การทดสอบเจาะระบบ (Penetration Testing) ของ MAYASEVEN ไม่ใช่การรันสแกนเนอร์แล้วส่งรายงาน แต่คือการจำลองการโจมตีจริงด้วยมือของแฮกเกอร์ระดับแชมป์โลก เสริมด้วย AI agent ส่วนตัวของเราที่ทำงานแบบ on-prem เพื่อกวาดพื้นผิวการโจมตีให้ครอบคลุมที่สุดด้วยความเร็วระดับเครื่องจักร ทุกช่องโหว่ที่รายงานผ่านการพิสูจน์และยืนยันด้วยคนจริง พร้อมคะแนน CVSS, Proof-of-Concept ที่ใช้งานได้จริง และผลกระทบเชิงธุรกิจที่ชัดเจน ข้อมูลของคุณไม่เคยออกนอกเครือข่ายของเรา
ทดสอบเจาะระบบเว็บแอปพลิเคชันและ API ตามแนวทาง OWASP ครอบคลุมทั้งช่องโหว่ทางเทคนิคและช่องโหว่เชิงตรรกะทางธุรกิจ (business-logic flaws) ที่สแกนเนอร์มองข้าม เช่น การข้ามขั้นตอนการชำระเงิน การยกระดับสิทธิ์ และการเข้าถึงข้อมูลข้ามผู้ใช้ (IDOR/BOLA)
ตรวจสอบแอป iOS และ Android ทั้งฝั่ง client และการสื่อสารกับ backend อ้างอิงมาตรฐาน OWASP MASVS ครอบคลุมการจัดเก็บข้อมูลที่ไม่ปลอดภัย การ reverse engineering การ bypass certificate pinning และช่องโหว่ของ API ที่เชื่อมต่อ
ทดสอบเจาะระบบโครงสร้างพื้นฐานทั้งภายนอกและภายใน (external/internal) การยกระดับสิทธิ์ การเคลื่อนที่ทางข้าง (lateral movement) และการโจมตี Active Directory โดยอ้างอิงเทคนิคจริงตามกรอบ MITRE ATT&CK
ทดสอบอุปกรณ์ IoT และระบบฝังตัวแบบครบวงจร ตั้งแต่ firmware, hardware interface, โปรโตคอลการสื่อสาร ไปจนถึง cloud และแอปที่ควบคุมอุปกรณ์ เพื่อหาช่องโหว่ที่เครื่องมืออัตโนมัติเข้าไม่ถึง
ทุกช่องโหว่มาพร้อมคะแนนความรุนแรงตาม CVSS, Proof-of-Concept ที่ทำซ้ำได้จริง, การวิเคราะห์ผลกระทบเชิงธุรกิจ และคำแนะนำการแก้ไขที่จัดลำดับความสำคัญ ลงนามรับรองโดยผู้เชี่ยวชาญที่ระบุชื่อ ไม่ใช่ผลลัพธ์จากโมเดล
Penetration Testing ที่ดีต้องการทั้งความครอบคลุมและวิจารณญาณ ซึ่งคนหรือเครื่องจักรอย่างใดอย่างหนึ่งให้ไม่ครบ AI ที่ทำงานเพียงลำพังเร็วแต่ขาดวิจารณญาณ มักสร้าง false positive และมองไม่เห็นช่องโหว่เชิงตรรกะทางธุรกิจ ส่วนแฮกเกอร์ที่ทำงานคนเดียวเก่งแต่มีเวลาจำกัดในแต่ละ engagement เราจึงรวมจุดแข็งทั้งสองเข้าด้วยกัน AI agent ส่วนตัวของเรา (on-prem) จะ enumerate พื้นผิวการโจมตีทั้งหมด รันและเชื่อมโยงผลจากเครื่องมือ ร้อยเรียงเส้นทางการโจมตีที่เป็นไปได้ และร่างหลักฐานภายในไม่กี่นาที จากนั้นผู้เชี่ยวชาญระดับแชมป์โลก Attack & Defense จะเป็นผู้ตัดสิน คัดทิ้งสิ่งที่โมเดลเดาผิด ยืนยันสิ่งที่เป็นจริง และลงมือ exploit ช่องโหว่เชิงตรรกะด้วยมือเพื่อพิสูจน์ผลกระทบที่แท้จริง ผลลัพธ์คือการทดสอบที่ครอบคลุมกว้างกว่า ลึกกว่า และเชื่อถือได้กว่า ในเวลาที่สั้นลง โดยที่มนุษย์เป็นผู้รับผิดชอบทุกคำตัดสิน
ราคาขึ้นอยู่กับขอบเขต (scope) ของงานเป็นหลัก เช่น จำนวนและความซับซ้อนของแอปพลิเคชัน จำนวน IP/host ของโครงสร้างพื้นฐาน ประเภทการทดสอบ (black-box, grey-box, white-box) และระยะเวลาที่ต้องใช้ เราไม่คิดราคาแบบเหมารวมตายตัว แต่จะประเมินให้หลังพูดคุยขอบเขตกับคุณ เพื่อให้ได้ราคาที่สะท้อนความเสี่ยงจริงของระบบ ติดต่อทีมงานเพื่อขอใบเสนอราคาตามขอบเขตของคุณได้
โดยทั่วไปใช้เวลาประมาณ 1-3 สัปดาห์ต่อ engagement ขึ้นอยู่กับขนาดและความซับซ้อนของขอบเขต เว็บแอปขนาดเล็กอาจใช้เวลาไม่กี่วัน ขณะที่การทดสอบโครงสร้างพื้นฐานขนาดใหญ่หรือหลายระบบพร้อมกันจะใช้เวลานานกว่า ด้วยวิธีการแบบ augmented ที่ AI agent ช่วยกวาดพื้นผิวการโจมตีก่อน ทำให้ผู้เชี่ยวชาญมีเวลาเจาะลึกในจุดที่สำคัญมากขึ้นภายในกรอบเวลาเดียวกัน
Vulnerability Scanning คือการใช้เครื่องมืออัตโนมัติสแกนหาช่องโหว่ที่รู้จักแล้ว ให้ผลเร็วแต่มี false positive สูงและมองไม่เห็นช่องโหว่เชิงตรรกะ ส่วน Penetration Testing คือการที่ผู้เชี่ยวชาญลงมือเจาะระบบจริง ยืนยันและ exploit ช่องโหว่เพื่อพิสูจน์ผลกระทบ คำว่า VAPT (Vulnerability Assessment and Penetration Testing) คือการรวมทั้งสองอย่างเข้าด้วยกัน ซึ่งเป็นแนวทางที่ MAYASEVEN ใช้ คือเริ่มจากการประเมินช่องโหว่อย่างครอบคลุมแล้วต่อด้วยการเจาะระบบด้วยมือเพื่อยืนยันความเสี่ยงที่แท้จริง
รายงานทุกฉบับระบุช่องโหว่ที่ยืนยันแล้วพร้อมคะแนนความรุนแรงตาม CVSS, Proof-of-Concept ที่ทำซ้ำได้, การวิเคราะห์ผลกระทบเชิงธุรกิจ, ขั้นตอนการแก้ไขที่จัดลำดับความสำคัญ และบทสรุปสำหรับผู้บริหาร อ้างอิงมาตรฐานสากลอย่าง OWASP และ MITRE ATT&CK เราดำเนินงานภายใต้ระบบที่ได้รับการรับรอง ISO/IEC 27001:2022 และ ISO 9001:2015 รายงานสามารถใช้ประกอบการตรวจสอบ compliance เช่น PCI DSS หรือข้อกำหนดของหน่วยงานกำกับดูแลได้ และข้อมูลของคุณไม่เคยออกนอกเครือข่ายของเรา
คุยกับทีม MAYASEVEN เพื่อกำหนดขอบเขตและรับใบเสนอราคา — ผู้เชี่ยวชาญตอบกลับภายใน 1 วันทำการ