ช่องโหว่ด้านความปลอดภัยทั่วไปและวิธีการแก้ไข

เผยแพร่แล้ว: 2022-07-11

ช่องโหว่ใน Exchange Server ของ Microsoft มีส่วนทำให้เกิดการโจมตีทางไซเบอร์จำนวนมาก ซึ่งส่งผลกระทบต่อบริษัทเอกชนกว่า 60,000 แห่งในสหรัฐอเมริกา และเพียงหนึ่งเดือนก่อนหน้านั้น Bombardier บริษัทการบินและอวกาศได้ละเมิดข้อมูลของพนักงานและซัพพลายเออร์เนื่องจากจุดอ่อนในแอปถ่ายโอนไฟล์ของบุคคลที่สาม

มีช่องโหว่ด้านความปลอดภัยหลายประเภทที่สามารถทำให้ระบบไอทีของคุณอยู่ในเรดาร์ของแฮกเกอร์ได้ จากแนวทางปฏิบัติในการเข้ารหัสที่ไม่ดีไปจนถึงส่วนประกอบภายนอกที่มีข้อบกพร่อง ไม่ว่าจะด้วยเหตุผลใดก็ตาม หลายบริษัทก็ถูกเปิดเผย เพื่อลดปัญหานี้ ธุรกิจได้รับประโยชน์จาก QA และบริการทดสอบเพื่อประเมินซอฟต์แวร์และเครือข่ายของตนเอง และประเมินความเสี่ยงด้านความปลอดภัยของส่วนประกอบภายนอกของผู้จำหน่าย

ดังนั้น ช่องโหว่ด้านความปลอดภัยประเภทใดที่อาจทำให้ระบบของคุณถูกคุกคามทางไซเบอร์ได้ในขณะนี้ ช่องโหว่ปรากฏอย่างไร? และเราจะบรรเทาพวกเขาได้อย่างไร?

ช่องโหว่ของซอฟต์แวร์คืออะไรและมีที่มาจากที่ใด

ช่องโหว่ด้านความปลอดภัยคือลักษณะของระบบหรือส่วนประกอบที่ไม่ได้ตั้งใจ ซึ่งเพิ่มความเสี่ยงของการบุกรุกหรือการสูญเสียข้อมูล ไม่ว่าจะโดยการเปิดเผยโดยไม่ได้ตั้งใจ การโจมตีโดยเจตนา หรือความขัดแย้งกับส่วนประกอบใหม่ ช่องโหว่ดังกล่าวอาจเป็นข้อบกพร่องในการออกแบบ ข้อบกพร่องในการใช้งาน การกำหนดค่าผิดพลาด ฯลฯ

ก่อนที่เราจะดำเนินการต่อ เรามาทำความเข้าใจความแตกต่างระหว่างช่องโหว่ การเอารัดเอาเปรียบ และภัยคุกคามกันก่อน

  • มีช่องโหว่ในระบบโดยปราศจากความพยายามจากบุคคลภายนอก
  • การเอารัดเอาเปรียบเป็นวิธีที่ผู้บุกรุกใช้จุดอ่อนของระบบที่มีอยู่เพื่อโจมตี
  • ภัยคุกคามคือเหตุการณ์ที่เกิดขึ้นจริงเมื่อมีการหาช่องโหว่หนึ่งหรือหลายครั้งใช้ช่องโหว่เพื่อเจาะระบบ

ผู้เชี่ยวชาญด้านความปลอดภัยสามารถขจัดช่องโหว่เมื่อค้นพบโดยใช้ซอฟต์แวร์แพตช์ การเปลี่ยนฮาร์ดแวร์ และการกำหนดค่าระบบใหม่ การฝึกอบรมผู้ใช้ปลายทางเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยและการทำให้ส่วนประกอบทั้งหมดทันสมัยอยู่เสมอจะช่วยป้องกันและลดช่องโหว่ให้เหลือน้อยที่สุด นอกจากนี้ ทีมรักษาความปลอดภัยจำเป็นต้องระลึกไว้เสมอว่าเมื่อระบบพัฒนาขึ้น จุดอ่อนใหม่ๆ ก็ปรากฏขึ้น ดังนั้น ธุรกิจจึงจำเป็นต้องสแกนซอฟต์แวร์ ฮาร์ดแวร์ และเครือข่ายของตนอย่างเป็นระบบเพื่อหาช่องโหว่ที่เกิดขึ้นใหม่ และแก้ไขก่อนที่จะถูกค้นพบและใช้ประโยชน์

ช่องโหว่ด้านความปลอดภัยใหม่เกิดขึ้นอย่างรวดเร็ว เนื่องจาก National Vulnerability Database (NVD) ของรัฐบาลสหรัฐฯ ได้เผยแพร่รายการใหม่กว่า 8,000 รายการในช่วงไตรมาสแรกของปี 2022 ด้วยความเร็วที่รวดเร็วนี้ ธุรกิจจำนวนมากจึงไม่สามารถตามทันและทิ้งจุดอ่อนที่เปิดไว้เป็นเวลาหลายปี ระบบต่างๆ การศึกษาช่องโหว่ของซอฟต์แวร์เปิดเผยว่า 75% ของการโจมตีที่เกิดขึ้นในปี 2020 ใช้ประโยชน์จากช่องโหว่ที่มีอายุอย่างน้อยสองปี ในขณะที่ 18% อาศัยจุดอ่อนที่รายงานในปี 2013!

ช่องโหว่ด้านความปลอดภัยเข้าสู่ซอฟต์แวร์และเครือข่ายได้อย่างไร

จากการวิจัยพบว่า 75% ของแอปพลิเคชันที่พัฒนาโดยผู้จำหน่ายซอฟต์แวร์ไม่สอดคล้องกับมาตรฐาน 10 อันดับแรกของ Open Web Application Security Project (OWASP) มาตรฐานเหล่านี้เปิดเผยต่อสาธารณะ เหตุใดหลายคนจึงยังคงล้มเหลวในการสร้างแอปพลิเคชันที่ปลอดภัย นี่คือสาเหตุหลัก:

รหัสบุคคลที่สามที่มีช่องโหว่และส่วนประกอบอื่นๆ เป็นเรื่องปกติที่จะนำส่วนประกอบของบริษัทอื่นมาใช้ซ้ำ เนื่องจากวิธีนี้จะช่วยเร่งกระบวนการพัฒนาได้อย่างมาก อย่างไรก็ตาม ผู้ใช้มักจะคำนึงถึงความปลอดภัยของชิ้นส่วนเหล่านี้เพียงเล็กน้อย และมักจะปรับใช้โดยไม่มีการประเมินอย่างละเอียด เช่นเดียวกับการคัดลอกและวางโค้ดจากแหล่งที่มา เช่น Stack Overflow โดยไม่ต้องประเมินความปลอดภัย

แนวทางปฏิบัติการเข้ารหัสที่ไม่ปลอดภัย การศึกษาเมื่อเร็ว ๆ นี้แสดงให้เห็นว่าการรักษาความปลอดภัยไม่ได้อยู่ที่เรดาร์สำหรับนักพัฒนาส่วนใหญ่ ในการทดลองสำรวจทัศนคติของนักพัฒนา 1,200 คน นักวิจัยสรุปว่ามีเพียง 14% เท่านั้นที่มองว่าความปลอดภัยเป็นสิ่งสำคัญในการเขียนโค้ด นอกจากนี้ โปรดทราบด้วยว่าหลายองค์กรต้องการให้นักพัฒนาสร้างโค้ดอย่างรวดเร็วภายใต้กำหนดเวลาที่คับแคบ ซึ่งทำให้ไม่เหลือที่ว่างสำหรับการประเมินความปลอดภัยอย่างละเอียดและส่งผลให้เกิดช่องโหว่ของโค้ด

ภูมิทัศน์การโจมตีทางไซเบอร์ที่เปลี่ยนแปลงอย่างรวดเร็ว ผู้โจมตีมักค้นพบวิธีใหม่ๆ ในการละเมิดความปลอดภัยของแอปพลิเคชัน ดังนั้น ส่วนที่เคยมีภูมิคุ้มกันมาก่อนจึงอาจกลายเป็นจุดอ่อนได้ในปัจจุบัน หากทีมไอทีไม่ประเมินช่องโหว่ของแอปพลิเคชันและเครือข่ายอย่างเป็นระบบ และไม่คอยอัปเดตซอฟต์แวร์ทั้งหมดอยู่เสมอ ก็ต้องใช้เวลาจนกว่าจุดอ่อนจะเริ่มปรากฏขึ้น

การจำแนกประเภทช่องโหว่ด้านความปลอดภัย

มีสองแพลตฟอร์มคือ OWASP และ CWE ที่มีรายการช่องโหว่ด้านความปลอดภัยที่เชื่อถือได้และมีรายละเอียด พวกเขาอัปเดตรายชื่อเพื่อรวมจุดอ่อนที่เกิดขึ้นใหม่ ทรัพยากรทั้งสองสามารถใช้เพื่อให้ความรู้แก่โปรแกรมเมอร์ ผู้ทดสอบ และวิศวกร

OWASP เป็นชุมชนระดับโลกที่ไม่แสวงหาผลกำไร และเผยแพร่รายการช่องโหว่ของซอฟต์แวร์ OWASP 10 อันดับแรกเป็นประจำ Common Weakness Enumeration (CWE) เป็นองค์ประกอบของช่องโหว่ของซอฟต์แวร์และฮาร์ดแวร์ที่พัฒนาโดยชุมชนเฉพาะและมี 25 รายการ

ต่อไปนี้คือ 18 ช่องโหว่ด้านความปลอดภัยที่โดดเด่นที่สุดที่เราอยากเน้นย้ำในบทความนี้ โดยจัดเรียงตามโดเมน สิ่งเหล่านี้สามารถแสดงให้เห็นได้ในระบบไอทีใดๆ เช่น คลาวด์ การกำหนดค่าบน IoT และแอพมือถือ

1. ขาดหลักปฏิบัติการเข้ารหัสที่แข็งแกร่ง

แม้ว่าการเข้ารหัสจะไม่หยุดการโจมตีทางไซเบอร์ แต่สิ่งสำคัญคือต้องตรวจสอบให้แน่ใจว่าข้อมูลที่ละเอียดอ่อนยังคงปลอดภัยแม้ว่าแพลตฟอร์มจัดเก็บข้อมูลจะถูกละเมิด ผู้โจมตีไม่สามารถใช้ข้อมูลที่เข้ารหัสในทางที่ผิดได้จนกว่าจะถอดรหัส ซึ่งจะทำให้ธุรกิจที่ละเมิดมีเวลาดำเนินมาตรการที่จำเป็น เช่น แจ้งฝ่ายที่ได้รับผลกระทบและเตรียมมาตรการตอบโต้การโจรกรรมข้อมูลประจำตัว

การวิจัยแสดงให้เห็นว่าหลายบริษัทไม่มีแผนในทันทีในการเข้ารหัสข้อมูลบนแท่ง USB แล็ปท็อป และเดสก์ท็อป และเมื่อพูดถึงข้อบังคับการปกป้องข้อมูล GDPR ไม่ต้องการการเข้ารหัสอย่างชัดเจน แต่อธิบายว่าเป็น “มาตรการทางเทคนิคและองค์กรที่เหมาะสม” เพื่อความปลอดภัยของข้อมูล

ในรายงาน Cost of a Data Breach IBM ชี้ให้เห็นว่าการเข้ารหัสเป็นหนึ่งในปัจจัยที่ส่งผลกระทบมากที่สุดซึ่งสามารถลดต้นทุนเฉลี่ยของการละเมิดข้อมูลได้

2. การเปิดเผยข้อมูลที่ละเอียดอ่อน

ข้อมูลอาจถูกเปิดเผยเนื่องจากความผิดพลาดของมนุษย์เมื่อพนักงานที่ประมาทเลินเล่ออัปโหลดไปยังฐานข้อมูลสาธารณะหรือเว็บไซต์ แต่ช่องโหว่ด้านความปลอดภัยประเภทนี้ยังสามารถได้รับการสนับสนุนจากกระบวนการภายในที่อนุญาตให้พนักงานที่ไม่ได้รับอนุญาตเข้าถึงและจัดการข้อมูลที่ละเอียดอ่อนได้

Egress บริษัทรักษาความปลอดภัยในโลกไซเบอร์ ได้ทำการสำรวจโดยเปิดเผยว่า 83% ขององค์กรในสหรัฐฯ ได้เปิดเผยข้อมูลที่ละเอียดอ่อนโดยไม่ได้ตั้งใจผ่านอีเมล การแชร์ไฟล์ ซอฟต์แวร์การทำงานร่วมกัน และแอพส่งข้อความ

3. การป้องกันชั้นการขนส่งไม่เพียงพอ

ช่องโหว่ประเภทนี้เกี่ยวข้องกับการแลกเปลี่ยนข้อมูลระหว่างไคลเอนต์และแอปพลิเคชันเซิร์ฟเวอร์ ข้อมูลดังกล่าวอาจมีข้อมูลที่ละเอียดอ่อน รวมทั้งข้อมูลประจำตัวของผู้ใช้และรายละเอียดบัตรเครดิต เมื่อการถ่ายโอนข้อมูลไม่ปลอดภัย การสื่อสารอาจถูกสกัดกั้น และผู้โจมตีสามารถเข้าถึงข้อมูลและถอดรหัสการเข้ารหัสได้หากใช้อัลกอริธึมที่อ่อนแอ

4. องค์ประกอบของระบบที่กำหนดค่าไม่ถูกต้องและการโต้ตอบที่มีความเสี่ยง

การกำหนดค่าส่วนประกอบและการโต้ตอบระหว่างกันอย่างไม่ถูกต้องเป็นปัญหาด้านความปลอดภัยอีกอย่างหนึ่งที่เรามักพบ ตัวอย่างเช่น ขณะตั้งค่าระบบไอที ผู้ดูแลระบบลืมที่จะแทนที่การตั้งค่าเริ่มต้นของผู้ผลิตและปิดใช้งานรายการไดเรกทอรี ปล่อยให้ระบบเปิดเผย อีกตัวอย่างหนึ่งคือการลืมจำกัดการเข้าถึงอุปกรณ์ภายนอก

เมื่อพูดถึงปฏิสัมพันธ์ ขอแนะนำให้แอปพลิเคชันนำแนวทางที่ไม่น่าเชื่อถือมาใช้และมองว่าข้อมูลทุกอย่างมีความเสี่ยงก่อนที่จะได้รับการตรวจสอบและพิสูจน์ว่าถูกต้องตามกฎหมาย วิธีนี้จะช่วยหลีกเลี่ยงการโจมตี เช่น การเขียนสคริปต์ข้ามไซต์ ซึ่งผู้โจมตีใส่ข้อมูลที่ไม่น่าเชื่อถือลงในแอปพลิเคชัน

แง่มุมนี้มีความเกี่ยวข้องอย่างยิ่งกับโซลูชันบนคลาวด์ งานวิจัยชิ้นหนึ่งรายงานว่าการกำหนดค่าเซิร์ฟเวอร์ผิดพลาดมีส่วนทำให้เกิดการละเมิดระบบคลาวด์ 200 ครั้งในสองปี การศึกษาอื่นแสดงให้เห็นว่าประมาณ 70% ของการละเมิดความปลอดภัยบนคลาวด์เริ่มต้นด้วยสถาปัตยกรรมที่ผิดพลาด ตัวอย่างเช่น บัคเก็ตพื้นที่จัดเก็บ AWS ที่กำหนดค่าไม่ถูกต้องเปิดเผยแอปพลิเคชันสูติบัตร 750,000 รายการในสหรัฐอเมริกาในปี 2019

5. การควบคุมฝั่งเซิร์ฟเวอร์ที่อ่อนแอ

ช่องโหว่ด้านความปลอดภัยประเภทนี้หมายถึงทุกสิ่งที่อาจผิดพลาดได้ทางฝั่งเซิร์ฟเวอร์ ตั้งแต่การตรวจสอบสิทธิ์ที่ไม่ดีไปจนถึงการกำหนดค่าความปลอดภัยที่ผิดพลาดซึ่งทำให้เกิดการโจมตี เช่น การปลอมแปลงคำขอข้ามไซต์ที่เบราว์เซอร์ของผู้ใช้บางรายออกการดำเนินการที่ไม่ได้รับอนุญาตไปยังเซิร์ฟเวอร์โดยที่ผู้ใช้ไม่ทราบ

ตัวอย่างเช่น การกำหนดค่าผิดพลาดในเซิร์ฟเวอร์ฐานข้อมูลอาจส่งผลให้ข้อมูลสามารถเข้าถึงได้ผ่านการค้นหาเว็บพื้นฐาน และหากมีข้อมูลประจำตัวของผู้ดูแลระบบ ผู้บุกรุกจะสามารถเข้าถึงส่วนที่เหลือของระบบได้

6. การเรียกใช้โค้ดจากระยะไกล

ซึ่งหมายความว่าช่องโหว่ด้านความปลอดภัยของซอฟต์แวร์ที่นำเสนอโดยระบบของคุณทำให้ผู้บุกรุกสามารถรันโค้ดที่เป็นอันตรายบนอินเทอร์เน็ตบนอุปกรณ์ของคุณได้ ตัวอย่างเช่น เมื่อพนักงานคลิกลิงก์อีเมลบนเว็บไซต์บุคคลที่สาม แฮ็กเกอร์ที่อยู่เบื้องหลังการตั้งค่านี้จะฉีดมัลแวร์ในคอมพิวเตอร์ของเหยื่อและเข้าควบคุมจากที่นั่น บุคคลภายนอกสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนหรือล็อคเครื่องและเรียกค่าไถ่ได้

7. ช่องโหว่บนระบบปฏิบัติการที่รู้จัก

ทุกระบบปฏิบัติการมีรายการช่องโหว่ของซอฟต์แวร์ บางรายการมีการเผยแพร่ทางออนไลน์เพื่อให้ทุกคนได้ดู ตัวอย่างเช่น นี่คือรายการจุดอ่อนของระบบปฏิบัติการ Windows 10 10 อันดับแรก และนี่คือรายการที่เกี่ยวข้องสำหรับ OS X ทั้งนี้ขึ้นอยู่กับทีมรักษาความปลอดภัยที่จะตรวจสอบประเด็นเหล่านี้และแก้ไขปัญหาเพื่อลดการเปิดสำหรับการโจมตี

8. การรันสคริปต์โดยไม่ตรวจไวรัส

นี่เป็นประเภทช่องโหว่ด้านความปลอดภัยทั่วไปที่มีอยู่ในเว็บเบราว์เซอร์บางประเภท ตัวอย่างเช่น Safari อนุญาตให้เรียกใช้สคริปต์ "ที่เชื่อถือได้" โดยไม่ได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้ง แฮกเกอร์มักจะใช้ประโยชน์จากจุดอ่อนนี้โดยพยายามเรียกใช้โค้ดที่เป็นอันตรายซึ่งอาจสับสนกับสคริปต์ "ปลอดภัย" โชคดีที่คุณสามารถปิดใช้งาน "คุณลักษณะ" นี้ได้บ่อยครั้ง

9. การรับรองที่อ่อนแอ

ผู้บุกรุกสามารถเข้าถึงได้โดยข้อมูลประจำตัวของผู้ใช้ที่ดุร้าย ซึ่งเป็นเรื่องง่ายโดยเฉพาะอย่างยิ่งเมื่อมีผู้ใช้มากกว่า 23 ล้านคนใช้รหัสผ่าน “123456” เพียงอย่างเดียว นอกเหนือจากรหัสผ่าน เช่น “admin”, “password” และ “qwerty” ซึ่งเป็นเรื่องปกติและง่ายต่อการแฮ็ค

ช่องโหว่ของซอฟต์แวร์ประเภทนี้ถือเป็นสิ่งที่มนุษย์สร้างขึ้น แต่ธุรกิจสามารถใช้มาตรการที่จะบังคับให้พนักงานเลือกตัวเลือกที่แข็งแกร่งกว่าและเปลี่ยนข้อมูลประจำตัวบ่อยครั้งเพียงพอ นี่เป็นสิ่งสำคัญ เนื่องจากมีบทบาทที่การรับรองที่อ่อนแอในการรักษาความปลอดภัยของระบบ สถิติแสดงให้เห็นว่า 80% ของการละเมิดความปลอดภัยถูกเปิดใช้งานโดยรหัสผ่านที่ไม่รัดกุม และ 61% ของผู้ใช้มักจะใช้วลีความปลอดภัยเดียวสำหรับหลายบริการ

10. การใช้ส่วนประกอบที่มีช่องโหว่ที่ทราบแล้ว

การปรับใช้ส่วนประกอบของบริษัทอื่น เช่น ไลบรารี, API, ชุดข้อมูล และกรอบงาน สามารถลดความพยายามอย่างมากในการทำให้ระบบของคุณทำงานได้ แต่ก็สามารถทำให้เกิดช่องโหว่ได้ สิ่งสำคัญคือต้องขยันหมั่นเพียรและประเมินส่วนประกอบเหล่านี้เพื่อให้แน่ใจว่าจะไม่ปล่อยให้แบ็คดอร์เปิดกว้างเพื่อเข้าถึงข้อมูลที่ละเอียดอ่อน

แม้แต่การดาวน์โหลดและใช้รูปภาพของบุคคลที่สามก็อาจเป็นอันตรายได้ ในปี พ.ศ. 2564 อิมเมจ Docker Hub จำนวน 30 ภาพที่มีปริมาณการดาวน์โหลด 20 ล้านครั้ง ถูกนำไปใช้เพื่อเผยแพร่มัลแวร์ cryptomining

11. การออกแบบที่ไม่ปลอดภัย

นี่เป็นช่องโหว่ด้านความปลอดภัยประเภทใหม่ที่ปรากฏใน OWASP ในปี 2564 องค์กรเรียกร้องให้มีรูปแบบการออกแบบที่ปลอดภัย การสร้างแบบจำลองภัยคุกคาม และสถาปัตยกรรมอ้างอิงเพื่อขจัดจุดอ่อนตั้งแต่เริ่มต้น

การออกแบบที่ปลอดภัยเป็นวิธีการที่ประเมินภัยคุกคามอย่างต่อเนื่องและรับรองความเสถียรของรหัส สนับสนุนการทดสอบอย่างเป็นระบบกับวิธีการโจมตีที่รู้จัก โดยมองว่าการรักษาความปลอดภัยเป็นส่วนสำคัญของการพัฒนาซอฟต์แวร์ ไม่ใช่เป็นส่วนเสริมหรือคุณสมบัติที่ดี

12. ข้อบกพร่องด้านความปลอดภัยใน APIs

Application Programming Interface (API) อนุญาตให้ส่วนประกอบซอฟต์แวร์โต้ตอบกัน ซึ่งเป็นส่วนสำคัญของระบบไอที อย่างไรก็ตาม API ที่มีมาตรการรักษาความปลอดภัยที่อ่อนแอสามารถเปิดช่องโหว่ได้หลายทาง เช่น การตรวจสอบสิทธิ์ที่ใช้งานไม่ได้และการอนุญาตการแทรกโค้ด และแนวทางปฏิบัติที่เป็นอันตรายอื่นๆ

ตัวอย่างเช่น API ที่สร้างขึ้นโดยประมาทซึ่งอาศัยฝั่งไคลเอ็นต์ในการกรองข้อมูลก่อนนำเสนอต่อผู้ใช้ สามารถเปิดเผยข้อมูลได้ ทำให้พร้อมสำหรับการคว้า ต้องกรองข้อมูลที่ละเอียดอ่อนที่ฝั่งเซิร์ฟเวอร์ นี่เป็นอีกตัวอย่างหนึ่งของช่องโหว่ด้านความปลอดภัยประเภทนี้ หาก API ไม่จำกัดจำนวนคำขอที่เข้ามา ก็จะสามารถเปิดโอกาสสำหรับการโจมตีแบบ Denial of Services (DoS) ได้

นี่คือรายการ OWASP ของช่องโหว่ด้านความปลอดภัยที่เกี่ยวข้องกับ API 10 อันดับแรกเพื่อให้คุณพิจารณา API ที่ไม่ปลอดภัยเปิดประตูสู่การโจมตีหลายครั้งในช่วงหลายปีที่ผ่านมา ตัวอย่างหนึ่งที่น่าอับอายมาจาก LinkedIn เนื่องจากผู้ประสงค์ร้ายใช้ API ที่ปราศจากการตรวจสอบสิทธิ์ของแพลตฟอร์มเพื่อดาวน์โหลดข้อมูลผู้ใช้ 700 ล้านคน การใช้การละเมิด API ที่คล้ายคลึงกัน ผู้บุกรุกดึงข้อมูลผู้ใช้คลับเฮาส์ 1.3 ล้านคนและเผยแพร่ในฟอรัมแฮ็กเกอร์

13. การรับรองความถูกต้องไม่เพียงพอ

มาตรการตรวจสอบที่อ่อนแอทำให้แฮ็กเกอร์สามารถใช้ประโยชน์จากตัวเลือก "ลืมรหัสผ่าน" เพื่อรีเซ็ตบัญชีหรือเริ่มต้นการโจมตีเพื่อเข้าครอบครองบัญชี จะช่วยผู้บุกรุกเมื่อคำถามเกี่ยวกับการรับรองความถูกต้องคล้ายกับวันเกิดของผู้ใช้หรือชื่อสัตว์เลี้ยง เนื่องจากเป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยโซเชียลมีเดีย การปฏิบัติตามกระบวนการตรวจสอบสิทธิ์แบบหลายปัจจัยจะเพิ่มความปลอดภัย น่าเศร้าที่การวิจัยแสดงให้เห็นว่ามีเพียง 26% ของบริษัทในสหรัฐฯ ที่ใช้วิธีการรับรองความถูกต้องที่เข้มงวดนี้

14. การตรวจสอบและบันทึกไม่เพียงพอ

บันทึกเก็บข้อมูลเกี่ยวกับเหตุการณ์ของระบบ กิจกรรมเครือข่าย และการกระทำของผู้ใช้ การตรวจสอบบันทึกช่วยให้ทีมรักษาความปลอดภัยสามารถสังเกตกิจกรรมทั้งหมดที่เกิดขึ้นเมื่อเร็วๆ นี้และระบุเหตุการณ์ที่น่าสงสัยได้ หากบันทึกไม่ได้รับการตรวจสอบอย่างเป็นระบบ จะเป็นการสร้างช่องว่างข้อมูลซึ่งยังคงตรวจจับช่องโหว่ของซอฟต์แวร์และกิจกรรมที่เป็นอันตรายได้

15. สิทธิพิเศษของ Superuser

ยิ่งผู้ใช้เข้าถึงข้อมูลได้น้อยเท่าไร บัญชีของพวกเขาก็จะยิ่งเสียหายน้อยลงหากถูกบุกรุก อย่างไรก็ตาม บางธุรกิจยังคงให้สิทธิ์ superuser ทางซ้ายและขวาโดยประมาท และล้มเหลวในการจำกัดการเข้าถึงของพนักงานในสิ่งที่พวกเขาต้องการเพื่อทำหน้าที่ประจำวันของตนให้สำเร็จ หากผู้บุกรุกเข้ายึดบัญชีระดับผู้ดูแลระบบ พวกเขาสามารถปิดใช้งานซอฟต์แวร์ป้องกันไวรัสและไฟร์วอลล์ ติดตั้งแอปที่เป็นอันตราย เป็นเจ้าของไฟล์ ฯลฯ

จากการวิจัยพบว่า 74% ของการละเมิดข้อมูลเริ่มต้นด้วยการใช้ข้อมูลประจำตัวที่มีสิทธิพิเศษในทางที่ผิด

16. ซอฟต์แวร์ที่ล้าสมัย

ธุรกิจส่วนใหญ่ตระหนักดีว่าการอัปเดตซอฟต์แวร์อย่างทันท่วงทีเป็นกุญแจสำคัญในระบบความปลอดภัย อย่างไรก็ตาม ดูเหมือนว่ามีเพียงไม่กี่คนเท่านั้นที่ปฏิบัติตามแนวทางนี้ Cybernews รายงานผลการศึกษาล่าสุดที่ตรวจสอบความถี่ในการอัปเดตซอฟต์แวร์ การวิจัยนี้ดำเนินการในช่วง 18 เดือน และพบว่า 95% ของเว็บไซต์ที่ตรวจสอบจริง ๆ แล้วทำงานบนซอฟต์แวร์ที่ล้าสมัยและมีช่องโหว่ที่ทราบ ทีมวิจัยยังพบว่าผลิตภัณฑ์ซอฟต์แวร์โดยเฉลี่ยมักจะตามหลังแพตช์ล่าสุดสี่ปี

นอกจากนี้ Kaspersky ระบุว่าบริษัทที่ใช้ซอฟต์แวร์ที่ล้าสมัยมักจะต้องเสียค่าใช้จ่ายเพิ่มขึ้น 47% ในกรณีที่มีการละเมิด

ตัวอย่างเช่น เครือโรงแรมในเครือแมริออทมีบันทึกข้อมูล 500 ล้านรายการที่ถูกบุกรุกจากการละเมิดความปลอดภัยซึ่งเป็นผลมาจากซอฟต์แวร์ที่ไม่ได้รับการแก้ไข

17. ช่องโหว่ในซอร์สโค้ด

ช่องโหว่ของรหัสเล็ดลอดเข้ามาในระหว่างการพัฒนาซอฟต์แวร์ ตัวอย่างเช่น โปรแกรมอาจส่งข้อมูลที่สำคัญโดยไม่มีการเข้ารหัส หรือใช้สตริงแบบสุ่ม ซึ่งจริงๆ แล้วไม่ใช่การสุ่ม ข้อผิดพลาดดังกล่าวมักตรวจพบในระหว่างขั้นตอนการทดสอบซอฟต์แวร์

จากการสำรวจ Secure Code Warrior เมื่อเร็ว ๆ นี้ 86% ของนักพัฒนาที่เข้าร่วมยอมรับว่าพวกเขาไม่ได้มองว่าความปลอดภัยของแอปพลิเคชันเป็นความสำคัญสูงสุดเมื่อเขียนโค้ด โดย 36% ระบุว่าสิ่งนี้มีกำหนดเวลาที่เข้มงวด การสำรวจยังเผยว่า 33% ของผู้ตอบแบบสอบถามไม่เข้าใจด้วยซ้ำว่าอะไรทำให้โค้ดของพวกเขามีช่องโหว่

18. การฉีด SQL

ช่องโหว่ด้านความปลอดภัยประเภทนี้เกี่ยวข้องกับเว็บไซต์และแอปพลิเคชันที่ขับเคลื่อนโดย Structured Query Language (SQL) อนุญาตให้ผู้โจมตีแก้ไขคำสั่ง SQL ที่ผู้ใช้ระบุและหลอกให้ล่ามดำเนินการคำสั่งที่ไม่ได้ตั้งใจและให้สิทธิ์การเข้าถึงฐานข้อมูล ด้วยวิธีนี้ ผู้บุกรุกสามารถจัดการข้อมูลที่ละเอียดอ่อนได้โดยการแทนที่/ลบ/แก้ไขฟิลด์ที่ละเอียดอ่อน

นี่เป็นช่องโหว่ที่ค่อนข้างเก่าซึ่งคิดเป็นกว่า 65% ของการโจมตีแอพซอฟต์แวร์ในปี 2019

ประเภทช่องโหว่ด้านความปลอดภัยเฉพาะระบบ และวิธีป้องกันช่องโหว่ของซอฟต์แวร์เหล่านี้

หลังจากเน้นจุดอ่อนด้านความปลอดภัยทั่วไปแล้ว เรามาเริ่มกันที่จุดอ่อนของแอปพลิเคชันและเฉพาะระบบ แล้วหาวิธีป้องกันระบบของคุณจากช่องโหว่เหล่านี้

เมฆ

มีรายการประเภทความเสี่ยงด้านความปลอดภัยที่เป็นไปได้มากมายในระบบคลาวด์ ไม่ว่าจะเป็น Azure, AWS, GCP หรือผู้ให้บริการระบบคลาวด์รายอื่นๆ Alexey Zhadov ผู้เชี่ยวชาญด้านระบบคลาวด์ของเรา แบ่งช่องโหว่เหล่านี้ออกเป็นชั้นๆ และให้คำแนะนำเกี่ยวกับวิธีการป้องกัน

ช่องโหว่ของเลเยอร์ระบบ

ไม่ว่าบริการคลาวด์ใดที่ซอฟต์แวร์ของคุณทำงานอยู่ จะมีระบบปฏิบัติการอยู่ใต้ประทุนเสมอ แม้ว่าคุณจะสามารถเข้าถึงแผงควบคุมสำหรับทรัพยากรของคุณเท่านั้น ระบบปฏิบัติการทุกระบบมี "รู" และ "แบ็คดอร์" นักพัฒนาระบบปฏิบัติการมักจะมองหาจุดอ่อนเหล่านี้โดยพยายามปกปิดฐาน นั่นเป็นสาเหตุสำคัญที่ทำให้ซอฟต์แวร์ของคุณทันสมัยอยู่เสมอและติดต่อกับการพัฒนาล่าสุดในด้านความปลอดภัยทางไซเบอร์ในประเด็นที่ทราบ

ช่องโหว่ของเลเยอร์เครือข่าย

ทรัพยากรระบบคลาวด์ทั้งหมดทำงานบนเครือข่ายคลาวด์ และด้วยเหตุนี้จึงเป็นไปได้ที่จะเชื่อมต่อกับทรัพยากรภายนอก ทีมรักษาความปลอดภัยต้องตรวจสอบให้แน่ใจว่าการกำหนดค่าเครือข่ายเพียงพอ อย่าเปิดพอร์ตที่คุณไม่ได้วางแผนที่จะปรับใช้ ใช้รายการที่อนุญาตพิเศษของ IP ที่คุณรู้จักและเครือข่ายที่คาดว่าจะเชื่อมต่อกับโซลูชันของคุณ โปรดใช้ความระมัดระวังในการเปิดการเชื่อมต่อโดยตรงกับพอร์ต RDP/SSH จากที่อื่นที่ไม่ใช่ IP ที่รู้จัก

ช่องโหว่ของเลเยอร์การกำหนดค่า

คลาวด์ต้องได้รับการกำหนดค่าอย่างเหมาะสมตามความต้องการและเป้าหมายของผู้ใช้ และการกำหนดค่านี้ต้องได้รับการปรับปรุงให้เป็นปัจจุบันอยู่เสมอ ตั้งค่านโยบายและขั้นตอนการจัดการการกำหนดค่า และตรวจสอบกิจกรรมที่น่าสงสัย

จุดอ่อนของปัจจัยมนุษย์

อย่าลืมเกี่ยวกับผู้ใช้ปลายทางและผู้ดูแลระบบที่มีสิทธิ์เข้าถึงโซลูชันระบบคลาวด์ การลักลอบใช้บัญชีเป็นหนึ่งในจุดอ่อนที่พบบ่อยที่สุดในระบบไอทีใดๆ หากผู้บุกรุกเข้าถึงข้อมูลประจำตัวของบัญชีของผู้อื่นได้ พวกเขาสามารถเข้าใช้และจัดการระบบตามสิทธิ์ของบัญชีได้อย่างอิสระ และจะไม่มีใครหยุดพวกเขาได้จนกว่าจะได้รับการแจ้งเตือนจากผู้ใช้ที่ถูกแฮ็ก ต่อไปนี้คือรายการประเภทช่องโหว่ด้านความปลอดภัยที่พบบ่อยที่สุดในแอปพลิเคชันระบบคลาวด์:

  • กำหนดค่าเครือข่ายและไฟร์วอลล์ไม่ถูกต้อง
  • ที่เก็บข้อมูลบนคลาวด์ที่กำหนดค่าไม่ถูกต้อง
  • API ที่ไม่ปลอดภัย
  • การจัดการการเข้าถึงไม่ดี
  • การลักลอบใช้บัญชี
  • บุคคลภายในที่เป็นอันตราย
  • ช่องโหว่ของระบบ
  • ช่องโหว่ของการเช่าที่ใช้ร่วมกัน
  • ขาดการรับรองความถูกต้องแบบหลายปัจจัยสำหรับผู้ใช้และอุปกรณ์ที่ต้องการเข้าร่วมเครือข่าย

Alexey แนะนำกฎง่ายๆ สองสามข้อที่บริษัทต่างๆ สามารถใช้เพื่อปกป้องระบบคลาวด์ของตนได้:

  • ปรับปรุงระบบปฏิบัติการให้ทันสมัยอยู่เสมอ
  • ปกป้องเครือข่ายของคุณ
  • ใช้เซิร์ฟเวอร์ป้อมปราการเพื่อเข้าถึงขอบเขตที่ปิดของคุณ
  • กำหนดค่ากลุ่มความปลอดภัยเครือข่ายและรายการควบคุมการเข้าถึง
  • จำกัดการเข้าถึงพอร์ตที่ไม่จำเป็น
  • กำหนดค่าการตรวจสอบและการบันทึกเมื่อเป็นไปได้
  • ใช้การควบคุมการเข้าถึงแบบหลายปัจจัยสำหรับผู้ใช้ทั้งหมด
  • ใช้ไฟร์วอลล์และการป้องกัน DDoS
  • ใช้เครื่องมือระบบคลาวด์เพื่อตรวจสอบการปฏิบัติตามมาตรฐานความปลอดภัย เช่น Azure Security Center

เว็บแอปพลิเคชัน

Alexey ยังให้ความสำคัญกับปัญหาด้านความปลอดภัยของซอฟต์แวร์ที่หลอกหลอนเว็บแอปพลิเคชัน โดยการใช้ประโยชน์จากช่องโหว่เหล่านี้ ผู้โจมตีสามารถสร้างความเสียหายอย่างร้ายแรงต่อแอปพลิเคชันและองค์กรโดยรวม ต่อไปนี้คือการโจมตีเว็บแอปที่พบบ่อยที่สุดที่เกิดจากช่องโหว่ด้านความปลอดภัยของเว็บแอป:

  • การฉีด SQL
  • การเขียนสคริปต์ข้ามไซต์
  • การข้ามเส้นทาง
  • การดำเนินการคำสั่งจากระยะไกล

หากอาชญากรไซเบอร์เปิดการโจมตีเหล่านี้ได้สำเร็จ พวกเขาสามารถวางมัลแวร์ บุกรุกบัญชีผู้ใช้ เข้าถึงข้อมูลที่ถูกจำกัด และอีกมากมาย แล้วจะทดสอบซอฟต์แวร์หาช่องโหว่ได้อย่างไร? Alexey แนะนำให้ทำการทดสอบความปลอดภัยของเว็บแอปพลิเคชันเพื่อประเมินพารามิเตอร์ต่อไปนี้:

  • การตรวจสอบอินพุต กระบวนการของแอปพลิเคชันสามารถป้อนข้อมูลได้อย่างไร และสามารถตรวจจับและบล็อกรายการที่เป็นอันตรายได้หรือไม่?
  • การกำหนดค่าเซิร์ฟเวอร์ มันใช้วิธีการเข้ารหัสที่รัดกุมหรือไม่?
  • การจัดการการรับรองความถูกต้อง มีการบังคับใช้การอนุญาตประเภทใดบ้าง ผู้ใช้สามารถเลือกใช้รหัสผ่านที่ไม่รัดกุมได้หรือไม่?
  • ตัวเลือกการอนุญาต แอปสามารถป้องกันตนเองจากการยกระดับสิทธิ์ได้หรือไม่
  • ตรรกะทางธุรกิจ ผู้ใช้สามารถใส่ข้อมูลที่ไม่ถูกต้องได้หรือไม่? พวกเขาสามารถข้ามขั้นตอนการรับรองความถูกต้องได้หรือไม่ เป็นไปได้ไหมที่ผู้ใช้จะสร้างความเสียหายต่อความสมบูรณ์ของแอพและข้อมูลของมัน?

แอปพลิเคชั่นมือถือ

เมื่อพูดถึงความปลอดภัยของแอพมือถือ เราไม่สามารถเพิกเฉยต่อประเภทช่องโหว่ด้านความปลอดภัยที่ตัวอุปกรณ์แสดงนอกเหนือไปจากแอปพลิเคชัน Alexey Zhadov ผู้เชี่ยวชาญด้านคลาวด์และมือถือของเราได้แบ่งปันปัญหาทั่วไปที่ส่งผลต่อแอพมือถือ:

  • การควบคุมฝั่งเซิร์ฟเวอร์ที่อ่อนแอ
  • การจัดเก็บข้อมูลที่ไม่ปลอดภัย
  • การป้องกันชั้นการขนส่งไม่เพียงพอ
  • การรั่วไหลของข้อมูลโดยไม่ได้ตั้งใจ
  • การอนุญาตและการรับรองความถูกต้องไม่ดี
  • การเข้ารหัสไม่ดี
  • การฉีดฝั่งไคลเอ็นต์
  • อินพุตที่ไม่น่าเชื่อถือ
  • การจัดการเซสชั่นที่ไม่เหมาะสม
  • ขาดการป้องกันแบบไบนารี
  • การใช้ระบบปฏิบัติการที่ไม่เหมาะสม
  • การรับส่งข้อมูลที่ไม่ปลอดภัยและการเรียก API
  • รหัสปลอมแปลงและอุปกรณ์เจลเบรค
  • การบันทึกและการตรวจสอบไม่เพียงพอ
  • การกำหนดค่าความปลอดภัยผิดพลาด

เพื่อความปลอดภัยของแอปพลิเคชั่นมือถือ Alexey แนะนำแนวทางปฏิบัติง่ายๆ ที่บริษัทต่างๆ สามารถใช้ในการออกแบบและบำรุงรักษาแอพ:

การประเมินรหัสโอเพนซอร์ซ: แอปพลิเคชันมือถือส่วนใหญ่ใช้ไลบรารีของบุคคลที่สามแบบโอเพนซอร์สที่มีให้สำหรับทุกคน สิ่งนี้ทำให้ขั้นตอนการพัฒนาคล่องตัวขึ้น แต่ยังเป็นการเปิดประตูสู่ผู้บุกรุกอีกด้วย ดังนั้นจึงจำเป็นต้องทดสอบโค้ดของบุคคลที่สามอย่างเข้มงวดเพื่อหาช่องโหว่ด้านความปลอดภัยของซอฟต์แวร์ก่อนที่จะรวมเข้ากับแอป

หลักปฏิบัติการเข้ารหัสที่แข็งแกร่ง: เข้ารหัสและถอดรหัสข้อมูลระหว่างการถ่ายโอน ด้วยเทคนิคการเข้ารหัสข้อมูลที่แข็งแกร่ง ข้อมูลแอปพลิเคชัน เช่น ซอร์สโค้ด ข้อมูลผู้ใช้ และข้อมูลรับรองการเข้าสู่ระบบ พื้นที่จัดเก็บแอปของคุณจะได้รับความปลอดภัย เมื่อข้อมูลได้รับการเข้ารหัสแล้ว แฮกเกอร์จะไม่สามารถตีความข้อมูลได้แม้ว่าจะเข้าถึงเนื้อหาต้นฉบับได้ก็ตาม

ใบรับรองการเซ็นรหัส: นักพัฒนาสามารถลงนามในแอปพลิเคชันมือถือเพื่อปกป้องพวกเขาจากการโจมตีทางอินเทอร์เน็ตและได้รับความไว้วางใจจากผู้ใช้ ลายเซ็นดังกล่าวช่วยให้แน่ใจว่าโค้ดจะไม่ถูกตีความหรือเปลี่ยนแปลงหลังจากลงนามในแอพ ทีมรักษาความปลอดภัยสามารถค้นหาตัวเลือกใบรับรองการเซ็นรหัสหลายตัวเลือกพร้อมป้ายราคาที่พอเหมาะ การปฏิบัตินี้มีทั้งความคุ้มค่าและเชื่อถือได้

การป้องกันแคชข้อมูล: ข้อมูลที่แคชมีข้อมูลที่ดึงมาจากแอปเพื่อช่วยในการเปิดใหม่ได้เร็วขึ้น เพื่อปรับปรุงประสิทธิภาพของแอป โดยทั่วไปแคชข้อมูลจะถูกจัดเก็บโดยไม่มีมาตรการรักษาความปลอดภัยเพิ่มเติมในอุปกรณ์ของผู้ใช้ เป็นวิธีปฏิบัติที่ปลอดภัยกว่าในการสร้างรหัสผ่านและล็อคแอปพลิเคชัน นอกจากนี้ Alexey แนะนำให้คุณล้างข้อมูลแคชบ่อยๆ และเข้าสู่ระบบโดยใช้การเชื่อมต่อเครือข่ายที่ปลอดภัย

การจัดเก็บข้อมูลที่ปลอดภัย: แต่ละแอปพลิเคชันมีข้อมูลที่ผู้บุกรุกสามารถใช้ในทางที่ผิด ซึ่งรวมทั้งข้อมูลของผู้ใช้และนักพัฒนาแอป ดังนั้นจึงจำเป็นต้องจัดเก็บข้อมูลนี้อย่างปลอดภัยในที่เก็บข้อมูลบนคลาวด์ที่ปลอดภัย แทนที่จะต้องพึ่งพาหน่วยเก็บข้อมูลในเครื่อง

เทคนิคการพิสูจน์ตัวตนและการอนุญาต: จำเป็นต้องตั้งค่าการพิสูจน์ตัวตนแบบหลายปัจจัยเพื่อป้องกันการโจรกรรมข้อมูล ซึ่งรวมถึง ID ผู้ใช้ รหัสผ่าน PIN OTP ฯลฯ การอนุญาตควรเกิดขึ้นที่ฝั่งเซิร์ฟเวอร์เสมอเพื่อตรวจสอบบทบาทและการอนุญาตของผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์

การล้างข้อมูลและการล็อกอุปกรณ์: คุณลักษณะนี้ใช้เป็นหลักในแอปพลิเคชันที่มีข้อมูลลับ เช่น ข้อมูลส่วนบุคคล ข้อมูลทางการเงิน สุขภาพ ฯลฯ เป็นชั้นความปลอดภัยที่ข้อมูลระยะไกลจะถูกล้างหลังจากพยายามเข้าสู่ระบบจากฝั่งผู้ใช้ไม่สำเร็จหลายครั้ง และ แอปพลิเคชันถูกล็อคโดยอัตโนมัติ นอกจากนี้ยังห้ามไม่ให้ผู้ใช้เลือกหมายเลขลำดับสำหรับรหัสผ่านแทนตัวพิมพ์ใหญ่ อักขระพิเศษ ตัวอักษร ตัวเลข ฯลฯ

การตอบโต้ทางวิศวกรรมย้อนกลับ: แฮกเกอร์ใช้วิศวกรรมย้อนกลับเพื่อแก้ไขฟังก์ชันการทำงานของแอปพลิเคชัน ด้วยการเข้าถึงซอร์สโค้ดของแอป แฮกเกอร์สามารถหลีกเลี่ยงกระบวนการตรวจสอบสิทธิ์ ปลอมตำแหน่งของพวกเขา และขโมยข้อมูลได้ การบังคับใช้ความปลอดภัยรันไทม์เป็นสิ่งสำคัญยิ่งในการต่อต้านวิศวกรรมย้อนกลับ ป้องกันไม่ให้ผู้บุกรุกแก้ไขฟังก์ชันภายในของแอปโดยเปลี่ยนโครงสร้างโค้ดให้ส่งผลต่อพฤติกรรมของแอปพลิเคชัน

IoT โซลูชั่น

สิ่งที่ทำให้โซลูชัน IoT ไม่เหมือนใครจากมุมมองด้านความปลอดภัยคือความสามารถของอุปกรณ์ทุกชิ้นถูกจำกัดโดยข้อกำหนดการใช้งาน ไม่มีที่ว่างที่จะใช้คุณสมบัติความปลอดภัยแฟนซีที่ใช้ความจุหรือหน่วยความจำหรือพลังงานพิเศษซึ่งทำให้อุปกรณ์ IoT มีช่องโหว่

Yahor Paloika ผู้เชี่ยวชาญด้าน IoT ของเราเน้นย้ำถึงประเภทช่องโหว่ด้านความปลอดภัยต่อไปนี้ในอุปกรณ์ที่เชื่อมต่อ:

  • ข้อมูลประจำตัวแบบฮาร์ดโค้ด อุปกรณ์ IoT มาพร้อมกับรหัสผ่านแบบตายตัวซึ่งบางครั้งผู้ดูแลระบบลืมเปลี่ยน ทำให้แฮกเกอร์มีโอกาสเจาะระบบได้อย่างง่ายดายโดยใช้ข้อมูลประจำตัวที่เป็นที่รู้จักเหล่านี้
  • เครือข่ายที่ไม่มีการป้องกัน บางเครือข่ายไม่บังคับใช้การตรวจสอบสิทธิ์ที่เข้มงวด ทำให้ผู้บุกรุกสามารถเพิ่มอุปกรณ์ กำหนดค่าการตั้งค่าใหม่เพื่อเปลี่ยนการไหลของข้อมูล สกัดกั้นข้อมูล และฉีดข้อมูลของตนเองเพื่อเลียนแบบการอ่านเซ็นเซอร์
  • การจัดการการอัปเดตที่อ่อนแอ อุปกรณ์ IoT จำนวนมากทำงานโดยอิสระและไม่ต้องอาศัยการแทรกแซงของมนุษย์ในการอัปเดต ในกรณีนี้ ระบบจัดการการอัปเดตมีหน้าที่ตรวจสอบให้แน่ใจว่าการอัปเดตอัตโนมัติมาถึงผ่านช่องทางที่เข้ารหัส เริ่มต้นจากแหล่งที่ตรวจสอบแล้ว และไม่เสียหาย หากระบบดังกล่าวอ่อนแอ ก็จะอนุญาตให้ผู้บุกรุกทำความเสียหายให้กับซอฟต์แวร์และเฟิร์มแวร์ที่อัปเดต ซึ่งจะเปลี่ยนพฤติกรรมของอุปกรณ์
  • โมดูลรหัสที่ล้าสมัย การลืมกำจัดโมดูลที่ล้าสมัยซึ่งไม่ได้ใช้แล้วทำให้แฮ็กเกอร์มีเวลาเพียงพอในการสำรวจปัญหาด้านความปลอดภัยของซอฟต์แวร์และค้นหาช่องโหว่เพื่อเจาะระบบ ต้องลบโมดูลทั้งหมดที่ไม่ได้เป็นส่วนหนึ่งของฟังก์ชันการทำงานของอุปกรณ์ที่เชื่อมต่อ
  • การป้องกันข้อมูล. ข้อมูลทั้งหมดที่หมุนเวียนภายในเครือข่าย IoT จะต้องได้รับการเข้ารหัส และมีเพียงผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงได้

การแฮ็กเข้าสู่ระบบ IoT อาจส่งผลกระทบร้ายแรง ตัวอย่างเช่น ในการทดลอง ทีมนักวิจัยสามารถเจาะซอฟต์แวร์ของอุปกรณ์ IoT ใน Jeep Cherokee และส่งคำสั่งที่เป็นอันตรายผ่านระบบความบันเทิงของ Jeep พวกเขาดัดแปลงเครื่องปรับอากาศ ลดอุณหภูมิ เปิดกระจกหน้ารถ และหลังจากนั้น คนขับก็ปิดเบรก โชคดีที่มันเป็นเพียงการทดลอง นี่คือเคล็ดลับบางประการที่ Yahor แนะนำให้ปกป้องระบบ IoT:

  • ใช้โปรโตคอลการเข้ารหัสที่เน้นการรักษาความปลอดภัยที่มีอยู่ เช่น Transport Layer Security (TLS) เพื่อรองรับการสื่อสารในเครือข่าย IoT และชดเชยการขาดการรักษาความปลอดภัยในตัว
  • มีระบบย่อยการจัดการคีย์และใบรับรองแบบบูรณาการที่ทันสมัย ​​ซึ่งให้ระดับการเข้ารหัสและความปลอดภัยที่จำเป็น นอกจากนี้ Yahor แนะนำให้อัปเดตคีย์และใบรับรองทุกๆ หกเดือนเป็นอย่างน้อย
  • วางระบบการจัดการรหัสผ่านที่เชื่อถือได้เพื่อสร้างรหัสผ่านที่รัดกุมและเปลี่ยนแปลงอย่างเป็นระบบ
  • ใช้ระบบการจัดการการอัปเดตที่จะอนุญาตเฉพาะการอัปเดตที่ปลอดภัยจากแหล่งที่ถูกต้องเท่านั้นที่จะผ่านเข้าไปได้ บล็อกความพยายามใดๆ ที่จะบังคับใช้การเปลี่ยนแปลงที่เสียหาย

โซลูชั่น AI

มีแง่มุมหนึ่งที่ทำให้โซลูชันปัญญาประดิษฐ์ (AI) และแมชชีนเลิร์นนิง (ML) แตกต่างอย่างมากจากระบบอื่นๆ ที่กล่าวถึงในบทความนี้ ซึ่งเป็นความจริงที่ว่า โมเดลดังกล่าวมักได้รับการฝึกฝนให้คาดการณ์ได้ และกระบวนการฝึกอบรมนี้มีการแนะนำหลายอย่าง ประเภทของช่องโหว่ด้านความปลอดภัย Maksym Bochok ผู้เชี่ยวชาญด้าน AI ของเราได้เน้นย้ำจุดอ่อนที่ได้รับความนิยมมากที่สุด:

  • ผู้โจมตีสามารถดัดแปลงชุดข้อมูลการฝึกและบังคับโมเดลให้เรียนรู้กฎปลอมและคาดการณ์ผิดพลาดได้
  • วิศวกร ML อาจเลือกใช้โมเดลที่ได้รับการฝึกอบรมล่วงหน้าที่มีอยู่ซึ่งพบทางออนไลน์ และโมเดลเหล่านี้อาจเป็นอันตรายได้ ตัวอย่างเช่น อาจมีไวรัสโทรจันหรือมัลแวร์อื่นๆ
  • ผู้บุกรุกสามารถจับอัลกอริทึมและปรับโค้ด น้ำหนัก และพารามิเตอร์อื่นๆ เพื่อแก้ไขพฤติกรรมของโมเดล

ยิ่งไปกว่านั้น AI มักถูกรวมเข้ากับเทคโนโลยีอื่นๆ เช่น IoT และคลาวด์ ทำให้อ่อนไหวต่อประเภทช่องโหว่ด้านความปลอดภัยที่แนะนำโดยระบบเหล่านั้น

เพื่อรักษาความปลอดภัยให้กับระบบ AI ผู้เชี่ยวชาญของเราแนะนำสิ่งต่อไปนี้:

  • เมื่อใช้โมเดลที่ได้รับการฝึกอบรมล่วงหน้าและชุดข้อมูลภายนอก ให้ตรวจสอบว่าไม่มีมัลแวร์
  • ทดสอบอัลกอริทึมของคุณอย่างเป็นระบบสำหรับผลลัพธ์ที่ต้องการ เพื่อให้แน่ใจว่าไม่มีใครยุ่งเกี่ยวกับกฎการจับคู่หรืออคติที่แนะนำ ฯลฯ
  • ตรวจสอบการเลื่อนข้อมูล (การเปลี่ยนแปลงข้อมูลอินพุต)
  • ตรวจจับค่าผิดปกติ เนื่องจากผู้บุกรุกสามารถแทรกข้อมูลที่อาจเป็นอันตรายเพื่อบิดเบือนแบบจำลองไปยังเอาต์พุตที่ต้องการได้
  • ค้นหาค่าผิดปกติที่เป็นไปได้ในชุดข้อมูลการฝึกของคุณ
  • ใช้เครื่องมือประเมินความปลอดภัย AI ทั่วไป เช่น Counterfit จะช่วยให้มั่นใจได้ว่าอัลกอริทึมมีความน่าเชื่อถือและมีประสิทธิภาพ
  • รับประโยชน์จากเครื่องมือปกป้องข้อมูลที่มีอยู่และปกป้องข้อมูลที่เป็นความลับเมื่อจัดเก็บและใช้งาน ตัวอย่างหนึ่งคือเครื่องมือ Imperva ซึ่งสามารถใช้เป็นไฟร์วอลล์ภายนอกได้

ในบันทึกสุดท้าย

หากคุณเป็นธุรกิจที่ประสบความสำเร็จ มีโอกาสสูงที่จะมีใครบางคนกำลังพยายามเจาะระบบของคุณเพื่อเรียกค่าไถ่หรือสร้างความเสียหายต่อชื่อเสียง และเนื่องจากแฮ็กเกอร์มองหาช่องโหว่อยู่ตลอดเวลา ทีมไอทีของคุณจึงพยายามลดความเสี่ยง เพื่อให้แน่ใจว่าคุณจะชนะการแข่งขันครั้งนี้ ปรึกษาบริษัทรักษาความปลอดภัยและทดสอบที่มีประสบการณ์ ซึ่งจะช่วยคุณประเมินสถานะของระบบของคุณและให้คำแนะนำในการปรับปรุง

และในระหว่างนี้ เพื่อป้องกันช่องโหว่ด้านความปลอดภัยประเภทต่างๆ ไม่ให้เปิดเผยแอปพลิเคชันของคุณ ให้ความสนใจกับการกำหนดค่าระบบของคุณ ตรวจสอบให้แน่ใจว่าซอฟต์แวร์ทั้งหมดของคุณทันสมัย ​​และฝึกอบรมพนักงานของคุณเกี่ยวกับแนวทางปฏิบัติที่ปลอดภัย

มีข้อสงสัยเกี่ยวกับความปลอดภัยของระบบที่มีอยู่ของคุณหรือไม่? หรือต้องการสร้างแอพพลิเคชั่นที่คำนึงถึงความปลอดภัย? วางทีม ITRex! ผู้เชี่ยวชาญด้านความปลอดภัยของเราจะทดสอบฮาร์ดแวร์และซอฟต์แวร์ของคุณเพื่อหาช่องโหว่และแนะนำการปรับปรุง

เผยแพร่ครั้งแรกที่ https://itrexgroup.com เมื่อวันที่ 6 กรกฎาคม 2022