การสืบค้นข้อมูล: ก้าวแรกที่สำคัญที่สุดในการทดสอบเจาะระบบ

การสืบค้นข้อมูล: ก้าวแรกที่สำคัญที่สุดในการทดสอบเจาะระบบ

ก่อนที่ผู้เชี่ยวชาญด้านความปลอดภัยจะเริ่มทดสอบระบบเพื่อหาจุดอ่อน หรือที่เรียกว่า การทดสอบเจาะระบบ (Penetration Testing)

การทำงานแรกที่สำคัญที่สุดคือการ สืบค้นข้อมูล หรือที่รู้จักกันในชื่อ Reconnaissance ขั้นตอนนี้เปรียบเสมือนการเก็บรวบรวมเบาะแสทั้งหมดก่อนลงมือปฏิบัติการจริง

หัวใจของการทดสอบเจาะระบบที่ประสบความสำเร็จเริ่มต้นจากตรงนี้

Reconnaissance คืออะไร?

การสืบค้นข้อมูลคือกระบวนการรวบรวมข้อมูลเกี่ยวกับเป้าหมายอย่างเป็นระบบและละเอียดถี่ถ้วน

ไม่ว่าจะเป็นองค์กร ระบบเครือข่าย หรือแอปพลิเคชัน

เป้าหมายหลักคือการสร้างภาพที่สมบูรณ์ที่สุดเกี่ยวกับ “เป้าหมาย” เพื่อให้เข้าใจโครงสร้าง พื้นผิวการโจมตี และช่องทางที่เป็นไปได้

ข้อมูลที่ได้จะช่วยในการวางแผนการโจมตีอย่างมีกลยุทธ์และมีประสิทธิภาพสูงสุด

การสืบค้นข้อมูลมีกี่ประเภท?

โดยทั่วไปแล้ว การสืบค้นข้อมูลแบ่งออกเป็นสองประเภทหลักๆ ที่มีลักษณะต่างกันอย่างชัดเจน

สองแนวทางนี้ล้วนมีบทบาทสำคัญ แต่ให้ผลลัพธ์และความเสี่ยงที่แตกต่างกัน

Active Reconnaissance (การสืบค้นข้อมูลเชิงรุก)

นี่คือการที่ผู้ทดสอบ โต้ตอบโดยตรง กับระบบเป้าหมาย

การกระทำนี้จะส่งผลให้ระบบเป้าหมายรับรู้ถึงการมีอยู่ของกิจกรรมบางอย่าง

ตัวอย่างเช่น การ สแกนพอร์ต เพื่อดูว่าพอร์ตใดเปิดอยู่ หรือการใช้เครื่องมือสแกน ช่องโหว่ เพื่อค้นหาจุดอ่อนที่รู้จัก

การสืบค้นแบบเชิงรุกให้ข้อมูลที่เฉพาะเจาะจงและแม่นยำ แต่ก็มีความเสี่ยงที่จะถูกตรวจจับได้สูงกว่า

ซึ่งอาจทำให้เป้าหมายตื่นตัวและตั้งรับ

Passive Reconnaissance (การสืบค้นข้อมูลเชิงรับ)

ในทางตรงกันข้าม การสืบค้นข้อมูลเชิงรับคือการรวบรวมข้อมูลโดย ไม่โต้ตอบโดยตรง กับเป้าหมาย

เป็นการพยายามซ่อนตัวให้มากที่สุด

วิธีการนี้มักใช้ ข้อมูลสาธารณะ ที่มีอยู่มากมายบนอินเทอร์เน็ต เช่น OSINT (Open Source Intelligence)

การค้นหาข้อมูลจากเว็บไซต์สาธารณะ, โซเชียลมีเดีย, ฟอรัม, บันทึก DNS, WHOIS หรือแม้กระทั่งประกาศรับสมัครงานของบริษัทเป้าหมายก็จัดอยู่ในหมวดนี้

ข้อมูลเหล่านี้สามารถเปิดเผยเทคโนโลยีที่ใช้ โครงสร้างองค์กร ชื่อพนักงาน หรือข้อมูลสำคัญอื่นๆ ที่นำไปสู่การเจาะระบบได้ โดยที่เป้าหมายไม่รู้ตัวเลย

ทำไม Reconnaissance จึงสำคัญ?

การสืบค้นข้อมูลที่ละเอียดและรอบคอบคือรากฐานของ การทดสอบเจาะระบบ ที่มีประสิทธิภาพ

ยิ่งมีข้อมูลมากเท่าไหร่ การวางแผนก็จะยิ่งแม่นยำมากขึ้นเท่านั้น

ช่วยให้ระบุ ช่องทางโจมตี ที่เป็นไปได้ ลดเวลาที่ต้องใช้ในการทดสอบจริง และเพิ่มโอกาสในการค้นพบ ช่องโหว่ ที่สำคัญ

หากข้ามขั้นตอนนี้ไป อาจทำให้พลาดโอกาสในการค้นพบจุดอ่อนที่ซ่อนอยู่ หรือใช้เวลาไปกับการทดสอบในส่วนที่ไม่เกี่ยวข้อง

ข้อมูลสำคัญที่รวบรวมได้

ในการสืบค้นข้อมูล มีหลายประเภทที่ต้องให้ความสำคัญ

ข้อมูลเหล่านี้คือชิ้นส่วนสำคัญที่นำมาปะติดปะต่อกันเพื่อสร้างภาพรวมที่สมบูรณ์

ตั้งแต่ที่อยู่ IP, โดเมนและซับโดเมน, ชื่อพนักงานและโครงสร้างองค์กร, อีเมลแอดเดรส, เทคโนโลยีที่ใช้ (เช่น ระบบปฏิบัติการ, เว็บเซิร์ฟเวอร์, แอปพลิเคชัน), ข้อมูลการกำหนดค่าสาธารณะ, และแน่นอนคือ ช่องโหว่ หรือจุดอ่อนที่รู้จักกันดี

ความรู้เหล่านี้จะนำไปสู่ขั้นตอนต่อไปของการทดสอบอย่างมีทิศทาง

การดำเนินการสืบค้นข้อมูลอย่างละเอียดรอบคอบคือสิ่งที่จะแยกแยะระหว่างการทดสอบเจาะระบบที่ผิวเผินกับการประเมินความปลอดภัยเชิงลึกที่มีประสิทธิภาพอย่างแท้จริง

การมองข้ามขั้นตอนนี้อาจหมายถึงการมองข้ามจุดอ่อนสำคัญที่อาจนำไปสู่ความเสี่ยงใหญ่หลวงต่อองค์กรได้