รายย่อย แล้วรีบนำโซลูชันมาผสานกันเพื่อให้พร้อมบริการลูกค้าโดยไม่ผ่านการตรวจสอบให้ดีเสียก่อน อาจกลายเป็นช่องโหว่ที่แฮ็คเกอร์ใช้เจาะเพื่อขโมยข้อมูลออกไปแทนได้

ทดสอบกับ 3 Vendors ชื่อดังและ Vendor รายย่อย พบมีช่องโหว่ทั้งสิ้น

Lanier และ Lum ได้ทำการทดสอบเจาะระบบโซลูชัน DLP จาก 3 Vendors ชื่อดัง ได้แก่ Trend Micro, Sophos และ Websense (ForcePoint ในปัจจุบัน) รวมไปถึง Open-source อย่าง OpenDLP และ Vendor รายย่อยอีก 4 ราย พบว่าทุก Vendor ต่างมีช่องโหว่ที่ค้นพบได้โดยการใช้เครื่องมือสแกน เช่น Burp Suite ทั้งสิ้น เช่น XSS, CSRF, ปัญหาเรื่อง chroot และ Privilege, ปัญหาเรื่องการพิสูจน์ตัวตนกับฐานข้อมูล เป็นต้น

black_hat_1-3

นอกจากนี้ยังพบว่าโซลูชันที่เป็น Linux ส่วนใหญ่ไม่มีการทำ Hardening รวมไปถึง Services ต่างๆ ที่ใช้งานและ Agent ที่ติดตั้งมีสิทธิ์ระดับ Root หรือ System ที่สำคัญคือ บาง Vendor ที่เพิ่งซื้อโซลูชันของคนอื่นมาใช้งานร่วมกัน กลับนำช่องโหว่บนโซลูชันเหล่านั้นแถมติดมาให้ด้วย เช่น JRE, FreeDCE ที่มีช่องโหว่และไม่ได้อัพเดทล่าสุด

หลายช่องโหว่ที่พบนั้น ถ้าถูกโจมตีอาจส่งผลให้แฮ็คเกอร์สามารถเข้าควบคุมระบบ DLP หรือใช้เป็นช่องทางในการขโมยข้อมูลภายในออกไปได้ทันที ดังนั้น จึงเป็นหน้าที่ของทั้ง Vendor และผู้ใช้งานที่ต้องร่วมกันตรวจสอบหาช่องโหว่และทดลองเจาะระบบอุปกรณ์ของตนเอง เพื่อให้มั่นใจได้ว่า ตัวโซลูชันที่เรานำมาป้องกันข้อมูลไม่ให้ถูกขโมยออกไป จะกลายเป็นช่องทางที่ถูกใช้ขโมยเสียเอง

“บาง Vendor ใช้เวลาเพียงไม่กี่วันก็ทราบถึงช่องโหว่ของอุปกรณ์ที่ตนเองมีอยู่ เนื่องจากบริษัทเหล่านี้จะมีกระบวนการ Internal Review อยู่เรื่อยๆ แต่บาง Vendor ก็ใช้เวลาถึงหลักเดือนจึงจะทราบว่าโซลูชันของตนเองไม่มั่นคงปลอดภัย ดังนั้น ก่อนที่จะเลือกใช้โซลูชันใดจึงควรสอบถามประเด็นเรื่องความมั่นคงปลอดภัยของตัวโซลูชันจาก Vendor ให้แน่ชัดเสียก่อน” — Lum ให้ความเห็น


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ขอเชิญร่วมแข่งขัน Startup Hackathon ชิงเงินรางวัลชนะเลิศ 100,000 บาทจำนวน 3 รางวัล 25 – 26 ก.ค. 2019

Startup Thailand ขอเชิญร่วมแข่งขัน Startup Hackathon เฟ้นหาทีม Startup ที่ทำผลงานได้โดดเด่นจาก 3 เวทีการแข่งขัน EGAT, SPICY DISC และ GDG ชิงเงินรางวัลชนะเลิศ 100,000 บาท 3 รางวัล รวมรางวัลตลอดรายการมูลค่ากว่า 500,000 บาท ในวันที่ 25 - 26 กรกฎาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานดังนี้

NEXUS เชิญร่วมสัมมนาฟรี “Digitizing Intelligent Omni-Channel for your Retail Business” อาวุธลับความสำเร็จของธุรกิจค้าปลีกในรูปแบบใหม่

บริษัท เน็กซัส ซิสเท็ม รีซอร์สเซส จำกัด ผู้เชี่ยวชาญด้านการให้คำปรึกษา วางระบบซอฟต์แวร์ เพื่อเพิ่มศักยภาพธุรกิจ ร่วมกับ SAP ผู้พัฒนาซอฟต์แวร์ อันดับ 1 และ DELL EMC ผู้ให้บริการฮาร์ดแวร์ ชั้นนำของโลก ขอเรียนเชิญผู้บริหาร ทีมไอที และผู้ที่สนใจเข้าร่วมงานสัมมนา "Digitizing Intelligent Omni-Channel for your Retail Business" เพื่อเรียนรู้แนวทางการประยุกต์ใช้เทคโนโลยีต่างๆ มาเปลี่ยนให้ธุรกิจค้าปลีกของคุณก้าวสู่การเป็น Omni-Channel และ Online-to-Offline (O2O) ได้อย่างเต็มตัว ในวันที่ 30 กรกฎาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานดังนี้