บริการทดสอบเจาะระบบ (Penetration Testing) และตรวจสอบช่องโหว่ (Vulnerability Assessment)

ประโยชน์ของการทดสอบเจาะระบบ

1.เพื่อปรับปรุงมาตรการรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศขององค์กรให้สามารถป้องกันการถูกคุกคามผ่านช่องโหว่ได้จริง
2.เป็นการตรวจสอบความมั่นคงปลอดภัยของระบบอย่างอิสระโดยผู้ตรวจสอบภายนอก
3.สร้างความตระหนักด้านความมั่นคงปลอดภัยในการปรับปรุงระบบตลอดเวลา
4.เพื่อให้ได้คำแนะนำด้านการรักษาความมั่นคงปลอดภัย
5.ลดความเสี่ยงด้านกฎหมายและสร้างความตระหนักให้กับผู้ให้บริการ
6.สนับสนุนการปฏิบัติตามมาตรฐาน ISO/IEC 27001, PCI DSS และกฎหมายต่างๆ
7.เป็นการปฏิบัติตามสัญญาหรือเงื่อนไขการใช้บริการของลูกค้า
8.เพื่อเป็นการพิสูจน์ว่าระบบมีความเสี่ยงและใช้เป็นข้อมูลประกอบการลงทุน

AlphaSec มีขั้นตอนการทดสอบเจาะระบบและตรวจสอบช่องโหว่ ดังต่อไปนี้

ขั้นตอนที่ 1 (Carry out Planning):

เป็นขั้นตอนในการสำรวจหรือยืนยันเป้าหมายที่จะดำเนินการเจาะระบบ ดำเนินการประชุมชี้แจงรายละเอียดและความเสี่ยงของการทดสอบเจาะระบบ พร้อมทั้งกำหนด Rule of Engagement (ROE) หรือ กฎหรือข้อตกลงในการทดสอบร่วมกันเพื่อระบุบริบทของการทดสอบ ร่วมกัน พร้อมทั้งวางแผนการทำงาน และแจ้งขอเข้าดำเนินการจากหน่วยงาน เพื่อขออนุมัติ

หลังจากที่ได้รับข้อมูลจากกิจกรรมก่อนหน้านี้ที่ใช้ในการเริ่มต้นวิเคราะห์ช่องโหว่ในเป้าหมายและการพัฒนารายละเอียดการคุกคาม จากนั้นก่อนที่จะเริ่มขั้นตอนต่อไปทีมผู้ทดสอบเจาะระบบ จะมีการแจ้งให้ผู้ที่เกี่ยวข้องในหน่วยงานให้ทราบ

ขั้นตอนที่ 2 (Conduct Research):

เป็นขั้นตอนตรวจสอบ และรวบรวมข้อมูลความถูกต้องของ URL หรือ IP Address หรือ Host เบื้องต้น เพื่อยืนยันเป้าหมายที่ได้รับมานั้นถูกต้อง รวมถึงการค้นหาตรวจสอบประเภทของระบบเป้าหมาย รวมถึงระบุช่องทางในการโจมตีที่เป็นไปได้ (Attack Surface) พร้อมทั้งสามารถวางแผนและเลือกวิธีการในการดำเนินการสำหรับขั้นตอนต่อไปได้ ในกรณีที่เป้าหมายที่ตรวจสอบไม่ตรงกับที่ได้รับมอบหมาย จะดำเนินการตรวจสอบกับทางผู้รับผิดชอบก่อนที่จะดำเนินการขั้นตอนถัดไป

ขั้นตอนที่ 3 (Identify Vulnerability):

เป็นการลงลึกถึงระดับจุดอ่อนของแต่ละช่องทาง เพื่อจัดเตรียมวิธีการในการโจมตีจุดอ่อน หรือเข้าถึงระบบ เช่น Buffer overflow, Code Injection, SQL Injection, Use-After-Free, Weak Password, Weak Security Mechanism เป็นต้น

ขั้นตอนที่ 4 (Exploit Weakness):

เป็นขั้นตอนการทดสอบเจาะระบบแบบผสมผสาน (Hybrid Approach) คือการทดสอบโดยใช้โปรแกรมเจาะระบบแบบอัตโนมัติ (Automate Tool) และความเชี่ยวชาญของบุคลากร (Human Skill) พร้อมเก็บหลักฐานจากการทดสอบ ซึ่งการทดสอบแบบผสมผสานนี้ จะมีข้อดีกว่าการทดสอบเจาะระบบโดยการใช้เครื่องมือทดสอบเจาะระบบเพียงอย่างเดียว ดังนี้

การใช้ Tools เพียงอย่างเดียวและจัดทำรายงาน จะมีความแม่นยำต่ำกว่าเพราะแต่ละช่องโหว่ไม่ได้ถูกนำมาใช้ทดสอบจริง ทำให้เกิดการรายงานผลที่ผิดพลาด (False positive) จำนวนมาก ซึ่งแตกต่างกับการทดสอบควบคู่กับ Manual Test ที่การใช้ Tools จะเป็นแค่ขั้นตอนหนึ่งในการทดสอบเท่านั้น โดยผลที่ได้จากการสแกนจะต้องถูกนำมาพิสูจน์ก่อนว่าเป็นช่องโหว่จริง
สามารถค้นหาช่องโหว่ที่ Tools ไม่สามารถหาได้ เช่น ช่องโหว่ที่เกี่ยวข้องกับ Business Logic หรือ Broken Access Control ซึ่งการทดสอบต้องอาศัยความเข้าใจการออกแบบ การทำงาน รู้ User Matrix ในการเข้าถึงข้อมูล ของ User แต่ละสิทธิ์ (Roles)
สามารถนำความสัมพันธ์ของช่องโหว่ที่พบมา Match กับข้อมูลและความเข้าใจใน Application ของผู้ทดสอบ ซึ่งสามารถต่อยอดไปใช้ในการหาข้อมูลสำคัญเพิ่มเติม รวมไปถึง Credential หรือสามารถเลือกใช้ Tools เฉพาะทางมากขึ้นในการค้นหาช่องโหว่ อีกทั้งยังสามารถนำข้อมูลที่ได้มา Customize เครื่องมือในการหาช่องโหว่ได้เอง

ขั้นตอนที่ 5 (Report Finding):

เป็นการนำผลที่ได้จากขั้นตอนก่อนหน้ามาจัดทำรายงาน ซึ่งจะมีผลการวิเคราะห์ระดับความเสี่ยงพร้อมคำอธิบายและแนวทางวิธีการในการแก้ไขจุดอ่อนที่ตรวจพบ

ขั้นตอนที่ 6 (Remediate Issues):

AlphaSec จะทำการตรวจสอบเพื่อยืนยันผลการแก้ไขช่องโหว่ หรือให้คำแนะนำเพิ่มเติมหากมีความจำเป็นน เพื่อให้ลูกค้าสามารถมั่นใจได้ว่าช่องโหว่ต่าง ๆ ที่ตรวจพบถูกแก้ไขแล้วโดยวิธีที่ถูกต้องและมีประสิทธิภาพเพียงพอสามารถลดความเสี่ยงให้อยู่ในระดับที่รับได้โดยลูกค้า

AlphaSec มีผู้เชี่ยวชาญในการทดสอบเจาะระบบ ที่มีประสบการณ์มากกว่า 20 ปีและได้รับวุฒิบัตรรับรองความรู้ความสามารถจำนวนมาก ผ่านการทดสอบเจาะระบบขององค์กรชั้นนำของประเทศมามากมาย เพื่อให้ลูกค้ามั่นใจว่า จะได้รับบริการทดสอบเจาะระบบจากเราในระดับมาตรฐานสากล

ติดต่อบริการที่ปรึกษา