ในยุคปัจจุบัน ข้อมูลมีความสำคัญต่อธุรกิจ องค์กร และการใช้งาน รวมถึงเทคโนโลยีและอินเทอร์เน็ตมีความเจริญเติบโตเพิ่มขึ้นอย่างรวดเร็ว ซึ่งนำไปสู่ความเสี่ยงต่อการถูกโจมตี นั่นทำให้ความปลอดภัยทาง Cyber Security จึงมีความจำเป็นอย่างยิ่ง เพราะเปรียบเสมือนเกราะป้องกันข้อมูลให้กับธุรกิจ และองค์กรต่าง ๆ
ซึ่ง OWASP ได้มีการจัดอันดับ 10 ความเสี่ยงทางด้านความปลอดภัยที่เกิดขึ้นบ่อยที่สุดในช่วง 4 ปีที่ผ่านมา โดยทุกๆ 4 ปีจะมีการจัดอันดับช่องโหว่ใหม่เพื่อให้องค์กรต่างๆ ทั่วโลกได้นำข้อมูลตรงนี้ไปใช้ปกป้องข้อมูลของตนเองได้อย่างถูกต้อง และทันสมัยต่อเหตุการณ์ต่าง ๆ ที่เกิดขึ้น คอราไลน์ได้ยกความเสี่ยง 5 อันดับแรกมาดังนี้
1. Broken Access control
ปัญหาที่เกี่ยวข้องกับผู้ใช้ ที่สามารถดำเนินการหรือเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต เนื่องจาก
ไม่มีข้อจำกัดในการเข้าถึง
ตัวอย่างวิธีการป้องกันปัญหานี้ เช่น web server Apache ต้องมีการตั้งค่า .htaccess เพื่อป้องกันการเข้าถึง directory ต่าง ๆ โดยตรง หรือการปิดสิทธิเข้าถึง Directory และต้องมีการตรวจสอบสถานะ Login ในทุก ๆ หน้า ที่เป็นหน้าของสมาชิก
2. Cryptographic Failures encryption
ปัญหาเรื่องการเข้าถึงข้อมูลส่วนตัว เช่น วันเกิด, เลขประจำตัวประชาชน, ข้อมูลสุขภาพ, เลขบัตรเครดิต และเบอร์โทรศัพท์ ซึ่งปัญหานี้เกิดจากหน้าเว็บที่มีความ sensitive สูงมาก หรือ database ไม่ได้ทำการ encrypt ข้อมูลเหล่านี้เอาไว้ และถูก hack ข้อมูลออกไปจากไฟล์ backup ฐานข้อมูล
หากข้อมูลเหล่านี้ถูกเก็บไปใช้โดยผู้ไม่ประสงค์ดีจะมีความเสียหายสูง อาจถึงขั้นนำข้อมูลไปหลอก Call Center ว่าเป็นเจ้าของข้อมูลตัวจริง ซึ่งส่งผลกระทบอย่างร้ายแรงได้เลยทีเดียว โดยวิธีการป้องกัน คือควรมีการเข้ารหัสของข้อมูล
3. Injection
แบ่งเป็น 2 ประเภท คือ Injection ผ่าน Code ทั่วไป เช่น ช่องโหว่ยอดนิยมมากที่สุดคือ SQL Injection และ Injection ผ่าน XSS
โดยช่องโหว่ Injection มักเกิดจากการที่โปรแกรมของเราเปิดรับ Input ที่เป็น String จาก User เข้ามาทำงานในระบบ กลับส่ง String ที่เป็นคำสั่งที่เป็นช่องโหว่ของระบบมา ทำให้ Compiler เข้าใจผิด คิดว่าเป็นคำสั่งที่ทางผู้สร้างกำหนดไว้เอง User จึงเข้าถึงข้อมูลที่ไม่ควรจะเข้าถึงได้หรือแก้ไขข้อมูลที่ไม่ควรจะแก้ได้
ตัวอย่าง SQL Injection คือ User ที่มีความรู้สามารถสั่งแก้ไขหรือลบ Table ใน Database ได้ โดยหากปล่อยช่องโหว่นี้ไว้จะส่งผลกระทบอย่างร้ายแรงต่อฐานข้อมูลของ User คนอื่น ๆ ในระบบ ซึ่งวิธีป้องกัน คือ ต้องใช้ Prepared Statement ในการ Query SQL หรือใช้คำสั่ง Escape Command ที่ถูกออกแบบมาโดยเฉพาะในแต่ละภาษา เพื่อป้องกันการส่ง Command โดยตรงมารัน
4. Insecure Design
การออกแบบระบบที่ไม่ปลอดภัย ทำให้สามารถถูกคุกคามได้ง่าย เช่น เก็บข้อมูล Secret ใดๆ อย่าง Api key, private key ไว้ที่ Client ที่แม้ว่าจะมีการเข้ารหัสอย่างดีแล้วก็ตาม โดยควรเลี่ยงไปเก็บบน Server แทน หรือการอนุญาตให้แก้ไขข้อมูลสำคัญเช่น email โดยไม่ได้ถาม password ก่อน ทำให้บุคคลอื่นสามารถกด forgot password เพื่อตั้งค่ารหัสผ่านใหม่ได้ทันทีที่เซ็ตอีเมลใหม่ได้ หรือมีการใช้ระบบคำถามลืมรหัสผ่านที่ง่ายเกินไป เช่น วันเดือนปีเกิด เป็นต้น
5. Security Misconfiguration
ปัญหาที่เกี่ยวข้องกับการกำหนดค่าที่ไม่ปลอดภัย ทำให้ถูกโจมตีได้ง่าย เช่น การตั้งค่าผิด หรือลืมตั้งค่า ส่งผลให้มีช่องโหว่ที่ไม่ได้ตั้งใจหลุดออกไป เช่น เปิด Error Message ออกแสดงบนหน้า Web Browser ทำให้ผู้ใช้ทั่วไปเห็น Code หรือ Query ที่ใช้อย่างชัดเจนโดยที่ยังไม่ได้พยายาม Hack หรือ Open cloud storage permission คือการตั้งค่า permission ผิด เช่น ตั้งค่าการเข้าถึง Amazon S3 เป็น Public ทั้ง ๆ ที่ค่า Default เป็น private ส่งผลให้ใครก็ได้เข้าถึงไฟล์บน S3 ได้ทั้งหมด
OWASP Top 10 เป็นเพียงแนวทางคร่าว ๆ เท่านั้น อย่างไรก็ตามองค์กรควรประเมินความเสี่ยงด้านความปลอดภัยของตนเองและดำเนินการป้องกันที่เหมาะสม และควรติดตามการอัพเดตล่าสุดของ OWASP Top 10 อยู่เสมอค่ะ
Comments