PENETRATION TESTING - ACIS Professional Center Co., Ltd.

Penetration Testing คืออะไร

โดยทั่วไปแล้ว กระบวนการทดสอบการเจาะระบบ (Penetration Testing Process)
คือแนวทางเชิงระบบในการ ระบุช่องโหว่ และ ประเมินความปลอดภัย
ของระบบหรือเครือข่ายเป้าหมาย ทั้งนี้ขั้นตอนที่ใช้จริงอาจแตกต่างกันตามวิธีการและขอบเขตงานของแต่ละองค์กร

วัตถุประสงค์ของการทดสอบการเจาะระบบ

ค้นหาและจัดลำดับความสำคัญของ ช่องโหว่ด้านความปลอดภัย ตามความเสี่ยง
ทดสอบความพร้อมของระบบ/ทีมงานต่อ การถูกโจมตีจริง
ยืนยันผลกระทบ (Impact) และช่วยกำหนดแนวทาง การแก้ไข (Remediation)
สนับสนุนการปฏิบัติตามข้อกำหนด/มาตรฐาน (เช่น Security requirement, Audit)

ขั้นตอนการทดสอบการเจาะระบบ (Penetration Testing Process)

#	ขั้นตอน	รายละเอียด
1	Planning & Preparation การวางแผนและเตรียมการ	รวบรวมข้อมูลเกี่ยวกับเป้าหมาย เช่น ที่อยู่ IP สถาปัตยกรรมระบบ และเอกสารที่มี กำหนด ขอบเขต และ วัตถุประสงค์ ของการทดสอบ (ระบบ/เครือข่าย/แอปพลิเคชัน) ได้รับการอนุญาตที่เหมาะสมและถูกต้องตามกฎหมายก่อนเริ่มทดสอบ ระบุวิธีการทดสอบและเครื่องมือที่จะใช้
2	Information Gathering การรวบรวมข้อมูล	รวบรวมข้อมูลเกี่ยวกับเป้าหมายให้ได้มากที่สุด เช่น โครงสร้างพื้นฐานเครือข่าย และการกำหนดค่าระบบ ใช้เทคนิค เช่น network scanning, port scanning และ OSINT เพื่อรวบรวมข้อมูลที่เกี่ยวข้อง
3	Vulnerability Scanning & Analysis การสแกนและวิเคราะห์ช่องโหว่	ใช้เครื่องมือสแกนช่องโหว่อัตโนมัติเพื่อระบุช่องโหว่ที่อาจเกิดขึ้น วิเคราะห์ผลและจัดลำดับความสำคัญของช่องโหว่ตาม ความรุนแรง และ ผลกระทบ
4	Exploitation การเอารัดเอาเปรียบช่องโหว่	พยายามใช้ช่องโหว่เพื่อเข้าถึงระบบ/เครือข่ายโดยไม่ได้รับอนุญาต (ภายใต้ขอบเขตที่อนุมัติ) ใช้เทคนิคที่เหมาะสมเพื่อยืนยันความเป็นไปได้ของการโจมตีและผลกระทบ
5	Privilege Escalation การเพิ่มสิทธิ์	หลังได้การเข้าถึงเริ่มต้น ทำการเลื่อนระดับสิทธิ์เพื่อเข้าถึง/ควบคุมที่สูงขึ้นภายในสภาพแวดล้อมเป้าหมาย สำรวจเพื่อหาช่องโหว่เพิ่มเติมและช่องทางที่เป็นไปได้สำหรับการเข้าถึงต่อเนื่อง
6	Post-Exploitation & Lateral Movement หลังการเจาะและการเคลื่อนย้ายภายในเครือข่าย	รักษาการเข้าถึงและสำรวจสภาพแวดล้อมเพื่อทำความเข้าใจท่าทางการรักษาความปลอดภัยเชิงลึก เคลื่อนย้ายภายในเครือข่ายเพื่อเข้าถึงระบบอื่น (ตามขอบเขต) และประเมินผลกระทบ
7	Data Analysis & Reporting การวิเคราะห์และการรายงาน	วิเคราะห์สิ่งที่ค้นพบ เช่น ช่องโหว่ที่ยืนยันได้ ระบบที่ได้รับผลกระทบ และระดับผลกระทบ จัดทำรายงานสรุปช่องโหว่ ผลกระทบ และ คำแนะนำการแก้ไข ที่ชัดเจน ให้แนวทางที่นำไปปฏิบัติได้เพื่อปรับปรุงมาตรการรักษาความปลอดภัยโดยรวม
8	Remediation & Follow-Up การแก้ไขและติดตามผล	ทำงานร่วมกับผู้มีส่วนได้ส่วนเสียเพื่อจัดลำดับความสำคัญและแก้ไขช่องโหว่ ให้คำแนะนำในการใช้มาตรการควบคุมความปลอดภัยและแพตช์เพื่อลดความเสี่ยง ติดตามผลเพื่อยืนยันว่าช่องโหว่ได้รับการแก้ไขอย่างเพียงพอแล้ว

ข้อควรทราบด้านกฎหมายและจริยธรรม

การทดสอบการเจาะระบบควรดำเนินการโดยได้รับ การอนุญาตอย่างเหมาะสม และปฏิบัติตามหลักเกณฑ์ทางกฎหมายและจริยธรรมอย่างเคร่งครัด
รวมถึงต้องมี การสื่อสาร และ การทำงานร่วมกัน กับผู้มีส่วนได้ส่วนเสียขององค์กรตลอดกระบวนการ เพื่อให้การทดสอบเป็นไปอย่างปลอดภัยและประสบความสำเร็จ