บริการของเรา
เราทดสอบอะไรบ้าง
ทดสอบเจาะระบบเว็บแอปพลิเคชัน
ประเมินระดับความปลอดภัยของแอปพลิเคชัน ครอบคลุมทั้ง Web, APIs, Thick Client, Low-code Platform รวมถึงแอปพลิเคชันที่พัฒนาเองหรือได้รับสิทธิ์การใช้งาน
ดูเพิ่มเติม →ทดสอบเจาะระบบแอปพลิเคชันมือถือ
ทดสอบแอปพลิเคชันมือถือบน Android และ iOS ด้วย Static Analysis, Dynamic Analysis และ Network Analysis โดยระเบียบวิธีของเราครอบคลุมถึง APIs และระบบ Backend หากจำเป็น
ดูเพิ่มเติม →AI Penetration Test
ทดสอบแอป AI และ LLM ตาม OWASP Top 10 for LLM ครอบคลุม prompt injection, RAG และการใช้ agent ในทางที่ผิด
ดูเพิ่มเติม →ทดสอบเจาะระบบโครงสร้างพื้นฐาน
ตรวจสอบสถานะปัจจุบันของโครงสร้างพื้นฐานเพื่อประเมินการควบคุมความปลอดภัย และระบุช่องทางที่ผู้โจมตีอาจใช้แทรกซึม เข้าควบคุมระบบ หรือโจมตีสินทรัพย์ดิจิทัลขององค์กร
ดูเพิ่มเติม →การประเมินช่องโหว่ระบบ
ดำเนินการ VA scan ด้วยเครื่องมือที่เราคัดเลือกและเชื่อถือได้ เพื่อค้นหาช่องโหว่ของระบบเป้าหมายและแนะนำแนวทางการแก้ไข
ดูเพิ่มเติม →ทดสอบเจาะระบบตามมาตรฐาน PCI DSS
อิงตามระเบียบวิธี NIST SP800-115 เราให้บริการครอบคลุมข้อกำหนด PCI DSS Requirement 11 ทั้ง Application, Network และ Segmentation Test โดยรายงานผลการทดสอบของเราได้รับการพัฒนาเพื่อตอบโจทย์ทุกสิ่งที่ QSA ต้องการ
ดูเพิ่มเติม →ASV Scan
ดำเนินการสแกนช่องโหว่โดย Approved Scanning Vendor พร้อมทีมงานของเราที่คอยสนับสนุนในการวิเคราะห์และแก้ไขปัญหาที่พบจากผลการสแกน ASV
ดูเพิ่มเติม →ทดสอบเจาะระบบอุปกรณ์ IoT
ประเมิน วิเคราะห์ และ Reverse-Engineer อุปกรณ์อัจฉริยะเพื่อค้นหาช่องโหว่
ดูเพิ่มเติม →ประเมินความปลอดภัยระบบคลาวด์
เสริมความปลอดภัยให้สภาพแวดล้อม Cloud ด้วยการทดสอบและตรวจสอบการกำหนดค่าระบบ ครอบคลุม Amazon Web Services (AWS), Microsoft Azure และ Google Cloud Platform (GCP)
ดูเพิ่มเติม →ทดสอบเจาะระบบเครือข่ายไร้สาย
ประเมินความปลอดภัยของโครงสร้างพื้นฐานเครือข่ายไร้สาย ครอบคลุมการติดตั้งและการกำหนดค่าระบบ Protocol การพิสูจน์ตัวตน รวมถึงการกำหนดสิทธิ์การใช้งาน
ดูเพิ่มเติม →ตรวจสอบความปลอดภัยของโค้ด
อ่าน source code ตรง ๆ ด้วยเครื่องมือ SAST ร่วมกับการวิเคราะห์ด้วยมือของผู้เชี่ยวชาญ เข้าถึง logic ที่การทดสอบแบบ black-box ไปไม่ถึง ทั้ง crypto ที่ไม่ปลอดภัย การเช็คสิทธิ์ที่ขาดหาย และ unsafe deserialization
ดูเพิ่มเติม →เริ่มจากระบบ เป้าหมาย และข้อจำกัดของคุณ ที่เหลือปรับตามได้ทั้งหมด
ติดต่อเราเพื่อพูดคุย →งานทดสอบทุกชิ้นลงมือโดยทีมภายในของเราเอง ถือใบรับรองระดับสากลและทำงานบนจริยธรรมวิชาชีพที่ชัดเจน ระเบียบวิธีอิงตาม NIST SP800-115 ครอบคลุมทั้งฝั่ง application, infrastructure และแอปพลิเคชันมือถือ ในงบที่คุ้มกับความเสี่ยงที่เจอ
บริการ
- Web Application Penetration Testing — ประเมินความปลอดภัยของ web application, API, thick client และ low-code platform ครอบคลุมทั้งระบบที่พัฒนาเองและระบบที่ซื้อ license มาใช้
- Infrastructure Penetration Test — ตรวจการควบคุมความปลอดภัยของ infrastructure และหาช่องทางที่ผู้โจมตีใช้แทรกซึมเข้ามาได้
- Mobile Application Penetration Test — ทดสอบแอปพลิเคชันมือถือทั้ง Android และ iOS ด้วย static, dynamic และ network analysis
- Wireless Network Penetration Test — ประเมินความปลอดภัยของเครือข่ายไร้สาย ทั้งตัว protocol และกลไก authentication
- IoT Penetration Test — ประเมิน วิเคราะห์ และ reverse-engineer อุปกรณ์อัจฉริยะเพื่อหาช่องโหว่
- Cloud Security Assessment — ทดสอบ environment บน AWS, Azure และ GCP พร้อมรีวิวการตั้งค่า
- PCI DSS Penetration Test — อิงตาม NIST SP800-115 ครอบคลุมข้อกำหนด PCI DSS ข้อ 11
- ASV Scan — สแกนช่องโหว่โดย approved scanning vendor พร้อมช่วยแก้ประเด็นจนผ่าน
- Vulnerability Assessment — สแกนช่องโหว่ครบทั้งระบบ พร้อมคำแนะนำในการแก้
ขั้นตอนการทำงาน
ระเบียบวิธีของเราเดินตาม NIST SP800-115 สอดคล้องกับ Penetration Testing Execution Standard (PTES) และ OSSTMM แล้วเทียบเข้ากับมาตรฐานและข้อกำหนดที่องค์กรคุณต้องทำตาม (PCI DSS, ISO 27001, OWASP) ทุกงานทำตามขั้นตอนเดียวกัน คุณจะรู้ตลอดว่างานเดินถึงไหนแล้ว และขั้นถัดไปคืออะไร
- Preparation — เริ่มจากตกลงกติการ่วมกัน ทั้งเป้าหมาย scope และรูปแบบการทดสอบ (black-box, gray-box หรือ white-box) รวมถึง rules of engagement ว่าทดสอบช่วงเวลาไหน เกิดเหตุฉุกเฉินติดต่อใคร และระบบ production มีขอบเขตความปลอดภัยอะไรบ้าง คุณจะได้ proposal ที่ระบุไทม์ไลน์ชัดเจน ไม่คิดเงินแบบปลายเปิด
- Reconnaissance & information gathering — เก็บข้อมูลทั้ง active และ passive เพื่อวาดภาพ attack surface ให้ครบ ตั้งแต่ service ที่เปิดสู่ภายนอก credential ที่หลุดรั่ว ไปจนถึงช่องทางเข้าที่ผู้โจมตีจะมองหาเป็นอันดับแรก
- Exploitation & initial compromise — ยืนยันช่องโหว่ที่โจมตีได้จริงด้วยการเข้าถึงระบบอย่างปลอดภัยเป็นจุดตั้งต้น เพื่อพิสูจน์ผลกระทบของจริง ไม่ใช่ความเสี่ยงบนกระดาษ ทุกช่องโหว่ที่รายงานผ่านการตรวจยืนยันด้วยมือ ไม่ใช่ผลดิบจาก scanner
- Privilege elevation & lateral movement — จากจุดตั้งต้นนั้น ยกระดับสิทธิ์และขยับไปยังระบบข้างเคียง ให้เห็นกันชัด ๆ ว่าผู้โจมตีจริงไปได้ไกลแค่ไหนกว่าจะถึงเป้าหมายที่ตกลงกันไว้
- Reporting & retest — finding ทุกข้อจัดตาม Risk Level (Critical, High, Medium, Low) พร้อม POC และแนวทางแก้ มี executive summary สำหรับผู้บริหาร พอทีมคุณแก้เสร็จ เรา revisit เพื่อยืนยันว่าปิดช่องโหว่ได้จริง
Pentest กับ Red Team กับ Purple Team ต่างกันยังไง
ยังไม่แน่ใจว่าแบบไหนเหมาะกับองค์กร นี่คือตารางเทียบที่เราพาลูกค้าไล่ดูกันตั้งแต่คุยครั้งแรก
| Penetration Test | Red Team | Purple Team | |
|---|---|---|---|
| เป้าหมาย | หาและยืนยันช่องโหว่ให้ได้มากที่สุดใน scope ที่กำหนด | ทดสอบว่าองค์กรตรวจจับและรับมือการโจมตีที่สมจริงและมีเป้าหมายชัดได้แค่ไหน | ยกระดับการตรวจจับ ด้วยการรันเทคนิคโจมตีเคียงข้างทีมป้องกันของคุณ |
| ขอบเขต | รายการ application, host หรือ network ที่ตกลงกันไว้ | ทั้งองค์กร ครอบคลุมคน กระบวนการ และเทคโนโลยี | เทคนิคที่คัดมา แมปกับความครอบคลุมของระบบ monitoring |
| ระยะเวลา | ไม่กี่วันถึงไม่กี่สัปดาห์ | หลายสัปดาห์ถึงหลายเดือน | เป็นรอบ workshop รอบละไม่กี่วัน |
| สิ่งที่ส่งมอบ | finding พร้อม Risk Level, POC และแนวทางแก้ | เส้นเรื่องการโจมตี ช่องว่างการตรวจจับ และไทม์ไลน์การรับมือ | detection rule ที่จูนแล้ว พร้อม coverage matrix |
| เหมาะกับใคร | ทีมที่ต้องการความมั่นใจในระบบเฉพาะจุด หรือหลักฐานด้าน compliance | องค์กรที่มี SOC และอยากวัดความพร้อมของจริง | Blue Team ที่อยากยกระดับการตรวจจับให้เร็ว |
pentest ทั่วไปตอบคำถามว่า "ตรงนี้เจาะอะไรได้บ้าง" แต่ถ้าคำถามของคุณคือ "ถ้ามีคนบุกเข้ามาจริง เราจะรู้ตัวไหม" ลองดูบริการ Red Teaming ของเรา
สิ่งที่คุณได้รับ
ทุกรายงานมีอย่างน้อยเท่านี้
- Executive summary — สรุปภาพความเสี่ยงในภาษาธุรกิจ ให้ผู้บริหารและ auditor อ่านแล้วตัดสินใจต่อได้
- Finding จัดตาม Risk Level — ทุกช่องโหว่ให้คะแนนด้วย CVSS เรียงลำดับได้เลยว่าต้องแก้อะไรก่อน
- POC ประกอบทุก finding — request, payload และภาพหน้าจอครบ วิศวกรของคุณไม่ต้องเดาว่าเราเข้าไปได้ยังไง
- คำแนะนำการแก้ไข — วิธีแก้ที่เอาไปทำได้จริง ไม่ใช่ boilerplate จาก scanner
- Revisit ยืนยันผล — หลังคุณแก้เสร็จ เราตรวจซ้ำแล้วอัปเดตรายงานให้สะท้อนรายการที่ปิดไปแล้ว
ตลอดประวัติของบริษัท เราไม่เคยส่งรายงาน pentest เปล่าแม้แต่ฉบับเดียว ทุกงานที่ผ่านมาเจอ finding จริงที่ผ่านการยืนยันแล้วทั้งนั้น ถ้างานของคุณมี QSA หรือ auditor เข้ามาเกี่ยวข้อง รายงานจัดโครงสร้างไว้ให้ส่งต่อได้ทันที
ทีมและใบรับรอง
ทีมภายในของเราลงมือทดสอบเองทุกงาน ถือใบรับรองในวงการอย่าง OSCP, OSCE, CREST CRT, CREST CPSA และ GIAC GREM ที่ต้องผ่านการสอบภาคปฏิบัติอย่างเข้มข้นกว่าจะได้มา ทีมเดียวกันนี้ขึ้นเวทีนำเสนองานวิจัยระดับนานาชาติ และดูแลลูกค้ามาแล้วกว่า 180 ราย ทั้งสายการเงิน องค์กรขนาดใหญ่ และภาคส่วนสำคัญ ดูใบรับรองทั้งหมดที่ทีมถือ
มาตรฐานที่ใช้
ระเบียบวิธีของเราเดินตาม NIST SP800-115 (Technical Guide to Information Security Testing and Assessment) สำหรับระบบที่เกี่ยวกับบัตรชำระเงิน เราให้บริการ PCI DSS penetration test ครอบคลุมข้อกำหนดข้อ 11 วาง scope และเขียนรายงานในแบบที่ QSA คุ้นเคย พร้อม ASV scan ที่ช่วยแก้ประเด็นจนกว่าจะผ่าน ถ้า audit ของคุณต้องการหลักฐานในรูปแบบเฉพาะ บอกเราได้เลยตอน scoping ปรับรายงานให้ตรงตั้งแต่ตอนนั้นโดยไม่มีค่าใช้จ่ายเพิ่ม
ตรวจทานล่าสุด: 11 Jul 2026
ขอดูตัวอย่างรายงานคำถามที่พบบ่อย
การทดสอบเจาะระบบ (penetration test) คืออะไร
penetration test คือการโจมตีจำลองที่ได้รับอนุญาต ทำกับ application, infrastructure หรือแพลตฟอร์มมือถือของคุณ เพื่อค้นหาและยืนยันช่องโหว่จริงในแบบเดียวกับที่ผู้โจมตีตัวจริงทำ ต่างจากการสแกนอัตโนมัติตรงที่ทุก finding ผ่านการยืนยันด้วยมือ คุณจึงได้หลักฐานของผลกระทบจริง ไม่ใช่รายการความเสี่ยงบนกระดาษ ระเบียบวิธีของเราอิงตาม NIST SP800-115
penetration test ต่างจาก vulnerability assessment อย่างไร
vulnerability assessment จะไล่นับและจัดลำดับความสำคัญของช่องโหว่ที่รู้จักทั่วทั้งระบบ ส่วนใหญ่ทำผ่านการสแกนแบบมี credential แล้วยืนยันผลด้วยมือ ส่วน penetration test ไปไกลกว่านั้น เราลงมือ exploit ช่องโหว่เหล่านั้นเพื่อพิสูจน์ว่าผู้โจมตีเอาช่องไหนมาต่อกันจนเข้าถึงข้อมูลอ่อนไหวได้จริง การประเมินบอกคุณว่าอะไร "อาจ" ผิดพลาด แต่ pentest พิสูจน์ว่าอะไรผิดจริง
ควรเลือกทดสอบแบบ black-box หรือ gray-box
black-box เริ่มจากศูนย์ ไม่มีข้อมูลล่วงหน้า จำลองผู้โจมตีภายนอกที่มีแค่ IP range หรือ URL เป็นจุดตั้งต้น ส่วน gray-box ให้สิทธิ์เข้าถึงบางส่วนตั้งแต่แรก โดยทั่วไปคือบัญชีผู้ใช้ระดับปกติ เพื่อจำลองคนในที่ไม่หวังดีหรือผู้โจมตีที่มี foothold อยู่แล้ว และเข้าถึงส่วนของระบบที่ black-box อาจไปไม่ถึงได้ ลูกค้าหลายรายเลือกทำทั้งสองแบบ เราจะตกลงสถานการณ์ที่ใช้กับคุณตอน scoping
การทดสอบเจาะระบบใช้เวลานานแค่ไหน และคิดราคาอย่างไร
ขึ้นอยู่กับ scope จำนวน application, host หรือ IP address ในงานนั้น งานทั่วไปใช้เวลาตั้งแต่ไม่กี่วันถึงไม่กี่สัปดาห์ เรากำหนด scope ไทม์ไลน์ และค่าใช้จ่ายให้ชัดเจนล่วงหน้าใน proposal ไม่คิดเงินแบบปลายเปิด
แก้ไขช่องโหว่เสร็จแล้ว มีการทดสอบซ้ำให้ไหม
มี พอทีมของคุณแก้ไขเสร็จ เราจะทดสอบซ้ำในแต่ละ finding แล้วอัปเดตรายงานให้สะท้อนรายการที่ปิดไปแล้ว คุณจึงแสดงให้ auditor และผู้มีส่วนได้ส่วนเสียเห็นได้ว่าแก้ปัญหาไปจริง ไม่ใช่แค่รายงานไว้เฉย ๆ
ทีมของคุณถือมาตรฐานและใบรับรองอะไรบ้าง
ระเบียบวิธีของเราอิงตาม NIST SP800-115 สอดคล้องกับ PTES และ OSSTMM สำหรับสภาพแวดล้อมบัตรชำระเงิน เราทำ PCI DSS penetration test ครอบคลุม Requirement 11 พร้อมช่วยประสานงานและสนับสนุนการแก้ไขสำหรับ ASV scan ที่ทำโดย approved vendor งานทดสอบลงมือโดยทีมภายในที่ถือ OSCP, OSCE, CREST CRT, CREST CPSA และ GIAC GREM

