ยกระดับความมั่นคงปลอดภัยสำหรับการให้บริการพัฒนาระบบเทคโนโลยีสารสนเทศยุคใหม่ ด้วย SAST เครื่องมือ SCAN หาช่องโหว่ตั้งแต่ขั้นตอนการพัฒนาระบบ จาก PTT DIGITAL
จากรายงานของเว็บไซต์ชื่อดังอย่าง cnbc.com รายงานว่าตอนนี้กว่า 43% ของการจู่โจมทางออนไลน์นั้นจะเกิดขึ้นกับธุรกิจขนาดเล็กและกลาง แต่มีเพียง 14% ของบริษัทเหล่านี้เท่านั้นที่พร้อมรับมือกับการถูกโจมตี และเพื่อความปลอดภัยของข้อมูลบริษัทรวมถึงลูกค้าบนโลกออนไลน์ ต้องมีการเตรียมพร้อม รับมือกับการโดนจู่โจมโดยแฮ็กเกอร์แบบไม่คาดคิดตั้งแต่วันแรกในการทำธุรกิจ ด้วยเหตุนี้ PTT Digital ผู้ให้บริการพัฒนาและสนับสนุนระบบเทคโนโลยีสารสนเทศ ซึ่งมีลูกค้าในหลากหลายธุรกิจ จึงให้ความสำคัญกับ “ความมั่นคงปลอดภัยทางไซเบอร์” ควบคู่กับการให้บริการพัฒนาระบบเทคโนโลยีสารสนเทศ โดยนอกจาก PTT Digital จะมีทีมผู้เชี่ยวชาญในการพัฒนาระบบภายใต้เทคโนโลยีต่าง ๆ แล้ว PTT Digital ยังมีทีมงานผู้เชี่ยวชาญ ด้าน Cyber Security ที่มีประสบการณ์ ทักษะ พร้อมด้วยเครื่องมือวิเคราะห์ ตรวจจับ และป้องกันในระดับมาตรฐานสากล มาช่วยยกระดับความมั่นคงปลอดภัยทาง ไซเบอร์ และปัจจุบัน PTT Digital ยังนำเครื่องมือ Static application security testing หรือ SAST ซึ่งเป็นเครื่องมือสแกนโค้ดที่สามารถช่วยหาช่องโหว่ในแอปพลิเคชัน มาใช้ช่วยเสริมคุณภาพ การให้บริการพัฒนาระบบให้กับลูกค้าอีกด้วย
ปัจจุบันเทคโนโลยีเกี่ยวกับ Cyber Security หรือระบบความมั่นคงปลอดภัยทางไซเบอร์ในตลาดมีให้ใช้งานอยางหลากหลาย เช่น ระบบ VA Scan (Vulnerability Assessment) ที่ตรวจสอบหาช่องโหว่ทางด้านความความปลอดภัยอย่างเป็นระบบ เพื่อประเมินความเป็นไปได้ว่าจะโดนแฮ็กเกอร์เจาะทางไหนได้บ้าง อย่างไรก็ตามเมื่อเจอการคุกคามในรูปแบบใหม่ ๆ เครื่องมือที่มีอยู่อาจไม่เพียงพอต่อการป้องกันระบบให้ปลอดภัยได้ ในการนี้
การทำงานของระบบ SAST & DAST
เพื่อเป็นการป้องกันการโจมตีรูปแบบใหม่ๆ ที่เกิดจากการช่องโหว่ของระบบ ทำให้มีการนำเครื่องมือทดสอบความปลอดภัยของระบบมาใช้งานในการตรวจสอบช่องโหว่เพิ่มเติม อย่างเช่น SAST (Static application security testing) และ DAST (Dynamic application security testing) ซึ่งเครื่องมือทั้งสองมีความแตกต่างกันในแง่ของการทำงาน แต่ก็ถือว่ามีความสำคัญและใช้งานร่วมเสริมกันเพื่อเสริมความมั่นคงปลอดภัยในการพัฒนาระบบได้อย่างดีเลยทีเดียว
SAST หรือ Source Code Scanning เป็นเครื่องมือสแกนโค้ด เป็นการทดสอบความปลอดภัยแบบกล่องขาว (White Box) ซึ่งสามารถเข้าถึงซอร์สโค้ดและไบนารีพื้นฐานได้ทั้งหมดเลย และช่วยหาช่องโหว่ในแอปพลิเคชันได้ จุดแข็งของ SAST คือจะมีส่วนเกี่ยวข้องตั้งแต่เริ่มพัฒนาจนจบได้เลย เพราะไม่จำเป็นที่จะต้องมีแอพพลิเคชันที่เสร็จสมบูรณ์แล้วเหมือนอย่าง DAST ทำให้เราสามารถเห็นช่องโหว่ด้านความปลอดภัยก่อนที่ปัญหาจะออกไปสู่มือของลูกค้า ยิ่งเจอปัญหาเร็วยิ่งแก้ไขได้เร็ว มีประโยชน์สำหรับนักพัฒนาที่จะแก้ไขได้เลยทันที มีค่าใช้จ่ายในการแก้ไขต่ำกว่าการมาบำรุงรักษาทีหลัง ไม่ส่งต่อปัญหาไปยังส่วนพัฒนาที่จะเกิดขึ้นต่อไป ระบบนี้จะทำงานได้ดีในการระบุช่องโหว่ทางฝั่งเซิร์ฟเวอร์ (ในเว็บแอปพลิเคชัน, แอปพลิเคชันมือถือ และ เดสก์ท็อปด้วย) นอกจากนี้ยังสามารถตรวจพบช่องโหว่ฝั่งผู้ใช้งานได้ในบางสถานการณ์
นอกจากนั้นแล้ว SAST ยัง ปลอดภัยในการใช้งาน เนื่องจากเป็นเครื่องมือที่เรียกใช้งานได้โดยไม่ต้องกังวลว่าจะทำให้แอปพลิเคชันเสียหาย สามารถเริ่มแสกนได้เลยโดยไม่ต้องมีการตั้งค่าต่าง ๆ มากนัก สามารถแจ้งเตือนได้แบบเรียลไทม์ขณะที่เขียนโค้ด ช่วยให้งานของโปรแกรมเมอร์ง่ายขึ้น แถมยังแนะนำวิธีการแก้ไขปัญหาและตำแหน่งของโค้ดเพื่อแก้ไขปัญหาได้ด้วย ถ้ามีการแสกนแบบนี้เป็นประจำแบบรายวัน รายเดือน หรือทุกครั้งที่มีการเช็คอินโค้ดของตัวเอง และส่งรายงานแบบออฟไลน์และติดตามโดยใช้แดชบอร์ดรายงานก็จะยิ่งช่วยเพิ่มประสิทธิภาพในการติดตามและแก้ไขปัญหาก่อนจะปล่อยแอพพลิเคชั่นออกไปสู่ตลาดได้อย่างมาก
ในขณะที่ DAST เรียกอีกอย่างว่าการทดสอบแบบกล่องดำ (Black Box Testing) เป็นการทดสอบจากภายนอกสู่ภายใน เป็นการวิเคราะห์ระบบหรือแอปพลิเคชันของเราโดยไม่มีความรู้เกี่ยวกับระบบข้างใน เมื่อไหร่ก็ตามที่เจอรอยรั่วช่องโหว่และความเสี่ยงก็จะรายงานผลให้โปรแกรมเมอร์เข้ามาแก้ไข การทดสอบด้วย DAST นั้นจะเกิดขึ้นเมื่อทุกอย่างเสร็จสมบูรณ์แล้ว ก่อนการทดสอบกับผู้ใช้งานจริง เป็นเหมือนประตูด่านสุดท้าย
SAST จะช่วยทำให้เห็นช่องโหว่ด้านความปลอดภัยก่อนที่ปัญหาเกิดได้
เพราะฉะนั้นไม่ว่าองค์กรของคุณจะกำลังพัฒนาโปรเจกต์ใดอยู่ก็ตาม สิ่งที่สำคัญตอนนี้คือการวางรากฐานเรื่องความปลอดภัยบนโลกออนไลน์ โดยเฉพาะเมื่อสิ่งที่กำลังพัฒนานั้นมีส่วนเกี่ยวข้องกับข้อมูลที่ละเอียดอ่อนของผู้ใช้งานยิ่งต้องใช้ความระมัดระวังอย่างมาก อาจทดสอบด้วย SAST ไปเรื่อย ๆ จนกระทั้งจบการพัฒนาแล้วต่อด้วย DAST และ VA Scan อีกรอบก็ได้ คำว่า ‘ปลอดภัยไว้ก่อน’ นั้นดูเหมาะสมกับสถานการณ์ปัจจุบันเป็นอย่างมาก เหล่าแฮ็กเกอร์นั้นมีเทคนิคที่เปลี่ยนแปลงไปเรื่อย ๆ พวกเขาพยายามที่จะเข้ามาขโมย เราก็พยายามอุดช่องโหว่ที่มีและอาจจะเกิดขึ้นตลอดเวลา
มาถึงจุดนี้ ผู้ประกอบกาคงปฏิเสธไม่ได้ว่า การพัฒนาระบบเพื่อใช้งานในธุรกิจนอกจากจะต้องให้ความสำคัญเรื่องการตอบโจทย์สนับสนุนธุรกิจ และสร้างโอกาสในการแข่งขันแล้ว ผู้ประกอบการควรให้ความสำคัญเรื่องความมั่นคงปลอดภัยตั้งแต่กระบวนการพัฒนาระบบเลย เพราะหากละเลยอาจทำให้เกิดช่องโหว่ที่อาจก่อให้เกิดความเสียหายที่ไม่สามารถคำนวณมูลค่าได้
แหล่งอ้างอิง :
https://slate.com/technology/2015/01/modern-technology-and-the-history-of-the-word-hack.html
https://facebook.com/MarketThinkTH/photos/a.1393665140725873/4834301996662153
https://www.ibm.com/topics/cybersecurity
https://medium.com/free-code-camp/if-you-want-to-stay-up-to-speed-with-cybersecurity-subscribe-to-these-six-newsletters-in-a-hurry-3940c9fd419f