Back to Blog

Vulnerability Management and Scanning 4 ขั้นตอนในการอุดช่องโหว่และแสกนความเสี่ยง

MonsterConnect
1 min read
Vulnerability Management and Scanning 4 ขั้นตอนในการอุดช่องโหว่และแสกนความเสี่ยง

Vulnerability Management and Scanning 4 ขั้นตอนในการอุดช่องโหว่และแสกนความเสี่ยง

HIGHLIGHT

- การจัดการความเสี่ยงเป็นกระบวนการสำคัญในการทำงานด้านความปลอดภัยของแต่ละองค์กร ซึ่งจะเริ่มต้นตั้งแต่การวางแผนจนไปถึงการรายงานผล เพื่อจัดการช่องโหว่ทั้งหมดที่เกิดขึ้นได้อย่างเป็นระบบ - ช่องโหว่ด้านความปลอดภัยหมายถึงจุดอ่อนทางเทคโนโลยีและข้อบกพร่องของบุคลากร ซึ่งจะเปิดช่องให้ผู้บุกรุกสามารถสร้างความเสียหายให้กับองค์กรได้ - กระบวนการนี้จะต้องดำเนินการอย่างต่อเนื่องเพื่ออัพเดทและติดตามการเปลี่ยนแปลงใหม่ๆที่เกิดขึ้น ทั้งของฝั่งเครื่องมือที่ใช้ และฝั่งภัยคุกคามที่มีการพัฒนาขึ้นทุกวันเช่นเดียวกัน ซอฟต์แวร์ที่ใช้ในการจัดการช่องโหว่จะสามารถช่วยให้กระบวนการนี้เกิดขึ้นได้อย่างเป็นอัตโนมัติ โดยจะสามารถใช้เครื่องมือที่ทันสมัยเหล่านี้ในการสแกนหาช่องโหว่ของเครือข่าย รวมไปถึงในระบบต่างๆที่มีส่วนเกี่ยวข้องกับองค์กรอีกด้วย สำหรับ “Vulnerability Management” จะสามารถแบ่งออกได้เป็น 4 ขั้นตอนดังนี้

Step 1: Identifying Vulnerabilities

หัวใจสำคัญของทางออกในการจัดการช่องโหว่ที่เกิดขึ้นในองค์กร ก็คือการเริ่มต้นในการหาช่องโหว่ จากเครื่องมือที่ใช้ในการสแกนซึ่งจะประกอบด้วยกัน 4 ขั้นตอนดังนี้ - เครื่องมือสแกนเนอร์ทำการสแกนเข้าไปที่ระบบ - ทำการเข้าถึงเครือข่ายด้วยการส่งข้อมูล TCP/UDP เพื่อระบุพอร์ตเปิดให้สแกนเนอร์เข้าไปทำการตรวจหาช่องโหว่ - ซึ่งจะสามารถเข้าสู่ระบบได้จากระยะไกล (Remote - Log in) - รวบรวมข้อมูลจากระบบโดยละเอียด และเชื่อมโยงข้อมูลทั้งหมดเพื่อวางแผนแก้ไขช่องโหว่ที่เกิดขึ้น การสแกนช่องโหว่นี้สามารถระบุความหลากหลายของระบบที่ใช้งานบนเครือข่ายเช่น แล็ปท็อปและเดสก์ท็อปเซิร์ฟเวอร์เสมือนจริง โดยระบบจะตรวจสอบส่วนต่างๆภายในเครือข่ายและการใช้งานไม่ว่าจะเป็น ได้แก่ ระบบปฏิบัติการ, ซอฟต์แวร์ที่ติดตั้ง, บัญชีผู้ใช้, โครงสร้างระบบไฟล์, และการกำหนดค่าระบบและอื่นๆ โดยข้อมูลที่ได้ทั้งหมดจะสามารถเชื่อมโยงช่องโหว่ที่ระบบสแกนรู้จัก ก่อนจะทำการวิเคราะห์ช่องโหว่จากฐานข้อมูลเพื่อรายงานผล การสแกนช่องโหว่และความปลอดภัยที่มีประสิทธิภาพ จะต้องมาจาก “การกำหนดค่า” ซึ่งเป็นองค์ประกอบสำคัญของการจัดการความเสี่ยง แต่ในบางครั้งสแกนเนอร์อาจจะขัดขวางเครือข่ายได้ หากแบนด์วิธของเครือข่ายมีจำนวน ดังนั้นผู้ดูแลระบบความต้องจัดสรรเวลาในการสแกนให้ลงตัวเพื่อไม่ให้ขั้นตอนนี้มาทำลายการทำงานปกติ

Step 2: Evaluating Vulnerabilities

หลักจากตรวจพบช่องโหว่และความเสี่ยงที่อาจจะเข้ามาคุกคามองค์แล้ว ขั้นตอนสำคัญต่อมาก็คือ “การประเมินความเสี่ยงที่เกิด” และจัดการอย่างเหมาะสม อีกทั้งยังต้องสอดคล้องกับกลยุทธ์การบริหารความเสี่ยงขององค์กร ซึ่งส่วนมากแต่ละองค์กรจะเลือกประเมินการแก้ปัญหาโดยการใช้ Common Vulnerability Scoring System (CVSS) เพื่อให้คะแนนการแก้ปัญหาของ Solution แต่ละแบบ ซึ่งจะส่งผลให้การแก้ปัญหาเป็นไปอย่างถูกจุดมากที่สุด และนี่คือ “ตัวอย่างของปัจจัยเพิ่มเติม” ที่ควรพิจารณาเมื่อทำการประเมินช่องโหว่ - ช่องโหว่นี้เกิดขึ้นจริงหรือเป็นเพียงข้อผิดพลาดในการสแกน - บุคคลอื่นสามารถเข้าถึงช่องโหว่นี้ได้โดยตรงผ่านระบบอินเตอร์เน็ตหรือไม่ - ระบบการตรวจพบช่องโหว่นี้มีมากแค่ไหน - มีการใช้ประโยชน์จากช่องโหว่นี้หรือไม่ - อะไรคือผลกระทบต่อธุรกิจหากช่องโหว่นี้ถูกใช้ประโยชน์ - มีการควบคุมความปลอดภัยด้านอื่นๆ ที่จะลดผลกระทบจากช่องโหว่นี้หรือไม่ - ช่องโหว่นี้เกิดขึ้นมานานเพียงไร และที่ผ่านมาส่งผลกระทบอะไรบ้าง

Step 3: Treating Vulnerabilities

เมื่อความเสี่ยงได้รับการตรวจสอบแล้วว่า “นี่คือภัยคุกคามที่ต้องจัดการ” ขั้นตอนต่อไปคือ “การจัดการแก้ไขปัญหาช่องโหว่ที่เกิดขึ้น” ซึ่งโดยทั่วไปจะมีหลายวิธีที่นิยมใช้กันได้แก่ “Remediation” : การแก้ไขที่จะช่วยจัดการช่องโหว่ที่เกิดขึ้นได้อย่างสมบูรณ์ เพื่อไม่ให้สามารถเข้ามาสร้างผลกระทบต่อธุรกิจของคุณได้ และนี่คือที่เลือกที่เหมาะสมกับองค์กรที่ต้องการจัดการปัญหานี้ให้หมดไปอย่างจริงจัง "Mitigation" : ลดโอกาสและผลกระทบของภัยคุกคามหรือช่องโหว่ที่เกิดขึ้น ในบางครั้งจะต้องแก้ไขด้วยการอัพเดทแพทช์ที่เหมาะสมกับการจัดการความเสี่ยงนี้ ตัวเลือกนี้เหมาะสมกับการแก้ไขปัญหาเบื้องต้นในระหว่างที่ทีมดูแลความปลอดภัยกำลังหาวิธีจัดการความเสี่ยงอย่างจริงจัง "Acceptance" ยอมรับปัญหาที่เกิดขึ้น โดยไม่แก้ไขหรือหาวิธีลดความเสี่ยงใดๆ เพราะหากความเสี่ยงที่เกิดขึ้นไม่รุนแรง หรือไม่เหมาะสมกับค่าใช้จ่ายในการแก้ปัญหา วิธีการนี้ก็เหมาะสมมากเลยทีเดียว อย่างไรก็ตามบางครั้ง การสแกนก็สามารถตรวจพบ “ช่องโหว่ที่ไม่จำเป็นต้องแก้ไข” ตัวอย่างเช่นหากเครื่องสแกนตรวจพบช่องโหว่ใน Adobe Flash Player ซึ่งองค์กรปิดการใช้งานในส่วนนี้ไปแล้ว ก็ไม่จำเป็นที่จะต้องนำมาพิจารณาแก้ไขก็ได้เช่นเดียวกัน

Step 4: Reporting vulnerabilities

การประเมินผลของการแก้ไขปัญหาความเสี่ยงที่เกิดขึ้น พร้อมทั้งบันทึกรายงานผลเอาไว้จะสามารถช่วยให้การแก้ปัญหาครั้งต่อไปเกิดขึ้นได้อย่างรวดเร็วขึ้น หากเป็นช่องโหว่หรือความเสี่ยงที่เกิดขึ้นในลักษณะเดิมหรือใกล้เคียงกัน สิ่งที่สำคัญที่สุดจาก “การรายงานผล” ก็คือช่วยให้ทีมไอทีสามารถเข้าใจได้ง่ายว่าเทคนิคใด หรือวิธีการใดจะสามารถจัดการช่องโหว่รวดเร็วและมีประสิทธิภาพได้มากที่สุด รวมทั้งในเรื่องของการประเมินต้นทุนของการแก้ปัญหาในแต่ละครั้งอีกด้วย นอกจากนี้รายงานยังสามารถใช้อ้างอิงเพื่อดำเนินการทางกฎหมายได้ต่อไปอีกด้วย

Staying Ahead of Attackers through Vulnerability Management หากต้องการให้องค์กรปลอดภัยก็จะต้องอยู่ข้างหน้าภัยคุกคามอยู่เสมอ

“ภัยคุกคามและอาชญากรไซเบอร์” มีการเปลี่ยนแปลงตลอดเวลาเช่นเดียวกับองค์กรต่างๆที่กำลังเพิ่มอุปกรณ์เคลื่อนที่บริการคลาวด์เครือข่าย และแอพพลิเคชันใหม่ ๆ อย่างต่อเนื่อง และเมื่อเหล่าคุกคามพัฒนาขึ้นไปอีกขั้นก็เหมือนความเสี่ยงครั้งใหม่ที่จะเกิดขึ้นอยู่เสมอ โดยที่ความเสี่ยงเหล่านี้จะสามารถเกิดขึ้นได้ทุกวัน สิ่งที่องค์กรและผู้ดูแลความปลอดภัยจะต้องหมั่นทำอยู่เสมอก็คือ “การพยายามก้าวไปอยู่ข้างหน้าของเหล่าภัยคุกคาม รู้ทันรูปแบบของการโจมตี และพร้อมรับมือแก้ไขความเสี่ยงเหล่านี้อยู่ตลอดเวลา” ปรึกษาการทำ CyberSecurity กับมอนสเตอร์คอนเนค
Reference : https://www.rapid7.com/fundamentals/vulnerability-management-and-scanning/