ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 31 : D3 - ความถูกต้องของข้อมูล AI — data poisoning, embedding tampering, ETL control
2026-06-22 · #IT #AI #Manager
ของที่ AI สร้างขึ้นระหว่างทาง — ข้อมูลที่เตรียมไว้เทรน, น้ำหนักโมเดล, ไฟล์ checkpoint — ถ้าหายหรือถูกแอบแก้ ธุรกิจเจ็บแค่ไหน? ตอนนี้เล่าเรื่องการสำรองของพิเศษของ AI กับการกันไม่ให้ข้อมูล/โมเดลถูกวางยา (data poisoning, model/embedding tampering) และการคุมขั้นตอนเตรียมข้อมูล (ETL) ในมุมเจ้าของกิจการที่ต้องเลือก control ให้ถูก ไม่ใช่มุมคนสร้างโมเดลหรือมุมผู้ตรวจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 30 : D3 - Data Security สำหรับ AI — เข้ารหัส, tokenization, vector DB, homomorphic encryption
2026-06-22 · #IT #AI #Manager
พอเอา AI มาใช้จริง ข้อมูลลับของบริษัทไม่ได้นอนนิ่งในฐานข้อมูลอีกต่อไป — มันถูกแปลงเป็นตัวเลข เก็บในที่ใหม่ๆ และบางจังหวะถูกถอดรหัสออกมาให้โมเดลอ่าน ตอนนี้ไล่ดูว่า data security ของ AI ต่างจากระบบไอทีเดิมตรงไหน: tokenization, embeddings, vector database, data lake, จุดที่ข้อมูลโดนถอดรหัส และ homomorphic encryption — ในมุมเจ้าของที่ต้องเลือก control ให้ถูก ไม่ใช่มุมคนสร้างโมเดลหรือผู้ตรวจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 29 : D3 - Data Governance สำหรับ AI — acquisition, consent, provenance, ทำลายข้อมูล
2026-06-22 · #IT #AI #Manager
AI เก่งได้เพราะข้อมูล แต่ข้อมูลที่ไหลเข้า-ไหลออกจาก AI นี่แหละคือจุดที่บริษัทโดนปรับ โดนฟ้อง และข้อมูลหลุดบ่อยที่สุด ตอนนี้เล่าในมุมคนบริหารว่า ก่อนเอาข้อมูลไปป้อน AI ต้องถามอะไร (ที่มา + consent), ระหว่างใช้ต้องคุมการไหลและสิทธิ์เข้าถึงยังไง, แล้วพอเลิกใช้ต้อง 'ทำลายข้อมูล' ให้สะอาดยังไง — พร้อมกับดักที่เจ้าของกิจการพลาดบ่อย และ control 6 ตัวที่ต้องเลือกให้ถูก
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 28 : D3 - เฟสสร้าง+ทดสอบ — TEVV, AI Red Teaming, จุดเสียบ Human-in-the-Loop, deploy/retire
2026-06-22 · #IT #AI #Manager
พนักงานใหม่เก่งๆ คนนี้ (AI) ผ่านการสัมภาษณ์ + เซ็นสัญญามาแล้ว (Domain 2). Domain 3 คือวันที่เขามาเริ่มงานจริง — เราจะ 'คุมงาน' เขายังไงในแต่ละวัน? ตอนที่ 28 ลงลึก 5 เฟสกลางของวงจรชีวิต AI ที่ผู้บริหารต้องตั้ง control ให้ถูก: ตอนสร้าง/ปรับโมเดล (จุดที่ explainability เกิดหรือตาย), TEVV ทดสอบ 4 ด่าน, AI Red Teaming (จ้างคนมาแกล้งโจมตี AI ตัวเองก่อนโจรจะทำ), จุดเสียบ Human-in-the-Loop, การ deploy เข้า production จริง, การเฝ้า operate & monitor และการ retire/decommission อย่างปลอดภัย
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 27 : D3 - วงจรชีวิต AI 7 เฟส — แผนที่ความเสี่ยงของผู้บริหาร (เทียบ SDLC)
2026-06-22 · #IT #AI #Manager
พนักงานใหม่เก่งๆ คนนี้ (AI) ไม่ได้โผล่มาจากอากาศ — เขามีวงจรชีวิตตั้งแต่ 'เรายังไม่รับเข้ามา' ไปจนถึง 'วันที่ต้องให้เขาออก' ทั้งหมด 7 ช่วง. ตอนที่ 27 เปิด Domain 3 (บทเทคนิคที่สุด แต่เล่ามุมบริหาร) ด้วยแผนที่วงจรชีวิต AI 7 เฟสตามแนว OECD/NIST — Plan & Design, Collect & Process Data, Build/Adapt, TEVV, Deploy, Operate & Monitor, Retire — ว่าแต่ละช่วง 'ความเสี่ยงคนละหน้าตา' และผู้บริหารต้องวาง control ตัวไหนลงตรงไหน. เทียบกับ SDLC ที่หลายคนคุ้นอยู่แล้ว
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 26 : D3 - เลือกโมเดล + ตั้งค่า + AI Change Management (ทำไม rollback ยากกว่าระบบเดิม)
2026-06-22 · #IT #AI #Manager
พนักงานใหม่เก่งๆ คนนี้ (AI) — เราจะ 'ตั้งค่านิสัย' เขายังไง (อุณหภูมิความครีเอทีฟ / temperature), จะ 'เปลี่ยนตัว' ไปใช้รุ่นใหม่ตอนไหน, แล้ววันที่เขาทำพลาดหนักๆ ทำไม 'ถอยกลับ' (rollback) มันถึงยากกว่าซอฟต์แวร์ปกติเป็นสิบเท่า? ตอนที่ 26 ของ Domain 3 ลงมือคุมงานจริงในแต่ละวัน — Configuration Management, AI Model Selection, ผลกระทบเชิงกฎหมาย/สังคม และ AI Change Management 12 องค์ประกอบ + emergency change/rollback ในมุมผู้บริหารที่ต้องเลือก control ให้ถูก
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 25 : D3 - สถาปัตยกรรม AI ที่ปลอดภัย — Secure-by-Design + DevSecOps สำหรับ AI
2026-06-22 · #IT #AI #Manager
เราซื้อ AI มาแล้ว ตัดสินใจแล้วว่าจะ mitigate ความเสี่ยง — คำถามถัดไปคือ 'แล้วจะวางมันลงในบ้านเรายังไงให้ปลอดภัยตั้งแต่วันแรก?' ตอนที่ 25 เปิด Domain 3 ที่ปุ่มแรกของเสื้อ — Secure-by-Design + DevSecOps สำหรับ AI. ผู้บริหารเป็น provider / producer / customer แบบไหน, ความปลอดภัยฝังตั้งแต่ออกแบบหรือแปะทีหลัง, AI ติดข้อมูลแค่ไหน (data dependency), แล้วข้อมูลที่ AI ผลิตออกมาทุกวันไปกองอยู่ตรงไหน (data storage) — มุมผู้บริหารเลือก control ให้ถูก ไม่ใช่ data scientist สอนสร้างโมเดล
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 24 : D3 - รู้จัก AI ที่คุณต้องคุม — ประเภทของ AI (มุมผู้บริหาร: type ไหนคุมยังไง)
2026-06-22 · #IT #AI #Manager
เปิด Domain 3 ของซีรีส์ AAISM — บทเทคนิคที่สุด แต่เล่าในมุมผู้บริหาร ก่อนจะหยิบเครื่องมือคุม AI ต้องรู้ก่อนว่ากำลังคุม AI 'แบบไหน' รวมประเภทตามความสามารถ (ANI/AGI/ASI), generative กับ agentic, การเรียนรู้ของ ML (supervised/unsupervised/reinforcement), neural network, algorithm และ LLM/transformer — โยงทุกประเภทกลับสู่คำถามเดียว: type นี้ผู้บริหารต้องคุมอะไร
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 23 : D2 - ห่วงโซ่ AI ตั้งแต่ prompt ถึงผู้ผลิตชิป (Nth-party, IP) + ปิด Domain 2
2026-06-22 · #IT #AI #Manager
พนักงานใหม่เก่งๆ คนนี้ (AI) — เวลาเราจ้างเขามาเสียบเข้าระบบเดิมที่ใช้มา 20 ปี มันพังตรงไหนได้บ้าง? งานที่เขาทำให้เป็นของเราจริงไหม หรือลอกใครมา? แล้วเขามาจากสายผลิตที่ยาวแค่ไหน — จาก prompt ที่เราพิมพ์ ไล่ย้อนไปถึงโรงงานผลิตชิปในไต้หวันและเครื่องพิมพ์ลายวงจรในเนเธอร์แลนด์ที่เราไม่เคยรู้จัก. ตอนที่ 23 ปิด Domain 2 ด้วย 2 ความเสี่ยงที่ผู้บริหารชอบมองข้าม — Integration Risk (legacy + IP/ลิขสิทธิ์ GenAI) และ AI Software Supply Chain (First→Nth party, MLOps, monitoring) แล้วสรุป Domain 2 ทั้งโดเมน + เกริ่น Domain 3
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 22 : D2 - คุม vendor AI — vetting, monitoring, สัญญา, right-to-audit
2026-06-22 · #IT #AI #Manager
vendor ที่เราใช้อยู่แล้ว แอบยัดฟีเจอร์ AI เข้ามาโดยเราไม่ทันรู้ตัว — แล้วความเสี่ยงใหม่ก็เข้าบ้านมาฟรีๆ ตอนนี้เล่าในมุมคนบริหารที่เป็น 'ผู้ใช้ AI ของคนอื่น' (deployer) ว่าต้องคัด vendor ยังไง, ดูอะไรตอน vetting, คุมต่อเนื่องยังไง, และต้องเขียนอะไรลงสัญญา — right-to-audit, แจ้งเตือนล่วงหน้า, เกณฑ์เลิกใช้ — กับ checklist 9 ข้อที่ทำให้ตอบคำว่า 'ไม่เอา vendor นี้' ได้อย่างมีหลัก
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 21 : D2 - ใครรับผิด — Provider vs Deployer + AI Shared Responsibility Model
2026-06-22 · #IT #AI #Manager
AI ที่เราเอามาใช้ไม่ได้เราสร้างเอง — แล้วถ้ามันทำพัง ใครรับผิด? ตอนนี้แยกให้ชัดว่า 'คนทำ AI ขาย (provider)' กับ 'คนเอา AI มาใช้ (deployer)' ต้องรับผิดชอบคนละส่วนยังไง บทเรียนแชตบอตสายการบินที่ทำบริษัทแพ้คดี และโมเดลแบ่งความรับผิดชอบแบบเดียวกับคลาวด์ — เล่าในมุมเจ้าของกิจการที่ 'เป็นเจ้าของความเสี่ยงเอง' ไม่ใช่มุมผู้ตรวจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 20 : D2 - ภัยที่ไม่ใช่เทคนิค + playbook ลดเสี่ยง (bias, hallucination, deepfake)
2026-06-22 · #IT #AI #Manager
ภัยของ AI ที่ patch ไม่ได้ — มโน, อคติ, พึ่งมากเกินไป, deepfake, ค่าไฟค่าน้ำ, การเมืองโลก ไปจนถึงภัยที่ใช้ AI เป็นอาวุธ แล้วจบด้วย playbook จับคู่ภัย→วิธีรับมือ ในมุมเจ้าของกิจการที่ต้องตัดสินใจและรับมือเอง ไม่ใช่มุมผู้ตรวจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 19 : D2 - เจาะภัยเทคนิคของ AI — data/model poisoning, model theft, evasion, inversion
2026-06-22 · #IT #AI #Manager
พนักงาน AI ที่เราจ้างมาเก่งจริง แต่มันพังตรงไหนได้บ้าง? ไล่ภัยเทคนิคของ AI ทีละแบบ — ข้อมูลรั่วตอนเทรน, วางยาข้อมูล, วางยาโมเดล, ขโมยโมเดล, หลอกด้วย prompt, หลอกให้ทายผิด, และดูดความลับออกจากโมเดล — ในมุมเจ้าของกิจการที่ต้องตัดสินใจรับมือเอง ไม่ใช่มุมผู้ตรวจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 18 : D2 - สนามรบ AI — Threat Landscape + Threat Actors + MITRE ATLAS
2026-06-22 · #IT #AI #Manager
ถ้า AI คือพนักงานใหม่เก่งๆ ที่เราจ้างมา ตอนนี้คือจังหวะนั่งคิดเย็นๆ ว่า 'พนักงานคนนี้มีโอกาสทำพังตรงไหนได้บ้าง แล้วใครจ้องจะหลอกเขา' — เล่าครบเรื่องภัย AI ทั้งฝั่งเทคนิค-ไม่เทคนิค-ภัยที่ AI ช่วยก่อ, ใครคือคนร้าย, และแผนที่ MITRE ATLAS ในมุมเจ้าของกิจการที่ต้องเป็นเจ้าของความเสี่ยงเอง ไม่ใช่มุมผู้ตรวจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 17 : D2 - ตอบสนองความเสี่ยง 4 ทาง + AI Threat Modeling (STRIDE→MAESTRO)
2026-06-22 · #IT #AI #Manager
รู้ว่า AI เสี่ยงตรงไหนแล้ว ต่อไปต้องตัดสินใจว่าจะ รับ-เลี่ยง-ลด-โอน ความเสี่ยงนั้นยังไง แล้วจะ มองล่วงหน้า ว่าพนักงาน AI คนนี้จะทำพังตรงไหนด้วยเครื่องมือ threat modeling ตั้งแต่ STRIDE ยันตัวใหม่อย่าง MAESTRO เล่าในมุมเจ้าของที่เป็นคนตัดสินใจเอง ไม่ใช่มุมผู้ตรวจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 16 : D2 - จัดระดับความเสี่ยง + ขีดที่รับได้ — FAIR-AIR, FRIA, Conformity, Risk Appetite
2026-06-22 · #IT #AI #Manager
AI ที่เราเอามาใช้ ตัวไหน 'พังได้แค่นิดเดียว' ตัวไหน 'พังแล้วถึงคน' — เจ้าของกิจการต้องจัดระดับความเสี่ยงของ AI แต่ละตัว ตีเป็นเงินด้วย FAIR-AIR ทำ FRIA/PIA/Conformity ตอนไหน และขีดที่ 'รับได้' ของบริษัทอยู่ตรงไหน เล่าครบในมุมคนเป็นเจ้าของความเสี่ยง ไม่ใช่มุมผู้ตรวจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 15 : D2 - 2 กรอบหลัก — NIST AI RMF vs EU AI Act (อันไหนบังคับ อันไหนแนะนำ)
2026-06-22 · #IT #AI #Manager
สองกรอบจัดการความเสี่ยง AI ที่ดังที่สุดในโลก — NIST AI RMF (สมัครใจ ยืดหยุ่น) กับ EU AI Act (กฎหมาย บังคับ แบ่ง 4 ระดับเสี่ยง) ต่างกันยังไง เจ้าของกิจการควรหยิบอันไหนมาใช้ และทำไมจริงๆ แล้วใช้ทั้งคู่ ในมุมคนที่ 'เป็นเจ้าของความเสี่ยง' ไม่ใช่คนตรวจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 14 : D2 - เปิด Domain 2 — AI Trust + ทำไม AI risk ไม่เหมือน IT risk เดิม
2026-06-22 · #IT #AI #Manager
เปิด Domain 2 ของซีรีส์ AAISM — มองว่า 'พนักงาน AI' ที่เราจ้างมาอาจทำพังตรงไหนได้บ้าง แล้วเจ้าของกิจการต้องเป็นเจ้าของความเสี่ยงและจัดการเองยังไง เล่าเรื่อง AI Trust 7 คุณสมบัติ, พีระมิดความเสี่ยงองค์กร, วงจรจัดการความเสี่ยง และ 10 ภัยยอดฮิตของ AI ในมุมคนบริหาร ไม่ใช่มุมผู้ตรวจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 13 : D1 - ปิดบท 1: จากตั้งกฎถึงรับมือเหตุ + เกริ่นบท 2
2026-06-22 · #IT #AI #Manager
ปิด Domain 1 ของซีรีส์ AAISM — ถอยออกมามองทั้งเส้นทางที่เราเดินผ่าน 12 ตอน ตั้งแต่ตั้งเจ้าภาพ AI, แบ่งบทบาท/กฎบัตร, กรอบ&กฎหมาย, เลือก use case, สร้างเองหรือซื้อ, เขียนนโยบาย, จริยธรรม, ทำบัญชี AI/Shadow AI, จัดการข้อมูล, สร้างโปรแกรมความปลอดภัย ไปจนถึงแผนรับมือเหตุ. สรุปเป็น '5 บทเรียนสำหรับเจ้าของกิจการ' จาก Domain 1 แล้วเกริ่น Domain 2 — พอวางกฎและโครงเสร็จ ต่อไปคือมองความเสี่ยง AI ที่ระบบเดิมไม่เคยมี
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 12 : D1 - เมื่อ AI สร้างปัญหา — AI Incident Response + Business Continuity
2026-06-22 · #IT #AI #Manager
วันที่ AI ที่เราจ้างมาทำงานพลาดจนเกิดเรื่อง — เจ้าของกิจการต้องเตรียมทีม วางแผน containment/eradication/recovery และคุมความต่อเนื่องของธุรกิจยังไง เล่าครบทั้งกระบวนการรับมือเหตุ AI ในมุมคนบริหาร ไม่ใช่มุมผู้ตรวจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 11 : D1 - สร้าง AI Security Program — metrics (KPI/KRI), security FOR AI vs AI FOR security
2026-06-22 · #IT #AI #Manager
เจ้าของกิจการจะ 'สร้างโปรแกรมความปลอดภัยสำหรับ AI' ของตัวเองยังไง — 8 หลักการตั้งต้น, แยกให้ออกระหว่าง security FOR AI กับ AI FOR security, แล้ววัดผลด้วย KPI/KRI ตัวไหนถึงจะรู้ว่าพนักงาน AI ทำงานดีหรือเริ่มมั่ว ทั้งหมดในมุมคนตัดสินใจ ไม่ใช่มุมผู้ตรวจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 10 : D1 - ข้อมูลคือหัวใจ AI — จัดประเภท, คุณภาพ, consent, model card
2026-06-22 · #IT #AI #Manager
AI เก่งหรือพังขึ้นอยู่กับ 'อาหาร' ที่เราป้อน — ตอนนี้ว่าด้วยการทำบัญชีข้อมูล (data inventory/catalog), ตามรอยข้อมูล (lineage), จัดประเภท, ขอความยินยอม (consent), คุณภาพข้อมูล, ข้อมูลเอียง/ขาด และ model card ในมุมเจ้าของกิจการที่ต้องออกแบบ control ไม่ใช่มุมผู้ตรวจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 09 : D1 - บริษัทมี AI กี่ตัว — รวม Shadow AI ที่พนักงานแอบใช้ (inventory)
2026-06-22 · #IT #AI #Manager
เจ้าของกิจการตอบได้ไหมว่าบริษัทตัวเองใช้ AI อยู่กี่ตัว ใครเป็นเจ้าของ ป้อนข้อมูลอะไรเข้าไป — ตอนนี้ว่าด้วยการตั้ง AI inventory และไล่ล่า Shadow AI ที่พนักงานแอบใช้ ในมุมคนบริหารที่ออกแบบ control เอง ไม่ใช่ผู้ตรวจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 08 : D1 - จริยธรรม AI — bias, ความเป็นธรรม, explainability, ลิขสิทธิ์, สิทธิมนุษยชน
2026-06-22 · #IT #AI #Manager
AI ตัดสินใจแทนคนได้ แต่ใครรับผิดถ้ามันตัดสินผิด — เรื่องจริยธรรม AI ในมุมเจ้าของกิจการ ตั้งแต่อคติในโมเดล ความเป็นธรรม ความโปร่งใส ลิขสิทธิ์ สิทธิมนุษยชน ไปจนถึงค่าไฟที่ AI กิน ว่าเจ้าของต้องออกแบบการควบคุมอะไรบ้าง
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 07 : D1 - AI Acceptable Use Policy + AI Policy — กติกาใช้ AI ก่อนพนักงานใช้มั่ว
2026-06-22 · #IT #AI #Manager
พนักงานเอา AI มาใช้กันเองอยู่แล้ว ไม่ว่าบริษัทจะมีกฎหรือไม่ — ตอนนี้เล่าในมุมเจ้าของกิจการว่าจะออกกติกาใช้ AI ยังไง ตั้งแต่ AUP, ตัวนโยบายเต็ม, ไปจนถึง SOP/คู่มือ ให้คนทำตามได้จริง ไม่ใช่มุมผู้ตรวจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 06 : D1 - สร้างเอง vs ซื้อ AI + คุม vendor + Shared Responsibility (ใครรับผิดถ้า AI พัง)
2026-06-22 · #IT #AI #Manager
เจ้าของกิจการจะเอา AI มาใช้ เลือกระหว่างสร้างเอง (build) กับซื้อสำเร็จรูป (buy) ยังไงให้ไม่เจ็บตัว, คุม vendor ที่ขาย AI ให้เรายังไง, และคำถามที่แพงที่สุด — ถ้า AI ที่ซื้อมาทำพัง ใครรับผิด? เล่าเรื่อง Shared Responsibility ของ AI ในมุมคนบริหารที่ต้องตัดสินใจและออกแบบ control เอง
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 05 : D1 - AI เหมาะ/ไม่เหมาะงานไหน + คุ้มไหม (use case, ขีดจำกัด, business case, ROI)
2026-06-22 · #IT #AI #Manager
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 04 : D1 - กฎที่ AI ต้องอยู่ใต้ (มาตรฐานที่เลือกใช้ vs กฎหมายที่ต้องตาม)
2026-06-22 · #IT #AI #Manager
บริษัทเริ่มใช้ AI แล้วถามว่าต้องทำตามกฎอะไรบ้าง — แยกให้ชัดระหว่างมาตรฐานที่เราเลือกหยิบมาใช้เอง (ISO 42001, NIST AI RMF) กับกฎหมายที่ฝ่าฝืนแล้วโดนปรับ (EU AI Act, PDPA) ในมุมเจ้าของกิจการ ไม่ใช่ผู้ตรวจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 03 : D1 - ใครรับผิดชอบ AI — บอร์ด, AI Steering Committee, AI Lead, AI Charter
2026-06-22 · #IT #AI #Manager
บริษัทเริ่มใช้ AI กันทั้งบริษัท แต่พอถามว่า 'ใครรับผิดชอบ' กลับเงียบกันหมด — ตอนนี้ว่าด้วยการออกแบบโครงสร้างความรับผิดชอบ AI: บอร์ดรับผิดอะไร, AI Lead ทำอะไร, AI Steering Committee มีไว้ทำไม, แล้ว AI Charter หน้าตาเป็นยังไง ในมุมเจ้าของกิจการที่ต้องตัดสินใจ ไม่ใช่มุมผู้ตรวจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 02 : D1 - AI Governance คืออะไร + บริษัทพร้อมใช้ AI รึยัง
2026-06-22 · #IT #AI #Manager
AI Governance คือการ 'กำกับพนักงานใหม่ที่ชื่อ AI' — เจ้าของกิจการต้องตั้งกฎอะไร ออกแบบ control อะไร ก่อนปล่อย AI เข้าบริษัท พร้อมวิธีเช็คว่า 'บริษัทเราพร้อมใช้ AI รึยัง' แบบจับต้องได้ ในมุมคนตัดสินใจ ไม่ใช่คนตรวจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 01 : D1 - เปิด Domain 1 — วันที่บริษัทเริ่มใช้ AI จริงจัง ใครต้องดูแลอะไร
2026-06-22 · #IT #AI #Manager
เปิด Domain 1 ของซีรีส์ AAISM แบบ storyboard — เล่าเรื่องบริษัทที่ AI แทรกเข้าทุกแผนกโดยไม่มีใครวางแผน แล้ววางแผนที่ 5 ดินแดนที่เจ้าของกิจการต้องลุกมาดูแล: กฎ/บทบาท, กลยุทธ์/นโยบาย, ข้อมูล&สินทรัพย์ AI, โปรแกรมความปลอดภัย, รับมือเหตุ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
AAISM Series ตอนที่ 0 : ทำไมผมถึงเรียน AAISM — บริหารการใช้ AI ในธุรกิจ ในมุมคนใช้
2026-06-22 · #IT #AI #Manager
เปิดซีรีส์ AAISM — มุมของเจ้าของกิจการที่เอา AI มาใช้ในบริษัท ไม่ใช่คนสร้างโมเดล ว่าด้วยการกำกับดูแล AI ในองค์กรให้ปลอดภัยและคุ้มค่า บันทึกการเรียนจากคู่มือ ในมุมคนตัดสินใจ ไม่ใช่คนตรวจ
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
Database 101 — สารบัญรวม 16 ตอน: ห้องสมุดของเมืองดิจิทัล (ภาษาคน)
2026-05-15 · #IT #database
ซีรีส์ 16 EP ที่พาคุณ — เจ้าของกิจการ ผู้บริหาร startup founder PM dev junior คนทั่วไป — เข้าใจโลก database ทั้งภาพ ตั้งแต่ ledger กระดาษของยุค 1960s → relational revolution → NoSQL → serverless → vector DB ของยุค AI ปี 2026 ภาษาคน ไม่ต้องเป็นโปรแกรมเมอร์
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
Database 101 EP.16 — Wrap: Decision Tree ปี 2026 + 5 Trends ที่ต้องจับตา
2026-05-15 · #IT #database
ปิดซีรีส์ Database 101 ทั้ง 16 ตอน — Decision Tree 1 หน้าตอบคำถาม 'ผมต้องเลือก DB อะไรสำหรับ project นี้?' + 5 anti-pattern ที่เจอบ่อย + 5 trends ที่ต้องจับตา (DuckDB / NewSQL / AI-native DB / Database Branching / WebAssembly DB)
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
Database 101 EP.15 — Vector Database + AI Era: ห้องสมุดที่ค้นด้วยความหมาย
2026-05-15 · #IT #database #AI
ลูกค้าพิมพ์มาว่า 'เครื่องเสียงของผมไม่ดัง' — ในประโยคนี้ไม่มีคำว่า volume ไม่มีคำว่า เสียง แต่ AI customer service ตอบกลับเรื่อง volume ได้ถูกจุด. EP.15 เล่าว่าทำไมระบบเข้าใจได้ — Embedding + Semantic Similarity + Vector DB 5 เจ้า + RAG pattern ที่อยู่เบื้องหลัง AI app เกือบทุกตัวปี 2026 + ทำไมผมเดาว่า pgvector จะกินตลาดระยะยาว.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
Database 101 EP.14 — Database Security + Encryption: ป้องกันโกดังจากทั้งภายนอกและภายใน
2026-05-15 · #IT #database
เคส e-commerce ไทยที่ junior copy backup file ที่ไม่ encrypt ออก external drive ‘เพื่อทดสอบ’ — drive หาย, customer record 2 ล้าน leak. EP.14 เจาะ 3 ชั้น Database Security (network / authentication / encryption), encryption at rest vs in transit vs field-level, tokenization, SQL injection prevention, Row-Level Security, backup encryption + immutable backup ป้องกัน ransomware และ audit logging — ทั้งหมดผูกกับ PDPA + GDPR ที่ถือว่า encryption เป็น ‘default expected control’ ปี 2026.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
Database 101 EP.13 — DBA Role + Privileged Access: ใครคุมคนที่ถือกุญแจทุกดอก
2026-05-15 · #IT #database
เคสสมมติของผู้ผลิตชิ้นส่วนรถยนต์ที่ DBA แก้ค่า quality test 15 record ตรงผ่าน database — ของหลุดถึงลูกค้าและ application log ไม่เห็นเลย เพราะ change ไม่ผ่าน application. EP.13 เล่าว่า DBA คือใคร, ทำไมเข้าตรง DB = bypass ทุก control, และ 5 เครื่องมือที่บริษัทใหญ่ใช้คุม — PAM, Session Recording, JIT Access, SoD, Audit Log Tampering Defense.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
Database 101 EP.12 — มุม Enterprise: Polyglot Persistence (ทำไม Netflix ใช้ DB 7 ตัว)
2026-05-15 · #IT #database
Netflix ใช้ DB ถึง 7 ตัว Uber 10+ ตัวในระบบเดียว — ไม่ใช่เพราะวิศวกรชอบเล่นของใหม่ แต่เพราะ enterprise ปี 2026 ไม่มี 'DB ตัวเดียวพอ' อีกแล้ว. EP.12 เล่าเรื่อง Polyglot Persistence, 8 family ของ DB ใน enterprise stack, DW vs DL vs Lakehouse, ETL/ELT/Reverse ETL, Data Mesh, CDC — และทำไม budget DB ของ enterprise ไทยใหญ่ขึ้นทุกปี ทั้งที่ data เพิ่มไม่เยอะขนาดนั้น.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
Database 101 EP.11 — มุม Startup: Serverless DB Stack (เปิด SaaS ทีม 3 คนได้ยังไง)
2026-05-15 · #IT #database
ปี 2026 ทีม founder + dev + designer 3 คน รัน SaaS user 10,000 ได้ด้วยค่าใช้จ่ายเดือนละ ~$50 — สแตก Supabase + Vercel + Stripe + Cloudflare ที่ไม่มี server ไม่มี DBA ไม่มี on-call. EP.11 เจาะ 4 family ของ Serverless DB ปี 2026 + บทเรียน PlanetScale ปิด free tier ปี 2024 ที่บอกเราว่า vendor lock-in ต้องเห็นตั้งแต่ day 1.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
Database 101 EP.10 — มุม Personal Data: SQLite + Local-first (Database ที่อยู่ในกระเป๋าคุณ)
2026-05-15 · #IT #database
เคยสงสัยมั้ย ทำไม Notion / Linear / Obsidian เปิดได้ตอนเครื่องบินไม่มีเน็ต แล้วพอลงเครื่องเปิดเน็ตเสร็จ ทุกอย่าง sync เข้ากันเองโดยไม่ต้องกดอะไร — เบื้องหลังคือ SQLite, database ที่อยู่ในมือถือคุณทุกเครื่อง browser ทุกตัว แต่ไม่มีใครพูดถึง. EP.10 คุยเรื่อง SQLite + Local-first movement + CRDT + Cloudflare D1 + Turso — pattern ที่ flip ทิศ data ownership กลับไปอยู่ที่ user.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
Database 101 EP.09 — มุมเว็บส่วนตัว / Blog: Database-less Architecture (ทำไม blog นี้ไม่มี database)
2026-05-15 · #IT #database
เอาตรงๆ blog ที่คุณกำลังอ่านอยู่นี้ไม่มี database เลย — ย้ายจาก WordPress + MySQL บน Cloudways มาเป็น Markdown + Cloudflare Pages + R2 ไปแล้วเมื่อปีก่อน. EP.09 เล่าว่าทำไม static-first ถึงชนะสำหรับเว็บ content ปี 2026 และเมื่อไหร่ database ค่อย 'กลับมา' บางส่วน.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
Database 101 EP.08 — Transaction + Concurrency Control: 100 คนจองที่นั่งสุดท้ายพร้อมกัน
2026-05-15 · #IT #database
ตั๋วเครื่องบินที่นั่งสุดท้าย ลูกค้า 100 คนกดจองพร้อมกัน ระบบ confirm สำเร็จ 5 คน — ทุกคนได้ตั๋วใบเดียวกัน. EP.08 เจาะ Locking (shared/exclusive) → Deadlock → Isolation Levels 4 ระดับ → MVCC ของ Postgres → Optimistic vs Pessimistic Locking → Eventual Consistency. และทำไม 'isolation level ผิด' ถึงเป็น bug ที่ debug ยากที่สุดในวงการ — เจอเฉพาะตอน scale ใหญ่ ไม่เจอใน dev.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
Database 101 EP.07 — Index + Query Optimization: ทำไม query ที่เคยเร็ว ช้าลง 1000 เท่า
2026-05-15 · #IT #database
ระบบค้นหาลูกค้าของบริษัทค้าปลีก ปีแรก 0.01 วินาที เจอ — ปีที่สองช้าลงเป็น 30 วินาที ทั้งที่ code เดียวกัน server ตัวเดิม. EP.07 เล่าว่าทำไมมันช้าลง 1000 เท่า, root cause คือ index ขาด, แล้วพา tour B-tree / hash / composite index + EXPLAIN PLAN + N+1 problem แบบที่ผู้บริหารฟังรู้เรื่อง.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
Database 101 EP.06 — Schema, Normalization, Keys: ออกแบบห้องสมุดที่ไม่รก
2026-05-15 · #IT #database
ลูกค้าเปลี่ยนที่อยู่ใน profile แต่ order เก่ายังโชว์ที่อยู่เก่า — ทำไม? เพราะ schema ออกแบบผิดตั้งแต่วันแรก. EP.06 พาดู Table/Row/Column, Primary Key, Foreign Key, แล้ว refactor ตารางรกๆ ให้สะอาดผ่าน 1NF/2NF/3NF, รู้ว่าเมื่อไหร่ควร denormalize 'ผิดหลักโดยตั้งใจ', แล้วปิดด้วย schema migration ที่ไม่ทำให้ระบบล่ม.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
Database 101 EP.05 — ยุค 2020s: Cloud-Native + Serverless Database (เมื่อ Database เลิกต้องการ DBA)
2026-05-15 · #IT #database
EP.04 จบที่ NoSQL ระเบิด + Polyglot Persistence. EP.05 คือทศวรรษที่ database เลิกต้องการ DBA — สตาร์ทอัพไทยปี 2025 launch product ด้วยทีม 3 คน + Supabase + 0 DBA + 0 server. 4 ระดับของ database evolution ในยุค cloud + pricing model ที่เปลี่ยนเกมของวงการสตาร์ทอัพทั้งวงการ.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
Database 101 EP.04 — ยุค 2000s-2010s: NoSQL Movement + Big Data (เมื่อ Web Scale ทำลาย Relational)
2026-05-15 · #IT #database
EP.03 เราจบที่ ACID + relational เป็นกระดูกสันหลังของ enterprise. EP.04 คือทศวรรษที่กระดูกสันหลังนั้นเริ่มหัก — Twitter ล่มทุกสัปดาห์ปี 2008, Google เขียน paper BigTable ปี 2006, Amazon เขียน paper Dynamo ปี 2007, แล้วโลกก็ได้ NoSQL 4 ตระกูล + CAP theorem ที่บังคับให้ทุก distributed database ต้องเลือก trade-off เอง. ไม่ใช่ของดีกว่า relational — เป็น tool คนละงาน.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
Database 101 EP.03 — ยุค 1980s-90s: ACID + Enterprise Backbone (ทำไมธนาคารกล้าให้คอมพิวเตอร์ถือเงิน)
2026-05-15 · #IT #database
ATM โอนเงิน 1,000 บาทจาก A→B แล้วไฟดับตอนระบบหักจาก A เสร็จพอดี — เงินหายไปไหน? นี่คือคำถามที่ ACID เกิดมาตอบ. EP.03 เล่ายุคที่ relational + ACID กลายเป็นกระดูกสันหลังของธนาคาร, SQL ถูก standardize เป็นภาษากลาง, Big 4 (Oracle / SQL Server / DB2 / Sybase) ครองตลาด, ERP boom เปลี่ยน database เป็น single source of truth ของบริษัท, และตำแหน่ง DBA เกิดมาเป็น 'คนถือกุญแจทุกดอก'.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
Database 101 EP.02 — ยุค 1960s-70s: Hierarchical → Relational Revolution (Codd Paper ที่เปลี่ยนโลก)
2026-05-15 · #IT #database
EP.01 จบที่คำถามว่า 'ห้องสมุดของเมืองดิจิทัล' เกิดขึ้นได้ยังไง. EP.02 พาย้อนไปดูยุคที่ database จริงๆ 'เกิด' — เริ่มที่ NASA Apollo Program ที่ต้องเก็บชิ้นส่วนยานล้านชิ้น ห้ามผิดแม้แต่ตัวเดียว, IBM ส่งทีมไปช่วยจน IMS เกิดในปี 1968, แล้วปี 1970 — Edgar Codd นักคณิตศาสตร์ของ IBM เขียน paper ฉบับเดียวที่เปลี่ยนทั้งวงการ. SQL กำเนิด, Oracle 1979 ปล่อยขายเชิงพาณิชย์ตัวแรก, และ relational database ก็ครองโลกต่อเนื่อง 50 ปี — เพราะมันเปลี่ยนวิธีคิดจาก 'บอกวิธีไปหา' เป็น 'บอกว่าต้องการอะไร'.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
Database 101 EP.01 — ทำไมต้องมี Database: โลกก่อนมีห้องสมุด
2026-05-15 · #IT #database
ลองนึกภาพออฟฟิศไทย 50 คนใช้ Excel customer list ร่วมกัน — 2 คนเซฟพร้อมกัน ของหายไปครึ่งวัน ที่อยู่ลูกค้าใน Excel A ≠ B ≠ C. EP.01 เปิดซีรีส์ Database 101 ด้วยคำถามเดียว — ทำไมโลกถึงต้องคิด database ขึ้นมาตั้งแต่แรก? คำตอบคือ 4 ปัญหาที่มนุษย์เจอทุกครั้งที่พยายามเก็บข้อมูลร่วมกัน
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.52 — Series Wrap-Up + Bridge to CISA Domain 5: เดินทัวร์เมืองครบทุกย่าน
2026-05-15 · #IT #security #cybersecurity-foundation
EP สุดท้ายของซีรีส์ 52 ตอน. พา reader เดินทัวร์เมืองครบทุกย่าน — สรุปแผนที่ 6 Parts (WHY → HOW → Identity → Data → Infrastructure → Operations → Governance) ในมุมเดียว. ทบทวน 3 mental tool ที่ใช้ได้ตลอดชีวิต (CIA Triad / Defense in Depth / Assume Breach). สรุป 5 leader takeaway ที่ผู้บริหารต้องจำ. Bridge ไปยัง CISA Domain 5 ในมุม auditor + topic mapping ของ Foundation → CISA D5 + next steps ตาม reader 4 กลุ่ม (เจ้าของกิจการ / CISA candidate / tech professional / general reader). ครอบคลุมเนื้อหาที่ขยายในรอบล่าสุด — BCM Standards Family (EP.08), Network Anatomy primer ที่ลึกถึง physical media + WAN + SAN + Network Types (PAN/WPAN/WWAN) + NAS vs SAN + VSAN + VLAN deep (EP.26.5), AAA Protocols (RADIUS/TACACS+/Diameter) + Certificate-based authentication (EP.11), Biometric performance metrics FAR/FRR/CER + 8 modalities (EP.13), PKI 3 components + 6 revocation reasons + 11 PKI risks + CP vs CPS (EP.23), IDS 4-part components + WIPS + 7 best practices (EP.29), IPSec internals + DNSSEC NSEC3 + CDN deep + NTP deep (EP.30), DLP Content Analysis 7 techniques + Risk/Controls taxonomies (EP.31), Community cloud + Cloud Repatriation + 9 CSA Top Threats (EP.32), CYOD + MDM 10 controls + Wireless categories + EAP 5 types + Mobile Payment 4-type (EP.35), Passive vs Active attack taxonomy (EP.39), Scareware + 12 specific attacks + Malware Wall 3 levels (EP.41), SOC 9 activities + SIM vs SEM + SIEM agent/agentless + SOAR 6 benefits (EP.43), White + Yellow team + Pen-test vs Ethical hacking + MAST + Fuzz testing (EP.45), 6 investigation types + DEBs + Forensic Report 8 quality (EP.47), ISSP 6 subtypes + Policy 9 elements + Baseline 7 categories (EP.48), Alarm Control Panel 8 reqs + EPO switches + Perpetrator profiles + 8 entry path audit (EP.50). Security ไม่ใช่ project — เป็น discipline ตลอดชีวิต
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.51 — Security Organization + Reporting Lines: CISO ห้ามรายงาน CIO + Three Lines Model
2026-05-15 · #IT #security #cybersecurity-foundation
EP.48-50 ตอบเรื่อง policy + privacy law + physical security. แต่ในเมืองจริง — กฎหมายไม่บังคับใช้เองได้ ต้องมี เทศบาล + ผู้ว่าฯ + ตำรวจ + ผู้ตรวจสอบ ที่แยกอำนาจกัน. EP.51 พา reader ไปดู โครงสร้างองค์กร security ที่ผู้บริหารต้องเข้าใจ — เริ่มจาก CISO + กฎเหล็กที่บริษัทไทยพลาดกันบ่อย ห้ามให้ CISO รายงาน CIO/CTO/CFO เพราะ KPI ขัดกัน + Three Lines Model ที่แบ่ง operations / risk / audit ให้อิสระต่อกัน + Risk Committee vs Audit Committee ของ Board + CRO/CAE/DPO ที่ทั้ง 3 ห้ามอยู่ใต้คนที่ตัวเองตรวจ. เคสจริง — Equifax 2017 (CISO อยู่ใต้ CIO ก่อนเจาะ 147 ล้านคน) + Uber 2016 (CSO Joseph Sullivan โดนตัดสินคดีอาญาปี 2023) + Target 2013 (CISO turnover หลังเจาะ)
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.50 — Physical + Environmental Security: ระบบกายภาพของเมือง
2026-05-15 · #IT #security #cybersecurity-foundation
EP.49 คุยเรื่อง Privacy = สิทธิ์ดิจิทัลของชาวเมือง. แต่ security ที่เริ่มต้นจริงๆ ไม่ใช่ digital — มันคือ ของจริงๆ ในโลกจริง — ประตู + ระบบอากาศ + ไฟฟ้า + ระบบดับเพลิง. ถ้า physical พัง — ดิจิทัลพังตามทันที. EP.50 พาคุณเดินใน data center จริง — mantrap เหมือน airlock ของยานอวกาศ / HVAC ที่ทำให้ Target โดน hack ปี 2013 / FM-200 ดับเพลิงโดยไม่ทำลายเซิร์ฟเวอร์ / Uptime Tier I-IV ที่บอก downtime ต่อปีกี่นาที / Stuxnet ที่ข้าม air-gap ด้วย USB / AWS Iceland HVAC overheat ปี 2022. ผู้บริหารที่อ่านจบ — จะถามผู้รับเหมา data center ได้ถูกคำถาม
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.49 — Privacy Laws: GDPR / PDPA / Cross-border — สิทธิ์ของชาวเมืองในข้อมูลของตัวเอง
2026-05-15 · #IT #security #cybersecurity-foundation
EP.48 พาคุณเข้าใจลำดับชั้นเอกสารของเมือง — Policy / Standard / Procedure / Guideline. EP.49 ลงเฉพาะกฎหมายที่บริษัทไทยเจอแน่นอนในปี 2026 — Privacy laws. GDPR ของยุโรปบังคับมาตั้งแต่ปี 2018 + PDPA ของไทยบังคับเต็มรูปแบบมิถุนายน 2022 + Cross-border transfer ที่ทุกคนสับสนหลัง Schrems II. EP.49 พาคุณเข้าใจสิทธิ์ของชาวเมืองในข้อมูลของตัวเอง — Data Subject Rights 8 ข้อ / Lawful Basis 6 ฐาน / Article 33 + มาตรา 37 (แจ้งภายใน 72 ชั่วโมง) / Schrems II ที่ล้ม Privacy Shield / SCC + BCR + Adequacy / Data Localization / DPO + DPIA + Privacy by Design — และเคสจริงที่ทำให้บริษัทเจ็บ: Cambridge Analytica 2018 / Meta โดนปรับ €1.2B / Marriott £18.4M / LINE Thailand 2024 leak
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.48 — Policy / Standard / Procedure / Guideline: ลำดับชั้นกฎหมายของเมือง
2026-05-15 · #IT #security #cybersecurity-foundation
Part 5 ปิดด้วย Forensics. Part 6 (Governance) เปิดด้วยภาพใหญ่ที่สุด — กฎหมายของเมือง. EP.48 พาคุณเข้าใจลำดับชั้นเอกสาร 4 ชั้น — Policy (รัฐธรรมนูญ) / Standard (กฎหมายลูก) / Procedure (ขั้นตอน) / Guideline (คำแนะนำ) — ทำไมบริษัทไทยส่วนใหญ่ไม่มี Information Security Policy เป็นลายลักษณ์อักษร แล้วโดน audit fail / ทำไม Acceptable Use Policy = เกราะคุ้มกัน HR ตอนพนักงานทำผิด / lifecycle ของเอกสาร 7 ขั้น (Draft → Review → Approve → Publish → Train → Maintain → Retire) / เริ่มที่ไหน — NIST policy templates / SANS / ISO 27002
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.47 — Digital Forensics: นักสืบสวน + ใบเหลืองที่ทุกคนเซ็น
2026-05-14 · #IT #security #cybersecurity-foundation
EP.46 พาคุณรู้จัก Incident Response — ทีมดับเพลิงที่หยุดไฟไม่ให้ลาม. EP.47 ปิด Part 5 ด้วย discipline ที่กฎเข้มที่สุดในวงการ — Digital Forensics. หลังหยุดไฟแล้ว — ค้นหาสาเหตุ + เก็บหลักฐาน + รู้ว่าโจรเอาอะไรไป — ทุกขั้นตอนต้องทำให้ถูกต้องตามใบเหลือง (chain of custody) ที่ทุกคนเซ็น. มิฉะนั้นหลักฐานเป็นโมฆะในศาล. รวม Order of Volatility (RFC 3227) — เก็บ RAM ก่อน disk + Locard's Exchange Principle — ทุกการสัมผัสทิ้งร่องรอย + Imaging + Write Blocker + Memory / File / Network forensics + Anti-forensics. เคสจริง BTK Killer 2005 (จับได้จาก metadata ของ floppy disk) + Silk Road 2013 (FBI ถ่าย RAM image ตอนที่เครื่องเปิดอยู่) + Power-Off Trap ที่ทำลายหลักฐานทุกครั้ง
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.46 — Incident Response (NIST 800-61): นักดับเพลิงที่ฝึกแล้ว
2026-05-14 · #IT #security #cybersecurity-foundation
EP.45 ลองเจาะตัวเอง — เจอบาง. แต่วันที่โจรจริงเข้ามา — ทำยังไง? คำตอบ — Incident Response. EP.46 พาคุณดูคู่มือดับเพลิงของวงการ — NIST 800-61 framework 4 phases (Preparation / Detection-Analysis / Containment-Eradication-Recovery / Post-Incident) + ทีม CSIRT ที่รวม IR lead / Forensics / Legal / PR / Exec / HR / DPO / Comms + Tabletop exercise ที่ฝึกก่อนไฟไหม้ + 72-hour clock ของ GDPR/PDPA + Cyber Insurance + IR retainer (Mandiant / CrowdStrike / Kroll) + 3 เคสจริง — Maersk NotPetya 2017 (10 วันกู้คืน + Ghana DC backup), Marriott 2018 (delay 30 วัน = £18M ICO fine), Uber 2016 (CSO Joseph Sullivan โดน criminal charges จากการปกปิด — convict 2023)
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.45 — Vuln Scan / Pen Test / Red Team / BAS + VM Lifecycle: 4 ระดับของการแฮกตัวเอง
2026-05-14 · #IT #security #cybersecurity-foundation
EP.44 พาคุณดู Threat Hunting + Deception — หาภัยแบบ active. คำถามต่อ — เราจะรู้ได้ยังไงว่าระบบของเรามีรู? คำตอบเดียวที่จริงคือ — แฮกตัวเองก่อนโจรจะหาเจอ. EP.45 พาคุณรู้จัก 4 ระดับของการแฮกตัวเอง — Vuln Scan (เด็กส่องไฟฉาย) / Pen Test (โจรลองเข้า) / BAS (Red Team ในกล่อง — automated, continuous) / Red Team (แก๊งโจรปลอมตัวเข้าทั้งบริษัท) — ต่างกันที่ความถี่ / ราคา / ทักษะ / เป้าหมาย. ปิดท้ายด้วย VM Lifecycle (Vulnerability Management) — closed loop 6 ขั้นที่ทำให้ของที่เจอถูกแก้จริง ไม่ใช่แค่นอนในรายงาน. ครอบคลุม PTES methodology, Black/Gray/White Box, Bug Bounty (HackerOne / Bugcrowd / ZDI / Apple), CVD + Google Project Zero 90-day policy. พร้อมเคสจริง — Coalfire pentester ที่ Iowa โดนจับติดคุก 12 ชั่วโมงเพราะกระดาษไม่ครบ + Hacking Team บริษัท security ที่โดนแฮกเสียเอง + Equifax 2017 ที่ patch ออกมา 6 สัปดาห์แล้วไม่ patch
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.44 — Threat Hunting + Deception: นักสืบเดินหาคนแปลกหน้า + ขนมหวานล่อโจร
2026-05-14 · #IT #security #cybersecurity-foundation
EP.43 SOC + SIEM + EDR ดู alert ที่เครื่องจักรเห็น. แต่บางครั้งโจรเก่งกว่า — เครื่องไม่เห็น. EP.44 พาคุณเข้าโลกของ Threat Hunting (ตั้งสมมติฐานแล้วเดินหาในเมือง) + Deception (วางขนมหวานล่อให้โจรเข้าไปแตะ). 5 concept: hypothesis-driven hunt / IoC vs IoA / Threat Intelligence + STIX/TAXII / Pyramid of Pain (David Bianco) / Honeypot + Canary token. เคสจริง — Mandiant M-Trends dwell time / Snowden 2013 ที่ internal hunting น่าจะจับได้ / Canary token ของ Thinkst ที่ low-cost high-signal
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.43 — Detection: SOC + SIEM + EDR / XDR / SOAR: ห้องควบคุมโรงไฟฟ้า
2026-05-14 · #IT #security #cybersecurity-foundation
EP.39-42 พาคุณดู attack — Kill Chain / Phishing / Malware / OWASP Top 10. คำถามถัดมาที่จริงที่สุดของวงการคือ — รู้แล้วว่าโจรทำงานยังไง แล้ว detect ยังไง? EP.43 พาคุณเข้า ห้องควบคุมของเมือง — SOC ที่มี analyst 3 ชั้น + SIEM ที่รวม log ของทุกระบบเข้ามาดูในจอเดียว + EDR/XDR ที่เป็นกล้องในทุกตึก + SOAR ที่เป็นแม่บ้าน auto. ปิดด้วยเคส Target 2013 ที่ FireEye alert ดังแล้วแต่ทีม SOC ไม่ตอบ — ขโมยบัตรลูกค้าไป 40 ล้านใบ. บทเรียน: เครื่องมือดี + คนกับ process แย่ = ตาย
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.42 — Web App Attacks: OWASP Top 10 ฉบับภาษาคน
2026-05-14 · #IT #security #cybersecurity-foundation
EP.41 พาคุณดูสวนสัตว์ malware ฝั่ง endpoint — virus / worm / ransomware / RAT. แต่ในยุคนี้ โจรไม่ต้องส่ง malware ก็ได้ — แค่ exploit bug ใน web app ของบริษัทคุณก็พอ. EP.42 พา reader เดินผ่าน OWASP Top 10 (2021 edition) — รายการ 10 ช่องโหว่ที่ developer + security team ทั่วโลกใช้เป็น checklist. ทุกข้อมีเคสจริง: Capital One ($100M+ จาก SSRF), Equifax (147M record จาก Struts injection), Sony 2011 (77M account จาก SQLi), Log4Shell (ทั้งโลกตื่นปลายปี 2021), SolarWinds 2020 (supply chain integrity). อ่านจบ — ผู้บริหารรู้ว่าแต่ละข้อแปลว่าอะไร + breach ดังเรื่องไหน map กับข้อไหน
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.41 — Malware Taxonomy: สวนสัตว์ของวงการ
2026-05-14 · #IT #security #cybersecurity-foundation
EP.40 พาคุณดูวิธีที่โจรหลอกคน — phishing / BEC / vishing — แต่หลอกเสร็จแล้วโจรปล่อยอะไรเข้าเครื่อง? คำตอบคือ Malware — และไม่ใช่มีแค่ virus เหมือนที่คนทั่วไปคิด มันเป็นสวนสัตว์ทั้งสวน. EP.41 พาคุณเดินสวนสัตว์ของวงการ — virus / worm / trojan / RAT / rootkit / bootkit / ransomware / cryptominer / banking trojan / spyware / keylogger / stalkerware / wiper / logic bomb / backdoor / fileless — 12+ ประเภทแบ่งเป็น 5 ครอบครัวใหญ่. มาพร้อม WannaCry 2017 (worm + ransomware) / NotPetya 2017 (wiper ปลอม ransomware) / Stuxnet (state-grade) / Emotet (banker → loader) / Pegasus (Khashoggi 2018) / Mirai (IoT botnet). อ่านจบรู้ว่าแต่ละสัตว์ดุยังไง + ทำไมผู้บริหารต้องสนใจ
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.40 — Social Engineering: Phishing / BEC / Vishing — หลอกคนคือเป้าหมายอันดับ 1
2026-05-14 · #IT #security #cybersecurity-foundation
EP.39 พาคุณเดิน Kill Chain + MITRE ATT&CK — playbook ของโจรครับ. EP.40 ลงลึก phase แรกที่สำคัญที่สุด — Initial Access. ความจริงที่วงการรู้แต่บริษัทยังไม่ยอมรับ — โจรในยุคนี้ไม่เจาะ firewall. โจรหลอกคน. Verizon DBIR รายงานทุกปีว่า 70-80% ของ breach เริ่มจาก human element. FBI ประเมิน BEC (Business Email Compromise) ทำเงินให้โจรทั่วโลกสะสมกว่า $55B ตั้งแต่ 2013 ถึง 2023. ฮ่องกง 2024 พนักงานโอน $25M เพราะเชื่อ deepfake CFO ใน Zoom. Twitter 2020 พนักงานให้ credential เพราะคนปลอม IT โทรมาตอน lockdown. EP.40 พาคุณดู phishing 4 แบบ + BEC + vishing + smishing + pretexting + baiting + tailgating + defense layers. คนคือ Layer 6 ที่เปราะที่สุดในเมือง — แต่ก็แก้ได้ถ้าวางระบบถูก
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.39 — Kill Chain + MITRE ATT&CK: ขั้นตอนของขโมยรถ + Google Maps ของวงการ
2026-05-14 · #IT #security #cybersecurity-foundation
Part 4 ปิด — Infrastructure ครบ. Part 5 เปิดด้วยคำถามที่จริงที่สุดของวงการ — โจรทำงานยังไง? EP.39 พาคุณเข้าหัวโจร 3 มุม: Lockheed Martin Kill Chain — 7 ขั้นตอนของการปล้นรถยุคดิจิทัล / Diamond Model — 4 มุมของทุก attack / MITRE ATT&CK — Google Maps ของวงการ security ที่ map ทุกซอย tactic + technique ที่โจรใช้จริง. SolarWinds APT29 mapped เป็น T1195.002 (supply chain) + T1078 (valid accounts). Conti playbook leak. ก่อน defend ต้องเข้าใจวิธีคิดของโจรก่อน — Part 5 เริ่มที่นี่
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.38 — AI Security + Blockchain Security: ของใหม่ของยุคนี้
2026-05-13 · #IT #security #cybersecurity-foundation
EP.27-37 พาคุณดูโครงสร้างพื้นฐานแบบดั้งเดิมของเมือง — firewall / segmentation / cloud / DevSecOps / ZTNA. แต่ในปี 2024-2025 มี 2 เทคโนโลยีใหม่ที่เปลี่ยนเกมทั้งหมด — AI กับ Blockchain. EP.38 ปิด Part 4 ด้วยเรื่องที่ผู้บริหารปี 2026 หลีกเลี่ยงไม่ได้: prompt injection ที่ใช้หลอก AI ของบริษัท + deepfake CEO ที่หลอกโอนเงิน $25M ที่ฮ่องกง + smart contract bug ที่ทำให้ DAO เสีย $60M + bridge hack Ronin $625M + exchange ล่ม Mt. Gox / FTX. AI = ผู้ช่วยใหม่ของเมืองที่หลอกได้. Blockchain = บัญชีสาธารณะที่แก้ไม่ได้ แต่กุญแจ wallet หายก็พังเหมือนกัน
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.37 — Remote Work Security + ZTNA: ตำรวจที่ตรวจที่ทุกประตู
2026-05-13 · #IT #security #cybersecurity-foundation
EP.35-36 พาดูพนักงานนอกตึก + ของที่ฝังคอมในบ้าน. EP.37 ปิด case หนักสุดของยุค post-COVID — พนักงานทำงานที่บ้าน 100% ผ่านเน็ตที่บริษัทไม่ได้คุม. มีนาคม 2020 ทั้งโลกย้าย remote ใน 1 สัปดาห์ — RDP exposed เพิ่ม 127% — ransomware era เริ่มต้นจากตรงนี้. VPN ที่ใช้กันมา 25 ปี = castle-and-moat (เข้าได้ก็เดินทั้งเมือง). Zero Trust = ตำรวจที่ตรวจที่ทุกประตู ไม่ใช่แค่ประตูหน้าเมือง. ZTNA / SASE / SSE / Conditional Access + เคส Twitter 2020, Colonial Pipeline 2021, Citrix CVE-2019-19781 — และ home network risks ที่ผู้บริหารยุค hybrid work ต้องรู้
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.36 — IoT + OT / ICS Security: ของในบ้านที่ฝังคอม + โรงงาน
2026-05-13 · #IT #security #cybersecurity-foundation
EP.35 รู้ mobile + wireless. แต่ของอีกประเภทที่ไม่มีใครคิดว่าเป็น 'IT' — สมาร์ทแอร์ในบ้าน + เครื่องจักรในโรงงาน + ระบบไฟฟ้าของประเทศ — ทุกอย่างฝังคอม + ต่อเน็ต + และโจรชอบ. EP.36 พาดู OWASP IoT Top 10 + ความต่างระหว่าง OT กับ IT ที่ผู้บริหารส่วนใหญ่ไม่รู้ + PLC / HMI / SCADA / Modbus ที่ทำให้โรงงานเดิน + ทำไม 'air-gap' เป็นตำนานที่ไม่จริง + เคส Stuxnet 2010 / Ukraine power grid 2015-2016 / Casino fish tank 2017 / Triton 2017 / Colonial Pipeline 2021 / Verkada 2021 — บทเรียนที่บริษัทไทยที่มีโรงงาน + บ้านที่มี IoT ต้องเข้าใจก่อนสายเกินไป
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.35 — Mobile + Wireless: พนักงานที่ทำงานนอกตึก + สัญญาณวิทยุที่ลอยอยู่ในอากาศ
2026-05-13 · #IT #security #cybersecurity-foundation
EP.34 build pipeline พร้อมแล้ว — code ผ่าน SAST/DAST/SCA + SBOM ครบ + secrets ไม่หลุด. แต่ของที่ build เสร็จไปอยู่ที่ไหน? อยู่บน **มือถือพนักงาน** ที่ขึ้นรถไฟฟ้ากลับบ้าน + ต่อ **Wi-Fi ร้านกาแฟ** ตอนกลางวัน + เชื่อม **Bluetooth หูฟัง** ระหว่างประชุม + ใช้ **4G/5G** ตอนเดินทาง — ทุกชั้นเป็นสัญญาณวิทยุที่ลอยอยู่ในอากาศ ใครก็ดักได้ ใครก็ปลอมได้. EP.35 พาคุณดู MDM/MAM/UEM (Microsoft Intune / Workspace ONE / Jamf), BYOD vs COPE vs COBO, Jailbreak / Root / Sideloading, Wi-Fi ตั้งแต่ WEP (ตาย 2001) ถึง WPA3, Evil Twin ที่ Vegas / KRACK 2017 ของ Mathy Vanhoef, Bluetooth BlueBorne + KNOB, IMSI Catcher (Stingray) ที่ปลอม cell tower, และ Pegasus ของ NSO Group ที่ใช้ติดตาม Jamal Khashoggi ก่อนถูกฆ่าในปี 2018.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.34 — DevSecOps + Shift-Left: ยามตรวจของตั้งแต่โรงงาน ไม่ใช่ตอนของถึงตู้
2026-05-13 · #IT #security #cybersecurity-foundation
EP.32-33 พาคุณเข้าโลก cloud + container เรียบร้อย — ของในเซฟวิ่งอยู่บน infrastructure ยุคใหม่ครบ. แต่ก่อนของจะ run บน production มันต้องผ่าน build pipeline — สายพานการผลิตที่เปลี่ยนโค้ดเป็นแอป. EP.34 พาคุณดูเหตุผลที่โจรยุคใหม่หันมาเจาะ pipeline แทนการเจาะ production — เพราะถ้าได้ pipeline = ทุกคนที่ใช้แอปคุณติดในวันเดียว. SolarWinds 2020 / Log4Shell 2021 / Codecov 2021 / npm-typosquatting — 4 เคสที่สอนว่าทำไม Shift-Left = เลื่อนการตรวจของกลับไปที่โรงงาน ไม่ใช่ตอนของถึงปลายทางแล้ว. SAST / DAST / SCA / IaC scanning / Secrets management / SBOM / Sigstore + supply chain — ทำไมโค้ดทุกบรรทัดที่ deploy ต้องมีลายเซ็น
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.33.5 — Beyond Container: MicroVM, Wasm, Unikernel — 3 runtime ที่เปลี่ยนเกมหลัง Docker
2026-05-13 · #IT #security #cybersecurity-foundation
EP.33 จบที่ Docker + Kubernetes ที่ครองตลาด enterprise. แต่ landscape ไม่ได้หยุดที่ container — AWS Lambda รันบน Firecracker (MicroVM) ตั้งแต่ปี 2018, Cloudflare Workers ไม่ใช้ container เลย ใช้ V8 isolate + WebAssembly แทน. EP.33.5 พาดู 3 runtime หลัง container — MicroVM, Wasm, Unikernel — ที่ Cloudflare/AWS/Fastly/Vercel กำลังเดิมพันสำหรับยุค edge computing + serverless ปี 2026-2028
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.33 — Container + Kubernetes Security: ตู้คอนเทนเนอร์ใน warehouse
2026-05-13 · #IT #security #cybersecurity-foundation
EP.32 พาคุณดูเรื่อง cloud + shared responsibility — รู้แล้วว่าใครรับผิดชอบส่วนไหนของตึก. EP.33 ลงลึกอีกชั้น — หน่วยย่อยที่สุดของ cloud-native ยุคนี้คือ container + Kubernetes. เปลี่ยนวิธีคิดเรื่อง deployment ทั้งหมด. ทำไมตู้คอนเทนเนอร์ถึงเร็วกว่า VM, ทำไมภาพ Docker จาก Docker Hub โดยตรงเป็น supply chain risk ที่ใหญ่ที่สุดในรอบ 5 ปี, ทำไม Tesla โดน cryptojacking ผ่าน Kubernetes dashboard ที่ไม่ใส่รหัส, Pod / Service / Ingress / RBAC คืออะไรในภาษาคน, และ Pod Security Standards / Falco / OPA Gatekeeper / Service Mesh + mTLS ใช้ป้องกันอะไรในชีวิตจริง — สำหรับผู้บริหารที่ทีม dev บอกว่า 'ย้ายขึ้น K8s แล้วครับ' แต่ตัวเองยังงงว่ามันคืออะไร
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.32.5 — Cloud Stack Anatomy: 9 ชั้นของระบบที่ผู้บริหารต้องอ่านได้ (Primer ของ EP.32)
2026-05-13 · #IT #security #cybersecurity-foundation
EP.32 มี table 9 ชั้นที่บอกว่า ใครดูแล Network, Storage, Servers, Virtualization, OS, Container Tech, Runtime, Application, Data ในแต่ละ cloud model. แต่ถ้าไม่รู้ว่า 9 ชั้นนี้คืออะไร แต่ละชั้นทำหน้าที่อะไร table ก็เป็นแค่ตารางสีสวยที่อ่านไม่รู้เรื่อง. EP.32.5 ปูพื้น 9 layers ตั้งแต่ Network ขึ้นมาถึง Data ในภาษาที่ผู้บริหารใช้ในห้องประชุมได้ พร้อมตอบคำถามที่ค้างใจ — Runtime ต่างจาก Middleware ยังไง? ทำไม PaaS ดูแล Runtime แต่ IaaS ไม่ดูแล?
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.32 — Cloud + Shared Responsibility: เช่าคอนโด vs ซื้อตึก
2026-05-13 · #IT #security #cybersecurity-foundation
EP.27-31 พาคุณดู Infrastructure ของเมือง — ป้อมยาม (Firewall), แบ่งย่าน (Segmentation), ตำรวจ (IDS/IPS/WAF), ท่อใต้ดิน (VPN/Proxy/DNS), และยามรับนักท่องเที่ยว 10 ล้านคน (DDoS+DLP). ทั้งหมดเป็นภาพ on-premise — ของในตึกที่บริษัทเป็นเจ้าของ. แต่ปี 2025-2026 ทุกบริษัทไป cloud กันหมด — และคำถามที่ผู้บริหารไทยอ่านผิดบ่อยที่สุดในรอบ 10 ปีคือ Shared Responsibility Model. EP.32 พาคุณเข้าใจ IaaS / PaaS / SaaS / FaaS / CaaS ผ่านภาพ เช่าคอนโด vs ซื้อตึก, ทำไม Capital One โดน 100 ล้านแฟ้มในปี 2019 ทั้งที่ใช้ AWS, ทำไม Code Spaces บริษัทดีๆ ถูกลบหมดใน 12 ชั่วโมง, และความต่างระหว่าง CSPM / CIEM / CWPP / CNAPP ที่ vendor ขายให้สับสน
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.31 — DDoS + DLP: ป้อมรับนักท่องเที่ยว 10 ล้านคน + ยามขาออก
2026-05-13 · #IT #security #cybersecurity-foundation
EP.30 พาคุณดูท่อใต้ดิน (VPN) + คนกลาง (Proxy) + สมุดที่อยู่ (DNS) — ระบบที่ทำให้ของวิ่งจากเมืองหนึ่งไปอีกเมืองได้ปลอดภัย. EP.31 ขึ้นกับโจทย์ใหญ่ของยุคนี้ — โจรไม่ต้องเจาะกำแพง โจรแค่ส่ง 10 ล้านคนมายืนหน้าประตูพร้อมกัน. DDoS 3 ประเภท (Volumetric / Protocol / Application) + Amplification ที่ทำให้ 1 packet กลายเป็น 50,000 packet + วิธีรับมือด้วย Anycast / Scrubbing / Rate limiting. และอีกครึ่งของ EP — DLP (Data Loss Prevention) ยามขาออก ที่คอยดูว่า data ไหลออกไปจากบริษัทผิดทางไหม. เคสจริง — Mirai 2016 ที่ล้ม Dyn DNS / GitHub 1.35 Tbps Memcached / AWS 2.3 Tbps record
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.30 — VPN + Proxy + DNS Security: ท่อใต้ดิน + คนกลางส่งของ + สมุดที่อยู่
2026-05-13 · #IT #security #cybersecurity-foundation
EP.29 พาดูตำรวจในเมือง — IDS / IPS / WAF / RASP. EP.30 เปลี่ยนมาดูอีก 3 โครงสร้างที่ผู้บริหารไทยใช้ทุกวันแต่ไม่ค่อยเข้าใจ — VPN (ท่อใต้ดินจากบ้านพนักงานถึงออฟฟิศ) + Proxy (คนกลางส่งของแทนแทนที่จะออกหน้าเอง) + DNS Security (สมุดที่อยู่ของ Internet ที่โจรปลอมได้). IPsec / SSL VPN / WireGuard / Split vs Full tunnel / Forward vs Reverse Proxy (CDN/Cloudflare) / NAT / DNSSEC / DoH / DoT / DNS sinkholing — และ Kaminsky 2008 ที่เปลี่ยน Internet ทั้งโลก + DNSpionage 2018 + DGA ของ malware ที่ทำให้ block-list ใช้ไม่ได้
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.29 — IDS / IPS / WAF / RASP: ตำรวจตรวจการในเมือง
2026-05-13 · #IT #security #cybersecurity-foundation
EP.27-28 ป้อมยามและการแบ่งย่านพร้อม. แต่โจรที่ผ่านป้อมแล้ว — เห็นได้ยังไง? EP.29 พาคุณรู้จัก ตำรวจตรวจการ (IDS) ที่เห็นแต่ไม่หยุด, ตำรวจหยุดรถ (IPS) ที่ block ทันทีแต่แลกด้วย latency, Network vs Host based ที่ใช้คู่กัน, WAF เฉพาะ Layer 7 ที่กรอง OWASP Top 10, และ RASP ยามที่นั่งอยู่ใน app เอง. เคส Equifax 2017 ที่ IDS/WAF ดีๆ ควรจะจับได้ + Capital One 2019 ที่ SSRF ผ่าน WAF ที่ misconfigure
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.28 — Segmentation + DMZ + Microsegmentation: แบ่งเมืองเป็นย่าน
2026-05-13 · #IT #security #cybersecurity-foundation
EP.27 ผมพาคุณรู้จัก ป้อมยามที่ขอบเมือง — Firewall 4 รุ่น. แต่ถ้าโจรเข้าเมืองได้แล้ว — เดินเล่นไปย่านไหนก็ได้? ไม่ได้ครับ. ต้องแบ่งย่าน. นี่คือ Segmentation. EP.28 พาคุณดู VLAN / Subnet / DMZ / VPC / Microsegmentation — 5 ระดับของการแบ่งย่านในเมืองดิจิทัล + ทำไม Target 2013 (โจรเข้าผ่าน HVAC vendor) + Maersk NotPetya 2017 (ระบาดทั่วโลก 10 วัน) + Equifax (flat network) คือบทเรียนของ Segmentation ที่ผู้บริหารทุกคนต้องอ่าน — และทำไม Zero Trust ปี 2026 สั่งให้ทุก service มี policy ของตัวเอง ไม่ใช่กลุ่มใหญ่ๆ แบบ VLAN classic
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.27 — Network Basics + Firewall: ป้อมยามหน้าหมู่บ้าน 4 รุ่น
2026-05-13 · #IT #security #cybersecurity-foundation
Part 3 ปิดด้วย Privacy — ข้อมูลของเมืองเราปกป้องแล้ว. แต่ข้อมูลไม่ลอยในอากาศ — มันวิ่งบน ถนน + กำแพง + ท่อ ของเมือง. Part 4 เปิดที่นี่ — โครงสร้างพื้นฐาน. EP.27 พาคุณเดินเริ่มที่ ป้อมยามหน้าหมู่บ้าน — Firewall 4 รุ่น (Packet Filter → Stateful → NGFW → Cloud) + เข้าใจ TCP/IP / port / packet ในภาษาคน + เคส firewall rule sprawl 1,000+ rules ที่บริษัทไทยติด pattern คลาสสิคของวงการ — และทำไม Default Deny คือกฎเหล็กที่ลด liability มากกว่าซื้อ firewall แพง
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.26.5 — Network Anatomy: 7 ชั้นของถนนในเมือง (Primer ของ Part 4)
2026-05-13 · #IT #security #cybersecurity-foundation
Primer ปูพื้น network anatomy ทั้งหมดก่อนเข้า Part 4 (Infrastructure). คุย OSI 7 Layer + TCP/IP 4-Layer + protocol stack ของแต่ละชั้น (HTTP / TCP / IP / Ethernet อยู่ชั้นไหน) + LAN physical media 5 ชนิด (UTP / STP / Coax / Fiber / Wireless) + EMI/Crosstalk + LAN topology (Bus / Ring / Star / Mesh) + device→Layer mapping (Hub / Switch / Router / L3 Switch / Firewall) + WAN transmission (Simplex / Duplex + Circuit/Packet switching + SVC/PVC + LAN/MAN/WAN) + SNMP/ICMP สำหรับ management + diagnostic + SAN/Storage protocols (FC / FCoE / iSCSI / MPLS) + network primitive 6 ตัวที่ผู้บริหารต้องอ่านได้ (NAT / Proxy / DMZ / VLAN / VPN / VoIP) + 4 metric ที่วัด network จริง (Throughput / Latency / Jitter / Packet loss) — ทุกหัวข้อเล่าด้วยภาษาคน ไม่ต้องท่อง
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.26 — Privacy Engineering: เก็บน้อย ใช้น้อย ลบเมื่อหมดเวลา
2026-05-12 · #IT #security #cybersecurity-foundation
EP.18-25 พาคุณดู Security ของข้อมูล — ปกป้องของในเซฟจากโจร. แต่ในโลกปี 2026 มีอีกมิติที่ใหญ่กว่าและกฎหมายบังคับใช้แล้ว — Privacy. EP.26 ปิด Part 3 ด้วยคำถามที่ flip มุมมองทั้งหมด — บริษัทคุณอาจ secure (โจรเข้าไม่ได้) แต่ privacy พังได้ (เก็บข้อมูลลูกค้าเยอะเกิน ไม่ลบ แชร์ผิด). 5 หลักการของ GDPR + ความต่างระหว่าง Anonymization vs Pseudonymization + PETs ที่ Apple/Google ใช้จริง + เคส Cambridge Analytica / Netflix Prize / Strava heatmap ที่เปิดฐานทัพลับ — และทำไม Privacy by Design ต้อง built-in ตั้งแต่วันแรก ไม่ใช่ bolt-on ตอนโดน audit
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.25 — Email Security: SPF / DKIM / DMARC + BEC
2026-05-12 · #IT #security #cybersecurity-foundation
EP.24 หุ้มเกราะให้ web traffic ด้วย HTTPS. แต่ traffic ที่ใหญ่ที่สุดในโลก — ที่บริษัทคุณใช้ทุกวันรับใบสั่งซื้อ ส่งใบแจ้งหนี้ คุยกับลูกค้า — คืออีเมล. และโปรโตคอลอีเมลที่ออกแบบในปี 1982 ไม่มี authentication เลย — ใครก็พิมพ์ From: [email protected] แล้วส่งได้ฟรี. EP.25 พาคุณดูระบบไปรษณีย์ของเมืองดิจิทัล — SPF (ป้อมยามดูที่อยู่ผู้ส่ง) / DKIM (ตราประทับขี้ผึ้ง) / DMARC (policy ของหมู่บ้าน) / BIMI (โลโก้ในกล่องจดหมาย) — เคสจริง Toyota Boshoku $37M / Ubiquiti $46M / Crelan Bank €70M — ทำไม FBI ประเมิน BEC fraud สะสมกว่า $55B ตั้งแต่ปี 2013 ถึง 2023 — และทำไม Gmail/Apple บังคับ DMARC ในปี 2024.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.24 — TLS / HTTPS: ตู้ขนเงินหุ้มเกราะ — ป้องกันอะไร และไม่ได้ป้องกันอะไร
2026-05-12 · #IT #security #cybersecurity-foundation
EP.23 พาคุณดู certificate + PKI — ระบบบัตรประชาชนของเมืองดิจิทัล. EP.24 ดูการใช้งานยอดฮิตของมัน — HTTPS — กุญแจสีเขียวข้างๆ URL ที่ทุกคนเคยเห็น แต่ส่วนใหญ่ไม่รู้ว่ามันบอกอะไรกันแน่ และที่สำคัญกว่า — มันไม่ได้บอกอะไร. EP นี้ผมพาคุณดู TLS Handshake แบบไม่ต้องอ่าน RFC — ดูว่า HTTPS ป้องกัน 3 อย่าง (Confidentiality / Integrity / Server Authentication) ไม่ป้องกัน 4 อย่าง (Data at rest / Phishing site ที่มี cert ถูกต้อง / Misconfig / Client malware) — และเคสจริง Heartbleed 2014 ที่ทำให้โลกอินเทอร์เน็ตทั้งโลกต้อง reset password ใน 1 สัปดาห์
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.23 — PKI + Certificates: Chain of Trust + DigiNotar
2026-05-12 · #IT #security #cybersecurity-foundation
EP.21 บอกว่า public key ใช้ encrypt + verify ได้. แต่ — คุณจะรู้ได้ยังไงว่า public key ที่เห็นนี่คือของ Google จริงๆ ไม่ใช่ของโจรปลอม? คำตอบ — PKI (Public Key Infrastructure) ระบบบัตรประชาชนของอินเทอร์เน็ตทั้งโลก. EP นี้ผมพาคุณดูราชวงศ์ที่ทุกคนเชื่อ (Root CA), ขุนนางที่ราชวงศ์แต่งตั้ง (Intermediate CA), บัตรประชาชนของแต่ละเว็บ (Leaf cert), กลไก revoke / OCSP / Certificate Transparency — และเคสจริง DigiNotar ปี 2011 — ราชวงศ์ของฮอลแลนด์ที่ถูกปลอม → บริษัทล่มสลายใน 3 สัปดาห์ → ทำให้เกิด Certificate Transparency
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.22 — Hashing Deep: ลายนิ้วมือดิจิทัล + SHA Family + Collision
2026-05-12 · #IT #security #cybersecurity-foundation
EP.21 จบ Asymmetric — RSA / ECC / Diffie-Hellman — ตู้ไปรษณีย์ที่ใครๆ ก็ใส่ของเข้าได้ แต่เปิดได้คนเดียว. EP.22 เข้าตระกูลที่ 3 — Hashing — และตระกูลนี้ต่างจาก 2 ตัวก่อนหน้าโดยสิ้นเชิง. Hashing ไม่ใช่ encryption (เพราะย้อนกลับไม่ได้) — มันคือ 'ลายนิ้วมือดิจิทัล' ของข้อมูลที่ใช้ใน password storage / file integrity / digital signature / blockchain. EP นี้พาคุณดู — properties 5 ข้อของ hash function ที่ดี, ตระกูล SHA ทั้งบ้าน (MD5 ตายแล้ว / SHA-1 โดน Google ฆ่าปี 2017 / SHA-2 ยังยืน / SHA-3 มาเป็น backup), ทำไม password ต้องใช้ slow hash ไม่ใช่ SHA-256, Collision attack + Birthday Paradox ที่ทำให้ 2^128 ลดเหลือ 2^64, และ HMAC + Merkle tree ที่ Bitcoin กับ Git ใช้กันทุกวัน.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.21 — Asymmetric Deep: RSA + Diffie-Hellman — กุญแจคู่ที่เปลี่ยนโลก
2026-05-12 · #IT #security #cybersecurity-foundation
EP.20 รู้ Symmetric ดี — แต่ปัญหา key distribution ยังไม่จบ. EP.21 ตอบ — Asymmetric encryption — สิ่งประดิษฐ์ที่นักวิจัย Cold War เปลี่ยนโลก. ตู้ไปรษณีย์ที่ใครก็ใส่จดหมายลงไปได้ — แต่เปิดออกได้คนเดียว. ผมพาคุณดู Diffie-Hellman 1976, RSA 1977, ECC ที่โลก crypto สมัยใหม่ใช้, Diffie-Hellman key exchange + ECDH ที่อยู่ใน TLS 1.3 ทุก HTTPS handshake, Perfect Forward Secrecy ที่ทำให้ session ในอดีตปลอดภัยตลอดกาล และ Digital Signature ที่เป็นรากของ code signing + iMessage + PGP.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.20 — Symmetric Deep: AES + ECB Penguin
2026-05-12 · #IT #security #cybersecurity-foundation
EP.19 รู้แล้วว่า crypto มี 3 ตระกูล — Symmetric / Asymmetric / Hashing. EP.20 ผมพาคุณเจาะตระกูลแรก — Symmetric — ตระกูลที่เป็น workhorse ของโลก crypto. คุณจะเห็น AES (มาตรฐานที่ชนะการแข่งขัน NIST ปี 1998 และครองวงการมา 25 ปี), Block vs Stream cipher (ทำไม AES = block, ChaCha20 = stream — Google เลือกตัวไหนสำหรับ mobile), 4 Modes of Operation ที่สำคัญที่สุด (ECB ห้ามใช้กับ penguin image ที่กลายเป็นภาพสอนของวงการ, CBC, GCM, CTR), DES และ 3DES ที่ NIST เพิ่งฆ่าทิ้งในปี 2023, และทำไม WhatsApp + Signal เลือก AES-256-GCM.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.19 — Cryptography 101: 3 ตระกูลของรหัสลับ
2026-05-12 · #IT #security #cybersecurity-foundation
EP.18 รู้แล้วว่าข้อมูลคืออะไร แบ่งระดับยังไง วงจรชีวิตเป็นยังไง. EP.19 คือคำตอบของวงการต่อคำถาม 1,000 ปี — ตอนข้อมูลเดินทาง + ตอนเก็บไว้ — ปกป้องยังไงไม่ให้คนกลางทางอ่านออก? คำตอบคือ Cryptography (รหัสลับ). และในวงการมี 3 ตระกูลใหญ่ — Symmetric (ตู้เซฟกุญแจเดียว) / Asymmetric (ตู้ไปรษณีย์เปิด-ปิดต่างกุญแจ) / Hashing (ลายนิ้วมือของของ). 3 ตระกูลนี้แก้ปัญหาคนละมุม — ทำไมถึงไม่ใช้ตัวเดียวจบ? EP นี้เป็น overview ก่อนที่ EP.20-22 จะลงลึกทีละตัว.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.18 — Data Classification + Lifecycle: ป้ายติดของในเซฟ + วงจรชีวิตของของ
2026-05-12 · #IT #security #cybersecurity-foundation
Part 2 จบ — Identity ครบทุกซอกทุกมุม. EP.18 เปิด Part 3 ด้วยคำถามที่ใหญ่ที่สุด — control ทั้งหมดที่ผ่านมา สุดท้ายปกป้องอะไร? คำตอบ: ข้อมูล. แต่ข้อมูลในเมืองไม่เท่ากันทุกชิ้น — บางอย่างเป็น public บางอย่าง top secret. และของทุกชิ้นมีวัยเกิด-เติบโต-เก่า-ตาย. EP นี้พาคุณดู 4-tier classification, 3 บทบาท Owner/Custodian/Steward, 6 phase ของ data lifecycle, secure disposal (wipe / degauss / shred / crypto-shredding), Data Sovereignty (GDPR / PDPA), และเคสจริงที่ Morgan Stanley จ่าย $35M ค่าปรับเพราะทิ้ง HDD ไม่ถูกวิธี.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.17 — PAM + Zero Trust: ตู้เซฟกุญแจ admin + ตำรวจตรวจทุกประตู
2026-05-11 · #IT #security #cybersecurity-foundation
Part 2 climax — เด็ก 17 ปีใน Florida เข้าควบคุมบัญชี Obama / Elon / Bill Gates ในคืนเดียว ไม่ใช่เพราะ hack Twitter ได้ — แต่เพราะ admin tool ของ Twitter ทำได้ทุกอย่าง และคน 1-2 คนถือกุญแจชุดนั้น. EP.17 เล่าเรื่อง PAM (ตู้เซฟของกุญแจ admin) + Zero Trust (mindset ของ Google ที่เปลี่ยนวงการ) — แล้วปิด Part 2 ด้วยข้อสรุปเดียว: Identity คือ perimeter ใหม่.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.16 — Authorization: บัตรนี้เข้าห้องไหนได้บ้าง (RBAC / ABAC / MAC / DAC)
2026-05-11 · #IT #security #cybersecurity-foundation
EP.11-15 ตอบคำถาม 'คุณคือใคร' (Authentication) ครบทุกซอกทุกมุม. EP.16 ขยับไปคำถามถัดมาที่ใหญ่กว่า — 'คุณทำอะไรได้บ้าง?' (Authorization). ยามที่ประตูตึกถามคุณ 2 รอบ — รอบแรก 'คุณคือใคร', รอบที่สอง 'บัตรนี้เปิดประตูห้องไหนได้บ้าง'. EP นี้ผมพาคุณดู 4 รูปแบบของการแจกสิทธิ์ที่ครองวงการ — RBAC (ตามตำแหน่งงาน), ABAC (ตาม context), MAC (ระบบบังคับ), DAC (เจ้าของแชร์เอง) — กฎทอง 3 ข้อ Least Privilege + Need-to-Know + Separation of Duties — เคสจริง Société Générale €4.9B ที่ trader คนเดียวพัง 1 แบงค์ฝรั่งเศส — และทำไม IDOR ครองอันดับ 1 ของ OWASP Top 10 ตั้งแต่ปี 2021.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.15.5 — Web Services Trio: SOAP / WSDL / UDDI — ยุคที่ XML ครองโลก (Primer ระหว่าง EP.15 → EP.16)
2026-05-11 · #IT #security #cybersecurity-foundation
EP.15 พาดผ่านประโยคหนึ่งว่า SAML เกิดในปี 2005 ตอน 'XML กำลังฮิตในวงการ enterprise — SOAP, WSDL, XSD ทุกอย่างเป็น XML'. หลายคนที่ผ่านบรรทัดนั้นไป สงสัยว่ายุคที่ว่าคือยุคไหน. EP.15.5 นี้ผมขอแทรกเป็น primer สั้นๆ เปิดซอง 3 ตัวอักษรของยุคนั้น — SOAP (ซองจดหมายราชการระหว่างบริษัท), WSDL (คู่มือว่ารับเรื่องอะไรได้บ้าง), UDDI (สมุดรายชื่อบริษัททั่วโลก). ทำไม UDDI ตายไปตั้งแต่ปี 2006 ทำไม SOAP ยังไม่ตาย — และทำไม auditor + security engineer ของปี 2026 ยังต้องรู้จัก trio นี้ทั้งที่ดูเหมือนของเก่า.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.15 — Federation + SSO: Login with Google คือ passport ดิจิทัล
2026-05-11 · #IT #security #cybersecurity-foundation
EP.14 จบที่ Kerberos — ระบบ check-in โรงแรมของบริษัทเดียว. แต่ในปี 2026 พนักงานคนนึงเปิดเช้าวันจันทร์ — เปิด Slack, เปิด Salesforce, เปิด Office 365, เปิด Zoom, เปิด Notion, เปิด Figma, เปิด HubSpot — รวมแล้ว 50+ SaaS — ทุกตัวอยู่คนละบริษัทคนละโลก. ระบบรู้ยังไงว่าเขาคือเขา ข้าม organization? คำตอบคือ Federation + SSO — เทคโนโลยีที่ทำให้ปุ่ม 'Login with Google' กดได้ทุกที่ในอินเทอร์เน็ต. EP นี้ผมพาคุณดูภาพ passport ดิจิทัล — รัฐบาล (IdP) ออก passport, ประเทศปลายทาง (SP) ตรวจ passport — 3 protocol ที่ครองวงการ (SAML / OAuth / OIDC), JWT format ของ token, Federation gotchas — confused deputy, OAuth consent phishing, token theft — เคสจริง Twitter 2020 + Okta 2022 — และทำไมบริษัทไทยที่ปล่อยให้พนักงานใช้ gmail ส่วนตัว login SaaS = orphan account ระดับองค์กร.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.14 — Kerberos: ระบบ check-in โรงแรมที่ Microsoft ใช้ทั่วโลก
2026-05-11 · #IT #security #cybersecurity-foundation
EP.13 จบไปแล้วเรื่อง MFA + Biometric — Passkey, Hardware Key, Push Notification. แต่ทั้งหมดนั้นเป็น authentication ที่คุณเห็นในชีวิตประจำวัน — login Gmail / mobile banking ของคุณเอง. คำถามถัดมาคือ — บริษัทที่มี Windows 1,000 เครื่อง + พนักงาน 500 คน + ระบบภายใน 50 ระบบ (file server, email, intranet, SAP, HR) — พนักงาน login Windows เช้านี้ครั้งเดียว แล้วเข้าได้ทุก app ที่เปิดต่อๆ มา — ระบบรู้ยังไงว่าเขาคือเขา? คำตอบคือ Kerberos — protocol ที่เกิดที่ MIT ในปี 1988, ที่ Microsoft รับมาเป็น backbone ของ Active Directory, ที่บริษัทใหญ่ทั่วโลกใช้กันในปี 2026. EP นี้ผมพาคุณดูระบบ check-in โรงแรม 3 เคาน์เตอร์ของ Kerberos — KDC / AS / TGS, บัตรแขก (TGT) + คีย์ห้อง (Service Ticket), flow จริงตั้งแต่ 9 โมงเช้าถึง 5 โมงเย็น, attack สำคัญที่ red team ทั่วโลกใช้ — Mimikatz, Pass-the-Ticket, Golden Ticket, Silver Ticket, Kerberoasting, และทำไม Domain Admin ใน Active Directory คือ crown jewel ที่ ransomware gang เก่งๆ ระดับ Conti / LockBit เป้าหมายแรก.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.13 — MFA + Biometric: ที่ดี ที่หลอกได้ — และอนาคตของ Passkey
2026-05-11 · #IT #security #cybersecurity-foundation
ทำไม password ที่ดีที่สุดในโลกยังโดน phishing ในไม่กี่วินาที — และทำไมยามหน้าคอนโดของเราต้องขอหลักฐานชั้นที่ 2 และ 3. EP นี้พาเดินจาก ATM ปี 1967 ถึง Passkey ปี 2024 — ดูว่าทำไม SMS OTP ตาย, ทำไม Uber โดน hack ทั้งที่เปิด MFA, และทำไม FIDO2 ถึงเป็นจุดเปลี่ยนเกมจริง.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.12 — Password 101: ทำไม MD5 ห่วย ทำไม bcrypt ดี — Salt กับ Pepper คืออะไร
2026-05-11 · #IT #security #cybersecurity-foundation
EP.11 รู้แล้วว่า Factor 1 (สิ่งที่คุณรู้) = password — แต่ผมเปิดเรื่องไว้แค่ overview. EP.12 ทั้ง EP ผม dedicate ให้กับ password อย่างเดียว — เพราะ breach ใหญ่ๆ ในโลกครึ่งหนึ่งของ 20 ปีที่ผ่านมา มาจาก password ที่เก็บผิดวิธี. ใน EP นี้คุณจะเห็น — ทำไม MD5 (อัลกอริทึมที่ใช้กันมา 30 ปี) ตายไปแล้วในวงการ, ทำไม bcrypt/argon2/scrypt/PBKDF2 ดีกว่า, Salt กับ Pepper คืออะไรและทำไมร้านเก็บ password ที่ดีต้องใช้, NIST 2017 เปลี่ยนกฎ password ทั้งหมดยังไง, เคส Colonial Pipeline 2021 ที่ท่อน้ำมันครึ่งฝั่งตะวันออกของอเมริกาหยุด 6 วันเพราะ password 1 ตัว, และทำไม Password Manager เปลี่ยนชีวิตคนทำงานทั่วไป.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.11 — Authentication: 3 Factors + AAA — ยามถาม 'คุณคือใคร'
2026-05-11 · #IT #security #cybersecurity-foundation
EP.10 ปิดด้วยคำถาม — ตอน user login จริงๆ ระบบรู้ยังไงว่าคนนี้คือคนนี้? EP.11 พาคุณยืนหน้าเคาน์เตอร์ยามคอนโด — ดูว่าคำตอบ 'พี่เป็นใคร' ต้องการหลักฐาน 3 ประเภทคนละแบบ Know / Have / Are — และทำไม MFA ที่ ATM ใช้มาตั้งแต่ 1967 เพิ่งกลายเป็น baseline ของวงการเมื่อไม่กี่ปีนี้.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.10 — IAM Lifecycle: เข้า / ย้าย / ออก — ที่บริษัทไทยลืมขั้นตอนสุดท้าย
2026-05-11 · #IT #security #cybersecurity-foundation
EP.09 ปิด Part 1 ด้วยประโยคที่ว่า compliance ไม่ใช่ security — รากของ security จริงๆ คือ identity. EP.10 เปิด Part 2 ที่ lifecycle ของบัตรประจำตัวพนักงาน — Joiner / Mover / Leaver. ลองนึก scenario พนักงานลาออก 6 เดือนยัง login VPN บริษัทเก่าได้, Tesla insider ใช้ account ที่ยังเปิด, Twitter 2020 ใช้ admin panel เดียวยึด Obama/Musk/Apple. รู้จัก Provisioning / Deprovisioning / Privilege Creep / Orphan Account / Account Reviews + Recertification — และเข้าใจว่าทำไม 'วันสุดท้าย' เป็นขั้นตอนที่บริษัทไทยลืมมากที่สุด.
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.09 — Compliance Theater: ทำไมผ่าน audit ไม่เท่ากับปลอดภัย
2026-05-11 · #IT #security #cybersecurity-foundation
EP.08 รู้จัก framework แล้ว — แต่ Equifax / Heartland / Target ทั้ง 3 บริษัทผ่าน PCI DSS ก่อนโดน breach. ทำไม? เพราะ audit ดูในวันที่ X — โจรมาในวันที่ Y. EP นี้เปรียบผู้ตรวจการเทศบาลกับโจรจริง — คนละเรื่อง. รู้จัก audit 3 ประเภท / PCI DSS / SOX / HIPAA / GDPR / PDPA / Compliance theater / Continuous compliance — และปิด Part 1 พร้อมเปิด Part 2 (Identity).
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.08 — Framework กับ Standards: ISO / NIST / COBIT / CIS — ใครใช้ตัวไหน
2026-05-11 · #IT #security #cybersecurity-foundation
EP.07 รู้จัก Blue / Red / Purple แล้ว — แต่พวกเขาทำงานตาม blueprint อะไร? ทำไมทุกบริษัทใหญ่ต้องอ้าง 'ผ่าน ISO 27001'? NIST ของอเมริกา ใช้ฟรี — ดียังไง? COBIT เป็น framework สำหรับใคร? และทำไมบริษัทเล็กควรเริ่มที่ CIS Controls ไม่ใช่ ISO. คู่มือเลือก framework สำหรับเจ้าของกิจการ
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.07 — ระบบนิเวศของผู้ป้องกัน: Blue / Red / Purple Team
2026-05-11 · #IT #security #cybersecurity-foundation
EP.06 รู้จักโจร 6 ประเภทแล้ว. EP นี้ฝั่งเรา — CISO ที่ห้ามรายงาน CIO, Blue Team ที่นั่งเฝ้าจอ 24x7, Red Team ที่แฮกบริษัทตัวเอง, Purple Team ที่ทำให้สองทีมคุยกัน, ตลาด vendor ที่ซับซ้อนเหมือน Mall, และคำถามใหญ่ที่สุดของ SME ไทย — เมื่อไหร่ควร outsource ทั้งหมด
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.06 — ระบบนิเวศของโจร: ใครคือใคร ทำไมแฮกได้
2026-05-11 · #IT #security #cybersecurity-foundation
Part 1 เริ่มแล้วครับ. ก่อนเจาะวิธีป้องกัน — ต้องรู้ก่อนว่ากำลังป้องกันใคร. เด็กแว้นดิจิทัล / แก๊งโจรอาชีพ / นักเคลื่อนไหว / คนใน / หน่วยข่าวกรองรัฐ / นายหน้าขายประตู — 6 ประเภทที่ล่าเหยื่อต่างวิธี ของกินต่างกัน และเหตุผลที่บริษัทของคุณเป็นเป้าของกลุ่มไหนกันแน่