บทความนี้อยากจะมาพูดถึงโครงการที่ดีมาก ๆ โครงการหนึ่งจากสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ สกมช. (NCSA Thailand) นั่นคือ “หลักสูตรด้านความมั่นคงปลอดภัยไซเบอร์เชิงปฏิบัติการ OWASP Top 10 Web Application Security” คอร์สสอนเรื่องช่องโหว่ Cybersecurity บน Web Site 10 อันดับแรกจาก OWASP ที่เกิดขึ้นบ่อยและรุนแรงในปัจจุบัน ที่ไม่ว่าท่านจะทำงานตำแหน่งอะไรก็ควรจะต้องเรียนรู้ไว้ เพื่อนำไปประยุกต์ใช้ได้ทันท่วงที
โครงการเสริมทักษะ Cybersecurity จาก สกมช.
สำหรับโครงการ OWASP Top 10 Web Application Security นี้ ทาง สกมช. ได้เปิดรับผู้เข้าร่วมอบรมจำนวน 200 คนโดยแบ่งอบรมเป็น 10 รุ่น โดยการอบรมได้จัดขึ้นจำนวน 3 วันเต็ม ๆ ซึ่งการเรียนการสอนเชิงปฏิบัติการนี้ดำเนินการแบบออฟไลน์ (ผู้เข้าอบรมจะต้องมีการตรวจ ATK ในวันแรกก่อนทุกท่าน) และผู้สอนในหลักสูตรนี้คือคุณอัมฤทธิ์ ทองทั่ว ผู้เชี่ยวชาญด้าน Cybersecurity แห่ง Secure D Global
โดยทางทีมงาน ADPT ได้รับโอกาสเข้าร่วมอบรมด้วยในช่วงเดือนที่ผ่านมา ขอบอกเลยว่าเป็นโครงการอบรมเชิงปฏิบัติการที่ยอดเยี่ยมมาก ๆ เพราะหลักสูตรนี้เป็นการสอน OWASP Security Top 10 ของเวอร์ชันปี 2021 ซึ่งเป็นเวอร์ชันล่าสุด ที่เข้าใจว่าไม่เคยมีที่ใดในไทยจัดสอนมาก่อน แถมการเรียนการสอนยังเป็นแนวเชิงปฏิบัติการที่มี Playground ให้ทดลองโจมตีในรูปแบบต่าง ๆ ของ OWASP Top 10 แต่ละข้อเลยด้วย ทำให้เข้าใจถึงช่องโหว่ต่าง ๆ ได้มากขึ้นโดยแท้จริง
OWASP Top 10 Web Application Security
หากใครยังไม่รู้จักว่า OWASP คืออะไรมาก่อน OWASP Foundation คือองค์กรไม่แสวงหาผลกำไร (Non-Profit Organization) ที่มุ่งเน้นให้ความรู้ในเรื่องความปลอดภัยในการพัฒนาระบบ ซึ่ง OWASP จะมีการจัดลำดับช่องโหว่ความปลอดภัยที่อันตราย 10 อันดับแรกของแต่ละ Application ไม่ว่าจะเป็น Web Application, Mobile Application หรือว่า Application Programming Interface (API) ออกมาในทุก ๆ 4 ปี เพื่อเป็นแหล่งข้อมูลให้กับนักพัฒนาระบบทั่วโลกในการนำไปปรับใช้สำหรับพัฒนา Application ให้มีความปลอดภัยได้มากยิ่งขึ้น
โดยในคอร์สที่ได้เรียนกับทาง สกมช.นี้ จะเป็นส่วนของ Web Application เป็นหลัก สำหรับเนื้อหาภายในหลักสูตรจะเป็นการเล่าถึงรายละเอียดของ OWASP Top 10 สำหรับ Web Application ของปี 2021 พร้อมทำแล็บเชิงปฏิบัติการของแต่ละข้อบน https://www.secplayground.com/ ที่ทางวิทยากรจัดเตรียมไว้ให้ลองแฮก ลองโจมตีกันได้อย่างเต็มที่ จนทำให้เห็นภาพช่องโหว่ของแต่ละข้อได้ดีขึ้นกว่าเดิมมากมาย
ความรู้สึกหลังเรียน
หลังจากที่เรียนจบหลักสูตรแล้ว เห็นได้ชัดเจนเลยว่าโลกดิจิทัลนั้นประมาทไม่ได้จริง ๆ เพราะถ้าหากระบบหรือ Application ที่ใช้งานอยู่นั้นมีช่องโหว่ ข้อมูลของเราที่ฝากไว้กับ Application ก็อาจจะไปอยู่ในมือของแฮกเกอร์ได้โดยง่าย ดังนั้น ในฐานะของผู้ใช้ จึงควรเรียนรู้และ “สงสัย” ไว้ก่อนว่า Application ที่กำลังใช้งานอยู่นั้นมีโอกาสถูกแฮกเกอร์โจมตีได้หรือไม่ ซึ่งหากพบเจอปัญหาช่องโหว่ต่าง ๆ ของระบบแล้วก็ควรรีบแจ้งให้กับเจ้าของระบบรับทราบโดยทันทีเพื่อให้ทีมพัฒนาเร่งปรับแก้ไขต่อไป
แต่ถ้าหากมองในฐานะของนักพัฒนาระบบหรือผู้ดูแลระบบแล้ว การเรียนรู้ OWASP ในรายละเอียดแต่ละหมวดนั้นเป็นสิ่งที่จำเป็นอย่างยิ่ง เพราะบางที โค้ดหรือ Component ที่มีแนะนำวิธีการพัฒนากันตามอินเทอร์เน็ตนั้นอาจจะเป็นสิ่งที่มีช่องโหว่อยู่ภายในด้วย ซึ่งเมื่อนำมาใช้งานแล้วก็ส่งผลให้ระบบที่กำลังพัฒนาให้ลูกค้ามีช่องโหว่ให้ถูกโจมตีได้ด้วยเช่นกัน เช่น Stack Overflow หรือในหนังสือสอนเขียนโปรแกรม มักจะเขียนโค้ดให้ตั้ง SQL Query ด้วย String ซึ่งหาก Copy มาใช้งานทันทีก็กลายเป็นว่าโค้ดของระบบเราเองก็มีช่องโหว่ A03:2021-Injection เรื่อง SQL Injection ไปด้วยทันที
บทส่งท้าย
สุดท้ายนี้ต้องขอขอบคุณโครงการดี ๆ สกมช. และวิทยากร คุณอัมฤทธิ์ ทองทั่ว เป็นอย่างสูงที่ได้ให้ความรู้ในเรื่อง OWASP อย่างเต็มที่ บอกได้เลยว่าเป็นประโยชน์อย่างมากสำหรับผู้ที่เข้าไปร่วมอบรมทุกท่าน ไม่ว่าจะอยู่ในวงการใดก็ตาม ซึ่งทางทีมงานเชื่อว่าผู้เข้าร่วมอบรมทุกท่านจะสามารถนำความรู้ไปประยุกต์ใช้ในการทำงานภายในองค์กรของแต่ละคนได้อย่างแน่นอน
ถ้าหากใครไม่อยากพลาดโครงการดี ๆ จากทาง สกมช. ในอนาคต หรือข่าวสารงานสัมมนาในด้าน Cybersecurity กดติดตามเพจ NCSA Thailand บน Facebook ไว้ได้เลย
เพิ่มเติม ใครอยากรู้เบื้องต้นว่า OWASP Top 10 Web Application Security มีอะไรบ้าง สามารถอ่านได้ในบทความนี้