CISA Series ตอนที่ 42 : D5 - เปิด Domain 5: บ้านดิจิทัลของคุณ + แผนที่ป้องกันทั้งหมด

มาถึง Domain สุดท้ายแล้วครับ — Domain 5: Protection of Information Assets

📚 ไม่มีพื้น Cybersecurity? Domain 5 จะโผล่ IAM (Identity and Access Management / ระบบจัดการตัวตนและสิทธิ์การเข้าถึง), ZTA (Zero Trust Architecture / สถาปัตยกรรมไม่ trust ใครโดย default), PAM (Privileged Access Management / ระบบคุม account ที่มี privilege สูง), SIEM (Security Information and Event Management), SOAR (Security Orchestration, Automation and Response), DLP (Data Loss Prevention / ระบบป้องกันข้อมูลรั่วไหล), PKI (Public Key Infrastructure / โครงสร้างพื้นฐานสำหรับ public-key cryptography), MDM (Mobile Device Management), EDR (Endpoint Detection and Response), XDR (Extended Detection and Response), IDS (Intrusion Detection System), IPS (Intrusion Prevention System), SAST (Static Application Security Testing), DAST (Dynamic Application Security Testing) รัวเข้ามาเลย ถ้ายังงงเครื่องมือพวกนี้ ลองอ่าน CyberSecurity Foundation 101 ก่อน — ซีรีส์ 52 ตอนภาษาคน ที่ครอบคลุมทุกเรื่องที่ CISA D5 สมมติว่าผู้อ่านรู้แล้ว แล้วค่อยกลับมา D5 จะง่ายขึ้นเยอะ

ก่อนเริ่ม ขอตั้งหลักหน่อย Domain นี้ใหญ่สุดในซีรีส์ น้ำหนักข้อสอบ 26% (เท่ากับ Domain 4) เนื้อหาเยอะกว่า Domain ไหนๆ ทั้งหมด 15 sections ตั้งแต่นโยบายความปลอดภัย ไปจนถึงนิติวิทยาศาสตร์ดิจิทัล

ตอนอ่านรอบแรกแบบเรียงลำดับ section ตามตำรา เจอปัญหาเดิมเหมือนตอนเริ่ม Domain 1 เลย ศัพท์เยอะมาก IAM, ZTA, PAM, SIEM, SOAR, DLP, PKI, MDM, EDR, XDR, IDS, IPS, SAST, DAST… ทุกอันมีรายละเอียด ทุกอันมีจุดที่ต้องตรวจ แล้วก็เชื่อมโยงกันไปหมด

อ่านไปสักพักสมองเริ่มล้น ไม่เห็นภาพรวมว่าตัวเองอ่านเรื่องอะไรอยู่ 555+

เลยถอยหนึ่งก้าว ใช้แนวเดียวกับที่เคยใช้ตอน ตอน 03 คือหา เรื่องเล่าตัวเดียว ที่ครอบคลุมทุก section ของ Domain นี้ได้ แล้วใช้เรื่องเล่านั้นเป็นแผนที่ในหัว

เรื่องเล่าที่เลือกคือ บ้านดิจิทัล นั่นเองครับ

ทำไม “บ้านดิจิทัล”?#

Domain 5 ทั้งหมดตอบคำถามเดียว: “ปกป้องข้อมูลขององค์กรยังไง?”

ทุก section เป็นชิ้นส่วนหนึ่งของระบบป้องกัน บางชิ้นเป็นกฎ บางชิ้นเป็นกำแพง บางชิ้นเป็นกุญแจ บางชิ้นเป็นกล้องวงจรปิด บางชิ้นเป็นแผนรับมือเมื่อโจรเข้าได้แล้ว

ภาพที่คนทุกคนเข้าใจตรงกันที่สุดคือ บ้านที่เราอยู่ทุกวัน บ้านมีกฎของบ้าน มีประตู มีกุญแจ มีกล้อง มีตู้เซฟ มีคนในบ้าน มีเพื่อนบ้าน มีโจร มีตำรวจ มีนักสืบ ครบทุกอย่าง

แค่เปลี่ยน “บ้าน” เป็น “ระบบไอทีขององค์กร” เปลี่ยน “โจร” เป็น “attacker / malicious actor” ก็เห็นภาพ Domain 5 ได้ทันทีครับ

metaphor นี้จะใช้ต่อเนื่องตลอด 11 บทถัดไป ไม่ได้ใช้เพื่อความน่ารัก แต่เพื่อให้ทุกศัพท์มีที่อยู่ในหัว ไม่ลอย

Map ของ Domain 5 — บ้านดิจิทัลและส่วนต่างๆ#

ลองนึกบ้านขนาดใหญ่หลังหนึ่ง บ้านนี้มีของมีค่า ของลับ และคนหลายคนที่ต้องเข้า-ออกตลอดเวลา

ส่วนแรกของ Domain 5 คือ “สร้างป้อม” — ทำยังไงให้บ้านนี้ป้องกันตัวเองได้ ก่อนโจรจะมาเคาะ

ส่วน	ใน Domain 5	บทไหน
กฎบ้าน ที่ทุกคนต้องรู้และทำตาม	Section 5.1 — Security Policies, Frameworks, Baselines	ตอน 43
ประตู กำแพง ระบบดับเพลิง ที่จับต้องได้ + 9 ภัยทางกายภาพ	Section 5.2 — Physical และ Environmental Controls	ตอน 43
กุญแจ บัตรเข้า ระบบระบุตัวตน + External Parties + Auditor approach	Section 5.3 — Identity and Access Management	ตอน 44
ถนนระหว่างห้อง + ท่อน้ำ ที่เชื่อมทุกพื้นที่	Section 5.4 — Network Security	ตอน 45
ยามที่ตรวจของขาออก จากบ้าน	Section 5.5 — Data Loss Prevention (DLP)	ตอน 45
ตู้เซฟดิจิทัล + วิธี audit encryption	Section 5.6 — Cryptography	ตอน 46
กรมที่ดิน + CP vs CPS + 7 พื้นที่ audit PKI	Section 5.7 — PKI	ตอน 46
อพาร์ตเมนต์ + Community cloud + repatriation + SAN/VSAN	Section 5.8 — Cloud และ Virtualization	ตอน 47
อุปกรณ์เคลื่อนที่ + CYOD + Mobile Payment + EAP + Wireless categories	Section 5.9 — Mobile, Wireless, IoT	ตอน 48
คนในบ้าน + 5 ประโยชน์ + 10 แหล่งข้อมูล + 6 วิธีวัดผล	Section 5.10 — Security Awareness	ตอน 49

ส่วนที่สองคือ “ตรวจจับ ตอบสนอง เรียนรู้” — เพราะไม่มีบ้านไหนที่กันโจรได้ 100% ต้องมีระบบตอนเกิดเหตุด้วย

ส่วน	ใน Domain 5	บทไหน
วิธีที่โจรเข้าบ้าน + bypassing security + compensating controls + audit procedures	Section 5.11 + 5.12 — Attacks + Pen Testing	ตอน 50
กล้องวงจรปิด + sensor + CSIRT 10 incident types + IRP 10 BP + SOAR	Section 5.13 + 5.14 — Monitoring + Incident Response	ตอน 51
นิติวิทยาศาสตร์ + 8 quality ของ report + 11 evidence BP + 6 ประเภทการสืบสวน	Section 5.15 — Forensics	ตอน 52

แล้วปิดทั้ง Domain และทั้งซีรีส์ใน ตอน 53

ทำไมเรียงแบบนี้#

CRM (CISA Review Manual / คู่มืออ้างอิงของ ISACA) เรียง 5.1 → 5.15 ตามลำดับเลข แต่ผมว่าเล่าตามภาษาบ้านจะเข้าใจง่ายกว่า เลยจัดใหม่ตาม flow ของ “เริ่มสร้างบ้าน → อยู่ในบ้าน → เกิดเหตุ → สืบสวน”:

1
ขั้นที่ 1 — วางกฎและสร้างกำแพง
2
    Policy + Physical (ตอน 43)
3
         ↓
4
ขั้นที่ 2 — ใส่ระบบควบคุมการเข้า-ออก
5
    IAM (ตอน 44)
6
         ↓
7
ขั้นที่ 3 — เชื่อมห้องและตรวจของออก
8
    Network + DLP (ตอน 45)
9
         ↓
10
ขั้นที่ 4 — ใส่ตู้เซฟและระบบยืนยันกุญแจ
11
    Crypto + PKI (ตอน 46)
12
         ↓
13
ขั้นที่ 5 — ขยายไปบ้านเช่าและอุปกรณ์เคลื่อนที่
14
    Cloud + Mobile/IoT (ตอน 47-48)
15
         ↓
16
ขั้นที่ 6 — สอนคนในบ้าน
17
    Awareness (ตอน 49)
18
         ↓
19
══════════════════ Part B เริ่ม ══════════════════
20
         ↓
21
ขั้นที่ 7 — เข้าใจว่าโจรเข้ามายังไง + จ้างคนลองงัด
22
    Attacks + Pen Test (ตอน 50)
23
         ↓
24
ขั้นที่ 8 — ติดกล้อง + วางแผนรับมือ
25
    Monitoring + IR (ตอน 51)
26
         ↓
27
ขั้นที่ 9 — เก็บหลักฐานหลังเกิดเหตุ
28
    Forensics (ตอน 52)
29
         ↓
30
══════════════════ ปิด ══════════════════
31
         ↓
32
ปิด Domain 5 + ปิดทั้งซีรีส์ (ตอน 53)

พอเห็น flow แบบนี้ จะเห็นว่า Domain 5 ไม่ใช่ตำรา 15 หัวข้อที่แยกกัน แต่เป็นเรื่องเล่าเรื่องเดียวตั้งแต่ “สร้างบ้าน” จนถึง “ตำรวจมาสืบ”

CIA Triad — เป้าหมาย 3 อย่างที่ทุก control ใน Domain 5 พยายามรักษา#

ก่อนเข้าหลักการ ขอเซ็ตรากของ Domain 5 ก่อน ทุก control ใน 13 บทถัดไปออกแบบมาเพื่อรักษา 3 คุณสมบัติ ของข้อมูล:

ตัวอักษร	คุณสมบัติ	คำถามที่ตอบ	Threat ที่ทำลายมัน
Confidentiality	ความลับ	”ใครได้เห็น?” — เฉพาะคนที่ควรได้เห็น	Eavesdropping, theft, unauthorized access
Integrity	ความสมบูรณ์	”ข้อมูลถูกต้องมั้ย?” — ไม่ถูกแก้ไขโดยไม่ได้รับอนุญาต	Tampering, unauthorized modification
Availability	ความพร้อมใช้	”ใช้ได้เมื่อต้องการมั้ย?” — service ทำงานเมื่อ legitimate user ต้องการ	DDoS (Distributed Denial of Service), ransomware, system failure

ทุก control ใน Domain 5 เป็นเครื่องมือที่ปกป้องอย่างน้อยหนึ่งใน 3 อย่างนี้:

Encryption ดูแล confidentiality เป็นหลัก
Hashing + Digital signature ดูแล integrity
Backup + Redundancy ดูแล availability
IAM + access control ดูแล confidentiality + integrity
Monitoring + IR คอย detect ความเสียหายของทั้ง 3

กับดักของ exam: เห็น scenario เกี่ยวกับ control ถามตัวเองก่อนว่า “control นี้ปกป้องคุณสมบัติอะไรของข้อมูล” ตอบถูก trap ที่ออกบ่อยทันที

ตัวอย่าง: digital signature ตอบ integrity + authentication ไม่ใช่ confidentiality (จะคุยใน ตอน 46) ถ้าจำ CIA ในใจ จะไม่หลงตอบ

ใหญ่กว่า CIA — Parkerian Hexad#

CISA exam focus ที่ CIA เป็นหลัก แต่บางครั้ง mention Parkerian Hexad ที่ขยายเป็น 6 มิติ: CIA + Possession/Control, Authenticity, Utility

ผู้สอบไม่ต้องท่อง 6 ตัวก็ได้ รู้ว่า CIA คือ subset ของ framework ที่ใหญ่กว่าก็พอ

Defense in Depth — ป้องกันเป็นชั้น ๆ#

อีกหลักรากที่ Domain 5 ทั้งหมดสร้างขึ้นบนนี้คือ Defense in Depth (DiD)

หลักการ คือไม่มี control เดียวที่ปลอดภัย 100% แต่ถ้าหลาย control วางทับกันเป็นชั้น attacker ต้องผ่านทุกชั้นถึงจะถึงเป้า

ในมุมบ้านดิจิทัล บ้านที่มี:

1
ชั้น 1 — รั้วและกำแพงนอกบ้าน        (Physical: Section 5.2)
2
   ↓
3
ชั้น 2 — ประตูบ้านที่ล็อค            (Network perimeter: 5.4)
4
   ↓
5
ชั้น 3 — กุญแจห้อง                  (IAM: 5.3)
6
   ↓
7
ชั้น 4 — ตู้เซฟในห้อง               (Encryption: 5.6)
8
   ↓
9
ชั้น 5 — ระบบกล้อง + sensor          (Monitoring: 5.13)
10
   ↓
11
ชั้น 6 — แผนรับมือเมื่อโจรเข้า         (IR: 5.14)

แต่ละชั้นมีหน้าที่ของตัวเอง ถ้าชั้นแรกพัง ชั้นต่อไปยังกั้นได้อยู่

หลักการสำคัญของ DiD#

Diversity of controls คือใช้ control คนละแบบ ไม่ใช่ control เดียวกันซ้ำๆ (firewall 5 ตัวจาก vendor เดียว = ถ้ามี zero-day ก็พังหมดพร้อมกัน)
Layered detection + prevention + response ครบ 3 ทาง ไม่ใช่ป้องกันอย่างเดียว
Least privilege at every layer ทุกชั้น default ปิด เปิดเฉพาะที่จำเป็น
Assume breach ออกแบบเหมือนรู้แล้วว่าจะมีคนผ่านชั้นนอกได้แน่นอน ป้อมที่ดีคือ แม้ผ่าน firewall เข้ามาได้ ยังเข้า database ไม่ได้

กับดักของ exam: “เรามี firewall ระดับ enterprise = ปลอดภัย” — ผิดเลย firewall เดียวคือชั้นเดียว องค์กรที่ relied on perimeter security อย่างเดียวโดน breach หมด โควิดทำให้เห็นชัดสุดๆ

DiD เชื่อมเข้ากับ Zero Trust#

DiD แบบเก่า = หลายชั้น เชื่อ คนใน ที่ผ่านชั้นแรกแล้วให้เดินได้ DiD + ZTA = หลายชั้น ไม่เชื่อใครเลย ทุก request ต้อง verify ทุกครั้ง แม้คนภายใน

จะลงรายละเอียด ZTA ใน ตอน 44

5 หลักที่จะปรากฏซ้ำตลอด Domain 5#

ก่อนเริ่ม อยากเซ็ตหลักไว้ในหัว 5 ข้อที่จะกลับมาเจอซ้ำในเกือบทุกบท

1. Defense in Depth — ป้องกันเป็นชั้นๆ#

ไม่มี control เดียวที่ป้องกันได้ทุกอย่าง ระบบที่ดีคือมีหลายชั้นวางทับกัน กำแพงนอก ประตูใน กุญแจห้อง ตู้เซฟในห้อง

ถ้าชั้นแรกพังก็ยังมีชั้นที่สอง สาม สี่ โจรต้องผ่านทุกชั้นถึงจะถึงของจริง

2. คนคือทั้งจุดอ่อนและจุดแข็ง#

จะลงทุน firewall แพงแค่ไหน ถ้าพนักงานคนเดียวรับโทรศัพท์จาก “IT support” แล้วบอกรหัสผ่าน ทุกอย่างหมดความหมาย

แต่กลับกัน พนักงานคนเดียวที่ฉุกคิดว่า “ทำไม email นี้แปลก” แล้วแจ้งทีม security อาจหยุด attack ได้ตั้งแต่ก่อนเริ่ม

3. ป้องกัน 100% ไม่มีทาง — ต้องเตรียม detect และ respond ด้วย#

นี่คือเหตุผลที่ Domain 5 มี Part B ทั้ง part เลย — Monitoring, Incident Response, Forensics

ถ้าคิดว่า “เราป้องกันได้สมบูรณ์” คือคิดผิดแล้ว ต้องคิดว่า “เมื่อโจรเข้าได้แน่ๆ เราจะรู้ตัวเร็วแค่ไหน แล้วจะตอบสนองยังไง”

4. Compliance ≠ Security#

ผ่าน ISO 27001 audit ≠ บริษัทไม่โดน hack สิ่งหนึ่งวัด process ตามมาตรฐาน อีกสิ่งวัดความสามารถจริงในการต้านการโจมตี

หลายบทใน Domain 5 จะเตือนข้อนี้ซ้ำๆ โดยเฉพาะตอนเรื่อง pen testing

5. Auditor ไม่ใช่ implementer#

ทำไมต้องย้ำซ้ำตั้งแต่ Domain 1 ก็เพราะมันสำคัญ Domain 5 มี control เยอะมาก แต่หน้าที่ของ IS auditor ไม่ใช่ “ออกแบบ control” แต่คือ “ประเมินว่า control ที่บริษัทมี เหมาะสมและทำงานจริงหรือไม่”

ถ้าเริ่มเขียน firewall rule หรือออกแบบ policy เอง independence หายเลย กลับไปอ่าน ตอน 02

เชื่อมกับ Domain ที่ผ่านมา#

Domain 5 ไม่ได้ลอยมาเฉยๆ มันต่อยอดจากทุก Domain ที่ผ่านมา

จาก Domain 1 เรารู้ วิธีตรวจ ของ auditor Domain 5 ให้ของให้ตรวจมากขึ้น
จาก Domain 2 (Governance) เรารู้ว่า policy hierarchy ทำงานยังไง Domain 5 Section 5.1 คือ application ของ hierarchy นั้นในเรื่อง security
จาก Domain 3 (Acquisition/Dev) เรารู้ว่า DevSecOps ฝัง security ตั้งแต่ design Domain 5 Section 5.8 ขยายเรื่องนี้ต่อ
จาก Domain 4 (Operations) เรารู้ว่า log management + change management + BCP (Business Continuity Plan / แผนต่อเนื่องทางธุรกิจ) ทำงานยังไง Domain 5 ก็ใช้ log นั้นเป็น input ของ SIEM และ forensics

ถ้า Domain 1-4 แน่น Domain 5 จะอ่านง่ายขึ้นเยอะ เพราะหลายเรื่องเป็นการเอาฐานเดิมมาขยาย ไม่ได้เริ่มจากศูนย์

เหตุผลที่ Domain 5 หนักที่สุด#

ก่อนปิด ขอเตือนตัวเองกับคนอ่านพร้อมๆ กัน Domain 5 ใช้เวลามากกว่า Domain ไหนๆ ด้วยเหตุผล 3 ข้อ:

หนึ่ง ศัพท์เฉพาะเยอะมาก หลายอันคล้ายกันจนสับสน (IDS vs IPS / SAST vs DAST / IaaS (Infrastructure as a Service) vs PaaS (Platform as a Service) vs SaaS (Software as a Service) / Symmetric vs Asymmetric) จะพยายามแยกให้ชัดทุกครั้ง

สอง ข้อสอบ trap เยอะ Domain 5 มี top 5 trap ที่เห็นซ้ำในทุก mock exam:

IDS placement — วาง IDS ฝั่งอินเตอร์เน็ตของ firewall vs ฝั่งใน detect คนละแบบ
Digital signature ≠ encryption — signature ให้ authentication + integrity ไม่ใช่ confidentiality
Shared Responsibility Model — IaaS = ลูกค้ารับผิดชอบ OS ขึ้นไป (cloud provider ไม่ patch OS ให้)
Forensics: power-off สัญชาตญาณ = ผิด — ทำลาย volatile evidence ใน RAM ก่อนจะได้เก็บ
DLP ทำงานได้แค่กับข้อมูลที่ classify แล้ว — ถ้าไม่จัดประเภทข้อมูลก่อน DLP ไม่รู้จะป้องกันอะไร

จะกลับมาเจาะแต่ละ trap ในบทที่เกี่ยวข้อง

สาม เนื้อหา technical หนักกว่า Domain อื่น ถ้าไม่มี mental model ดีๆ จะจำไม่ติด นี่แหละเหตุผลที่เลือกใช้ “บ้านดิจิทัล” เป็นแกน เพื่อให้ทุก concept มีที่ยึด

ปิดบทเปิด Domain 5 แค่นี้ครับ บทถัดไปจะเริ่มจากชั้นรากฐาน: กฎบ้านดิจิทัล (Security Policies) และ ประตูกับกำแพงจริงๆ (Physical Security) พร้อมตาราง 9 ภัยทางกายภาพที่ Data Center ต้องเตรียมรับ ตั้งแต่ไฟไหม้ น้ำท่วม ไปจนถึงไฟตก-ไฟกระชาก

ถ้าไม่มีกฎและกำแพง กุญแจ ตู้เซฟ กล้องวงจรปิด ก็ไม่มีที่ติดตั้ง

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 5: ภาพรวมและ storyboard — ครอบคลุม Section 5.1-5.15