เนื่องจากการโจมตีทางไซเบอร์มีความซับซ้อนมากขึ้นเรื่อยๆ ธุรกิจจึงจำเป็นต้องลงทุนในเรื่องการรักษาความปลอดภัยให้มีประสิทธิภาพมากขึ้นด้วยเช่นกัน ซึ่งเห็นได้จากเหตุการณ์ปัญหาด้านความปลอดภัยที่เกิดขึ้นในปี 2017
ตัวอย่างเหตุการณ์ EternalBlue และ WannaCry
ทาง NSA ผู้พัฒนา EternalBlue ขึ้นมาโดยรู้ถึงช่องโหว่และความเสี่ยงที่อาจเกิดขึ้น
แต่หลังจากนั้นข้อมูลดังกล่าวได้รั่วไหลไปถึงกลุ่มแฮกเกอร์ ซึ่งในขณะเดียวกันทาง NSA ก็ล้มเหลวในการแจ้งให้ Microsoft ทราบถึงความเสี่ยงที่แฝงอยู่ในการโจมตีทางไซเบอร์ที่มีอยู่ของ EternalBlue และในที่สุดหลังจากที่กลุ่มแฮ็กเกอร์สามารถเข้าถึงระบบของ Microsoft ได้แล้ว ทาง NSA จึงได้อธิบายความเสี่ยงและช่องโหว่ต่างๆ
เพื่อให้ทางไมโครซอฟต์เตรียมแพตช์ซอฟต์แวร์ ในขณะนั้นทางด้านแฮ็กเกอร์ก็ได้อาศัยช่องโหว่นี้ก่อนที่ Microsoft จะออกแพตช์ใหม่ โดยใช้ EternalBlue เพื่อแพร่กระจายการโจมตีทางไซเบอร์ที่ใหญ่ที่สุดอย่างหนึ่งคือ WannaCry Ransomware Attack ซึ่งมันส่งผลกระทบต่อคอมพิวเตอร์มากกว่า 200,000 เครื่องใน 150 ประเทศ ทำให้เกิดความเสียหายหลายร้อยล้านถึงหลายพันล้านเหรียญสหรัฐ และมันก็ถูกหยุดได้ด้วยโปรแกรมแก้ไขฉุกเฉินจาก Microsoft เท่านั้น โดยหลังจากเหตุการณ์นี้หลายบริษัทได้ทำการประเมินช่องโหว่ของตนเองเพื่อดูว่าระบบใดจำเป็นต้องอัปเกรดแพตช์หรือไม่ แน่นอนว่าต้นทุนการป้องกันนั้นถูกกว่าที่จะต้องมาชดใช้ในภายหลัง
จะเห็นได้ว่าความปลอดภัยด้านไซเบอร์มีความสำคัญอย่างไร ซึ่งการทำ Penetration Test และ Vulnerability Assessment นั้นก็เป็นโซลูชันด้านความปลอดภัยเพื่อปกป้องข้อมูล รักษาชื่อเสียง และรายได้ของเราด้วยเช่นกัน โดยบทความด้านล่างนี้จะอธิบายรายละเอียดเกี่ยวกับความแตกต่างระหว่าง Penetration Test (Pentest) และ Vulnerability Assessment (VA Scan) รวมถึงข้อดีและข้อด้อยของแต่ละวิธีเพื่อให้เราสามารถตัดสินใจเลือกใช้โซโลชันเหล่านี้ได้อย่างเหมาะสม
หรือที่เรียกกันทั่วไปว่า Pentest คือการจำลองการโจมตีระบบคอมพิวเตอร์ของคุณที่ออกแบบมาเพื่อทดสอบความปลอดภัยของระบบโดยทีมผู้เชี่ยวชาญที่ผ่านการฝึกอบรมนั้นจะทำการโจมตีหลายแบบใส่ระบบของคุณโดยพิจารณาจากจุดแข็งและจุดอ่อน ซึ่งพวกเขาอาจใช้เครื่องมือทดสอบการเจาะจำนวนเท่าใดก็ได้เพื่อทดสอบความปลอดภัยของระบบของเราอย่างเต็มที่
ทำไมถึงควรทำ Pentest ?
การทดสอบนี้ทำให้คุณสามารถทดสอบจุดอ่อนและจุดแข็งของระบบในสภาพแวดล้อมที่มีการควบคุมก่อนที่แฮ็คเกอร์จะแฮ็คเข้าสู่ระบบของคุณจริงๆ การทดสอบด้วย Pentest อาจเป็นวิธีที่ช่วยวัดความพร้อมขององค์กรสำหรับการรองรับหรือการตรวจสอบตามข้อกำหนดตามมาตรฐานต่างๆ อีกทั้งการทำ Pentest ยังสามารถแสดงให้ลูกค้าเห็นว่าคุณมีการทดสอบความปลอดภัยของระบบเป็นประจำ ทำให้รับรู้ได้ว่าข้อมูลของลูกค้านั้นมีความสำคัญสูงสุด
แล้วเมื่อไหร่ที่ควรทำ Pentest ?
หลังจากที่รู้แล้วว่า Pentest คืออะไรเราอาจจะมีคำถามต่อไปว่า แล้วควรทำเมื่อไหร่และบ่อยแค่ไหน? จริงๆแล้วการทำ Pentest ที่เชื่อถือได้นั้นจะให้ข้อมูลเชิงลึกเพื่อช่วยรักษาความปลอดภัยเครือข่าย ดังนั้นจึงควรทำ Pentest เป็นประจำ ซึ่งการทำเช่นนี้อย่างน้อยปีละครั้งก็จะรับประกันว่าความปลอดภัยด้านไอทีของเราได้รับการปรับปรุงอยู่เสมอ หรืออาจทำ Pentest เมื่อองค์กรมีการทำสิ่งเหล่านี้
- มีการเพิ่ม network infrastructure หรือมี application ใหม่
- ทำการอัพเกรด แก้ไข application หรือปรับ infrastructure ที่สำคัญ
- จัดตั้งสำนักงานในที่ตั้งใหม่
- มีการอัพเดท security patches
- แก้ไขนโยบายสำหรับผู้ใช้งาน
ยังมีปัจจัยอื่นๆ ที่ส่งผลต่อความถี่ในการทำ Pentest เช่น ขนาดของบริษัท ข้อกำหนดของลูกค้า จำนวนใบรับรองที่ต้องรักษามาตรฐาน เป็นต้น
การทำ Pentest สามารถแบ่งออกเป็น 5 ขั้นตอน
ข้อมูลนี้จะได้รับการวิเคราะห์โดยเจ้าหน้าที่รักษาความปลอดภัยเพื่อช่วยกำหนดการตั้งค่า WAF ขององค์กรและโซลูชันการรักษาความปลอดภัยบนแอปพลิเคชันอื่นๆ เพื่อแก้ไขช่องโหว่และป้องกันการโจมตีในอนาคต
หรือเรียกกันทั่วไปว่า VA Scan คือ การประเมินช่องโหว่ซึ่งเป็นกระบวนการที่ปรับแต่งมาโดยเฉพาะเพื่อระบุและประเมินความเสี่ยงด้านความปลอดภัย รวมถึงช่องโหว่ภายในองค์กร ซึ่งเป็นกระบวนการในเชิงลึกที่มีจุดมุ่งหมายไม่เพียงแต่ระบุจุดอ่อนเท่านั้นแต่ยังให้แนวทางแก้ไขที่เป็นไปได้สำหรับการลดความเสี่ยงอีกด้วย โดย VA Scan นั้นจะดำเนินการโดยใช้เครื่องมืออัตโนมัติที่จะสแกนระบบของคุณเป็นระยะเพื่อหาจุดอ่อนที่อาจเกิดขึ้น โดยเครื่องมือแต่ละตัวสามารถตั้งโปรแกรมให้สแกนหรือค้นหาเฉพาะองค์ประกอบที่คุณเลือกภายในระบบได้
ทำไมต้องทำ VA Scan?
เมื่อทำการแฮ็กระบบ เป้าหมายหลักของแฮ็กเกอร์ประการหนึ่งคือการไม่ทิ้งร่องรอยไว้ว่าเขาเจาะระบบเข้าไปแล้ว เช่นเดียวกับโจรที่เข้าบ้านก็จะทำทุกอย่างเพื่อไม่ให้พบร่องรอย
นั่นหมายความว่าหากคุณกำหนดเวลาการทดสอบ Pentest กับทีมงานภายนอกองค์ไว้ช่วงเวลาใดเวลาหนึ่ง โดยพวกเขาสนใจไปที่การป้องกันการเข้าถึงระบบจากภายนอกเท่านั้น แต่ไม่ได้สนใจถึงช่องโหว่ภายในที่เกิดขึ้นหรือร่องรอยการเข้าถึงระบบที่เกิดขึ้นไปแล้ว ดังนั้น VA Scan จึงเป็นกระบวนการสำคัญในการรวมแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด อีกทั้งการสแกนนี้ก็สามารถระบุจุดบกพร่องหรือร่องรอยที่แฮ็กเกอร์คนก่อนทิ้งไว้ โดย John Chambers อดีต CEO ของกลุ่มบริษัทเทคโนโลยี Cisco เคยกล่าวไว้ว่า "บริษัทมีเพียงสองประเภทเท่านั้น คือ บริษัทที่ถูกแฮ็ก และบริษัทที่ไม่รู้ว่าถูกแฮ็ก"
แล้วเมื่อไหร่ที่ควรทำ VA Scan?
เนื่องจากการประเมินช่องโหว่เป็นกระบวนการอัตโนมัติ เราจึงสามารถดำเนินการตามเวลาที่กำหนดได้ทุกเมื่อเพื่อให้ระบบของไม่มีจุดอ่อน อีกทั้งการตรวจสอบอย่างต่อเนื่องนี้จะช่วยให้มั่นใจว่าเราจะรับรู้ถึงความเสี่ยงหรือการเปลี่ยนแปลงที่อาจเกิดขึ้นกับระบบ รวมถึงช่วงเวลาสำคัญอีกประการหนึ่งที่เราต้องการทำการประเมินช่องโหว่คือเมื่อมีช่องโหว่ใหม่เข้าสู่ตลาดนั่นเอง ซึ่งตัวอย่างภัยคุกคามที่สามารถหลีกเลี่ยงไม่ให้เกิดขึ้นได้ด้วยการทำ VA Scan เช่น
รูปแบบของการทำ VA Scan มีอะไรบ้าง?
ขั้นตอนการทำ VA Scan สามารถแบ่งออกเป็น 4 ขั้นตอน ดังนี้
จากที่เราทราบกันแล้วว่า Pentest และ VA Scan คืออะไร สิ่งที่ต้องคิดต่อไปคือเราควรเลือกใช้วิธีไหนและเมื่อไหร่ ซึ่งเราสามารถสรุปกระบวนการคิดของแต่ละวิธีได้ดังนี้
Pentest
1. การกำหนดขอบเขต
2. การรวบรวมข้อมูลเป้าหมายหรือสำรวจข้อมูล
3. การใช้ประโยชน์จากความพยายามในการเข้าถึงและการพัฒนา
4. การทดสอบการเก็บรวบรวมข้อมูลที่มีความละเอียดอ่อน
5. การล้างข้อมูลและการสรุปรายงาน
VA Scan
1. รวบรวมและจัดกลุ่มทรัพยากรในระบบ
2. กำหนดมูลค่าเชิงปริมาณและความสำคัญให้กับทรัพยากร
3. ระบุช่องโหว่ด้านความปลอดภัยหรือภัยคุกคามที่อาจเกิดขึ้นกับแต่ละทรัพยากร
4. บรรเทาหรือขจัดจุดอ่อนที่ร้ายแรงที่สุดสำหรับทรัพยากรที่มีค่าที่สุด
ความแตกต่างหลักนั้นสังเกตได้จากวัตถุประสงค์ของแต่ละกระบวนการ ซึ่งการทำ Pentest นั้นระบบจะดำเนินการโดยใช้ความคิดของแฮ็กเกอร์ที่พยายามจะเข้าถึงระบบ (โปรดรู้ไว้ว่าแฮ็กเกอร์อาจใช้เครื่องมือต่างๆ เช่น ฟิชชิ่งสแกม หรือแม้แต่เครื่องมือทางกายภาพเพื่อเข้าถึง) ในขณะที่การประเมินช่องโหว่ได้รับการออกแบบมาเป็นการวิเคราะห์และการรายงานทางเทคนิค สรุปง่าย ๆ คือ VA Scan เป็นสแกนเพื่อหาว่ามีช่องโหว่อะไรบ้าง และสามารถแก้ไขได้ในแบบไหนบ้าง Pentest เป็นการทำเพื่อสโคปความเสี่ยงให้แคบลง และเป็นการหาทางแก้ไขช่องโหว่ที่ร้ายแรงจริงๆ เพื่อที่จะอุดช่องโหว่ได้ทันการนั่นเอง
VA Scan จะให้ภาพรวมเบื้องต้นเกี่ยวกับจุดอ่อนที่อาจเกิดขึ้นภายในระบบของเรา แต่การสแกนนั้นไม่สามารถรู้ได้ว่าจะใช้ประโยชน์จากจุดอ่อนนั้นได้อย่างไร และข้อมูลใดที่อาจสูญหายได้หากมีการใช้ประโยชน์ ดังนั้นการนำทีมงานภายนอกเข้ามาแฮ็คระบบของเราหรือ Pentest จะเป็นการรายงานที่ละเอียดกว่าการทำ VA Scan
VA Scan นั้นเน้นที่การมองภาพรวมของระบบของเรา เนื่องจากเป็นการสแกนภาพรวมอย่างเร็วๆ ซึ่งการประเมินนี้สามารถดำเนินการผ่านระบบขนาดใหญ่ได้อย่างรวดเร็วอีกด้วย และนอกจากนี้ยังช่วยให้คุณดำเนินการตามขั้นตอนนั้นได้อยู่เรื่อยๆ
Pentest จะเน้นไปที่รายละเอียดเล็กๆ น้อยๆ ของระบบ เนื่องจากแฮ็กเกอร์ที่ทำสำเร็จนั้นจะเข้าถึงแต่ละด้านนั้นผ่านการฝึกฝนเกี่ยวกับวิธีการเลี่ยงการรักษาความปลอดภัย แฮ็กเกอร์ก็มีเครื่องมือมากมายให้เลือกใช้ ซึ่งจะช่วยทำให้กระบวนการบางอย่างเป็นไปโดยอัตโนมัติ และในขณะเดียวกันก็ช่วยให้พวกเขาสามารถโฟกัสไปที่อื่นได้ด้วยตนเอง ซึ่งโดยธรรมชาติแล้ว เมื่อเทคโนโลยีและการพัฒนาซอฟต์แวร์ถูกพัฒนาขึ้น แฮกเกอร์จะเชี่ยวชาญและมีความสามารถในการบุกเข้าไปในระบบมากขึ้นด้วยเช่นกัน
เราอาจคิดว่า VA Scan เป็นตัวตั้งต้นของการทำ Pentest โดย VA Scan จะให้รายละเอียดในส่วนที่จำเป็นต้องปรับปรุง ซึ่งช่วยให้เราสามารถทำการปรับหรือพัฒนาสิ่งที่จำเป็นต่อระบบของเราได้ และเมื่อดำเนินการเสร็จแล้วเราก็สามารถให้บุคคลที่สามจำลองเป็นแฮ็กเกอร์เพื่อทดสอบระบบและวัดประสิทธิภาพความปลอดภัย อย่างไรก็ตาม VA Scan นั้นไม่จำเป็นต้องทำก่อน Pentest เสมอไป เราอาจเลือกที่จะทำ Pentest ก่อนเพื่อสามารถกำหนดวิธีที่จะทำ VA Scan ได้เช่นกัน ดังนั้นขอบเขตของแต่ละกระบวนการจึงให้ผลลัพธ์ที่แตกต่างกัน
โดยสรุป
ตามหลักการแล้ว องค์กรของเราควรทำการทดสอบทั้งสองแบบเพื่อให้แน่ใจว่าเราได้รับการป้องกันและป้องกันจากแฮกเกอร์และบั๊ก โดยจะดำเนินการบ่อยเพียงใดและการใช้การทดสอบประเภทใดนั้นขึ้นอยู่กับความต้องการของธุรกิจของเรานั่นเอง และตารางด้านล่างนี้จะช่วยให้เราเห็นความแตกต่างระหว่าง VA Scan และ Pentest ได้ง่ายขึ้น
Vulnerability Scan | Penetration Test | |
ความถี่ | อย่างน้อยทุกไตรมาส โดยเฉพาะอย่างยิ่งหลังจากมีการเพิ่มอุปกรณ์ใหม่หรือ network หลักมีการเปลี่ยนแปลง | ปีละ 1-2 ครั้ง หรือกรณีอุปกรณ์หลักที่ใช้เชื่อมต่ออินเทอร์เน็ตมีการเปลี่ยนแปลง |
ผลรายงาน | ให้ข้อมูลพื้นฐานที่ครอบคลุมเกี่ยวกับช่องโหว่ที่มีอยู่และความเปลี่ยนแปลงที่เกิดขึ้นหลังจากการรายงานครั้งล่าสุด | ระบุอย่างชัดเจนว่าข้อมูลใดถูกบุกรุก |
จุดที่สนใจ | แสดงรายการช่องโหว่ของซอฟต์แวร์ | ค้นพบจุดอ่อนที่ไม่เคยเจอและใช้ประโยชน์ได้ในกระบวนทางธุรกิจ |
ทำการทดสอบโดย | ปกติจะดำเนินการโดยพนักงานในองค์กรที่มี credential ซึ่งไม่จำเป็นต้องมีทักษะขั้นสูง | ใช้บริการจากบุคคลภายนอกองค์กรจาก 2-3 ที่ โดยบุคคบนั้นต้องเป็นอิสระไม่เกี่ยวข้องกับองค์กรและมีความเชี่ยวชาญ |
คุณค่า | สามารถตรวจจับอุปกรณ์ที่อาจถูกบุกรุก | สามารถระบุปัญหาและลดจุดอ่อนลงได้ |
ข้อมูลอ้างอิง:
- https://blog.rsisecurity.com/what-is-the-difference-between-a-va-scan-and-a-pen-test/
- https://www.imperva.com/learn/application-security/vulnerability-assessment/
- https://www.imperva.com/learn/application-security/penetration-testing/
ทีม DevOps ของ Blockfint ที่มีความเชี่ยวชาญ Cloud Native Services & Solutions