Pen-Test คืออะไร?

Pen-Test หรือ Penetration Test คือการทดสอบเจาะระบบ โดยผู้ทดสอบจะจำลองวิธีการเจาะระบบของ Hacker ซึ่งการทำ Pen-Test จะสร้างความเสียหายให้กับระบบได้จริง

Pen-Test vs Vulnerability Assessment

Vulnerability Assessment หรือ VA Scan คือการ Scan หาช่องโหว่ของระบบ ซึ่งวิธีทดสอบจะมีการนำ Input ที่สามารถแสดงว่าจุดนั้นมีช่องโหว่ออกมาได้ใส่เข้าไป ซึ่งส่วนใหญ่เราจะใช้ Tools ในการ Scan ตัวอย่างของเครื่องมือที่ใช้ทำ Vulnerability Assessment มีดังนี้

• Nessus
• OpenVAS
• Acunetix

เป้าหมายของการทำ Vulnerability Assessment

จุดประสงค์ของการทำ Vulnerability Assessment คือการค้นหาข้อผิดพลาดโดยที่เราจะทำร้ายระบบให้น้อยที่สุด ซึ่งสิ่งที่เราต้องการค้นหามีดังนี้

1. Open Ports ค้นหา Ports ที่เปิดใช้งานอยู่(ซึ่งอาจไม่จำเป็นต้องใช้) แล้วค้นหาชื่อของ Service และ Version ที่กำลังใช้งานอยู่
2. Weak Security Setting ค้นหาการกำหนดต่าที่ผิดพลาด(Misconfiguration) ของระบบ เช่น Disable Authentication
3. Weak Encryption Algorithm ค้นหาการใช้ Algorithm ที่ไม่แข็งแรง เช่น MD5 หรือ SHA1
4. Weak Passwords ทดลอง Brute force เข่้าไปใช้งานระบบด้วย Default password หรือ Weak passwords(password ที่คาดเดาได้ง่าย)
5. Unsecured Data ค้นหาสถานที่จัดเก็บข้อมูลที่ไม่ได้มีการเข้ารหัส หรือไม่มี Access Control ที่เหมาะสม
6. Compromised System ใช้ Vulnerability Scan ค้นหาช่องโหว่

เป้าหมายของการทำ Pen-Test

ส่วนเป้าหมายของการทำ Pen-Test นั้นจะมากกว่าการทำ Vulnerability Assessment เพราะ Pen-Test เป็นการโจมตีระบบจริงๆ ซึ่งสิ่งที่เราอยากได้จากการทำ Pen-Test คือการยืนยันว่ามีช่องโหว่จริๆ รวมทั้งสามารถวิเคราะห์หาสาเหตุและวิธีป้องกันไม่ให้ถูกโจมตีได้ในอนาคต

รูปแบบของ Pen-Test

การทำ Pen-Test จะแบ่งออกเป็น 3 รูปแบบดังนี้

Black-box Testing

การทดสอบแบบนี้ Pen-Tester จะไม่มีข้อมูลของระบบเลย หรือมีข้อมูลเกี่ยวกับระบบน้อยมากๆ(ขึ้นอยู่กับข้อตกลงระหว่าง Pen-Tester และผู้ว่าจ้าง) การทำ Pen-TEst ในลักษณะนี้จะเปรียบเสมือนเป็นการโจมตีจากภายนอก ซึ่งการทำ Black-box Tests อาจเรียกอีกอย่างหนึ่งว่า Blind-Tests

นอกจาก Blind Tests ที่ Pen-Tester ไม่มีข้อมูลของบระบบที่จะทดสอบแล้ว ยังมีการทดสอบแบบ Double Blind Tests ที่เจ้าหน้าที่ฝ่าย IT หรือผู้ดูแลระบบก็ไม่รู้ว่ามีการทดสอบ

White-Box Testing

การทดสอบแบบ White-Box นั้น Pen-Tester จะมีข้อมูลหรือรู้ทุกอย่างเกี่ยวกับระบบ ซึ่งส่วนใหญ่จะเป็นการทดสอบภายใน ซึ่ง Pen-Tester จะเข้าถึงข้อมูลได้ทุกอย่างทั้ง Network Diagram, Architecture Diagram หรือแม้กระทั่ง Source Code

การทดสอบแบบ White-box จะเป็นการจำลองการโจมตีจากบุคคลภายใน(Insider Attack) เป็นการทดสอบที่ให้ผลดีสุดเหมาะสำหรับระบบที่ต้องการ Security สูงๆ

Gray-Box Testing

เป็นการทดสอบที่อยู่กึ่งกลางระหว่าง Black-Box และ White-Box ซึ่ง Pen-Tester จะรู้ข้อมูลหลายอย่าง แต่จะไม่ได้เห็นภาพทั้งหมด เช่น Pen-Tester อาจได้ Network Diagram และรู้รายชื่อของ Server รวมทั้งหน้าที่ของ Server แต่ละตัว แต่จะไม่รู้รายละเอียด Configuration ของ Server แต่ละตัว

Pen-Test Phases

การทำ Pen-Test เองก็จะต้องมีกระบวนการหรือมี Methodology ในการทำงานไม่ต่างอะไรกับการผลิตซอฟท์แวร์ ซึ่งการทำ Pen-Test จะแบ่งออกเป็น Phase ต่างๆดังนี้

Reconnaissance

Reconnaissance เป็น Phase เริ่มต้นที่ผู้ทดสอบจะเก็บข้อมูลของ ระบบให้มากที่สุด อาจไปดึงข้อมูลมาจาก Public Data ต่างๆ เช่น Search Engine แหล่งข้อมูลที่เป็น Public Data เหล่านี้เราจะเรียกว่า OSINT(Open-Source Intelligence)

Phase นี้เป็น Phase ที่มีความสำคัญสูงสุด Pen-Tester ควรให้เวลากับ Phase นี้เยอะๆ

เครื่องมือที่ใช้ใน Reconnaissance Phase

เครื่องมือที่เราใช้ใน Reconnaissance Phase มีดังนี้

• nslookup
• dnsenum
• shodan
• recon-ng
• maltego

Scanning

Scanning เป็น Phase ที่นำข้อมูลที่ได้จาก Reconnaissance Phase มาขยายผล ซึ่งจะมีรายละเอียดตามการทำงานในแต่ละ service

เครื่องมือต่างๆที่ใช้ใน Scanning Phase

เครื่องมือต่างๆที่เราใช้ในการ Scan มีดังนี้

• wireshark หรือ tcpdump
• nmap
• dirbuster

Gaining Access(Exploit)

Gaining Access หรือ Exploit เป็น Phase ที่ทำการโจมตีเพื่อเข้าไปทำร้ายระบบ เป็น Phase ที่ต้องใช้ความระมัดระวังในการทำงานมากๆ เพราะในฐานะของ Pen-Tester เราต้องแน่ใจว่าการโจมตีที่เรากำลังทำอยู่นี้อยู่ภายใต้ Scope of Work(SOW) ที่เราได้ตกลงกับผู้ว่าจ้างไว้ก่อนหน้านี้

เครื่องมือที่ใช้ใน Exploit Phase

เครื่องมือที่เราใช้ในการโจมตีมีดังนี้

• Metasploit
• w3af
• sqlmap

Maintaining Access(Post-Exploit)

Maintaining Access หรือ Post-Exploit จะเป็น Phase ที่ต้องการลบร่องรอบการโจมตี หรือทำให้เราสามารถกลับเข้าไปในระบบได้เรื่อยๆ เช่น การฝัง backdoor ไว้ คราวหน้าจะได้ส่ง command เข้ามา run ได้

หลังจากที่เราสามารถเข้าถึง Application หรือ Host ที่เราต้องการได้แล้วหลังจากนี้เราอาจย้อนกลับไปที่ Reconnaisance หรือ Scanning Phase ใหม่ แต่จะเปลี่ยน Target ไปเป็น Application หรือ Host อื่นๆภายใน Network นั้นต่อไป ขั้นตอนนี้เรียกว่า Lateral movement

เครื่องมือที่ใช้ใน Post-Exploit Phase

เครื่องมือที่เราใช้หลังจากการโจมตีมีดังนี้

• netcat
• weevely
• msfvenom

Reporting

Reporting เป็น Phase ที่จะทำการสรุปผล รวบรวมผลที่ได้ออกมาเป็นรายงาน โดยจะแบ่งออกเป็นหัวข้อต่างๆ ดังนี้

• Management summary(บทสรุปฝู้บริหาร)
• Project scope(Scope การทำงาน)
• Pentest tools used(เครื่องมือที่ใช้)
• Exploits used(วิธีการโจมตี)
• Date/time of the test(วันที่และเวลาที่ทำการทดสอบ)
• All outputs of the tools and exploits(ผลลัพธ์ที่ได้ออกมาจากเครื่องมือแต่ละตัว)
• vulnerabilities(ช่องโหว่ที่ค้นพบ)
• Recommendations(คำแนะนำและแนวทางในการปิดช่องโหว่ รวมทั้งลำดับความสำคัญของช่องโหว่ที่ค้นพบ)

Pen-Test Standards และ Methodology

การทำ Pen-Test จะต้องกำหนดมาตรฐานหรือวิธีการทำงานเพื่อให้ได้ผลลัพธ์ที่มีคุณภาพมากเพียงพอ ไม่ว่าคุณจะทดสอบกับ Pen-Tester คนไหนก็ตาม ซึ่งตัวอย่างของมาตรฐานและ Best Practices ที่เราควรเข้าไปศึกษาเพิ่มเติมมีดังนี้

1. Mitre Att&ck จะเป็น Website ที่รวมรวมวิธีการโจมตี และที่มาของ Attack กลุ่มต่างๆ ซึ่งเราสามารถเข้าไปใช้งานได้ฟรี โดยจะแบ่งออกเป็น 3 กลุ่ม ดังนี้
   • Enterprise สำหรับกลุ่มที่ใช้ Technology เหล่านี้ Windows, macOS, Linux, PRE, Azure AD, Office 365, Google Workspace, SaaS, IaaS, Network และ Containers
   • Mobile สำหรับ Android และ iOS
   • ICS(Industrial Control Systems) สำหรับระบบที่ใช้ในควบคุมเครื่องจักรในโรงงาน
2. OWASP เป็นแหล่งข้อมูลที่ใหญ่ที่สุดสำหรับ Web Application Security ซึ่ง OWASP จะมีเอกสารสำหรับการทำ Pen-Test ดังนี้
   • Web Application ถ้าต้องการทำ Pen-Test Web Application เราจะใช้ OWASP Testing Guide
   • Mobile Application ถ้าต้องการทำ Pen-Test Mobile Application เราจะใช้ OWASP MASTG
   • IoT ถ้าต้องการทำ Pen-Test อุปกรณ์ IoT เราจะใช้ OWASP ISTG
3. PTES(The Penetration Testing Execution Standard) เป็นเอกสารที่ระบุขั้นตอนในการทำ Pen-Test ซึ่งในเอกสารจะแบ่งออกเป็น 7 Sections ดังนี้
   • Pre-engagement Interactions
   • Intelligence Gathering
   • Threat Modeling
   • Vulnerability Analysis
   • Exploitation
   • Post Exploitation
   • Reporting
4. ISSAF(Information Systems Security Assessment Framework) เป็นเอกสารที่รวบรวมเอาวิธีการ Pen-Test ทุกๆอย่างไว้ในเอกสารตัวเดียว(มี 1200 กว่าหน้า) ครอบคลุมการทำ Pen-Test ตั้งแต่เริ่มต้นจนขั้นตอนสุดท้าย

อ่านข้อมูลเพิ่มเติมเกี่ยวกับการทำ Pen-Test ต่อได้ที่นี่

• http://www.pentest-standard.org/index.php/Main_Page
• https://attack.mitre.org