รู้จักกับ SecIron ผู้เชี่ยวชาญด้านการปกป้องแอปพลิเคชันมือถือระดับองค์กร
มือถือไม่ได้เพียงแค่อุปกรณ์เสริมชิ้นหนึ่งอีกต่อไป เพราะปัจจุบันผู้คนทำกิจกรรมส่วนใหญ่ผ่านมือถือ เช่น การเรียนออนไลน์ ประชุมงาน เล่นเกม ดูหนัง ซื้อของออนไลน์ ชำระค่าบริการ และอื่นๆ ซึ่งกล่าวได้ว่ากิจกรรมในชีวิตประจำวันเกือบทั้งวันเกิดขึ้นผ่านอุปกรณ์พกพาขนาดเล็กนี้ เสมือนเป็นส่วนหนึ่งของร่างกายที่ขาดไม่ได้
ในทางกลับกันการที่มือถือมีบทบาทสำคัญต่อการดำเนินชีวิต ก็นำมาซึ่งภัยคุกคามเช่นกัน แต่กลายเป็นว่าน้อยคนนักที่จะตระหนักถึงความเสี่ยง ยกตัวอย่างคำถามง่ายๆ ว่าจะมีสักกี่คนที่ติดตั้งโปรแกรมป้องกันมัลแวร์บนมือถือ แต่นั่นเป็นเพียงมุมมองในฝั่งผู้ใช้งานทั่วไปเท่านั้น
ในมุมของผู้พัฒนาเแอปพลิเคชันระดับองค์กร การตระหนักถึงความมั่นคงปลอดภัยตั้งแต่ต้นน้ำของการพัฒนาแอปพลิเคชัน มีส่วนสำคัญอย่างมากที่จะช่วยลดความเสี่ยงของการถูกโจมตี โดยการปฏิบัติตาม Best Practice แต่ก็เป็นเรื่องที่ทำได้ไม่ง่ายนัก ซึ่งผู้พัฒนาแอปกำหนดวาระนี้ไว้เป็นหมวดหนึ่งในแนวทางการพัฒนาแต่แรก ด้วยเหตุนี้เอง SecIron จึงได้นำเสนอโซลูชัน Mobile Application Security ที่จะช่วยให้งานนี้ทำได้ง่ายขึ้น ภายในบทความเราจะพูดถึงโซลูชันของ SecIron ว่าจะช่วยท่านแก้ปัญหาที่กล่าวมาได้อย่างไร
ความสำคัญของแอปพลิเคชันบนมือถือ
หลายปีที่ผ่านมาสถิติการโจมตีทางไซเบอร์เพิ่มจำนวนขึ้นอย่างทวีคูณ ซึ่งสถิติของภัยคุกคามผ่านทางมือถือก็สอดคล้องกับภาพรวมนั้น โดยเฉพาะจำนวนของมัลแวร์และความหลากหลายของสายพันธุ์ที่มากขึ้น แต่มัลแวร์ไม่ใช่แค่อันตรายเดียวที่ผู้ใช้งานมือถือต้องเผชิญ อัตราการถูกหลอกลวง การปลอมแปลงแอปพลิเคชัน หรือการลอบขโมยข้อมูลก็เพิ่มสูงเช่นกัน
สำหรับองค์กรที่มีการพัฒนาแอปพลิเคชันมือถือหรือผู้พัฒนาแอปพลิเคชัน การที่แอปพลิเคชันของท่านมีช่องโหว่จนนำไปสู่เหตุการณ์ข้อมูลรั่วไหล หรือเป็นต้นเหตุให้เกิดความเสียหาย ย่อมส่งผลต่อความน่าเชื่อถือ ภาพลักษณ์ของการดำเนินธุรกิจ หรือผลกำไรไม่มากก็น้อย ซึ่งแอปพลิเคชันกำลังเป็นช่องทางบริการหลักในหลายธุรกิจ เช่น แอปพลิเคชันซื้อขาย แอปพลิเคชันธนาคาร และอื่นๆ ความผิดพลาดเหล่านี้ถือเป็นเรื่องที่ยอมรับไม่ได้เพราะกระทบกับการดำเนินธุรกิจและอาจมีความเสียหายทางการเงินเกิดขึ้น
นอกจากนี้ยังมีธุรกิจอีกมากมายที่จำเป็นต้องพึ่งพาแอปพลิเคชันเพื่อให้บริการ เช่น ธุรกิจผู้ให้บริการอินเทอร์เน็ต แม้กระทั่งภาครัฐที่อาจจะต้องมีแอปสำหรับให้บริการประชาชน ด้วยเหตุนี้เองการป้องกันแอปพลิเคชันจากผู้สร้างจึงเป็นเรื่องจำเป็นที่ควรเกิดขึ้นในทุกแอปพลิเคชัน นอกเหนือไปจากการที่ผู้ใช้ต้องมีความตระหนักในภัยคุกคามควบคู่กัน
รู้จักกับ SecIron ผู้เชี่ยวชาญด้าน Mobile Application Security
SecIron ก่อตั้งขึ้นเมื่อปี 2010 โดยรวบรวมผู้เชี่ยวชาญการพิเศษด้าน Mobile Application ในทวีปเอเชียไว้มากมาย เพื่อนำเสนอโซลูชันการป้องกันภัยอันตรายในแอปพลิเคชันมือถืออย่างครบวงจร ตั้งแต่ต้นทางของการพัฒนาแอปไปจนถึงหลังการเริ่มใช้งานแบบต่อเนื่อง และติดตามอย่างไม่สิ้นสุด ซึ่งปัจจุบันมีแอปพลิเคชันมากกว่า 10,000 ตัว ที่ไว้วางใจให้ SecIron เข้าไปคุ้มครองการทำงาน โดย SecIron ได้แบ่งโซลูชันออกเป็น 4 หัวข้อ ดังนี้
- Mobile Application Security Assessment (IronScan) – การตระหนักรู้ถึงภัยที่ตนมีคือก้าวแรกของการเดินทางเพื่ออุดรอยรั่ว ซึ่ง IronScan คือโซลูชันที่ช่วยให้องค์กรสามารถประเมินได้ว่าแอปพลิเคชันเหล่านั้น มีช่องโหว่เพียงใด ซึ่งผลรายงานจะมาพร้อมกับแนวทางการแก้ปัญหาให้ผู้พัฒนานำกลับไปปรับปรุงแก้ไขได้
- Mobile Application Hardening (IronWALL) – การทำให้แอปพลิเคชันมีความแข็งแรงคือกระบวนการหนึ่งที่จำเป็นในการพัฒนาโปรแกรมใดๆ ซึ่ง IronWall คือกลไกที่มีอยู่เพื่อช่วยให้แอปพลิเคชันพร้อมต่อการรับมือภัยคุกคามต่างๆ เช่น ป้องกันการ Reverse Engineering ด้วยเทคนิค Obfuscation เข้ารหัสข้อมูลเพื่อป้องกันไม่ให้ข้อมูลสำคัญถูกอ่านได้ ตลอดจนการแก้ไขโค้ดและการทำ Injection รวมถึงตรวจสอบสภาพแวดล้อมว่าอยู่ในระบบจำลองหรือระบบปฏิบัติการ iOS หรือ Android ที่ถูก Jailbreak และ Rooting
- Mobile Application Monitoring & Response System (IronSky) – การที่ระบบผ่านการตรวจสอบมาแล้ว ไม่ได้แปลว่าในอนาคตจะยังคงปลอดภัย ด้วยเหตุนี้ทุกแนวทางด้านความมั่นคงปลอดภัยจึงมักพูดถึงขั้นตอนการติดตามอย่างต่อเนื่อง โดย IronSky จะช่วยติดตามกิจกรรมที่เป็นภัยคุกคามอย่างใกล้ชิด โดยจะแสดงผลบนแดชบอร์ดที่เข้าใจได้ง่าย ระบบสามารถหยุดการโจมตีแบบทันที หรือแจ้งเตือนให้ผู้ดูแลตัดสินใจต่อไป
- Multi-Factor Authentication (IronGate) – แม้แอปพลิเคชันของท่านจะถูกออกแบบอย่างปลอดภัยเพียงใด แต่ท้ายที่สุดแล้วแฮ็กเกอร์อาจจะเข้าถึงระบบของท่านผ่านจากช่องทางปกติ ซึ่งมีให้เห็นได้ทั่วไปจากการที่ถูกขโมยรหัสผ่าน ดังนั้นการพิสูจน์ตัวตนถึงผู้ใช้ตัวจริงจึงสำคัญ โดย IronGate รองรับการตรวจสอบหลายช่องทาง เช่น OTP, QR Code, Mobile Authenticator, PIN, Biometric และอื่นๆ โดยสามารถบริหารจัดการสิทธิ์ตามหน้าที่ได้ นอกจากนี้ยังมีความสามารถ Single Sign-on ได้อีกด้วย
ก้าวแรกอย่างมั่นใจด้วย IronScan
การป้องกันที่ถูกจุดคือการรู้ว่าตนเองมีข้อบกพร่องอย่างไร ในมุมของแอปพลิเคชันมือถือข้อบกพร่องเหล่านี้เกิดขึ้นได้หลายส่วน เช่น ช่องโหว่ที่เกิดจากโค้ดของตน ช่องโหว่ที่เกิดขึ้นจากโค้ดของ Third Party หรือความเสี่ยงในการละเมิดความเป็นส่วนตัว และข้อบังคับขององค์กร หากพิจารณาให้ลึกลงไปยังมีความซับซ้อนมากมายซ่อนอยู่ เช่น ช่องโหว่ที่เกิดจากโค้ดอาจตรวจสอบได้ด้วย Static Testing แต่ช่องโหว่ที่เกิดจากการใช้งานอย่างไม่รอบคอบ เช่น การตรวจสอบผลลัพธ์จะต้องทำ Dynamic Testing
นอกจากนี้ยังมีข้อบกพร่องที่ผู้เขียนไม่ได้ประยุกต์ใช้กลไกการป้องกันให้แก่แอปพลิเคชัน เช่น พื้นที่เก็บข้อมูลไม่ปลอดภัยขาดการเข้ารหัสเพื่อปิดบังข้อมูล ขาดการพิสูจน์ตัวตนและอนุมัติสิทธิ์อย่างเหมาะสม และอื่นๆ แม้จะเป็นที่รับทราบแล้วก็ตาม แต่เมื่อพิจารณาถึงการแก้ไขนั้นไม่ง่ายเลย ซึ่ง IronScan คือโซลูชันที่จะช่วยให้องค์กรค้นพบช่องโหว่และข้อบกพร่องต่างๆ ที่เกิดขึ้น ให้ผู้พัฒนาสามารถนำไปปรับปรุงแอปพลิเคชันของตนให้เป็นไปตาม Best Practice โดยสามารถออกรายงานในรูปแบบที่เข้าใจง่าย ซึ่งมีข้อมูลอ้างอิงตาม CVE, CWE และ OWASP ทั้งยังมาพร้อมกับคำแนะนำเพื่อการแก้ไขอีกด้วย
อย่างไรก็ดี IronScan เป็นเครื่องมือที่ถูกออกแบบมาให้พร้อมใช้ในกระบวนการ CI/CD ได้อย่างต่อเนื่อง โดยไม่จำเป็นต้องเขียนสคิร์ปต์เพิ่มเติม เริ่มต้นความมั่นคงปลอดภัยได้ตั้งแต่ขั้นแรกของการพัฒนา ตลอดจนช่วยค้นหาภัยที่ซ่อนอยู่ได้อย่างเท่าทัน รายงานผลออกมาให้ผู้บริหารเข้าใจได้ ที่สำคัญยังรวมศูนย์การปฏิบัติการได้ผ่านคลาวด์ รวมถึงเลือกใช้งานได้ทั้ง On-premise และ Cloud
กรณีศึกษา YTL Communications
YTL Communications ถือเป็นอีกหนึ่งเสียงยืนยันถึงความแข็งแกร่งของ IronScan ได้เป็นอย่างดี โดย YTL Communications เป็นผู้ประกอบการธุรกิจให้บริการเครือข่ายมือถือในประเทศมาเลเซีย ทั้งยังมีบริการเสริมอื่นเช่น Cloud Computing, Data Center และ Managed Network Services ทั้งนี้พวกเขามีกลยุทธ์ให้บริการลูกค้าและพาร์ทเนอร์สามารถบริหารจัดการตนเองได้ผ่านแอปพลิเคชันมือถือ นั่นจึงทำให้พวกเขาต้องมองหาวิธีการรักษาความมั่นคงปลอดภัย ปิดช่องว่างที่อาจจะเกิดขึ้นในแอปพลิเคชัน
โดยหลังจากที่สำรวจโซลูชันต่างๆมากมายในท้องตลาด พวกเขาได้เลือกให้ IronScan เป็นคำตอบสุดท้าย เพราะโซลูชันสามารถรายงานความเสี่ยงที่เกิดขึ้นได้อย่างชัดเจน ซึ่งลึกไปถึงช่องโหว่ในระดับโค้ด พร้อมกับแนะนำว่าควรแก้ไขโค้ดที่บรรทัดใด นอกจากนี้กระบวนการสแกนค้นหายังทำได้อย่างอัตโนมัติและผนวกเข้าเป็นส่วนหนึ่งได้ Pipeline ได้อีกด้วย นั่นคือเหตุผลที่ IronScan ได้รับเลือกให้เป็นส่วนหนึ่งในผู้ให้บริการที่ได้รับการยกย่องว่ามีเครือข่ายที่รวดเร็วที่สุดของมาเลเซียในปี 2023