ทำไม “บ้านดิจิทัล”?#

Domain 5 ทั้งหมดตอบคำถามเดียว: “ปกป้องข้อมูลขององค์กรยังไง?”

ทุก section เป็นชิ้นส่วนหนึ่งของระบบป้องกัน บางชิ้นเป็นกฎ บางชิ้นเป็นกำแพง บางชิ้นเป็นกุญแจ บางชิ้นเป็นกล้องวงจรปิด บางชิ้นเป็นแผนรับมือเมื่อโจรเข้าได้แล้ว

ภาพที่คนทุกคนเข้าใจตรงกันที่สุดคือ บ้านที่เราอยู่ทุกวัน บ้านมีกฎของบ้าน มีประตู มีกุญแจ มีกล้อง มีตู้เซฟ มีคนในบ้าน มีเพื่อนบ้าน มีโจร มีตำรวจ มีนักสืบ ครบทุกอย่าง

แค่เปลี่ยน “บ้าน” เป็น “ระบบไอทีขององค์กร” แล้วเปลี่ยน “โจร” เป็น “attacker / malicious actor” ก็จะเห็นภาพ Domain 5 ทันที

metaphor นี้จะใช้ต่อเนื่องตลอด 11 บทถัดไป ไม่ได้ใช้เพื่อความน่ารัก แต่เพื่อให้ทุกศัพท์มีที่อยู่ในหัว ไม่ลอย

Map ของ Domain 5 — บ้านดิจิทัลและส่วนต่างๆ#

ลองนึกบ้านขนาดใหญ่หลังหนึ่ง บ้านนี้มีของมีค่า ของลับ และคนหลายคนที่ต้องเข้า-ออกตลอดเวลา

ส่วนแรกของ Domain 5 คือ “สร้างป้อม” — ทำยังไงให้บ้านนี้ป้องกันตัวเองได้ ก่อนโจรจะมาเคาะ

ส่วนที่สองคือ “ตรวจจับ ตอบสนอง เรียนรู้” — เพราะไม่มีบ้านไหนที่กันโจรได้ 100% ต้องมีระบบตอนเกิดเหตุด้วย

แล้วปิดทั้ง Domain และทั้งซีรีส์ใน ตอน 53

ทำไมเรียงแบบนี้#

CRM เรียง 5.1 → 5.15 ตามลำดับเลข แต่ผมว่าเล่าตามภาษาบ้านจะเข้าใจง่ายกว่า เลยจัดใหม่ตาม flow ของ “เริ่มสร้างบ้าน → อยู่ในบ้าน → เกิดเหตุ → สืบสวน”:

1
ขั้นที่ 1 — วางกฎและสร้างกำแพง
2
    Policy + Physical (ตอน 43)
3
         ↓
4
ขั้นที่ 2 — ใส่ระบบควบคุมการเข้า-ออก
5
    IAM (ตอน 44)
6
         ↓
7
ขั้นที่ 3 — เชื่อมห้องและตรวจของออก
8
    Network + DLP (ตอน 45)
9
         ↓
10
ขั้นที่ 4 — ใส่ตู้เซฟและระบบยืนยันกุญแจ
11
    Crypto + PKI (ตอน 46)
12
         ↓
13
ขั้นที่ 5 — ขยายไปบ้านเช่าและอุปกรณ์เคลื่อนที่
14
    Cloud + Mobile/IoT (ตอน 47-48)
15
         ↓
16
ขั้นที่ 6 — สอนคนในบ้าน
17
    Awareness (ตอน 49)
18
         ↓
19
══════════════════ Part B เริ่ม ══════════════════
20
         ↓
21
ขั้นที่ 7 — เข้าใจว่าโจรเข้ามายังไง + จ้างคนลองงัด
22
    Attacks + Pen Test (ตอน 50)
23
         ↓
24
ขั้นที่ 8 — ติดกล้อง + วางแผนรับมือ
25
    Monitoring + IR (ตอน 51)
26
         ↓
27
ขั้นที่ 9 — เก็บหลักฐานหลังเกิดเหตุ
28
    Forensics (ตอน 52)
29
         ↓
30
══════════════════ ปิด ══════════════════
31
         ↓
32
ปิด Domain 5 + ปิดทั้งซีรีส์ (ตอน 53)

พอเห็น flow แบบนี้ จะเห็นว่า Domain 5 ไม่ใช่ตำรา 15 หัวข้อที่แยกกัน แต่เป็นเรื่องเล่าเรื่องเดียวตั้งแต่ “สร้างบ้าน” จนถึง “ตำรวจมาสืบ”

CIA Triad — เป้าหมาย 3 อย่างที่ทุก control ใน Domain 5 พยายามรักษา#

ก่อนเข้าหลักการ ขอเซ็ตรากของ Domain 5 ก่อน ทุก control ใน 13 บทถัดไปออกแบบมาเพื่อรักษา 3 คุณสมบัติ ของข้อมูล:

ทุก control ใน Domain 5 เป็นเครื่องมือที่ปกป้องอย่างน้อยหนึ่งใน 3 อย่างนี้:

• Encryption — รักษา confidentiality เป็นหลัก
• Hashing + Digital signature — รักษา integrity
• Backup + Redundancy — รักษา availability
• IAM + access control — รักษา confidentiality + integrity
• Monitoring + IR — detect ความเสียหายของทั้ง 3

กับดักของ exam: เห็น scenario เกี่ยวกับ control ถามตัวเองก่อนว่า “control นี้ปกป้องคุณสมบัติอะไรของข้อมูล” ตอบถูก trap ที่ออกบ่อยทันที

ตัวอย่าง: digital signature ตอบ integrity + authentication ไม่ใช่ confidentiality (จะคุยใน ตอน 46) ถ้าจำ CIA ในใจ จะไม่หลงตอบ

Defense in Depth — ป้องกันเป็นชั้น ๆ#

อีกหลักรากที่ Domain 5 ทั้งหมดสร้างขึ้นบน — Defense in Depth (DiD)

หลักการ: ไม่มี control เดียวที่ปลอดภัย 100% แต่ถ้าหลาย control วางทับกันเป็นชั้น attacker ต้องผ่านทุกชั้นถึงจะถึงเป้า

ในมุมบ้านดิจิทัล — บ้านที่มี:

1
ชั้น 1 — รั้วและกำแพงนอกบ้าน        (Physical: Section 5.2)
2
   ↓
3
ชั้น 2 — ประตูบ้านที่ล็อค            (Network perimeter: 5.4)
4
   ↓
5
ชั้น 3 — กุญแจห้อง                  (IAM: 5.3)
6
   ↓
7
ชั้น 4 — ตู้เซฟในห้อง               (Encryption: 5.6)
8
   ↓
9
ชั้น 5 — ระบบกล้อง + sensor          (Monitoring: 5.13)
10
   ↓
11
ชั้น 6 — แผนรับมือเมื่อโจรเข้า         (IR: 5.14)

แต่ละชั้นมีหน้าที่ของตัวเอง ถ้าชั้นแรกพัง ชั้นต่อไปยังกั้นได้อยู่

5 หลักที่จะปรากฏซ้ำตลอด Domain 5#

ก่อนเริ่ม อยากเซ็ตหลักไว้ในหัว 5 ข้อที่จะกลับมาเจอซ้ำในเกือบทุกบท

เชื่อมกับ Domain ที่ผ่านมา#

Domain 5 ไม่ได้ลอยมาเฉยๆ มันต่อยอดจากทุก Domain ที่ผ่านมา

• จาก Domain 1 เรารู้ วิธีตรวจ ของ auditor Domain 5 ให้ของให้ตรวจมากขึ้น
• จาก Domain 2 (Governance) เรารู้ว่า policy hierarchy ทำงานยังไง Domain 5 Section 5.1 คือ application ของ hierarchy นั้นในเรื่อง security
• จาก Domain 3 (Acquisition/Dev) เรารู้ว่า DevSecOps ฝัง security ตั้งแต่ design Domain 5 Section 5.8 ขยายเรื่องนี้ต่อ
• จาก Domain 4 (Operations) เรารู้ว่า log management + change management + BCP ทำงานยังไง Domain 5 ก็ใช้ log นั้นเป็น input ของ SIEM และ forensics

ถ้า Domain 1-4 แน่น Domain 5 จะอ่านง่ายขึ้นเยอะ เพราะหลายเรื่องเป็นการเอาฐานเดิมมาขยาย ไม่ได้เริ่มจากศูนย์

เหตุผลที่ Domain 5 หนักที่สุด#

ก่อนปิด ขอเตือนตัวเองกับคนอ่านพร้อมๆ กัน Domain 5 ใช้เวลามากกว่า Domain ไหนๆ ด้วยเหตุผล 3 ข้อ:

หนึ่ง ศัพท์เฉพาะเยอะมาก หลายอันคล้ายกันจนสับสน (IDS vs IPS / SAST vs DAST / IaaS vs PaaS vs SaaS / Symmetric vs Asymmetric) จะพยายามแยกให้ชัดทุกครั้ง

สอง ข้อสอบ trap เยอะ Domain 5 มี top 5 trap ที่เห็นซ้ำในทุก mock exam:

1. IDS placement — วาง IDS ฝั่งอินเตอร์เน็ตของ firewall vs ฝั่งใน detect คนละแบบ
2. Digital signature ≠ encryption — signature ให้ authentication + integrity ไม่ใช่ confidentiality
3. Shared Responsibility Model — IaaS = ลูกค้ารับผิดชอบ OS ขึ้นไป (cloud provider ไม่ patch OS ให้)
4. Forensics: power-off สัญชาตญาณ = ผิด — ทำลาย volatile evidence ใน RAM ก่อนจะได้เก็บ
5. DLP ทำงานได้แค่กับข้อมูลที่ classify แล้ว — ถ้าไม่จัดประเภทข้อมูลก่อน DLP ไม่รู้จะป้องกันอะไร

จะกลับมาเจาะแต่ละ trap ในบทที่เกี่ยวข้อง

สาม เนื้อหา technical หนักกว่า Domain อื่น ถ้าไม่มี mental model ดีๆ จะจำไม่ติด นี่แหละเหตุผลที่เลือกใช้ “บ้านดิจิทัล” เป็นแกน เพื่อให้ทุก concept มีที่ยึด

ปิดบทเปิด Domain 5 แค่นี้ครับ บทถัดไปจะเริ่มจากชั้นรากฐาน: กฎบ้านดิจิทัล (Security Policies) และ ประตูกับกำแพงจริงๆ (Physical Security) ที่ทุก control ในบทถัดๆ ไปจะมาตั้งอยู่บนนี้

ถ้าไม่มีกฎและกำแพง กุญแจ ตู้เซฟ กล้องวงจรปิด ก็ไม่มีที่ติดตั้ง

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 5: ภาพรวมและ storyboard — ครอบคลุม Section 5.1-5.15