ถ้ามีสิ่งที่สามารถตรวจสอบแอปได้ ก็จะช่วยทำให้มีระบบที่ดี ซึ่งอาจเกินกว่ามาตรฐานทั่วไปและมีความถูกต้องแม่นยำอีกด้วย
จากครั้งก่อนผมได้พูดถึง 3 ความสำคัญของการทดสอบความปลอดภัยแอปพลิเคชันแบบไดนามิก (Dynamic Application Security Testing : DAST) ซึ่งกลายเป็นสิ่งจำเป็นสำหรับอนาคตของ “แอปซิเคียวริตี้” วันนี้ผมขอนำเสนออีก 2 เหตุผลที่เหลือครับ
4. Deploy ได้อย่างรวดเร็วและได้รับ real value อย่างรวดเร็ว : Modern DAST มีข้อได้เปรียบอย่างมากโดยเฉพาะ deployment ได้อย่างรวดเร็ว
โดยเริ่มจากศูนย์ไปจนได้ผลลัพธ์ภายในเวลาไม่กี่วัน หรือ ไม่มีชั่วโมง เพราะเป็น technology-agnostic คือใช้เทคโนโลยีที่หลากหลายเพื่อแก้ปัญหาต่างๆ อย่างเป็นกลาง
DAST solution ที่ดีจึงต้องการการตั้งค่าและการกำหนดค่าเพียงเล็กน้อยเพื่อเริ่มการทดสอบ โดยเฉพาะอย่างยิ่งในการตั้งค่าการตรวจสอบสิทธิ์และพารามิเตอร์เฉพาะไซต์ เช่น anti-CSRF token ที่กำหนดเอง ด้วยผลิตภัณฑ์ DAST จำนวนมากที่มาพร้อมการผสานการทำงานที่พร้อมใช้งานทันทีกับเครื่องมือติดตามปัญหาและระบบยอดนิยมอื่นๆ การเชื่อมต่อการทดสอบความปลอดภัยของแอปพลิเคชันเข้ากับเวิร์กโฟลว์ที่มีอยู่จึงอาจใช้เวลาเพียงไม่กี่นาที
เวลาสำหรับการทำ deployment ถือว่ามีความสำคัญ เพราะการซื้อโซลูชันการทดสอบเพียงอย่างเดียวไม่ได้ช่วยปรับปรุงความปลอดภัย จนกว่าจะมีโซลูชันที่ทำงานอยู่และรายงานปัญหาด้านความปลอดภัยที่สามารถดำเนินการได้ซึ่งนักพัฒนาสามารถแก้ไขได้ ทั้งจะไม่ได้รับประโยชน์ใดๆ เลย ทั้งในแง่ของความปลอดภัยหรือผลตอบแทนจากการลงทุน
ในความเป็นจริงแล้ว ช่วงระยะเวลาสั้นๆ ในการสร้างมูลค่าอาจเป็นเหตุผลหลักว่าทำไม DAST จึงได้รับเลือกให้ครองตลาด AppSec เนื่องจากสถานการณ์ภัยคุกคามในปัจจุบันและแรงกดดันทางธุรกิจทำให้องค์กรต่างๆ ต้องหาโซลูชั่นที่ช่วยให้องค์กรปลอดภัยให้เร็วที่สุด
5. รวบรวมการทดสอบด้านความปลอดภัยของแอปพลิเคชัน Web Technologies และแอปพลิเคชั่นที่ขยายตัวมากขึ้น ทำให้เพิ่มภัยคุกคามด้วยเช่นเดียวกัน แต่ในทางตรงกันข้ามทีมรักษาความปลอดภัยทางไซเบอร์มักจะไม่เพียงพอ หากยังไม่มีวิธีการรวมศูนย์การบริหารจัดการ แต่ทำแค่เพียงติดตั้งเครื่องมือรักษาความปลอดภัยเพิ่มเติมลงในเวิร์กโฟลว์ที่มีอยู่มันอาจจะไม่เป็นผลดีก็ได้
นี่เป็นเหตุผลที่หลายบริษัทซื้อเครื่องมือที่ไม่ได้ใช้ในภายหลัง เนื่องจากไม่มีทรัพยากรที่จะใช้งานกับผลิตภัณฑ์ใหม่และจัดการกับที่มาของข้อมูลด้านความปลอดภัยอื่นๆ
วิธีเดียวที่จะเอาชนะความซับซ้อนนี้คือ การทำให้การทดสอบความปลอดภัยของแอปพลิเคชันง่ายขึ้นและรวมอยู่ที่ศูนย์กลาง จุดที่การใช้ DAST-first สามารถสร้างความแตกต่างระหว่างการมีเครื่องมือมากมายและการมีโปรแกรม AppSec ที่ใช้งานได้ ซึ่งในความเป็นจริง ไม่มีวิธีอื่นใดที่จะมีแพลตฟอร์ม AppSec ส่วนกลางที่ช่วยให้มองเห็นสถานะความปลอดภัยปัจจุบันได้อย่างต่อเนื่องในแต่ละขั้นตอนของวงจรการพัฒนา
เมื่อพิจารณาว่าสภาพแวดล้อมของ แอปพลิเคชันเปลี่ยนแปลงอย่างรวดเร็ว และไม่สามารถแน่ใจได้เลยว่า จะต้องพบกับอะไรในปีหน้า การมีโซลูชัน DAST ที่น่าเชื่อถือและทันสมัยเพื่อให้ทุกอย่างอยู่ในมือเป็นวิธีที่ดีที่สุดในการพิสูจน์ความปลอดภัยแอปพลิเคชันในอนาคต
สำหรับองค์กรจำนวนมาก แนวคิดในการรับรู้และควบคุมความปลอดภัยของสภาพแวดล้อมเว็บแอปพลิเคชันทั้งหมดนั้นเป็นเพียงความฝัน
องค์กรต้องการโซลูชันการรักษาความปลอดภัยทางไซเบอร์ที่รักษาแนวปฏิบัติที่ดีที่สุด ตอบสนองความต้องการของสภาพแวดล้อมดิจิทัลในปัจจุบัน และสามารถขยายได้ในอนาคต DAST ช่วยให้องค์กรต่างๆ มีแนวทางในการทดสอบความปลอดภัยของเว็บแอปพลิเคชันที่บรรลุเป้าหมาย
จาก 5 เหตุผลทั้งหมดจะเห็นได้ว่าขณะนี้มีการใช้แอปพลิเคชันที่หลากหลายไม่ว่าจะเป็นบนคลาวด์ หรือ บนมือถือก็ตาม ซึ่ง app เหล่านี้ ส่วนใหญ่จะเป็น app ที่บริษัทสร้างให้เกิด competitive advantage
ดังนั้นเมื่อมีการสร้างแอป บน DAST เพื่อให้ตรวจสอบมั่นใจว่าแอปที่จะให้บริการกับลูกค้าต้องมีความปลอดภัย จึงทำให้ต้องมีการปรับปรุงและเปลี่ยนแปลงแก้ไขอยู่ตลอดเวลา ช่วยทำให้มีระบบรักษาปลอดภัยมากขึ้นเมื่อใช้แอปเหล่านั้น
ถึงแม้ว่าบริษัทจะว่าจ้างบุคคลภายนอกมาพัฒนาแอป แต่ถ้าเรามีสิ่งที่สามารถตรวจสอบแอปได้ ก็จะช่วยทำให้มีระบบที่ดีซึ่งอาจเกินกว่ามาตรฐานทั่วไปและมีความถูกต้องแม่นยำอีกด้วย
ที่มา : กรุงเทพธุรกิจ / วันที่เผยแพร่ 7 ส.ค.65
Link : https://www.bangkokbiznews.com/columnist/1019558