Penetration Testing: คืออะไร และสำคัญอย่างไร
เมื่อองค์กรต้องการทราบว่าระบบของตนมีความปลอดภัยมากแค่ไหน พวกเขาไม่ได้เพียงแค่คาดเดา แต่จะจ้างผู้เชี่ยวชาญมาทดสอบเจาะระบบ นั่นคือแนวคิดหลักของ penetration testing ซึ่งมักเรียกย่อว่า "pen testing" หรือ ethical hacking ผู้เชี่ยวชาญด้านความปลอดภัยที่มีทักษะสูงจะพยายามเจาะระบบโดยใช้เครื่องมือและเทคนิคเดียวกับที่ผู้โจมตีจริงใช้ แต่ดำเนินการภายใต้การอนุญาตอย่างเต็มที่จากองค์กรเจ้าของระบบ
คืออะไร (อธิบายให้เข้าใจง่าย)
ลองนึกภาพ penetration testing เป็นเหมือนการซ้อมดับเพลิงสำหรับระบบป้องกันความปลอดภัยทางไซเบอร์ แทนที่จะรอให้เกิดการละเมิดจริงแล้วค่อยค้นพบจุดอ่อน คุณเลือกที่จะทดสอบระบบอย่างเข้มข้นภายใต้สภาวะที่ควบคุมได้ เป้าหมายไม่ใช่การสร้างความเสียหาย แต่เป็นการค้นหาช่องโหว่ก่อนที่คนที่มีเจตนาร้ายจะพบเจอ
ผู้ทำ penetration testing ถูกว่าจ้างโดยบริษัท หน่วยงานภาครัฐ ผู้ให้บริการ cloud และที่เพิ่มมากขึ้นคือผู้ให้บริการ VPN เพื่อตรวจสอบโครงสร้างพื้นฐานของตนเอง การทดสอบสามารถมุ่งเป้าไปที่อะไรก็ได้ ไม่ว่าจะเป็นเว็บแอปพลิเคชัน เครือข่ายภายใน แอปมือถือ ระบบรักษาความปลอดภัยทางกายภาพ หรือแม้แต่พนักงานผ่านวิธี social engineering
วิธีการทำงาน
การทดสอบ penetration ทั่วไปจะดำเนินตามระเบียบวิธีที่มีโครงสร้างชัดเจน ดังนี้
- Reconnaissance – ผู้ทดสอบรวบรวมข้อมูลเกี่ยวกับระบบเป้าหมาย เช่น IP address ชื่อโดเมน เวอร์ชันซอฟต์แวร์ และข้อมูลที่เปิดเผยต่อสาธารณะ ซึ่งสะท้อนถึงวิธีที่ผู้โจมตีจริงจะศึกษาเป้าหมายก่อนลงมือ
- Scanning and enumeration – ใช้เครื่องมืออย่าง Nmap, Nessus หรือ Burp Suite เพื่อตรวจสอบพอร์ตที่เปิดอยู่ ระบุบริการที่ทำงานอยู่ และทำแผนที่พื้นผิวการโจมตี
- Exploitation – ผู้ทดสอบพยายามใช้ประโยชน์จากช่องโหว่ที่ค้นพบ ซึ่งอาจรวมถึงการฝังโค้ดอันตราย การข้ามผ่านการยืนยันตัวตน การยกระดับสิทธิ์ หรือการใช้ประโยชน์จากการตั้งค่าที่ผิดพลาด
- Post-exploitation – เมื่อเข้าถึงระบบได้แล้ว ผู้ทดสอบจะประเมินว่าสามารถเคลื่อนตัวไปในแนวราบภายในเครือข่ายได้แค่ไหน และสามารถเข้าถึงข้อมูลสำคัญใดได้บ้าง โดยจำลองสิ่งที่ผู้โจมตีจริงอาจขโมยหรือสร้างความเสียหาย
- Reporting – บันทึกทุกอย่างอย่างละเอียด ทั้งสิ่งที่ค้นพบ วิธีการเจาะระบบ ผลกระทบที่อาจเกิดขึ้น และคำแนะนำในการแก้ไข
Penetration testing แบ่งออกเป็น "black box" (ไม่มีความรู้เกี่ยวกับระบบล่วงหน้า) "white box" (เข้าถึง source code และสถาปัตยกรรมได้เต็มที่) หรือ "gray box" (อยู่ระหว่างกลางทั้งสองแบบ) แต่ละแนวทางจะเปิดเผยช่องโหว่ในรูปแบบที่แตกต่างกัน
เหตุใดจึงสำคัญสำหรับผู้ใช้ VPN
สำหรับผู้ใช้ VPN ทั่วไป penetration testing มีความเกี่ยวข้องมากกว่าที่คิด เมื่อคุณใช้ VPN คุณไว้วางใจให้บริการนั้นปกป้องข้อมูลของคุณ ซ่อน IP address และรักษาความเป็นส่วนตัวของการรับส่งข้อมูล แต่คุณจะรู้ได้อย่างไรว่าโครงสร้างพื้นฐานของผู้ให้บริการ VPN นั้นมีความปลอดภัย
ผู้ให้บริการ VPN ที่น่าเชื่อถือจะว่าจ้างให้มีการทำ penetration testing อิสระบนแอป เซิร์ฟเวอร์ และระบบ backend ของตน เมื่อผู้ให้บริการ VPN เผยแพร่ผลการตรวจสอบเหล่านี้ โดยเฉพาะอย่างยิ่งเมื่อควบคู่กับการตรวจสอบนโยบาย no-log ย่อมเป็นหลักฐานที่จับต้องได้ว่าการอ้างสิทธิ์ด้านความปลอดภัยไม่ได้เป็นเพียงแค่การตลาด ผู้ให้บริการ VPN ที่ไม่เคยผ่านการทำ pen test ก็เท่ากับขอให้คุณไว้วางใจโดยปราศจากหลักฐาน
นอกเหนือจากบริการ VPN แล้ว penetration testing ยังมีความสำคัญสำหรับทุกคนที่ทำงานจากระยะไกล หากบริษัทของคุณใช้ VPN เพื่อให้สิทธิ์การเข้าถึงจากระยะไกล การตั้งค่า VPN นั้นอาจเป็นช่องทางการโจมตีที่เป็นไปได้ การทำ pen testing บนโครงสร้างพื้นฐานการเข้าถึงระยะไกลช่วยให้มั่นใจได้ว่าผู้โจมตีจะไม่สามารถใช้ VPN เป็นประตูเข้าสู่ระบบขององค์กรได้
ตัวอย่างและกรณีการใช้งานในโลกจริง
- การตรวจสอบผู้ให้บริการ VPN: บริษัทอย่าง Mullvad, ExpressVPN และ NordVPN ได้เผยแพร่ผลการทำ penetration testing โดยบุคคลที่สามเพื่อยืนยันสถาปัตยกรรมด้านความปลอดภัยของตน
- การเข้าถึงระยะไกลขององค์กร: ทีม IT ของบริษัทว่าจ้างผู้ทำ pen testing เพื่อตรวจสอบ site-to-site VPN และ remote access VPN หาจุดอ่อนภายหลังการเปลี่ยนแปลงโครงสร้างพื้นฐานครั้งสำคัญ
- โปรแกรม bug bounty: องค์กรจำนวนมากดำเนินการ penetration testing แบบต่อเนื่องและแบบมีส่วนร่วมจากผู้คนจำนวนมากผ่านแพลตฟอร์มอย่าง HackerOne โดยให้รางวัลแก่นักวิจัยที่ค้นพบและเปิดเผยช่องโหว่อย่างรับผิดชอบ
- ข้อกำหนดด้านการปฏิบัติตามกฎระเบียบ: กฎระเบียบอย่าง PCI-DSS, HIPAA และ SOC 2 กำหนดให้องค์กรต้องทำ penetration testing เป็นประจำเป็นส่วนหนึ่งของการรักษาการรับรอง
Penetration testing เป็นหนึ่งในเครื่องมือที่ตรงไปตรงมาที่สุดในด้านความปลอดภัยทางไซเบอร์ เพราะเปลี่ยนการสันนิษฐานให้กลายเป็นหลักฐาน ทั้งสำหรับผู้ใช้ VPN และองค์กรต่าง ๆ ถือเป็นชั้นความมั่นใจที่สำคัญว่าระบบที่คุณพึ่งพาอยู่นั้นสามารถรับมือกับการโจมตีจริงได้