Page 37 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 37
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย : บทที่ 2 กระบวนการในการรักษาความปลอดภัยข้อมูล
PowerPoint ที่ผู้บริหารสามารถเข้าใจได้ง่าย เห็นภาพปัญหาที่อาจเกิดขึ้นกับระบบ
สารสนเทศได้อย่างชัดเจน
ขั้นตอนที่ 3 Penetration Testing (Pen-test) Techniques
ขั้นตอนนี้เป็นขั้นตอนสุดท้ายที่ควรจะทําต่อจากขั้นตอนที่ 2 เนื่องจากให้ผลลัพธ์
ที่ลึกซึ้งและละเอียดอ่อน กว่าการทํา Vulnerability Assessment หลักการของการทํา
Pen-Test หรือ การลองเจาะระบบคล้ายกับการเจาะระบบของไวรัส หรือ แฮกเกอร์
(Ethical Simulated Hacking) ทําให้ผู้ดูแลระบบเกิดความตื่นตัวในการป้ องกันระบบ
ของตน เพราะผู้ตรวจสอบฯ สามารถเข้าไปถึงข้อมูลสําคัญๆ ในระบบโดยที่ผู้ตรวจสอบฯ
ไม่มี Username หรือ Password แต่อย่างใด อาศัยฝีมือในการเจาะระบบล้วนๆ เทคนิค
การเจาะระบบแบ่งออกเป็นข้อย่อยดังนี้
a. Black-Box Penetration Testing
หมายถึง การเจาะระบบโดยไม่มีข้อมูลของระบบนั้นมาก่อน รู้เพียงตําแหน่งของ
เป้ าหมาย เช่น URL หรือ IP Address ของ Web site ทาง Penetration Tester ต้อง
แสดงความสามารถในการเจาะระบบเข้ามา โดยอาจจะเป็นแบบ Double Blind
Testing คือ ไม่บอกล่วงหน้าให้ทราบก่อนเจาะระบบ เพื่อตรวจสอบความพร้อมของ
ผู้ดูแลระบบว่ามีการเตรียมพร้อมรับการโจมตีทุกรูปแบบทุกเวลาหรือไม่
watermark
b. White-Box Penetration Testing
หมายถึง การเจาะระบบจากภายในขององค์กร เช่น จากระบบ LAN ภายใน
เป็นต้น เพื่อจําลองสถานการณ์ของไวรัส หรือ เวอร์ม ที่อาจแพร่กระจายอยู่ในองค์กร
หรือ จําลองว่ามีผู้บุกรุกจากข้างในองค์กรเองก็ได้เช่นกัน การเจาะระบบแบบนี้จะให้
ผลลัพธ์ที่ชัดเจนกว่ามาก เพราะการเจาะระบบจากข้างในย่อมง่ายกว่าการเจาะระบบ
จากข้างนอกระบบเครือข่าย
ในปัจจุบัน ธนาคารแห่งประเทศไทย (Bank of Thailand) ได้ประกาศให้ High
Risk Services ของธนาคารพาณิชย์ทุกแห่ง (เช่น Internet Banking) ต้องทํา
29
