ການທົດສອບການເຈາະລະບົບ (Penetration Testing)
ການທົດສອບການເຈາະລະບົບ (Penetration Test) ແມ່ນວິທີການທົດສອບຄວາມປອດໄພ ໂດຍການຈຳລອງການບຸກລຸກເຂົ້າສູ່ລະບົບ ຫຼື ເຄືອຂ່າຍໃນມຸມມອງຂອງຜູ້ໂຈມຕີ ເພື່ອປະເມີນຫາຊ່ອງໂຫວ່ທີ່ສາມາດນຳໄປໃຊ້ງານໄດ້ ແລະ ຜົນກະທົບທີ່ອາດຈະເກີດຂຶ້ນຕົວຈິງ.
ການກວດສອບການປ້ອງກັນດ້ວຍ "ສາຍຕາຂອງໂຈນ"
Penetration Test (ຫຼືທີ່ເອີ້ນກັນວ່າ Pentest) ແມ່ນການທົດສອບທີ່ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພພະຍາຍາມບຸກລຸກເຂົ້າສູ່ລະບົບໂດຍໃຊ້ວິທີການດຽວກັນກັບຜູ້ໂຈມຕີຕົວຈິງ. ໃນຂະນະທີ່ Fuzzing ເປັນວິທີການອັດຕະໂນມັດທີ່ໃຊ້ໃນການກວດສອບຈຸດເຊື່ອມຕໍ່ການປ້ອນຂໍ້ມູນ (Input interface) ຢ່າງເປັນລະບົບ, Pentest ຈະເນັ້ນໃສ່ການຕັດສິນໃຈຂອງມະນຸດເປັນຫຼັກ ເພື່ອຄົ້ນຫາຢ່າງຮອບດ້ານວ່າ "ຖ້າຈະໂຈມຕີອົງກອນນີ້ ຄວນເຂົ້າທາງຊ່ອງທາງໃດ". ຈຸດແຂງຂອງມັນຄືສາມາດປະເມີນໄດ້ຢ່າງຄົບວົງຈອນທັງດ້ານເຕັກນິກ ແລະ ດ້ານທຸລະກິດ (Business logic) ບໍ່ວ່າຈະເປັນໂຄງສ້າງເຄືອຂ່າຍ, ຂັ້ນຕອນການຢືນຢັນຕົວຕົນ (Authentication flow), ຄວາມເປັນໄປໄດ້ໃນການຍົກລະດັບສິດທິ (Privilege escalation), ໄປຈົນເຖິງ Social engineering.
ການຈັດປະເພດຂອງການທົດສອບ
Pentest ຖືກຈັດປະເພດຕາມປະລິມານຂໍ້ມູນເບື້ອງຕົ້ນທີ່ມອບໃຫ້ແກ່ຜູ້ທົດສອບ (Tester).
Black box: ຜູ້ທົດສອບຈະພະຍາຍາມບຸກລຸກຈາກພາຍນອກໂດຍບໍ່ມີຂໍ້ມູນພາຍໃນຂອງອົງກອນເປົ້າໝາຍເລີຍ ເຊິ່ງເປັນສະຖານະການທີ່ໃກ້ຄຽງກັບຜູ້ໂຈມຕີຕົວຈິງຫຼາຍທີ່ສຸດ. White box: ຈະມີການແບ່ງປັນ Source code, ແຜນຜັງເຄືອຂ່າຍ, ແລະຂໍ້ມູນການຢືນຢັນຕົວຕົນໃຫ້ລ່ວງໜ້າ ເຮັດໃຫ້ສາມາດກວດສອບໄດ້ຢ່າງລະອຽດ. Grey box: ເປັນກາງລະຫວ່າງສອງແບບທຳອິດ ເຊິ່ງມັກຈະມີການກຳນົດເງື່ອນໄຂເຊັ່ນ: ມີຂໍ້ມູນການຢືນຢັນຕົວຕົນຂອງຜູ້ໃຊ້ທົ່ວໄປ ແຕ່ບໍ່ຮູ້ລາຍລະອຽດຂອງສະຖາປັດຕະຍະກຳພາຍໃນ.
ໃນການປະຕິບັດງານຕົວຈິງ, ໂດຍທົ່ວໄປແລ້ວຈະເລືອກໃຊ້ Black box ຫາກຕ້ອງການເບິ່ງຄວາມທົນທານຕໍ່ການບຸກລຸກຈາກພາຍນອກ, ແລະໃຊ້ White box ຫາກຕ້ອງການກວດສອບລະດັບ Code ຢ່າງເປັນປະຈຳພາຍໃນ DevSecOps pipeline.
ຄວາມແຕກຕ່າງກັບ AI Red Teaming
AI Red Teaming ແມ່ນວິທີການກວດສອບຄວາມສ່ຽງສະເພາະຂອງລະບົບ AI (ເຊັ່ນ: Prompt injection, ການປົນເປື້ອນຂອງຂໍ້ມູນການຮຽນຮູ້, ຄວາມລຳອຽງຂອງຜົນລັອກ, ແລະອື່ນໆ) ເຊິ່ງມີເປົ້າໝາຍການປະເມີນທີ່ແຕກຕ່າງຈາກ Pentest ແບບດັ້ງເດີມ. ຢ່າງໃດກໍຕາມ, ເສັ້ນແບ່ງລະຫວ່າງທັງສອງກຳລັງເລີ່ມມົວລົງ. ໃນ Web application ທີ່ຝັງ LLM ໄວ້, SQL injection ແບບດັ້ງເດີມ ແລະ Prompt injection ຜ່ານ LLM ຈະມີຢູ່ຮ່ວມກັນໃນລະບົບດຽວ, ເຮັດໃຫ້ຜູ້ເຮັດ Pentest ຈຳເປັນຕ້ອງມີຄວາມຮູ້ດ້ານ AI security ເພີ່ມຂຶ້ນ.
AI ກໍາລັງປ່ຽນແປງ Pentest
ກໍລະນີທີ່ Claude Mythos ສາມາດເຊື່ອມໂຍງຊ່ອງໂຫວ່ຫຼາຍຈຸດໃນ Linux kernel ໄດ້ດ້ວຍຕົນເອງ ຈົນສາມາດຍົກລະດັບສິດທິຈາກຜູ້ໃຊ້ທົ່ວໄປໄປສູ່ root ໄດ້ນັ້ນ, ໄດ້ສະແດງໃຫ້ເຫັນວ່າ AI ສາມາດເຮັດວຽກທີ່ຜູ້ເຮັດ Pentest ຕ້ອງໃຊ້ເວລາຫຼາຍມື້ ໃຫ້ສຳເລັດໄດ້ພາຍໃນເວລາພຽງບໍ່ເທົ່າໃດຊົ່ວໂມງ. ຄະແນນຂອງ CyberGym (Mythos 83.1%) ເປັນການຢືນຢັນເຖິງຄວາມສາມາດນີ້ຢ່າງເປັນຮູບປະທຳ.
ເຖິງແມ່ນວ່າການເຮັດ Pentest ໃຫ້ເປັນອັດຕະໂນມັດທັງໝົດຍັງເປັນເລື່ອງຂອງອະນາຄົດ, ແຕ່ຮູບແບບການແບ່ງງານທີ່ໃຊ້ AI ສະແກນເບື້ອງຕົ້ນເພື່ອຊອກຫາຈຸດໂຈມຕີຢ່າງວ່ອງໄວ ແລ້ວໃຫ້ມະນຸດທີ່ເປັນ Pentester ເຂົ້າມາສຸມໃສ່ສ່ວນທີ່ຕ້ອງໃຊ້ການຕັດສິນໃຈນັ້ນ ໄດ້ເລີ່ມເຂົ້າສູ່ຂັ້ນຕອນການນຳໃຊ້ຈິງແລ້ວ. ນັກຄົ້ນຄວ້າໃນໂຄງການ Bug bounty ກໍເລີ່ມນຳໃຊ້ເຄື່ອງມື AI ເຂົ້າໃນການສຳຫຼວດຈຸດໂຈມຕີເຊັ່ນກັນ.
