EN ID TH
Infrastructure Security

การตรวจสอบความปลอดภัยของโครงสร้างพื้นฐาน

การรักษาความปลอดภัยในระดับโครงสร้างพื้นฐานครอบคลุมเครือข่าย เซิร์ฟเวอร์ อุปกรณ์ปลายทาง และอุปกรณ์เครือข่าย รวมถึงการประเมินช่องโหว่เครือข่ายและการตรวจสอบ Configuration เทียบกับ CIS Benchmarks, Vendor Baselines และนโยบายด้านความปลอดภัยขององค์กรคุณ

องค์กรส่วนใหญ่ในปัจจุบันยังคงขับเคลื่อนด้วยโครงสร้างพื้นฐานที่สร้างสะสมมานานหลายปี ซึ่งเป็นการผสมผสานกันระหว่างระบบ On-premise, Cloud-hosted, Virtualized และ Edge โดยเชื่อมต่อทั้งหมดเข้าด้วยกันด้วยมาตรการควบคุมเครือข่ายและการตั้งค่าความปลอดภัยที่แทบไม่เคยมีการทบทวนแบบครบทั้งระบบ การรักษาความปลอดภัยโครงสร้างพื้นฐานจึงมุ่งเน้นไปที่จุดนี้ นั่นคือการระบุช่องโหว่ที่โจมตีได้จริงและ Posture Drift ก่อนที่ Hacker จะค้นพบ

บริการความปลอดภัยด้านโครงสร้างพื้นฐานของเราครอบคลุมการดำเนินงาน 2 รูปแบบที่เสริมกัน การประเมินช่องโหว่ของเครือข่าย (Network Vulnerability Assessment) ให้ความครอบคลุมแบบอัตโนมัติในวงกว้างพร้อมการคัดกรองโดยที่ปรึกษา เหมาะสำหรับการเฝ้าระวัง Posture อย่างต่อเนื่องและใช้เป็นหลักฐานการตรวจสอบ ส่วนการทบทวนการตั้งค่าความปลอดภัย (Security Configuration Review) เจาะลึกกว่า โดยเปรียบเทียบการตั้งค่าจริงของอุปกรณ์ เซิร์ฟเวอร์ และแพลตฟอร์มกับ Hardening Baseline ที่เป็นมาตรฐาน

การดำเนินงานทั้งสองรูปแบบจะจับคู่ผลการตรวจสอบเข้ากับมาตรฐาน CIS Benchmarks แนวทางปฏิบัติของผู้ผลิต (เช่น Microsoft, Cisco, Red Hat, VMware) รวมถึงชุดการควบคุมทางเทคนิคในมาตรฐาน ISO 27001:2022, PCI DSS และกรอบข้อกำหนดของหน่วยงานกำกับดูแลในแต่ละภูมิภาค

ทำไมจึงสำคัญ

ความเสี่ยงที่ต้องพิจารณา

การเปลี่ยนแปลงหรือความหย่อนยานของระดับความปลอดภัย (Posture Drift) จะไม่สามารถมองเห็นได้เลยหากไม่มีการทดสอบ

การกำหนดค่าระบบเกิดการเปลี่ยนแปลงอยู่เสมอในทุกการอัปเดตแพตช์ การผลัดเปลี่ยนหน้าที่ของผู้ดูแลระบบ และการแก้ไขปัญหาฉุกเฉิน หากไม่มีการทดสอบเป็นระยะ Hardening ที่ทำเสร็จไปเมื่อ 12 เดือนก่อนอาจไม่สะท้อนความเป็นจริงของระบบ Production อีกต่อไป

การสแกนหาช่องโหว่เพียงอย่างเดียวขาดความเข้าใจในบริบทของระบบ

ระบบสแกนอาจแจ้ง CVE ขึ้นมาหนึ่งรายการ แต่ช่องโหว่นั้นจะโจมตีได้จริงในสภาพแวดล้อมของคุณหรือไม่ ขึ้นอยู่กับการตั้งค่า ตำแหน่งในเครือข่าย และสิ่งที่ Hacker เข้าถึงต่อได้จากจุดนั้น การคัดกรองโดยที่ปรึกษาคือสิ่งที่ปิดช่องว่างนี้

ผู้ตรวจสอบเรียกขอหลักฐานที่สอดคล้องกับ Benchmark มากขึ้นเรื่อย ๆ

หลักฐานการกำหนดค่าระบบที่สอดคล้องกับมาตรฐาน CIS กำลังกลายเป็นมาตรฐานตามความเป็นจริง (De-facto Standard) ที่ผู้ประเมินระบบและลูกค้าคาดหวัง โดยเฉพาะอย่างยิ่งในกลุ่มธุรกิจที่มีหน่วยงานกำกับดูแลอย่างเข้มงวด

ขอบเขตและการครอบคลุม

สิ่งที่เราทดสอบ

Network vulnerability assessment

การสแกนสินทรัพย์ที่สามารถเข้าถึงได้ผ่านระบบเครือข่ายอย่างครอบคลุมในวงกว้าง พร้อมการคัดกรองและวิเคราะห์โดยที่ปรึกษาผู้เชี่ยวชาญเพื่อแยกแยะภัยคุกคามจริงออกจากข้อมูลรบกวน

  • อุปกรณ์เครือข่าย เซิร์ฟเวอร์ และอุปกรณ์ปลายทาง
  • การครอบคลุมทั้งภายนอกและภายในองค์กร
  • ข้อผิดพลาดของ Configuration และ Patch ที่ขาดหาย
  • การระบุช่องโหว่ที่จัดลำดับตามระดับความเสี่ยง
  • รายงานที่สอดคล้องกับข้อกำหนด Compliance

CIS Benchmarks

การวิเคราะห์ Configuration เชิงลึก โดยเปรียบเทียบ Posture ปัจจุบันกับ Hardening Baseline ของ CIS

  • ระบบปฏิบัติการ (Windows, Linux, macOS)
  • อุปกรณ์เครือข่าย (Firewall, Switch, Router)
  • Hypervisor และแพลตฟอร์ม Virtualisation
  • ฐานข้อมูล (SQL Server, Oracle, PostgreSQL, MySQL)
  • การกำหนดค่า Endpoint และ EDR
สิ่งที่เรามักพบ

ช่องโหว่ที่เรามักพบจากการทดสอบในลักษณะนี้

ข้อมูลที่นำเสนอเป็นกลุ่มช่องโหว่ที่ที่ปรึกษาของเรามักพบจากการทดสอบในลักษณะเดียวกัน ความรุนแรงและความถี่จะแตกต่างกันตามสภาพแวดล้อมและระดับความพร้อมของแต่ละองค์กร

การขาด Patch บนบริการที่เปิดเผย

บริการที่เปิดสู่อินเทอร์เน็ตที่ใช้เวอร์ชันมีช่องโหว่ RCE ที่ทราบแล้ว, บริการภายในที่ Patch ช้ากว่ากำหนดหลายเดือนสำหรับการอัปเดตที่สำคัญ และระบบ Legacy ที่ไม่มีเส้นทางการแก้ไข

โปรโตคอลที่อ่อนแอที่ยังเปิดใช้งาน

SSLv3 / TLS 1.0 บนบริการภายนอก, SMBv1 ใน Internal Segment และ Cipher Suite ที่ล้าสมัยที่ยังยอมรับบน Management Interface

การตั้งค่าที่เบี่ยงเบนไปจาก Baseline

การ Hardening ที่ถูก Revert หลังการแก้ปัญหา รหัสผ่านเริ่มต้นที่ไม่เคยเปลี่ยน การปิด Audit Setting แบบ "ชั่วคราว" และบัญชี Local Admin ที่เพิ่มจำนวนขึ้นเรื่อย ๆ

ช่องว่างใน Network Segmentation

เครือข่ายแบบแบนที่ไม่มีการแยกระหว่าง Subnet ของผู้ใช้และเซิร์ฟเวอร์, Firewall Rule ที่อนุญาตกว้างเกินไป และการขาด Egress Control

ช่องว่างใน Logging และ Monitoring

โครงสร้างพื้นฐานที่สำคัญไม่ส่ง Log ไปยัง SIEM, ระยะเวลาเก็บ Log สั้นกว่าที่ Incident Response ต้องการ และการแจ้งเตือนที่ทำงานอยู่แต่ไม่มีผู้รับผิดชอบ

ช่องทางโจมตีหรือความเสี่ยงที่ถูกละเลย

บริการที่ Decommission แต่ยังคงทำงานอยู่, สภาพแวดล้อม Test ที่เข้าถึงได้จาก Production และ Legacy VPN Endpoint ที่มี Authentication อ่อนแอ

รูปแบบการดำเนินงาน

การตรวจสอบโครงสร้างพื้นฐานทุกชิ้นอย่างเป็นระบบและครอบคลุม

แต่ละโครงการดำเนินการอย่างเป็นขั้นตอนผ่านเครือข่าย เซิร์ฟเวอร์ อุปกรณ์ปลายทาง และอุปกรณ์ต่าง ๆ โดยเปรียบเทียบ Configuration จริงกับ CIS, Vendor Baselines และการควบคุมเชิงเทคนิคที่หน่วยงานกำกับดูแลและผู้ตรวจสอบขององค์กรคุณคาดหวัง

การกำหนดขอบเขต

กำหนดสินทรัพย์ สภาพแวดล้อม ข้อกำหนดในการทดสอบ และเกณฑ์การยอมรับร่วมกับผู้เกี่ยวข้องด้านเทคนิคและความปลอดภัย

การดำเนินการ

การทดสอบแบบ Manual และด้วยเครื่องมือโดยที่ปรึกษาที่ได้รับการรับรอง CREST พร้อมเก็บหลักฐานในทุกขั้นตอน

การตรวจสอบความถูกต้อง

ทุกการค้นพบจะถูกทำซ้ำ ประเมินระดับความเสี่ยงด้วย CVSS และยืนยันโดยที่ปรึกษาท่านที่สองก่อนรายงานผล

การรายงาน

รายงานที่ลงนามด้วยรหัส พร้อมการอ้างอิง Test Case การจัดระดับความรุนแรง ขั้นตอนการทำซ้ำ และแนวทางแก้ไข

สรุปผลและการทดสอบซ้ำ

การประชุมสรุปผลกับผู้เกี่ยวข้อง การช่วยจัดลำดับความสำคัญ และการทดสอบซ้ำหลังการแก้ไข

มาตรฐานและกรอบการทำงาน

อ้างอิงมาตรฐานสากลที่ได้รับการยอมรับ

CIS Benchmarks
NIST SP 800-53
ISO 27001:2022
PCI DSS v4.0
Vendor hardening guides
ผลที่ส่งมอบ

รายงานที่ออกแบบมาสำหรับงานตรวจสอบ ทีมวิศวกร และผู้บริหาร

ทุกโครงการจะส่งมอบเอกสารหลักฐานที่ตรวจสอบได้ ติดตามได้ และพร้อมส่งหน่วยงานกำกับดูแล, สร้างผ่าน Velocity และลงนามด้วยรหัสเพื่อการตรวจสอบความถูกต้อง

PDF · JSON · XML · CSV · รองรับรายงานหลายภาษา · CVSS 3.0 / 3.1 / 4.0

  • รายงานฉบับสมบูรณ์พร้อมลายเซ็นดิจิทัล
  • Finding ช่องโหว่พร้อมการคัดกรองความเป็นไปได้ในการใช้ประโยชน์
  • รายการ Configuration ที่คลาดเคลื่อนไปจาก Benchmark
  • แผนการแก้ไขที่จัดลำดับและให้คะแนน CVSS
  • รายงานสรุปสำหรับผู้บริหารและ Risk Heatmap
  • การทดสอบซ้ำหลังการแก้ไข
คำถามที่พบบ่อย

คำถามจากผู้สนใจใช้บริการ

บริการนี้แตกต่างจากการใช้เครื่องมือสแกนของเราเองอย่างไร? +

การสแกนเป็นเพียงข้อมูลนำเข้าส่วนหนึ่งเท่านั้น คุณค่าที่แท้จริงอยู่ที่การคัดกรองโดยที่ปรึกษา ไม่ว่าจะเป็นการตรวจสอบความถูกต้องของสิ่งที่พบ การกรอง False Positive การประเมินความเป็นไปได้ในการโจมตีตามสภาพแวดล้อมของคุณ และการแปลงผลลัพธ์เป็นแผนแก้ไขจัดลำดับความสำคัญที่คณะกรรมการอ่านเข้าใจได้

การทดสอบจะกระทบต่อ Production Environment หรือไม่? +

การสแกนหาช่องโหว่ออกแบบมาไม่ให้กระทบการทำงานของระบบที่ความเข้มข้นปกติ โดยเราจะตกลงช่วงเวลาสแกนและรายการยกเว้นร่วมกับคุณก่อนเริ่มงาน และหลีกเลี่ยงสินทรัพย์ที่ทราบว่าเปราะบาง เว้นแต่จะระบุไว้ในขอบเขตอย่างชัดเจน

ควรทดสอบโครงสร้างพื้นฐานบ่อยเพียงใด? +

องค์กรที่อยู่ภายใต้การกำกับดูแลส่วนใหญ่จะทำการสแกนภายนอกทุกไตรมาส การสแกนภายในและการตรวจสอบ Configuration ทุกปี และการทบทวนเมื่อเกิดการเปลี่ยนแปลงที่สำคัญ โครงการสามารถออกแบบเป็นแบบครั้งเดียวหรือเป็นโปรแกรมต่อเนื่องได้

รองรับทั้ง On-Premises และ Cloud หรือไม่? +

รองรับ สภาพแวดล้อมแบบ Hybrid คือมาตรฐานปกติในปัจจุบัน การทดสอบ Identity และ Configuration เฉพาะของคลาวด์ดำเนินการภายใต้บริการ Cloud Security ของเรา ซึ่งโดยทั่วไปจะรวมไว้ในโครงการเดียวกัน

ทดสอบการป้องกันของท่านกับผู้เชี่ยวชาญด้านการรักษาความปลอดภัยเชิงรุก

ปรึกษาที่ปรึกษาที่ได้รับการรับรอง CREST เกี่ยวกับการทดสอบ Penetration Testing ครั้งถัดไปของท่าน

ปรึกษาผู้เชี่ยวชาญ