การทดสอบการเจาะระบบ (Penetration Testing)
การทดสอบการเจาะระบบ (Penetration Test) คือวิธีการทดสอบความปลอดภัยที่จำลองการโจมตีระบบหรือเครือข่ายจากมุมมองของผู้ไม่หวังดี เพื่อประเมินว่ามีช่องโหว่ที่สามารถนำไปใช้ประโยชน์ได้หรือไม่ และประเมินผลกระทบที่อาจเกิดขึ้นจริง
ตรวจสอบการป้องกันด้วย "สายตาของโจร"
การทดสอบการเจาะระบบ (Penetration Test หรือที่เรียกกันทั่วไปว่า Pentest) คือการทดสอบที่ผู้เชี่ยวชาญด้านความปลอดภัยพยายามบุกรุกเข้าสู่ระบบโดยใช้วิธีการเดียวกับผู้โจมตีจริง ในขณะที่ Fuzzing เป็นวิธีการอัตโนมัติที่เน้นการตรวจสอบจุดเชื่อมต่อข้อมูล (Input interface) อย่างเป็นระบบ แต่ Pentest จะใช้การตัดสินใจของมนุษย์เป็นแกนหลักในการสำรวจอย่างครอบคลุมว่า "หากจะโจมตีองค์กรนี้ จะเข้าทางช่องทางไหน" จุดแข็งคือสามารถประเมินข้ามสายงานได้ทั้งในด้านเทคนิคและตรรกะทางธุรกิจ ไม่ว่าจะเป็นโครงสร้างเครือข่าย, ขั้นตอนการยืนยันตัวตน, ความเป็นไปได้ในการยกระดับสิทธิ์ (Privilege Escalation) ไปจนถึงการทำ Social Engineering
การจำแนกประเภทของการทดสอบ
Pentest สามารถจำแนกได้ตามปริมาณข้อมูลที่ให้แก่ผู้ทดสอบล่วงหน้า
Black Box คือการที่ผู้ทดสอบพยายามบุกรุกจากภายนอกโดยไม่มีข้อมูลภายในขององค์กรเป้าหมายเลย ซึ่งเป็นสถานการณ์ที่ใกล้เคียงกับผู้โจมตีภายนอกจริงมากที่สุด ส่วน White Box คือการที่ผู้ทดสอบได้รับข้อมูลล่วงหน้า เช่น ซอร์สโค้ด, แผนผังเครือข่าย และข้อมูลการยืนยันตัวตน ทำให้สามารถตรวจสอบได้อย่างครอบคลุม สำหรับ Grey Box จะอยู่กึ่งกลางระหว่างสองแบบข้างต้น โดยมักเป็นการกำหนดเงื่อนไข เช่น การมีข้อมูลการยืนยันตัวตนของผู้ใช้ทั่วไป แต่ไม่ทราบรายละเอียดของสถาปัตยกรรมภายใน
ในทางปฏิบัติ การเลือกใช้มักขึ้นอยู่กับวัตถุประสงค์ หากต้องการดูความทนทานต่อการบุกรุกจากภายนอกจะใช้ Black Box แต่หากต้องการตรวจสอบระดับโค้ดอย่างสม่ำเสมอภายใน DevSecOps pipeline จะใช้ White Box
ความแตกต่างกับ AI Red Teaming
AI Red Teaming เป็นวิธีการตรวจสอบความเสี่ยงเฉพาะของระบบ AI (เช่น Prompt Injection, การปนเปื้อนของข้อมูลที่ใช้ฝึกสอน, อคติของผลลัพธ์ ฯลฯ) ซึ่งมีเป้าหมายในการประเมินต่างจาก Pentest แบบดั้งเดิม อย่างไรก็ตาม เส้นแบ่งระหว่างทั้งสองเริ่มเลือนลางลง ในเว็บแอปพลิเคชันที่ฝัง LLM เข้าไปนั้น SQL Injection แบบดั้งเดิมและ Prompt Injection ผ่าน LLM จะอยู่ร่วมกันในระบบเดียว ทำให้ผู้ทำ Pentest จำเป็นต้องมีความรู้ด้าน AI Security เพิ่มขึ้นด้วย
AI กำลังเปลี่ยนโฉมหน้าของ Pentest
กรณีที่ Claude Mythos สามารถเชื่อมโยงช่องโหว่หลายจุดใน Linux kernel ได้ด้วยตนเอง จนสามารถยกระดับสิทธิ์จากผู้ใช้ทั่วไปไปเป็น root ได้สำเร็จนั้น แสดงให้เห็นว่า AI สามารถทำซ้ำงานที่ผู้ทำ Pentest เคยต้องใช้เวลาหลายวันให้เสร็จสิ้นได้ภายในเวลาเพียงไม่กี่ชั่วโมง คะแนนของ CyberGym (Mythos 83.1%) เป็นสิ่งที่ยืนยันความสามารถนี้ในเชิงปริมาณ
แม้การทำให้ Pentest เป็นอัตโนมัติโดยสมบูรณ์จะยังเป็นเรื่องของอนาคต แต่รูปแบบการแบ่งงานที่ใช้ AI ทำการสแกนเบื้องต้นเพื่อหาช่องทางโจมตีอย่างรวดเร็ว แล้วให้มนุษย์ที่เป็น Pentester โฟกัสในส่วนที่ต้องใช้การตัดสินใจนั้น กำลังเข้าสู่ขั้นตอนการใช้งานจริงแล้ว แม้แต่นักวิจัยในโปรแกรม Bug Bounty ก็เริ่มนำเครื่องมือ AI มาใช้ในการสำรวจช่องทางโจมตีเช่นกัน
