Penetration Test

Penetration Test บริการทดสอบการบุกรุกระบบ

Penetration Test บริการทดสอบการบุกรุกระบบด้วยการจำลองเหตุการณ์สองแบบ ได้แก่ Black Box หรือการทดสอบเจาะระบบเสมือนผู้ทดสอบเป็นแฮกเกอร์จากภายนอก และ White Box หรือการทดสอบเจาะระบบเสมือนผู้ทดสอบเป็นพนักงานภายในองค์กร โดยอ้างอิงตามมาตรฐานสากล เช่น OSTM, BSI, NIST, C|EH, OWASP, ISSAF เพื่อให้ลูกค้าทราบถึงผลกระทบของช่องโหว่ และแก้ไขปรับปรุงจุดอ่อน ตลอดจนสร้างความตระหนักให้แก่ผู้ใช้งานภายในองค์กรถึงภัยคุกคามที่มีอยู่จริงบนระบบเครือข่าย

ลักษณะของบริการ

การทดสอบเจาะระบบใช้หลักการ และวิธีการจากมาตรฐานการทดสอบพัฒนาโดยทีมผู้เชี่ยวชาญ ของ  NT cyfence โดยประยุกต์เพื่อให้เหมาะสมกับสภาพแวดล้อมของระบบโดยส่วนใหญ่ของประเทศไทย โดยมีการอ้างอิงจากมาตรฐานสากล ดังนี้

• OSSTM, Open Source Security Testing Methodology
• BSI A Penetration Testing Model Study
• NIST 800-42 Guideline on Network Security Testing
• C|EH (Certified Ethical Hacker) Methodology
• OWASP Testing Guide Version 4
• OWASP Mobile Testing Guide
• ISSAF, Information Systems Security Assessment Framework

การทำการทดสอบการโจมตีระบบ(Penetration test) แบ่งออกเป็นสองอย่าง คือ

Black Box คือ การทดสอบเจาะระบบโดยทำเสมือนตนเองเป็น hacker ที่มาจากภายนอกองค์กรที่ไม่รู้ information ต่าง ๆ ภายในองค์กรของลูกค้า

white Box คือ การทดสอบเจาะระบบโดยทำเสมือนตนเองเป็นพนักงานภายในองค์กรของ  ลูกค้าที่ทราบถึงข้อมูลภายในบางส่วนหรือทั้งหมด

• Certification ทางด้าน IT ที่เกี่ยวข้องได้แก่
  • OPST (OSSTMM Professional Security Tester)
  • CISSP (Certified Information Systems Security Professional)
  • CompTIA Security+

ประโยชน์ที่ได้รับจากบริการ

1. ทำให้ลูกค้าทราบถึงผลกระทบของช่องโหว่ในระบบเครือข่ายภายในองค์กร เพื่อทำการแก้ไขปรับปรุงให้เกิดประสิทธิภาพยิ่งขึ้น ลดความเสี่ยงในการเกิดภัยคุกคามของระบบ
2. เพื่อสร้างความตระหนักแก่ผู้ใช้งานภายในองค์กรให้เกิดความรู้ เข้าใจ จากภัยคุกคามที่อาจเกิดขึ้นได้ บนระบบเครือข่าย