Pentest คืออะไร? ขั้นตอน ราคา และสิ่งที่ต้องได้รับจากการทดสอบเจาะระบบ (2026)
Pentest ย่อมาจาก Penetration Testing หรือการทดสอบเจาะระบบ คือการจำลองการโจมตีทางไซเบอร์กับระบบของคุณโดยผู้เชี่ยวชาญที่ได้รับอนุญาตเป็นลายลักษณ์อักษร เป้าหมายคือค้นหาช่องโหว่ พิสูจน์ด้วยหลักฐานว่าโจมตีได้จริง และประเมินว่าหากเป็นผู้โจมตีจริง ธุรกิจของคุณจะเสียหายอย่างไรบ้าง
หลายองค์กรเข้าใจว่าการสแกนช่องโหว่ด้วยเครื่องมืออัตโนมัติให้ผลลัพธ์แบบเดียวกัน ความเข้าใจนี้มีต้นทุนสูง และเป็นเหตุผลหลักที่บทความนี้ต้องเขียนขึ้น
เครื่องมือสแกนรายงานว่า "อาจมีช่องโหว่" Pentest พิสูจน์ว่า "โจมตีได้จริง พร้อมหลักฐาน"
เครื่องมือสแกนช่องโหว่เทียบระบบของคุณกับฐานข้อมูลช่องโหว่ที่รู้จัก (CVE) แล้วสรุปออกมาเป็นรายการ ข้อมูลนี้มีประโยชน์ แต่ตอบไม่ได้ว่าช่องโหว่เหล่านั้นนำไปใช้โจมตีจริงได้หรือไม่
ผู้ทดสอบตอบได้ เพราะลงมือทดสอบในแบบเดียวกับผู้โจมตีจริง ตัวอย่างที่เครื่องมือสแกนตรวจไม่พบ: ระบบที่ผู้ใช้แก้ค่า ID ใน API Request แล้วเข้าถึงข้อมูลของลูกค้ารายอื่นได้ (ช่องโหว่ IDOR) หรือ Payment Flow ที่ข้ามขั้นตอนได้ด้วยการแก้ Parameter เพียงค่าเดียว ช่องโหว่กลุ่มนี้คือ Business Logic ซึ่งต้องเข้าใจก่อนว่าระบบควรทำงานอย่างไร จึงจะระบุได้ว่าจุดใดผิดปกติ เครื่องมือไม่เข้าใจธุรกิจของคุณ ผู้เชี่ยวชาญเข้าใจ
จุดอ่อนนี้ยิ่งชัดกับระบบที่พัฒนาขึ้นเอง เครื่องมือสแกนตรวจจาก Template ของช่องโหว่ที่เคยพบในซอฟต์แวร์สำเร็จรูป แอปที่ทีมของคุณเขียนเองหรือจ้างทีมภายนอกพัฒนาจึงแทบไม่มีอะไรให้ Match เพราะช่องโหว่ในโค้ดเฉพาะของคุณไม่เคยถูกบันทึกไว้ในฐานข้อมูลใดมาก่อน ระบบลักษณะนี้ต้องอาศัยการทดสอบโดยผู้เชี่ยวชาญเป็นหลัก ขณะที่ฝั่งซอฟต์แวร์สำเร็จรูป CMS การตรวจ Misconfiguration และการตรวจปูพรม Server IP กับ Domain จำนวนมาก คืองานที่ VA ทำได้ดีและคุ้มค่ากว่า
หากต้องการเปรียบเทียบสองแนวทางนี้อย่างละเอียด ทั้งด้านราคา ความถี่ และข้อกำหนดของหน่วยงานกำกับ อ่านได้ที่ Vulnerability Assessment (VA) ต่างจาก Pentest อย่างไร
ขั้นตอนการทดสอบเจาะระบบ: กรอบ PROVE
งานทดสอบของ Reconix ทุกงานดำเนินตามกรอบ PROVE ซึ่งพัฒนาบนแนวทาง NIST SP 800-115:
- Plan กำหนด Scope และ Rules of Engagement ก่อนเริ่มงาน: ทดสอบระบบใด ข้อจำกัดคืออะไร และแจ้งใครเมื่อพบช่องโหว่ร้ายแรง
- Run ลงมือทดสอบ เครื่องมืออย่าง Burp Suite Professional, Nessus และ Nuclei ใช้ปูพื้นฐาน แต่แก่นของงานคือการทดสอบแบบ Manual ตามมาตรฐาน OWASP WSTG และ PTES ทุกช่องโหว่ที่เข้ารายงานต้องมี Proof-of-Concept ยืนยัน หากพิสูจน์ไม่ได้ จะไม่รายงาน
- Orient ให้คำปรึกษาทีมพัฒนาของคุณในการแก้ไข พร้อม Issue Tracker สำหรับติดตามสถานะร่วมกัน
- Verify ทดสอบซ้ำหลังการแก้ไข ช่องโหว่จะนับว่าปิดได้ก็ต่อเมื่อการแก้ไขผ่านการโจมตีรอบที่สอง การแก้ไขที่ไม่สมบูรณ์จะถูกตรวจพบในขั้นตอนนี้
- Evidence ส่งมอบรายงานฉบับสมบูรณ์ ประกอบด้วย Executive Summary หลักฐานการปิดรายช่องโหว่ และสรุป Residual Risk
ขั้นตอนที่ 3 และ 4 คือจุดที่ผู้ให้บริการจำนวนมากตัดออก การส่งรายงานแล้วปิดงานทันทีหมายความว่าช่องโหว่ที่ยังไม่ได้ทดสอบซ้ำ คือช่องโหว่ที่ไม่มีใครยืนยันได้ว่าปิดจริง
การทดสอบเจาะระบบครอบคลุมระบบใดบ้าง
ขอบเขตแบ่งตามระบบเป้าหมาย: เว็บแอปพลิเคชันและ API, แอปพลิเคชันมือถือ iOS และ Android, เครือข่ายภายนอกและภายใน รวมการโจมตี Active Directory และ Cloud ทั้ง AWS, Azure และ GCP
หากยังไม่แน่ใจว่าควรเริ่มจากระบบใด ให้เริ่มจากระบบที่ลูกค้าใช้งาน เพราะเป็นช่องทางที่ผู้โจมตีเข้าถึงง่ายที่สุด และเมื่อเกิดเหตุจะกระทบความเชื่อมั่นของลูกค้าโดยตรง
องค์กรใดบ้างที่ต้องทำ Pentest ตามข้อกำหนด
ในไทย ข้อกำหนดหลักมาจากสี่ทาง สถาบันการเงินมีข้อกำหนดชัดเจนที่สุด: แนวทางการกำกับดูแลความเสี่ยงด้าน IT ของ ธปท. กำหนดให้ทดสอบเจาะระบบสำคัญเป็นประจำทุกปีโดยหน่วยงานอิสระ ครอบคลุม Internet Banking, Mobile Banking และ API ส่วนผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลและหลักทรัพย์อยู่ภายใต้ข้อกำหนดด้านการประเมินความปลอดภัยของ ก.ล.ต.
องค์กรทั่วไปที่เก็บข้อมูลส่วนบุคคลอยู่ภายใต้ PDPA มาตรา 37 ซึ่งกำหนดให้มี "มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม" คำว่าเหมาะสมจะวัดกันเมื่อเกิดเหตุข้อมูลรั่วไหลและ สคส. เข้าตรวจสอบ รายงานทดสอบเจาะระบบฉบับล่าสุดคือหลักฐานที่มีน้ำหนักมากกว่าผลสแกนอย่างมีนัยสำคัญ โดยเดิมพันคือค่าปรับทางปกครองสูงสุด 3 ล้านบาทสำหรับข้อมูลทั่วไป และ 5 ล้านบาทสำหรับข้อมูลอ่อนไหว (มาตรา 83 และ 84)
ด้านมาตรฐานสากล ทั้ง ISO 27001 และ PCI DSS คาดหวังผลทดสอบเจาะระบบเป็นหลักฐานประกอบการตรวจรับรอง รายละเอียดอยู่ที่หน้า ISO 27001 และหน้า PCI DSS
Pentest ราคาเท่าไหร่ และใช้เวลานานแค่ไหน
ราคาขึ้นอยู่กับขอบเขตเป็นหลัก ช่วงราคาเริ่มต้นที่เราใช้จริง:
| ขอบเขต | ราคาเริ่มต้น | ระยะเวลา |
|---|---|---|
| ระบบเดียว เช่น เว็บแอปพลิเคชันหนึ่งระบบ | ฿160,000 ถึง ฿320,000 | 1 ถึง 2 สัปดาห์ |
| 2 ถึง 3 ระบบ | ฿380,000 ถึง ฿650,000 | 2 ถึง 3 สัปดาห์ |
| ครอบคลุมทุกระบบขององค์กร | ฿750,000 ถึง ฿1,400,000 | 3 ถึง 4 สัปดาห์ |
ตัวแปรที่มีผลต่อราคา: จำนวน Role ของผู้ใช้ จำนวน Endpoint และรูปแบบรายงานที่หน่วยงานกำกับกำหนด งานสองชิ้นที่ระบุขอบเขตเหมือนกันว่า "ทดสอบเว็บแอปพลิเคชัน" ราคาต่างกันได้หลายเท่า เราอธิบายวิธีคำนวณไว้ละเอียดในคู่มือราคา Pentest ในไทย
มาตรฐานหนึ่งที่ควรเรียกร้องจากผู้ให้บริการทุกราย: ช่องโหว่ระดับ Critical ต้องแจ้งในวันที่ตรวจพบ ไม่ใช่รอรายงานฉบับสมบูรณ์ นโยบายของ Reconix คือแจ้งภายในวันเดียวกัน
เกณฑ์ประเมินรายงานก่อนเซ็นสัญญา
ขอดูตัวอย่างรายงานก่อนตัดสินใจเสมอ รายงานที่ได้มาตรฐานต้องมี Proof-of-Concept ประกอบทุกช่องโหว่ Executive Summary ที่สื่อสารได้โดยไม่ต้องอาศัยพื้นฐานเทคนิค คำแนะนำการแก้ไขที่ระบุถึงระดับ Code และผลการทดสอบซ้ำพร้อมสถานะของแต่ละรายการ หากตัวอย่างรายงานเป็นเพียงผลสแกนที่จัดรูปแบบใหม่ นั่นคืองาน VA ที่คิดราคา Pentest และเป็นสัญญาณให้พิจารณาผู้ให้บริการรายอื่น
คำถามที่พบบ่อยอีกสองข้อ ระบบจะได้รับผลกระทบระหว่างทดสอบหรือไม่: ระบบ Production ใช้วิธีทดสอบแบบไม่ทำลาย และคุณสั่งหยุดการทดสอบได้ตลอดเวลา ต้องเตรียมอะไรบ้าง: รายการระบบเป้าหมาย บัญชีทดสอบตาม Role ที่ใช้จริง และช่องทางติดต่อทีมเทคนิค โดยทั่วไปใช้เวลาเตรียมไม่เกินหนึ่งสัปดาห์
หากต้องการประเมินว่าระบบของคุณควรเริ่มทดสอบจากจุดใดและงบประมาณเท่าใดจึงเพียงพอ ส่งรายละเอียดมาปรึกษาเราได้โดยไม่มีค่าใช้จ่าย หรืออ่านวิธีเลือกบริษัท Pentest ในไทยเพื่อใช้เป็นเกณฑ์เปรียบเทียบผู้ให้บริการทุกราย
บริการที่เกี่ยวข้อง
- การทดสอบเจาะระบบ ทดสอบครบทุกด้านตามกรอบ PROVE พร้อม PoC ทุกช่องโหว่และการทดสอบซ้ำหลังแก้ไข
- การประเมินช่องโหว่ (VA) สแกนพร้อมตรวจยืนยันโดยผู้เชี่ยวชาญ เหมาะกับการเฝ้าระวังต่อเนื่อง
- การทดสอบเจาะระบบเว็บแอปพลิเคชัน ทดสอบเว็บแอปพลิเคชันและ API ตาม OWASP WSTG
