ប្រសិនបើអ្នកជាមនុស្សដែលចូលចិត្តបញ្ហាប្រឈម និងតែងតែស្វៈស្វែងរកបញ្ហា អ្នកគួរតែពិចារណាក្លាយជាអ្នកធ្វើតេស្តសន្តិសុខអ៊ិនធឺណិត (penetration tester)។ តើអ្នកធ្វើតេស្តសន្តិសុខអ៊ិណធឺណិតធ្វើអ្វីខ្លះ ហើយធ្វើដូចម្តេចដើម្បីក្លាយខ្លួនជាអ្នកអាជីពក្នុងការងារនេះ?
តើអ្វីទៅជាការធ្វើតេស្តសន្តិសុខអ៊ិនធឺណិត?
មានទិដ្ឋភាពជាច្រើននៃការព័ត៌មានសន្តិសុខអ៊ិនធឺណិតដែលទាមទារឱ្យមានការបញ្ចូលព័ត៌មានពីមនុស្ស។ បញ្ហាសុវត្ថិភាពតាមអ៊ីនធឺណិត គឺជាបញ្ហាដែលផ្តោតលើមនុស្ស ហើយវាអាស្រ័យលើធនធានមនុស្សដែលអាចយល់ពីរបៀបដែលមនុស្សអាក្រក់គិត។ នៅក្នុងពិភពសន្តិសុខអ៊ីនធឺណិត អ្នកធ្វើតេស្តសន្តិសុខអ៊ិនធឺណិត គឺជួនកាលត្រូវបានគេចាត់ទុកថាជាអ្នក ethical hacker ពីព្រោះទិដ្ឋភាពខ្លះនៃការងារតម្រូវឱ្យធ្វើការងារអ្វីដែលហេគឃ័រនឹងធ្វើ។
Penetration Testing គឺមានសារៈសំខាន់ខ្លាំងណាស់នៅក្នុងយុទ្ធសាស្ត្ររបស់អង្គភាពមួយ។ វាត្រូវបានប្រើប្រាស់ដើម្បីស្វែងរកនូវបញ្ហា និងចំនុចខ្សោយនៅក្នុងប្រព័ន្ធ IT ដោយរួមមានទាំង Web Applications ផងដែរ។ ជាទូទៅ កម្មវិធីស្វ័យប្រវត្តិ (automated tools) ត្រូវបានគេ ប្រើប្រាស់ដើម្បីជួយក្នុងការស្វែងរកនូវគំលាតសន្តិសុខអាយធីនៅក្នុងរដ្ឋរចនាសម័ន្ធអង្គភាព។
ក៏ប៉ុន្តែ អ្នកធ្វើតេស្តភាគច្រើន (ជាពិសេសអ្នកដែលមានបទពិសោធន៍) នឹងប្រើប្រាស់នូវវិធីសាស្ត្រ manual ដើម្បីឈានទៅកាន់កន្លែងណាដែលការធ្វើតេស្តស្វ័យប្រវត្តិមិនបានគិតដល់។ ការធ្វើតេស្តមានសារៈប្រយោជន៍ដើម្បីធ្វើឱ្យដូច (simulate) នូវអ្វីដែលឧក្រិដ្ឋជន អ៊ិនធីណិតប្រើប្រាស់ចំនុចខ្សោយក្នុងការវាយប្រហារទៅលើហេដ្ឋារចនាសម្ព័ន្ធ ក្នុងគោលបំណង ដើម្បីចូលអាក់សេសទៅកាន់ data និង assets។
តើអ្នកត្រូវធ្វើដូចម្តេចដើម្បីក្លាយទៅជា penetration tester?
តួនាទីជាអ្នកធ្វើតេស្តសន្តិសុខអ៊ិនធឺណិត គឺជាការងារមួយដែលទាមទារនូវការទទួលខុសត្រូវខ្ពស់។ អ្នកត្រូវតែមាននូវចំណេះដឹងទូលំទូលាយអំពីបច្ចេកទេសសន្តិសុខអ៊ិនធឺណិត ប្រភេទនៃការគំរាមគំហែង និងមធ្យោបាយនៃការវាយប្រហារ។ ដោយសារតែការផ្លាស់ប្តូរជាប្រចាំនៃ សន្តិសុខអ៊ិនធឺណិត អ្នកត្រូវតែធ្វើការត្រៀមខ្លួនក្នុងការធ្វើបច្ចុប្បន្នភាពទៅលើចំណេះដឹងរបស់អ្នក នៅក្នុងវិស័យមួយនេះ។ មានន័យថា អ្នកត្រូវតែមានការចាប់អារម្មណ៍ខ្លាំងនៅក្នុងវិស័យនេះ ហើយត្រៀមខ្លួនរួចជាស្រេចក្នុងការសិក្សាបន្តជារៀងរហូត។
អ្នកក៏ត្រូវតែយល់អំពីប្រព័ន្ធបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន និងបណ្តាញឱ្យបានស៊ីជំរៅផងដែរ។ ការយល់ដឹងអំពី communication protocols គឺជាការសំខាន់មួយ ដោយសារតែវាអាចជាចំនុចខ្សោយនៅក្នុងប្រព័ន្ធ
វាមានន័យថា បើសិនជាអ្នកចេះសរសេរកូដកុំព្យូទ័រគឺអាចមានប្រយោជន៍ដល់អ្នកច្រើន។ អ្នកមិនចាំបាច់ជាអ្នកខ្លាំងខាងកូដកុំព្យូទ័រឡើយ ប៉ុន្តែអ្នកត្រូវមានចំណេះដឹងខ្លះៗផងដែរសម្រាប់ ការសរសេរ script language ដូចជា Python ជាដើម។
ការចាប់ផ្តើម
ទោះបីជាអ្នកចេះតិចតួចក្តី ឬជាអ្នកអាជីពអាយធីក្តី ហើយគិតចង់ប្រឡូកក្នុងអាជីពជាអ្នកធ្វើតេស្តសន្តិសុខអ៊ីនធឺណិត អ្នកគួរតែចាប់ផ្តើមអាននូវអត្ថបទពាក់ព័ន្ធនឹងកិច្ចការនេះ។ អ្នកអាច អានអត្ថបទនៅលើអ៊ិនធឺណិត សៀវភៅ ការណែនាំនានា និងស្វែងរកវីដេអូពាក់ព័ន្ធនឹងមុខជំនាញនេះ ព្រមជាមួយនឹងមុខបញ្ហាទូទៅទាំងអស់ទាក់ទងទៅនឹងប្រធានបទសន្តិសុខអ៊ិនធឺណិតទាំងមូល។
ជាសង្ខេប អ្នកត្រូវតែស្វែងយល់អំពី៖
- Cybersecurity: Techniques, tricks, vectors, threat profiles and the anatomy of cyberattacks. Check out OWASP’s site for cybersecurity intelligence
- Hardware and networks
- Operating systems, databases
- Applications, including web apps and APIs
- Data analysis: At least in terms of analyzing security issues and presenting solutions
អនុវត្តន៍បច្ចេកទេសឱ្យបានច្រើន
ការងារ Pentesting គឺជាមុខជំនាញមួយដែលត្រូវការការអនុវត្តជាចាំបាច់។ គ្រប់សៀវភៅទាំងអស់ និងរាល់វិដេអូនៅក្នុងយូធូប គឺមិនបានបង្ហាញអ្នកអំពីការពិត (real thing) នោះឡើយ។ អ្នកត្រូវតែអនុវត្តន៍ផ្ទាល់ដោយខ្លួនឯង ដោយអ្នកអាចប្រើប្រាស់នូវសូហ្វវ៉ែរ ដូចជា Kali Linux ដើម្បីចាប់ផ្តើមការងារនេះ។ នៅក្នុង Kali Linux វាផ្តល់ឱ្យអ្នកនូវកម្មវិធីតូចៗជាច្រើន (tools) ដែលអ្នកអាចប្រើប្រាស់ដើម្បីបង្កើនសមត្ថភាពរបស់អ្នក។
អ្នកក៏អាចធ្វើការស្វែងយល់អំពី Penetration Testing Execution Standard (PTES) ដែលគឺជាក្របខណ្ឌមួយល្អសម្រាប់ការងារ pentesting ។ វាអាចជួយអ្នកដើម្បីឈានទៅកាន់ស្តង់ដារប្រតិបត្តិការមួយ ហើយក៏ជាការណែនាំមួយដ៏ល្អសម្រាប់កិច្ចការក្នុងជំនាញនេះផងដែរ។ មានតួនាទីការងារជាច្រើន ដែលទាមទារឱ្យអ្នកមានការយល់ដឹងអំពីស្តង់ដារ ។
រៀនយកវិញ្ញាបនប័ត្រ
នៅពេលដែលអ្នកបានត្រៀមខ្លួនរួចរាល់ហើយនោះ អ្នកគួរតែរៀនវគ្គខ្លីៗដើម្បីយកនូវវិញ្ញាបនប័ត្រដែលទទួលស្គាល់ជាលក្ខណៈអន្តរជាតិ ដែលមានដូចជាវិញ្ញាបនប័ត្រ Certified Ethical Hacker (CEH) ជាដើម។ វិញ្ញាបនប័ត្រនេះនឹងអាចជួយដល់អ្នក ងាយស្រួលក្នុងការទទួលបាន ការទទួលស្គាល់ពីក្រុមហ៊ុនទៅលើជំនាញរបស់អ្នក។ វាក៏មានប្រយោជន៍ផងដែរ ក្នុងការរៀនយកវិញ្ញាបនប័ត្រផ្នែកបណ្តាញ (networking) និងសន្តិសុខ (security)។ វិញ្ញាបនប័ត្រ PenTest+ ក៏ជាជម្រើសមយដ៏ល្អសម្រាប់អ្នកផងដែរ ដែលវានឹងផ្តល់ឱ្យអ្នកនូវចំណេះដឹងបច្ចេកទេសផ្ទាល់ (know-how) ក្នុងការងារ penetration testing ។
តួនាទី និងការទទួលខុសត្រូវរបស់ Penetration tester
ជាទូទៅ អ្នកធ្វើតេស្តសន្តិសុខអ៊ិនធឺណិត (Penetration testers) គឺធ្វើការជាបុគ្គលិកក្រុមហ៊ុនតែម្តង ហើយនៅជាមួយនឹងក្រុម security ។ ការងារនេះមិនត្រឹមតែគ្រាន់តែស្វែងរកនូវ ចំនុចខ្សោយ ឬចំនុចងាយរងគ្រោះនៅក្នុងបណ្តាញ និង web នោះទេ វាក៏រួមមាននូវការបញ្ជូនព័ត៌មាននៃការរកឃើញរបស់អ្នក ទៅកាន់សមាជិកក្រុម និងថ្នាក់គ្រប់គ្រងនៅក្នុងផ្នែកដទៃទៀតផងដែរ។
មានតួនាទីជាច្រើនផ្សេងៗគ្នាសម្រាប់អ្នកធ្វើតេស្តសន្តិសុខអ៊ិនធឺណិត ដោយផ្អែកទៅលើវិស័យនិមួយៗ ប៉ុន្តែខាងក្រោមនេះគឺជាការងារមូលដ្ឋានដែលអ្នកត្រូវធ្វើ ដែលមានដូចជា៖
- Network and application tests: ដើម្បីធ្វើការត្រួតពិនិត្យទូទៅទៅលើសន្តិសុខបណ្តាញ ដើម្បីស្វែងរកនូវចំនុចខ្សោយនានាដែលអាចមាន។ អ្នកត្រូវចូលរួមធ្វើការរៀបចំក្នុងការធ្វើតេស្ត ឬធ្វើការអាប់ដេតនូវអ្វីដែលកំពុងតែមានក្នុងពេលបច្ចុប្បន្ន
- Physical security tests: មានដូចជាការត្រួតពិនិត្យរកមើលបញ្ហានានាសម្រាប់ធ្វើឱ្យប្រសើរឡើងនូវម៉ាស៊ីនមេនានា ដើម្បីជៀសផុតពីបញ្ហាមិនមែនសន្តិសុខអ៊ិនធឺណិត ដែលមានដូចជាគ្រោះថ្នាក់ធម្មជាតិ បំផ្លាស់ប្តូរអាកាសធាតុផងដែរ
- Security audits: គឺជាតួនាទីមូលដ្ឋានរបស់អ្នកធ្វើតេស្តសន្តិសុខអ៊ិនធឺណិត។ អ្នកនឹងត្រូវធ្វើការត្រួតពិនិត្យទៅលើបញ្ហាសន្តិសុខនៃ process, protocol ឬក៏ system។ អ្នកក៏ត្រូវសរសេររបាយការណ៍អំពីអ្វីដែលអ្នកបានរកឃើញផងដែរ។
- General security report writing: សរសេររបាយការណ៍ និងជួយក្នុងការរៀបចំផែនការយុទ្ធសាស្ត្រសន្តិសុខអ៊ិនធឺណិត
- Involvement in security team and security policy review: អ្នកត្រូវធ្វើការទំនាក់ទំនងជាមួយក្រុមរបស់អ្នក និងជួយដល់ការពិនិត្យមើលទៅលើ security policy
នៅក្នុងការវិវត្តន៍នៃការងាររបស់អ្នក អ្នកក៏អាចធ្វើការបង្ហាត់បង្ហាញដល់អ្នកចូលថ្មី (new pentesters) និងអ្នកដ៏ទៃទៀតនៅក្នុងក្រុមសន្តិសុខអាយធី។ ការកសាងទំនាក់ទំនងល្អនឹងអាចជួយអ្នកក្នុងអាជីពការងារនេះ។
ប្រភព៖ infosecinstitute.com