การทดสอบการเจาะระบบ (Penetration Testing)

การทดสอบการเจาะระบบ (Penetration Testing)

การทดสอบการเจาะระบบ (Penetration Test) คือวิธีการทดสอบความปลอดภัยที่จำลองการโจมตีระบบหรือเครือข่ายจากมุมมองของผู้ไม่หวังดี เพื่อประเมินว่ามีช่องโหว่ที่สามารถนำไปใช้ประโยชน์ได้หรือไม่ และประเมินผลกระทบที่อาจเกิดขึ้นจริง

ตรวจสอบการป้องกันด้วย "สายตาของโจร"

การทดสอบการเจาะระบบ (Penetration Test หรือที่เรียกกันทั่วไปว่า Pentest) คือการทดสอบที่ผู้เชี่ยวชาญด้านความปลอดภัยพยายามบุกรุกเข้าสู่ระบบโดยใช้วิธีการเดียวกับผู้โจมตีจริง ในขณะที่ Fuzzing เป็นวิธีการอัตโนมัติที่เน้นการตรวจสอบจุดเชื่อมต่อข้อมูล (Input interface) อย่างเป็นระบบ แต่ Pentest จะใช้การตัดสินใจของมนุษย์เป็นแกนหลักในการสำรวจอย่างครอบคลุมว่า "หากจะโจมตีองค์กรนี้ จะเข้าทางช่องทางไหน" จุดแข็งคือสามารถประเมินข้ามสายงานได้ทั้งในด้านเทคนิคและตรรกะทางธุรกิจ ไม่ว่าจะเป็นโครงสร้างเครือข่าย, ขั้นตอนการยืนยันตัวตน, ความเป็นไปได้ในการยกระดับสิทธิ์ (Privilege Escalation) ไปจนถึงการทำ Social Engineering

การจำแนกประเภทของการทดสอบ

Pentest สามารถจำแนกได้ตามปริมาณข้อมูลที่ให้แก่ผู้ทดสอบล่วงหน้า

Black Box คือการที่ผู้ทดสอบพยายามบุกรุกจากภายนอกโดยไม่มีข้อมูลภายในขององค์กรเป้าหมายเลย ซึ่งเป็นสถานการณ์ที่ใกล้เคียงกับผู้โจมตีภายนอกจริงมากที่สุด ส่วน White Box คือการที่ผู้ทดสอบได้รับข้อมูลล่วงหน้า เช่น ซอร์สโค้ด, แผนผังเครือข่าย และข้อมูลการยืนยันตัวตน ทำให้สามารถตรวจสอบได้อย่างครอบคลุม สำหรับ Grey Box จะอยู่กึ่งกลางระหว่างสองแบบข้างต้น โดยมักเป็นการกำหนดเงื่อนไข เช่น การมีข้อมูลการยืนยันตัวตนของผู้ใช้ทั่วไป แต่ไม่ทราบรายละเอียดของสถาปัตยกรรมภายใน

ในทางปฏิบัติ การเลือกใช้มักขึ้นอยู่กับวัตถุประสงค์ หากต้องการดูความทนทานต่อการบุกรุกจากภายนอกจะใช้ Black Box แต่หากต้องการตรวจสอบระดับโค้ดอย่างสม่ำเสมอภายใน DevSecOps pipeline จะใช้ White Box

ความแตกต่างกับ AI Red Teaming

AI Red Teaming เป็นวิธีการตรวจสอบความเสี่ยงเฉพาะของระบบ AI (เช่น Prompt Injection, การปนเปื้อนของข้อมูลที่ใช้ฝึกสอน, อคติของผลลัพธ์ ฯลฯ) ซึ่งมีเป้าหมายในการประเมินต่างจาก Pentest แบบดั้งเดิม อย่างไรก็ตาม เส้นแบ่งระหว่างทั้งสองเริ่มเลือนลางลง ในเว็บแอปพลิเคชันที่ฝัง LLM เข้าไปนั้น SQL Injection แบบดั้งเดิมและ Prompt Injection ผ่าน LLM จะอยู่ร่วมกันในระบบเดียว ทำให้ผู้ทำ Pentest จำเป็นต้องมีความรู้ด้าน AI Security เพิ่มขึ้นด้วย

AI กำลังเปลี่ยนโฉมหน้าของ Pentest

กรณีที่ Claude Mythos สามารถเชื่อมโยงช่องโหว่หลายจุดใน Linux kernel ได้ด้วยตนเอง จนสามารถยกระดับสิทธิ์จากผู้ใช้ทั่วไปไปเป็น root ได้สำเร็จนั้น แสดงให้เห็นว่า AI สามารถทำซ้ำงานที่ผู้ทำ Pentest เคยต้องใช้เวลาหลายวันให้เสร็จสิ้นได้ภายในเวลาเพียงไม่กี่ชั่วโมง คะแนนของ CyberGym (Mythos 83.1%) เป็นสิ่งที่ยืนยันความสามารถนี้ในเชิงปริมาณ

แม้การทำให้ Pentest เป็นอัตโนมัติโดยสมบูรณ์จะยังเป็นเรื่องของอนาคต แต่รูปแบบการแบ่งงานที่ใช้ AI ทำการสแกนเบื้องต้นเพื่อหาช่องทางโจมตีอย่างรวดเร็ว แล้วให้มนุษย์ที่เป็น Pentester โฟกัสในส่วนที่ต้องใช้การตัดสินใจนั้น กำลังเข้าสู่ขั้นตอนการใช้งานจริงแล้ว แม้แต่นักวิจัยในโปรแกรม Bug Bounty ก็เริ่มนำเครื่องมือ AI มาใช้ในการสำรวจช่องทางโจมตีเช่นกัน

คำศัพท์ที่เกี่ยวข้อง

AI ROI (ผลตอบแทนจากการลงทุนด้าน AI)
AI สำหรับธุรกิจ

AI ROI (ผลตอบแทนจากการลงทุนด้าน AI)

AI ROI คือ ตัวชี้วัดที่ใช้วัดผลลัพธ์เชิงปริมาณของการปรับปรุงประสิทธิภาพการทำงานและการเพิ่มรายได้ที่ไ

AI พยากรณ์ความต้องการ (Demand Forecasting AI)
AI สำหรับธุรกิจ

AI พยากรณ์ความต้องการ (Demand Forecasting AI)

AI คาดการณ์ความต้องการ (Demand Forecasting AI) คือระบบที่วิเคราะห์ข้อมูลการขายในอดีตและปัจจัยภายนอกด

AI ออบเซอร์แวนบิลิตี้ (AI Observability)
AI สำหรับธุรกิจ

AI ออบเซอร์แวนบิลิตี้ (AI Observability)

แนวปฏิบัติในการดำเนินงานเพื่อติดตามและแสดงผลข้อมูลการทำงานของระบบ AI ที่ใช้งานจริงอย่างต่อเนื่อง ทั้

BPO (การจ้างภายนอกเพื่อดำเนินกระบวนการทางธุรกิจ)
AI สำหรับธุรกิจ

BPO (การจ้างภายนอกเพื่อดำเนินกระบวนการทางธุรกิจ)

BPO คือรูปแบบการ outsourcing ที่องค์กรมอบหมายกระบวนการทางธุรกิจเฉพาะด้านให้กับผู้ให้บริการภายนอกที่ม