Skip to main content
0
Computer SystemProgramming Concept

6+1 สิ่งที่ช่วยตอบโจทย์เรื่อง Application Security

      จากสถานการณ์ในปัจจุบัน ไม่ว่าจะเป็นเรื่องของ Covid-19, Digital Transformation หรือ Business Disruptive ต่างๆ เราจะเห็นได้ว่าหลายๆ องค์กร ได้ลงทุนเรื่องของการพัฒนา Application เพื่อตอบโจทย์ Business Driven ต่างๆ มากขึ้น เพื่อเพิ่มช่องทางบริการลูกค้าและส่งเสริมศักยภาพในการแข่งขันด้าน Business

      พอมี Application Launch ออกมามากขึ้น เพื่อ Interface กับผู้ใช้งาน มันก็อาจจะเป็นช่องทางให้ผู้ที่พยายามจะหาช่องโหว่จาก Application เพื่อให้ได้มาซึ่งช่องทางที่จะเข้าถึงระบบหรือข้อมูลต่างๆ ได้มากขึ้นเช่นกัน ทำให้บทบาทของ Cybersecurity ก็เริ่มเข้ามาเกี่ยวข้องในมุมของ Application Security ด้วยเช่นกัน

      จากที่กล่าวมาข้างต้น เราจะเห็นว่ามี Trends ของ Application Security ที่เข้ามาเกี่ยวข้องกับ Software Development Life Cycle (SDLC) และได้มีการกล่าวถึงในวงกว้างขึ้น ซึ่งในบทความนี้เราจะพาผู้อ่านทุกท่านได้ทำความเข้าใจกับ Concept ของ “6+1 สิ่งที่ช่วยตอบโจทย์เรื่อง Application Security ที่คุณอาจไม่เคยรู้”

โดย คุณธนธิป บุณยกิดา
Solution Consultant, MFEC

Static Application Security Testing (SAST)

เมื่อพูดถึงการพัฒนา Application สิ่งที่หลายๆคน นึกถึงก็น่าจะเป็นเรื่องของ Source Code เพื่อที่จะนำไป Build เป็น Package เพื่อทำการติดตั้งหรือ Deploy ต่อไป ซึ่งจุดแรกที่เราสามารถตรวจสอบเรื่องความปลอดภัยในระดับ Source Code ก็คือการนำ Static Application Security Testing (SAST) มาทำการ Scan Source Code เพื่อตรวจสอบว่ามี Issue ทั้งในมุมของ Quality และ Security เพื่อนำไปแก้ไขช่องโหว่ต่างๆ (Vulnerability) ก่อนนำไป Build & Deploy ต่อไป

Image by Uladzislau Murashka from scnsoft

 

Software Composition Analysis (SCA)

บางคนอาจจะสงสัยว่า SCA คืออะไร ทำไมต้อง Scan แล้วตัว SAST ยังไม่เพียงพออีกหรือ  อันดับแรกเราต้องทำความเข้าใจก่อนว่าตัว Build Application Package หรือบางคนอาจจะเรียกว่าตัว Deploy หรือตัวติดตั้ง App นั้นจะประกอบไปด้วยส่วนที่เป็น Proprietary Source Code ทำงานร่วมกับ Open Source Library โดยตัว SAST จะทำหน้าที่ตรวจสอบ Code แต่จะไม่ได้ดูช่องโหว่บน Open Source Library ดังนั้นตัว SCA จะมาช่วยตรวจสอบส่วนนี้ เพื่อเพิ่มความปลอดภัยในส่วนของ App Sec ให้มากขึ้น

      ขอยกตัวอย่าง Open Source Library ที่สร้าง Impact Issue ให้กับวงการ IT เมื่อปลายปีที่แล้ว ก็คือ Log4j ที่ SCA จะเป็น Component ที่เจอปัญหาดังกล่าว เพื่อแจ้งไปยังฝั่ง Security หรือ Developer ให้ทำการ Update Log4j version เพื่อทำการแก้ไขปัญหานี้

Image by Uladzislau Murashka from scnsoft

 

Dynamic Application Security Testing (DAST)

ถ้าเราได้เห็นวิธีการทำงานของ SAST กับ SCA แล้วจะพบว่า เป็นการ Scan ก่อนที่จะทำการ Deploy ที่จะช่วงลดช่องโหว่ หรือ ปิด Gap บางอย่างก่อนการนำไป Deploy เป็น Running Application แต่ในความเป็นจริงแล้วช่องโหว่หรือ Gap บางอย่างอาจจะถูก Exploit ในขณะที่เป็น Running Application ซึ่งตัว DAST จะเข้ามาช่วยตรวจสอบ โดยผ่าน Black Box Method โดยการ Provide URL endpoint ให้ DAST เข้าไป Scan เพื่อตรวจสอบช่องโหว่ต่อไป

 

Penetration Test for Application Security

มีคำถามหนึ่งที่ผมมักจะได้รับเสมอเกี่ยวกับ Pentest ก็คือ “ถ้าลูกค้าหรือองค์กรมีพวก Component อย่าง SAST, SCA หรือ DAST แล้ว การทำ Pentest ยังจำเป็นอยู่หรือไม่” คำตอบคือ ยังจำเป็นอยู่ครับ เพราะ Component อย่าง SAST, SCA หรือ DAST เองก็ดี ทั้งหมดล้วนเป็นเครื่องมือหรือ Tool ในการหาช่องโหว่ ผ่าน Methodology หรือ Algorithm ต่างๆ ของแต่ละ Tool แต่การทำ Pentest นั้นจะทำโดยบุคคลที่มีความเชี่ยวชาญ ซึ่งอาจจะลงลึกไปถึงการใช้ Logic หรือการ Customize ต่างๆ เพื่อให้มั่นใจได้ว่าก่อนจะ Release หรือ Launch Application ออกไปยัง Public หรือ Production นั้นจะไม่มีช่องโหว่ที่กระทบต่อตัวผู้ใช้งานและตัวองค์กร

Image by Uladzislau Murashka from scnsoft

 

Container Security

ในยุคปัจจุบันที่ Cloud Native Application หรือ Microservices เริ่มนิยมมากขึ้น ทำให้ Concept ของ Container Platform เข้ามามีบทบามมากขึ้นไม่ว่าจะเป็นแบบ Platform as a Service (PaaS) หรือ On-Prim Platform เมื่อมีการ Deploy App ที่เป็นรูปแบบ Container มากขึ้น ในมุมของ Security ก็อาจจะต้องคำนึงถึงการป้องกันความเสี่ยงต่างๆ ที่อาจจะมาจากการใช้งาน Container ด้วยเช่นกัน ซึ่ง Container Security ก็จะเป็นอีกหนึ่ง Component ที่เข้าไป Scan Running Container หรือ Runtime รวมไปถึง Container Image ที่เก็บไว้บน Registry เพื่อสร้างความมั่นใจว่า Container ที่ไว้ Run Application นั้นมีความปลอดภัยและพร้อมที่จะให้บริการ

 

API Security

ในโลกของ Application ยุคปัจจุบัน การเชื่อมต่อหรือรับ-ส่งข้อมูล ระหว่าง Application ต่างๆ ย่อมมี API เข้ามาเกี่ยวข้อง และเมื่อมีการใช้ API Call ด้วยจำนวนมากมาย ก็จะมีคำถามในมุมของ Security ว่า API ที่ใช้กับ Application ต่างๆ มีความปลอดภัยหรือไม่ ซึ่ง API Security เป็นอีกหนึ่ง Trends ที่เริ่มมีการกล่าวถึง เพราะตัว API เองก็มีการเก็บข้อมูลต่างๆ และอาจจะเป็นอีกช่องโหว่หนึ่งที่จะถูกโจมตีหรือ Compromise ข้อมูลออกไปได้เช่นกัน ซึ่ง API Security จะเน้นไปที่การวิเคราะห์ API ที่รับ-ส่งข้อมูล และทำการแสดงผลว่ามีความเสี่ยงหรือช่องโหว่ที่เกิดจาก API เส้นทางไหน เพื่อนำไปแก้ไขต่อไป

Image by Uladzislau Murashka from scnsoft

 

Components Integration to Automation or CI/CD Orchestrator

อีกหนึ่งสิ่งที่อาจจะไม่ได้เกี่ยวกับ Security โดยตรง แต่ก็เป็น Point ที่อยากให้มองถึงการใช้งานจริงว่า กระบวนการทำงานนั้น เราสามารถนำทุก Component มาทำ Compliance Scan เป็นแบบ Manual หรือ On-Demand ในทุกๆ Application ที่เราพัฒนาได้ก็จริง ถ้าหากจำนวน Application ไม่ได้เยอะมาก แต่ถ้าหากองค์กรมีจำนวน Application ที่มากมาย การทำ Scan แบบเบื้องต้นน่าจะไม่สามารถตอบโจทย์ได้ หรือ ถ้าหากองค์กรหรือลูกค้ามีการนำ DevOps Methodology มาใช้อยู่แล้ว การ Integrate Components ที่กล่าวมาเบื้องต้น เข้ากับ Automation หรือ CI/CD Orchestrator (ยกเว้น Pen Test) จะเข้ามาช่วยเสริมสร้าง DevSecOps Methodology ตาม Concept “Shift Left” เพื่อสร้าง Application Security ตั้งแต่ช่วงเริ่มต้นของ SDLC ตลอดจนไปถึงการ Deliver Application ที่ตอบโจทย์ทั้ง Business และ Security ให้กับผู้ใช้งาน

Image by Uladzislau Murashka from scnsoft

 

สรุปจากบทความที่ได้กล่าวไป เราจะเห็นได้ว่า Application Security ก็เป็นส่วนหนึ่งที่จะเสริมความปลอดภัยให้กับองค์กรที่มีการให้บริการ Application ไปยังลูกค้า แต่ Application Security ก็เป็นแค่ส่วนหนึ่งของ Cybersecurity ที่เน้นไปในส่วนของการพัฒนา Application ควบคู่ไปกับการเพิ่ม Security แต่การป้องกันภัยคุกคามจริงๆแล้วนั้น อาจจะมองถึง Cybersecurity ในภาพรวม ไม่ว่าจะเป็น Infrastructure Security, Data Security, Cloud Security หรือ Endpoint Security ตลอดจนไปถึงการสร้าง Security Awareness ให้กับคนในองค์กรหรือลูกค้า เพื่อลดความเสี่ยงหรือผลกระทบที่จะเจอจากภัยคุกคามด้าน Cyber ได้อย่างทันท่วงที

 

สุดท้ายนี้ทาง MFEC ซึ่งเป็นผู้เชี่ยวชาญและผู้นำในกลุ่มของผู้ให้บริการออกแบบและติดตั้ง Cybersecurity แบบ End-to-End ก็พร้อมที่จะเข้าไปช่วยเหลือองค์กรหรือลูกค้าที่สนใจในเรื่องของ Cybersecurity เพื่อสร้างความปลอดภัยให้กับระบบงานในทุกแง่มุมไปด้วยกัน

หากคุณสนใจพัฒนา สตาร์ทอัพ แอปพลิเคชัน
และ เทคโนโลยีของตัวเอง ?

อย่ารอช้า ! เรียนรู้ทักษะด้านดิจิทัลเพื่ออัพเกรดความสามารถของคุณ
เริ่มตั้งแต่พื้นฐาน พร้อมปฏิบัติจริงในรูปแบบหลักสูตรออนไลน์วันนี้

BorntoDev

Author BorntoDev

BorntoDev Co., Ltd.

More posts by BorntoDev

เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว และสามารถจัดการความเป็นส่วนตัวเองได้ของคุณได้เองโดยคลิกที่ ตั้งค่า

ตั้งค่าความเป็นส่วนตัว

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

ยอมรับทั้งหมด
จัดการความเป็นส่วนตัว
  • คุกกี้ที่จำเป็น
    เปิดใช้งานตลอด

    ประเภทของคุกกี้มีความจำเป็นสำหรับการทำงานของเว็บไซต์ เพื่อให้คุณสามารถใช้ได้อย่างเป็นปกติ และเข้าชมเว็บไซต์ คุณไม่สามารถปิดการทำงานของคุกกี้นี้ในระบบเว็บไซต์ของเราได้
    รายละเอียดคุกกี้

  • คุกกี้สำหรับการติดตามทางการตลาด

    ประเภทของคุกกี้ที่มีความจำเป็นในการใช้งานเพื่อการวิเคราะห์ และ นำเสนอโปรโมชัน สินค้า รวมถึงหลักสูตรฟรี และ สิทธิพิเศษต่าง ๆ คุณสามารถเลือกปิดคุกกี้ประเภทนี้ได้โดยไม่ส่งผลต่อการทำงานหลัก เว้นแต่การนำเสนอโปรโมชันที่อาจไม่ตรงกับความต้องการ
    รายละเอียดคุกกี้

บันทึกการตั้งค่า