เครื่องมือสแกนช่องโหว่ให้เพียงแค่รายการ แต่การทดสอบเจาะระบบจะบอกเล่าเรื่องราวว่าผู้โจมตีเคลื่อนที่จากจุดที่เปิดเผยสู่ Domain Controller ได้อย่างไร การควบคุมใดบ้างที่ล้มเหลว และสมมติฐานใดในสถาปัตยกรรมของคุณที่ผิดพลาด คุณค่าที่แท้จริงอยู่ที่เส้นทางการโจมตี ไม่ใช่แค่รายการช่องโหว่แต่ละรายการ

การจำลองการโจมตีแบบ Red Team ก้าวไปไกลกว่านั้น ในขณะที่การทดสอบเจาะระบบตรวจสอบว่าการควบคุมเฉพาะจุดทำงานได้หรือไม่ การจำลองการโจมตีแบบ Red Team จะทดสอบว่าความสามารถในการตรวจจับ การตอบสนอง และการประสานงานของคุณสามารถรับมือกับการโจมตีที่ต่อเนื่องและมีเป้าหมายได้หรือไม่ ผู้โจมตีไม่ได้ประกาศขอบเขตการโจมตี เช่นเดียวกับทีม Red Team

มาตรฐาน NIS2 ได้ผลักดันให้เกิดการทดสอบที่เน้นการปฏิบัติตามข้อกำหนด ซึ่งเป็นการประเมินที่ออกแบบมาเพื่อตอบสนองข้อกำหนดการตรวจสอบ ไม่ใช่เพื่อเปิดเผยความเสี่ยงที่แท้จริง ผลลัพธ์คือช่องว่างที่เพิ่มขึ้นระหว่างสถานะความปลอดภัยที่บันทึกไว้กับความเป็นจริงในการปฏิบัติงาน Gradion ไม่ได้ทำการทดสอบแบบทำเครื่องหมายในช่อง (Checkbox Tests) ทุกโครงการของเราถูกกำหนดขอบเขตเพื่อตอบคำถามที่องค์กรต้องการคำตอบอย่างแท้จริง

การทดสอบเจาะระบบเว็บแอปพลิเคชัน

มีสองระดับขึ้นอยู่กับความลึกที่ต้องการ ระดับ Standard/Lean: ใช้เวลาหนึ่งสัปดาห์ต่อแอปพลิเคชัน ครอบคลุม OWASP Top 10, การจัดการการยืนยันตัวตนและเซสชัน, ตรรกะการควบคุมการเข้าถึง, ช่องโหว่จากการ Injection, การเปิดเผย API Endpoint และข้อบกพร่องของ Business Logic ระดับ Deep Dive: ใช้เวลาสองถึงสี่สัปดาห์ต่อแอปพลิเคชัน เป็นการทดสอบด้วยตนเองอย่างละเอียด รวมถึง REST, GraphQL และ Legacy SOAP Interfaces, เส้นทางการโจมตีแบบลูกโซ่ และการวิเคราะห์ Business Logic ขั้นสูง

การทดสอบของเราเน้นการทำด้วยตนเองเป็นหลัก เครื่องมือสแกนอัตโนมัติพบได้แค่ผิวเผิน แต่ผู้เชี่ยวชาญของเราจะค้นพบช่องโหว่ที่นำไปสู่การโจมตีได้จริง

ผลลัพธ์สำหรับทั้งสองระดับประกอบด้วย: รายงานสำหรับผู้บริหาร, รายงานเชิงลึกทางเทคนิคพร้อม Proof-of-Concept ของการโจมตี และแผนงานการแก้ไข

การเสริมความแข็งแกร่งด้านความปลอดภัยของเว็บ

การค้นหาช่องโหว่เป็นเพียงครึ่งหนึ่งของงาน หลังจากการทดสอบเจาะระบบ เราจะดำเนินการแก้ไขให้สมบูรณ์ ไม่ว่าจะเป็นการตั้งค่า WAF, การแก้ไขโค้ด และการตรวจสอบอย่างเต็มรูปแบบว่าการเปลี่ยนแปลงนั้นมีผลจริง เราใช้เวลาเพียงเจ็ดวันในการเปลี่ยนจากการค้นพบสู่การแก้ไข นี่ไม่ใช่บริการเสริมที่แยกต่างหาก แต่เป็นการดำเนินการต่อเนื่องตามธรรมชาติของการทดสอบ

การทดสอบเจาะระบบเครือข่ายภายนอกและภายใน

การทดสอบภายนอกจะประเมินโครงสร้างพื้นฐานที่เชื่อมต่ออินเทอร์เน็ตจากมุมมองของผู้โจมตีจริง โดยไม่มีความรู้ภายในหรือการเข้าถึงล่วงหน้า ครอบคลุมบริการที่เปิดเผยสู่สาธารณะ, กลไกการยืนยันตัวตน, จุดอ่อนในการตั้งค่า และเส้นทางการโจมตีแบบลูกโซ่

การทดสอบภายในจะจำลองสถานการณ์ที่ผู้โจมตีสามารถเข้าถึงภายในขอบเขตเครือข่ายได้แล้ว ซึ่งเป็นสถานการณ์ที่พบบ่อยที่สุดหลังจากการโจมตีแบบ Phishing หรือการประนีประนอมใน Supply Chain ครอบคลุมโอกาสในการเคลื่อนที่ภายในเครือข่าย, เส้นทางการยกระดับสิทธิ์, การเปิดเผยของ Active Directory และประสิทธิภาพของการแบ่งส่วนเครือข่ายในสภาพแวดล้อม Windows, Linux, Cloud-connected และ Hybrid

การทดสอบเจาะระบบ OT และ ICS

สภาพแวดล้อมระบบควบคุมอุตสาหกรรม (ICS) ต้องการแนวทางที่แตกต่างออกไป การโจมตีที่ส่งผลกระทบต่อสายการผลิตโดยตรงไม่ใช่ผลลัพธ์การทดสอบที่ยอมรับได้ เราดำเนินการสำรวจแบบ Passive, การวิเคราะห์โปรโตคอล และการทดสอบเชิงรุกแบบกำหนดเป้าหมายภายใต้ขอบเขตความปลอดภัยที่ตกลงกันไว้ มาตรฐาน IEC 62443 เป็นกรอบการทำงานสำหรับความเสี่ยงและโซน และการทดสอบของเราจะตรวจสอบว่าการควบคุมที่กำหนดไว้ในกรอบนั้นถูกบังคับใช้อย่างแท้จริงหรือไม่

ความสามารถนี้หาได้ยากในตลาด DACH บริษัททดสอบเจาะระบบส่วนใหญ่ใช้ระเบียบวิธีของ IT ในสภาพแวดล้อม OT และจะหยุดเมื่อพบ Modbus หรือ PROFINET แต่เราไม่หยุดเพียงแค่นั้น

การจำลองการโจมตีแบบ Red Team

การจำลองสถานการณ์การโจมตีของศัตรูอย่างเต็มรูปแบบ: ครอบคลุม Phishing, การพยายามบุกรุกทางกายภาพ, Social Engineering, การสร้างการเข้าถึงอย่างต่อเนื่อง และการเคลื่อนที่ภายในเครือข่ายเพื่อบรรลุเป้าหมายที่กำหนด โครงการ Red Team ใช้เวลาสองถึงสี่สัปดาห์ โดยใช้ MITRE ATT&CK เป็นกรอบการทำงานสำหรับพฤติกรรมของผู้โจมตี ผลลัพธ์ที่ได้คือไทม์ไลน์การโจมตี, การวิเคราะห์ช่องว่างในการตรวจจับ และการสรุปผลอย่างเป็นระบบร่วมกับทีม Blue Team เราไม่ได้ส่งมอบแค่รายการช่องโหว่แล้วจบไป แต่การสรุปผลคือจุดที่งานสำคัญเกิดขึ้นอย่างแท้จริง

การทดสอบแอปพลิเคชันบนมือถือ

สำหรับแอปพลิเคชัน iOS และ Android ที่จัดการข้อมูลที่ละเอียดอ่อน หรือทำหน้าที่เป็นจุดเข้าสู่ระบบการยืนยันตัวตน ครอบคลุมการวิเคราะห์แบบ Static, การทดสอบแบบ Dynamic, การดักจับทราฟฟิก และการตรวจสอบ Backend API จากมุมมองของ Mobile Client

การนำเสนอผลการตรวจสอบ

ทุกโครงการจะได้รับรายงานทางเทคนิคและบทสรุปสำหรับผู้บริหาร รายงานทางเทคนิคจัดทำขึ้นสำหรับวิศวกรผู้รับผิดชอบแก้ไขปัญหา โดยระบุขั้นตอนการจำลองปัญหา ผลลัพธ์จากเครื่องมือ ตัวอย่างโค้ดที่เกี่ยวข้อง และแนวทางการแก้ไขที่ชัดเจน ส่วนบทสรุปสำหรับผู้บริหารจัดทำขึ้นสำหรับคณะกรรมการหรือ CISO โดยเน้นการเปิดเผยความเสี่ยง ผลกระทบทางธุรกิจ และลำดับความสำคัญของการดำเนินการ

การตรวจสอบยืนยันการแก้ไข (remediation validation) ซึ่งรวมถึงการทดสอบซ้ำประเด็นที่ได้รับการแก้ไขแล้ว จะรวมอยู่ในขอบเขตของทุกโครงการมาตรฐาน หากการแก้ไขก่อให้เกิดปัญหาใหม่ เราจะตรวจพบและแจ้งให้ทราบ

การประเมินระบบ IT/OT แบบองค์รวม

สำหรับองค์กรที่ต้องการภาพรวมที่สมบูรณ์ของทั้งระบบ IT และ OT ก่อนการกำหนดขอบเขตการทดสอบเฉพาะจุด บริการ Cybersecurity & Infrastructure Safety Check ของเราคือจุดเริ่มต้นที่เหมาะสม โครงการนี้ใช้เวลาประมาณ 3 สัปดาห์ ครอบคลุมการแบ่งส่วนเครือข่าย (network segmentation) ความเสี่ยงจากการเข้าถึงระยะไกล (remote access risks) การเปิดเผยของระบบเก่า (legacy system exposure) และการควบคุมการเข้าถึง (access controls) ในทั้งสองโดเมน ผลลัพธ์ที่ได้ประกอบด้วย Executive Risk Scorecard และแผนปฏิบัติการแก้ไขที่จัดลำดับความสำคัญแล้ว ใช้เวลาให้คำปรึกษา 6–7 วัน ดูรายละเอียดเพิ่มเติมได้ที่หน้า Cybersecurity

รูปแบบการดำเนินงาน

การนัดหมายเพื่อหารือขอบเขตเบื้องต้นภายใน 48 ชั่วโมง กำหนดขอบเขตและเสนอราคาโครงการภายในหนึ่งสัปดาห์ ประสานงานช่วงเวลาการทดสอบกับทีมปฏิบัติการของคุณ เพื่อหลีกเลี่ยงผลกระทบต่อระบบการผลิต การทดสอบแอปพลิเคชันเว็บหรือเครือข่ายมาตรฐานจะแล้วเสร็จภายในสองถึงสามสัปดาห์นับจากวันเริ่มต้นโครงการ การฝึกซ้อม Red Team จะมีการกำหนดขอบเขตแยกต่างหาก โดยพิจารณาจากวัตถุประสงค์และขนาดของสภาพแวดล้อม

เราดำเนินงานในเยอรมนี เวียดนาม สิงคโปร์ อียิปต์ และประเทศไทย สำหรับลูกค้าที่ต้องการการทดสอบในหลายภูมิภาค หรือโครงสร้างพื้นฐานที่ครอบคลุมหลายประเทศ เราสามารถดำเนินการประเมินแบบคู่ขนานที่ประสานงานกันอย่างมีประสิทธิภาพ โดยไม่มีภาระด้านการจัดตารางเวลาที่บริษัทที่มีสำนักงานเดียวต้องเผชิญ

ระเบียบวิธีปฏิบัติ

การทดสอบแอปพลิเคชันเป็นไปตามระเบียบวิธี PTES และ OWASP การทดสอบระบบ OT อ้างอิงการประเมินระดับความปลอดภัย IEC 62443-3-3 การฝึกซ้อม Red Team ใช้ MITRE ATT&CK เครื่องมือที่ใช้ประกอบด้วย Burp Suite Pro, Metasploit, Cobalt Strike (มีลิขสิทธิ์), Nessus และเครื่องมือเฉพาะสำหรับโปรโตคอล OT

แจ้งข้อมูลสภาพแวดล้อมและวัตถุประสงค์ของคุณ เราจะจัดทำแผนการทดสอบและใบเสนอราคาให้ภายในหนึ่งสัปดาห์