กลับไปหน้าบทความ

Lesson 15 Explain Risk Management Processes

27 January 2026 01:01 น. CompTIA Security+
Lesson 15 Explain Risk Management Processes

บทนำ


ในโลกดิจิทัลที่เปลี่ยนแปลงอย่างรวดเร็วปัจจุบัน องค์กรต่างๆ ต้องเผชิญกับภัยคุกคามทางไซเบอร์ที่ซับซ้อนและหลากหลายขึ้นเรื่อยๆ การทำความเข้าใจและจัดการกับความเสี่ยงเหล่านี้จึงไม่ใช่แค่ทางเลือก แต่เป็นสิ่งจำเป็นสำหรับการอยู่รอดและความยั่งยืนของธุรกิจ บทเรียนที่ 15 ของ CompTIA Security+ (SY0-701) จะพาเราเจาะลึกถึงหัวใจของการจัดการความเสี่ยงด้านความปลอดภัยไซเบอร์ โดยมุ่งเน้นที่กระบวนการเชิงปฏิบัติ ตั้งแต่การระบุความเสี่ยง การวิเคราะห์ ไปจนถึงการตอบสนองและการประเมินผล บทความนี้จะสรุปแนวคิดหลัก เครื่องมือสำคัญ และแนวทางปฏิบัติที่ดีที่สุด เพื่อให้คุณมีความพร้อมในการปกป้องสินทรัพย์ดิจิทัลขององค์กรและเตรียมตัวสอบได้อย่างมั่นใจ

บทสรุปเนื้อหาบทเรียน: Lesson 15 Explain Risk Management Processes


การบริหารความเสี่ยง (Risk Management) เป็นกระบวนการที่สำคัญยิ่งในการปกป้องข้อมูล ระบบ และโครงสร้างพื้นฐานขององค์กรจากภัยคุกคามต่างๆ ในบริบทของ CompTIA Security+ การบริหารความเสี่ยงไม่ได้เป็นเพียงแค่เรื่องเทคนิค แต่ยังรวมถึงความเข้าใจในเชิงธุรกิจและกฎหมายที่เกี่ยวข้อง บทเรียนนี้จะครอบคลุมถึงกระบวนการหลักๆ ตัวชี้วัดสำคัญ การวิเคราะห์ผลกระทบทางธุรกิจ การจัดการผู้จำหน่ายภายนอก และการทดสอบเจาะระบบ

กระบวนการบริหารความเสี่ยง (Risk Processes)


กระบวนการบริหารความเสี่ยงเป็นวัฏจักรที่ต่อเนื่องและเป็นระบบ ซึ่งประกอบด้วยขั้นตอนสำคัญดังต่อไปนี้

การระบุภัยคุกคาม (Identification)


ขั้นตอนนี้คือการค้นหาและทำความเข้าใจภัยคุกคามและช่องโหว่ (threats and vulnerabilities) ที่อาจส่งผลกระทบต่อองค์กร การระบุที่ครอบคลุมจะช่วยให้สามารถจัดลำดับความสำคัญและวางแผนการป้องกันได้อย่างมีประสิทธิภาพ
  • การระบุสินทรัพย์ (Asset Identification): ขั้นแรกคือการระบุสินทรัพย์ทั้งหมดขององค์กรที่จำเป็นต้องได้รับการปกป้อง เช่น ข้อมูลลูกค้า เซิร์ฟเวอร์ เครือข่าย ซอฟต์แวร์ และบุคลากร

  • การระบุภัยคุกคาม (Threat Identification): การระบุแหล่งที่มาของภัยคุกคาม เช่น แฮกเกอร์ มัลแวร์ การโจมตีแบบ DoS ภัยธรรมชาติ หรือความผิดพลาดของมนุษย์

  • การระบุช่องโหว่ (Vulnerability Identification): การค้นหาจุดอ่อนในระบบหรือกระบวนการที่ผู้คุกคามอาจใช้ประโยชน์ได้ เช่น ซอฟต์แวร์ที่ไม่ได้อัปเดต รหัสผ่านที่ไม่รัดกุม หรือการตั้งค่าที่ไม่ปลอดภัย

  • การระบุความเสี่ยง (Risk Identification): การเชื่อมโยงภัยคุกคามเข้ากับช่องโหว่และสินทรัพย์ เพื่อระบุความเสี่ยงที่เป็นไปได้ เช่น "มัลแวร์เรียกค่าไถ่อาจโจมตีเซิร์ฟเวอร์ที่ไม่ได้รับการอัปเดต ทำให้ข้อมูลลูกค้าถูกเข้ารหัสและไม่สามารถเข้าถึงได้"


    • การประเมินความเสี่ยง (Assessment)


    หลังจากระบุความเสี่ยงได้แล้ว ขั้นตอนต่อไปคือการประเมินขนาดและผลกระทบของความเสี่ยงเหล่านั้น ซึ่งสามารถทำได้สองวิธีหลักๆ
  • การวิเคราะห์เชิงปริมาณ (Quantitative Analysis):

    • - วิธีนี้เป็นการประเมินความเสี่ยงในรูปของตัวเลขหรือมูลค่าทางการเงิน
    - มักใช้ค่าเช่น Annualized Loss Expectancy (ALE) ซึ่งคำนวณจาก Single Loss Expectancy (SLE) (มูลค่าความเสียหายที่คาดว่าจะเกิดขึ้นจากการเกิดเหตุการณ์หนึ่งครั้ง) และ Annualized Rate of Occurrence (ARO) (ความถี่ที่คาดว่าจะเกิดเหตุการณ์ในหนึ่งปี)
    - สูตร: ALE = SLE x ARO
    - ข้อดี: ให้ข้อมูลที่ชัดเจนและจับต้องได้ ช่วยในการตัดสินใจลงทุนด้านความปลอดภัย
    - ข้อเสีย: อาจใช้ข้อมูลที่ยากต่อการประมาณค่า ต้องอาศัยข้อมูลเชิงสถิติที่แม่นยำ
  • การวิเคราะห์เชิงคุณภาพ (Qualitative Analysis):

    • - วิธีนี้เป็นการประเมินความเสี่ยงโดยใช้คำอธิบาย เชิงพรรณนา และจัดระดับความเสี่ยงเป็นหมวดหมู่ เช่น สูง ปานกลาง ต่ำ
    - มักใช้ตารางเมตริกความเสี่ยงที่พิจารณาจาก ความเป็นไปได้ (Likelihood) และ ผลกระทบ (Impact)
    - ข้อดี: ทำได้รวดเร็ว ไม่จำเป็นต้องมีข้อมูลเชิงตัวเลขที่แม่นยำมากนัก เหมาะสำหรับการประเมินเบื้องต้น
    - ข้อเสีย: ขาดความแม่นยำทางตัวเลข การตัดสินใจอาจขึ้นอยู่กับดุลยพินิจของผู้ประเมิน

    การวิเคราะห์ความเสี่ยง (Analysis)


    ขั้นตอนนี้คือการนำผลการประเมินมาจัดลำดับความสำคัญและแสดงผลให้เข้าใจง่าย
  • Risk Heat Map: เป็นเครื่องมือที่นิยมใช้ในการแสดงผลการวิเคราะห์ความเสี่ยง โดยจะแสดงภาพความเสี่ยงต่างๆ บนแผนภาพสองมิติ (โดยทั่วไปคือ Likelihood กับ Impact) ทำให้เห็นได้ชัดเจนว่าความเสี่ยงใดมีความสำคัญสูงสุดและต้องได้รับการจัดการก่อน

  • การจัดลำดับความสำคัญของความเสี่ยงช่วยให้องค์กรสามารถจัดสรรทรัพยากรได้อย่างเหมาะสม เพื่อจัดการกับความเสี่ยงที่ร้ายแรงที่สุดก่อน


    • การตอบสนองต่อความเสี่ยง (Response)


    เมื่อเข้าใจความเสี่ยงแล้ว องค์กรจะต้องตัดสินใจว่าจะจัดการกับความเสี่ยงเหล่านั้นอย่างไร มีกลยุทธ์หลักๆ สี่ประการ
  • การหลีกเลี่ยง (Avoid):

    • - เป็นการตัดสินใจที่จะไม่ดำเนินกิจกรรมที่ก่อให้เกิดความเสี่ยงนั้นเลย
    - ตัวอย่าง: ยกเลิกโครงการที่คาดว่าจะมีความเสี่ยงสูงเกินไป หรือหลีกเลี่ยงการใช้เทคโนโลยีที่มีช่องโหว่ร้ายแรงและยังไม่มีทางแก้ไข
  • การยอมรับ (Accept):

    • - เป็นการตัดสินใจที่จะยอมรับผลที่อาจเกิดขึ้นจากความเสี่ยงนั้น โดยไม่ดำเนินการใดๆ เพิ่มเติม
    - มักใช้กับความเสี่ยงที่มีผลกระทบต่ำ หรือมีความเป็นไปได้ที่จะเกิดน้อยมาก ซึ่งค่าใช้จ่ายในการป้องกันอาจสูงกว่าความเสียหายที่อาจเกิดขึ้น
  • การบรรเทา (Mitigate):

    • - เป็นการดำเนินการเพื่อลดโอกาสการเกิด หรือลดผลกระทบหากความเสี่ยงนั้นเกิดขึ้น
    - เป็นกลยุทธ์ที่พบได้บ่อยที่สุด
    - ตัวอย่าง: ติดตั้งไฟร์วอลล์ อัปเดตซอฟต์แวร์ อบรมพนักงาน สร้างนโยบายความปลอดภัยที่เข้มงวด
  • การถ่ายโอน (Transfer):

    • - เป็นการถ่ายโอนภาระความเสี่ยงไปให้บุคคลที่สาม
    - ตัวอย่าง: การซื้อประกันภัยไซเบอร์ (Cybersecurity Insurance) ซึ่งจะช่วยชดเชยค่าเสียหายที่เกิดขึ้น หรือการจ้างผู้เชี่ยวชาญภายนอกมาดูแลความปลอดภัย (Managed Security Service Provider - MSSP)

    ตัวชี้วัดสำคัญ (Key Metrics)


    ในการบริหารความเสี่ยง มีตัวชี้วัดสำคัญสามประการที่ช่วยให้เข้าใจสถานะความเสี่ยงขององค์กร
  • Inherent Risk (ความเสี่ยงโดยธรรมชาติ):

    • - คือระดับความเสี่ยงของสินทรัพย์หรือระบบก่อนที่จะมีการใช้มาตรการควบคุมความปลอดภัยใดๆ
    - เป็นความเสี่ยงเริ่มต้นที่ต้องเผชิญหากไม่มีการป้องกันเลย
    - ตัวอย่าง: ความเสี่ยงที่เซิร์ฟเวอร์ข้อมูลลูกค้าจะถูกโจมตี หากไม่มีไฟร์วอลล์หรือการเข้ารหัสข้อมูล
  • Residual Risk (ความเสี่ยงคงเหลือ):

    • - คือระดับความเสี่ยงที่เหลืออยู่หลังจากที่ได้ใช้มาตรการควบคุมความปลอดภัยต่างๆ เพื่อลดความเสี่ยงแล้ว
    - ไม่มีทางกำจัดความเสี่ยงให้เป็นศูนย์ได้เสมอไป จึงยังคงมี "ความเสี่ยงคงเหลือ" อยู่
    - ตัวอย่าง: ความเสี่ยงที่เหลืออยู่หลังจากติดตั้งไฟร์วอลล์ อัปเดตซอฟต์แวร์ และเข้ารหัสข้อมูลแล้ว
  • Risk Appetite (ระดับความเสี่ยงที่ยอมรับได้):

    • - คือระดับของความเสี่ยงที่องค์กรเต็มใจที่จะยอมรับหรือแบกรับ เพื่อให้บรรลุวัตถุประสงค์ทางธุรกิจ
    - ขึ้นอยู่กับวัฒนธรรมองค์กร อุตสาหกรรม และปัจจัยทางธุรกิจอื่นๆ
    - บางองค์กรอาจมี Risk Appetite สูงเพื่อเน้นนวัตกรรม ในขณะที่บางองค์กรอาจมี Risk Appetite ต่ำเพื่อเน้นความมั่นคง

    การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis - BIA)


    BIA เป็นกระบวนการที่ใช้ในการระบุและประเมินผลกระทบที่อาจเกิดขึ้นกับองค์กร หากระบบหรือฟังก์ชันทางธุรกิจหยุดชะงัก ช่วยให้องค์กรสามารถจัดลำดับความสำคัญของการฟื้นตัวและวางแผนความต่อเนื่องทางธุรกิจ (Business Continuity Planning - BCP) และแผนการกู้คืนระบบจากภัยพิบัติ (Disaster Recovery Planning - DRP) ได้อย่างมีประสิทธิภาพ ตัวชี้วัดหลักที่เกี่ยวข้องกับ BIA ได้แก่:
  • RTO (Recovery Time Objective):

    • - คือเวลาสูงสุดที่ยอมรับได้ที่ระบบหรือฟังก์ชันทางธุรกิจสามารถหยุดทำงานได้หลังจากเกิดเหตุการณ์ขัดข้อง
    - เป็นการกำหนดว่าต้องใช้เวลานานแค่ไหนในการกู้คืนระบบให้กลับมาทำงานได้ตามปกติ
    - ตัวอย่าง: RTO สำหรับระบบประมวลผลธุรกรรมทางการเงินอาจเป็น 2 ชั่วโมง ในขณะที่ระบบอีเมลอาจเป็น 24 ชั่วโมง
  • RPO (Recovery Point Objective):

    • - คือปริมาณข้อมูลสูงสุดที่องค์กรยอมรับได้ที่จะสูญหายไปหลังจากเกิดเหตุการณ์ขัดข้อง
    - เป็นการกำหนดว่าข้อมูลที่กู้คืนได้จะย้อนหลังไปถึงจุดใด
    - ตัวอย่าง: RPO สำหรับระบบฐานข้อมูลสำคัญอาจเป็น 15 นาที ซึ่งหมายความว่าข้อมูลที่สำรองไว้จะต้องเป็นข้อมูลล่าสุดภายใน 15 นาที
  • MTD (Maximum Tolerable Downtime):

    • - คือระยะเวลาสูงสุดที่องค์กรสามารถทนต่อการหยุดชะงักของระบบหรือบริการได้ ก่อนที่จะเกิดผลกระทบที่ยอมรับไม่ได้ต่อธุรกิจ
    - เป็นตัวชี้วัดที่รวมถึงทั้งเวลาที่ใช้ในการระบุปัญหา กู้คืน และทดสอบระบบ
    - MTD มักจะยาวนานกว่า RTO และ RPO และเป็นตัวกำหนดขีดจำกัดสูงสุดของการหยุดชะงัก

    การจัดการผู้จำหน่ายภายนอก (Vendor Management)


    การใช้บริการหรือผลิตภัณฑ์จากผู้จำหน่ายภายนอกเป็นเรื่องปกติในธุรกิจยุคใหม่ แต่ก็สร้างความเสี่ยงใหม่ๆ ที่องค์กรต้องจัดการอย่างรอบคอบ การจัดการผู้จำหน่ายภายนอกที่ดีจะช่วยลดความเสี่ยงที่เกิดจากห่วงโซ่อุปทาน (supply chain)
  • วิธีการประเมิน (Assessment methods):

    • - การตรวจสอบ (Audits): การตรวจสอบโดยองค์กรเองหรือบุคคลที่สามเพื่อประเมินความสอดคล้องกับนโยบาย มาตรฐาน และข้อกำหนดด้านความปลอดภัย
    - การทดสอบการเจาะระบบ (Penetration testing): อาจกำหนดให้ผู้จำหน่ายทำการทดสอบการเจาะระบบบนผลิตภัณฑ์หรือบริการของตน หรือให้องค์กรเองทำการทดสอบ
    - การวิเคราะห์ห่วงโซ่อุปทาน (Supply chain analysis): การประเมินความเสี่ยงตลอดห่วงโซ่อุปทาน รวมถึงความเสี่ยงที่เกิดจากผู้จำหน่ายลำดับรองลงไป
  • ข้อตกลงทางกฎหมาย (Legal agreements):

    • - MOU (Memorandum of Understanding): บันทึกความเข้าใจที่ไม่ผูกมัดทางกฎหมาย แต่เป็นเอกสารแสดงเจตนาและความเข้าใจร่วมกัน
    - NDA (Non-Disclosure Agreement): ข้อตกลงการไม่เปิดเผยข้อมูล เพื่อปกป้องข้อมูลที่เป็นความลับ
    - MSA (Master Service Agreement): ข้อตกลงบริการหลักที่กำหนดเงื่อนไขทั่วไปสำหรับบริการทั้งหมดที่ผู้จำหน่ายจะให้
    - SLA (Service Level Agreement): ข้อตกลงระดับบริการที่ระบุมาตรฐานการบริการที่ผู้จำหน่ายต้องปฏิบัติ เช่น เวลาตอบสนองและเวลาทำงานของระบบ
    - SOW (Statement of Work): เอกสารที่อธิบายรายละเอียดของงานที่ต้องทำ ขอบเขตของโครงการ และผลลัพธ์ที่คาดหวัง

    การทดสอบเจาะระบบ (Penetration Testing)


    การทดสอบเจาะระบบ หรือ Pen Testing เป็นวิธีการเชิงรุกในการประเมินความปลอดภัยของระบบโดยการจำลองการโจมตีจากผู้ไม่หวังดี เพื่อค้นหาช่องโหว่ที่อาจเกิดขึ้นก่อนที่ผู้คุกคามตัวจริงจะค้นพบ
  • Red Team (Offensive):

    • - ทีมที่มีบทบาทเป็นผู้โจมตี พยายามค้นหาและใช้ประโยชน์จากช่องโหว่เพื่อเข้าถึงระบบหรือข้อมูล
    - เป้าหมายคือการทดสอบประสิทธิภาพของมาตรการป้องกันและตรวจจับขององค์กร
  • Blue Team (Defensive):

    • - ทีมที่มีบทบาทเป็นผู้ป้องกัน ทำหน้าที่ตรวจจับ ป้องกัน และตอบสนองต่อการโจมตี
    - มุ่งเน้นการเสริมสร้างความแข็งแกร่งของระบบและการตอบสนองต่อเหตุการณ์
  • ประเภทของการทดสอบเจาะระบบตามระดับความรู้เกี่ยวกับระบบ:

    • - Black box testing:
    - ผู้ทดสอบไม่มีความรู้ใดๆ เกี่ยวกับโครงสร้างภายในของระบบเป้าหมาย
    - จำลองการโจมตีจากแฮกเกอร์ภายนอกที่ไม่มีข้อมูล
    - White box testing:
    - ผู้ทดสอบมีความรู้ที่สมบูรณ์เกี่ยวกับโครงสร้างภายในของระบบ รวมถึงซอร์สโค้ด แผนผังเครือข่าย และการตั้งค่า
    - ช่วยในการค้นหาช่องโหว่เชิงลึกและประสิทธิภาพการทำงานภายใน
    - Gray box testing:
    - ผู้ทดสอบมีความรู้บางส่วนเกี่ยวกับระบบ เช่น สิทธิ์ของผู้ใช้ทั่วไป หรือข้อมูลบางส่วนเกี่ยวกับโครงสร้าง
    - จำลองการโจมตีจากผู้ใช้ภายในที่มีสิทธิ์จำกัด หรือคู่แข่งที่มีข้อมูลบางอย่าง
  • Physical pen testing:

    • - เป็นการทดสอบการเจาะระบบในโลกทางกายภาพ เพื่อประเมินความปลอดภัยทางกายภาพของสถานที่
    - ตัวอย่าง: การพยายามเข้าถึงพื้นที่จำกัด การทดสอบระบบควบคุมการเข้าออก การแกล้งทำเป็นพนักงานเพื่อเข้าถึงข้อมูล

    Security Best Practices


  • สร้างนโยบายและขั้นตอนการจัดการความเสี่ยงที่ชัดเจน: กำหนดบทบาทความรับผิดชอบและกระบวนการสำหรับการระบุ, ประเมิน, วิเคราะห์, และตอบสนองต่อความเสี่ยง

  • ดำเนินการประเมินความเสี่ยงอย่างสม่ำเสมอ: ทบทวนและอัปเดตการประเมินความเสี่ยงเป็นประจำเพื่อสะท้อนถึงภัยคุกคาม ช่องโหว่ และสภาพแวดล้อมทางธุรกิจที่เปลี่ยนแปลงไป

  • ลงทุนในมาตรการควบคุมที่หลากหลาย: ใช้มาตรการควบคุมทั้งเชิงเทคนิค (เช่น ไฟร์วอลล์, IDS/IPS, การเข้ารหัส) การบริหารจัดการ (เช่น นโยบาย, ขั้นตอน) และทางกายภาพ (เช่น การควบคุมการเข้าถึง, กล้องวงจรปิด)

  • จัดอบรมพนักงานอย่างต่อเนื่อง: ให้ความรู้แก่พนักงานเกี่ยวกับภัยคุกคามทางไซเบอร์ นโยบายความปลอดภัย และแนวปฏิบัติที่ดีที่สุด เพื่อลดความเสี่ยงจากความผิดพลาดของมนุษย์

  • ตรวจสอบและทดสอบระบบเป็นประจำ: ใช้การทดสอบเจาะระบบ (penetration testing), การสแกนช่องโหว่ (vulnerability scanning), และการตรวจสอบ (audits) เพื่อค้นหาจุดอ่อนและยืนยันประสิทธิภาพของมาตรการควบคุม

  • วางแผนความต่อเนื่องทางธุรกิจและการกู้คืนจากภัยพิบัติ: พัฒนาและทดสอบ BCP และ DRP อย่างสม่ำเสมอ เพื่อให้แน่ใจว่าองค์กรสามารถฟื้นตัวจากเหตุการณ์หยุดชะงักได้อย่างรวดเร็ว

  • จัดการความเสี่ยงจากผู้จำหน่ายภายนอกอย่างเข้มงวด: ตรวจสอบผู้จำหน่ายอย่างละเอียด ตรวจสอบให้แน่ใจว่าข้อตกลงทางกฎหมายครอบคลุมด้านความปลอดภัย และติดตามประสิทธิภาพด้านความปลอดภัยของผู้จำหน่าย

  • ใช้หลักการ Privilege of Least Privilege (PoLP): ให้สิทธิ์แก่ผู้ใช้หรือระบบเท่าที่จำเป็นสำหรับการทำงานเท่านั้น เพื่อจำกัดขอบเขตความเสียหายหากเกิดการละเมิด

  • สำรองข้อมูลอย่างสม่ำเสมอและตรวจสอบความถูกต้อง: ตรวจสอบให้แน่ใจว่าข้อมูลสำคัญได้รับการสำรองไว้อย่างปลอดภัยและสามารถกู้คืนได้เมื่อจำเป็น


Practice Questions


1. What is the difference between inherent and residual risk?
A) Inherent is before mitigation; residual is after mitigation
B) Inherent is more dangerous
C) Residual cannot be measured
D) They're the same

Answer: A) Inherent is before mitigation; residual is after mitigation
Explanation: Inherent risk หมายถึงความเสี่ยงพื้นฐานก่อนที่จะมีการใช้มาตรการควบคุมใดๆ ในขณะที่ Residual risk คือความเสี่ยงที่ยังคงเหลืออยู่หลังจากที่ได้ใช้มาตรการลดความเสี่ยงแล้ว (mitigations applied)

2. Which risk response involves accepting the consequences of a risk?
A) Avoid
B) Accept
C) Mitigate
D) Transfer

Answer: B) Accept
Explanation: การยอมรับความเสี่ยง (Accept) หมายถึงการรับทราบความเสี่ยงและตัดสินใจที่จะไม่ดำเนินการใดๆ เพิ่มเติม ซึ่งมักใช้กับความเสี่ยงที่มีผลกระทบต่ำหรือมีความเป็นไปได้น้อย

3. What does RTO (Recovery Time Objective) measure?
A) How much data loss is acceptable
B) Maximum tolerable downtime
C) How long recovery should take
D) Time to identify a breach

Answer: C) How long recovery should take
Explanation: RTO (Recovery Time Objective) คือระยะเวลาสูงสุดที่ยอมรับได้สำหรับการกู้คืนระบบหรือบริการให้กลับมาทำงานได้ตามปกติหลังจากเกิดเหตุการณ์ขัดข้อง เพื่อให้ธุรกิจสามารถดำเนินการต่อได้

4. Which method involves independent third parties assessing vendors?
A) Internal assessment only
B) Vendor self-assessment only
C) External assessment
D) No assessment needed

Answer: C) External assessment
Explanation: การประเมินจากภายนอก (External assessment) เป็นวิธีการที่บุคคลที่สามที่เป็นอิสระจะทำการประเมินผู้จำหน่าย ซึ่งให้การประเมินที่เป็นกลางและเป็นไปตามหลักเกณฑ์ที่จำเป็นสำหรับการปฏิบัติตามกฎหมายและการตรวจสอบสถานะผู้จำหน่าย

5. What is a penetration test with "unknown environment" also called?
A) White box testing
B) Gray box testing
C) Black box testing
D) Red box testing

Answer: C) Black box testing
Explanation: Black box testing คือการทดสอบเจาะระบบที่ผู้ทดสอบไม่มีความรู้เบื้องต้นเกี่ยวกับโครงสร้างภายในของระบบหรือสภาพแวดล้อมที่กำลังทดสอบ เปรียบเสมือนการจำลองการโจมตีจากแฮกเกอร์ภายนอกที่ไม่รู้อะไรเลยเกี่ยวกับเป้าหมาย

บทสรุป


การบริหารความเสี่ยงด้านความปลอดภัยไซเบอร์เป็นเสาหลักสำคัญของการปกป้ององค์กรในยุคดิจิทัล การทำความเข้าใจกระบวนการต่างๆ ตั้งแต่การระบุ การประเมิน การวิเคราะห์ และการตอบสนองต่อความเสี่ยง ตลอดจนตัวชี้วัดสำคัญอย่าง Inherent Risk, Residual Risk และ Risk Appetite จะช่วยให้คุณสามารถสร้างกลยุทธ์ด้านความปลอดภัยที่มีประสิทธิภาพได้ นอกจากนี้ การวิเคราะห์ผลกระทบทางธุรกิจ (BIA), การจัดการผู้จำหน่ายภายนอกอย่างรอบคอบ, และการทดสอบเจาะระบบ (Penetration Testing) ก็เป็นองค์ประกอบที่ขาดไม่ได้ในการสร้างระบบป้องกันที่แข็งแกร่ง

สำหรับการเตรียมสอบ CompTIA Security+ (SY0-701) ให้มุ่งเน้นความเข้าใจในแนวคิดหลักของแต่ละขั้นตอน และความแตกต่างของคำศัพท์เฉพาะทางต่างๆ จำลองสถานการณ์และพิจารณาว่ากลยุทธ์การตอบสนองความเสี่ยงใดที่เหมาะสมที่สุดในแต่ละกรณี การทบทวนคำถามตัวอย่างและการทำความเข้าใจคำอธิบายอย่างละเอียดจะช่วยให้คุณพร้อมเผชิญกับข้อสอบจริง ขอให้ทุกท่านประสบความสำเร็จในการสอบ!

พร้อมที่จะเรียนรู้แล้วหรือยัง?

สมัครเรียนคอร์สกับเราวันนี้ เพื่อยกระดับทักษะด้าน Cyber Security ของคุณ

สมัครเรียนเลย
กลับไปหน้าบทความ