บริการทดสอบเจาะระบบ (Penetration Testing) และตรวจสอบช่องโหว่ (Vulnerability Assessment)
ประโยชน์ของการทดสอบเจาะระบบ
1.เพื่อปรับปรุงมาตรการรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศขององค์กรให้สามารถป้องกันการถูกคุกคามผ่านช่องโหว่ได้จริง
2.เป็นการตรวจสอบความมั่นคงปลอดภัยของระบบอย่างอิสระโดยผู้ตรวจสอบภายนอก
3.สร้างความตระหนักด้านความมั่นคงปลอดภัยในการปรับปรุงระบบตลอดเวลา
4.เพื่อให้ได้คำแนะนำด้านการรักษาความมั่นคงปลอดภัย
5.ลดความเสี่ยงด้านกฎหมายและสร้างความตระหนักให้กับผู้ให้บริการ
6.สนับสนุนการปฏิบัติตามมาตรฐาน ISO/IEC 27001, PCI DSS และกฎหมายต่างๆ
7.เป็นการปฏิบัติตามสัญญาหรือเงื่อนไขการใช้บริการของลูกค้า
8.เพื่อเป็นการพิสูจน์ว่าระบบมีความเสี่ยงและใช้เป็นข้อมูลประกอบการลงทุน
AlphaSec มีขั้นตอนการทดสอบเจาะระบบและตรวจสอบช่องโหว่ ดังต่อไปนี้
ขั้นตอนที่ 1 (Carry out Planning):
เป็นขั้นตอนในการสำรวจหรือยืนยันเป้าหมายที่จะดำเนินการเจาะระบบ ดำเนินการประชุมชี้แจงรายละเอียดและความเสี่ยงของการทดสอบเจาะระบบ พร้อมทั้งกำหนด Rule of Engagement (ROE) หรือ กฎหรือข้อตกลงในการทดสอบร่วมกันเพื่อระบุบริบทของการทดสอบ ร่วมกัน พร้อมทั้งวางแผนการทำงาน และแจ้งขอเข้าดำเนินการจากหน่วยงาน เพื่อขออนุมัติ
หลังจากที่ได้รับข้อมูลจากกิจกรรมก่อนหน้านี้ที่ใช้ในการเริ่มต้นวิเคราะห์ช่องโหว่ในเป้าหมายและการพัฒนารายละเอียดการคุกคาม จากนั้นก่อนที่จะเริ่มขั้นตอนต่อไปทีมผู้ทดสอบเจาะระบบ จะมีการแจ้งให้ผู้ที่เกี่ยวข้องในหน่วยงานให้ทราบ
ขั้นตอนที่ 2 (Conduct Research):
เป็นขั้นตอนตรวจสอบ และรวบรวมข้อมูลความถูกต้องของ URL หรือ IP Address หรือ Host เบื้องต้น เพื่อยืนยันเป้าหมายที่ได้รับมานั้นถูกต้อง รวมถึงการค้นหาตรวจสอบประเภทของระบบเป้าหมาย รวมถึงระบุช่องทางในการโจมตีที่เป็นไปได้ (Attack Surface) พร้อมทั้งสามารถวางแผนและเลือกวิธีการในการดำเนินการสำหรับขั้นตอนต่อไปได้ ในกรณีที่เป้าหมายที่ตรวจสอบไม่ตรงกับที่ได้รับมอบหมาย จะดำเนินการตรวจสอบกับทางผู้รับผิดชอบก่อนที่จะดำเนินการขั้นตอนถัดไป
ขั้นตอนที่ 3 (Identify Vulnerability):
เป็นการลงลึกถึงระดับจุดอ่อนของแต่ละช่องทาง เพื่อจัดเตรียมวิธีการในการโจมตีจุดอ่อน หรือเข้าถึงระบบ เช่น Buffer overflow, Code Injection, SQL Injection, Use-After-Free, Weak Password, Weak Security Mechanism เป็นต้น
ขั้นตอนที่ 4 (Exploit Weakness):
เป็นขั้นตอนการทดสอบเจาะระบบแบบผสมผสาน (Hybrid Approach) คือการทดสอบโดยใช้โปรแกรมเจาะระบบแบบอัตโนมัติ (Automate Tool) และความเชี่ยวชาญของบุคลากร (Human Skill) พร้อมเก็บหลักฐานจากการทดสอบ ซึ่งการทดสอบแบบผสมผสานนี้ จะมีข้อดีกว่าการทดสอบเจาะระบบโดยการใช้เครื่องมือทดสอบเจาะระบบเพียงอย่างเดียว ดังนี้
-
การใช้ Tools เพียงอย่างเดียวและจัดทำรายงาน จะมีความแม่นยำต่ำกว่าเพราะแต่ละช่องโหว่ไม่ได้ถูกนำมาใช้ทดสอบจริง ทำให้เกิดการรายงานผลที่ผิดพลาด (False positive) จำนวนมาก ซึ่งแตกต่างกับการทดสอบควบคู่กับ Manual Test ที่การใช้ Tools จะเป็นแค่ขั้นตอนหนึ่งในการทดสอบเท่านั้น โดยผลที่ได้จากการสแกนจะต้องถูกนำมาพิสูจน์ก่อนว่าเป็นช่องโหว่จริง
-
สามารถค้นหาช่องโหว่ที่ Tools ไม่สามารถหาได้ เช่น ช่องโหว่ที่เกี่ยวข้องกับ Business Logic หรือ Broken Access Control ซึ่งการทดสอบต้องอาศัยความเข้าใจการออกแบบ การทำงาน รู้ User Matrix ในการเข้าถึงข้อมูล ของ User แต่ละสิทธิ์ (Roles)
-
สามารถนำความสัมพันธ์ของช่องโหว่ที่พบมา Match กับข้อมูลและความเข้าใจใน Application ของผู้ทดสอบ ซึ่งสามารถต่อยอดไปใช้ในการหาข้อมูลสำคัญเพิ่มเติม รวมไปถึง Credential หรือสามารถเลือกใช้ Tools เฉพาะทางมากขึ้นในการค้นหาช่องโหว่ อีกทั้งยังสามารถนำข้อมูลที่ได้มา Customize เครื่องมือในการหาช่องโหว่ได้เอง
ขั้นตอนที่ 5 (Report Finding):
เป็นการนำผลที่ได้จากขั้นตอนก่อนหน้ามาจัดทำรายงาน ซึ่งจะมีผลการวิเคราะห์ระดับความเสี่ยงพร้อมคำอธิบายและแนวทางวิธีการในการแก้ไขจุดอ่อนที่ตรวจพบ
ขั้นตอนที่ 6 (Remediate Issues):
AlphaSec จะทำการตรวจสอบเพื่อยืนยันผลการแก้ไขช่องโหว่ หรือให้คำแนะนำเพิ่มเติมหากมีความจำเป็นน เพื่อให้ลูกค้าสามารถมั่นใจได้ว่าช่องโหว่ต่าง ๆ ที่ตรวจพบถูกแก้ไขแล้วโดยวิธีที่ถูกต้องและมีประสิทธิภาพเพียงพอสามารถลดความเสี่ยงให้อยู่ในระดับที่รับได้โดยลูกค้า