ISAC Cambodia (InfoSec)
GeneralKnowledgeSecurity NewsSecurity Tips

តើពាក្យថា Penetration Testing មានន័យយ៉ាងដូចម្តេច?

ពាក្យថា Penetration Test ត្រូវបានប្រើប្រាស់មិនបានត្រឹមត្រូវជាយូរមកហើយដោយឧស្សាហកម្មសន្តិសុខព័ត៌មាន ក្នុងន័យថា គឺជាអ្វីៗទាំងអស់ដែលចាប់ ផ្តើមចេញពីការធ្វើ assessment ដ៏ល្អឥតខ្ចោះមួយដែលធ្វើឲ្យដូច (simulation) ការវាយប្រហារជាក់ស្តែង រហូតដល់ការវិភាគដោយការចុចទៅលើ “start” និង “stop” ដោយប្រើប្រាស់នូវដំណោះស្រាយបច្ចេកវិទ្យាដែលកំពុងមាននៅក្នុងទីផ្សារ។

Vulnerability assessment

ការធ្វើ Vulnerability assessment ដោយប្រើប្រាស់នូវកម្មវិធី (tools) ដើម្បីស្វែងរកនូវចំនុចខ្សោយបច្ចេកទេសនៅក្នុងប្រព័ន្ធតាមរយៈ configuration ឬ maitenance ។ ចំនុចខ្សោយទាំងនេះត្រូវបានរកឃើញ ដោយការធ្វើតេស្តទៅលើ “លក្ខខណ្ឌដែលត្រូវបានស្គាល់រួចមកហើយ (ចំនុចខ្សោយដែលត្រូវបានរកឃើញរួចទៅហើយ)” ហើយជាទូទៅគឺទាក់ទងទោនឹងកម្មវិធីហួសសម័យ (មិនបានអាប់ដេត) ឬក៏ default configurations ដែលអាចទទួលរងការវាយប្រហារជាទូទៅ។

គុណសម្បត្តិ៖ គ្របដណ្តប់បានទំហំធំ ត្រូវការធនធានតិចតួច និងការជួសជុលងាយស្រួល
គុណវិបត្តិ៖ ហានិភ័យគឺមានជាទូទៅហើយគ្មានបរិបទពាណិជ្ជកម្ម, ប្រើប្រាស់ពេលវេលាច្រើនដើម្បីបញ្ចេញលទ្ធផល, ហើយប្រហែលជាមាននូវ false-positives

System-driven penetration test

ការធ្វើេតស្ត system-driven penetration គឺធ្វើឡើងនៅពីលើ vulnerability assessment ដោយបន្ថែមនូវការធ្វើ security testing ដោយដៃ (មិនប្រើប្រាស់កម្មវិធី)។ វារួមមាននូវ ការស្វែងរកនូវរាល់ចំនុចខ្សោយទាំងឡាយណាដែលអាចត្រូវបានវាយប្រហារ រហូតឈានទៅដល់ ការគ្រប់គ្រងប្រព័ន្ធ (compromise) ឬបញ្ចេញនូវព័ត៌មាន។ ក្នុងនោះផងដែរក៏រួមមាននូវការកំណត់ថាតើ ពេលដែលអ្នកវាយប្រហារគ្រប់គ្រងប្រព័ន្ធណាមួយហើយនោះ តើអាចឈានទៅគ្រប់គ្រងប្រព័ន្ធផ្សេងៗទៀតបានឬទេ?

គុណសម្បត្តិ៖ ការផ្ទៀងផ្ទាត់នូវចំនុចខ្សោយទាំងឡាយ និងភាពងាយស្រួលក្នុងការវាយប្រហារចូល (exploitation), អាចអនុញ្ញាតឲ្យការតាមដាន និងផ្ទៀងផ្ទាត់ពាក់ព័ន្ធនឹង compliance
គុណវិបត្តិ៖ បរិបទអាជីវកម្មគឺមានកំណត់, ការគ្របដណ្តប់ពេញលេញ, ការវាយប្រហារអាចមិមានពិតប្រាកដ

Goal-driven penetration test

ការធ្វើ goal-driven penetration test គឺមិនមែនស្ថិតនៅខាង IT systems ឡើយ ប៉ុន្តែនៅខាងគោលដៅរបស់អ្នកវាយប្រហារ។ ការធ្វើ penetration test គឺដើម្បីសម្រេចបាននូវគោលដៅនេះ តាមរយៈវិធីសាស្ត្រនានា, ធ្វើការកំណត់នូវផ្លូវនៃការវាយប្រហារ។ វិសាលភាពគឺមានទំហំធំ (ដែលជាទូទៅគឺអង្គភាពទាំងមូល) ហើយត្រូវបានគាំទ្រទៅដោយចំណេះដឹងរបស់អង្គភាព ដោយផ្តល់នូវទិដ្ឋភាពមួយច្បាស់ជាក់លាក់ ពីវិីធីសាស្ត្រដែលអ្នកវាយប្រហារដំណើរការ។

គុណសម្បត្តិ៖ ធ្វើការកំណត់បាននូវផ្លូវនៃការវាយប្រហារជាក់ស្តែង, មានផលប៉ៈពាល់ទៅដល់អាជីវកម្ម
គុណវិបត្តិ៖ ការវាយប្រហារគឺត្រូវបានធ្វើឡើងដោយប្រើប្រាស់ផ្លូវខ្លីបំផុត ហើយប្រហែលជាមិនបានគ្របដណ្តប់ប្រព័ន្ធទាំងអស់ឡើយ, មិនបានធ្វើតេស្តទៅលើ ការឃ្លាំមើល (detection) និងសមត្ថភាពឆ្លើយតប (response capabilities)

Targeted attack simulation

ការធ្វើតេស្តឲ្យដូចទៅនឹងការវាយប្រហារជាក់ស្តែង (attack simulation) គឺធ្វើឡើងក្នុងគោលបំណងសម្រេចឲ្យបានគោលដៅដូចគ្នាទៅនឹង goal-driven penetration test ដែរ ប៉ុន្តែវាត្រូវបានធ្វើឡើងក្នុងទិដ្ឋភាពដូចគ្នាទៅនឹងការវាយប្រហារជាក់ស្តែងដែលអាចកើតមានឡើង។ ដំណាក់កាលនិមួយៗនៃការវាយប្រហារ ចាប់ផ្តើមចេញពីការស្វែងរកព័ត៌មាន រហូតដល់ការបញ្ចេញឯកសារទៅខាងក្រៅ។ ការធ្វើបែបនេះ គឺដើម្បីកំណត់បាននូវលទ្ធភាពរបស់ អ្នកវាយប្រហារ ក៏ដូចជាសមត្ថភាពនៃការចាប់បាន (detection) និងឆ្លើយតប (respond) នៅក្នុងរយៈពេលសមស្របណាមួយ។

គុណសម្បត្តិ៖ បង្ហាញឲ្យយើងឃើញនូវសមត្ថភាពក្នុងការចាប់បាន (detection) និងឆ្លើយតប (respond), បច្ចេកទេសដែលប្រើប្រាស់គឺសីុគ្នាទៅនឹង បរិបទជាក់ស្តែងនៃការវាយប្រហារ
គុណវិបត្តិ៖ ត្រូវការធនធានច្រើន

ប្រភព៖

https://www.linkedin.com/pulse/what-do-we-mean-penetration-test-ben-downton

Show More
Apsara Media Services (AMS)

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Check Also
Close
Back to top button