แนวทางการพัฒนาความรู้และทักษะสู่การเป็นผู้ทดสอบความปลอดภัยระบบงานสารสนเทศ หรือ Penetration Tester มืออาชีพ 
      ปัจจุบันระบบสารสนเทศ มีบทบาทสำคัญในการดำเนินธุรกิจอย่างมาก การให้บริการลูกค้าผ่านเครือข่าย internet เป็นบริการที่มีการขยายตัวอย่างรวดเร็ว เช่น การให้บริการลูกค้าเพื่อทำธุรกรรมทางการเงิน (Internet banking and mobile banking)  การทำธุรกรรมซื้อขายสินค้าทางช่องทางออนไลน์ (E-Commerce)  การอบรมทางไกลผ่าน internet (E-Learning) การรายงานข้อมูลข่าวสารต่างๆผ่านเครือข่าย internet เป็นต้น บริการต่างๆเหล่านี้ ต้องพึ่งพาอาศัยระบบสารสนเทศในการให้บริการ ส่งผลให้ความปลอดภัยของระบบสารสนเทศมีผลต่อความปลอดภัยของธุรกิจ ดังนั้นจึงจำเป็นต้องมีบุคคลที่เป็นผู้เชี่ยวชาญด้านการทดสอบ ตรวจหาจุดอ่อนของระบบสารสนเทศ เพื่อทำการแก้ไขให้มีความปลอดภัยก่อนนำไปใช้เป็นเครื่องมือเพื่อให้บริการกับลูกค้า เราเรียกบุคคลในอาชีพนี้ว่า Security Penetration Tester หรือเรียกสั้นๆ ว่า Pentester และด้วยการเติบโตของการให้บริการผ่านเครือข่าย internet ซึ่งไม่ได้หมายถึงเครื่อง computer notebook เท่านั้นที่สามารถเข้าถึง internet ได้ แต่ยังหมายถึงรวมไปที่อุปกรณ์ mobile ต่างๆ ที่สามารถเข้าถึง internet ได้ตลอดเวลา ส่งผลให้ธุรกิจต่างๆ ที่ให้บริการลูกค้าผ่าน เครือข่าย Internet มีการเติบโตอย่างก้าวกระโดดในช่วงทศวรรษที่ผ่านมา web application และ mobile application ต่างๆ เพิ่มจำนวนขึ้นอย่างมากมาย ในขณะที่ผู้เชี่ยวชาญด้านการตรวจสอบความปลอดภัยระบบสารสนเทศ หรือ Pentester นั้นมีจำนวนไม่มากพอต่อความต้องการของตลาด ส่งผลให้บุคคลเหล่านี้มีค่าตอบแทนรายได้สูง และเป็นเป้าหมายลำดับแรกๆของผู้เรียนสาขาเทคโนโลยีสารสนเทศที่ต้องการจะทำงานในหน้าที่ Pentester

     เส้นทางการพัฒนาองค์ความรู้และทักษะเพื่อเป็น Pentester นั้นจำเป็นต้องมีองค์ความรู้และทักษะที่ใช้ในการทำงาน โดยสามารถสรุปองค์ความรู้ที่จำเป็นได้ดังนี้

1. ความรู้และประสบการณ์ด้าน computer network โดยผู้ที่จะเป็น Pentester ต้องเข้าใจ โครงสร้างการจัดการระบบเครือข่าย หรือ OSI 7 Layer การสื่อสารข้อมูลโดยใช้ Protocol TCP/IP การเปิด Port เพื่อให้บริการ Service ต่างๆ
2. ความรู้และประสบการณ์ด้าน Server Operating System ในหลายๆ Platform ทั้งตระกูล Windows และ ตระกูล Unix
3. ความรู้และประสบการณ์ด้าน Web Technology โดยจะต้องเข้าใจวิธีการสื่อสารข้อมูลผ่าน Web Technology เข้าใจ Protocol http และ https และวิธีการเขียน program web application ขั้นพื้นฐาน และการเรียกคำสั่งจัดการฐานข้อมูลหรือ SQL Command
4. ความรู้และประสบการณ์ด้าน System Architecture ขั้นพื้นฐาน ที่เกี่ยวข้องกับการจัดวาง โครงสร้างแบบ 3 Tier ใน Web Application การทำงานของ DNS, DHCP, Mail Server, Proxy Server, Firewall, IDS, IPS
5. การใช้เครื่องมือหรือ Software Tools ที่ช่วยในการเจาะระบบ เช่น Nmap, Nessus, Meta Sploit เป็นต้น
6. ความรู้ด้านเทคนิคการเจาะระบบ ตามช่องโหว่ต่างๆที่มักพบได้ทั่วไป โดยช่องโหว่ที่พบบ่อยๆ จะถูกรวบรวมไว้ และจัดทำเป็นฐานความรู้ต่างๆ เช่นช่องโหว่ที่ถูกรวบรวมและประกาศโดย OWASP เป็นสิ่งที่ Pentester ทุกคนต้องทราบ

     องค์ความรู้ทั้ง 6 ด้านนั้น เป็นเพียงองค์ความรู้พื้นฐาน สำหรับผู้เริ่มต้นจะทำงานในสายอาชีพ Pentester เท่านั้น โดยระดับขั้นของ Pentester นั้นแบ่งได้กี่ระดับและมีแนวทางพัฒนาอย่างไร ผู้เขียนจะมาเล่าให้ฟังในบทความถัดไป



                                      ไพบูลย์ ปัญญายุทธการ CISSP,CISA, IRCA, ITIL