อย่าไว้ใจ Automated Tools !! NCC Group เผยผล Web Scanner ผิดพลาดถึงร้อยละ 50

Clint Gibler วิศวกรด้านความมั่นคงปลอดภัยจาก NCC Group ออกมาเปิดเผยในงาน Nullcon Security Conference ที่เพิ่งจัดไปที่ประเทศอินเดีย ระบุว่า ผลลัพธ์ของการใช้ Automated Tool ในการสแกนช่องโหว่ของเว็บแอพพลิเคชันมีอัตราการเกิด False Positive สูงถึง 89% หรือแม้แต่ผลการสแกนที่ดีที่สุดก็มี False Positive มากถึง 50%

image

Gilbler ได้ใช้ Web Automated Scanner ชื่อดังยี่ห้อหนึ่ง (ไม่ระบุนาม) ทดสอบสแกนช่องโหว่ของลูกค้า NCC Group กว่า 100 รายจาก 10 ภาคอุตสาหกรรม รายละ 4 ครั้ง ตั้งแต่เดือนกุมภาพันธ์ปี 2014 จนถึงเดือนพฤษภาคมปีที่ผ่านมา ผลปรากฏว่าพบช่องโหว่ด้านความมั่นคงปลอดภัยรวมกันสูงถึง 900,000 รายการ แต่หลังรกให้ทีมงานตรวจสอบแล้ว พบว่าบางอุตสาหกรรมมี False Positive สูงถึง 89% ในขณะที่ผลลัพธ์การสแกนทีดีที่สุดก็ยังมี False Positive มากถึง 50%

Gibler ระบุในงาน Nullcon ว่า เขาเสียค่าจ้างให้วิศวกรความมั่นคงปลอดภัยปีละประมาณ $75,000 (ประมาณ 2.7 ล้านบาท) และใช้เวลาเวลาน้อยกว่า 1 นาทีในการประเมินว่าเหตุการณ์ที่เกิดขึ้นเป็น False Positive หรือไม่ (รวมแล้วอาจนานถึง 1 – 9 สัปดาห์ต่อลูกค้า 1 ราย) ถึงแม้ว่าจะเป็นการลงทุนด้านบุคลากรและเวลาอย่างมหาศาล แต่ Automated Scanner ก็ยังนับเป็นสิ่งคุ้มค่าสำหรับบริษัทส่วนใหญ่อยู่ดี

“ถ้าโชคดี คุณอาจจะลงทุนเพียง $1,000 กับบุคลากรและเวลาเพื่อตรวจสอบปัญหาเหล่านี้ (รวมทั้ง True และ False Positive) แต่ถ้าเลวร้ายที่สุด ก็อาจสูงถึง $10,000 ~ $16,000 เลยทีเดียว” — Gibler ให้ความเห็น “คนส่วนใหญ่เมื่อซื้อเครื่องมือจะดูที่ราคาก่อนเป็นอันดับแรก แต่ไม่คำนึงถึงปัจจัยซ่อนเร้นทางด้านการตรวจสอบ False Positive และประโยชน์ที่สามารถเอามาใช้จริงได้”

Gibler ยังระบุเพิ่มเติมอีกว่า สำหรับช่องโหว่จริงที่เจอจำเป็นต้องใช้เวลานานสุดประมาณ 10 – 20 สัปดาห์ในการแพทช์ และบางช่องโหว่ก็พบว่ามีการถูกปล่อยทิ้งไว้นานนับปี ประเภทของช่องโหว่ที่ค้นพบมากที่สุด คือ Cross-site Scripting ซึ่งมีมากกว่า 10,000 รายการ จากประเภทช่องโหว่ที่ค้นพบกว่า 9,000 รูปแบบ

ที่มา: http://www.theregister.co.uk/2016/03/14/cheap_auto_vulnerability_scanners_can_have_a_16000_opex_tag/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

มาตรฐาน Compute Express Link 3.0 ออกแล้วเพิ่มความแรงบน PCIe 6.0 พร้อมฟีเจอร์การเชื่อมต่ออย่างซับซ้อน

Compute Express Link (CXL) เป็นมาตรฐานที่มีจุดประสงค์เพื่อเชื่อมต่อ CPU เข้ากับตัวเร่งการประมวลผลให้สามารถใช้หน่วยความจำร่วมกันได้ โดยพัฒนาต่อยอดอยู่บนมาตรฐานการเชื่อมต่อแบบ PCIe ซึ่งเวอร์ชัน 1.0, 1.1 และ 2.0 ในช่วงปี …

[Guest Post] ฟอร์ติเน็ตเปิดตัวโซลูชัน Cloud native protection ปกป้องธุรกิจให้พ้นจากภัยคุกคามบนคลาวด์ พร้อมให้ใช้งานแล้วบน AWS

FortiCNP ช่วยลดความซับซ้อนในกระบวนการด้านความปลอดภัยบนคลาวด์ บริหารความเสี่ยงภัยได้เร็วขึ้น และให้การป้องกันภัยคุกคามได้เกือบเรียลไทม์ด้วยคุณสมบัติในการตรวจจับมัลแวร์ในระดับ Zero-Permission