เช็กลิสต์ความปลอดภัยสำหรับ CTO ของ SaaS Ver.3

• อธิบายหัวข้อความปลอดภัยที่ CTO ต้องดูแล แยกตามหมวดหมู่

→ ลิงก์ให้อ่านเพิ่มเติม เครื่องมือแนะนำ เคล็ดลับที่เกี่ยวข้อง ฯลฯ

• พนักงาน

→ จัดอบรมด้านความปลอดภัย

→ ใช้ 2FA

→ ตั้งค่าล็อกคอมพิวเตอร์อัตโนมัติ

→ ป้องกันการแชร์บัญชี

→ เข้ารหัสคอมพิวเตอร์/โทรศัพท์ส่วนตัว - Jamf, Canonical Landscape

→ เช็กลิสต์ onboarding / offboarding

→ ใช้ตัวจัดการรหัสผ่าน - dashlane, lastpass, onelogin

→ จัดทำและใช้งานเช็กลิสต์สำหรับ security code review -

→ จัดการบัญชีแบบรวมศูนย์

→ เครื่องมือป้องกันมัลแวร์และไวรัส - stormshield

→ จ้าง security engineer

• โค้ด

→ จัดการ security bug เหมือน bug ทั่วไป

→ แยก secrets ออกจากโค้ด - envkey, vault, secret-manager

→ อย่าทำ cryptography เอง ให้ใช้ไลบรารี

→ ใช้ Static Code Analysis Tool

→ ทำเซสชันทดสอบที่เน้นด้านความปลอดภัย

→ ทำ security automation ให้ครอบคลุมทั้ง Software Development Life Cycle (SDLC)

→ ทำ security training onboarding ให้กับ software engineer - safecode, pagerdugy sudo

• แอปพลิเคชัน

→ ทำ security automation สำหรับผลิตภัณฑ์โปรดักชัน - snyk, checkov

→ ความปลอดภัยของ FaaS

→ ติดตาม dependency - snyk, dependabot

→ รันด้วยบัญชีที่ไม่ใช่ root (unprivileged)

→ บริการป้องกันแบบเรียลไทม์ (Runtime Application Self Protection, RASP)

→ จ้างทีม external penetration testing

• โครงสร้างพื้นฐาน

→ สำรองข้อมูล ทดสอบการกู้คืน แล้วสำรองอีกครั้ง - tarsnap, quay

→ ทดสอบความปลอดภัยพื้นฐานของเว็บไซต์ - securityheaders, ssllabs

→ แยก asset ต่าง ๆ ในระดับเครือข่าย

→ อัปเดต OS และ Docker image ให้เป็นเวอร์ชันล่าสุด - watchtower , spacewalkproject

→ สแกนความปลอดภัยของ container image แบบอัตโนมัติ - quay, vulerability & image scanning

→ ใช้ TLS กับทุกเว็บไซต์และ API

→ รวมศูนย์ log ทั้งหมด จัดเก็บถาวร และทำให้ใช้งานได้อย่างมีความหมาย - loggly, kibana

→ มอนิเตอร์บริการที่เปิดเผยสู่ภายนอก - checkup

→ ป้องกันการโจมตีแบบ DDOS - fastly, cloudflare, cloudfront

→ บล็อกการเข้าถึงบริการภายในด้วย IP

→ ตรวจจับรูปแบบความผิดปกติใน metrics - newrelec , sysdig

• บริษัท

→ ซื่อตรงและโปร่งใสกับข้อมูลทั้งหมดที่เก็บรวบรวม

→ สร้างวัฒนธรรมที่คุ้นเคยกับความปลอดภัย - Security Culture Framework

→ อย่าแชร์เครือข่าย WiFi กับผู้มาเยือน

→ ตรวจสอบความปลอดภัยของบริการ third-party สำคัญทั้งหมด - Google Apps/Slack/WordPress เป็นต้น

→ ตรวจสอบการปกป้องชื่อโดเมน - การต่ออายุอัตโนมัติและฟังก์ชันล็อกอื่น ๆ

→ ตรวจสอบนโยบายความปลอดภัยที่เผยแพร่สู่สาธารณะ

→ ใช้เครื่องมือที่ให้ความสำคัญกับความปลอดภัยเป็นอันดับแรก

→ เตรียมพร้อมสำหรับการ scale ด้านความปลอดภัย

→ สร้างโปรแกรม Bug Bounty - hackerone, cobalt

→ ทำ inventory ของทรัพย์สินบริษัท

→ จัดทำนโยบายความปลอดภัยภายใน

→ เตรียมรับมือกับ phishing โดเมน

• ผู้ใช้ผลิตภัณฑ์

→ บังคับใช้นโยบายรหัสผ่าน

→ เสริมการปกป้องข้อมูลส่วนบุคคลของผู้ใช้: ป้องกัน social engineering

→ แนะนำให้ผู้ใช้ใช้ 2FA รองรับ SSO และการจัดการบัญชีตามบทบาท - auth0, okta, WebAuthn

→ ตรวจจับพฤติกรรมผิดปกติของผู้ใช้ - castle