บริการทดสอบเจาะระบบและตรวจสอบช่องโหว่
(Penetration Testing : PenTest and Vulnerability Assessment : VA Scan)
บริการทดสอบเจาะระบบ (Penetration Testing) และตรวจสอบช่องโหว่ (Vulnerability Assessment)
การทดสอบการเจาะระบบ (Penetration Testing) หรือที่เรียกอย่างย่อว่า Pentest เป็นกระบวนการประเมินความเสี่ยงที่ดำเนินการโดยการทดลองเจาะระบบคอมพิวเตอร์เพื่อค้นหาจุดอ่อนที่อาจถูกใช้ในการเข้าถึงระบบโดยไม่ได้รับอนุญาต การทดสอบนี้จะถูกดำเนินการโดยผู้เชี่ยวชาญเพื่อช่วยให้องค์กรสามารถระบุความเสี่ยงต่อระบบเครือข่ายของตนได้อย่างชัดเจน ซึ่งจะนำไปสู่การทดสอบเจาะระบบอย่างละเอียด, การรายงานผลการทดสอบ, และการประเมินความเสี่ยงเพื่อการวางแผนการป้องกันล่วงหน้า การค้นหาช่องโหว่ดังกล่าวเป็นส่วนหนึ่งของมาตรการป้องกันภัยคุกคามทางไซเบอร์ที่เหมาะสำหรับองค์กรที่มุ่งมั่นในการรักษาความปลอดภัยข้อมูลอย่างจริงจัง และต้องการตรวจสอบระบบของตนอย่างสม่ำเสมอ
ความปลอดภัยทางไซเบอร์ถือเป็นปัจจัยสำคัญที่สุดในการสร้างรากฐานของระบบคอมพิวเตอร์ การมีระบบความปลอดภัยที่เข้มแข็งจะนำไปสู่ผลประโยชน์ในระยะยาว ข้อมูลที่สำคัญภายในระบบซึ่งสามารถสร้างมูลค่าทางเศรษฐกิจได้นั้น มักจะเป็นเป้าหมายของผู้ที่มีเจตนาไม่ดี ตัวอย่างเช่น การโจมตีด้วย Ransomware หรือการโจมตีเว็บไซต์จากคู่แข่ง
ALPHASEC ซึ่งเป็นบริษัทร่วมทุนกับ ทีคิวอาร์ จำกัด (มหาชน) (TQR) ให้บริการทดสอบการเจาะระบบเพื่อประเมินความปลอดภัยของระบบเครือข่ายของคุณ ช่วยให้คุณสามารถจัดการและบริหารความปลอดภัยด้านเครือข่ายได้อย่างมีประสิทธิภาพ รวมถึงการประเมินความเสี่ยงที่อาจเกิดขึ้นกับระบบเครือข่ายของคุณ
การทดสอบการเจาะระบบหรือ Penetration Testing เป็นกระบวนการจำลองสถานการณ์การโจมตีเพื่อค้นหาช่องโหว่หรือจุดอ่อนในระบบป้องกัน เช่น การจ้างบุคคลภายนอกเพื่อปลอมตัวเป็นโจรพยายามเข้าถึงสถานที่หรือวัตถุมีค่าเพื่อทดสอบความมั่นคงของระบบการป้องกัน
การทดสอบนี้มีหลายรูปแบบ ได้แก่ External Testing, Internal Testing, Blind Testing, Double-blind Testing, และ Targeted Testing ซึ่งแต่ละวิธีมีจุดประสงค์และวิธีการที่แตกต่างกัน เพื่อช่วยให้องค์กรสามารถระบุและแก้ไขจุดอ่อนในระบบความปลอดภัยของตนได้อย่างมีประสิทธิภาพ
ประโยชน์ของการทดสอบเจาะระบบ (Pentest) และตรวจสอบช่องโหว่
-
เพื่อปรับปรุงมาตรการรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศขององค์กรให้สามารถป้องกันการถูกคุกคามผ่านช่องโหว่ได้จริง
-
เป็นการตรวจสอบความมั่นคงปลอดภัยของระบบอย่างอิสระโดยผู้ตรวจสอบภายนอก
-
สร้างความตระหนักด้านความมั่นคงปลอดภัยในการปรับปรุงระบบตลอดเวลา
-
เพื่อให้ได้คำแนะนำด้านการรักษาความมั่นคงปลอดภัย
-
ลดความเสี่ยงด้านกฎหมายและสร้างความตระหนักให้กับผู้ให้บริการ
-
สนับสนุนการปฏิบัติตามมาตรฐาน ISO/IEC 27001, PCI DSS และกฎหมายต่างๆ
-
เป็นการปฏิบัติตามสัญญาหรือเงื่อนไขการใช้บริการของลูกค้า
-
เพื่อเป็นการพิสูจน์ว่าระบบมีความเสี่ยงและใช้เป็นข้อมูลประกอบการลงทุน
AlphaSec มีขั้นตอนการทดสอบเจาะระบบ (Pentest) และตรวจสอบช่องโหว่ (VA) ดังต่อไปนี้
Carry out Planning
ขั้นตอนที่ 1
เป็นขั้นตอนในการสำรวจหรือยืนยันเป้าหมายที่จะดำเนินการเจาะระบบ (Pentest) ดำเนินการประชุมชี้แจงรายละเอียดและความเสี่ยงของการทดสอบเจาะระบบ พร้อมทั้งกำหนด Rule of Engagement (ROE) หรือ กฎหรือข้อตกลงในการทดสอบร่วมกันเพื่อระบุบริบทของการทดสอบ ร่วมกัน พร้อมทั้งวางแผนการทำงาน และแจ้งขอเข้าดำเนินการจากหน่วยงาน เพื่อขออนุมัติ
หลังจากที่ได้รับข้อมูลจากกิจกรรมก่อนหน้านี้ที่ใช้ในการเริ่มต้นวิเคราะห์ช่องโหว่ในเป้าหมายและการพัฒนารายละเอียดการคุกคาม จากนั้นก่อนที่จะเริ่มขั้นตอนต่อไปทีมผู้ทดสอบเจาะระบบ จะมีการแจ้งให้ผู้ที่เกี่ยวข้องในหน่วยงานให้ทราบ
Conduct Research
ขั้นตอนที่ 2
เป็นขั้นตอนตรวจสอบ และรวบรวมข้อมูลความถูกต้องของ URL หรือ IP Address หรือ Host เบื้องต้น เพื่อยืนยันเป้าหมายที่ได้รับมานั้นถูกต้อง รวมถึงการค้นหาตรวจสอบประเภทของระบบเป้าหมาย รวมถึงระบุช่องทางในการโจมตีที่เป็นไปได้ (Attack Surface) พร้อมทั้งสามารถวางแผนและเลือกวิธีการในการดำเนินการสำหรับขั้นตอนต่อไปได้ ในกรณีที่เป้าหมายที่ตรวจสอบไม่ตรงกับที่ได้รับมอบหมาย จะดำ�เนินการตรวจสอบกับทางผู้รับผิดชอบก่อนที่จะดำเนินการขั้นตอนถัดไป
Identify Vulnerability
ขั้นตอนที่ 3
เป็นการลงลึกถึงระดับจุดอ่อนของแต่ละช่องทาง เพื่อจัดเตรียมวิธีการในการโจมตีจุดอ่อน หรือเข้าถึงระบบ เช่น Buffer overflow, Code Injection, SQL Injection, Use-After-Free, Weak Password, Weak Security Mechanism เป็นต้น
Exploit Weakness
ขั้นตอนที่ 4
เป็นขั้นตอนการทดสอบเจาะระบบแบบผสมผสาน (Hybrid Approach) คือการทดสอบโดยใช้โปรแกรมเจาะระบบแบบอัตโนมัติ (Automate Tool) และความเชี่ยวชาญของบุคลากร (Human Skill) พร้อมเก็บหลักฐานจากการทดสอบ ซึ่งการทดสอบแบบผสมผสานนี้ จะมีข้อดีกว่าการทดสอบเจาะระบบโดยการใช้เครื่องมือทดสอบเจาะระบบเพียงอย่างเดียว ดังนี้
-
การใช้ Tools เพียงอย่างเดียวและจัดทำรายงาน จะมีความแม่นยำต่ำกว่าเพราะแต่ละช่องโหว่ไม่ได้ถูกนำมาใช้ทดสอบจริง ทำให้เกิดการรายงานผลที่ผิดพลาด (False positive) จำนวนมาก ซึ่งแตกต่างกับการทดสอบควบคู่กับ Manual Test ที่การใช้ Tools จะเป็นแค่ขั้นตอนหนึ่งในการทดสอบเท่านั้น โดยผลที่ได้จากการสแกนจะต้องถูกนำมาพิสูจน์ก่อนว่าเป็นช่องโหว่จริง
-
สามารถค้นหาช่องโหว่ที่ Tools ไม่สามารถหาได้ เช่น ช่องโหว่ที่เกี่ยวข้องกับ Business Logic หรือ Broken Access Control ซึ่งการทดสอบต้องอาศัยความเข้าใจการออกแบบ การทำงาน รู้ User Matrix ในการเข้าถึงข้อมูล ของ User แต่ละสิทธิ์ (Roles)
-
สามารถนำความสัมพันธ์ของช่องโหว่ที่พบมา Match กับข้อมูลและความเข้าใจใน Application ของผู้ทดสอบ ซึ่งสามารถต่อยอดไปใช้ในการหาข้อมูลสำคัญเพิ่มเติม รวมไปถึง Credential หรือสามารถเลือกใช้ Tools เฉพาะทางมากขึ้นในการค้นหาช่องโหว่ อีกทั้งยังสามารถนำข้อมูลที่ได้มา Customize เครื่องมือในการหาช่องโหว่ได้เอง
Report Finding
ขั้นตอนที่ 5
เป็นการนำผลที่ได้จากขั้นตอนก่อนหน้ามาจัดทำรายงาน ซึ่งจะมีผลการวิเคราะห์ระดับความเสี่ยงพร้อมคำอธิบายและแนวทางวิธีการในการแก้ไขจุดอ่อนที่ตรวจพบ
Remediate Issues
ขั้นตอนที่ 6
AlphaSec จะทำการตรวจสอบเพื่อยืนยันผลการแก้ไขช่องโหว่ หรือให้คำแนะนำเพิ่มเติมหากมีความจำเป็นน เพื่อให้ลูกค้าสามารถมั่นใจได้ว่าช่องโหว่ต่าง ๆ ที่ตรวจพบถูกแก้ไขแล้วโดยวิธีที่ถูกต้องและมีประสิทธิภาพเพียงพอสามารถลดความเสี่ยงให้อยู่ในระดับที่รับได้โดยลูกค้า
AlphaSec มีผู้เชี่ยวชาญในการทดสอบเจาะระบบ ที่มีประสบการณ์มากกว่า 20 ปีและได้รับวุฒิบัตรรับรองความรู้ความสามารถจำนวนมาก ผ่านการทดสอบเจาะระบบขององค์กรชั้นนำของประเทศมามากมาย เพื่อให้ลูกค้ามั่นใจว่า จะได้รับบริการทดสอบเจาะระบบจากเราในระดับมาตรฐานสากล