EN ID TH
Other Compliance → Biometrics

Biometric Security Testing

Security testing for Biometric Authentication systems ทั้งในส่วน Fingerprint, Face และ Behavioural พร้อมการตรวจประเมิน Liveness Detection อย่างเต็มรูปแบบ

Biometric Authentication ได้กลายเป็นมาตรการควบคุมหลักในระบบการเงิน ภาครัฐ และ workflow ด้าน Identity ความปลอดภัยของระบบขึ้นอยู่กับองค์ประกอบ 3 ส่วนหลัก ได้แก่ Sensor, Matching Engine และชั้น Liveness Detection หรือ Presentation Attack Detection ซึ่งมักเป็นจุดอ่อนที่ถูกโจมตีบ่อยที่สุด โดยบริการของเราครอบคลุมการทดสอบเชิงลึกในทั้ง 3 ส่วนนี้

ขอบเขตการดำเนินงานครอบคลุมทั้ง Passive และ Active Liveness Detection, Presentation Attack Detection (PAD) เช่น 2D, Video, Mask และ Morph Attacks รวมถึง application flows รอบข้าง เช่น Enrolment, Recovery และ Step-up ตลอดจน fallback paths ที่มักสลับกลับไปใช้ Authentication ที่อ่อนแอกว่าเมื่อ Biometric ล้มเหลว

ทำไมจึงสำคัญ

ความเสี่ยงที่ต้องพิจารณา

Liveness คือจุดที่การโจมตีส่วนใหญ่ทำสำเร็จ

Face matching ในปัจจุบันแข็งแรงมาก แต่ Liveness Detection ซึ่งเป็นชั้นที่ใช้ยืนยันว่ามีมนุษย์จริงอยู่หน้าอุปกรณ์ มักเป็นจุดที่ Presentation Attack เจาะผ่านได้ในการทดสอบภาคปฏิบัติจริง

ช่องทางสำรองที่บกพร่องลดทอนประสิทธิภาพระบบรักษาความปลอดภัยหลักอย่างสิ้นเชิง

เมื่อ Biometric Authentication ล้มเหลว แอปพลิเคชันมักสลับกลับไปใช้ Authentication ที่อ่อนแอกว่า ทำให้ Hacker มักเลือกโจมตีช่องทางสำรองแทนที่จะชนกับเส้นทางที่แข็งแรงกว่า

รูปแบบการดำเนินงาน

แนวทางการทำงานที่มีโครงสร้างชัดเจน ขับเคลื่อนด้วยข้อมูลเชิงลึกในทุกการทดสอบ

ทุกโครงการดำเนินตามแนวทางที่มีระเบียบวินัยเดียวกันผ่านแพลตฟอร์ม Velocity เพื่อให้คุณภาพ การติดตามตรวจสอบ และการรายงานมีมาตรฐานเดียวกันในทุกทีม

การกำหนดขอบเขต

กำหนดสินทรัพย์ สภาพแวดล้อม ข้อกำหนดในการทดสอบ และเกณฑ์การยอมรับร่วมกับผู้เกี่ยวข้องด้านเทคนิคและความปลอดภัย

การดำเนินการ

การทดสอบแบบ Manual และด้วยเครื่องมือโดยที่ปรึกษาที่ได้รับการรับรอง CREST พร้อมเก็บหลักฐานในทุกขั้นตอน

การตรวจสอบความถูกต้อง

ทุกการค้นพบจะถูกทำซ้ำ ประเมินระดับความเสี่ยงด้วย CVSS และยืนยันโดยที่ปรึกษาท่านที่สองก่อนรายงานผล

การรายงาน

รายงานที่ลงนามด้วยรหัส พร้อมการอ้างอิง Test Case การจัดระดับความรุนแรง ขั้นตอนการทำซ้ำ และแนวทางแก้ไข

สรุปผลและการทดสอบซ้ำ

การประชุมสรุปผลกับผู้เกี่ยวข้อง การช่วยจัดลำดับความสำคัญ และการทดสอบซ้ำหลังการแก้ไข

มาตรฐานและกรอบการทำงาน

อ้างอิงมาตรฐานสากลที่ได้รับการยอมรับ

ISO/IEC 30107 Presentation Attack Detection
NIST FRVT
FIDO Biometric Component Certification
หลักเกณฑ์และแนวทางปฏิบัติจากหน่วยงานกำกับดูแลเฉพาะภาคธุรกิจ

ทดสอบการป้องกันของท่านกับผู้เชี่ยวชาญด้านการรักษาความปลอดภัยเชิงรุก

ปรึกษาที่ปรึกษาที่ได้รับการรับรอง CREST เกี่ยวกับการทดสอบ Penetration Testing ครั้งถัดไปของท่าน

ปรึกษาผู้เชี่ยวชาญ