ทุกวันนี้นั้นการใช้งานไม่ว่าจะเป็น อินเตอร์เน็ต หรือ อุปกรณ์ใช้งานทางเทคโนโลยีต่างๆ มักจะมีช่องโหว่เกิดขึ้นโดยช่องโหว่นี้จะเป็นทางให้กับผู้ที่ไม่หวังดีมาละเมิดข้อมูลต่างๆของเราหรือที่เราเรียกกันว่า Hack (แฮค) โดยในปัจจุบันนั้นได้มีผู้คนที่ได้ถุกละเมิดข้อมูลไปมากมายทางผู้พัฒนาจึงได้คิดค้นการจัดการช่องโหว่นี้ เพื่อความปลอดภัยทางข้อมูลจึงได้เกิด 2 อย่างนี้ขึ้นคือ Pen Testing และ VA Scan โดย 2 อย่างนี้แตกต่างกันอย่างไร มีรายละเอียดดังนี้
ก่อนที่เราจะไปหาความเปลี่ยนแปลงนั้นเราต้องมาทำความรู้จักกันก่อนครับว่า Pen Testing และ VA Scan นั้นคืออะไร
Pen Testing คืออะไร?
Pen Testing คือการทดสอบระบบความปลอดภัยแบบจำลองเหตุการณ์การโจมตีในรูปแบบต่างๆ เพราะต้องหาช่องโหว่ของระบบความปลอดภัย แล้วใครเป็นคนทำ Pen Testing หล่ะ? แน่นอนว่าคนที่ทำ Pen Testing นั้นต้องเป็นคนที่ไม่รู้ระบบที่จะให้ทดสอบเลย เพราะว่าในการหาช่องโหว่นั้น จะให้รู้ข้อมูลไม่ได้ ซึ่งแน่นอนว่าจะต้องเป็นการจ้างซึ่งในการจ้างนั้น จะต้องจ้าง White Hacker White Hacker คือ Hacker ที่เคยมีประสบการณ์ในสร้างหรือการพัฒนา แอปพลิเคชั่น หรืออาจจะเป็น Software มาก่อนรู้ระบบความปลอดภัยในหลายๆอย่าง ข้อมูลเพิ่มเติมเกี่ยวกับ Pen Testing คลิก
VA Scan คืออะไร
VA scan หรือ Vulnerability Assessment Scan เป็นการตรวจสอบในด้านของความปลอดภัยอย่างละเอียดเพื่อหาช่องโหว่ โดยจะใช้แบบการประเมินระบบว่า ช่องโหว่ของคุณคือตรงไหนสามารถโดนเจาะทางไหนได้บ้าง หรือ สามารถโดนโจมตีแบบใดได้บ้าง และทาง VA Scan จะแนะนำให้คุณอุดช่องโหว่นั้น ข้อมูลเพิ่มเติมเกี่ยวกับ VA Scan คลิก
ทีนี้เราได้รู้จักความหมายของทั้ง Pen Testing และ VA Scan แล้วนะครับ ต่อไปเราจะมาหากันว่าความแตกต่างของทั้งอย่างนี้กันครับ
ความแตกต่างของ Pen Testing กับ VA Scan มีดังนี้ :
- VA scan ใช้เทคโนโลยีในการสแกน แต่ Pen Testing ใช้เจ้าหน้าที่ในการหาช่องโหว่
- Pen Testing นั้นเป็นการทำแบบ Manual และ Auto Test ส่วน VA Scan นั้นจะ Auto Test อย่างเดียว
- Pen Testing นั้นผลลัพธ์จะคลอบคลุมกว่า VA Scan เพราะ Pen Testing สามารถทำได้หลายรูปแบบ
- Pen Testing สามารถระบุขอบเขตของงานได้
- ค่าใช้จ่ายของ VC Scan นั้นอาจจะมากกว่า Pen Testing เพราะเนื่องจากต้องมีการ Update อยู่ตลอดเวลา ซึ่งการ Update ก็ย่อมมีค่าใช้ข่าย
จะเห็นได้ว่าทั้ง VC Scan และ Pen Testing นั้นจำเป็นต่อองค์กรทั้ง 2 อย่าง แต่ถ้าให้ผมแนะนำผมว่าควรทำทั้ง 2 อย่างครับ เพราะว่าทั้งสองนี้มีข้อดีที่แตกต่างกันไป เพื่อความปลอดภัยขององค์กรของคุณคุณต้องให้ความสำคัญกับระบบความปลอดภัยมากๆ และข้อมูลของผู้ใช้งานนั้นสำคัญ โดยผมหวังว่าบทความนี้จะเป็นประโยชน์ต่อคนที่หาข้อแตกต่างระหว่าง VC Scan และ Pen Testing นะครับ
แหล่งที่มา :
https://www.catcyfence.com/it-security/article/risk-assessment-before-it-too-late/
http://nontawattalk.sran.org/2009/10/penetration-test-1.html
https://www.flickr.com/photos/38977691@N05/3585507387/in/photolist-6sQEqT-3hEQy-ftPbbJ-GSEUx-5BLaks-51GHzs-2epJJU-dNbCvC-6MBdwD-swt7-2kKCYmU-zmhE8-5nR182-6gbPUh-6gbPPu-6r2gJM-oYSXF-5VkaT-HgScr-74wrkV-zQ1UU-74AknL-5dZa7o-5DTUV3-472A-5iz1u9-7sWw2r-7sWvUH-7sWvFP-68hDfi-7t1tjJ-74wrUg-74wr1z-4ir2F9-btqhHM-AFNCE-4YN6tJ-74Anzj-8DuPue-RSH5s-7t1tM1-7sWvze-74wt6e-2j1sGA5-Br9C4-9uHba6-RSGPm-7sWvLv-4dCN4s-QxsQnM
https://naiwaen.debuggingsoft.com/2017/03/vulnerability-assessment-different-penetration-test/