การโจมตีทางไซเบอร์ (Cyber Attack) เป็นภัยคุกคามที่แพร่หลาย ซึ่งธุรกิจและองค์กรต่างๆ จำเป็นต้องหาทางรับมืออย่างต่อเนื่อง การรักษาเครือข่ายให้มีประสิทธิภาพและปลอดภัยจึงเป็นสิ่งสำคัญ แม้ว่าจะมีผู้ให้บริการรักษาความปลอดภัยทางไซเบอร์มากมาย รวมถึง Sangfor ที่เสนอโซลูชันมากมาย แต่การทดสอบประสิทธิภาพของโซลูชันต่างๆ ยังคงเป็นสิ่งสำคัญ อย่างการทำ Pen Testing หรือ Penetration Testing ที่ถือเป็นหนึ่งในวิธีที่องค์กรสามารถใช้เพื่อประเมินความสามารถของโซลูชันต่าง
Penetration Testing คืออะไร
Pen Testing หรือที่เรียกว่า Penetration Testing คือ แนวทางการตรวจสอบความปลอดภัยของระบบคอมพิวเตอร์ ในการทดสอบ Pen Test หรือการทดสอบเจาะระบบ จะมีการจำลองการโจมตีทางไซเบอร์ (Cyber Attack) กับระบบคอมพิวเตอร์ขององค์กร โดยการโจมตีดังกล่าว อาจมุ่งเป้าไปยังเครือข่ายองค์กร อุปกรณ์ IoT เว็บไซต์ แอปพลิเคชัน และอื่นๆ โดยมีจุดประสงค์เพื่อทำการตรวจสอบความปลอดภัยระบบและช่องโหว่ที่อาจซ่อนอยู่ ดังนั้น จึงพูดได้ว่า Penetration Testing นั้นเป็นรูปแบบหนึ่งของการแฮกแบบ White Hat หรือ Ethical Hacking
เป้าหมายสูงสุดของการทำ Penetration Testing คือ การทดสอบความปลอดภัยของระบบคอมพิวเตอร์ขององค์กร เพื่อ จะรวบรวมข้อมูลเกี่ยวกับช่องโหว่ด้านความปลอดภัยและช่องโหว่ที่อาจเกิดขึ้น เช่น ความเสี่ยงจากการโจมตีแบบ ฟิชชิง (Phishing) และ มัลแวร์เรียกค่าไถ่ (Ransomware) แล้วด้วยข้อมูลนี้ องค์กรจะสามารถเสริมความแข็งแกร่งให้กับระบบป้องกัน ให้พร้อมรับมือกับการโจมตีทางไซเบอร์ในอนาคต
การทดสอบ Penetration Testing ส่วนใหญ่มักจะดำเนินการโดยผู้ให้บริการ Third-Party เนื่องจากพนักงาน IT ที่คุ้นเคยกับสถาปัตยกรรมระบบ (System Architecture) ขององค์กรดีอยู่แล้ว อาจไม่สามารถจำลองการแฮกหรือเจาะระบบในมุมมองของแฮกเกอร์ที่ไม่ทราบถึงระบบขององค์กรมากก่อนได้นั่นเอง นอกจากนี้ ผู้ทดสอบ Peneration Test มืออาชีพยังเป็น Ethical Hackers ที่จะกำหนดเล็งเป้าหมายการแฮกไปยังช่องโหว่ได้อย่างครอบคลุม ซึ่งช่วยให้องค์กรมองเห็นภาพรวมที่ครอบคลุมและละเอียดถี่ถ้วน รวมถึงช่องโหว่ที่สามารถแก้ไขได้ก่อนที่แฮกเกอร์ผู้ไม่ประสงค์ดีจะใช้ประโยชน์จากช่องโหว่เหล่านั้นเพื่อเจาะข้อมูลขององค์กร
การทดสอบการโจมตีระบบ Penetration Testing มีรูปแบบใดบ้าง?
ในการประเมินช่องโหว่ทางไซเบอร์ หรือ Penertation Testing มีหลายวิธีที่องค์กรสามารถทำได้ โดยแต่ละวิธีมีข้อดีและข้อจำกัดที่แตกต่างกันไป ซึ่งก่อนที่องค์กรหรือผู้ดูแลระบบ IT จะเริ่มทำการตรวจสอบความปลอดภัยระบบคอมพิวเตอร์ อันดับแตกต้องตัดสินใจว่า กลยุทธ์ใดที่มีประสิทธิภาพมากที่สุด โดยมีวิธีการทำ Penetration Testing ดังนี้
Targeted Testing
Targeted Testing เป็นกลยุทธ์ที่ทีมผู้ทดสอบ Penetration Testing มืออาชีพ และทีม IT ขององค์กรทำงานร่วมกันในการประเมินช่องโหว่ด้านความปลอดภัย โดยทั้งสองทีมจะทราบถึงข้อมูลเกี่ยวกับระบบ วิธีการออกแบบ และรูปแบบการดำเนินงาน ซึ่งข้อได้เปรียบที่ดีที่สุดอย่างหนึ่งของ Targeted Testing คือความรวดเร็วและมีประสิทธิภาพในการดำเนินการ อย่างไรก็ตาม อาจไม่สามารถให้ผลลัพธ์ที่แม่นยำเท่ากับวิธีอื่นๆ
Blind Testing
หากองค์กรต้องการจำลองการโจมตีจากแฮกเกอร์ องค์กรสามารถเลือกใช้วิธีทดสอบแบบ Blind Test ซึ่งเป็นรูปแบบหนึ่งของ Pen Test ที่ทีมทดสอบจะไม่ทราบเกี่ยวกับสถาปัตยกรรมพื้นฐานของระบบองค์กร โดยทีมต้องอาศัยข้อมูลที่พบได้ทั่วไป (Public Domains) เพื่อจำลองสถานการณ์คล้ายกับแฮกเกอร์ตัวจริง ซึ่ง Blind tests ถือเป็นการทดสอบเจาะระบบที่ให้ผลลัพธ์แม่นยำและเสมือนจริงที่สุด แต่อาจมีความซับซ้อนในการดำเนินงาน
Double-Blind Testing
Double-Blind Test นั้นมีความคล้ายคลึงกับ Blind Test แต่แตกต่างกันตรงที่ทีม IT ขององค์กรจะไม่ทราบเกี่ยวกับการทดสอบ โดยอาจมีบุคลากรบางคนที่ได้รับอนุญาตให้ทดสอบเจาะระบบ หรืออาจเป็นการว่าผู้ให้บริการ Thrid-Party เป็นฝ่ายทดสอบแบบสุ่มวันที่ โดยองค์กรอาจเลือกดำเนินการทดสอบ Double-Blind Penetration Test เพื่อประเมินว่า ทีมรักษาความปลอดภัยทางไซเบอร์ของตนเองสามารถตอบสนองและปรับตัวต่อสถานการณ์การโจมตีได้รวดเร็วแค่ไหน
External Testing
เครือข่ายองค์กร (Enterprise Networks) นั้นมีองค์ประกอบต่างๆ มากมาย โดยแฮกเกอร์อาจพบช่องโหว่และเจาะผ่านการป้องกันขององค์กรผ่านอุปกรณ์ปลายทาง (Endpoints), เซิร์ฟเวอร์ (Server), ไฟร์วอลล์ (Firewalls) รวมถึงระบบ Cloud Computing Hybrid และอื่นๆ โดย External Test จะมุ่งเน้นไปที่การทดสอบเจาะระบบของอุปกรณ์ภายนอกและเซิร์ฟเวอร์เพื่อค้นหาช่องโหว่และความเสี่ยง
Internal Testing
Internal Testing มีลักษณะคล้าย External Testing ยกเว้นว่าจะมุ่งเน้นไปที่ความเสี่ยงภายในแทน ไม่ว่าภัยคุกคามจะมาจากพนักงานในองค์กรหรือผู้บุกรุกที่เข้าถึงเครือข่ายองค์กรผ่านการ ฟิชชิง (Phishing) ซึ่งเป็นภัยคุกคามที่องค์กรไม่ควรมองข้าม
องค์กร Open Web Application Security Project ยังมีคู่มือรายละเอียดเกี่ยวกับระเบียบวิธีการทำ Penetration Testing ซึ่งสามารถเรียนรู้เพิ่มเติมได้ ที่นี่
Penetration Testing ทำงานอย่างไร?
การทดสอบ Penetration Testing ดำเนินการตามขั้นตอนที่ออกแบบมาเพื่อจำลองวิธีที่แฮกเกอร์จะพยายามบุกรุกระบบคอมพิวเตอร์ขององค์กร โดยมีขั้นตอนต่างๆ ดังนี้
ขั้นตอนที่ 1: การค้นหาและรวบรวมข้อมูล (Research)
ดังที่กล่าวไปข้างต้น การทดสอบการโจมตีระบบส่วนใหญ่ดำเนินการโดยผู้ให้บริการทดสอบจาก Third-Party ที่มีข้อมูลจำกัดหรือไม่ทราบข้อมูลเกี่ยวกับโครงสร้างพื้นฐานเครือข่ายขององค์กร ขั้นตอนแรกของ Penetration Testing คือ การรวบรวมข้อมูลให้มากที่สุดและวางแผนการทดสอบ โดยเริ่มต้นตั้งแต่การค้นหาในฐานข้อมูล (Database) เสิร์ชเอนจิน (Search Engine) และแหล่งข้อมูลสาธารณะอื่นๆ ที่มีอยู่เพื่อเตรียมพร้อมสำหรับการทดสอบ
เมื่อรวบรวมข้อมูลได้เพียงพอแล้ว ผู้ทดสอบจะตัดสินใจว่ากำหนดเป้าหมายไปยังช่องโหว่ใด และเริ่มวางแผนการดำเนินงานขั้นพื้นฐาน และตัดสินใจว่าจะดำเนินการทดสอบอย่างไรต่อไป
ขั้นตอนที่ 2: การสแกน (Scanning)
ขั้นตอนต่อมาคือ การสแกนระบบเป้าหมายเพื่อหาช่องโหว่ ผู้ทดสอบ Penetration Tester จะใช้เครื่องมือต่างๆ เพื่อตรวจสอบแอปพลิเคชันและระบบความปลอดภัยอื่นๆ เช่น Next-Generation Firewall (NGFW), Secure Web Gateway, หรือระบบ ZTNA ตามกลยุทธ์ที่วางไว้ในขั้นตอนแรก
ขั้นตอนที่ 3: การเข้าถึง (Access)
ขั้นตอนที่สามของ Penetration Testing คือ การบุกรุกระบบเป้าหมาย โดยการใช้ประโยชน์จากช่องโหว่ ผู้ทดสอบจะสามารถเข้าถึงส่วนที่องค์กรเก็บข้อมูลเอไว้ จากนั้นจึงดำเนินการละเมิดข้อมูลตามรูปแบบแรงจูงใจของแฮกเกอร์ เช่น การรวบรวมข้อมูลเพื่อเรียกค่าไถ่ โจรกรรมข้อมูลส่วนบุคคล ก่อกวนให้เกิดการดำเนินงานหยุดชะงัก เป็นต้น ผู้ทดสอบ Penetration Tester จะใช้เทคนิคการโจมตีทางไซเบอร์หลากหลายรูปแบบ เพื่อเข้าถึงข้อมูลเช่นเดียวกับวิธีที่แฮกเกอร์มักใช้ ซึ่งอาจทำการ Spoofing Attack, SQL injections และอื่นๆ
ขั้นตอนที่ 4: การรวบรวม (Consolidation)
เมื่อผู้ทดสอบเจาะเข้าสู่ระบบได้สำเร็จแล้ว พวกเขาจำเป็นต้องอยู่ในระบบได้นานพอที่จะดึงข้อมูลหรือสร้างความเสียหาย หากผู้ทดสอบสามารถเข้าถึงระบบได้นานพอโดยไม่ถูกตรวจพบ จะเป็นการแสดงให้เห็นว่าช่องโหว่เหล่านั้นเป็นจุดบอดที่องค์กรต้องให้ความสำคัญ ยกตัวอย่างเช่น การโจมตีทางไซเบอร์อย่าง Advanced Persistent Threat (APT) ที่สามารถซ่อนตัวอยู่ในระบบได้โดยไม่ถูกตรวจพบเป็นเวลาหลายเดือนหรือหลายปี
ขั้นตอนที่ 5: การวิเคราะห์ (Analyzing)
หลังจากทดสอบ "โจมตี" ระบบเสร็จสิ้น ผู้ทดสอบจะรวบรวมผลลัพธ์และนำเสนอแก่ธุรกิจ เพื่อนำไปเสริมความแข็งแกร่งให้กับระบบความปลอดภัยทางไซเบอร์ต่อไป โดยข้อมูลดังกล่าวครอบคลุมตั้งแต่ช่องโหว่เฉพาะที่ถูกใช้ วิธีการเข้าถึงระบบ รวมถึงข้อมูลสำคัญใดที่เสี่ยงต่อการโจรกรรม และแนะนำการปรับปรุงระบบป้องกัน เช่น การติดตั้ง EDR, MDR, หรือ Data Loss Prevention และอื่นๆ อีกมากมาย
Penetration Testing กำหนดเป้าหมายอย่างไร?
ทีมทดสอบ Penetration Testing จะกำหนดเป้าหมายตามที่แฮกเกอร์อาจทำ ซึ่งอาจเป็นไปได้หลายอย่าง ตั้งแต่เครือข่ายไปจนถึงแอปพลิเคชันเว็บไซต์ อุปกรณ์ปลายทาง ระบบจัดเก็บข้อมูลบนคลาวด์ อุปกรณ์ IoT ระบบ SD-WAN และอื่นๆ ที่อยู่ภายในโครงสร้างพื้นฐานของระบบในองค์กรทั่วไป ซึ่งการประเมินช่องโหว่ทางไซเบอร์ตามจุดต่างๆ เหล่านี้ จะช่วยให้องค์กรมั่นใจได้ถึงการรักษาความปลอดภัยทางไซเบอร์
องค์กรได้ประโยชน์จาก Penetration Testing อย่างไร
นอกจากการป้องกันการโจมตีที่เป็นอันตรายอย่างเหมาะสมแล้ว การทดสอบเจาะระบบเป็นวิธีที่จะประเมินระดับความปลอดภัยทางไซเบอร์ขององค์กรด้วยสถานการณ์ในลักษณะที่เสมือนจริง โดยธุรกิจจะได้รับประโยชน์จากการทดสอบ Penetration Testing หลากหลายดังต่อไปนี้
- สามารถระบุช่องโหว่ได้โดยปราศจากความเสี่ยง ซึ่งสามารถเสริมความแข็งแกร่งต่อภัยคุกคามในอนาคต
- ในการทดสอบ Double-Blind องค์กรสามารถประเมินความสามารถของทีม IT หรือทีม Incident Response Teams ของตนเองได้อีกด้วย
- องค์กรสามารถรักษาความต่อเนื่องทางธุรกิจ สร้างความไว้วางใจต่อพาร์ทเนอร์ธุรกิจและลูกค้าได้ดี
- สามารถทดสอบการปฏิบัติตามกฎระเบียบความเป็นส่วนตัวของข้อมูลได้ (Data Privacy Compliance)
- องค์กรสามารถตรวจสอบให้แน่ใจได้ว่า กำลังปฏิบัติตามระเบียบความปลอดภัยล่าสุด
เริ่มต้นรักษาความปลอดภัยขององค์กรคุณด้วย Sangfor
Sangfor เป็นผู้ให้บริการความปลอดภัยทางไซเบอร์ชั้นนำที่เสนอชุดโซลูชันที่ครอบคลุม หากคุณต้องการดำเนินการทดสอบ Penetration Testing ในองค์กรของคุณ อย่าลังเลที่จะติดต่อเราวันนี้
