Copy of PrivacyNote.png
 

บริการทดสอบเจาะระบบ (Penetration Testing) และตรวจสอบช่องโหว่ (Vulnerability Assessment)

ประโยชน์ของการทดสอบเจาะระบบ


1.เพื่อปรับปรุงมาตรการรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศขององค์กรให้สามารถป้องกันการถูกคุกคามผ่านช่องโหว่ได้จริง
2.เป็นการตรวจสอบความมั่นคงปลอดภัยของระบบอย่างอิสระโดยผู้ตรวจสอบภายนอก
3.สร้างความตระหนักด้านความมั่นคงปลอดภัยในการปรับปรุงระบบตลอดเวลา
4.เพื่อให้ได้คำแนะนำด้านการรักษาความมั่นคงปลอดภัย
5.ลดความเสี่ยงด้านกฎหมายและสร้างความตระหนักให้กับผู้ให้บริการ
6.สนับสนุนการปฏิบัติตามมาตรฐาน ISO/IEC 27001, PCI DSS และกฎหมายต่างๆ
7.เป็นการปฏิบัติตามสัญญาหรือเงื่อนไขการใช้บริการของลูกค้า
8.เพื่อเป็นการพิสูจน์ว่าระบบมีความเสี่ยงและใช้เป็นข้อมูลประกอบการลงทุน


AlphaSec มีขั้นตอนการทดสอบเจาะระบบและตรวจสอบช่องโหว่ ดังต่อไปนี้

Screenshot 2021-01-13 120420.png

ขั้นตอนที่ 1 (Carry out Planning):

เป็นขั้นตอนในการสำรวจหรือยืนยันเป้าหมายที่จะดำเนินการเจาะระบบ ดำเนินการประชุมชี้แจงรายละเอียดและความเสี่ยงของการทดสอบเจาะระบบ พร้อมทั้งกำหนด Rule of Engagement (ROE)  หรือ กฎหรือข้อตกลงในการทดสอบร่วมกันเพื่อระบุบริบทของการทดสอบ ร่วมกัน พร้อมทั้งวางแผนการทำงาน และแจ้งขอเข้าดำเนินการจากหน่วยงาน เพื่อขออนุมัติ

 

หลังจากที่ได้รับข้อมูลจากกิจกรรมก่อนหน้านี้ที่ใช้ในการเริ่มต้นวิเคราะห์ช่องโหว่ในเป้าหมายและการพัฒนารายละเอียดการคุกคาม จากนั้นก่อนที่จะเริ่มขั้นตอนต่อไปทีมผู้ทดสอบเจาะระบบ จะมีการแจ้งให้ผู้ที่เกี่ยวข้องในหน่วยงานให้ทราบ 

ขั้นตอนที่ 2 (Conduct Research): 

เป็นขั้นตอนตรวจสอบ และรวบรวมข้อมูลความถูกต้องของ URL หรือ IP Address หรือ Host เบื้องต้น เพื่อยืนยันเป้าหมายที่ได้รับมานั้นถูกต้อง รวมถึงการค้นหาตรวจสอบประเภทของระบบเป้าหมาย รวมถึงระบุช่องทางในการโจมตีที่เป็นไปได้ (Attack Surface) พร้อมทั้งสามารถวางแผนและเลือกวิธีการในการดำเนินการสำหรับขั้นตอนต่อไปได้ ในกรณีที่เป้าหมายที่ตรวจสอบไม่ตรงกับที่ได้รับมอบหมาย จะดำเนินการตรวจสอบกับทางผู้รับผิดชอบก่อนที่จะดำเนินการขั้นตอนถัดไป

 

ขั้นตอนที่ 3 (Identify Vulnerability):

เป็นการลงลึกถึงระดับจุดอ่อนของแต่ละช่องทาง เพื่อจัดเตรียมวิธีการในการโจมตีจุดอ่อน หรือเข้าถึงระบบ เช่น Buffer overflow, Code Injection, SQL Injection, Use-After-Free, Weak Password, Weak Security Mechanism เป็นต้น

ขั้นตอนที่ 4 (Exploit Weakness): 

เป็นขั้นตอนการทดสอบเจาะระบบแบบผสมผสาน (Hybrid Approach) คือการทดสอบโดยใช้โปรแกรมเจาะระบบแบบอัตโนมัติ (Automate Tool) และความเชี่ยวชาญของบุคลากร (Human Skill) พร้อมเก็บหลักฐานจากการทดสอบ ซึ่งการทดสอบแบบผสมผสานนี้ จะมีข้อดีกว่าการทดสอบเจาะระบบโดยการใช้เครื่องมือทดสอบเจาะระบบเพียงอย่างเดียว ดังนี้

  • การใช้ Tools เพียงอย่างเดียวและจัดทำรายงาน จะมีความแม่นยำต่ำกว่าเพราะแต่ละช่องโหว่ไม่ได้ถูกนำมาใช้ทดสอบจริง ทำให้เกิดการรายงานผลที่ผิดพลาด (False positive) จำนวนมาก ซึ่งแตกต่างกับการทดสอบควบคู่กับ Manual Test ที่การใช้ Tools จะเป็นแค่ขั้นตอนหนึ่งในการทดสอบเท่านั้น โดยผลที่ได้จากการสแกนจะต้องถูกนำมาพิสูจน์ก่อนว่าเป็นช่องโหว่จริง

  • สามารถค้นหาช่องโหว่ที่ Tools ไม่สามารถหาได้ เช่น ช่องโหว่ที่เกี่ยวข้องกับ Business Logic หรือ Broken Access Control ซึ่งการทดสอบต้องอาศัยความเข้าใจการออกแบบ การทำงาน รู้ User Matrix ในการเข้าถึงข้อมูล ของ User แต่ละสิทธิ์ (Roles)

  • สามารถนำความสัมพันธ์ของช่องโหว่ที่พบมา Match กับข้อมูลและความเข้าใจใน Application ของผู้ทดสอบ ซึ่งสามารถต่อยอดไปใช้ในการหาข้อมูลสำคัญเพิ่มเติม รวมไปถึง Credential หรือสามารถเลือกใช้ Tools เฉพาะทางมากขึ้นในการค้นหาช่องโหว่ อีกทั้งยังสามารถนำข้อมูลที่ได้มา Customize เครื่องมือในการหาช่องโหว่ได้เอง
     

ขั้นตอนที่ 5 (Report Finding): 

เป็นการนำผลที่ได้จากขั้นตอนก่อนหน้ามาจัดทำรายงาน ซึ่งจะมีผลการวิเคราะห์ระดับความเสี่ยงพร้อมคำอธิบายและแนวทางวิธีการในการแก้ไขจุดอ่อนที่ตรวจพบ

ขั้นตอนที่ 6 (Remediate Issues):

AlphaSec จะทำการตรวจสอบเพื่อยืนยันผลการแก้ไขช่องโหว่ หรือให้คำแนะนำเพิ่มเติมหากมีความจำเป็นน เพื่อให้ลูกค้าสามารถมั่นใจได้ว่าช่องโหว่ต่าง ๆ ที่ตรวจพบถูกแก้ไขแล้วโดยวิธีที่ถูกต้องและมีประสิทธิภาพเพียงพอสามารถลดความเสี่ยงให้อยู่ในระดับที่รับได้โดยลูกค้า

AlphaSec มีผู้เชี่ยวชาญในการทดสอบเจาะระบบ ที่มีประสบการณ์มากกว่า 20 ปีและได้รับวุฒิบัตรรับรองความรู้ความสามารถจำนวนมาก ผ่านการทดสอบเจาะระบบขององค์กรชั้นนำของประเทศมามากมาย เพื่อให้ลูกค้ามั่นใจว่า จะได้รับบริการทดสอบเจาะระบบจากเราในระดับมาตรฐานสากล

Screenshot 2021-01-19 221629.png