PENETRATION TESTING (Pentest) การทดสอบเจาะระบบ

Penetration Testing Service (Pentest) คือ การทดสอบเจาะระบบ มีจุดประสงค์เพื่อค้นหาช่องโหว่ของระบบเป้าหมาย ซึ่งเป็นส่วนหนึ่งของการบริหารจัดการช่องโหว่ โดยการทดสอบจะจำลองวิธีการของผู้บุกรุกเพื่อค้นหาช่องโหว่ให้ได้มากที่สุดเท่าที่จะเป็นไปได้ ทั้งนี้ขึ้นอยู่กับประเภทของเป้าหมาย โดยองค์กรอาจกำหนดเป้าหมายได้ทั้ง ระบบเครือข่าย เครื่องแม่ข่าย แอปพลิเคชัน เว็บ หรือแม้แต่ แอปพลิเคชั่นที่ให้บริการบนโทรศัพท์มือถือ (Mobile aplication)

เมื่อองค์กรได้เข้าใจถึงช่องโหว่ของเป้าหมายนั้น ๆ ทำให้องค์กรสามารถปิดช่องโหว่เหล่านั้น หรือเลือกวิธีป้องกันเพื่อลดทอนความเสี่ยงได้ ก่อนที่ผู้บุกรุกตัวจริงจะพบเจอและโจมตีด้วยวิธีการเดียวกัน

คุณภาพของการทดสอบเจาะระบบ ไม่ได้ขึ้นอยู่แค่กับช่องโหว่ที่ผู้ทดสอบเจอและนำเสนอ แต่ยังขึ้นอยู่กับกระบวนการที่จะให้คำปรึกษาเพื่อจัดการกับช่องโหว่ที่เจอ วิธีการนำเสนอช่องโหว่ และความพยายามในการติดตามช่องโหว่เหล่านั้นด้วย

ที่คลาวด์เซค เอเซีย เราพยายามให้คำปรึกษาให้กับลูกค้าอย่างกระตือรือล้น โดยในรายงานจะอธิบายตำแหน่งของทุกช่องโหว่ที่ตรวจพบพร้อมกับการประเมินความเสี่ยงและการแนะนำวิธีการแก้ไข ทั้งนี้ยังคอยให้คำแนะนำ ตลอดการปิดช่องโหว่และทดสอบซ้ำเพื่อให้แน่ใจว่าช่องโหว่ที่องค์กรปิดนั้น ทำได้อย่างถูกต้องและเหมาะสมด้วย ทีมงานที่มีความเชี่ยวชาญทในการให้บริการในอุตสาหกรรมไซเบอร์ซีเคียวริตี้ และมีประสบการณ์ในการให้คำปรึกษาด้านความปลอดภัยข้อมูลและความเข้าใจด้านความปลอดภัยในหลายๆด้าน เช่น เครือข่ายภายใน แอปพลิเคชั่นเว็บและมือถือ รวมถึงพื้นที่เชิงพาณิชย์แบบเฉพาะ เช่น RFID, ATM, EDC และโครงสร้างโทรคมนาคม

ลักษณะเฉพาะของบริการทดสอบเจาะระบบ (Penetration Testing)

• กำหนดขอบเขตและเป้าหมายของงานโดยลูกค้า
• ผู้เกี่ยวข้องในองค์กรจะได้รับทราบถึงช่วงเวลาที่ทดสอบระบบล่วงหน้า
• มีขอบเขตและกฏเกณฑ์ในการทดสอบระบบชัดเจน
• การทดสอบจะเป็นการทดสอบเฉพาะเป้าหมายที่ระบุเท่านั้น
• เน้นไปที่การค้นหาช่องโหว่ให้ได้มากที่สุดเพื่อนำเสนอให้องค์กรปิดช่องโหว่
• เทคนิคที่ใช้: mapping, scanning, and exploiting
• ผลลัพธ์ที่คาดหวัง : ช่องโหว่มากที่สุดเท่าที่จะเป็นไปได้ของระบบที่ระบุเป็นเป้าหมาย

ข้อดีของ Penetration Testing