เมื่อฝูงชนพบสิ่งที่การตรวจสอบพลาด: เจาะลึกการค้นพบช่องโหว่สมัยใหม่
การตรวจสอบความปลอดภัยแบบดั้งเดิมล้มเหลวในการตามให้ทันกับพื้นผิวการโจมตีที่ขยายตัวมากขึ้นเรื่อยๆ เหตุการณ์ล่าสุดเน้นย้ำถึงช่องว่างที่สำคัญที่ถูกเติมเต็มโดยการแข่งขันด้านความปลอดภัยแบบ crowdsourced ซึ่งค้นพบช่องโหว่ที่วิธีการทั่วไปมองข้ามไปอย่างสม่ำเสมอ

ภูมิทัศน์ความมั่นคงทางไซเบอร์มีการเปลี่ยนแปลงอยู่ตลอดเวลา โดยมีลักษณะเฉพาะคือพื้นผิวการโจมตีที่ขยายตัวอย่างต่อเนื่อง ซึ่งขับเคลื่อนโดยวงจรการพัฒนาที่รวดเร็ว, Shadow IT, กิจกรรม M&A และนวัตกรรมที่เร่งด้วย AI สำหรับ CISO และวิศวกรความปลอดภัย การรักษาภาพรวมของความเสี่ยงขององค์กรที่ครอบคลุมและได้รับการตรวจสอบแล้วได้กลายเป็นความท้าทายที่ยากจะแก้ไขได้ รูปแบบที่เกิดขึ้นซ้ำๆ ที่สังเกตได้จากการวิเคราะห์เหตุการณ์ล่าสุดเผยให้เห็นจุดบอดที่สำคัญ: ช่องโหว่ที่ยังคงอยู่ผ่านการตรวจสอบแบบดั้งเดิมมักจะถูกค้นพบโดยการแข่งขันด้านความปลอดภัยแบบ crowdsourced
เกิดอะไรขึ้น
ในภาคส่วนต่างๆ องค์กรที่พึ่งพาเพียงการทดสอบเจาะระบบแบบเดิมและการตรวจสอบภายในได้พบว่าตนเองตกอยู่ในความเสี่ยง เหตุการณ์เหล่านี้มักเกี่ยวข้องกับช่องโหว่ที่สำคัญที่อยู่ในระบบ แอปพลิเคชัน หรือเครือข่ายที่เคยถูกพิจารณาว่าปลอดภัย จุดร่วมคือข้อบกพร่องเหล่านี้ถูกระบุและใช้ประโยชน์ในภายหลังในระหว่างการแข่งขันด้านความปลอดภัยแบบ crowdsourced ซึ่งเผยให้เห็นความไม่สอดคล้องกันระหว่างสถานะความปลอดภัยที่รับรู้และสถานะความปลอดภัยที่แท้จริง รูปแบบนี้เน้นย้ำถึงข้อจำกัดของการปฏิบัติตามข้อกำหนดแบบ ณ จุดเวลา และความจำเป็นในการตรวจสอบเชิงรุกที่นำโดยมนุษย์อย่างต่อเนื่อง
ความปลอดภัยแบบ Crowdsourced รวมถึงโปรแกรม Bug Bounty และการทดสอบเจาะระบบแบบ crowdsourced ไม่ใช่แนวคิดเชิงทดลองอีกต่อไป หลายองค์กรได้รวมโปรแกรมเหล่านี้เข้าเป็นองค์ประกอบหลักของกลยุทธ์ด้านความปลอดภัยของตน แนวทางนี้สะท้อนให้เห็นถึงการยอมรับที่เพิ่มขึ้นในอุตสาหกรรมถึงประสิทธิภาพของการใช้ประโยชน์จากกลุ่มแฮกเกอร์ที่มีจริยธรรมทั่วโลก
ทำไมรูปแบบนี้จึงเกิดขึ้นซ้ำๆ
เหตุผลหลักที่รูปแบบนี้ยังคงอยู่คือข้อจำกัดโดยธรรมชาติของการประเมินความปลอดภัยแบบดั้งเดิม วิธีการเหล่านี้มักให้ภาพรวม ณ จุดเวลาเท่านั้น ซึ่งล้าสมัยอย่างรวดเร็วเมื่อพื้นผิวการโจมตีพัฒนาไป นอกจากนี้ ทีมภายในและผู้ตรวจสอบภายนอกจำนวนจำกัด ไม่ว่าจะมีความเชี่ยวชาญเพียงใด ก็มีขีดความสามารถและมุมมองที่จำกัด พวกเขามักถูกจำกัดด้วยขอบเขต เวลา และงบประมาณ ทำให้ยากที่จะครอบคลุมพื้นผิวการโจมตีที่เปลี่ยนแปลงตลอดเวลาได้อย่างมีประสิทธิภาพ
สินทรัพย์ใหม่จากการขยายตัว, Shadow IT และวงจรการพัฒนาที่รวดเร็วปรากฏขึ้นอย่างต่อเนื่อง ขยายพื้นผิวการโจมตีได้เร็วกว่าที่ทีมรักษาความปลอดภัยจะติดตามได้ เครื่องมือรักษาความปลอดภัยที่มีอยู่มักจะทำงานแยกส่วน — การค้นพบที่นี่ การสแกนที่นั่น การทดสอบเชิงรุกที่อื่น การแยกส่วนนี้ขัดขวางมุมมองที่รวมกันและนำไปปฏิบัติได้จริงว่าองค์กรเป็นเจ้าของอะไรอย่างแท้จริงและเผชิญกับความเสี่ยงอะไรบ้าง หากไม่มีการตรวจสอบอย่างต่อเนื่องจากการทดสอบเชิงรุกที่หลากหลายและนำโดยมนุษย์ การมองเห็นเพียงอย่างเดียวไม่เพียงพอที่จะลดความเสี่ยง
การตรวจสอบแบบดั้งเดิม แม้จะจำเป็นสำหรับการปฏิบัติตามข้อกำหนด แต่ก็มักจะขาดความกว้าง ความลึก และลักษณะที่ต่อเนื่องที่จำเป็นในการระบุช่องโหว่ที่ซับซ้อนในภูมิทัศน์ภัยคุกคามที่พัฒนาอย่างรวดเร็ว
กลยุทธ์ของผู้โจมตีแบบทีละขั้นตอน
กลยุทธ์ของผู้โจมตีโดยทั่วไป ในสถานการณ์ที่ความปลอดภัยแบบ crowdsourced พบช่องโหว่ในภายหลัง มักจะเริ่มต้นด้วยการสอดแนม ซึ่งเกี่ยวข้องกับการทำแผนที่พื้นผิวการโจมตีภายนอกของเป้าหมาย การระบุสินทรัพย์ที่เปิดเผยต่อสาธารณะ และการทำความเข้าใจโครงสร้างทางเทคโนโลยีของพวกเขา ผู้โจมตีใช้เครื่องมืออัตโนมัติ แต่ที่สำคัญคือรวมเข้ากับการวิเคราะห์ด้วยตนเองเพื่อค้นหาการกำหนดค่าที่ไม่ถูกต้องเล็กน้อยหรือข้อผิดพลาดทางตรรกะที่เครื่องสแกนอัตโนมัติพลาดไป จากนั้นพวกเขาก็จะดำเนินการระบุจุดเข้าใช้งานที่เป็นไปได้ โดยมักจะมุ่งเน้นไปที่เว็บแอปพลิเคชัน API และบริการเครือข่าย
เมื่อระบุช่องโหว่ที่เป็นไปได้แล้ว ผู้โจมตีจะสร้างช่องโหว่เฉพาะเจาะจง ขั้นตอนนี้ต้องการความคิดสร้างสรรค์และความเข้าใจอย่างลึกซึ้งเกี่ยวกับเทคนิคการใช้ประโยชน์ ซึ่งมักจะเกินกว่า CVE ทั่วไปเพื่อค้นหาช่องโหว่ Zero-day หรือ N-day ที่ยังไม่เป็นที่รู้จักหรือได้รับการแก้ไขอย่างกว้างขวาง ขั้นตอนสุดท้ายเกี่ยวข้องกับการใช้ประโยชน์ การเข้าถึงโดยไม่ได้รับอนุญาต และการแสดงผลกระทบ ซึ่งอาจมีตั้งแต่การรั่วไหลของข้อมูลไปจนถึงการโจมตีระบบทั้งหมด วิธีการที่เป็นระบบและมักจะคงอยู่นี้แตกต่างอย่างสิ้นเชิงกับขอบเขตและระยะเวลาที่จำกัดของการประเมินความปลอดภัยแบบดั้งเดิมหลายครั้ง
สิ่งที่ผู้ป้องกันพลาดไป
ผู้ป้องกัน ในกรณีเหล่านี้ ส่วนใหญ่พลาดมุมมองเชิงรุกที่ต่อเนื่อง ครอบคลุม และหลากหลายที่ความปลอดภัยแบบ crowdsourced นำเสนอ พวกเขามักจะพึ่งพาการตรวจสอบภายในหรือการทดสอบเจาะระบบแบบดั้งเดิม ซึ่งแม้จะมีคุณค่า แต่ก็มีข้อจำกัดโดยธรรมชาติในขอบเขตและระยะเวลา แนวทางแบบเดิมเหล่านี้มักจะล้มเหลวในการพิจารณาลักษณะแบบไดนามิกของพื้นผิวการโจมตี ซึ่งสินทรัพย์และการกำหนดค่าใหม่ๆ นำมาซึ่งช่องโหว่ใหม่ๆ ทุกวัน
นอกจากนี้ ลักษณะการทำงานแยกส่วนของเครื่องมือรักษาความปลอดภัยจำนวนมากหมายความว่าทีมรักษาความปลอดภัยใช้เวลาอันมีค่าไปกับการกระทบยอดรายการสินค้าคงคลังด้วยตนเอง และพยายามจัดลำดับความสำคัญของความเสี่ยงโดยไม่มีมุมมองเดียวที่เชื่อถือได้ สิ่งนี้นำไปสู่ท่าทีเชิงรับ ซึ่งช่องโหว่ที่สำคัญจะถูกค้นพบหลังจากเกิดเหตุการณ์ หรือในรูปแบบนี้ โดยความพยายามด้านความปลอดภัยเชิงรุกภายนอกที่ละเอียดถี่ถ้วนยิ่งขึ้น การขาดการรับประกันอย่างต่อเนื่อง ซึ่งถูกแทนที่ด้วยการปฏิบัติตามข้อกำหนดแบบ ณ จุดเวลา ทิ้งช่องว่างที่สำคัญไว้
รายการตรวจสอบการป้องกันเชิงปฏิบัติ
เพื่อลดความเสี่ยงของช่องโหว่ที่การตรวจสอบแบบดั้งเดิมพลาดไป CISO และวิศวกรความปลอดภัยควรพิจารณาการดำเนินการต่อไปนี้:
- ใช้การจัดการพื้นผิวการโจมตีอย่างต่อเนื่อง: ค้นหาและทำแผนที่สินทรัพย์ที่เปิดเผยต่อภายนอกทั้งหมดอย่างสม่ำเสมอ รวมถึง Shadow IT
- รวมการทดสอบเจาะระบบแบบ Crowdsourced: เสริมการทดสอบเจาะระบบแบบดั้งเดิมด้วยโปรแกรม crowdsourced ที่กำลังดำเนินอยู่เพื่อใช้ประโยชน์จากกลุ่มแฮกเกอร์ที่มีจริยธรรมทั่วโลก
- จัดตั้งโปรแกรม Bug Bounty: จูงใจนักวิจัยอิสระให้ค้นหาและรายงานช่องโหว่ก่อนที่ผู้ไม่หวังดีจะทำ
- จัดลำดับความสำคัญของข้อมูลข่าวกรองที่นำไปปฏิบัติได้: มุ่งเน้นไปที่การตรวจสอบสิ่งที่สามารถใช้ประโยชน์ได้จริง แทนที่จะเพียงแค่ระบุช่องโหว่ที่เป็นไปได้
- ทำลายไซโลเครื่องมือ: มุ่งมั่นเพื่อแพลตฟอร์มแบบครบวงจรที่รวมผลการค้นพบ การสแกน และการทดสอบเชิงรุกเพื่อมุมมองความเสี่ยงที่ครอบคลุม
- นำกลยุทธ์การลดความเสี่ยงเชิงรุกมาใช้: ก้าวข้ามการตอบสนองเชิงรับไปสู่การตรวจสอบความปลอดภัยเชิงรุกที่นำโดยมนุษย์อย่างต่อเนื่อง
- ทบทวนและปรับปรุงนโยบายความปลอดภัยอย่างสม่ำเสมอ: ตรวจสอบให้แน่ใจว่านโยบายสะท้อนถึงลักษณะพลวัตของภูมิทัศน์ภัยคุกคามและรวมวิธีการทดสอบเชิงรุกที่ทันสมัยเข้าไว้ด้วย
การทดสอบเชิงรุกสมัยใหม่จะจับสิ่งนี้ได้อย่างไร
การทดสอบเชิงรุกสมัยใหม่ โดยเฉพาะอย่างยิ่งผ่านโมเดล crowdsourced ได้รับการออกแบบมาเพื่อแก้ไขข้อบกพร่องของการตรวจสอบแบบดั้งเดิม แตกต่างจากวิธีการทั่วไป การทดสอบเจาะระบบแบบ crowdsourced ใช้ประโยชน์จากกลุ่มแฮกเกอร์ที่มีจริยธรรมและผู้เชี่ยวชาญด้านความปลอดภัยที่หลากหลายทั่วโลก ความหลากหลายนี้นำมาซึ่งทักษะ มุมมอง และความเชี่ยวชาญที่หลากหลายมากขึ้นมาใช้กับระบบ แอปพลิเคชัน และเครือข่ายขององค์กร
แพลตฟอร์มที่นำเสนอการทดสอบเชิงรุกอัตโนมัติพร้อม Proofs of Concept (PoCs) ที่สามารถดำเนินการได้แสดงถึงวิวัฒนาการต่อไป ตัวอย่างเช่น แพลตฟอร์มรวมการตรวจสอบพื้นผิวการโจมตีอย่างต่อเนื่องเข้ากับความสามารถในการทดสอบเชิงรุกที่นำโดยมนุษย์ แนวทางนี้ช่วยให้ทีมรักษาความปลอดภัยสามารถตรวจสอบพื้นผิวการโจมตีภายนอกได้อย่างต่อเนื่อง สแกนหาช่องโหว่ที่อาจเกิดขึ้น และที่สำคัญคือตรวจสอบสิ่งที่สามารถใช้ประโยชน์ได้จริงด้วยการทดสอบเชิงรุกที่นำโดยมนุษย์ สิ่งนี้ให้การรับประกันอย่างต่อเนื่อง ก้าวข้ามเพียงการมองเห็นไปสู่ข้อมูลข่าวกรองที่นำไปปฏิบัติได้จริง ช่วยให้องค์กรสามารถจัดลำดับความสำคัญของความเสี่ยงตามสิ่งที่สำคัญอย่างแท้จริง และจับช่องโหว่ที่การตรวจสอบอาจพลาดไป
สิ่งที่ต้องจับตาดูต่อไป
แนวโน้มสู่ความปลอดภัยแบบ crowdsourced กำลังเร่งตัวขึ้น ตลาดสำหรับการทดสอบเจาะระบบแบบ crowdsourced คาดว่าจะมีการเติบโตอย่างมีนัยสำคัญ องค์กรต่างๆ ตระหนักมากขึ้นว่าความปลอดภัยแบบ crowdsourced ได้รับการพิสูจน์แล้ว ไม่ใช่การทดลอง และกำลังรวมโปรแกรม Bug Bounty เข้าเป็นชั้นหลักในกลยุทธ์ด้านความปลอดภัยของตน จุดเน้นจะเปลี่ยนไปสู่การรวมข้อมูลข่าวกรองพื้นผิวการโจมตีอย่างต่อเนื่องเข้ากับการทดสอบเชิงรุกที่นำโดยมนุษย์ โซลูชันที่ช่วยให้ทีมรักษาความปลอดภัยสามารถตรวจสอบ สแกน และตรวจสอบความเสี่ยงที่ใช้ประโยชน์ได้จริงอย่างต่อเนื่องมีความสำคัญมากขึ้นเรื่อยๆ อนาคตของความปลอดภัยเชิงรุกจะเกี่ยวข้องกับการผสมผสานระหว่างระบบอัตโนมัติเพื่อขนาดและความเฉลียวฉลาดของมนุษย์เพื่อความลึก ทำให้มั่นใจได้ว่าองค์กรสามารถนำหน้าภูมิทัศน์ภัยคุกคามที่พัฒนาอยู่ตลอดเวลาและลดความเสี่ยงเชิงรุกได้
บทความที่เกี่ยวข้อง

เมื่อการแข่งขันเผยให้เห็นหายนะ: คู่มือ CISO สำหรับข้อบกพร่องของผู้จำหน่ายจากการแข่งขันแฮกเกอร์
การแข่งขันแฮกเกอร์และกิจกรรมที่คล้ายกันกำลังเปิดเผยช่องโหว่ที่สำคัญในซอฟต์แวร์และโครงสร้างพื้นฐานขององค์กรที่ใช้งานอย่างแพร่หลาย บทความนี้จะเจาะลึกรูปแบบที่เกิดขึ้นซ้ำๆ ผลกระทบต่อ CISO และกลยุทธ์สำหรับการป้องกันเชิงรุก

เมื่อทีม Red Team แบบ Crowdsourced เปิดเผยช่องโหว่ RCE ที่สำคัญใน SaaS
เหตุการณ์ล่าสุดที่ทีม Red Team แบบ Crowdsourced ค้นพบช่องโหว่ RCE ที่สำคัญในแพลตฟอร์ม SaaS ชั้นนำ หลังจากที่การตรวจสอบภายในผ่านไปสองปี เน้นย้ำถึงช่องว่างที่ยังคงมีอยู่ในการรักษาความปลอดภัยขององค์กร นี่ไม่ใช่เหตุการณ์โดดเดี่ยว แต่เป็นรูปแบบที่เกิดขึ้นซ้ำ ๆ ซึ่งเรียกร้องให้มีการประเมินกลยุทธ์การป้องกันและระเบียบวิธีทดสอบเชิงรุกของเราใหม่
