Cyber Threat The Series : Ep.05 Web Application Attacks

รู้จัก ‘Web Application Attack’ การโจมตีทางไซเบอร์ที่เกิดขึ้นในทุกขณะทั่วโลก

ในปัจจุบันนี้ ช่องทางออนไลน์กลายเป็นอีกช่องทางที่ทุกธุรกิจแทบจะขาดไม่ได้เลยทีเดียว ซึ่งบางธุรกิจก็มีรูปแบบการให้บริการผ่านทางเว็บไซต์แบบร้อยเปอร์เซ็นต์ ยกตัวอย่างเช่น ผู้ให้บริการแพลตฟอร์มวิดีโออย่าง YouTube หรือผู้ให้บริการเสิร์ชเอนจินชื่อดังอย่าง Google แต่นั่นก็มาพร้อมกับความเสี่ยงทางไซเบอร์ที่สูงมากเช่นกัน โดยหนึ่งในภัยร้ายที่จ้องทำลายบริการในลักษณะนี้ก็คือ Web Application Attack นั่นเอง

Web Application คืออะไร?

Web Application คือ แอปพลิเคชันที่สามารถเข้าใช้งานผ่านเว็บเบราว์เซอร์ได้โดยไม่ต้องติดตั้งและมีฟังก์ชันพร้อมใช้งาน ต่างจากเว็บไซต์ธรรมดาที่เน้นไปที่การดูเป็นหลัก ซึ่งทำให้ผู้ใช้บริการสามารถใช้งานแอปพลิเคชันจากที่ไหน เมื่อไหร่ก็ได้ เพียงแค่มีอินเทอร์เน็ต

Web Application Attack มาจากไหน?

ด้วยความที่โลกออนไลน์นั้นไม่เคยหลับใหล Web Application จึงต้องเปิดเป็นสาธารณะให้ผู้ใช้เข้าถึงได้ตลอด 24 ชั่วโมง ด้วยเหตุนี้จึงไม่สามารถใช้แนวทางการรักษาความปลอดภัย เช่น การใช้ Firewalls แบบปกติหรือการเข้ารหัสข้อมูลรูปแบบเดิม ๆ เพื่อรักษาความปลอดภัยอย่างสมบูรณ์ได้

แฮกเกอร์มักจะหาช่องโหว่เพื่อทำการโจมตีอยู่เป็นนิจ ยกตัวอย่างกรณีการโจมตีเพื่อมุ่งเป้าไปที่การขโมยข้อมูลจากฐานข้อมูล แฮกเกอร์สามารถหาทางเจาะเข้าฐานข้อมูลได้หลากหลายวิธี อาทิ การทำ SQL Injection (SQLi) ที่อาชญากรอาจส่งคำสั่ง SQL ที่ช่วยเปิดช่องโหว่ระบบให้สามารถขโมยข้อมูลได้เข้าไปในลักษณะของ Input ซึ่งถ้าระบบไม่มีการกรอง Input ก่อนและนำไปแสดงผลทันที จะเป็นการเปิดทางให้อาชญากรเข้าถึงข้อมูลได้ หรือรูปแบบของการโจมตีประเภทอื่น ๆ เช่น Cross site scripting(XSS) หรือ Buffer overflow ก็สามารถสร้างความเสียหายให้แก่ Web Application ได้

จะป้องกัน Web Application Attack ได้อย่างไร?

การจะปกป้อง Web Application ให้รอดพ้นจากการถูกโจมตีนั้น จำเป็นต้องมีมาตรการความปลอดภัยที่ครอบคลุมทุกส่วนของ Web Application โดยทางเรามีคำแนะนำเบื้องต้น ดังนี้

1. ทำการประเมินภัยคุกคาม (Threat Assessment) เพื่อช่วยให้คุณเข้าใจถึงความเสี่ยงและภัยคุกคามที่อาจทำอันตรายต่อ Web Application ของคุณได้ รวมถึงวิธีจัดการกับผลกระทบที่อาจตามมา

2. มีการคำนึงถึงความปลอดภัยทางไซเบอร์ตั้งแต่ขั้นตอนการพัฒนา โดยหากเรามีทิศทางการพัฒนา Web Application ให้มีความปลอดภัยตั้งแต่แรก ก็จะสามารถช่วยลดความเสี่ยงลงได้อย่างมาก

3. มี Security Hygiene ที่ดี ซึ่งก็คือการดูแลรักษา Web Application ให้มีความปลอดภัยที่ดีอยู่เสมอ ไม่ว่าจะเป็นในด้านของการจัดการดูแลสิทธิ์การเข้าถึง, การดูแลความปลอดภัยของข้อมูล, การรักษาความปลอดภัยของระบบเครือข่าย, การตั้งค่าซอฟต์แวร์และฮาร์ดแวร์ ฯลฯ

4. มีแผนการรับมือในยามที่ Web Application ถูกโจมตี เพื่อให้คุณพร้อมรับมือกับทุกสิ่งที่อาจเกิด และยังสามารถแก้ไขสถานการณ์ได้อย่างทันท่วงทีก่อนที่ความเสียหายจะลุกลาม

ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์
ติดต่อเรา Cloudsec Asia
ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิก
Tel.+66 2117 9668
www.cloudsecasia.com

#cybersecurity
#cybersecurityisamust
#cloudsecasia

References:

TrustNet., 2021. Common Web Application Attacks [online] TrustNet. Available at: <https://www.trustnetinc.com/web-application-attacks/> [Accessed 19 December 2021].

Singh, R., 2021. SBN What are the Best Security Practices to Protect Against the Main Types of Attacks on Web Applications? [online] Security Boulevard. Available at: <https://securityboulevard.com/…/what-are-the-best…/> [Accessed 19 December 2021].TechTarget., 2021. Web application (Web app) [online] TechTarget. Available at: <https://searchsoftwarequality.techtarget.com/…/Web…> [Accessed 19 December 2021].