ประเมินช่องโหว่ระบบ

องค์กรส่วนใหญ่ไม่รู้ด้วยซ้ำว่าจริง ๆ แล้วมีอะไรรันอยู่บนระบบของตัวเองบ้าง — host ไหนที่เปิดออกสู่ภายนอก service ไหนที่ยังไม่ได้ patch หรือช่องโหว่ที่รู้จักกันดีที่ค่อย ๆ สะสมเงียบ ๆ อยู่บน IP address นับร้อยตั้งแต่ครั้งสุดท้ายที่มีคนไปดู การประเมินช่องโหว่ตอบคำถามนี้ได้ตรงจุด: มันจะกวาดดูพื้นผิวทั้ง network เว็บ และ mobile ของคุณเพื่อหาจุดอ่อนที่รู้จักกันแล้ว ทำได้กว้างและทำซ้ำได้ คำตอบที่ได้จึงเป็นบัญชีสถานะปัจจุบัน ไม่ใช่การเดา แต่ scanner อย่างเดียวให้คำตอบนั้นไม่ได้ — ผลที่ export ดิบ ๆ ออกมาจาก scanner คือ noise ที่สวมชุดรายงานมาเท่านั้น เต็มไปด้วย false positive ที่ทีมคุณต้องเสียเวลาไล่ตามอยู่หลายวัน การประเมินช่องโหว่ของเราจับการสแกนแบบ authenticated และ unauthenticated เข้ากับการตรวจสอบด้วยมือของนักวิเคราะห์ ทุก finding ในรายงานจึงเป็นปัญหาจริง มีการให้ระดับความรุนแรง พร้อมแนวทางว่าจะแก้อย่างไร ถ้าอยากอ่านแบบยาว ๆ ว่าเมื่อไหร่ VA คือเครื่องมือที่ใช่ ทีมเราเขียนไว้ที่นี่: VA กับ pentest — คุณต้องใช้บริการไหน?

การประเมินช่องโหว่ เทียบกับ Penetration Test

นี่คือคำถามที่ผู้ซื้อส่วนใหญ่ถือมาตั้งแต่แรก เลยควรอยู่บนสุด สองบริการนี้ตอบคนละคำถาม และไม่มีอันไหนแทนกันได้

การประเมินช่องโหว่ ตอบว่า: มีช่องโหว่อะไรบ้างทั่วทั้งระบบของฉัน? เป็นงานแบบเน้นความกว้างก่อน — ครอบคลุม host แอปพลิเคชัน และ service จำนวนมาก จับพื้นผิว known-CVE อย่างเป็นระบบและทำซ้ำได้ เหมาะกับการรักษาภาพสถานะช่องโหว่ให้เห็นต่อเนื่อง เช่น หลังรอบการ patch หลังเปลี่ยนโครงสร้างพื้นฐาน หรือทำตามรอบเวลาสม่ำเสมอเพื่อไม่ให้ช่องโหว่ค่อย ๆ สะสมโดยไม่มีใครเห็น

Penetration test ตอบอีกคำถาม: ถ้ามีคนพยายามบุกเข้ามาจริง ๆ จะเกิดอะไรขึ้นได้บ้าง? เป็นงานแบบเน้นความลึก — ผู้ทดสอบหยิบจุดอ่อนที่มีแววที่สุดมาต่อกันจนกลายเป็นผลกระทบจริง พิสูจน์ผ่าน exploitation ว่าผู้โจมตีไปถึงอะไรได้บ้าง VA จะบอกคุณว่า host ตัวหนึ่งรัน service ที่มีช่องโหว่ ส่วน pentest จะให้เห็นว่า service ที่มีช่องโหว่นั้นพาไปถึง database ของคุณได้ยังไง

VA ไม่ได้พิสูจน์ผลกระทบ และ pentest ก็ไม่ได้ให้ความครอบคลุมทุก host องค์กรส่วนใหญ่ต้องใช้ทั้งคู่ แต่คนละจังหวะ — ประเมินบ่อย ๆ เพื่อความครอบคลุม และทดสอบเป็นระยะเพื่อความลึก ถ้าคุณรู้อยู่แล้วว่าต้องการหลักฐานของ exploitation เริ่มที่หน้า penetration test ได้เลย ถ้ายังชั่งใจระหว่างสองอย่างนี้อยู่ FAQ เรื่อง VA กับ pentest รวมคำถามที่เราเจอบ่อยที่สุดไว้แล้ว

สิ่งที่เราประเมิน

ขอบเขตจะตกลงกันใน 2 มิติก่อนเริ่มสแกน ข้อเสนอจึงแม่นยำ และความครอบคลุมชัดเจน

ตำแหน่งที่ประเมิน — เราประเมินจากไหน:

  • External — ประเมินจากอินเทอร์เน็ต แบบเดียวกับที่ผู้โจมตีภายนอกมองเห็นคุณ: host ที่เปิดสู่สาธารณะ service ที่เปิดออก และทุกอย่างที่เข้าถึง network ของคุณได้โดยไม่ต้องมี credential
  • Internal — ประเมินจากภายใน intranet ของคุณ มุมที่ผู้โจมตีได้มาหลังจากตั้งหลักได้ หรือมุมที่คนในที่มีเจตนาร้ายมีอยู่แล้ว

ประเภทที่ประเมิน — เราประเมินอะไร:

  • Network VA — server อุปกรณ์ network และ service โครงสร้างพื้นฐาน กำหนดขอบเขตด้วยจำนวน IP address ตรงนี้คือที่ที่พื้นผิว known-CVE ส่วนใหญ่มักไปกองอยู่ เช่น service ที่ยังไม่ได้ patch การตั้งค่าที่ไม่ปลอดภัย หรือ protocol ที่เลิกใช้ไปแล้ว
  • Web application VA — web application ของคุณ กำหนดขอบเขตด้วยจำนวนแอปพลิเคชัน scanner ครอบคลุมพื้นผิวเชิงเทคนิค เช่น ช่องโหว่ใน component ที่รู้จักกันแล้ว การตั้งค่าที่ผิดพลาด และจุด injection ที่พบบ่อย แต่มันก็มีขีดจำกัดชัด ๆ ที่ทีมเราเขียนเล่าไว้อย่างตรงไปตรงมา: เรื่องที่ไม่เคยมีใครเล่าเกี่ยวกับการประเมินช่องโหว่ web application
  • Mobile application VA — mobile application ของคุณ กำหนดขอบเขตด้วยจำนวนแอป: component ที่รู้กันว่ามีช่องโหว่ การตั้งค่าที่ไม่ปลอดภัย และจุดอ่อนที่ตรวจเจอได้ด้วยเครื่องมือประเมิน

อีกอย่างที่ตกลงกันไว้ล่วงหน้าคือจะรวม revisit ไหม — คือการกลับไปทดสอบซ้ำหลังทีมคุณแก้ไขเสร็จ รายงานฉบับสุดท้ายจะได้สะท้อนสิ่งที่ปิดไปจริง ไม่ใช่แค่สิ่งที่รับปากไว้

เราทำงานอย่างไร

ทุกงานเดินผ่านขั้นตอนเดียวกันหมด คุณเลยรู้ตลอดว่าโครงการอยู่ตรงไหน และอะไรจะมาถึงต่อไป

  1. Scoping — เราตกลงเรื่องตำแหน่ง (external, internal หรือทั้งคู่) ประเภท (network, web, mobile) จำนวนที่ใช้กำหนดขนาดงาน (IP address, application, app) และจะรวม revisit ไหม พื้นผิวที่จะไม่ทดสอบตกลงกันตรงนี้ ไม่ใช่ไปเจอเอาตอนจบ
  2. Scanning — เรารันทั้ง unauthenticated scan (พื้นผิวที่คนนอกใคร ๆ ก็ probe ได้) และ authenticated scan (การเข้าถึงแบบมี credential ที่เห็นถึงระดับ patch การตั้งค่าภายในเครื่อง และจุดอ่อนที่มองจากภายนอกไม่เห็น) ด้วยเครื่องมือเชิงพาณิชย์และ open-source ที่เชื่อถือได้และเป็นที่รู้จักดี สองมุมมองรวมกันให้ภาพที่ครบกว่าใช้อย่างใดอย่างหนึ่งอยู่เยอะ
  3. Manual validation — นักวิเคราะห์ไล่ดูผลดิบด้วยมือ: ยืนยันว่าปัญหาที่รายงานมาเป็นของจริง ตัด false positive ทิ้ง และรวมรายการที่ซ้ำกัน ขั้นตอนนี้แหละที่แยกการประเมินออกจากการสแกนเฉย ๆ — ผลดิบ ๆ จาก scanner ไม่ใช่ของที่ส่งมอบได้ และมันไม่มีวันไปโผล่ในรายงานของคุณ
  4. Risk rating — แต่ละ finding ที่ยืนยันแล้วจะได้ระดับ Critical, High, Medium หรือ Low ทีมคุณเลยจัดลำดับการ remediation ได้ตามจริง แทนที่จะต้องมานั่งคัดจากรายการที่เรียงเรียบเป็นแถวเดียว
  5. Reporting — finding แต่ละข้อถูกเขียนเป็นรายงานพร้อมรายละเอียดการทำซ้ำและแนวทาง remediation พร้อมบทสรุปสำหรับผู้บริหาร
  6. Retest (เมื่อรวมอยู่ในขอบเขต) — หลังทีมคุณแก้ไขเสร็จ เรากลับไปตรวจ finding ซ้ำ และอัปเดตรายงานให้สะท้อนสิ่งที่ปิดไปแล้ว

สิ่งที่คุณจะได้รับ

รายงานทุกฉบับมีอย่างน้อยเท่านี้:

  • Executive summary — ภาพความเสี่ยงระดับธุรกิจ เหมาะกับผู้บริหารและ auditor
  • Finding จัดตาม Risk Level — แต่ละ finding ที่ยืนยันแล้วได้ระดับ Critical, High, Medium หรือ Low การ remediation จึงจัดลำดับตามจริงได้
  • รายละเอียดการทำซ้ำของทุก finding — เราเจออะไร ตรงไหน และดูเองยังไง วิศวกรของคุณไม่ต้องมานั่งเดา
  • แนวทาง remediation — วิธีแก้ที่ใช้ได้จริง ผูกกับสภาพแวดล้อมของคุณ ไม่ใช่ก๊อป boilerplate จาก scanner มาแปะ
  • การยืนยันผล retest — เมื่อ revisit อยู่ในขอบเขต finding จะถูกตรวจซ้ำหลังคุณแก้ไข และรายงานอัปเดตให้สะท้อนรายการที่ปิดไปแล้ว

ทีมและใบรับรอง

การประเมินและการยืนยันผลทำโดยทีมภายในของเราที่ถือใบรับรองในวงการอย่าง OSCP, OSCE, CREST CRT, CREST CPSA และ GIAC GREM — ใบรับรองที่ได้มาจากการสอบภาคปฏิบัติอย่างเข้มข้น พื้นฐานสาย offensive security เดียวกับที่ขับเคลื่อนงาน penetration test ของเรา คือสิ่งที่ทำให้ขั้นตอนการตรวจสอบด้วยมือมีน้ำหนัก: นักวิเคราะห์ที่ยืนยัน finding รู้ดีว่าปัญหาที่ exploit ได้จริงหน้าตาเป็นยังไง ดูใบรับรองทั้งหมดที่ทีมถือ

มาตรฐาน

แนวทางการทำงานของเราอิงตาม NIST SP800-115 (Technical Guide to Information Security Testing and Assessment) ที่นิยามการประเมินช่องโหว่ว่าเป็นส่วนหนึ่งของโปรแกรมทดสอบความปลอดภัยแบบมีโครงสร้าง ตอนกำหนดขอบเขต บอกเราได้เลยว่าคุณมีเงื่อนไขด้าน audit หรือ compliance อะไรบ้าง การปรับรายงานให้สอดคล้องกันไม่มีค่าใช้จ่ายเพิ่มในจังหวะนั้น

การประเมินช่องโหว่ให้ความครอบคลุมกับคุณ — ภาพปัจจุบันที่ผ่านการยืนยันแล้วของจุดอ่อนที่รู้จักกันทั่วทั้งระบบของคุณ พอถึงจุดที่คุณต้องการหลักฐานว่าจุดอ่อนพวกนั้นแปลว่าอะไรในทางปฏิบัติ นั่นคืองานของ penetration test

ตรวจทานล่าสุด: 11 Jul 2026

นัดคุยขอบเขตงาน

คำถามที่พบบ่อย

การประเมินช่องโหว่คืออะไร?

การประเมินช่องโหว่จะกวาดดูพื้นผิวทั้ง network เว็บ และ mobile ของคุณเพื่อหาจุดอ่อนที่รู้จักกันแล้ว ทำได้กว้างและทำซ้ำได้ คุณจึงได้บัญชีสถานะปัจจุบันของสิ่งที่เปิดออกไป ไม่ใช่การเดา แต่ scanner อย่างเดียวไม่ใช่คำตอบ — ผลที่ export ดิบ ๆ ออกมาจาก scanner คือ noise ที่สวมชุดรายงานมาเท่านั้น เราจับ authenticated และ unauthenticated scanning เข้ากับ manual validation โดยนักวิเคราะห์ ทุก finding จึงเป็นปัญหาจริง มีการให้ระดับความรุนแรง พร้อมแนวทางว่าจะแก้อย่างไร

การประเมินช่องโหว่หรือ penetration test — ต้องใช้อันไหน?

VA ตอบว่า มีช่องโหว่อะไรบ้างทั่วทั้งระบบของคุณ — เน้นความกว้าง ครอบคลุม host จำนวนมาก เหมาะกับการรักษาภาพสถานะให้เห็นต่อเนื่องหลังรอบการ patch หรือทำตามรอบเวลาสม่ำเสมอ ส่วน pentest ตอบอีกคำถาม ถ้ามีคนพยายามบุกเข้ามาจริง ๆ จะเกิดอะไรขึ้นได้บ้าง — เน้นความลึก เอาจุดอ่อนมาต่อกันจนกลายเป็นผลกระทบจริง VA จะบอกว่า host ตัวหนึ่งรัน service ที่มีช่องโหว่ ส่วน pentest จะให้เห็นว่า service นั้นพาไปถึง database ของคุณได้ยังไง องค์กรส่วนใหญ่ต้องใช้ทั้งคู่ แต่คนละจังหวะ

คุณประเมินอะไร และกำหนดขอบเขตยังไง?

ขอบเขตตกลงกันใน 2 มิติก่อนเริ่มสแกน มิติแรกคือตำแหน่ง — external (ประเมินจากอินเทอร์เน็ต) หรือ internal (ประเมินจากใน intranet ของคุณ) อีกมิติคือประเภท — Network VA (server และโครงสร้างพื้นฐาน กำหนดขอบเขตด้วยจำนวน IP), Web application VA (กำหนดขอบเขตด้วยจำนวนแอปพลิเคชัน) และ Mobile application VA (กำหนดขอบเขตด้วยจำนวนแอป) อีกอย่างที่ตกลงกันไว้ล่วงหน้าคือจะรวม revisit — การกลับไปทดสอบซ้ำหลัง remediation — ไหม

authenticated กับ unauthenticated scanning ต่างกันยังไง?

unauthenticated scan จะ probe พื้นผิวที่คนนอกใคร ๆ ก็เห็น ส่วน authenticated scan ใช้การเข้าถึงแบบมี credential ที่เห็นถึงระดับ patch การตั้งค่าภายในเครื่อง และจุดอ่อนที่มองจากภายนอกไม่เห็น เรารันทั้งสองแบบ เพราะสองมุมมองรวมกันให้ภาพที่ครบกว่าใช้อย่างใดอย่างหนึ่งอยู่เยอะ จากนั้นนักวิเคราะห์จะตรวจผลด้วยมือ ตัด false positive ทิ้ง และรวมรายการที่ซ้ำกัน

คุณใช้มาตรฐานอะไร?

แนวทางของเราอิงตาม NIST SP800-115 (Technical Guide to Information Security Testing and Assessment) ที่นิยามการประเมินช่องโหว่ว่าเป็นส่วนหนึ่งของโปรแกรมทดสอบความปลอดภัยแบบมีโครงสร้าง ตอนกำหนดขอบเขต บอกเราได้เลยว่าคุณมีเงื่อนไขด้าน audit หรือ compliance อะไรบ้าง การปรับรายงานให้สอดคล้องกันไม่มีค่าใช้จ่ายเพิ่มในจังหวะนั้น

logologo

บริษัท อินค็อกนิโตแล็บ จำกัด

38 ซอยเพชรเกษม 30 แขวงปากคลองภาษีเจริญ เขตภาษีเจริญ กรุงเทพมหานคร 10160