ทุกท่านน่าจะเคยได้เคยคำว่า “Shift-left Security” มานานแล้ว ซึ่งก็คือการรำเอา Security มาใช้ในกระบวนการพัฒนา Software ในทุก ๆ Stages โดยอาจจะนำเอาเครื่องมือมาช่วยเพื่อให้การพัฒนา Software มีความมั่นคงปลอดภัยมาขึ้น เช่น
-การนำ SAST (Static application security testing) มาใช้ช่วยทำ Source code analysis.
-การนำ DAST (Dynamic application security testing) มาใช้ช่วยการในการตรวจสอบช่องโหว่ในช่วง Staging ก่อนที่เรานำระบบขึ้น Production
.
•การใช้ SBOM (Software Bill of Material) มาช่วยในการทำรายการของ Library, Opensource, API เพื่อเป็น Bible ที่ระบบอื่น ๆ มาใช้ตรวจสอบ หรือเราใช้ในการตรวจสอบตนเองในด้านความมั่นคงปลอดภัย
เป็นต้น
.
นั้นก็คือการนำ DevSecOps นั้นเอง ที่เราเอาแนวคิดนี้มาปรับปรุงกระบวนการของเรา หลาย ๆ องค์กรเริ่มนำใช้อย่างมากมาย แต่ทว่ามันพอเพียงหรือไม่ อันนี้เป็นคำถามที่ดีมาก เพราะความเสี่ยงไม่มีทางที่จะทำให้เป็น Zero ได้ หรือบางท่านบอกว่า เราอาจจะเสริมด้วยการ “Shift-right Security” ได้หรือไม่ คือนำ Security ไปปกป้องตอนที่เราขึ้นระบบ โดยใช้อุปกรณ์จำพวก WAF (Web application firewall) หรืออีกอุปกรณ์ที่มีการพูดถึงการมากมาย WAAP (Web application and API Protector)
.
นำมาป้องกันเว็บแอปพลิเคชันจากการโจมตีในรูปแบบต่าง ๆ เช่น cross-site forgery, cross-site-scripting (XSS), file inclusion และ SQL injection เป็นต้น รวมไปถึงเรื่อง API Security ที่หลาย ๆ องค์กรเริ่มมาพิจารณาตรวจสอบมากขึ้นเป็นลำดับ
.
ในปัจจุบันจะมีศัพท์ใหม่เกิดขึ้นมา คือ “Shift Everywhere” ซึ่งก็เกิดจากความไม่มั่นใจในด้านความมั่นคงปลอดภัยว่าจะทำอย่างไรที่เราจะปกป้องระบบสำคัญ ๆ ของธุรกิจได้อย่างเพียงพอ
.
อย่างไรก็ตามลองมาฟัง Concept นี้.ในงาน CDIC ซึ่งหลายบูทของ Products ได้มีการพูดถึงเรื่องนี้ รวมไปถึงของ ACIS Booth ด้วย
.
CDIC 2023 งานสัมมนายิ่งใหญ่ประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศ ปีนี้จัดเต็มรูปแบบ On-ground Conference ภายใต้แนวคิด “Powering Techno-Drive in Digi-Hype Behavior towards Digital Trust” เมื่อถึงยุคที่ Leadership-Culture-People-Process-Technology มาบรรจบรวมกันเป็นปัจจัยสำคัญในการขับเคลื่อนด้านความมั่นคงปลอดภัยที่ต้องตอบสนองต่อการเปลี่ยนแปลงพฤติกรรมของผู้ใช้งานทั้งในระดับองค์กรและระดับบุคคล
.
