Penetration Test บริการทดสอบการบุกรุกระบบด้วยการจำลองเหตุการณ์สองแบบ ได้แก่ Black Box หรือการทดสอบเจาะระบบเสมือนผู้ทดสอบเป็นแฮกเกอร์จากภายนอก และ White Box หรือการทดสอบเจาะระบบเสมือนผู้ทดสอบเป็นพนักงานภายในองค์กร โดยอ้างอิงตามมาตรฐานสากล เช่น OSTM, BSI, NIST, C|EH, OWASP, ISSAF เพื่อให้ลูกค้าทราบถึงผลกระทบของช่องโหว่ และแก้ไขปรับปรุงจุดอ่อน ตลอดจนสร้างความตระหนักให้แก่ผู้ใช้งานภายในองค์กรถึงภัยคุกคามที่มีอยู่จริงบนระบบเครือข่าย
ลักษณะของบริการ
การทดสอบเจาะระบบใช้หลักการ และวิธีการจากมาตรฐานการทดสอบพัฒนาโดยทีมผู้เชี่ยวชาญ ของ NT cyfence โดยประยุกต์เพื่อให้เหมาะสมกับสภาพแวดล้อมของระบบโดยส่วนใหญ่ของประเทศไทย โดยมีการอ้างอิงจากมาตรฐานสากล ดังนี้
- OSSTM, Open Source Security Testing Methodology
- BSI A Penetration Testing Model Study
- NIST 800-42 Guideline on Network Security Testing
- C|EH (Certified Ethical Hacker) Methodology
- OWASP Testing Guide Version 4
- OWASP Mobile Testing Guide
- ISSAF, Information Systems Security Assessment Framework
การทำการทดสอบการโจมตีระบบ(Penetration test) แบ่งออกเป็นสองอย่าง คือ
Black Box คือ การทดสอบเจาะระบบโดยทำเสมือนตนเองเป็น hacker ที่มาจากภายนอกองค์กรที่ไม่รู้ information ต่าง ๆ ภายในองค์กรของลูกค้า
white Box คือ การทดสอบเจาะระบบโดยทำเสมือนตนเองเป็นพนักงานภายในองค์กรของ ลูกค้าที่ทราบถึงข้อมูลภายในบางส่วนหรือทั้งหมด
Certification ทางด้าน IT ที่เกี่ยวข้องได้แก่
- OPST (OSSTMM Professional Security Tester)
- CISSP (Certified Information Systems Security Professional)
- CompTIA Security+
ประโยชน์ที่ได้รับจากบริการ
- ทำให้ลูกค้าทราบถึงผลกระทบของช่องโหว่ในระบบเครือข่ายภายในองค์กร เพื่อทำการแก้ไขปรับปรุงให้เกิดประสิทธิภาพยิ่งขึ้น ลดความเสี่ยงในการเกิดภัยคุกคามของระบบ
- เพื่อสร้างความตระหนักแก่ผู้ใช้งานภายในองค์กรให้เกิดความรู้ เข้าใจ จากภัยคุกคามที่อาจเกิดขึ้นได้ บนระบบเครือข่าย
อ้างอิง : https://www.cyfence.com/services/penetration-test/
