Penetration Testing for Compliance

โดย admin

1 นาที
แชร์
Share this post on Facebook Share this post on Linked In
Blog Thumbnail

Penetration Testing for Compliance

หลายคนอาจมีคำถามมากมายเกี่ยวกับการปฏิบัติตามข้อกำหนด (Compliance) ในการทดสอบการเจาะระบบ (Penetration Testing) ว่าใครบ้างที่ต้องการ เหตุใดจึงต้องมี จะเกิดอะไรขึ้นหากไม่ปฏิบัติตาม และธุรกิจใดบ้างที่เกี่ยวข้อง บทความนี้พยายามตอบคำถามเหล่านี้หลายข้อให้กับทุกท่านกันค่ะ

ผู้โจมตีส่วนใหญ่เกิดขึ้นจากการใช้ประโยชน์จากจุดอ่อนที่ทราบ โดยที่ระบบนั้นไม่มีมาตรการรักษาความปลอดภัยที่เพียงพอ แท้จริงแล้ว 90% ของการโจมตีทั่วโลกนั้นมาจากสาเหตุที่คล้ายกัน ดังนั้น ทุกองค์กรที่มีส่วนเกี่ยวข้องกับการจัดเก็บข้อมูลที่มีความละเอียดอ่อนจึงต้องมีข้อบังคับด้านความปลอดภัยบางอย่าง และหลายองค์กรนั้นจำเป็นต้องมีการปฏิบัติตามข้อกำหนดการทดสอบการเจาะระบบตามข้องบังคับ

อะไรคือการทดสอบเจาะระบบ (Penetration Testing) ?

การทดสอบการเจาะระบบ (Penetration Testing) หมายถึงกระบวนการจำลองสถานการณ์ที่โจมตีเป้าหมาย มีวัตถุประสงค์เพื่อเปิดเผยและใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยที่มีอยู่ในเว็บไซต์ แอปพลิเคชันมือถือ หรือเครือข่าย ที่มีการป้องกันรักษาความปลอดภัยที่ไม่เหมาะสมและไม่เพียงพอ ซึ่งในปัจจุบันหลาย ๆ องค์กรให้ความสำคัญ และให้ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยทางไซเบอร์พยายามเจาะระบบ เพื่อตรวจหาและแก้ไขช่องโหว่

การทดสอบการเจาะระบบสำหรับการปฏิบัติตามข้อกำหนดคืออะไร?

เมื่อองค์กรของท่านได้มีการทดสอบเจาะระบบ ก่อนที่จะทราบว่ามีช่องโหว่มากน้องเพียงใด และวิธีแก้ไขช่องโหว่อย่างไร ก็ต้องมีรายงานจากผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยทางไซเบอร์หลังจากการทดสอบเจาะระบบเสร็จสิ้น ซึ่งรายงานนี้เป็นเอกสารอธิบายช่องโหว่ที่พบ ความเสี่ยงของช่องโหว่และขั้นตอนการแก้ไข เมื่อแก้ไขช่องโหวแล้ว การทดสอบซ้ำจะเกิดขึ้นเพื่อตรวจสอบว่าช่องโหว่ทั้งหมดได้รับการแก้ไข เพื่อให้เป็นไปตามข้อกำหนดด้านความปลอดภัยตามมาตรฐานสากล หรือข้อกฎหมายของประเทศนั้น ๆ

ขอบเขตที่กำหนดของการทดสอบการเจาะระบบ ความถี่ ทั้งหมดแตกต่างกันไปตามระเบียบความปลอดภัย มาดูกันว่าความสำคัญของการเจาะระบบที่เกี่ยวข้องกับข้อกำหนดเป็นอย่างไรบ้าง ตามมาอ่านกันเลยค่ะ

การปฏิบัติตามข้อกำหนดถือเป็นสิ่งสำคัญที่สุดประการหนึ่งที่องค์กรจำเป็นต้องแก้ไข ซึ่งหมายความว่าบริษัทและพนักงานปฏิบัติตามแนวทางที่เคร่งครัดซึ่งอาจเป็นสิ่งภายนอก เนื่องจากข้อบังคับ กฎหมาย และมาตรฐานองค์กรต่าง ๆ รวมทั้งสามารถเป็นแบบภายในในรูปแบบของนโยบายและข้อกำหนดทางจริยธรรมที่กำหนดโดยธุรกิจหรือองค์กรเอง ในการรักษาความมั่นคงปลอดภัยด้านไอที ด้วยเหตุผลหลายประการ ต้องปฏิบัติตามชุดของบรรทัดฐานและขั้นตอนที่ออกแบบมาเพื่อลดช่องโหว่ด้านความปลอดภัยและปกป้องทรัพย์สินดิจิทัลจากภัยคุกคามทางไซเบอร์ หรืออาจจำเป็นต้องปฏิบัติตามมาตรฐานการป้องกันข้อมูลที่กำหนดไว้ โดยหน่วยงานกำกับดูแลภายนอก ที่กล่าวว่าการปฏิบัติตามข้อกำหนดต้องใช้ความพยายามของทุกคนในบริษัท ตั้งแต่ระดับบริหารไปจนถึงพนักงานทุกคน ผู้บริหารไม่เพียงต้องตัดสินใจ สนับสนุน และบังคับใช้กฎระเบียบเท่านั้น แต่ยังต้องมีส่วนร่วมในการตัดสินใจด้านความปลอดภัยและเข้าใจความเสี่ยงและข้อกังวล เพื่อให้สามารถจัดสรรงบประมาณที่เหมาะสมสำหรับการจัดหาเครื่องมือที่มีประสิทธิภาพในปัจจุบันเพื่อสนับสนุนความพยายามในการป้องกัน

ใครบ้างที่ต้องการทดสอบการเจาะระบบสำหรับการปฏิบัติตามข้อกำหนด

มีบางองค์กร โดยเฉพาะองค์กรที่เกี่ยวข้องกับข้อมูลลูกค้าที่มีความละเอียดอ่อน ซึ่งจำเป็นต้องมีการประเมินช่องโหว่และการทดสอบการเจาะตามกฎ เราจะพูดถึงกฎระเบียบด้านความปลอดภัยสองสามข้อซึ่งการปฏิบัติตามข้อกำหนดการทดสอบการเจาะระบบเป็นส่วนหนึ่ง นั่นคือ

“ISO 27001”

รูปแบบการปฏิบัติตาม ISO 27001 ได้รับการออกแบบมาเพื่อสร้างมาตรฐานมาตรการที่เพียงพอและมีการควบคุมเพื่อรับรองความปลอดภัยของข้อมูล ครอบคลุมแง่มุมทางกฎหมาย ทางเทคนิค และทางกายภาพของกระบวนการจัดการความปลอดภัยของข้อมูลขององค์กร มันถูกวางไว้เพื่อตรวจสอบบำรุงรักษา และปรับปรุงระบบการจัดการความปลอดภัยของข้อมูล

ISO 27001 เป็นมาตรฐานที่ครอบคลุมตั้งแต่ความมั่นคงของทรัพยากรมนุษย์ไปจนถึงการจัดการความต่อเนื่องทางธุรกิจ

การทดสอบการเจาะระบบประจำปีเป็นข้อกำหนดสำหรับการปฏิบัติตาม ISO 27001 เนื่องจากช่วยให้องค์กรสามารถทดสอบสถานะการรักษาความปลอดภัยของตนกับภัยคุกคามที่เปลี่ยนแปลงตลอดเวลา (อ้างอิงข้อกำหนด A12.6 (Technical Vulnerability Management)

“PCI-DSS (Payment Card Industry Data Security Standard)”

PCI-DSS ชื่อนี้ค่อนข้างอธิบายตนเอง รูปแบบการปฏิบัติตามข้อกำหนดนี้ก่อตั้งขึ้นในปี พ.ศ.2547 เพื่อรักษาความปลอดภัยของธุรกรรมบัตรเครดิตและบัตรเดบิตจากการโจรกรรมข้อมูลและการฉ้อโกง อยู่ภายใต้การควบคุมของ Security Standard Council (PCI-SSC)

PCI SSC ไม่มีอำนาจทางกฎหมายในการบังคับการปฏิบัติตาม แต่ค่อนข้างเขียนไว้อย่างชัดเจนว่าทุกบริษัทที่ประมวลผลธุรกรรมบัตรเครดิตและบัตรเดบิตควรปฏิบัติตาม PCI DSS ไม่เพียงแต่ช่วยบริษัทปกป้องข้อมูลเท่านั้น แต่ยังช่วยรักษาความสัมพันธ์ที่ไว้วางใจกับลูกค้าด้วย

แล้ว PCI DSS ต้องการการปฏิบัติตามการทดสอบการเจาะหรือไม่?

ในตอนนี้ การรับรอง PCI กำหนดให้ต้องใช้ไฟร์วอลล์ เข้ารหัสการถอดรหัส และติดตั้งโปรแกรมป้องกันไวรัส แต่ยังต้องการให้คุณมีคุณสมบัติในการตรวจสอบและการสแกน ในขณะที่กฎข้อหนึ่งไม่ได้บังคับใช้โดยตรง (อ้างอิงข้อกำหนดข้อ 11.3 of the PCI DSS describes the need to regularly carry out penetration testing to identify unaddressed security issues and scan for rogue wireless networks.)

“SOC2”

SOC 2 ถูกสร้างขึ้นภายใต้ American Institute of Certified Public Accountants (AICPA) เพื่อควบคุมปัญหาการควบคุมองค์กร ได้แก่ ความปลอดภัย ความพร้อมใช้งาน ความสมบูรณ์ในการประมวลผล การรักษาความลับ และความเป็นส่วนตัว

รูปแบบการปฏิบัติตาม SOC 2 ได้รับการออกแบบมาสำหรับบริษัทเทคโนโลยีที่จัดเก็บข้อมูลลูกค้าไว้ในระบบคลาวด์ ใช้ได้กับบริษัท SaaS เกือบทั้งหมด

การปฏิบัติตาม SOC 2 เกี่ยวข้องกับการตรวจสอบสินทรัพย์เครือข่าย การตรวจสอบเป็นประจำ การตั้งค่าการแจ้งเตือนความผิดปกติ และการพิสูจน์หลักฐานที่ดำเนินการได้

ประโยชน์ของการการทดสอบการเจาะระบบสำหรับการปฏิบัติตามข้อกำหนด

ไม่ว่าคุณจะใช้งานแพลตฟอร์ม SaaS หรือดูแลความปลอดภัยของข้อมูลส่วนบุคคล ก็ไม่มีทางหลีกหนีจากการโจมตีทางไซเบอร์ได้ การติดตามที่ดีที่สุดคือการพยายามค้นหาช่องโหว่ก่อนที่จะโดนโจมตีจากบุคคลภายนอก ซึ่งจะช่วยสร้างความปลอดภัยของระบบและความเชื่อมั่น ไม่ว่าจะเป็น

  • องค์กรได้มีระบบการรักษาความมั่นคงปลอดภัย และปรับความเหมาะสมสำหรับช่องโหว่ล่าสุด
  • องค์กรได้มีการเตรียมพร้อมสำหรับการตรวจสอบความมั่นคงปลอดภัย
  • สร้างความไว้วางใจให้กับพนักงานในองค์กรและลูกค้า

บทสรุป

ภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงตลอดเวลาและความถี่การละเมิดความปลอดภัยมีบ่อยมากขึ้น การทดสอบการเจาะระบบคือสิ่งที่จะให้ทราบว่าองค์กรของทุกท่านมีช่องโหว่จุดไหนบ้าง นั่นคือเหตุผลที่การปฏิบัติตามข้อกำหนดการทดสอบเจาะระบบมีความสำคัญมากสำหรับข้อกำหนดและกฎหมายด้านความมั่นคงปลอดภัยทางด้านไซเบอร์มากมาย ซึ่งการแก้ไขจุดอ่อนที่ประสบความสำเร็จนั้นเป็นมากกว่าแค่การรับรองการปฏิบัติตาม อีกทั้งยังสร้างความไว้วางใจภายในองค์กรเองด้วยค่ะ

Ref:

https://www.iso.org/isoiec-27001-information-security.html

https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Supporting%20Document/PCI_DSS-QRG-v4_0.pdf

https://us.aicpa.org/content/aicpa/interestareas/frc/assuranceadvisoryservices/socforserviceorganizations.html

แชร์
Share this post on Facebook Share this post on Linked In
กลับไปด้านบน
  • Blog thumbnail

    อ่านต่อ
    • ตอนก่อนหน้า Game Hacking
    ตอนถัดไป Software Tester VS Penetration Tester
  • Blog thumbnail

    อ่านต่อ

    • บทความที่เกี่ยวข้อง

    อัปเดตข้อมูลด้านไซเบอร์ ทุกสัปดาห์
    รับข่าวสารความรู้เชิงลึกเกี่ยวกับความปลอดภัยไซเบอร์จากดาต้าฟาร์มก่อนใคร

    ฟีเจอร์นี้จะเปิดให้ใช้งานเร็ว ๆ นี้ โปรดติดตาม

    ส่งสัปดาห์ละ 1 ครั้ง ไม่มีสแปม ยกเลิกการรับข่าวสารได้ทุกเมื่อ