ในยุคดิจิทัลนี้ เราจะพบว่าผู้คนมากมายล้วนสามารถเข้าถึงการใช้อินเตอร์เน็ตได้เกือบทั่วทุกมุมโลกแล้ว ทำให้เป็นเรื่องยากมากที่จะหลีกหนีภัยอันตรายต่างๆที่แฝงมากับโลกไซเบอร์ โดยเหล่าแฮกเกอร์ มักโจมตีผ่านระบบที่เรียกว่า เว็บแอปพลิเคชั่น

ระบบเว็บแอปพลิเคชัน (Web Application) คือ แอปพลิเคชันที่ทำงานบนเซิร์ฟเวอร์ และส่งข้อมูลผ่านอินเตอร์เน็ตมายังผู้รับบริการ ปัจจุบันเว็บแอปพลิเคชันให้บริการอยู่บน Web 3.0 เป็นยุคที่เว็บไซต์สามารถ “ปฏิบัติการ” (Executable) ได้ ด้วย Dynamic Web Applications และ Composite Interactive Services ตัวอย่างเช่น Online Operating Systems, SaaS (บริการซอฟต์แวร์ผ่านระบบคลาวด์) ฯลฯ

ประโยชน์ของเว็บแอปพลิเคชันต่อองค์กร

ปัจจุบันองค์กรโดยส่วนมากดำเนินธุรกิจด้วยระบบสารสนเทศ จึงทำให้ระบบสารสนเทศเป็นเครื่องมือสำคัญของการดำเนินธุรกิจ และ Web Application เป็นระบบสารสนเทศประเภทหนึ่งที่ผู้ใช้บริการสามารถเข้าถึงได้จากทุกคน ทุกที่ ทุกเวลา ซึ่งจะเห็นได้ว่าธุรกิจสามารถให้บริการได้ตลอดเวลา (24×7)

1. เพิ่มศักยภาพของธุรกิจขององค์กร
2. เพิ่มโอกาสให้การดำเนินธุรกิจได้ตามเป้าหมายที่กำหนด

ซึ่งเหล่าแฮกเกอร์ที่โจมตีผ่านเว็บแอพลิเคชั่นนั้น มักมีรูปแบบโจมตีอยู่ 3 รูปแบบได้แก่

1. การเข้าถึงโดยไม่ได้รับอนุญาต
2. การทำให้ Web Application ประมวลผลไม่ถูกต้อง
3. การทำให้ Web Application ไม่ สามารถให้บริการได้

การยึดครองเครื่องแม่ข่ายระบบเว็บ

การยึดครอง Web Application คือ การละเมิดด้าน Confidentiality เนื่องจากโดยปกติ
ผู้ไม่ประสงค์ดีไม่มีสิทธิในการจัดการระบบ Web Application แต่ผู้ไม่ประสงค์ดีได้ใช้วิธีการและเทคนิคต่าง ๆ เพื่อให้ได้ข้อมูล หรือ ได้รับสิทธิ์ในระบบ Web Application
การยึดครอง Web Application จะทำให้องค์กรได้รับความเสียหาย ทั้งด้านชื่อเสียง หรือ ธุรกิจขององค์กร ทั้งนี้เหตุให้ผู้ไม่ประสงค์ดีมีแรงจูงใจในการโจมตี ดังนี้

1. เพื่อชื่อเสียงจากการยืดครอง
2. เพื่อเงินจากการขู่กรรโชกองค์กร

มาตรการจัดการภัยคุกคามและการป้องกันการโจมตีระบบเว็บ
ภัยคุกคามเป็นกิจกรรมจากภายนอกที่มีเป้าหมายให้ระบบเว็บแอปพลิเคชัน ซึ่งเป็นปัจจัยที่ระบบ Web Application ไม่สามารถทำลดลงได้ เช่น ลดการโจมตีด้วย SQL Injection, ลดการโจมตี DoS แต่สิ่งที่ระบบเว็บแอปพลิเคชันสามารถจัดการได้ คือ การลดช่องโหว่ที่การโจมตีนั้น ๆ จะทำให้ระบบ Web Application เสียหายได้ เช่น

1. การตรวจสอบข้อมูลนำเข้าก่อนประมวล เพื่อลดความเสียหายจากการโจมตีด้วย SQL Injection
2. การติดตั้ง Firewall, IPS เพื่อลดความเสียหายจากการโจมตี DoS
   ดังนั้น การจัดการความเสียหายจากภัยคุกคามระบบ Web Application จะต้องพิจารณาถึงช่องโหว่ สาเหตุของช่องโหว่ เพื่อทำให้ช่องโหว่ลดลง

แนวทางและขั้นตอนการพัฒนาระบบให้มีความมั่นคงปลอดภัย

• วงจรของระบบ Web Application
• จัดทำข้อกำหนดสำหรับการพัฒนาระบบ (Requirements)
• ออกแบบ (Design)
• พัฒนาระบบ (Development)
• ทดสอบระบบ (Testing)
• ปรับปรุงบำรุงรักษาระบบ (Maintenance
• ยกเลิกการใช้งาน/กำจัด (Disposal)
• การกำหนดความต้องการด้านความปลอดภัย
• การทดสอบด้านความปลอดภัย
• การตรวจสอบช่องโหว่ของระบบเว็บแอปพลิเคชันขณะให้บริการ
• การบำรุงรักษา

และเพื่อเป็นการป้องกัน ไม่ให้เกิดภัยคุกคามที่อาจเป็นอันตรายต่อระบบในอนาคต ทางบริษัทเอซิส โปรเฟชั่นนัล เซ็นเตอร์ (“ACIS”) ขอแนะนำมาตรฐาน OWASP (Open Web Application Security Project) เพื่อให้ทุกท่านได้จำลองการเรียนรู้การรักษาความปลอดภัยเว็บแอปพลิเคชัน รวมถึงทำให้มีความรู้ความเข้าใจเกี่ยวกับช่องโหว่ และหาวิธีป้องกันได้

โดย OWASP (Open Web Application Security Project) เป็น มาตรฐานความมั่นคงปลอดภัยของ Web Application ซึ่งจัดทำขึ้นโดยองค์กรไม่แสวงหาผลกำไร เพื่อส่งเสริมความรู้และแนวทางดำเนินการ Web Application Security เพื่อทำให้ระบบมีความมั่นคงปลอดภัยมากยิ่งขึ้น โดยจะมีผลงานวิจัย รายงาน เอกสาร เครื่องมือ และเทคโนโลยีความมั่นคงปลอดภัยที่แนะนำสำหรับ Web Application Security ทั้งนี้ รายงานล่าสุดของ OWASP Top Ten “The Ten Most Critical Web Application Security Risks” สรุป ดังนี้

1. Injection
2. Broken Authentication
3. Sensitive Data Exposure
4. XML External Entities (XXE)
5. Broken Access Control
6. Security Misconfiguration
7. Cross-Site Scripting (XSS)
8. Insecure Deserialization
9. Using Components with Known Vulnerabilities
10. Insufficient Logging & Monitoring

ในปัจจุบันภัยคุกคามทางไซเบอร์มีแนวโน้มสูงขึ้นอย่างต่อเนื่อง อย่างไรก็ตามการป้องกันที่ง่ายที่สุด คือ การตรวจสอบความมั่นคงปลอดภัยของเว็บไซต์ปลายทางก่อนที่จะทำการคลิกลิงก์ใด ๆ ก่อนเสมอ เพื่อให้แน่ใจว่าปลายทางเป็น URL อะไร รวมถึงการติดตั้งโปรแกรมแอนตี้ไวรัสที่สามารถสแกนเนื้อหาในเว็บไซต์ ก็สามารถช่วยป้องกันอันตรายจากการโจมตีผ่านเว็บเบราว์เซอร์ได้แล้วครับ