วิธีการทดสอบและมาตรฐานการเจาะระบบ – IBM Blog

พื้นที่ออนไลน์ยังคงเติบโตอย่างรวดเร็ว ทำให้เกิดโอกาสมากขึ้นสำหรับการโจมตีทางไซเบอร์ที่จะเกิดขึ้นภายในระบบคอมพิวเตอร์ เครือข่าย หรือเว็บแอปพลิเคชัน เพื่อบรรเทาและเตรียมพร้อมสำหรับความเสี่ยงดังกล่าว การทดสอบการเจาะระบบเป็นขั้นตอนที่จำเป็นในการค้นหาช่องโหว่ด้านความปลอดภัยที่ผู้โจมตีอาจใช้

การทดสอบการเจาะคืออะไร?

A การทดสอบการเจาะหรือ “การทดสอบปากกา” คือการทดสอบความปลอดภัยที่ดำเนินการเพื่อจำลองการโจมตีทางไซเบอร์ ก cyberattack อาจรวมถึงการพยายามฟิชชิ่งหรือการละเมิดระบบรักษาความปลอดภัยเครือข่าย มีการทดสอบการเจาะระบบหลายประเภทสำหรับองค์กร โดยขึ้นอยู่กับการควบคุมความปลอดภัยที่จำเป็น การทดสอบสามารถทำได้ด้วยตนเองหรือด้วยเครื่องมืออัตโนมัติผ่านมุมมองของการดำเนินการเฉพาะหรือวิธีการทดสอบปากกา

ทำไมต้องทดสอบการเจาะและใครบ้างที่เกี่ยวข้อง?

เงื่อนไข "แฮ็กจริยธรรม” และ “การทดสอบการเจาะ” บางครั้งใช้สลับกันได้ แต่ก็มีความแตกต่างกัน การแฮ็กอย่างมีจริยธรรมนั้นกว้างกว่า โลกไซเบอร์ ซึ่งรวมถึงการใช้ทักษะการแฮ็กเพื่อปรับปรุงความปลอดภัยของเครือข่าย การทดสอบการเจาะข้อมูลเป็นเพียงวิธีหนึ่งที่แฮกเกอร์ใช้ตามหลักจริยธรรม แฮกเกอร์ที่มีจริยธรรมยังอาจจัดให้มีการวิเคราะห์มัลแวร์ การประเมินความเสี่ยง ตลอดจนเครื่องมือและเทคนิคการแฮ็กอื่นๆ เพื่อเปิดเผยและแก้ไขจุดอ่อนด้านความปลอดภัยมากกว่าที่จะก่อให้เกิดอันตราย

ของไอบีเอ็ม ค่าใช้จ่ายในการรายงานการละเมิดข้อมูล ปี 2023 พบว่าค่าใช้จ่ายเฉลี่ยทั่วโลกของการละเมิดข้อมูลในปี 2023 อยู่ที่ 4.45 ล้านดอลลาร์สหรัฐ เพิ่มขึ้น 15% ในช่วง 3 ปี วิธีหนึ่งในการบรรเทาการละเมิดเหล่านี้คือทำการทดสอบการเจาะที่แม่นยำและแม่นยำ

บริษัทต่างๆ จ้างผู้ทดสอบปากกาเพื่อจำลองการโจมตีแอป เครือข่าย และทรัพย์สินอื่นๆ ของตน ด้วยการโจมตีปลอม ผู้ทดสอบการเจาะช่วย ทีมรักษาความปลอดภัย เปิดเผยช่องโหว่ด้านความปลอดภัยที่สำคัญและปรับปรุงมาตรการรักษาความปลอดภัยโดยรวม การโจมตีเหล่านี้มักดำเนินการโดยทีมสีแดงหรือทีมรักษาความปลอดภัยฝ่ายรุก ที่ ทีมสีแดง จำลองกลยุทธ์ เทคนิค และขั้นตอน (TTP) ของผู้โจมตีจริงกับระบบขององค์กรเพื่อเป็นการประเมินความเสี่ยงด้านความปลอดภัย

มีวิธีการทดสอบการเจาะหลายวิธีที่ต้องพิจารณาเมื่อคุณเข้าสู่กระบวนการทดสอบปากกา ทางเลือกขององค์กรจะขึ้นอยู่กับหมวดหมู่ขององค์กรเป้าหมาย เป้าหมายของการทดสอบปากกา และขอบเขตของการทดสอบความปลอดภัย ไม่มีแนวทางใดที่เหมาะกับทุกคน กำหนดให้องค์กรต้องเข้าใจปัญหาด้านความปลอดภัยและนโยบายด้านความปลอดภัยเพื่อการวิเคราะห์ช่องโหว่ที่ยุติธรรมก่อนกระบวนการทดสอบปากกา

ชมการสาธิตการทดสอบปากกาจาก X-Force

5 วิธีทดสอบการเจาะยอดนิยม

ขั้นตอนแรกในกระบวนการทดสอบปากกาคือการตัดสินใจว่าจะปฏิบัติตามวิธีใด

ด้านล่างนี้ เราจะเจาะลึกห้าเฟรมเวิร์กการทดสอบการเจาะระบบที่ได้รับความนิยมมากที่สุดและวิธีการทดสอบปากกา เพื่อช่วยแนะนำผู้มีส่วนได้ส่วนเสียและองค์กรต่างๆ เกี่ยวกับวิธีที่ดีที่สุดสำหรับความต้องการเฉพาะของพวกเขา และให้แน่ใจว่าจะครอบคลุมพื้นที่ที่จำเป็นทั้งหมด

1. คู่มือวิธีทดสอบความปลอดภัยแบบโอเพ่นซอร์ส

คู่มือวิธีการทดสอบความปลอดภัยแบบโอเพ่นซอร์ส (OSSTMM) เป็นหนึ่งในมาตรฐานการทดสอบการเจาะระบบที่ได้รับความนิยมมากที่สุด วิธีการนี้ได้รับการตรวจสอบโดยผู้ทรงคุณวุฒิสำหรับการทดสอบความปลอดภัย และถูกสร้างขึ้นโดย Institute for Security and Open Methodologies (ISECOM)

วิธีการนี้ใช้แนวทางทางวิทยาศาสตร์ในการทดสอบปากกาพร้อมคำแนะนำที่เข้าถึงได้และปรับเปลี่ยนได้สำหรับผู้ทดสอบ OSSTMM มีคุณสมบัติที่สำคัญ เช่น การมุ่งเน้นการปฏิบัติงาน การทดสอบช่องทาง ตัวชี้วัด และการวิเคราะห์ความน่าเชื่อถือในวิธีการ

OSSTMM จัดเตรียมกรอบการทำงานสำหรับการทดสอบการเจาะเครือข่ายและการประเมินช่องโหว่สำหรับผู้เชี่ยวชาญด้านการทดสอบปากกา โดยมีวัตถุประสงค์เพื่อเป็นกรอบงานสำหรับผู้ให้บริการเพื่อค้นหาและแก้ไขช่องโหว่ เช่น ข้อมูลที่ละเอียดอ่อนและปัญหาเกี่ยวกับการรับรองความถูกต้อง

2. เปิดโครงการความปลอดภัยของแอปพลิเคชันเว็บ

OWASP ย่อมาจาก Open Web Application Security Project เป็นองค์กรโอเพ่นซอร์สที่อุทิศตนเพื่อการรักษาความปลอดภัยแอปพลิเคชันบนเว็บ

เป้าหมายขององค์กรที่ไม่แสวงหากำไรคือการทำให้เนื้อหาทั้งหมดฟรีและเข้าถึงได้ง่ายสำหรับทุกคนที่ต้องการปรับปรุงความปลอดภัยของแอปพลิเคชันบนเว็บของตนเอง OWASP มีของตัวเอง สูงสุด 10 (ลิงก์อยู่นอก ไอบีเอ็มดอทคอม) ซึ่งเป็นรายงานที่ได้รับการดูแลอย่างดีซึ่งสรุปข้อกังวลด้านความปลอดภัยและความเสี่ยงที่ใหญ่ที่สุดต่อแอปพลิเคชันเว็บ เช่น การเขียนสคริปต์ข้ามไซต์ การรับรองความถูกต้องที่เสียหาย และการเข้าไปอยู่หลังไฟร์วอลล์ OWASP ใช้รายการ 10 อันดับแรกเป็นพื้นฐานสำหรับคู่มือการทดสอบ OWASP 

คู่มือนี้แบ่งออกเป็นสามส่วน: กรอบการทดสอบ OWASP สำหรับการพัฒนาแอปพลิเคชันเว็บ วิธีการทดสอบแอปพลิเคชันเว็บ และการรายงาน วิธีการเว็บแอปพลิเคชันสามารถใช้แยกกันหรือเป็นส่วนหนึ่งของเฟรมเวิร์กการทดสอบเว็บสำหรับการทดสอบการเจาะแอปพลิเคชันเว็บ การทดสอบการเจาะแอปพลิเคชันมือถือ การทดสอบการเจาะ API และการทดสอบการเจาะระบบ IoT

3. มาตรฐานการดำเนินการทดสอบการเจาะ

PTES หรือ Penetration Testing Execution Standard เป็นวิธีการทดสอบการเจาะระบบที่ครอบคลุม

PTES ได้รับการออกแบบโดยทีมผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล และประกอบด้วยเจ็ดส่วนหลักที่ครอบคลุมทุกด้านของการทดสอบปากกา วัตถุประสงค์ของ PTES คือการมีแนวทางทางเทคนิคเพื่อสรุปสิ่งที่องค์กรควรคาดหวังจากการทดสอบการเจาะระบบ และแนะนำพวกเขาตลอดกระบวนการ โดยเริ่มตั้งแต่ขั้นตอนก่อนการมีส่วนร่วม

PTES มีเป้าหมายเพื่อเป็นพื้นฐานสำหรับการทดสอบการเจาะระบบ และจัดเตรียมวิธีการที่เป็นมาตรฐานสำหรับผู้เชี่ยวชาญด้านความปลอดภัยและองค์กรต่างๆ คู่มือนี้ให้แหล่งข้อมูลมากมาย เช่น แนวทางปฏิบัติที่ดีที่สุดในแต่ละขั้นตอนของกระบวนการทดสอบการเจาะระบบ ตั้งแต่ต้นจนจบ คุณสมบัติที่สำคัญบางประการของ PTES คือการแสวงหาผลประโยชน์และการแสวงหาผลประโยชน์ภายหลัง การใช้ประโยชน์หมายถึงกระบวนการในการเข้าถึงระบบผ่านเทคนิคการเจาะเช่น วิศวกรรมทางสังคม และการถอดรหัสรหัสผ่าน การแสวงหาประโยชน์ภายหลังคือการดึงข้อมูลออกจากระบบที่ถูกบุกรุกและรักษาการเข้าถึงไว้

4. กรอบการประเมินความปลอดภัยของระบบสารสนเทศ

กรอบงานการประเมินความปลอดภัยของระบบสารสนเทศ (ISSAF) เป็นกรอบงานการทดสอบปากกาที่ได้รับการสนับสนุนโดย Information Systems Security Group (OISSG)

วิธีการนี้ไม่ได้รับการบำรุงรักษาอีกต่อไปและมีแนวโน้มว่าจะไม่ใช่แหล่งข้อมูลที่ดีที่สุดสำหรับข้อมูลที่ทันสมัยที่สุด อย่างไรก็ตาม จุดแข็งหลักประการหนึ่งคือการเชื่อมโยงขั้นตอนการทดสอบปากกาแต่ละรายการกับเครื่องมือทดสอบปากกาเฉพาะ รูปแบบประเภทนี้อาจเป็นรากฐานที่ดีสำหรับการสร้างวิธีการเฉพาะบุคคล

5. สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ  

NIST ย่อมาจาก National Institute of Standards and Technology เป็นเฟรมเวิร์กความปลอดภัยทางไซเบอร์ที่กำหนดชุดมาตรฐานการทดสอบปากกาสำหรับรัฐบาลกลางและองค์กรภายนอกที่จะปฏิบัติตาม NIST เป็นหน่วยงานภายในกระทรวงพาณิชย์ของสหรัฐอเมริกา และควรได้รับการพิจารณาให้เป็นมาตรฐานขั้นต่ำที่ต้องปฏิบัติตาม

การทดสอบการเจาะระบบของ NIST สอดคล้องกับคำแนะนำที่ส่งโดย NIST เพื่อให้เป็นไปตามคำแนะนำดังกล่าว องค์กรต้องทำการทดสอบการเจาะระบบตามชุดแนวทางที่กำหนดไว้ล่วงหน้า

ขั้นตอนการทดสอบปากกา

กำหนดขอบเขต

ก่อนเริ่มการทดสอบปากกา ทีมงานทดสอบและบริษัทจะกำหนดขอบเขตการทดสอบ ขอบเขตจะสรุปว่าระบบใดจะถูกทดสอบ เมื่อใดที่การทดสอบจะเกิดขึ้น และวิธีที่ผู้ทดสอบปากกาสามารถใช้ได้ ขอบเขตยังกำหนดว่าผู้ทดสอบปากกาจะมีข้อมูลมากน้อยเพียงใดล่วงหน้า

เริ่มการทดสอบ

ขั้นตอนต่อไปคือการทดสอบแผนกำหนดขอบเขตและประเมินช่องโหว่และฟังก์ชันการทำงาน ในขั้นตอนนี้ การสแกนเครือข่ายและช่องโหว่สามารถทำได้เพื่อให้เข้าใจโครงสร้างพื้นฐานขององค์กรได้ดียิ่งขึ้น การทดสอบภายในและการทดสอบภายนอกสามารถทำได้ขึ้นอยู่กับความต้องการขององค์กร มีการทดสอบที่หลากหลายที่ผู้ทดสอบปากกาสามารถทำได้ รวมถึงการทดสอบกล่องดำ การทดสอบกล่องสีขาว และการทดสอบกล่องสีเทา แต่ละรายการให้ข้อมูลระดับที่แตกต่างกันเกี่ยวกับระบบเป้าหมาย

เมื่อสร้างภาพรวมของเครือข่ายแล้ว ผู้ทดสอบสามารถเริ่มวิเคราะห์ระบบและแอปพลิเคชันภายในขอบเขตที่กำหนดได้ ในขั้นตอนนี้ ผู้ทดสอบปากกาจะรวบรวมข้อมูลให้ได้มากที่สุดเพื่อทำความเข้าใจการกำหนดค่าที่ไม่ถูกต้อง

รายงานผลการค้นพบ

ขั้นตอนสุดท้ายคือการรายงานและซักถาม ในขั้นตอนนี้ สิ่งสำคัญคือต้องจัดทำรายงานการทดสอบการเจาะระบบโดยสรุปผลการทดสอบปากกาทั้งหมดโดยสรุปช่องโหว่ที่ระบุ รายงานควรรวมแผนสำหรับการบรรเทาและความเสี่ยงที่อาจเกิดขึ้นหากไม่ได้รับการแก้ไข

การทดสอบปากกาและไอบีเอ็ม

หากคุณพยายามทดสอบทุกอย่าง คุณจะเสียเวลา งบประมาณ และทรัพยากรไปโดยเปล่าประโยชน์ ด้วยการใช้แพลตฟอร์มการสื่อสารและการทำงานร่วมกันกับข้อมูลในอดีต คุณสามารถรวมศูนย์ จัดการ และจัดลำดับความสำคัญของเครือข่าย แอปพลิเคชัน อุปกรณ์ และสินทรัพย์อื่น ๆ ที่มีความเสี่ยงสูง เพื่อเพิ่มประสิทธิภาพโปรแกรมทดสอบความปลอดภัยของคุณ X-Force® Red Portal ช่วยให้ทุกคนที่เกี่ยวข้องกับการแก้ไขสามารถดูผลการทดสอบได้ทันทีหลังจากเปิดเผยช่องโหว่ และกำหนดเวลาการทดสอบความปลอดภัยได้ตามความสะดวก

สำรวจบริการทดสอบการเจาะเครือข่ายจาก X-Force