Penetration Testing (Pentest)

เป็นการทดสอบความปลอดภัยที่มุ่งเน้นในการหา "ผลลัพธ์" หรือ "ผลกระทบ" เมื่อระบบถูกโจมตีในสถานการณ์ต่างๆ ซึ่งการทำ Pentest จะเป็นการใช้ความสามารถของผู้ทดสอบในการโจมตีระบบเป้าหมายเพื่อให้บรรลุวัตถุประสงค์ตามที่ได้มีการตกลงกันไว้ เช่น การเข้ายึดครองเป้าหมาย การเข้าถึงหรือแก้ไขข้อมูลสำคัญ รวมไปถึงการโจมตีเพื่อสร้างปัญหาต่อระบบ จากนั้นทางผู้ทดสอบจะทำการรวบรวมและสรุปผลจากการทดสอบที่รวบรวมได้ทั้งหมดเป็นรายงานเพื่อแจ้งผลการโจมตี ขั้นตอน รายละเอียดและแนวทางในการแก้ไขปัญหาที่พบ รูปแบบในการดำเนินการทำ Pentest สามารถแบ่งได้เป็น 4 รูปแบบ ดังนี้

เป็นการทดสอบไปที่เว็บเซิร์ฟเวอร์ เว็บเซอร์วิสและเว็บแอปพลิเคชันต่างๆเพื่อตรวจสอบความปลอดภัยตามวัตถุประสงค์ที่ได้ตกลงกันไว้ เป็นการทดสอบไปที่ระบบโครงสร้างเครือข่าย และระดับระบบปฏิบัติการเพื่อตรวจสอบความปลอดภัยตามวัตถุประสงค์ที่ได้มีการตกลงกันไว้ เป็นการทดสอบไปที่แอปพลิเคชันบนโทรศัพท์มือถือ ทั้งระบบปฏิบัติการ Android และ iOS เพื่อตรวจสอบความปลอดภัยตามวัตถุประสงค์ที่ได้ตกลงกันไว้
เป็นการทดสอบความปลอดภัยของระบบเครือข่ายไร้สาย Wi-Fi เพื่อตรวจสอบถึงความปลอดภัยทางด้ากายภาพ การครอบคลุม ของสัญญาณและความปลอดภัยของการเข้ารหัส การทดสอบในส่วนของ Wi-Fi นี้มีวัตถุประสงค์โดยทั่วไปเพื่อทดสอบว่าผู้ทดสอบสามารถเข้าถึงระบบ Wi-Fi โดยไม่ได้รับอนุญาตตาสถานการณ์ที่กำหนดได้หรือไม่ เป็นการทดสอบเรื่องความปลอดภัยของระบบควบคุมการเข้าถึงทางกายภาพด้านเทคนิคอล เช่น ระบบกุญแจ ประตูอิเล็กทรอนิกส์ ระบบบัตรอิเล็กทรอนิกส์ ระบบพิสูจน์ตัวตน ระบบกล้องวงจรปิด วัตถุประสงค์โดยทั่วไปเพื่อทดสอบว่าผู้ทดสอบสามารถเข้าถึงห้องที่มีข้อมูลำคัญ เช่น ห้องเก็บเอกสาร หรือ ห้องคอมพิวเตอร์ ผ่านการควบคุมทางกายภาพที่ไม่ปลอดภัยได้หรือไม่
ผู้ทดสอบทำการทดสอบจากเครือข่ายภายนอก โดยไม่มีข้อมูลเกี่ยวกับเป้าหมาย
(สถานการณ์เทียบเคียงได้แก่ กรณีที่มี Hacker ได้พยายามทำการโจมตีระบบ เป้าหมายจากทาง Internet) + ภายนอก
ผู้ทดสอบทำการทดสอบจากเครือข่ายภายใน โดยไม่มีข้อมูลเกี่ยวกับเป้าหมาย
(สถานการณ์เทียบเคียงได้แก่ กรณีที่ Hacker สามารถเข้าถึงเครือข่ายภายในองค์กรได้และพยายามทำการโจมตีระบบเป้าหมาย)
ผู้ทดสอบทำการทดสอบจากเครือข่ายภายนอก โดยมีข้อมูลเกี่ยวกับเป้าหมายในระดับหนึ่ง
(สถานการณ์เทียบเคียงได้แก่ กรณีที่มีพนักงานเก่าหรือพนักงานปัจจุบันได้พยายามทำการโจมตีระบบเป้าหมายจากทาง Internet) + ภายนอก
ผู้ทดสอบทำการทดสอบจากเครือข่ายภายใน โดยมีข้อมูลเกี่ยวกับเป้าหมายในระดับหนึ่ง
(สถานการณ์เทียบเคียงได้แก่ กรณีที่พนักงานปัจจุบันที่อยู่ในเครือข่ายภายในองค์กรพยายามทำการโจมตีระบบเป้าหมาย)