វិធីសាស្ត្រដើម្បីក្លាយខ្លួនជាអ្នកធ្វើតេស្តសន្តិសុខអ៊ិនធឺណិត Pentester

ប្រសិនបើអ្នកជាមនុស្សដែលចូលចិត្តបញ្ហាប្រឈម និងតែងតែស្វៈស្វែងរកបញ្ហា អ្នកគួរតែពិចារណាក្លាយជាអ្នកធ្វើតេស្តសន្តិសុខអ៊ិនធឺណិត​ (penetration tester)។ តើអ្នកធ្វើតេស្តសន្តិសុខអ៊ិណធឺណិតធ្វើអ្វីខ្លះ ហើយធ្វើដូចម្តេចដើម្បីក្លាយខ្លួនជាអ្នកអាជីពក្នុងការងារនេះ?

តើអ្វីទៅជាការធ្វើតេស្តសន្តិសុខអ៊ិនធឺណិត?

មានទិដ្ឋភាពជាច្រើននៃការព័ត៌មានសន្តិសុខអ៊ិនធឺណិតដែលទាមទារឱ្យមានការបញ្ចូលព័ត៌មានពីមនុស្ស។ បញ្ហាសុវត្ថិភាពតាមអ៊ីនធឺណិត គឺជាបញ្ហាដែលផ្តោតលើមនុស្ស ហើយវាអាស្រ័យលើធនធានមនុស្សដែលអាចយល់ពីរបៀបដែលមនុស្សអាក្រក់គិត។ នៅក្នុងពិភពសន្តិសុខអ៊ីនធឺណិត អ្នកធ្វើតេស្តសន្តិសុខអ៊ិនធឺណិត គឺជួនកាលត្រូវបានគេចាត់ទុកថាជាអ្នក ethical hacker ពីព្រោះទិដ្ឋភាពខ្លះនៃការងារតម្រូវឱ្យធ្វើការងារអ្វីដែលហេគឃ័រនឹងធ្វើ។

Penetration Testing គឺមានសារៈសំខាន់ខ្លាំងណាស់នៅក្នុងយុទ្ធសាស្ត្ររបស់អង្គភាពមួយ។ វាត្រូវបានប្រើប្រាស់ដើម្បីស្វែងរកនូវបញ្ហា និងចំនុចខ្សោយនៅក្នុងប្រព័ន្ធ​ IT ដោយរួមមានទាំង Web Applications ផងដែរ។ ជាទូទៅ កម្មវិធីស្វ័យប្រវត្តិ​ (automated tools) ត្រូវបានគេ ប្រើប្រាស់ដើម្បីជួយក្នុងការស្វែងរកនូវគំលាតសន្តិសុខអាយធីនៅក្នុងរដ្ឋរចនាសម័ន្ធអង្គភាព។

ក៏ប៉ុន្តែ អ្នកធ្វើតេស្តភាគច្រើន (ជាពិសេសអ្នកដែលមានបទពិសោធន៍) នឹងប្រើប្រាស់នូវវិធីសាស្ត្រ manual ដើម្បីឈានទៅកាន់កន្លែងណាដែលការធ្វើតេស្តស្វ័យប្រវត្តិមិនបានគិតដល់។ ការធ្វើតេស្តមានសារៈប្រយោជន៍ដើម្បីធ្វើឱ្យដូច (simulate) នូវអ្វីដែលឧក្រិដ្ឋជន អ៊ិនធីណិតប្រើប្រាស់ចំនុចខ្សោយក្នុងការវាយប្រហារទៅលើហេដ្ឋារចនាសម្ព័ន្ធ ក្នុងគោលបំណង ដើម្បីចូលអាក់សេសទៅកាន់ data និង assets។

តើអ្នកត្រូវធ្វើដូចម្តេចដើម្បីក្លាយទៅជា penetration tester?

តួនាទីជាអ្នកធ្វើតេស្តសន្តិសុខអ៊ិនធឺណិត គឺជាការងារមួយដែលទាមទារនូវការទទួលខុសត្រូវខ្ពស់។ អ្នកត្រូវតែមាននូវចំណេះដឹងទូលំទូលាយអំពីបច្ចេកទេសសន្តិសុខអ៊ិនធឺណិត ប្រភេទនៃការគំរាមគំហែង និងមធ្យោបាយនៃការវាយប្រហារ។ ដោយសារតែការផ្លាស់ប្តូរជាប្រចាំនៃ សន្តិសុខអ៊ិនធឺណិត អ្នកត្រូវតែធ្វើការត្រៀមខ្លួនក្នុងការធ្វើបច្ចុប្បន្នភាពទៅលើចំណេះដឹងរបស់អ្នក នៅក្នុងវិស័យមួយនេះ។ មានន័យថា អ្នកត្រូវតែមានការចាប់អារម្មណ៍ខ្លាំងនៅក្នុងវិស័យនេះ ហើយត្រៀមខ្លួនរួចជាស្រេចក្នុងការសិក្សាបន្តជារៀងរហូត។

អ្នកក៏ត្រូវតែយល់អំពីប្រព័ន្ធបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន និងបណ្តាញឱ្យបានស៊ីជំរៅផងដែរ។ ការយល់ដឹងអំពី communication protocols គឺជាការសំខាន់មួយ ដោយសារតែវាអាចជាចំនុចខ្សោយនៅក្នុងប្រព័ន្ធ

វាមានន័យថា បើសិនជាអ្នកចេះសរសេរកូដកុំព្យូទ័រគឺអាចមានប្រយោជន៍ដល់អ្នកច្រើន។ អ្នកមិនចាំបាច់ជាអ្នកខ្លាំងខាងកូដកុំព្យូទ័រឡើយ ប៉ុន្តែអ្នកត្រូវមានចំណេះដឹងខ្លះៗផងដែរសម្រាប់ ការសរសេរ script language ដូចជា Python ជាដើម។

ការចាប់ផ្តើម

ទោះបីជាអ្នកចេះតិចតួចក្តី ឬជាអ្នកអាជីពអាយធីក្តី ហើយគិតចង់ប្រឡូកក្នុងអាជីពជាអ្នកធ្វើតេស្តសន្តិសុខអ៊ីនធឺណិត អ្នកគួរតែចាប់ផ្តើមអាននូវអត្ថបទពាក់ព័ន្ធនឹងកិច្ចការនេះ។ អ្នកអាច អានអត្ថបទនៅលើអ៊ិនធឺណិត សៀវភៅ ការណែនាំនានា និងស្វែងរកវីដេអូពាក់ព័ន្ធនឹងមុខជំនាញនេះ ព្រមជាមួយនឹងមុខបញ្ហាទូទៅទាំងអស់ទាក់ទងទៅនឹងប្រធានបទសន្តិសុខអ៊ិនធឺណិតទាំងមូល។

ជាសង្ខេប អ្នកត្រូវតែស្វែងយល់អំពី៖

អនុវត្តន៍បច្ចេកទេសឱ្យបានច្រើន

ការងារ Pentesting គឺជាមុខជំនាញមួយដែលត្រូវការការអនុវត្តជាចាំបាច់។ គ្រប់សៀវភៅទាំងអស់ និងរាល់វិដេអូនៅក្នុងយូធូប គឺមិនបានបង្ហាញអ្នកអំពីការពិត (real thing) នោះឡើយ។ អ្នកត្រូវតែអនុវត្តន៍ផ្ទាល់ដោយខ្លួនឯង ដោយអ្នកអាចប្រើប្រាស់នូវសូហ្វវ៉ែរ ដូចជា Kali Linux ដើម្បីចាប់ផ្តើមការងារនេះ។ នៅក្នុង Kali Linux វាផ្តល់ឱ្យអ្នកនូវកម្មវិធីតូចៗជាច្រើន (tools) ដែលអ្នកអាចប្រើប្រាស់ដើម្បីបង្កើនសមត្ថភាពរបស់អ្នក។

អ្នកក៏អាចធ្វើការស្វែងយល់អំពី Penetration Testing Execution Standard (PTES) ដែលគឺជាក្របខណ្ឌមួយល្អសម្រាប់ការងារ pentesting ។ វាអាចជួយអ្នកដើម្បីឈានទៅកាន់ស្តង់ដារប្រតិបត្តិការមួយ ហើយក៏ជាការណែនាំមួយដ៏ល្អសម្រាប់កិច្ចការក្នុងជំនាញនេះផងដែរ។ មានតួនាទីការងារជាច្រើន ដែលទាមទារឱ្យអ្នកមានការយល់ដឹងអំពីស្តង់ដារ ។

រៀនយកវិញ្ញាបនប័ត្រ

នៅពេលដែលអ្នកបានត្រៀមខ្លួនរួចរាល់ហើយនោះ អ្នកគួរតែរៀនវគ្គខ្លីៗដើម្បីយកនូវវិញ្ញាបនប័ត្រដែលទទួលស្គាល់ជាលក្ខណៈអន្តរជាតិ ដែលមានដូចជាវិញ្ញាបនប័ត្រ Certified Ethical Hacker (CEH) ជាដើម។ វិញ្ញាបនប័ត្រនេះនឹងអាចជួយដល់អ្នក ងាយស្រួលក្នុងការទទួលបាន ការទទួលស្គាល់ពីក្រុមហ៊ុនទៅលើជំនាញរបស់អ្នក។ វាក៏មានប្រយោជន៍ផងដែរ ក្នុងការរៀនយកវិញ្ញាបនប័ត្រផ្នែកបណ្តាញ (networking) និងសន្តិសុខ (security)។ វិញ្ញាបនប័ត្រ PenTest+ ក៏ជាជម្រើសមយដ៏ល្អសម្រាប់អ្នកផងដែរ ដែលវានឹងផ្តល់ឱ្យអ្នកនូវចំណេះដឹងបច្ចេកទេសផ្ទាល់ (know-how) ក្នុងការងារ penetration testing ។

តួនាទី និងការទទួលខុសត្រូវរបស់ Penetration tester

ជាទូទៅ អ្នកធ្វើតេស្តសន្តិសុខអ៊ិនធឺណិត (Penetration testers) គឺធ្វើការជាបុគ្គលិកក្រុមហ៊ុនតែម្តង ហើយនៅជាមួយនឹងក្រុម security ។ ការងារនេះមិនត្រឹមតែគ្រាន់តែស្វែងរកនូវ ចំនុចខ្សោយ ឬចំនុចងាយរងគ្រោះនៅក្នុងបណ្តាញ និង web នោះទេ វាក៏រួមមាននូវការបញ្ជូនព័ត៌មាននៃការរកឃើញរបស់អ្នក ទៅកាន់សមាជិកក្រុម និងថ្នាក់គ្រប់គ្រងនៅក្នុងផ្នែកដទៃទៀតផងដែរ។

មានតួនាទីជាច្រើនផ្សេងៗគ្នាសម្រាប់អ្នកធ្វើតេស្តសន្តិសុខអ៊ិនធឺណិត ដោយផ្អែកទៅលើវិស័យនិមួយៗ ប៉ុន្តែខាងក្រោមនេះគឺជាការងារមូលដ្ឋានដែលអ្នកត្រូវធ្វើ ដែលមានដូចជា៖

នៅក្នុងការវិវត្តន៍នៃការងាររបស់អ្នក អ្នកក៏អាចធ្វើការបង្ហាត់បង្ហាញដល់អ្នកចូលថ្មី (new pentesters) និងអ្នកដ៏ទៃទៀតនៅក្នុងក្រុមសន្តិសុខអាយធី។ ការកសាងទំនាក់ទំនងល្អនឹងអាចជួយអ្នកក្នុងអាជីពការងារនេះ។

ប្រភព៖ infosecinstitute.com

Exit mobile version