ในโลกดิจิทัลที่ภัยคุกคามทางไซเบอร์พัฒนาไปอย่างไม่หยุดยั้ง การตรวจสอบความปลอดภัยของระบบจึงไม่ใช่ทางเลือก แต่เป็นสิ่งจำเป็นอันดับต้นๆ สำหรับทุกองค์กร หนึ่งในกระบวนการสำคัญนั้นคือ การทดสอบเจาะระบบ (Penetration Testing) ซึ่งมีแนวทางหลักๆ ที่เรามักได้ยินกันในชื่อ White Box, Gray Box, และ Black Box Testing
บทความนี้จะพาคุณไปเจาะลึกถึงแก่นของแต่ละ “กล่อง” ว่ามันคืออะไร มีที่มาอย่างไร และในมุมมองของ Pentester มันมีความหมายและวิธีการปฏิบัติที่แตกต่างกันอย่างไรบ้าง
จุดเริ่มต้นของแนวคิด “The Box”
แนวคิดนี้มีรากฐานมาจากการทดสอบซอฟต์แวร์ (Software Testing) โดยเปรียบเทียบตัวซอฟต์แวร์หรือระบบที่เราไม่รู้การทำงานภายในของมันว่าเป็น “กล่องดำ” (Black Box) เราสนใจแค่ว่า “ใส่อะไรเข้าไป (Input) แล้วได้อะไรออกมา (Output)” โดยไม่สนใจกระบวนการข้างใน แนวคิดนี้ถูกนำมาประยุกต์ใช้ในโลกของ CyberSecurity เพื่อจำแนกระดับของข้อมูลที่ผู้ทดสอบได้รับก่อนเริ่มภารกิจ
Black Box: จำลองสถานการณ์ที่แฮกเกอร์ไม่รู้อะไรเลย
White Box: จำลองสถานการณ์ที่ผู้ทดสอบรู้ทุกอย่างเหมือนเป็นคนใน (Insider)
Gray Box: สถานการณ์ลูกผสม ที่จำลองภัยจากผู้ใช้งานภายในหรือแฮกเกอร์ที่ได้ข้อมูลไปบางส่วน
Black Box Testing: การทดสอบในมุมมองของแฮกเกอร์ตัวจริง
Black Box Testing คือการจำลองการโจมตีจากมุมมองของผู้โจมตีภายนอก (External Attacker) ที่ไม่มีความรู้หรือข้อมูลเชิงลึกเกี่ยวกับโครงสร้างภายในของระบบเป้าหมายเลยแม้แต่น้อย
หัวใจสำคัญ: “ถ้าเราเป็นแฮกเกอร์ที่เจอเว็บไซต์ของคุณบนอินเทอร์เน็ต เราจะเริ่มต้นโจมตีจากตรงไหนและทำอะไรได้บ้าง?”
ผู้ทดสอบต้องรู้อะไรบ้าง?: แทบจะไม่รู้อะไรเลย อาจจะได้ข้อมูลมาแค่ชื่อองค์กร, URL ของเว็บไซต์ (www.example.com), หรือ IP Address ของเซิร์ฟเวอร์เท่านั้น