CompTIA Pentest + (PT0-002) Module 01 - Scoping Organizational/Customer Requirements

CompTIA Pentest + (PT0-002) โมดูล 01 - การกำหนดขอบเขตความต้องการขององค์กร/ลูกค้า

**โปรดทราบว่าเอกสารนี้จัดทำโดย CertMaster Group โดยอิงตามหัวข้อหลักของ CompTIA Pentest+ (PT0-002) สามารถใช้เอกสารนี้เพื่อทบทวนความรู้ที่จำเป็นสำหรับ CompTIA Pentest+ (PT0-002) ได้อย่างรวดเร็ว อย่างไรก็ตาม หากต้องการเรียนรู้อย่างครอบคลุมและมีประสิทธิภาพ คุณควรฝึกฝนการใช้ CompTIA CertMaster Lab Pentest+ ที่ ( https://certmaster.org/products/certmaster-labs-for-pentest ) ดูเอกสารทฤษฎีอย่างเป็นทางการ [ที่นี่] ( https://certmaster.org/products/the-official-comptia-pentest-self-paced-study-guide-exam-pt0-002-ebook ) และทบทวนด้วย CompTIA CertMaster Practice for Pentest+ ที่ [ลิงก์นี้] ( https://certmaster.org/products/comptia-certmaster-practice-for-pentest-pt0-002 ) นอกจากนี้ คุณยังสามารถลงทะเบียนเรียนหลักสูตรการเรียนรู้และปฏิบัติทางออนไลน์ของ CompTIA ได้ที่ [ลิงก์นี้]( https://certmaster.org/products/comptia-built-certmaster-learn-labs-for-pentest-pt0-002 )**

PT0-002 / โมดูล 01: การกำหนดขอบเขตความต้องการขององค์กร/ลูกค้าสำหรับการทดสอบการเจาะระบบ

1. บทนำ

การทดสอบการเจาะระบบ (PenTest) เป็นวิธีที่สำคัญในการประเมินและปรับปรุงแนวทางด้านความปลอดภัยทางไซเบอร์ขององค์กร บทนี้จะแนะนำกระบวนการ PenTest ข้อกำหนดด้านการปฏิบัติตามข้อกำหนด และวิธีรักษาความเป็นมืออาชีพระหว่างกระบวนการทดสอบ

การกำหนดขอบเขตความต้องการขององค์กร/ลูกค้าสำหรับการทดสอบการเจาะข้อมูลถือเป็นขั้นตอนสำคัญในกระบวนการด้วยเหตุผลสำคัญหลายประการ:

1. การกำหนดวัตถุประสงค์ที่ชัดเจน: การกำหนดขอบเขตช่วยกำหนดวัตถุประสงค์ที่ชัดเจนและเฉพาะเจาะจงสำหรับการทดสอบการเจาะระบบ ซึ่งจะทำให้มั่นใจได้ว่าการทดสอบจะสอดคล้องกับเป้าหมายด้านความปลอดภัยขององค์กรและแก้ไขปัญหาเร่งด่วนที่สุดขององค์กร

2. การเพิ่มประสิทธิภาพทรัพยากร: องค์กรสามารถจัดสรรทรัพยากรได้อย่างมีประสิทธิภาพมากขึ้นด้วยการกำหนดขอบเขตอย่างชัดเจน ซึ่งจะช่วยป้องกันไม่ให้เสียเวลาและความพยายามในการทดสอบพื้นที่ที่ไม่สำคัญหรือไม่เกี่ยวข้องกับสถานะความปลอดภัยขององค์กร

3. การจัดการความเสี่ยง: การกำหนดขอบเขตที่เหมาะสมช่วยระบุและจัดลำดับความสำคัญของสินทรัพย์และระบบที่สำคัญที่สุดสำหรับการทดสอบ ซึ่งจะทำให้มั่นใจได้ว่าพื้นที่ที่มีความเสี่ยงสูงจะได้รับความสนใจและทรัพยากรที่เหมาะสมในระหว่างการทดสอบการเจาะระบบ

4. ข้อควรพิจารณาทางกฎหมายและการปฏิบัติตาม: การกำหนดขอบเขตช่วยให้มั่นใจได้ว่าการทดสอบการเจาะข้อมูลเป็นไปตามกฎหมาย ข้อบังคับ และมาตรฐานอุตสาหกรรมที่เกี่ยวข้อง ช่วยป้องกันปัญหาทางกฎหมายที่ไม่ได้ตั้งใจซึ่งอาจเกิดขึ้นจากการทดสอบนอกขอบเขตที่ตกลงกันไว้

5. ลดการหยุดชะงักของการดำเนินงานให้เหลือน้อยที่สุด: ขอบเขตที่กำหนดไว้อย่างชัดเจนสามารถจำกัดความเสี่ยงที่จะเกิดการหยุดชะงักในการดำเนินงานทางธุรกิจตามปกติได้ โดยสามารถระบุได้ว่าระบบใดที่สามารถทดสอบได้ การทดสอบสามารถเกิดขึ้นเมื่อใด และการทดสอบประเภทใดที่ได้รับอนุญาต

6. การกำหนดความคาดหวัง: การกำหนดขอบเขตจะกำหนดความคาดหวังที่ชัดเจนสำหรับทั้งทีมทดสอบและลูกค้า ช่วยป้องกันความเข้าใจผิดเกี่ยวกับสิ่งที่จะต้องทดสอบ วิธีทดสอบ และผลลัพธ์ที่คาดหวัง

7. การควบคุมต้นทุน: การกำหนดขอบเขตอย่างชัดเจนจะช่วยให้องค์กรสามารถประเมินและควบคุมต้นทุนที่เกี่ยวข้องกับการทดสอบเจาะลึกได้ดีขึ้น นอกจากนี้ยังช่วยป้องกันการเกินขอบเขตและค่าใช้จ่ายที่ไม่คาดคิด

8. แนวทางเฉพาะ: องค์กรแต่ละแห่งมีความต้องการด้านความปลอดภัยที่แตกต่างกัน การกำหนดขอบเขตช่วยให้สามารถกำหนดแนวทางเฉพาะเพื่อตอบสนองความต้องการ ข้อกังวล และข้อจำกัดเฉพาะขององค์กรได้

9. ข้อควรพิจารณาทางจริยธรรม: การกำหนดขอบเขตที่เหมาะสมช่วยให้มั่นใจได้ว่าการทดสอบการเจาะข้อมูลจะดำเนินการอย่างมีจริยธรรมและมีความรับผิดชอบ นอกจากนี้ยังกำหนดขอบเขตที่ป้องกันไม่ให้ผู้ทดสอบเข้าถึงหรือประนีประนอมข้อมูลหรือระบบที่ละเอียดอ่อนโดยไม่ได้ตั้งใจนอกขอบเขตที่ตกลงกันไว้

10. ผลลัพธ์ที่วัดได้: ขอบเขตที่กำหนดอย่างชัดเจนช่วยให้สามารถวัดผลและเปรียบเทียบผลลัพธ์ได้มากขึ้น ซึ่งมีประโยชน์โดยเฉพาะอย่างยิ่งสำหรับการติดตามการปรับปรุงด้านความปลอดภัยในช่วงเวลาหนึ่งหรือการเปรียบเทียบผลลัพธ์ระหว่างการทดสอบการเจาะระบบที่แตกต่างกัน

11. การปฏิบัติตามข้อกำหนด: สำหรับอุตสาหกรรมที่อยู่ภายใต้ข้อกำหนดเฉพาะ (เช่น การดูแลสุขภาพ การเงิน) การกำหนดขอบเขตจะช่วยให้แน่ใจว่าการทดสอบการเจาะระบบเป็นไปตามข้อกำหนดด้านกฎระเบียบและสามารถใช้เป็นหลักฐานในการปฏิบัติตามข้อกำหนดได้

12. อำนวยความสะดวกในการสื่อสาร: ขอบเขตที่ชัดเจนจะสร้างความเข้าใจร่วมกันระหว่างผู้มีส่วนได้ส่วนเสียทุกฝ่าย อำนวยความสะดวกในการสื่อสารที่ดีขึ้นตลอดกระบวนการทดสอบการเจาะระบบ

13. มุ่งเน้นที่บริบททางธุรกิจ: การกำหนดขอบเขตช่วยให้การทดสอบการเจาะลึกสอดคล้องกับบริบททางธุรกิจขององค์กร ทำให้มั่นใจได้ว่าการทดสอบและผลลัพธ์มีความเกี่ยวข้องกับอุตสาหกรรม ขนาด และโปรไฟล์ความเสี่ยงเฉพาะขององค์กร

14. การเตรียมพร้อมสำหรับการแก้ไข: การกำหนดสิ่งที่ต้องทดสอบอย่างชัดเจน องค์กรจะสามารถเตรียมพร้อมสำหรับการค้นพบที่อาจเกิดขึ้นได้ดีขึ้น และจัดสรรทรัพยากรสำหรับความพยายามในการแก้ไขได้อย่างมีประสิทธิภาพมากขึ้น

โดยสรุป การกำหนดขอบเขตข้อกำหนดขององค์กร/ลูกค้าสำหรับการทดสอบการเจาะระบบถือเป็นสิ่งสำคัญเพื่อให้แน่ใจว่าการทดสอบนั้นมีประสิทธิภาพ ประสิทธิผล มีความเกี่ยวข้อง และสอดคล้องกับความต้องการและข้อจำกัดขององค์กร การกำหนดขอบเขตดังกล่าวเป็นการวางรากฐานสำหรับการทดสอบการเจาะระบบที่ประสบความสำเร็จ ซึ่งให้ข้อมูลเชิงลึกที่มีค่าและผลลัพธ์ที่ดำเนินการได้เพื่อปรับปรุงมาตรการรักษาความปลอดภัยขององค์กร

1. เปรียบเทียบและแสดงความแตกต่างระหว่างรายงานการกำกับดูแล ความเสี่ยง และการปฏิบัติตามกฎระเบียบ

คำอธิบาย:

รายงานการกำกับดูแลจะเน้นที่วิธีการจัดการและควบคุมองค์กร รายงานความเสี่ยงจะระบุและประเมินภัยคุกคามที่อาจเกิดขึ้นต่อองค์กร รายงานการปฏิบัติตามกฎระเบียบจะแสดงให้เห็นถึงการปฏิบัติตามกฎหมาย ข้อบังคับ และมาตรฐานอุตสาหกรรม

สถานการณ์ประกอบภาพ:

ธนาคารข้ามชาติ GlobalFinance ดำเนินการประเมินประจำปี:

- รายงานการกำกับดูแล: ระบุโครงสร้างความเป็นผู้นำของธนาคาร กระบวนการตัดสินใจ และการควบคุมภายใน

- รายงานความเสี่ยง: ระบุภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น ความเสี่ยงทางการตลาด และช่องโหว่ด้านการดำเนินงาน

- รายงานการปฏิบัติตาม: แสดงให้เห็นถึงการปฏิบัติตามกฎระเบียบ เช่น GDPR, PCI DSS และกฎหมายการธนาคารในพื้นที่

แม้ว่ารายงานการกำกับดูแลอาจแนะนำให้ปรับปรุงการกำกับดูแลของคณะกรรมการด้านความปลอดภัยทางไซเบอร์ แต่รายงานความเสี่ยงอาจเน้นย้ำถึงช่องโหว่เฉพาะในระบบธนาคารออนไลน์ จากนั้นรายงานการปฏิบัติตามกฎระเบียบจะแสดงให้เห็นว่าช่องโหว่เหล่านี้ละเมิดข้อกำหนดด้านกฎระเบียบใดๆ หรือไม่

2. ความสำคัญของการกำหนดขอบเขตและความต้องการขององค์กร/ลูกค้า

คำอธิบาย:

การกำหนดขอบเขตจะกำหนดขอบเขตของการทดสอบการเจาะระบบ เพื่อให้แน่ใจว่าความพยายามในการทดสอบจะมุ่งเน้น มีประสิทธิภาพ และสอดคล้องกับความต้องการขององค์กร การกำหนดขอบเขตที่เหมาะสมจะป้องกันงานที่ไม่จำเป็น ลดความเสี่ยง และรับรองว่าระบบที่สำคัญจะได้รับการตรวจสอบอย่างละเอียดถี่ถ้วน

สถานการณ์ประกอบภาพ:

TechInnovate บริษัทซอฟต์แวร์ ร้องขอการทดสอบเจาะระบบสำหรับแอปพลิเคชันบนคลาวด์ใหม่ของตน กระบวนการกำหนดขอบเขตประกอบด้วย:

- กำหนดขอบเขตการทดสอบ (เช่น เฉพาะแอปพลิเคชันเท่านั้น ไม่ใช่โครงสร้างพื้นฐานคลาวด์พื้นฐาน)

- ระบุสินทรัพย์ที่สำคัญ (เช่น ฐานข้อมูลผู้ใช้ โมดูลการประมวลผลการชำระเงิน)

- กำหนดข้อจำกัดการทดสอบ (เช่น ไม่มีการโจมตีแบบปฏิเสธบริการ)

- การจัดแนวทางให้สอดคล้องกับข้อกำหนดขององค์กร (เช่น การทดสอบในช่วงนอกชั่วโมงเร่งด่วน)

การกำหนดขอบเขตนี้ช่วยให้แน่ใจว่าการทดสอบการเจาะจะมุ่งเน้นไปที่ข้อกังวลที่สำคัญที่สุดของ TechInnovate ในขณะที่หลีกเลี่ยงการหยุดชะงักในการดำเนินธุรกิจของพวกเขา

3. ความสำคัญของการสื่อสารในระหว่างกระบวนการทดสอบการเจาะระบบ

คำอธิบาย:

การสื่อสารที่มีประสิทธิภาพช่วยให้ผู้มีส่วนได้ส่วนเสียทุกคนเข้าใจความคืบหน้า ผลการทดสอบ และผลกระทบต่างๆ ของการทดสอบ ช่วยจัดการความคาดหวัง ช่วยให้ตอบสนองต่อผลการทดสอบที่สำคัญได้อย่างรวดเร็ว และทำให้มั่นใจว่ารายงานขั้นสุดท้ายจะตรงตามความต้องการขององค์กร

สถานการณ์ประกอบภาพ:

ระหว่างการทดสอบเจาะระบบของ SecureHealth ซึ่งเป็นผู้ให้บริการด้านการแพทย์ ทีมทดสอบจะค้นพบช่องโหว่สำคัญในระบบบันทึกข้อมูลผู้ป่วย พวกเขาแจ้งช่องโหว่นี้ให้ทีมไอทีของลูกค้าทราบทันที เพื่อให้สามารถบรรเทาปัญหาได้อย่างรวดเร็ว ตลอดการทดสอบ พวกเขาจะส่งการอัปเดตรายวันและสรุปข้อมูลระหว่างการทดสอบ เพื่อให้แน่ใจว่าฝ่ายบริหารของ SecureHealth ได้รับข้อมูลครบถ้วนและสามารถตัดสินใจเกี่ยวกับการจัดสรรทรัพยากรและการจัดการความเสี่ยงได้อย่างทันท่วงที

4. เมื่อได้รับสถานการณ์ ให้แสดงให้เห็นถึงความคิดที่ถูกต้องในการแฮ็กโดยรักษาความเป็นมืออาชีพและความซื่อสัตย์

คำอธิบาย:

แนวคิดการแฮ็กที่ถูกต้องตามจริยธรรมเกี่ยวข้องกับการดำเนินการทดสอบโดยได้รับอนุญาต เคารพขอบเขต ปกป้องข้อมูลที่ละเอียดอ่อน และให้ความสำคัญกับความปลอดภัยของลูกค้า ซึ่งต้องรักษาความเป็นมืออาชีพและความซื่อสัตย์ตลอดกระบวนการทดสอบ

สถานการณ์ประกอบภาพ:

ระหว่างการทดสอบเจาะระบบสำหรับ EduOnline ซึ่งเป็นแพลตฟอร์มการเรียนรู้ทางอิเล็กทรอนิกส์ ทีมทดสอบจะสามารถเข้าถึงฐานข้อมูลที่มีข้อมูลของนักเรียนได้ แทนที่จะขโมยข้อมูลเหล่านี้ไป พวกเขาจะบันทึกช่องโหว่ แจ้งให้ลูกค้าทราบในทันที และให้คำแนะนำในการรักษาความปลอดภัยฐานข้อมูล นอกจากนี้ พวกเขายังรับรองว่าข้อมูลการทดสอบทั้งหมดจะถูกลบออกอย่างปลอดภัยหลังจากการมีส่วนร่วม ซึ่งแสดงให้เห็นถึงความมุ่งมั่นในการปฏิบัติทางจริยธรรมและการปกป้องข้อมูล

5. เมื่อได้รับสถานการณ์ ให้ทำการลาดตระเวนแบบพาสซีฟ

คำอธิบาย:

การลาดตระเวนแบบพาสซีฟเกี่ยวข้องกับการรวบรวมข้อมูลเกี่ยวกับเป้าหมายโดยไม่ต้องโต้ตอบกับระบบของเป้าหมายโดยตรง ซึ่งอาจรวมถึงการใช้แหล่งข้อมูลสาธารณะ โซเชียลมีเดีย และข้อมูลอื่นๆ ที่เปิดเผยต่อสาธารณะ

สถานการณ์ประกอบภาพ:

ก่อนที่จะเริ่มการทดสอบการเจาะระบบที่ได้รับอนุญาตสำหรับ GreenEnergy ซึ่งเป็นบริษัทพลังงานหมุนเวียน ทีมทดสอบจะดำเนินการสำรวจแบบพาสซีฟ:

- พวกเขาวิเคราะห์เว็บไซต์ของ GreenEnergy โดยสังเกตเทคโนโลยีที่ใช้และจุดเข้าที่เป็นไปได้

- พวกเขาตรวจสอบตำแหน่งงานของบริษัทเพื่อทำความเข้าใจเทคโนโลยีของพวกเขา

- พวกเขาตรวจสอบบันทึกสาธารณะและข่าวเผยแพร่เพื่อหาข้อมูลเกี่ยวกับโครงสร้างพื้นฐานของ GreenEnergy

- พวกเขาใช้เครื่องมือ OSINT เพื่อรวบรวมข้อมูลเกี่ยวกับช่วงเครือข่ายและรูปแบบอีเมลของบริษัท

การลาดตระเวนแบบพาสซีฟนี้ให้ข้อมูลอันมีค่าสำหรับขั้นตอนต่อไปของการทดสอบการเจาะระบบ ทั้งหมดนี้ไม่ได้แจ้งเตือนระบบรักษาความปลอดภัยของ GreenEnergy หรือต้องมีการโต้ตอบโดยตรงกับเครือข่ายแต่อย่างใด

วัตถุประสงค์เหล่านี้ร่วมกันทำให้แน่ใจว่าผู้ทดสอบการเจาะระบบทำงานอย่างเป็นระบบ มีจริยธรรม และสอดคล้องกับความต้องการของลูกค้าและข้อกำหนดด้านกฎระเบียบ โดยเน้นย้ำถึงความสำคัญของการสื่อสารที่ชัดเจน การปฏิบัติตนอย่างมืออาชีพ และการเตรียมการอย่างละเอียดถี่ถ้วนในกระบวนการทดสอบการเจาะระบบ

2. การกำหนดการทดสอบปากกาขององค์กร

2.1 การประเมินสุขภาพและความยืดหยุ่นทางไซเบอร์

องค์กรต่างๆ ตระหนักถึงความจำเป็นในการรักษาความปลอดภัยระบบของตนมากขึ้นเรื่อยๆ เพื่อให้แน่ใจว่าข้อมูลมีความลับ สมบูรณ์ และพร้อมใช้งาน (CIA) องค์กรต่างๆ จำนวนมากจึงใช้การควบคุมหลักๆ สามประเภท ได้แก่

ก) การควบคุมด้านการบริหาร ได้แก่ นโยบายและขั้นตอนต่างๆ เช่น นโยบายรหัสผ่านที่กำหนดให้ต้องมีรหัสผ่านที่ซับซ้อนและต้องเปลี่ยนเป็นประจำ หรือ นโยบายการใช้งานที่ยอมรับได้ซึ่งกำหนดว่าพนักงานจะใช้ทรัพยากรของบริษัทได้อย่างไร

ข) การควบคุมทางกายภาพ: เกี่ยวข้องกับการป้องกันสินทรัพย์ทางกายภาพ ตัวอย่าง ได้แก่ ห้องเซิร์ฟเวอร์ที่ถูกล็อค กล้องวงจรปิด และระบบการเข้าถึงแบบไบโอเมตริกซ์

ค) การควบคุมทางเทคนิคหรือทางตรรกะ ครอบคลุมถึงโซลูชันซอฟต์แวร์และฮาร์ดแวร์ เช่น ไฟร์วอลล์ การเข้ารหัส และระบบตรวจจับการบุกรุก

การควบคุมทั้งหมดนี้ควรยึดตามหลักการสิทธิ์ขั้นต่ำ ซึ่งหมายถึงการให้สิทธิ์การเข้าถึงแก่ผู้ใช้ในระดับขั้นต่ำที่จำเป็นต่อการทำงานเท่านั้น หลักการนี้จะช่วยลดความเสียหายที่อาจเกิดขึ้นจากอุบัติเหตุหรือการกระทำที่เป็นอันตราย

2.2 การลดความเสี่ยงโดยรวม

เป้าหมายหลักของ PenTesting คือการลดความเสี่ยงโดยรวม สูตรในการกำหนดความเสี่ยงมีดังนี้:

ความเสี่ยง = ภัยคุกคาม * ความเปราะบาง

ที่ไหน:

ภัยคุกคามอาจเป็นมัลแวร์ แฮกเกอร์ หรือแม้แต่ภัยธรรมชาติก็ได้

- จุดอ่อน คือ จุดอ่อนหรือข้อบกพร่องในระบบที่อาจถูกใช้ประโยชน์ได้

ตัวอย่างเช่น หากเซิร์ฟเวอร์มีช่องโหว่ที่ยังไม่ได้รับการแก้ไข (ได้คะแนนความรุนแรง 8 จาก 10) และภัยคุกคามจากการแสวงประโยชน์อยู่ในระดับปานกลาง (5 จาก 10) ความเสี่ยงจะเท่ากับ 8 * 5 = 40 จาก 100

การจัดการความเสี่ยงเกี่ยวข้องกับการระบุ ประเมิน วิเคราะห์ และตอบสนองต่อความเสี่ยงเหล่านี้ PenTesting ช่วยในกระบวนการนี้โดยเปิดเผยช่องโหว่ก่อนที่ผู้ไม่ประสงค์ดีจะใช้ประโยชน์จากช่องโหว่เหล่านั้นได้

2.3 กระบวนการทดสอบ PenTest ที่มีโครงสร้างของ CompTIA

CompTIA ได้สรุปกระบวนการแปดขั้นตอนสำหรับการดำเนินการทดสอบการเจาะ:

1. การวางแผนและกำหนดขอบเขต: เกี่ยวข้องกับการร่างแผนสำหรับ PenTest รวมถึงการกำหนดวัตถุประสงค์ ระบบที่ต้องทดสอบ และข้อจำกัด

2. การลาดตระเวน: การรวบรวมข้อมูลเกี่ยวกับเป้าหมาย ซึ่งอาจเกี่ยวข้องกับทั้งวิธีการแบบพาสซีฟ (ข้อมูลที่เปิดเผยต่อสาธารณะ) และแบบแอ็คทีฟ (การโต้ตอบโดยตรงกับเป้าหมาย)

3. การสแกน: การระบุโฮสต์สด พอร์ตที่เปิดอยู่ และบริการที่กำลังทำงาน เครื่องมือเช่น Nmap มักใช้ในขั้นตอนนี้

4. การเข้าถึง: พยายามใช้ประโยชน์จากช่องโหว่เพื่อดูว่าผู้ทดสอบสามารถเจาะเข้าไปในเครือข่ายได้ลึกแค่ไหน

5. การรักษาสิทธิ์การเข้าถึง: เมื่อได้รับสิทธิ์การเข้าถึงแล้ว ผู้ทดสอบจะพยายามรักษาสิทธิ์การเข้าถึงไว้ให้ไม่ถูกตรวจพบให้นานที่สุดเท่าที่จะเป็นไปได้ โดยจำลองพฤติกรรมของผู้โจมตีจริง

6. การปกปิดร่องรอย: การลบหลักฐานใดๆ ของการเจาะ เช่น รายการบันทึกหรือไฟล์ที่ถูกสร้างขึ้น

7. การวิเคราะห์: วิเคราะห์ผลการค้นพบและสรุปผลการจัดอันดับความเสี่ยงสำหรับช่องโหว่แต่ละแห่งที่พบ

8. การรายงาน: การนำเสนอผลลัพธ์ในรายงานที่ครอบคลุม ซึ่งมักจะรวมถึงบทสรุปสำหรับผู้บริหารและผลการค้นพบทางเทคนิคโดยละเอียด

สถานการณ์จำลอง: PenTest ของระบบดูแลสุขภาพ MediTech

MediTech เป็นผู้ให้บริการด้านการดูแลสุขภาพระดับภูมิภาคที่มีคลินิกหลายแห่งและโรงพยาบาลกลางแห่งหนึ่ง พวกเขาได้จ้าง CyberShield ซึ่งเป็นบริษัทด้านความปลอดภัยทางไซเบอร์ที่มีชื่อเสียง เพื่อดำเนินการทดสอบการเจาะระบบอย่างครอบคลุม

1. การวางแผนและกำหนดขอบเขต: CyberShield ประชุมกับทีมไอทีและฝ่ายบริหารของ MediTech เพื่อร่างแผน PenTest โดยกำหนดวัตถุประสงค์ (การประเมินความปลอดภัยของบันทึกผู้ป่วยและระบบนัดหมาย) ระบบที่ต้องทดสอบ (เครือข่ายโรงพยาบาลหลัก เครือข่ายคลินิก และพอร์ทัลผู้ป่วย) และข้อจำกัด (ไม่รบกวนระบบการแพทย์ที่สำคัญ)

2. การลาดตระเวน: CyberShield เริ่มรวบรวมข้อมูลเกี่ยวกับ MediTech:

  • แบบไม่โต้ตอบ: พวกเขาค้นหาบันทึกสาธารณะ วิเคราะห์เว็บไซต์ของ MediTech และตรวจสอบโปรไฟล์โซเชียลมีเดียของพนักงาน
  • การใช้งาน: พวกเขาโทรหา MediTech โดยแอบอ้างว่าเป็นผู้ป่วยที่มีแนวโน้มจะเป็นไปได้ เพื่อรวบรวมข้อมูลเกี่ยวกับระบบของพวกเขา

3. การสแกน: การใช้ Nmap และเครื่องมืออื่น ๆ CyberShield สแกนเครือข่ายของ MediTech:

  • พวกเขาระบุโฮสต์สดทั่วทั้งเครือข่ายโรงพยาบาลและคลินิก
  • พวกเขาค้นพบพอร์ตเปิดบนเซิร์ฟเวอร์ต่างๆ รวมถึงพอร์ตเปิดที่ไม่คาดคิดบางพอร์ตบนเซิร์ฟเวอร์พอร์ทัลผู้ป่วย
  • พวกเขาทำการแสดงรายการบริการที่กำลังทำงาน โดยสังเกตเวอร์ชันที่ล้าสมัยของบริการฐานข้อมูลบนเซิร์ฟเวอร์คลินิกแห่งหนึ่ง

4. การเข้าถึง: CyberShield พยายามใช้ประโยชน์จากช่องโหว่ที่พบ:

  • พวกเขาใช้ช่องโหว่ที่ทราบแล้วสำหรับบริการฐานข้อมูลที่ล้าสมัยเพื่อเข้าถึงเซิร์ฟเวอร์คลินิกเบื้องต้น
  • จากนั้นพวกเขาใช้ประโยชน์จากรหัสผ่านที่อ่อนแอในบัญชีผู้ดูแลระบบเพื่อเข้าถึงเครือข่ายหลักของโรงพยาบาล

5. การรักษาการเข้าถึง: เมื่ออยู่ในระบบของ MediTech แล้ว CyberShield:

  • สร้างบัญชีผู้ใช้ที่ซ่อนอยู่พร้อมสิทธิ์ระดับสูง
  • ติดตั้งเครื่องมือการเข้าถึงระยะไกลที่ปลอมตัวบนเซิร์ฟเวอร์คีย์หลาย ๆ เครื่อง
  • ตั้งค่างานที่กำหนดเวลาไว้ซึ่งจะตรวจสอบกับเซิร์ฟเวอร์คำสั่งและควบคุมเป็นระยะๆ

6. การปกปิดร่องรอย: เพื่อไม่ให้ถูกตรวจพบ CyberShield:

  • แก้ไขบันทึกระบบเพื่อลบหลักฐานการบุกรุก
  • ลบไฟล์ชั่วคราวใด ๆ ที่ถูกสร้างระหว่างกิจกรรม
  • ตรวจสอบให้แน่ใจว่าเครื่องมือการเข้าถึงระยะไกลไม่ปรากฏในรายการกระบวนการที่กำลังทำงาน

7. การวิเคราะห์: CyberShield วิเคราะห์ผลการค้นพบของตน:

  • พวกเขาระบุช่องโหว่ที่สำคัญในพอร์ทัลผู้ป่วยและเครือข่ายคลินิก
  • พวกเขาประเมินผลกระทบที่อาจเกิดขึ้นจากช่องโหว่แต่ละแห่งโดยพิจารณาปัจจัย เช่น ความสะดวกในการถูกโจมตีและการเปิดเผยข้อมูลที่อาจเกิดขึ้น
  • พวกเขาให้คะแนนช่องโหว่แต่ละแห่งในระดับตั้งแต่ต่ำไปจนถึงวิกฤตตามการวิเคราะห์ของพวกเขา

8. การรายงาน: CyberShield มอบรายงานที่ครอบคลุมให้กับ MediTech:

  • บทสรุปผู้บริหาร: ภาพรวมระดับสูงของการทดสอบ ผลการค้นพบที่สำคัญ และการประเมินความเสี่ยงโดยรวม
  • ข้อมูลทางเทคนิคโดยละเอียด: คำอธิบายเชิงลึกของช่องโหว่แต่ละแห่ง รวมถึงวิธีการค้นพบและใช้ประโยชน์
  • การจัดอันดับความเสี่ยง: การแยกรายละเอียดระดับความเสี่ยงสำหรับช่องโหว่แต่ละแห่งอย่างชัดเจน
  • คำแนะนำ: ขั้นตอนปฏิบัติที่ชัดเจนสำหรับ MediTech เพื่อแก้ไขช่องโหว่แต่ละแห่ง
  • ภาคผนวก: ข้อมูลดิบจากการสแกน ภาพหน้าจอของการโจมตีที่ประสบความสำเร็จ (พร้อมข้อมูลละเอียดอ่อนที่แก้ไขแล้ว) และหลักฐานสนับสนุนอื่นๆ

สถานการณ์จำลองนี้แสดงให้เห็นว่าแต่ละขั้นตอนของกระบวนการทดสอบการเจาะระบบถูกนำไปใช้ในบริบทของโลกแห่งความเป็นจริงอย่างไร โดยแสดงให้เห็นถึงแนวทางเชิงระบบที่ผู้ทดสอบการเจาะระบบมืออาชีพใช้ในการประเมินสถานะความปลอดภัยขององค์กรอย่างละเอียดถี่ถ้วน

2.4 การเปรียบเทียบขั้นตอนที่ดำเนินการระหว่างการทดสอบปากกา

สิ่งสำคัญคือการแยกแยะระหว่างทีม PenTesting และผู้ที่ก่อให้เกิดภัยคุกคามจริง:

- ทีม PenTesting: เป้าหมายหลักคือการทดสอบการป้องกันโครงสร้างพื้นฐาน โดยดำเนินการภายในขอบเขตที่ตกลงกันไว้และได้รับอนุญาตจากองค์กร

- ผู้ก่อภัยคุกคาม: เป้าหมายหลักคือการเปลี่ยนแปลงความสมบูรณ์ของระบบเพื่อจุดประสงค์ที่เป็นอันตราย ผู้ก่อภัยคุกคามไม่มีขอบเขตและมักมุ่งหวังที่จะก่อให้เกิดความเสียหายหรือขโมยข้อมูล

การเข้าใจความแตกต่างนี้จะช่วยในการจำลองการโจมตีในโลกแห่งความเป็นจริงในขณะที่ยังรักษาขอบเขตทางจริยธรรมและกฎหมายไว้

สถานการณ์จำลอง: แพลตฟอร์มการธนาคารออนไลน์ของ SecureBank

SecureBank เพิ่งอัปเกรดแพลตฟอร์มธนาคารออนไลน์และต้องการรักษาความปลอดภัยให้แพลตฟอร์ม โดยจ้างทีม PenTesting เพื่อทำการประเมินความปลอดภัย ในขณะเดียวกัน กลุ่ม Threat Actor ก็เล็งเป้าไปที่ระบบของธนาคารเช่นกัน โดยที่ SecureBank ไม่รู้ด้วยซ้ำว่ากลุ่มดังกล่าวเป็นใคร

ทีม PenTesting:

1. การมีส่วนร่วม: ทีมงานได้รับการว่าจ้างอย่างเป็นทางการโดย SecureBank และลงนามในสัญญาที่ระบุขอบเขตและข้อจำกัดของงานของพวกเขา

2. วัตถุประสงค์: เป้าหมายของพวกเขาคือการระบุช่องโหว่ในแพลตฟอร์มธนาคารออนไลน์เพื่อช่วยให้ SecureBank ปรับปรุงความปลอดภัยให้ดีขึ้น

3. วิธีการ: ใช้แนวทางที่มีโครงสร้าง เริ่มตั้งแต่การลาดตระเวนและการสแกน จากนั้นจึงพยายามใช้ประโยชน์จากช่องโหว่ที่ค้นพบ

4. ข้อจำกัด: ดำเนินการภายในขอบเขตที่ตกลงกันไว้ ตัวอย่างเช่น อาจหลีกเลี่ยงการทดสอบในช่วงเวลาเร่งด่วนเพื่อป้องกันการหยุดชะงักของลูกค้า

5. จริยธรรม: หากพวกเขาได้รับสิทธิ์เข้าถึงข้อมูลที่ละเอียดอ่อน พวกเขาจะไม่ขโมยหรือใช้ข้อมูลนั้นในทางที่ผิด

6. การสื่อสาร: พวกเขาติดต่อกับทีมงานไอทีของ SecureBank เป็นประจำ โดยเฉพาะอย่างยิ่งหากพวกเขาค้นพบช่องโหว่ที่สำคัญ

7. ระยะเวลา: การหมั้นหมายจะมีกรอบเวลาที่แน่นอน โดยทั่วไปคือประมาณไม่กี่สัปดาห์

8. การรายงาน: เมื่อสิ้นสุดการทดสอบ พวกเขาจะส่งรายงานโดยละเอียดเกี่ยวกับผลการทดสอบและข้อเสนอแนะของตนไปยัง SecureBank

ผู้คุกคาม:

1. การมีส่วนร่วม: พวกเขาไม่ได้รับอนุญาตและดำเนินการอย่างผิดกฎหมาย มักจะอยู่ในสถานที่ห่างไกล

2. วัตถุประสงค์: โดยทั่วไปแล้วเป้าหมายของพวกเขาคือการได้รับผลกำไรทางการเงิน ไม่ว่าจะผ่านการขโมยเงินโดยตรงหรือการขายข้อมูลที่ขโมยมาบนเว็บมืด

3. วิธีการ: แม้ว่าพวกเขาอาจใช้เครื่องมือและเทคนิคที่คล้ายกับทีม PenTesting แต่พวกเขาไม่ผูกพันด้วยกฎเกณฑ์หรือจริยธรรมใดๆ

4. ข้อจำกัด: ไม่มีข้อจำกัดและอาจโจมตีได้ตลอดเวลา รวมถึงในช่วงชั่วโมงเร่งด่วน เพื่อสร้างความสับสนให้มากที่สุด

5. จริยธรรม: หากพวกเขาได้รับสิทธิ์เข้าถึงข้อมูลที่ละเอียดอ่อน พวกเขาจะใช้ประโยชน์จากข้อมูลเหล่านั้นเพื่อประโยชน์ส่วนตัวหรือขายข้อมูลดังกล่าว

6. การสื่อสาร: พวกเขาหลีกเลี่ยงการติดต่อสื่อสารกับ SecureBank โดยพยายามที่จะไม่ให้ถูกตรวจพบให้นานที่สุด

7. ระยะเวลา: ภัยคุกคามอาจคงอยู่ในระบบเป็นเวลาหลายเดือนหรือหลายปีหากไม่ตรวจพบ

8. การรายงาน: แทนที่จะรายงาน พวกเขาอาจทิ้งบันทึกเรียกค่าไถ่หากพวกเขาตัดสินใจที่จะใช้แรนซัมแวร์ หรืออาจหายตัวไปพร้อมกับข้อมูลที่ถูกขโมยไป

ผลลัพธ์ตัวอย่าง:

ทีม PenTesting: พวกเขาค้นพบช่องโหว่ในฟังก์ชันการรีเซ็ตรหัสผ่านซึ่งอาจทำให้บัญชีถูกเข้าควบคุมได้ พวกเขาแจ้งให้ SecureBank ทราบในทันที สาธิตช่องโหว่ในสภาพแวดล้อมที่ควบคุมได้ และให้คำแนะนำในการแก้ไข SecureBank แก้ไขช่องโหว่ดังกล่าวภายในไม่กี่วัน

ผู้ก่อภัยคุกคาม: พวกเขาค้นพบช่องโหว่เดียวกันแต่ใช้ประโยชน์จากช่องโหว่นั้นเพื่อเข้าถึงบัญชีลูกค้าหลายบัญชี พวกเขาโอนเงินไปยังบัญชีที่ไม่สามารถติดตามได้และขายข้อมูลลูกค้าบนเว็บมืด SecureBank ค้นพบช่องโหว่นี้เพียงไม่กี่เดือนต่อมาเมื่อลูกค้ารายงานธุรกรรมที่ไม่ได้รับอนุญาต

ตัวอย่างนี้แสดงให้เห็นความแตกต่างอย่างชัดเจนระหว่างทีม PenTesting และผู้กระทำการคุกคาม แม้ว่าทั้งสองจะใช้เทคนิคที่คล้ายคลึงกัน แต่เจตนา วิธีการ และผลลัพธ์ของทั้งสองแตกต่างกันโดยพื้นฐาน ทีม PenTesting ทำงานเพื่อปรับปรุงความปลอดภัยด้วยความรู้และความยินยอมขององค์กร ในขณะที่ผู้กระทำการคุกคามพยายามแสวงหาประโยชน์จากช่องโหว่เพื่อจุดประสงค์ที่เป็นอันตรายโดยที่องค์กรไม่รู้ตัว

3. ข้อกำหนดด้านการปฏิบัติตาม

3.1 PCI DSS (มาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน)

PCI DSS กำหนดมาตรการควบคุมที่ต้องมีเพื่อจัดการข้อมูลบัตรเครดิต ข้อกำหนดที่สำคัญ ได้แก่:

- การสร้างและดูแลรักษาโครงสร้างพื้นฐานเครือข่ายที่ปลอดภัย ซึ่งเกี่ยวข้องกับการใช้ไฟร์วอลล์และการแบ่งส่วนเครือข่ายอย่างเหมาะสม

- การปกป้องข้อมูลของผู้ถือบัตร: ใช้การเข้ารหัสสำหรับการส่งและเก็บข้อมูล

- การดูแลรักษาโปรแกรมการจัดการความเสี่ยง: การอัปเดตและแพตช์ระบบเป็นประจำ

- การนำมาตรการควบคุมการเข้าถึงที่เข้มแข็งมาใช้: การใช้การตรวจสอบปัจจัยหลายประการและหลักการของสิทธิ์ขั้นต่ำที่สุด

- ตรวจสอบและทดสอบเครือข่ายอย่างสม่ำเสมอ: ดำเนินการสแกนความปลอดภัยและทดสอบการเจาะระบบเป็นประจำ

- การรักษานโยบายความปลอดภัยของข้อมูล: การบันทึกและบังคับใช้แนวทางปฏิบัติด้านความปลอดภัยทั่วทั้งองค์กร

บริษัทต่างๆ จะต้องเฝ้าระวังในการพยายามรักษาความปลอดภัยของข้อมูล:

- พวกเขาต้องทำการประเมินและรายงานผลลัพธ์

- ระดับผู้ค้าจะกำหนดว่าจะต้องกรอกรายงานการปฏิบัติตามกฎระเบียบ (ROC) หรือไม่

- ผู้ค้าระดับ 1 (ประมวลผลธุรกรรมบัตรมากกว่า 6 ล้านรายการต่อปี) จะต้องได้รับการตรวจสอบภายนอกโดยผู้ประเมินความปลอดภัยที่มีคุณสมบัติ (QSA) ที่ได้รับการรับรอง

- ระดับ 1 และ 2 ต้องกรอกรายงานการปฏิบัติตามกฎระเบียบให้เสร็จสมบูรณ์

ระดับ 2–4 อาจมีผู้ตรวจสอบภายนอกหรือส่งแบบสอบถามการประเมินตนเอง (SAQ) ที่พิสูจน์ได้ว่ามีการดำเนินขั้นตอนเชิงรุกในการรักษาความปลอดภัยโครงสร้างพื้นฐาน

3.2 ข้อบังคับทั่วไปเกี่ยวกับการคุ้มครองข้อมูล (GDPR)

GDPR มุ่งเน้นไปที่ความเป็นส่วนตัวของข้อมูลผู้บริโภค:

- มีผลกับใครก็ตามที่ทำธุรกิจกับผู้อยู่อาศัยในสหภาพยุโรปและอังกฤษ

- ส่วนประกอบที่สำคัญ ได้แก่:

ก) ต้องได้รับความยินยอม: องค์กรจะต้องขออนุญาตสำหรับแหล่งข้อมูลแต่ละแห่งที่รวบรวมจากบุคคล

ข) การอนุญาตให้เพิกถอนความยินยอม: ผู้บริโภคสามารถเลือกไม่ยินยอมได้ตลอดเวลา

c) การเข้าถึงทั่วโลก: ใช้กับองค์กรใดๆ ที่จัดการข้อมูลของผู้อยู่อาศัยในสหภาพยุโรป โดยไม่คำนึงว่าองค์กรนั้นจะตั้งอยู่ที่ใดก็ตาม

ง) การจำกัดการรวบรวมข้อมูล: องค์กรควรรวบรวมเฉพาะสิ่งที่จำเป็นเท่านั้น

ข) การรายงานการละเมิด: บริษัทจะต้องรายงานการละเมิดภายใน 72 ชั่วโมงนับจากการค้นพบ

3.3 กฎหมายความเป็นส่วนตัวอื่น ๆ

- พระราชบัญญัติ SHIELD (Stop Hacks and Improve Electronic Data Security) บัญญัติใช้ในรัฐนิวยอร์กเพื่อปกป้องข้อมูลของประชาชน โดยกำหนดให้ธุรกิจต่างๆ ต้องดำเนินการป้องกัน “ข้อมูลส่วนตัว” ของผู้อยู่อาศัยในนิวยอร์ก

- กฎหมายความเป็นส่วนตัวของผู้บริโภคในรัฐแคลิฟอร์เนีย (CCPA): กฎหมายนี้ช่วยให้ผู้อยู่อาศัยในรัฐแคลิฟอร์เนียควบคุมข้อมูลส่วนบุคคลของตัวเองได้มากขึ้น รวมถึงสิทธิที่จะทราบว่ามีการรวบรวมข้อมูลใดและความสามารถในการร้องขอให้ลบข้อมูลดังกล่าว

- พระราชบัญญัติความสามารถในการโอนย้ายและความรับผิดชอบประกันสุขภาพ (HIPAA): กฎหมายของสหรัฐอเมริกาฉบับนี้มีบทบัญญัติเกี่ยวกับความเป็นส่วนตัวและความปลอดภัยของข้อมูลเพื่อปกป้องข้อมูลทางการแพทย์ กฎหมายนี้บังคับใช้กับผู้ให้บริการด้านการดูแลสุขภาพ แผนประกันสุขภาพ และศูนย์ข้อมูลด้านการดูแลสุขภาพ

ตัวอย่างบริษัทหรือองค์กรที่จำเป็นต้องใช้ PCI DSS, GDPR, SHIELD Act, CCPA และ HIPAA พร้อมทั้งกรณีการใช้งานเฉพาะและประโยชน์ของการปฏิบัติตามข้อกำหนด

1. PCI DSS (มาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน)

ตัวอย่างองค์กร: Global Retail Inc. บริษัทอีคอมเมิร์ซระดับนานาชาติ

กรณีการใช้งาน: Global Retail ประมวลผลธุรกรรมบัตรเครดิตหลายล้านรายการต่อปีผ่านทางร้านค้าออนไลน์และสถานที่จริงทั่วโลก

การประยุกต์ใช้: พวกเขาจะต้องนำมาตรฐาน PCI DSS ไปใช้ในระบบการชำระเงินทั้งหมด รวมถึง:

  • การเข้ารหัสข้อมูลผู้ถือบัตรระหว่างการส่งและจัดเก็บข้อมูล
  • อัปเดตและแพตช์ระบบเป็นประจำ
  • การใช้การควบคุมการเข้าถึงที่เข้มงวด
  • การดำเนินการประเมินความปลอดภัยเป็นประจำ

ประโยชน์:

  • ลดความเสี่ยงของการละเมิดข้อมูลและต้นทุนที่เกี่ยวข้อง
  • เพิ่มความไว้วางใจและความภักดีของลูกค้า
  • การหลีกเลี่ยงค่าปรับและโทษหนักจากแบรนด์บัตร
  • ปรับปรุงมาตรการรักษาความปลอดภัยโดยรวม

2. GDPR (ข้อบังคับทั่วไปเกี่ยวกับการคุ้มครองข้อมูล)

ตัวอย่างองค์กร: EuroTech Solutions บริษัทซอฟต์แวร์ที่มีฐานอยู่ในสหรัฐอเมริกาและมีลูกค้าอยู่ในสหภาพยุโรป

กรณีการใช้งาน: EuroTech รวบรวมและประมวลผลข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรปสำหรับกิจกรรม CRM และการตลาด

การประยุกต์ใช้: พวกเขาจะต้อง:

  • รับความยินยอมชัดเจนสำหรับการรวบรวมข้อมูล
  • ให้ตัวเลือกแก่ผู้ใช้ในการเข้าถึง แก้ไข หรือลบข้อมูลของตน
  • ดำเนินการตามมาตรการคุ้มครองข้อมูล
  • แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล

ประโยชน์:

  • เพิ่มความไว้วางใจกับลูกค้าและพันธมิตรในยุโรป
  • การปรับปรุงแนวทางการจัดการข้อมูล
  • หลีกเลี่ยงค่าปรับ GDPR ที่รุนแรง (สูงถึง 4% ของยอดขายประจำปีทั่วโลก)
  • ข้อได้เปรียบทางการแข่งขันในตลาดที่ใส่ใจความเป็นส่วนตัว

3. พระราชบัญญัติ SHIELD (หยุดการแฮ็กและปรับปรุงพระราชบัญญัติรักษาความปลอดภัยข้อมูลอิเล็กทรอนิกส์)

ตัวอย่างองค์กร: NY Financial Advisors บริษัทที่ปรึกษาทางการเงินขนาดเล็กในนิวยอร์ก

กรณีการใช้งาน: บริษัทจัดการข้อมูลทางการเงินที่ละเอียดอ่อนของผู้อยู่อาศัยในนิวยอร์ก

การสมัคร: พวกเขาจะต้อง:

  • ดำเนินการโปรแกรมรักษาความปลอดภัยข้อมูล
  • ฝึกอบรมพนักงานเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์
  • ดำเนินการประเมินความเสี่ยงเป็นประจำ
  • ให้แน่ใจว่าผู้ให้บริการบุคคลที่สามสามารถปกป้องข้อมูลได้

ประโยชน์:

  • ลดความเสี่ยงของการละเมิดข้อมูล
  • เพิ่มความมั่นใจให้กับลูกค้า
  • การปฏิบัติตามกฎหมายของรัฐนิวยอร์ค
  • ปรับปรุงแนวทางปฏิบัติด้านความปลอดภัยโดยรวม

4. CCPA (กฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนีย)

ตัวอย่างองค์กร: TechGiant Corp บริษัทเทคโนโลยีขนาดใหญ่ที่มีฐานอยู่ในแคลิฟอร์เนีย

กรณีการใช้งาน: TechGiant รวบรวมและประมวลผลข้อมูลส่วนบุคคลของผู้อยู่อาศัยในรัฐแคลิฟอร์เนียผ่านทางบริการออนไลน์ต่างๆ

การประยุกต์ใช้: พวกเขาจะต้อง:

  • ให้ข้อมูลที่ชัดเจนเกี่ยวกับแนวทางปฏิบัติในการรวบรวมข้อมูล
  • เสนอตัวเลือกการยกเลิกการขายข้อมูล
  • ตอบสนองต่อคำขอของผู้บริโภคในการเข้าถึงหรือการลบข้อมูล
  • ดำเนินการตามมาตรการรักษาความปลอดภัยที่เหมาะสม

ประโยชน์:

  • เพิ่มความโปร่งใสและความไว้วางใจกับผู้บริโภคชาวแคลิฟอร์เนีย
  • การจัดการข้อมูลและการจัดระเบียบที่ดีขึ้น
  • การหลีกเลี่ยงโทษ CCPA
  • การเตรียมการสำหรับกฎหมายความเป็นส่วนตัวของรัฐบาลกลางที่อาจเกิดขึ้น

5. HIPAA (พระราชบัญญัติการโอนและรับผิดชอบประกันสุขภาพ)

ตัวอย่างองค์กร: HealthCare Plus ผู้ให้บริการด้านการดูแลสุขภาพในหลายรัฐ

กรณีการใช้งาน: HealthCare Plus จัดการบันทึกสุขภาพอิเล็กทรอนิกส์และสื่อสารกับผู้ป่วยและผู้ให้บริการรายอื่นทางอิเล็กทรอนิกส์

การสมัคร: พวกเขาจะต้อง:

  • ใช้การควบคุมการเข้าถึงและการพิสูจน์ตัวตนที่เข้มงวด
  • เข้ารหัสข้อมูลผู้ป่วยระหว่างการส่งและขณะพัก
  • ดำเนินการประเมินความเสี่ยงด้านความปลอดภัยเป็นประจำ
  • ฝึกอบรมพนักงานเกี่ยวกับแนวทางปฏิบัติด้านความเป็นส่วนตัวและความปลอดภัย
  • จัดทำข้อตกลงระหว่างผู้ร่วมธุรกิจกับผู้ขาย

ประโยชน์:

  • การปกป้องข้อมูลผู้ป่วยที่ละเอียดอ่อน
  • เพิ่มความไว้วางใจและความพึงพอใจของผู้ป่วย
  • การหลีกเลี่ยงโทษ HIPAA ที่รุนแรง
  • ปรับปรุงประสิทธิภาพการทำงานผ่านแนวทางปฏิบัติมาตรฐาน

ในกรณีทั้งหมดนี้ การปฏิบัติตามข้อกำหนดไม่เพียงช่วยให้องค์กรหลีกเลี่ยงโทษเท่านั้น แต่ยังช่วยปรับปรุงการรักษาความปลอดภัยโดยรวม สร้างความไว้วางใจกับลูกค้า และมักจะนำไปสู่การปรับปรุงแนวทางการปฏิบัติงาน แม้ว่าการนำไปปฏิบัติในเบื้องต้นอาจมีความท้าทายและอาจมีค่าใช้จ่ายสูง แต่ประโยชน์ในระยะยาวในแง่ของการลดความเสี่ยงและการปรับปรุงชื่อเสียงมักจะมากกว่าต้นทุน

4. การเปรียบเทียบมาตรฐานและวิธีการ

4.1 การระบุกรอบงานการทดสอบการเจาะระบบ

กรอบการทดสอบการเจาะระบบเป็นแนวทางและวิธีการที่มีโครงสร้างชัดเจนซึ่งช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยดำเนินการประเมินความปลอดภัยอย่างละเอียดและสม่ำเสมอ กรอบการทำงานเหล่านี้ให้แนวทางที่เป็นระบบในการระบุช่องโหว่ การใช้ประโยชน์จากจุดอ่อน และการรายงานผลการค้นพบในลักษณะมาตรฐาน

1. OWASP (โครงการรักษาความปลอดภัยแอปพลิเคชันเว็บเปิด)

OWASP เป็นมูลนิธิไม่แสวงหากำไรที่ทำงานเพื่อปรับปรุงความปลอดภัยของซอฟต์แวร์ โดยมอบทรัพยากร เครื่องมือ และวิธีการต่างๆ สำหรับการรักษาความปลอดภัยแอปพลิเคชันเว็บ

ส่วนประกอบที่สำคัญ:

  • OWASP Top 10: รายการความเสี่ยงด้านความปลอดภัยของแอปพลิเคชันเว็บที่สำคัญที่สุดที่อัปเดตเป็นประจำ
  • คู่มือการทดสอบ OWASP: คู่มือที่ครอบคลุมสำหรับการทดสอบความปลอดภัยของแอปพลิเคชันเว็บ
  • OWASP ZAP (Zed Attack Proxy): เครื่องสแกนความปลอดภัยแอปพลิเคชันเว็บโอเพ่นซอร์ส

ตัวอย่างแอปพลิเคชัน: สตาร์ทอัพด้านเทคโนโลยีการเงินกำลังพัฒนาแพลตฟอร์มการธนาคารออนไลน์ใหม่ พวกเขาใช้ OWASP Top 10 เป็นรายการตรวจสอบเพื่อให้แน่ใจว่าได้จัดการกับความเสี่ยงด้านความปลอดภัยที่สำคัญที่สุด ในระหว่างการพัฒนา พวกเขาสแกนแอปพลิเคชันเป็นประจำโดยใช้ OWASP ZAP เพื่อระบุช่องโหว่ที่อาจเกิดขึ้น ก่อนเปิดตัว พวกเขาจะทำการประเมินอย่างละเอียดตาม OWASP Testing Guide เพื่อให้แน่ใจว่ามีการครอบคลุมด้านความปลอดภัยอย่างครอบคลุม

2. NIST (สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ)

NIST เป็นหน่วยงานของรัฐบาลสหรัฐอเมริกาที่พัฒนามาตรฐานและแนวทางด้านความปลอดภัยทางไซเบอร์ แม้ว่าจะไม่ใช่กรอบการทำงานสำหรับการทดสอบการเจาะระบบโดยเฉพาะ แต่ NIST ก็จัดเตรียมแหล่งข้อมูลอันมีค่าสำหรับการทดสอบความปลอดภัย

ส่วนประกอบที่สำคัญ:

  • NIST SP 800–115: คู่มือทางเทคนิคสำหรับการทดสอบและการประเมินความปลอดภัยของข้อมูล
  • กรอบการทำงานด้านความปลอดภัยทางไซเบอร์ของ NIST: จัดทำชุดแนวทางสำหรับการลดความเสี่ยงด้านความปลอดภัยทางไซเบอร์ขององค์กร

ตัวอย่างการใช้งาน: ผู้รับเหมาของรัฐบาลรายใหญ่กำลังเตรียมการสำหรับการตรวจสอบความปลอดภัย พวกเขาใช้ NIST SP 800–115 เพื่อเป็นแนวทางสำหรับกระบวนการประเมินความปลอดภัยภายใน เพื่อให้แน่ใจว่าครอบคลุมทุกด้านของระบบสารสนเทศ นอกจากนี้ พวกเขายังปรับกลยุทธ์ความปลอดภัยโดยรวมให้สอดคล้องกับกรอบการทำงานด้านความปลอดภัยทางไซเบอร์ของ NIST โดยใช้ฟังก์ชันหลักทั้งห้า (ระบุ ป้องกัน ตรวจจับ ตอบสนอง และกู้คืน) เพื่อจัดโครงสร้างโปรแกรมความปลอดภัยของพวกเขา

3. OSSTMM (คู่มือวิธีทดสอบความปลอดภัยโอเพ่นซอร์ส)

OSSTMM เป็นวิธีการที่ผ่านการตรวจสอบโดยผู้เชี่ยวชาญสำหรับการทดสอบและวัดผลด้านความปลอดภัย โดยเป็นแนวทางทางวิทยาศาสตร์ในการทดสอบความปลอดภัยในการปฏิบัติงานของสถานที่ทางกายภาพ การโต้ตอบระหว่างมนุษย์ และการสื่อสารทุกรูปแบบ

ส่วนประกอบที่สำคัญ:

  • หกหัวข้อที่ครอบคลุมประเภทความปลอดภัยต่างๆ (ทางกายภาพ สเปกตรัม การสื่อสาร เครือข่ายข้อมูล สิ่งแวดล้อม และมนุษย์)
  • RAV (Risk Assessment Values): แนวทางเชิงปริมาณในการวัดความปลอดภัย

ตัวอย่างการใช้งาน: บริษัทข้ามชาติต้องการประเมินความปลอดภัยของการดำเนินงานทั้งหมด รวมถึงสำนักงานจริง โครงสร้างพื้นฐานดิจิทัล และปัจจัยด้านมนุษย์ บริษัทใช้ OSSTMM เป็นกรอบงานที่ครอบคลุมสำหรับการประเมินนี้ ตัวอย่างเช่น:

  • ความปลอดภัยทางกายภาพ: ทดสอบการควบคุมการเข้าถึง ระบบเฝ้าระวัง และการตอบสนองต่อสัญญาณเตือน
  • เครือข่ายข้อมูล: ดำเนินการทดสอบการเจาะเครือข่ายอย่างละเอียด
  • มนุษย์: พวกเขาทำการทดสอบทางวิศวกรรมสังคมเพื่อประเมินความตระหนักด้านความปลอดภัยของพนักงาน หลังจากการประเมินแล้ว พวกเขาใช้ระบบ RAV ของ OSSTMM เพื่อวัดระดับความปลอดภัยในปัจจุบันและติดตามการปรับปรุงในช่วงเวลาต่างๆ

การประยุกต์ใช้กรอบงานเชิงเปรียบเทียบ:

ลองพิจารณาสถานการณ์ที่บริษัทอีคอมเมิร์ซขนาดใหญ่ต้องการทำการประเมินความปลอดภัยที่ครอบคลุม:

1. OWASP: พวกเขาจะใช้สิ่งนี้เป็นหลักสำหรับแอปพลิเคชันเว็บและ API ของพวกเขา ทีมงานด้านความปลอดภัยจะ:

o อ้างอิง OWASP Top 10 เพื่อกำหนดลำดับความสำคัญของความพยายามในการทดสอบ

o ใช้คู่มือการทดสอบ OWASP เพื่อให้แน่ใจว่าครอบคลุมการทดสอบความปลอดภัยของแอปพลิเคชันเว็บอย่างทั่วถึง

o ใช้เครื่องมือเช่น OWASP ZAP เพื่อการสแกนอัตโนมัติ

2. NIST: บริษัทจะใช้แนวทางของ NIST เพื่อให้แน่ใจว่าโปรแกรมความปลอดภัยโดยรวมมีความแข็งแกร่ง พวกเขาจะ:

o ปฏิบัติตาม NIST SP 800–115 เพื่อจัดโครงสร้างกระบวนการทดสอบความปลอดภัย

o จัดแนวทางกลยุทธ์ความปลอดภัยให้สอดคล้องกับกรอบการทำงานความปลอดภัยทางไซเบอร์ของ NIST และให้แน่ใจว่ามีกระบวนการสำหรับฟังก์ชันหลักทั้ง 5 ประการ

3. OSSTMM: ใช้สำหรับการประเมินความปลอดภัยแบบองค์รวมมากขึ้น ทีมงานจะ:

o ประเมินความปลอดภัยทางกายภาพของศูนย์ข้อมูลโดยใช้ส่วนความปลอดภัยทางกายภาพของ OSSTMM

o ทดสอบความปลอดภัยของเครือข่ายโดยใช้ส่วนเครือข่ายข้อมูล

o ดำเนินการประเมินปัจจัยด้านมนุษย์ รวมถึงการทดสอบทางวิศวกรรมสังคม

โดยการรวมกรอบงานเหล่านี้ บริษัทอีคอมเมิร์ซสามารถรับประกันการประเมินความปลอดภัยที่ครอบคลุมซึ่งครอบคลุมถึงแอปพลิเคชันบนเว็บ แนวทางการรักษาความปลอดภัยทางไซเบอร์โดยรวม และด้านเทคนิคและไม่ใช่เทคนิคเฉพาะของการดำเนินงาน

สรุปได้ว่า แม้ว่ากรอบงานแต่ละกรอบจะมีจุดแข็ง แต่โดยทั่วไปแล้ว มักจะมีประสิทธิภาพสูงสุดเมื่อใช้ร่วมกัน ช่วยให้องค์กรได้ประโยชน์จากแนวทางที่เสริมกันในการประเมินและปรับปรุงความปลอดภัย

4.2 การจัดทำโครงสร้างและแนวทาง

โครงสร้างและแนวทางในการทดสอบการเจาะระบบหมายถึงกรอบงานและวิธีการมาตรฐานที่ให้แนวทางที่เป็นระบบในการดำเนินการประเมินความปลอดภัย กรอบงานเหล่านี้มีประโยชน์หลายประการ:

1. ความสม่ำเสมอ: ทำให้แน่ใจว่าการประเมินแต่ละครั้งครอบคลุมทุกประเด็นด้านความปลอดภัย

2. ประสิทธิภาพ: มอบแผนงานให้ผู้ทดสอบปฏิบัติตาม ช่วยประหยัดเวลาและทรัพยากร

3. ความสามารถในการเปรียบเทียบ: ช่วยให้สามารถเปรียบเทียบอย่างมีความหมายระหว่างการประเมินที่แตกต่างกันหรือในช่วงเวลาต่างๆ

4. ความเป็นมืออาชีพ: แสดงให้เห็นถึงแนวทางที่เป็นระบบต่อลูกค้าและผู้ถือผลประโยชน์

มาสำรวจกรอบงานที่โดดเด่นสามกรอบที่ให้โครงสร้างและแนวทางในการทดสอบการเจาะข้อมูล:

1. ISSAF (กรอบการประเมินความปลอดภัยระบบสารสนเทศ)

ISSAF เป็นกรอบงานโอเพ่นซอร์สที่พัฒนาโดย Open Information Systems Security Group (OISSG)

คุณสมบัติหลัก:

  • ครอบคลุมโดเมนความปลอดภัยต่างๆ อย่างครอบคลุม
  • วิธีการโดยละเอียดสำหรับการทดสอบการเจาะในแต่ละขั้นตอน
  • คำแนะนำเครื่องมือและเทคนิคสำหรับแต่ละขั้นตอน

โครงสร้าง: ISSAF แบ่งออกเป็น 3 ระยะหลัก:

1. การวางแผนและการเตรียมการ

2. การประเมิน

3. การรายงาน การทำความสะอาด และการทำลายโบราณวัตถุ

การประยุกต์ใช้ในทางปฏิบัติ: สถาบันการเงินขนาดใหญ่แห่งหนึ่งตัดสินใจทำการประเมินความปลอดภัยอย่างครอบคลุมสำหรับโครงสร้างพื้นฐานด้านไอทีทั้งหมด โดยเลือก ISSAF เนื่องจากมีแนวทางที่ละเอียดถี่ถ้วน

  • ในช่วงการวางแผนและการเตรียมการ พวกเขาจะกำหนดขอบเขต รวบรวมข้อมูลเกี่ยวกับระบบ และเตรียมเครื่องมือทดสอบ
  • ในระหว่างขั้นตอนการประเมิน พวกเขาจะปฏิบัติตามหลักเกณฑ์โดยละเอียดของ ISSAF สำหรับการจัดทำแผนที่เครือข่าย การระบุช่องโหว่ และการใช้ประโยชน์
  • ในขั้นตอนสุดท้าย พวกเขาจะรวบรวมรายงานโดยละเอียดเกี่ยวกับการค้นพบ ทำความสะอาดการเปลี่ยนแปลงใดๆ ที่เกิดขึ้นระหว่างการทดสอบ และตรวจสอบให้แน่ใจว่าข้อมูลละเอียดอ่อนทั้งหมดที่รวบรวมมาจะถูกทำลายอย่างปลอดภัย

2. PTES (มาตรฐานการดำเนินการทดสอบการเจาะระบบ)

PTES จัดให้มีภาษาและขอบเขตร่วมกันสำหรับการดำเนินการทดสอบการเจาะข้อมูล

คุณสมบัติหลัก:

  • เจ็ดส่วนหลักที่ครอบคลุมกระบวนการทดสอบการเจาะทั้งหมด
  • แนวทางปฏิบัติทางด้านเทคนิคสำหรับการดำเนินการทดสอบ
  • เน้นการสื่อสารผลการค้นพบที่ชัดเจน

โครงสร้าง:

1. การโต้ตอบก่อนการมีส่วนร่วม

2. การรวบรวมข่าวกรอง

3. การสร้างแบบจำลองภัยคุกคาม

4. การวิเคราะห์ความเสี่ยง

5. การแสวงประโยชน์

6. หลังการแสวงประโยชน์

7. การรายงาน

การประยุกต์ใช้ในทางปฏิบัติ: บริษัทอีคอมเมิร์ซขนาดกลางต้องการทดสอบความปลอดภัยของระบบการประมวลผลการชำระเงินใหม่ จึงนำ PTES มาใช้สำหรับการประเมินที่เน้นเฉพาะด้านนี้

  • ในการโต้ตอบก่อนการมีส่วนร่วม พวกเขาจะกำหนดขอบเขตอย่างชัดเจน โดยมุ่งเน้นที่ระบบการชำระเงินโดยเฉพาะ
  • ระหว่างการรวบรวมข่าวกรองและการสร้างแบบจำลองภัยคุกคาม พวกเขาจะระบุผู้โจมตีที่อาจเกิดขึ้นและวิธีการที่เป็นไปได้
  • ในการวิเคราะห์ความเสี่ยงและการใช้ประโยชน์ พวกเขาค้นพบและพยายามที่จะใช้ประโยชน์จากจุดอ่อนในระบบการชำระเงิน
  • การใช้ประโยชน์ภายหลังเกี่ยวข้องกับการดูว่าสามารถเปลี่ยนแปลงได้ไกลแค่ไหนจากการเข้าถึงเริ่มต้นที่ได้รับ
  • ในที่สุด พวกเขาจึงผลิตรายงานโดยละเอียดตามแนวทาง PTES โดยสื่อสารความเสี่ยงอย่างชัดเจนต่อผู้มีส่วนได้ส่วนเสียทั้งด้านเทคนิคและไม่ใช่ด้านเทคนิค

3. MITRE ATT&CK (กลยุทธ์การโต้แย้ง เทคนิค และความรู้ทั่วไป)

แม้ว่าจะไม่ใช่กรอบการทำงานสำหรับการทดสอบการเจาะระบบโดยเฉพาะ แต่ MITRE ATT&CK ก็มีฐานความรู้ที่ครอบคลุมเกี่ยวกับกลยุทธ์และเทคนิคของฝ่ายตรงข้ามโดยอิงจากการสังเกตการณ์ในโลกแห่งความเป็นจริง

คุณสมบัติหลัก:

  • เมทริกซ์โดยละเอียดของกลยุทธ์และเทคนิคการโจมตี
  • อัปเดตเป็นประจำตามภูมิทัศน์ภัยคุกคามที่เปลี่ยนแปลง
  • ใช้ได้กับทั้งการปฏิบัติการรุก (ทีมแดง) และการปฏิบัติการรับ (ทีมน้ำเงิน)

โครงสร้าง: ATT&CK แบ่งออกเป็นกลยุทธ์ (เหตุผล) และเทคนิค (วิธีการ) โดยครอบคลุมวงจรชีวิตของการโจมตีทั้งหมด ซึ่งรวมถึง:

  • การเข้าถึงเบื้องต้น
  • การดำเนินการ
  • ความคงอยู่
  • การเพิ่มสิทธิพิเศษ
  • การหลบเลี่ยงการป้องกัน
  • การเข้าถึงข้อมูลประจำตัว
  • การค้นพบ
  • การเคลื่อนไหวด้านข้าง
  • ของสะสม
  • การกรองออก
  • การสั่งการและการควบคุม

การประยุกต์ใช้ในทางปฏิบัติ: หน่วยงานของรัฐต้องการปรับปรุงมาตรการรักษาความปลอดภัยเพื่อรับมือกับภัยคุกคามขั้นสูงที่ต่อเนื่อง (APT) โดยนำ MITRE ATT&CK มาใช้ในการทดสอบความปลอดภัยและกลยุทธ์การป้องกัน

  • ทีม Red Team: ทีมทดสอบการเจาะระบบใช้ ATT&CK เพื่อจำลองการโจมตี เพื่อให้แน่ใจว่าพวกเขาใช้เทคนิคที่ใช้โดยศัตรูในโลกแห่งความเป็นจริง ตัวอย่างเช่น พวกเขาอาจใช้เทคนิคที่ระบุไว้ภายใต้ "การเข้าถึงเริ่มต้น" เช่น การสเปียร์ฟิชชิ่งหรือการแสวงประโยชน์จากแอปพลิเคชันที่เผยแพร่สู่สาธารณะ
  • ทีมสีน้ำเงิน: ทีมป้องกันใช้ ATT&CK เพื่อชี้นำกลยุทธ์การตรวจจับและการตอบสนอง พวกเขาต้องแน่ใจว่ามีการควบคุมและการตรวจสอบสำหรับกลยุทธ์และเทคนิคแต่ละอย่างที่เกี่ยวข้องกับสภาพแวดล้อมของพวกเขา
  • การรายงาน: ผลการค้นพบของทีมแดงจะถูกแมปกับเมทริกซ์ ATT&CK โดยแสดงเทคนิคของศัตรูที่ประสบความสำเร็จ และเทคนิคที่ตรวจพบหรือป้องกันได้
  • การปรับปรุง: จากผลลัพธ์ หน่วยงานจะให้ความสำคัญกับการปรับปรุงความปลอดภัยโดยมุ่งเน้นที่พื้นที่ที่เทคนิค ATT&CK หลายวิธีประสบความสำเร็จ

โดยสรุป กรอบงานเหล่านี้ให้โครงสร้างและแนวทางที่จำเป็นสำหรับการทดสอบการเจาะระบบ ช่วยให้การประเมินความปลอดภัยมีความครอบคลุม สอดคล้อง และมีประสิทธิผลมากขึ้น แม้ว่ากรอบงานแต่ละกรอบจะมีจุดแข็งที่แตกต่างกัน แต่หลายองค์กรก็ใช้กรอบงานหลายชุดร่วมกันเพื่อให้แน่ใจว่าครอบคลุมความต้องการในการทดสอบความปลอดภัยอย่างครอบคลุม

4.3 MITRE ATT&CK

MITRE ATT&CK (กลยุทธ์การต่อต้าน เทคนิค และความรู้ทั่วไป)

MITRE ATT&CK เป็นฐานความรู้เกี่ยวกับกลวิธีและเทคนิคของฝ่ายตรงข้ามที่เข้าถึงได้ทั่วโลกโดยอิงจากการสังเกตในโลกแห่งความเป็นจริง ได้รับการออกแบบให้เป็นเมทริกซ์ที่ครอบคลุมของพฤติกรรมของผู้โจมตี โดยให้ภาษาที่เป็นมาตรฐานสำหรับชุมชนด้านความปลอดภัยทางไซเบอร์

ส่วนประกอบหลัก:

1. กลยุทธ์: “เหตุผล” ที่ผู้โจมตีกระทำการ นี่คือเป้าหมายเชิงกลยุทธ์ของฝ่ายตรงข้ามระหว่างการโจมตี

2. เทคนิค: “วิธีการ” ในการโจมตี เป็นวิธีการเฉพาะที่ฝ่ายตรงข้ามใช้เพื่อบรรลุเป้าหมายทางยุทธวิธี

3. เทคนิคย่อย: คำอธิบายพฤติกรรมของฝ่ายตรงข้ามที่เฉพาะเจาะจงกว่าเทคนิค

4. ขั้นตอน: การนำเทคนิคหรือเทคนิคย่อยเฉพาะที่ใช้โดยฝ่ายตรงข้ามมาใช้

เมทริกซ์ ATT&CK: เมทริกซ์ ATT&CK จัดระเบียบเทคนิคต่างๆ ให้เป็นหมวดหมู่เชิงกลยุทธ์:

1. การเข้าถึงเบื้องต้น

2. การดำเนินการ

3. ความพากเพียร

4. การเพิ่มสิทธิพิเศษ

5. การหลบเลี่ยงการป้องกัน

6. การเข้าถึงข้อมูลประจำตัว

7. การค้นพบ

8. การเคลื่อนไหวด้านข้าง

9. การรวบรวม

10.การสั่งการและการควบคุม

11.การกรองออก

12.ผลกระทบ

ตัวอย่างการใช้งาน:

มาพิจารณาสถานการณ์การทดสอบการเจาะระบบสำหรับสถาบันการเงิน:

1. การเข้าถึงเบื้องต้น: ผู้ทดสอบการเจาะระบบอาจใช้การโจมตีแบบฟิชชิ่ง (เทคนิค T1566) เพื่อรับการเข้าถึงเบื้องต้น

2. การดำเนินการ: เมื่อเข้าถึงได้แล้ว พวกเขาสามารถใช้ PowerShell (เทคนิค T1059.001) เพื่อดำเนินการโค้ดที่เป็นอันตราย

3. การเพิ่มสิทธิ์: พวกเขาอาจใช้ช่องโหว่ในการเพิ่มสิทธิ์ (เทคนิค T1068)

4. การค้นพบ: ผู้ทดสอบสามารถใช้เทคนิคการค้นพบบัญชี (เทคนิค T1087) เพื่อค้นหาเป้าหมายที่มีมูลค่าสูง

5. การเคลื่อนที่ในแนวขวาง: อาจใช้บริการระยะไกล (เทคนิค T1021) เพื่อเคลื่อนที่ภายในเครือข่าย

6. การรวบรวม: ทีมงานสามารถใช้ข้อมูลจากระบบภายใน (เทคนิค T1005) เพื่อรวบรวมข้อมูลที่ละเอียดอ่อน

7. การขโมยข้อมูล: ในที่สุดพวกเขาอาจขโมยข้อมูลโดยใช้โปรโตคอลทางเลือก (เทคนิค T1048) เพื่อจำลองการขโมยข้อมูล

สถานการณ์ในโลกแห่งความเป็นจริง:

ในปี 2019 FireEye รายงานเกี่ยวกับแคมเปญโจมตีที่กำหนดเป้าหมายไปที่กลุ่มสาธารณูปโภค ซึ่งพวกเขาตั้งชื่อว่า "TEMP.Veles" พวกเขาใช้กรอบงาน MITRE ATT&CK เพื่ออธิบายการกระทำของฝ่ายตรงข้าม:

1. การเข้าถึงเบื้องต้น: ผู้โจมตีใช้อีเมลฟิชชิงพร้อมไฟล์แนบที่เป็นอันตราย (เทคนิค T1566.001)

2. การดำเนินการ: พวกเขาใช้ประโยชน์จากสคริปต์ PowerShell (เทคนิค T1059.001) เพื่อรันมัลแวร์

3. ความคงอยู่: ศัตรูสร้างงานตามกำหนดเวลา (เทคนิค T1053.005) เพื่อรักษาการเข้าถึง

4. การเพิ่มสิทธิ์: พวกเขาใช้ประโยชน์จากช่องโหว่ในระบบที่ไม่ได้รับการแก้ไข (เทคนิค T1068)

5. การหลีกเลี่ยงการป้องกัน: ผู้โจมตีใช้ไฟล์ที่ปกปิด (เทคนิค T1027) เพื่อหลีกเลี่ยงการตรวจพบ

6. การสั่งการและการควบคุม: พวกเขาใช้โปรโตคอล C2 ที่กำหนดเอง (เทคนิค T1094) สำหรับการสื่อสาร

โดยการแมปการโจมตีไปที่ ATT&CK FireEye สามารถจัดทำคำอธิบายที่ชัดเจนและเป็นมาตรฐานเกี่ยวกับพฤติกรรมของผู้ก่อให้เกิดภัยคุกคาม ซึ่งช่วยให้องค์กรอื่นเข้าใจและป้องกันการโจมตีที่คล้ายคลึงกันได้

MITRE ATT&CK และ CALDERA:

CALDERA (Cyber ​​Adversary Language and Operations Description for Red Team Automation) เป็นระบบจำลองการโจมตีทางไซเบอร์อัตโนมัติแบบโอเพนซอร์สที่พัฒนาโดย MITRE โดยใช้กรอบงาน ATT&CK เพื่อดำเนินการจำลองการโจมตีทางไซเบอร์

การบูรณาการของ ATT&CK และ CALDERA ช่วยให้:

1. การทดสอบอัตโนมัติ: CALDERA สามารถดำเนินการโจมตีโดยอัตโนมัติโดยใช้เทคนิค ATT&CK

2. โปรไฟล์ผู้ต่อต้านที่ปรับแต่งได้: ทีมงานด้านความปลอดภัยสามารถสร้างโปรไฟล์ที่เลียนแบบผู้ก่อให้เกิดภัยคุกคามเฉพาะ หรือทดสอบห่วงโซ่การโจมตีเฉพาะ

3. การแมปแบบเรียลไทม์: ในขณะที่ CALDERA ดำเนินการเทคนิคต่างๆ ก็จะแมปเทคนิคเหล่านี้ไปยังเมทริกซ์ ATT&CK แบบเรียลไทม์

4. การวัดเชิงป้องกัน: องค์กรต่างๆ สามารถใช้ CALDERA เพื่อทดสอบความสามารถในการตรวจจับและการตอบสนองต่อเทคนิค ATT&CK

ตัวอย่างการใช้งานแบบผสมผสาน:

บริษัทขนาดใหญ่ต้องการทดสอบการป้องกันกับกลุ่ม APT เฉพาะกลุ่ม โดยจะ:

1. ใช้ ATT&CK เพื่อระบุเทคนิคที่กลุ่ม APT นี้ใช้ทั่วไป

2. สร้างโปรไฟล์ศัตรูแบบกำหนดเองใน CALDERA ตามเทคนิคเหล่านี้

3. เรียกใช้การทดสอบอัตโนมัติโดยใช้ CALDERA ซึ่งดำเนินการเทคนิคในลักษณะที่ควบคุมได้

4. สังเกตว่าระบบป้องกันของพวกเขาตอบสนองต่อเทคนิคแต่ละอย่างอย่างไร

5. ใช้ผลลัพธ์เพื่อปรับปรุงการป้องกันโดยเน้นที่พื้นที่ที่การตรวจจับหรือการป้องกันล้มเหลว

การผสมผสานระหว่างฐานความรู้ที่ครอบคลุมของ ATT&CK และความสามารถในการทำงานอัตโนมัติของ CALDERA ถือเป็นเครื่องมือที่มีประสิทธิภาพสำหรับการทดสอบความปลอดภัยเชิงรุกและการปรับปรุงเชิงรับ ช่วยให้องค์กรสามารถทดสอบและปรับปรุงแนวทางด้านความปลอดภัยอย่างต่อเนื่องเมื่อเผชิญกับสถานการณ์การโจมตีในโลกแห่งความเป็นจริงในลักษณะที่ควบคุมได้และวัดผลได้

4.4 การสอบสวน CVE และ CWE

- CVE (Common Vulnerabilities and Exposures): รายชื่อช่องโหว่ด้านความปลอดภัยทางไซเบอร์ที่เปิดเผยต่อสาธารณะ แต่ละรายการประกอบด้วยหมายเลขประจำตัว คำอธิบาย และข้อมูลอ้างอิงสาธารณะอย่างน้อยหนึ่งรายการ

- CWE (Common Weakness Enumeration): รายการประเภทจุดอ่อนของซอฟต์แวร์และฮาร์ดแวร์ที่พัฒนาโดยชุมชน ทำหน้าที่เป็นภาษากลางในการอธิบายจุดอ่อนด้านความปลอดภัยในสถาปัตยกรรม การออกแบบ หรือโค้ด

5. การอธิบายวิธีการรักษาความเป็นมืออาชีพ

5.1 การตรวจสอบทีม

สมาชิกแต่ละคนของทีม PenTesting จะต้องพิสูจน์ว่าพวกเขาสามารถทำงานในสภาพแวดล้อมที่ปลอดภัยได้:

- ระบุข้อมูลประจำตัว: เช่น การรับรองที่เกี่ยวข้อง (เช่น CompTIA PenTest+, CEH) ที่แสดงให้เห็นทักษะที่เหมาะสมสำหรับการดำเนินการ PenTests

- ตรวจสอบประวัติย้อนหลังล่าสุด: อาจรวมถึงคะแนนเครดิตและประวัติการขับขี่ สิ่งสำคัญคือต้องแน่ใจว่าไม่มีสมาชิกในทีมคนใดมีประวัติอาชญากรรมหรือถูกตัดสินว่ามีความผิดทางอาญา

- เน้นย้ำถึงความสำคัญของการระบุและรายงานกิจกรรมทางอาชญากรรม แม้ว่ากิจกรรมดังกล่าวจะถูกค้นพบโดยบังเอิญระหว่างการทดสอบก็ตาม

5.2 การรักษาความลับ

- ทุกคนในทีม PenTest จะต้องตกลงที่จะปฏิบัติตามนโยบายการจัดการข้อมูลที่เป็นกรรมสิทธิ์และข้อมูลละเอียดอ่อน

ทีมงานควรระบุอย่างชัดเจนต่อลูกค้าว่าผู้ทดสอบจะปกป้องข้อมูลใดๆ ที่พวกเขาค้นพบระหว่างการทดสอบ

5.3 การหลีกเลี่ยงการดำเนินคดี

- ก่อนที่จะเริ่มการทดสอบใดๆ ทีมงานควรสรุปเงื่อนไขสัญญาโดยละเอียด

- ทบทวนข้อควรพิจารณาทางกฎหมายที่เป็นไปได้ทั้งหมดที่อาจใช้ได้

- คิดอย่างรอบคอบถึงสถานการณ์ต่างๆ ที่อาจเกิดขึ้นระหว่างการทดสอบ

- ขั้นตอนการดำเนินการทดสอบ รวมถึงข้อขัดแย้งที่อาจเกิดขึ้น

บทสรุป

PenTesting เป็นเครื่องมือสำคัญในการประเมินและปรับปรุงแนวทางด้านความปลอดภัยทางไซเบอร์ขององค์กร ผู้เชี่ยวชาญของ PenTest สามารถมอบคุณค่าสูงสุดให้แก่ลูกค้าได้ โดยยังคงรักษาความเป็นมืออาชีพและจริยธรรมในระดับสูงสุด โดยปฏิบัติตามกระบวนการ มาตรฐาน และข้อกำหนดทางกฎหมายที่กำหนดไว้

คู่มือฉบับสมบูรณ์นี้ครอบคลุมประเด็นสำคัญของการทดสอบการเจาะระบบตั้งแต่การทำความเข้าใจพื้นฐานไปจนถึงการรักษามาตรฐานระดับมืออาชีพ คู่มือนี้ให้พื้นฐานที่มั่นคงสำหรับผู้ที่ต้องการทำความเข้าใจหรือดำเนินการทดสอบการเจาะระบบในบริบทขององค์กร

-

สถานการณ์ตัวอย่าง: PenTest บริษัทอีคอมเมิร์ซ

ข้อมูลบริษัท:

GlobalShop เป็นบริษัทอีคอมเมิร์ซขนาดกลางที่จำหน่ายอุปกรณ์อิเล็กทรอนิกส์ทั่วโลก โดยประมวลผลธุรกรรมบัตรเครดิตมากกว่า 500,000 รายการต่อปี และจัดเก็บข้อมูลลูกค้า รวมถึงชื่อ ที่อยู่ และประวัติการซื้อ

สถานการณ์:

ซีอีโอของ GlobalShop เริ่มกังวลเกี่ยวกับความปลอดภัยทางไซเบอร์มากขึ้น หลังจากได้ยินข่าวการละเมิดข้อมูลครั้งใหญ่เมื่อไม่นานนี้ บริษัทจึงตัดสินใจว่าจ้างบริษัททดสอบการเจาะระบบมืออาชีพอย่าง SecureInsight เพื่อประเมินมาตรการรักษาความปลอดภัยของบริษัท

กระบวนการทดสอบปากกา:

1. การวางแผนและการกำหนดขอบเขต:

SecureInsight ประชุมกับทีมไอทีของ GlobalShop เพื่อกำหนดขอบเขตของการทดสอบ โดยตกลงที่จะมุ่งเน้นไปที่แพลตฟอร์มอีคอมเมิร์ซ ระบบประมวลผลการชำระเงิน และฐานข้อมูลลูกค้า โดยกำหนดกรอบเวลาการทดสอบเป็นเวลา 2 สัปดาห์ และกำหนดกฎเกณฑ์ในการดำเนินการ รวมถึงรายการ "ห้ามทดสอบ" สำหรับระบบการผลิตที่สำคัญ

2. การลาดตระเวน:

ทีมงาน SecureInsight เริ่มต้นด้วยการรวบรวมข้อมูลที่เปิดเผยต่อสาธารณะเกี่ยวกับ GlobalShop พวกเขาค้นหาช่วง IP ของบริษัท ตรวจสอบโค้ดต้นฉบับของเว็บไซต์ และค้นหาที่อยู่อีเมลของพนักงานหลายรายผ่านโซเชียลมีเดีย

3. การสแกน:

ทีมงานใช้เครื่องมือเช่น Nmap ในการสแกนเครือข่ายของ GlobalShop เพื่อระบุพอร์ตและบริการที่เปิดอยู่ พวกเขาค้นพบ Apache เวอร์ชันเก่าที่ทำงานบนเว็บเซิร์ฟเวอร์และเวิร์กสเตชันที่ไม่ได้รับการแก้ไขหลายรายการ

4. การเข้าถึง:

ทีมงานได้รับสิทธิ์ในการเข้าถึงเว็บเซิร์ฟเวอร์ในเบื้องต้นโดยใช้ช่องโหว่ที่ทราบแล้วในเวอร์ชัน Apache ที่ล้าสมัย จากนั้นจึงใช้การโจมตีแบบ Password Spraying โดยใช้รหัสผ่านที่ใช้กันทั่วไป และเข้าถึงบัญชีผู้ดูแลระบบได้สำเร็จ

5. การรักษาการเข้าถึง:

ทีมงานสร้างแบ็คดอร์บนเซิร์ฟเวอร์ที่ถูกบุกรุก และใช้แบ็คดอร์ดังกล่าวในการเคลื่อนที่ในแนวนอนภายในเครือข่าย จนกระทั่งสามารถเข้าถึงฐานข้อมูลของลูกค้าได้ในที่สุด

6. การปกปิดร่องรอย:

ทีมงานจะบันทึกการกระทำของตนเองอย่างระมัดระวัง และลบสิ่งแปลกปลอมใดๆ ที่พวกเขาสร้างขึ้นในระหว่างการทดสอบ เช่น ไฟล์ชั่วคราวหรือบัญชีผู้ใช้ใหม่

7. การวิเคราะห์:

SecureInsight วิเคราะห์ผลการค้นพบและระบุช่องโหว่สำคัญหลายประการ:

- ซอฟต์แวร์เซิร์ฟเวอร์ล้าสมัย

- นโยบายรหัสผ่านที่อ่อนแอ

- การแบ่งส่วนเครือข่ายไม่เพียงพอ

- ข้อมูลลูกค้าที่ไม่ได้เข้ารหัส

8. การรายงาน:

ทีมงานจัดทำรายงานอย่างครอบคลุม ซึ่งรวมถึง:

- บทสรุปผู้บริหารสำหรับผู้นำของ GlobalShop

- ข้อมูลทางเทคนิคโดยละเอียด

- ระดับความเสี่ยงสำหรับช่องโหว่แต่ละแห่ง

- ข้อแนะนำในการแก้ไข

ผลกระทบของการปฏิบัติตาม:

- PCI DSS: การทดสอบเผยให้เห็นว่า GlobalShop ไม่ปฏิบัติตามข้อกำหนดของ PCI DSS อย่างสมบูรณ์ โดยเฉพาะอย่างยิ่งในส่วนของระบบความปลอดภัยและการเข้ารหัส

- GDPR: การค้นพบข้อมูลลูกค้า EU ที่ไม่ได้เข้ารหัสบ่งชี้ถึงการละเมิด GDPR ที่อาจเกิดขึ้น

การประพฤติปฏิบัติทางวิชาชีพ:

ตลอดระยะเวลาการทำงาน SecureInsight จะรักษาความลับเกี่ยวกับผลการค้นพบอย่างเคร่งครัด นอกจากนี้ SecureInsight ยังรับประกันว่าจะดำเนินการภายในขอบเขตที่ตกลงกันไว้ โดยหยุดการทดสอบเมื่อเข้าถึงฐานข้อมูลลูกค้า แทนที่จะพยายามขโมยข้อมูล

ผลลัพธ์:

จากรายงานของ SecureInsight GlobalShop ได้ดำเนินการปรับปรุงความปลอดภัยหลายประการ:

- อัปเดตซอฟต์แวร์เซิร์ฟเวอร์ทั้งหมด

- การนำนโยบายรหัสผ่านที่แข็งแกร่งขึ้นและการตรวจสอบปัจจัยหลายประการมาใช้

- การปรับปรุงการแบ่งส่วนเครือข่าย

- การเข้ารหัสข้อมูลลูกค้าทั้งหมด

หกเดือนต่อมา GlobalShop ได้ติดต่อ SecureInsight เพื่อทดสอบติดตามผล ซึ่งแสดงให้เห็นถึงการปรับปรุงอย่างมีนัยสำคัญในมาตรการรักษาความปลอดภัย

สถานการณ์จำลองนี้แสดงให้เห็นถึงวิธีการทำงานของการทดสอบเจาะระบบในทางปฏิบัติ โดยครอบคลุมถึงกระบวนการทดสอบ ข้อควรพิจารณาด้านการปฏิบัติตามข้อกำหนด และการปฏิบัติตนในวิชาชีพ นอกจากนี้ยังแสดงให้เห็นว่า PenTesting สามารถระบุช่องโหว่จริงและนำไปสู่การปรับปรุงที่เป็นรูปธรรมในด้านความปลอดภัยทางไซเบอร์ขององค์กรได้อย่างไร

กลับไปยังบล็อก

แสดงความคิดเห็น

โปรดทราบว่าความคิดเห็นจะต้องได้รับการอนุมัติก่อนที่จะได้รับการเผยแพร่