26 เม.ย. 2022 เวลา 12:30 • ไอที & แก็ดเจ็ต
===ตรวจเช็คความมั่นคงปลอดภัยเว็บไซต์ฟรี! ด้วย SecurityScorecard===
หน้าเว็บถือเป็นปราการด่านหน้าที่สำคัญขององค์กร อีกทั้งยังเป็นจุดอ่อนที่มักพบช่องโหว่ได้เป็นประจำ สอดคล้องกับสถิติของช่องโหว่ที่พบมากก็คือหน้าเว็บเมื่อเทียบกับช่องทางอื่นๆ และหน้าเว็บยังเป็นสิ่งที่แทบทุกองค์กรต้องมี ไม่ว่าจะใช้เพื่อเป็นโปรไฟล์บริษัท ใช้เพื่อสร้างช่องทางการค้าขายทางธุรกิจ หรืออื่นๆ ยิ่งบริษัทมีขนาดใหญ่จำนวนของหน้าเพจก็มักเพิ่มขึ้นตาม
การประเมินความมั่นคงปลอดภัยของเว็บไซต์ถือเป็นเรื่องที่องค์กรควรทำอย่างสม่ำเสมอ เพื่อให้ทราบได้ว่าสถานภาพของความเสี่ยงเป็นอย่างไร โดยวันนี้ทีมงาน TechTalkThai จะขอพาทุกท่านไปรู้กับเครื่องมือของ SecurityScorecard ที่สามารถช่วยประเมินตรวจสอบเว็บไซต์ของทุกท่านได้ฟรีๆ
Credit : SecurityScorecard
การประเมินความมั่นคงปลอดภัยนั้นทำได้หลายช่องทาง แต่ทางที่ดีที่สุดก็คือปลูกฝังให้ทีมนักพัฒนาใส่ใจกับเรื่อง Security ตั้งแต่แรกตาม Best Practice แต่เชื่อหรือไม่ว่าแม้จะพยายามมากแค่ไหน ช่องโหว่ก็เกิดขึ้นได้เสมอ หากองค์กรมีแค่ 10 หน้าเพจท่านอาจจะปิดช่องโหว่ได้ทั้งหมด แต่หากมีโค้ดนับพันนับหมื่นบรรทัดหล่ะจะไม่มีพลาดบ้างเชียวหรือ? นี่ยังไม่นับเรื่องของการนำโค้ดจาก Third party เข้ามาใช้ซึ่งเป็นเรื่องที่ติดตามได้ยากมาก ดังนั้นองค์กรก็จำเป็นต้องมีกระบวนการถัดไปนั่นก็คือผู้เชี่ยวชาญ
ผู้เชี่ยวชาญด้าน Security ถือเป็นตำแหน่งในสายงานไอทีที่หาตัวจับยากตำแหน่งหนึ่ง ดังนั้นหากไม่ใช้องค์กรขนาดใหญ่ก็ยากที่จะมีทีมงานด้านนี้ อีกทางเลือกคือว่าจ้างผู้เชี่ยวชาญจากภายนอกเข้ามาช่วยประเมินระบบ แต่ก่อนที่จะไปถึงจุดนั้นจะดีกว่าไหมหากท่านสามารถประเมินความเสี่ยงได้ก่อนด้วยตัวเองได้ฟรีๆ
SecurityScorecard เป็นผู้เชี่ยวชาญด้าน Security โดยให้บริการเครื่องมือที่ช่วยประเมินเว็บไซต์ของท่านจากมุมมองที่โลกภายนอกมองเห็นท่าน ในรูปแบบ Software as a Service พร้อมให้คำแนะนำอย่างเจาะลึก เห็นภาพความเสี่ยงที่อาจจะเกิดขึ้นได้ด้วยการให้คะแนนตามความเสี่ยงที่ระบบพบ (Security Rating) แต่สำหรับหลายคนที่เคยใช้เครื่องมือสแกนค้นหาช่องโหว่มาก่อน คงสงสัยว่าแล้ว SecurityScorecard ให้ประโยชน์ที่เหนือกว่าเครื่องมือเหล่านั้นอย่างไร โดยทีมงาน TechTalkThai ได้ลองทดสอบมาแล้วว่า SecurityScorecard มีการทำงานเบื้องต้นอย่างไรในความบริการระดับฟรี
สำหรับวิธีใช้งานทำได้ดังนี้
1.) กรอกข้อมูลที่หน้า https://securityscorecard.com/instant-security-scorecard เพื่อให้ระบบประเมินความเสี่ยงหน้าเว็บไซต์องค์กรของท่าน
2.) ระบบจะทำการประเมินเว็บไซต์ของท่านและตัดเกรดให้ โดยมีตั้งแต่ระดับ A ถึง F ซึ่งตามรูปของเรา techtalkthai จะมีคะแนนอยู่ที่เกรด B
3.) ระบบจะแสดงหมวดหมู่ของกลุ่มความเสี่ยงที่ค้นพบ โดยท่านสามารถกดเข้าไปดูรายละเอียดภายในได้
4.) ในหน้าถัดมาหากท่านยังไม่มีบัญชีกับ SecurityScorecard ระบบก็จะแจ้งให้สมัครสมาชิกเพื่อรายงานความละเอียดมากกว่านี้ และที่สำคัญยังฟรี
5.) เมื่อล็อกอินเข้ามาแล้วระบบจะแนะนำการทำงานขั้นต่อไปและขอให้เรากรอกข้อมูลองค์กร แต่ ณ จุดนี้เราจะข้ามไปแนะนำที่เมนู My scorecard โดยท่านจะเห็นภาพรวมและเข้าไปดูได้ว่าช่องโหว่เป็นอย่างไร โดยรวม หรือจะเจาะลึกเข้าไปดูรายละเอียดเพิ่มก็ได้
6.) ในหน้า History ท่านสามารถดูเหตุการณ์ย้อนหลังได้ว่าสถานะภาพความเสี่ยงของท่านเป็นอย่างไร ว่าเคยย่ำแย่มาก่อนแล้วมีการปรับปรุงจนดีขึ้นเมื่อวันที่เท่าไหร่ รวมถึงสามารถเปรียบเทียบกับอุตสาหกรรมที่คล้ายกันว่าเขามีการแก้ไขช่องโหว่เป็นอย่างไร องค์กรของท่านอยู่ในเกณฑ์ไหน
7.) Issues เป็นช่องทางในการบริหารจัดการว่าช่องโหว่เหล่านี้มีสถานะอย่างไร รับทราบและกำลังแก้ไข แก้ไขแล้ว หรือปฏิเสธที่จะแก้ไขเพราะท่านไม่เห็นด้วย พร้อมกันนี้ยังเมนูที่แนะนำว่าช่องโหว่ใดมี impact กับคะแนนขององค์กรได้มากในเมนู improve score
8.) อีกเมนูหนึ่งที่พลาดไม่ได้และสามารถใช้ได้ฟรีที่ทำให้ท่านเห็นภาพรวมว่า โลกภายนอกพบเห็นไอพีและโดเมนอะไรจากท่านบ้าง ซึ่งอาจจะปรากฏเรื่องสินทรัพย์ที่ท่านอาจจะไม่ทราบว่ามี (Shadow IT) หรือหากตรวจสอบแล้วพบว่าไม่ใช่ก็สามารถลบรายการออกไปได้
9.) ท่านสามารถกรอกข้อมูลบริษัทเพิ่มเติมได้ในช่อง Company Profile เพื่อประโยชน์ให้ทีมงานสามารถเข้าใจอุตสาหกรรมและแนะนำความเสี่ยงในธุรกิจที่คล้ายกัน
ยังมีรายละเอียดปลีกย่อยอีกมากมายที่ท่านสามารถมาค้นหาได้ด้วยตัวเองจาก SecurityScorecard โดยเบื้องต้นท่านสามารถเรียนรู้เพื่อใช้งานได้ที่ https://academy.securityscorecard.com/self-monitoring-with-securityscorecard
สรุป
SecurityScorecard เป็นอีกหนึ่งเครื่องมือที่น่าสนใจไม่น้อย เพียงแค่แอคเค้าน์ฟรีท่านก็สามารถมองเห็นตัวเองได้มากมาย SecurityScorecard เป็นเครื่องมือช่วยประเมินความเสี่ยงที่เหนือกว่าเครื่องมือสแกนตามท้องตลาดสาเหตุเพราะ
● สามารถทำการมอนิเตอร์ระบบได้อย่างต่อเนื่อง อย่างที่กล่าวไปว่ามีกราฟที่สามารถติดตามเหตุการณ์ในอดีตย้อนหลัง ซึ่งเรื่องเหล่านี้ยังส่งผลในการประเมินได้ว่าในอุตสาหกรรมเดียวกันหากพบช่องโหว่แล้วท่านใช้เวลาเท่าใดเพื่ออุดช่องโหว่
● สามารถประเมินตัวเองได้ว่าควรจะแก้ไขช่องโหว่ใดที่จะช่วยให้คะแนนขององค์กรเพิ่มสูงขึ้น ทำให้ท่านสามารถนำไปวางแผนการแพตช์กับทีม Security ได้ว่าแผนการควรจะเป็นอย่างไร ซึ่งในทางปฏิบัติจริงองค์กรมักไม่สามารถแก้ไขได้ทุกช่องโหว่ แต่ต้องเข้าใจภาพว่าอะไรสำคัญ
● ท่านสามารถรายงานโต้แย้งช่องโหว่กับทีม SecurityScorecard Support ได้ ไม่จำเป็นที่จะต้องเชื่อถือทั้งหมด หรือหากแก้ไขแล้วทีมงานจะทำการตรวจสอบว่าโซลูชันของท่านได้ผลจริงหรือไม่ หรือควรใช้วิธีการใด
● มีหน้าระบบอ้างอิงกับ Compliance ต่างๆเช่น ISO 27001, NIST 800-53 หรืออื่นๆ
● ติดตามไอพีและโดเมนที่พบจากภายนอก ซึ่งเราสามารถพิจารณาตรวจสอบได้ว่าสิ่งที่พบเป็นจริงหรือไม่
● 3rd Party หรือเมนู Vendor Detection ถือเป็นตัวเก่งของ SecurityScorecard ที่ช่วยให้ท่านประเมินความเสี่ยงได้อย่างรอบด้าน บอกได้เลยว่าปกติแล้วเป็นเรื่องยากมากที่จะสามารถรับรู้ถึงความเสี่ยงจากบุคคลที่สามที่องค์กรไปเกี่ยวข้อง และยังเป็นปัญหาของภาพ Security ในปัจจุบันที่ตื่นตัวเรื่องนี้เป็นอย่างมาก
SecurityScorecard ยังมี Academy ที่สอนให้ผู้สนใจรู้ถึงเรื่องการประเมินและจัดการภัยคุกคามให้เรียนหลายคอร์ส ซึ่งได้รับการรับรองจาก ISC2 โดยจากที่กล่าวมา SecurityScorecard ถือเป็นเครื่องมือครบวงจรตัวหนึ่งสำหรับการประเมินภัยคุกคามจากมุมมองภายนอก ให้องค์กรสามารถนำไปวางแผนการปฏิบัติการหรือค่าใช้จ่ายทำประกันและจัดซื้อเครื่องมือเพิ่มเติม หรือรายงานให้แก่บอร์ดบริหาร อีกทั้งยังเป็นเครื่องมือที่ใช้ง่ายอีกด้วย ลองดูด้วยตัวเองได้ที่ https://securityscorecard.com/
โฆษณา