EN ID TH
Red Team → Scenario-Based Testing

การทดสอบตามสถานการณ์ (Scenario-Based Testing)

การทดสอบแบบ Assumed Breach และตามสถานการณ์ที่จำลองรูปแบบการโจมตีของจริง

การดำเนินงานตามสถานการณ์จำลองช่วยตอบคำถามที่เฉพาะเจาะจงกว่าการทำ Red Team เต็มรูปแบบ นั่นคือ "หากเกิดเหตุการณ์ Assumed-Breach ขึ้นจริง เราจะควบคุมสถานการณ์ได้ทันก่อนที่จะลุกลามเป็น Incident ที่กระทบธุรกิจหรือไม่" การทดสอบรูปแบบนี้สั้นกว่า ถูกกว่า และจัดตารางง่ายกว่า Red Team เต็มรูปแบบ อีกทั้งมักให้ Finding ที่นำไปลงมือทำต่อได้จริงมากกว่า เพราะขอบเขตแคบและเจาะจงกว่า

ลูกค้าส่วนใหญ่ทำการทดสอบตามสถานการณ์จำลองเป็นรอบประจำทุกปี โดยหมุนเวียนไปตามสถานการณ์ภัยคุกคามที่สมจริง ได้แก่ SSO ถูกบุกรุก, Cloud Tenant ถูกบุกรุก, Endpoint ถูกบุกรุก และ Supply Chain ถูกบุกรุก เป้าหมายคือรักษาความสามารถในการตรวจจับและตอบสนองให้พร้อมรับรูปแบบภัยคุกคามที่สำคัญจริง ไม่ใช่แค่มัลแวร์ทั่วไป

ทำไมจึงสำคัญ

ความเสี่ยงที่ต้องพิจารณา

การเจาะระบบส่วนใหญ่เริ่มจาก Foothold ที่มีอยู่แล้ว

เวิร์กสเตชันที่โดน Phishing, Credential ของพาร์ทเนอร์ที่ถูกขโมย หรือบัญชี SaaS ที่ถูกเจาะ ทั้งหมดล้วนเป็นจุดเริ่มต้นแบบ "Assumed Breach" การทดสอบตามสถานการณ์จำลองวัดการตรวจจับจากจุดที่การโจมตีจริงเริ่มต้นพอดี

สถานการณ์จำลองแบบเจาะจงให้ Finding ที่คมชัดกว่า

Red Team เต็มรูปแบบให้ผลลัพธ์เป็นภาพรวมกว้าง ส่วนการทดสอบตามสถานการณ์จำลองให้แนวทางแก้ไขเชิงปฏิบัติการที่เจาะจงต่อรูปแบบภัยคุกคามเฉพาะ

ขอบเขตและการครอบคลุม

สิ่งที่เราทดสอบ

Common scenarios

  • SSO / Identity Provider ถูกบุกรุก
  • Compromised cloud tenant
  • Compromised endpoint (standard workstation)
  • Supply-chain scenario
  • Insider threat simulation

Outcomes

  • Detection validation
  • Incident response evaluation
  • การทดสอบการจำกัดวงและการกู้คืน
  • รูปแบบ Tabletop และการลงมือจริง
  • การประเมินความครอบคลุมของเทคนิคตาม ATT&CK
รูปแบบการดำเนินงาน

แนวทางการทำงานที่มีโครงสร้างชัดเจน ขับเคลื่อนด้วยข้อมูลเชิงลึกในทุกการทดสอบ

ทุกโครงการดำเนินตามแนวทางที่มีระเบียบวินัยเดียวกันผ่านแพลตฟอร์ม Velocity เพื่อให้คุณภาพ การติดตามตรวจสอบ และการรายงานมีมาตรฐานเดียวกันในทุกทีม

การกำหนดขอบเขต

กำหนดสินทรัพย์ สภาพแวดล้อม ข้อกำหนดในการทดสอบ และเกณฑ์การยอมรับร่วมกับผู้เกี่ยวข้องด้านเทคนิคและความปลอดภัย

การดำเนินการ

การทดสอบแบบ Manual และด้วยเครื่องมือโดยที่ปรึกษาที่ได้รับการรับรอง CREST พร้อมเก็บหลักฐานในทุกขั้นตอน

การตรวจสอบความถูกต้อง

ทุกการค้นพบจะถูกทำซ้ำ ประเมินระดับความเสี่ยงด้วย CVSS และยืนยันโดยที่ปรึกษาท่านที่สองก่อนรายงานผล

การรายงาน

รายงานที่ลงนามด้วยรหัส พร้อมการอ้างอิง Test Case การจัดระดับความรุนแรง ขั้นตอนการทำซ้ำ และแนวทางแก้ไข

สรุปผลและการทดสอบซ้ำ

การประชุมสรุปผลกับผู้เกี่ยวข้อง การช่วยจัดลำดับความสำคัญ และการทดสอบซ้ำหลังการแก้ไข

มาตรฐานและกรอบการทำงาน

อ้างอิงมาตรฐานสากลที่ได้รับการยอมรับ

MITRE ATT&CK
NIST IR

ทดสอบการป้องกันของท่านกับผู้เชี่ยวชาญด้านการรักษาความปลอดภัยเชิงรุก

ปรึกษาที่ปรึกษาที่ได้รับการรับรอง CREST เกี่ยวกับการทดสอบ Penetration Testing ครั้งถัดไปของท่าน

ปรึกษาผู้เชี่ยวชาญ