ทดลองใช้ฟรี 7 วันในทุกแพลน · จำเป็นต้องใช้อีเมลบริษัท · ไม่มีค่าใช้จ่ายในช่วง 7 วันแรกเริ่มทดลองใช้งาน →
บทความทั้งหมด
การแข่งขัน13 กรกฎาคม 2569 5 นาทีในการอ่าน

เมื่อฝูงชนพบสิ่งที่การตรวจสอบพลาด: เจาะลึกการค้นพบช่องโหว่สมัยใหม่

การตรวจสอบความปลอดภัยแบบดั้งเดิมล้มเหลวในการตามให้ทันกับพื้นผิวการโจมตีที่ขยายตัวมากขึ้นเรื่อยๆ เหตุการณ์ล่าสุดเน้นย้ำถึงช่องว่างที่สำคัญที่ถูกเติมเต็มโดยการแข่งขันด้านความปลอดภัยแบบ crowdsourced ซึ่งค้นพบช่องโหว่ที่วิธีการทั่วไปมองข้ามไปอย่างสม่ำเสมอ

แชร์XLinkedIn
เมื่อฝูงชนพบสิ่งที่การตรวจสอบพลาด: เจาะลึกการค้นพบช่องโหว่สมัยใหม่

ภูมิทัศน์ความมั่นคงทางไซเบอร์มีการเปลี่ยนแปลงอยู่ตลอดเวลา โดยมีลักษณะเฉพาะคือพื้นผิวการโจมตีที่ขยายตัวอย่างต่อเนื่อง ซึ่งขับเคลื่อนโดยวงจรการพัฒนาที่รวดเร็ว, Shadow IT, กิจกรรม M&A และนวัตกรรมที่เร่งด้วย AI สำหรับ CISO และวิศวกรความปลอดภัย การรักษาภาพรวมของความเสี่ยงขององค์กรที่ครอบคลุมและได้รับการตรวจสอบแล้วได้กลายเป็นความท้าทายที่ยากจะแก้ไขได้ รูปแบบที่เกิดขึ้นซ้ำๆ ที่สังเกตได้จากการวิเคราะห์เหตุการณ์ล่าสุดเผยให้เห็นจุดบอดที่สำคัญ: ช่องโหว่ที่ยังคงอยู่ผ่านการตรวจสอบแบบดั้งเดิมมักจะถูกค้นพบโดยการแข่งขันด้านความปลอดภัยแบบ crowdsourced

เกิดอะไรขึ้น

ในภาคส่วนต่างๆ องค์กรที่พึ่งพาเพียงการทดสอบเจาะระบบแบบเดิมและการตรวจสอบภายในได้พบว่าตนเองตกอยู่ในความเสี่ยง เหตุการณ์เหล่านี้มักเกี่ยวข้องกับช่องโหว่ที่สำคัญที่อยู่ในระบบ แอปพลิเคชัน หรือเครือข่ายที่เคยถูกพิจารณาว่าปลอดภัย จุดร่วมคือข้อบกพร่องเหล่านี้ถูกระบุและใช้ประโยชน์ในภายหลังในระหว่างการแข่งขันด้านความปลอดภัยแบบ crowdsourced ซึ่งเผยให้เห็นความไม่สอดคล้องกันระหว่างสถานะความปลอดภัยที่รับรู้และสถานะความปลอดภัยที่แท้จริง รูปแบบนี้เน้นย้ำถึงข้อจำกัดของการปฏิบัติตามข้อกำหนดแบบ ณ จุดเวลา และความจำเป็นในการตรวจสอบเชิงรุกที่นำโดยมนุษย์อย่างต่อเนื่อง

ความปลอดภัยแบบ Crowdsourced รวมถึงโปรแกรม Bug Bounty และการทดสอบเจาะระบบแบบ crowdsourced ไม่ใช่แนวคิดเชิงทดลองอีกต่อไป หลายองค์กรได้รวมโปรแกรมเหล่านี้เข้าเป็นองค์ประกอบหลักของกลยุทธ์ด้านความปลอดภัยของตน แนวทางนี้สะท้อนให้เห็นถึงการยอมรับที่เพิ่มขึ้นในอุตสาหกรรมถึงประสิทธิภาพของการใช้ประโยชน์จากกลุ่มแฮกเกอร์ที่มีจริยธรรมทั่วโลก

ทำไมรูปแบบนี้จึงเกิดขึ้นซ้ำๆ

เหตุผลหลักที่รูปแบบนี้ยังคงอยู่คือข้อจำกัดโดยธรรมชาติของการประเมินความปลอดภัยแบบดั้งเดิม วิธีการเหล่านี้มักให้ภาพรวม ณ จุดเวลาเท่านั้น ซึ่งล้าสมัยอย่างรวดเร็วเมื่อพื้นผิวการโจมตีพัฒนาไป นอกจากนี้ ทีมภายในและผู้ตรวจสอบภายนอกจำนวนจำกัด ไม่ว่าจะมีความเชี่ยวชาญเพียงใด ก็มีขีดความสามารถและมุมมองที่จำกัด พวกเขามักถูกจำกัดด้วยขอบเขต เวลา และงบประมาณ ทำให้ยากที่จะครอบคลุมพื้นผิวการโจมตีที่เปลี่ยนแปลงตลอดเวลาได้อย่างมีประสิทธิภาพ

สินทรัพย์ใหม่จากการขยายตัว, Shadow IT และวงจรการพัฒนาที่รวดเร็วปรากฏขึ้นอย่างต่อเนื่อง ขยายพื้นผิวการโจมตีได้เร็วกว่าที่ทีมรักษาความปลอดภัยจะติดตามได้ เครื่องมือรักษาความปลอดภัยที่มีอยู่มักจะทำงานแยกส่วน — การค้นพบที่นี่ การสแกนที่นั่น การทดสอบเชิงรุกที่อื่น การแยกส่วนนี้ขัดขวางมุมมองที่รวมกันและนำไปปฏิบัติได้จริงว่าองค์กรเป็นเจ้าของอะไรอย่างแท้จริงและเผชิญกับความเสี่ยงอะไรบ้าง หากไม่มีการตรวจสอบอย่างต่อเนื่องจากการทดสอบเชิงรุกที่หลากหลายและนำโดยมนุษย์ การมองเห็นเพียงอย่างเดียวไม่เพียงพอที่จะลดความเสี่ยง

การตรวจสอบแบบดั้งเดิม แม้จะจำเป็นสำหรับการปฏิบัติตามข้อกำหนด แต่ก็มักจะขาดความกว้าง ความลึก และลักษณะที่ต่อเนื่องที่จำเป็นในการระบุช่องโหว่ที่ซับซ้อนในภูมิทัศน์ภัยคุกคามที่พัฒนาอย่างรวดเร็ว

กลยุทธ์ของผู้โจมตีแบบทีละขั้นตอน

กลยุทธ์ของผู้โจมตีโดยทั่วไป ในสถานการณ์ที่ความปลอดภัยแบบ crowdsourced พบช่องโหว่ในภายหลัง มักจะเริ่มต้นด้วยการสอดแนม ซึ่งเกี่ยวข้องกับการทำแผนที่พื้นผิวการโจมตีภายนอกของเป้าหมาย การระบุสินทรัพย์ที่เปิดเผยต่อสาธารณะ และการทำความเข้าใจโครงสร้างทางเทคโนโลยีของพวกเขา ผู้โจมตีใช้เครื่องมืออัตโนมัติ แต่ที่สำคัญคือรวมเข้ากับการวิเคราะห์ด้วยตนเองเพื่อค้นหาการกำหนดค่าที่ไม่ถูกต้องเล็กน้อยหรือข้อผิดพลาดทางตรรกะที่เครื่องสแกนอัตโนมัติพลาดไป จากนั้นพวกเขาก็จะดำเนินการระบุจุดเข้าใช้งานที่เป็นไปได้ โดยมักจะมุ่งเน้นไปที่เว็บแอปพลิเคชัน API และบริการเครือข่าย

เมื่อระบุช่องโหว่ที่เป็นไปได้แล้ว ผู้โจมตีจะสร้างช่องโหว่เฉพาะเจาะจง ขั้นตอนนี้ต้องการความคิดสร้างสรรค์และความเข้าใจอย่างลึกซึ้งเกี่ยวกับเทคนิคการใช้ประโยชน์ ซึ่งมักจะเกินกว่า CVE ทั่วไปเพื่อค้นหาช่องโหว่ Zero-day หรือ N-day ที่ยังไม่เป็นที่รู้จักหรือได้รับการแก้ไขอย่างกว้างขวาง ขั้นตอนสุดท้ายเกี่ยวข้องกับการใช้ประโยชน์ การเข้าถึงโดยไม่ได้รับอนุญาต และการแสดงผลกระทบ ซึ่งอาจมีตั้งแต่การรั่วไหลของข้อมูลไปจนถึงการโจมตีระบบทั้งหมด วิธีการที่เป็นระบบและมักจะคงอยู่นี้แตกต่างอย่างสิ้นเชิงกับขอบเขตและระยะเวลาที่จำกัดของการประเมินความปลอดภัยแบบดั้งเดิมหลายครั้ง

สิ่งที่ผู้ป้องกันพลาดไป

ผู้ป้องกัน ในกรณีเหล่านี้ ส่วนใหญ่พลาดมุมมองเชิงรุกที่ต่อเนื่อง ครอบคลุม และหลากหลายที่ความปลอดภัยแบบ crowdsourced นำเสนอ พวกเขามักจะพึ่งพาการตรวจสอบภายในหรือการทดสอบเจาะระบบแบบดั้งเดิม ซึ่งแม้จะมีคุณค่า แต่ก็มีข้อจำกัดโดยธรรมชาติในขอบเขตและระยะเวลา แนวทางแบบเดิมเหล่านี้มักจะล้มเหลวในการพิจารณาลักษณะแบบไดนามิกของพื้นผิวการโจมตี ซึ่งสินทรัพย์และการกำหนดค่าใหม่ๆ นำมาซึ่งช่องโหว่ใหม่ๆ ทุกวัน

นอกจากนี้ ลักษณะการทำงานแยกส่วนของเครื่องมือรักษาความปลอดภัยจำนวนมากหมายความว่าทีมรักษาความปลอดภัยใช้เวลาอันมีค่าไปกับการกระทบยอดรายการสินค้าคงคลังด้วยตนเอง และพยายามจัดลำดับความสำคัญของความเสี่ยงโดยไม่มีมุมมองเดียวที่เชื่อถือได้ สิ่งนี้นำไปสู่ท่าทีเชิงรับ ซึ่งช่องโหว่ที่สำคัญจะถูกค้นพบหลังจากเกิดเหตุการณ์ หรือในรูปแบบนี้ โดยความพยายามด้านความปลอดภัยเชิงรุกภายนอกที่ละเอียดถี่ถ้วนยิ่งขึ้น การขาดการรับประกันอย่างต่อเนื่อง ซึ่งถูกแทนที่ด้วยการปฏิบัติตามข้อกำหนดแบบ ณ จุดเวลา ทิ้งช่องว่างที่สำคัญไว้

รายการตรวจสอบการป้องกันเชิงปฏิบัติ

เพื่อลดความเสี่ยงของช่องโหว่ที่การตรวจสอบแบบดั้งเดิมพลาดไป CISO และวิศวกรความปลอดภัยควรพิจารณาการดำเนินการต่อไปนี้:

  • ใช้การจัดการพื้นผิวการโจมตีอย่างต่อเนื่อง: ค้นหาและทำแผนที่สินทรัพย์ที่เปิดเผยต่อภายนอกทั้งหมดอย่างสม่ำเสมอ รวมถึง Shadow IT
  • รวมการทดสอบเจาะระบบแบบ Crowdsourced: เสริมการทดสอบเจาะระบบแบบดั้งเดิมด้วยโปรแกรม crowdsourced ที่กำลังดำเนินอยู่เพื่อใช้ประโยชน์จากกลุ่มแฮกเกอร์ที่มีจริยธรรมทั่วโลก
  • จัดตั้งโปรแกรม Bug Bounty: จูงใจนักวิจัยอิสระให้ค้นหาและรายงานช่องโหว่ก่อนที่ผู้ไม่หวังดีจะทำ
  • จัดลำดับความสำคัญของข้อมูลข่าวกรองที่นำไปปฏิบัติได้: มุ่งเน้นไปที่การตรวจสอบสิ่งที่สามารถใช้ประโยชน์ได้จริง แทนที่จะเพียงแค่ระบุช่องโหว่ที่เป็นไปได้
  • ทำลายไซโลเครื่องมือ: มุ่งมั่นเพื่อแพลตฟอร์มแบบครบวงจรที่รวมผลการค้นพบ การสแกน และการทดสอบเชิงรุกเพื่อมุมมองความเสี่ยงที่ครอบคลุม
  • นำกลยุทธ์การลดความเสี่ยงเชิงรุกมาใช้: ก้าวข้ามการตอบสนองเชิงรับไปสู่การตรวจสอบความปลอดภัยเชิงรุกที่นำโดยมนุษย์อย่างต่อเนื่อง
  • ทบทวนและปรับปรุงนโยบายความปลอดภัยอย่างสม่ำเสมอ: ตรวจสอบให้แน่ใจว่านโยบายสะท้อนถึงลักษณะพลวัตของภูมิทัศน์ภัยคุกคามและรวมวิธีการทดสอบเชิงรุกที่ทันสมัยเข้าไว้ด้วย

การทดสอบเชิงรุกสมัยใหม่จะจับสิ่งนี้ได้อย่างไร

การทดสอบเชิงรุกสมัยใหม่ โดยเฉพาะอย่างยิ่งผ่านโมเดล crowdsourced ได้รับการออกแบบมาเพื่อแก้ไขข้อบกพร่องของการตรวจสอบแบบดั้งเดิม แตกต่างจากวิธีการทั่วไป การทดสอบเจาะระบบแบบ crowdsourced ใช้ประโยชน์จากกลุ่มแฮกเกอร์ที่มีจริยธรรมและผู้เชี่ยวชาญด้านความปลอดภัยที่หลากหลายทั่วโลก ความหลากหลายนี้นำมาซึ่งทักษะ มุมมอง และความเชี่ยวชาญที่หลากหลายมากขึ้นมาใช้กับระบบ แอปพลิเคชัน และเครือข่ายขององค์กร

แพลตฟอร์มที่นำเสนอการทดสอบเชิงรุกอัตโนมัติพร้อม Proofs of Concept (PoCs) ที่สามารถดำเนินการได้แสดงถึงวิวัฒนาการต่อไป ตัวอย่างเช่น แพลตฟอร์มรวมการตรวจสอบพื้นผิวการโจมตีอย่างต่อเนื่องเข้ากับความสามารถในการทดสอบเชิงรุกที่นำโดยมนุษย์ แนวทางนี้ช่วยให้ทีมรักษาความปลอดภัยสามารถตรวจสอบพื้นผิวการโจมตีภายนอกได้อย่างต่อเนื่อง สแกนหาช่องโหว่ที่อาจเกิดขึ้น และที่สำคัญคือตรวจสอบสิ่งที่สามารถใช้ประโยชน์ได้จริงด้วยการทดสอบเชิงรุกที่นำโดยมนุษย์ สิ่งนี้ให้การรับประกันอย่างต่อเนื่อง ก้าวข้ามเพียงการมองเห็นไปสู่ข้อมูลข่าวกรองที่นำไปปฏิบัติได้จริง ช่วยให้องค์กรสามารถจัดลำดับความสำคัญของความเสี่ยงตามสิ่งที่สำคัญอย่างแท้จริง และจับช่องโหว่ที่การตรวจสอบอาจพลาดไป

สิ่งที่ต้องจับตาดูต่อไป

แนวโน้มสู่ความปลอดภัยแบบ crowdsourced กำลังเร่งตัวขึ้น ตลาดสำหรับการทดสอบเจาะระบบแบบ crowdsourced คาดว่าจะมีการเติบโตอย่างมีนัยสำคัญ องค์กรต่างๆ ตระหนักมากขึ้นว่าความปลอดภัยแบบ crowdsourced ได้รับการพิสูจน์แล้ว ไม่ใช่การทดลอง และกำลังรวมโปรแกรม Bug Bounty เข้าเป็นชั้นหลักในกลยุทธ์ด้านความปลอดภัยของตน จุดเน้นจะเปลี่ยนไปสู่การรวมข้อมูลข่าวกรองพื้นผิวการโจมตีอย่างต่อเนื่องเข้ากับการทดสอบเชิงรุกที่นำโดยมนุษย์ โซลูชันที่ช่วยให้ทีมรักษาความปลอดภัยสามารถตรวจสอบ สแกน และตรวจสอบความเสี่ยงที่ใช้ประโยชน์ได้จริงอย่างต่อเนื่องมีความสำคัญมากขึ้นเรื่อยๆ อนาคตของความปลอดภัยเชิงรุกจะเกี่ยวข้องกับการผสมผสานระหว่างระบบอัตโนมัติเพื่อขนาดและความเฉลียวฉลาดของมนุษย์เพื่อความลึก ทำให้มั่นใจได้ว่าองค์กรสามารถนำหน้าภูมิทัศน์ภัยคุกคามที่พัฒนาอยู่ตลอดเวลาและลดความเสี่ยงเชิงรุกได้

แชร์XLinkedIn

บทความที่เกี่ยวข้อง

การแข่งขัน

เมื่อการแข่งขันเผยให้เห็นหายนะ: คู่มือ CISO สำหรับข้อบกพร่องของผู้จำหน่ายจากการแข่งขันแฮกเกอร์

การแข่งขันแฮกเกอร์และกิจกรรมที่คล้ายกันกำลังเปิดเผยช่องโหว่ที่สำคัญในซอฟต์แวร์และโครงสร้างพื้นฐานขององค์กรที่ใช้งานอย่างแพร่หลาย บทความนี้จะเจาะลึกรูปแบบที่เกิดขึ้นซ้ำๆ ผลกระทบต่อ CISO และกลยุทธ์สำหรับการป้องกันเชิงรุก

12 ก.ค. 25697 นาทีในการอ่าน
การแข่งขัน

เมื่อทีม Red Team แบบ Crowdsourced เปิดเผยช่องโหว่ RCE ที่สำคัญใน SaaS

เหตุการณ์ล่าสุดที่ทีม Red Team แบบ Crowdsourced ค้นพบช่องโหว่ RCE ที่สำคัญในแพลตฟอร์ม SaaS ชั้นนำ หลังจากที่การตรวจสอบภายในผ่านไปสองปี เน้นย้ำถึงช่องว่างที่ยังคงมีอยู่ในการรักษาความปลอดภัยขององค์กร นี่ไม่ใช่เหตุการณ์โดดเดี่ยว แต่เป็นรูปแบบที่เกิดขึ้นซ้ำ ๆ ซึ่งเรียกร้องให้มีการประเมินกลยุทธ์การป้องกันและระเบียบวิธีทดสอบเชิงรุกของเราใหม่

15 มี.ค. 25697 นาทีในการอ่าน