Penetration Testing คืออะไร?
Penetration Testing (Pentest) หรือ การทดสอบเจาะระบบ (เจาะระบบ) เป็นรูปแบบหนึ่งของการประเมินความปลอดภัยไซเบอร์ ที่ออกแบบมาเพื่อระบุและแสวงหาจุดอ่อนที่ส่งผลกระทบต่อเครือข่ายคอมพิวเตอร์ ระบบ แอปพลิเคชัน และเว็บไซต์อย่างปลอดภัย เพื่อให้สามารถแก้ไขจุดอ่อนที่พบ และลดความเสี่ยงในการถูกโจมตีจากผู้ไม่หวังดีได้
ความแตกต่างระหว่าง Penetration Testing และ Vulnerability Scan คืออะไร?
ในบางภูมิภาค คำเหล่านี้มักใช้แทนกันได้ หรือใช้รวมกันในบริการเดียวที่เรียกว่า VAPT (VA Scan) แต่จริงๆแล้วมีความแตกต่างที่สำคัญอยู่ Vulnerability Scan (การสแกนหาช่องโหว่) ใช้เพียงเครื่องมืออัตโนมัติในการค้นหาช่องโหว่ที่รู้จัก ในขณะที่ Penetration Testing เป็นการประเมินที่ลึกซึ้งกว่า โดยใช้ทั้งเทคนิคที่ขับเคลื่อนด้วยเครื่องมือและมนุษย์ หรือแม้แต่วิธีการทางกายภาพเพื่อระบุจุดอ่อนที่ซ่อนอยู่
ใครเป็นผู้ดำเนินการ Penetration Test?
Penetration Testing ดำเนินการโดยทีมนักเจาะระบบที่ได้รับการรับรอง CREST ของ ALPHASEC ซึ่งมีความเข้าใจอย่างลึกซึ้งเกี่ยวกับภัยคุกคามและเทคนิคของผู้ก่อการร้ายยุคใหม่
ขั้นตอนที่เกี่ยวข้องในการ Pentest มีอะไรบ้าง?
บริการ Penetration Testing ที่ได้รับการรับรองจาก CREST ใช้วิธีการที่เป็นระบบ ในกรณีของ Blackbox External Network Pentest เมื่อขอบเขตการทำงานได้รับการกำหนดแล้ว ผู้ทำ Pentest จะทำการสำรวจอย่างกว้างขวาง สแกน และทำแผนที่ระบบ เพื่อระบุจุดอ่อนที่จะใช้ในการโจมตี เมื่อเข้าถึงเครือข่ายได้แล้ว ผู้ทำ Pentest จะพยายามเข้าถึงยังส่วนต่างๆของเครือข่าย เพื่อให้ได้สิทธิ์การเข้าถึงระดับที่สูงขึ้น และสามารถโจมตีระบบเพิ่มเติมได้ อันเป็นวัตถุประสงค์สูงสุดของการทำ Pentest
Penetration Test ดำเนินการอย่างไร?
Penetration Testing as a Service (PTaas) ใช้เครื่องมือ เทคนิค และขั้นตอนเดียวกับที่แฮ็กเกอร์ที่เป็นอาชญากรใช้จริง วิธีการ Blackhat Pentesting ที่พบบ่อย ได้แก่ การฟิชชิ่ง การเจาะระบบโดยใช้เทคนิค SQL Injection การบุกรุก และการปล่อยมัลแวร์
เครื่องมือ Penetration Testing ที่ใช้ทั่วไปมีอะไรบ้าง?
ทีม Penetration Testing ของ ALPHASEC ไม่ได้พึ่งพาเครื่องมือในการสแกนอัตโนมัติ เพื่อตรวจหาช่องโหว่ที่ซ่อนเร้นและซับซ้อน แต่เราใช้เครื่องมือ Pentesting แบบโอเพนซอร์สและ commercial ที่หลากหลาย เพื่อดำเนินงานด้วยตนเอง เช่น การค้นหาเครือข่ายและระบบ การทำแผนที่พื้นที่การโจมตี และการใช้ประโยชน์จากช่องโหว่
การทำ Pentest ใช้เวลานานแค่ไหน?
ระยะเวลาที่นักทดสอบเจาะระบบ ใช้ในการ Pentest ขึ้นอยู่กับขอบเขตของการทดสอบ ปัจจัยที่มีผลต่อระยะเวลาในการ Pentest ได้แก่ ขนาดของเครือข่าย การทดสอบภายนอกหรือภายใน การรวม Pentest ทางกายภาพ และการแบ่งปันข้อมูลเครือข่ายและข้อมูลประจำตัวผู้ใช้ให้ ALPHASEC ก่อนทำ Pentest
ควรทำ Penetration Testing บ่อยแค่ไหน?
แนะนำให้ทุกธุรกิจทำ Penetration Test อย่างน้อยปีละครั้ง หรือหลังจากการอัปเกรดหรือปรับปรุงเครือข่ายขององค์กรอย่างมีนัยสำคัญ เนื่องจากอัตราการค้นพบช่องโหว่ใหม่ๆเร็วมาก ALPHASEC จึงแนะนำให้ทำการทดสอบทุกไตรมาส ซึ่งการทำ Penetration Test เป็นประจำมักต้องการให้สอดคล้องกับข้อบังคับต่างๆ เช่น PCI DSS
สำหรับองค์กรที่ต้องการเร่งการพัฒนาซอฟต์แวร์และแอปพลิเคชันที่ปลอดภัย Agile Penetration Testing ก็เป็นอีกทางเลือกหนึ่ง ซึ่งให้วิธีการที่เป็นระบบในการค้นหาและจัดการกับความเสี่ยงที่อาจเกิดขึ้น ให้สอดคล้องกับกำหนดเวลาและตารางเวลาที่มีอยู่ของการปล่อยผลิตภัณฑ์ ทำให้มั่นใจว่าฟีเจอร์ที่เพิ่มเข้ามาใหม่หรืออัปเดตจะได้รับการทดสอบแบบเรียลไทม์ ในขณะที่เพิ่มหรืออัปเดต
Penetration Testing as a Service (PTaaS) คืออะไร?
PTaaS เป็นแนวทางการทำ Penetration Testing อย่างต่อเนื่อง ที่ผสมผสานขั้นตอนแบบ manual และอัตโนมัติ เพื่อให้การประเมินอย่างต่อเนื่อง PTaaS สามารถดำเนินการควบคู่ไปกับโปรแกรมการทดสอบที่มีอยู่ขององค์กร เพื่อให้มั่นใจว่าการแก้ไขทำงานตามที่ตั้งใจไว้ และมีการปรับปรุงความปลอดภัยอย่างต่อเนื่อง
ทำไมจึงควรใช้นักทดสอบเจาะระบบ หรือ Penetration Tester ที่ได้รับการรับรองจาก CREST?
ALPHASEC มีนักทดสอบเจาะระบบ ที่เป็นสมาชิกของ CREST ซึ่งเป็นหน่วยงานให้การรับรองระดับสากลสำหรับบริการความปลอดภัยทางข้อมูล และบริการ Penetration Testing การเลือกใช้บริการ Pen Testing ที่ได้รับการรับรองโดย CREST จาก ALPHASEC คุณจึงมั่นใจได้ว่าจะมีการประเมินตามมาตรฐานทางเทคนิคและจริยธรรมสูงสุด นักทดสอบ Penetration ที่ได้รับการรับรองจาก CREST ของเรา มีใบรับรองด้านความปลอดภัยไซเบอร์ที่หลากหลาย เช่น GPEN, OSCP, CEH แสดงถึงความสามารถในการทำ Penetration Testing ได้หลายประเภท
จะเกิดอะไรขึ้นหลังจากการทำ Pentest เสร็จสิ้น?
หลังจากดำเนินการในแต่ละครั้ง Penetration Tester ที่ทำการทดสอบ จะทำรายงานแบบกำหนดเองซึ่งระบุและประเมินความเสี่ยงจากจุดอ่อนใดๆที่พบ รวมถึงเสนอแนะการแก้ไข ทำการสรุปผลโดยการประชุม อย่างละเอียดหลังจากส่งรายงานแล้ว
สามารถทำ Pentest จากระยะไกลได้ไหม?
Penetration Testing หลายประเภทสามารถทำได้จากระยะไกลผ่านการเชื่อมต่อ VPN แต่การประเมินบางรูปแบบ เช่น Pen Testing ภายในเครือข่าย และ Wireless Pentesting อาจต้องให้ Penetration Tester ทำการประเมินภายในสถานที่
ควรใช้ผู้ให้บริการ Penetration Testing รายเดียวกันหรือไม่?
การทำงานกับ Penetration Testing Supplier รายเดียวอาจมีข้อเสีย เนื่องจากความคุ้นเคยกับสภาพแวดล้อม IT มากเกินไป อาจทำให้มองข้ามจุดเปิดโล่งบางจุดได้ การเลือก Penetration Testing as a Service (PTaaS) Partner อย่าง ALPHASEC ที่ลงทุนในความปลอดภัยเชิงรุก และมี Penetration Tester ที่เชี่ยวชาญใน Penetration Testing หลากหลายประเภท สามารถช่วยลดความเสี่ยงนี้ได้อย่างมาก พร้อมกับมีประโยชน์เพิ่มเติมในการเป็นพันธมิตรระยะยาวสำหรับการสนับสนุนและให้คำปรึกษา
Pen Test จะกระทบต่อการดำเนินธุรกิจหรือไม่?
การทำ Penetration Test ของ ALPHASEC จะดำเนินการตามมาตรฐานด้านกฎหมาย เทคนิค และจริยธรรมอย่างเคร่งครัดที่สุด การทดสอบได้รับการออกแบบมาเพื่อระบุและใช้ประโยชน์จากจุดอ่อนอย่างปลอดภัย ในขณะเดียวกันก็ลดความเสี่ยงในการขัดขวางการดำเนินงานทางธุรกิจ
การทำ Pen Test มีค่าใช้จ่ายเท่าไหร่? การทำความเข้าใจเกี่ยวกับค่าบริการของการทดสอบเจาะระบบ (Penetration Test หรือ Pentest)
การว่าจ้างให้มีการทดสอบเจาะระบบ (Penetration Test) เป็นขั้นตอนสำคัญที่จะช่วยเสริมสร้างความยืดหยุ่นด้านความปลอดภัยทางไซเบอร์ขององค์กรคุณ ค่าใช้จ่ายในการทำ Pentest นั้นมีตั้งแต่หลักหมื่นไปจนถึงหลายล้านบาท ดังนั้นจึงเป็นสิ่งสำคัญที่ต้องตรวจสอบให้แน่ใจว่าการทำ Pentest ที่คุณเลือกจะช่วยให้คุณบรรลุผลลัพธ์ด้านความปลอดภัยที่ดีที่สุดจากงบประมาณของคุณ
องค์กรทุกแห่งมีความต้องการในการทดสอบของตัวเอง และค่าบริการของการทำ Penetration Test (เจาะระบบ) จะแตกต่างกันไปตามประเภทของการทดสอบที่ทำ รวมถึงวัตถุประสงค์โดยรวมและระยะเวลาด้วย ค่าใช้จ่ายในการทำ Pentest (ทดสอบเจาะระบบ) ในท้ายที่สุดขึ้นอยู่กับประเด็นปัญหาและข้อกำหนดที่ระบุไว้ในระหว่างขั้นตอนการกำหนดขอบเขตเบื้องต้น
ความสำคัญของการกำหนดขอบเขตของการทำ Pentest
บริษัทที่ให้บริการ Penetration Testing (ทดสอบเจาะระบบ) ส่วนใหญ่จะคิดค่าบริการตามอัตรารายวัน ดังนั้นจึงเป็นสิ่งสำคัญที่ขั้นตอนการกำหนดขอบเขตของการประเมินจะต้องดำเนินการอย่างมีประสิทธิภาพ เพื่อให้มั่นใจว่าใบเสนอราคานั้นถูกต้องแม่นยำที่สุดเท่าที่จะเป็นไปได้ และคุณจะไม่ต้องจ่ายเงินพิเศษสำหรับส่วนที่ไม่ต้องการ
ที่ ALPHASEC เรามุ่งเน้นที่จะทำให้มั่นใจว่าลูกค้าของเราได้รับประโยชน์สูงสุดจากการลงทุนในการทำ Pentest กระบวนการกำหนดขอบเขตช่วยให้เราระบุประเภทของการประเมินที่เหมาะสมที่สุดกับความต้องการของคุณ นี่คือจุดที่เราทำงานร่วมกับคุณเพื่อกำหนดขอบเขตและเป้าหมายทั้งหมดของการทำ Pentest รวมถึงการระบุระบบ สินทรัพย์ และแอปพลิเคชันที่จะประเมิน
เมื่อติดต่อเราเพื่อขอใบเสนอราคา Pentest การให้ข้อมูลที่สมบูรณ์และถูกต้องมากที่สุดเท่าที่จะทำได้ จะไม่เพียงรับประกันการตอบกลับที่รวดเร็วยิ่งขึ้นเท่านั้น แต่ยังจะทำให้มั่นใจว่าเราไม่ได้กำหนดขอบเขตการทำงานต่ำเกินไปหรือสูงเกินไป และค่าใช้จ่ายเหมาะสมกับงบประมาณของคุณด้วย
รับใบเสนอราคาโดยไม่มีข้อผูกมัดปัจจัยที่มีผลต่อค่าใช้จ่ายในการทำ Pentest จำนวนวันที่ต้องใช้ในการทำ Pentest ขึ้นอยู่กับปัจจัยต่างๆ ได้แก่:
1.ประเภทของการทดสอบ กรอบเวลาแตกต่างกันไปตามประเภทของการทดสอบ การทดสอบ 2 ประเภทที่ทั่วไปที่สุดซึ่งเราดำเนินการคือการทดสอบเว็บแอปพลิเคชัน (Web Application Test) และการทดสอบเจาะระบบโครงสร้างพื้นฐานภายในและภายนอก (Internal and External Infrastructure Pentest)
ระยะเวลาของการทดสอบเว็บแอปพลิเคชันขึ้นอยู่กับว่าเป็นการทดสอบแบบไม่ต้องพิสูจน์ตัวตน (Black Box) หรือต้องพิสูจน์ตัวตน (White Box หรือ Grey Box) การทดสอบแบบไม่ต้องพิสูจน์ตัวตน มักใช้เวลาน้อยกว่ามาก ในขณะที่การทดสอบแบบต้องพิสูจน์ตัวตนจะใช้เวลานานกว่า ประมาณ 4-10 วัน ดู การทดสอบโครงสร้างพื้นฐานภายนอกอาจใช้เวลาประมาณ 2-4 วัน ขณะที่ระยะเวลาของการทดสอบโครงสร้างพื้นฐานภายในขึ้นอยู่กับขนาดของบริษัท
ตัวอย่างเช่น สำหรับบริษัทขนาดเล็กที่มีพนักงาน 20 คน การทดสอบอาจใช้เวลา 2-3 วัน แต่สำหรับบริษัทขนาดใหญ่กว่า อาจใช้เวลานานกว่ามาก การทดสอบด้วยมือทั้งหมดอาจใช้เวลานาน แต่เรามักจะเสนอวิธีผสมผสานโดยรวมการทดสอบอัตโนมัติและด้วยมือเพื่อรักษาค่าใช้จ่ายให้อยู่ในระดับที่จัดการได้
2.การทดสอบอัตโนมัติ (Automated Testing) เทียบกับการทดสอบด้วยมือ (Manual Testing) การทดสอบเจาะระบบด้วยมือ (Manual Penetration Testing) ดำเนินการโดยผู้ทดสอบที่เป็นมนุษย์ที่มีคุณสมบัติเหมาะสม ดังนั้นจึงใช้เวลานานกว่า แต่จะระบุปัญหาที่เครื่องมืออัตโนมัติอาจพลาดไป ต่างจากการทดสอบเจาะระบบอัตโนมัติ การประเมินด้วยมือยังเกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ ซึ่งสำคัญต่อการช่วยทำความเข้าใจว่าผู้โจมตีสามารถแสวงประโยชน์จากจุดอ่อนได้ง่ายเพียงใด
องค์กรบางแห่งที่โฆษณาบริการทดสอบเจาะระบบอาจพึ่งพาเครื่องมืออัตโนมัติเป็นอย่างมาก ดังนั้นจึงควรตรวจสอบเสมอว่าการทดสอบนั้นดำเนินการด้วยมือโดยผู้เชี่ยวชาญมากน้อยเพียงใด
3.วิธีการทดสอบ ค่าใช้จ่ายในการทำ Pentest ได้รับอิทธิพลอย่างมากจากรูปแบบการทดสอบ ไม่ว่าจะเป็น White Box, Black Box หรือ Grey Box เราจะกำหนดวิธีการทดสอบที่เหมาะสมที่สุดในขั้นตอนการกำหนดขอบเขต
การทดสอบแบบ Black Box จำลองรูปแบบการโจมตีของผู้โจมตีได้สมจริงกว่า เพราะไม่มีการเปิดเผยข้อมูลเกี่ยวกับสภาพแวดล้อมหรือแอปพลิเคชั่นเป้าหมายให้ผู้ทดสอบล่วงหน้า Black Box Pentest แสดงให้เห็นว่าผู้ร้ายที่ไม่มีความรู้ภายในสามารถพยายามโจมตีและบุกรุกองค์กรได้อย่างไร
การทดสอบแบบ White Box เกี่ยวข้องกับการแชร์ข้อมูลเครือข่ายและระบบทั้งหมดกับผู้ทดสอบ รวมถึงแผนผังเครือข่ายและข้อมูลประจำตัว ในการทดสอบเจาะระบบแบบ Grey Box จะมีการแบ่งปันข้อมูลจำนวนจำกัดกับผู้ทดสอบ โดยปกติคือข้อมูลประจำตัวสำหรับการเข้าสู่ระบบ เนื่องจากไม่มีการเข้าถึงระบบขององค์กร การทดสอบแบบ Black Box จึงมักเป็นวิธีการที่ใช้เวลาสั้นที่สุด และดังนั้นมักจะมีราคาต่ำที่สุด
4.การทดสอบระยะไกลหรือที่หน้างาน ในบางกรณี อาจจำเป็นต้องทำการทดสอบเจาะระบบเครือข่ายภายในที่สถานที่ใช้งาน ซึ่งอาจเป็นเพราะช่วยทำให้องค์กรมั่นใจได้ว่ามีการกำกับดูแลและตรวจสอบ อย่างไรก็ตาม การทดสอบที่หน้างานอาจมีค่าใช้จ่ายสูงกว่าเนื่องจากต้องมีค่าใช้จ่ายเพิ่มเติมในแต่ละวัน
5.ประสบการณ์ของผู้ทดสอบ โดยทั่วไปองค์กรจะเรียกเก็บค่าบริการสูงขึ้นสำหรับผู้ทดสอบที่มีประสบการณ์และมีคุณสมบัติมากกว่า การประเมินที่ดำเนินการโดยผู้ทดสอบที่มีการรับรอง Penetration Testing จากหน่วยงานรับรองมาตรฐานระดับสากล เช่น CREST มักจะมีอัตราค่าบริการสูงกว่า ผู้ทดสอบ Pentest ต้องใช้เวลา 6,000 ชั่วโมงในการเป็นผู้ลงทะเบียน CREST ดังนั้น การใช้บริการ CREST Pentest จึงช่วยให้มั่นใจได้เพิ่มขึ้นว่าการทดสอบจะดำเนินการตามมาตรฐานทางเทคนิคสูงสุด
เวลาที่ทำการทดสอบ การทดสอบนอกเวลาทำงานหลักอาจเป็นประโยชน์อย่างยิ่งในการช่วยลดความเสี่ยงจากการหยุดชะงักของการดำเนินงาน นอกจากนี้ยังอาจเป็นประโยชน์หากลูกค้าต้องการทดสอบระบบบางอย่างเมื่อไม่มีการใช้งาน อย่างไรก็ตาม ความจำเป็นในการทำงานข้ามคืนหรือชั่วโมงทำงานนอกเวลา อาจเพิ่มราคาของการทำ Pentest ได้
7.ระดับของรายงาน ประเด็นสำคัญที่ต้องตรวจสอบเมื่อว่าจ้างการทำ Pentest คือการทดสอบนั้นรวมรายงานอย่างเป็นทางการหรือไม่ ใบเสนอราคาบางฉบับอาจไม่รวมขั้นตอนการรายงานที่ละเอียดหรือใช้เวลาเพียงพอสำหรับการรายงาน ดังนั้นเราจึงแนะนำเสมอว่าควรจัดสรรเวลาให้เพียงพอสำหรับการรายงานตอนท้ายของการทดสอบ รายงานโดยละเอียดจะช่วยให้มั่นใจว่าผลการทดสอบและคำแนะนำที่เป็นผลมาจากการทดสอบนั้นได้รับการสื่อสารอย่างชัดเจนไปยังผู้มีส่วนได้ส่วนเสีย
8.การรวมการทดสอบซ้ำหรือไม่ รายงานหลังการทดสอบ (Post-test Report) อาจระบุความจำเป็นในการทำการทดสอบซ้ำเพื่อกำหนดว่าขั้นตอนการแก้ไขมีประสิทธิภาพหรือไม่ จุดมุ่งหมายของการทดสอบซ้ำนี้ไม่ใช่เพื่อระบุช่องโหว่ใหม่ แต่เพื่อปิดปัญหาที่พบ เมื่อขอใบเสนอราคาการทดสอบเจาะระบบ ให้ตรวจสอบว่ามีการทดสอบซ้ำฟรีรวมอยู่ในการให้บริการหรือไม่ หรือมีค่าใช้จ่ายเพิ่มเติมหรือไม่
หากองค์กรต้องการการแก้ไขในระดับสูงหลังจากทำ Pentest ก็มีความเสี่ยงที่จะทำให้เกิดช่องโหว่ใหม่ได้ เราแนะนำให้ทำการทดสอบใหม่ทั้งหมดเฉพาะในกรณีที่พบช่องโหว่จำนวนมากเท่านั้น
การใช้ประโยชน์สูงสุดจากการทดสอบเจาะระบบ (Penetration Testing) ราคาของ Pentest และ VAPT (Vulnerability Assessment and Penetration Testing) อาจแตกต่างกันมาก แต่การระบุผู้ให้บริการที่เหมาะสมเพื่อช่วยในการกำหนดขอบเขตความต้องการอย่างถูกต้อง จะช่วยให้การประเมินใบเสนอราคา Pentest ง่ายขึ้นมาก ในฐานะผู้ที่ได้รับการรับรองจาก CREST ALPHASEC ดำเนินการทดสอบตามมาตรฐานทางเทคนิค กฎหมาย และจริยธรรมสูงสุด
หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับวิธีการบรรลุผลลัพธ์ที่ดีที่สุดจาก Penetration Testing และวิธีการที่บริการของเราสามารถตอบสนองความต้องการด้านความปลอดภัยของคุณได้ สามารถนัดหมายการพูดคุยแบบไม่มีข้อผูกมัดกับผู้เชี่ยวชาญของเราได้ เราจะบอกรายละเอียดเพิ่มเติมเกี่ยวกับสิ่งที่เกี่ยวข้องและเทคนิคที่เราใช้ รวมถึงให้คำแนะนำเกี่ยวกับวิธีการบรรลุคุณค่าที่ดีที่สุดจากการทดสอบเจาะระบบ (Penetration Testing) ที่เหมาะสมกับองค์กรของคุณ