การสืบค้นข้อมูล: ก้าวแรกที่สำคัญที่สุดในการทดสอบเจาะระบบ
ก่อนที่ผู้เชี่ยวชาญด้านความปลอดภัยจะเริ่มทดสอบระบบเพื่อหาจุดอ่อน หรือที่เรียกว่า การทดสอบเจาะระบบ (Penetration Testing)
การทำงานแรกที่สำคัญที่สุดคือการ สืบค้นข้อมูล หรือที่รู้จักกันในชื่อ Reconnaissance ขั้นตอนนี้เปรียบเสมือนการเก็บรวบรวมเบาะแสทั้งหมดก่อนลงมือปฏิบัติการจริง
หัวใจของการทดสอบเจาะระบบที่ประสบความสำเร็จเริ่มต้นจากตรงนี้
Reconnaissance คืออะไร?
การสืบค้นข้อมูลคือกระบวนการรวบรวมข้อมูลเกี่ยวกับเป้าหมายอย่างเป็นระบบและละเอียดถี่ถ้วน
ไม่ว่าจะเป็นองค์กร ระบบเครือข่าย หรือแอปพลิเคชัน
เป้าหมายหลักคือการสร้างภาพที่สมบูรณ์ที่สุดเกี่ยวกับ “เป้าหมาย” เพื่อให้เข้าใจโครงสร้าง พื้นผิวการโจมตี และช่องทางที่เป็นไปได้
ข้อมูลที่ได้จะช่วยในการวางแผนการโจมตีอย่างมีกลยุทธ์และมีประสิทธิภาพสูงสุด
การสืบค้นข้อมูลมีกี่ประเภท?
โดยทั่วไปแล้ว การสืบค้นข้อมูลแบ่งออกเป็นสองประเภทหลักๆ ที่มีลักษณะต่างกันอย่างชัดเจน
สองแนวทางนี้ล้วนมีบทบาทสำคัญ แต่ให้ผลลัพธ์และความเสี่ยงที่แตกต่างกัน
Active Reconnaissance (การสืบค้นข้อมูลเชิงรุก)
นี่คือการที่ผู้ทดสอบ โต้ตอบโดยตรง กับระบบเป้าหมาย
การกระทำนี้จะส่งผลให้ระบบเป้าหมายรับรู้ถึงการมีอยู่ของกิจกรรมบางอย่าง
ตัวอย่างเช่น การ สแกนพอร์ต เพื่อดูว่าพอร์ตใดเปิดอยู่ หรือการใช้เครื่องมือสแกน ช่องโหว่ เพื่อค้นหาจุดอ่อนที่รู้จัก
การสืบค้นแบบเชิงรุกให้ข้อมูลที่เฉพาะเจาะจงและแม่นยำ แต่ก็มีความเสี่ยงที่จะถูกตรวจจับได้สูงกว่า
ซึ่งอาจทำให้เป้าหมายตื่นตัวและตั้งรับ
Passive Reconnaissance (การสืบค้นข้อมูลเชิงรับ)
ในทางตรงกันข้าม การสืบค้นข้อมูลเชิงรับคือการรวบรวมข้อมูลโดย ไม่โต้ตอบโดยตรง กับเป้าหมาย
เป็นการพยายามซ่อนตัวให้มากที่สุด
วิธีการนี้มักใช้ ข้อมูลสาธารณะ ที่มีอยู่มากมายบนอินเทอร์เน็ต เช่น OSINT (Open Source Intelligence)
การค้นหาข้อมูลจากเว็บไซต์สาธารณะ, โซเชียลมีเดีย, ฟอรัม, บันทึก DNS, WHOIS หรือแม้กระทั่งประกาศรับสมัครงานของบริษัทเป้าหมายก็จัดอยู่ในหมวดนี้
ข้อมูลเหล่านี้สามารถเปิดเผยเทคโนโลยีที่ใช้ โครงสร้างองค์กร ชื่อพนักงาน หรือข้อมูลสำคัญอื่นๆ ที่นำไปสู่การเจาะระบบได้ โดยที่เป้าหมายไม่รู้ตัวเลย
ทำไม Reconnaissance จึงสำคัญ?
การสืบค้นข้อมูลที่ละเอียดและรอบคอบคือรากฐานของ การทดสอบเจาะระบบ ที่มีประสิทธิภาพ
ยิ่งมีข้อมูลมากเท่าไหร่ การวางแผนก็จะยิ่งแม่นยำมากขึ้นเท่านั้น
ช่วยให้ระบุ ช่องทางโจมตี ที่เป็นไปได้ ลดเวลาที่ต้องใช้ในการทดสอบจริง และเพิ่มโอกาสในการค้นพบ ช่องโหว่ ที่สำคัญ
หากข้ามขั้นตอนนี้ไป อาจทำให้พลาดโอกาสในการค้นพบจุดอ่อนที่ซ่อนอยู่ หรือใช้เวลาไปกับการทดสอบในส่วนที่ไม่เกี่ยวข้อง
ข้อมูลสำคัญที่รวบรวมได้
ในการสืบค้นข้อมูล มีหลายประเภทที่ต้องให้ความสำคัญ
ข้อมูลเหล่านี้คือชิ้นส่วนสำคัญที่นำมาปะติดปะต่อกันเพื่อสร้างภาพรวมที่สมบูรณ์
ตั้งแต่ที่อยู่ IP, โดเมนและซับโดเมน, ชื่อพนักงานและโครงสร้างองค์กร, อีเมลแอดเดรส, เทคโนโลยีที่ใช้ (เช่น ระบบปฏิบัติการ, เว็บเซิร์ฟเวอร์, แอปพลิเคชัน), ข้อมูลการกำหนดค่าสาธารณะ, และแน่นอนคือ ช่องโหว่ หรือจุดอ่อนที่รู้จักกันดี
ความรู้เหล่านี้จะนำไปสู่ขั้นตอนต่อไปของการทดสอบอย่างมีทิศทาง
การดำเนินการสืบค้นข้อมูลอย่างละเอียดรอบคอบคือสิ่งที่จะแยกแยะระหว่างการทดสอบเจาะระบบที่ผิวเผินกับการประเมินความปลอดภัยเชิงลึกที่มีประสิทธิภาพอย่างแท้จริง
การมองข้ามขั้นตอนนี้อาจหมายถึงการมองข้ามจุดอ่อนสำคัญที่อาจนำไปสู่ความเสี่ยงใหญ่หลวงต่อองค์กรได้