Pen Testing បានក្លាយជាផ្នែកមួយដ៏សំខាន់នៃផែនការសន្តិសុខព័ត៌មានរបស់អាជីវកម្មនៅគ្រប់រាល់ឧស្សាហកម្មទាំងអស់។ អ្នកដែលមានជំនាញខាង PenTest ឬហៅថា PenTesters អាចជួយដល់អង្គភាពក្នុងការកំណត់ ស្វែងរក និងកាត់បន្ថយ (mitigate) ហានិភ័យនានាដែលមានគោលដៅទៅលើ ហេដ្ឋរចនាសម្ព័ន្ធ (infrastructure) កម្មវិធី (applications) ហើយនឹងអ្នកប្រើប្រាស់ (users) ។
ទោះបីជាអ្នកប្រើប្រាស់ក្រុមផ្ទៃក្នុង ឬផ្តល់ទៅឲ្យអ្នកខាងក្រៅ (outsourcing) យ៉ាងណាក៏ដោយ ក៏ការជ្រើសរើសអ្នកផ្តល់សេវាកម្ម PenTest នេះបានត្រឹមត្រូវគឺមានសារៈសំខាន់ណាស់ ដោយសារ តែអ្នកអាជីពការងារនេះត្រូវបានផ្តល់ឲ្យមានការអាក់សេសទៅកាន់ប្រព័ន្ធ និងទិន្នន័យសំខាន់ៗ (sensitive data) របស់អង្គភាព។
បច្ចុប្បន្ននេះ អ្នកដែលផ្គត់ផ្គង់សេវាកម្ម PenTest នេះគឺមានចំនួនច្រើនណាស់ ហេតុដូច្នេះតើអ្នកធ្វើដូចម្តេចដើម្បីស្វែងរកអ្នកផ្គត់ផ្គង់ដែលមានសមត្ថភាពត្រឹមត្រូវ? ហើយមានអ្វីផ្សេងទៀត? គ្រប់សេវាកម្ម penetration testing ទាំងអស់គឺមិនដូចគ្នានោះទេ (រាប់ចាប់ពីវិធីសាស្ត្រ, សំណុំកម្មវិធី រហូតដល់ហានិភ័យ និងអនុលោមភាព)។ អ្នកមានការលំបាកក្នុងការជ្រើសរើសយកនូវក្រុមហ៊ុនណាដែលសាកសមជាមួយអង្គភាពអ្នក។ ហេតុដូច្នេះហើយ វាគឺមានភាពចំបាច់សំខាន់ណាស់ក្នុងការទាក់ទងជាមួយនឹងក្រុមហ៊ុនសន្តិសុខពត៌មានណាដែលមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់ និងទទួលស្គាល់ (certified) ដើម្បីធានាបាននូវស្តង់ដារគ្រប់គ្រាន់ និងផ្តល់នូវសុវត្ថិភាពទៅដល់ប្រព័ន្ធនិងទិន្នន័យអតិថិជន។
វិធីសាស្ត្រមួយដើម្បីធានាបានថាអ្នកដែលត្រូវបានជួលក្នុងការធ្វើការ Pentesting នោះអាចធ្វើតាមស្តង់ដារ និងវិធីសាស្ត្រនានាដើម្បីកាត់បន្ថយឲ្យទាបបំផុតនូវហានិភ័យ គឺអ្នកត្រូវស្វែងរកអ្នកដែលត្រូវបានទទួលស្គាល់ជាលក្ខណៈអន្តរជាតិ ហៅថា CREST ។ CREST មកពីពាក្យថា Council of Registered Security Testers គឺជាអង្គភាពមួយផ្តល់វិញ្ញជាបនប័ត្រទទួលស្គាល់ជាលក្ខណៈអន្តរជាតិ ហើយផ្តល់ការធានាថាក្រុមហ៊ុន ឬបុគ្គលនោះបានប្រលងជាប់ការធ្វើតេស្តត្រឹមត្រូវ (assessment) ។ CREST បានផ្តល់ឲ្យសមាជិករបស់ខ្លួនជាមួយនឹង បទដ្ឋានណែនាំ (framework) ដោយរួមមានស្តង់ដារ (standards), វិធីសាស្ត្រ (methodologies) និងអនុសាសន៍ (recommendations) ក្នុងគោលបំណងដើម្បីធ្វើឲ្យជឿជាក់ថា សេវាដែលផ្តល់ឲ្យគឺប្រកបដោយស្តង់ដារខ្ពស់បំផុតជាមួយនឹងបច្ចេកទេសចុងក្រោយ។
ហេតុអ្វីបានជាចាំបាច់រកសេវា Penetration Testing?
រាល់អាជីវកម្មទាំងឡាយណាដែលមានប្រើប្រាស់សេវាកម្មអនឡាញ (cyber-related system) អាចត្រូវបានទទួលរងការវាយប្រហារ ហើយការស្វែងរក សេវកម្ម PenTest គឺអាចជួយឲ្យអ្នកប្រាកដថាយន្តការសន្តិសុខនានាដែលអ្នកបានដាក់គឺដំណើរការត្រឹមត្រូវ។ តាមរយៈការវិភាគទៅលើការគំរាមគំហែងនានា (cyber-threats) អ្នកផ្តល់សេវា PenTest មានសមត្ថភាពក្នុងការស្វែងរកនូវចំនុចខ្សោយ ចំនុចខ្វៈខាត ឬចន្លោះប្រហោងនានា និងផ្តល់អនុសាសន៍ទៅដល់អតិថិជនថាតើគួរការពារយ៉ាងដូចម្តេច?
Pen-Testers អាចកំណត់បាននូវចំនុចខ្សោយរបស់អង្គភាពដូចគ្នាទៅនឹងអ្វីដែលអ្នកវាយប្រហារបានធ្វើដូច្នេះដែរ គឺដោយការហេគចូលនិងធ្វើដូចជាការវាយប្រហារពិតៗដូច្នេះដែរ។ ពួកគេនឹងធ្វើការវាយលុក (exploitation) ហើយកំណត់នូវវិធីសាស្ត្រចាប់ (detect), ឆ្លើយតប (respond) និងកំចាត់ (defeat) APTs ។ Penetration Testing គឺធ្វើឡើយដោយមានការអនុញ្ញាតពីម្ចាស់ប្រព័ន្ធដើម្បីផ្ទៀងផ្ទាត់នូវប្រសិទ្ធិភាពនៃយន្តការសន្តិសុខ (secuity controls) ដែលត្រូវបានដាក់។
Penetration Testing និង Vulnerability risk assessment រួមបញ្ចូលនូវលក្ខណៈជាច្រើន រាប់ចាប់ពីវីធីសាស្ត្រវាយប្រហារ (attack methodologies), កម្មវិធី (tools), និងបច្ចេកទេស (techniques) និងប្រភពនានាដើម្បីវាយតម្លៃទៅលើយន្តការសន្តិសុខដែលបានដាក់ ហើយបើសិនជាយន្តការទាំងនោះមិនមានប្រសិទ្ធិភាពទេ វានឹងជាធ្វើឲ្យប៉ៈពាល់ (compromise) ទៅដល់ confidentiality, integrity ឬ availability (CIA) នៃព័ត៌មានដែលមាននៅក្នុងប្រព័ន្ធព័ត៌មាននោះ ហើយនឹងធ្វើឲ្យអាជីវកម្មប្រឈមមុខនឹងហានិភ័យ ។
អំពី CREST
យោងទៅតាមវេបសាយផ្លូវការ CREST គឺជាស្ថាប័នផ្តល់វិញ្ញាបនប័ត្រមិនរកប្រាក់ចំណេញមួយដែលតំណាងឲ្យឧស្សាហកម្មសន្តិសុខព័ត៌មាន ។ CREST ផ្តល់នូវការទទួលស្គាល់ជាលក្ខណៈអន្តរជាតិសម្រាប់អង្គភាព និងបុគ្គលដែលផ្តល់សេវាកម្ម Penertration Testing, Cyber-Incident response និង Threat Intelligence Services ៕
CREST ផ្តល់ជាការប្រឡងមួយចំនួនដែលនឹងផ្ទៀងផ្ទាត់ទៅលើកម្រិតសមត្ថភាពបច្ចេកទេស និងចំណេះដឹងរបស់អង្គភាព និងបុគ្គលអាជីព។ អ្នកអាចស្វែងរកព័ត៌មានបន្ថែម តាមរយៈវេបសាយ CREST ៕
ប្រភព៖ infosecinstitute.com
