top of page

บริการทดสอบเจาะระบบและตรวจสอบช่องโหว่ (pentest)

บริการทดสอบเจาะระบบและตรวจสอบช่องโหว่

บริการทดสอบเจาะระบบ (pentest) และตรวจสอบช่องโหว่ของระบบ(va) สารสนเทศ ระบบเครือข่าย โมบายแอพพลิเคชั่น เว็บแอพพลิเคชั่น

บริการทดสอบเจาะระบบ (Penetration Testing) และตรวจสอบช่องโหว่ (Vulnerability Assessment)

ประโยชน์ของการทดสอบเจาะระบบ (Pentest) และตรวจสอบช่องโหว่
  1. เพื่อปรับปรุงมาตรการรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศขององค์กรให้สามารถป้องกันการถูกคุกคามผ่านช่องโหว่ได้จริง

  2. เป็นการตรวจสอบความมั่นคงปลอดภัยของระบบอย่างอิสระโดยผู้ตรวจสอบภายนอก

  3. สร้างความตระหนักด้านความมั่นคงปลอดภัยในการปรับปรุงระบบตลอดเวลา

  4. เพื่อให้ได้คำแนะนำด้านการรักษาความมั่นคงปลอดภัย

  5. ลดความเสี่ยงด้านกฎหมายและสร้างความตระหนักให้กับผู้ให้บริการ

  6. สนับสนุนการปฏิบัติตามมาตรฐาน ISO/IEC 27001, PCI DSS และกฎหมายต่างๆ

  7. เป็นการปฏิบัติตามสัญญาหรือเงื่อนไขการใช้บริการของลูกค้า

  8. เพื่อเป็นการพิสูจน์ว่าระบบมีความเสี่ยงและใช้เป็นข้อมูลประกอบการลงทุน

AlphaSec มีขั้นตอนการทดสอบเจาะระบบ (Pentest) และตรวจสอบช่องโหว่ (VA) ดังต่อไปนี้

บริการทดสอบเจาะระบบ (pentest) และตรวจสอบช่องโหว่ของระบบ(va) สารสนเทศ ระบบเครือข่าย โมบายแอพพลิเคชั่น เว็บแอพพลิเคชั่น
Carry out Planning
ขั้นตอนที่ 1

เป็นขั้นตอนในการสำรวจหรือยืนยันเป้าหมายที่จะดำเนินการเจาะระบบ (Pentest) ดำเนินการประชุมชี้แจงรายละเอียดและความเสี่ยงของการทดสอบเจาะระบบ พร้อมทั้งกำหนด Rule of Engagement (ROE)  หรือ กฎหรือข้อตกลงในการทดสอบร่วมกันเพื่อระบุบริบทของการทดสอบ ร่วมกัน พร้อมทั้งวางแผนการทำงาน และแจ้งขอเข้าดำเนินการจากหน่วยงาน เพื่อขออนุมัติ

 

หลังจากที่ได้รับข้อมูลจากกิจกรรมก่อนหน้านี้ที่ใช้ในการเริ่มต้นวิเคราะห์ช่องโหว่ในเป้าหมายและการพัฒนารายละเอียดการคุกคาม จากนั้นก่อนที่จะเริ่มขั้นตอนต่อไปทีมผู้ทดสอบเจาะระบบ จะมีการแจ้งให้ผู้ที่เกี่ยวข้องในหน่วยงานให้ทราบ

บริการทดสอบเจาะระบบ (pentest) และตรวจสอบช่องโหว่ของระบบ(va) สารสนเทศ ระบบเครือข่าย โมบายแอพพลิเคชั่น เว็บแอพพลิเคชั่น
Conduct Research
ขั้นตอนที่ 2

เป็นขั้นตอนตรวจสอบ และรวบรวมข้อมูลความถูกต้องของ URL หรือ IP Address หรือ Host เบื้องต้น เพื่อยืนยันเป้าหมายที่ได้รับมานั้นถูกต้อง รวมถึงการค้นหาตรวจสอบประเภทของระบบเป้าหมาย รวมถึงระบุช่องทางในการโจมตีที่เป็นไปได้ (Attack Surface) พร้อมทั้งสามารถวางแผนและเลือกวิธีการในการดำเนินการสำหรับขั้นตอนต่อไปได้ ในกรณีที่เป้าหมายที่ตรวจสอบไม่ตรงกับที่ได้รับมอบหมาย จะดำเนินการตรวจสอบกับทางผู้รับผิดชอบก่อนที่จะดำเนินการขั้นตอนถัดไป

บริการทดสอบเจาะระบบ (pentest) และตรวจสอบช่องโหว่ของระบบ(va) สารสนเทศ ระบบเครือข่าย โมบายแอพพลิเคชั่น เว็บแอพพลิเคชั่น
Identify Vulnerability
ขั้นตอนที่ 3

เป็นการลงลึกถึงระดับจุดอ่อนของแต่ละช่องทาง เพื่อจัดเตรียมวิธีการในการโจมตีจุดอ่อน หรือเข้าถึงระบบ เช่น Buffer overflow, Code Injection, SQL Injection, Use-After-Free, Weak Password, Weak Security Mechanism เป็นต้น

บริการทดสอบเจาะระบบ (pentest) และตรวจสอบช่องโหว่ของระบบ(va) สารสนเทศ ระบบเครือข่าย โมบายแอพพลิเคชั่น เว็บแอพพลิเคชั่น
Exploit Weakness
ขั้นตอนที่ 4

เป็นขั้นตอนการทดสอบเจาะระบบแบบผสมผสาน (Hybrid Approach) คือการทดสอบโดยใช้โปรแกรมเจาะระบบแบบอัตโนมัติ (Automate Tool) และความเชี่ยวชาญของบุคลากร (Human Skill) พร้อมเก็บหลักฐานจากการทดสอบ ซึ่งการทดสอบแบบผสมผสานนี้ จะมีข้อดีกว่าการทดสอบเจาะระบบโดยการใช้เครื่องมือทดสอบเจาะระบบเพียงอย่างเดียว ดังนี้

  • การใช้ Tools เพียงอย่างเดียวและจัดทำรายงาน จะมีความแม่นยำต่ำกว่าเพราะแต่ละช่องโหว่ไม่ได้ถูกนำมาใช้ทดสอบจริง ทำให้เกิดการรายงานผลที่ผิดพลาด (False positive) จำนวนมาก ซึ่งแตกต่างกับการทดสอบควบคู่กับ Manual Test ที่การใช้ Tools จะเป็นแค่ขั้นตอนหนึ่งในการทดสอบเท่านั้น โดยผลที่ได้จากการสแกนจะต้องถูกนำมาพิสูจน์ก่อนว่าเป็นช่องโหว่จริง

  • สามารถค้นหาช่องโหว่ที่ Tools ไม่สามารถหาได้ เช่น ช่องโหว่ที่เกี่ยวข้องกับ Business Logic หรือ Broken Access Control ซึ่งการทดสอบต้องอาศัยความเข้าใจการออกแบบ การทำงาน รู้ User Matrix ในการเข้าถึงข้อมูล ของ User แต่ละสิทธิ์ (Roles)

  • สามารถนำความสัมพันธ์ของช่องโหว่ที่พบมา Match กับข้อมูลและความเข้าใจใน Application ของผู้ทดสอบ ซึ่งสามารถต่อยอดไปใช้ในการหาข้อมูลสำคัญเพิ่มเติม รวมไปถึง Credential หรือสามารถเลือกใช้ Tools เฉพาะทางมากขึ้นในการค้นหาช่องโหว่ อีกทั้งยังสามารถนำข้อมูลที่ได้มา Customize เครื่องมือในการหาช่องโหว่ได้เอง

บริการทดสอบเจาะระบบ (pentest) และตรวจสอบช่องโหว่ของระบบ(va) สารสนเทศ ระบบเครือข่าย โมบายแอพพลิเคชั่น เว็บแอพพลิเคชั่น
Report Finding
ขั้นตอนที่ 5

เป็นการนำผลที่ได้จากขั้นตอนก่อนหน้ามาจัดทำรายงาน ซึ่งจะมีผลการวิเคราะห์ระดับความเสี่ยงพร้อมคำอธิบายและแนวทางวิธีการในการแก้ไขจุดอ่อนที่ตรวจพบ

บริการทดสอบเจาะระบบ (pentest) และตรวจสอบช่องโหว่ของระบบ(va) สารสนเทศ ระบบเครือข่าย โมบายแอพพลิเคชั่น เว็บแอพพลิเคชั่น
Remediate Issues
ขั้นตอนที่ 6

AlphaSec จะทำการตรวจสอบเพื่อยืนยันผลการแก้ไขช่องโหว่ หรือให้คำแนะนำเพิ่มเติมหากมีความจำเป็นน เพื่อให้ลูกค้าสามารถมั่นใจได้ว่าช่องโหว่ต่าง ๆ ที่ตรวจพบถูกแก้ไขแล้วโดยวิธีที่ถูกต้องและมีประสิทธิภาพเพียงพอสามารถลดความเสี่ยงให้อยู่ในระดับที่รับได้โดยลูกค้า

AlphaSec มีผู้เชี่ยวชาญในการทดสอบเจาะระบบ ที่มีประสบการณ์มากกว่า 20 ปีและได้รับวุฒิบัตรรับรองความรู้ความสามารถจำนวนมาก ผ่านการทดสอบเจาะระบบขององค์กรชั้นนำของประเทศมามากมาย เพื่อให้ลูกค้ามั่นใจว่า จะได้รับบริการทดสอบเจาะระบบจากเราในระดับมาตรฐานสากล

bottom of page