5 มาตรฐานสำคัญในการทำ Vulnerbility Assessment

ในครึ่งปีแรกของปี 2565 มีแอปใหม่ออกใน Google Play Store จำนวนกว่า 570,000 แอป* เฉลี่ยกว่า 3,100 แอปต่อวัน แสดงให้เห็นถึงความเร็วในการพัฒนาแอปพลิเคชันในปัจจุบันว่าเร็วเพียงใด แต่สิ่งที่สำคัญที่ต้องทำควบคู่กันไปคือการประเมินหาความเสี่ยงที่เกิดจากช่องโหว่ ไม่ใช่เพียงแค่แอปพลิเคชันเพียงอย่างเดียวเท่านั้น แต่ยังรวมถึงช่องโหว่จากระบบระบบต่าง ๆ ด้วย เพราะ หากมีช่องโหว่เกิดขึ้น ก็อาจจะทำให้ข้อมูลของผู้ใช้รั่วไหล หรือแม้กระทั่งทำให้แฮกเกอร์สามารถนำเอาช่องโหว่ไปใช้โจมตีได้

ซึ่งมาตรฐานที่ใช้ในการตรวจสอบช่องโหว่นั้น มีอยู่หลายตัวเลือกที่ใช้ในการทำ ไม่ว่าจะเป็น OWASP, CEH, ISSAF,  OSSTM หรือ NIST CSF เป็นต้น โดยมีรายละเอียดในแต่ละมาตรฐานดังนี้

1. OWASP Top 10

จัดทำโดย  OWASP Foundation เป็นองค์กรไม่แสวงหาผลกำไร ที่ให้ความรู้เพื่อเน้นเรื่องระบบความปลอดภัยในภาพรวมในหลายแง่มุมไม่ว่าจะเป็นการทดสอบแฮก การเขียนโค้ดให้ปลอดภัย และการกำหนดนโยบายหรือมาตรฐานด้านความปลอดภัยในหลาย ๆ ด้าน หนึ่งในมาตรฐานหลักของ OWASP นั่นก็คือ Web Application Security Standards ซึ่งมีช่องโหว่ 10 อันดับในปี 2021 ดังต่อไปนี้* 

1. Broken Access Control
2. Cryptographic Failures
3. Injection
4. Insecure Design
5. Security Misconfiguration
6. Vulnerable and Outdated Components
7. Identification and Authentication Failures
8. Software and Data Integrity Failures
9. Security Logging and Monitoring Failures
10. Server-Side Request Forgery

โดยรายละเอียดในแต่ช่องโหว่นั้นสามารถอ่านได้ที่ https://www.cyfence.com/article/owasp-top-10-2021/

2. CEH

CEH หรือ Certified Ethical Hacker เป็นใบรับรองที่ออกให้โดย EC-Concil หรือ International Council of E-Commerce Consultants ซึ่งเป็นหน่วยงานที่ให้การอบรมและออกใบรับรองความรู้ทางด้านความมั่นคงปลอดภัยไซเบอร์ระดับโลก โดยจะเน้นการสอนแฮกแบบมีจริยธรรม (Ethical Hacking) โดยเนื้อหาจะเป็นเรื่องเกี่ยวกับ Information 

• Security Threats (ภัยคุกคามความปลอดภัยของข้อมูล)
• Attack Vectors (วิธีการโจมตี)
• Attack Detection (การตรวจจับการโจมตี)
• Attack Prevention การป้องกันการถูกโจมตี

3. ISSAF

ISSAF หรือ Information System Security Assessment Framework ระเบียบวิธีเกี่ยวกับกรอบการประเมินความปลอดภัยของข้อมูลระบบ ที่เป็นแหล่งอ้างอิงที่ดีมากๆ ในการทดสอบการเจาะระบบ โดยจะคำให้คำแนะนำทางเทคนิคการทดสอบการเจาะระบบแบ่งออกเป็น 3 ระยะดังนี้

• Planning and preparation (วางแผนและเตรียมการ)
• Assessment (การประเมิน)
• Reporting (การรายงาน) 

ซึ่งครอบคลุม เนื้อหาดังนี้ 

• Project Management
• Guidelines And Best Practices – Pre-Assessment, Assessment And Post Assessment
• Assessment Methodology
• Review Of Information Security Policy And Security Organization
• Evaluation Of Risk Assessment Methodology
• Technical Control Assessment
• Technical Control Assessment – Methodology
• Password Security
• Password Cracking Strategies
• Unix /Linux System Security Assessment
• Windows System Security Assessment
• Novell Netware Security Assessment
• Database Security Assessment
• Wireless Security Assessment
• Switch Security Assessment
• Router Security Assessment
• Firewall Security Assessment
• Intrusion Detection System Security Assessment
• VPN Security Assessment
• Anti-Virus System Security Assessment And Management Strategy
• Web Application Security Assessment
• Storage Area Network (SAN) Security
• Internet User Security
• As 400 Security
• Source Code Auditing
• Binary Auditing
• Social Engineering
• Physical Security Assessment
• Incident Analysis
• Review Of Logging / Monitoring & Auditing Processes
• Business Continuity Planning And Disaster Recovery
• Security Awareness And Training
• Outsourcing Security Concerns
• Knowledge Base
• Legal Aspects Of Security Assessment Projects
• Non-Disclosure Agreement (NDA)
• Security Assessment Contract
• Request For Proposal Template
• Desktop Security Check-List – Windows
• Linux Security Check-List
• Solaris Operating System Security Check-List
• Default Ports – Firewall
• Default Ports – IDS/IPS
• Links
• Penetration Testing Lab Design

4. OSSTMM

OSSTMM หรือ Open Source Security Testing Methodology  เป็น วิธีสำหรับตรวจสอบความปลอดภัยที่เกี่ยวข้องกับ 5 เรื่องต่อไปนี้

• Human Security Testing เน้นการประเมินระดับความตระหนักด้านความปลอดภัยไซเบอร์ของบุคลากร และประสิทธิผลของการฝึกอบรมด้านความปลอดภัยในองค์กร วิธีการที่จัดการเกี่ยวกับการโจมตีทาง Social Engineering ซึ่งเป็นเทคนิคการหลอกลวงโดยใช้หลักการพื้นฐานทางจิตวิทยาเพื่อให้เหยื่อเปิดเผยข้อมูล
• Physical Security Testing ประเมินการควบคุมการเข้าถึงทางกายภาพ
• Wireless Security Testing ครอบคลุมรูปแบบไร้สายต่าง ๆ ที่สามารถดักจับหรือหยุดชะงักได้ รวมถึงเครือข่าย Wi-Fi, RFID และอื่นๆ Telecommunications ครอบคลุมช่องทางการสื่อสารต่างๆ ในองค์กร รวมถึง VoIP, PBX และ voicemail
• Telecommunications Security Testing การทดสอบด้านการสื่อสาร เช่น PBX Testing หรือ Voice over IP testing เป็นต้น
• Data Networks Security Testing  เป็นการทดสอบที่เน้นเรื่องความปลอดภัยของคอมพิวเตอร์และเครือข่ายของระบบ

5. NIST

NIST Cybersecurity Framework (NIST CSF) เป็นหนึ่งในกรอบทำงานด้านความมั่นคงปลอดภัยไซเบอร์ ไม่เพียงแค่องค์กรในสหรัฐฯ เท่านั้น Framework ดังกล่าวยังเป็นที่แพร่หลายไปยังทุกภูมิภาคทั่วโลก ใช้เพื่อรับมือกับภัยคุกคามไซเบอร์ สำหรับรายละเอียดของ NIST CSF อ่านต่อได้ที่ https://www.cyfence.com/article/nist-cybersecurity-framework/

จากตัวอย่างดังกล่าวมา เป็น 5 มาตรฐานเบื้องต้นสำหรับผู้ที่ต้องการประเมินความเสี่ยงของแอปพลิเคชันหรือระบบ สามารถเลือกใช้งานตามความถนัดได้ แต่สำหรับหน่วยงานที่ยังไม่มีทีมงานที่ทำงานด้านนี้โดยตรง สามารถเลือกใช้บริการ Vulnerability Assessment ของ NT cyfence เพื่อทำการประเมินความเสี่ยงของระบบได้เช่นเดียวกัน 

* ข้อมูลจาก Statista

ที่มา: medium , futurelearn