ในปัจจุบันองค์กรต่างๆ เริ่มหันไปใช้บริการผู้พัฒนาซอฟต์แวร์ภายนอก ซึ่งมีความเชี่ยวชาญเฉพาะทางมากยิ่งขึ้น เพื่อช่วยเพิ่มประสิทธิภาพให้กระบวนการพัฒนา อย่างไรก็ตาม องค์กรหลายแห่งยังขาดการควบคุมและประเมินคุณภาพของระดับความมั่นคงปลอดภัย ที่ได้รับจากการใช้บริการจากผู้พัฒนาซอฟต์แวร์ภายนอก
ไม่ว่าจะเป็น รูปแบบของการจ้างพัฒนาซอฟต์แวร์ การพัฒนาซอฟต์แวร์สำเร็จรูป หรือการบริการในรูปแบบ Software-as-a-Service ซึ่งทำให้ขาดข้อมูล เพื่อใช้บริหารความเสี่ยงขององค์กร และทำให้องค์กรตกอยู่ในความเสี่ยงทางไซเบอร์ ทั้งจากอุบัติเหตุและจากการโจมตี โดยรายงานผลการสำรวจจาก CRA Business Intelligence ที่เปิดเผยเมื่อเดือน ม.ค. 2566 ระบุว่า องค์กรราว 57% ที่ตอบแบบสอบถาม เคยเผชิญเหตุข้อมูลรั่วไหลหรือเหตุโจมตีที่มีความเกี่ยวข้องกับผู้ให้บริการภายนอก และเหตุการณ์สุ่มเสี่ยงด้านความปลอดภัยที่เพิ่มขึ้นตามขนาดองค์กร
ดังนั้นการเลือกใช้ผู้พัฒนาซอฟต์แวร์ภายนอกจึงสำคัญ ซึ่งไม่เพียงต้องเลือกให้เหมาะสมกับความต้องการขององค์กรเท่านั้น ยังต้องคำนึงถึงเรื่องความปลอดภัยไซเบอร์ด้วยเช่นกัน โดยหนึ่งในแนวทางการเลือกผู้พัฒนาภายนอกที่องค์กรสามารถนำไปปรับใช้ได้คือ Minimum Viable Secure Product หรือ MVSP
MVSP คืออะไร
Minimum Viable Secure Product หรือ MVSP คือ เกณฑ์การตรวจสอบและคัดเลือกผู้พัฒนาซอฟต์แวร์จากภายนอก ซึ่งจัดทำเป็นรูปแบบรายการตรวจสอบสั้นๆ (Checklist) เกี่ยวกับหน้าที่ความรับผิดชอบของผู้พัฒนา โดยมีจุดมุ่งหมายเพื่อยกระดับมาตรฐานความปลอดภัยจากการใช้บริการ พร้อมทั้งเพิ่มประสิทธิภาพของกระบวนการคัดเลือก และตรวจสอบผู้พัฒนาจากภายนอก
MVSP กับ MVP ต่างกันอย่างไร
MVSP พัฒนาโดยกลุ่มบริษัทผู้พัฒนาซอฟต์แวร์ชั้นนำของโลก เช่น Salesforce, Google, Okta, Slack, Dropbox และบริษัทอื่นๆ ซึ่งมีจุดเริ่มต้นมาจากการสร้างขั้นตอนการประเมินความมั่นคงปลอดภัยคู่ค้าของ Google และ Dropbox โดย MVSP ต่อยอดมาจากแนวคิดเรื่อง Minimum Viable Product หรือ MVP คือ ผลิตภัณฑ์ตัวอย่างที่มีฟีเจอร์น้อยที่สุดและสามารถใช้งานได้จริง ส่วน MVSP คือ การตรวจสอบความปลอดภัยขั้นต่ำที่ผลิตภัณฑ์และบริการจำเป็นต้องมี เพื่อให้เกิดความมั่นคงปลอดภัย
4 องค์ประกอบของ MVSP มีอะไรบ้าง
บลูบิค ไททันส์ (Bluebik Titans) ผู้ให้บริการพัฒนาระบบและให้คำปรึกษาด้านความปลอดภัยไซเบอร์ มองเห็นความสำคัญของ MVSP จึงได้จัดทำเอกสาร MVSP ฉบับภาษาไทย เพื่อเป็นแนวทางให้กับองค์กรธุรกิจพิจารณาปรับใช้ตามความเหมาะสมในการประเมินคู่ค้า ตั้งแต่การเริ่มกระบวนการจัดซื้อจัดจ้าง หรือใช้ในการประเมินประจำปี รวมถึงใช้ประเมินตนเองในฐานะผู้พัฒนาและให้บริการซอฟต์แวร์ (สำหรับเอกสารจะมีการปรับปรุงปีละหนึ่งครั้ง เวอร์ชันปัจจุบัน ณ วันที่ 12 ตุลาคม 2565 หรือ MVSP v2.0)
ทั้งนี้ บลูบิค ไททันส์ (Bluebik Titans) หวังเป็นอย่างยิ่งว่า การนำรายการตรวจสอบนี้ไปประยุกต์ใช้ จะเป็นหนึ่งในจุดเริ่มต้นของการสร้างบรรทัดฐานในการพัฒนาซอฟต์แวร์ในประเทศไทย ให้มีความมั่นคงปลอดภัยกับผู้ใช้งาน และเป็นที่น่าเชื่อถือในระดับนานาชาติได้
สำหรับ MVSP ประกอบด้วยรายการข้อกำหนดขั้นต่ำที่จำเป็นที่สุดสำหรับประเมิน และตรวจสอบผู้พัฒนาภายนอก โดยแบ่งออกเป็น 4 หัวข้อหลักๆ ได้แก่
- การควบคุมเชิงธุรกิจ (Business Controls) มีเนื้อหาเกี่ยวกับการจัดการความมั่นคงปลอดภัยของระบบสารสนเทศในเชิงธุรกิจ
- การควบคุมด้านการออกแบบแอปพลิเคชัน (Application Design Controls) มีเนื้อหาเกี่ยวกับข้อกำหนดด้านความมั่นคงปลอดภัยของแอปพลิเคชัน
- การควบคุมด้านการพัฒนาแอปพลิเคชัน (Application Implementation Controls)
มีเนื้อหาเกี่ยวกับกิจกรรมด้านความมั่นคงปลอดภัย ที่ต้องปฏิบัติในการพัฒนาแอปพลิเคชัน
- การควบคุมด้านการปฏิบัติงาน (Operational Controls) มีเนื้อหาเกี่ยวกับความมั่นคงปลอดภัยของแอปพลิเคชันในขณะให้บริการ
1. การควบคุมเชิงธุรกิจ (Business Controls)
การรายงานช่องโหว่ (Vulnerability Reports)
จัดทำช่องทางการรายงานด้านความมั่นคงปลอดภัยสารสนเทศบนหน้าเว็บไซต์ขององค์กรองค์กรมีกระบวนการรับเรื่องรายงานความมั่นคงปลอดภัยสารสนเทศและตอบสนองในระยะเวลาที่เหมาะสม
การทดสอบโดยลูกค้า (Customer Testing)
องค์กรสามารถให้ลูกค้าหรือตัวแทนที่ได้รับมอบหมาย ทำการทดสอบความมั่นคงปลอดภัยของแอปพลิเคชันได้ ให้ทำการทดสอบบนสภาพแวดล้อมจำลองของแอปพลิเคชัน ที่มีความคล้ายเคียงกับสภาพแวดล้อมจริงที่สุด สภาพแวดล้อมสำหรับการทดสอบ (Non-production Environment) ต้องไม่มีข้อมูลจริงอยู่ในระบบสภาพแวดล้อมสำหรับการทดสอบแอปพลิเคชัน ต้องทำโดยไม่มีการป้องกันด้วย Web Application Firewall (WAF) หรือ Intrusion Detection System (IDS) หรือระบบที่ใช้ป้องกันประเภทอื่น
การประเมินตนเอง (Self-Assessment)
ทำการประเมินองค์กรด้วยเป็นประจำ อย่างต่ำปีละหนึ่งครั้ง
การทดสอบโดยหน่วยงานภายนอก (External Testing)
มีการว่าจ้างผู้ให้บริการ Penetration Test ภายนอก โดยกำหนดให้ทดสอบการรักษาความมั่นคงปลอดภัยของสินค้า หรือบริการเป็นประจำทุกปี
การฝึกอบรม (Training)
มีการฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศ โดยจัดกิจกรรมให้เหมาะกับหน้าที่ความรับผิดชอบของบุคลากรแต่ละฝ่าย
การกำกับดูแล (Compliance)
ปฏิบัติตามมาตรฐานความมั่นคงปลอดภัยในอุตสาหกรรม ที่เกี่ยวข้องกับการดำเนินงานขององค์กร เช่น PCI DSS, HITRUST, ISO27001 หรือ SSAE 18 (SOC 2 Type 2) ปฏิบัติตามกฎหมายและข้อบังคับท้องถิ่นตามเขตอำนาจของรัฐ ให้สอดคล้องกับการดำเนินงานของธุรกิจ และข้อกำหนดของคู่ค้า เช่น GDPR หรือ Binding Corporate Rules
สำหรับการส่งข้อมูลออกนอกอาณาจักรภายใต้ข้อบังคับ หรือ Standard Contractual Clauses สำหรับการแลกเปลี่ยนข้อมูลกับอาณาจักรนอกขอบเขตข้อบังคับปฏิบัติตามข้อกำหนด ด้านการจัดเก็บและประมวลผลข้อมูล ที่สอดคล้องกับข้อบังคับท้องถิ่นและภาระผูกพันตามสัญญา (Contractual Obligations)
การรับมือต่อภัยคุกคาม (Incident Handling)
มีการแจ้งเตือนผู้ใช้งานเกี่ยวกับการถูกละเมิดให้กับลูกค้าขององค์กรภายใน 72 ชั่วโมง หลังตรวจพบเหตุการณ์ โดยที่การแจ้งเตือนควรระบุข้อมูล ดังนี้
- ข้อมูลติดต่อของผู้ประสานงาน
- รายงานการวิเคราะห์สถานการณ์เบื้องต้น
- แผนการแก้ไขสถานการณ์
- ระยะเวลาการแก้ไขที่เหมาะสม
การจัดการกับข้อมูล (Data Handling)
มีขั้นตอนการทำลายข้อมูล (Media Sanitization) ตามมาตรฐาน NIST SP 800-88 หรือเทียบเท่า
2. การควบคุมด้านการออกแบบแอปพลิเคชัน (Application Design Controls)
การใช้งาน Single Sign-On
ใช้งานระบบ Single Sign-On ด้วยโปรโตคอลที่ทันสมัยและเป็นไปตามมาตรฐาน
การบังคับใช้ HTTPS
ใช้งานโปรโตคอล HTTPS (Port 443) แทนที่การใช้งานโปรโตคอล HTTP (Port 80) ทั้งหมด (ยกเว้นการใช้งานโปรโตคอลที่มีการรักษาความปลอดภัย บนพื้นฐานของการเชื่อมต่อที่ไม่ได้มีการเข้ารหัส เช่น OCSP Over HTTP เป็นต้น) ตรวจสอบและแก้ไขประเด็นด้านความปลอดภัยของ TLS Certificate ที่ใช้งาน บังคับใช้ HTTPS ในทุกหน้าเว็บ ด้วยการเพิ่มเฮดเดอร์ Strict-Transport-Security และชุดคำสั่ง IncludeSubDomains
การใช้งาน Security Header
ใช้งาน Security Header เพื่อลดช่องทางการโจมตีของเว็บแอปพลิเคชัน และจำกัดสิ่งที่สามารถทำได้หลังจากการโจมตี (Post Exploitation) ดังนี้
- กำหนดสิทธิ์ใน Content Security Policy ให้มีสิทธิ์เท่าที่จำเป็นเท่านั้น
- จำกัดการใช้ iFrame ในส่วนที่มีข้อมูลสำคัญของแอปพลิเคชัน
การตั้งค่ารหัสผ่าน (Password Policy)
หากมีการยืนยันตัวตนด้วยรหัสผ่าน (นอกเหนือจากการใช้ Single Sign-On) ต้องปฏิบัติ ดังนี้
- ไม่จำกัดประเภทของอักขระที่สามารถใช้ได้
- กำหนดความยาวของรหัสผ่านต้องไม่ต่ำกว่า 64 ตัวอักษษร
- ไม่ใช้การถามคำถามลับ (Secret Question) เป็นสิ่งเดียวในการขอตั้งค่ารหัสผ่านใหม่ (Password Reset)
- ให้มีการยืนยันตัวตนทาง Email ในการขอตั้งค่ารหัสผ่านใหม่
- ในการเปลี่ยนรหัสผ่านต้องมีการยืนยันด้วยรหัสผ่านปัจจุบัน
- จัดเก็บรหัสผ่านในรูปแบบ Hash ที่มีการใช้ Salt ด้วยฟังก์ชัน Hash ที่ปลอดภัย
- มีการตั้ง Account Lockout และการป้องกันการเดาสุ่มรหัส (Brute Forcing)
Security Libraries
ใช้ Framework หรือ Template Language หรือ Library ที่จัดการกับจุดอ่อนได้อย่างเป็นระบบ โดยมีการป้องกันการแสดงผลที่ไม่ต้องการ (Output Escaping) และมีการควบคุมข้อมูลที่รับได้ (Input Sanitization) ตัวอย่างเช่นการใช้ Object Relational Mapping (ORM) สำหรับการเข้าถึงระบบฐานข้อมูล หรือการใช้ UI Framework สำหรับการทำ Document Object Model (DOM) Rendering
การจัดการกับช่องโหว่ (Dependency Patching)
ติดตั้ง Security Patch สำหรับช่องโหว่ที่มีความรุนแรงตั้งแต่ Medium ขึ้นไป หรือใช้วิธีอื่นที่สามารถป้องกันการโจมตีด้วยช่องโหว่เหล่านั้นได้ ภายในหนึ่งเดือนนับจากที่มีการออก Security Patch
การบันทึกเหตุการณ์ (Logging)
มีการจัดเก็บ Log ของกิจกรรม ดังต่อไปนี้
- การเข้า-ออกระบบของผู้ใช้งาน
- การเข้าถึง แก้ไข หรือลบข้อมูลของแอปพลิเคชัน ผู้ใช้งานระบบ หรือ Object ต่างๆ
- การเปลี่ยนแปลงการตั้งค่าความปลอดภัย (รวมถึงการปิดการบันทึก Log)
- การเข้าถึงข้อมูลของลูกค้า โดยเจ้าของหรือผู้ดูแลแอปพลิเคชัน โดยที่ในแต่ละรายการต้องมีการบันทึกชื่อผู้ใช้งาน ไอพี เวลา กิจกรรมที่ทำ และสิ่งที่เกี่ยวข้อง
- มีการเก็บข้อมูลไว้ไม่ต่ำกว่า 30 วัน และไม่มีการบันทึกข้อมูลที่มีความสำคัญไว้้
การเข้ารหัสข้อมูล (Encryption)
มีการเข้ารหัสข้อมูลที่มีความสำคัญขณะที่อยู่ในการรับ-ส่งระหว่างระบบ (Data in Transit) และในการจัดเก็บสำหรับพื้นที่จัดเก็บและสำรองข้อมูล (Data at Rest)
3. การควบคุมด้านการพัฒนาแอปพลิเคชัน (Application Implementation Controls)
รายการประเภทข้อมูล (List of Data)
จัดทำและปรับปรุงรายการประเภทของข้อมูลที่มีความสำคัญ ที่มีการประมวลผลในแอปพลิเคชัน
เส้นทางของข้อมูล (Data Flow Diagram)
จัดทำและปรับปรุงแผนภาพแสดงเส้นทางของข้อมูลที่มีความสำคัญ ตั้งแต่การรับข้อมูลไปจนถึงการจัดเก็บ
การป้องกันช่องโหว่ (Vulnerability Prevention)
จัดอบรบผู้พัฒนาซอฟต์แวร์ และออกแนวปฏิบัติในการพัฒนา (Development Guideline) เพื่อลดความเสี่ยงในการเกิดช่องโหว่ ในหัวข้อต่อไปนี้
- การใช้งานข้ามสิทธิ์ (Authorization Bypass) เช่น การที่ผู้ใช้งานสามารถเข้าถึงข้อมูลของผู้ใช้งานคนละราย หรือการเรียกใช้งานคำสั่งที่ต้องใช้สิทธิ์ผู้ดูแลด้วยบัญชีผู้ใช้งานทั่วไป
- การจัดการ Session ID ที่ไม่ปลอดภัย (Insecure Session ID) เช่น การใช้โทเคน (Token) ที่สามารถคาดเดาได้ง่าย หรือถูกจัดเก็บอย่างไม่ปลอดภัย เช่น ในคุกกี้ที่ไม่มีการตั้งค่า Secure และ HTTPonly
- การทำ Injection เช่น SQL Injection หรือ Nosql Injection หรือ XML External Entity Injection (XXE) หรือ OS Command Injection
- การทำ Cross-site Scripting (XSS) เช่น การเรียกใช้ฟังก์ชันที่ไม่ปลอดภัยของ JavaScript หรือการแก้ไข DOM Document Object Model) อย่างไม่ปลอดภัย หรือการแสดงผลของข้อมูลที่ผู้ใช้งานป้อนให้ ผ่านทาง HTML โดยไม่มีการ Escape
- การทำ Cross-site Request Forgery (CSRF) เช่น การยอมรับ HTTP Request ที่มีการระบุต้นทางมาจากคนละ Domain (Origin Header)
- การใช้งาน Library ที่ไม่ปลอดภัย เช่น การใช้งาน Framework หรือ JavaScript Library ที่มีช่องโหว่
การกำหนดเวลาในการแก้ไขช่องโหว่
พัฒนาและดำเนินการแก้ไขช่องโหว่ของระบบ เพื่อปิดช่องโหว่ที่มีผลกระทบกับความมั่นคงปลอดภัยของระบบ และข้อมูลภายใน 90 หลังจากที่ค้นพบช่องโหว่
กระบวนการสร้างซอฟต์แวร์ (Build Process)
จัดทำกระบวนการสร้างซอฟต์แวร์ให้เป็นไปโดยอัตโนมัติ และมีการบันทึกเพื่อติดตามย้อนกลับได้ (Provenance) ตาม SLSA Level 1
4. การควบคุมด้านการปฏิบัติงาน (Operational Controls)
การเข้าถึงทางกายภาพ (Physical Access)
มีการควบคุมการเข้าถึงสถานที่ปฏิบัติการของระบบ ดังต่อไปนี้
- มีการควบคุมการเข้า-ออกสถานที่แบบหลายระดับ (Layered Perimeter)
- มีการจัดการกุญแจหรือรหัสที่ใช้ในการเข้าถึงสถานที่
- มีบันทึกการเข้า-ออกสถานที่
- มีแผนการรับมือกรณีตรวจพบผู้บุกรุก
การเข้าถึงทางตรรกะ (Logical Access)
- จำกัดการเข้าถึงข้อมูลสำคัญให้เหลือเท่าที่จำเป็นเท่านั้น โดยต้องได้รับการอนุญาตจากเจ้าของข้อมูลก่อนเท่านั้น
- ยกเลิกการใช้งานบัญชีผู้ใช้ที่ไม่มีการใช้งาน หรือสิ้นสุดระยะเวลาที่ได้รับสิทธิ์แล้วดำเนินการตรวจสอบสิทธิ์ของผู้ใช้เป็นประจำ
- การเข้าถึงข้อมูลลูกค้า หรือระบบงานจริง (Production) ต้องได้รับการยืนยันตัวตนด้วย Multi-Factor Authentication (MFA)
การจัดการผู้ร่วมประมวลผลข้อมูล (Subprocessor)
- รวบรวมรายชื่อของหน่วยงานภายนอกที่สามารถเข้าถึงข้อมูลของลูกค้าได้ และทำการเผยแพร่บนเว็บไซต์ขององค์กร
- ทำการประเมินระดับความมั่นคงปลอดภัยของหน่วยงานภายนอกเป็นประจำทุกปี
การสำรองข้อมูลและกู้คืนระบบ (Backup and Disaster Recovery)
- ทำการสำรองข้อมูลทั้งหมดในสถานที่ที่ไม่ใช่ที่ระบบให้บริการอยู่
- จัดทำและดำเนินการทดสอบแผนการกู้คืนจากเหตุการณ์ไม่คาดฝันเป็นประจำ (Disaster Recovery Plan)
- ดำเนินการทดสอบการกู้คืนข้อมูลที่ได้ทำการสำรองเป็นประจำ
MVSP สามารถเพิ่มประสิทธิภาพการตรวจสอบผู้พัฒนาซอฟต์แวร์จากภายนอก เพื่อเพิ่มความปลอดภัยให้องค์กร แต่ถือเป็นเพียงส่วนหนึ่งในการสร้างความปลอดภัยไซเบอร์เท่านั้น เพราะเมื่อองค์กรนำเทคโนโลยีใหม่ๆ มาใช้ และขยายช่องทางการให้บริการทางดิจิทัลมากขึ้น ความเสี่ยงที่องค์กรต่างๆ อาจตกเป็นเหยื่อของภัยคุกคามทางไซเบอร์ก็เพิ่มขึ้นอย่างมากเช่นเดียวกัน
หากการโจมตีทางไซเบอร์ประสบความสำเร็จ อาจก่อให้เกิดความเสียหายอย่างรุนแรงต่อองค์กร โดยเฉพาะอย่างยิ่งการสูญเสียความเชื่อมั่นทางดิจิทัลจากผู้เกี่ยวข้องทุกภาคส่วน ในขณะที่การกู้คืนจากความเสียหายดังกล่าว อาจเป็นกระบวนการที่ใช้เวลาและมีค่าใช้จ่ายสูง
ทั้งนี้ บลูบิค ไททันส์ (Bluebik Titans) ที่ปรึกษาชั้นนำด้านความปลอดภัยไซเบอร์ (Cybersecurity) ในเครือบริษัท บลูบิค (Bluebik) ยังมองว่า องค์กรจำเป็นต้องดำเนินการยกระดับการบริหารจัดการ และมาตรการด้านความมั่นคงปลอดภัยทางไซเบอร์โดยผู้เชี่ยวชาญ ควบคู่ไปกับการเปลี่ยนแปลงทางดิจิทัล เพื่อสร้างความเชื่อมั่นให้กับพันธมิตรทางธุรกิจและลูกค้า โดย บลูบิค ไททันส์ (Bluebik Titans) มีทีมผู้เชี่ยวชาญที่สามารถนำเสนอบริการด้านความปลอดภัยไซเบอร์ได้อย่างครอบคลุม เพื่อลดความเสี่ยง และเสริมความแข็งแกร่งในการป้องกันทางดิจิทัล ตั้งแต่
- การวางกลยุทธ์และพัฒนาแผนบริหารจัดการความเสี่ยงทางไซเบอร์ ที่ส่งผลกระทบต่อการดำเนินธุรกิจ
- การประเมินแนวทางด้านความปลอดภัยไซเบอร์ และระบุช่องโหว่ความเสี่ยงภัยคุกคาม
- การให้คำปรึกษาและโซลูชันทางเทคโนโลยี เพื่อยกระดับความปลอดภัย
- ในกรณีเกิดเหตุโจมตีทางไซเบอร์ ทีมงานของ บลูบิค ไททันส์ (Bluebik Titans) สามารถช่วยเหลือองค์กรธุรกิจ เพื่อให้การตอบสนองต่อเหตุการณ์เป็นไปอย่างรวดเร็วและมีประสิทธิภาพ
หากต้องการสอบถามเกี่ยวกับ MVSP หรือประเด็นต่างๆ ที่เกี่ยวข้องกับวิธีการรับมือเหตุการณ์โจมตีทางไซเบอร์ หรือกำลังประสบกับเหตุโจมตี สามารถติดต่อสอบถามหรือปรึกษา บลูบิค ไททันส์ (Bluebik Titans) ที่ปรึกษาชั้นนำด้านความปลอดภัยไซเบอร์ (Cybersecurity) ในเครือบริษัท บลูบิค (Bluebik) ได้ที่ [email protected] หรือโทรศัพท์ 02-636-7011
