บริการ Penetration Testing ที่ได้รับการรับรองจาก CREST
บริการ Penetration Testing ที่ได้รับการรับรองจาก CREST ครอบคลุม Mobile Security, Web, API, Network, Wireless, Active Directory และ Thick Client โดยปรับให้เหมาะสมกับสภาพแวดล้อมทางเทคนิคและข้อกำหนด Compliance ขององค์กรคุณ
Penetration Testing คือการจำลองการโจมตีภายใต้ขอบเขตที่ตกลงกัน เพื่อทดสอบระบบด้วยวิธีที่ใกล้เคียงกับสถานการณ์จริงก่อนที่ Hacker จะเข้าถึงได้ Vantage Point ให้บริการด้านนี้ในระดับองค์กรทั่วเอเชียตะวันออกเฉียงใต้ ด้วยผู้เชี่ยวชาญที่ขึ้นทะเบียนกับ CREST มากกว่า 50 คน มีประสบการณ์ในภูมิภาคกว่าสิบปี และแพลตฟอร์ม Velocity ที่รองรับโครงการในทุกรูปแบบ
CREST คือมาตรฐานระดับสากลที่ใช้ชี้วัดคุณภาพของ Penetration Testing ไม่ได้ดูแค่คุณสมบัติของที่ปรึกษา แต่รวมถึงวิธีการทดสอบ การจัดการหลักฐาน และมาตรฐานการรายงาน ทุกโครงการที่เราส่งมอบภายใต้บริการนี้จึงทำงานตามมาตรฐานเดียวกัน
Penetration Testing แบบเดิมอาจมีคุณภาพแตกต่างกันไปตามผู้ทดสอบ Velocity ช่วยให้ที่ปรึกษาของเราทำงานบนเส้นทางที่มีโครงสร้างเดียวกัน ทุกโปรเจกต์ใช้ Test Case เป็นแกน ช่องโหว่ที่พบจะถูกยืนยัน ประเมินคะแนน และเชื่อมโยงกลับไปยังข้อกำหนดทางเทคนิคหรือข้อกำหนดด้าน Compliance อย่างชัดเจน รายงานที่คุณได้รับจึงพร้อมสำหรับการตรวจสอบ ไม่ใช่แค่รายการสิ่งที่ต้องแก้ไข
ทำไม Penetration Testing จึงเป็นสิ่งที่องค์กรภายใต้การกำกับดูแลละเลยไม่ได้
หน่วยงานกำกับดูแลคาดหวังให้ระบบได้รับการทดสอบ และมีข้อกำหนดที่เข้มงวดขึ้นเรื่อย ๆ
CSA Singapore, OJK Indonesia และ Bank of Thailand ต่างมองว่า Penetration Testing เป็นหนึ่งในมาตรการควบคุมสำหรับบริการทางการเงินและโครงสร้างพื้นฐานสำคัญ การทดสอบต้องเหมาะสมกับสภาพแวดล้อม มีการกำหนดขอบเขตชัดเจน และดำเนินการโดยผู้ให้บริการที่มีความเชี่ยวชาญ
เครื่องมือสแกนช่องโหว่สามารถตรวจจับได้เฉพาะสิ่งที่มีตัวบ่งชี้การโจมตีอยู่ในฐานข้อมูลเท่านั้น
การละเมิดความปลอดภัยจำนวนมากเริ่มจากช่องโหว่ด้าน Business Logic การตั้งค่าที่ไม่ปลอดภัยหลายจุดที่เชื่อมโยงกัน และเส้นทางการโจมตีผ่าน Identity ซึ่งเป็นปัญหาที่เครื่องมืออัตโนมัติไม่สามารถค้นหาได้
คณะกรรมการบริหารเริ่มถามคำถามที่เคยเป็นเรื่องของผู้ตรวจสอบ
ความเสี่ยงที่วัดผลได้ หลักฐานที่ตรวจสอบย้อนกลับได้ และระยะเวลาการแก้ไขที่ชัดเจน เริ่มเป็นสิ่งที่ผู้บริหารต้องการเห็น Penetration Testing ที่สร้างหลักฐานพร้อมตรวจสอบจึงตอบโจทย์องค์กรระดับ Enterprise
สิ่งที่เราทดสอบ
Vantage Point ครอบคลุมขอบเขตทั้งหมดของ Penetration Testing ในปัจจุบัน โครงการส่วนใหญ่มักรวมการทดสอบหลายส่วนเข้าด้วยกัน เพราะแอปพลิเคชันมือถือมักไม่ได้ทำงานเดี่ยว ๆ แต่มี Backend API บัญชีคลาวด์ และชั้นการจัดการ Identity ที่ต้องอยู่ในขอบเขตเดียวกัน
Application Layer
Attack Surface ส่วนใหญ่ในปัจจุบันอยู่ที่ Application Layer และเป็นพื้นที่ที่ Vantage Point มีรากฐานโดยตรงในฐานะผู้เขียน OWASP MASTG และ MASVS
- แอปพลิเคชันมือถือ (iOS, Android)
- เว็บแอปพลิเคชัน
- REST และ SOAP APIs
- แอปพลิเคชัน Thick Client บนเดสก์ท็อป
- Browser Extensions และ Embedded SDKs
Infrastructure Layer
โครงสร้างพื้นฐานที่เปิดสู่เครือข่ายนอก เส้นทางการเคลื่อนที่ภายใน เครือข่ายไร้สาย และสภาพแวดล้อม Active Directory ที่องค์กรในภูมิภาคส่วนใหญ่ยังคงใช้งาน
- การทดสอบเครือข่ายภายนอกและภายใน
- เครือข่ายไร้สายและ Wi-Fi
- Active Directory และสภาพแวดล้อม Identity
- การตรวจสอบ Network Segmentation
- โครงสร้างพื้นฐานบนคลาวด์ (เมื่ออยู่ในขอบเขต)
Hardware
อุปกรณ์ IoT และระบบ Embedded ทดสอบในห้องปฏิบัติการฮาร์ดแวร์ของเรา โดยครอบคลุมตั้งแต่ Hardware Interface เฟิร์มแวร์ การสื่อสาร ไปจนถึงระบบคลาวด์และมือถือที่เชื่อมต่อ
- Hardware Interfaces — UART, JTAG, SWD, SPI, I²C, eMMC, NAND
- Debug Pads, USB, Serial Console และ Boot-Mode Access
- การดึงข้อมูลเฟิร์มแวร์ การ Unpack และวิเคราะห์ Binary ไปจนถึง Filesystem
- การตรวจสอบ Bootloader, Kernel และ Embedded Linux / RTOS
- การวิเคราะห์ Hardcoded Secrets, Certificates และ Update Package
- การตรวจสอบ Secure Boot, การลงนาม และ Rollback Protection
- Wireless และ Radio ได้แก่ Wi-Fi, BLE, Zigbee, Z-Wave, LoRa, Cellular
- การสื่อสารระหว่างอุปกรณ์กับคลาวด์และอุปกรณ์กับมือถือ
- ความต้านทานการดัดแปลง (Tamper Resistance) และ Attack Surface ทางกายภาพ
ช่องโหว่ที่เรามักพบจากการทดสอบ Penetration Testing
ข้อมูลที่นำเสนอเป็นกลุ่มช่องโหว่ที่ที่ปรึกษาของเรามักพบจากการทดสอบในลักษณะเดียวกัน ความรุนแรงและความถี่จะแตกต่างกันตามสภาพแวดล้อมและระดับความพร้อมของแต่ละองค์กร
ช่องโหว่ในการยืนยันตัวตนและการกำหนดสิทธิ์ (Authentication & Authorisation)
การควบคุมการเข้าถึงระหว่าง Role ของผู้ใช้ที่ไม่ถูกต้อง, การ Reset รหัสผ่านที่ไม่ปลอดภัย, ช่องโหว่ใน JWT Signature และ IDOR ที่เปิดเผยข้อมูลของผู้ใช้งานอื่น
การโจมตีเชิง Business Logic
การข้ามขั้นตอนการชำระเงิน, Race Condition ในการสร้างบัญชี, การยอมรับการ Replay Attack, และการลัดขั้นตอนของ Workflow ที่ระบบไม่ได้ออกแบบไว้ให้ทำได้
การเปิดเผยข้อมูลที่ Sensitive
ข้อมูล PII หรือข้อมูลทางการเงินรั่วไหลใน Error Message, Debug Endpoint, Client-Side JavaScript หรือใน Bundle ของแอปพลิเคชันมือถือ
Privilege Escalation
จากผู้ใช้ Domain ทั่วไป สู่ Domain Admin ในไม่กี่ขั้นตอน ผ่าน Kerberoasting, การละเมิดระบบควบคุม ACL หรือการใช้รหัสผ่าน Service Account ซ้ำ
การตั้งค่าระบบที่ไม่ปลอดภัย
การใช้งานรหัสผ่านเริ่มต้น, TLS เวอร์ชันเก่า, การเปิดระบบจัดการสู่ภายนอก, การแบ่งส่วนเครือข่ายระหว่าง Production และเครือข่ายภายในที่ไม่เพียงพอ
ความเสี่ยงจากบุคคลที่สามและการเชื่อมต่อ
ไลบรารีที่มี CVE เปิดเผยสาธารณะ, การเชื่อมต่อ SSO ที่ไม่ปลอดภัย, API Key ที่รั่วไหล, และ Dependencies จาก Supply Chain ที่ทำงานด้วยสิทธิ์ที่มากเกินจำเป็น
แนวทางการทำงานที่มีโครงสร้างชัดเจน ขับเคลื่อนด้วยข้อมูลเชิงลึกในทุกการทดสอบ
ทุกโครงการดำเนินตามแนวทางที่มีระเบียบวินัยเดียวกันผ่านแพลตฟอร์ม Velocity เพื่อให้คุณภาพ การติดตามตรวจสอบ และการรายงานมีมาตรฐานเดียวกันในทุกทีม
การกำหนดขอบเขต
กำหนดสินทรัพย์ สภาพแวดล้อม ข้อกำหนดในการทดสอบ และเกณฑ์การยอมรับร่วมกับผู้เกี่ยวข้องด้านเทคนิคและความปลอดภัย
การดำเนินการ
การทดสอบแบบ Manual และด้วยเครื่องมือโดยที่ปรึกษาที่ได้รับการรับรอง CREST พร้อมเก็บหลักฐานในทุกขั้นตอน
การตรวจสอบความถูกต้อง
ทุกการค้นพบจะถูกทำซ้ำ ประเมินระดับความเสี่ยงด้วย CVSS และยืนยันโดยที่ปรึกษาท่านที่สองก่อนรายงานผล
การรายงาน
รายงานที่ลงนามด้วยรหัส พร้อมการอ้างอิง Test Case การจัดระดับความรุนแรง ขั้นตอนการทำซ้ำ และแนวทางแก้ไข
สรุปผลและการทดสอบซ้ำ
การประชุมสรุปผลกับผู้เกี่ยวข้อง การช่วยจัดลำดับความสำคัญ และการทดสอบซ้ำหลังการแก้ไข
รายงานที่ออกแบบมาสำหรับงานตรวจสอบ ทีมวิศวกร และผู้บริหาร
ทุกโครงการจะส่งมอบเอกสารหลักฐานที่ตรวจสอบได้ ติดตามได้ และพร้อมส่งหน่วยงานกำกับดูแล, สร้างผ่าน Velocity และลงนามด้วยรหัสเพื่อการตรวจสอบความถูกต้อง
PDF · JSON · XML · CSV · รองรับรายงานหลายภาษา · CVSS 3.0 / 3.1 / 4.0
- รายงานฉบับสมบูรณ์พร้อมลายเซ็นดิจิทัล
- Findings ที่อ้างอิงกับ Velocity Test Case ทุกรายการ
- การให้คะแนนตามมาตรฐาน CVSS 3.0, 3.1 และ 4.0
- ขั้นตอนการทำซ้ำช่องโหว่ Payload และภาพหน้าจอ
- แนวทางการแก้ไขและตัวอย่างการตั้งค่าระบบที่นำไปใช้ได้จริง
- รายงานสำหรับผู้บริหารและรายงานเชิงเทคนิค
- ตารางสรุปความครอบคลุมต่อมาตรฐานและหน่วยงานกำกับดูแล
คำถามจากผู้สนใจใช้บริการ
การทดสอบแต่ละครั้งใช้เวลานานเท่าไร? +
การทดสอบแอปพลิเคชันหรือเครือข่ายส่วนใหญ่ใช้เวลาประมาณ 2 ถึง 4 สัปดาห์ ขึ้นอยู่กับขอบเขต โดยโครงการที่ครอบคลุมระบบหลายระบบจะใช้เวลามากกว่านั้น การประชุมกำหนดขอบเขตจะทำให้ทราบถึงระยะเวลาก่อนจะตกลงทำงาน
Vulnerability Assessment และ Penetration Testing แตกต่างกันอย่างไร? +
Vulnerability Assessment คือการระบุช่องโหว่ที่เป็นที่รู้จัก ซึ่งมักใช้เครื่องมืออัตโนมัติเป็นหลัก ส่วน Penetration Testing เป็นการทำงานในระดับที่ลึกกว่านั้น ทั้งทดลองโจมตีผ่านช่องโหว่ (เมื่อทำได้อย่างปลอดภัย) เชื่อมโยงช่องโหว่หลายรายการเข้าด้วยกัน และแสดงให้เห็นถึงผลกระทบทางธุรกิจในโลกจริง โดยทั่วไปแล้ว Penetration Testing จะรวมทั้งสองวิธีเข้าด้วยกัน
ทดสอบใน Production Environment หรือ Non-Production? +
หากเป็นไปได้ เราจะทดสอบในสภาพแวดล้อม Non-Production เช่น UAT, Staging, ระบบทดสอบเฉพาะ หรือ Build ที่ใกล้เคียง Production เพื่อหลีกเลี่ยงผลกระทบต่อผู้ใช้งานจริง และเพื่อให้สามารถใช้เทคนิคเชิงลึกได้มากกว่าการทดสอบบน Production Environment ในกรณีที่ Non-Production ใช้ไม่ได้ (ซึ่งพบได้บ่อยกับการทดสอบเครือข่ายภายนอก งาน Cloud Control Plane การทดสอบ Identity และงาน Red Team) เราจะทดสอบบน Production ภายใต้ Rules of Engagement ที่เป็นลายลักษณ์อักษร โดยกำหนดช่วงเวลา เกณฑ์การยกเลิก ความเข้มของการสแกน และแจ้งทีม Incident Response ขององค์กรล่วงหน้า เพื่อให้สัญญาณการตรวจจับแยกจากกิจกรรมของเราได้ชัดเจน
มีบริการทดสอบซ้ำหลังจากแก้ไขช่องโหว่หรือไม่? +
มีการทดสอบซ้ำหลังการแก้ไขรวมอยู่ในทุกโครงการ เพื่อให้มั่นใจว่าการแก้ไขได้รับการตรวจสอบยืนยันจริง ไม่ใช่เพียงแค่ระบุว่าแก้ไขแล้ว ก่อนปิดรายงาน
รายงานขององค์กรคุณรองรับการตรวจสอบของหน่วยงานกำกับดูแลอย่างไร? +
ทุกโครงการจะส่งมอบรายงาน Compliance ฉบับสมบูรณ์ที่บันทึกตาม Test Case และตามมาตรฐาน ว่าได้ดำเนินการอะไร อะไรผ่าน อะไรไม่ผ่าน และมีหลักฐานอะไรประกอบ เพื่อให้ผู้ตรวจสอบสามารถนำผลงานของเราเชื่อมโยงกับ Control Matrix ของหน่วยงานได้โดยตรง แทนที่จะอาศัยรายงานสรุปทั่วไปที่ระบุเพียงว่า "เราได้ทำ Penetration Testing แล้ว"
ทดสอบการป้องกันขององค์กรคุณในมุมมองแบบ Hacker
คุยกับผู้เชี่ยวชาญที่ได้รับการรับรองจาก CREST เกี่ยวกับโปรเจกต์ถัดไปของคุณ