เจาะลึก OSSTMM คู่มือสู่การทำตามมาตรฐาน Penetration Testing

Penetration Testing หรือการทดสอบเจาะระบบ  นับว่าเป็นกระบวนการที่สำคัญมากในการยืนยันว่าระบบที่ใช้งานอยู่นั้นมีมาตรการความปลอดภัยที่ใช้อยู่นั้นมีประสิทธิภาพหรือไม่ และยังช่วยในการตรวจสอบว่าระบบและแอปพลิเคชันที่ใช้อยู่นั้นมีความปลอดภัยต่อการถูกโจมตี สิ่งที่สามารถทำให้มั่นใจได้ว่า การทำ Pentesting ที่ดำเนินการอยู่นั้น ถูกต้องหรือได้มาตรฐาน นั้นก็คือการนำเอา มาตรฐานทางด้านการทดสอบการเจาะระบบมาช่วยในการดำเนินงาน อาทิ เช่น  OWASP Top Ten, PTES (Penetration Testing Execution Standard), ISSAF และ OSSTMM (Open Source Security Testing Methodology Manual)  ในบทความนี้จะเจาะลึกลงไปในรายละเอียดของ OSSTMM ที่เป็นคู่มือเกี่ยวกับการทดสอบความปลอดภัยในหลาย ๆ มุมมอง รวมถึงทั้งเว็บแอปพลิเคชัน, ระบบเครือข่าย และการพิสูจน์ตัวตน

OSSTMM คืออะไร

OSSTMM (Open Source Security Testing Methodology Manual) เป็นคู่มือที่ถูกออกแบบมาเพื่อให้การทดสอบความปลอดภัยให้เป็นไปตามมาตรฐาน เกี่ยวข้องกับ เกี่ยวข้องกับ 5 เรื่องต่อไปนี้

• Human Security Testing: เน้นการประเมินระดับความตระหนักด้านความปลอดภัยไซเบอร์ของบุคลากร และประสิทธิผลของการฝึกอบรมด้านความปลอดภัยในองค์กร วิธีการที่จัดการเกี่ยวกับการโจมตีทาง Social Engineering ซึ่งเป็นเทคนิคการหลอกลวงโดยใช้หลักการพื้นฐานทางจิตวิทยาเพื่อให้เหยื่อเปิดเผยข้อมูล
• Physical Security Testing: ประเมินการควบคุมการเข้าถึงทางกายภาพ
• Wireless Security Testing: ครอบคลุมรูปแบบไร้สายต่าง ๆ ที่สามารถดักจับหรือหยุดชะงักได้ รวมถึงเครือข่าย Wi-Fi, RFID และอื่น ๆ Telecommunications ครอบคลุมช่องทางการสื่อสารต่าง ๆ ในองค์กร รวมถึง VoIP, PBX และ voicemail
• Telecommunications Security Testing: การทดสอบด้านการสื่อสาร เช่น PBX Testing หรือ Voice over IP testing เป็นต้น
• Data Networks Security Testing: เป็นการทดสอบที่เน้นเรื่องความปลอดภัยของคอมพิวเตอร์และเครือข่ายของระบบ  

โดยมีสถาบัน ISECOM (Institute for Security and Open Methodologies) องค์กรที่ไม่แสวงหาผลกำไรเป็นผู้ดูแล โดยมีผู้พัฒนาจากหลายองค์กรที่มีชื่อเสียงเข้าร่วมจัดทำ อีกทั้งยังถูกใช้เป็นเอกสารอ้างอิงจากมาตรฐานอื่น ๆ เช่น PCI DSS, และ OWASP เป็นต้น โดย OSSTMM นี้มีข้อกำหนด ขั้นตอนที่ชัดเจน และมีตัวชี้วัดในการคำนวนความปลอดภัยของระบบเป็นของตัวเองโดยผลลัพธ์ที่ได้ออกมาจะเป็นคะแนนความปลอดภัยของระบบ ซึ่งเหมาะสำหรับผู้ที่อยากได้แนวทางการทำ Operations Security รวมถึงการทำ Penetration Tester อีกด้วย

นอกจากนี้ในปัจจุบันทาง ISECOM มีการอบรมเพื่ออกใบรับรอง OSSTMM Certification (Certifications for Professionals) ที่เป็นการออก Certification ที่มอบให้กับผู้ที่ผ่านการทดสอบความปลอดภัยระดับมืออาชีพ การวิเคราะห์ กระบวนการตามระเบียบวิธี และมาตรฐาน โดยมี 9 certifications ด้วยกัน ได้แก่

• OSSTMM OPST Professional Security Tester

ใบรับรองด้านการมีทักษะและความรู้ในการทดสอบความปลอดภัยบนเครือข่ายข้อมูลที่ แม่นยำและมีประสิทธิภาพ

• OSSTMM OPSA Professional Security Analyst

ใบรับรองความสามารถในการใช้หลักการวิเคราะห์ความปลอดภัยและการโจมตีได้อย่าง แม่นยำและมีประสิทธิภาพหรือที่เรียกว่าใบรับรองสำหรับนักวิเคราะห์ความปลอดภัยทาง ไซเบอร์

• OSSTMM OPSE Professional Security Expert

ใบรับรองความสามารถในการเรียนรู้แนวคิดด้านความปลอดภัยว่าเป็นผู้เชี่ยวชาญด้าน ความปลอดภัยทางไซเบอร์

• OSSTMM OWSE Wireless Security Expert

ใบรับรองความสามารถการมีทักษะและความรู้ในการวิเคราะห์และทดสอบความ ปลอดภัยในการดำเนินงานของเทคโนโลยีไร้สาย ระบบไอทีอย่างถูกต้องและมี ประสิทธิภาพ

• OSSTMM CTA Certified Trust Analyst

ใบรับรองความสามารถการมีทักษะและความรู้ในการประเมินทรัพย์สินของบุคคล สถาน ที่ สิ่งของ ระบบ หรือกระบวนการใด ๆ ได้อย่างมีประสิทธิภาพ และแม่นยำ

• Certified Security Awareness Instructor

ใบรับรองด้านความเข้าใจด้านการรักษาความมั่นคงปลอดภัยให้กับบุคลากรในองค์กร

• Certified Hacker Analyst

ใบรับรองด้านการทดสอบบุกรุกระะบบ

• Certified Hacker Analyst Trainer

ใบรับรองการเป็นผู้ฝึกอบรมที่มีความสามารถด้านการบุกเจาะระบบ

• Certified Cyber Trooper

Cyberwarfare certification ใบรับรองด้าน cyberwarfare เพื่อรับรองการมีความ รู้และความเชี่ยวชาญด้าน cybersecurity อย่างลึกซึ้ง

หากองค์กรไหนสนใจการทดสอบระบบ Penetration Testing  การทาง NT cyfence มีบริการการทดสอบเจาะระบบโดยใช้หลักการและวิธีการมาตรฐานการทดสอบที่พัฒนาโดยทีมผู้เชี่ยวชาญของ NT cyfence โดยประยุกต์เพื่อให้เหมาะสมกับสภาพแวดล้อมของระบบโดยส่วนใหญ่ของประเทศไทย โดยมีการอ้างอิงจากมาตรฐานสากล ดังนี้

• OSSTMM, The Open Source Security Testing Methodology Manual
• BSI A Penetration Testing Model Study
• NIST 800-42 Guideline on Network Security Testing
• C|EH (Certified Ethical Hacker) Methodology
• OWASP Testing Guide Version 4
• OWASP Mobile Testing Guide
• ISSAF, Information Systems Security Assessment Framework

ข้อดีของการทำ Penetration Testing

การทดสอบการเจาะระบบ (Pentest) เป็นการหาช่องโหว่ในระบบ IT เพื่อเพิ่มประสิทธิภาพการป้องกัน ลดความเสี่ยงจากภัยคุกคาม และสร้างความตระหนักรู้ภายในองค์กร เพื่อป้องกันความเสียหายและผลกระทบจากช่องโหว่ที่เกิดจากการโดนโจมตีระบบภายในองค์กร ทาง NT cyfence ได้เล็งเห็นถึงความสำคัญ และเพื่อยกระดับการสร้างมาตรฐานความปลอดภัยให้กับองค์กร จึงเกิดเป็นกิจกรรม ‘สแกนนช่องโหว่ Web Server ด้วย บริการ Vulnerability Assessment Service’ ที่จัดขึ้นเป็นปีที่ 2 ซึ่งได้รับกระแสตอบรับที่ดี โดยหน่วยงานที่มีความกังวลด้านความปลอดภัยของ Server และ ระบบเครือข่ายของตนเองว่ามีความเสี่ยงในการถูกโจมตีหรือไม่ สามารถลงทะเบียนเพื่อลุ้นรับสิทธิสแกน Server ฟรี ตั้งแต่วันที่ 10/10/2023 – 08/11/2023 ได้ที่: https://www.cyfence.com/free-vulnerability-assessment/ 

หรือสำหรับผู้ที่สนใจบริการ Penetration Test และ Vulnerability Assessment สามารถติดต่อ NT cyfence ได้ทาง https://www.cyfence.com/contact-us/  หรือโทร 1888 เรามีทีมงานผู้เชี่ยวชาญพร้อมให้คำแนะนำ และเป็นที่ปรึกษาความปลอดภัยด้านสารสนเทศอย่างครบวงจร

ที่มา: isecom , OSSTMM