Being an Ethical Hecker Not That Easy

Session ของคุณ Suttapong W. ซึ่งเป็นหัวข้อของ

"Understanding Challenges and Skills in Cybersecurity"

หลายคนเข้าใจว่า Hacker เป็นการ crack system แต่จริงๆ แล้ว มันเป็นการทำงานที่หลากหลายมาก

Ethical Hacking vs Malicious Hacking

หลายๆ คนอาจจะไม่รู้จักคำๆ นี้ แต่ถ้าบอกว่า White hat Hacking กับ Black hat Hacking น่าจะรู้จักกัน

White Hack hat hacking เป็นการ Hack ที่มีเรื่องของจริยธรรมเข้ามาเกี่ยวข้องด้วย และมันสำคัญมากๆ ด้ว ในขณะที่ Milicious Hacking หรือ Black hat hacking เราจะทำอะไรก็ได้ แต่อาจจะผิดกฏหมาย และถูกจับได้ อย่างที่เห็นกันในข่าว

Aptitude of Security

คือ skill รูปแบบหนึ่ง ที่เป็น skill พื้นฐานที่เราสามารถนำมาใช้ในชีวิตประจำวันของเราได้ด้วยเช่นกัน

Systematic Thinking การคิดอย่างเป็นระบบเป็นสิ่งที่จำเป็นทั้งในชีวิตประจำวัน และ ในงานด้าน security ด้วยเช่นกัน

Detail and Precision การเห็นสิ่งผิดปกติเล็กๆ น้อยๆ ที่เกิดขึ้น

Pettern Recognition and Anomaly Detection คือ การหาสิ่งที่เปลี่ยนไปจากสิ่งที่เกิดขึ้นได้ จากการทำงานปกติ หรือ เป็น pettern เช่น ทุกๆ วัน เมื่อตื่นนอนมาเราจะลุกทางซ้ายก่อนเสมอ แต่ถ้าวันหนึ่งเราลุกไปทางขวาก่อน เป็นต้น

Analytical Solving Problem ในการแก้ปัญหานั้น หากเราการแก้ปัญหาได้ ยิ่งทำได้ยิ่งสร้าง value ให้แก่ตัวเรา ทักษะในการวิเคราะห์ และแก้ปัญหาของเรานั้นสามารถช่วยเหลือคนอื่นๆ ได้ (หรือลูกค้า) ดังนั้นงาน Hacking เป็นการช่วยป้องกัน ไม่ให้เกิดปัญหาในอนาคต

Procedural Discipline การทำงานตามขั้นตอน ซึ่งเป็นส่งที่สำคัญมาก ตอนที่เราเป็น dev เราอาจจะไม่ค่อยชอบทำตาม checklist แต่จริงๆ แล้วหลายๆ งานมันสำคัญมากๆ ถ้าเรามี Checklist ตั้งแต่ต้นมันจะช่วยเรามากๆ เช่น เราสามารถคิดเรื่อง security ได้ตั้งแต่ requirements ได้เลย ไม่ต้องรอทำในตอนใช้ งาน Security เองก็สามารถเข้ามาช่วยได้ตั้งแต่ต้นเลย

FAQs

การ shift left security ทำได้อย่างไร เราจะทำได้อย่างไร รวมถึงเราจะแก้ปัญหาเรื่องของ ux ของ security ไม่ค่อยดี มีวิธีการไหนที่ทำให้ง่ายขึ้น

ปัญหาที่เจอ คือ security ไม่ได้เกิดขึ้นตั้งแต่แรก แต่จะไปที่หลัง พวกธนาคาร ร้านทอง จะมองเห็น เรื่องความ security แต่อื่นๆ อาจจะไม่เห็น

ดังนั้น Management posture จึงสำคัญมากๆ ส่วนใน development เอง จะ focus ในเรื่องของ dev มาก่อน security เสมอ สิ่งที่ทำได้คือ การสร้าง security awaness อาจจะสอน หรือ เน้นย้ำ เรื่อยๆ รวมถึงนำเอาเรื่องของ security ไปทำตั้งแต่ต้น ตั้งแต่ requirements เลย

Guild line ที่แนะนำคือ ASVS ของ OWASP ตัวนี้ก็ช่วยได้เยอะ

References

• https://owasp.org/www-project-developer-guide/release-ja/requirements/asvs/
• https://prezi.com/view/1qTvKLoaVr302OMUFX48/