Penetration Test… แฮกระบบก่อนระบบจะถูกแฮก #CyberSecurity

PenTest หรือ Penetration Test คือการจำลองการโจมตีระบบคอมพิวเตอร์ หรือ การทดสอบแฮกระบบเครือข่ายคอมพิวเตอร์เพื่อหาช่องโหว่ในระบบทั้งหมดว่าถูกจัดการอย่างเหมาะสมแล้ว และถ้ายังพบจุดอ่อนที่แฮกเกอร์สามารถใช้ประโยชน์เพื่อก่อกวน รุกล้ำ และ เข้าครอบครองระบบด้วยวิธีการ หรือ เทคนิคใดๆ ได้… เครื่องมือ Penetration Test ก็จะรายงานจุดอ่อนทั้งหมดที่พบให้ทราบ เพื่อให้เจ้าของ และ ผู้ดูแลเครือข่ายสามารถนำข้อมูลที่พบไปดำเนินการต่อ

ประเด็นก็คือ… Penetration Test Report จากผู้เชี่ยวชาญที่ผ่านการรับรอง หรือ โปรแกรมเมอร์ที่มี Licensed Penetration Tester จากสถาบันที่ได้รับการยอมรับในระดับสากล… กำลังถูกใช้เป็นเครื่องมือกลยุทธ์ทางธุรกิจเพื่อประชาสัมพันธ์ถึงความพร้อมในการปกป้องลูกค้า และ พันธมิตรธุรกิจ… ไม่ต่างจากการขอรับรองมาตรฐานอุตสาหกรรมให้สินค้าที่ต้องทำออกขายให้ได้มาตรฐานเช่นกัน

ในทางเทคนิค… การทำ Penetration Test จะมีซอฟท์แวร์ และ ระบบที่เตรียมขึ้นแบบเดียวกับที่แฮกเกอร์ใช้โจมตีระบบ เพียงแต่ Penetration Test จะไม่โจมตีแบบสร้างความเสียหายให้ระบบเมื่อพบช่องโหว่ หรือ จุดอ่อนที่สามารถผ่านเข้าไปถึงทรัพยากร และ ข้อมูลที่อ่อนไหวในระบบได้เท่านั้นเอง… ส่วนรายชื่อซอฟแวร์ที่ถูกแนะนำใช้โดยหลักการก็ควรต้องเลือกให้เหมาะกับระบบที่ต้องทดสอบ… ซึ่งมีอยู่มากมายตั้งแต่ของฟรีแบบ OpenSource ไปจนถึงของขายแพงหูดับเพราะขายพ่วงมากกับระบบชุดใหญ่นั่นเอง… แต่โดยพื้นฐานก็จะแนะนำซอฟแวร์ OpenSource อย่าง Kali Linux หรือ ลีนุกซ์มังกรไฟ หรือ ลีนุกซ์กาลี… ซึ่งแฮกเกอร์ทุกหมวกสีรู้จัก และ ใช้เป็น

ส่วนรายละเอียด และ ลำดับคร่าวๆ เกี่ยวกับงานทดสอบแฮกแบบ PenTest หรือ Penetration Test มักจะประกอบไปด้วย… 

1. Planning หรือ การวางแผน… โดยจะเริ่มจากการรวบรวมข้อมูลเพื่อกำหนดขอบเขต และ เป้าหมายการทดสอบ
2. Scanning หรือ การทดสอบการตอบสนองจากเป้าหมาย… ซึ่งเป็นการทดสอบเพื่อการวิเคราะห์เป้าหมายในสถานการณ์เตรียมรุกล้ำ และ โจมตีทั้งแบบ Static Analysis และ Dynamic Analysis
3. Gaining Access หรือ การจู่โจม… จะเป็นขั้นตอนการพยายามเข้าครอบครองระบบ และหรือ โจรกรรมข้อมูล รวมทั้งการเข้าใช้ทรัพยากรโดยละมิดและบุกรุก… โดยจะนำข้อมูลที่ได้จากการ Scanning มาทำ Cross-Site Scripting… Sql Injection และ Backdoors
4. Maintaining Access หรือ การดูแลช่องทางการบุกรุก… ซึ่งจะเป็นการวางระบบเพื่อให้การจู่โจมที่เกิดขึ้นสามารถใช้ประโยชน์ได้นาน และ ปลอดภัยพอที่จะบรรลุเป้าหมายโดยไม่ถูกตอบโต้ หรือ จู่โจมกลับได้ง่ายๆ ซึ่งการทำ Maintaining Access เนียนๆ ของการแฮก และ ครอบครองระบบบางแบบสามารถเปิด Backdoors เอาไว้ใช้ได้นานหลายปีก็มี กระทั่งมีความกล่าวของ John Chambers อดีต CEO ของ Cisco ที่เคยกล่าวไว้ว่า… ในโลกของการแฮกจะมีเพียงธุรกิจอยู่สองประเภทเท่านั้นคือ ธุรกิจที่ถูกแฮ็ก และ ธุรกิจที่ไม่รู้ว่าถูกแฮ็ก
5. Analysis Report หรือ รายงานผลการวิเคราะห์… จะเป็นการรวบรวมผลลัพธ์การทดสอบอย่างละเอียดเกี่ยวกับช่องโหว่เฉพาะที่ถูกโจมตี… ข้อมูลอ่อนไหวที่สามารถเข้าถึงได้ รวมทั้งระยะเวลาที่ผู้ทดสอบสามารถอยู่ในระบบโดยไม่ถูกตรวจพบ เป็นต้น

สุดท้าย… หลายท่านยังแยกไม่ออกระหว่างการทำ Penetration Test กับ การทดสอบความปลอดภัยระบแบบที่เรียกว่า VA Scan หรือ Vulnerability Assessment… ซึ่งอย่างหลังเป็นเพียงการสแกนหาช่องโหว่ และหรือ จุดที่อ่อนไหวด้านความปลอดภัยในระบบ… ซึ่งถ้าเทียบกับ PenTest จะเป็นเพียงขั้นตอนที่ 2 ของ PenTest กับ ขั้นตอนรายงานเท่านั้น… และ รายละเอียดเกี่ยวกับ VA ขอข้ามครับ!

References…

• https://www.blockfint.com
• https://www.imperva.com 
• https://www.eccouncil.org