ISAC Cambodia (InfoSec)
GeneralKnowledgeSecurity NewsSecurity Tips

ស្វែងយល់អំពី CREST

Pen Testing បានក្លាយជាផ្នែកមួយដ៏សំខាន់នៃផែនការសន្តិសុខព័ត៌មានរបស់អាជីវកម្មនៅគ្រប់រាល់ឧស្សាហកម្មទាំងអស់។ អ្នកដែលមានជំនាញខាង PenTest ឬហៅថា PenTesters អាចជួយដល់អង្គភាពក្នុងការកំណត់ ស្វែងរក និងកាត់បន្ថយ (mitigate) ហានិភ័យនានាដែលមានគោលដៅទៅលើ ហេដ្ឋរចនាសម្ព័ន្ធ (infrastructure) កម្មវិធី (applications) ហើយនឹងអ្នកប្រើប្រាស់ (users) ។

ទោះបីជាអ្នកប្រើប្រាស់ក្រុមផ្ទៃក្នុង ឬផ្តល់ទៅឲ្យអ្នកខាងក្រៅ (outsourcing) យ៉ាងណាក៏ដោយ ក៏ការជ្រើសរើសអ្នកផ្តល់សេវាកម្ម PenTest នេះបានត្រឹមត្រូវគឺមានសារៈសំខាន់ណាស់ ដោយសារ តែអ្នកអាជីពការងារនេះត្រូវបានផ្តល់ឲ្យមានការអាក់សេសទៅកាន់ប្រព័ន្ធ និងទិន្នន័យសំខាន់ៗ (sensitive data) របស់អង្គភាព។

បច្ចុប្បន្ននេះ អ្នកដែលផ្គត់ផ្គង់សេវាកម្ម PenTest នេះគឺមានចំនួនច្រើនណាស់ ហេតុដូច្នេះតើអ្នកធ្វើដូចម្តេចដើម្បីស្វែងរកអ្នកផ្គត់ផ្គង់ដែលមានសមត្ថភាពត្រឹមត្រូវ? ហើយមានអ្វីផ្សេងទៀត? គ្រប់សេវាកម្ម penetration testing ទាំងអស់គឺមិនដូចគ្នានោះទេ (រាប់ចាប់ពីវិធីសាស្ត្រ, សំណុំកម្មវិធី រហូតដល់ហានិភ័យ និងអនុលោមភាព)។ អ្នកមានការលំបាកក្នុងការជ្រើសរើសយកនូវក្រុមហ៊ុនណាដែលសាកសមជាមួយអង្គភាពអ្នក។ ហេតុដូច្នេះហើយ វាគឺមានភាពចំបាច់សំខាន់ណាស់ក្នុងការទាក់ទងជាមួយនឹងក្រុមហ៊ុនសន្តិសុខពត៌មានណាដែលមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់ និងទទួលស្គាល់ (certified) ដើម្បីធានាបាននូវស្តង់ដារគ្រប់គ្រាន់ និងផ្តល់នូវសុវត្ថិភាពទៅដល់ប្រព័ន្ធនិងទិន្នន័យអតិថិជន។

វិធីសាស្ត្រមួយដើម្បីធានាបានថាអ្នកដែលត្រូវបានជួលក្នុងការធ្វើការ Pentesting នោះអាចធ្វើតាមស្តង់ដារ និងវិធីសាស្ត្រនានាដើម្បីកាត់បន្ថយឲ្យទាបបំផុតនូវហានិភ័យ គឺអ្នកត្រូវស្វែងរកអ្នកដែលត្រូវបានទទួលស្គាល់ជាលក្ខណៈអន្តរជាតិ ហៅថា CREST ។ CREST មកពីពាក្យថា Council of Registered Security Testers គឺជាអង្គភាពមួយផ្តល់វិញ្ញជាបនប័ត្រទទួលស្គាល់ជាលក្ខណៈអន្តរជាតិ ហើយផ្តល់ការធានាថាក្រុមហ៊ុន ឬបុគ្គលនោះបានប្រលងជាប់ការធ្វើតេស្តត្រឹមត្រូវ (assessment) ។ CREST បានផ្តល់ឲ្យសមាជិករបស់ខ្លួនជាមួយនឹង បទដ្ឋានណែនាំ (framework) ដោយរួមមានស្តង់ដារ (standards), វិធីសាស្ត្រ (methodologies) និងអនុសាសន៍ (recommendations) ក្នុងគោលបំណងដើម្បីធ្វើឲ្យជឿជាក់ថា សេវាដែលផ្តល់ឲ្យគឺប្រកបដោយស្តង់ដារខ្ពស់បំផុតជាមួយនឹងបច្ចេកទេសចុងក្រោយ។

ហេតុអ្វីបានជាចាំបាច់រកសេវា Penetration Testing?

រាល់អាជីវកម្មទាំងឡាយណាដែលមានប្រើប្រាស់សេវាកម្មអនឡាញ (cyber-related system) អាចត្រូវបានទទួលរងការវាយប្រហារ ហើយការស្វែងរក សេវកម្ម PenTest គឺអាចជួយឲ្យអ្នកប្រាកដថាយន្តការសន្តិសុខនានាដែលអ្នកបានដាក់គឺដំណើរការត្រឹមត្រូវ។ តាមរយៈការវិភាគទៅលើការគំរាមគំហែងនានា (cyber-threats) អ្នកផ្តល់សេវា PenTest មានសមត្ថភាពក្នុងការស្វែងរកនូវចំនុចខ្សោយ ចំនុចខ្វៈខាត ឬចន្លោះប្រហោងនានា និងផ្តល់អនុសាសន៍ទៅដល់អតិថិជនថាតើគួរការពារយ៉ាងដូចម្តេច?

Pen-Testers អាចកំណត់បាននូវចំនុចខ្សោយរបស់អង្គភាពដូចគ្នាទៅនឹងអ្វីដែលអ្នកវាយប្រហារបានធ្វើដូច្នេះដែរ គឺដោយការហេគចូលនិងធ្វើដូចជាការវាយប្រហារពិតៗដូច្នេះដែរ។ ពួកគេនឹងធ្វើការវាយលុក ​(exploitation) ហើយកំណត់នូវវិធីសាស្ត្រចាប់ (detect), ឆ្លើយតប (respond) និងកំចាត់ (defeat) APTs ។ Penetration Testing គឺធ្វើឡើយដោយមានការអនុញ្ញាតពីម្ចាស់ប្រព័ន្ធដើម្បីផ្ទៀងផ្ទាត់នូវប្រសិទ្ធិភាពនៃយន្តការសន្តិសុខ (secuity controls) ដែលត្រូវបានដាក់។

Penetration Testing និង Vulnerability risk assessment រួមបញ្ចូលនូវលក្ខណៈជាច្រើន រាប់ចាប់ពីវីធីសាស្ត្រវាយប្រហារ (attack methodologies), កម្មវិធី (tools), និងបច្ចេកទេស (techniques) និងប្រភពនានាដើម្បីវាយតម្លៃទៅលើយន្តការសន្តិសុខដែលបានដាក់ ហើយបើសិនជាយន្តការទាំងនោះមិនមានប្រសិទ្ធិភាពទេ វានឹងជាធ្វើឲ្យប៉ៈពាល់ (compromise) ទៅដល់ confidentiality, integrity ឬ availability (CIA) នៃព័ត៌មានដែលមាននៅក្នុងប្រព័ន្ធព័ត៌មាននោះ ហើយនឹងធ្វើឲ្យអាជីវកម្មប្រឈមមុខនឹងហានិភ័យ ។

អំពី CREST

យោងទៅតាមវេបសាយផ្លូវការ CREST គឺជាស្ថាប័នផ្តល់វិញ្ញាបនប័ត្រមិនរកប្រាក់ចំណេញមួយដែលតំណាងឲ្យឧស្សាហកម្មសន្តិសុខព័ត៌មាន ។ CREST ផ្តល់នូវការទទួលស្គាល់ជាលក្ខណៈអន្តរជាតិសម្រាប់អង្គភាព និងបុគ្គលដែលផ្តល់សេវាកម្ម Penertration Testing, Cyber-Incident response និង Threat Intelligence Services ៕

CREST ផ្តល់ជាការប្រឡងមួយចំនួនដែលនឹងផ្ទៀងផ្ទាត់ទៅលើកម្រិតសមត្ថភាពបច្ចេកទេស និងចំណេះដឹងរបស់អង្គភាព និងបុគ្គលអាជីព។ អ្នកអាចស្វែងរកព័ត៌មានបន្ថែម តាមរយៈវេបសាយ CREST

ប្រភព៖ infosecinstitute.com

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button