ยินดีต้อนรับสู่ส่วนที่ 2 ของซีรีส์บล็อกของเราบนยอด OWASP 10 ในส่วนที่ 1 เราตรวจสอบ SQL Injection, ประเภทที่แพร่หลายมากที่สุดของช่องโหว่และเรายังรับการตรวจสอบวิธีการที่มีประสิทธิภาพอยู่โปรแกรมรักษาความปลอดภัยโปรแกรมที่เป็นภัยคุกคาม ในบทความนี้เราจะมาดูหัวข้อที่น่าสนใจอีกประเด็นหนึ่ง: การเปิดรับข้อมูลที่ละเอียดอ่อน
กำหนดการเปิดรับข้อมูลที่ละเอียดอ่อน
การเปิดรับข้อมูลที่ละเอียดอ่อนเป็นสิ่งที่ดูเหมือน เป็นช่วงที่ข้อมูลที่ควรได้รับการปกป้องพร้อมใช้งานเมื่อใดและที่ใดไม่ควรอยู่ มีข้อมูลที่ละเอียดอ่อนหลายประเภท แต่ประเภทที่พบบ่อยที่สุดเกี่ยวข้องกับข้อมูลส่วนบุคคลที่ไม่ซ้ำกันบันทึกทางการเงินข้อมูลสุขภาพและเอกสารทางกฎหมาย
ข้อมูลที่ละเอียดอ่อนประกอบด้วยข้อมูลที่มีความสำคัญต่อตัวตนของบุคคลและสามารถใช้เพื่อระบุบุคคลโดยไม่ซ้ำกันได้ ซึ่งรวมถึงตัวระบุเช่นชื่อที่สมบูรณ์ที่อยู่อีเมลที่อยู่บ้านหมายเลขโทรศัพท์และแม้แต่ข้อมูลที่อยู่ IP เมื่อเทคโนโลยีก้าวหน้าขึ้นเราจึงเห็นว่าข้อมูลไบโอเมตริกซ์และข้อมูลทางพันธุกรรมได้รับการปฏิบัติเป็นข้อมูลที่ละเอียดอ่อนควบคู่ไปกับเชื้อชาติศาสนาและลัทธิ
ผลกระทบต่อการเปิดเผยข้อมูลที่ละเอียดอ่อน – ต่อคุณ
ด้วยปริมาณข้อมูลที่เราแบ่งปันเกี่ยวกับตัวเราในแต่ละวันข้อมูลที่ละเอียดอ่อนจะถูกนำไปใช้ในเชิงอันตรายเพื่อทำร้ายเราได้อย่างไร คำตอบนั้นค่อนข้างง่าย การเปิดเผยข้อมูลที่ละเอียดอ่อนเกิดขึ้นเมื่อแอปพลิเคชันและ API ไม่ปกป้องข้อมูลที่ละเอียดอ่อนอย่างเหมาะสม ตัวอย่างเช่นพิจารณาแอปพลิเคชันที่ไม่ปลอดภัยที่ตรวจสอบอินพุตไม่ถูกต้องหรือจัดการธุรกรรมจำนวนมากมายที่มีอยู่ในปัจจุบันอย่างเหมาะสม
ช่องโหว่เหล่านี้สามารถทำให้ข้อมูลถูกขโมยและนำไปใช้ในทางที่ผิดได้ในหลากหลายรูปแบบ รูปแบบการใช้ในทางที่ผิดเหล่านี้รวมถึงข้อมูลบัตรเครดิตที่ถูกขโมยการใช้ข้อมูลส่วนบุคคลอย่างฉ้อฉลเพื่อเปิดบัญชีสมัครสินเชื่อและ / หรือรับผลประโยชน์ต่างๆเช่นการรักษาพยาบาลและการจ่ายเงินรางวัลของรัฐบาล ในกรณีที่รุนแรงอาจใช้เพื่อหลีกเลี่ยงการบังคับใช้กฎหมายได้ด้วย ในที่สุดการใช้ข้อมูลในทางที่ผิดอาจขยายไปสู่ข้อมูลความเกี่ยวข้องทางการเมืองและองค์กรที่ถูกขโมยไป
และค่าใช้จ่ายสำหรับการเปิดรับนี้อาจสูงเป็นการส่วนตัว พิจารณาสถิติที่ได้รับการแก้ไขเหล่านี้จาก US Bureau of Justice Statistics:
- เหยื่อโจรกรรมข้อมูลส่วนใหญ่ (86%) มีประสบการณ์การใช้ข้อมูลบัญชีที่มีอยู่อย่างฉ้อโกงเช่นข้อมูลบัตรเครดิตหรือบัญชีธนาคาร
- ในบรรดาเหยื่อที่ประสบปัญหาการขโมยข้อมูลประจำตัวหลายประเภทด้วยบัญชีที่มีอยู่และการฉ้อโกงอื่น ๆ ประมาณหนึ่งในสาม (32%) ใช้เวลาหนึ่งเดือนหรือมากกว่าในการแก้ไขปัญหาของตน
- ประมาณ 36% ของเหยื่อที่ถูกโจรกรรมข้อมูลประจำตัวรายงานว่ามีความทุกข์ทางอารมณ์ในระดับปานกลางหรือรุนแรงอันเป็นผลมาจากเหตุการณ์ดังกล่าว
และพิจารณาสถิติเหล่านี้จากรายงานการฉ้อโกงข้อมูลประจำตัวประจำปี 2020 จาก Javelin Strategy:
- ในปี 2019 การสูญเสียจากการฉ้อโกงเพิ่มขึ้น 15 เปอร์เซ็นต์เป็น 16.9 พันล้านดอลลาร์
- การสูญเสียจากการฉ้อโกงส่งผลให้ผู้บริโภคต้องเสียค่าใช้จ่ายนอกกระเป๋า 3.5 พันล้านดอลลาร์
- อาชญากรเปลี่ยนจุดสนใจจากการฉ้อโกงบัตรเครดิตไปเป็นการเปิดและควบคุมบัญชี
ผลกระทบต่อการเปิดเผยข้อมูลที่ละเอียดอ่อน – ต่อองค์กร
และตอนนี้เราเปลี่ยนไปสู่มุมมองขององค์กร ด้วยการแนะนำกฎระเบียบเกี่ยวกับความเป็นส่วนตัวของข้อมูลเช่น GDPR และปริมาณข้อมูลที่องค์กรมักจะรวบรวมในแต่ละวันคุณอาจสงสัยเกี่ยวกับอันตรายที่อาจเกิดขึ้นกับ บริษัท ที่เกี่ยวข้องกับข้อมูลที่ละเอียดอ่อน คำตอบนั้นค่อนข้างง่าย: เทคนิคการทดสอบความปลอดภัยของแอปพลิเคชันที่ไม่มีประสิทธิภาพและ / หรือแนวทางปฏิบัติของ DevSecOps ที่ไม่ปลอดภัยอาจส่งผลให้แอปพลิเคชันใช้งานได้ แต่ปล่อยให้ข้อมูลส่วนบุคคลของผู้ใช้ถูกโจมตี ในความเป็นจริงในรายงานล่าสุดของ Ponemon Institute“ Application Security in the DevOps Environment” ผู้ตอบแบบสำรวจ 71% ระบุว่าการขาดการมองเห็นและความสอดคล้องในแนวทางปฏิบัติด้านความปลอดภัยของ DevOps ทำให้ข้อมูลลูกค้าและพนักงานตกอยู่ในความเสี่ยงในที่สุด
และการขาดความรับผิดชอบกับข้อมูลลูกค้ามาพร้อมกับป้ายราคาที่สูง รายงานของ Ponemon Institute ฉบับเดียวกันพบว่าค่าเฉลี่ยความสูญเสียทางเศรษฐกิจทั้งหมดที่เกิดจากการโจมตีแอปพลิเคชันที่มีช่องโหว่ขององค์กรมีมูลค่าถึง 12 ล้านดอลลาร์ในช่วง 12 เดือนที่ผ่านมา
ค่าใช้จ่ายรายงานการละเมิดข้อมูลปี 2020 แยกต่างหากจาก Ponemon Institute พบสถิติที่น่าวิตกเหล่านี้:
- ค่าใช้จ่ายเฉลี่ยทั่วโลกของการละเมิดข้อมูลอยู่ที่ 3.86 ล้านดอลลาร์
- ค่าใช้จ่ายต่อการบันทึกเมื่อข้อมูลส่วนบุคคลของลูกค้าเกี่ยวข้องคือ $ 146
- ค่าใช้จ่ายดังกล่าวเพิ่มขึ้นเป็น 175 ดอลลาร์เมื่อการละเมิดเกิดจากการโจมตีที่เป็นอันตราย
- สำหรับผู้ที่ตกเป็นเหยื่อของการละเมิดขนาดใหญ่ (หมายถึงการละเมิดที่เกินกว่าหนึ่งล้านบันทึก) ต้นทุนเฉลี่ยของการละเมิดนั้นมากกว่า 50 ล้านดอลลาร์
- และการละเมิดข้อมูลมากกว่า 50 ล้านรายการทำให้เกิดค่าใช้จ่าย 392 ล้านดอลลาร์
ที่อยู่การเปิดเผยข้อมูลที่ละเอียดอ่อน
เพื่อช่วยหลีกเลี่ยงปัญหานี้ข้อมูลที่ละเอียดอ่อนควรได้รับการปกป้องเพิ่มเติมเช่นการเข้ารหัสขณะอยู่นิ่งหรือระหว่างการขนส่งและควรต้องมีการป้องกันเป็นพิเศษเมื่อแลกเปลี่ยนกับเบราว์เซอร์ อย่างไรก็ตามเมื่อใดก็ตามที่เป็นไปได้เรายังต้องการที่จะสามารถระบุและแก้ไขปัญหาที่อาจเกิดขึ้นกับข้อมูลที่ละเอียดอ่อนก่อนที่จะเกิดการโต้ตอบกับผู้ใช้
HCL AppScan เสนอวิธีต่างๆมากมายในการช่วยคุณจัดการและทดสอบข้อมูลที่ละเอียดอ่อน รูปที่ # 1, # 2 และ # 3 ด้านล่างแสดงตัวเลือกที่มีอยู่
ขั้นแรกรูปที่ # 1 แสดงการตั้งค่าที่สามารถใช้ระหว่างการกำหนดค่าการสแกนเพื่อประกาศสภาพแวดล้อมของแอปพลิเคชันเองว่าเป็นความลับโดยใช้การตั้งค่าต่ำ / ปานกลาง / สูง AppScan จะปรับความรุนแรงของช่องโหว่ที่รายงานโดยสัมพันธ์กับการตั้งค่านั้น
รูปที่ # 1: การตั้งค่าการรักษาความลับสำหรับสภาพแวดล้อมแอปพลิเคชัน
ประการที่สองรูปที่ # 2 แสดงให้เห็นว่าเราสามารถจัดการกับข้อมูลที่ละเอียดอ่อนที่อาจแสดงในบันทึกหรือไฟล์ผลลัพธ์ได้อย่างไร เราสามารถตั้งค่าการสแกนเพื่อให้ข้อมูลประเภทนี้ถูกแทนที่ด้วยรูปแบบที่ผู้ใช้เลือก สิ่งนี้ช่วยให้ข้อมูลจริงสับสนในขณะที่ยังคงความชัดเจน
รูปที่ # 2: การแทนที่ข้อมูลที่ละเอียดอ่อนด้วยรูปแบบที่ผู้ใช้กำหนดเอง
สุดท้ายรูปที่ # 3 แสดงให้เห็นว่าผู้ใช้ที่มีสิทธิ์ที่ถูกต้องอาจใช้การตั้งค่ารูปแบบ CVSS เพื่ออัปเดตความรุนแรงของช่องโหว่ที่กำหนดด้วยตนเอง ในตัวอย่างนี้ช่องโหว่ที่รายงานเกี่ยวกับการเปลี่ยนเส้นทางฟิชชิงผ่าน URL จะแสดงขึ้นและหน้าต่างการอัปเดตด้วยตนเองจะถูกแสดงโดยเน้นที่ผู้ใช้สามารถทำการประเมินผลกระทบด้านความลับได้ ซึ่งช่วยให้สามารถควบคุมและประเมินการจัดการช่องโหว่ได้ในระดับที่สูงขึ้น
รูปที่ # 3: การอัปเดตช่องโหว่ด้วยตนเองโดยใช้การตั้งค่ารูปแบบ CVSS
เพื่อเรียนรู้เพิ่มเติม
วิธีที่ดีที่สุดในการต่อสู้กับการโจมตีของการเปิดเผยข้อมูลที่ละเอียดอ่อนที่อาจเกิดขึ้นคือการใช้โปรแกรมทดสอบความปลอดภัยของแอปพลิเคชัน หากคุณต้องการทดลองใช้เทคโนโลยี Application Security ด้วยตัวคุณเองให้ลงทะเบียนเพื่อทดลองใช้ HCL AppScan ฟรี 30 วันของเราตอนนี้ คุณยังสามารถดาวน์โหลดรายงาน Ponemon Institute,“ Application Security in the DevOps Environment” ได้ที่นี่ หรือติดต่อมาทางเรา KTNBS
ที่มา : https://blog.hcltechsw.com/appscan/appscan-and-the-owasp-top-10-why-so-sensitive/
