EN ID TH
Other Compliance → COTS Platforms

การทดสอบความปลอดภัยระบบ COTS

การตรวจสอบความปลอดภัยของระบบ COTS ระดับองค์กร ไม่ว่าจะเป็น Salesforce, SAP, Dynamics และอื่น ๆ

แพลตฟอร์ม COTS ระดับองค์กร เช่น Salesforce, SAP และ Microsoft Dynamics เป็นศูนย์รวมข้อมูลและกระบวนการทางธุรกิจอันมหาศาลไว้ในที่เดียว ซึ่งความปลอดภัยของระบบเหล่านี้ขึ้นอยู่กับการตั้งค่า โค้ดที่พัฒนาเพิ่มเข้าไป และการเชื่อมต่อระบบ กับสภาพแวดล้อมอื่น ๆ เกือบทั้งหมด ดังนั้น การทำ Penetration testing กับตัวผลิตภัณฑ์ของ Vendor จึงมักไม่ใช่โจทย์ที่ถูกต้อง แต่สิ่งที่ต้องทดสอบอย่างแท้จริงคือ การตั้งค่าเฉพาะขององค์กรคุณเอง

การประเมินระบบ COTS ของเราจะตรวจสอบองค์ประกอบความปลอดภัย เฉพาะของแต่ละแพลตฟอร์ม เช่น Salesforce sharing rules และ profiles, SAP authorisation objects และ S_RFC, Dynamics security roles และ field-level security ควบคู่ไปกับการตรวจสอบโค้ดปรับแต่งเอง ที่มักจะหลีกเลี่ยงมาตรการควบคุมเหล่านี้อย่างเงียบ ๆ โดยผลการตรวจประเมิน จะถูกนำไปเทียบเคียงกับเกณฑ์มาตรฐานความปลอดภัยของผู้พัฒนา ข้อกำหนดการควบคุมการเข้าถึงของ ISO 27001:2022 และข้อกำหนดของหน่วยงานกำกับดูแลสำหรับข้อมูลที่แพลตฟอร์มนั้นจัดเก็บ

ทำไมจึงสำคัญ

ความเสี่ยงที่ต้องพิจารณา

แพลตฟอร์ม COTS ที่เป็นแหล่งศูนย์รวมข้อมูล

การตั้งค่าที่ผิดพลาดของ Salesforce org, ระบบ SAP หรือ Dynamics tenant สามารถทำให้ข้อมูลรั่วไหลได้มากกว่าการเจาะระบบในระดับ Application layer ส่วนใหญ่ และมาตรการควบคุมที่คอยปกป้องระบบเหล่านี้มักจะรอดพ้นจากการตรวจสอบของ Penetration Testing แบบดั้งเดิม

โค้ดที่ปรับแต่งเองเพื่อข้ามการควบคุมของแพลตฟอร์มเป็นประจำ

ไม่ว่าจะเป็นการใช้ภาษา Apex โดยปราศจาก "with sharing", การพัฒนา ABAP ที่ไม่มี Authorisation Check หรือการรันปลั๊กอินด้วยสิทธิ์ความปลอดภัยระดับสูง ทุกแพลตฟอร์ม COTS ล้วนมีจุดเปราะบางแบบเดียวกัน นั่นคือ "การปรับแต่งระบบที่ทำลายโมเดลความปลอดภัยหลัก"

รูปแบบการดำเนินงาน

แนวทางการทำงานที่มีโครงสร้างชัดเจน ขับเคลื่อนด้วยข้อมูลเชิงลึกในทุกการทดสอบ

ทุกโครงการดำเนินตามแนวทางที่มีระเบียบวินัยเดียวกันผ่านแพลตฟอร์ม Velocity เพื่อให้คุณภาพ การติดตามตรวจสอบ และการรายงานมีมาตรฐานเดียวกันในทุกทีม

การกำหนดขอบเขต

กำหนดสินทรัพย์ สภาพแวดล้อม ข้อกำหนดในการทดสอบ และเกณฑ์การยอมรับร่วมกับผู้เกี่ยวข้องด้านเทคนิคและความปลอดภัย

การดำเนินการ

การทดสอบแบบ Manual และด้วยเครื่องมือโดยที่ปรึกษาที่ได้รับการรับรอง CREST พร้อมเก็บหลักฐานในทุกขั้นตอน

การตรวจสอบความถูกต้อง

ทุกการค้นพบจะถูกทำซ้ำ ประเมินระดับความเสี่ยงด้วย CVSS และยืนยันโดยที่ปรึกษาท่านที่สองก่อนรายงานผล

การรายงาน

รายงานที่ลงนามด้วยรหัส พร้อมการอ้างอิง Test Case การจัดระดับความรุนแรง ขั้นตอนการทำซ้ำ และแนวทางแก้ไข

สรุปผลและการทดสอบซ้ำ

การประชุมสรุปผลกับผู้เกี่ยวข้อง การช่วยจัดลำดับความสำคัญ และการทดสอบซ้ำหลังการแก้ไข

มาตรฐานและกรอบการทำงาน

อ้างอิงมาตรฐานสากลที่ได้รับการยอมรับ

เกณฑ์มาตรฐานความปลอดภัยของ Salesforce
SAP Cyber Security guidance
แนวปฏิบัติที่ดีที่สุดด้านความปลอดภัยสำหรับ Microsoft Dynamics
ISO 27001:2022
PCI DSS (where applicable)

ทดสอบการป้องกันของท่านกับผู้เชี่ยวชาญด้านการรักษาความปลอดภัยเชิงรุก

ปรึกษาที่ปรึกษาที่ได้รับการรับรอง CREST เกี่ยวกับการทดสอบ Penetration Testing ครั้งถัดไปของท่าน

ปรึกษาผู้เชี่ยวชาญ