โลกในปัจจุบันที่เทคโนโลยีเปลี่ยนแปลงอย่างรวดเร็ว ทุกองค์กรต่างให้ความสำคัญกับการตรวจสอบช่องโหว่ด้านความปลอดภัย หรือ Vulnerability Assessment (VA Scan) เพื่อลดความเสี่ยงจากภัยคุกคามไซเบอร์ บทความนี้จะอธิบายรายละเอียดเกี่ยวกับ VA Scan ว่าคืออะไร มีความแตกต่างจาก Penetration Testing (Pentest) อย่างไร พร้อมแนะนำวิธีการทำ VA Scan ด้วยโปรแกรม OpenVAS และ ArcherySec ซึ่งเป็นเครื่องมือแบบ Open Source
VA Scan คืออะไร?
VA Scan หรือ Vulnerability Assessment เป็นการตรวจสอบอย่างเป็นระบบ เพื่อหาช่องโหว่ด้านความปลอดภัยในระบบ โดยประเมินว่าระบบขององค์กรจะสามารถถูกเจาะผ่านช่องทางใดได้บ้าง ด้วยวิธีการโจมตีแบบใด และให้คำแนะนำในการอุดช่องโหว่เหล่านั้น
ตัวอย่างภัยคุกคามที่สามารถหลีกเลี่ยงได้จากการทำ VA Scan ได้แก่
- SQL Injection, Cross-Site Scripting (XSS) และการโจมตีแบบ Code Injection อื่นๆ
- การปลอมแปลงสิทธิ์ในการเข้าถึงระบบให้สูงขึ้น
- การใช้งาน Software ที่มีการตั้งค่าไม่ปลอดภัย เช่น สามารถเปลี่ยนการตั้งค่าให้รหัสผ่าน Admin คาดเดาได้ง่าย
รูปแบบของ VA Scan
- Host Assessment - ประเมินความเสี่ยงในระดับ Server ที่สำคัญ ซึ่งอาจเป็นเป้าหมายการโจมตี
- Network and Wireless Assessment - ประเมินความเสี่ยงโดยตรวจสอบ Policy การเข้าถึงระบบจากภายนอกทั้งใน Private และ Public Network
- Database Assessment - ประเมินความเสี่ยงของระบบจัดการฐานข้อมูล และระบบที่เกี่ยวข้องกับข้อมูล
- Application Scan - ระบุช่องโหว่ด้านความปลอดภัยใน Web Application และ Source Code โดยการสแกนแบบอัตโนมัติ
ขั้นตอนการทำ VA Scan
1. การระบุช่องโหว่ - เตรียมรายการช่องโหว่ในระบบที่ใช้งาน โดยใช้ฐานข้อมูลช่องโหว่จากผู้พัฒนา
2. การวิเคราะห์ช่องโหว่ - วิเคราะห์สาเหตุของการเกิดช่องโหว่ เช่น ปัญหาจากการใช้งาน Software Version เก่า หรือการตั้งค่าไม่ปลอดภัย
3. การประเมินความเสี่ยง - จัดลำดับความสำคัญของช่องโหว่ตามระดับความรุนแรง
4. การแก้ไข - วางแผนและแก้ไขปัญหาช่องโหว่ตามมาตรการที่จัดทำไว้ แล้ววนกลับไปทำขั้นตอนที่ 1 ใหม่
เครื่องมือสำหรับทำ VA Scan
เครื่องมือที่นิยมใช้ในการทำ VA Scan คือโปรแกรมสำเร็จรูปที่ออกแบบมาให้สามารถสแกนช่องโหว่ได้โดยอัตโนมัติ ทั้งช่องโหว่ใหม่และช่องโหว่ที่เคยพบในระบบขององค์กรมาก่อน แบ่งเป็น
- Web Application Scanners เช่น OWASP ZAP, Burp Suite สำหรับทดสอบและจำลองการโจมตี
- Protocol Scanners เช่น Nessus เพื่อหาช่องโหว่ที่เกี่ยวกับ Port และระบบเครือข่าย
- Network Scanners เช่น Nmap ใช้แสดงผลความผิดปกติในระบบเครือข่าย
สิ่งที่ควรทำคือการทำ VA Scan อย่างสม่ำเสมอ เพื่อช่วยอุดช่องโหว่ใหม่ๆ ได้รวดเร็ว และป้องกันไม่ให้ธุรกิจสะดุดจากช่องโหว่ในระบบ
ความแตกต่างระหว่าง VA Scan กับ Penetration Testing
VA Scan เป็นการใช้เทคโนโลยีสแกนแบบอัตโนมัติเพื่อหาช่องโหว่ในระบบ ด้วยการอ้างอิงจากคลังข้อมูลของช่องโหว่ที่มีบันทึกไว้แล้ว แต่ Penetration Testing หรือ Pentest จะมีนักทดสอบผู้เชี่ยวชาญเข้ามาทดสอบเพิ่มเติม เพื่อค้นหาช่องโหว่ที่โปรแกรม VA ไม่สามารถหาได้ รวมถึงการขยายผลและยืนยันช่องโหว่ที่พบ
การสแกน VA มักมีประสิทธิภาพในการลดความเสี่ยงน้อยกว่าการทำ Pentest เนื่องจากโปรแกรม VA ไม่สามารถเข้าใจบริบททางธุรกิจขององค์กรได้ อย่างไรก็ตาม VA Scan ควรถูกทำอย่างสม่ำเสมอเนื่องจากใช้ระยะเวลาสั้นและค่าใช้จ่ายน้อยกว่า Pentest
ควรทำ VA Scan และ Pentest ควบคู่กันไป โดย VA Scan ทำได้บ่อยครั้ง เช่น รายเดือนหรือรายไตรมาส ขณะที่ Pentest ทำปีละครั้งหรือเมื่อมีการเปลี่ยนแปลงระบบที่สำคัญ นอกจากนี้ VA Scan ยังมีประโยชน์ในการตรวจสอบเบื้องต้นก่อนการทำ Pentest เพื่อลดขอบเขตของระบบที่จะต้องทดสอบ
การทำ VA Scan ด้วยตนเองหรือจ้างบริษัทภายนอก
องค์กรขนาดใหญ่มักทั้งทำ VA Scan ด้วยตนเองและจ้างผู้เชี่ยวชาญภายนอกเข้ามาทำด้วย โดยระบบที่มีความเสี่ยงสูงจะจ้างผู้เชี่ยวชาญภายนอกเพื่อความน่าเชื่อถือ
ข้อดีของการทำ VA Scan ด้วยตนเอง คือ ประหยัดค่าใช้จ่าย ทำให้เกิดองค์ความรู้ภายในบริษัท และช่วยให้ระบบมีความปลอดภัยตั้งแต่เนิ่นๆ
ข้อเสียคือ อาจขาดความน่าเชื่อถือเมื่อนำผลไปใช้อ้างอิง เนื่องจากมีความเป็นไปได้ที่จะเกิดความลำเอียง หรือการมองข้ามในการตรวจหาช่องโหว่บางอย่าง รวมถึงอาจขาดคำแนะนำเชิงลึกในการแก้ไขช่องโหว่จากผู้เชี่ยวชาญ
โปรแกรม VA ฟรี vs โปรแกรมเสียค่าใช้จ่าย
โดยทั่วไปโปรแกรม VA ที่เสียค่าใช้จ่ายจะมีประสิทธิภาพดีกว่าเวอร์ชันฟรี เนื่องจากมีทีมงานคอยปรับปรุงคุณภาพและเพิ่มเติมช่องโหว่ใหม่ๆ อย่างต่อเนื่อง อย่างไรก็ตาม โปรแกรมบางตัวในแบบ Open Source ที่มีชุมชนออนไลน์ขนาดใหญ่ร่วมกันพัฒนาก็มีประสิทธิภาพที่ดีพอๆ กัน
องค์กรควรเลือกใช้โปรแกรมหลายๆ ตัวที่มีการอัปเดตอย่างสม่ำเสมอ เพื่อตรวจสอบผลลัพธ์ร่วมกัน และอาจใช้โปรแกรมเสียค่าใช้จ่ายหากต้องการความละเอียดในการตรวจสอบมากขึ้น
วิธีทำ VA Scan ด้วย OpenVAS และ ArcherySec
OpenVAS เป็นโปรแกรม VA แบบ Open Source ที่ใช้งานง่าย สามารถติดตั้งผ่าน Docker ได้ง่ายๆ ด้วยคำสั่ง
sed -ie 's/8080:9392/9392:9392/g' docker-compose.yml
sed -ie 's/$TAG/22.4-beta/g' docker-compose.yml
docker-compose up
หลังจากนั้นสามารถเข้าใช้งาน OpenVAS ผ่านเว็บที่ http://127.0.0.1:9392 ด้วยชื่อผู้ใช้ admin (ควรเปลี่ยนรหัสผ่าน)
การใช้งาน OpenVAS ทำได้ง่ายๆ ดังนี้
1. กรอกหมายเลข IP เป้าหมายที่ต้องการสแกน
2. เลือก Task Wizard หรือ Advanced Task Wizard เพื่อสร้างการสแกน
3. ตั้งค่าเพิ่มเติม เช่น กำหนดเวลาสแกน หรือใส่รหัสผ่านสำหรับทำ Credentialed Scan
4. ตรวจสอบผลการสแกน รับรายงานช่องโหว่ คำอธิบาย และคำแนะนำวิธีแก้ไข
5. เริ่มแก้ไขช่องโหว่ตามคำแนะนำ
นอกจากนี้ยังมีเครื่องมือ ArcherySec ที่ช่วยรวมผลการสแกน VA จากหลายๆ โปรแกรมเข้าด้วยกัน เพื่อบริหารจัดการช่องโหว่ได้สะดวกขึ้น ArcherySec สามารถนำมาใช้ในกระบวนการ DevSecOps โดยการเรียก API เพื่อทำ VA Scan อัตโนมัติหลังการ Deploy ระบบใหม่
สรุปได้ว่า VA Scan เป็นกระบวนการสำคัญในการลดความเสี่ยงด้านความปลอดภัยให้กับองค์กร นอกเหนือจากการทำ Pentest แล้ว การทำ VA Scan อย่างสม่ำเสมอด้วยเครื่องมือทั้งแบบฟรีและเสียค่าใช้จ่าย จะช่วยให้ตรวจพบและอุดช่องโหว่ได้รวดเร็วยิ่งขึ้น ลดโอกาสเกิดเหตุรั่วไหลข้อมูลหรือถูกโจมตีจากภัยคุกคาม
Reference: https://openvas.org