TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Clint Gibler วิศวกรด้านความมั่นคงปลอดภัยจาก NCC Group ออกมาเปิดเผยในงาน Nullcon Security Conference ที่เพิ่งจัดไปที่ประเทศอินเดีย ระบุว่า ผลลัพธ์ของการใช้ Automated Tool ในการสแกนช่องโหว่ของเว็บแอพพลิเคชันมีอัตราการเกิด False Positive สูงถึง 89% หรือแม้แต่ผลการสแกนที่ดีที่สุดก็มี False Positive มากถึง 50%
Gilbler ได้ใช้ Web Automated Scanner ชื่อดังยี่ห้อหนึ่ง (ไม่ระบุนาม) ทดสอบสแกนช่องโหว่ของลูกค้า NCC Group กว่า 100 รายจาก 10 ภาคอุตสาหกรรม รายละ 4 ครั้ง ตั้งแต่เดือนกุมภาพันธ์ปี 2014 จนถึงเดือนพฤษภาคมปีที่ผ่านมา ผลปรากฏว่าพบช่องโหว่ด้านความมั่นคงปลอดภัยรวมกันสูงถึง 900,000 รายการ แต่หลังรกให้ทีมงานตรวจสอบแล้ว พบว่าบางอุตสาหกรรมมี False Positive สูงถึง 89% ในขณะที่ผลลัพธ์การสแกนทีดีที่สุดก็ยังมี False Positive มากถึง 50%
Gibler ระบุในงาน Nullcon ว่า เขาเสียค่าจ้างให้วิศวกรความมั่นคงปลอดภัยปีละประมาณ $75,000 (ประมาณ 2.7 ล้านบาท) และใช้เวลาเวลาน้อยกว่า 1 นาทีในการประเมินว่าเหตุการณ์ที่เกิดขึ้นเป็น False Positive หรือไม่ (รวมแล้วอาจนานถึง 1 – 9 สัปดาห์ต่อลูกค้า 1 ราย) ถึงแม้ว่าจะเป็นการลงทุนด้านบุคลากรและเวลาอย่างมหาศาล แต่ Automated Scanner ก็ยังนับเป็นสิ่งคุ้มค่าสำหรับบริษัทส่วนใหญ่อยู่ดี
“ถ้าโชคดี คุณอาจจะลงทุนเพียง $1,000 กับบุคลากรและเวลาเพื่อตรวจสอบปัญหาเหล่านี้ (รวมทั้ง True และ False Positive) แต่ถ้าเลวร้ายที่สุด ก็อาจสูงถึง $10,000 ~ $16,000 เลยทีเดียว” — Gibler ให้ความเห็น “คนส่วนใหญ่เมื่อซื้อเครื่องมือจะดูที่ราคาก่อนเป็นอันดับแรก แต่ไม่คำนึงถึงปัจจัยซ่อนเร้นทางด้านการตรวจสอบ False Positive และประโยชน์ที่สามารถเอามาใช้จริงได้”
Gibler ยังระบุเพิ่มเติมอีกว่า สำหรับช่องโหว่จริงที่เจอจำเป็นต้องใช้เวลานานสุดประมาณ 10 – 20 สัปดาห์ในการแพทช์ และบางช่องโหว่ก็พบว่ามีการถูกปล่อยทิ้งไว้นานนับปี ประเภทของช่องโหว่ที่ค้นพบมากที่สุด คือ Cross-site Scripting ซึ่งมีมากกว่า 10,000 รายการ จากประเภทช่องโหว่ที่ค้นพบกว่า 9,000 รูปแบบ
ที่มา: http://www.theregister.co.uk/2016/03/14/cheap_auto_vulnerability_scanners_can_have_a_16000_opex_tag/
