ในยุคปัจจุบัน ข้อมูลมีความสำคัญต่อธุรกิจ องค์กร และการใช้งาน เทคโนโลยีและอินเทอร์เน็ตมีความเจริญเติบโตเพิ่มขึ้นอย่างรวดเร็ว ซึ่งนำไปสู่ความเสี่ยงต่อการถูกโจมตี ทำให้ cyber security มีความจำเป็นอย่างยิ่ง โดยเปรียบเสมือนเกราะป้องกันข้อมูลให้กับ ธุรกิจ องค์กรต่าง ๆ
เหตุผลหลักที่ทำให้ Cyber Security มีความสำคัญ
- ปกป้องข้อมูล – ข้อมูลถือเป็นทรัพย์สินที่มีมูลค่าและมีความสำคัญสำหรับธุรกิจ องค์กร และบุคคลการรั่วไหลของข้อมูล สูญหาย หรือถูกโจมตี อาจสร้างความเสียหายอย่างมหาศาล ทั้งด้านการเงิน ชื่อเสียง และความน่าเชื่อถือ
- รักษาความปลอดภัยของระบบ – ระบบต่าง ๆ เช่น website application ล้วนเป็นเป้าหมายของการถูกโจมตี ซึ่งการโจมตีระบบอาจทำให้ระบบหยุดทำงาน บริการล่ม หรือข้อมูลสูญหาย
- ป้องกันภัยคุกคาม – ภัยคุกคามทางไซเบอร์มีหลากหลายรูปแบบ เช่น มัลแวร์ Phishing Ransomware Spam Social Engineering ล้วนสามารถสร้างความเสียหายได้ Cyber Security จะช่วยป้องกันภัยคุกคามเหล่านี้ และลดความเสี่ยงต่อองค์กร
- เสริมสร้างความมั่นใจให้องค์กร – องค์กรที่มี Cyber Security ที่ดี จะสร้างความมั่นใจให้กับลูกค้า พนักงาน และผู้มีส่วนได้เสีย ว่าข้อมูลและระบบของพวกเขามีความปลอดภัยอยู่ตลอดเวลา
- ปฏิบัติตามกฎหมาย – กฎหมายหลายฉบับในปัจจุบัน กำหนดให้ธุรกิจ องค์กร และบุคคล ต้องมีมาตรการป้องกันข้อมูลและระบบ การละเลย Cyber Security อาจส่งผลต่อบทลงโทษทางกฎหมาย
ถ้าจะเริ่มทำความเข้าใจเกี่ยวกับ Cyber Security สามารถเริ่มจากการทำความรู้จักกับ OWASP ที่ย่อมาจาก Open Web Application Security Project ก่อน โดย OWASP เป็นองค์กรไม่แสวงหาผลกำไรที่มุ่งเน้นไปที่การปรับปรุงความปลอดภัยของ Web Application ก่อตั้งขึ้นเมื่อปี 2544 มีสำนักงานใหญ่อยู่ที่รัฐแมริแลนด์ ประเทศสหรัฐอเมริกา โดยมีบทบาทสำคัญในการสร้างมาตรฐาน แหล่งข้อมูล และเครื่องมือที่ใช้ในการพัฒนาและประเมินความปลอดภัยของ Web Application
วัตถุประสงค์หลักของ OWASP
- มุ่งเน้นไปที่การให้ความรู้แก่สาธารณชนเกี่ยวกับความเสี่ยงและภัยคุกคามที่เกี่ยวข้องกับ Web Application ผ่านการจัดทำเอกสาร บทความ เครื่องมือ และการฝึกอบรม
- พัฒนามาตรฐาน กำหนดมาตรฐานและแนวทางปฏิบัติที่ดีที่สุดสำหรับการพัฒนา การทดสอบ และการรักษาความปลอดภัยของ Web Application ตัวอย่างที่สำคัญคือ OWASP Top 10 ซึ่งเป็นรายการ 10 ความเสี่ยงด้านความปลอดภัย Web Application ที่พบบ่อยที่สุด https://owasp.org/Top10/
- ส่งเสริมการวิจัย สนับสนุนการวิจัยเกี่ยวกับความปลอดภัยของ Web Application ผ่านการจัดทำทุนสนับสนุน การจัดประชุม และการเผยแพร่ผลงานวิจัย
- สนับสนุนชุมชน มีชุมชนผู้เชี่ยวชาญด้านความปลอดภัย Web Application ที่เข้มแข็ง ซึ่งแบ่งปันความรู้ ประสบการณ์ และเครื่องมือต่างๆ
ตัวอย่างโครงการ OWASP ZAP (Zed Attack Proxy) คือเครื่องมือโอเพ่นซอร์สที่ใช้ในการทดสอบความปลอดภัยของ Web Application โดยพัฒนาและดูแลโดย OWASP (Open Web Application Security Project) ZAP เป็นหนึ่งในเครื่องมือที่ได้รับความนิยมมากที่สุดในวงการความปลอดภัยไซเบอร์ เนื่องจากใช้งานง่ายและมีความสามารถหลากหลาย การทำงานของ ZAP โดยการดักจับการรับส่งข้อมูล HTTP ระหว่างเบราว์เซอร์ของคุณกับ Web Application ZAP วิเคราะห์การรับส่งข้อมูลนี้ และค้นหาช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้น เช่น SQL-Injection หรือ Cross-Site Scripting (XSS) เป็นต้น
ข้อดีของ OWASP ZAP
- ไม่มีค่าใช้จ่ายและสามารถปรับแต่งได้ตามต้องการ
- User Interface ที่ใช้งานง่ายกับผู้ใช้และมี community ขนาดใหญ่ ไว้รองรับการตอบปัญหา
- สามารถใช้ได้กับหลายแพลตฟอร์มและหลายภาษาโปรแกรมมิ่ง
ข้อเสียของ OWASP ZAP
- การทดสอบที่อาจมีความเสี่ยง ด้วย Feature การสแกนและทดสอบเชิงรุก (Active Scanner) อาจทำให้ระบบที่ทดสอบอยู่เกิดความเสียหายหรือมีผลกระทบต่อการทำงาน ดังนั้นควรใช้ความระมัดระวังโดยเฉพาะใน environment ของการ scan
- การจัดการกับผลลัพธ์ที่ซับซ้อน การวิเคราะห์ผลลัพธ์จากการสแกนอาจต้องใช้ความรู้และประสบการณ์ในการแยกแยะระหว่าง false positives หรือ false negatives
- ขาดการสนับสนุนทางเทคนิค เนื่องจากเป็นเครื่องมือโอเพ่นซอร์ส การสนับสนุนทางเทคนิคอาจจะต้องใช้บริการ community แทนที่จะเป็นการสนับสนุนจากทีมงานที่มีการรับประกันคุณภาพ
โดยสรุปแล้ว เมื่อในองค์กรมีการติดตั้งระบบ IT โดยเฉพาะ เมื่อมีการพัฒนา Application ก็ต้องให้ความสำคัญกับ Cyber Security ควบคู่กันด้วย เพราะมันไม่คุ้มเลยที่การละเลยด้านความปลอดภัยจะทำให้ระบบข้อมูลขององค์กรมีปัญหาในตอนท้ายที่สุด
ข่าวอื่น ๆ ที่น่าสนใจ
สรุปเทคโนโลยีใหม่ LINE API จากงาน LINE Developer Meetup #5 ตอบโจทย์นักพัฒนาไทย
