Nexpose Vulnerability Assessment

 

วันนี้จะมาแนะนำเครื่องมือตัวหนึ่ง เป็น Vulnerability Assessment, Security Scanner หรืออะไรก็ตามแต่จะเรียก มันคือเครื่องมือตรวจสอบความปลอดภัยของระบบไอทีสารสนเทศ เครื่องมือตัวนี้เกิดมาจาก เครื่องมือแฮกตัวนึง ที่ชื่อว่า Metasploit เริ่มสร้างมาเมื่อปี 2003 โดย HD Moore  เป็น Open Source นะครับ ทุกวันนี้เขาเรียกเครื่องมือแฮกตัวนี้ให้ดูดีว่าเป็น Penetration Testing Frame Work (เดี๋ยววันหลังมาลองตัวนี้กัน รอน้ำลงก่อน อะไรๆคงจะดีกว่านี้)

 

ลืมบอกอีกอย่างเดี๋ยวอ่านแล้วจะไม่เข้าใจ Penetration Testing, Pen-test, Penetration Tester, Pen-tester ก็คือการทดสอบเจาะระบบ, นักเจาะระบบ ก็คือแฮกเกอร์หมวกขาว ทำไปเพราะหน้าที่การงานเงินเดือน ทำไปเพื่อทดสอบระบบความปลอดภัย ไม่ได้ทำไปเพื่อทำลายล้าง และเมื่อพบจุดอ่อนก็จะทราบว่าควรจะทำตรงไหนให้แข็งแรงขึ้น

 

ในปี 2009 บริษัท Rapid7 ก็เข้าซื้อมาเป็นของตัวเอง แล้วเอามาออกผลิตภัณฑ์เป็น Nexpose เนี่ยแหล่ะครับ อยากรู้รายละเอียดผลิตภัณฑ์มากกว่านี้ก็ลองหาข้อมูลดูครับ ผมเอาตัวฟรีมาให้ลองดูกัน เริ่มต้นด้วยการไป download ตัวที่คุณต้องการและใช้กับเครื่องที่คุณจะลงได้

 

หลังจากติดตั้งแล้วก็เริ่มกันเลย

หน้าแรก เมื่อเปิดขึ้นมา

คลิกดูภาพใหญ่ได้ครับ ผมตั้งใจให้เข้าเว็บได้เร็ว ดูจากช่อง URL จะเห็นว่ามันทำงานบน Localhost บน port 3780 ไปต่อกันเลย แบบเร็วๆ

 

เลือก Assets

มาเลือกที่ Assets จะเห็นดังภาพครับ จากนั้นเลือกที่ Sites เพื่อใส่ Assets ของคุณ คือเป้าหมายที่ต้องการตรวจสอบความปลอดภัยของระบบ

 

ตั้งชื่อ

ก็ตั้งชื่อไปนะครับ แล้วเลือกความสำคัญของ Site คุณครับ

 

ใส่ค่า Device

เมื่อใส่ค่าแล้วก็กด Next ไปเรื่อยๆนะครับ ต่อมาผมใส่ค่า Device ในที่นี้ผมใส่เป็น IP Address ครับ

 

Scan type

ในหน้า Scan Setup เลือกรูปแบบการสแกนในแบบที่คุณต้องการ ในที่นี้ผมเลือก Full Audit

 

ใส่ค่าต่างๆเรียบร้อย

เมื่อใส่ค่าต่างๆเรียบร้อย เห็นปุ่มเขียวๆไหมครับ พร้อมแล้วก็ลุยกันเลย

 

ลุยกันเลย

เมื่อเริ่มทำการสแกนจะมีสถานะบอกตามภาพนะครับ ระหว่างนี้จะนั่งดูการทำงานมันก็ได้ ดูที่ View Scan Log ได้ครับ จะเห็นการทำงานสดๆ

 

ผลลัพธ์

ผลลัพธ์ต่อ

 

เมื่อสแกนเสร็จแล้ว ก็ได้ผลลัพธ์ออกมาดังภาพ จะบอกหมดเลย ว่าเป็นระบบปฏิบัติการอะไร มีช่องโหว่อะไร ความเสี่ยงมากน้อยตรงไหน เห็นชื่อ User ที่อยู่บนระบบ เห็นโฟล์เดอร์ ที่ผมตั้งใจย่อไว้ไม่ให้เห็นนั่นแหล่ะครับ ไปดูอีกหน้าครับ หน้าที่เรียกว่า Vulnerability

แต๊นแต้นแตน......

ดูตรง Exploitability สิครับ แปลตรงตัวคือว่า สามารถ Exploit ได้ เอาให้เข้าใจง่ายกว่า คือแฮกได้ด้วยเครื่องมือ Metasploit สามารถคลิกแล้วเริ่มแฮกได้เลย ตัวที่ไม่มีบอกว่า Exploitability ก็ไม่ได้หมายความว่าแฮกไม่ได้ แต่ละอย่างมันมีวิถีทางของมัน…

 

 

เป็นไงบ้างครับ ผมแนะนำสำหรับองค์กรหน่วยงานที่ยังไม่ได้รู้เรื่อง ยังไม่ให้ความสำคัญ ยังไม่เคยโดนกับตัว เริ่มเสียตั้งแต่วันนี้ ถ้าไม่อยากมีชีวิตที่ยากลำบาก เพราะเรื่องไม่คาดฝันกับธุรกิจของคุณ เมื่อเห็นผลลัพธ์การตรวจสอบช่องโหว่ของเครื่องมือ VA (Vulnerability Assessment) แล้วก็นำคำแนะนำของเครื่องมือ ไปดำเนินการโดยทันที เขาจะมีบอกวิธีปรับปรุงแก้ไขให้ดีขึ้นด้วยนะครับ แต่ก่อนจะดำเนินการ Patch อะไร ให้ตั้งระบบทดสอบ Patch ก่อนว่ามันจะกระทบกับ Application อื่นๆที่คุณมีใช้งานอยู่หรือไม่ด้วยนะครับ เพียงง่ายๆเท่านี้คุณก็มีกระบวนการ VM (Vulnerability Management) ได้แล้ว ซึ่งคุณสามารถสร้างระบบหรือกระบวนการที่เหมาะสมกับองค์กรของคุณได้เอง อาจจะไม่ต้องอ้างเอกสารมาตราฐานก็ได้ ให้มันมีแล้วดีต่อคุณ ดีกว่าไม่ทำอะไรเลย