ทุกวันนี้ยังมีความเข้าใจผิดและสับสนกันระหว่างการตรวจสอบช่องโหว่ (Vulnerability Assessment) และการทดสอบเจาะระบบ (Penetration Testing) ว่าจริงๆ แล้วมันคือเรื่องเดียวกัน
แต่ความเป็นจริงแล้ว การทดสอบเจาะระบบให้ความสำคัญไปที่การทะลุทะลวง (Exploitation) เข้าไปในระบบโดยที่ไม่ไม่สิทธิเข้าถึงระบบหรือข้อมูล เพื่อแสดงว่าผู้ทดสอบสามารถเข้าถึงข้อมูลของธุรกิจโดยไม่จำเป็นต้องผ่านช่องทางปกติเช่นเดียวกับยูสเซอร์ทั่วไปได้ ซึ่งหมายความว่าผู้ทดสอบสามารถเจาะระบบผ่านช่องโหว่ที่ค้นพบได้นั่นเอง
ส่วนการตรวจสอบช่องโหว่นั้นมีเป้าหมายเพื่อการค้นหาช่องโหว่ โดยแทบจะไม่มีการเจาะระบบหรือการเข้าถึงระบบหรือข้อมูลแต่อย่างใด
ดังนั้นการทดสอบเจาะระบบจะมีความลึกกว่า เนื่องจากเป้าหมายคือการทะลุเข้าไปในระบบหรือข้อมูล
ในขณะที่การตรวจสอบช่องโหว่นั้นเป็นเพียงการค้นหาจุดบกพร่องหรือช่องโหว่ ซึ่งรวมไปถึงการหาช่องโหว่ของนโยบายและขั้นตอนปฏิบัติไม่ใช่เพียงแค่ช่องโหว่ทางเทคนิคเท่านั้น
ที่มา : SANS
ALPHASEC ให้บริการฝึกอบรม ที่ปรึกษาและตรวจสอบด้านการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยตามกฎหมาย PDPA, Outsourced DPO, มาตรฐาน PCI DSS, ISO/IEC 27001, ISO/IEC 27701, CSA STAR, ทดสอบเจาะระบบและ IT Audit โดยที่ปรึกษาและผู้ตรวจสอบทั้งด้านฎหมายและ IT มืออาชีพ