top of page

5 ความเสี่ยงทางด้าน Cyber ที่เกิดขึ้นบ่อยที่สุด

ในยุคปัจจุบัน ข้อมูลมีความสำคัญต่อธุรกิจ องค์กร และการใช้งาน รวมถึงเทคโนโลยีและอินเทอร์เน็ตมีความเจริญเติบโตเพิ่มขึ้นอย่างรวดเร็ว ซึ่งนำไปสู่ความเสี่ยงต่อการถูกโจมตี นั่นทำให้ความปลอดภัยทาง Cyber Security จึงมีความจำเป็นอย่างยิ่ง เพราะเปรียบเสมือนเกราะป้องกันข้อมูลให้กับธุรกิจ และองค์กรต่าง ๆ

 

ซึ่ง OWASP ได้มีการจัดอันดับ 10 ความเสี่ยงทางด้านความปลอดภัยที่เกิดขึ้นบ่อยที่สุดในช่วง 4 ปีที่ผ่านมา โดยทุกๆ 4 ปีจะมีการจัดอันดับช่องโหว่ใหม่เพื่อให้องค์กรต่างๆ ทั่วโลกได้นำข้อมูลตรงนี้ไปใช้ปกป้องข้อมูลของตนเองได้อย่างถูกต้อง และทันสมัยต่อเหตุการณ์ต่าง ๆ ที่เกิดขึ้น คอราไลน์ได้ยกความเสี่ยง 5 อันดับแรกมาดังนี้

 

1.    Broken Access control 

ปัญหาที่เกี่ยวข้องกับผู้ใช้ ที่สามารถดำเนินการหรือเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต เนื่องจาก

ไม่มีข้อจำกัดในการเข้าถึง


ตัวอย่างวิธีการป้องกันปัญหานี้ เช่น web server Apache ต้องมีการตั้งค่า .htaccess เพื่อป้องกันการเข้าถึง directory ต่าง ๆ โดยตรง หรือการปิดสิทธิเข้าถึง Directory  และต้องมีการตรวจสอบสถานะ Login ในทุก ๆ หน้า ที่เป็นหน้าของสมาชิก

 

2.  Cryptographic Failures encryption 

ปัญหาเรื่องการเข้าถึงข้อมูลส่วนตัว เช่น วันเกิด, เลขประจำตัวประชาชน, ข้อมูลสุขภาพ, เลขบัตรเครดิต และเบอร์โทรศัพท์ ซึ่งปัญหานี้เกิดจากหน้าเว็บที่มีความ sensitive สูงมาก หรือ database ไม่ได้ทำการ encrypt ข้อมูลเหล่านี้เอาไว้ และถูก hack ข้อมูลออกไปจากไฟล์ backup ฐานข้อมูล


หากข้อมูลเหล่านี้ถูกเก็บไปใช้โดยผู้ไม่ประสงค์ดีจะมีความเสียหายสูง อาจถึงขั้นนำข้อมูลไปหลอก Call Center ว่าเป็นเจ้าของข้อมูลตัวจริง ซึ่งส่งผลกระทบอย่างร้ายแรงได้เลยทีเดียว โดยวิธีการป้องกัน คือควรมีการเข้ารหัสของข้อมูล

 

3.    Injection 

แบ่งเป็น 2 ประเภท คือ Injection ผ่าน Code ทั่วไป เช่น ช่องโหว่ยอดนิยมมากที่สุดคือ SQL Injection และ Injection ผ่าน XSS 


โดยช่องโหว่ Injection มักเกิดจากการที่โปรแกรมของเราเปิดรับ Input ที่เป็น String จาก User เข้ามาทำงานในระบบ กลับส่ง String ที่เป็นคำสั่งที่เป็นช่องโหว่ของระบบมา ทำให้ Compiler เข้าใจผิด คิดว่าเป็นคำสั่งที่ทางผู้สร้างกำหนดไว้เอง User จึงเข้าถึงข้อมูลที่ไม่ควรจะเข้าถึงได้หรือแก้ไขข้อมูลที่ไม่ควรจะแก้ได้ 


ตัวอย่าง SQL Injection คือ User ที่มีความรู้สามารถสั่งแก้ไขหรือลบ Table ใน Database ได้ โดยหากปล่อยช่องโหว่นี้ไว้จะส่งผลกระทบอย่างร้ายแรงต่อฐานข้อมูลของ User คนอื่น ๆ ในระบบ ซึ่งวิธีป้องกัน คือ ต้องใช้ Prepared Statement ในการ Query SQL หรือใช้คำสั่ง Escape Command ที่ถูกออกแบบมาโดยเฉพาะในแต่ละภาษา เพื่อป้องกันการส่ง Command โดยตรงมารัน

 

4.    Insecure Design

การออกแบบระบบที่ไม่ปลอดภัย ทำให้สามารถถูกคุกคามได้ง่าย เช่น เก็บข้อมูล Secret ใดๆ อย่าง Api key, private key ไว้ที่ Client ที่แม้ว่าจะมีการเข้ารหัสอย่างดีแล้วก็ตาม โดยควรเลี่ยงไปเก็บบน Server แทน หรือการอนุญาตให้แก้ไขข้อมูลสำคัญเช่น email โดยไม่ได้ถาม password ก่อน ทำให้บุคคลอื่นสามารถกด forgot password เพื่อตั้งค่ารหัสผ่านใหม่ได้ทันทีที่เซ็ตอีเมลใหม่ได้ หรือมีการใช้ระบบคำถามลืมรหัสผ่านที่ง่ายเกินไป เช่น วันเดือนปีเกิด เป็นต้น

 

5.    Security Misconfiguration

ปัญหาที่เกี่ยวข้องกับการกำหนดค่าที่ไม่ปลอดภัย ทำให้ถูกโจมตีได้ง่าย เช่น การตั้งค่าผิด หรือลืมตั้งค่า ส่งผลให้มีช่องโหว่ที่ไม่ได้ตั้งใจหลุดออกไป เช่น เปิด Error Message ออกแสดงบนหน้า Web Browser ทำให้ผู้ใช้ทั่วไปเห็น Code หรือ Query ที่ใช้อย่างชัดเจนโดยที่ยังไม่ได้พยายาม Hack หรือ Open cloud storage permission คือการตั้งค่า permission ผิด เช่น ตั้งค่าการเข้าถึง Amazon S3 เป็น Public ทั้ง ๆ ที่ค่า Default เป็น private ส่งผลให้ใครก็ได้เข้าถึงไฟล์บน S3 ได้ทั้งหมด

 

OWASP Top 10 เป็นเพียงแนวทางคร่าว ๆ เท่านั้น อย่างไรก็ตามองค์กรควรประเมินความเสี่ยงด้านความปลอดภัยของตนเองและดำเนินการป้องกันที่เหมาะสม และควรติดตามการอัพเดตล่าสุดของ OWASP Top 10 อยู่เสมอค่ะ



แท็ก:

1 comentário


Olivia Tomas
Olivia Tomas
04 de out.

An essay is a brief, focused piece of writing that delves into a particular topic, offering the author's viewpoint. It typically comprises an introduction, several body paragraphs, and a conclusion. Essays are essential in education for fostering students' critical thinking and writing residency personal statement edit abilities. A well-crafted essay includes a clear thesis statement, supported by logical arguments and evidence. The introduction sets the stage, the body paragraphs provide detailed analysis or examples, and the conclusion summarizes the main points. Writing an effective essay requires critical thinking, clear expression, and a coherent structure to present and support ideas convincingly.

Curtir
< Previous
Next >
bottom of page