Reconix LogoReconix
Back to Blog

ข้อกำหนด iPentest ของ ธปท.: สิ่งที่สถาบันการเงินไทยต้องปฏิบัติตาม

Reconix Team
ComplianceBOTPenetration TestingFinancial Services

ธนาคารแห่งประเทศไทย (ธปท.) กำหนดให้สถาบันการเงินต้องทดสอบเจาะระบบเป็นประจำ ตามแนวปฏิบัติด้านการบริหารความเสี่ยงเทคโนโลยีสารสนเทศ และสำหรับสถาบันที่มีความสำคัญเชิงระบบ ยังต้องทำ iPentest (intelligence-led penetration testing) อีกด้วย ซึ่งเป็นการทดสอบขั้นสูงที่ต่างจาก Penetration Testing แบบทั่วไปอย่างมาก

บทความนี้จะพาคุณไปทำความเข้าใจกรอบ iPentest ตั้งแต่ใครต้องปฏิบัติตาม ครอบคลุมอะไรบ้าง ไปจนถึงวิธีเตรียมองค์กรให้พร้อม

iPentest คืออะไร?

iPentest (intelligence-led penetration testing) คือกรอบการทดสอบเจาะระบบขั้นสูงแบบ Red Teaming ที่ ธปท. พัฒนาร่วมกับ TB-CERT (Thailand Banking Sector Cyber Security Coordination Center)

ต่างจาก Penetration Testing แบบทั่วไป ที่เน้นค้นหาช่องโหว่ทางเทคนิค iPentest จำลองการโจมตีจริงโดยใช้ Threat Intelligence เป็นตัวขับเคลื่อน เป้าหมายหลักคือวัดความสามารถในการตรวจจับและรับมือเหตุการณ์ (Detection & Response) ขององค์กร ไม่ใช่แค่ทดสอบ Perimeter Defense

iPentest vs. Penetration Testing แบบทั่วไป

ด้าน Pentest แบบทั่วไป iPentest
วัตถุประสงค์ ค้นหาช่องโหว่ทางเทคนิค ทดสอบ Detection, Response และความยืดหยุ่นขององค์กร
แนวทาง ทดสอบตาม checklist (OWASP, PTES) จำลองการโจมตีจาก Threat Intelligence จริง
ขอบเขต ระบบหรือแอปพลิเคชันเฉพาะ คน, กระบวนการ และเทคโนโลยี
รูปแบบผู้โจมตี ผู้โจมตีทั่วไป จำลองจากกลุ่ม Threat Actor ที่โจมตีสถาบันการเงินไทยจริง
Blue Team รับรู้ ปกติจะแจ้งให้ทราบ อาจดำเนินการโดย Blue Team ไม่รู้ล่วงหน้า
ผลลัพธ์ รายการช่องโหว่พร้อม CVSS rating การประเมินความยืดหยุ่นขององค์กร + ผลทางเทคนิค
ระยะเวลา 1–4 สัปดาห์ 6–12 สัปดาห์
ค่าใช้จ่าย ฿150K – ฿1.2M ฿1.5M – ฿5M+

ใครต้องปฏิบัติตาม?

iPentest แบบบังคับ

กรอบ iPentest ของ ธปท. บังคับใช้กับสถาบันที่มีความเสี่ยงเชิงระบบต่อระบบการเงินไทย:

  • D-SIBs (Domestically Systemically Important Banks) ต้องทดสอบ iPentest ตามที่ ธปท. กำหนด
  • สถาบันที่ ธปท. กำหนด จากความสำคัญเชิงระบบ ความเชื่อมโยง หรือบทบาทด้านโครงสร้างพื้นฐานที่สำคัญ

การทดสอบเจาะระบบประจำปี (ข้อ 2.6.7)

สถาบันการเงินทุกแห่งภายใต้การกำกับดูแลของ ธปท. ต้องทดสอบเจาะระบบเป็นประจำ ตามแนวปฏิบัติด้านการบริหารความเสี่ยง IT (ปรับปรุงล่าสุดพฤศจิกายน 2566) ครอบคลุม:

  • ธนาคารพาณิชย์
  • บริษัทเงินทุน
  • บริษัทเครดิตฟองซิเอร์
  • สถาบันการเงินเฉพาะกิจ
  • ผู้ให้บริการระบบการชำระเงิน (ภายใต้ พ.ร.บ. ระบบการชำระเงิน พ.ศ. 2560)
  • ผู้ให้บริการการชำระเงินทางอิเล็กทรอนิกส์

ข้อกำหนดสำคัญ: การทดสอบต้องดำเนินการโดย บุคคลภายนอกที่เป็นอิสระ ทีมรักษาความปลอดภัยภายในไม่สามารถประเมินตนเองเพื่อ compliance ได้

กรอบกฎระเบียบที่เกี่ยวข้อง

ข้อกำหนดด้าน Penetration Testing ของ ธปท. เชื่อมโยงกับกฎระเบียบหลายฉบับ:

1. แนวปฏิบัติด้านการบริหารความเสี่ยง IT (ข้อ 2.6.7)

ข้อกำหนดหลัก ประกอบด้วย:

  • ต้องทำ Vulnerability Assessment และ Penetration Testing ประจำปี
  • ขอบเขตต้องครอบคลุม Web Application, Mobile Banking App, API, Network Infrastructure และ Cloud
  • ต้องมี ทีมบริหารจัดการช่องโหว่ ที่บันทึกผล จัดลำดับตามความรุนแรง และกำหนดผู้รับผิดชอบการแก้ไข
  • ระยะเวลาส่งรายงาน: 30–45 วัน สำหรับ IT risk self-assessment และผลการตรวจสอบส่งให้ ธปท.
  • ช่องโหว่ระดับ Critical และ High ทุกรายการ ต้องได้รับการแก้ไข พร้อมหลักฐานการทดสอบซ้ำยืนยัน

2. พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

จำแนกสถาบันการเงินเป็น โครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) โดยกำหนดให้ต้อง:

  • ตรวจสอบด้าน Cybersecurity เป็นประจำทุกปี
  • รายงานเหตุการณ์ต่อ สกมช. (สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ)
  • ปฏิบัติตามมาตรฐาน Cybersecurity ระดับชาติ

3. พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

สถาบันการเงินจัดการข้อมูลส่วนบุคคลจำนวนมาก มาตรา 37 กำหนดให้ต้องมี "มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม" ซึ่ง Penetration Testing ถือเป็นวิธีมาตรฐานในการพิสูจน์ว่ามาตรการเหล่านั้นทำงานได้จริง

4. พ.ร.บ. ระบบการชำระเงิน พ.ศ. 2560

ผู้ให้บริการระบบการชำระเงินและบริการชำระเงินทางอิเล็กทรอนิกส์ ต้องผ่านการตรวจสอบความปลอดภัย IT เป็นประจำทุกปี รวมถึง Penetration Testing ระบบประมวลผลการชำระเงิน

3 มิติของ iPentest

iPentest ประเมินความยืดหยุ่นขององค์กรผ่าน 3 มิติหลัก:

1. คน (People)

  • Social Engineering: ทดสอบด้วยแคมเปญ Phishing, Vishing และ Pretexting กับพนักงานที่เข้าถึงระบบสำคัญ
  • Insider Threat Simulation: ทดสอบว่า credential ที่ถูก compromise หรือ insider ที่ประสงค์ร้ายสามารถยกระดับสิทธิ์ได้หรือไม่
  • การประเมิน Security Awareness: พนักงานจดจำและรายงานกิจกรรมที่น่าสงสัยได้ดีแค่ไหน

2. กระบวนการ (Processes)

  • ประสิทธิภาพ Incident Response: Blue Team (SOC, Incident Response) ตรวจจับกิจกรรมของ Red Team ได้หรือไม่ และตอบสนองได้เร็วแค่ไหน
  • กระบวนการ Escalation: Alert ถึงคนที่ถูกต้องหรือไม่ Playbook ถูกปฏิบัติตามหรือเปล่า
  • Communication Protocol: องค์กรประสานงานได้ดีแค่ไหนระหว่างถูกโจมตี
  • Business Continuity: การดำเนินงานที่สำคัญสามารถทำงานต่อได้หรือไม่ขณะถูกโจมตี

3. เทคโนโลยี (Technology)

  • Attack Surface Exploitation: ใช้ Threat Intelligence ปัจจุบันโจมตีจุดที่น่าจะเป็นช่องทางเข้าที่สุด
  • Lateral Movement: ทดสอบ Network Segmentation, Active Directory controls และเส้นทาง Privilege Escalation
  • Data Exfiltration: Red Team สามารถนำข้อมูลสำคัญออกไปได้โดยไม่ trigger DLP หรือระบบ Monitoring หรือไม่
  • Detection Evasion: ทดสอบประสิทธิภาพของ SIEM, EDR และ SOC Monitoring

กระบวนการ iPentest: ทีละขั้นตอน

Phase 1: รวบรวม Threat Intelligence

ก่อนลงมือทดสอบ Red Team จะสร้าง Threat Profile เฉพาะสำหรับสถาบันของคุณ:

  • ภัยคุกคามเฉพาะภาค: กลุ่ม Threat Actor ไหนกำลังโจมตีสถาบันการเงินไทยอยู่
  • OSINT Reconnaissance: ข้อมูลที่เปิดเผยต่อสาธารณะเกี่ยวกับ Technology Stack, พนักงาน และ Digital Footprint ขององค์กร
  • พัฒนา Attack Scenario: เส้นทางการโจมตีที่สมจริง อ้างอิงจาก TTPs (Tactics, Techniques, and Procedures) จาก MITRE ATT&CK Framework

Phase 2: วางแผนการโจมตี

เมื่อได้ Threat Intelligence แล้ว Red Team จะออกแบบ Attack Scenario เฉพาะ:

  • เลือกเป้าหมาย (Critical Systems, Crown Jewels)
  • กำหนด Attack Vector (Phishing, Supply Chain, External Exploitation)
  • กำหนด Rules of Engagement และขอบเขตความปลอดภัย
  • กำหนดช่องทางสื่อสารกับผู้มีส่วนได้ส่วนเสียที่กำหนด

Phase 3: Red Team ลงมือ

Red Team เริ่มโจมตีตาม Attack Scenario ที่วางไว้ ใช้เวลาหลายสัปดาห์:

  • พยายามเข้าถึงระบบผ่าน Vector หลายช่องทาง
  • Privilege Escalation และ Lateral Movement
  • สร้าง Persistence
  • บรรลุวัตถุประสงค์ (เข้าถึงข้อมูล, ควบคุมระบบ ฯลฯ)

ตลอดการดำเนินการ Red Team จะบันทึกทุกการกระทำ ระยะเวลา และเครื่องมือที่ใช้ไว้อย่างละเอียด เพื่อนำไป Debrief กับ Blue Team ในภายหลัง

Phase 4: ประเมิน Blue Team

ประเมินผลการทำงานของทีมป้องกัน:

  • Detection Rate: Blue Team ตรวจจับกิจกรรมของ Red Team ได้กี่เปอร์เซ็นต์
  • Detection Speed: หลังจากถูก compromise ใช้เวลานานแค่ไหนถึงตรวจพบ
  • Response Effectiveness: มีการ containment และ remediation ที่เหมาะสมหรือไม่
  • Alert Quality: Alert มีข้อมูลเพียงพอให้ดำเนินการ หรือจมหายไปในข้อมูลจำนวนมาก

Phase 5: Purple Team Debrief

นี่คือ Phase ที่ให้คุณค่ามากที่สุด — Red Team และ Blue Team มานั่งทำงานร่วมกัน:

  • ทบทวนทุกขั้นตอนการโจมตีและการตอบสนองที่เกี่ยวข้อง
  • ระบุ Detection Gap และจุดบอด
  • พัฒนาแนวทางปรับปรุงเฉพาะสำหรับคน, กระบวนการ และเทคโนโลยี
  • สร้าง Remediation Roadmap ที่จัดลำดับความสำคัญ

Phase 6: รายงานระดับคณะกรรมการ

Deliverable จาก iPentest ประกอบด้วย:

  • Executive Summary: การวัดความเสี่ยงทางธุรกิจที่เหมาะสมสำหรับนำเสนอต่อ Board
  • Technical Report: รายละเอียดเส้นทางการโจมตี ผลการทดสอบ และหลักฐาน
  • Blue Team Assessment: การให้คะแนนความสามารถด้าน Detection และ Response
  • Remediation Roadmap: แนวทางปรับปรุงที่จัดลำดับความสำคัญพร้อมกรอบเวลา
  • เอกสาร Compliance: ชุดหลักฐานสำหรับส่ง ธปท.

เตรียมสถาบันของคุณสำหรับ iPentest

6–12 เดือนก่อนเริ่ม

  1. ประเมินสถานะความปลอดภัยปัจจุบัน ทำ Penetration Testing แบบทั่วไปให้เรียบร้อยก่อน เพราะ iPentest ไม่ได้มาแทน basic hygiene — แต่เป็นการทดสอบขั้นสูงที่ตั้งอยู่บนสมมติฐานว่าองค์กรมี baseline security อยู่แล้ว ที่ปรึกษาด้าน Cybersecurity ช่วยประเมินความพร้อมก่อนเริ่ม iPentest ได้

  2. ตรวจสอบ Logging และ Monitoring ให้ครอบคลุม SOC ตรวจจับสิ่งที่มองไม่เห็นไม่ได้ ต้องมั่นใจว่า:

    • SIEM เก็บ log จากระบบสำคัญทุกระบบ
    • EDR ติดตั้งบน Endpoint ทุกเครื่อง
    • Network Monitoring ครอบคลุม East-West Traffic ไม่ใช่แค่ Perimeter
    • Cloud Workload เปิด logging อย่างเหมาะสม

  3. ทบทวน Incident Response Procedure จัดทำและซ้อม IR Playbook ให้เรียบร้อย เพราะ iPentest จะทดสอบสิ่งเหล่านี้โดยตรง ต้องมีพร้อมก่อนเริ่ม

  4. บรีฟผู้มีส่วนได้ส่วนเสียที่สำคัญ Board, CISO และผู้บริหารด้าน IT ต้องเข้าใจว่า iPentest คืออะไร จะเปิดเผยอะไรบ้าง และที่สำคัญ — ผลที่ได้ควรมองเป็นโอกาสในการปรับปรุง ไม่ใช่ความล้มเหลว

3–6 เดือนก่อนเริ่ม

  1. เลือกผู้ให้บริการ iPentest ผู้ให้บริการ Red Teaming ที่เหมาะสมควรมี:

    • ประสบการณ์กับกฎระเบียบสถาบันการเงินไทย
    • ความคุ้นเคยกับ TB-CERT และประสบการณ์ส่งรายงาน ธปท.
    • ใบรับรอง Red Team (OSCP, OSCE, CRTO, CRTA)
    • วิธีการ Purple Team Debrief ที่มีมาตรฐาน
    • Reference จากสถาบันการเงินอื่นที่อยู่ภายใต้กำกับ

  2. กำหนดขอบเขตและ Rules of Engagement ทำงานร่วมกับผู้ให้บริการเพื่อกำหนด:

    • ระบบและสถานที่ที่อยู่ในขอบเขต
    • ขอบเขตความปลอดภัย (เช่น ข้อจำกัดของระบบ Production, ข้อจำกัดการเข้าถึงทางกายภาพ)
    • ช่องทางสื่อสารและกระบวนการหยุดฉุกเฉิน
    • การอนุญาตทางกฎหมาย

ระหว่าง Engagement

  1. ดำเนินงานตามปกติ ให้ Blue Team ทำงานเหมือนทุกวัน คุณค่าของ iPentest อยู่ที่การวัดความสามารถ Detection และ Response ในสภาพแวดล้อมจริง

  2. กำหนดผู้ประสานงานที่ไว้วางใจ หนึ่งหรือสองคนในระดับผู้บริหารที่รู้ว่ามี engagement เกิดขึ้น และสามารถสั่งหยุดฉุกเฉินได้หากจำเป็น

หลัง Engagement

  1. ลงทุนในการแก้ไขจริงจัง Purple Team Debrief จะให้แนวทางปรับปรุงที่เฉพาะเจาะจงและนำไปปฏิบัติได้ทันที ต้องจัดสรรงบประมาณและทรัพยากรให้พร้อม

  2. ทดสอบซ้ำสำหรับช่องโหว่สำคัญ ตรวจสอบว่าการแก้ไขได้ผลจริงก่อนรอบรายงาน ธปท. ครั้งถัดไป

คำถามที่พบบ่อย

ใช้ Internal Red Team ทำ iPentest ได้ไหม?

ไม่ได้ ธปท. กำหนดชัดเจนว่า Penetration Testing ต้องดำเนินการโดยบุคคลภายนอกที่เป็นอิสระ Internal Red Team มีประโยชน์สำหรับการทดสอบความปลอดภัยอย่างต่อเนื่อง แต่สำหรับ compliance ต้องใช้ผู้ทดสอบอิสระจากภายนอกเท่านั้น

ต้องทำ iPentest บ่อยแค่ไหน?

ความถี่ขึ้นอยู่กับประเภทสถาบันและการกำหนดของ ธปท. ธนาคาร D-SIB มักต้องทดสอบ iPentest ตามรอบที่ ธปท. กำหนด ในขณะที่ Penetration Testing แบบทั่วไปต้องทำเป็นประจำทุกปีสำหรับทุกสถาบันภายใต้กำกับ

ถ้าผลออกมาไม่ดีจะเป็นอย่างไร?

iPentest ไม่ใช่การสอบผ่าน/ไม่ผ่าน แต่เป็นการประเมินวุฒิภาวะด้านความปลอดภัย ทุกสถาบันย่อมมีจุดที่ต้องปรับปรุง สิ่งที่สำคัญคือคุณระบุปัญหาและแก้ไขได้หรือไม่ ธปท. คาดหวังจะเห็น:

  • ผลการทดสอบที่บันทึกไว้พร้อมแผนการแก้ไข
  • หลักฐานการปรับปรุงอย่างต่อเนื่อง
  • Board รับรู้และมี Governance ที่ดี

iPentest สัมพันธ์กับ NIST Cybersecurity Framework อย่างไร?

แนวปฏิบัติของ ธปท. สอดคล้องกับ NIST CSF โดย iPentest เน้นทดสอบ function Detect และ Respond โดยเฉพาะ ในขณะที่ Penetration Testing แบบทั่วไปมักครอบคลุมแค่ Identify และ Protect

iPentest กับ TIBER ต่างกันอย่างไร?

iPentest คือเวอร์ชันไทยของ Threat Intelligence-Based Ethical Red Teaming คล้ายกับ TIBER-EU ในยุโรปหรือ CBEST ในอังกฤษ แต่ปรับให้เข้ากับบริบทกฎระเบียบไทยโดยเฉพาะ พัฒนาร่วมกันระหว่าง ธปท. และ TB-CERT

สิ่งสำคัญที่ควรจำ

  1. iPentest แตกต่างจาก Penetration Testing แบบทั่วไปโดยพื้นฐาน ทดสอบความยืดหยุ่นขององค์กร ไม่ใช่แค่ช่องโหว่ทางเทคนิค
  2. สถาบันการเงินทุกแห่งภายใต้ ธปท. ต้องทดสอบเจาะระบบประจำปี ส่วน iPentest บังคับสำหรับสถาบันที่มีความสำคัญเชิงระบบ
  3. การเตรียมตัวคือหัวใจสำคัญ ต้องมั่นใจว่า baseline security, logging coverage และ incident response procedure พร้อมก่อนเริ่ม
  4. Purple Team Debrief คือสิ่งส่งมอบที่มีคุณค่าสูงสุด เลือกผู้ให้บริการจากวิธีการ Debrief และการสนับสนุนด้าน Remediation
  5. การทดสอบโดยอิสระเป็นข้อบังคับ ทีมภายในไม่สามารถตอบโจทย์ข้อกำหนด compliance ได้

อยากรู้รายละเอียดเพิ่มเติมเรื่องข้อกำหนด compliance ของ ธปท.? ดูได้ที่ หน้า BOT Compliance หรือ ติดต่อ Reconix เพื่อปรึกษาได้เลย

แหล่งอ้างอิงกฎระเบียบและมาตรฐาน

บริการที่เกี่ยวข้องจาก Reconix

  • Penetration Testing — บริการทดสอบเจาะระบบประจำปีตามข้อกำหนด ธปท. ข้อ 2.6.7 ครอบคลุม Web, Mobile, API, Network และ Cloud
  • Red Teaming — บริการจำลองการโจมตีขั้นสูงแบบ iPentest ทดสอบความยืดหยุ่นขององค์กรทั้งด้านคน กระบวนการ และเทคโนโลยี
  • Cybersecurity Consulting — ที่ปรึกษา Compliance สำหรับ ธปท. ช่วยเตรียมความพร้อมก่อน iPentest และวางแผนการแก้ไขหลังการทดสอบ
  • Network Penetration Testing — ทดสอบ Network Segmentation, Active Directory และโครงสร้างพื้นฐานเครือข่ายตามมาตรฐาน PTES
Articles

More Posts

Explore more articles from our blog

Featured image for [Writeup] Thailand Cyber Top Talent 2025: Bangkok Casino (Mobile 300 Pts) - Android Application Manual Static Analysis Solution

[Writeup] Thailand Cyber Top Talent 2025: Bangkok Casino (Mobile 300 Pts) - Android Application Manual Static Analysis Solution

September 2, 2025Reconix Team (Sorawish Laovakul)

A step-by-step CTF writeup for the THCTT2025 Bangkok Casino challenge. Learn to reverse engineer an Android APK and its multi-layer encryption on `metrics.bin`. This guide covers static analysis with JADX and Ghidra, AES decryption, native `.so` library analysis, and provides the final Python script to capture the flag.

Read More
Featured image for Inspex Joins Reconix: A New Era of Cybersecurity Excellence

Inspex Joins Reconix: A New Era of Cybersecurity Excellence

August 1, 2024Reconix Team

Inspex, Thailand's leading Web3 and blockchain security firm, has officially merged with Reconix to create a cybersecurity powerhouse. Operating under the Reconix brand, we now offer end-to-end security solutions covering traditional IT infrastructure, Web3 applications, and blockchain ecosystems. Our enhanced smart contract audit capabilities, combined with award-winning penetration testing services, position us as Thailand's premier cybersecurity provider.

Read More
View All