ทดสอบเจาะระบบโครงสร้างพื้นฐาน
ผู้โจมตีไม่ได้หยุดอยู่แค่ firewall ของคุณ แต่ใช้มันเป็นเส้นสตาร์ท service ที่เปิดออกมาตัวเดียว host ที่ลืมทิ้งไว้ใน DMZ หรือ credential ที่เอามาใช้ซ้ำเพียงชุดเดียว แทบไม่เคยเป็นจุดจบของเรื่อง แต่เป็นก้าวแรกบนเส้นทางที่พาลึกเข้าไปข้างใน จาก perimeter ไปจนถึง server และ database ที่สำคัญจริง ๆ vulnerability scanner ยื่นรายการ port ที่เปิดอยู่กับ CVE ที่รู้จักให้คุณได้ แต่มันบอกไม่ได้ว่าช่องโหว่ตัวไหนที่ผู้โจมตีเอามาต่อกันจนไปถึงทรัพย์สินสำคัญที่สุดของคุณได้จริง งานทดสอบเจาะระบบโครงสร้างพื้นฐานของเราทำแบบนั้นตรง ๆ เรามอง network ของคุณด้วยสายตาเดียวกับผู้บุกรุกตัวจริง พิสูจน์เส้นทางตั้งแต่ foothold แรกไปจนถึงข้อมูลอ่อนไหว แทนที่จะแค่ไล่ลิสต์ finding แยกเป็นข้อ ๆ
การทดสอบภายนอกและภายใน
การทดสอบโครงสร้างพื้นฐานแยกเป็นสองงาน และการประเมินที่ครบถ้วนมักทำทั้งคู่
External infrastructure pentest โจมตี network ของคุณจากอินเทอร์เน็ต ด้วยมุมมองของผู้โจมตีระยะไกลที่ไม่เคยมีสิทธิ์เข้าถึงมาก่อน เราตรวจทุกอย่างที่คุณเปิดออกมาที่ perimeter — public service, DMZ, remote-access endpoint, อะไรก็ตามที่เข้าถึงได้จากภายนอก — เพื่อหาจุดอ่อนที่จะพาเราไปได้ foothold ข้างใน
Internal infrastructure pentest เริ่มจากภายใน intranet จำลองพนักงานภายในที่มีเจตนาร้าย ผู้รับเหมาที่มีสิทธิ์เข้าถึง network หรือผู้โจมตีที่เจาะผ่าน perimeter เข้ามาแล้ว เช่น จาก laptop ที่โดน phishing และกำลังมองหาทางขยายต่อ จากจุดนั้นเราทดสอบว่าผู้บุกรุกเคลื่อนที่ได้ไกลแค่ไหนเมื่อกำแพงชั้นนอกอยู่ข้างหลังไปแล้ว
เมื่อทำทั้งสองงานควบคู่กัน มันเล่าเรื่องเดียวที่ต่อเนื่องกัน: เจาะ perimeter จากภายนอก ตั้ง foothold แล้วขยายเข้าสู่ network ภายใน — ไปถึง server zone และ database farm โจมตี server สำคัญ และเก็บข้อมูลอ่อนไหวที่ผู้โจมตีต้องการจริง ๆ ผลลัพธ์ไม่ใช่รายการ port ที่เปิดอยู่ แต่เป็นเส้นทางการโจมตีที่พิสูจน์ให้เห็นแล้วว่าช่องโหว่ตัวไหนมีความหมายเพราะมันเชื่อมถึงกัน และตัวไหนเป็นแค่ noise
วิธีการทำงานของเรา
ทุกงานเดินตามโครงสร้างเดียวกัน เริ่มด้วยข้อตกลงก่อนเริ่มงานที่ชัดเจน และปิดท้ายด้วยรายงานที่ทีมคุณเอาไปลงมือแก้ได้จริง ก่อนจะยิง packet แรกออกไป เราตกลงกันเรื่องเป้าหมาย ขอบเขต ข้อกำหนด compliance ที่การทดสอบต้องทำให้ผ่าน และความเข้าใจร่วมกันเรื่องความเสี่ยงของการทดสอบบนระบบ production
จากนั้นขั้นตอนลงมือจริงเดินตามลำดับนี้:
- Reconnaissance & information gathering — เราวางแผนที่ของเป้าหมาย: host ที่ยังทำงานอยู่ service ที่เปิดออกมา เวอร์ชัน network topology และความสัมพันธ์เชิงความไว้วางใจระหว่างระบบ ไม่มีอะไรถูกโจมตีก่อนที่เราจะเข้าใจมัน
- Exploitation & initial compromise — เราเปลี่ยนจุดอ่อนที่เจอให้กลายเป็น foothold — service ที่ตั้งค่าผิด host ที่ยังไม่ได้ patch หรือ credential ที่อ่อนแอหรือเป็นค่า default — เพื่อสร้างการเข้าถึง environment ได้จริงเป็นครั้งแรก
- Privilege escalation & lateral movement — จาก foothold นั้น เรายกระดับสิทธิ์และเคลื่อนที่ออกด้านข้าง: pivot จาก host หนึ่งไปอีก host เก็บเกี่ยว credential และไล่ผ่าน network ภายในไปหาระบบที่มีค่าจริง ๆ นี่คือจุดที่เส้นทางการโจมตีถูกพิสูจน์ ไม่ใช่แค่สมมติเอา
- บรรลุเป้าหมายการทดสอบที่ตกลงกันไว้ — เราเดินหน้าไปสู่เป้าหมายที่ตั้งไว้ตอน scoping — ไปถึง server zone ยึด domain เข้าถึง database farm หรือดึงชุดข้อมูลอ่อนไหวที่กำหนดไว้ออกมา — แล้วบันทึกว่าเราไปถึงจุดนั้นได้อย่างไรแบบละเอียด
พอลงมือเสร็จ ทุกอย่างจะถูกเรียบเรียงเป็นรายงานในขั้นตอนที่อธิบายไว้ด้านล่าง คุณจะรู้ตลอดว่างานอยู่ในขั้นไหน และขั้นถัดไปคืออะไร
Active Directory และ network ภายใน
network ภายในส่วนใหญ่วางอยู่บน Microsoft Active Directory และนั่นคือจุดที่งานทดสอบจากภายในสร้างมูลค่าได้จริง ๆ พอเราได้ foothold — แม้จะเป็นแค่บัญชี domain ที่ไม่มีสิทธิ์อะไรเลย — เราก็ enumerate directory ออกมาทั้งหมด: users, groups, permissions, ความสัมพันธ์เชิงความไว้วางใจ และการตั้งค่าที่ผิดพลาดที่ค่อย ๆ สะสมเงียบ ๆ ตามอายุของ domain ที่ใช้งานมานาน จากนั้นเราวางแผนที่ attack path ที่ความสัมพันธ์พวกนี้เปิดช่องเอาไว้ ไล่ห่วงโซ่ของสิทธิ์เล็ก ๆ ที่พอต่อกันแล้วรวมเป็น Domain Admin service account ที่มีสิทธิ์เกินจำเป็นเพียงตัวเดียว delegation ที่ค้างคาไม่ได้เก็บกวาด หรือ cached credential ที่ตกค้างบน host ผิดเครื่อง หลายครั้งเท่านี้ก็พอเปลี่ยน login ธรรมดาให้กลายเป็นการคุม domain ได้ทั้งหมด — และเราพิสูจน์เส้นทางนั้นทีละ host ไม่ใช่แค่พูดลอย ๆ ว่าทำได้ ถ้า network มีการทำ segmentation เราจะทดสอบว่ามันกั้นได้จริงหรือเปล่า หรือว่า foothold ในโซนหนึ่งแอบทะลุไปถึงอีกโซนได้เงียบ ๆ
เราจำกัดความเสี่ยงอย่างไร
การทดสอบโครงสร้างพื้นฐานบน production มีความเสี่ยงจริง เราเลยเลือกจัดการมันอย่างเปิดเผย ไม่ใช่ภาวนาว่าจะไม่มีอะไรพัง งานที่มีผลกระทบสูงเราตกลงกับคุณก่อนลงมือทุกครั้ง ไม่ใช่ทำไปก่อนแล้วค่อยมาบอกทีหลัง ถ้าเจอช่องโหว่ร้ายแรงที่ไม่ควรรอจนถึงรายงานฉบับสุดท้าย เราแจ้งคุณทันทีเพื่อให้คุณลงมือรับมือได้ ทุกการเปลี่ยนแปลงที่เราทำบน production เราควบคุมและบันทึกไว้หมด เครื่องมือที่เราใช้มีทั้งซอฟต์แวร์ open-source และแบบ licensed — ผ่านการทดสอบใน lab ของเราเอง และใช้กันแพร่หลายในวงการความปลอดภัย — เสริมด้วย script ที่เราเขียนขึ้นเองเวลาเป้าหมายต้องการวิธีเฉพาะทาง เราไม่เอาเครื่องมือที่ไม่น่าเชื่อถือหรือไม่ผ่านการตรวจสอบไปยิงใส่ระบบของคุณ เป้าหมายคือการทดสอบที่พิสูจน์ผลกระทบจริงได้ โดยไม่กลายเป็น incident เสียเอง
ขอบเขตที่ตกลงกันล่วงหน้า
เรากำหนดขอบเขตของการทดสอบร่วมกับคุณก่อนเริ่ม เพื่อไม่ให้มีอะไรเซอร์ไพรส์และไม่มีค่าใช้จ่ายปลายเปิด งานถูกกำหนดด้วยสี่มิติ:
- ตำแหน่ง (Location) — External ทดสอบจากอินเทอร์เน็ตเข้าหา perimeter ของคุณ หรือ internal ทดสอบจากใน intranet ของคุณ ลูกค้าจำนวนมากเลือกทั้งคู่เพื่อครอบคลุมเส้นทางการโจมตีทั้งเส้น
- สถานการณ์ (Scenario) — Black-box ที่เราเริ่มโดยรู้แค่ช่วง IP address ไม่รู้อะไรอย่างอื่นเลย จำลอง hacker จากภายนอก หรือ gray-box ที่คุณให้สิทธิ์บางอย่างล่วงหน้า — โดยทั่วไปคือ user account ระดับมาตรฐาน — เพื่อจำลองพนักงานที่มีเจตนาร้ายหรือผู้โจมตีที่มี foothold อยู่แล้ว gray-box เข้าถึงบางส่วนของ network ที่ black-box อาจไม่มีวันแตะได้ และแสดงให้เห็นว่า account ที่ถูกต้องตามสิทธิ์ถูกเปลี่ยนเป็นอะไรได้บ้าง
- จำนวน IP address — จำนวน host ที่อยู่ในขอบเขต ตกลงกันไว้ล่วงหน้า เพื่อให้ขอบเขตและกรอบเวลาชัดเจนและโปร่งใส
- Revisit / retest — จะรวม retest ไว้ด้วยหรือไม่ เพื่อให้เราตรวจยืนยันการแก้ไขของคุณหลัง remediation แทนที่จะปล่อยให้คุณเชื่อไปเองว่าแก้แล้ว
สิ่งที่คุณได้รับ
ทุกรายงานมีอย่างน้อยเท่านี้:
- Executive summary — ภาพความเสี่ยงในภาษาธุรกิจ เหมาะสำหรับผู้บริหารและ auditor
- Findings จัดตาม Risk Level — แต่ละประเด็นให้ระดับ Critical, High, Medium หรือ Low เพื่อจัดลำดับการแก้ได้อย่างมีหลักการ
- Reproduction / POC ประกอบทุก finding — ขั้นตอนและหลักฐานที่ทำซ้ำได้จริงสำหรับแต่ละประเด็น วิศวกรของคุณไม่ต้องมานั่งเดาว่าเราทำได้อย่างไร
- คำแนะนำการแก้ไข — วิธีแก้ที่ผูกกับ environment ของคุณจริง ไม่ใช่ boilerplate จาก scanner
- การตรวจยืนยันด้วย retest — เมื่อ revisit อยู่ในขอบเขต ทุก finding จะถูกตรวจซ้ำหลังคุณแก้ และรายงานจะถูกอัปเดตให้สะท้อนรายการที่ปิดไปแล้ว
ตลอดประวัติงานของเรา เราไม่เคยส่งรายงานเปล่าแม้แต่ฉบับเดียว ทุกงานที่ผ่านมาเจอ finding จริงที่ผ่านการยืนยันแล้วทั้งนั้น
ทีมและใบรับรอง
การทดสอบทำโดยทีมภายในของเราที่ถือใบรับรองระดับอุตสาหกรรม เช่น OSCP, OSCE, CREST CRT, CREST CPSA และ GIAC GREM — ใบรับรองที่ได้มาจากการสอบภาคปฏิบัติอย่างเข้มข้น ไม่ใช่ข้อสอบปรนัย ดูรายชื่อใบรับรองทั้งหมดที่ทีมถือ
มาตรฐาน
แนวทางการทดสอบของเราอิงตาม NIST SP800-115 (Technical Guide to Information Security Testing and Assessment) ที่จัดโครงสร้างงานตั้งแต่การวางแผน ไปจนถึง discovery การโจมตี และการรายงาน ทุก finding ถูกจัดระดับตาม Risk Level และบันทึกไว้เพื่อให้ทีมคุณทำซ้ำและปิดมันได้
การทดสอบโครงสร้างพื้นฐานแทบไม่เคยยืนอยู่ลำพัง มันเข้าคู่กับการทดสอบเว็บแอปพลิเคชันสำหรับ service ที่วางอยู่บน network และทั้งคู่ป้อนเข้าสู่โปรแกรมpenetration testที่ใหญ่กว่า ออกแบบขอบเขตให้ตรงกับสิ่งที่การตรวจสอบของคุณต้องการ เมื่อคำถามไม่ใช่แค่ว่า “จุดอ่อนทางเทคนิคอยู่ตรงไหน” แต่เป็น “ผู้โจมตีจะประกอบคน กระบวนการ และเทคโนโลยีเข้าด้วยกันอย่างไรเพื่อไปให้ถึงทรัพย์สินสำคัญของเรา” นั่นคือขอบเขตของred teaming
ตรวจทานล่าสุด: 11 Jul 2026
นัดคุยขอบเขตงานคำถามที่พบบ่อย
การทดสอบโครงสร้างพื้นฐานภายนอกกับภายในต่างกันยังไง?
External infrastructure pentest โจมตี network ของคุณจากอินเทอร์เน็ต ด้วยมุมมองของผู้โจมตีระยะไกลที่ไม่เคยมีสิทธิ์เข้าถึงมาก่อน — probe public service, DMZ และ remote-access endpoint เพื่อหาจุดอ่อนที่จะพาไปได้ foothold ข้างใน ส่วน internal pentest เริ่มจากภายใน intranet จำลองพนักงานที่มีเจตนาร้ายหรือผู้โจมตีที่เจาะผ่าน perimeter เข้ามาแล้ว แล้วทดสอบว่าเคลื่อนที่ได้ไกลแค่ไหน พอทำทั้งสองงานควบคู่กัน มันเล่าเรื่องเดียวที่ต่อเนื่องกัน ตั้งแต่เจาะ perimeter ไปจนถึง database farm
คุณทดสอบ Active Directory ไหม?
ทดสอบ — network ภายในส่วนใหญ่วางอยู่บน Microsoft Active Directory และนั่นคือจุดที่งานทดสอบจากภายในสร้างมูลค่าได้จริง ๆ พอได้ foothold แม้จะเป็นแค่บัญชี domain ที่ไม่มีสิทธิ์อะไรเลย เราก็ enumerate directory ออกมาทั้งหมด แล้ววางแผนที่ attack path ที่ความสัมพันธ์พวกนี้เปิดช่องไว้ ไล่ห่วงโซ่ของสิทธิ์เล็ก ๆ ที่พอต่อกันแล้วรวมเป็น Domain Admin service account ที่มีสิทธิ์เกินจำเป็นเพียงตัวเดียว หรือ delegation ที่ค้างคาไม่ได้เก็บกวาด หลายครั้งเท่านี้ก็พอ และเราพิสูจน์เส้นทางนั้นทีละ host ไม่ใช่แค่พูดลอย ๆ ว่าทำได้
การทดสอบแบบ black-box กับ gray-box ต่างกันยังไง?
สำหรับงานโครงสร้างพื้นฐาน ความต่างอยู่ที่จุดเริ่มต้นบน network แบบ black-box เริ่มโดยรู้แค่ช่วง IP address ไม่รู้อะไรอย่างอื่นเลย จำลองคนนอกที่เพิ่งมาถึง perimeter ส่วน gray-box ให้ user account ระดับมาตรฐานในโดเมนมาล่วงหน้า — จุดตั้งต้นที่พนักงานโดน phishing หรือคนในที่มีเจตนาร้ายมีอยู่แล้ว — เพื่อทดสอบว่า login ธรรมดานั้นขยายไปเป็นอะไรได้บ้างทั่ว network ภายใน gray-box เข้าถึงบางส่วนของ network ที่ black-box อาจไม่มีวันแตะได้ ลูกค้าจำนวนมากเลยกำหนดขอบเขตทั้งคู่ เพื่อครอบคลุมเส้นทางทั้งเส้นตั้งแต่ perimeter ไปจนถึง Domain Admin
คุณจำกัดความเสี่ยงจากการทดสอบบน production ยังไง?
เราจัดการมันอย่างเปิดเผย งานที่มีผลกระทบสูงเราตกลงกับคุณก่อนลงมือทุกครั้ง ถ้าเจอช่องโหว่ร้ายแรงที่ไม่ควรรอจนถึงรายงานฉบับสุดท้าย เราแจ้งคุณทันที ทุกการเปลี่ยนแปลงที่เราทำบน production เราควบคุมและบันทึกไว้หมด เครื่องมือที่เราใช้ผ่านการทดสอบใน lab ของเราเอง และใช้กันแพร่หลายในวงการ — เราไม่เอาเครื่องมือที่ไม่น่าเชื่อถือหรือไม่เสถียรไปยิงใส่ระบบของคุณ
คุณใช้มาตรฐานอะไร?
แนวทางของเราอิงตาม NIST SP800-115 (Technical Guide to Information Security Testing and Assessment) ที่จัดโครงสร้างงานตั้งแต่การวางแผน ไปจนถึง discovery การโจมตี และการรายงาน ทุก finding ถูกจัดระดับตาม Risk Level และบันทึกไว้เพื่อให้ทีมคุณทำซ้ำและปิดมันได้

