อย่าไว้ใจ Automated Tools !! NCC Group เผยผล Web Scanner ผิดพลาดถึงร้อยละ 50

Clint Gibler วิศวกรด้านความมั่นคงปลอดภัยจาก NCC Group ออกมาเปิดเผยในงาน Nullcon Security Conference ที่เพิ่งจัดไปที่ประเทศอินเดีย ระบุว่า ผลลัพธ์ของการใช้ Automated Tool ในการสแกนช่องโหว่ของเว็บแอพพลิเคชันมีอัตราการเกิด False Positive สูงถึง 89% หรือแม้แต่ผลการสแกนที่ดีที่สุดก็มี False Positive มากถึง 50%

image

Gilbler ได้ใช้ Web Automated Scanner ชื่อดังยี่ห้อหนึ่ง (ไม่ระบุนาม) ทดสอบสแกนช่องโหว่ของลูกค้า NCC Group กว่า 100 รายจาก 10 ภาคอุตสาหกรรม รายละ 4 ครั้ง ตั้งแต่เดือนกุมภาพันธ์ปี 2014 จนถึงเดือนพฤษภาคมปีที่ผ่านมา ผลปรากฏว่าพบช่องโหว่ด้านความมั่นคงปลอดภัยรวมกันสูงถึง 900,000 รายการ แต่หลังรกให้ทีมงานตรวจสอบแล้ว พบว่าบางอุตสาหกรรมมี False Positive สูงถึง 89% ในขณะที่ผลลัพธ์การสแกนทีดีที่สุดก็ยังมี False Positive มากถึง 50%

Gibler ระบุในงาน Nullcon ว่า เขาเสียค่าจ้างให้วิศวกรความมั่นคงปลอดภัยปีละประมาณ $75,000 (ประมาณ 2.7 ล้านบาท) และใช้เวลาเวลาน้อยกว่า 1 นาทีในการประเมินว่าเหตุการณ์ที่เกิดขึ้นเป็น False Positive หรือไม่ (รวมแล้วอาจนานถึง 1 – 9 สัปดาห์ต่อลูกค้า 1 ราย) ถึงแม้ว่าจะเป็นการลงทุนด้านบุคลากรและเวลาอย่างมหาศาล แต่ Automated Scanner ก็ยังนับเป็นสิ่งคุ้มค่าสำหรับบริษัทส่วนใหญ่อยู่ดี

“ถ้าโชคดี คุณอาจจะลงทุนเพียง $1,000 กับบุคลากรและเวลาเพื่อตรวจสอบปัญหาเหล่านี้ (รวมทั้ง True และ False Positive) แต่ถ้าเลวร้ายที่สุด ก็อาจสูงถึง $10,000 ~ $16,000 เลยทีเดียว” — Gibler ให้ความเห็น “คนส่วนใหญ่เมื่อซื้อเครื่องมือจะดูที่ราคาก่อนเป็นอันดับแรก แต่ไม่คำนึงถึงปัจจัยซ่อนเร้นทางด้านการตรวจสอบ False Positive และประโยชน์ที่สามารถเอามาใช้จริงได้”

Gibler ยังระบุเพิ่มเติมอีกว่า สำหรับช่องโหว่จริงที่เจอจำเป็นต้องใช้เวลานานสุดประมาณ 10 – 20 สัปดาห์ในการแพทช์ และบางช่องโหว่ก็พบว่ามีการถูกปล่อยทิ้งไว้นานนับปี ประเภทของช่องโหว่ที่ค้นพบมากที่สุด คือ Cross-site Scripting ซึ่งมีมากกว่า 10,000 รายการ จากประเภทช่องโหว่ที่ค้นพบกว่า 9,000 รูปแบบ

ที่มา: http://www.theregister.co.uk/2016/03/14/cheap_auto_vulnerability_scanners_can_have_a_16000_opex_tag/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ไมโครซอฟท์แนะนำขั้นตอนเดียวสุดง่ายแต่ช่วยลดความเสี่ยงถูกแฮ็กบัญชีได้ถึง 99.9%

เหตุการณ์ระบาดของ COVID-19 ทั่วโลกได้ส่งผลกระทบในแง่ของระบบรักษาความปลอดภัยด้วยเช่นกัน ซึ่งเราได้พบว่าเหล่าแฮ็กเกอร์ก็อาศัยเหตุการณ์นี้สร้างรูปแบบการโจมตีใหม่ๆ ขึ้นมา ด้วยการมุ่งเป้าไปที่พนักงานในองค์กร ยูสเซอร์ทั่วไป หรือคนที่ไม่ได้เชี่ยวชาญไอทีมากนัก ด้วยการใช้เทคนิคอย่าง Phishing, credential harvesting และ trojanized payloads …

Gartner ยก Microsoft ขึ้นกลุ่ม Leader ด้าน Industrial IoT Platforms

Microsoft ได้ก้าวขึ้นสู่ตำแหน่งผู้นำในกลุ่มของแพลตฟอร์มด้าน IoT ภาคอุตสาหกรรมหรือ IIoT