Call Us Now: 0-2530-2062-4

Software Security Basic

สวัสดีครับจากบทความก่อนๆที่ผมเขียนอธิบายประโยชน์ในการใช้ Web Application Firewalls (WAF) ในการปกป้อง Web App ที่ขององค์กรของเราให้ปลอดภัยแล้วนะครับ ซึ่งนั้นก็จะสามารถทำได้โดยที่จะประหยัดเวลาไปเยอะมากในการทำ Secure Coding แต่สำหรับวันนี้ผมจะอธิบายเกี่ยวกับ Software Security Basic ซึ่งจริงๆแล้วนั่นก็คือการทำ Secure Coding นั่นเองครับแต่ก่อนอื่นมารู้จักกับช่องโหว่ของ Software กันก่อนครับ

ช่องโหว่ของ Software มันมาจากไหนเนี่ย ?

ช่องโหว่ของ Software จริงๆแล้วเกิดมาจากมนุษย์นี่แหละครับ นั่นก็คือ Programmer ที่พัฒนามันขึ้นมาโดยที่ยังไม่ได้เข้าใจว่าจะต้องเขียนอย่างไรให้ Software นั้นปลอดภัย ซึ่งผมจะบอกว่ามันค่อนข้างเป็นเรื่องปกติครับที่ Programmer มือใหม่ส่วนใหญ่จะเป็นแบบนั้น อืม…… แล้วคนที่เข้าใจเรื่องความปลอดภัยน่ะ ใครล่ะ? ก็ทีมที่ดูแล Security ไงครับที่เข้าใจ แต่ก็อีกนั่นแหละครับทีม Security ก็ไม่ได้มีความรู้เรื่องเขียน Program เท่ากับ Programmer พอเห็นช่องว่างระหว่าง Programmer กับทีม Security แล้วใช่ไหมครับว่าทำไม Software ส่วนใหญ่เขียนมาจะต้องมีช่องโหว่ให้โดนเจาะได้

แล้วไง … โดนเจาะแล้วมันจะเป็นยังไงล่ะ ?

นั่นมันก็ขึ้นอยู่กับว่า Application ของคุณใช้งานทางด้านไหนไงล่ะครับ ถ้าใช้เกี่ยวกับทางด้านการเงินหรือระบบ operation ในการทำงานประจำวันก็ต้องสำคัญแน่ๆ แต่ถ้าเป็น Application ทั่วๆไปไม่ได้ใช้งานอะไรเท่าไรก็ไม่ค่อยมีผลกระทบเท่าไรครับ แต่ลองพิจารณาดูดีๆนะครับ ทุกวันนี้มี Application ที่เป็น Package มาให้เราทำการ Customize หรือไม่ว่าจะเป็น Application ที่เราพัฒนาขึ้นมาเองในองค์กรตามที่ผมกล่าวมานั้นในองค์กรเรามีกี่ Application ครับ ? ยิ่งในองค์กรมีหลาย Application ก็จะทวีคูณความเสี่ยงมากขึ้นไปเรื่อยๆครับ ผมจะยกตัวอย่างความเสี่ยงให้ฟังคร่าวๆได้ดังนี้

  • สูญเสียเงิน ไม่ว่าจะเป็นทางตรงหรือทางอ้อม
  • ธุรกิจหรือระบบการทำงานหยุดสนิท
  • สูญเสียภาพลักษณ์ อันนี้ก็มีตัวอย่างให้เห็นในหนังสือพิมพ์ไงครับ
  • ละเมิดพวก Compliance ต่างๆเช่นพวก PCI-DSS, SOX และอีกมาก

แล้วจะป้องกันได้ยังไง ?

ก็เริ่มทำ Software Security Assurance (SSA) ไงล่ะครับ ผมจะอธิบายให้ฟังคร่าวๆนะครับ SSA จะเป็นกระบวนการที่จะช่วยในการ Design และ Implement Software เพื่อให้อยู่ในระดับความปลอดภัยที่เหมาะสมซึ่งในรายละเอียดจะมีขั้นตอนที่ สามารถจะบ่งบอกถึงความเสี่ยงที่ยังไม่ได้พบหรือยังไม่สามารถจัดการได้ ถ้าเรามาทำ SSA กันอย่างมีประสิทธิภาพจะทำเกิดประโยชน์ดังนี้ครับ

  • ระบุและลดความเสี่ยงจากระบบ Software ที่เราได้ทำการติดตั้งไปแล้ว
  • ป้องกันการ Coding ที่ไม่ปลอดภัยไม่ว่า Software นั้นจะพัฒนากันภายในองค์กร, เป็น softwareOpensource, ซื้อมาจาก Vendor หรือแม้กระทั่งจ้าง Outsource ทำให้
  • Comply ตามกฎหมายที่รัฐบาลออกมาบังคับหรือมาตรฐานต่างๆที่จำเป็นต้องปฏิบัติตามที่เกี่ยวกับความปลอดภัยของ Software Application
  • ปลูกจิตสำนึกทางด้านความปลอดภัยในการพัฒนาและจัดซื้อ Software ให้กับทีมงานที่รับผิดชอบ

OK ครับ สำหรับบทความนี้ก็พอได้ทราบคร่าวๆไปแล้วเกี่ยวกับการเกิดช่องโหว่ใน Software ต่างๆว่าเกิดขึ้นมาได้อย่างไร, มีผลกระทบอย่างไรบ้าง และเราพอจะมีวิธีทางป้องกันได้อย่างไร สำหรับบทความหน้าผมจะเขียนข้อเสนอแนะเกี่ยวกับ Step วิธีการทำให้ Application ของคุณมีความปลอดภัยนะครับ สำหรับวันนี้ขอลาไปก่อนสวัสดีครับ

1 Comment
  1. tks

Leave a Reply

Address

BizTown LatPhrao
2521/7 LatPhrao Road, Wangthonglang, Bangkok 10310 Thailand
Phone: 0-2530-2062-4
Fax: 0-2530-2177
Website: http://www.mindterra.com
Email: info@mindterra.com

Login