ประเมินช่องโหว่ระบบ
องค์กรส่วนใหญ่ไม่รู้ด้วยซ้ำว่าจริง ๆ แล้วมีอะไรรันอยู่บนระบบของตัวเองบ้าง — host ไหนที่เปิดออกสู่ภายนอก service ไหนที่ยังไม่ได้ patch หรือช่องโหว่ที่รู้จักกันดีที่ค่อย ๆ สะสมเงียบ ๆ อยู่บน IP address นับร้อยตั้งแต่ครั้งสุดท้ายที่มีคนไปดู การประเมินช่องโหว่ตอบคำถามนี้ได้ตรงจุด: มันจะกวาดดูพื้นผิวทั้ง network เว็บ และ mobile ของคุณเพื่อหาจุดอ่อนที่รู้จักกันแล้ว ทำได้กว้างและทำซ้ำได้ คำตอบที่ได้จึงเป็นบัญชีสถานะปัจจุบัน ไม่ใช่การเดา แต่ scanner อย่างเดียวให้คำตอบนั้นไม่ได้ — ผลที่ export ดิบ ๆ ออกมาจาก scanner คือ noise ที่สวมชุดรายงานมาเท่านั้น เต็มไปด้วย false positive ที่ทีมคุณต้องเสียเวลาไล่ตามอยู่หลายวัน การประเมินช่องโหว่ของเราจับการสแกนแบบ authenticated และ unauthenticated เข้ากับการตรวจสอบด้วยมือของนักวิเคราะห์ ทุก finding ในรายงานจึงเป็นปัญหาจริง มีการให้ระดับความรุนแรง พร้อมแนวทางว่าจะแก้อย่างไร ถ้าอยากอ่านแบบยาว ๆ ว่าเมื่อไหร่ VA คือเครื่องมือที่ใช่ ทีมเราเขียนไว้ที่นี่: VA กับ pentest — คุณต้องใช้บริการไหน?
การประเมินช่องโหว่ เทียบกับ Penetration Test
นี่คือคำถามที่ผู้ซื้อส่วนใหญ่ถือมาตั้งแต่แรก เลยควรอยู่บนสุด สองบริการนี้ตอบคนละคำถาม และไม่มีอันไหนแทนกันได้
การประเมินช่องโหว่ ตอบว่า: มีช่องโหว่อะไรบ้างทั่วทั้งระบบของฉัน? เป็นงานแบบเน้นความกว้างก่อน — ครอบคลุม host แอปพลิเคชัน และ service จำนวนมาก จับพื้นผิว known-CVE อย่างเป็นระบบและทำซ้ำได้ เหมาะกับการรักษาภาพสถานะช่องโหว่ให้เห็นต่อเนื่อง เช่น หลังรอบการ patch หลังเปลี่ยนโครงสร้างพื้นฐาน หรือทำตามรอบเวลาสม่ำเสมอเพื่อไม่ให้ช่องโหว่ค่อย ๆ สะสมโดยไม่มีใครเห็น
Penetration test ตอบอีกคำถาม: ถ้ามีคนพยายามบุกเข้ามาจริง ๆ จะเกิดอะไรขึ้นได้บ้าง? เป็นงานแบบเน้นความลึก — ผู้ทดสอบหยิบจุดอ่อนที่มีแววที่สุดมาต่อกันจนกลายเป็นผลกระทบจริง พิสูจน์ผ่าน exploitation ว่าผู้โจมตีไปถึงอะไรได้บ้าง VA จะบอกคุณว่า host ตัวหนึ่งรัน service ที่มีช่องโหว่ ส่วน pentest จะให้เห็นว่า service ที่มีช่องโหว่นั้นพาไปถึง database ของคุณได้ยังไง
VA ไม่ได้พิสูจน์ผลกระทบ และ pentest ก็ไม่ได้ให้ความครอบคลุมทุก host องค์กรส่วนใหญ่ต้องใช้ทั้งคู่ แต่คนละจังหวะ — ประเมินบ่อย ๆ เพื่อความครอบคลุม และทดสอบเป็นระยะเพื่อความลึก ถ้าคุณรู้อยู่แล้วว่าต้องการหลักฐานของ exploitation เริ่มที่หน้า penetration test ได้เลย ถ้ายังชั่งใจระหว่างสองอย่างนี้อยู่ FAQ เรื่อง VA กับ pentest รวมคำถามที่เราเจอบ่อยที่สุดไว้แล้ว
สิ่งที่เราประเมิน
ขอบเขตจะตกลงกันใน 2 มิติก่อนเริ่มสแกน ข้อเสนอจึงแม่นยำ และความครอบคลุมชัดเจน
ตำแหน่งที่ประเมิน — เราประเมินจากไหน:
- External — ประเมินจากอินเทอร์เน็ต แบบเดียวกับที่ผู้โจมตีภายนอกมองเห็นคุณ: host ที่เปิดสู่สาธารณะ service ที่เปิดออก และทุกอย่างที่เข้าถึง network ของคุณได้โดยไม่ต้องมี credential
- Internal — ประเมินจากภายใน intranet ของคุณ มุมที่ผู้โจมตีได้มาหลังจากตั้งหลักได้ หรือมุมที่คนในที่มีเจตนาร้ายมีอยู่แล้ว
ประเภทที่ประเมิน — เราประเมินอะไร:
- Network VA — server อุปกรณ์ network และ service โครงสร้างพื้นฐาน กำหนดขอบเขตด้วยจำนวน IP address ตรงนี้คือที่ที่พื้นผิว known-CVE ส่วนใหญ่มักไปกองอยู่ เช่น service ที่ยังไม่ได้ patch การตั้งค่าที่ไม่ปลอดภัย หรือ protocol ที่เลิกใช้ไปแล้ว
- Web application VA — web application ของคุณ กำหนดขอบเขตด้วยจำนวนแอปพลิเคชัน scanner ครอบคลุมพื้นผิวเชิงเทคนิค เช่น ช่องโหว่ใน component ที่รู้จักกันแล้ว การตั้งค่าที่ผิดพลาด และจุด injection ที่พบบ่อย แต่มันก็มีขีดจำกัดชัด ๆ ที่ทีมเราเขียนเล่าไว้อย่างตรงไปตรงมา: เรื่องที่ไม่เคยมีใครเล่าเกี่ยวกับการประเมินช่องโหว่ web application
- Mobile application VA — mobile application ของคุณ กำหนดขอบเขตด้วยจำนวนแอป: component ที่รู้กันว่ามีช่องโหว่ การตั้งค่าที่ไม่ปลอดภัย และจุดอ่อนที่ตรวจเจอได้ด้วยเครื่องมือประเมิน
อีกอย่างที่ตกลงกันไว้ล่วงหน้าคือจะรวม revisit ไหม — คือการกลับไปทดสอบซ้ำหลังทีมคุณแก้ไขเสร็จ รายงานฉบับสุดท้ายจะได้สะท้อนสิ่งที่ปิดไปจริง ไม่ใช่แค่สิ่งที่รับปากไว้
เราทำงานอย่างไร
ทุกงานเดินผ่านขั้นตอนเดียวกันหมด คุณเลยรู้ตลอดว่าโครงการอยู่ตรงไหน และอะไรจะมาถึงต่อไป
- Scoping — เราตกลงเรื่องตำแหน่ง (external, internal หรือทั้งคู่) ประเภท (network, web, mobile) จำนวนที่ใช้กำหนดขนาดงาน (IP address, application, app) และจะรวม revisit ไหม พื้นผิวที่จะไม่ทดสอบตกลงกันตรงนี้ ไม่ใช่ไปเจอเอาตอนจบ
- Scanning — เรารันทั้ง unauthenticated scan (พื้นผิวที่คนนอกใคร ๆ ก็ probe ได้) และ authenticated scan (การเข้าถึงแบบมี credential ที่เห็นถึงระดับ patch การตั้งค่าภายในเครื่อง และจุดอ่อนที่มองจากภายนอกไม่เห็น) ด้วยเครื่องมือเชิงพาณิชย์และ open-source ที่เชื่อถือได้และเป็นที่รู้จักดี สองมุมมองรวมกันให้ภาพที่ครบกว่าใช้อย่างใดอย่างหนึ่งอยู่เยอะ
- Manual validation — นักวิเคราะห์ไล่ดูผลดิบด้วยมือ: ยืนยันว่าปัญหาที่รายงานมาเป็นของจริง ตัด false positive ทิ้ง และรวมรายการที่ซ้ำกัน ขั้นตอนนี้แหละที่แยกการประเมินออกจากการสแกนเฉย ๆ — ผลดิบ ๆ จาก scanner ไม่ใช่ของที่ส่งมอบได้ และมันไม่มีวันไปโผล่ในรายงานของคุณ
- Risk rating — แต่ละ finding ที่ยืนยันแล้วจะได้ระดับ Critical, High, Medium หรือ Low ทีมคุณเลยจัดลำดับการ remediation ได้ตามจริง แทนที่จะต้องมานั่งคัดจากรายการที่เรียงเรียบเป็นแถวเดียว
- Reporting — finding แต่ละข้อถูกเขียนเป็นรายงานพร้อมรายละเอียดการทำซ้ำและแนวทาง remediation พร้อมบทสรุปสำหรับผู้บริหาร
- Retest (เมื่อรวมอยู่ในขอบเขต) — หลังทีมคุณแก้ไขเสร็จ เรากลับไปตรวจ finding ซ้ำ และอัปเดตรายงานให้สะท้อนสิ่งที่ปิดไปแล้ว
สิ่งที่คุณจะได้รับ
รายงานทุกฉบับมีอย่างน้อยเท่านี้:
- Executive summary — ภาพความเสี่ยงระดับธุรกิจ เหมาะกับผู้บริหารและ auditor
- Finding จัดตาม Risk Level — แต่ละ finding ที่ยืนยันแล้วได้ระดับ Critical, High, Medium หรือ Low การ remediation จึงจัดลำดับตามจริงได้
- รายละเอียดการทำซ้ำของทุก finding — เราเจออะไร ตรงไหน และดูเองยังไง วิศวกรของคุณไม่ต้องมานั่งเดา
- แนวทาง remediation — วิธีแก้ที่ใช้ได้จริง ผูกกับสภาพแวดล้อมของคุณ ไม่ใช่ก๊อป boilerplate จาก scanner มาแปะ
- การยืนยันผล retest — เมื่อ revisit อยู่ในขอบเขต finding จะถูกตรวจซ้ำหลังคุณแก้ไข และรายงานอัปเดตให้สะท้อนรายการที่ปิดไปแล้ว
ทีมและใบรับรอง
การประเมินและการยืนยันผลทำโดยทีมภายในของเราที่ถือใบรับรองในวงการอย่าง OSCP, OSCE, CREST CRT, CREST CPSA และ GIAC GREM — ใบรับรองที่ได้มาจากการสอบภาคปฏิบัติอย่างเข้มข้น พื้นฐานสาย offensive security เดียวกับที่ขับเคลื่อนงาน penetration test ของเรา คือสิ่งที่ทำให้ขั้นตอนการตรวจสอบด้วยมือมีน้ำหนัก: นักวิเคราะห์ที่ยืนยัน finding รู้ดีว่าปัญหาที่ exploit ได้จริงหน้าตาเป็นยังไง ดูใบรับรองทั้งหมดที่ทีมถือ
มาตรฐาน
แนวทางการทำงานของเราอิงตาม NIST SP800-115 (Technical Guide to Information Security Testing and Assessment) ที่นิยามการประเมินช่องโหว่ว่าเป็นส่วนหนึ่งของโปรแกรมทดสอบความปลอดภัยแบบมีโครงสร้าง ตอนกำหนดขอบเขต บอกเราได้เลยว่าคุณมีเงื่อนไขด้าน audit หรือ compliance อะไรบ้าง การปรับรายงานให้สอดคล้องกันไม่มีค่าใช้จ่ายเพิ่มในจังหวะนั้น
การประเมินช่องโหว่ให้ความครอบคลุมกับคุณ — ภาพปัจจุบันที่ผ่านการยืนยันแล้วของจุดอ่อนที่รู้จักกันทั่วทั้งระบบของคุณ พอถึงจุดที่คุณต้องการหลักฐานว่าจุดอ่อนพวกนั้นแปลว่าอะไรในทางปฏิบัติ นั่นคืองานของ penetration test
ตรวจทานล่าสุด: 11 Jul 2026
นัดคุยขอบเขตงานคำถามที่พบบ่อย
การประเมินช่องโหว่คืออะไร?
การประเมินช่องโหว่จะกวาดดูพื้นผิวทั้ง network เว็บ และ mobile ของคุณเพื่อหาจุดอ่อนที่รู้จักกันแล้ว ทำได้กว้างและทำซ้ำได้ คุณจึงได้บัญชีสถานะปัจจุบันของสิ่งที่เปิดออกไป ไม่ใช่การเดา แต่ scanner อย่างเดียวไม่ใช่คำตอบ — ผลที่ export ดิบ ๆ ออกมาจาก scanner คือ noise ที่สวมชุดรายงานมาเท่านั้น เราจับ authenticated และ unauthenticated scanning เข้ากับ manual validation โดยนักวิเคราะห์ ทุก finding จึงเป็นปัญหาจริง มีการให้ระดับความรุนแรง พร้อมแนวทางว่าจะแก้อย่างไร
การประเมินช่องโหว่หรือ penetration test — ต้องใช้อันไหน?
VA ตอบว่า มีช่องโหว่อะไรบ้างทั่วทั้งระบบของคุณ — เน้นความกว้าง ครอบคลุม host จำนวนมาก เหมาะกับการรักษาภาพสถานะให้เห็นต่อเนื่องหลังรอบการ patch หรือทำตามรอบเวลาสม่ำเสมอ ส่วน pentest ตอบอีกคำถาม ถ้ามีคนพยายามบุกเข้ามาจริง ๆ จะเกิดอะไรขึ้นได้บ้าง — เน้นความลึก เอาจุดอ่อนมาต่อกันจนกลายเป็นผลกระทบจริง VA จะบอกว่า host ตัวหนึ่งรัน service ที่มีช่องโหว่ ส่วน pentest จะให้เห็นว่า service นั้นพาไปถึง database ของคุณได้ยังไง องค์กรส่วนใหญ่ต้องใช้ทั้งคู่ แต่คนละจังหวะ
คุณประเมินอะไร และกำหนดขอบเขตยังไง?
ขอบเขตตกลงกันใน 2 มิติก่อนเริ่มสแกน มิติแรกคือตำแหน่ง — external (ประเมินจากอินเทอร์เน็ต) หรือ internal (ประเมินจากใน intranet ของคุณ) อีกมิติคือประเภท — Network VA (server และโครงสร้างพื้นฐาน กำหนดขอบเขตด้วยจำนวน IP), Web application VA (กำหนดขอบเขตด้วยจำนวนแอปพลิเคชัน) และ Mobile application VA (กำหนดขอบเขตด้วยจำนวนแอป) อีกอย่างที่ตกลงกันไว้ล่วงหน้าคือจะรวม revisit — การกลับไปทดสอบซ้ำหลัง remediation — ไหม
authenticated กับ unauthenticated scanning ต่างกันยังไง?
unauthenticated scan จะ probe พื้นผิวที่คนนอกใคร ๆ ก็เห็น ส่วน authenticated scan ใช้การเข้าถึงแบบมี credential ที่เห็นถึงระดับ patch การตั้งค่าภายในเครื่อง และจุดอ่อนที่มองจากภายนอกไม่เห็น เรารันทั้งสองแบบ เพราะสองมุมมองรวมกันให้ภาพที่ครบกว่าใช้อย่างใดอย่างหนึ่งอยู่เยอะ จากนั้นนักวิเคราะห์จะตรวจผลด้วยมือ ตัด false positive ทิ้ง และรวมรายการที่ซ้ำกัน
คุณใช้มาตรฐานอะไร?
แนวทางของเราอิงตาม NIST SP800-115 (Technical Guide to Information Security Testing and Assessment) ที่นิยามการประเมินช่องโหว่ว่าเป็นส่วนหนึ่งของโปรแกรมทดสอบความปลอดภัยแบบมีโครงสร้าง ตอนกำหนดขอบเขต บอกเราได้เลยว่าคุณมีเงื่อนไขด้าน audit หรือ compliance อะไรบ้าง การปรับรายงานให้สอดคล้องกันไม่มีค่าใช้จ่ายเพิ่มในจังหวะนั้น

