Cyber Drill & Adversary Simulation
Incognito Lab จะจำลอง Tactics, Techniques และ Procedures (TTPs) ที่ผู้โจมตีใช้เพื่อประเมินการควบคุมความปลอดภัยขององค์กร แนวทางนี้ให้ผลลัพธ์ที่เหนือกว่า Table Top Exercise ทั่วไป และครอบคลุมทั้งกลไกการป้องกันด้านเทคนิคและกระบวนการทำงาน
Purple Teaming
บริการนี้จะทำการแจกแจงเทคนิคของผู้โจมตีเพื่อทดสอบ Blue Team และฝึกฝนให้สามารถจำลองการโจมตีซ้ำได้ เพื่อให้องค์กรสามารถพัฒนาความปลอดภัยภายในได้อย่างต่อเนื่อง โดยแนวทางของเราจะช่วยปิดช่องว่างระหว่าง Red Team และ Blue Team ด้วยการจำลองสถานการณ์ พร้อมนำเสนอแนวคิด Purple Team เข้าสู่องค์กร
Hybrid Table Top Exercise (Hybrid HTTX)
รูปแบบที่พัฒนาขึ้นจาก TTX แบบดั้งเดิม ด้วยหลักฐานจริงและสถานการณ์จำลองแบบ Hands-on ในสไตล์ Gamification สถานการณ์ที่ออกแบบครอบคลุมตั้งแต่ภัยคุกคามทั่วไปไปจนถึง TTPs ล่าสุดที่กลุ่มแฮกเกอร์ชื่อดังใช้ โดยมีเป้าหมายเพื่อพัฒนากระบวนการ Incident Response และฝึกผู้เข้าร่วมให้ดำเนินการได้อย่างมีประสิทธิภาพ
ทะเลที่สงบไม่เคยสร้างกะลาสีที่เก่งกาจ
องค์กรสามารถเตรียมรับมือผลกระทบจากภัยคุกคามปัจจุบันและอนาคตได้ดีขึ้นด้วยการจำลองการโจมตีไซเบอร์จริงและฝึก TTPs ที่ผู้โจมตีใช้ระหว่างการเจาะระบบ องค์กรไม่สามารถระบุช่องว่างในการควบคุมความปลอดภัยได้อย่างทั่วถึงด้วยการมุ่งเน้นเฉพาะกลยุทธ์ป้องกันการเจาะระบบ เหมือนทะเลที่สงบไม่เคยสร้างกะลาสีที่เก่งกาจ Incognito Lab พร้อมเป็นผู้จำลองการโจมตีเพื่อยกระดับการป้องกันเชิงรับโดยรวมของคุณ
งาน red team ลงลึกและไปไกลกว่า penetration test ทั่วไป แทนที่จะไล่นับช่องโหว่ใน scope ตายตัว เราเลียนแบบ tactics, techniques และ procedures ที่ผู้โจมตีจริงใช้กับองค์กรแบบคุณ มีเป้าหมายชัด มี attack chain เต็มรูปแบบ และปล่อยให้ทีมป้องกันของคุณไม่รู้ตัว จุดประสงค์ไม่ใช่พิสูจน์ว่ามีบั๊กอยู่ แต่ตอบคำถามที่ยากกว่านั้น ถ้ามีคนบุกเข้ามาจริง จะรู้ตัวไหม แล้วรับมือได้เร็วแค่ไหน นี่คือการประเมินที่เราแนะนำเมื่อลูกค้าเสริมความแข็งแรงของระบบมาระดับหนึ่งแล้ว และอยากทดสอบคนกับกระบวนการที่อยู่รอบระบบเหล่านั้น
บริการ
- Cyber Drill & Adversary Simulation — จำลอง TTP ของผู้โจมตีเพื่อประเมินการควบคุมความปลอดภัย ได้ผลเหนือกว่า table-top exercise เพราะครอบคลุมกลไกป้องกันทั้งด้านเทคนิคและกระบวนการ
- Purple Teaming — แจกแจงเทคนิคของผู้โจมตีเพื่อทดสอบความสามารถของ blue team ฝึกทีมป้องกันให้จำลองการโจมตีซ้ำเองเพื่อพัฒนาต่อเนื่อง และปิดช่องว่างระหว่าง red team กับ blue team
- Hybrid Table Top Exercise (Hybrid HTTX) — TTX เวอร์ชันยกระดับ มีหลักฐานจริงและสถานการณ์จำลองแบบ hands-on บนฐาน gamification ครอบคลุมตั้งแต่ภัยไซเบอร์ทั่วไปจนถึง TTP ล่าสุด และยกระดับ incident response
ขั้นตอนการทำงาน
ทุกงาน red team เดินตามกระบวนการห้าขั้นเหมือนกัน เป้าหมายจึงชัดตลอด แม้ตัวปฏิบัติการจะทำแบบลับ
- Scoping & objectives — ตกลงกันก่อนว่า "สำเร็จ" ในแบบฝึกนี้หมายถึงอะไร เข้าถึงระบบ crown-jewel เฉพาะจุด ดึงชุดข้อมูลที่ทำเครื่องหมายไว้ออกมา หรือยึด domain admin ให้ได้โดยไม่จุดชนวนการรับมือ คุณกำหนดรางวัล เรากำหนดเส้นทางที่สมจริงไปหามัน proposal ระบุเป้าหมาย ระยะเวลา และขอบเขตไว้ชัด ไม่ใช่งานปลายเปิด
- Rules of engagement — ก่อนเริ่มกิจกรรมใด ๆ ตกลงกันเรื่องระบบที่ห้ามแตะ testing window การอนุญาตทางกฎหมาย safe word และวง "trusted agent" กลุ่มเล็กที่รู้ว่าปฏิบัติการกำลังเดินอยู่ ตรงนี้ปกป้อง production ของคุณ และให้ช่องทางชัดในการแยกกิจกรรมของเราออกจากเหตุโจมตีจริง
- Reconnaissance & execution — เราปะติดปะต่อภาพองค์กรจากภายนอก ทั้งคน infrastructure ที่เปิดสู่โลกภายนอก และ supply chain แล้วไล่ตาม attack chain ไปหาเป้าหมายที่ตกลงไว้ ตั้งแต่ initial access, ตั้ง foothold, privilege escalation, lateral movement จนถึง action on objectives เทคนิคที่เลือกออกแบบมาให้เหมือนผู้โจมตีจริง ไม่ใช่ปลุก alarm ทุกตัวขึ้นมาพร้อมกัน
- Reporting — คุณจะได้ attack narrative ที่อ่านเหมือนเรื่องเล่าว่าไปถึงเป้าหมายได้ยังไง แมปกับช่องว่างการตรวจจับและรับมือที่มันเผยออกมา พร้อมไทม์ไลน์ที่ SOC เอาไปเทียบกับ log ตัวเองได้ เขียนให้สองกลุ่มอ่าน ผู้บริหารที่ต้องเห็นภาพความเสี่ยง กับทีมป้องกันที่ต้องทำซ้ำและแก้ทีละขั้น
- Retest & debrief — เราพา blue team ไล่ดู kill chain ทั้งสายใน debrief เล่นเทคนิคซ้ำให้พวกเขายืนยันว่าการตรวจจับที่ปรับปรุงแล้วใช้ได้ และยืนยันว่าช่องว่างปิดจริง ปิดงานด้วยการนั่งคุย ไม่ใช่โยน PDF ทิ้งไว้ในอินบ็อกซ์
Pentest กับ Red Team กับ Purple Team ต่างกันยังไง
การเลือกระหว่างสามแบบนี้คือบทสนทนาแรกที่เราคุยกับลูกค้าเกือบทุกราย ตัวเลือกที่ใช่ขึ้นอยู่กับว่าคุณรู้อะไรเกี่ยวกับระบบป้องกันตัวเองแล้วบ้าง
| Penetration Test | Red Team | Purple Team | |
|---|---|---|---|
| เป้าหมาย | หาและยืนยันช่องโหว่ให้ได้มากที่สุดใน scope ที่กำหนด | ทดสอบการตรวจจับและรับมือกับการโจมตีที่สมจริงและมีเป้าหมายชัด | ยกระดับการตรวจจับด้วยการรันเทคนิคโจมตีคู่ไปกับทีมป้องกันของคุณ |
| ขอบเขต | รายการ application, host หรือ network ที่ตกลงกันไว้ | ทั้งองค์กร ทั้งคน กระบวนการ และเทคโนโลยี | เทคนิคที่เลือกมา แมปกับความครอบคลุมของระบบ monitoring |
| ระยะเวลา | ไม่กี่วันถึงไม่กี่สัปดาห์ | หลายสัปดาห์ถึงหลายเดือน | แบบ workshop ครั้งละไม่กี่วัน |
| สิ่งที่ส่งมอบ | findings พร้อมระดับความรุนแรง ขั้นตอนทำซ้ำ และคำแนะนำแก้ไข | เรื่องเล่าการโจมตี ช่องว่างการตรวจจับ ไทม์ไลน์การรับมือ | rule ตรวจจับที่ปรับจูนแล้ว พร้อม coverage matrix |
| เหมาะกับใคร | ทีมที่ต้องการความมั่นใจในระบบเฉพาะจุด หรือหลักฐานด้าน compliance | องค์กรที่มี SOC และอยากวัดความพร้อมจริง | Blue team ที่อยากยกระดับการตรวจจับให้เร็ว |
ถ้ายังต้องการความมั่นใจในระบบเฉพาะจุด หรือหลักฐาน compliance ให้ผู้ตรวจสอบ ให้เริ่มที่ penetration test ทั่วไปก่อน red team เหมาะเมื่อระบบพวกนั้นแข็งแรงแล้ว และคุณอยากรู้ว่าทีมป้องกันจะจับการบุกจริงได้ไหม
สิ่งที่คุณได้รับ
ทุกงานมีเอกสารสำหรับสองกลุ่มพร้อมกัน
- Executive summary — เล่าระดับธุรกิจว่าไปถึงเป้าหมายได้หรือไม่ ถ้าเกิดขึ้นจริงจะหมายถึงอะไร และองค์กรเปิดช่องตรงไหน
- Attack narrative — kill chain เต็มสาย ทีละขั้น พร้อมหลักฐานและภาพหน้าจอ ไม่มีความคลุมเครือว่าไปถึงเป้าหมายได้ยังไง
- ไทม์ไลน์การตรวจจับและรับมือ — เทียบข้าง ๆ กันว่าเราทำอะไร กับระบบ monitoring ของคุณเห็น (หรือพลาด) อะไร SOC วัด dwell time จริงได้จากตรงนี้
- Findings พร้อมระดับความรุนแรง — ปัญหาเทคนิคที่เจอระหว่างทางให้คะแนนด้วย CVSS พร้อมคำแนะนำแก้ที่ทำได้จริง ไม่ใช่ boilerplate จาก scanner
- การ retest ยืนยันผล — หลังทีมคุณปรับ detection และปิดช่องว่าง เราเล่นเทคนิคซ้ำแล้วยืนยันว่าที่ปรับไปยังใช้ได้อยู่
ตลอดประวัติของบริษัท เราไม่เคยส่งรายงานเปล่าแม้แต่ฉบับเดียว ทุกงานที่ผ่านมาเจอ finding จริงที่ผ่านการยืนยันและทีมคุณเอาไปทำต่อได้
ทีมและใบรับรอง
ทีมภายในของเราเป็นคนลงมือทำงานเอง ถือใบรับรองในวงการอย่าง OSCP, OSCE, CREST CRT, CREST CPSA และ GIAC GREM ใบรับรองเหล่านี้ได้มาจากการสอบภาคปฏิบัติที่เข้มข้น ทีมเดียวกันนี้ขึ้นนำเสนองานวิจัยในเวทีระดับนานาชาติ และดูแลลูกค้ามาแล้วกว่า 180 รายทั้งสายการเงิน องค์กรขนาดใหญ่ และภาคส่วนสำคัญ ดูใบรับรองทั้งหมดที่ทีมถือ
มาตรฐานที่ใช้
งาน adversary emulation ของเราตั้งอยู่บนระเบียบวิธีเข้มข้นชุดเดียวกับบริการทดสอบของเรา ซึ่งเดินตาม NIST SP800-115 (Technical Guide to Information Security Testing and Assessment) เทคนิค red team แมปกับกรอบผู้โจมตีที่เป็นที่ยอมรับ ทีมป้องกันของคุณจึงจัดการตรวจจับให้ตรงกับ TTP ในโลกจริงได้ ถ้างานต้องออกหลักฐานในรูปแบบเฉพาะ ไม่ว่าเพื่อ audit ภายในหรือรายงานต่อบอร์ด บอกเราตอน scoping แล้วเราจะจัดโครงสร้างสิ่งที่ส่งมอบให้ตรง
ตรวจทานล่าสุด: 11 Jul 2026
นัดคุยขอบเขตงานคำถามที่พบบ่อย
red teaming คืออะไร และต่างจาก penetration test อย่างไร
penetration test จะไล่นับและยืนยันช่องโหว่ใน scope ที่กำหนดไว้ ส่วนงาน red team ลงลึกกว่านั้น เราเลียนแบบ tactics, techniques และ procedures ของผู้โจมตีตัวจริง เดินตาม attack chain เต็มรูปแบบไปหาเป้าหมายที่ตั้งไว้ โดยทีมป้องกันของคุณไม่รู้ตัว pentest ถามว่า "ตรงนี้เจาะอะไรได้บ้าง" ส่วน red team ถามว่า "ถ้ามีคนบุกเข้ามา คุณจะรู้ตัวไหม แล้วรับมือได้เร็วแค่ไหน"
ควรเลือก red team แทน pentest เมื่อไหร่
red team เหมาะเมื่อระบบของคุณแข็งแรงมาระดับหนึ่งแล้ว และคุณอยากทดสอบคนกับกระบวนการที่อยู่รอบระบบเหล่านั้น โดยเฉพาะการตรวจจับและรับมือ ถ้ายังต้องการความมั่นใจในระบบเฉพาะจุด หรือหลักฐาน compliance ให้ผู้ตรวจสอบ ให้เริ่มที่ penetration test ทั่วไปก่อน
งาน red team จะกระทบระบบ production ของเราไหม
เราออกแบบงานมาให้ไม่กระทบ ก่อนเริ่มกิจกรรมใด ๆ เราตกลง rules of engagement ร่วมกัน ทั้งระบบที่ห้ามแตะ testing window การอนุญาตทางกฎหมาย safe word และวง "trusted agent" กลุ่มเล็กที่รู้ว่าปฏิบัติการกำลังเดินอยู่ ตรงนี้ปกป้อง production ของคุณ และให้ช่องทางชัดเจนในการแยกกิจกรรมของเราออกจากเหตุโจมตีจริง
purple teaming คืออะไร
purple teaming คือการรันเทคนิคโจมตีเคียงข้างทีมป้องกันของคุณ เพื่อยกระดับการตรวจจับให้เร็ว เราแจกแจงเทคนิคของผู้โจมตี ทดสอบว่า blue team จับได้แค่ไหน แล้วปิดช่องว่างระหว่าง red กับ blue ทำในรูปแบบ workshop ได้ผลลัพธ์เป็น detection rule ที่จูนแล้วพร้อม coverage matrix
จบงานแล้วเราจะได้อะไรบ้าง
attack narrative ที่บันทึก kill chain เต็มสายพร้อมหลักฐาน ไทม์ไลน์การตรวจจับและรับมือที่เทียบสิ่งที่เราทำกับสิ่งที่ระบบ monitoring ของคุณเห็น executive summary, technical findings ที่ให้คะแนนด้วย CVSS และการ retest ที่เราเล่นเทคนิคซ้ำหลังคุณจูน detection แล้ว งานปิดด้วย debrief ให้ blue team ของคุณ ไม่ใช่โยน PDF ทิ้งไว้ในอินบ็อกซ์
เพราะทุกธุรกิจมีความเฉพาะตัว และผู้โจมตีก็มีเป้าหมายที่ชัดเจนเสมอ — คุณพร้อมรับมือแล้วหรือยัง?
ทีมผู้เชี่ยวชาญของเราพร้อมช่วยคุณ

