ราคา Pentest ในไทย: ปัจจัยที่กำหนดราคาและงบที่ควรตั้ง (2026)
ถ้าคุณกำลังตั้งงบประมาณสำหรับ Penetration Testing ในไทย คงสังเกตว่าผู้ให้บริการส่วนใหญ่ไม่เปิดเผยราคา พอจะวางแผน เปรียบเทียบงบให้ผู้บริหารอนุมัติก็ยากไปอีก
คู่มือนี้รวมข้อมูลราคา Penetration Testing ในไทยแบบโปร่งใส ให้ใช้อ้างอิงได้จริง ทั้งปัจจัยที่มีผลต่อราคา และวิธีดูให้ออกว่าคุณจ่ายเงินเพื่อความปลอดภัยจริง หรือแค่ได้ผลสแกนใส่ปกสวย
ทำไมราคา Pentest ถึงบอกตัวเลขแน่นอนได้ยาก
Penetration Testing ไม่ใช่สินค้าสำเร็จรูปที่ตั้งราคาตายตัวได้ งาน 2 โปรเจกต์ที่ scope เป็น "web application pentest" เหมือนกัน ราคาอาจต่างกันถึง 5 เท่า ขึ้นอยู่กับ:
- ความซับซ้อนของแอป: เว็บไซต์ brochure site ธรรมดา กับแพลตฟอร์ม SaaS แบบ multi-tenant ที่มี API endpoints 200+ คนละเรื่องกันเลย
- ความลึกของ Authentication: แค่สแกนโดยไม่ login กับทดสอบหลาย role (admin, user, manager) พร้อม Business Logic Abuse ต่างกันมาก
- ข้อกำหนด compliance: ทดสอบทั่วไป กับทดสอบที่ต้องออกรายงานตามมาตรฐาน ธปท., PCI DSS หรือ กลต. ใช้เวลาต่างกัน
- Retest และ Remediation Support: บางบริษัทรวม Verification Retest ในราคา บางบริษัทคิดแยก
ตอบตรงๆ คือ Penetration Testing ในไทยราคาอยู่ในช่วง ฿150,000 ถึง ฿2,000,000+ ขึ้นอยู่กับ scope, ความลึก และข้อกำหนด compliance มาดูรายละเอียดกัน
ช่วงราคา Penetration Testing แยกตามประเภทบริการ
ราคาด้านล่างเป็นราคาตลาดไทยปี 2569 สำหรับ Penetration Testing ที่ทดสอบโดยผู้เชี่ยวชาญจริง (ไม่ใช่แค่รันเครื่องมือสแกน)
หมายเหตุ: ราคาทั้งหมดเป็นตัวเลขประมาณการเบื้องต้น ราคาจริงขึ้นอยู่กับขอบเขตงาน ความซับซ้อนของแอป จำนวนระบบหรือ endpoint ข้อกำหนด compliance และกรอบเวลา ติดต่อเรา เพื่อคุย scope และขอใบเสนอราคาที่ตรงกับงานของคุณ
Web Application Penetration Testing
| ขอบเขต | ช่วงราคา (THB) | ระยะเวลา |
|---|---|---|
| แอปขนาดเล็ก (< 20 หน้า, auth จำกัด) | ฿150,000 – ฿300,000 | 5–8 วัน |
| แอปขนาดกลาง (20–50 endpoints, 2–3 roles) | ฿300,000 – ฿600,000 | 8–15 วัน |
| แอปขนาดใหญ่ (50+ endpoints, logic ซับซ้อน, APIs) | ฿600,000 – ฿1,200,000 | 15–25 วัน |
ควรได้อะไรในราคานี้: OWASP Top 10, Business Logic Testing, Authentication/Authorization Abuse, API Endpoint Testing และรายงานที่บอกวิธีแก้ไขได้จริง ไม่ใช่แค่ dump output จากเครื่องมือ
Mobile Application Penetration Testing
| ขอบเขต | ช่วงราคา (THB) | ระยะเวลา |
|---|---|---|
| แพลตฟอร์มเดียว (iOS หรือ Android) | ฿200,000 – ฿400,000 | 8–12 วัน |
| ทั้งสองแพลตฟอร์ม (iOS + Android) | ฿350,000 – ฿700,000 | 12–20 วัน |
| Banking/Fintech (รวม API backend + compliance) | ฿500,000 – ฿1,200,000 | 15–25 วัน |
ทำไมราคาถึงขยับ: แอป Mobile Banking ที่ต้องเป็นไปตามประกาศ ธปท. 4/2568 จะต้องทดสอบเชิงลึกทั้ง Biometrics, Session Management, Certificate Pinning และ Anti-Fraud Controls ทำให้ scope กว้างขึ้นมาก
Network Penetration Testing
| ขอบเขต | ช่วงราคา (THB) | ระยะเวลา |
|---|---|---|
| External เท่านั้น (IP ranges, public services) | ฿150,000 – ฿300,000 | 5–8 วัน |
| Internal เท่านั้น (on-site หรือ VPN, AD assessment) | ฿250,000 – ฿500,000 | 8–15 วัน |
| External + Internal รวม | ฿350,000 – ฿700,000 | 12–20 วัน |
ดูอะไรเป็นหลัก: Internal Network Test ที่ดีต้องครอบคลุม Active Directory Attack Path Analysis, Kerberoasting, NTLM Relay และ Lateral Movement Simulation ไม่ใช่แค่รัน Nessus แล้วเอามาทำกราฟสวยๆ
Cloud Penetration Testing
| ขอบเขต | ช่วงราคา (THB) | ระยะเวลา |
|---|---|---|
| Cloud เดียว (AWS, Azure หรือ GCP) | ฿250,000 – ฿500,000 | 8–12 วัน |
| Multi-cloud หรือ Hybrid Environment | ฿500,000 – ฿1,000,000 | 15–25 วัน |
ทำไมราคาถึงขยับ: Cloud Test ต้องครอบคลุม IAM Misconfiguration, Storage Exposure (S3 Buckets, Blob Containers), Container/Kubernetes Escape Path และ Serverless Function Abuse งานแบบนี้ต้องใช้ผู้เชี่ยวชาญที่มีประสบการณ์ Cloud โดยเฉพาะ ไม่ใช่แค่ Network Tester ทั่วไป
Smart Contract Audit
| ขอบเขต | ช่วงราคา (THB) | ระยะเวลา |
|---|---|---|
| Contract เดียว (< 500 SLOC) | ฿200,000 – ฿400,000 | 5–10 วัน |
| Protocol Audit (หลาย contracts, DeFi) | ฿500,000 – ฿1,500,000 | 15–30 วัน |
| Full Platform (exchange + contracts + API) | ฿1,000,000 – ฿3,000,000 | 30–60 วัน |
หมายเหตุ กลต.: ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลที่อยู่ภายใต้ กลต. ต้องผ่าน Security Assessment รวมถึง Smart Contract Audit ก่อนจะได้ใบอนุญาต
Red Teaming / Adversary Simulation
| ขอบเขต | ช่วงราคา (THB) | ระยะเวลา |
|---|---|---|
| Targeted (วัตถุประสงค์เฉพาะ, scope จำกัด) | ฿500,000 – ฿1,000,000 | 2–4 สัปดาห์ |
| Full-scope (คน + กระบวนการ + เทคโนโลยี) | ฿1,000,000 – ฿3,000,000 | 4–8 สัปดาห์ |
| BOT iPentest (intelligence-led, ธนาคาร D-SIB) | ฿1,500,000 – ฿5,000,000+ | 6–12 สัปดาห์ |
iPentest ต่างจาก Pentest ทั่วไปอย่างไร: กรอบ iPentest ของ ธปท. ต้องรวบรวม Threat Intelligence, จัด Red Team vs. Blue Team Exercise และออกรายงานระดับ Board ถือว่าต่างจาก Pentest ทั่วไปโดยพื้นฐาน ราคาก็สะท้อนความซับซ้อนตรงนี้
อะไรทำให้ราคาสูงขึ้น (หรือต่ำลง)
ปัจจัยที่ทำให้ราคาสูงขึ้น
- รายงานตาม compliance เฉพาะ: ธปท., PCI DSS, ISO 27001 แต่ละมาตรฐานมีรูปแบบหลักฐาน, Control Mapping และ Remediation Verification ที่ต่างกัน ต้องใช้เวลาจัดทำเพิ่ม
- จำนวน role/สภาพแวดล้อม: ทดสอบ 5 user roles ทั้ง staging และ production กินเวลามากกว่าทดสอบ role เดียวใน staging ราว 3 เท่า
- เข้าถึง source code (Gray-box/White-box): ช่วยให้ผลการทดสอบดีขึ้น แต่การ review code ควบคู่กับ runtime testing ต้องใช้ทักษะเพิ่ม
- ต้องทดสอบ on-site: Internal Network Test หรือระบบ air-gapped ต้องไปทดสอบหน้างาน มีค่า logistics เพิ่ม
- กรอบเวลาเร่งด่วน: deadline compliance หรือ go-live ที่จี้เข้ามา ต้องบีบตารางทดสอบและดึงทีมใหญ่ขึ้นมาช่วย
ปัจจัยที่ช่วยลดราคา
- scope ที่ชัดเจน: เตรียมรายการ asset และเอกสาร API ให้ครบ ช่วยลดเวลา discovery ได้มาก
- สัญญาแบบ retainer รายปี: รวมหลาย engagement (VA รายไตรมาส + Pentest รายปี) มักได้ส่วนลด 10–20%
- เริ่มทดสอบเป็นขั้นตอน: รัน Vulnerability Assessment ก่อนเพื่อจัดการปัญหาที่ชัดเจน แล้วค่อยลงทุนกับ Deep Pentest ทีหลัง
- Retest รวมอยู่ใน engagement แรก: รวม Verification Retest 1 รอบในราคาเดิมคุ้มกว่า scope แยกทีหลัง
วิธีประเมิน Proposal ของผู้ให้บริการ Pentest
Proposal แต่ละใบไม่เหมือนกัน ก่อนเซ็นสัญญา ลองเช็คจุดเหล่านี้ก่อน
สัญญาณเตือน (Red Flags)
- ราคาต่ำกว่า ฿100,000 สำหรับงานที่เกินกว่าสแกนธรรมดา มีโอกาสสูงที่คุณจะได้แค่ output จากเครื่องมืออัตโนมัติ ไม่ใช่การทดสอบโดยคน
- ระยะเวลาคงที่ไม่ว่า scope จะเป็นอะไร "5 วันสำหรับ web app ทุกแบบ" แปลว่าไม่ได้ scope งานจริง
- ไม่ระบุ methodology ถ้า proposal ไม่อ้างอิง OWASP, PTES หรือ OSSTMM สงสัยไว้ก่อนว่าอาจไม่ได้ทดสอบอย่างเป็นระบบ
สัญญาณที่ดี (Green Flags)
- scope ชัดเจน: ระบุ endpoint, role, สภาพแวดล้อม และข้อยกเว้นครบถ้วน
- ระบุ methodology: PTES, OWASP WSTG/MASTG หรือเทียบเท่า พร้อมอธิบาย testing phase ชัดเจน
- Remediation Support: ไม่ใช่แค่ส่งรายงานจบ แต่ให้คำปรึกษา developer และแนะนำวิธีแก้ที่ใช้งานได้จริง
- Compliance Mapping: ถ้าต้องรายงานตาม ธปท./PDPA/PCI ต้อง map findings เข้ากับข้อกำหนดให้ชัด
- ข้อมูลทีมทดสอบ: certification เช่น OSCP, OSWE, eWPT หรือ eMAPT บ่งบอกว่าทีมทดสอบได้จริง ไม่ใช่แค่รู้ทฤษฎี
Compliance-Driven Testing: ควรตั้งงบเท่าไหร่
หลายองค์กรในไทยต้องทำ Penetration Testing ไม่ใช่เพราะอยากทำ แต่เพราะกฎหมายบังคับ แต่ละกรอบกำกับดูแลมีข้อกำหนดต่างกัน:
| กฎระเบียบ | ข้อกำหนดการทดสอบ | ผลต่องบประมาณโดยประมาณ |
|---|---|---|
| ธปท. | Pentest ประจำปี + iPentest สำหรับ D-SIB | ฿500K – ฿5M+ ขึ้นอยู่กับขนาดสถาบัน |
| PDPA (มาตรา 37) | "มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม" — Pentest ช่วยพิสูจน์ได้ | ฿150K – ฿600K สำหรับระบบที่ประมวลผลข้อมูล |
| กลต. | Security Assessment ก่อนได้ใบอนุญาต + Smart Contract Audit | ฿500K – ฿3M สำหรับผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล |
| คปภ. | IT Risk Management รวมการทดสอบความปลอดภัย | ฿300K – ฿1M สำหรับบริษัทประกัน |
| PCI DSS (Req. 11.4) | Pentest ประจำปี + ASV scan รายไตรมาส | ฿300K – ฿800K สำหรับสภาพแวดล้อมที่จัดการข้อมูลบัตร |
| ISO 27001 (A.8.8) | การประเมิน Technical Vulnerability Management | ฿150K – ฿500K ต่อรอบ |
วิธีใช้งบให้คุ้มค่าที่สุด
-
อย่าเลือกแค่ถูกที่สุด สแกน ฿100K ที่พลาดช่องโหว่สำคัญ สุดท้ายแพงกว่าทดสอบ ฿400K ที่เจอปัญหาก่อนโจร ค่าเสียหายเฉลี่ยจาก Data Breach ทั่วโลกอยู่ที่ $4.88M (IBM 2024)
-
ลงทุนกับ Remediation ไม่ใช่แค่รายงาน รายงานที่เก็บไว้ในลิ้นชักไม่ได้ช่วยปกป้องอะไร ดูให้แน่ใจว่าผู้ให้บริการมี Developer Consultation และ Verification Retest ด้วย
-
รวมแพ็คเกจและวางแผนล่วงหน้า โปรแกรมรายปีที่รวม Vulnerability Assessment, Penetration Testing และ Compliance Review คุ้มกว่าจ้างแบบ ad-hoc ทุกครั้ง
-
เลือกความลึกตามความเสี่ยง ไม่ใช่ทุกระบบต้องทำ Red Team เต็มรูปแบบ ใช้ Vulnerability Assessment สำหรับ asset ที่เสี่ยงต่ำ แล้วเก็บ Deep Pentest ไว้สำหรับระบบที่จัดการข้อมูลสำคัญหรือธุรกรรมการเงิน
-
ถามเรื่องทีม ไม่ใช่แค่ชื่อบริษัท คุณภาพของ Pentest ขึ้นอยู่กับคนที่ลงมือทดสอบจริง ถามว่าใครจะเป็นคนทดสอบ มี certification อะไร และตอบคำถาม remediation ได้ไหม
สรุป: ตารางราคาอ้างอิงฉบับย่อ
| บริการ | ช่วงราคา (THB) | เหมาะกับ |
|---|---|---|
| Web App Pentest | ฿150K – ฿1.2M | SaaS, e-commerce, banking portals |
| Mobile App Pentest | ฿200K – ฿1.2M | แอปธนาคาร, fintech, consumer apps |
| Network Pentest | ฿150K – ฿700K | โครงสร้างพื้นฐานองค์กร, data centers |
| Cloud Pentest | ฿250K – ฿1M | สภาพแวดล้อม AWS/Azure/GCP |
| Smart Contract Audit | ฿200K – ฿3M | DeFi protocols, digital asset platforms |
| Red Team / iPentest | ฿500K – ฿5M+ | ธนาคาร, โครงสร้างพื้นฐานสำคัญ |
| Vulnerability Assessment | ฿80K – ฿250K | Baseline security, compliance ประจำปี |
ราคาในคู่มือนี้อ้างอิงตลาดไทยปี 2569 ราคาจริงจะต่างกันตามขอบเขต ความซับซ้อน และผู้ให้บริการ อยากได้ใบเสนอราคาที่ตรงกับระบบและข้อกำหนด compliance ของคุณ ติดต่อ Reconix เพื่อคุย scope ได้เลย
แหล่งอ้างอิงกฎระเบียบและมาตรฐาน
- แนวปฏิบัติ ธปท. ด้านการบริหารความเสี่ยงเทคโนโลยีสารสนเทศ (FPG 21/2562)
- ประกาศ ธปท. ที่ 4/2568 - ความปลอดภัย Mobile Banking (PDF)
- พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
- พ.ร.ก. การประกอบธุรกิจสินทรัพย์ดิจิทัล พ.ศ. 2561
- ประกาศ คปภ. ด้านการบริหารความเสี่ยง IT พ.ศ. 2563
- PCI DSS v4.0.1 Document Library
- ISO/IEC 27001:2022
- IBM Cost of a Data Breach Report 2024
- OWASP Web Security Testing Guide (WSTG)
- Penetration Testing Execution Standard (PTES)
บริการที่เกี่ยวข้องจาก Reconix
- Penetration Testing — บริการทดสอบเจาะระบบแบบครบวงจร ครอบคลุม Web, Mobile, Network และ Cloud
- Web Application Penetration Testing — ทดสอบเว็บแอปพลิเคชันและ API ตามมาตรฐาน OWASP
- Mobile Application Penetration Testing — ประเมินความปลอดภัยแอปมือถือ iOS และ Android
- Network Penetration Testing — ทดสอบเครือข่ายภายในและภายนอก รวมถึง Active Directory
- Cloud Penetration Testing — ประเมินความปลอดภัยระบบคลาวด์ AWS, Azure และ GCP
- Vulnerability Assessment — สแกนช่องโหว่อัตโนมัติพร้อมการตรวจสอบด้วยผู้เชี่ยวชาญ