บริษัท Pentest ในไทย 2026: เทียบ 12 บริษัทตรงไปตรงมา โดยบริษัท Pentest เอง
ลองค้นคำว่า "บริษัท pentest ในไทย" ดู ผลลัพธ์ส่วนใหญ่เป็นบทความจากบริษัทต่างชาติที่ไม่มีออฟฟิศในไทย ไม่เคยส่งทีมมาทดสอบระบบให้ลูกค้าไทยสักงาน แต่จัดอันดับให้ตัวเองเป็นที่หนึ่ง แล้วเติมรายชื่อบริษัทที่บางเจ้าขายแค่ผลสแกนใส่ปกสวยเข้ามาให้ลิสต์ดูยาว
เราเองก็เป็นบริษัท Pentest ในกรุงเทพฯ ปัญหาของเราเลยกลับข้างกัน: เรารู้จักตลาดนี้ดีพอจะเขียนลิสต์แบบนี้ แต่เขียนจัดอันดับตลาดที่ตัวเองลงแข่ง ยังไงก็มี Conflict of Interest เราเลยวางกติกาง่ายๆ: Reconix อยู่ในลิสต์ด้วย แต่ไม่จัดอันดับตัวเองเหนือใคร จัดกลุ่มตามว่าแต่ละเจ้าสร้างมาเพื่องานแบบไหน โดยข้อมูลทุกรายการอ้างอิงจากสิ่งที่บริษัทนั้นเผยแพร่เองหรือข้อมูลจดทะเบียนของกรมพัฒนาธุรกิจการค้า และงานไหนเจ้าอื่นเหมาะกว่า เราบอกชื่อให้เลย บริษัทในลิสต์นี้คือทีมที่เราเจอหน้ากันจริงใน RFP และบางเจ้าก็เคยเฉือนเราในดีลมาแล้ว
เกณฑ์คัดเลือก
สามข้อนี้ตัดสินว่าใครได้อยู่ในลิสต์:
- มีทีมส่งมอบงานในไทยจริง มีนิติบุคคลหรือทีมประจำในไทย ไม่ใช่บินเข้ามาอาทิตย์เดียวแล้ววางบิลจากต่างประเทศ
- ทดสอบแบบ Manual ได้จริง มีทีมที่ลงมือเจาะระบบเอง ไม่ใช่รันเครื่องมือสแกนแล้วเย็บเล่มส่ง ต่างกันยังไงอ่านได้ใน VA กับ Pentest ต่างกันอย่างไร
- มีผลงานเป็นสาธารณะ งานวิจัย, การพูดในงาน Conference, ผลการแข่งขัน, Certification ที่ตรวจสอบได้ หรือ Accreditation ระดับบริษัท ข้อความการตลาดอย่างเดียวไม่นับ
ไม่มีบริษัทไหนจ่ายเงินเพื่ออยู่ในลิสต์นี้ และเราไม่ได้ติดต่อใครก่อนเผยแพร่ ลิสต์นี้ไม่ใช่ทั้งตลาด: ทีมเก่งๆ ในไทยมีมากกว่ารายชื่อที่เราเอ่ยถึง และมีเจ้าใหม่เกิดขึ้นทุกปี ถ้าคุณเป็นบริษัทที่เราตกหล่นและผ่านเกณฑ์สามข้อ ติดต่อเข้ามาได้ครับ
ภาพรวมตลาด
| บริษัท | ที่ตั้ง | จดทะเบียน | สร้างมาเพื่อ |
|---|---|---|---|
| Reconix | กรุงเทพฯ | 2022 | Pentest เชิงลึก, Red Teaming, Web3 และ AI Security |
| MAYASEVEN | กรุงเทพฯ + สิงคโปร์ | 2017 | Pentest และ Red Teaming สำหรับองค์กรใหญ่ |
| Incognito Lab | กรุงเทพฯ | 2016 | Pentest, Red Teaming และ Training |
| Datafarm | กรุงเทพฯ | 2012 | Pentest บวกบริการ MSSP |
| Secure D | กรุงเทพฯ + กัวลาลัมเปอร์ | 2018 | ความปลอดภัย Mobile App และ Biometric |
| Siam Thanat Hack (STH) | กรุงเทพฯ | 2018 | เจาะ Logic Flaw ใน Web และ Mobile App ที่เขียนเอง |
| SnoopBees | กรุงเทพฯ | 2017 | Pentest, Code Review และงานวิจัย CVE สาธารณะ |
| SecStrike | ไทย + สหราชอาณาจักร | 2024 | Pentest as a Service เสริมด้วยเครื่องมือ AI |
| McAiden Consulting | กรุงเทพฯ | 2022 | ทีม Pentest ขนาดกะทัดรัด เด่นเรื่อง Mobile |
| Hacktivate | กรุงเทพฯ | 2020 | Pentest Web, Mobile, Network พร้อม Certification แน่น |
| ECQ | ไทย + สิงคโปร์, เวียดนาม, สหรัฐฯ | 2008 | Pentest และ Red Teaming แบบ CREST ทั่วภูมิภาค |
| Vantage Point Security | สิงคโปร์ มีออฟฟิศกรุงเทพฯ | 2014 (สิงคโปร์) | งานทดสอบแบบ CREST สำหรับสถาบันการเงินระดับภูมิภาค |
| Big 4 (Deloitte, EY, KPMG, PwC) | กรุงเทพฯ | หลายสิบปี | งานทดสอบที่พ่วงอยู่ในงาน Advisory ขนาดใหญ่ |
ปีจดทะเบียนตรวจจากข้อมูลกรมพัฒนาธุรกิจการค้าทีละบริษัท เจ้าไหนเล่าประวัติของตัวเองย้อนไปก่อนปีจดทะเบียน เราระบุไว้ในรายละเอียดของบริษัทนั้น ต่อไปคือรายละเอียดแยกตามกลุ่ม
กลุ่มทีม Offensive เฉพาะทาง
บริษัทกลุ่มนี้ทำงานทดสอบเป็นธุรกิจหลัก คนที่ขายงานกับคนที่ลงมือเจาะระบบอยู่ใกล้กัน ถ้าโจทย์ของคุณคือหาช่องโหว่ที่สำคัญจริงในแอปที่เขียนเอง หรือระบบระดับธนาคาร ความลึกอยู่ที่กลุ่มนี้
Reconix (เราเอง)
ทีมเราอยู่ที่กรุงเทพฯ ก่อตั้งปี 2022 และควบรวมกับ Inspex บริษัทด้านความปลอดภัย Web3 ในปี 2024 เราทำเฉพาะงาน Offensive: Penetration Testing, Red Teaming, Smart Contract Audit และการทดสอบ AI/LLM ส่งมอบงานมากกว่า 500 โปรเจกต์ตั้งแต่ปี 2022 รวมถึงธนาคารในกลุ่ม Tier 1 ของไทย ทีมทดสอบถือ OSCP, OSCP+, OSWE, eWPT, eMAPT และ CRTA และเราเขียนรีวิวการสอบลงบล็อก ให้คุณประเมินระดับทีมได้เอง ผลการแข่งขัน: แชมป์ Thailand Cyber Top Talent ปี 2021, 2022, 2024 และ 2025 แชมป์ Cyber SEA Game ปี 2019 และ 2021 และติด Top 20 ระดับโลกใน Paradigm CTF การทดสอบทุกงานใช้ PROVE Methodology ที่เราเผยแพร่ไว้
เรายังอยู่ในเครือ Bay Computing และ Beryl 8 ดังนั้นทีม Offensive ของเรามีโซลูชันความมั่นคงปลอดภัยไซเบอร์ครบวงจรของ BAYCOMS และงานฝั่ง Blue Team ของ ECOP อย่างครอบคลุม ส่วน Reconix เองโฟกัสเฉพาะงาน Offensive: ถ้าโจทย์หลักของคุณคือ SOC เฝ้าระบบ 24/7 หรืองานที่ปรึกษาสำหรับ compliance เราส่งต่อให้ถูกทีมในเครือ ไม่ฝืนรับเอง
MAYASEVEN
ฐานหลักอยู่กรุงเทพฯ และมีออฟฟิศที่สิงคโปร์ ประวัติทีมเริ่มปี 2012 จดทะเบียนบริษัทปี 2017 นับจากปีไหนก็ยังเป็นบริษัท Pentest เฉพาะทางที่อยู่มานานที่สุดเจ้าหนึ่งของไทย ประกาศผลงานมากกว่า 500 โปรเจกต์ มีลูกค้าในกลุ่ม SET50 และ SET100 ตัวบริษัทได้ ISO/IEC 27001:2022 และ ISO 9001 ขอบเขตงานครอบคลุม Web, Mobile, Infrastructure, IoT และ Red Teaming องค์กรใหญ่ใส่ชื่อนี้ใน shortlist ได้แบบไม่ต้องคิดมาก และเป็นทีมที่เราเคารพทุกครั้งที่เจอกันใน RFP
Incognito Lab
อยู่ในวงการมาตั้งแต่ปี 2012 และจดทะเบียนบริษัทปี 2016 ทีมกรุงเทพฯ เจ้านี้ให้บริการ Pentest, Red Teaming, Consulting และ Training มีผลงานทั้งในไทย, APAC และ EU ผู้ร่วมก่อตั้งเคยนำเสนองานวิจัยที่ Black Hat São Paulo ปี 2014 ซึ่งเป็นคนไทยกลุ่มแรกที่ได้พูดบนเวที Black Hat
Datafarm
ทีมงาน 80+ คนในกรุงเทพฯ ถือ Certification รวมกันเกือบเท่าจำนวนหัว จดทะเบียนปี 2012 บริการหลักคือ VA, Penetration Testing และ Red Team Assessment และต่างจาก Boutique เจ้าอื่นตรงที่มีบริการ Managed Services ด้วย ทั้ง Threat Hunting, Incident Response และ MSSP ทีมงานเขียนบทความเทคนิคภาษาไทยออกมาสม่ำเสมอ ซึ่งเป็นหลักฐานสาธารณะแบบที่เราใช้คัดเลือกพอดี จุดขายของเขาคือจบที่เจ้าเดียว ทั้งงานทดสอบเชิงรุกและเฝ้าระบบต่อเนื่อง ซึ่งกับทีมขนาดนี้ก็ไม่ใช่คำพูดลอยๆ
Secure D
เปิดดำเนินงานปี 2018 จากกรุงเทพฯ และกัวลาลัมเปอร์ ความเชี่ยวชาญเฉพาะคือ Mobile: เทคนิค Bypass Root Detection, SSL Pinning และ End-to-End Encryption ในแอปธนาคารจริง บวกกับ Niche ที่หาตัวจับยากคือการทดสอบ Biometric Liveness และ Presentation Attack Detection ครอบคลุม Deepfake Injection และ Replay Attack เป็นสมาชิก OWASP และคอมมูนิตี้ 2600Thailand ถ้าผลิตภัณฑ์ของคุณเป็น Mobile App ที่ยืนยันตัวตนด้วยใบหน้าหรือลายนิ้วมือ ควรมีชื่อนี้ใน shortlist คู่กับเรา
Siam Thanat Hack (STH)
ชื่อจดทะเบียนของเขาคือ "สยามถนัดแฮก" แค่ชื่อก็บอกแนวทางแล้ว ทีม White Hat จากกรุงเทพฯ ที่เน้นหา Logic Flaw และจุดอ่อนเชิงออกแบบใน Web และ Mobile App ที่องค์กรเขียนเอง มีผลงานกับธนาคารและ Telco ในไทย รวมถึงงานในเวียดนาม สหรัฐฯ และเยอรมนี จดทะเบียนปี 2018 หลักฐานสาธารณะแน่นจนเถียงยาก: ทีมอ้างอิงแชมป์ Flare-On Challenge ด้าน Reverse Engineering ปี 2017 และ 2018 และเป็นคนดูแล สอนแฮกเว็บแบบแมวๆ คอมมูนิตี้สอนแฮกเว็บภาษาไทยที่ใหญ่ที่สุดบน Facebook ขนาดแพ็กเกจบริการยังตั้งชื่อว่า Poring, Lunatic และ Creamy
SnoopBees
ทีมเล็กในกรุงเทพฯ จดทะเบียนปี 2017 ให้บริการ Penetration Testing, สแกนช่องโหว่, Source Code Review และ Training ด้าน Secure Coding แต่ที่ติดลิสต์นี้เพราะผลงานวิจัยล้วนๆ: ทีมเผยแพร่ Advisory และ CVE สาธารณะจากช่องโหว่ที่ค้นพบเอง ตั้งแต่ Authentication Bypass จนถึง Remote Code Execution ในซอฟต์แวร์องค์กร อยากให้คนที่เจาะแอปเป็นคนเดียวกับที่สอนทีม Developer ของคุณ ทีมแบบนี้มีไม่กี่เจ้า
SecStrike
มีออฟฟิศทั้งในไทยและสหราชอาณาจักร นิติบุคคลไทยจดทะเบียนปี 2024 น้องใหม่สุดของลิสต์นี้ จุดต่างอยู่ที่รูปแบบการส่งมอบ: Pentest as a Service ผ่านแพลตฟอร์มของตัวเอง ผสมการทดสอบแบบ Manual กับ Automation ที่เสริมด้วย AI และรายงานแบบ Real-time พร้อมบริการ VA, Red Teaming, Phishing Simulation และ Incident Response สร้างมาเพื่อทีมที่เลิกเชื่อโมเดลงานปีละครั้งจบด้วย PDF หนึ่งเล่ม แล้วอยากได้การทดสอบต่อเนื่องผ่านแพลตฟอร์มแทน
McAiden Consulting
ทีม Pentest ในกรุงเทพฯ ที่ตั้งใจคุมขนาดองค์กรให้เล็กและคล่องตัว จดทะเบียนปี 2022 บริการเรือธงคือการทดสอบ Mobile Application พ่วงด้วยการทดสอบ Desktop Application และ Wireless Network บริษัทวางจุดขายว่าโครงสร้างทีมเล็กช่วยให้ราคาสมเหตุสมผล ซึ่งกับงาน Mobile ที่ Scope ชัดๆ ตัวเลขแบบนี้เข้าทางคุณ น่าพิจารณาเมื่อเป้าหมายคือ Mobile App และอยากได้มือระดับ Senior โดยไม่ต้องจ่าย Overhead ของบริษัทใหญ่
Hacktivate
อีกหนึ่งทีมจากกรุงเทพฯ จดทะเบียนปี 2020 ให้บริการ Penetration Testing ทั้ง Web, Mobile และ Network พร้อม Vulnerability Assessment และ Source Code Review สำหรับทีม Boutique ถือว่า Certification กระจายกว้างมาก: OSCP, OSCE, OSWE, GXPN, CRTO และ BSCP ซึ่งส่วนผสมนี้ ทั้ง Exploit Development และ Web แบบ White-box คือของจริงที่งานทดสอบ Application เชิงลึกต้องใช้ สมาชิกทีมยังเป็น Mentor ในงาน Cyber Warrior Hackathon ด้วย
กลุ่มบริษัทระดับภูมิภาค/นานาชาติ
ECQ
สำนักงานใหญ่อยู่ไทยในชื่อ E-CQURITY (Thailand) จดทะเบียนปี 2008 ปีจดทะเบียนเก่าสุดในลิสต์นี้ และมีทีมในสิงคโปร์ เวียดนาม และสหรัฐฯ งานหลักเป็นสาย Offensive: Penetration Testing, Adversary Simulation ที่ครอบคลุมทั้งก่อนและหลังการเจาะเข้าระบบครั้งแรก, ความปลอดภัย OT/ICS และ Training เป็นสมาชิก CREST ที่ได้รับ Accreditation ด้าน Penetration Testing ลูกค้าโดยธรรมชาติของเขาคือองค์กรภายใต้การกำกับดูแลหรือองค์กรหลายประเทศ ที่ต้องการงาน Red Team เชิงลึกพร้อม Accreditation ไว้ตอบฝ่ายจัดซื้อ
Vantage Point Security
สำนักงานใหญ่ที่สิงคโปร์ ก่อตั้งปี 2014 มีออฟฟิศที่สิงคโปร์ ไทย และอินโดนีเซีย ได้ CREST Accreditation, ISO 27001 และใบอนุญาตจาก CSRO ของสิงคโปร์ เน้นหนักกลุ่มธนาคารและสถาบันการเงิน ทีมที่ปรึกษามีส่วนร่วมพัฒนามาตรฐานการทดสอบความปลอดภัย Mobile ของ OWASP บริษัทประกาศปริมาณงานทดสอบมากกว่า 80,000 ชั่วโมงต่อปีทั่วภูมิภาค ถ้าคุณเป็นธนาคารระดับภูมิภาคที่ไฟล์ Vendor ต้องมี CREST และอยากใช้เจ้าเดียวทั้งภูมิภาค สุดท้ายฝ่ายจัดซื้อก็จะวนมาที่ชื่อนี้
Big 4
Deloitte, EY, KPMG และ PwC ขายบริการ Penetration Testing ในไทยทุกเจ้า มักพ่วงอยู่ในงาน Risk Advisory ก้อนใหญ่ สิ่งที่ได้คือ Methodology ระดับโลก ชื่อที่กรรมการตรวจสอบของคุณคุ้นอยู่แล้ว และราคาที่สมศักดิ์ศรี สองอย่างที่ควรเช็กก่อนเซ็น: ใครเป็นคนทดสอบจริง (การส่งต่อให้บริษัทพันธมิตรหรือทีม Junior เป็นเรื่องปกติ) และงบส่วนงานทดสอบเหลือเท่าไรหลังหักค่า Advisory ถ้าวัดความลึกของงานทดสอบต่อบาท กลุ่ม Boutique ข้างบนคุ้มกว่า
วิธีเลือก
ไม่ว่าจะ shortlist เจ้าไหน สี่ข้อนี้แยกงานทดสอบจริงออกจากการขายผลสแกนได้เสมอ:
- ถามว่าใครจะอยู่ในงานของคุณ ชื่อและ Certification ของผู้ทดสอบตัวจริง ไม่ใช่ตู้โชว์รางวัลของบริษัท ถ้าไม่บอก เดินออกได้เลย
- ขอ Sample Report ฉบับปิดข้อมูล ทุกบริษัทในลิสต์นี้ควรมีให้ดู ตัดสินจากขั้นตอน Reproduce และการวิเคราะห์ผลกระทบทางธุรกิจ อย่าตัดสินจากความหนา
- ถามว่างานกี่เปอร์เซ็นต์เป็น Manual แล้วถามต่อว่าปีนี้เจอช่องโหว่ Business Logic อะไรมาบ้าง เจ้าที่ขายผลสแกนจะตอบคำถามที่สองไม่ได้
- เทียบ Scope ก่อน แล้วค่อยเทียบราคา "Pentest" ราคา ฿80,000 กับ ฿350,000 คือสินค้าคนละชิ้นที่ใส่ชื่อเดียวกัน งาน Manual จริงในไทยเริ่มที่ราว ฿150,000 ดูช่วงราคาแยกตามประเภทบริการได้ในคู่มือราคา Pentest ในไทย
อยากได้เกณฑ์ละเอียดกว่านี้ ทั้งตารางให้คะแนนและคำถาม 20 ข้อสำหรับคัดผู้ให้บริการ เราเขียนแยกไว้แล้วในคู่มือเลือกบริษัท Pentest
คำถามที่พบบ่อย
บริษัท Pentest ในไทยมีกี่เจ้า? สิบสองเจ้าในลิสต์ข้างบนมีทีมทดสอบแบบ Manual ของตัวเองจริง และนั่นยังไม่ใช่ทั้งตลาด: ทีมเก่งๆ ที่เราไม่ได้เอ่ยถึงยังมีอีก ส่วนที่เยอะกว่าทั้งสองกลุ่มคือ IT Integrator และ Reseller ที่รับงานแล้วส่งต่อ หรือนำผลจากเครื่องมือสแกนมาติดป้ายว่าเป็น Penetration Testing
หน่วยงานกำกับดูแลไทยบังคับให้ใช้บริษัทที่มี CREST ไหม? ไม่บังคับ ธปท., PDPA, กลต. และ คปภ. กำหนดให้การทดสอบทำโดยผู้ทดสอบอิสระที่มีคุณสมบัติเหมาะสม แต่ไม่ได้ระบุ CREST หรือ Accreditation ระดับบริษัทใดเป็นการเฉพาะ CREST มีผลจริงๆ กับสถาบันที่เชื่อมโยงกับฝั่งสิงคโปร์เป็นหลัก
ควรเลือกบริษัทไทยหรือบริษัทต่างชาติ? สำหรับระบบที่อยู่ภายใต้การกำกับดูแลในไทย บริษัทไทยได้เปรียบทั้งประสบการณ์ทำรายงานตามแนวทาง ธปท. และ PDPA, การ Debrief ภาษาไทยให้ทีม Developer และการเข้าหน้างานได้จริง ในราคาต่ำกว่า 30 ถึง 50 เปอร์เซ็นต์ บริษัทต่างชาติเหมาะกับโปรแกรมหลายประเทศที่ต้องใช้ Methodology เดียวกันทุกที่
Pentest ในไทยราคาเท่าไร? งานทดสอบแบบ Manual จริงเริ่มราว ฿150,000 ถึง ฿300,000 สำหรับ Web App ขนาดเล็ก และขยับตาม Scope ใบเสนอราคาที่ต่ำกว่า ฿100,000 มาก ส่วนใหญ่คือผลสแกนอัตโนมัติที่แต่งตัวมาเป็น Pentest ดูรายละเอียดในคู่มือราคา Pentest
สรุป
- ลิสต์นี้คือจุดตั้งต้น ไม่ใช่รายการทั้งตลาด 12 เจ้าที่ยืนยันได้อยู่ตรงนี้ ตัวจริงเจ้าอื่นยังมีอีก และลิสต์ "Top Companies" ส่วนใหญ่ที่คุณเจอ ไม่ได้เขียนโดยเจ้าไหนในนั้นเลย
- เลือกประเภทบริษัทให้ตรงกับงาน Boutique สำหรับความลึกในระบบสำคัญ, CREST ระดับภูมิภาคสำหรับงานธนาคารข้ามประเทศ, และ Big 4 เมื่อบอร์ดยืนยันว่าต้องเป็นชื่อใหญ่เท่านั้น
- สี่ข้อเช็กใช้ได้กับทุกเจ้า รวมถึงเรา ชื่อผู้ทดสอบ, Sample Report, สัดส่วนงาน Manual และราคาที่ตรงกับ Scope
กำลังคัดผู้ให้บริการอยู่? ติดต่อ Reconix แล้วถามคำถามยากๆ กับเราได้เลย: ใครจะทดสอบระบบคุณ ถือ Certification อะไร และเคยเจาะอะไรมาแล้วบ้าง ครึ่งหนึ่งของคำตอบเราเขียนไว้ในบล็อกนี้แล้ว
บทความที่เกี่ยวข้อง
- คู่มือเลือกบริษัท Pentest: สิ่งที่ควรประเมินก่อนเซ็นสัญญา (เกณฑ์ละเอียด ตารางให้คะแนน และคำถาม 20 ข้อ)
- ราคา Pentest ในไทย: ปัจจัยที่กำหนดราคาและงบที่ควรตั้ง (ช่วงราคาแยกตามประเภทบริการ)
- VA กับ Pentest ต่างกันอย่างไร (ตัดสินใจก่อนว่างานของคุณต้องการแบบไหน)
บริการที่เกี่ยวข้องจาก Reconix
- Penetration Testing การทดสอบแบบ Manual ตาม PROVE Methodology โดยทีมที่เล่าไว้ข้างบน
- Red Teaming จำลองการโจมตีจริงสำหรับองค์กรที่ระบบป้องกันแข็งแรงแล้ว
- Smart Contract Audit ความปลอดภัย Web3 และ DeFi โดยทีม Inspex เดิม
