เคยสงสัยไหมว่าทำไมข้อมูลส่วนตัวของเราถึงรั่วไหลออกมาได้บ่อยครั้ง หรือทำไมเว็บไซต์ของบริษัทใหญ่ๆ ถึงถูกแฮกเกอร์โจมตี? คำตอบก็คือ ระบบของพวกเขายังมีความอ่อนแอและมีช่องโหว่ที่ผู้ไม่หวังดีสามารถเจาะเข้าไปได้ วันนี้ PROEN จะมาไขข้อข้องใจให้คุณเข้าใจถึง VA และ PenTest ซึ่งเป็นเครื่องมือสำคัญที่จะช่วยปกป้องระบบของคุณให้ปลอดภัยจากภัยคุกคามทางไซเบอร์
เมื่อวันที่ 9 มีนาคม 2566 เชื่อว่าหลายคนคงเคยได้ยินข่าวมีแฮกเกอร์ 9near ประกาศขายข้อมูลของคนไทย 55 ล้านคนที่ได้ลงทะเบียนไว้กับหน่วยงานรัฐ ซึ่งข่าวนี้ได้สร้างความเสียหายและกระทบต่อความเชื่อมั่นให้กับประชาชนไม่น้อยเลยทีเดียว นอกจากนี้ ยังเคยมีข่าวว่าบางหน่วยงานทั้งของภาครัฐและเอกชนถูกโจมตีในรูปแบบ Ransomware หรือมัลแวร์เรียกค่าไถ่ การใช้ VA และ PenTest จึงสำคัญ เพราะการทำงานของ VA และ PenTest จะช่วยให้ระบบของเราได้รับความปลอดภัยจากการโดนโจมตีจากทาง App หรือ Web App หรือระบบภายในองค์กร
VA และ PenTest เป็นกระบวนการตรวจสอบความปลอดภัยของระบบ เพื่อค้นหาช่องโหว่ที่อาจถูกอาชญากรไซเบอร์ใช้ในการโจมตีและขโมยข้อมูลสำคัญ VA หรือ Vulnerability Assessment เป็นระบบการตรวจสอบหาช่องโหว่ของระบบภายใน เพื่อประเมินผลและวิเคราะห์ว่าระบบของเรามีความเสี่ยงที่จะถูกโจมตีผ่านช่องทางไหนได้บ้าง ซึ่งการวิเคราะห์จะดำเนินการผ่านการสแกนตั้งแต่การทำงานของ System, Server, Network, ทุกระบบการทำงาน รวมไปถึง App ที่เราสร้างขึ้น ว่ามีช่องโหว่ตรงไหนที่เสี่ยงต่อการถูกโจมตีหรือไม่
ลองนึกภาพบ้านของเราเป็นระบบคอมพิวเตอร์ VA ก็เหมือนช่างมาตรวจสอบบ้านว่ามีรอยร้าว รั่วซึม หรือจุดอ่อนที่คนร้ายสามารถเข้ามาได้บ้างไหม โดย VA จะใช้เครื่องมือสแกนเพื่อค้นหาช่องโหว่ต่างๆ ในระบบ เช่น รหัสผ่านที่อ่อนแอ การตั้งค่าที่ไม่เหมาะสม หรือซอฟต์แวร์ที่ล้าสมัย เมื่อพบช่องโหว่ VA จะแจ้งให้เราทราบเพื่อนำไปแก้ไขต่อไป
เป็นการทดสอบเรื่อง Security แบบเจาะลึก โดยการสร้างสถานการณ์จำลองว่าระบบถูกโจมตี เพื่อหาช่องโหว่ หรือจุดอ่อนของระบบป้องกันการโดนโจมตีของแฮกเกอร์ โดยให้ผู้เชี่ยวชาญด้านความปลอดภัยทำการเจาะระบบภายในด้วยทุกวิธีที่สามารถทำได้ เพื่อหาช่องโหว่ที่อาจจะเกิดขึ้นจริงจากการแฮกระบบ นอกจากนี้ยังช่วยประเมินการตอบสนองของระบบเมื่อถูกโจมตีในสถานการณ์ต่างๆ
ถ้า VA เหมือนช่างตรวจบ้าน PenTest ก็เหมือนโจรฝึกหัดที่เข้ามาลองเจาะบ้านดูว่าจะเข้าไปได้หรือไม่ โดยผู้เชี่ยวชาญด้านความปลอดภัยจะทำการจำลองการโจมตีระบบของเรา เพื่อหาช่องทางที่แฮกเกอร์อาจใช้ในการเข้าถึงข้อมูลที่สำคัญ เป้าหมายของ PenTest คือการค้นหาช่องโหว่ที่ VA อาจมองข้ามไป และประเมินความเสียหายที่อาจเกิดขึ้นได้หากถูกโจมตีจริง
- การระบุช่องโหว่ หรือ Vulneraility Identification (Testing)
ขั้นตอนนี้จะเป็นการร่างลิสต์ช่องโหว่อย่างครอบคลุม โดยผู้เชี่ยวชาญจะวิเคราะห์และประเมินระบบโดยใช้ฐานข้อมูลเกี่ยวกับช่องโหว่ที่มีในระบบ แจ้งจุดอ่อนของระบบด้วยเครื่องมือการสแกนอัตโนมัติ หรือทำการประเมิน Manual จากผู้เชี่ยวชาญ โดยใช้การบริหารจัดการ Asset และข้อมูลจาก Treat Intelligence เพื่อหาจุดอ่อนของระบบความปลอดภัย
- การวิเคราะห์ช่องโหว่ หรือ Vulnerability Analysis
เป็นการระบุหาต้นตอของสาเหตุ และหาจุดกำเนิดของช่องโหว่ที่เกิดขึ้นจากการวิเคราะห์ในขั้นตอนแรก ว่าต้นต่อของช่องโหว่ที่เราพบนั้นมาจากจุดไหน เพื่อทำการป้องกันและแก้ไขได้อย่างตรงจุด
- การประเมินผลความเสี่ยง (Risk Assessment)
เป็นการจัดลำดับความสำคัญของช่องโหว่จากนักวิเคราะห์ผู้เชี่ยวชาญความปลอดภัย ซึ่งจะมีการระบุความร้ายแรงของช่องโหว่แต่ละอย่างที่พบในระบบ มีการบอกรายละเอียดของช่องโหว่และผลกระทบที่อาจจะเกิดขึ้นจากช่องโหว่ในแต่ละรูปแบบ
- การแก้ไข (Remediation)
เป็นการกำหนดวิธีการและหาแนวทางในการแก้ไขเพื่อปิดช่องโหว่แต่ละจุด ขั้นตอนนี้เป็นขั้นตอนสุดท้ายที่ทุกทีมต้องทำงานร่วมกันเพื่อให้ได้ผลลัพธ์ที่ดีที่สุด
เมื่อทำทุกอย่างมาจนถึงขั้นตอนที่ 4 จะมีการแก้ไขทุกอย่างที่เพื่อปิดช่องโหว่ให้เรียบร้อย หลังจากทำการแก้ไขทุกอย่างแล้วให้กลับไปเริ่มต้นตั้งแต่ขั้นตอนที่ 1 จนถึงขั้นตอนที่ 4 ใหม่อีกครั้ง จนกว่าจะได้ระบบที่ปลอดภัยสำหรับระบบมากที่สุด
- การวางแผนและการสำรวจภาพรวม (Planning and Reconnaissance)
เป็นการกำหนดขอบเขตและเป้าหมายการทดสอบ รวมถึงการระบุระบบที่ใช้ในการทดสอบ และวิธีการ โดยการรวบรวมข้อมูล Network, DNS หรือ Mail Server เพื่อให้เข้าใจเป้าหมายในการเจาะระบบมีรูปแบบไหนได้บ้าง
- การตรวจสอบหาช่องโหว่ (Scanning)
ขั้นตอนนี้เป็นการใช้เครื่องมือและเทคนิคต่าง ๆ เพื่อหาจุดอ่อนและช่องโหว่ในระบบ ซึ่งการตรวจสอบหาช่องโหว่นั้น สามารถแบ่งการตรวจสอบได้ 4 ระบบตามเป้าหมายของผู้ใช้งาน ดังนี้
- การตรวจหาช่องโหว่ระบบ Wi-Fi
- การตรวจหาช่องโหว่ระบบ Mobile App ทุกเครือข่าย
- การตรวจหาช่องโหว่ระบบเครือข่าย และระบบปฏิบัติการ
- การตรวจหาช่องโหว่ของ Web App ที่ถูกพัฒนาขึ้นมาทั้งหมด
- เจาะระบบ (Gaining Access)
เมื่อพบช่องโหว่แล้ว จะทำการโจมตีทุกช่องโหว่ทุกช่องที่พบด้วยเทคนิคต่าง ๆ ส่วนใหญ่จะเป็นการโจมตีผ่านช่องโหว่ของ Software เช่น การใช้ Cross-site Scripting , SQL Injection และ Backdoor เพื่อปกปิดร่องรอยการโจมตี เป็นต้น
- รักษาการเข้าถึง (Maintaining Access)
ขั้นตอนนี้จะเป็นการดูว่าแฮกเกอร์สามารถอยู่ในระบบของเราได้นานเท่าไหร่ กว่าทีมรักษาความปลอดภัยจะมาเจอ ยิ่งอยู่ได้นานก็ยิ่งส่งผลดีต่อผู้แฮกในการขโมยข้อมูล
- การรายงานผล (Analysis)
เมื่อระบบประมวลผลทุกอย่างแล้ว จะมีการแจ้งผลลัพธ์ให้รู้ว่าระบบ หรือข้อมูลส่วนไหนที่สามารถเจาะได้บ้าง รวมถึงข้อมูลสำคัญอะไรบ้างที่สามารถเข้าถึงได้ง่าย และระยะเวลาที่ผู้มีคนสามารถแฮกเข้ามาในระบบได้นานเท่าไหร่กว่าทีมตรวจรักษาความปลอดภัยหาไม่เจอ
สรุปความแตกต่างระหว่าง VA และ PenTest
| คุณสมบัติ | VA (Vulnerability Assessment) | PenTest (Penetration Testing) |
|---|---|---|
| เป้าหมาย | ค้นหาช่องโหว่ในระบบ | จำลองการโจมตีเพื่อหาช่องโหว่ |
| วิธีการ | ใช้เครื่องมือสแกน | ใช้เทคนิคการเจาะระบบ |
| ผลลัพธ์ | รายงานช่องโหว่ | รายงานผลการโจมตีและผลกระทบ |
ประโยชน์หลักของการทำ VA PenTest คือการมองหาช่องโหว่เพื่อป้องกันไม่ให้ระบบและข้อมูลของเราได้รับความเสียหายจากผู้ที่ต้องการโจมตีเราทางไซเบอร์ รวมถึงผู้ที่ต้องการจะขโมยข้อมูล การทำ VA PenTest จึงส่งผลให้ทุกอย่างที่อยู่ในระบบของเราได้รับความปลอดภัยจากทุกการโจมตีทุกรูปแบบที่สามารถเกิดขึ้นได้
ในยุคที่ข้อมูลคือทรัพย์สินที่สำคัญที่สุด การปกป้องข้อมูลของคุณจากภัยคุกคามไซเบอร์จึงเป็นสิ่งจำเป็นอย่างยิ่ง อย่ารอจนเกิดเหตุการณ์ไม่คาดคิด จัดการป้องกันปัญหาตั้งแต่เนิ่นๆ ด้วยการทำ VA และ PenTest ตอนนี้
สนใจติดต่อติดต่อเรา PROEN ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์และทุกเรื่องของเทคโนโลยีที่ครบวงจรเพื่อรับคำปรึกษาเพิ่มเติมฟรี
ติดต่อเรา WAF and DDoS Protection Solution
Email: Sales@snoc.co.th Tel: 02 690 3999
