ตามต่อจากสัปดาห์ที่แล้ว เรื่องการโจมตีทางไซเบอร์บน “แอปพลิเคชันอีคอมเมิร์ซ” ที่ตกเป็นเป้าหมายใหม่ของการคุกคามและเคสตัวอย่างของการโจมตีแพลตฟอร์มอีคอมเมิร์ซของฮอนด้า บวกกับการชี้ให้เห็นถึงความสำคัญของการทดสอบความปลอดภัยบนแอปพลิเคชันอีคอมเมิร์ซ
สำหรับในวันนี้ผมจะขอเจาะลึกเรื่องภัยคุกคามทางไซเบอร์ การทดสอบและวิธีการประเมินช่องโหว่ของแอปพลิเคชั่นอีคอมเมิร์ซกันนะครับ
ภัยคุกคามทางไซเบอร์สำหรับแอปพลิเคชันอีคอมเมิร์ซมีหลากหลายรูปแบบ อย่างเช่น ฟิชชิ่ง (Phishing) เป็นการโจมตีที่หลอกล่อให้เหยื่อคลิกลิงก์ไปยังเว็บไซต์หรือแอปพลิเคชันที่เป็นอันตราย
โดยการส่งอีเมลหรือข้อความที่ทำให้ดูเหมือนส่งจากแหล่งที่เชื่อถือได้ เช่น ธนาคารหรือเพื่อนร่วมงาน เมื่อเหยื่อเข้าสู่เว็บไซต์ที่เป็นอันตรายและทำการป้อนข้อมูลส่วนบุคคล เช่น รหัสผ่านหรือหมายเลขบัญชี เป็นต้น แล้วแฮ็กเกอร์จึงเริ่มขั้นตอนการโจรกรรมข้อมูลต่าง ๆ และบันทึกเก็บไว้เพื่อเรียกค่าไถ่ต่อไป
มัลแวร์-แรนซัมแวร์ (Malware/ Ransomware) มัลแวร์จะเป็นตัวที่ก่อให้เกิดกิจกรรมต่าง ๆ ที่เป็นอันตรายขึ้นภายในระบบในหลากหลายรูปแบบ เช่น การล็อคผู้ใช้งานออกจากบัญชีของตน สำหรับการแรนซัมแวร์นั้น แฮกเกอร์จะนำข้อมูลที่แฮกได้มาเรียกค่าไถ่จากเหยื่อเพื่อแลกเปลี่ยนกับการเข้าถึงบัญชีและระบบของเหยื่ออีกครั้ง
E-Skimming การขโมยรายละเอียดบัตรเครดิตและข้อมูลส่วนบุคคลจากหน้าประมวลผลการชำระเงินบนเว็บไซต์อีคอมเมิร์ซ ซึ่งสามารถทำได้ผ่านการโจมตีแบบฟิชชิ่ง, Brute Force, XSS หรืออาจมาจากเว็บไซต์อื่นที่บุกรุกเข้ามาในระบบ
การเขียนสคริปต์ข้ามไซต์ (XSS) คือการแทรกโค้ดที่เป็นอันตรายลงในหน้าเว็บเพื่อกำหนดเป้าหมายผู้ใช้งานเว็บ อย่างโค้ด Javascript สามารถบันทึกการป้อนข้อมูลของผู้ใช้หรือตรวจสอบกิจกรรมของเพจเพื่อรวบรวมข้อมูลที่ละเอียดอ่อนได้
การแทรก SQL หากแอปพลิเคชันอีคอมเมิร์ซจัดเก็บข้อมูลไว้ในฐานข้อมูล SQL การโจมตีแบบแทรก SQL จะสามารถป้อนข้อความค้นหาที่เป็นอันตรายซึ่งอนุญาตให้มีการเข้าถึงเนื้อหาของฐานข้อมูลได้ทันทีและหากไม่ได้รับการป้องกันอย่างเหมาะสมแล้ว แฮกเกอร์ก็จะสามารถดูข้อมูลและจัดการข้อมูลได้เองเลย
สำหรับการทดสอบช่องโหว่ในด้านต่าง ๆ ตามปกติจะประกอบไปด้วย 8 ส่วนสำคัญ ได้แก่ การประเมินช่องโหว่บนเว็บแอปพลิเคชัน การประเมินช่องโหว่ตาม API การประเมินช่องโหว่บนเครือข่าย การประเมินช่องโหว่บนโฮสต์ การประเมินความเปราะบางทางกายภาพ การประเมินช่องโหว่ของเครือข่ายไร้สาย การประเมินช่องโหว่บนคลาวด์ และการประเมินช่องโหว่ทางวิศวกรรมสังคม
โดยวิธีการประเมินเพื่อทดสอบช่องโหว่จะแบ่งออกเป็น 6 ระยะ คือ การกำหนดสินทรัพย์ที่สำคัญและมีความเสี่ยงสูง การประเมินช่องโหว่ การวิเคราะห์ช่องโหว่และประเมินความเสี่ยง การแก้ไขช่องโหว่
เช่น การใช้แพตช์เพื่อรักษาความปลอดภัย หรือแก้ไขปัญหาการกำหนดค่า การประเมินเพื่อดูว่าสามารถปรับปรุงระบบเพื่อความปลอดภัยสูงสุด และการรายงานผลการประเมินเพื่อดำเนินการต่อไป
การทดสอบ Penetration Testing as a Service (PTaaS) เป็นแพลตฟอร์มสำหรับการทดสอบเพื่อเจาะระบบและสร้างการทำงานร่วมกันระหว่างผู้ให้บริการและลูกค้า ช่วยให้องค์กรสามารถตรวจพบช่องโหว่ได้มากยิ่งขึ้น
เมื่อเปรียบเทียบระหว่าง PTaaS กับการทดสอบแบบเดิม (Traditional Pen Testing) จะพบว่า การทดสอบแบบเดิมจะใช้เวลาค่อนข้างนาน ด้วยเหตุนี้การทดสอบแบบนี้จึงทำได้เพียงปีละ 1-2 ครั้งเท่านั้น ในทางกลับกัน PTaaS ช่วยให้การทดสอบทำได้อย่างต่อเนื่องโดยการร่วมกันระหว่างเครื่องมือสแกนอัตโนมัติและเทคนิคแบบ manual ซึ่งเป็นแนวทางที่มีความต่อเนื่องกันสำหรับการรักษาความปลอดภัยและเติมเต็มช่องว่างที่เกิดขึ้นกับการทดสอบประจำปี
สรุปแล้ว การโจมตีทางไซเบอร์บนอีคอมเมิร์ซแอปพลิเคชันมีโอกาสเกิดได้บ่อยครั้งขึ้นเรื่อยๆ ไม่เว้นแม้แต่แพลตฟอร์มที่เป็นธุรกิจขนาดใหญ่อย่างฮอนด้า ก็ตรวจพบช่องโหว่ร้ายแรงในช่วง 1 ปีที่ผ่านมา
ดังนั้นผมมองว่า มีความจำเป็นอย่างยิ่งที่จะต้องทดสอบความปลอดภัยพร้อมทั้งประเมินการโจมตีของแอปพลิเคชันอีคอมเมิร์ซเพื่อปกป้ององค์กรและผู้ใช้งานจากภัยคุกคามทางไซเบอร์ครับ
บทความโดย นักรบ เนียมนามธรรม
—————————————————————————————————————————————————
ที่มา : กรุงเทพธุรกิจออนไลน์ / วันที่เผยแพร่ 11 ก.ย.66
Link : https://www.bangkokbiznews.com/tech/gadget/1088107
