เจาะลึก OSSTMM คู่มือสู่การทำตามมาตรฐาน Penetration Testing

16 ตุลาคม 2023

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

Penetration Testing หรือการทดสอบเจาะระบบ  นับว่าเป็นกระบวนการที่สำคัญมากในการยืนยันว่าระบบที่ใช้งานอยู่นั้นมีมาตรการความปลอดภัยที่ใช้อยู่นั้นมีประสิทธิภาพหรือไม่ และยังช่วยในการตรวจสอบว่าระบบและแอปพลิเคชันที่ใช้อยู่นั้นมีความปลอดภัยต่อการถูกโจมตี สิ่งที่สามารถทำให้มั่นใจได้ว่า การทำ Pentesting ที่ดำเนินการอยู่นั้น ถูกต้องหรือได้มาตรฐาน นั้นก็คือการนำเอา มาตรฐานทางด้านการทดสอบการเจาะระบบมาช่วยในการดำเนินงาน อาทิ เช่น  OWASP Top Ten, PTES (Penetration Testing Execution Standard), ISSAF และ OSSTMM (Open Source Security Testing Methodology Manual)  ในบทความนี้จะเจาะลึกลงไปในรายละเอียดของ OSSTMM ที่เป็นคู่มือเกี่ยวกับการทดสอบความปลอดภัยในหลาย ๆ มุมมอง รวมถึงทั้งเว็บแอปพลิเคชัน, ระบบเครือข่าย และการพิสูจน์ตัวตน

OSSTMM คืออะไร

OSSTMM (Open Source Security Testing Methodology Manual) เป็นคู่มือที่ถูกออกแบบมาเพื่อให้การทดสอบความปลอดภัยให้เป็นไปตามมาตรฐาน เกี่ยวข้องกับ เกี่ยวข้องกับ 5 เรื่องต่อไปนี้

  • Human Security Testing: เน้นการประเมินระดับความตระหนักด้านความปลอดภัยไซเบอร์ของบุคลากร และประสิทธิผลของการฝึกอบรมด้านความปลอดภัยในองค์กร วิธีการที่จัดการเกี่ยวกับการโจมตีทาง Social Engineering ซึ่งเป็นเทคนิคการหลอกลวงโดยใช้หลักการพื้นฐานทางจิตวิทยาเพื่อให้เหยื่อเปิดเผยข้อมูล
  • Physical Security Testing: ประเมินการควบคุมการเข้าถึงทางกายภาพ
  • Wireless Security Testing: ครอบคลุมรูปแบบไร้สายต่าง ๆ ที่สามารถดักจับหรือหยุดชะงักได้ รวมถึงเครือข่าย Wi-Fi, RFID และอื่น ๆ Telecommunications ครอบคลุมช่องทางการสื่อสารต่าง ๆ ในองค์กร รวมถึง VoIP, PBX และ voicemail
  • Telecommunications Security Testing: การทดสอบด้านการสื่อสาร เช่น PBX Testing หรือ Voice over IP testing เป็นต้น
  • Data Networks Security Testing: เป็นการทดสอบที่เน้นเรื่องความปลอดภัยของคอมพิวเตอร์และเครือข่ายของระบบ  

โดยมีสถาบัน ISECOM (Institute for Security and Open Methodologies) องค์กรที่ไม่แสวงหาผลกำไรเป็นผู้ดูแล โดยมีผู้พัฒนาจากหลายองค์กรที่มีชื่อเสียงเข้าร่วมจัดทำ อีกทั้งยังถูกใช้เป็นเอกสารอ้างอิงจากมาตรฐานอื่น ๆ เช่น PCI DSS, และ OWASP เป็นต้น โดย OSSTMM นี้มีข้อกำหนด ขั้นตอนที่ชัดเจน และมีตัวชี้วัดในการคำนวนความปลอดภัยของระบบเป็นของตัวเองโดยผลลัพธ์ที่ได้ออกมาจะเป็นคะแนนความปลอดภัยของระบบ ซึ่งเหมาะสำหรับผู้ที่อยากได้แนวทางการทำ Operations Security รวมถึงการทำ Penetration Tester อีกด้วย

นอกจากนี้ในปัจจุบันทาง ISECOM มีการอบรมเพื่ออกใบรับรอง OSSTMM Certification (Certifications for Professionals) ที่เป็นการออก Certification ที่มอบให้กับผู้ที่ผ่านการทดสอบความปลอดภัยระดับมืออาชีพ การวิเคราะห์ กระบวนการตามระเบียบวิธี และมาตรฐาน โดยมี 9 certifications ด้วยกัน ได้แก่

  • OSSTMM OPST Professional Security Tester

ใบรับรองด้านการมีทักษะและความรู้ในการทดสอบความปลอดภัยบนเครือข่ายข้อมูลที่ แม่นยำและมีประสิทธิภาพ

  • OSSTMM OPSA Professional Security Analyst

ใบรับรองความสามารถในการใช้หลักการวิเคราะห์ความปลอดภัยและการโจมตีได้อย่าง แม่นยำและมีประสิทธิภาพหรือที่เรียกว่าใบรับรองสำหรับนักวิเคราะห์ความปลอดภัยทาง ไซเบอร์

  • OSSTMM OPSE Professional Security Expert

ใบรับรองความสามารถในการเรียนรู้แนวคิดด้านความปลอดภัยว่าเป็นผู้เชี่ยวชาญด้าน ความปลอดภัยทางไซเบอร์

  • OSSTMM OWSE Wireless Security Expert

ใบรับรองความสามารถการมีทักษะและความรู้ในการวิเคราะห์และทดสอบความ ปลอดภัยในการดำเนินงานของเทคโนโลยีไร้สาย ระบบไอทีอย่างถูกต้องและมี ประสิทธิภาพ

  • OSSTMM CTA Certified Trust Analyst

ใบรับรองความสามารถการมีทักษะและความรู้ในการประเมินทรัพย์สินของบุคคล สถาน ที่ สิ่งของ ระบบ หรือกระบวนการใด ๆ ได้อย่างมีประสิทธิภาพ และแม่นยำ

  • Certified Security Awareness Instructor

ใบรับรองด้านความเข้าใจด้านการรักษาความมั่นคงปลอดภัยให้กับบุคลากรในองค์กร

  • Certified Hacker Analyst

ใบรับรองด้านการทดสอบบุกรุกระะบบ

  • Certified Hacker Analyst Trainer

ใบรับรองการเป็นผู้ฝึกอบรมที่มีความสามารถด้านการบุกเจาะระบบ

  • Certified Cyber Trooper

Cyberwarfare certification ใบรับรองด้าน cyberwarfare เพื่อรับรองการมีความ รู้และความเชี่ยวชาญด้าน cybersecurity อย่างลึกซึ้ง

หากองค์กรไหนสนใจการทดสอบระบบ Penetration Testing  การทาง NT cyfence มีบริการการทดสอบเจาะระบบโดยใช้หลักการและวิธีการมาตรฐานการทดสอบที่พัฒนาโดยทีมผู้เชี่ยวชาญของ NT cyfence โดยประยุกต์เพื่อให้เหมาะสมกับสภาพแวดล้อมของระบบโดยส่วนใหญ่ของประเทศไทย โดยมีการอ้างอิงจากมาตรฐานสากล ดังนี้

  • OSSTMM, The Open Source Security Testing Methodology Manual
  • BSI A Penetration Testing Model Study
  • NIST 800-42 Guideline on Network Security Testing
  • C|EH (Certified Ethical Hacker) Methodology
  • OWASP Testing Guide Version 4
  • OWASP Mobile Testing Guide
  • ISSAF, Information Systems Security Assessment Framework

ข้อดีของการทำ Penetration Testing

การทดสอบการเจาะระบบ (Pentest) เป็นการหาช่องโหว่ในระบบ IT เพื่อเพิ่มประสิทธิภาพการป้องกัน ลดความเสี่ยงจากภัยคุกคาม และสร้างความตระหนักรู้ภายในองค์กร เพื่อป้องกันความเสียหายและผลกระทบจากช่องโหว่ที่เกิดจากการโดนโจมตีระบบภายในองค์กร ทาง NT cyfence ได้เล็งเห็นถึงความสำคัญ และเพื่อยกระดับการสร้างมาตรฐานความปลอดภัยให้กับองค์กร จึงเกิดเป็นกิจกรรม ‘สแกนนช่องโหว่ Web Server ด้วย บริการ Vulnerability Assessment Service’ ที่จัดขึ้นเป็นปีที่ 2 ซึ่งได้รับกระแสตอบรับที่ดี โดยหน่วยงานที่มีความกังวลด้านความปลอดภัยของ Server และ ระบบเครือข่ายของตนเองว่ามีความเสี่ยงในการถูกโจมตีหรือไม่ สามารถลงทะเบียนเพื่อลุ้นรับสิทธิสแกน Server ฟรี ตั้งแต่วันที่ 10/10/2023 – 08/11/2023 ได้ที่: https://www.cyfence.com/free-vulnerability-assessment/ 

หรือสำหรับผู้ที่สนใจบริการ Penetration Test และ Vulnerability Assessment สามารถติดต่อ NT cyfence ได้ทาง https://www.cyfence.com/contact-us/  หรือโทร 1888 เรามีทีมงานผู้เชี่ยวชาญพร้อมให้คำแนะนำ และเป็นที่ปรึกษาความปลอดภัยด้านสารสนเทศอย่างครบวงจร

ที่มา: isecom , OSSTMM

บทความที่เกี่ยวข้อง

  • 21 มิถุนายน 2024

    ความปลอดภัยของเว็บและแอปพลิเคชันเป็นสิ่งสำคัญสำหรับทุกธุรกิจ! ไม่ใช่แค่เรื่องของการปกป้องข้อมูล แต่ยังเกี่ยวข้องกับความเชื่อมั่นของลูกค้าและความเสถียรภาพของธุรกิจเองด้วย เลือกใช้และปรับแต่ง WAF ที่เหมาะสมสำหรับธุรกิจของคุณเพื่อป้องกันการโจมตีทางไซเบอร์และลดความเสี่ยงจากผลกระทบที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ

  • 18 มิถุนายน 2024

    ระบบ IT ในโรงพยาบาลก็เป็นอีกหนึ่งหัวใจที่สำคัญ และจำเป็นต้องมีการปกป้องภัยคุกคามไซเบอร์ โดยเฉพาะอย่างยิ่ง Ransomware ซึ่งจำเป็นจะต้องให้เป็นไปตาม มาตรฐานความเสี่ยง 3 ระดับ โดยในบทความนี้ มีการสรุปมาตรฐานความเสี่ยง ที่โรงพยาบาลควรตระหนัก เพื่อที่จะได้ป้องกันภัยไซเบอร์ได้อย่างทันท่วงที

  • 6 มีนาคม 2024

    ศูนย์ปฏิบัติการ Cybersecurity Operations Center (CSOC) ได้สรุปสถิติภัยคุกคามการโจมตีในปี 2023 ที่ผ่านมา มีอะไรบ้างที่ควรรู้และในปีถัดไปควรระวังเรื่องใด