EN ID TH
Regulatory Red Team Exercises

Regulatory Red Team Exercises

การจำลองการโจมตีทางไซเบอร์แบบสมจริงครอบคลุมเทคโนโลยี บุคลากร และกระบวนการ เพื่อตรวจสอบความสามารถในการตรวจจับ การตอบสนองเหตุการณ์ และความสามารถในการรับมือ ภายใต้สภาวะที่ควบคุมได้

ในขณะที่ Penetration Testing คือการหาคำตอบว่า "สินทรัพย์เหล่านี้มีช่องโหว่หรือไม่" การทำ Red Teaming จะเป็นการตอบคำถามที่แตกต่างออกไปและยากยิ่งกว่า นั่นคือ "หากมี Hacker ที่มีความสามารถสูงพุ่งเป้าโจมตีมาที่เรา เราจะตรวจพบ รับมือ และควบคุมสถานการณ์ได้ทันก่อนที่จะลุกลามเป็น Incident ที่ส่งผลกระทบต่อธุรกิจหรือไม่" ซึ่งคำถามข้อหลังนี้คือสิ่งที่หน่วยงานกำกับดูแล บริษัทประกันภัย หรือคณะกรรมการบริหารต้องการคำตอบในท้ายที่สุด

Vantage Point ดำเนินโครงการ Red Team Operations ที่ได้รับการรับรองจาก CREST ครอบคลุม Attack Lifecycle ทั้งหมด ได้แก่ Reconnaissance, Initial Access, Persistence, Privilege Escalation, Lateral Movement และ Exfiltration หรือการสร้างผลกระทบ ทั้งหมดอยู่ภายใต้ Rules of Engagement ที่เข้มงวด ซึ่งปกป้องการดำเนินงานในขณะที่ยังคงรักษาความสมจริงของการทดสอบ

การดำเนินงานจะสอดคล้องกับกรอบมาตรฐาน MITRE ATT&CK เพื่อให้สามารถจับคู่กิจกรรมการโจมตี การตรวจจับ และช่องว่างทางระบบ เข้ากับกรอบการทำงานร่วมกันที่ฝ่าย Defender ใช้งานอยู่แล้ว นอกจากนี้ ในกรณีที่หน่วยงานกำกับดูแลหรือบริษัทประกันภัยมีข้อกำหนด เราสามารถจัดโครงสร้างการดำเนินงานเพื่อให้เป็นไปตามข้อกำหนดด้านการปฏิบัติตามกฎเกณฑ์ทั้งหมดที่เกี่ยวข้อง

ทำไมจึงสำคัญ

ความเสี่ยงที่ต้องพิจารณา

คุณไม่สามารถหยุดยั้งการโจมตีที่คุณตรวจจับไม่ได้

องค์กรส่วนใหญ่มองเห็นชัดเจนว่าตนเองได้ติดตั้งการควบคุมอะไรไปบ้าง แต่มีองค์กรน้อยรายที่รู้ว่าการควบคุมเหล่านั้นจะตอบสนองอย่างไรภายใต้แรงกดดันจาก Hacker จริง และช่องว่างใดที่ Hacker จะใช้ประโยชน์

ข้อกำหนดด้าน Compliance ไม่ได้หยุดอยู่แค่การทดสอบรายระบบอีกต่อไป

หน่วยงานกำกับดูแลภาคการเงินทั่วโลก รวมถึงสิงคโปร์ ฮ่องกง ออสเตรเลีย และสหภาพยุโรป กำลังบังคับให้สถาบันที่มีความสำคัญต่อระบบทำการทดสอบที่ขับเคลื่อนด้วยข้อมูลภัยคุกคาม และมีแต่จะเข้มงวดขึ้นเรื่อย ๆ

การพิจารณารับประกันภัยและการตรวจสอบสถานะกิจการ (M&A Diligence) ในปัจจุบัน มีการตั้งคำถามที่เปลี่ยนไปจากเดิมแล้ว

ผู้รับประกันภัยไซเบอร์และผู้ซื้อกิจการต้องการหลักฐานของความสามารถในการตั้งรับเชิงปฏิบัติการเพิ่มขึ้นเรื่อย ๆ ไม่ใช่เพียงแค่เอกสารนโยบาย ซึ่งรายงาน Red Team คือสิ่งที่ตอบคำถามนี้ได้อย่างน่าเชื่อถือ

ขอบเขตและการครอบคลุม

สิ่งที่เราทดสอบ

Full attack lifecycle

การทดสอบแบบ End-to-End ครอบคลุม MITRE ATT&CK Matrix ซึ่งออกแบบมาเพื่อจำลองพฤติกรรมการเคลื่อนไหวของ Hacker ในสถานการณ์จริง

  • Reconnaissance and OSINT
  • Initial Access (Phishing, Supply Chain, บริการที่เปิดสู่ภายนอก)
  • Persistence and command-and-control
  • Credential Access และ Privilege Escalation
  • Lateral Movement ข้ามเครือข่ายและ Identity
  • Exfiltration หรือการจำลองผลกระทบทางธุรกิจ

การทดสอบตามสถานการณ์ (Scenario-Based Testing)

ในกรณีที่เวลา ขอบเขต หรือระดับความเสี่ยงที่ยอมรับได้ไม่เอื้อต่อการทำ Red Team เต็มรูปแบบ เราจะดำเนินการทดสอบตามสถานการณ์จำลองโดยเริ่มจากจุดตั้งต้นแบบ Assumed-Breach ที่กำหนดไว้

  • SSO / Identity Provider ถูกบุกรุก
  • Cloud Tenant หรือ Service Account ถูกบุกรุก
  • Endpoint ถูกบุกรุก (Workstation ทั่วไป)
  • สถานการณ์ Supply-Chain ถูกบุกรุก
  • Insider Threat (ผู้ใช้ที่ไม่ประสงค์ดีหรือถูกประนีประนอม)

Phishing / Social Engineering

มนุษย์ยังคงเป็นช่องทาง Initial Access ที่ใช้ได้ผลที่สุดในโลกจริง และเป็นจุดที่การสแกนช่องโหว่แบบดั้งเดิมไม่เคยทดสอบ เราดำเนินแคมเปญแบบระบุเป้าหมายภายใต้ Rules of Engagement ที่เป็นลายลักษณ์อักษร เพื่อวัดว่าองค์กรตอบสนองอย่างไรจริง ๆ เมื่อ Hacker ที่น่าเชื่อถือเข้าถึงกล่องอีเมล สายโทรศัพท์ และลิงก์ประชุมของพนักงาน ขอบเขตงานมีตั้งแต่การจำลองเพื่อสร้างความตระหนักรู้ในวงกว้าง ไปจนถึงปฏิบัติการที่ปรับแต่งเฉพาะรายบุคคล ออกแบบมาเพื่อทดสอบการตรวจจับ การรับมือ การฝึกอบรม และมาตรการควบคุมทางเทคนิคปลายทาง อย่างสมจริงและปลอดภัย

  • Phishing แบบจำนวนมากและแบบเป้าหมาย (General · Spear · Whaling)
  • Phishing แบบ Bypass MFA ด้วย Reverse Proxy และการขโมย Session Token (ระดับเดียวกับ Evilginx)
  • การเจาะระบบอีเมลองค์กร (Business Email Compromise หรือ BEC) และการปลอมแปลงตัวตนเป็นผู้บริหาร
  • Vishing (เสียง / โทรศัพท์) และ Smishing (SMS) ในกรณีที่อยู่ในขอบเขต
  • Pretexting และ Social Engineering ที่ปรับให้เหมาะกับเป้าหมายเฉพาะรายบุคคล

Darkweb Leaks

โดยปกติ Hacker มักไม่สุ่มเดารหัสผ่านหรือ Session Token แต่เลือกซื้อข้อมูลเหล่านี้แทน ทั้ง Infostealer Log ฟอรัมอาชญากรรม Paste Site และช่องแจกข้อมูลหลุดบน Telegram ล้วนเต็มไปด้วย Credentials ขององค์กร Session Cookie และ Access Token ที่เก็บเกี่ยวมาจากอุปกรณ์ส่วนตัวที่ถูกเจาะ การรั่วไหลของ Third Party และเหตุการณ์ด้าน Supply Chain องค์กรส่วนใหญ่ไม่มีทางมองเห็นว่ามีข้อมูลใดของตนหลุดออกไปแล้วบ้าง เราทำงานร่วมกับพันธมิตรด้าน Intelligence เพื่อค้นหาความลับเหล่านั้นและนำเข้าสู่การปฏิบัติงาน เพื่อให้ Red Team เริ่มต้นด้วยข้อมูลชุดเดียวกับที่ Hacker จริงมี และคุณจะได้เห็นในสิ่งที่ Hacker เห็นมาหลายเดือนแล้ว

  • การรั่วไหล Credentials ของพนักงานในอีเมลองค์กร SSO และ Third-Party SaaS
  • Session Cookies และ Authentication Token จาก Infostealer Log
  • API Key, OAuth Token และ Secrets ใน Paste Site และ Code Dump
  • การกล่าวถึงโดเมน แบรนด์ หรือผู้บริหารขององค์กรคุณในเว็บใต้ดิน
  • ข้อมูลลูกค้าหรือคู่ค้าที่รั่วไหล ซึ่งเปิดเผยบริบทภายในขององค์กร
  • การเทียบรหัสผ่านที่รั่วไหลกับระบบในปัจจุบันเพื่อตรวจหาการใช้ซ้ำ
สิ่งที่เรามักพบ

สิ่งที่โครงการ Red Team มักเปิดเผยให้เห็น

ข้อมูลที่นำเสนอเป็นกลุ่มช่องโหว่ที่ที่ปรึกษาของเรามักพบจากการทดสอบในลักษณะเดียวกัน ความรุนแรงและความถี่จะแตกต่างกันตามสภาพแวดล้อมและระดับความพร้อมของแต่ละองค์กร

ช่องว่างในการตรวจจับ

กฎ SIEM ที่แจ้งเตือนเหตุการณ์จำนวนมากแต่พลาด Credential Abuse, EDR ที่จับมัลแวร์ทั่วไปได้แต่มองไม่เห็น LOLBins (Living off the Land Binaries) และการไม่มีการตรวจจับการกระทำบน Cloud Control Plane

การเคลื่อนย้ายเชิงลึกภายในเครือข่ายโดยใช้สิทธิ์และบัญชีผู้ใช้งาน (Identity-Driven Lateral Movement)

จาก Domain User ไปเป็น Domain Admin ภายในไม่กี่ขั้นตอน, การใช้รหัสผ่านซ้ำใน Service Account และเส้นทางสู่สิทธิ์ Cloud Admin ที่ไปถึงได้จากแล็ปท็อปที่ถูกเจาะเครื่องใดก็ตาม

ช่องโหว่ในการรับมือ Phishing

การ Bypass MFA ผ่าน Consent Phishing, การขโมย Session Token ผ่าน Reverse Proxy และรูปแบบ BEC ที่ทีมเทคนิคไม่เคยทดสอบมาก่อน

การล้มเหลวของกระบวนการตอบสนอง

การแจ้งเตือนทำงานแต่ไม่มีการ Route ไปยังผู้รับผิดชอบ On-Call, เส้นทาง Escalation ที่พึ่งพาบุคคลคนเดียว และ Incident Response Runbook ที่ไม่ได้รับการทบทวนมาหลายปี

พื้นที่การโจมตีที่ถูกละเลย (Forgotten Attack Surface)

บริการที่ยกเลิกแล้วแต่ยังเปิดอยู่, Dev Environment ที่เปิดเผยสู่ภายนอก, VPN Gateway รุ่นเก่า และ Cloud Subscription ที่ถูกทิ้งร้างแต่ยัง Federate กับ Identity อยู่

เส้นทางการลักลอบขโมยและดึงข้อมูลออกนอกระบบ (Exfiltration Paths)

ไม่มี DLP บนช่องทางส่งออกที่เข้ารหัส, การใช้ SaaS ที่องค์กรอนุญาตเป็นจุด Staging และการขาดมาตรการควบคุมการอัปโหลดไปยัง Cloud Storage ส่วนตัว

รูปแบบการดำเนินงาน

แนวทางการทำงานที่มีโครงสร้างชัดเจน ขับเคลื่อนด้วยข้อมูลเชิงลึกในทุกการทดสอบ

ทุกโครงการดำเนินตามแนวทางที่มีระเบียบวินัยเดียวกันผ่านแพลตฟอร์ม Velocity เพื่อให้คุณภาพ การติดตามตรวจสอบ และการรายงานมีมาตรฐานเดียวกันในทุกทีม

การกำหนดขอบเขต (Scoping)

กำหนดวัตถุประสงค์ สินทรัพย์ในขอบเขต Rules of Engagement บุคคลผู้ติดต่อใน White Team เกณฑ์การยกเลิก และโปรไฟล์ของภัยคุกคามที่โครงการต้องการจำลอง

ข้อมูล (Intelligence)

ข้อมูลภัยคุกคามกำหนดว่าเราจะจำลอง Hacker รายใด เราสร้างโปรไฟล์ของ Hacker ที่มีแนวโน้มจะมุ่งเป้าหมายมาที่อุตสาหกรรมและรอยเท้าทางดิจิทัลขององค์กรคุณมากที่สุด แล้วทดสอบเทียบกับ TTPs ของพวกเขา ไม่ใช่ Playbook ทั่วไป

การดำเนินการ (Execution)

การจำลอง Hacker อย่างควบคุมโดยที่ปรึกษาที่ได้รับการรับรองจาก CREST แบบ Low-and-Slow ภายในขอบเขตที่ตกลง กิจกรรมทุกอย่างถูกบันทึกและเชื่อมโยงกับ MITRE ATT&CK แบบ Real-Time เพื่อให้สามารถวัดการตอบสนองของฝ่าย Defender ได้อย่างแม่นยำ

การรายงาน (Reporting)

รายงานเล่าเรื่องราวของ Hacker (Adversary Narrative) พร้อมการเชื่อมโยงเทคนิคของ ATT&CK การวิเคราะห์ช่องว่างในการตอบสนองของฝ่าย Defender รายงานพร้อมลายเซ็นดิจิทัล รายงานสรุปสำหรับผู้บริหาร และเอกสารบรรยายสำหรับคณะกรรมการ

การยอมรับโดยหน่วยงานกำกับดูแล

เราช่วยให้รูปแบบรายงาน วิธีการทดสอบ และระดับความลึกของหลักฐานตรงกับสิ่งที่หน่วยงานกำกับดูแลหรือบริษัทประกันภัยคาดหวัง ไม่ว่าจะเป็น TIBER-EU, GL20 / AASE, MAS หรือข้อกำหนดของธนาคารกลาง เพื่อให้ Deliverable ได้รับการยอมรับจริง ไม่ใช่แค่ส่งมอบให้ครบขั้นตอน

การสรุปผล (Debrief)

เราพาทีมตรวจจับและรับมือของคุณทบทวนลำดับเหตุการณ์ทั้งหมดของการปฏิบัติงาน ว่าเราทำอะไร เมื่อไร จุดใดที่คุณมองเห็นเรา และจุดใดที่มองไม่เห็น ผลลัพธ์คือรายการช่องว่างด้านการตรวจจับและกระบวนการที่จัดลำดับความสำคัญแล้ว เรียบเรียงเป็นสิ่งที่ทีมของคุณลงมือทำได้จริง ไม่ใช่ Finding เชิงนามธรรม

มาตรฐานและกรอบการทำงาน

อ้างอิงมาตรฐานสากลที่ได้รับการยอมรับ

MITRE ATT&CK
TIBER-EU
CBEST
GL20 / HKMA Compliance
AASE
MAS TRM Guidelines
BNM RMiT
CORIE
ผลที่ส่งมอบ

รายงานที่ออกแบบมาสำหรับงานตรวจสอบ ทีมวิศวกร และผู้บริหาร

ทุกโครงการจะส่งมอบเอกสารหลักฐานที่ตรวจสอบได้ ติดตามได้ และพร้อมส่งหน่วยงานกำกับดูแล, สร้างผ่าน Velocity และลงนามด้วยรหัสเพื่อการตรวจสอบความถูกต้อง

PDF · JSON · XML · CSV · รองรับรายงานหลายภาษา · CVSS 3.0 / 3.1 / 4.0

  • รายงาน Adversary Narrative พร้อมลำดับเหตุการณ์
  • การจับคู่เทคนิค MITRE ATT&CK ราย Finding
  • การวิเคราะห์ช่องว่างของ Detection และ Response
  • รายงานฉบับสมบูรณ์พร้อมลายเซ็นดิจิทัล
  • รายงานสรุปสำหรับผู้บริหารและเอกสารบรรยายสำหรับคณะกรรมการ
  • การประชุมสรุปผลกับฝ่าย Defender พร้อมช่องว่างด้านการตรวจจับและการตอบสนองที่จัดลำดับแล้ว
  • การสนับสนุนการยอมรับโดยหน่วยงานกำกับดูแลสำหรับ TIBER-EU, GL20 / AASE และกรอบที่คล้ายคลึงกัน
คำถามที่พบบ่อย

คำถามจากผู้สนใจใช้บริการ

ใครในองค์กรของเราจำเป็นต้องทราบเกี่ยวกับโครงการ Red Team? +

ทีมขนาดเล็กที่เรียกว่า "White Team" (โดยทั่วไปคือ CISO หัวหน้าทีมตรวจจับ และผู้บริหารผู้สนับสนุนโครงการ) จะได้รับข้อมูลการปฏิบัติงานเพื่ออนุมัติกิจกรรมและเป็นจุดรับเรื่องเมื่อต้องยกระดับ ส่วนทีม Security Operations ในวงกว้างจะไม่ได้รับทราบข้อมูล เพื่อให้วัดความสามารถในการตรวจจับได้อย่างตรงไปตรงมา

Red Teaming ต่างจาก Penetration Testing อย่างไร? +

Penetration Testing คือการวัดผลช่องโหว่ภายในขอบเขตที่กำหนดไว้ ในขณะที่การทำ Red Teaming คือการวัดผลความสามารถในการตรวจจับและการตอบสนองต่อภัยคุกคามในทุกมิติ ทั้งด้านบุคลากร กระบวนการทำงาน และเทคโนโลยี ซึ่งโดยทั่วไปจะมีขอบเขตการทำงานที่กว้างกว่ามาก มีระยะเวลาดำเนินงานที่ยาวนานกว่า และจงใจปฏิบัติการด้วยวิธีที่แนบเนียนและค่อยเป็นค่อยไป (Low-and-Slow Activity) เพื่อหลบเลี่ยงการตรวจจับ

ทีม Red Team จะ Exfiltrate ข้อมูลของเราจริงหรือไม่? +

ไม่ ในกรณีที่ Exfiltration อยู่ในขอบเขต เราใช้ข้อมูลสังเคราะห์หรือจำลองการกระทำด้วย Marker File แทน โดย Rules of Engagement ห้ามนำข้อมูลจริงของลูกค้าออกจากระบบไว้อย่างชัดเจน

คุณมีวิธีหลีกเลี่ยงไม่ให้ส่งผลกระทบต่อการทำงานของระบบอย่างไร? +

Rules of Engagement กำหนดเกณฑ์การยกเลิก รายการยกเว้น และเงื่อนไข "Ceasefire" ไว้ล่วงหน้า ที่ปรึกษาของเราจะถอยออกจากกิจกรรมใดก็ตามที่เสี่ยงกระทบการดำเนินงาน และ White Team สามารถสั่งหยุดได้ทุกเมื่อ

การทำ Red Teaming สามารถรองรับการทดสอบตามกรอบข้อกำหนดของหน่วยงานกำกับดูแล เช่น TIBER-EU, FEER, GL20 หรือมาตรฐานอื่น ๆ ที่ใกล้เคียงกันได้หรือไม่? +

ทำได้ เราจัดโครงสร้างการดำเนินงานให้สอดคล้องกับกรอบการทดสอบแบบ Threat-Intelligence-Led ในกรณีที่หน่วยงานกำกับดูแล บริษัทประกันภัย หรือคณะกรรมการบริหารกำหนด โดยขั้นตอน Scoping จะยืนยันกรอบมาตรฐานที่ต้องสอดคล้องก่อนเริ่มงาน

ทดสอบในแบบที่ Hacker จริงดำเนินการ

ปรึกษาที่ปรึกษาหัวหน้าทีม Red Team ที่ได้รับการรับรองจาก CREST เกี่ยวกับการกำหนดขอบเขตของโครงการ Threat Intelligence-Led Red Team หรือ Scenario-Based Engagement

ปรึกษาผู้เชี่ยวชาญ