“องค์กรหลายแห่งกำลังมองหาระบบทดสอบการเจาะระบบอัตโนมัติ ที่สามารถจัดการได้เองบ่อยครั้ง มีความน่าเชื่อถือ และประหยัดค่าใช้จ่าย ที่จะเปลี่ยนรูปแบบเดิมๆ ของการเจาะระบบให้ไม่เหมือนเดิมและอาจไม่ต้องใช้บริการนักเจาะระบบอีกต่อไป
องค์กรในปัจจุบันกำลังเผชิญกับความท้าทายด้านความปลอดภัยในโลกไซเบอร์จากหลายแง่มุม ทีมรักษาความปลอดภัยไม่เพียงแต่ต้องตรวจสอบความถูกต้องของโครงสร้างพื้นฐานด้านไอทีเท่านั้น พวกเขายังต้องสร้างระบบให้ไร้ช่องโหว่ที่แฮ็กเกอร์หรือแรนซัมแวร์ใช้โจมตีได้ เพื่อปกป้องข้อมูลที่สำคัญต่อภารกิจ
นอกจากนั้นแล้ว ภารกิจสำคัญอีกประการคือ การหมั่นตรวจสอบว่าโซลูชันการป้องกันไซเบอร์ราคาแพงที่ลงทุนไปสามารถทำงานได้ตามที่คาดไว้หรือไม่ ทั้งนี้ก็เพื่อตรวจจับและบรรเทาความเสียหายจากการโจมตีล่าสุด ที่อาจเป็น APT หรือภัยร้ายตัวอื่นๆ ที่มีโอกาสเข้ามา
อย่างที่ทราบดีว่า การโจมตีทางไซเบอร์มีความซับซ้อนมากขึ้นและเพิ่มปริมาณขึ้นอย่างต่อเนื่อง แฮ็กเกอร์กำลังพัฒนาการหาประโยชน์และวิธีการโจมตีใหม่ๆ ทุกเดือน โดยมักจะใช้เครื่องมือเพื่อเปิดการโจมตีโดยอัตโนมัติ ในการตอบสนองต่อภัยคุกคามความปลอดภัยทางไซเบอร์
องค์กรส่วนใหญ่ใช้การทดสอบความปลอดภัย (หรือที่เรียกว่าการทดสอบการเจาะระบบ) สำหรับระบบคอมพิวเตอร์ เว็บไซต์ แอปพลิเคชัน และเครือข่าย เป็นหนึ่งในแนวทางการสร้างความปลอดภัย โดยพยายามค้นหาความเสี่ยงหรือช่องโหว่ก่อนที่แฮ็กเกอร์จะลงมือโจมตี
ฮาน เตอร์ ลี APAC Chief Technlogy Officer Ridge Security Technology กล่าวว่า “องค์กรต้องอาศัยความเชี่ยวชาญของบุคลากรและเครื่องมือในการทดสอบความปลอดภัย บนเงื่อนไขของข้อจำกัดด้านความรู้ความเชี่ยวชาญของทีมรักษาความปลอดภัย”
“หรือข้อจำกัดด้านต้นทุนในกรณีที่จะต้องจ้างผู้ให้บริการตรวจสอบสอบความปลอดภัยก็มีราคาแพง และไม่สามารถทำการทดสอบความปลอดภัยได้บ่อยครั้ง”
“ซึ่งบ่อยครั้งที่ผลลัพธ์ก็ไม่สามารถทำการตรวจสอบความปลอดภัยอย่างต่อเนื่องได้ ทำให้องค์กรหลายแห่งกำลังมองหาระบบทดสอบการเจาะระบบอัตโนมัติเพื่อจัดการกับความท้าทายนี้ ที่สามารถจัดการได้เองบ่อยครั้ง มีความน่าเชื่อถือ และประหยัดค่าใช้จ่าย”
เสนอทางเลือก Automated Penetration Testing
“สำหรับปัญหาดังกล่าว Ridge Security ได้เปลี่ยนแนวคิดการทดสอบการเจาะระบบด้วย RidgeBot ซึ่งเป็นหุ่นยนต์ตรวจสอบความปลอดภัยอัจฉริยะที่ทำงานอัตโนมัติเต็มรูปแบบ ที่เข้ามาอีกหนึ่งทางเลือกสำหรับการทดสอบการเจาะระบบที่แม้ปัจจุบันจะมีการใช้เครื่องมืออัตโนมัติ แต่ก็ยังช้า ลำบาก และมีราคาแพง_RidgeBot จาก Ridge Security ทำให้การทดสอบการเจาะระบบทำได้อย่างรวดเร็ว เรียบง่าย และราคาไม่แพง” ลี กล่าว และให้เหตุผลประกอบว่า
“เหตุผลทางธุรกิจที่สำคัญ 3 ประการ ที่องค์กรควรพิจารณาทางเลือกในการเจาะระบบด้วย RidgeBot คือ ประการแรก รายงานการประเมินความเสี่ยงที่ได้รับการจัดลำดับความสำคัญของ RidgeBot ช่วยให้ทีมไอทีสามารถตรวจสอบช่องโหว่ที่สำคัญได้ ทีมสามารถแก้ไขช่องโหว่ได้อย่างมั่นใจและรวดเร็ว”
“ประการที่สอง มีความคล่องตัวสามารถปรับปรุงการปฏิบัติตามข้อกำหนดทางกฎระเบียบ และประการที่สาม RidgeBot เป็นเทคโนโลยีอัตโนมัติที่ทำงานด้วย AI ซึ่งประเมินและระบุช่องโหว่ได้ครอบคลุม ไม่เฉพาะในแอปพลิเคชันเท่านั้น แต่ยังรวมถึงในระบบและเครือข่ายด้วย”
“มันใช้ประโยชน์จากเครื่องมือและเทคโนโลยีการแฮกขั้นสูง เพื่อเรียนรู้และทำความเข้าใจช่องโหว่รูปแบบต่างๆ ซึ่งมีโอกาสและสร้างความสูญเสียทางธุรกิจ”
ดิสรับชันวงการทดสอบเจาะระบบ
อาจมองได้ว่า นี่คือ ดิสรับชัน ในแวดวงการทดสอบการเจาะระบบ ที่กำลังมีตัวเลือกเพิ่มขึ้น จากการใช้คนซึ่งอาจเป็นฝ่ายไอทีซีเคียวริตี้ เรดทีม บลูทีมขององค์กร หรือจ้างผู้ให้บริการเจาะระบบชั้นสูง ไปสู่การทดสอบเจาะระบบด้วยซอฟต์แวร์หุ่นยนต์อัตโนมัติ
กฤษฎา อิศรางกูร ณ อยุธยา ผู้จัดการอาวุโส ฝ่ายพัฒนาธุรกิจ Ridge Security Technology ให้ความเห็นว่า “เหตุผลที่การตรวจสอบความปลอดภัยของหุ่นยนต์อัตโนมัติ กำลังได้รับความสนใจเพราะพฤติกรรมของแฮกเกอร์ กำลังใช้หุ่นยนต์เพื่อโจมตีองค์กรของคุณ ทำอย่างไรที่กองกำลังตั้งรับขององค์กรสามารถรับมือได้ และตั้งโปรแกรมลาดตระเวนตรวจหาช่องโหว่อย่างอัตโนมัติ”
“การเปลี่ยนแปลงเพียงเล็กน้อยในเครือข่ายองค์กรก็สามารถสร้างช่องโหว่ใหม่ การไม่ได้ใช้หุ่นยนต์ตรวจสอบความปลอดภัยแบบอัตโนมัติ รวมถึงทดสอบการเจาะระบบด้วยหุ่นยนต์ ค้นหาความเสี่ยงและช่องโหว่ที่พบในเครือข่าย เซิร์ฟเวอร์ และแอปพลิเคชัน ไปจนถึงพิสูจน์ผลกระทบหรือความเสียหายที่อาจเกิดขึ้นด้วยหลักฐานที่เชื่อถือได้ คงไม่ใช่เรื่องดี และคงเป็นภาระที่หนักอึ้งสำหรับฝ่ายไอทีซีเคียวริตี้ที่ยังขาดแคลนบุคลากรทดสอบความปลอดภัย”
“คงจะดีที่ กระบวนการตรวจสอบความปลอดภัยด้านไอทีขององค์กรเป็นไปโดยอัตโนมัติ มีความเร็วกว่าเครื่องทดสอบของมนุษย์หลายร้อยหลายพันเท่า ช่วยให้องค์กร, ทีมเว็บแอปพลิเคชัน, DevOps, ผู้พัฒนาซอฟต์แวร์อิสระ, หน่วยงานภาครัฐบาล หรือใครก็ตามที่รับผิดชอบในการรับรองความปลอดภัยของซอฟต์แวร์ สามารถทดสอบระบบของตนได้อย่างมีประสิทธิภาพ” กฤษฎา สรุป
Featured Image: Image by Freepik
