Black Hat Asia 2021

10 อันดับภัยคุกคามบนระบบฐานข้อมูลประจำปี 2015 โดย Imperva

imperva_logo_2

Imperva Application Defense Center (ADC) ทีมงานวิจัยเกี่ยวกับภัยคุกคามบนโลกไซเบอร์ของ Imperva Inc. ผู้ให้บริการโซลชันระบบรักษาความปลอดภัยของเว็บแอพพลิเคชัน ระบบไฟล์และฐานข้อมูล ชั้นนำของโลก ได้เปิดเผยภัยคุกคามและการบุกรุกโจมตีระบบฐานข้อมูลยอดนิยมในปี 2015 ที่ผ่านมา ดังนี้

imperva_db_threats_2015

เป็นเรื่องน่าสนใจที่ภัยคุกคามบนระบบฐานข้อมูลของปี 2015 ยังคงมีแนวโน้มเช่นเดียวกับปี 2013 ผู้ดูแลระบบควรดำเนินการประเมินความเสี่ยงและเตรียมแผนรับมือกับภัยคุกคามอย่างต่อเนื่อง รายละเอียดของภัยคุกคามทั้ง 10 อันดับ ประกอบด้วย

1. การไม่จำกัดสิทธิ์ให้เหมาะสม (Excessive and Unused Privileges)

การให้สิทธิ์ในการจัดการระบบฐานข้อมูลแก่ผู้ใช้จนเกินขอบเขตของงานที่รับผิดชอบ อาจส่งผลให้ผู้ใช้เหล่านั้นนำสิทธิ์ไปใช้ในทางที่ผิดได้ ยกตัวอย่างเช่น พนักงานธนาคารที่สามารถแก้ไขข้อมูลผู้ถือบัญชี อาจใช้สิทธิ์ที่เกินมาในการเพิ่มยอดเงินในบัญชีแก่คนรู้จัก หรือบางบริษัทไม่ได้ทำการริบสิทธิ์คืนแก่พนักงานที่ลาออกไปแล้ว ก็อาจส่งผลให้พนักงานแอบเข้ามาขโมยข้อมูลได้เช่นเดียวกัน

2. การใช้สิทธิ์ในทางที่ผิด (Privilege Abuse)

ผู้ใช้นำสิทธิ์ที่ตนมีอยู่ในใช้ในทางที่ไม่เหมาะสม หรือเป็นอันตรายต่อองค์กร เช่น เว็บแอพพลิเคชันของโรงพยาบาลที่ใช้ดูฐานข้อมูลผู้ป่วย ถูกจำกัดให้ดูข้อมูลผู้ป่วยได้ทีละคน และไม่สามารถบันทึกหรือคัดลอกข้อมูลออกไปได้ แต่ผู้ไม่ประสงค์ดีอาจละเมิดข้อจำกัดนั้นด้วยการเชื่อมต่อกับฐานข้อมูลผ่านแอพพลิเคชันอื่น เช่น Ms-Excel แล้วใช้สิทธิ์ที่ตนมีอยู่ดึงข้อมูลผู้ป่วยออกมาใส่ตารางและบันทึกออกไปได้ ก่อให้เกิดข้อมูลรั่วไหลได้

3. การแทรกโค้กแปลกปลอมลงช่อง Input (Input Injection ก่อนหน้านี้คือ SQL Injection)

การแทรกโค้ดเพื่อโจมตีมี 2 แบบหลักๆ ด้วยกัน คือ SQL Injection ที่มุ่งโจมตีระบบฐานข้อมูลทั่วไป กับ NoSQL Injection ที่มุ่งโจมตีแพลทฟอร์ม Big Data โดยปกติแล้ว SQL Injection จะทำการแทรกโค้ดแปลกปลอม (Unauthorized/Malicious Statement) ลงไปในช่อง Input ของเว็บแอพพลิเคชัน แต่ NoSQL Injection จะแทรกโค้ดลงไปใน Component ของ Big Data เช่น Hive หรือ MapReduce แต่ไม่ว่าจะด้วยวิธีใดก็ตาม ผลลัพธ์คือแฮ็คเกอร์สามารถเข้าถึงและแก้ไขข้อมูลได้ถึงแม้ว่าจะไม่มีสิทธิ์

4. มัลแวร์ (Malware)

การก่อการร้ายบนโลกไซเบอร์หรือแฮ็คเกอร์มักจะโจมตีโดยอาศัยหลายๆเทคนิครวมๆกัน เช่น ทำ Spear Phishing อีเมลล์ และปล่อยมัลแวร์เพื่อเจาะระบบและขโมยข้อมูล มัลแวร์ในระบบเครือข่ายอาจช่วยให้ผู้ไม่ประสงค์ดีเจาะระบบฐานข้อมูลได้ง่ายยิ่งขึ้น

5. การตรวจสอบการใช้งานฐานข้อมูลไม่ดีพอ (Weak Audit Trail)

การที่ไม่สามารถเรียกดูข้อมูลการใช้งานฐานข้อมูลตามที่ต้องการได้ทำให้เกิดความเสี่ยงต่อองค์กรเป็นอย่างมาก ซึ่งองค์กรส่วนใหญ่ในปัจจุบันนิยมใช้เครื่องมือในการตรวจสอบ (Audit Tool) ของระบบฐานของมูลที่มีมาให้อยู่แล้ว ซึ่งเครื่องมือดังกล่าวมีประสิทธิภาพไม่เพียงพอต่อการติดตามการใช้งาน การตรวจจับการโจมตี หรือการวิเคราะห์เชิงสถิติ ทั้งยังบริโภคทรัพยากรของระบบฐานข้อมูลและพื้นที่ฮาร์ดดิสก์อย่างมหาศาล นอกจากนี้ระบบฐานข้อมูลที่แตกต่างกัน เช่น MsSQL, Oracle หรือ DB2 ก็จะมีระบบการตรวจสอบการใช้งานฐานข้อมูลที่แตกต่างกัน ไม่สามารถใช้ร่วมกันได้ ส่งผลให้เป็นการยากที่จะจัดเก็บและวิเคราะห์ข้อมูลการใช้งานระบบฐานข้อมูลแบบรวมศูนย์

นอกจากนี้ ผู้ใช้งานที่มีสิทธิ์ระดับ admin ไม่ว่าจะเป็นผู้ดูแลระบบ หรือได้รับสิทธิ์มาจากการแฮ็ค สามารถปิดการตรวจสอบการใช้งานระบบฐานข้อมูลได้ทันที ทำให้สามารถเข้าถึงฐานข้อมูลโดยที่ไม่มีใครตรวจสอบได้ ดังนั้น หน้าที่ในการตรวจสอบจึงควรแยกออกมาจากผู้ดูแลระบบและเซิฟเวอร์ฐานข้อมูล เพื่อให้มั่นใจได้ว่าสามารถตรวจสอบและติดตามการเข้าถึงฐานข้อมูลของทุกคนได้จริง

6. การโจรกรรมที่จัดเก็บข้อมูล (Storage Media Exposure)

ที่จัดเก็บข้อมูลสำรอง (Backup Storage) นิยมเป็นเป้าหมายของการโจมตีซึ่งมีระบบการป้องกันต่ำ ทำให้สาเหตุที่ข้อมูลรั่วไหลส่วนใหญ่มาจากการขโมยข้อมูลบนระบบสำรองทั้งสิ้น

7. การโจมตีผ่านทางช่องโหว่ของระบบฐานข้อมูลที่ตั้งค่าไม่ดี (Exploitation of Vulnerable, Misconfigured Databases)

มันเป็นเรื่องง่ายที่จะค้นหาฐานข้อมูลที่มีช่องโหว่ หรือไม่ได้อัพเดทแพทช์ล่าสุด รวมทั้งฐานข้อมูลที่ใช้การตั้งค่าพารามิเตอร์ตามค่าดั้งเดิม (Default accounts and configuration parameters) แฮ็คเกอร์จึงให้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีระบบฐานข้อมูลขององค์กร จากสถิติของ IOUG (Independent Oracle User Group) ระบุว่า 36% ของผู้ใช้งาน Oracle ใช้เวลานานกว่า 6 เดือนในการอัพเดทแพทช์ใหม่ แฮ็คเกอร์มักใช้ช่วงเวลาดังกล่าวที่ไม่ได้อัพเดทแพทช์ในการโจมตีระบบฐานข้อมูล ที่แย่กว่านั้นคือ มีผู้ใช้มากถึง 8% ที่ไม่เคยอัพเดทแพทช์เลย

8. การไม่จัดการข้อมูลสำคัญให้ดี (Unmanaged Sensitive Data)

หลายองค์กรมักมีปัญหาในการจับเก็บข้อมูลสำคัญ เช่น ลืมไปว่ามีข้อมูลสำคัญบางอย่างถูกจัดเก็บไว้ในฐานข้อมูลนี้ หรือมีการสร้างฐานข้อมูลขึ้นมาใหม่ เช่น ในระบบทดสอบแอพพิลเคชันใหม่ เหล่านี้ถ้าไม่มีการแจ้งให้ทีมรักษาความปลอดภัยทราบ อาจส่งผลให้ข้อมูลสำคัญในฐานข้อมูลมีความเสียงถูกขโมยไปได้ เนื่องจากไม่มีการควบคุมและกำหนดสิทธิ์ในการเข้าถึง

9. Denial of Service (DoS)

DoS เป็นรูปแบบการโจมตีที่พบได้โดยทั่วไป ที่ก่อกวนระบบเครือข่ายและฐานข้อมูลให้ผู้ใช้งานไม่สามารถใช้บริการได้ เทคนิคของ DoS มีหลากหลายรูปแบบ แต่ที่ใช้กับระบบฐานข้อมูลมักจะเป็นการทำให้เซิฟเอวร์บริโภคทรัพยากรมากจนเกินไป เช่น การส่งคำร้องขอแก่ฐานข้อมูลเป็นจำนวนมหาศาล ทำให้ RAM และ CPU ของเซิฟเวอร์รับภาระไม่ไหว ส่วนใหญ่แฮ็คเกอร์มักมีเป้าหมายในการข่มขู่บังคับให้ทำตามข้อเรียกร้องของตน ไม่เช่นนั้นจะทำให้ระบบฐานข้อมูล่ม เป็นต้น

10. ขาดความรู้และความเชี่ยวชาญทางด้านความปลอดภัย

หลายองค์กรที่เกิดปัญหาถูกโจมตี หรือข้อมูลรั่วไหล สาเหตุที่พบได้บ่อยมักมาจากการขาดประสบการณ์ในการติดตั้งและกำหนดนโยบายระบบรักษาความปลอดภัยให้เหมาะสมต่อสภาพการใช้งาน จากการสำรวจของ Ponemon Institute ในปี 2014 กรณีมูลค่าของการเจาะระบบเพื่อขโมยข้อมูล พบว่า 30% ของเหตุการณ์ที่ระบบถูกเจาะมีสาเหตุหลักมาจาก “Human Factor” หรือก็คือ เกิดจากความรู้เท่าไม่ถึงการณ์หรือความเพิกเฉยของพนักงานในองค์กรนั่นเอง

ผู้ที่สนใจรายละเอียดเกี่ยวกับภัยคุกคามบนระบบฐานข้อมูลทั้ง 10 รูปแบบ สามารถอ่านรายละเอียดเพิ่มเติมได้ที่: http://www.imperva.com/docs/wp_topten_database_threats.pdf

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] เทนเซ็นต์ คลาวด์ หนุนผู้ประกอบการภาคการผลิต ใช้โซลูชันคลาวด์อัจฉริยะจากเทนเซ็นต์ ยกระดับมาตรฐานการผลิตสู่ Industry 4.0

เทนเซ็นต์ คลาวด์ กลุ่มธุรกิจคลาวด์ภายใต้เทนเซ็นต์ มุ่งยกระดับมาตรฐานอุตสาหกรรมการผลิตไทย แนะผู้ประกอบการเพิ่มขีดความสามารถทางการแข่งขันด้วยเทคโนโลยีคลาวด์อัจฉริยะและปัญญาประดิษฐ์ (AI) กุญแจสำคัญที่จะช่วยเสริมศักยภาพในการดำเนินธุรกิจ และยกระดับมาตรฐานการบริหารจัดการด้านการผลิตพร้อมก้าวสู่ยุค Industry 4.0 อย่างเต็มประสิทธิภาพ พร้อมยกตัวอย่างความสำเร็จการใช้คลาวด์เสริมธุรกิจของ Foxconn Industrial Internet …

[Guest Post] Find the Balance สร้างสิ่งที่ใช่และ trust ในใจลูกค้า

“จากข้อมูลการออกกำลังกายตอนเช้าที่อัพโหลดลงโซเชียลมีเดีย สิ่งที่ซื้อบนระบบอีคอมเมิร์ซในช่วงพักกลางวัน หรือการสั่งอาหารทางออนไลน์ในช่วงเย็น” จะด้วยความตั้งใจหรือไม่ก็ตาม “ข้อมูล” ที่ผู้ใช้งานได้สร้างและแชร์ไว้บนแพลตฟอร์มหรือแอปพลิเคชั่นต่างๆ ได้กลายเป็น “โปรดักส์และตัวเชื่อมสำคัญ” ที่ทำให้องค์กรธุรกิจผู้เก็บรวบรวมข้อมูล “รู้จักตัวตน ความคิด ความต้องการของผู้ใช้งานมากขึ้น” พร้อมกับแบ่งปันโอกาสที่มีมูลค่านี้ไปยัง “บุคคลที่สาม” เพื่อใช้ในการขับเคลื่อนกลยุทธ์ทางการตลาด …