6+1 สิ่งที่ช่วยตอบโจทย์เรื่อง Application Security

Static Application Security Testing (SAST)

เมื่อพูดถึงการพัฒนา Application สิ่งที่หลายๆคน นึกถึงก็น่าจะเป็นเรื่องของ Source Code เพื่อที่จะนำไป Build เป็น Package เพื่อทำการติดตั้งหรือ Deploy ต่อไป ซึ่งจุดแรกที่เราสามารถตรวจสอบเรื่องความปลอดภัยในระดับ Source Code ก็คือการนำ Static Application Security Testing (SAST) มาทำการ Scan Source Code เพื่อตรวจสอบว่ามี Issue ทั้งในมุมของ Quality และ Security เพื่อนำไปแก้ไขช่องโหว่ต่างๆ (Vulnerability) ก่อนนำไป Build & Deploy ต่อไป

Image by Uladzislau Murashka from scnsoft

Software Composition Analysis (SCA)

บางคนอาจจะสงสัยว่า SCA คืออะไร ทำไมต้อง Scan แล้วตัว SAST ยังไม่เพียงพออีกหรือ  อันดับแรกเราต้องทำความเข้าใจก่อนว่าตัว Build Application Package หรือบางคนอาจจะเรียกว่าตัว Deploy หรือตัวติดตั้ง App นั้นจะประกอบไปด้วยส่วนที่เป็น Proprietary Source Code ทำงานร่วมกับ Open Source Library โดยตัว SAST จะทำหน้าที่ตรวจสอบ Code แต่จะไม่ได้ดูช่องโหว่บน Open Source Library ดังนั้นตัว SCA จะมาช่วยตรวจสอบส่วนนี้ เพื่อเพิ่มความปลอดภัยในส่วนของ App Sec ให้มากขึ้น

      ขอยกตัวอย่าง Open Source Library ที่สร้าง Impact Issue ให้กับวงการ IT เมื่อปลายปีที่แล้ว ก็คือ Log4j ที่ SCA จะเป็น Component ที่เจอปัญหาดังกล่าว เพื่อแจ้งไปยังฝั่ง Security หรือ Developer ให้ทำการ Update Log4j version เพื่อทำการแก้ไขปัญหานี้

Image by Uladzislau Murashka from scnsoft

Dynamic Application Security Testing (DAST)

ถ้าเราได้เห็นวิธีการทำงานของ SAST กับ SCA แล้วจะพบว่า เป็นการ Scan ก่อนที่จะทำการ Deploy ที่จะช่วงลดช่องโหว่ หรือ ปิด Gap บางอย่างก่อนการนำไป Deploy เป็น Running Application แต่ในความเป็นจริงแล้วช่องโหว่หรือ Gap บางอย่างอาจจะถูก Exploit ในขณะที่เป็น Running Application ซึ่งตัว DAST จะเข้ามาช่วยตรวจสอบ โดยผ่าน Black Box Method โดยการ Provide URL endpoint ให้ DAST เข้าไป Scan เพื่อตรวจสอบช่องโหว่ต่อไป

Penetration Test for Application Security

มีคำถามหนึ่งที่ผมมักจะได้รับเสมอเกี่ยวกับ Pentest ก็คือ “ถ้าลูกค้าหรือองค์กรมีพวก Component อย่าง SAST, SCA หรือ DAST แล้ว การทำ Pentest ยังจำเป็นอยู่หรือไม่” คำตอบคือ ยังจำเป็นอยู่ครับ เพราะ Component อย่าง SAST, SCA หรือ DAST เองก็ดี ทั้งหมดล้วนเป็นเครื่องมือหรือ Tool ในการหาช่องโหว่ ผ่าน Methodology หรือ Algorithm ต่างๆ ของแต่ละ Tool แต่การทำ Pentest นั้นจะทำโดยบุคคลที่มีความเชี่ยวชาญ ซึ่งอาจจะลงลึกไปถึงการใช้ Logic หรือการ Customize ต่างๆ เพื่อให้มั่นใจได้ว่าก่อนจะ Release หรือ Launch Application ออกไปยัง Public หรือ Production นั้นจะไม่มีช่องโหว่ที่กระทบต่อตัวผู้ใช้งานและตัวองค์กร

Image by Uladzislau Murashka from scnsoft

Container Security

ในยุคปัจจุบันที่ Cloud Native Application หรือ Microservices เริ่มนิยมมากขึ้น ทำให้ Concept ของ Container Platform เข้ามามีบทบามมากขึ้นไม่ว่าจะเป็นแบบ Platform as a Service (PaaS) หรือ On-Prim Platform เมื่อมีการ Deploy App ที่เป็นรูปแบบ Container มากขึ้น ในมุมของ Security ก็อาจจะต้องคำนึงถึงการป้องกันความเสี่ยงต่างๆ ที่อาจจะมาจากการใช้งาน Container ด้วยเช่นกัน ซึ่ง Container Security ก็จะเป็นอีกหนึ่ง Component ที่เข้าไป Scan Running Container หรือ Runtime รวมไปถึง Container Image ที่เก็บไว้บน Registry เพื่อสร้างความมั่นใจว่า Container ที่ไว้ Run Application นั้นมีความปลอดภัยและพร้อมที่จะให้บริการ

API Security

ในโลกของ Application ยุคปัจจุบัน การเชื่อมต่อหรือรับ-ส่งข้อมูล ระหว่าง Application ต่างๆ ย่อมมี API เข้ามาเกี่ยวข้อง และเมื่อมีการใช้ API Call ด้วยจำนวนมากมาย ก็จะมีคำถามในมุมของ Security ว่า API ที่ใช้กับ Application ต่างๆ มีความปลอดภัยหรือไม่ ซึ่ง API Security เป็นอีกหนึ่ง Trends ที่เริ่มมีการกล่าวถึง เพราะตัว API เองก็มีการเก็บข้อมูลต่างๆ และอาจจะเป็นอีกช่องโหว่หนึ่งที่จะถูกโจมตีหรือ Compromise ข้อมูลออกไปได้เช่นกัน ซึ่ง API Security จะเน้นไปที่การวิเคราะห์ API ที่รับ-ส่งข้อมูล และทำการแสดงผลว่ามีความเสี่ยงหรือช่องโหว่ที่เกิดจาก API เส้นทางไหน เพื่อนำไปแก้ไขต่อไป

Image by Uladzislau Murashka from scnsoft

Components Integration to Automation or CI/CD Orchestrator

อีกหนึ่งสิ่งที่อาจจะไม่ได้เกี่ยวกับ Security โดยตรง แต่ก็เป็น Point ที่อยากให้มองถึงการใช้งานจริงว่า กระบวนการทำงานนั้น เราสามารถนำทุก Component มาทำ Compliance Scan เป็นแบบ Manual หรือ On-Demand ในทุกๆ Application ที่เราพัฒนาได้ก็จริง ถ้าหากจำนวน Application ไม่ได้เยอะมาก แต่ถ้าหากองค์กรมีจำนวน Application ที่มากมาย การทำ Scan แบบเบื้องต้นน่าจะไม่สามารถตอบโจทย์ได้ หรือ ถ้าหากองค์กรหรือลูกค้ามีการนำ DevOps Methodology มาใช้อยู่แล้ว การ Integrate Components ที่กล่าวมาเบื้องต้น เข้ากับ Automation หรือ CI/CD Orchestrator (ยกเว้น Pen Test) จะเข้ามาช่วยเสริมสร้าง DevSecOps Methodology ตาม Concept “Shift Left” เพื่อสร้าง Application Security ตั้งแต่ช่วงเริ่มต้นของ SDLC ตลอดจนไปถึงการ Deliver Application ที่ตอบโจทย์ทั้ง Business และ Security ให้กับผู้ใช้งาน

Image by Uladzislau Murashka from scnsoft

สรุปจากบทความที่ได้กล่าวไป เราจะเห็นได้ว่า Application Security ก็เป็นส่วนหนึ่งที่จะเสริมความปลอดภัยให้กับองค์กรที่มีการให้บริการ Application ไปยังลูกค้า แต่ Application Security ก็เป็นแค่ส่วนหนึ่งของ Cybersecurity ที่เน้นไปในส่วนของการพัฒนา Application ควบคู่ไปกับการเพิ่ม Security แต่การป้องกันภัยคุกคามจริงๆแล้วนั้น อาจจะมองถึง Cybersecurity ในภาพรวม ไม่ว่าจะเป็น Infrastructure Security, Data Security, Cloud Security หรือ Endpoint Security ตลอดจนไปถึงการสร้าง Security Awareness ให้กับคนในองค์กรหรือลูกค้า เพื่อลดความเสี่ยงหรือผลกระทบที่จะเจอจากภัยคุกคามด้าน Cyber ได้อย่างทันท่วงที

สุดท้ายนี้ทาง MFEC ซึ่งเป็นผู้เชี่ยวชาญและผู้นำในกลุ่มของผู้ให้บริการออกแบบและติดตั้ง Cybersecurity แบบ End-to-End ก็พร้อมที่จะเข้าไปช่วยเหลือองค์กรหรือลูกค้าที่สนใจในเรื่องของ Cybersecurity เพื่อสร้างความปลอดภัยให้กับระบบงานในทุกแง่มุมไปด้วยกัน