ADPT

[Black Hat Asia 2016] นักวิจัยเตือน DLP อาจถูกขโมยข้อมูลเสียเอง ถ้าไม่ตรวจสอบช่องโหว่ให้ดี

black_hat_2016_logo

ในงาน Black Hat Asia 2016 ที่กำลังจัดอยู่นี้ Zach Lanier นักวิจัยด้านความมั่นคงปลอดภัยจาก Cylance และ Kelly Lum วิศวกรด้านความมั่นคงปลอดภัยจาก Tumblr ได้ออกมาเตือนถึงการเลือกใช้โซลูชัน DLP ยอดนิยมในปัจจุบัน เนื่องจากบางครั้งอาจเกิดปัญหาเรื่องการเข้าซื้อกิจการของบริษัทเล็กๆ แต่ยังไม่ได้รวมโซลูชันเข้าด้วยกันอย่างสมบูรณ์ ส่งผลให้อาจเกิดช่องโหว่บน DLP ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลออกไปได้

black_hat_1-2

แนะนำ DLP เบื้องต้นกันก่อน

DLP ย่อมาจาก Data Leak Prevention เป็นโซลูชันสำหรับป้องกันการรั่วไหลข้อมูลออกสู่ภายนอก ไม่ว่าพนักงานในองค์กรจะตั้งใจหรือไม่ได้ตั้งใจก็ตาม DLP นับว่าเป็นโซลูชันสำคัญที่ทุกองค์กรต้องมี ไม่ว่าจะเป็นโซลูชันแยกต่างหาก หรือเป็นฟีเจอร์ add-on บนโซลูชันด้านความปลอดภัยอื่นๆ เนื่องจากเป็นสิ่งที่ช่วยการันตีได้ว่า ข้อมูลความลับขององค์กรจะอยู่เฉพาะภายในองค์กรเท่านั้น ไม่เล็ดลอดออกสู่ภายนอก รวมทั้งอาจเรียกได้ว่าเป็นโซลูชันที่ช่วยป้องกันพนักงานที่ซื่อสัตย์สุจริตขององค์กรทำอะไรโง่ๆ อีกด้วย

DLP ที่ไม่ปลอดภัย อาจเป็นช่องโหว่เสียเอง

เนื่องจาก DLP จำเป็นต้องคอยเฝ้าระวังและตรวจสอบทราฟฟิค ไม่ว่าจะเป็นบนเครือข่าย อีเมล หรือที่จะส่งออกไปยังระบบ Cloud ส่งผลให้ DLP จำเป็นต้องมีสิทธิ์การเข้าถึงข้อมูลที่สูง มิเช่นนั้นจะไม่สามารถตรวจสอบข้อมูลข้างในได้ ปัญหาที่ตามมาคือ ถ้า DLP กลับกลายเป็นสิ่งที่ไม่มั่นคงปลอดภัยเสียเอง เช่น กรณีที่ Vendor รายใหญ่เข้าซื้อกิจการของ Vendor รายย่อย แล้วรีบนำโซลูชันมาผสานกันเพื่อให้พร้อมบริการลูกค้าโดยไม่ผ่านการตรวจสอบให้ดีเสียก่อน อาจกลายเป็นช่องโหว่ที่แฮ็คเกอร์ใช้เจาะเพื่อขโมยข้อมูลออกไปแทนได้

ทดสอบกับ 3 Vendors ชื่อดังและ Vendor รายย่อย พบมีช่องโหว่ทั้งสิ้น

Lanier และ Lum ได้ทำการทดสอบเจาะระบบโซลูชัน DLP จาก 3 Vendors ชื่อดัง ได้แก่ Trend Micro, Sophos และ Websense (ForcePoint ในปัจจุบัน) รวมไปถึง Open-source อย่าง OpenDLP และ Vendor รายย่อยอีก 4 ราย พบว่าทุก Vendor ต่างมีช่องโหว่ที่ค้นพบได้โดยการใช้เครื่องมือสแกน เช่น Burp Suite ทั้งสิ้น เช่น XSS, CSRF, ปัญหาเรื่อง chroot และ Privilege, ปัญหาเรื่องการพิสูจน์ตัวตนกับฐานข้อมูล เป็นต้น

black_hat_1-3

นอกจากนี้ยังพบว่าโซลูชันที่เป็น Linux ส่วนใหญ่ไม่มีการทำ Hardening รวมไปถึง Services ต่างๆ ที่ใช้งานและ Agent ที่ติดตั้งมีสิทธิ์ระดับ Root หรือ System ที่สำคัญคือ บาง Vendor ที่เพิ่งซื้อโซลูชันของคนอื่นมาใช้งานร่วมกัน กลับนำช่องโหว่บนโซลูชันเหล่านั้นแถมติดมาให้ด้วย เช่น JRE, FreeDCE ที่มีช่องโหว่และไม่ได้อัพเดทล่าสุด

หลายช่องโหว่ที่พบนั้น ถ้าถูกโจมตีอาจส่งผลให้แฮ็คเกอร์สามารถเข้าควบคุมระบบ DLP หรือใช้เป็นช่องทางในการขโมยข้อมูลภายในออกไปได้ทันที ดังนั้น จึงเป็นหน้าที่ของทั้ง Vendor และผู้ใช้งานที่ต้องร่วมกันตรวจสอบหาช่องโหว่และทดลองเจาะระบบอุปกรณ์ของตนเอง เพื่อให้มั่นใจได้ว่า ตัวโซลูชันที่เรานำมาป้องกันข้อมูลไม่ให้ถูกขโมยออกไป จะกลายเป็นช่องทางที่ถูกใช้ขโมยเสียเอง

“บาง Vendor ใช้เวลาเพียงไม่กี่วันก็ทราบถึงช่องโหว่ของอุปกรณ์ที่ตนเองมีอยู่ เนื่องจากบริษัทเหล่านี้จะมีกระบวนการ Internal Review อยู่เรื่อยๆ แต่บาง Vendor ก็ใช้เวลาถึงหลักเดือนจึงจะทราบว่าโซลูชันของตนเองไม่มั่นคงปลอดภัย ดังนั้น ก่อนที่จะเลือกใช้โซลูชันใดจึงควรสอบถามประเด็นเรื่องความมั่นคงปลอดภัยของตัวโซลูชันจาก Vendor ให้แน่ชัดเสียก่อน” — Lum ให้ความเห็น


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Comarch Wealth Management: Software สำหรับทีมที่ปรึกษาทางการเงินของธนาคาร ช่วยบริหารความมั่งคั่งให้กับลูกค้าได้ด้วยข้อมูลและ AI

อีกหนึ่งบริการใหญ่ที่เหล่าธนาคารและสถาบันการเงินต่างขับเคี่ยวกันอย่างเข้มข้นในประเทศไทยนั้น ก็คือบริการด้านการบริหารความมั่งคั่งให้กับลูกค้าของธนาคารหรือ Wealth Management ที่ทำให้ธนาคารได้พลิกบทบาทจากการเป็นเพียงแค่ผู้ดูแลเงิน มาสู่การเป็นที่ปรึกษาทางการเงินเพื่อให้ลูกค้าของธนาคารสามารถตอบโจทย์ที่แตกต่างกันไปด้วยการออมและการลงทุนที่เหมาะสมนั่นเอง แต่การให้บริการเหล่านี้ก็ไม่ใช่เรื่องง่าย เพราะโจทย์ของลูกค้าแต่ละคนนั้นแตกต่างกันออกไปตามเป้าหมายและสถานะทางการเงิน รวมถึงวิธีการคิดและการวางแผนนั้นก็ยังมีหลากหลาย ดังนั้นในการทำหน้าที่เป็นที่ปรึกษาทางการเงินที่ดีให้กับลูกค้าได้ ทางธนาคารเองก็ต้องมีระบบที่ดีเพื่อช่วยที่ปรึกษาทางการเงินหรือ Relationship Manager ของธนาคารในการวางแผนเหล่านี้แก่ลูกค้าคนสำคัญ Comarch …

Microsoft เผยบริการ Phishing-as-a-Service เกี่ยวพันกับหลายเหตุการโจมตี

Microsoft ได้ออกมาจับตาเกี่ยวกับขบวนการที่ให้บริการ Phishing-as-a-Service โดยมีความน่ากังวลในหลายประเด็น