សារៈសំខាន់នៃ Penetration Testing: Pen Testing សម្រាប់ការគ្រប់គ្រងទៅលើហានិភ័យ

0

ប្រាកដណាស់ អ្នកអាចត្រូវបានហេគដោយងាយដោយមិនគិតអំពីទំហំឬភាពល្បីល្បាញរបស់អង្គភាពរបស់អ្នកឡើយ។ មានពេលខ្លះ ការដែលអ្នកខ្វៈខាតចំណេះដឹងមូលដ្ឋានអំពីការការពារ នឹងធ្វើឲ្យអ្នកទទួលរងការវាយប្រហារ, បាត់បង់ថវិការ ឬក៏ត្រូវបានឆបោកដោយអ្នកផ្តល់សេវាកម្មសន្តិសុខ ។

ជាមួយនឹងការរីកចំរើននៃពាណិជ្ជកម្មអនឡាញ ម្ចាស់អាជីវកម្មភាគច្រើនបានចាប់ផ្តើមចូលប្រឡូកនៅក្នុងវិស័យ e-Commerce ដោយសារតែវាមិនចំណាយដើមទុនច្រើន និងជាមធ្យោបាយមួយក្នុងការពង្រីកពាណិជ្ជកម្មបានលឿន។ ការធ្វើប្រតិបត្តិការតាមអនឡាញ (online transactions) គឺល្អប្រសើរណាស់ ប៉ុន្តែចំនុចមួយដែលអ្នកគួរតែចាប់អារម្មណ៍នោះគឺ Information Security! ។

អ្នកមិនចាំបាច់ក្លាយទៅជាអ្នកជំនាញការផ្នែកសន្តិសុខឡើយដើម្បីការពារណេតវើក និងអាជីវកម្មរបស់អ្នក។ អ្នកអាចជួលអ្នកដែលផ្តល់សេវាកម្មនេះដើម្បីមើលថែទាំហេដ្ឋារចនាសម្ព័ន្ធព័ត៌មានវិទ្យាឲ្យជំនួសអ្នកបាន។ ប៉ុន្តែដើម្បីឲ្យអ្នកអាចមានលទ្ធភាពក្នុងការជ្រើសរើសយកក្រុមហ៊ុនមួយដែលល្អ អ្នកត្រូវដែលដឹងនូវមូលដ្ឋានគ្រឹះនៃភាពខុសគ្នារវាងយន្តការនានានៃសន្តិសុខព័ត៌មាន។

ជាដំបូង អ្នកត្រូវតែធ្វើតេស្តទៅរាល់វេបសាយដើម្បីស្វែងរកចន្លោះប្រហោងសន្តិសុខ ឬចំណុចខ្សោយ (vulnerabilities) ។

“ចំណុចខ្សោយគឺជាច្រកផ្លូវនៃការវាយប្រហារ” វាគឺជាភាពខ្សោយ ឬចំណុចខ្សោយ ឬចំណុចខ្វៈខាតដែលមាននៅក្នុងប្រព័ន្ធដែលអាចបើកទ្វារណេតវើករបស់អ្នកទៅឲ្យអ្នកផ្សេងអាចវាយប្រហារ ។ តើចំណុចខ្សោយទាំងនេះបណ្តាលមកពីអ្វី? មានប្រព័ន្ធ និងសូហ្វវែរភាគច្រើនត្រូវបានភ្ជាប់មកជាមួយនូវចំណុចខ្សោយដែលស្គាល់ និងមិនស្គាល់ ឬក៏កំហុសឆ្គង (bug) នៅក្នុងការរៀបចំដំបូង (configuration) ។

ប្រព័ន្ធនានាត្រូវតែធ្វើការត្រួតពិនិត្យដើម្បីស្វែងរកចំណុចខ្សោយ ។ បន្ទាប់មកទៀតចំណុចខ្សោយទាំងនេះត្រូវតែត្រួតពិនិត្យថាតើវាអាចត្រូវបានជ្រៀតចូល (exploited) ដែរឬទេ? បន្ទាប់មកផលវិបាកនានាដែលកើតឡើងពីចំណុចខ្សោយទាំងនោះត្រូវតែធ្វើការប៉ាន់ស្មានជាការចាំបាច់។ ដំណាក់កាលចំនួនបីសំខាន់ផ្សេងៗគ្នាដែលត្រូវតែធ្វើគឺ ១/ ការស្វែងរកចំណុចខ្សោយ ​(vulnerability assessment) ២/ Penetration Test (ការធ្វើតេស្តវាយប្រហារ) និង ៣/ ការវិភាគហានិភ័យ (Risk Analysis) ។ សន្តិសុខព័ត៌មានគឺមិនមែនជាប្រតិបត្តិការមួយពេលចប់ឡើយ គឺវាត្រូវតែដំណើរការជាប្រចាំឲ្យបានទៀងទាត់។

ការដែលយើងមានការយល់ដឹងអំពីយន្តការសន្តិសុខទាំងនេះ គឺមានសារៈសំខាន់គួរសមនៅពេលដែលអ្នកធ្វើការសម្រេចចិត្តយកនូវវិធីសាស្ត្រដ៏ល្អណាមួយក្នុងការ ធ្វើឲ្យមានសន្តិសុខចំពោះណេតវើក និងប្រព័ន្ធ។

ការស្វែងរកចំណុចខ្សោយ (Vulnerability Assessment)

ជារឿយៗការស្វែងរកចំណុចខ្សោយគឺមានការភាន់ច្រលំជាមួយនឹងការធ្វើតេស្តវាយប្រហារ (penetration test)។ ប៉ុន្តែវាជាដំណើការពីរខុសគ្នាទាំងស្រុង ហើយបើសិនជាអ្នកផ្គត់ផ្គង់សេវាកម្មសន្តិសុខណាថាវាដូចគ្នានោះ គឺអ្នកមិនត្រូវទុកចិត្តដល់អ្នកទាំងនោះឡើយ។

ភាគច្រើន ការស្វែងរកចំណុចខ្សោយគឺសម្រាប់អង្គភាពណាដែលមិនទាន់ស្គាល់នូវកម្រិតសន្តិសុខរបស់ខ្លួននៅឡើយ ហើយចង់កំណត់ឲ្យបាននូវចំនុចខ្សោយរបស់ខ្លួន។ ការស្វែងរកចំណុចខ្សោយនេះ វានឹងធ្វើការស្កេននូវ IP address ឬបណ្តុំនៃ ​IPs ជាមួយនឹងការប្រើប្រាស់កម្មវិធីដូចជា ​Nessus និង OpenVas ជាដើម។ កម្មវិធីទាំងនេះមាននូវ signatures របស់ខ្លួនសម្រាប់ស្វែងរកចំនុចខ្សោយដូចជា Heartbleed bug, shellshock, Apache Web, …ល។ បើសិនជាប្រព័ន្ធរបស់អ្នកមាននូវចំណុចខ្សោយណាមួយដែលស្គាល់ កម្មវិធីទាំងនោះនឹងបញ្ចេញព័ត៌មាន (alert) ឲ្យយើងបានដឹង ហើយបន្ទាប់មកនឹងបញ្ចេញនូវរបាយការណ៍ជាមួយនឹងបញ្ជីឈ្មោះនៃចំណុចខ្សោយដែលរកឃើញ, កម្រិតនៃភាពធ្ងន់ធ្ងរ និងជំហាននៃការជួសជុល ។ ដោយសារតែកម្មវិធីទាំងនេះវាប្រើប្រាស់នូវ signatures វានឹងមិនរកឃើញនូវចំណុចខ្សោយដែលមិនស្គាល់នោះឡើយ ​(unknown vulnerabilities) ។

ការធ្វើតេស្តវាយប្រហារ (Penetration Test)

មានអ្នកធ្វើតេស្តការវាយប្រហារជាច្រើនដែលនឹងធ្វើការស្វែងរកចំណុចខ្សោយ (vulnerability assessment) ហើយតាំងខ្លួនថាបានធ្វើការការងារធ្វើតេស្តវាយប្រហារ (pentest) ។ អ្នកគួរតែដឹងថាការងារនេះគ្រាន់តែជាដំណាក់កាលដំបូងបំផុតនៃការធ្វើតេស្តវាយប្រហារប៉ុណ្ណោះ។ ការធ្វើតេស្តវាយប្រហារពិតប្រាកដគឺការយករបាយការណ៍ពីការស្កេនណេតវើក ឬស្វែងរកចំណុចខ្សោយ ហើយវាយប្រហារទៅកាន់ port ណាមួយឬចំនុចខ្សោយដែលបានរកឃើញ ដើម្បីរកមើលថាតើវាអាចជ្រៀតចូលតាមចំនុចខ្សោយនោះបានដែរឬទេ?

វាអាចទៅរួចក្នុងការដំណើរការ pentest ដោយប្រើប្រាស់កម្មវិធីស្វ័យប្រវត្តិមានដូចជា Metasploit ។ ប៉ុន្តែអ្នកជំនាញពិតប្រាកដនឹងធ្វើការសរសេរនូវ exploits ខ្លួនឯងហើយធ្វើការវាយប្រហារតែម្តង ។ ឧទាហរណ៍ថា បើសិនជាវេបសាយរបស់អ្នកមានចំណុចខ្សោយ ​Heartbleed ហើយអ្នកដែលធ្វើតេស្តវាយប្រហារមានលទ្ធភាពជ្រៀតចូលតាមចំណុចខ្សោយនោះ និងធ្វើការកំណត់នូវផលប៉ៈពាល់ថាតើព័ត៌មានណាខ្លះដែលអាចជ្រាបចេញ។ វាមានន័យថា ណេតវើករបស់អ្នកនឹងអាចធ្វើការវាយប្រហារក្នុងទម្រង់ដូចជាហេគឃ័រពិតប្រាកដ ។

ចូរចងចាំថា អ្នកធ្វើតេស្តវាយប្រហារ (Penetration Testers) ឬ ​White Hat Hackers / Ethical Hackers តែងតែធ្វើការវាយលុកចូលក្នុងប្រព័ន្ធរបស់អ្នកក្នុងទម្រង់ដ៏មានសុវត្ថិភាព និងគ្រប់គ្រងបាន ហើយនឹងធ្វើការសំអាតវាបន្ទាប់ពីការធ្វើតេស្តត្រូវបានបញ្ចប់។ តេស្តនឹងធ្វើទៅតាមនីតិវិធីត្រឹមត្រូវ ហើយតែងតែមានការចុះហត្ថលេខាទៅលើ DNA (non-Disclosure Agreement) ជាមុន ។

ការវិភាគហានិភ័យ (Risk Analysis)

ការវិភាគហានិភ័យគឺជាមូលដ្ឋានគ្រឹះនៃសន្តិសុខព័ត៌មានរបស់អង្គភាព ហើយការវិភាគហានិភ័យបានត្រឹមត្រូវវានឹងជួយយើងការពារនូវការលួចយកទិន្នន័យ (data breaches), កាត់បន្ថយផលប៉ៈពាល់នៃការវាយប្រហារ និងការពារអង្គភាពរបស់អ្នក។ ការវិភាគហានិភ័យយើងត្រូវពិចារណាទៅលើទ្រព្យសម្បត្តិព័ត៌មាន (information asset), ចំណុចខ្សោយ (vulnerability), ការគំរាមគំហែង ​(threat) និងផលប៉ៈពាល់ចំពោះក្រុមហ៊ុន។ វាមិនពាក់ព័ន្ធទៅនឹងការងារ scanning, penetrating ឬក៏ការប្រើប្រាស់កម្មវិធីណាឡើយ។ វាគឺជាក្របខណ្ឌដែលធ្វើការវិភាគទៅលើចំណុចខ្សោយជាក់លាក់ណាមួយដូចជា ការកំណត់នៅហានិភ័យនានានៅពេលដែលត្រូវទទួលរងការវាយប្រហារ។ ហានិភ័យត្រូវបានគេវាយតម្លៃនៅក្នុងបរិបទហិរញ្ញវត្ថុ កេត្តនាម ប្រតិបត្តិការអាជីវកម្ម និងបទបញ្ញត្តិអនុលោមភាព។

នៅចុងបញ្ចប់ ការដាក់ចំណាត់ថ្នាក់ហានិភ័យជាមួយនឹងយន្តការឆ្លើយតប (mitigate controls) ដើម្បីធ្វើការកត់បន្ថយហានិភ័យនឹងត្រូវបានដាក់ចេញ។ អ្នកគ្រប់គ្រងអាចប្រើប្រាស់របាយការណ៍នេះក្នុងការសំរេចចិត្តជាមួយនឹងយន្តការឆ្លើយតប ថាតើគួរតែអនុវត្តន៍ ឬមិនអនុវត្តន៍ ។

សរុបសេចក្តី

យន្តការសន្តិសុខចំនួនបី (03) ត្រូវបានលើកយកមកពន្យល់យ៉ាងលំអិតខាងលើមិនមែនដាច់មុខនិមួយៗនោះទេ វាគឺបំពេញឲ្យគ្នាទៅវិញទោមក។ នៅក្នុងការវាយតម្លៃលើសន្តិសុខព័ត៌មាន ភាគច្រើនគឺ vulnerability assessment ត្រូវបានធ្វើដើម្បីរកនូវ network bugs, misconfigurations និង missing patches ។ បន្ទប់មកការធ្វើ penetration test ឬការវិភាគហានិភ័យត្រូវបានធ្វើបន្ទាប់ ។

ការវិភាគហានិភ័យអាចធ្វើឡើងមុន ទោះបីជាមិនជាបានធ្វើ vulnerability analysis ឬ penetration ក៏ដោយ។ នៅកន្លែងណាដែលមានវត្តមាន asset ជាមួយនឹងការ threat, ការវិភាគហានិភ័យអាចធ្វើឡើងបាន។

ការវាយតម្លៃចំនុចខ្សោយ ​ការធ្វើតេស្តវាយប្រហារ និងការវិភាគហានិភ័យគឺមាននីតិវិធីខុសៗគ្នា និងលទ្ធផលខុសៗគ្នា ៕

LEAVE A REPLY

Please enter your comment!
Please enter your name here