บันทึกการเรียนรู้พื้นฐานความมั่นคงปลอดภัยไซเบอร์ (Thai)

สามเสาหลักของความมั่นคงไซเบอร์

  • PEOPLE (บุคลากร): การฝึกอบรม Staff Training & Awareness และการพัฒนาความสามารถทางวิชาชีพ (Professional Skills and Qualifications)
  • PROCESS (กระบวนการ): การบริหารจัดการ ระบบ Governance Frameworks และ Best Practices พร้อมการตรวจสอบ Audit
  • TECHNOLOGY (เทคโนโลยี): การติดตั้งและใช้งานเทคโนโลยีแต่ไม่สามารถแทนที่บุคลากรหรือกระบวนการได้ทั้งหมด
  • คำขวัญหลัก: "You can't deploy technology without competent people, support processes or an overall plan." (คุณไม่สามารถใช้งานเทคโนโลยีโดยปราศจากบุคลากรที่มีความสามารถ กระบวนการสนับสนุน และแผนงานโดยรวม)

ความเสี่ยง IT และกรอบแนวคิด

  • ความเสี่ยง IT คือความเสี่ยงที่เกี่ยวข้องกับการใช้งาน ความเป็นเจ้าของ การดำเนินงาน การมีส่วนร่วม อิทธิพล และการนำ IT มาใช้ภายในองค์กร
  • ความเสี่ยงด้าน IT มีศักยภาพที่จะทำลายคุณค่าธุรกิจ และมักเกิดจากการบริหารจัดการกระบวนการและเหตุการณ์ที่ไม่ดี
  • ประเภทความเสี่ยง (Categories of IT risks):
    • Security: ความเสี่ยงจากการเข้าถึงหรือใช้งานข้อมูลไม่ถูกต้อง
    • Availability: ความสามารถในการใช้งานระบบ IT ที่จำเป็นต่อการดำเนินงานไม่เพียงพอ
    • Performance: ประสิทธิภาพลดลงจากการเข้าถึงระบบล่าช้าหรือไม่ทันเวลา
    • Compliance: ไม่ปฏิบัติตามกฎหมาย/regulations ที่เกี่ยวข้อง (ข้อมูลส่วนบุคคล, data protection)
  • ความเสี่ยงแบบตัวอย่าง (Risk examples):
    • ตัวอย่างที่ 1 (Page 7): ความเสี่ยงคือความน่าจะเป็นของภัยคุกคามที่จะก่อให้เกิดความเสียหายโดยการใช้ประโยชน์จากช่องโหว่เมื่อไม่มีมาตรการควบคุม ผลกระทบคือทรัพย์สินบุคคลหรือนิติบุคคล
    • ตัวอย่างการประเมินความเสี่ยงใน Segment Admin / Survey (Page 8): ช่องโหว่ระหว่าง Survey Tool ที่ใช้ TCP no-TLS กับ HTTPS และการเข้าถึงข้อมูล survey results โดยผู้ใช้งานและฐานข้อมูล
  • แนวคิดของการประเมินความเสี่ยง (Risk assessment): ประเมินจาก Threat, Vulnerability, และ Control เพื่อกำหนดการลดความเสี่ยง

ความลับ-ความสมบูรณ์-ความพร้อมใช้งาน (CIA Triad)

  • Confidentiality (ความลับ): ปกป้องข้อมูลไม่ให้ถูกเปิดเผยต่อผู้ที่ไม่ได้รับอนุญาต
  • Integrity (ความสมบูรณ์): ข้อมูลและทรัพยากรไม่ถูกเปลี่ยนแปลงโดยไม่ได้รับอนุญาต
  • Availability (ความพร้อมใช้งาน): ข้อมูลและทรัพยากรเข้าถึงได้สำหรับผู้มีสิทธิ์
  • ความสัมพันธ์กับทรัพย์สิน (Asset) ตาม CIA: การปกป้องทรัพย์สินด้านฮาร์ดแวร์ ซอฟต์แวร์ ข้อมูล และสื่อสาร
  • ตัวอย่างการใช้งาน CIA:
    • ความลับถูกละเมิด = การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต
    • ความสมบูรณ์ถูกทำให้ผิดพลาด = แก้ไข/ลบข้อมูลสำคัญ
    • ความพร้อมใช้งานถูกทำให้ไม่สามารถเข้าถึง = ระบบล่มหรือการปฏิเสธการให้บริการ
  • มุมมองข้อมูลด้านสื่อและทรัพย์สิน (Page 11):
    • ฮาร์ดแวร์/ข้อมูล/ไฟล์/ข้อมูลการสื่อสารที่ถูกละเมิดส่งผลให้ไม่สามารถใช้งานได้

Data Classification (การจำแนกข้อมูล)

  • จุดประสงค์: ปรับปรุงนโยบายความมั่นคงข้อมูล ทำให้ระบุข้อมูลที่เป็นความลับหรือมีความอ่อนไหว และกำหนดการเข้าถึง
  • ขั้นตอนการจำแนกข้อมูล
    • Step 1: Data Inventory (การรวบรวมข้อมูล)
    • Personal Identifiable Information (PII) เช่น ชื่อ ที่อยู่ อีเมล บัตรเครดิต หมายเลขอื่นๆ
    • Customer information: ข้อมูลการชำระเงิน ที่อยู่ บันทึกการซื้อ ฯลฯ
    • Intellectual property: ข้อมูลทางการเงิน การออกแบบผลิตภัณฑ์ บันทึก HR ลอจิสติกส์ภายใน ฯลฯ
    • Step 2: Data Classification (การติดป้ายและกำหนดการเข้าถึง)
    • Restricted (สูงสุด): ข้อมูลที่เข้าถึงภายในองค์กรเท่านั้น หากเปิดเผยอาจก่อให้เกิดอันตรายต่อองค์กร ผู้ร่วมธุรกิจ และลูกค้า
    • Confidential (ลับ/อ่อนไหว): ข้อมูลของลูกค้า พนักงาน หรือข้อมูลที่องค์กรต้องปกป้อง
    • Internal use only (ใช้ภายใน): ข้อมูลที่เข้าถึงได้ภายในองค์กรทั่วไป แต่การเปิดเผยต่อบุคคลภายนอกอาจทำให้เกิดความเสียหายต่อองค์กร
    • Public (สาธารณะ): ข้อมูลที่เผยแพร่ทั่วไป
    • Step 3: Periodic data reassessments (การทบทวนข้อมูลเป็นระยะ) พร้อมนโยบายการเก็บรักษาและการกำจัดข้อมูลที่ไม่ต้องการอีก
  • มาตรฐานระดับความลับ (Security Levels):
    • Public (01) / Private (02) / Confidential (03) / Restricted (04)
    • บทบาท: ความลับสากลที่สื่อสารภายในองค์กร บางข้อมูลอาจต้องเก็บในระบบเฉพาะ (เช่น email encryption) เพื่อรักษาความลับ
  • ตัวอย่างการใช้งานข้อมูลอีเมลและเอกสารแนบ:
    • ข้อความในอีเมลและเอกสารแนบเข้ารหัสด้วย AES-256 และยังคงเข้ารหัสอยู่เว้นแต่ถูกเปิดดู
  • ตัวอย่างการจัดการข้อมูลภายในองค์กร (Data Catalog / Matrix):
    • ตัวอย่างการใช้งานในระบบ Office 365, OneDrive, SharePoint, Teams, Email, Shared Network Drive, Box ฯลฯ พร้อมคำแนะนำการเก็บข้อมูลและการใช้งานของแต่ละคลาสข้อมูล
  • การสื่อสารและการเลือกสถานที่เก็บข้อมูล:
    • ข้อมูล Public: Directory, ประกาศประชาสัมพันธ์, เนื้อหาสาธารณะ
    • Internal Use: แผนงานภายใน งบประมาณ กระบวนการทางธุรกิจ
    • Confidential/Restricted: ข้อมูลทางการเงิน สัญญา บัญชีพนักงาน ข้อมูลส่วนบุคคลที่มีความอ่อนไหว

Authentication, Authorization, Accounting (AAA)

  • AAA คือกรอบการทำงานสามขั้นตอนในการจัดการการเข้าถึงผู้ใช้และการติดตามการใช้งานเครือข่าย
  • Authentication (ใครคือคุณ): ตรวจสอบตัวตนผู้ใช้งานกับฐานข้อมูล เช่น
    • Password, Username และ Password, Digital certificate, Fingerprint, Hardware/Software token ฯลฯ
  • Something you know / Something you have / Something you are:
    • Something you know: รหัสผ่าน, PIN, คำถามความปลอดภัย
    • Something you have: บัตรสมาร์ทการ์ด, ฮาร์ดแวร์โทken, ซอฟต์แวร์โทเคน
    • Something you are: Biometric เช่น ลายนิ้วมือ, การรู้จำใบหน้า
  • Two-Factor Authentication (2FA): ผสานสองในสามประเภทการยืนยันตัวตน
    • ประโยชน์: เพิ่มชั้นป้องกัน ลดความเสี่ยงจากการเดารหัสผ่าน
    • ค่าใช้จ่ายและความซับซ้อนในการติดตั้ง/บริหารจัดการ
    • ในทางปฏิบัติ: บทสรุปของข้อดีข้อเสียตามประเภทต่างๆ (passwords, smart cards, biometrics, virtual smart cards)
  • การพิสูจน์ตัวตนแบบ Biometric และ Token
    • Virtual Smart Card: ฟังก์ชันเหมือนบัตรจริงแต่ฝังอยู่ในเครื่อง โดยไม่มีฮาร์ดแวร์เพิ่มเติม
    • Smart Card และ Tokens: ต้องมีฮาร์ดแวร์ที่ผู้ใช้ต้องพกติดตัว
  • Security trade-offs:
    • การเลือกใช้งานมีข้อดีข้อเสีย: ความสะดวกสบาย vs ความเสี่ยงการถูกหลอกลวงด้วย phishing หรือ brute force
  • การตรวจสอบสิทธิ์ (Authorization): กำหนดบทบาทและสิทธิ์ (Least Privilege) เพื่อให้ผู้ใช้เข้าถึงเฉพาะสิ่งที่จำเป็น
  • Accounting: บันทึกการใช้งาน เช่น ประเภทบริการ เริ่มต้นเวลา ปริมาณข้อมูล ฯลฯ สำหรับการติดตามและ audit

การเข้ารหัส, ลายเซ็นดิจิทัล, ใบรับรอง และ Non-repudiation

  • Encryption: ป้องกัน confidentiality ด้วยการเข้ารหัสข้อมูล
  • ตัวอย่างกระบวนการเข้ารหัส/ถอดรหัส (Page 31)
    • Plain Text: SSN: 783-43-1616
    • Cipher Text: (ตัวอย่างข้อความที่เข้ารหัส)
  • Hashing (การแฮช): ฟังก์ชันแฮชเชิงเข้ารหัสเพื่อให้ได้ Digest ที่ไม่สามารถย้อนกลับได้โดยตรง
  • Digital signatures: ลายเซ็นดิจิทัลเพื่อความถูกต้องและความไม่ปฏิเสธจากผู้ลงนาม (non-repudiation)
  • Certificates: ใบรับรองความถูกต้องของลายเซ็นดิจิทัล

Hashing, Digital Signatures, Certificates, Non-repudiation (ต่อ)

  • ตัวอย่างการแฮช (page 37): Digest ของข้อความตัวอย่างต่างๆ เช่น The red fox jumps over the blue dog
  • Non-repudiation: การไม่สามารถปฏิเสธการกระทำที่ลงนามหรือส่งข้อความได้ในทางกฎหมาย

Access control บทบาทและ RBAC

  • RBAC (Role-Based Access Control): กำหนดสิทธิ์ตามบทบาท เช่น Administrator, Manager, User
  • บทบาทและสิทธิ์ (Permissions) สำหรับแต่ละบทบาท เช่น System Settings, Select, Create, Update, Delete, Password Reset ฯลฯ
  • แนวคิดหลัก: คำสั่ง/ทรัพยากร/ข้อมูลที่ผู้ใช้สามารถเข้าถึงขึ้นกับบทบาทที่มอบให้

Steganography (การซ่อนข้อมูล)

  • แนวคิด: ซ่อนข้อความลับในไฟล์ปกติ (Carrier File) โดยผู้รับจะเห็นข้อความปกติแต่ข้อมูลจริงถูกซ่อนอยู่ในข้อมูลสำเนา
  • ตัวอย่างภาพถ่าย Cover Image ที่ซ่อน Secret Image

Hashing, Digital signatures, Certificates, Non-repudiation (ต่อ) – ระดับความสำคัญ

  • Hashing ใช้ใน Password Storage: ตัวอย่างการเก็บรหัสผ่านในฐานข้อมูลแบบ hashed (ไม่ควรเก็บ plaintext)
  • Digital signatures และ Certificates ช่วยรักษาความเชื่อถือและไม่สามารถปฏิเสธการทำธุรกรรมได้

Encryption: แม่แบบกระบวนการและมาตรฐาน

  • Encrypt/Decrypt: กระบวนการเปลี่ยน plaintext ให้เป็น ciphertext เพื่อรักษาความลับ
  • ตัวอย่างการใช้งาน: AES-256 เป็นมาตรฐานที่นิยม (อธิบายแนวคิดไม่ลงรายละเอียดการใช้งานจริง)
  • ความสำคัญ: การรักษาความลับข้อมูลระหว่างการสื่อสารและเก็บข้อมูล

Access control: RBAC (สรุป)

  • RBAC คือการควบคุมการเข้าถึงตามบทบาทผู้ใช้
  • ตัวอย่างบทบาท: Administrator, Manager, User พร้อมสิทธิ์ในการใช้งานที่ต่างกัน
  • หลักการ Least Privilege: มอบสิทธิ์น้อยที่สุดที่จำเป็นในการทำงาน

Redundancy, Fault Tolerance และ Availability

  • Redundancy: การทำสำรองข้อมูล/ส่วนประกอบเพื่อเพิ่มความทนทาน
  • Fault tolerance: ความสามารถในการดำเนินงานแม้มีข้อผิดพลาด
  • Patching: การติดตั้งแพตช์เพื่ออัปเดตความปลอดภัย
  • MTBF = MTTF + MTTR MTBF = MTTF + MTTR
  • Availability = \frac{MTTF}{MTTF + MTTR} = \frac{MTTF}{MTBF}
  • ตัวอย่างระดับ Availability:
    • 99.9% = ประมาณ 8.76 ชั่วโมง downtime ต่อปี
    • 99.99% = ประมาณ 1.01 นาที downtime ต่อวัน (ตัวเลขจากตารางในสไลด์)
  • RAID: Data Mirroring/Striping
    • RAID 0: Striping
    • RAID 1: Mirroring
    • RAID ระดับสูงรวม Striping + Redundancy
  • ตาราง Availability (สรุปแนวคิด): Downtime ต่อปี/เดือน/สัปดาห์ และเปอร์เซ็นต์ Availability เช่น 90%, 95%, 99%, 99.9%, 99.99%, 99.999%

Safety และ Physical Security

  • Safety: ความปลอดภัยของคนและทรัพย์สิน
  • แนวทาง: fencing, lighting, locks, CCTV, escape plans, drills, escape routes
  • Fire safety & evacuation plans: แผนอพยพและ rules สำหรับฝึกซ้อมไฟไหม้
    • Fire Escape Plan: พื้นที่ You are here, ทางออกฉุกเฉิน, เบอร์ติดต่อฉุกเฉิน, จุดรวมตัว
    • Fire Drill Rules: 1) Stop what you are doing, 2) Line up quietly, 3) Walk out of the building

Layered Security / Defense in Depth

  • แนวคิด: ความมั่นคงไม่ควรพึ่งพาเทคโนโลยีเดียว แต่ต้องหลายชั้น
  • โครงสร้าง Castle analogy: outer curtain, moat, inner ward, inner curtain, inner gate, outer gate, towers, etc.
  • คำแนะนำด้านการออกแบบการรักษาความมั่นคง (Defense in Depth):
    • Perimeter Controls (เส้นทาง Internet/Perimeter Defense)
    • Remote Access (VPN, 3rd party access)
    • Network Architecture (Firewalls, Routers, Switches, 3rd party VPNs)
    • Host Security (OS ของ Servers/Workstations)
    • Application Security (SCADA, EMS, Database, Web, ฯลฯ)
    • Communications to Field Devices (ข้อมูลถูกส่งผ่านเครือข่ายภาคสนาม)
    • Field Devices (PLCs, RTUs, IEDs, Plant Equipment)
  • แนวทางการนำไปใช้งานร่วมกับ Architecture เช่น การหันไปสู่การออกแบบที่มีหลายชั้นและการควบคุมที่สอดคล้องกับความเสี่ยงที่พบ

Identity, Directory Services, และ SSO / Identity Providers

  • On-premises AD (Active Directory) และการทำงานร่วมกับ MFA, Conditional Access, Privileged Identity Management, Identity Protection
  • Architecture ระหว่าง Cloud และ On-premises: Office 365, Azure AD, SaaS applications, และผู้ให้บริการ Identity Providers
  • Kerberos (Cerberus) และ AD: โครงสร้าง KDC (Key Distribution Center) มี AS (Authentication Service) และ TGS (Ticket Granting Service) เพื่อออก Service Tickets ให้ผู้ใช้งาน
  • LDAP: Lightweight Directory Access Protocol ใช้สำหรับ query/manage information ใน Directory Service (เช่น AD) และ Port 389 (ฐานข้อมูล LDAP)
  • SSO (Single Sign-On): ผู้ใช้ลงชื่อเข้าใช้ครั้งเดียวและสามารถเข้าถึงหลายแอปพลิเคชันได้โดยไม่ต้องลงชื่อเข้าใช้อีกครั้ง
  • MFA (Multi-Factor Authentication): การยืนยันตัวตนด้วยหลายปัจจัย (เช่น Password + OTP + Hardware token หรือ biometrics)

LDAP ในบริบทของ Authentication Services (เปรียบเทียบ AD/Kerberos/LDAP)

  • AD: ฐานข้อมูล Windows สำหรับการตรวจสอบการเข้าถึงและการจัดการทรัพยากร
  • Kerberos: กลไกการยืนยันตัวตนและการให้บริการเข้าถึง (AS/TGS) ผ่าน Ticket-based authentication
  • LDAP: โปรโตคอลสำหรับค้นหาและจัดการข้อมูลใน Directory Service (AD ใช้ LDAP เป็นส่วนหนึ่งของการสืบค้นข้อมูล)
  • ความต่างทางเทคนิค: AD เป็นฐานข้อมูล Windows เพื่อการตรวจสอบและการเข้าถึง ในขณะที่ Kerberos เป็นกระบวนการยืนยันตัวตน และ LDAP ใช้สำหรับ query/manage ข้อมูลใน Directory Service
  • พอร์ตที่ใช้งาน: LDAP ปกติที่ TCP 389 (และ Secure LDAP ที่ SSL/TLS)

การตรวจสอบตัวตนเดียว (SSO) และการใช้งานร่วมกับ MFA/IDP

  • SSO ช่วยลดรอบการลงชื่อเข้าใช้ของผู้ใช้ในหลายแอปพลิเคชัน
  • มองภาพรวม: ผู้ใช้งานสามารถลงชื่อเข้าใช้ที่ศูนย์หนึ่ง (Identity Provider) แล้วเข้าถึงแอปพลิเคชันต่างๆ ได้
  • แนวโน้มการใช้งาน: SSO ร่วมกับ MFA และ Conditional Access เพื่อปรับปรุงความมั่นคงและประสบการณ์ผู้ใช้งาน

ข้อสรุปเพิ่มเติมที่สำคัญ (ข้อมูลทั่วไปจากสไลด์)

  • Encryption ใช้เพื่อ Confidentiality ในระดับสูง (AES-256 เป็นตัวอย่างที่พบในสไลด์)
  • Steganography เป็นวิธีซ่อนข้อมูลในสื่อทั่วไป เพื่อความลับเพิ่มเติม
  • Data Classification เป็นจุดเริ่มต้นที่สำคัญของการบริหารข้อมูล: กำหนดนโยบายการเก็บรักษา การเข้าถึง และการลบข้อมูลที่ไม่จำเป็น
  • Email Encryption: บางกรณีอีเมลและเอกสารแนบถูกเข้ารหัสด้วย AES 256 และสามารถรักษาการเข้ารหัสได้จนกว่าจะถูกเปิดดู
  • การติดตั้งการควบคุมการเข้าถึง (RBAC) ช่วยให้การมอบสิทธิ์เป็นไปอย่างมีเหตุผลและทำตามหลักความปลอดภัย Least Privilege
  • การทบทวนและการปรับปรุงอย่างสม่ำเสมอเป็นส่วนหนึ่งของ Data Classification (Step 3) เพื่อแน่ใจว่าการเข้าถึงยังเหมาะสมกับบทบาทและหน้าที่
  • กรอบ Defense in Depth เน้นการใช้นโยบายควบคุมหลายชั้นที่ครอบคลุมทั้ง Perimeter, Network, Host, Application และ Field Devices
  • ความปลอดภัยทางกายภาพและ Fire Evacuation Plans มีบทบาทสำคัญใน Safety ของบุคคลและทรัพย์สินภายในองค์กร
  • มีการนำเสนอแบบตัวเลขที่สำคัญเกี่ยวกับ Availability เช่น Mean Time To Repair (MTTR) และ Mean Time To Failure (MTTF) และสูตรต่างๆ เช่น MTBF = MTTF + MTTR และ Availability = rac{MTTF}{MTTF + MTTR}
  • การบริหารความเสี่ยงรวมถึงการมองเห็นและจัดการกับความเสี่ยง IT ผ่านกรอบต่างๆ เช่น Confidentiality/Integrity/Availability, Data Classification, AAA, และ Layered Security

หมายเหตุเพิ่มเติมสำหรับการสอบ

  • เข้าใจแนวคิด CIA Triad และการประยุกต์ใช้งานในสถานการณ์จริง เช่น การออกแบบระบบที่มีการควบคุมความลับ ความสมบูรณ์ ความพร้อมใช้งาน อยู่ในระดับใด
  • สามารถอธิบายแนวคิด RBAC และ Least Privilege พร้อมยกตัวอย่างบทบาท Administrator/Manager/User และความแตกต่างกับ ACL (Access Control List) ได้
  • สามารถอธิบายการทำงานของ Kerberos, AD, LDAP และ SSO ได้อย่างคร่าว ๆ พร้อมการเชื่อมต่อระหว่าง Identity Providers และ Cloud และ On-Premises
  • สามารถอธิบายขั้นตอนการเข้ารหัส/ถอดรหัสและตัวอย่างกรณีใช้งาน (เช่น AES-256) และแนวคิดด้าน Non-repudiation ในลายเซ็นดิจิทัล
  • สามารถอธิบายแนวคิด Layered Security และ Defense in Depth พร้อมการจัดลำดับความเสี่ยงในแต่ละชั้น (Perimeter, Remote Access, Network, Host, Application, Field Devices) ได้
  • จำแนกข้อมูลตามระดับความลับ และอธิบายกรณีของ Public/Internal/Confidential/Restricted พร้อมตัวอย่างประเภทข้อมูลและข้อกำหนดการเข้าถึง
  • เข้าใจการอัปเดตข้อมูลด้านความปลอดภัย เช่น Patch Management และการสำรองข้อมูล/RAID เพื่อความต่อเนื่องในการดำเนินงาน