Breaking News

10 อันดับภัยคุกคามบนระบบฐานข้อมูลประจำปี 2015 โดย Imperva

imperva_logo_2

Imperva Application Defense Center (ADC) ทีมงานวิจัยเกี่ยวกับภัยคุกคามบนโลกไซเบอร์ของ Imperva Inc. ผู้ให้บริการโซลชันระบบรักษาความปลอดภัยของเว็บแอพพลิเคชัน ระบบไฟล์และฐานข้อมูล ชั้นนำของโลก ได้เปิดเผยภัยคุกคามและการบุกรุกโจมตีระบบฐานข้อมูลยอดนิยมในปี 2015 ที่ผ่านมา ดังนี้

imperva_db_threats_2015

เป็นเรื่องน่าสนใจที่ภัยคุกคามบนระบบฐานข้อมูลของปี 2015 ยังคงมีแนวโน้มเช่นเดียวกับปี 2013 ผู้ดูแลระบบควรดำเนินการประเมินความเสี่ยงและเตรียมแผนรับมือกับภัยคุกคามอย่างต่อเนื่อง รายละเอียดของภัยคุกคามทั้ง 10 อันดับ ประกอบด้วย

1. การไม่จำกัดสิทธิ์ให้เหมาะสม (Excessive and Unused Privileges)

การให้สิทธิ์ในการจัดการระบบฐานข้อมูลแก่ผู้ใช้จนเกินขอบเขตของงานที่รับผิดชอบ อาจส่งผลให้ผู้ใช้เหล่านั้นนำสิทธิ์ไปใช้ในทางที่ผิดได้ ยกตัวอย่างเช่น พนักงานธนาคารที่สามารถแก้ไขข้อมูลผู้ถือบัญชี อาจใช้สิทธิ์ที่เกินมาในการเพิ่มยอดเงินในบัญชีแก่คนรู้จัก หรือบางบริษัทไม่ได้ทำการริบสิทธิ์คืนแก่พนักงานที่ลาออกไปแล้ว ก็อาจส่งผลให้พนักงานแอบเข้ามาขโมยข้อมูลได้เช่นเดียวกัน

2. การใช้สิทธิ์ในทางที่ผิด (Privilege Abuse)

ผู้ใช้นำสิทธิ์ที่ตนมีอยู่ในใช้ในทางที่ไม่เหมาะสม หรือเป็นอันตรายต่อองค์กร เช่น เว็บแอพพลิเคชันของโรงพยาบาลที่ใช้ดูฐานข้อมูลผู้ป่วย ถูกจำกัดให้ดูข้อมูลผู้ป่วยได้ทีละคน และไม่สามารถบันทึกหรือคัดลอกข้อมูลออกไปได้ แต่ผู้ไม่ประสงค์ดีอาจละเมิดข้อจำกัดนั้นด้วยการเชื่อมต่อกับฐานข้อมูลผ่านแอพพลิเคชันอื่น เช่น Ms-Excel แล้วใช้สิทธิ์ที่ตนมีอยู่ดึงข้อมูลผู้ป่วยออกมาใส่ตารางและบันทึกออกไปได้ ก่อให้เกิดข้อมูลรั่วไหลได้

3. การแทรกโค้กแปลกปลอมลงช่อง Input (Input Injection ก่อนหน้านี้คือ SQL Injection)

การแทรกโค้ดเพื่อโจมตีมี 2 แบบหลักๆ ด้วยกัน คือ SQL Injection ที่มุ่งโจมตีระบบฐานข้อมูลทั่วไป กับ NoSQL Injection ที่มุ่งโจมตีแพลทฟอร์ม Big Data โดยปกติแล้ว SQL Injection จะทำการแทรกโค้ดแปลกปลอม (Unauthorized/Malicious Statement) ลงไปในช่อง Input ของเว็บแอพพลิเคชัน แต่ NoSQL Injection จะแทรกโค้ดลงไปใน Component ของ Big Data เช่น Hive หรือ MapReduce แต่ไม่ว่าจะด้วยวิธีใดก็ตาม ผลลัพธ์คือแฮ็คเกอร์สามารถเข้าถึงและแก้ไขข้อมูลได้ถึงแม้ว่าจะไม่มีสิทธิ์

4. มัลแวร์ (Malware)

การก่อการร้ายบนโลกไซเบอร์หรือแฮ็คเกอร์มักจะโจมตีโดยอาศัยหลายๆเทคนิครวมๆกัน เช่น ทำ Spear Phishing อีเมลล์ และปล่อยมัลแวร์เพื่อเจาะระบบและขโมยข้อมูล มัลแวร์ในระบบเครือข่ายอาจช่วยให้ผู้ไม่ประสงค์ดีเจาะระบบฐานข้อมูลได้ง่ายยิ่งขึ้น

5. การตรวจสอบการใช้งานฐานข้อมูลไม่ดีพอ (Weak Audit Trail)

การที่ไม่สามารถเรียกดูข้อมูลการใช้งานฐานข้อมูลตามที่ต้องการได้ทำให้เกิดความเสี่ยงต่อองค์กรเป็นอย่างมาก ซึ่งองค์กรส่วนใหญ่ในปัจจุบันนิยมใช้เครื่องมือในการตรวจสอบ (Audit Tool) ของระบบฐานของมูลที่มีมาให้อยู่แล้ว ซึ่งเครื่องมือดังกล่าวมีประสิทธิภาพไม่เพียงพอต่อการติดตามการใช้งาน การตรวจจับการโจมตี หรือการวิเคราะห์เชิงสถิติ ทั้งยังบริโภคทรัพยากรของระบบฐานข้อมูลและพื้นที่ฮาร์ดดิสก์อย่างมหาศาล นอกจากนี้ระบบฐานข้อมูลที่แตกต่างกัน เช่น MsSQL, Oracle หรือ DB2 ก็จะมีระบบการตรวจสอบการใช้งานฐานข้อมูลที่แตกต่างกัน ไม่สามารถใช้ร่วมกันได้ ส่งผลให้เป็นการยากที่จะจัดเก็บและวิเคราะห์ข้อมูลการใช้งานระบบฐานข้อมูลแบบรวมศูนย์

นอกจากนี้ ผู้ใช้งานที่มีสิทธิ์ระดับ admin ไม่ว่าจะเป็นผู้ดูแลระบบ หรือได้รับสิทธิ์มาจากการแฮ็ค สามารถปิดการตรวจสอบการใช้งานระบบฐานข้อมูลได้ทันที ทำให้สามารถเข้าถึงฐานข้อมูลโดยที่ไม่มีใครตรวจสอบได้ ดังนั้น หน้าที่ในการตรวจสอบจึงควรแยกออกมาจากผู้ดูแลระบบและเซิฟเวอร์ฐานข้อมูล เพื่อให้มั่นใจได้ว่าสามารถตรวจสอบและติดตามการเข้าถึงฐานข้อมูลของทุกคนได้จริง

6. การโจรกรรมที่จัดเก็บข้อมูล (Storage Media Exposure)

ที่จัดเก็บข้อมูลสำรอง (Backup Storage) นิยมเป็นเป้าหมายของการโจมตีซึ่งมีระบบการป้องกันต่ำ ทำให้สาเหตุที่ข้อมูลรั่วไหลส่วนใหญ่มาจากการขโมยข้อมูลบนระบบสำรองทั้งสิ้น

7. การโจมตีผ่านทางช่องโหว่ของระบบฐานข้อมูลที่ตั้งค่าไม่ดี (Exploitation of Vulnerable, Misconfigured Databases)

มันเป็นเรื่องง่ายที่จะค้นหาฐานข้อมูลที่มีช่องโหว่ หรือไม่ได้อัพเดทแพทช์ล่าสุด รวมทั้งฐานข้อมูลที่ใช้การตั้งค่าพารามิเตอร์ตามค่าดั้งเดิม (Default accounts and configuration parameters) แฮ็คเกอร์จึงให้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีระบบฐานข้อมูลขององค์กร จากสถิติของ IOUG (Independent Oracle User Group) ระบุว่า 36% ของผู้ใช้งาน Oracle ใช้เวลานานกว่า 6 เดือนในการอัพเดทแพทช์ใหม่ แฮ็คเกอร์มักใช้ช่วงเวลาดังกล่าวที่ไม่ได้อัพเดทแพทช์ในการโจมตีระบบฐานข้อมูล ที่แย่กว่านั้นคือ มีผู้ใช้มากถึง 8% ที่ไม่เคยอัพเดทแพทช์เลย

8. การไม่จัดการข้อมูลสำคัญให้ดี (Unmanaged Sensitive Data)

หลายองค์กรมักมีปัญหาในการจับเก็บข้อมูลสำคัญ เช่น ลืมไปว่ามีข้อมูลสำคัญบางอย่างถูกจัดเก็บไว้ในฐานข้อมูลนี้ หรือมีการสร้างฐานข้อมูลขึ้นมาใหม่ เช่น ในระบบทดสอบแอพพิลเคชันใหม่ เหล่านี้ถ้าไม่มีการแจ้งให้ทีมรักษาความปลอดภัยทราบ อาจส่งผลให้ข้อมูลสำคัญในฐานข้อมูลมีความเสียงถูกขโมยไปได้ เนื่องจากไม่มีการควบคุมและกำหนดสิทธิ์ในการเข้าถึง

9. Denial of Service (DoS)

DoS เป็นรูปแบบการโจมตีที่พบได้โดยทั่วไป ที่ก่อกวนระบบเครือข่ายและฐานข้อมูลให้ผู้ใช้งานไม่สามารถใช้บริการได้ เทคนิคของ DoS มีหลากหลายรูปแบบ แต่ที่ใช้กับระบบฐานข้อมูลมักจะเป็นการทำให้เซิฟเอวร์บริโภคทรัพยากรมากจนเกินไป เช่น การส่งคำร้องขอแก่ฐานข้อมูลเป็นจำนวนมหาศาล ทำให้ RAM และ CPU ของเซิฟเวอร์รับภาระไม่ไหว ส่วนใหญ่แฮ็คเกอร์มักมีเป้าหมายในการข่มขู่บังคับให้ทำตามข้อเรียกร้องของตน ไม่เช่นนั้นจะทำให้ระบบฐานข้อมูล่ม เป็นต้น

10. ขาดความรู้และความเชี่ยวชาญทางด้านความปลอดภัย

หลายองค์กรที่เกิดปัญหาถูกโจมตี หรือข้อมูลรั่วไหล สาเหตุที่พบได้บ่อยมักมาจากการขาดประสบการณ์ในการติดตั้งและกำหนดนโยบายระบบรักษาความปลอดภัยให้เหมาะสมต่อสภาพการใช้งาน จากการสำรวจของ Ponemon Institute ในปี 2014 กรณีมูลค่าของการเจาะระบบเพื่อขโมยข้อมูล พบว่า 30% ของเหตุการณ์ที่ระบบถูกเจาะมีสาเหตุหลักมาจาก “Human Factor” หรือก็คือ เกิดจากความรู้เท่าไม่ถึงการณ์หรือความเพิกเฉยของพนักงานในองค์กรนั่นเอง

ผู้ที่สนใจรายละเอียดเกี่ยวกับภัยคุกคามบนระบบฐานข้อมูลทั้ง 10 รูปแบบ สามารถอ่านรายละเอียดเพิ่มเติมได้ที่: http://www.imperva.com/docs/wp_topten_database_threats.pdf


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

IBM เผยสร้าง Quantum Safe Tape Drive สำเร็จแล้ว

IBM ได้ออกมาเผยถึงผลงานจากทีม IBM Research ที่ Switzerland ร่วมกับทีม IBM Tape Developer ที่ได้ใช้เวลา 10 เดือนในการพัฒนาเทคโนโลยี Quantum Safe Tape Drive ซึ่งเข้ารหัสข้อมูลบน Tape ด้วยวิธีการที่ทนทานต่อพลังประมวลผลของ Quantum Computer ในอนาคตได้สำเร็จ

ซื้อไม่หยุด! VMware เผยแผนเข้าซื้อกิจการ Intrinsic ผู้พัฒนาเทคโนโลยีความปลอดภัยบน Serverless Computing

VMware ได้ออกมายืนยันถึงแผนการเข้าซื้อกิจการของ Instrinsic บริษัท Startup ด้าน Security สำหรับ Serverless Computing โดยไม่เปิดเผยมูลค่า