Imperva Application Defense Center (ADC) ทีมงานวิจัยเกี่ยวกับภัยคุกคามบนโลกไซเบอร์ของ Imperva Inc. ผู้ให้บริการโซลชันระบบรักษาความปลอดภัยของเว็บแอพพลิเคชัน ระบบไฟล์และฐานข้อมูล ชั้นนำของโลก ได้เปิดเผยภัยคุกคามและการบุกรุกโจมตีระบบฐานข้อมูลยอดนิยมในปี 2015 ที่ผ่านมา ดังนี้
เป็นเรื่องน่าสนใจที่ภัยคุกคามบนระบบฐานข้อมูลของปี 2015 ยังคงมีแนวโน้มเช่นเดียวกับปี 2013 ผู้ดูแลระบบควรดำเนินการประเมินความเสี่ยงและเตรียมแผนรับมือกับภัยคุกคามอย่างต่อเนื่อง รายละเอียดของภัยคุกคามทั้ง 10 อันดับ ประกอบด้วย
1. การไม่จำกัดสิทธิ์ให้เหมาะสม (Excessive and Unused Privileges)
การให้สิทธิ์ในการจัดการระบบฐานข้อมูลแก่ผู้ใช้จนเกินขอบเขตของงานที่รับผิดชอบ อาจส่งผลให้ผู้ใช้เหล่านั้นนำสิทธิ์ไปใช้ในทางที่ผิดได้ ยกตัวอย่างเช่น พนักงานธนาคารที่สามารถแก้ไขข้อมูลผู้ถือบัญชี อาจใช้สิทธิ์ที่เกินมาในการเพิ่มยอดเงินในบัญชีแก่คนรู้จัก หรือบางบริษัทไม่ได้ทำการริบสิทธิ์คืนแก่พนักงานที่ลาออกไปแล้ว ก็อาจส่งผลให้พนักงานแอบเข้ามาขโมยข้อมูลได้เช่นเดียวกัน
2. การใช้สิทธิ์ในทางที่ผิด (Privilege Abuse)
ผู้ใช้นำสิทธิ์ที่ตนมีอยู่ในใช้ในทางที่ไม่เหมาะสม หรือเป็นอันตรายต่อองค์กร เช่น เว็บแอพพลิเคชันของโรงพยาบาลที่ใช้ดูฐานข้อมูลผู้ป่วย ถูกจำกัดให้ดูข้อมูลผู้ป่วยได้ทีละคน และไม่สามารถบันทึกหรือคัดลอกข้อมูลออกไปได้ แต่ผู้ไม่ประสงค์ดีอาจละเมิดข้อจำกัดนั้นด้วยการเชื่อมต่อกับฐานข้อมูลผ่านแอพพลิเคชันอื่น เช่น Ms-Excel แล้วใช้สิทธิ์ที่ตนมีอยู่ดึงข้อมูลผู้ป่วยออกมาใส่ตารางและบันทึกออกไปได้ ก่อให้เกิดข้อมูลรั่วไหลได้
3. การแทรกโค้กแปลกปลอมลงช่อง Input (Input Injection ก่อนหน้านี้คือ SQL Injection)
การแทรกโค้ดเพื่อโจมตีมี 2 แบบหลักๆ ด้วยกัน คือ SQL Injection ที่มุ่งโจมตีระบบฐานข้อมูลทั่วไป กับ NoSQL Injection ที่มุ่งโจมตีแพลทฟอร์ม Big Data โดยปกติแล้ว SQL Injection จะทำการแทรกโค้ดแปลกปลอม (Unauthorized/Malicious Statement) ลงไปในช่อง Input ของเว็บแอพพลิเคชัน แต่ NoSQL Injection จะแทรกโค้ดลงไปใน Component ของ Big Data เช่น Hive หรือ MapReduce แต่ไม่ว่าจะด้วยวิธีใดก็ตาม ผลลัพธ์คือแฮ็คเกอร์สามารถเข้าถึงและแก้ไขข้อมูลได้ถึงแม้ว่าจะไม่มีสิทธิ์
4. มัลแวร์ (Malware)
การก่อการร้ายบนโลกไซเบอร์หรือแฮ็คเกอร์มักจะโจมตีโดยอาศัยหลายๆเทคนิครวมๆกัน เช่น ทำ Spear Phishing อีเมลล์ และปล่อยมัลแวร์เพื่อเจาะระบบและขโมยข้อมูล มัลแวร์ในระบบเครือข่ายอาจช่วยให้ผู้ไม่ประสงค์ดีเจาะระบบฐานข้อมูลได้ง่ายยิ่งขึ้น
5. การตรวจสอบการใช้งานฐานข้อมูลไม่ดีพอ (Weak Audit Trail)
การที่ไม่สามารถเรียกดูข้อมูลการใช้งานฐานข้อมูลตามที่ต้องการได้ทำให้เกิดความเสี่ยงต่อองค์กรเป็นอย่างมาก ซึ่งองค์กรส่วนใหญ่ในปัจจุบันนิยมใช้เครื่องมือในการตรวจสอบ (Audit Tool) ของระบบฐานของมูลที่มีมาให้อยู่แล้ว ซึ่งเครื่องมือดังกล่าวมีประสิทธิภาพไม่เพียงพอต่อการติดตามการใช้งาน การตรวจจับการโจมตี หรือการวิเคราะห์เชิงสถิติ ทั้งยังบริโภคทรัพยากรของระบบฐานข้อมูลและพื้นที่ฮาร์ดดิสก์อย่างมหาศาล นอกจากนี้ระบบฐานข้อมูลที่แตกต่างกัน เช่น MsSQL, Oracle หรือ DB2 ก็จะมีระบบการตรวจสอบการใช้งานฐานข้อมูลที่แตกต่างกัน ไม่สามารถใช้ร่วมกันได้ ส่งผลให้เป็นการยากที่จะจัดเก็บและวิเคราะห์ข้อมูลการใช้งานระบบฐานข้อมูลแบบรวมศูนย์
นอกจากนี้ ผู้ใช้งานที่มีสิทธิ์ระดับ admin ไม่ว่าจะเป็นผู้ดูแลระบบ หรือได้รับสิทธิ์มาจากการแฮ็ค สามารถปิดการตรวจสอบการใช้งานระบบฐานข้อมูลได้ทันที ทำให้สามารถเข้าถึงฐานข้อมูลโดยที่ไม่มีใครตรวจสอบได้ ดังนั้น หน้าที่ในการตรวจสอบจึงควรแยกออกมาจากผู้ดูแลระบบและเซิฟเวอร์ฐานข้อมูล เพื่อให้มั่นใจได้ว่าสามารถตรวจสอบและติดตามการเข้าถึงฐานข้อมูลของทุกคนได้จริง
6. การโจรกรรมที่จัดเก็บข้อมูล (Storage Media Exposure)
ที่จัดเก็บข้อมูลสำรอง (Backup Storage) นิยมเป็นเป้าหมายของการโจมตีซึ่งมีระบบการป้องกันต่ำ ทำให้สาเหตุที่ข้อมูลรั่วไหลส่วนใหญ่มาจากการขโมยข้อมูลบนระบบสำรองทั้งสิ้น
7. การโจมตีผ่านทางช่องโหว่ของระบบฐานข้อมูลที่ตั้งค่าไม่ดี (Exploitation of Vulnerable, Misconfigured Databases)
มันเป็นเรื่องง่ายที่จะค้นหาฐานข้อมูลที่มีช่องโหว่ หรือไม่ได้อัพเดทแพทช์ล่าสุด รวมทั้งฐานข้อมูลที่ใช้การตั้งค่าพารามิเตอร์ตามค่าดั้งเดิม (Default accounts and configuration parameters) แฮ็คเกอร์จึงให้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีระบบฐานข้อมูลขององค์กร จากสถิติของ IOUG (Independent Oracle User Group) ระบุว่า 36% ของผู้ใช้งาน Oracle ใช้เวลานานกว่า 6 เดือนในการอัพเดทแพทช์ใหม่ แฮ็คเกอร์มักใช้ช่วงเวลาดังกล่าวที่ไม่ได้อัพเดทแพทช์ในการโจมตีระบบฐานข้อมูล ที่แย่กว่านั้นคือ มีผู้ใช้มากถึง 8% ที่ไม่เคยอัพเดทแพทช์เลย
8. การไม่จัดการข้อมูลสำคัญให้ดี (Unmanaged Sensitive Data)
หลายองค์กรมักมีปัญหาในการจับเก็บข้อมูลสำคัญ เช่น ลืมไปว่ามีข้อมูลสำคัญบางอย่างถูกจัดเก็บไว้ในฐานข้อมูลนี้ หรือมีการสร้างฐานข้อมูลขึ้นมาใหม่ เช่น ในระบบทดสอบแอพพิลเคชันใหม่ เหล่านี้ถ้าไม่มีการแจ้งให้ทีมรักษาความปลอดภัยทราบ อาจส่งผลให้ข้อมูลสำคัญในฐานข้อมูลมีความเสียงถูกขโมยไปได้ เนื่องจากไม่มีการควบคุมและกำหนดสิทธิ์ในการเข้าถึง
9. Denial of Service (DoS)
DoS เป็นรูปแบบการโจมตีที่พบได้โดยทั่วไป ที่ก่อกวนระบบเครือข่ายและฐานข้อมูลให้ผู้ใช้งานไม่สามารถใช้บริการได้ เทคนิคของ DoS มีหลากหลายรูปแบบ แต่ที่ใช้กับระบบฐานข้อมูลมักจะเป็นการทำให้เซิฟเอวร์บริโภคทรัพยากรมากจนเกินไป เช่น การส่งคำร้องขอแก่ฐานข้อมูลเป็นจำนวนมหาศาล ทำให้ RAM และ CPU ของเซิฟเวอร์รับภาระไม่ไหว ส่วนใหญ่แฮ็คเกอร์มักมีเป้าหมายในการข่มขู่บังคับให้ทำตามข้อเรียกร้องของตน ไม่เช่นนั้นจะทำให้ระบบฐานข้อมูล่ม เป็นต้น
10. ขาดความรู้และความเชี่ยวชาญทางด้านความปลอดภัย
หลายองค์กรที่เกิดปัญหาถูกโจมตี หรือข้อมูลรั่วไหล สาเหตุที่พบได้บ่อยมักมาจากการขาดประสบการณ์ในการติดตั้งและกำหนดนโยบายระบบรักษาความปลอดภัยให้เหมาะสมต่อสภาพการใช้งาน จากการสำรวจของ Ponemon Institute ในปี 2014 กรณีมูลค่าของการเจาะระบบเพื่อขโมยข้อมูล พบว่า 30% ของเหตุการณ์ที่ระบบถูกเจาะมีสาเหตุหลักมาจาก “Human Factor” หรือก็คือ เกิดจากความรู้เท่าไม่ถึงการณ์หรือความเพิกเฉยของพนักงานในองค์กรนั่นเอง
ที่มา : https://www.techtalkthai.com/top-ten-da ... eats-2015/
12/04/2016