ในยุคปัจจุบัน ข้อมูลมีความสำคัญต่อธุรกิจ องค์กร และการใช้งาน เทคโนโลยีและอินเทอร์เน็ตมีความเจริญเติบโตเพิ่มขึ้นอย่างรวดเร็ว ซึ่งนำไปสู่ความเสี่ยงต่อการถูกโจมตี ทำให้ความปลอดภัยทาง cyber security จึงมีความจำเป็นอย่างยิ่ง โดยเปรียบเสมือนเกราะป้องกันข้อมูลให้กับ ธุรกิจ องค์กรต่างๆ
เหตุผลหลักที่ทำให้ Cyber Security มีความสำคัญ
ปกป้องข้อมูล ข้อมูลถือเป็นทรัพย์สินที่มีมูลค่าและมีความสำคัญสำหรับธุรกิจ องค์กร และบุคคลการรั่วไหลของข้อมูล สูญหาย หรือถูกโจมตี อาจสร้างความเสียหายอย่างมหาศาล ทั้งด้านการเงิน ชื่อเสียง และความน่าเชื่อถือ
รักษาความปลอดภัยของระบบ ระบบต่าง ๆ เช่น website application ล้วนเป็นเป้าหมายของการถูกโจมตี ซึ่งการโจมตีระบบอาจทำให้ระบบหยุดทำงาน บริการล่ม หรือข้อมูลสูญหาย
ป้องกันภัยคุกคาม ภัยคุกคามทางไซเบอร์มีหลากหลายรูปแบบ เช่น มัลแวร์ Phishing Ransomware Spam Social Engineering ล้วนสามารถสร้างความเสียหายได้ Cyber Security จะช่วยป้องกันภัยคุกคามเหล่านี้ และลดความเสี่ยงต่อองค์กร
เสริมสร้างความมั่นใจให้องค์กร องค์กรที่มี Cyber Security ที่ดี จะสร้างความมั่นใจให้กับลูกค้า พนักงาน และผู้มีส่วนได้เสีย ว่าข้อมูลและระบบของพวกเขามีความปลอดภัยอยู่ตลอดเวลา
ปฏิบัติตามกฎหมาย กฎหมายหลายฉบับในปัจจุบัน กำหนดให้ธุรกิจ องค์กร และบุคคล ต้องมีมาตรการป้องกันข้อมูลและระบบ การละเลย Cyber Security อาจส่งผลต่อบทลงโทษทางกฎหมาย
ถ้าจะเริ่มทำความเข้าใจเกี่ยวกับ Cyber Security สามารถเริ่มจากการทำความรู้จักกับ OWASP ที่ย่อมาจาก Open Web Application Security Project เสียก่อน โดย OWASP เป็นองค์กรไม่แสวงหาผลกำไรที่มุ่งเน้นไปที่การปรับปรุงความปลอดภัยของ Web Application ก่อตั้งขึ้นเมื่อปี 2544 มีสำนักงานใหญ่อยู่ที่รัฐแมริแลนด์ ประเทศสหรัฐอเมริกา โดยมีบทบาทสำคัญในการสร้างมาตรฐาน แหล่งข้อมูล และเครื่องมือที่ใช้ในการพัฒนาและประเมินความปลอดภัยของ Web Application
วัตถุประสงค์หลักของ OWASP
มุ่งเน้นไปที่การให้ความรู้แก่สาธารณชนเกี่ยวกับความเสี่ยงและภัยคุกคามที่เกี่ยวข้องกับ Web Application ผ่านการจัดทำเอกสาร บทความ เครื่องมือ และการฝึกอบรม
พัฒนามาตรฐาน กำหนดมาตรฐานและแนวทางปฏิบัติที่ดีที่สุดสำหรับการพัฒนา การทดสอบ และการรักษาความปลอดภัยของ Web Application ตัวอย่างที่สำคัญคือ OWASP Top 10 ซึ่งเป็นรายการ 10 ความเสี่ยงด้านความปลอดภัย Web Application ที่พบบ่อยที่สุด https://owasp.org/Top10/
ส่งเสริมการวิจัย สนับสนุนการวิจัยเกี่ยวกับความปลอดภัยของ Web Application ผ่านการจัดทำทุนสนับสนุน การจัดประชุม และการเผยแพร่ผลงานวิจัย
สนับสนุนชุมชน มีชุมชนผู้เชี่ยวชาญด้านความปลอดภัย Web Application ที่เข้มแข็ง ซึ่งแบ่งปันความรู้ ประสบการณ์ และเครื่องมือต่างๆ
ตัวอย่างโครงการ OWASP ZAP (Zed Attack Proxy) คือเครื่องมือโอเพ่นซอร์สที่ใช้ในการทดสอบความปลอดภัยของ Web Application โดยพัฒนาและดูแลโดย OWASP (Open Web Application Security Project) ZAP เป็นหนึ่งในเครื่องมือที่ได้รับความนิยมมากที่สุดในวงการความปลอดภัยไซเบอร์ เนื่องจากใช้งานง่ายและมีความสามารถหลากหลาย การทำงานของ ZAP โดยการดักจับการรับส่งข้อมูล HTTP ระหว่างเบราว์เซอร์ของคุณกับ Web Application ZAP วิเคราะห์การรับส่งข้อมูลนี้ และค้นหาช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้น เช่น SQL-Injection หรือ Cross-Site Scripting (XSS) เป็นต้น
ข้อดีของ OWASP ZAP
ไม่มีค่าใช้จ่ายและสามารถปรับแต่งได้ตามต้องการ
User Interface ที่ใช้งานง่ายกับผู้ใช้และมี community ขนาดใหญ่ ไว้รองรับการตอบปัญหา
สามารถใช้ได้กับหลายแพลตฟอร์มและหลายภาษาโปรแกรมมิ่ง
ข้อเสียของ OWASP ZAP
การทดสอบที่อาจมีความเสี่ยง ด้วย Feature การสแกนและทดสอบเชิงรุก (Active Scanner) อาจทำให้ระบบที่ทดสอบอยู่เกิดความเสียหายหรือมีผลกระทบต่อการทำงาน ดังนั้นควรใช้ความระมัดระวังโดยเฉพาะใน environment ของการ scan
การจัดการกับผลลัพธ์ที่ซับซ้อน การวิเคราะห์ผลลัพธ์จากการสแกนอาจต้องใช้ความรู้และประสบการณ์ในการแยกแยะระหว่าง false positives หรือ false negatives
ขาดการสนับสนุนทางเทคนิค เนื่องจากเป็นเครื่องมือโอเพ่นซอร์ส การสนับสนุนทางเทคนิคอาจจะต้องใช้บริการ community แทนที่จะเป็นการสนับสนุนจากทีมงานที่มีการรับประกันคุณภาพ
โดยสรุปแล้ว เมื่อในองค์กรมีการติดตั้งระบบ IT โดยเฉพาะ เมื่อมีการพัฒนา Application ก็ต้องให้ความสำคัญกับ Cyber Security ควบคู่กันด้วย เพราะมันไม่คุ้มเลยที่การละเลยด้านความปลอดภัยจะทำให้ระบบข้อมูลขององค์กรมีปัญหาในตอนท้ายที่สุด
תגובות