อย่าไว้ใจ Automated Tools !! NCC Group เผยผล Web Scanner ผิดพลาดถึงร้อยละ 50

Clint Gibler วิศวกรด้านความมั่นคงปลอดภัยจาก NCC Group ออกมาเปิดเผยในงาน Nullcon Security Conference ที่เพิ่งจัดไปที่ประเทศอินเดีย ระบุว่า ผลลัพธ์ของการใช้ Automated Tool ในการสแกนช่องโหว่ของเว็บแอพพลิเคชันมีอัตราการเกิด False Positive สูงถึง 89% หรือแม้แต่ผลการสแกนที่ดีที่สุดก็มี False Positive มากถึง 50%

image

Gilbler ได้ใช้ Web Automated Scanner ชื่อดังยี่ห้อหนึ่ง (ไม่ระบุนาม) ทดสอบสแกนช่องโหว่ของลูกค้า NCC Group กว่า 100 รายจาก 10 ภาคอุตสาหกรรม รายละ 4 ครั้ง ตั้งแต่เดือนกุมภาพันธ์ปี 2014 จนถึงเดือนพฤษภาคมปีที่ผ่านมา ผลปรากฏว่าพบช่องโหว่ด้านความมั่นคงปลอดภัยรวมกันสูงถึง 900,000 รายการ แต่หลังรกให้ทีมงานตรวจสอบแล้ว พบว่าบางอุตสาหกรรมมี False Positive สูงถึง 89% ในขณะที่ผลลัพธ์การสแกนทีดีที่สุดก็ยังมี False Positive มากถึง 50%

Gibler ระบุในงาน Nullcon ว่า เขาเสียค่าจ้างให้วิศวกรความมั่นคงปลอดภัยปีละประมาณ $75,000 (ประมาณ 2.7 ล้านบาท) และใช้เวลาเวลาน้อยกว่า 1 นาทีในการประเมินว่าเหตุการณ์ที่เกิดขึ้นเป็น False Positive หรือไม่ (รวมแล้วอาจนานถึง 1 – 9 สัปดาห์ต่อลูกค้า 1 ราย) ถึงแม้ว่าจะเป็นการลงทุนด้านบุคลากรและเวลาอย่างมหาศาล แต่ Automated Scanner ก็ยังนับเป็นสิ่งคุ้มค่าสำหรับบริษัทส่วนใหญ่อยู่ดี

“ถ้าโชคดี คุณอาจจะลงทุนเพียง $1,000 กับบุคลากรและเวลาเพื่อตรวจสอบปัญหาเหล่านี้ (รวมทั้ง True และ False Positive) แต่ถ้าเลวร้ายที่สุด ก็อาจสูงถึง $10,000 ~ $16,000 เลยทีเดียว” — Gibler ให้ความเห็น “คนส่วนใหญ่เมื่อซื้อเครื่องมือจะดูที่ราคาก่อนเป็นอันดับแรก แต่ไม่คำนึงถึงปัจจัยซ่อนเร้นทางด้านการตรวจสอบ False Positive และประโยชน์ที่สามารถเอามาใช้จริงได้”

Gibler ยังระบุเพิ่มเติมอีกว่า สำหรับช่องโหว่จริงที่เจอจำเป็นต้องใช้เวลานานสุดประมาณ 10 – 20 สัปดาห์ในการแพทช์ และบางช่องโหว่ก็พบว่ามีการถูกปล่อยทิ้งไว้นานนับปี ประเภทของช่องโหว่ที่ค้นพบมากที่สุด คือ Cross-site Scripting ซึ่งมีมากกว่า 10,000 รายการ จากประเภทช่องโหว่ที่ค้นพบกว่า 9,000 รูปแบบ

ที่มา: http://www.theregister.co.uk/2016/03/14/cheap_auto_vulnerability_scanners_can_have_a_16000_opex_tag/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Distributed Services Switch คืออะไร? Data Center Switch จะเปลี่ยนไปอย่างไรจากการมาของ Data Processing Unit (DPU)?

การมาของ Data Center Switch ชนิดใหม่ที่มีชื่อเรียกว่า Distributed Services Switch นี้เรียกได้ว่ามีโอกาสที่จะเข้ามาพลิกโฉมการออกแบบ Data Center Networking ทั้งภายในองค์กรและภายในบริการ Cloud ไปอย่างสิ้นเชิงในอนาคต จากการนำ Data Processing Unit หรือ DPU มาใช้สร้างความเป็นไปได้ในแนวทางใหม่ๆ และการแก้ไขปัญหาคอขวดภายในระบบเครือข่ายที่น่าสนใจ ในบทความนี้ทีมงาน TechTalkThai จะพาทุกท่านไปรู้จักกับแนวคิดของ Distributed Services Switch กันเพื่อให้เห็นภาพทั้งในเชิงเทคโนโลยี, การออกแบบ และการประยุกต์ใช้งาน เพื่อให้เป็นประโยชน์กับเหล่า Network Engineer ทั่วไทยกันครับ

Free webinar สำหรับผู้เริ่มต้นใช้งาน AWS : “ตั้งค่า S3 และ CloudFront อย่างไรให้ต้นทุนเว็บไซต์ถูกลงได้อีก ครั้งที่3” by Classmethod Thailand

ขอเชิญผู้ที่สนใจทุกท่านเข้าร่วม Classmethod Webinar สัมมนาออนไลน์ฟรี สำหรับผู้เริ่มต้นใช้งาน AWS โดยเนื้อหาจะสอนวิธีการ deploy เว็บเพจ Static ในราคาที่ถูกแสนถูก ใช้งานได้จริง ด้วยเงินแค่หลักสิบ