Ponemon Institute สถาบันวิจัยด้านความปลอดภัยข้อมูล สหรัฐอเมริกา ได้ทำการสำรวจบริษัทชื่อดังเกือบ 600 บริษัทเกี่ยวกับความปลอดภัยของเว็บไซต์ เกือบทั้งหมดเคยถูกแฮ็คทั้งๆที่ต่างมีการติดตั้งระบบรักษาความปลอดภัยสำหรับเว็บแอพพลิเคชัน พบสาเหตุเกิดจากการการใช้ Web Application Firewall ผิดวิธี และความล้มเหลวในการทดสอบความปลอดภัยของเว็บไซต์
98% ของบริษัท IT ที่สำรวจเคยถูกแฮ็คเว็บไซต์
Ponemon Institute ได้ทำการสอบถามผู้เชี่ยวชาญด้าน IT จากบริษัทชื่อดัง 594 บริษัท โดยที่ 54% ของบริษัทเหล่านี้เป็นบริษัทขนาดใหญ่ที่มีพนักงานมากกว่า 1,000 คน พบว่า 98% ของบริษัทเหล่านี้เคยถูกแฮ็คเว็บไซต์ในรอบ 12 เดือนที่ผ่านมา มีเพียง 2% เท่านั้นที่ยืนยันว่าเว็บแอพพลิเคชันของตนไม่เคยถูกเจาะมาก่อน
พบสาเหตุเกิดจากความไม่รู้ในการทดสอบเว็บไซต์
จากการสำรวจเว็บแอพพลิเคชันที่เคยถูกเจาะ พบว่าโดยเฉลี่ยแล้ว เว็บแอพเหล่านั้นเคยทดสอบความปลอดภัยน้อยกว่าร้อยละ 50 ทั้งนี้สาเหตุเกิดจาก
- ไม่รู้ว่าต้องทดสอบมากน้อยแค่ไหน
- ผู้บริหารอาวุโสไม่เข้าใจความปลอดภัยของแอพพลิเคชัน และไม่เห็นถึงความสำคัญ
- ไม่มีงบในการทดสอบ
- ไม่มีผู้เชี่ยวชาญในการทดสอบ
อย่างไรก็ตาม จากการสำรวจพบว่า ความปลอดภัยของเว็บแอพพลิเคชันนั้นกลับถูกมองว่าเป็นสิ่งสำคัญมาก เนื่องจากเหตุผล 3 ประการ คือ ต้องปกป้องข้อมูล หลีกเลี่ยงการสูญเสียรายได้ และต้องปฏิบัติตามข้อกำหนดและมาตรฐานต่างๆ
ไม่ค่อยทำ Vulnerability Scan และ Penetration Test
รายงานการสำรวจระบุ 45% ของบริษัททั้งหมดไม่ได้ทำการตรวจสอบช่องโหว่ และทดสอบการเจาะระบบเป็นประจำ มีเพียง 13% เท่านั้นที่ทำการทดสอบเว็บแอพทุกครั้งหลังมีการแก้ไขโค้ด และมีเพียง 15% เท่านั้นที่ทำการทดสอบทุกๆเดือน
Vulnerability Scan และ Penetration Test เป็นพื้นฐานสำคัญในการตรวจสอบความปลอดภัยของเว็บไซต์ที่ควรทำทุกเดือน หรือทุกไตรมาส การทดสอบเหล่านี้ช่วยให้เราระบุและอุดช่องโหว่ของเว็บแอพพลิเคชันได้อย่างรวดเร็ว ก่อนที่จะถูกแฮ็คเกอร์ค้นพบและโจมตีรอยรั่วเหล่านั้น
การอุดช่องโหว่มักใช้เวลาหลายวัน หรือหลายสัปดาห์
อีกหนึ่งสาเหตุสำคัญที่ทำให้เว็บไซต์ถูกเจาะ เกิดจากความล่าช้าในการอุดช่องโหว่ จากการสำรวจพบว่า ในการอุดช่องโหว่แต่ละครั้งจำเป็นต้องใช้เวลาหลายวัน หรือบางทีอาจต้องใช้เวลานานเป็นสัปดาห์ ซึ่งระหว่างนี้หลายบริษัทอาจต้องเผชิญกับความเสี่ยงในการถูกโจมตีได้
ใช้งาน Web Application Firewall ไม่ถูกวิธี
การติดตั้ง Web Application Firewall ให้ป้องกันการโจมตีได้อย่างแน่นอนนั้น ต้องติดตั้งแบบวางขวาง (In-line) แต่จากการสอบถามของ Ponemon Institute พบว่า ผู้เชี่ยวชาญด้าน IT หลายคนเชื่อว่า การติดตั้งแบบ Out-of-Line เป็นวิธีที่มีดีที่สุดในการหยุดยั้งมัลแวร์และการโจมตีแบบ Zero-day
โดยสรุปแล้ว การทำ Penetration Test ถือว่าเป็นวิธีที่มีประสิทธิภาพมากที่สุดในการตรวจจับและอุดช่องโหว่การที่จะใช้งานแอพพลิเคชันจริงบนอินเตอร์เน็ต ซึ่งปัจจุบันนี้ก็มีโปรแกรมฟรี (แต่เชื่อถือได้) สำหรับใช้ทดสอบมากมาย ไม่ว่าจะเป็น OWASP ZAP หรือ Subgraph VEGA เป็นต้น และควรหมั่นทำการทดสอบบ่อยๆ เพื่อตรวจสอบการป้องกันภัยคุกคามรูปแบบใหม่ที่อาจส่งผลกระทบต่อแอพพลิเคชันที่ใช้งานอยู่ของบริษัท
รายงานฉบับเต็ม: http://www.stateoftheinternet.com/campaigns/2015/csoupdate.html?utm_source=Publications.utm_medium=Online.utm_campaign=WP-PonemonWeb