EN ID TH
Other Compliance Reviews

การตรวจสอบความสอดคล้องอื่น ๆ

Penetration Testing โดยผู้เชี่ยวชาญเฉพาะทาง นอกเหนือไปจากระบบเว็บ โมบายล์ และเครือข่ายแบบดั้งเดิม เพื่อรองรับเทคโนโลยีที่จะกลายมาเป็นเป้าหมายโจมตีหลักในทศวรรษหน้า

การทดสอบระบบเว็บ โมบายล์ และเครือข่าย ครอบคลุมช่องทางส่วนใหญ่ที่เสี่ยงต่อการถูกโจมตีในปัจจุบัน แต่องค์กรทั่วภูมิภาคกำลังใช้งานเทคโนโลยีที่ Penetration Testing กระแสหลักแทบไม่แตะมากขึ้นเรื่อย ๆ ไม่ว่าจะเป็นตู้ ATM และเครื่องรับชำระเงิน อุปกรณ์ IoT และอุปกรณ์เชื่อมต่อ ระบบยืนยันตัวตนด้วย Biometric โปรโตคอลบล็อกเชน แอปพลิเคชันที่ขับเคลื่อนด้วย LLM ตลอดจนแพลตฟอร์มสำเร็จรูปสำหรับองค์กร (COTS) ที่ต้องอาศัยการตั้งค่าจำนวนมาก

เทคโนโลยีแต่ละประเภทต่างมี Attack Model ข้อกำหนดด้านหลักฐาน และลักษณะความผิดพลาดของระบบที่ต่างกันไป วิธีการทดสอบแบบทั่วไปจึงมักพลาดสิ่งสำคัญจริง ๆ Vantage Point จึงลงทุนโดยตรงกับการวิจัย เครื่องมือ และขีดความสามารถภาคปฏิบัติที่จำเป็น เพื่อให้การทดสอบเหล่านี้น่าเชื่อถือ จากนั้น Velocity จะนำผลงานนั้นเข้าสู่การให้บริการจริงเป็น Test Case ที่เชื่อมโยงมาตรฐานและทำซ้ำได้

ทำไมจึงสำคัญ

ความเสี่ยงที่ต้องพิจารณา

ระบบเหล่านี้มีผลกระทบที่ไม่สมมาตรกัน

เมื่อตู้ ATM เครื่องชำระเงิน ระบบ Biometric หรือ LLM ใน Production เกิดความล้มเหลว ผลที่ตามมามักส่งผลกระทบถึงลูกค้าโดยตรงและในทันที ไม่ใช่เพียงเหตุการณ์ใน Back-End

วิธีการทดสอบยังคงพัฒนาอยู่

แนวทางของอุตสาหกรรมสำหรับ AI/LLM, IoT และ Blockchain เป็นเรื่องใหม่จริง ๆ ความลึกของการทดสอบแตกต่างกันอย่างมากระหว่างผู้ให้บริการ การเลือกผู้ทดสอบที่มีการวิจัยเชิงปฏิบัติในด้านนี้สำคัญกว่าการทดสอบทั่วไป

หน่วยงานกำกับดูแลกำลังตามทันอย่างรวดเร็ว

EU CRA, แนวทางระบบ AI ของ MAS/CSA Singapore และข้อกำหนดของธนาคารกลางสำหรับความปลอดภัยของ ATM และเครื่องชำระเงิน ล้วนกำลังเข้มงวดขึ้น การทดสอบที่ขับเคลื่อนด้วยหลักฐานในวันนี้ ช่วยหลีกเลี่ยงต้นทุนการปรับปรุงในวันพรุ่งนี้

ขอบเขตและการครอบคลุม

สิ่งที่เราทดสอบ

Physical และ Embedded

การทดสอบเชิงปฏิบัติกับอุปกรณ์ที่สัมผัสลูกค้าและเงินโดยตรง ครอบคลุมทั้งฮาร์ดแวร์ เฟิร์มแวร์ และเครือข่ายในโครงการเดียว

  • ตู้ ATM และ Cash Deposit Machines
  • เครื่องชำระเงิน (POS, mPOS, ไร้คนดูแล)
  • อุปกรณ์ IoT และอุปกรณ์เชื่อมต่อ (สอดคล้องกับ EU CRA)
  • ตู้ Kiosk และ Self-Service Terminal
  • อุปกรณ์ภาคอุตสาหกรรม / OT เมื่ออยู่ในขอบเขต

เทคโนโลยีใหม่และความเสี่ยงสูง

ความเชี่ยวชาญเฉพาะทางในพื้นที่ที่ Penetration Testing แบบดั้งเดิมมีขีดจำกัด ขับเคลื่อนด้วย R&D ภายในและการแข่งขัน CTF

  • Biometrics — Fingerprint, Face, Behavioural, Liveness Detection
  • Blockchain ครอบคลุม Smart Contract, Wallet และ Protocol Layer
  • LLM / AI ครอบคลุม Prompt Injection, Model Evasion และการใช้ Agent ในทางที่ผิด
  • แพลตฟอร์ม COTS ได้แก่ Salesforce, SAP, Microsoft Dynamics
สิ่งที่เรามักพบ

ช่องโหว่ที่เรามักพบจากการทดสอบในลักษณะนี้

ข้อมูลที่นำเสนอเป็นกลุ่มช่องโหว่ที่ที่ปรึกษาของเรามักพบจากการทดสอบในลักษณะเดียวกัน ความรุนแรงและความถี่จะแตกต่างกันตามสภาพแวดล้อมและระดับความพร้อมของแต่ละองค์กร

ช่องโหว่ด้านการงัดแงะและ Skimming ของฮาร์ดแวร์

ตัวเครื่อง ATM ที่สามารถเปิดได้ด้วยเครื่องมือทั่วไป, Debug Port ที่เปิดเผยบนเครื่องชำระเงิน, และการออกแบบ Card Reader ที่เอื้อต่อการติด Skimmer

ช่องโหว่ในเฟิร์มแวร์ของ IoT

Credentials ที่ Hardcode ในเฟิร์มแวร์, การอัปเดตเฟิร์มแวร์ที่ไม่ได้ลงนาม, Debug Service ที่เปิดอยู่บน Production Build และ Cryptography ที่อ่อนแอบนช่องทางจากอุปกรณ์สู่คลาวด์

Biometric Bypass Surface

Liveness Detection ที่หลอกได้ด้วย 2D Image หรือ Video, Fallback Flow ที่ย้อนกลับไปใช้ Authentication ที่อ่อนแอกว่า และช่องโหว่ในการจัดเก็บ Template

ช่องโหว่ Logic ของ Smart Contract

Re-Entrancy, ข้อผิดพลาดของ Access Control ในฟังก์ชัน Admin, เส้นทางการ Manipulate Oracle และข้อผิดพลาดของ Upgradeable Proxy

ความเสี่ยงในแอปพลิเคชัน LLM

Indirect Prompt Injection ผ่านเอกสารที่ดึงจาก Retrieval การใช้งานในทางที่ผิด ของ Tool-Calling ใน Agent การ Exfiltrate ข้อมูลผ่าน Output ของโมเดล และ Jailbreak ที่เข้าถึงฟังก์ชัน Back-End ได้

การตั้งค่าที่ไม่ปลอดภัยของ COTS

Salesforce Sharing Rule ที่เปิดเผย PII, SAP Authorisation Object ที่ให้สิทธิ์มากเกินไป และ Dynamics Security Role ที่ถูกข้ามใน Custom Flow

รูปแบบการดำเนินงาน

แนวทางการทำงานที่มีโครงสร้างชัดเจน ขับเคลื่อนด้วยข้อมูลเชิงลึกในทุกการทดสอบ

ทุกโครงการดำเนินตามแนวทางที่มีระเบียบวินัยเดียวกันผ่านแพลตฟอร์ม Velocity เพื่อให้คุณภาพ การติดตามตรวจสอบ และการรายงานมีมาตรฐานเดียวกันในทุกทีม

การกำหนดขอบเขต

กำหนดสินทรัพย์ สภาพแวดล้อม ข้อกำหนดในการทดสอบ และเกณฑ์การยอมรับร่วมกับผู้เกี่ยวข้องด้านเทคนิคและความปลอดภัย

การดำเนินการ

การทดสอบแบบ Manual และด้วยเครื่องมือโดยที่ปรึกษาที่ได้รับการรับรอง CREST พร้อมเก็บหลักฐานในทุกขั้นตอน

การตรวจสอบความถูกต้อง

ทุกการค้นพบจะถูกทำซ้ำ ประเมินระดับความเสี่ยงด้วย CVSS และยืนยันโดยที่ปรึกษาท่านที่สองก่อนรายงานผล

การรายงาน

รายงานที่ลงนามด้วยรหัส พร้อมการอ้างอิง Test Case การจัดระดับความรุนแรง ขั้นตอนการทำซ้ำ และแนวทางแก้ไข

สรุปผลและการทดสอบซ้ำ

การประชุมสรุปผลกับผู้เกี่ยวข้อง การช่วยจัดลำดับความสำคัญ และการทดสอบซ้ำหลังการแก้ไข

มาตรฐานและกรอบการทำงาน

อ้างอิงมาตรฐานสากลที่ได้รับการยอมรับ

EU Cyber Resilience Act
PCI PIN / PTS / P2PE
OWASP LLM Top 10
Vendor baselines (Salesforce, SAP, Dynamics)

ทดสอบระบบที่ Penetration Testing แบบดั้งเดิมมองข้าม

พูดคุยกับผู้เชี่ยวชาญของเราเกี่ยวกับการกำหนดขอบเขตของการทดสอบเฉพาะทางสำหรับ ATM, IoT, Biometrics, Blockchain, แอปพลิเคชัน LLM หรือแพลตฟอร์ม COTS ระดับองค์กร

ปรึกษาผู้เชี่ยวชาญ