Black Hat Asia 2023
Credit: Brian Rinker

มี Web App Security ทำไมยังถูกแฮ็ค ?

Ponemon Institute สถาบันวิจัยด้านความปลอดภัยข้อมูล สหรัฐอเมริกา ได้ทำการสำรวจบริษัทชื่อดังเกือบ 600 บริษัทเกี่ยวกับความปลอดภัยของเว็บไซต์ เกือบทั้งหมดเคยถูกแฮ็คทั้งๆที่ต่างมีการติดตั้งระบบรักษาความปลอดภัยสำหรับเว็บแอพพลิเคชัน พบสาเหตุเกิดจากการการใช้ Web Application Firewall ผิดวิธี และความล้มเหลวในการทดสอบความปลอดภัยของเว็บไซต์

98% ของบริษัท IT ที่สำรวจเคยถูกแฮ็คเว็บไซต์

Ponemon Institute ได้ทำการสอบถามผู้เชี่ยวชาญด้าน IT จากบริษัทชื่อดัง 594 บริษัท โดยที่ 54% ของบริษัทเหล่านี้เป็นบริษัทขนาดใหญ่ที่มีพนักงานมากกว่า 1,000 คน พบว่า 98% ของบริษัทเหล่านี้เคยถูกแฮ็คเว็บไซต์ในรอบ 12 เดือนที่ผ่านมา มีเพียง 2% เท่านั้นที่ยืนยันว่าเว็บแอพพลิเคชันของตนไม่เคยถูกเจาะมาก่อน

พบสาเหตุเกิดจากความไม่รู้ในการทดสอบเว็บไซต์

จากการสำรวจเว็บแอพพลิเคชันที่เคยถูกเจาะ พบว่าโดยเฉลี่ยแล้ว เว็บแอพเหล่านั้นเคยทดสอบความปลอดภัยน้อยกว่าร้อยละ 50 ทั้งนี้สาเหตุเกิดจาก

  • ไม่รู้ว่าต้องทดสอบมากน้อยแค่ไหน
  • ผู้บริหารอาวุโสไม่เข้าใจความปลอดภัยของแอพพลิเคชัน และไม่เห็นถึงความสำคัญ
  • ไม่มีงบในการทดสอบ
  • ไม่มีผู้เชี่ยวชาญในการทดสอบ

อย่างไรก็ตาม จากการสำรวจพบว่า ความปลอดภัยของเว็บแอพพลิเคชันนั้นกลับถูกมองว่าเป็นสิ่งสำคัญมาก เนื่องจากเหตุผล 3 ประการ คือ ต้องปกป้องข้อมูล หลีกเลี่ยงการสูญเสียรายได้ และต้องปฏิบัติตามข้อกำหนดและมาตรฐานต่างๆ

ไม่ค่อยทำ Vulnerability Scan และ Penetration Test

รายงานการสำรวจระบุ 45% ของบริษัททั้งหมดไม่ได้ทำการตรวจสอบช่องโหว่ และทดสอบการเจาะระบบเป็นประจำ มีเพียง 13% เท่านั้นที่ทำการทดสอบเว็บแอพทุกครั้งหลังมีการแก้ไขโค้ด และมีเพียง 15% เท่านั้นที่ทำการทดสอบทุกๆเดือน

Vulnerability Scan และ Penetration Test เป็นพื้นฐานสำคัญในการตรวจสอบความปลอดภัยของเว็บไซต์ที่ควรทำทุกเดือน หรือทุกไตรมาส การทดสอบเหล่านี้ช่วยให้เราระบุและอุดช่องโหว่ของเว็บแอพพลิเคชันได้อย่างรวดเร็ว ก่อนที่จะถูกแฮ็คเกอร์ค้นพบและโจมตีรอยรั่วเหล่านั้น

การอุดช่องโหว่มักใช้เวลาหลายวัน หรือหลายสัปดาห์

อีกหนึ่งสาเหตุสำคัญที่ทำให้เว็บไซต์ถูกเจาะ เกิดจากความล่าช้าในการอุดช่องโหว่ จากการสำรวจพบว่า ในการอุดช่องโหว่แต่ละครั้งจำเป็นต้องใช้เวลาหลายวัน หรือบางทีอาจต้องใช้เวลานานเป็นสัปดาห์ ซึ่งระหว่างนี้หลายบริษัทอาจต้องเผชิญกับความเสี่ยงในการถูกโจมตีได้

ใช้งาน Web Application Firewall ไม่ถูกวิธี

การติดตั้ง Web Application Firewall ให้ป้องกันการโจมตีได้อย่างแน่นอนนั้น ต้องติดตั้งแบบวางขวาง (In-line) แต่จากการสอบถามของ Ponemon Institute พบว่า ผู้เชี่ยวชาญด้าน IT หลายคนเชื่อว่า การติดตั้งแบบ Out-of-Line เป็นวิธีที่มีดีที่สุดในการหยุดยั้งมัลแวร์และการโจมตีแบบ Zero-day

โดยสรุปแล้ว การทำ Penetration Test ถือว่าเป็นวิธีที่มีประสิทธิภาพมากที่สุดในการตรวจจับและอุดช่องโหว่การที่จะใช้งานแอพพลิเคชันจริงบนอินเตอร์เน็ต ซึ่งปัจจุบันนี้ก็มีโปรแกรมฟรี (แต่เชื่อถือได้) สำหรับใช้ทดสอบมากมาย ไม่ว่าจะเป็น OWASP ZAP หรือ Subgraph VEGA เป็นต้น และควรหมั่นทำการทดสอบบ่อยๆ เพื่อตรวจสอบการป้องกันภัยคุกคามรูปแบบใหม่ที่อาจส่งผลกระทบต่อแอพพลิเคชันที่ใช้งานอยู่ของบริษัท

รายงานฉบับเต็ม: http://www.stateoftheinternet.com/campaigns/2015/csoupdate.html?utm_source=Publications.utm_medium=Online.utm_campaign=WP-PonemonWeb


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

MFEC: พลิกโฉมการจัดการ Infrastructure ตอบโจทย์ Modernize Application ด้วย VMware Tanzu

แนวคิดการยกเครื่องแอปพลิเคชันเดิมสู่บริบทของการทำงานสมัยใหม่หรือที่เรียกว่า Modernization นั้นเริ่มกลายเป็นนโยบายหลักขององค์กร เนื่องจากหลายปีที่ผ่านมาการก้าวเข้ามาของเทคโนโลยี Container นั้นได้สนับสนุนให้แนวคิดนี้ทำได้สะดวกขึ้น อีกทั้งยังช่วยให้แอปพลิเคชันสามารถนำพลังจากเทคโนโลยีคลาวด์มาใช้ได้อย่างเกิดประโยชน์สูงสุด แต่ในความเป็นจริงแล้วผู้ดูแลระบบไอทีขององค์กรกลับกำลังเผชิญกับความท้าทายมากมาย ซึ่ง VMware Tanzu คือแพลตฟอร์มที่จะช่วยให้องค์กรสามารถบรรลุเป้าหมายของการทำ Modernization ประสบความสำเร็จได้ โดยที่ยังรักษาระบบการทำงานแบบเดิม …

บริหารจัดการ Multi-Cloud ครบวงจรอย่างมั่นใจ ด้วย VMware Aria จาก Fujitsu

แม้ Multi-Cloud จะไม่ใช่เรื่องใหม่สำหรับธุรกิจองค์กรแล้วในทุกวันนี้ แต่การบริหารจัดการ Multi-Cloud ให้มีประสิทธิภาพได้อย่างรอบด้านนั้นก็ยังคงเป็นความท้าทายของผู้บริหารฝ่าย IT ในหลายองค์กร เพราะ Cloud แต่ละระบบนั้นต่างก็มีความแตกต่างในเชิงรายละเอียด และยากต่อการรวบรวมข้อมูลการใช้งานมาวิเคราะห์แบบรวมศูนย์