ขั้นตอนนี้เป็นขั้นตอนสุดท้ายที่ควรจ

This step is the last step that ought to continue from step 2 because the results. Subtle and delicate than doing Vulnerability Assessment the principles of Pen-Test, or try to penetrate the system is similar to a virus or hacking hackers (Ethical Hacking Simulated) gives the administrator a jittery in defence of their system because the inspectors have access to critical information to the sop system, where there are no sop as an Username or Password but somehow rely purely on technical exploitation drilling system is divided into the following sub-a. Black-Box Penetration TestingRefer to war without the system's information. I know just the position of the target, such as URL or IP Address of the Web site through Penetration Tester must show the ability to penetrate into the system by either Double Blind Testing is not tell me in advance before punching system. To check the availability of a system that has been preparing all forms of attacks all the time or not.b. White-Box Penetration TestingMean drilling system from within your organization, such as internal LAN system to simulation of spreading viruses or potential in-house woem or simulate that intruders from inside your own organization as well. This war will result in clearer than many because of the drilling system from the inside shall find it easier drilling system. From outside the network.In the present. The Bank of Thailand Thai (Bank of Thailand) has announced that High Risk Services of commercial banks everywhere (e.g. Internet Banking) to perform "Penetration Testing" before servicing the system as well as general use to prove a certain level of security, such as OWASP standard Web Application Security Standard, etc. and you will see that the procedure for verifying.Both the 3-step guide that the auditor system. Popular external information taken at the same time, an internal information system auditor has been applied as well. It is the Vulnerability Assessment can be done by examining internal intelligence guidelines would normally perform Vulnerability Assessment Vulnerability Management practices should be changed by finding a Vulnerability Management Solution is used instead of complete Vulnerability Assessment Vulnerability Management system, because it can be checked 24 hours a day, instead of those authoritative for Pen-test within the External Auditor IT hired to make it better, because if.

ขั้นตอนนี้เป็นขั้นตอนสุดท้ายที่ควรจะทําต่อจากขั้นตอนที่2เนื่องจากให้ผลลัพธ์ ที่ลึกซึ้งและละเอียดอ่อน กว่าการทํา Vulnerability Assessment หลักการของการทํา Pen-Test หรือ การลองเจาะระบบคล้ายกับการเจาะระบบของไวรัส หรือ แฮกเกอร์ (Ethical Simulated Hacking) ทําให้ผู้ดูแลระบบเกิดความตื่นตัวในการป้องกันระบบ ของตน เพราะผู้ตรวจสอบฯ สามารถเข้าไปถึงข้อมูลสําคัญๆ ในระบบโดยที่ผู้ตรวจสอบฯ ไม่มีUsername หรือ Password แต่อย่างใด อาศัยฝีมือในการเจาะระบบล้วนๆ เทคนิค การเจาะระบบแบ่งออกเป็นข้อย่อยดังนี้

a. Black-Box Penetration Testing

หมายถึง การเจาะระบบโดยไม่มีข้อมูลของระบบนั้นมาก่อน รู้เพียงตําแหน่งของ เป้าหมาย เช่น URL หรือ IP Address ของ Web site ทาง Penetration Tester ต้อง แสดงความสามารถในการเจาะระบบเข้ามา โดยอาจจะเป็นแบบ Double Blind Testing คือ ไม่บอกล่วงหน้าให้ทราบก่อนเจาะระบบ เพื่อตรวจสอบความพร้อมของ ผู้ดูแลระบบว่ามีการเตรียมพร้อมรับการโจมตีทุกรูปแบบทุกเวลาหรือไม่

b. White-Box Penetration Testing

หมายถึง การเจาะระบบจากภายในขององค์กร เช่น จากระบบ LAN ภายใน เป็นต้น เพื่อจําลองสถานการณ์ของไวรัส หรือ เวอร์ม ที่อาจแพร่กระจายอยู่ในองค์กร หรือ จําลองว่ามีผู้บุกรุกจากข้างในองค์กรเองก็ได้เช่นกัน การเจาะระบบแบบนี้จะให้ ผลลัพธ์ที่ชัดเจนกว่ามาก เพราะการเจาะระบบจากข้างในย่อมง่ายกว่าการเจาะระบบ จากข้างนอกระบบเครือข่าย

ในปัจจุบัน ธนาคารแห่งประเทศไทย (Bank of Thailand) ได้ประกาศให้High Risk Services ของธนาคารพาณิชย์ทุกแห่ง (เช่น Internet Banking) ต้องทํา “Penetration Testing” ก่อนให้บริการระบบแก่ผู้ใช้งานทั่วไป เพื่อพิสูจน์ระดับของความ ปลอดภัยที่ได้มาตรฐาน เช่น OWASP Web Application Security Standard เป็นต้น จะเห็นว่า ขั้นตอนในการตรวจสอบ ทั้ง 3 ขั้นตอน เป็นแนวทางที่ผู้ตรวจสอบระบบ สารสนเทศภายนอกนิยมนํามาใช้ขณะเดียวกันผู้ตรวจสอบระบบสารสนเทศภายใน ได้ มีการนํามาประยุกต์ใช้เช่นกัน กล่าวคือ การทําVulnerability Assessment นั้น สามารถ ทําได้โดยผู้ตรวจสอบระบบสารสนเทศภายใน โดยปกติแล้ว แนวทางการทํา Vulnerability Assessment ควรเปลี่ยนแนวทางเป็น Vulnerability Management โดยการหา Vulnerability Management Solution มาใช้แทนการทํา Vulnerability Assessment เพราะ Vulnerability Management สามารถตรวจสอบระบบได้ตลอด 24 ชั่วโมงแทนผู้ตรวจสอสําหรับการทํา Pen-test ภายใน แนะนําว่าให้จ้าง External IT Auditor มาทําจะดีกว่า เพราะถ้า

This procedure is the final step that should be made from the second step, since the results that speak from the times and delicate than making Vulnerability. Assessment principle of doing Pen-Test or to try to penetrate the system similar to the drilling system of virus.(Ethical Simulated Hacking) make the administrator's awareness of the protection system of himself, because the examiner can reach and other important information. In the system by the examiner. No Username or Password. Relying on pure skill drilling systemDrilling system is divided into clause as follows:
.
a. Black-Box Penetration Testing

.Mean drilling system without information system before, only know the position of the target, such as URL or IP Address of Web site. Penetration Tester have demonstrated the ability to hack into by may be Double Blind Testing.To check the availability of The administrator that is prepared to all forms of attack at any time or
.
B. White-Box Penetration Testing

.Mean drilling system from the inside of the organization, such as from the system LAN inside, etc., to simulate the situation of the virus or worm that may spread in the organization. Or simulation that an intruder from inside the organization as well.The results more clearly. Because the drilling system from the inside is easier than drilling system from the outside network
.
.Currently, the bank (Bank of Thailand) has announced that High Risk Services banks everywhere (such as Internet. Banking) to do. "Penetration Testing." first, service system to the general user to prove the level of security that standard.OWASP Web Application Security Standard etc., that steps to check the 3 steps is an audit system. External information system is popular used the internal information system auditor has its applications as well.Making Vulnerability Assessment that can be achieved by the information system inside, usually do Vulnerability guidelines. Assessment should change the way a Vulnerability Management by finding Vulnerability Management Solution instead of making Vulnerability. Assessment because.Management can detect the system throughout the 24 hours instead of inspectors and for making Pen-test within recommended that create External IT, Auditor chargers To be better, because if.