Credit: Brian Rinker

มี Web App Security ทำไมยังถูกแฮ็ค ?

Ponemon Institute สถาบันวิจัยด้านความปลอดภัยข้อมูล สหรัฐอเมริกา ได้ทำการสำรวจบริษัทชื่อดังเกือบ 600 บริษัทเกี่ยวกับความปลอดภัยของเว็บไซต์ เกือบทั้งหมดเคยถูกแฮ็คทั้งๆที่ต่างมีการติดตั้งระบบรักษาความปลอดภัยสำหรับเว็บแอพพลิเคชัน พบสาเหตุเกิดจากการการใช้ Web Application Firewall ผิดวิธี และความล้มเหลวในการทดสอบความปลอดภัยของเว็บไซต์

98% ของบริษัท IT ที่สำรวจเคยถูกแฮ็คเว็บไซต์

Ponemon Institute ได้ทำการสอบถามผู้เชี่ยวชาญด้าน IT จากบริษัทชื่อดัง 594 บริษัท โดยที่ 54% ของบริษัทเหล่านี้เป็นบริษัทขนาดใหญ่ที่มีพนักงานมากกว่า 1,000 คน พบว่า 98% ของบริษัทเหล่านี้เคยถูกแฮ็คเว็บไซต์ในรอบ 12 เดือนที่ผ่านมา มีเพียง 2% เท่านั้นที่ยืนยันว่าเว็บแอพพลิเคชันของตนไม่เคยถูกเจาะมาก่อน

พบสาเหตุเกิดจากความไม่รู้ในการทดสอบเว็บไซต์

จากการสำรวจเว็บแอพพลิเคชันที่เคยถูกเจาะ พบว่าโดยเฉลี่ยแล้ว เว็บแอพเหล่านั้นเคยทดสอบความปลอดภัยน้อยกว่าร้อยละ 50 ทั้งนี้สาเหตุเกิดจาก

  • ไม่รู้ว่าต้องทดสอบมากน้อยแค่ไหน
  • ผู้บริหารอาวุโสไม่เข้าใจความปลอดภัยของแอพพลิเคชัน และไม่เห็นถึงความสำคัญ
  • ไม่มีงบในการทดสอบ
  • ไม่มีผู้เชี่ยวชาญในการทดสอบ

อย่างไรก็ตาม จากการสำรวจพบว่า ความปลอดภัยของเว็บแอพพลิเคชันนั้นกลับถูกมองว่าเป็นสิ่งสำคัญมาก เนื่องจากเหตุผล 3 ประการ คือ ต้องปกป้องข้อมูล หลีกเลี่ยงการสูญเสียรายได้ และต้องปฏิบัติตามข้อกำหนดและมาตรฐานต่างๆ

ไม่ค่อยทำ Vulnerability Scan และ Penetration Test

รายงานการสำรวจระบุ 45% ของบริษัททั้งหมดไม่ได้ทำการตรวจสอบช่องโหว่ และทดสอบการเจาะระบบเป็นประจำ มีเพียง 13% เท่านั้นที่ทำการทดสอบเว็บแอพทุกครั้งหลังมีการแก้ไขโค้ด และมีเพียง 15% เท่านั้นที่ทำการทดสอบทุกๆเดือน

Vulnerability Scan และ Penetration Test เป็นพื้นฐานสำคัญในการตรวจสอบความปลอดภัยของเว็บไซต์ที่ควรทำทุกเดือน หรือทุกไตรมาส การทดสอบเหล่านี้ช่วยให้เราระบุและอุดช่องโหว่ของเว็บแอพพลิเคชันได้อย่างรวดเร็ว ก่อนที่จะถูกแฮ็คเกอร์ค้นพบและโจมตีรอยรั่วเหล่านั้น

การอุดช่องโหว่มักใช้เวลาหลายวัน หรือหลายสัปดาห์

อีกหนึ่งสาเหตุสำคัญที่ทำให้เว็บไซต์ถูกเจาะ เกิดจากความล่าช้าในการอุดช่องโหว่ จากการสำรวจพบว่า ในการอุดช่องโหว่แต่ละครั้งจำเป็นต้องใช้เวลาหลายวัน หรือบางทีอาจต้องใช้เวลานานเป็นสัปดาห์ ซึ่งระหว่างนี้หลายบริษัทอาจต้องเผชิญกับความเสี่ยงในการถูกโจมตีได้

ใช้งาน Web Application Firewall ไม่ถูกวิธี

การติดตั้ง Web Application Firewall ให้ป้องกันการโจมตีได้อย่างแน่นอนนั้น ต้องติดตั้งแบบวางขวาง (In-line) แต่จากการสอบถามของ Ponemon Institute พบว่า ผู้เชี่ยวชาญด้าน IT หลายคนเชื่อว่า การติดตั้งแบบ Out-of-Line เป็นวิธีที่มีดีที่สุดในการหยุดยั้งมัลแวร์และการโจมตีแบบ Zero-day

โดยสรุปแล้ว การทำ Penetration Test ถือว่าเป็นวิธีที่มีประสิทธิภาพมากที่สุดในการตรวจจับและอุดช่องโหว่การที่จะใช้งานแอพพลิเคชันจริงบนอินเตอร์เน็ต ซึ่งปัจจุบันนี้ก็มีโปรแกรมฟรี (แต่เชื่อถือได้) สำหรับใช้ทดสอบมากมาย ไม่ว่าจะเป็น OWASP ZAP หรือ Subgraph VEGA เป็นต้น และควรหมั่นทำการทดสอบบ่อยๆ เพื่อตรวจสอบการป้องกันภัยคุกคามรูปแบบใหม่ที่อาจส่งผลกระทบต่อแอพพลิเคชันที่ใช้งานอยู่ของบริษัท

รายงานฉบับเต็ม: http://www.stateoftheinternet.com/campaigns/2015/csoupdate.html?utm_source=Publications.utm_medium=Online.utm_campaign=WP-PonemonWeb

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …