ในยุคที่ดิจิทัลแอปพลิเคชันกลายเป็นช่องทางที่หลายธุรกิจเลือกพัฒนาเพื่อให้บริการลูกค้า ไม่ว่าจะเป็นธุรกิจธนาคาร ร้านอาหาร แฟชั่น ค้าปลีก ฯลฯ  นอกจากนั้น ยังมีการพัฒนาแอปเพื่อใช้อำนวยความสะดวกให้การทำงานภายในองค์กร เช่น การเงิน การบริหารงานบุคคล การจัดการห่วงโซ่อุปทาน การขนส่ง เป็นต้น

แอปพลิเคชันทั้งรูปแบบ Web Application หรือ Mobile Application จึงเป็นฟันเฟืองสำคัญให้ธุรกิจเดินหน้าได้ ประกอบกับเทคโนโลยีเพื่อพัฒนาแอปในปัจจุบันก็มีความหลากหลายและสามารถเข้าถึงได้ง่ายมากขึ้น แต่ในขณะเดียวกันความสะดวกในการเข้าถึงก็เป็นช่องทางของภัยคุกคามทางไซเบอร์ที่ก็ได้พัฒนาไปมากเช่นกัน การป้องกันรูปแบบเดิม ๆ ด้วยเทคโนโลยีที่ล้าสมัย จึงอาจไม่เพียงพออีกต่อไป

F5 บริษัทชั้นนำด้าน Cybersecurity และ Techsauce ได้ร่วมมือกันในการจัด Virtual Event ภายใต้แนวคิด “Protect Your Tomorrow, Secure Your Web Apps and APIs” นำเสนอความรู้เกี่ยวกับ นวัตกรรมการป้องกัน Web Apps และ APIs ขององค์กร พร้อมทั้งการสาธิตวิธีการป้องกันระบบที่จะช่วยให้องค์กรพร้อมรับมือกับภัยคุกคามทางไซเบอร์รูปแบบใหม่

โดยมีคุณไกรภพ เป็งแก้ว Solutions Engineer จาก F5 Thailand บริษัทชั้นนำด้านการป้องกันภัยคุกคามทางไซเบอร์ระดับโลก ได้มาร่วมแบ่งปันความรู้และสาธิตการใช้งานซอฟต์แวร์ความปลอดภัยในครั้งนี้

คุณไกรภพได้ชี้ให้เห็นถึง โครงสร้างการพัฒนาแอปที่เปลี่ยนแปลงไป ทำให้มีการพัฒนาแอปและใช้เทคโนโลยีบนแพลตฟอร์มของผู้ให้บริการ Cloud มากขึ้น และทำให้ APIs ซึ่งเป็นตัวเชื่อมต่อระหว่างระบบต่าง ๆ ก็มี Traffic เพิ่มมากขึ้น ด้วยเหตุนี้ แอปที่พัฒนาขึ้นจึงมีจุดที่อาจเกิดการโจมตีเพิ่มขึ้นตามไปด้วย

กล่าวคือ  ในปัจจุบัน การออกแบบซอฟต์แวร์มีความซับซ้อนมากขึ้นในแง่โครงสร้าง ทำให้สามารถออกแบบได้ด้วยวิธีการที่ใช้ Microservice หรือการใช้เทคโนโลยีของผู้ให้บริการ Web Hosting หลายแหล่ง ไม่ว่าจะเป็น On-Premise (IT Infrastructure ที่อยู่ในการดูแลขององค์กรนั้น ๆ) และ On-Cloud Service เช่น Google และ AWS

ด้วยการเปลี่ยนแปลงของโครงสร้างการพัฒนาแอป รวมถึงความนิยมในการใช้เทคโนโลยี Cloud อาจทำให้การเชื่อมต่อระหว่าง APIs ออกไปนอกการควบคุมผู้พัฒนาระบบได้มากขึ้น นับเป็นความท้าทายอย่างหนึ่งของการรักษาความปลอดภัยระบบที่จำเป็นต้องหาเทคโนโลยีการป้องกันมาใช้งาน

คุณไกรภพได้ยกตัวอย่างเทคโนโลยี WAAP หรือ “Web Apps and APIs Protection” ที่เป็นรูปแบบเดียวกับที่ F5  ใช้ในการป้องกันความปลอดภัยของข้อมูลต่าง ๆ ในรูปแบบ SaaS (Software-as-a-Service) ที่จะช่วยปกป้องแอปพลิเคชันขององค์กรให้ปลอดภัยด้วยการเป็นด่านหน้าในการคัดกรองก่อนที่ผู้ใช้งานจะเข้าถึงแอปพลิเคชันหรือ Call APIs ของธุรกิจ  โดยสามารถปรับรูปแบบให้เหมาะกับการใช้งานแอปที่หลากหลาย รวมถึงฟังก์ชันในการแสดง Single Dashboard ยังทำให้ผู้ควบคุมระบบสามารถบริหารจัดการความเสี่ยงและมองเห็นการเชื่อมต่อทั้งหมดของแอปได้ในจุดเดียว ทำให้ประหยัดเวลาในการตรวจสอบและแก้ไขปัญหาที่พบเร็วขึ้น

รู้จักการโจมตีรูปแบบใหม่ ที่เทคโนโลยีล้ำหน้าไม่แพ้กัน 

คุณไกรภพได้อธิบายรูปแบบภัยคุกคามต่าง ๆ ที่มีพัฒนาการไปมากในปัจจุบัน โดยแบ่งออกเป็น 4 ประเภทดังนี้

DDoS Attack

จากการศึกษาของ F5 พบว่า การโจมตีแบบ DDoS ในปี 2021 ได้พัฒนาจากการโจมตีในระดับ Volumetric (การเน้นยิงข้อมูลจำนวนมาก ที่จะตรวจจับได้ง่าย) เป็นประเภท Application Level (การยิงข้อมูลจำนวนไม่มาก แต่เป็นการค้างการส่งข้อมูลไว้ เพื่อไม่ให้ผู้ใช้คนอื่นเข้ามาใช้งานได้) มากขึ้น ทำให้ในการป้องกัน DDoS Attack ควรมีความสามารถที่ป้องกันได้ตั้งแต่ระดับ Volumetric ไปถึงระดับ Application กล่าวคือ มีความสามารถที่ป้องกันได้ทั้งในแง่ปริมาณและความซับซ้อนของ DDoS Attack ที่เกิดขึ้น

Web Application Firewall 

จากที่กล่าวไปช่วงต้นบทความ การใช้งาน Web Application จำนวนมากในปัจจุบันยิ่งเพิ่มช่องโหว่และเปิดโอกาสให้ถูกโจมตีได้ง่ายมากขึ้น การให้ Programmer เขียนโปรแกรมป้องกันอาจจะไม่ทันการณ์ ในอดีตใช้การป้องกันแบบ Signature-based Identification แต่ในปัจจุบันมีการใช้งาน Behavior-based เพื่อระบุตัวผู้คุกคาม (Threat Actor) โดยอาศัยเทคโนโลยี AI และ Machine Learning มาวิเคราะห์พฤติกรรม

Automate Threat

Automate Threat หรือการโจมตีโดยใช้ Bot ที่สามารถพัฒนาได้เองมากขึ้นเรื่อย ๆ คุณไกรภพได้ยกตัวอย่างกรณีศึกษาจากการโจมตีบัตร Reward Card โดย Hacker สร้าง Bot ขึ้นมา เพื่อแลกคะแนนสะสม หรือการโจมตีแบบ Credential Stuffing ซึ่งนำ Username และ Password มากรอกเข้าเว็บไซต์ด้วยระบบอัตโนมัติ

ปัจจุบันเทคโนโลยี WAAP as a Service อย่างเช่นของ F5 นอกจากใช้ Signatured Based Bot Protection แล้ว ยังมีการใช้เทคโนโลยี User Behavioral Analysis ซึ่งมี Machine Learning อยู่เบื้องหลังมาช่วยวิเคราะห์พฤติกรรมของผู้ใช้งาน และดักจับพฤติกรรมที่อาจเป็นภัยคุกคาม

APIs Attack 

ด้วยการใช้งานของแอปพลิเคชันจำนวนมากในปัจจุบัน ทำให้มีการใช้ APIs เชื่อมต่อระหว่างระบบมากขึ้น การเติบโตของ APIs จึงสูงและจะสูงขึ้นไปอีก ซึ่งจากการศึกษาของ OWASP Top 10 ซึ่งระบุภัยคุกคามทางไซเบอร์ที่ควรป้องกันได้นั้น พบว่า APIs ทุกระดับต่างก็มีช่องโหว่ที่จะถูกโจมตีได้ ซึ่งการใช้งานซอฟต์แวร์รักษาความปลอดภัยในปัจจุบันจะมีการใช้ Auto Discovery APIs มาช่วย

จากในอดีตที่องค์กรจะรู้แค่มีการเรียก API เข้ามา แต่ไม่รู้ว่าเรียกมาตรงจุดไหน เมื่อมีการโจมตีทางไซเบอร์ก็จะไม่รู้ว่าถูกโจมตีจากจุดไหน การใช้ Auto Discovery APIs ก็จะช่วยให้องค์กรรู้ว่ามีการเรียก API ที่ End Point ไหนบ้าง

รับชมการสาธิตการป้องกันการโจมตีและวิธีใช้งานได้ที่วิดีโอด้านล่างนี้

อยากเริ่มใช้ระบบ WAAP ต้องทำอย่างไร

สำหรับองค์กรที่สนใจเริ่มใช้งานระบบ WAAP คุณไกรภพแนะนำว่าควรเลือกใช้บริการซอฟต์แวร์ที่สามารถใช้งานได้สะดวก ทำงานอยู่บนระบบ Cloud และมีเทคโนโลยีหลังบ้านที่ตอบโจทย์กับภัยคุกคามในปัจจุบัน ไม่ว่าจะเป็น AI และ Machine Learning รวมถึงให้พิจารณาเลือกใช้งานระบบป้องกันกับผู้ให้บริการที่มีการอัปเดตเทคโนโลยีในซอฟต์แวร์และมีการศึกษาค้นคว้าอยู่เสมอด้วย คุณไกรภพยังกล่าวเพิ่มเติมว่า ปัจจุบันทุกองค์กรควรจะคำนึงถึงความปลอดภัยของซอฟต์แวร์ที่ใช้งานเป็นเรื่องสำคัญ

สอบถามข้อมูลเพิ่มเติมเกี่ยวกับ F5 ได้ทาง :  Chollada Suriyakarn [email protected]