VA PenTest Delve into every weak spot. For superior security.

เมื่อวันที่ 9 มีนาคม 2566 เชื่อว่าหลายคนคงเคยได้ยินข่าวมีแฮกเกอร์ 9near ประกาศขายข้อมูลของคนไทย 55 ล้านคนที่ได้ลงทะเบียนไว้กับหน่วยงานรัฐ ซึ่งข่าวนี้ได้สร้างความเสียหายและกระทบต่อความเชื่อมั่นให้กับประชาชนไม่น้อยเลยทีเดียว นอกจากนี้ ยังเคยมีข่าวว่าบางหน่วยงานทั้งของภาครัฐและเอกชนถูกโจมตีในรูปแบบ Ransomware หรือมัลแวร์เรียกค่าไถ่ การใช้ VA และ PenTest จึงสำคัญ เพราะการทำงานของ VA และ PenTest จะช่วยให้ระบบของเราได้รับความปลอดภัยจากการโดนโจมตีจากทาง App หรือ Web App หรือระบบภายในองค์กร 

VA และ PenTest เป็นกระบวนการตรวจสอบความปลอดภัยของระบบ เพื่อค้นหาช่องโหว่ที่อาจถูกอาชญากรไซเบอร์ใช้ในการโจมตีและขโมยข้อมูลสำคัญ VA หรือ Vulnerability Assessment เป็นระบบการตรวจสอบหาช่องโหว่ของระบบภายใน เพื่อประเมินผลและวิเคราะห์ว่าระบบของเรามีความเสี่ยงที่จะถูกโจมตีผ่านช่องทางไหนได้บ้าง ซึ่งการวิเคราะห์จะดำเนินการผ่านการสแกนตั้งแต่การทำงานของ System, Server, Network, ทุกระบบการทำงาน รวมไปถึง App ที่เราสร้างขึ้น ว่ามีช่องโหว่ตรงไหนที่เสี่ยงต่อการถูกโจมตีหรือไม่ 

ลองนึกภาพบ้านของเราเป็นระบบคอมพิวเตอร์ VA ก็เหมือนช่างมาตรวจสอบบ้านว่ามีรอยร้าว รั่วซึม หรือจุดอ่อนที่คนร้ายสามารถเข้ามาได้บ้างไหม โดย VA จะใช้เครื่องมือสแกนเพื่อค้นหาช่องโหว่ต่างๆ ในระบบ เช่น รหัสผ่านที่อ่อนแอ การตั้งค่าที่ไม่เหมาะสม หรือซอฟต์แวร์ที่ล้าสมัย เมื่อพบช่องโหว่ VA จะแจ้งให้เราทราบเพื่อนำไปแก้ไขต่อไป  

เป็นการทดสอบเรื่อง Security แบบเจาะลึก โดยการสร้างสถานการณ์จำลองว่าระบบถูกโจมตี เพื่อหาช่องโหว่ หรือจุดอ่อนของระบบป้องกันการโดนโจมตีของแฮกเกอร์ โดยให้ผู้เชี่ยวชาญด้านความปลอดภัยทำการเจาะระบบภายในด้วยทุกวิธีที่สามารถทำได้ เพื่อหาช่องโหว่ที่อาจจะเกิดขึ้นจริงจากการแฮกระบบ นอกจากนี้ยังช่วยประเมินการตอบสนองของระบบเมื่อถูกโจมตีในสถานการณ์ต่างๆ  

ถ้า VA เหมือนช่างตรวจบ้าน PenTest ก็เหมือนโจรฝึกหัดที่เข้ามาลองเจาะบ้านดูว่าจะเข้าไปได้หรือไม่ โดยผู้เชี่ยวชาญด้านความปลอดภัยจะทำการจำลองการโจมตีระบบของเรา เพื่อหาช่องทางที่แฮกเกอร์อาจใช้ในการเข้าถึงข้อมูลที่สำคัญ เป้าหมายของ PenTest คือการค้นหาช่องโหว่ที่ VA อาจมองข้ามไป และประเมินความเสียหายที่อาจเกิดขึ้นได้หากถูกโจมตีจริง 

ขั้นตอนนี้จะเป็นการร่างลิสต์ช่องโหว่อย่างครอบคลุม โดยผู้เชี่ยวชาญจะวิเคราะห์และประเมินระบบโดยใช้ฐานข้อมูลเกี่ยวกับช่องโหว่ที่มีในระบบ แจ้งจุดอ่อนของระบบด้วยเครื่องมือการสแกนอัตโนมัติ หรือทำการประเมิน Manual จากผู้เชี่ยวชาญ โดยใช้การบริหารจัดการ Asset และข้อมูลจาก Treat Intelligence เพื่อหาจุดอ่อนของระบบความปลอดภัย  

เป็นการระบุหาต้นตอของสาเหตุ และหาจุดกำเนิดของช่องโหว่ที่เกิดขึ้นจากการวิเคราะห์ในขั้นตอนแรก ว่าต้นต่อของช่องโหว่ที่เราพบนั้นมาจากจุดไหน เพื่อทำการป้องกันและแก้ไขได้อย่างตรงจุด 

เป็นการจัดลำดับความสำคัญของช่องโหว่จากนักวิเคราะห์ผู้เชี่ยวชาญความปลอดภัย ซึ่งจะมีการระบุความร้ายแรงของช่องโหว่แต่ละอย่างที่พบในระบบ มีการบอกรายละเอียดของช่องโหว่และผลกระทบที่อาจจะเกิดขึ้นจากช่องโหว่ในแต่ละรูปแบบ  

เป็นการกำหนดวิธีการและหาแนวทางในการแก้ไขเพื่อปิดช่องโหว่แต่ละจุด ขั้นตอนนี้เป็นขั้นตอนสุดท้ายที่ทุกทีมต้องทำงานร่วมกันเพื่อให้ได้ผลลัพธ์ที่ดีที่สุด  

เมื่อทำทุกอย่างมาจนถึงขั้นตอนที่ 4 จะมีการแก้ไขทุกอย่างที่เพื่อปิดช่องโหว่ให้เรียบร้อย หลังจากทำการแก้ไขทุกอย่างแล้วให้กลับไปเริ่มต้นตั้งแต่ขั้นตอนที่ 1 จนถึงขั้นตอนที่ 4 ใหม่อีกครั้ง จนกว่าจะได้ระบบที่ปลอดภัยสำหรับระบบมากที่สุด 

เป็นการกำหนดขอบเขตและเป้าหมายการทดสอบ รวมถึงการระบุระบบที่ใช้ในการทดสอบ และวิธีการ โดยการรวบรวมข้อมูล Network, DNS หรือ Mail Server เพื่อให้เข้าใจเป้าหมายในการเจาะระบบมีรูปแบบไหนได้บ้าง 

ขั้นตอนนี้เป็นการใช้เครื่องมือและเทคนิคต่าง ๆ เพื่อหาจุดอ่อนและช่องโหว่ในระบบ ซึ่งการตรวจสอบหาช่องโหว่นั้น สามารถแบ่งการตรวจสอบได้ 4 ระบบตามเป้าหมายของผู้ใช้งาน ดังนี้ 

  • การตรวจหาช่องโหว่ระบบ Wi-Fi 
  • การตรวจหาช่องโหว่ระบบ Mobile App ทุกเครือข่าย 
  • การตรวจหาช่องโหว่ระบบเครือข่าย และระบบปฏิบัติการ 
  • การตรวจหาช่องโหว่ของ Web App ที่ถูกพัฒนาขึ้นมาทั้งหมด 

เมื่อพบช่องโหว่แล้ว จะทำการโจมตีทุกช่องโหว่ทุกช่องที่พบด้วยเทคนิคต่าง ๆ ส่วนใหญ่จะเป็นการโจมตีผ่านช่องโหว่ของ Software เช่น การใช้ Cross-site Scripting , SQL Injection และ Backdoor เพื่อปกปิดร่องรอยการโจมตี เป็นต้น 

ขั้นตอนนี้จะเป็นการดูว่าแฮกเกอร์สามารถอยู่ในระบบของเราได้นานเท่าไหร่ กว่าทีมรักษาความปลอดภัยจะมาเจอ ยิ่งอยู่ได้นานก็ยิ่งส่งผลดีต่อผู้แฮกในการขโมยข้อมูล 

เมื่อระบบประมวลผลทุกอย่างแล้ว จะมีการแจ้งผลลัพธ์ให้รู้ว่าระบบ หรือข้อมูลส่วนไหนที่สามารถเจาะได้บ้าง รวมถึงข้อมูลสำคัญอะไรบ้างที่สามารถเข้าถึงได้ง่าย และระยะเวลาที่ผู้มีคนสามารถแฮกเข้ามาในระบบได้นานเท่าไหร่กว่าทีมตรวจรักษาความปลอดภัยหาไม่เจอ 

คุณสมบัติ   VA (Vulnerability Assessment)    PenTest (Penetration Testing) 
เป้าหมาย    ค้นหาช่องโหว่ในระบบ    จำลองการโจมตีเพื่อหาช่องโหว่ 
วิธีการ    ใช้เครื่องมือสแกน    ใช้เทคนิคการเจาะระบบ 
ผลลัพธ์    รายงานช่องโหว่    รายงานผลการโจมตีและผลกระทบ 

ประโยชน์หลักของการทำ VA PenTest คือการมองหาช่องโหว่เพื่อป้องกันไม่ให้ระบบและข้อมูลของเราได้รับความเสียหายจากผู้ที่ต้องการโจมตีเราทางไซเบอร์ รวมถึงผู้ที่ต้องการจะขโมยข้อมูล การทำ VA PenTest จึงส่งผลให้ทุกอย่างที่อยู่ในระบบของเราได้รับความปลอดภัยจากทุกการโจมตีทุกรูปแบบที่สามารถเกิดขึ้นได้ 

ติดต่อเรา WAF and DDoS Protection Solution 

Recent Post

API ที่คุณมองไม่เห็น คือประตูที่แฮกเกอร์เห็นก่อนคุณ

5 วิกฤต API Security ปี 2026 ที่ผู้บริหารไอทีปล่อยผ่านไม่ได้อีกต่อไป ลองถามทีมของคุณคำถามเดียว: “ตอนนี้องค์กรเรามี API ทั้งหมดกี่ตัว?” ถ้าคำตอบคือความเงียบ คุณไม่ได้อยู่คนเดียว — องค์กรกว่า 94% ไม่มีเ

Read More »

☁️ PROEN Cloud การันตีด้วย dSURE จาก depa: ยกระดับความน่าเชื่อถือด้วย 7 มาตรฐานระดับสากล

ในยุคที่ธุรกิจขับเคลื่อนด้วยข้อมูล การเลือกผู้ให้บริการคลาวด์จึงต้องการมากกว่าแค่ความสะดวกรวดเร็ว แต่ต้องแลกมาด้วย “ความมั่นใจขั้นสูงสุด”

Read More »
การย้ายระบบจาก On-Premise ขึ้นสู่ Cloud (Cloud Migration) เป็นก้าวสำคัญของการเปลี่ยนผ่านสู่ Digital Transformation ที่ต้องอาศัยการวางแผนอย่างรอบคอบ เพื่อลดความเสี่ยงในการหยุดชะงักของธุรกิจ ป้องกันข้อมูลสูญหาย และควบคุมงบประมาณให้คุ้มค่าที่สุด

🚀 5 ขั้นตอนย้ายระบบจาก On-Premise สู่ Cloud อย่างปลอดภัยและมีประสิทธิภาพ

การย้ายระบบจาก On-Premise ขึ้นสู่ Cloud (Cloud Migration) เป็นก้าวสำคัญของการเปลี่ยนผ่านสู่ Digital Transformation ที่ต้องอาศัยการวางแผนอย่างรอบคอบ เพื่อลดความเสี่ยงในการหยุดชะงักของธุรกิจ ป้องกันข้อมูลสูญหาย และควบคุมงบประมาณให้คุ้มค่าที่สุด

Read More »

🚀 ยกระดับ AI ให้ธุรกิจคุณด้วย Enterprise GPU ขุมพลังระดับโลก บนศูนย์ข้อมูลในไทย! (Cloud GPU)

ในยุคที่ Artificial Intelligence (AI) และ Machine Learning (ML) กลายเป็นหัวใจสำคัญในการขับเคลื่อนกลยุทธ์ทางธุรกิจ การมีโครงสร้างพื้นฐาน (Infrastructure) ที่ทรงพลังและยืดหยุ่นจึงไม่ใช่แค่ทางเลือก แต่เป

Read More »