เริ่มจากคำถามที่ว่าเราจะทำ penetration testing อย่างไรให้ได้คุณภาพและรักษาคุณภาพงานให้มีความสม่ำเสมอได้ทุก project คือไม่ว่า project ไหนหรือใครเป็นคนทำถ้าเป็นผลงานจากบริษัท MAYASEVEN งานจะต้องออกมามีคุณภาพเหมือนกันทุก project

       จากคำถามนั้น ทีมเราได้ช่วยกัน research พวกกระบวนการทดสอบเจาะระบบ, หลักการ, มาตรฐาน, คู่มือ ที่เกี่ยวกับการทำ penetration testingmethodology ที่มีอยู่ในปัจจุบันเฉพาะตัวที่มีชื่อเสียงและเป็นที่ยอมรับ เพื่อศึกษาว่าเราจะใช้ตัวไหนดีในงานทดสอบเจาะระบบของเรา ปรากฏว่าหลังจากศึกษาเราเริ่มเห็นข้อจำกัดของ penetration testing methodology ของค่ายต่างๆ เช่น เก่าและขาดการปรับปรุงให้ทันสมัย, รายละเอียดการทดสอบไม่ครบถ้วน, test case มีแต่ case พื้นฐาน, ไม่มีวิธีทดสอบเทคโนโลยีใหม่ๆ เป็นต้น รวมถึงเราก็ได้เห็นถึงข้อดีและจุดเด่นของแต่ละ penetration testingmethodology เลยเขียนบทความนี้ขึ้นมาเพื่อเผยแพร่ความรู้ให้ผู้ที่สนใจสายงานทดสอบเจาะระบบหรือ pentester ได้เอาไปต่อยอดกันครับ โดยในบทความนี้เราได้ทำสรุป penetration testing methodology หรือกระบวนการทดสอบเจาะระบบของค่ายต่างๆที่เป็นที่นิยมในการอ้างอิงในการทำ pentest มาให้อ่านว่าค่ายไหนเป็นยังไงบ้าง โดยกำหนดเกณฑ์ขึ้นมา 6 ด้านดังนี้ ความละเอียดในขั้นตอนการทดสอบเจาะระบบ, เนื้อหาครอบคลุมครบถ้วน, เนื้อหาทันสมัยใช้ได้กับปัจจุบัน, มีความน่าเชื่อถือ, เหมาะสำหรับใคร

กลับมาที่คำถามที่ว่าแล้ว MAYASEVEN ใช้ penetration testing methodology ตัวไหนละ?

         คำตอบคือจากการ research ด้านบนเราได้เห็นข้อดีข้อเสียของ penetration testing methodology ค่ายต่างๆแล้ว เราได้ทำการพัฒนา penetration testing framework ของเราขึ้นเองโดยนำจุดเด่นของแต่ละค่ายมาใช้และแก้ไขจุดอ่อนให้หมด โดยทำตามละระบบ PDCA ที่สามารถพัฒนาตัว framework ได้เสมอๆ เมื่อมีข่าวช่องโหว่หรือเทคนิคการเจาะระบบใหม่ๆออกมา สำหรับ penetration testing service ของ MAYASEVEN ลูกค้าสามารถเลือก methodology ที่จะใช้ทดสอบเจาะระบบได้ เช่น ถ้าลูกค้าเลือกว่าให้ใช้ OWASP Testing Guide เราก็จะใช้ OWASP Testing Guide เป็น baseline และเราใช้ MAYASEVEN’s penetration testing framework ร่วมด้วย on top อีกครั้งเพื่อให้การทดสอบมีประสิทธิภาพมากที่สุด

         ในปัจจุบัน MAYASEVEN’s penetration testing framework มีเอกสารหลักการและวิธีการทดสอบเจาะระบบหนาเป็นร้อยๆหน้า โดยเราจะให้องค์กรภายนอกที่น่าเชื่อถือในระดับโลกมาทำการ audit ระบบงานการทดสอบเจาะระบบ (penetration testing service) ของเราและออกใบรับรอง ISO 9001

อ่านบทความเกี่ยวกับระบบความปลอดภัยทางไซเบอร์ได้ที่นี้  คลิก https://bit.ly/2OXa53u

Create Date : 16 สิงหาคม 2562
Last Update : 16 สิงหาคม 2562 15:02:25 น.		0 comments
Counter : 1004 Pageviews.
Share Tweet