Trend Micro เริ่มให้บริการการตรวจสอบ Web App บน AWS

trend_micro_logo

หลายบริษัทในปัจจุบันเริ่มหันมาใช้งานระบบคลาวด์เพิ่มมากขึ้นเรื่อยๆ ไม่ว่าจะเพราะต้องการลดค่าใช้จ่าย เพิ่มศักยภาพของระบบ IT หรือเพิ่มความคล่องตัวของธุรกิจ ซึ่งบริษัทส่วนใหญ่เริ่มต้นโดยการฝากโฮสต์เว็บไซต์ของบริษัทไว้บนระบบคลาวด์ โดยจุดประสงค์เพื่อใช้ทดสอบประสิทธิภาพและการทำงานของระบบคลาวด์ว่าสามารถนำมาใช้ต่อยอดการใช้งานของบริษัทได้หรือไม่

ความท้าทายหลักของบริษัทที่ฝากโฮสต์ไว้บนคลาวด์ คือ เว็บแอพพลิเคชันของพวกเขาอาจตกเป็นเป้าหมายของแฮ็คเกอร์ได้ง่าย เนื่องจากทุกคนสามารถเข้าถึงระบบคลาวด์ได้ไม่ว่าจะอยู่ที่ใดบนโลกนี้ เพื่อที่จะมั่นใจได้ว่าเว็บแอพพลิเคชันของบริษัทมีความปลอดภัย จำเป็นต้องเตรียมพร้อมรับมือกับเงื่อนไข 2 ประการ คือ

  1. เว็บแอพพลิเคชันที่ไม่ได้ถูกออกแบบให้มีความปลอดภัยสูงนักจะทำให้แฮ็คเกอร์สามารถใช้เป็นช่องทางในการเข้าถึงข้อมูลลูกค้า ระบบเครือข่ายภายใน และระบบฐานข้อมูลที่สำคญของบริษัทได้
  2. การโจมตีช่องโหว่ของเว็บไซต์ เช่น SQL Injection และ XSS ถือเป็นเรื่องปกติธรรมดา และหาข้อมูลผ่านอินเตอร์เน็ตได้ง่าย ไม่ว่าใครก็สามารถทดลองโจมตีเว็บไซต์ได้

ทั้ง 2 ปัจจัยดังกล่าวส่งผลให้ 22% ของการแฮ็คเป็นการโจมตีผ่านทางเว็บแอพพลิเคชัน ซึ่งถือว่าเป็นที่นิยมอันดับ 1 ในปัจจุบัน

เว็บแอพพลิเคชันบนระบบคลาวด์

มันคงเป็นเรื่องยากที่เราจะนอนหลับสนิทเมื่อเราวางเว็บไซต์ของเรา (ซึ่งเป็นที่ชื่นชอบของแฮ็คเกอร์) ไว้บนคลาวด์ ในการประชุม AWS ที่เมืองซานฟรานซิสโก ประเทศสหรัฐอเมริกาที่ผ่านมา Stephen Schmidt หัวหน้าฝ่ายความปลอดภัยของข้อมูลของ AWS ได้เปลี่ยนทัศนคติของเว็บไซต์บนระบบคลาวด์ใหม่ นั่นคือ อันที่จริงแล้วเราสามารถทำให้ Data center บนคลาวด์มีความปลอดภัยกว่า Data Center ที่อยู่ในห้องสำนักงานใหญ่ได้ เนื่องจากเราสามารถคอยดูแล ติดตามและควบคุมการใช้งานได้ดีกว่าระบบแบบเดิมๆ ซึ่งเว็บแอพพลิเคชันบนคลาวด์ก็เป็นเช่นเดียวกัน

เราสามารถติดตั้งระบบรักษาความปลอดภัยของแอพพลิเคชันและข้อมูลบนคลาวด์ได้โดยอาศัยโมเดลความปลอดภัยที่ AWS มีให้ ซึ่งในส่วนของเว็บแอพพลิเคชันนั้น ก็คือการตรวจสอบช่องโหว่ของเว็บไซต์ และป้องกันช่องโหว่เพียงแค่ 2 ขั้นตอน อย่างไรก็ตาม เนื่องจากการตรวจสอบช่องโหว่ของเว็บไซต์อาจมีผลกระทบต่อแอพพลิเคชันและแพลทฟอร์มอื่นๆในระบบคลาวด์ได้ เราจึงต้องยื่นคำร้องแก่ AWS ล่วงหน้า กล่าวคือ ทุกๆครั้งที่เราต้องการจะตรวจสอบช่องโหว่ เราจำเป็นต้องกรอกแบบฟอร์มแล้วยื่นเรื่องให้ AWS รับทราบ การกระทำดังกล่าวทำให้สิ้นเปลืองแรงงานและกระบวนการตรวจสอบเกิดความล่าช้า โดยเฉพาะอย่างยิ่งถ้าบริษัทมีนโยบายในการตรวจสอบช่องโหว่ทุกวัน หรือทุกสัปดาห์ก็จะทำให้เกิดความยุ่งยากเป็นอย่างมาก

ข่าวดีก็คือ ตอนนี้ AWS เปิดให้เช่าใช้บริการ Trend Micro Deep Security for Web Apps เพื่อใช้ตรวจสอบช่องโหว่ของเว็บไซต์แล้ว ส่งผลให้ผู้ที่ใช้บริการดังกล่าวไม่จำเป็นต้องยื่นคำร้องเพื่อขอตรวจสอบช่องโหว่กับทาง AWS อีกต่อไป ทุกคนสามารถตรวจสอบช่องโหว่ของเว็บไซต์ตนเองได้ตลอดเวลา

trend_micro_aws

Deep Security for Web Apps ทำให้ระบบรักษาความปลอดภัยของโฮสต์บน AWS ดีขึ้นโดย

  1. สามารถตรวจสอบแอพพลิเคชัน แพลทฟอร์ม และมัลแวร์ด้วยตนเองได้ตลอดเวลาเมื่อระบบมีการเปลี่ยนแปลง หรือถูกปรับแต่ง โดยไม่จำเป็นต้องยื่นคำร้องแก่ AWS อีกต่อไป
  2. มีฟังก์ชันป้องกันในตัว เช่น IPS rule, Virtual Patching และ WAF rule เพื่อใช้ในการอุดช่องโหว่ของแอพพลิเคชันและแพลทฟอร์มได้ทันที

รายละเอียดเพิ่มเติม: Deep Security for Web Apps

ที่มา: http://blog.trendmicro.com/web-application-scanning-aws/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

AMD เปิดตัวการ์ดเน็ตเวิร์กระดับ 400Gbps ตัวแรกของโลกที่เปิดให้โปรแกรมเองได้

AMD Pollara 400 หรือโซลูชัน NIC ใหม่จาก AMD ซึ่งจุดเด่นคือการเปิดให้มีการโปรแกรมการใช้งานเพิ่มเองได้ และรองรับมาตรฐานจาก Ultra Ethernet Consortium (UEC) ได้ด้วย

Passwordless คืออะไร?

รู้สึกชีวิตยากไหมกับการที่ต้องรหัสผ่านนับสิบในทุกวันนี้ นั่นทำให้เกิดการตั้งรหัสผ่านแบบง่ายๆ หรือวนใช้รหัสผ่านซ้ำ ซึ่งเมื่อข้อมูลรั่วก็โดนแฮ็กได้แบบรวบยอด ด้วยเหตุนี้เองแนวคิดของ Passwordless จึงเริ่มถูกผลักดันมากขึ้น ในบทความนี้เราจะพาทุกท่านไปรู้จักนิยามของ Passwordless และวิธีการใช้งานกัน

Leave a Reply