CDIC 2023
Credit: Brian Rinker

มี Web App Security ทำไมยังถูกแฮ็ค ?

Ponemon Institute สถาบันวิจัยด้านความปลอดภัยข้อมูล สหรัฐอเมริกา ได้ทำการสำรวจบริษัทชื่อดังเกือบ 600 บริษัทเกี่ยวกับความปลอดภัยของเว็บไซต์ เกือบทั้งหมดเคยถูกแฮ็คทั้งๆที่ต่างมีการติดตั้งระบบรักษาความปลอดภัยสำหรับเว็บแอพพลิเคชัน พบสาเหตุเกิดจากการการใช้ Web Application Firewall ผิดวิธี และความล้มเหลวในการทดสอบความปลอดภัยของเว็บไซต์

98% ของบริษัท IT ที่สำรวจเคยถูกแฮ็คเว็บไซต์

Ponemon Institute ได้ทำการสอบถามผู้เชี่ยวชาญด้าน IT จากบริษัทชื่อดัง 594 บริษัท โดยที่ 54% ของบริษัทเหล่านี้เป็นบริษัทขนาดใหญ่ที่มีพนักงานมากกว่า 1,000 คน พบว่า 98% ของบริษัทเหล่านี้เคยถูกแฮ็คเว็บไซต์ในรอบ 12 เดือนที่ผ่านมา มีเพียง 2% เท่านั้นที่ยืนยันว่าเว็บแอพพลิเคชันของตนไม่เคยถูกเจาะมาก่อน

พบสาเหตุเกิดจากความไม่รู้ในการทดสอบเว็บไซต์

จากการสำรวจเว็บแอพพลิเคชันที่เคยถูกเจาะ พบว่าโดยเฉลี่ยแล้ว เว็บแอพเหล่านั้นเคยทดสอบความปลอดภัยน้อยกว่าร้อยละ 50 ทั้งนี้สาเหตุเกิดจาก

  • ไม่รู้ว่าต้องทดสอบมากน้อยแค่ไหน
  • ผู้บริหารอาวุโสไม่เข้าใจความปลอดภัยของแอพพลิเคชัน และไม่เห็นถึงความสำคัญ
  • ไม่มีงบในการทดสอบ
  • ไม่มีผู้เชี่ยวชาญในการทดสอบ

อย่างไรก็ตาม จากการสำรวจพบว่า ความปลอดภัยของเว็บแอพพลิเคชันนั้นกลับถูกมองว่าเป็นสิ่งสำคัญมาก เนื่องจากเหตุผล 3 ประการ คือ ต้องปกป้องข้อมูล หลีกเลี่ยงการสูญเสียรายได้ และต้องปฏิบัติตามข้อกำหนดและมาตรฐานต่างๆ

ไม่ค่อยทำ Vulnerability Scan และ Penetration Test

รายงานการสำรวจระบุ 45% ของบริษัททั้งหมดไม่ได้ทำการตรวจสอบช่องโหว่ และทดสอบการเจาะระบบเป็นประจำ มีเพียง 13% เท่านั้นที่ทำการทดสอบเว็บแอพทุกครั้งหลังมีการแก้ไขโค้ด และมีเพียง 15% เท่านั้นที่ทำการทดสอบทุกๆเดือน

Vulnerability Scan และ Penetration Test เป็นพื้นฐานสำคัญในการตรวจสอบความปลอดภัยของเว็บไซต์ที่ควรทำทุกเดือน หรือทุกไตรมาส การทดสอบเหล่านี้ช่วยให้เราระบุและอุดช่องโหว่ของเว็บแอพพลิเคชันได้อย่างรวดเร็ว ก่อนที่จะถูกแฮ็คเกอร์ค้นพบและโจมตีรอยรั่วเหล่านั้น

การอุดช่องโหว่มักใช้เวลาหลายวัน หรือหลายสัปดาห์

อีกหนึ่งสาเหตุสำคัญที่ทำให้เว็บไซต์ถูกเจาะ เกิดจากความล่าช้าในการอุดช่องโหว่ จากการสำรวจพบว่า ในการอุดช่องโหว่แต่ละครั้งจำเป็นต้องใช้เวลาหลายวัน หรือบางทีอาจต้องใช้เวลานานเป็นสัปดาห์ ซึ่งระหว่างนี้หลายบริษัทอาจต้องเผชิญกับความเสี่ยงในการถูกโจมตีได้

ใช้งาน Web Application Firewall ไม่ถูกวิธี

การติดตั้ง Web Application Firewall ให้ป้องกันการโจมตีได้อย่างแน่นอนนั้น ต้องติดตั้งแบบวางขวาง (In-line) แต่จากการสอบถามของ Ponemon Institute พบว่า ผู้เชี่ยวชาญด้าน IT หลายคนเชื่อว่า การติดตั้งแบบ Out-of-Line เป็นวิธีที่มีดีที่สุดในการหยุดยั้งมัลแวร์และการโจมตีแบบ Zero-day

โดยสรุปแล้ว การทำ Penetration Test ถือว่าเป็นวิธีที่มีประสิทธิภาพมากที่สุดในการตรวจจับและอุดช่องโหว่การที่จะใช้งานแอพพลิเคชันจริงบนอินเตอร์เน็ต ซึ่งปัจจุบันนี้ก็มีโปรแกรมฟรี (แต่เชื่อถือได้) สำหรับใช้ทดสอบมากมาย ไม่ว่าจะเป็น OWASP ZAP หรือ Subgraph VEGA เป็นต้น และควรหมั่นทำการทดสอบบ่อยๆ เพื่อตรวจสอบการป้องกันภัยคุกคามรูปแบบใหม่ที่อาจส่งผลกระทบต่อแอพพลิเคชันที่ใช้งานอยู่ของบริษัท

รายงานฉบับเต็ม: http://www.stateoftheinternet.com/campaigns/2015/csoupdate.html?utm_source=Publications.utm_medium=Online.utm_campaign=WP-PonemonWeb


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

การ์ทเนอร์ชี้ 6 กลยุทธ์ที่ผู้นำทีม Software Engineering ต้องทราบในปี 2023

การมีกลยุทธ์ถือเป็นเรื่องที่ดีเพราะแนวปฏิบัติเหล่านี้จะช่วยให้องค์กรมีกรอบที่จะเป็นไป ให้อยู่เหนือการเปลี่ยนแปลงของกระแสเทคโนโลยี ในมุมของ Software Engineering การ์ทเนอร์ได้แนะนำ 6 กลยุทธ์ไว้ดังนี้

Sony เร่งสืบสวนการถูกแฮ็ก หลังพบแฮ็กเกอร์อ้างว่าเจาะได้ พร้อมโชว์ไฟล์ตัวอย่าง

สาเหตุของเรื่องคือมีกลุ่มคนร้ายที่ชื่อ RansomedVC ได้แอบอ้างว่าสามารถเจาะระบบของ Sony ได้ พร้อมกับเผยถึงข้อมูลบางส่วน ต่อมามีแฮ็กเกอร์อีกกลุ่มที่อ้างว่าตนนี่แหละตัวจริง พร้อมหลักฐานมากกว่า ในขณะที่ Sony ยังกำลังตรวจสอบคำกล่าวอ้างเหล่านี้อยู่