เช็กลิสต์ Website Security Standard (WSS) มาตรฐานการมีเว็บไซต์ที่ปลอดภัยสำหรับทุกองค์กร

ปัจจุบันหน่วยงานภาครัฐของประเทศไทย ไม่ว่าจะเป็นหน่วยงานระดับท้องถิ่นเช่น องค์การบริหารส่วนตำบล (อบต.) เทศบาล หรือหน่วยงานระดับภูมิภาค เช่น องค์การบริหารส่วนจังหวัด (อบจ.) รวมไปถึงหน่วยงานเอกชนขนาดเล็กไปจนถึงขนาดใหญ่ ต่างก็ใช้เว็บไซต์เป็นสื่อกลางในการประชาสัมพันธ์ข้อมูลสู่สาธารณะ ดังนั้นการคำนึงถึง Website Security Standard ในการจัดทำเว็บไซต์ของหน่วยงาน จึงเป็นสิ่งสำคัญอันดับต้น ๆ แต่หลาย ๆ หน่วยงานอาจจะมองข้ามหรือละเลยในจุดนี้ไปทำให้เว็บไซต์เหล่านี้ไม่ปลอดภัย เสี่ยงต่อการถูกแฮก หรือโจรกรรมข้อมูลได้ง่าย 

ETDA (เอ็ตด้า) หรือ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ ได้ออกมาตรฐานออกมา 2 ส่วน คือ สำหรับ Website Security Standard (WSS) ซึ่งเป็นมาตรฐานสำหรับการจัดทำ Wesite และ สำหรับ Website Application Standard (WAS) สำหรับ Web Application เพื่อที่จะให้ผู้พัฒนาได้เข้าใจหลักความปลอดภัยว่าต้องตระหนักอะไรบ้าง นอกจากนั้นยังมี check list เพื่อตรวจเช็กว่ายังมีข้อน่ากังวลด้านความปลอดภัยส่วนไหนอีกหรือไม่

ในที่นี้จะขอเขียนเรื่อง การรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ Website Security Standard (WSS) เสียก่อน โดยในเนื้อหาของข้อกำหนดนั้นจะอยู่ในไฟล์ ข้อเสนอแนะนำมาตรฐานฯ WSS (ขมธอ. 1-2557) ซึ่งพัฒนาตามมาตรฐานดังต่อไปนี้

• NIST SP 800-44 Guidelines on Securing Public Web Servers
• OWASP Open Web Application Security Project
• ข้อกำหนดที่เกี่ยวข้องจากข้อแนะนำแก้ไขและป้องกันข้อบกพร่องหรือจุดอ่อนของเว็บไซต์ ของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย หรือไทยเซิร์ต (ThaiCERT)
• คู่มือ “How to Secure Your Website” ของ สำนักงานส่งเสริมเทคโนโลยีสารสนเทศ ประเทศญี่ปุ่น (Information-Technology Promotion Agency (IPA), Japan)

โดยในเนื้อหาของข้อเสนอแนะดังกล่าวจะประกอบไปด้วย 4 ด้านด้วยกัน ได้แก่

1.การวางแผนเพื่อบริหารจัดการเว็บไซต์

โดยการเริ่มต้นวางแผนบริหารจัดการเว็บไซต์ให้มีความมั่นคงปลอดภัยถือเป็นขั้นตอนที่มีความสำคัญ เนื่องจากเว็บไซต์ที่ขาดการวางแผนที่เหมาะสมและถูกต้อง มักจะมีค่าใช้จ่ายที่สูงในการแก้ไขปัญหาด้านความมั่นคงปลอดภัยหากเกิดเหตุการณ์ไม่คาดคิดขึ้นมา และมีความเสี่ยงที่จะทำให้เกิดผลกระทบกับองค์ประกอบส่วนต่าง ๆ ของเว็บไซต์อีกด้วย เหตุนี้องค์กรจึงควรคำนึงถึงการวางแผนด้านความมั่นคงปลอดภัยของเว็บไซต์ การเลือกผู้รับจดทะเบียนชื่อโดเมน การเลือกรูปแบบเครื่องบริการเว็บ และการเลือกระบบบริหารจัดการเว็บไซต์ (CMS) ที่มั่นคงปลอดภัย เพื่อวางรากฐานด้านความมั่นคงปลอดภัยให้กับเว็บไซต์ก่อนที่จะเปิดให้บริการ

2.การตั้งค่าเครื่องบริการเว็บอย่างมั่นคงปลอดภัย

หลังจากวางแผนบริหารจัดการเว็บไซต์ที่ดีแล้ว การติดตั้งและตั้งค่าโปรแกรมสำหรับให้บริการเว็บ (Web Server Software) ก็เป็นเรื่องสำคัญเช่นกัน ปัจจุบันมีผู้พัฒนาหลายรายและมีหลายรุ่น ด้วยเหตุนี้ก่อนการติดตั้งโปรแกรมดังกล่าว ผู้ดูแลเครื่องบริการเว็บควรศึกษารายละเอียดของคู่มือการติดตั้ง (Instalation Guideline) และการตั้งค่าพารามิเตอร์ต่าง ๆ ที่เกี่ยวข้อง เช่น การตั้งค่าระบบบริหารจัดการเว็บไซต์ (CMS) การตั้งค่าฐานข้อมูล (Database system) การตั้งค่า Server-Side Script Engine และการกำหนดและรักษารหัสผ่าน เพื่อให้โปรแกรมดังกล่าวสามารถทำงานได้ตามความต้องการของผู้ให้บริการและมีความมั่นคงปลอดภัย และป้องกันการเปิดช่องโหวให้เหล่าโจรไซเบอร์เข้ามาทำอันตรายแก่เครื่องบริการเว็บได้

3.การพัฒนาโปรแกรมประยุกต์บนเครื่องบริการเว็บอย่างมั่นคงปลอดภัย

การรักษาความมั่นคงปลอดภัยของโปรแกรมประยุกต์บนเว็บสำคัญมากเช่นเดียวกัน จากสถิติภัยคุกคาม ในปี 2013 ที่เป็นการโจมตีเว็บไซต์เพื่อเปลี่ยนแปลงข้อมูลเผยแพร่หน้าเว็บ (Website Defacement) ซึ่งผู้โจมตีมีวัตถุประสงค์เพื่อปรับเปลี่ยนหน้าเว็บไซต์จำแนกตามประเภทหน่วยงาน (เฉพาะ โดเมนเนม .th) พบว่าเว็บไซต์ของหน่วยงานของรัฐ (go.th) ที่ถูกภัยคุกคามดังกล่าวมีจำนวนสูงสุด 1,929 เว็บไซต์ และเว็บไซต์ของสถาบันการศึกษา (ac.th) มีจำนวนมากถึง 1,515 เว็บไซต์ ซึ่งสาเหตุหลักที่ทำให้เกิดมีการโจมตีประเภทดังกล่าวมาจากช่องโหว่หรือข้อบกพร่องที่เกิดจากโปรแกรมประยุกต์บนเว็บ อีกทั้ง ไทยเซิร์ต ยังตรวจพบว่าในเว็บไซต์ที่มีอยู่ในประเทศไทยมีช่องโหว่หรือความเสี่ยงที่เกี่ยวกับโปรแกรมประยุกต์บนเว็บในเรื่องของการถูกโจมตีจากเทคนิค ต่าง ๆ เช่น SQL Injection, Session Hijacking และ CSRF เป็นต้น ดังนั้นการการรักษาความมั่นคงปลอดภัยของโปรแกรมประยุกต์บนเว็บจึงไม่ควรถูกมองข้ามอีกต่อไป

4.การรับมือสถานการณ์ภัยคุกคามที่เกิดจากการโจมตีเว็บไซต์ (Incident Handling)

การโจมตีที่เกิดขึ้นกับเว็บไซต์ในปัจจุบัน เกิดขึ้นในหลากหลายรูปแบบ การรับทราบมาตรการและการดำเนินการที่เกี่ยวข้องในการรับมือภัยคุกคามที่เกิดขึ้นกับเว็บไซต์เป็นเรื่องที่สำคัญไม่แพ้กันและเมื่อเกิดเหตุการณ์โจมตีในลักษณะต่าง ๆ การใช้โปรแกรมตรวจสอบความมั่นคงปลอดภัยของเว็บไซต์ รวมไปถึงการทำความเข้าใจการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ รวมไปถึงการสำรองข้อมูลเว็บไซต์เป็นเรื่องที่ไม่ครมองข้ามเพื่อรักษาความปลอดภัยให้กับข้อมูลและปิดช่องโหว่ในการถูกโจมตี

การรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ Website Security Standard (WSS) เพื่อกำหนดมาตรฐานให้เว็บไซต์ที่ทำหรือจ้างทำ มีความปลอดภัยมากขึ้น เมื่อลองอ่านดูข้อกำหนดแล้วจะพบความครอบคลุมด้านความปลอดภัยของการพัฒนาเว็บไซต์แล้ว แต่ถ้ายังไม่มั่นใจสามารถลองทดสอบตาม แบบฟอร์มตรวจสอบสถานะความมั่นคงปลอดภัยสำหรับเว็บไซต์ (ตามข้อเสนอแนะมาตรฐานฯ WSS) ซึ่งในแต่ละข้อนั้นจะอ้างอิงตามข้อกำหนด WSS ซึ่งก็จะช่วยให้นักพัฒนาหรือผู้ดูแลระบบสามารถเข้าใจความปลอดภัย และนำมาปฏิบัติได้จริง 

หลังจากได้ทำตามข้อกำหนดในด้านความปลอดภัยต่าง ๆ แล้ว ถ้านักพัฒนาหรือผู้ดูแลระบบ ยังไม่มั่นใจ สามารถทาง NT cyfence ขอแนะนำ 3 บริการที่ช่วยให้เว็บไซต์ของคุณสามารถให้บริการได้อย่างปลอดภัยมากยิ่งขึ้น

ตรวจสอบช่องโหว่ของระบบ ด้วยบริการ “Vulnerability Assessment”

Vulnerability Assessment เป็นบริการตรวจสอบช่องโหว่ของระบบ ซึ่งบริการนี้จะช่วยให้องค์กรตรวจสอบได้ว่าเว็บไซต์นั้น ปลอดภัยมากน้อยแค่ไหน และควรปรับปรุงแก้ไขจุดไหน โดยจะช่วยตรวจสอบตั้งแต่ช่องโหว่ในกระบวนการทำงานของระบบ เซิร์ฟเวอร์ และเครือข่าย ไปจนถึงอุปกรณ์รักษาความปลอดภัย ทำให้ได้ทราบถึงช่องโหว่ภายในองค์กร และนำไปสู่การแก้ไขปรับปรุงได้อย่างถูกจุด อันเป็นการลดความเสี่ยงจากภัยคุกคามที่อาจเกิดขึ้น

Web Application Firewall (WAF) บริการป้องกัน Web Application

Web Application Firewall (WAF) เป็นบริการด้วยการใช้แอนตี้ไวรัส เพื่อป้องกันภัยที่อาจเกิดขึ้นได้ในอนาคต ซึ่งเป็นบริการปกป้อง Web Application ในรูปแบบ Cloud Security เหนือชั้นกว่า Firewall ทั่วไป ด้วยความสามารถในการตรวจจับทุกกิจกรรมการใช้งาน Web Application ของ User ต่าง ๆ และป้องกันได้ทุกภัยคุกคามบน Web Application ที่ได้รับการจัดอันดับความร้ายแรง 10 อันดับแรกใน OWASP Top 10 โดยบริการ WAF สามารถปกป้องภัยคุกคามได้โดยไม่ทำให้การใช้งานระบบช้าลง อีกทั้งยังมีการอัปเดตภัยคุกคามใหม่ ๆ จาก Threat Intelligence อยู่เสมอ

Web Monitoring  บริการเฝ้าระวังเว็บไซต์แบบ Real-time ตลอด 24 ชั่วโมง

Web monitoring   เป็นบริการเฝ้าระวังเว็บไซต์ให้ปลอดภัยแบบ Real-time ตลอด 24 ชั่วโมง โดยไม่ต้องมีการติดตั้ง อุปกรณ์หรือซอฟต์แวร์ใด ๆ ลงในระบบหรือเครื่องเว็บเซิฟเวอร์ของผู้รับบริการ แค่เพียงแค่อนุญาตให้ระบบ Web Monitoring สามารถเข้าไปยังเว็บไซต์ของผู้รับบริการผ่านทาง Internet เท่านั้น ระบบพร้อมจะทำการ แจ้งเตือนหากเกิดเหตุการณ์ ผิดปกติอย่างทันท่วงที

ดังนั้นหากหน่วยงานหรือองค์กรไหนมีความกังวลด้านความปลอดภัยของเว็บไซต์ การใช้บริการตรวจสอบช่องโหว่ของระบบ ก็เป็นอีกทางเลือกหนึ่งที่จะให้องค์กรของคุณมั่นใจ คลายกังวล สำหรับผู้ที่สนใจบริการตรวจสอบระบบความปลอดภัยทางไซเบอร์ให้กับองค์กร สามารถติดต่อ NT cyfence ได้ทาง https://www.cyfence.com/contact-us/  หรือโทร 1888 เรามีทีมงานผู้เชี่ยวชาญพร้อมให้คำแนะนำ และเป็นที่ปรึกษาด้านความปลอดภัยด้านสารสนเทศอย่างครบวงจรให้กับคุณ

ที่มา : etda