การทำ Vulnerability Assessment หรือ VA คืออะไร

ในปัจจุบันหลายองค์กรมีการให้ความรู้ ความเข้าใจด้านการรักษาความปลอดภัยทางไซเบอร์กับบุคลากรในองค์กรและมีอุปกรณ์ป้องกันภัยคุกคามที่ครบถ้วน แต่ไม่อาจมั่นใจได้ว่าจะปลอดภัย 100% เพราะแฮกเกอร์มีการปรับเปลี่ยนรูปแบบการโจมตีระบบไอทีอยู่เสมอเพื่อค้นหาช่องทางในการเข้าถึงระบบเครือข่าย การตรวจสอบช่องโหว่ (Vulnerability Assessment) ของระบบอย่างสม่ำเสมอจะมีส่วนช่วยป้องกันการโจมตีจากแฮกเกอร์ที่อาจจะเกิดขึ้นได้

การทำ Vulnerability Assessment Scan (VA Scan) โดยทั่วไปจะใช้เครื่องมือ  Vulnerability Scanning Tool  เพื่อตรวจสอบความปลอดภัยระบบเครือข่าย ค้นหาช่องโหว่ที่ใช้งานภายในองค์กร เช่น ระบบปฏิบัติการ (OS) ซอฟต์แวร์ อุปกรณ์ Network อุปกรณ์ Security ฯลฯ ซึ่งนับเป็นเรื่องสำคัญระบุระดับความรุนแรงของช่องโหว่ ที่เกิดขึ้นตามการอ้างอิงของ  CVE (เว็บไซต์รวบรวมชื่อและคำอธิบายช่องโหว่)  และ CVSS (เว็บไซต์ที่วิเคราะห์การโจมตีช่องโหว่และประเมินคะแนนระดับความรุนแรง) โดยทั้งสองเว็บไซต์อยู่ในความดูแลของ สำนักงานรักษาความมั่นคงปลอดภัยไซเบอร์และการสื่อสาร จากกระทรวงความมั่งคงสหรัฐอเมริกา ซึ่งจะมีการอัปเดตข้อมูลพร้อมกัน ทำให้เจ้าหน้าที่ดูแลระบบสามารถแก้ไขช่องโหว่ที่สุ่มเสี่ยงได้ทันท่วงที 

ทำไมการทำ Vulnerability Assessments ถึงสำคัญ?

ความปลอดภัย 100 % ของระบบไอทีไม่มีอยู่จริง จึงจำเป็นต้องตรวจสอบความสมบูรณ์และความพร้อมใช้งานอยู่เสมอ เพราะภัยคุกคามต่างๆ อาจเกิดได้จากผู้ใช้งานนำมัลแวร์เข้าสู่ระบบโดยรู้เท่าไม่การณ์ หรืออุปกรณ์เครือข่ายล้าสมัย ขาดการอัปเดตเวอร์ชันให้เป็นปัจจุบัน ฯลฯ การทำ Vulnerability Assessment (VA) จะช่วยในการสแกนหาข้อบกพร่องของระบบก่อนถูกโจมตี เพื่อให้เจ้าหน้าที่ดูแลระบบไอทีองค์กร สามารถแก้ไขได้ก่อนที่จะเกิดปัญหา 

การทำ VA จะช่วยอะไรได้บ้าง

  • ทำให้รู้จุดอ่อน ช่องโหว่ของระบบไอทีและวิธีการแก้ไข
  • ช่วยให้ผู้ดูแลระบบสามารถดำเนินการแก้ไขช่องโหว่ได้ก่อนเกิดปัญหา
  • ช่วยให้สามารถปฏิบัติตามข้อกำหนดด้าน Cybersecurity ที่จำเป็น เช่น HIPAA และ PCI DSS

การทำ Vulnerability Assessment แบ่งเป็นกี่ประเภท

เครื่องมือ VA ถูกออกแบบมาเพื่อค้นหาภัยคุกคามได้ทั้งรูปแบบใหม่และแบบเดิมซึ่งสามารถสแกนได้ด้วยระบบอัตโนมัติ โดยแบ่งประเภทได้ ดังนี้ 

  1. Web Application Scanners สำหรับทดสอบและจำลองการโจมตีที่รู้จัก
  2. Protocol Scanners สำหรับค้นหา Protocol, Port และบริการ Network ที่มีช่องโหว่
  3. Network Scanners ช่วยให้เห็นภาพเครือข่าย Network และค้นหาสัญญาณเตือน เช่น IP Address หลอก หรือ การปลอมแปลง IP Address เป็นต้น

ฟีเจอร์จำเป็นสำหรับเครื่องมือการทำ Vulnerability Assessment มีอะไรบ้าง?

  1. Host assessment การประเมินเซิร์ฟเวอร์ที่มีความเสี่ยงต่อการถูกโจมตี หากไม่ได้ทำการทดสอบอย่างเพียงพอ
  2. Network and Wireless Assessment การประเมินกฏและแนวทางปฏิบัติที่ป้องกันการเข้าถึง private หรือ public network และการเข้าถึงทรัพยากร Network โดยไม่ได้รับอนุญาต
  3. Database Assessment การประเมินฐานข้อมูล เพื่อหาช่องโหว่และการตั้งค่าที่ผิดพลาด
  4. Application Scan การสแกนอัตโนมัติ ในส่วนของ Front-end หรือการวิเคราะห์ Source code ทั้งแบบ Static และ Dynamic เพื่อค้นหาช่องโหว่ความปลอดภัยของเว็บ Web Application และ Source Code

ตัวอย่าง เครื่องมือที่นิยมใช้ในการทำ  Vulnerability assessment

  • Acunetix WVS by Acunetix
  • AppScan by IBM
  • Burp Suite Professional by PortSwigger
  • Hailstorm by Cenzic
  • N-Stalker by N-Stalker
  • Nikto
  • Nessus by Tenable Network Security
  • NetSparker by Mavituna Security
  • NeXpose by Rapid7
  • NMap
  • NTOSpider by NTObjectives
  • OpenVAS
  • ParosPro by MileSCAN Technologies
  • Qualys
  • Retina Web Security Scanner by eEye Digital Security
  • WebApp360 by nCircle
  • WebInspect by HP
  • WebKing by Parasoft
  • Websecurify by GNUCITIZENZenmap

โดยเครื่องมือที่นิยมใช้กันอย่างแพร่หลายในการทำ VA คือ Nessus Professional ที่มีจุดเด่นคือ มีฟังก์ชันการใช้งานที่ครอบคลุมและใช้งานง่าย

ขั้นตอนการทำ Vulnerability Assessment มีอะไรบ้าง

กระบวนการ VA ประกอบไปด้วย 4 ขั้นตอน ดังนี้

  1. การทดสอบ (Testing)
  2. การวิเคราะห์ (Analysis)
  3. การประเมินความเสี่ยง (Assessment)
  4. การเยียวยาและหยุดความเสียหาย (Remediation)
กระบวนการสแกนความปลอดภัย Vulnerability Assessment

1.Vulnerability Identification (Testing)

จุดประสงค์ของขั้นตอนนี้คือการร่างลิสต์ช่องโหว่แอปพลิเคชันอย่างครอบคลุม

ผู้เชี่ยวชาญจะวิเคราะห์ระบบ เพื่อทำการทดสอบความปลอดภัยของแอปพลิเคชัน, เซิฟเวอร์, หรือระบบต่าง ๆ ไม่ว่าจะเป็นการสแกนด้วยเครื่องมืออัตโนมัติ (Automated tools) หรือการประเมินแบบ Manual โดยผู้เชี่ยวชาญ

การประเมินจากผู้เชี่ยวชาญจะต้องใช้ทั้งฐานข้อมูลเกี่ยวกับช่องโหว่ต่าง ๆ ที่มีในระบบ (Vulnerability Database) แจ้งจุดอ่อนของระบบ ใช้ระบบบริหารจัดการ Asset และอาศัยข้อมูลที่ได้จาก Threat Intelligence เพื่อระบุจุดอ่อนด้านความปลอดภัย

2.Vulnerability Analysis

การระบุต้นตอสาเหตุ หาจุดกำเนิดช่องโหว่ที่เกิดขึ้นจากในการวิเคราะห์ในขั้นตอนแรก

เช่น ต้นตอสาเหตุของช่องโหว่มาจากการใช้งาน Open Source ในเวอร์ชันเก่า ที่ไม่ได้อัปเดตแก้ไขปัญหาด้านความปลอดภัย เป็นต้น

3.Risk Assessment

การจัดลำดับความสำคัญของช่องโหว่ นักวิเคราะห์ความปลอดภัย (Security Analyst) จะระบุความร้ายแรงแต่ละช่องโหว่ที่พบ โดยขึ้นอยู่กับปัจจัยต่อไปนี้

  • ระบบไหนบ้างที่ได้รับผลกระทบ
  • ข้อมูล (data) ประเภทใดที่ได้รับผลกระทบ
  • ฟังก์ชันธุรกิจใดบ้างที่ได้รับความเสี่ยง
  • ช่องโหว่นั้นๆ ง่ายต่อการถูกโจมตีมากน้อยเพียงใดหรือสามารถยอมรับได้
  • ความรุนแรงของการโจมตี
  • ความเสียหายที่อาจเกิดขึ้นจากผลของการมีช่องโหว่

4.Remediation

ขั้นตอนสุดท้ายของการทำ VA ในส่วนที่ใกล้ปิดช่องโหว่ด้านความปลอดภัยได้สำเร็จ
โดยทั่วไปคือการพยายามร่วมกันระหว่าง ทีม Security, ผู้เชี่ยวชาญ Security และทีม Operator เพื่อกำหนดวิธีการและแนวทางแก้ไขช่องโหว่แต่ละจุด ขั้นตอนการทำ Remediation อาจรวมถึง

  1. การแนะนำขั้นตอนการรักษาความปลอดภัย, การวัดผลและเครื่องมือแบบใหม่
  2. การอัปเดตความเปลี่ยนแปลงของการดำเนินงานและองค์ประกอบต่าง ๆ
  3. การ Implement แก้ไขช่องโหว่ระบบ (Vulnerability patch)

ทั้งนี้ VA จำเป็นต้องทำอย่างสม่ำเสมออย่างน้อยปีละ 2 ครั้ง เพื่อให้ระบบเครือข่ายขององค์กรมีประสิทธิภาพในการรักษาความปลอดภัยอยู่เสมอและมีประสิทธิภาพสูงสุด

ตัวอย่างภัยคุกคามที่ VA สามารถช่วยป้องกันได้

  1. SQL injection, XSS และ Code Injection Attack ต่างๆ
  2. การที่แฮกเกอร์ยกระดับสิทธิ์ตัวเองโดยเพิ่มสิทธิ์การเข้าถึงข้อมูลของ User ตามความต้องการ (Privilege Escalation) อันเนื่องมาจากการพิสูจน์ตัวตน (Authentication mechanisms) ผิดพลาด
  3. ภัยคุกคามพื้นฐานที่พบได้ทั่วไป เช่น ซอฟต์แวร์ต่าง ๆ ที่ตั้งค่าไม่ปลอดภัย เช่น รหัสของ Admin ที่สามารถคาดเดาได้ง่าย

สรุป

การรักษาความปลอดภัยระบบเครือข่ายภายในองค์กรนั้น นอกจากอุปกรณ์ Security ต่างๆที่ครอบคลุมแล้ว การทำ VA อย่างน้อยปีละ 2 ครั้ง เพื่อตรวจสอบช่องโหว่ระบบเครือข่ายนับเป็นสิ่งจำเป็นในการรักษาระดับความปลอดภัยของระบบไอทีให้มีความพร้อมอยู่เสมอจะช่วยลดทอนความเสียหายที่อาจจะเกิดขึ้นได้เพราะแฮกเกอร์ปรับเปลี่ยนรูปแบบการโจมตีอย่างต่อเนื่อง 

ทั้งนี้ การทำ VA จำเป็นต้องดำเนินการโดยผู้เชี่ยวชาญ  NT cyfence ในฐานะผู้เชี่ยวชาญด้านการรักษาความปลอดภัยระบบเครือข่าย จึงมีบริการ Vulnerability Assessment  เพื่อให้บริการสำหรับ บริษัท/องค์กร ที่ไม่มีเจ้าหน้าที่หรือเครื่องมือตรวจสอบช่องโหว่โดยเฉพาะ และมีบริการด้าน Cybersecurity อื่นๆ อย่างครบวงจร สอบถามเพิ่มเติมได้ที่  NT Contact Center 1888 หรือติดต่อผ่านทางเว็บไซต์ได้ที่ https://www.cyfence.com/contact-us/

ที่มา: wikipedia , beyondtrust , imperva