Intro to Pen-Test
สวัสดีอีกครั้งคับ คิดว่าหลายคนที่อยู่ในวงการ IT โดยเฉพาะอย่างยิ่งคนที่ทำงานเกี่ยวกับด้าน Information Security คงจะเคยได้ยินคำว่า Pen Test กันมาบ้างไม่มากก็น้อยล่ะนะคับ ไม่ใช่คับ…มันไม่ใช่การทดลองปากกา แต่จริงๆแล้วมันย่อมาจาก Penetration Test ซึ่งก็คือการตรวจสอบความปลอดภัยของระบบ Network และข้อมูลที่สำคัญ โดยใช้วิธีการหาช่องโหว่ต่างๆ (Vulnerability) แล้วก็อุดมัน เหมือนกับ การที่เราหารูรั่วของเรือแล้วก็อุดมันเพื่อป้องกันไม่ให้เรือจมฉันใดฉันนั้น หรือถ้าหากจะพูดตามภาษาชาวบ้าน Penetration Test ใช้การ Hacking เพื่อก่อประโยชน์มากกว่าใช้เพื่อสร้างความเสียหายอย่างที่ Hacker ทั่วๆไปทำนั่นเองล่ะคับ
ด.ญ. จำเนียน: “พี่แซมคะ แล้ว Pen Test นี่จำเป็นสำหรับบริษัทพ่อหนูมั๊ยคะ…”
ประการแรก มีใครบ้างอยากแจกเงินฟรี?
สิ่งที่ทุกองค์กรกลัวที่สุดก็คือความเสียหายที่ออกมาในรูปของเงินทอง ผมอยากให้ลองคิดถึงความเสียหายที่จะเกิดขึ้นถ้าหากองค์กรถูก hacked คับ เช่น จะเกิดอะไรขึ้นถ้าหากมีใครที่สามารถโอนเงินเข้าบัญชีของตัวเองได้อย่างอำเภอใจ หรือจะเกิดอะไรขึ้นถ้าหากมีใครสามารถสั่งซื้อของ ชำระค่าน้ำค่า ไฟโดยไม่ต้องเสียเงินตัวเองซักบาทเดียว หรือเกิดมีใครสามารถเปลี่ยนให้ซิมโทรศัพท์มือถือของตัวเองกลายเป็นซิม pre-paid ที่ใช้โทรได้ไปอีกเป็นสิบๆปีไม่ต้องเติมเงินอีกเลย ตัวอย่างที่ผมพูดมานี้ไม่ใช่เหตุการณ์สมมุติที่ผมจินตนาการเอาเองหรอกนะคับ แต่มันคือเหตุการณ์ที่เกิดขึ้นจริงๆไม่ใกล้ไม่ไกลในเมืองไทยของเรานี่แหล่ะคับ ลองคิดถามดูนะคับว่าเม็ดเงินจำนวนเท่าไหร่กันที่ผู้ประกอบการจะต้องเสียไปฟรีๆให้กับ Hacker จอมโลภเหล่านี้
สิ่งที่ทุกองค์กรกลัวที่สุดก็คือความเสียหายที่ออกมาในรูปของเงินทอง ผมอยากให้ลองคิดถึงความเสียหายที่จะเกิดขึ้นถ้าหากองค์กรถูก hacked คับ เช่น จะเกิดอะไรขึ้นถ้าหากมีใครที่สามารถโอนเงินเข้าบัญชีของตัวเองได้อย่างอำเภอใจ หรือจะเกิดอะไรขึ้นถ้าหากมีใครสามารถสั่งซื้อของ ชำระค่าน้ำค่า ไฟโดยไม่ต้องเสียเงินตัวเองซักบาทเดียว หรือเกิดมีใครสามารถเปลี่ยนให้ซิมโทรศัพท์มือถือของตัวเองกลายเป็นซิม pre-paid ที่ใช้โทรได้ไปอีกเป็นสิบๆปีไม่ต้องเติมเงินอีกเลย ตัวอย่างที่ผมพูดมานี้ไม่ใช่เหตุการณ์สมมุติที่ผมจินตนาการเอาเองหรอกนะคับ แต่มันคือเหตุการณ์ที่เกิดขึ้นจริงๆไม่ใกล้ไม่ไกลในเมืองไทยของเรานี่แหล่ะคับ ลองคิดถามดูนะคับว่าเม็ดเงินจำนวนเท่าไหร่กันที่ผู้ประกอบการจะต้องเสียไปฟรีๆให้กับ Hacker จอมโลภเหล่านี้
ประการที่สอง คุณแน่ใจแล้วหรือว่าระบบการจัดการความปลอดภัยของคุณยังคงปลอดภัยอยู่?
คุณอาจจะมี IDS, IPS วางอยู่ที่ประตูใหญ่ ก่อนที่จะทะลุเข้ามาจนถึงกำแพงไฟ (Firewall) อีกสี่ชั้น ก่อนที่จะมี dynamic password หรือ cryptographic token เป็นนายทหารคอยคุมในแต่ละประตูย่อยก่อนเข้าสู่ข้อมูลอีกที แต่นั่นไม่ได้หมายความว่าจะไม่มีผู้ใดที่สามารถผ่านเข้าไปจนถึงด่านสุดท้ายได้หรอกคับ เพราะยังมีความจริงอยู่ข้อนึงก็คือไม่ว่าระบบจะน่าเชื่อถือ ฉลาดและราคาแพงซักเพียงใด ระบบเหล่านั้นถูกคุมด้วย admin ซึ่งเป็นมนุษย์คับ ยิ่งระบบมีความซับซ้อนเท่าไหร่ ความผิดพลาดที่จะก่อให้เกิดช่องโหว่ก็มากเท่านั้นล่ะคับ การจัดการเรื่องพวกนี้มันก็เหมือนกับการเล่นเกมเดาใจนั่นแหล่ะคับ เปิด policy นี้ ปิด port นั้น hacker คงหาทางเข้ามาไม่ได้แล้วล่ะน่า แต่จะไล่ปิดแค่ไหนก็ตาม ยังไงคงต้องมีซักประตูที่คุณเว้นเอาไว้เพื่อให้คนของคุณสามารถติดต่อสื่อสารกับภายนอกได้อยู่ดีล่ะคับ hacker ก็คือมนุษย์เหมือนกับคับ แต่เค้าคือมนุษย์ที่ฉลาด วันนี้เข้าประตูนี้ไม่ได้ วันอื่นก็ต้องหาทางเข้ามาจนได้ล่ะคับ
คุณอาจจะมี IDS, IPS วางอยู่ที่ประตูใหญ่ ก่อนที่จะทะลุเข้ามาจนถึงกำแพงไฟ (Firewall) อีกสี่ชั้น ก่อนที่จะมี dynamic password หรือ cryptographic token เป็นนายทหารคอยคุมในแต่ละประตูย่อยก่อนเข้าสู่ข้อมูลอีกที แต่นั่นไม่ได้หมายความว่าจะไม่มีผู้ใดที่สามารถผ่านเข้าไปจนถึงด่านสุดท้ายได้หรอกคับ เพราะยังมีความจริงอยู่ข้อนึงก็คือไม่ว่าระบบจะน่าเชื่อถือ ฉลาดและราคาแพงซักเพียงใด ระบบเหล่านั้นถูกคุมด้วย admin ซึ่งเป็นมนุษย์คับ ยิ่งระบบมีความซับซ้อนเท่าไหร่ ความผิดพลาดที่จะก่อให้เกิดช่องโหว่ก็มากเท่านั้นล่ะคับ การจัดการเรื่องพวกนี้มันก็เหมือนกับการเล่นเกมเดาใจนั่นแหล่ะคับ เปิด policy นี้ ปิด port นั้น hacker คงหาทางเข้ามาไม่ได้แล้วล่ะน่า แต่จะไล่ปิดแค่ไหนก็ตาม ยังไงคงต้องมีซักประตูที่คุณเว้นเอาไว้เพื่อให้คนของคุณสามารถติดต่อสื่อสารกับภายนอกได้อยู่ดีล่ะคับ hacker ก็คือมนุษย์เหมือนกับคับ แต่เค้าคือมนุษย์ที่ฉลาด วันนี้เข้าประตูนี้ไม่ได้ วันอื่นก็ต้องหาทางเข้ามาจนได้ล่ะคับ
ประการที่สาม คุณ Proactive พอแล้วรึยัง?เมื่อไม่มีระบบการป้องกันใดที่ Perfect Pen Test จะช่วยวัดระดับความสามารถของระบบในการป้องกันการบุกรุกได้มากน้อยเพียงใด ซึ่งผลที่ได้จะออกมาในรูปแบบของการคำนวณความเสี่ยงที่ตามมาจากรูรั่วต่างๆ ซึ่งค่าตรงนี้แหล่ะที่สามารถบอกเราได้ว่ารูรั่วไหนกันที่เราควรจะปิดก่อน ปิดหลัง (Prioritization) หรือถ้าปิดไม่ได้เราควรวางแผน Plan A, Plan B หรือ Plan C ยังไงเพื่อให้เกิดผลกระทบน้อยที่สุด
ด.ญ. จำเนียน: “แล้วถ้าพ่อหนูอยากทำ Pen Test หนูควรจะแนะนำให้พ่อทำเมื่อไหร่ดีคะ”
คำถามนี้ตอบง่ายมาก คำตอบคือควรจะทำเป็นประจำคับเพื่อสร้างความมั่นใจว่าระบบของเรายังคงปลอดภัยดีอยู่เสมอ เพราะแน่นอนคับอาจมีความเสี่ยงใหม่ๆเกิดขึ้นได้เสมอเช่นกัน นอกจากนี้เวลาที่เหมาะเจาะที่ควรจะทำ Pen Test ก็คือเมื่อไหร่ก็ตามที่องค์กรของคุณมีการวางระบบ Network หรือ Application ใหม่ๆ หรือมีการ Upgrade หรือแม้กระทั่งการย้ายสถานที่ตั้งก็ตามคับ
จะเห็นได้ว่า การทำ Pen Test นั้น ผลพลอยได้ก็คือ Pen Test ยังช่วยให้เราสามารถประเมินความคุ้มค่าที่บริษัทลงทุนไปกับอุปกรณ์ Security ต่างๆ ช่วยคงภาพพจน์อันดีของบริษัทที่มีต่อลูกค้า และเหมาะอย่างยิ่งกับองค์กรที่ต้องการเตรียมตัวเพื่อยกระดับมาตรฐานความปลอดภัยให้เข้ากับ Framework ที่โด่งดังต่างๆอย่างเช่น HIPAA, PCI และ Sarbanes Oxley อีกด้วย
