Reconix LogoReconix
กลับไปยังหน้าบล็อก

VAPT คืออะไร? ทำความเข้าใจ Vulnerability Assessment and Penetration Testing

Reconix Team
VAPTVulnerability AssessmentPenetration TestingCybersecurity

ถ้าคุณเคยค้นหาคำว่า "VAPT คืออะไร" หรือ "Vulnerability Assessment and Penetration Testing" แสดงว่าคุณมาถูกที่แล้ว VAPT เป็นคำที่ใช้กันแพร่หลายในวงการ cybersecurity โดยเฉพาะในเอเชียตะวันออกเฉียงใต้ และเป็นกระบวนการหลักที่องค์กรควรรู้จักเพื่อรับมือกับภัยคุกคามทางไซเบอร์

บทความนี้จะพาคุณไปทำความเข้าใจ VAPT ตั้งแต่ความหมาย วิธีการทำงาน ขั้นตอนทั้งหมด ประเภทต่างๆ ไปจนถึงข้อกำหนดกฎหมายไทยที่เกี่ยวข้อง

VAPT คืออะไร?

VAPT ย่อมาจาก Vulnerability Assessment and Penetration Testing เป็นแนวทางการทดสอบความปลอดภัยที่รวมสองกระบวนการเข้าด้วยกัน:

  • Vulnerability Assessment (VA) หรือ การประเมินช่องโหว่: กระบวนการค้นหาและจัดลำดับความสำคัญของช่องโหว่ที่รู้จักในระบบ แอปพลิเคชัน และเครือข่าย โดยใช้เครื่องมือสแกนอัตโนมัติร่วมกับการตรวจสอบด้วยผู้เชี่ยวชาญ
  • Penetration Testing (PT) หรือ การทดสอบเจาะระบบ: กระบวนการจำลองการโจมตีจริงโดยผู้เชี่ยวชาญด้านความปลอดภัย เพื่อพิสูจน์ว่าช่องโหว่สามารถถูก exploit ได้จริงหรือไม่ และผลกระทบต่อธุรกิจเป็นอย่างไร

พูดง่ายๆ คือทำแค่อย่างใดอย่างหนึ่งไม่พอ VA ให้ภาพกว้างว่ามีช่องโหว่อะไรบ้าง ส่วน PT ให้ความลึกว่าช่องโหว่เหล่านั้นสร้างความเสียหายได้จริงแค่ไหน รวมทั้งสองเข้าด้วยกันจึงได้ผลลัพธ์ที่ครบถ้วนที่สุด

ทำไม "VAPT" จึงนิยมใช้ในเอเชียตะวันออกเฉียงใต้

ในตลาดตะวันตก VA และ PT มักแยกเป็นบริการคนละตัว แต่ในเอเชียตะวันออกเฉียงใต้ โดยเฉพาะไทย อินเดีย สิงคโปร์ และมาเลเซีย คำว่า "VAPT" กลายเป็นคำมาตรฐานไปแล้ว เหตุผลหลักคือ:

  1. หน่วยงานกำกับดูแลกำหนดไว้คู่กัน: หน่วยงานอย่าง ธปท. และ สกมช. กำหนดให้ทำทั้งการสแกนช่องโหว่และการทดสอบเจาะระบบควบคู่กัน องค์กรจึงรวมทั้งสองเข้าด้วยกันเป็นเรื่องปกติ
  2. จัดซื้อจัดจ้างง่ายกว่า: เวลาออก RFP แค่ระบุว่าต้องการ "VAPT" ก็ได้ทั้งการสแกนอัตโนมัติและการทดสอบโดยผู้เชี่ยวชาญจากผู้ให้บริการเดียว ไม่ต้องแยกจัดซื้อ
  3. ดูภาพรวมได้ครบ: ทีมรักษาความปลอดภัยที่มีประสบการณ์รู้ดีว่า สแกนช่องโหว่อย่างเดียวโดยไม่มีผู้เชี่ยวชาญตรวจสอบก็ได้ประโยชน์จำกัด และทดสอบเจาะระบบโดยไม่สแกนก่อนก็จะพลาดภาพรวม

Vulnerability Assessment (VA) อธิบายแบบละเอียด

Vulnerability Assessment คือการค้นหาและจำแนกจุดอ่อนด้านความปลอดภัยในโครงสร้างพื้นฐาน IT แอปพลิเคชัน และการตั้งค่าต่างๆ ขององค์กร

เครื่องมือสแกนอัตโนมัติ

VA ใช้เครื่องมือสแกนอัตโนมัติเป็นหลัก เครื่องมือเหล่านี้จะเปรียบเทียบระบบของคุณกับฐานข้อมูลช่องโหว่ที่รู้จัก ตรวจสอบ network services ตรวจค่าตั้งระบบ เช็กเวอร์ชันซอฟต์แวร์กับ CVE ที่เปิดเผย และระบุปัญหาด้านความปลอดภัย

เครื่องมือที่ใช้กันทั่วไป:

  • สแกนเครือข่าย: Nessus, Qualys, OpenVAS
  • สแกนเว็บแอปพลิเคชัน: Burp Suite, Acunetix, Nikto
  • ตรวจสอบการตั้งค่า: CIS benchmarks, Cloud Security Posture Management (CSPM)

ขอบเขตและความครอบคลุม

VA ที่ทำอย่างครบถ้วนจะครอบคลุมระบบทั้งหมด:

  • โครงสร้างพื้นฐานเครือข่าย: เซิร์ฟเวอร์ เราเตอร์ สวิตช์ ไฟร์วอลล์ สแกนหา port ที่เปิดอยู่ firmware ที่ล้าสมัย แพตช์ที่ขาด และการตั้งค่าที่อ่อนแอ
  • เว็บแอปพลิเคชัน: ตรวจสอบรูปแบบช่องโหว่ที่รู้จัก ไลบรารีที่ล้าสมัย และ misconfigurations ทั่วไป
  • ระบบคลาวด์: ตรวจสอบ IAM policies, storage permissions, security group rules และความสอดคล้องกับ cloud security benchmarks
  • อุปกรณ์ปลายทาง (Endpoints): ตรวจสอบแพตช์ที่ขาด ซอฟต์แวร์ที่ล้าสมัย และการตั้งค่าที่เบี่ยงเบนไปจากมาตรฐาน

ผลลัพธ์: รายการช่องโหว่ที่จัดลำดับความสำคัญ

ผลลัพธ์หลักของ VA คือรายการช่องโหว่ที่จัดลำดับแล้ว แต่ละรายการจะระบุ:

  • คะแนน CVSS (Common Vulnerability Scoring System) บ่งบอกระดับความรุนแรง
  • รหัส CVE (Common Vulnerabilities and Exposures) ที่เชื่อมโยงกับฐานข้อมูลช่องโหว่สาธารณะ
  • ทรัพย์สินที่ได้รับผลกระทบ และตำแหน่งในโครงสร้างพื้นฐาน
  • คำแนะนำในการแก้ไข เฉพาะเจาะจงสำหรับแต่ละรายการ

ผู้ให้บริการ VA ที่ดีจะไม่ส่ง output จากเครื่องมือสแกนตรงๆ ให้คุณ แต่จะคัดกรอง false positives ออก จัดกลุ่มช่องโหว่ที่เกี่ยวข้อง และให้คำแนะนำการแก้ไขที่เหมาะกับระบบของคุณจริงๆ ไม่ใช่คำแนะนำแบบกว้างๆ

ข้อจำกัดของ Vulnerability Assessment

VA ค้นหาช่องโหว่ที่รู้จักได้ดีในวงกว้าง แต่ก็มีข้อจำกัดที่ต้องเข้าใจ:

  • ไม่ได้ทดสอบ exploit จริง: VA บอกได้ว่าช่องโหว่อาจมีอยู่ แต่ไม่ได้พิสูจน์ว่า exploit ได้จริงในสภาพแวดล้อมของคุณหรือเปล่า
  • มองไม่เห็น business logic flaws: เครื่องมือสแกนไม่เข้าใจกฎทางธุรกิจของแอปพลิเคชัน เลยตรวจไม่พบว่าผู้ใช้สามารถแก้ไขพารามิเตอร์เพื่อเข้าถึงข้อมูลของคนอื่น ข้ามขั้นตอนการชำระเงิน หรือยกระดับสิทธิ์ของตัวเองได้
  • False positives: แม้เครื่องมือดีๆ ก็ยังรายงานผลที่ไม่ตรงอยู่ โดยทั่วไปราว 10-30% ของผลลัพธ์ ถ้าไม่มีผู้เชี่ยวชาญตรวจสอบ ทีมก็จะเสียเวลาไล่ตามปัญหาที่ไม่มีจริง
  • ทำ attack chaining ไม่ได้: เครื่องมือสแกนรายงานแต่ละช่องโหว่แยกกัน มองไม่ออกว่าช่องโหว่ "ระดับกลาง" สามตัวรวมกันแล้วจะกลายเป็นเส้นทางโจมตีระดับวิกฤต
  • ทดสอบ authentication ได้จำกัด: เครื่องมือเช็ก CVE ที่รู้จักได้ แต่ค้นไม่พบว่ากระบวนการรีเซ็ตรหัสผ่านของคุณเปิดช่องให้ยึดบัญชีผ่าน token ที่คาดเดาได้

Penetration Testing (PT) อธิบายแบบละเอียด

Penetration Testing ไปไกลกว่าการสแกน ผู้เชี่ยวชาญด้านความปลอดภัยจะลงมือ exploit ช่องโหว่จริง ร้อยเรียงช่องโหว่หลายตัวเข้าด้วยกัน และจำลองสถานการณ์การโจมตีแบบที่เกิดขึ้นจริง

การทดสอบ exploit โดยผู้เชี่ยวชาญ

ผู้ทดสอบเจาะระบบไม่ได้แค่รันเครื่องมือแล้วรายงานผล แต่จะ:

  • Exploit ช่องโหว่ที่พบ เพื่อพิสูจน์ว่ามีอยู่จริงและวัดผลกระทบ
  • ร้อยเรียง (chain) ช่องโหว่หลายรายการ เข้าด้วยกัน เช่น ใช้ช่องโหว่ information disclosure ร่วมกับ SSRF เพื่อเข้าถึงระบบภายใน
  • ทดสอบ business logic โดยทำความเข้าใจว่าแอปพลิเคชันควรทำงานอย่างไร แล้วหาทาง abuse
  • ทดลองยกระดับสิทธิ์ (privilege escalation) จากผู้ใช้ทั่วไปเป็น admin หรือจากแอปพลิเคชันหนึ่งข้ามไปยังระบบอื่น
  • จำลองพฤติกรรมผู้โจมตีจริง รวมถึงการ reconnaissance, lateral movement และ data exfiltration

วิธีการทดสอบ: OWASP และ PTES

การทดสอบเจาะระบบอย่างมืออาชีพจะยึดตามมาตรฐานสากลที่เป็นที่ยอมรับ:

  • OWASP Web Security Testing Guide (WSTG): มาตรฐานอุตสาหกรรมสำหรับทดสอบเว็บแอปพลิเคชัน ครอบคลุม authentication, authorization, session management, input validation, business logic และอื่นๆ
  • OWASP Mobile Application Security Testing Guide (MASTG): มาตรฐานเทียบเท่าสำหรับทดสอบแอปมือถือทั้ง iOS และ Android
  • Penetration Testing Execution Standard (PTES): กรอบการทำงานที่กำหนดขั้นตอนของการทดสอบเจาะระบบตั้งแต่ต้นจนจบ
  • NIST SP 800-115: แนวทางทางเทคนิคสำหรับการทดสอบและประเมินความปลอดภัยของระบบสารสนเทศ

มาตรฐานเหล่านี้ทำให้ผู้ทดสอบไม่ได้อาศัยแค่สัญชาตญาณ แต่มี checklist และ test cases ที่ครอบคลุมช่องโหว่ทุกประเภท พร้อมเปิดพื้นที่ให้ทดสอบเชิงสร้างสรรค์ได้ด้วย

ผลลัพธ์: หลักฐานการ exploit และการประเมินความเสี่ยง

ผลลัพธ์หลักของ penetration test ได้แก่:

  • หลักฐานการ exploit: ภาพหน้าจอ request/response captures และคำอธิบายทีละขั้นตอนที่พิสูจน์ว่าช่องโหว่ถูก exploit ได้จริง
  • Attack narratives: อธิบายอย่างละเอียดว่าผู้โจมตีจะเคลื่อนตัวในระบบอย่างไร เข้าถึงข้อมูลอะไรได้ และกระทบธุรกิจแค่ไหน
  • การประเมินความเสี่ยง: แต่ละช่องโหว่ไม่ได้ดูแค่คะแนน CVSS แต่ประเมินจากผลกระทบทางธุรกิจจริงในบริบทของคุณ
  • คำแนะนำการแก้ไข: ให้คำแนะนำระดับ code พร้อมตัวอย่าง ไม่ใช่คำแนะนำแบบกว้างๆ

ไปไกลกว่าการสแกน

จุดต่างที่สำคัญคือ penetration testing พิสูจน์ว่าอะไร "เป็นไปได้จริง" ไม่ใช่แค่บอกว่าอะไร "อาจมีช่องโหว่" ยกตัวอย่าง VA อาจรายงานว่าเว็บเซิร์ฟเวอร์ใช้ไลบรารีเวอร์ชันเก่า แต่ penetration test จะไปต่อ ตรวจสอบว่าไลบรารีนั้น exploit ได้จริงในการตั้งค่าของคุณหรือเปล่า ผู้โจมตีเข้าถึงข้อมูลอะไรได้ผ่านช่องทางนี้ และ network segmentation หรือ controls อื่นๆ จำกัดความเสียหายได้แค่ไหน

VA และ PT เสริมกันอย่างไร

VA กับ PT ไม่ได้แข่งกัน แต่เสริมกัน ทำหน้าที่คนละอย่างในโปรแกรมรักษาความปลอดภัยที่ครบถ้วน:

มิติ Vulnerability Assessment Penetration Testing
จุดแข็ง ความกว้างและประสิทธิภาพ ความลึกและความแม่นยำ
ขอบเขต ระบบหลายร้อยตัวได้อย่างรวดเร็ว ระบบสำคัญอย่างละเอียดถี่ถ้วน
ผลลัพธ์ รูปแบบช่องโหว่ที่รู้จัก logic flaws, chained attacks, ความสามารถในการ exploit จริง
False positives พบบ่อย (10 ถึง 30%) พบน้อย (ตรวจสอบโดยผู้เชี่ยวชาญแล้ว)
ลักษณะการทำงาน อัตโนมัติเป็นหลัก โดยผู้เชี่ยวชาญเป็นหลัก
ความถี่ รายเดือนหรือรายไตรมาส รายปี + หลังการเปลี่ยนแปลงสำคัญ
ค่าใช้จ่าย ต่ำกว่าต่อระบบ สูงกว่าต่อระบบ

VA ให้แผนที่: แสดงว่ามีจุดอ่อนที่ไหนบ้างในสภาพแวดล้อมทั้งหมด

PT ให้หลักฐาน: พิสูจน์ว่าจุดอ่อนเหล่านั้น รวมถึงจุดอ่อนที่เครื่องมือสแกนมองไม่เห็น exploit ได้จริงและสร้างความเสียหายทางธุรกิจได้จริงหรือไม่

ทำแค่ VA ก็ได้แค่รายการปัญหาที่อาจมี แต่ไม่รู้ว่า exploit ได้จริงไหม ทำแค่ PT กับระบบบางส่วนก็จะเกิดจุดบอดในส่วนที่เหลือ VAPT จึงให้ผลลัพธ์ครบทั้งสองด้าน

ขั้นตอนกระบวนการ VAPT

กระบวนการ VAPT ที่ทำอย่างมืออาชีพแบ่งเป็น 5 ขั้นตอนหลัก:

ขั้นตอนที่ 1: กำหนดขอบเขตและวางแผน (Scoping and Planning)

ก่อนเริ่มทดสอบ ผู้ให้บริการ VAPT และลูกค้าจะร่วมกันกำหนด:

  • ระบบเป้าหมาย: แอปพลิเคชัน เครือข่าย ระบบคลาวด์ และ API ที่อยู่ในขอบเขต
  • แนวทางการทดสอบ: Black box (ไม่มีข้อมูลล่วงหน้า), gray box (มี credentials และเอกสารบางส่วน), หรือ white box (เข้าถึง source code ได้ทั้งหมด)
  • Rules of Engagement: ระบบไหนห้ามทดสอบ เวลาที่อนุญาต ช่องทางติดต่อฉุกเฉิน
  • ข้อกำหนดด้าน compliance: กฎระเบียบที่เกี่ยวข้อง (ธปท., PDPA, PCI DSS, ISO 27001, สกมช.)
  • ระยะเวลาและ milestones: วันเริ่มต้น วันสิ้นสุดการทดสอบ การรายงานระหว่างทาง และการส่งมอบรายงานฉบับสมบูรณ์

ขั้นตอนนี้ช่วยให้ทั้งสองฝ่ายเข้าใจตรงกัน และการทดสอบดำเนินไปอย่างปลอดภัยภายในขอบเขตที่ตกลงกันไว้

ขั้นตอนที่ 2: สแกนช่องโหว่อัตโนมัติ (Automated Vulnerability Scanning)

เริ่มต้นด้วยการสแกนอัตโนมัติทั่วทั้งระบบที่อยู่ในขอบเขต:

  • สแกนเครือข่าย ระบุ port ที่เปิด บริการที่ล้าสมัย แพตช์ที่ขาด และการตั้งค่าที่อ่อนแอ
  • สแกนเว็บแอปพลิเคชัน ตรวจจับรูปแบบช่องโหว่ที่รู้จัก ไลบรารีที่ล้าสมัย และ misconfigurations ทั่วไป
  • ประเมินการตั้งค่าคลาวด์ ตรวจสอบ IAM policies, storage permissions และ security group rules
  • ทดสอบ credentials ตรวจหา default passwords, credentials ที่อ่อนแอ และกลไก authentication ที่เปิดเผย

ผลจากขั้นตอนนี้จะให้ภาพรวมของช่องโหว่ในระบบ และช่วยจัดลำดับว่าส่วนไหนต้องให้ผู้เชี่ยวชาญเข้าไปทดสอบเชิงลึก

ขั้นตอนที่ 3: ทดสอบเจาะระบบโดยผู้เชี่ยวชาญ (Manual Penetration Testing)

จากผลสแกนในขั้นตอนก่อนหน้า ผู้ทดสอบจะเข้าสู่การทดสอบเชิงลึก:

  • ตรวจสอบผลจากเครื่องมือสแกน: ยืนยันว่าช่องโหว่ที่รายงานมีอยู่จริง และคัดกรอง false positives ออก
  • ทดสอบ business logic: วิเคราะห์ขั้นตอนการทำงานของแอปพลิเคชันเพื่อหาจุดที่อาจถูก abuse ในแบบที่เครื่องมือสแกนตรวจไม่พบ
  • ทดสอบ authentication และ authorization: พยายาม bypass กลไกล็อกอิน ยกระดับสิทธิ์ และเข้าถึงข้อมูลของผู้ใช้คนอื่น
  • ร้อยเรียงช่องโหว่ (attack chaining): รวมช่องโหว่ระดับต่ำหลายรายการเพื่อสาธิตเส้นทางโจมตีระดับวิกฤต
  • Exploit: ใช้ประโยชน์จากช่องโหว่ที่ยืนยันแล้วเพื่อวัดผลกระทบจริง

สำคัญ: ถ้าทดสอบกับ Reconix ช่องโหว่ระดับ Critical ที่พบระหว่างทดสอบจะถูกแจ้งให้ลูกค้าทราบ ภายในวันเดียวกัน ไม่รอจนถึงวันส่งรายงาน

ขั้นตอนที่ 4: วิเคราะห์และจัดทำรายงาน (Analysis and Reporting)

เมื่อทดสอบเสร็จ ผู้ให้บริการ VAPT จะจัดทำรายงานฉบับสมบูรณ์ที่ประกอบด้วย:

  • Executive Summary: สรุปผลเป็นภาษาที่ผู้บริหารเข้าใจได้ ระดับความเสี่ยงภาพรวม และคำแนะนำหลักสำหรับผู้บริหารและคณะกรรมการ
  • Technical Report: รายละเอียดของทุกช่องโหว่ รวมถึง CVSS scores, CWE/CVE mapping, ขั้นตอนการ exploit, ภาพหน้าจอ และหลักฐาน request/response
  • Remediation Roadmap: แผนแก้ไขที่จัดลำดับตามความเสี่ยงและความยากง่าย พร้อมตัวอย่างระดับ code

ขั้นตอนที่ 5: สนับสนุนการแก้ไขและทดสอบซ้ำ (Remediation Support and Retesting)

VAPT ที่ดีไม่จบแค่ส่งรายงาน:

  • ให้คำปรึกษาการแก้ไข: ทีมทดสอบทำงานร่วมกับนักพัฒนาและทีม IT อธิบายช่องโหว่และแนะนำวิธีแก้ไข ทั้งตัวอย่างระดับ code และคำแนะนำด้านสถาปัตยกรรม
  • จัดลำดับความสำคัญ: ไม่จำเป็นต้องแก้ทุกช่องโหว่พร้อมกัน ผู้ให้บริการช่วยจัดลำดับตามความเสี่ยงทางธุรกิจจริง ไม่ใช่ดูแค่คะแนน CVSS
  • ทดสอบซ้ำ (Retesting): หลังจากแก้ไขแล้ว ทีมทดสอบจะทดสอบซ้ำเพื่อยืนยันว่าช่องโหว่ได้รับการแก้ไขเรียบร้อย
  • เอกสาร before/after: ผลการทดสอบซ้ำถูกบันทึกเป็นหลักฐานสำหรับผู้ตรวจสอบและหน่วยงานกำกับดูแล

ประเภทของ VAPT

VAPT นำไปใช้กับ technology stack ได้หลายระดับ ประเภทที่พบบ่อยมีดังนี้:

Web Application VAPT

เน้นทดสอบเว็บแอปพลิเคชัน พอร์ทัล และ web services:

  • ทดสอบตามหมวดหมู่ OWASP Top 10 (injection, broken access control, security misconfiguration และอื่นๆ)
  • ทดสอบ business logic เฉพาะกับ workflow ของแอปพลิเคชัน
  • ทดสอบ API endpoints สำหรับ authentication, authorization และ data exposure
  • ทดสอบ session management, CSRF และ input validation

เหมาะกับ: เว็บแอปพลิเคชันที่ลูกค้าใช้งาน, ระบบภายในองค์กร หรือ API ที่ประมวลผลข้อมูลสำคัญ (ดูรายละเอียด บริการทดสอบเจาะระบบเว็บแอปพลิเคชัน)

Network VAPT (ภายในและภายนอก)

ทดสอบโครงสร้างพื้นฐานเครือข่ายทั้งจากมุมมองภายนอกและภายใน:

  • Network VAPT ภายนอก (External): ทดสอบโครงสร้างพื้นฐานที่เชื่อมต่ออินเทอร์เน็ต เสมือนเป็นผู้โจมตีจากภายนอก ครอบคลุม firewalls, VPN endpoints, mail servers และบริการที่เปิดสาธารณะ
  • Network VAPT ภายใน (Internal): จำลองสถานการณ์ที่ผู้โจมตีเข้าถึงเครือข่ายภายในได้แล้ว ทดสอบ lateral movement, privilege escalation, Active Directory attack paths และดูว่า network segmentation กันได้จริงแค่ไหน

เหมาะกับ: องค์กรที่มีโครงสร้างพื้นฐานเครือข่ายขนาดใหญ่ โดยเฉพาะที่ใช้ Active Directory หรือมีเครือข่ายที่แบ่ง segment

Mobile Application VAPT

ทดสอบความปลอดภัยของแอปพลิเคชันมือถือทั้ง iOS และ Android:

  • ความปลอดภัยในการจัดเก็บข้อมูล (encryption, keychain/keystore usage)
  • ความปลอดภัยในการสื่อสารผ่านเครือข่าย (certificate pinning, TLS configuration)
  • การป้องกันระดับ binary (code obfuscation, anti-tampering, root/jailbreak detection)
  • ความปลอดภัยของ API จากมุมมอง mobile client
  • ทดสอบตาม OWASP Mobile Application Security Testing Guide (MASTG)

เหมาะกับ: องค์กรที่มีแอป mobile banking, แอปลูกค้า หรือเครื่องมือภายในบนมือถือที่จัดการข้อมูลสำคัญ โดยเฉพาะสถาบันการเงินที่ต้องปฏิบัติตามเกณฑ์ ธปท.

Cloud Infrastructure VAPT

ประเมินความปลอดภัยของระบบคลาวด์ ไม่ว่าจะเป็น AWS, Azure หรือ Google Cloud Platform:

  • ตรวจสอบ IAM policy ว่ามี roles ที่ได้สิทธิ์มากเกินไปหรือ misconfigurations หรือไม่
  • ทดสอบ storage bucket และ blob container ที่เปิดเผย
  • ประเมินความปลอดภัยของ container และ Kubernetes
  • ตรวจสอบความปลอดภัยของ serverless functions
  • เส้นทางโจมตีเฉพาะคลาวด์ (metadata service abuse, cross-account access)

เหมาะกับ: องค์กรที่รัน workloads บนคลาวด์ โดยเฉพาะที่มี multi-cloud หรือ hybrid environments

API VAPT

ทดสอบ API โดยเฉพาะ (REST, GraphQL, SOAP, gRPC):

  • ทดสอบ authentication และ authorization ในทุก API endpoint
  • ทดสอบ rate limiting และการป้องกันการ abuse
  • ตรวจสอบ data exposure ผ่าน API responses
  • ทดสอบ input validation และ injection
  • ทดสอบ business logic ในระดับ API

เหมาะกับ: องค์กรที่เปิด API ให้พาร์ทเนอร์ mobile clients หรือระบบภายนอก โดยเฉพาะ fintech, e-commerce และแพลตฟอร์ม SaaS

องค์กรของคุณต้องทำ VAPT เมื่อไหร่?

สถานการณ์เหล่านี้บ่งบอกว่าถึงเวลาที่องค์กรของคุณควรทำ VAPT:

ข้อกำหนดด้าน Compliance

หากองค์กรของคุณอยู่ภายใต้กฎระเบียบเหล่านี้ VAPT เป็นสิ่งที่ต้องทำหรือแนะนำให้ทำอย่างยิ่ง:

  • เกณฑ์ ธปท. ด้านการบริหารความเสี่ยงเทคโนโลยีสารสนเทศ (สถาบันการเงิน)
  • PDPA มาตรา 37 (องค์กรที่ประมวลผลข้อมูลส่วนบุคคล)
  • PCI DSS (องค์กรที่จัดการข้อมูลบัตรชำระเงิน)
  • ISO 27001 (องค์กรที่ต้องการหรือรักษาการรับรอง)
  • ข้อกำหนด CII ของ สกมช. (องค์กรที่ถูกกำหนดเป็นโครงสร้างพื้นฐานสำคัญทางสารสนเทศ)

สถานการณ์ทางธุรกิจ

นอกจากเรื่อง compliance แล้ว สถานการณ์เหล่านี้ก็ควรทำ VAPT เช่นกัน:

  • ก่อนเปิดตัวแอปพลิเคชันใหม่หรือฟีเจอร์สำคัญ สู่ production
  • หลังการควบรวมกิจการ หรือเปลี่ยนแปลงโครงสร้างพื้นฐานครั้งใหญ่ เพื่อประเมินสภาพแวดล้อมรวม
  • หลังเกิดเหตุการณ์ด้านความปลอดภัย เพื่อยืนยันว่าสาเหตุได้รับการแก้ไขจริง
  • เมื่อเพิ่มผู้ให้บริการ (vendor) รายใหม่ ที่จะเข้าถึงระบบหรือข้อมูลของคุณ
  • เป็นประจำทุกปี เพื่อให้เห็นสถานะความปลอดภัยอย่างต่อเนื่อง

ตัวบ่งชี้ความเสี่ยง

ยิ่งควรทำ VAPT หากองค์กรของคุณ:

  • ประมวลผลธุรกรรมทางการเงินหรือข้อมูลส่วนบุคคลจำนวนมาก
  • มีเว็บแอปพลิเคชันหรือแอปมือถือที่ให้ลูกค้าใช้งาน
  • ไม่เคยทำการทดสอบความปลอดภัยเลยในรอบ 12 เดือนที่ผ่านมา
  • เพิ่งย้ายระบบไปยังโครงสร้างพื้นฐานคลาวด์
  • กำลังขยาย API ecosystem หรือการเชื่อมต่อกับพาร์ทเนอร์

ข้อกำหนดกฎหมายไทยที่เกี่ยวข้องกับ VAPT

ประเทศไทยมีกฎระเบียบหลายฉบับที่กำหนดหรือแนะนำให้ทำ VAPT เข้าใจข้อกำหนดเหล่านี้จะช่วยให้วางแผนโปรแกรมทดสอบได้ตรงจุด

ธนาคารแห่งประเทศไทย (ธปท.)

เกณฑ์ ธปท. ด้านการบริหารความเสี่ยงเทคโนโลยีสารสนเทศ (FPG 21/2562) กำหนดให้สถาบันการเงินต้อง:

  • ทดสอบเจาะระบบ (penetration testing) อย่างน้อยปีละ 1 ครั้ง โดยผู้ทดสอบอิสระจากภายนอก (Section 2.6.7)
  • ทำ vulnerability assessment เป็นประจำ เป็นส่วนหนึ่งของการบริหารจัดการช่องโหว่
  • ครอบคลุมระบบสำคัญทั้งหมด รวมถึง web applications, mobile banking, APIs, network infrastructure และ cloud environments
  • สำหรับธนาคาร D-SIB: ต้องทำ intelligence-led penetration testing (iPentest) ตามกรอบ TB-CERT

สรุปคือ: ต้องทำทั้ง VA และ PT โดย VA ใช้สำหรับเฝ้าระวังอย่างต่อเนื่อง ส่วน PT เป็นหลักฐานการปฏิบัติตามข้อกำหนดประจำปี

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)

PDPA มาตรา 37 กำหนดให้องค์กรที่ประมวลผลข้อมูลส่วนบุคคลต้องมี "มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม" เพื่อป้องกันการเข้าถึง ใช้ เปิดเผย แก้ไข หรือทำลายข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต

  • VAPT ช่วยพิสูจน์ว่ามาตรการรักษาความปลอดภัย "ทำงานได้จริง" ไม่ใช่แค่มีอยู่บนกระดาษ
  • หากเกิดเหตุข้อมูลรั่วไหล คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (คปส.) จะพิจารณาว่ามาตรการ "เหมาะสม" หรือไม่ รายงาน VAPT ฉบับล่าสุดเป็นหลักฐานที่มีน้ำหนักกว่ารายงาน VA scan มาก
  • ค่าปรับสูงสุด: 5 ล้านบาทต่อการละเมิด (มาตรา 84) บวกค่าเสียหายทางแพ่งที่ไม่จำกัดเพดาน
  • การแจ้งเหตุละเมิด: ต้องแจ้ง คปส. ภายใน 72 ชั่วโมง

สรุปคือ: VAPT เป็นหลักฐานมาตรฐานในการพิสูจน์ว่าองค์กรมีมาตรการรักษาความปลอดภัยที่เหมาะสม

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)

พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และข้อกำหนดของ สกมช. กำหนดให้:

  • องค์กรที่ถูกกำหนดเป็น โครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ต้องดูแลมาตรฐานความปลอดภัย ครอบคลุมทั้งการจัดการช่องโหว่และการทดสอบเจาะระบบ
  • ภาคส่วนที่เข้าข่าย CII ได้แก่ การเงิน พลังงาน สาธารณสุข ขนส่ง และภาครัฐ
  • การประเมินความปลอดภัยเป็นประจำเป็นส่วนหนึ่งของข้อกำหนด

สรุปคือ: องค์กร CII ต้องรวม VAPT ไว้ในโปรแกรมรักษาความปลอดภัย

กรอบกฎระเบียบอื่นๆ

  • PCI DSS v4.0.1: กำหนดให้สแกนช่องโหว่รายไตรมาสโดย ASV (Req. 11.3) และทดสอบเจาะระบบประจำปี (Req. 11.4) สำหรับสภาพแวดล้อมที่จัดการข้อมูลบัตรชำระเงิน
  • ISO 27001 (A.8.8): กำหนดให้จัดการช่องโหว่ทางเทคนิค VAPT ตอบโจทย์ทั้งการระบุช่องโหว่และการตรวจสอบว่า controls ทำงานได้จริง
  • สำนักงาน ก.ล.ต.: ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลต้องผ่านการประเมินความปลอดภัย รวมถึง penetration testing ก่อนจะได้รับและรักษาใบอนุญาต

วิธีเลือกผู้ให้บริการ VAPT

เลือกผู้ให้บริการ VAPT ถูกคน ผลลัพธ์ก็ต่างกันมาก สิ่งที่ควรพิจารณามีดังนี้:

ความเชี่ยวชาญทางเทคนิค

  • ใบรับรองวิชาชีพ: มองหาทีมที่มีใบรับรองแบบ hands-on อย่าง OSCP, OSWE, eWPT, eMAPT ใบรับรองพวกนี้ต้องสอบปฏิบัติจริง ไม่ใช่แค่ตอบข้อสอบทฤษฎี
  • วิธีการทดสอบที่เป็นมาตรฐาน: ผู้ให้บริการควรยึดตามมาตรฐานที่เป็นที่ยอมรับ (OWASP WSTG, OWASP MASTG, PTES) ลองถามให้อธิบายวิธีการดู ถ้าตอบไม่ชัด ให้หาที่อื่น
  • ประสบการณ์ในอุตสาหกรรมที่ตรง: เคยทดสอบระบบธนาคารก็จะเข้าใจ business logic ทางการเงิน เคยทดสอบระบบสาธารณสุขก็จะเข้าใจ workflow ข้อมูลผู้ป่วย ประสบการณ์ในอุตสาหกรรมที่เกี่ยวข้องช่วยได้มาก

คุณภาพรายงาน

  • ตัวอย่างรายงาน: ผู้ให้บริการที่มีประสบการณ์ควรมีรายงานตัวอย่าง (ที่ปิดบังข้อมูลลูกค้าแล้ว) ให้ดูเพื่อประเมินความลึกและความชัดเจน
  • ส่วน Executive และ Technical: รายงานต้องตอบโจทย์ทั้งผู้บริหาร (สรุปความเสี่ยงชัดเจน) และทีมเทคนิค (ขั้นตอน exploit ละเอียดพร้อมคำแนะนำแก้ไขระดับ code)

การสนับสนุนหลังการทดสอบ

  • ให้คำปรึกษาการแก้ไข: ผู้ให้บริการที่ดีไม่ใช่แค่ส่ง PDF แล้วหายไป แต่ต้องพร้อมทำงานร่วมกับทีมของคุณเพื่ออธิบายช่องโหว่และแนะนำวิธีแก้ไข
  • Retesting รวมอยู่ในราคา: การทดสอบซ้ำเพื่อยืนยันว่าช่องโหว่ระดับ Critical และ High ได้รับการแก้ไขแล้ว ควรรวมอยู่ในขอบเขตงาน
  • พร้อมทำงานร่วมกับนักพัฒนา: ผู้ให้บริการควรเข้าร่วมประชุมกับทีมพัฒนาเพื่อหารือแนวทางแก้ไขทางเทคนิคได้

สัญญาณเตือน (Red Flags)

  • ราคาถูกผิดปกติ: ถ้า VAPT ราคาเท่า VA scan ธรรมดา คุณอาจได้แค่ VA scan ที่ติดป้าย VAPT
  • เสนอราคาโดยไม่ถามรายละเอียดระบบ: ตั้งราคาตายตัวโดยไม่เข้าใจระบบ ความซับซ้อน และข้อกำหนดของคุณ มักหมายถึงแนวทาง one-size-fits-all
  • ไม่มีตัวอย่างรายงาน: ผู้ให้บริการที่มีประสบการณ์ควรมีรายงานตัวอย่าง (ปิดบังข้อมูลลูกค้าแล้ว) ให้ดูได้
  • ใช้แค่เครื่องมืออัตโนมัติ: ถ้าอธิบายกระบวนการว่าเป็นแบบอัตโนมัติทั้งหมด นั่นคือ VA ไม่ใช่ VAPT
  • ไม่มีการสนับสนุนหลังส่งรายงาน: ทดสอบแล้วไม่ช่วยแก้ไข ก็ได้แค่เอกสารวางอยู่บนชั้น คุณค่าที่แท้จริงอยู่ที่การแก้ไขปัญหา

สรุปประเด็นสำคัญ

  1. VAPT รวมความกว้างและความลึก: VA สแกนช่องโหว่ที่รู้จักได้อย่างมีประสิทธิภาพ PT ตรวจสอบเชิงลึกว่า exploit ได้จริงไหมและกระทบธุรกิจแค่ไหน รวมกันจึงเป็นการประเมินความปลอดภัยที่ครบถ้วน

  2. ทั้งสองส่วนขาดกันไม่ได้: VA อย่างเดียวจะพลาด business logic flaws, chained attacks และปัญหา access control ส่วน PT อย่างเดียวก็ทำให้เกิดจุดบอดในระบบที่ไม่ได้ทดสอบเชิงลึก

  3. ทำตามขั้นตอนที่ชัดเจน: VAPT ที่ดีมี 5 ขั้นตอน ได้แก่ กำหนดขอบเขต สแกนอัตโนมัติ ทดสอบโดยผู้เชี่ยวชาญ รายงาน และสนับสนุนการแก้ไขพร้อมทดสอบซ้ำ

  4. เลือกประเภท VAPT ให้ตรงกับระบบ: Web, network, mobile, cloud และ API VAPT แต่ละประเภทดูแลความเสี่ยงคนละด้าน องค์กรส่วนใหญ่ต้องทำหลายประเภทรวมกัน

  5. กฎหมายไทยกำหนดให้ทำ: ธปท., PDPA, สกมช. และกรอบอื่นๆ ล้วนกำหนดหรือแนะนำอย่างยิ่งให้ทำทั้ง vulnerability assessment และ penetration testing

  6. เลือกผู้ให้บริการตามความเชี่ยวชาญ ไม่ใช่แค่ราคา: ดูที่ใบรับรองแบบ hands-on วิธีการที่เป็นมาตรฐาน คุณภาพรายงาน และการสนับสนุนหลังทดสอบ

พร้อมตรวจสอบความปลอดภัยขององค์กรคุณหรือยัง? ติดต่อ Reconix เพื่อปรึกษาเรื่อง VAPT ที่ออกแบบให้ตรงกับระบบ ข้อกำหนด compliance และความเสี่ยงขององค์กรคุณ

แหล่งอ้างอิง

บริการที่เกี่ยวข้องจาก Reconix

  • Vulnerability Assessment — บริการประเมินช่องโหว่แบบครอบคลุม ค้นหาจุดอ่อนในระบบ เครือข่าย และแอปพลิเคชันขององค์กร
  • Penetration Testing — บริการทดสอบเจาะระบบโดยผู้เชี่ยวชาญ พิสูจน์ว่าช่องโหว่สามารถถูก exploit ได้จริงหรือไม่
  • Web Application Penetration Testing — ทดสอบความปลอดภัยเว็บแอปพลิเคชันตามมาตรฐาน OWASP รวมถึง business logic และ API
  • Network Penetration Testing — ประเมินความปลอดภัยโครงสร้างพื้นฐานเครือข่ายทั้งภายในและภายนอก
บทความ

บทความที่น่าสนใจอื่นๆ

สำรวจบทความอื่นๆ ที่คุณอาจสนใจจากบล็อกของเรา

ข้อกำหนด Smart Contract Audit ของ กลต.: สิ่งที่ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลต้องรู้

5 มีนาคม 2026Reconix Team

ก.ล.ต. กำหนดให้ธุรกิจสินทรัพย์ดิจิทัลต้องผ่าน Smart Contract Audit ก่อนเสนอขาย บทความนี้ครอบคลุมข้อกำหนดภายใต้ พ.ร.ก. สินทรัพย์ดิจิทัล พ.ศ. 2561 ขั้นตอนการ Audit และวิธีเตรียมตัวสำหรับขอใบอนุญาต

อ่านต่อ

ทดสอบเจาะระบบ (Pentest) คืออะไร? ทำไมองค์กรไทยต้องทำและเริ่มต้นอย่างไร

5 มีนาคม 2026Reconix Team

อธิบายการทดสอบเจาะระบบ (Penetration Testing) แบบเข้าใจง่าย ครอบคลุมวิธีการ ประเภทการทดสอบ ข้อกำหนดกฎหมายไทย และสิ่งที่ผู้บริหารควรรู้ก่อนตัดสินใจ

อ่านต่อ

ราคา Pentest ในไทย: ปัจจัยที่กำหนดราคาและงบที่ควรตั้ง (2026)

5 มีนาคม 2026Reconix Team

รวมข้อมูลราคา Penetration Testing ในไทยแบบโปร่งใส ครอบคลุมปัจจัยที่มีผลต่อราคา ช่วงราคาจริงตามประเภทบริการ และวิธีใช้งบประมาณด้านความปลอดภัยให้คุ้มค่าที่สุด

อ่านต่อ
ดูทั้งหมด