PenTest (Penetration Testing) คือการทดสอบเจาะระบบเพื่อค้นหาช่องโหว่และอุดช่องโหว่ก่อนถูกโจมตีจริง
สถิติภัย PenTest ในไทย
- ในปี 2567 พบการโจมตีทางไซเบอร์ที่ซับซ้อนและเฉพาะเจาะจงมากขึ้น โดยมุ่งเป้าหมายที่มีมูลค่าสูง และมีการใช้เทคนิคที่ซับซ้อนมากขึ้น (ที่มา: แคสเปอร์สกี้, สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ)
ประเภทของ PenTest
- Black Box: ทดสอบโดยไม่รู้ข้อมูลภายในระบบ
- White Box: ทดสอบโดยรู้ข้อมูลภายในระบบทั้งหมด
- Gray Box: ทดสอบโดยรู้ข้อมูลบางส่วน
- External: ทดสอบจากภายนอกเครือข่าย
- Internal: ทดสอบจากภายในเครือข่าย
ขั้นตอนการทำ PenTest
- Planning: วางแผนและกำหนดขอบเขต
- Reconnaissance: เก็บข้อมูลเป้าหมาย
- Scanning: สแกนหาช่องโหว่
- Exploitation: ใช้ประโยชน์จากช่องโหว่
- Post-exploitation: เก็บข้อมูลเพิ่มเติม
- Reporting: สร้างรายงานและแนะนำวิธีแก้ไข
ความคิดเห็น