Services list
Professional Consulting
- IT Governance & Compliance
- ISO/IEC 27001:2005
- ISO 22301:2012
- ISO/IEC 20000:2011
- IT Governance Implementation (COBIT)
- IT Assurance
- IT Security Assessment & Treatment
- Secure Software Development Life Cycle
- Security Source Code Review
- Network Penetration Testing
- Web Application Penetration Test
- Vulnerability Assessment
- Systems Hardening
- Computer Forensic and Investigation
Information Security Training
IT Security Assessment & Treatment:
Network Penetration Testing
เนื่องจากอุปกรณ์หรือเครื่องคอมพิวเตอร์แม่ข่ายที่เชื่อมต่อกับเครือข่ายอินเตอร์เน็ตมีโอกาสสูงที่จะถูกใช้เป็นช่องทางสำหรับผู้บุกรุก (Attack surface) ในการเจาะเข้าสู่ระบบเครือข่ายภายในขององค์กรเพื่อลักลอบขโมยข้อมูล หรือแม้กระทั้งเพื่อทำลายชื่อเสียงขององค์กร ดังนั้นจะต้องมีการทดสอบเจาะระบบและปิดช่องโหว่ก่อนที่จะเกิดเหตุการณ์ดังกล่าวขึ้นจริงเสมอ การดำเนินการประเมินระดับความเสี่ยงของระบบเครือข่ายด้วยการทดสอบเจาะระบบ (Penetration test) โดยบริการทดสอบเจาะระบบแบ่งออกเป็น 2 แบบด้วยกันคือ
External network penetration test
เป็นการทดสอบเจาะระบบจากภายนอก ผู้ทดสอบจะจำลองตนเองเป็นเสมือนผู้บุกรุก (intruder) ที่พยายามเจาะเข้าสู่เครือข่ายภายในขององค์กร โดยมีการทดสอบเจาะระบบเข้าสู่ช่องทางต่างๆดังต่อไปนี้
– เว็บแอพพลิเคชั่นขององค์กร
– อุปกรณ์เครือข่ายและอุปกรณ์รักษาความปลอดภัย เช่น ไฟร์วอลล์ วีพีเอ็น เราเตอร์ ระบบให้บริการการเข้าถึงจากระยะไกล (Remote Access service)
– เครือข่ายไร้สาย
– เครื่องคอมพิวเตอร์แม่ข่าย เช่น ดีเอ็นเอสเซิร์ฟเวอร์ เอ็ฟทีพีเซิร์ฟเวอร์ เว็บเซิร์ฟเวอร์ เมลเซิร์ฟเวอร์
– วิธีการทางจิตวิทยา (Social engineering)
– ใช้ Trojan horse (Remote Access Trojan)
Internal network penetration test
เป็นการทดสอบเจาะระบบภายใน ผู้ทดสอบจะจำลองตนเองเป็นเสมือนพนักงานหรือผู้ให้บริการ (Out-source) ภายในองค์กร ที่พยายามเจาะระบบเครือข่ายภายในเพื่อลักลอบข้อมูลสำคัญในระบบต่างๆขององค์กร โดยมีการทดสอบเจาะระบบเข้าสู่ช่องทางต่างๆดังต่อไปนี้
– โดเมนคอนโทรลเลอร์
– เครื่องดีเอ็นเอสเซิร์ฟเวอร์ เมลเซิร์ฟเวอร์ แอพพลิเคชั่นเซิร์ฟเวอร์ ดาต้าเบสเซิร์ฟเวอร์ อินทราเน็ตเซิร์ฟเวอร์ เครื่องคอมพิวเตอร์ส่วนบุคคล
– อุปกรณ์เครือข่ายและอุปกรณ์รักษาความปลอดภัย
ประโยชน์ที่องค์กรจะได้รับ
องค์กรจะได้รับรู้ถึงช่องโหว่ทั้งเครือข่ายภายในและภายนอกของตน ที่มีความเป็นไปได้ที่จะถูกเจาะโดยผู้บุกรุกพร้อมทั้งรายงานระดับความเสี่ยง ผลกระทบที่จะเกิดขึ้นกับองค์กร คำแนะนำในการปรับปรุงระดับความปลอดภัย (recommendation) พร้อมทั้งขั้นตอนการทดสอบอย่างละเอียดเพื่อใช้ทดสอบเองได้ในอนาคต
Secure Software Development Life Cycle Consulting
Security Source Code Review
Network Penetration Testing
Web Application Penetration Test
Vulnerability Assessment
Systems Hardening
Computer Forensic and Investigation