การบริหารความเสี่ยงของระบบเทคโนโลยีสารสนเทศ

Chamnan Longlum
30 April 2015

การบริหารความเสี่ยงของระบบเทคโนโลยีสารสนเทศ วัตถุประสงคนี้คือการหาขอมูลหรือคุณลักษณะของระบบในดานความปลอดภัยของข้อมูล ไม่ว่าจะเป็นเครื่องแม่ข่าย(Server) หรืออุปกรณ์เน็ตเวิร์ค 
โดยผลลัพธที่ไดคือปญหาความปลอดภัยในระบบและแนวทางในการแกไขปญหาตางๆ โดยจะแบ่งเป็นสองส่วนหลักๆคือ Penetration Testing และ  Vulnerability risk assessment

Penetration Testing 

คือการทดสอบเจาะระบบโดยแฮคเกอร์ ซึ่งการทำpenetration testing (เรียกย่อๆว่า Pentest) จะเป็นการเจาะระบบที่ผู้ผลิตยังไม่เจอช่องโหว่นี้มาก่อนและยังไม่เผยแพร่สู่สาธารณะ 
โดยในส่วนของการpentestนั้นจะแบ่งได้สองแบบคือ

- Extenal Network Penetration Test  หรือ บางทีจะเรียกว่า Black Box Penetration คือการที่แฮคเกอร์จะทำตัวเสมือนผู้บุก โดยจะทำการเจาะระบบผ่านระบบอินเตอร์เน็ต 
โดยแฮกเกอร์จะรู้แค่ URL หรือ IP ของเป้าหมายเท่านั้น 
  ขอเสียของการทํา Extenal Network Penetration Test คือการเจาะระบบจากภายนอก อาจไมสามารถเจาะเขาระบบได เพราะขอมูลมีนอย หรือผูทดสอบระบบมีความสามารถไมมากพอ 
และผลลัพธที่ไดไมไดบงบอกวาระบบยอยตางๆ ที่ทํางานรวมกันในระบบทดสอบ มีชองโหวมากนอยเพียงใด

- Internal Network Penetration Test  หรือ White Box โดยที่แฮกเกอร์จะทำตัวเสมือนพนักงานบริษัท หรือบุคคลภายนอก(outsource)ที่เข้ามาใช้งานภายในระบบ
พยายามเจาะระบบจากเครือข่ายภายในเพื่อลักลอบข้อมูลสำคัญในระบบต่าง 

  ข้อเสีย การทำInternal Network Penetration Test จะใหผลลัพธคือความปลอดภัยของระบบยอยตางๆ แตไมสามารถระบุปญหาในกรณีที่มแฮกเกอรโจมตีจากภายนอกได้

Vulnerability  assessment

จะเป็นการทดสอบตามช่องโหว่ที่เปิดเผยสู่สาธารณะแล้ว โดยอาจจะทำผ่านโปรแกรมเฉพาะทางเพื่อทำการเช็คช่องโหว่ต่างๆที่มีในระบบเช่น Nessus Vulnerability scanner 
OpenVAS ,Acunetix Vulnerability scanner ,NeXpose โดยผลที่ได้จะมีความน่าเชื่อถือค่อนข้างสูง