องค์ประกอบ 3 อย่าง#

ก่อนคุยเรื่อง technical attack เริ่มจาก insider threat ก่อน เพราะ data loss incident ส่วนใหญ่มาจากคนใน

Fraud Triangle บอกว่า การโกง/ทุจริต ต้องมีครบ 3 อย่าง:

1. Motivation — แรงจูงใจ (หนี้, ความไม่พอใจ, แรงกดดัน)
2. Opportunity — โอกาส (control อ่อน, ไม่มีคนเฝ้า)
3. Rationalization — การหาเหตุผลให้ตัวเอง (“เขาจ่ายผมน้อย ผมรับเอาเองก็ไม่ผิด”)

Auditor ทำอะไรได้ใน 3 อย่าง#

ถ้าถามว่า auditor มีอิทธิพลกับองค์ประกอบไหนได้?

หลายคนตอบ “Motivation” แต่ผิดครับ

• Motivation เป็นเรื่องของ HR / personal — auditor แทรกแซงไม่ได้
• Rationalization เป็นเรื่องในใจคน — auditor แทรกแซงไม่ได้
• Opportunity เป็นเรื่องของ controls — auditor มีอิทธิพลโดยตรง

หลักของ auditor: โจมตี Opportunity vertex ผ่าน controls SoD, access controls, monitoring

ข้อสอบ trap: “Fraud Triangle — auditor มีอิทธิพลกับ element ไหนได้มากที่สุด?”

หลอก: Motivation — ลดแรงกดดัน จริง: Opportunity — ออกแบบ controls ที่ทำให้การโกงยาก

กลุ่ม Perpetrators#

หลายคนมีภาพ “hacker” เป็นคนผมยาวใส่ฮูดในห้องมืด 555+ แต่ในชีวิตจริง attacker หลากหลายมาก:

• Hackers / Script kiddies — ภายนอก ใช้ tools ของคนอื่น
• Employees — คนในที่ตั้งใจ
• IT personnel — มี access สูงสุด — ภัยใหญ่สุด
• Former employees — มี knowledge ของระบบ + อาจมี access ที่ไม่ถูกเพิกถอน
• Interested outsiders — competitor, journalist, activist
• Third parties / Consultants — มี temporary access
• Opportunists — ไม่ตั้งใจแต่เห็นโอกาส
• Accidental actors — คนที่ทำผิดโดยไม่ตั้งใจ

ที่หลายองค์กรประมาทคือ IT personnel กลุ่มนี้มี access สูงสุดและภายในมากสุด ถ้าตั้งใจจะทำลายระบบ ทำได้ง่ายที่สุดเลย

นี่แหละเหตุผลที่ PAM, session recording, dual control สำหรับ admin ถึงสำคัญ

Threat Actor Taxonomy — แยกตามแรงจูงใจ + ความสามารถ#

ISACA + threat intelligence community แยก threat actor 5 ระดับ ที่ออกข้อสอบ:

Cyber Kill Chain — Framework สำหรับเข้าใจ Attack#

Cyber Kill Chain (Lockheed Martin) = framework ที่แตก attack เป็น 7 phases:

1
1. Reconnaissance      — ศึกษาเป้า (LinkedIn, OSINT, port scan)
2
       ↓
3
2. Weaponization       — สร้าง payload (malware + exploit)
4
       ↓
5
3. Delivery            — ส่ง payload (phishing, USB, watering hole)
6
       ↓
7
4. Exploitation        — trigger vulnerability
8
       ↓
9
5. Installation        — ติดตั้ง malware persistent
10
       ↓
11
6. Command & Control   — ติดต่อ attacker (C2 server)
12
       ↓
13
7. Actions on Objective — exfiltrate data / encrypt / destroy

หลักการของ Kill Chain คือ ตัด chain ที่ phase ไหนก็ได้ = หยุด attack:

• Phase 1 (Recon) → จำกัด info ที่เปิดเผย, monitor scanning
• Phase 3 (Delivery) → email filter, web filter, USB control
• Phase 5 (Installation) → EDR, application whitelisting
• Phase 6 (C2) → DNS filtering, network monitoring
• Phase 7 (Actions) → DLP, egress filter

Defender’s advantage attacker ต้องผ่านทุก phase ส่วน defender แค่ตัด phase เดียวก็พอ

MITRE ATT&CK — Framework ที่ละเอียดกว่า#

MITRE ATT&CK = knowledge base ของ adversary tactics + techniques + procedures (TTPs)

โครงสร้าง:

• Tactics — เป้าหมายของ attacker (Initial Access, Persistence, Credential Access, Lateral Movement, Exfiltration ฯลฯ — 14 tactics)
• Techniques — วิธีที่ใช้บรรลุ tactic (เช่น Spear-phishing เป็น technique ของ Initial Access)
• Procedures — implementation จริงของ technique (เช่น APT 28 ใช้ spear-phishing แบบนี้)

ATT&CK ละเอียดกว่า Kill Chain เยอะ เป็น standard ปัจจุบันสำหรับ:

• Threat hunting — proactive ค้นหา attacker ที่อาจฝังอยู่ในระบบแล้ว (สมมุติว่าโดนแล้ว ไปหาให้เจอ)
• Detection engineering — เขียน rule SIEM ให้ map ATT&CK technique ที่อยากจับ
• Red team simulation — ทีม attack จำลองทำ end-to-end attack เพื่อทดสอบ defense
• Security control gap analysis — เทียบ control ที่มีกับ ATT&CK matrix หาว่ายังเหลือช่องไหน

มุม IS auditor: องค์กรที่ map detection capability กับ ATT&CK = mature security organization verify ว่า SOC ใช้ ATT&CK เป็น reference

ข้อสอบ trap: “Kill Chain vs ATT&CK ต่างกัน?”

หลอก: เหมือนกัน จริง: Kill Chain = linear 7 phases (high-level); ATT&CK = matrix ของ tactics + techniques (granular) ATT&CK ใหม่กว่าและใช้ในการ operation จริงมากกว่า

Computer Crime Categories#

CRM แบ่ง crime เป็น 3 หมวด:

• Computer as target — โจมตีระบบโดยตรง (DDoS, ransomware)
• Computer as tool — ใช้คอมเพื่อทำผิด (online fraud, ขู่กรรโชก)
• Computer as subject — เกี่ยวกับเนื้อหา (CSAM, IP theft)

Attacks ที่กระทบ Availability#

DoS (Denial of Service)

• ถล่มเป้าด้วย traffic จนทำงานไม่ได้
• จากแหล่งเดียว = DoS
• จากหลายแหล่งพร้อมกัน = DDoS (Distributed)
• เป้าหมาย: หยุด service ไม่ใช่ขโมยข้อมูล
• ป้องกัน: rate limiting, CDN, cloud-based DDoS protection

ข้อสอบ trap: “DDoS attack — เป้าหมาย?”

หลอก: ขโมยข้อมูล จริง: disrupt availability flood traffic ทำให้ legitimate user เข้าไม่ได้

Attacks ที่กระทบ Authentication#

Phishing — email ปลอมที่หลอกให้ใส่ credential Spear phishing — phishing ที่ targeted บุคคลเฉพาะ Whaling — phishing ที่ target ผู้บริหารระดับสูง Vishing — phishing ทางโทรศัพท์ Smishing — phishing ทาง SMS

Social Engineering = ครอบจักรวาลของ “หลอกคน” เพื่อให้ได้ access phishing คือ subset อันหนึ่งของมัน

Credential stuffing / Brute force / Password spraying — โจมตี authentication mechanism

Attacks ที่กระทบ Application#

Injection attacks:

• SQL Injection — ใส่ SQL code เข้าไปใน input field
• XSS (Cross-Site Scripting) — ใส่ script ที่จะรันบน browser ของ user
• CSRF (Cross-Site Request Forgery) — หลอกให้ user ส่ง request ที่ตัวเองไม่ตั้งใจ

ป้องกันด้วย:

• Input validation — ตรวจ input ก่อน process
• Parameterized queries — แยก data ออกจาก SQL command

ข้อสอบ trap: “SQL injection — primary defense?”

หลอก: Firewall rules จริง: Input validation + parameterized queries ที่ application level firewall ช่วยน้อยมาก

Attacks ที่กระทบ Network#

Man-in-the-Middle (MITM) — แทรกระหว่าง 2 ฝ่าย ฟังหรือแก้ traffic DNS spoofing / Pharming — ปลอม DNS response นำไปเว็บปลอม Cryptojacking — ใช้ resource ของเหยื่อขุดเหรียญ crypto

Zero-Day Exploits#

Zero-day = ช่องโหว่ที่ vendor ยังไม่รู้ → ยังไม่มี patch → signature-based detection จับไม่ได้

ป้องกันด้วย:

• Behavior-based detection (EDR/XDR) — จับพฤติกรรมแปลก ไม่พึ่ง signature
• Threat intelligence — feed ข้อมูล IOC / TTP จาก vendor หรือ ISAC มาใส่ใน detection tool
• Defense in depth — ถ้าผ่านชั้นหนึ่งก็มีชั้นอื่นรอ

Malware Types#

ไม่ใช่แค่ “virus” นะครับ แต่ละแบบมีลักษณะต่างกัน:

• Virus — ติดเข้า file/program ต้องมี host file แพร่
• Worm — แพร่ตัวเองผ่าน network ไม่ต้องมี host
• Trojan — ปลอมเป็น software ปกติ user รันเอง
• Spyware — แอบเก็บข้อมูล user
• Logic bomb — รอ trigger แล้วทำลาย (เช่น “ถ้าฉันถูกไล่ออกจาก HR system → ลบ database”)
• Backdoor — ช่องลับให้กลับเข้าได้
• Rootkit — ฝังลึกใน OS หาเจอยาก
• Ransomware — เข้ารหัสข้อมูลแล้วเรียกค่าไถ่

Worm vs Virus — แยกชัด#

ในมุมบ้าน:

• Worm = แมลงที่เดินเข้าบ้านได้เอง (ไม่ต้องพาเข้า)
• Virus = ไวรัสที่ต้องอาศัย “พาหะ” (file หรือ program)

ข้อสอบ trap คลาสสิก: “worm vs virus ต่างกันยังไง?”

หลัก: worm propagates ตัวเองได้ผ่าน network ส่วน virus ต้องการ file/program เป็นพาหะ

ทำไม Ransomware ใหญ่#

Ransomware กลายเป็น business model ที่ยั่งยืน ของอาชญากรรมไซเบอร์เลย มี customer support มี cryptocurrency มี ransomware-as-a-service พร้อม

สำหรับองค์กรที่ไม่มี backup ที่ดี ทางเลือกมีจำกัดมาก: จ่าย หรือ ยอมรับว่าข้อมูลหายถาวร

Ransomware Lifecycle#

1
Initial access (phishing / RDP / vulnerability)
2
    ↓
3
Persistence + Privilege escalation
4
    ↓
5
Lateral movement (เคลื่อนตัวในเครือข่าย)
6
    ↓
7
Data exfiltration (เอาข้อมูลออกก่อน)
8
    ↓
9
Encryption (เข้ารหัสทุกอย่าง)
10
    ↓
11
Ransom demand

Double extortion = encrypt + ขู่ publish ข้อมูลที่ exfil ออกไป

แม้คุณมี backup ที่ดี attacker ก็ยังมี leverage จากข้อมูลที่เอาออกไป อ้าว

ป้องกัน Ransomware#

• Immutable backups — backup ที่แก้ไม่ได้ (offline / air-gapped / write-once media)
• Tested backups — restore test เป็นประจำ
• EDR/XDR — detect behavior ของ ransomware ก่อน encrypt
• Network segmentation — จำกัดการ lateral movement
• Patch management — ปิดช่องโหว่ที่ rapidly exploited
• MFA on RDP — RDP brute force เป็น top initial access vector

ข้อสอบ trap: “ป้องกัน ransomware data encryption ที่ดีที่สุด?”

หลอก: จ่าย ransom จริง: Immutable offline backups ที่ test สม่ำเสมอ จ่าย ransom ไม่การันตี recovery แล้วก็ funded criminal operations ด้วย

มุมผู้บริหาร: Ransomware = Business Continuity Risk#

บริษัทที่โดน ransomware เสียมากกว่าแค่ IT systems:

• รายได้หายทุกชั่วโมง downtime
• Reputation damage จากลูกค้า
• ค่า incident response specialist (มหาศาล)
• ค่า legal fees
• Regulatory fine (PDPA notification)
• Insurance premium increase

นี่ไม่ใช่ IT problem ครับ แต่เป็น business continuity event ระดับ board เลย

Compliance ≠ Security#

หลายบริษัทผ่าน ISO 27001 audit แล้วเชื่อว่าตัวเอง “secure”

ความจริงคือ ผ่าน audit = ผ่าน compliance check (process ตามมาตรฐาน) ไม่ได้บอกว่า attacker เข้าได้หรือไม่

นี่แหละเหตุผลที่ pen testing สำคัญ มันตอบคำถามคนละข้อกับ audit เลย

Security Assessment vs Audit vs Pen Test#

แยกให้ชัด ออกข้อสอบบ่อยมาก:

Security Assessment

• Risk-based — ระบุและจัดลำดับ threats/vulnerabilities
• ทำได้ทุกเวลา
• เน้น “อะไรเสี่ยงที่สุด”

Security Audit

• Compliance-based — เทียบกับมาตรฐาน (ISO 27001, PCI DSS, HIPAA)
• Formal methodology
• เน้น “ตามมาตรฐานหรือไม่”

Penetration Test

• Active exploitation — พยายาม break in จริง
• เน้น “เข้าได้จริงไหม”

ทั้งสามเสริมกัน audit ให้ compliance evidence, assessment ให้ risk evidence, pen test ให้ exploitability evidence

Vulnerability Assessment vs Penetration Test#

Vulnerability Assessment (VA)

• Automated scan หา known vulnerabilities
• ผลลัพธ์: list ของช่องโหว่ที่อาจมี
• Frequency: ขั้นต่ำรายไตรมาส + หลัง major change

Penetration Test

• Active exploitation — พยายาม exploit ช่องโหว่
• ผลลัพธ์: หลักฐานว่าช่องโหว่ใช้งานได้จริง
• Frequency: รายปี + หลัง major change

ในมุมบ้าน:

• VA = Home inspector ทำรายการจุดเปราะบางทั้งหมด
• Pen test = จ้างผู้เชี่ยวชาญลองงัดประตูจริงๆ

ข้อสอบ trap: “VA vs pen test ต่างกันยังไง?”

หลอก: VA แพงกว่า จริง: VA ระบุ known vulnerabilities; pen test exploit จริงเพื่อพิสูจน์ impact

Pen Test Types#

แยกตาม ความรู้ของ tester:

• Black-box / Blind — tester ไม่รู้อะไรเลย แพงและช้า แต่จำลองสถานการณ์จริงที่สุด
• White-box — tester มีข้อมูลครบ เร็วและละเอียด
• Grey-box — มีข้อมูลบางส่วน

แยกตาม ความรู้ของฝ่ายป้องกัน:

• Targeted (announced) — ทั้ง IT และ tester รู้ว่ามี test
• Blind — IT ปกป้องอย่างที่เคย แต่ tester เริ่มจากไม่มีข้อมูล
• Double-blind — internal security staff ไม่รู้ ว่ามี test ทดสอบ real incident detection ด้วยในตัว

ข้อสอบ trap: “Double-blind pen test — ลักษณะเด่น?”

หลอก: 2 testers ทำพร้อมกัน จริง: Internal security staff ไม่รู้ว่ามี test ทดสอบทั้ง technical controls + incident response capability

Authorization — สำคัญที่สุด#

Pen test ที่ไม่มี authorization = อาชญากรรม ไม่ว่า test แล้วเจออะไรก็ตาม

ก่อนเริ่ม:

• Senior management approval เป็นลายลักษณ์อักษร
• Scope clearly defined
• Time window specified
• Emergency contact established
• Get out of jail card ถ้าโดนจับ มีเอกสารยืนยันว่าได้รับอนุญาต

ข้อสอบ trap: “auditor review pen test report — verify อะไรสำคัญที่สุด?”

หลอก: คุณสมบัติของ tester จริง: Senior management authorization ที่ documented ก่อนการ test

หลักของ Red/Blue/Purple#

Blue Team = ทีม defense ปกติ (SOC, security operations)

• ทำงานต่อเนื่อง 24/7
• monitor, detect, respond

Red Team = ทีม attack จำลอง (in-house หรือ external)

• ใช้เทคนิคจริงเหมือน attacker
• ทำเป็นรอบ — เพื่อทดสอบ Blue team

Purple Team = Red + Blue ทำงานร่วมกัน

• หลัง Red attack share findings ปรับ defense

ในมุมบ้าน — Blue = ยามรักษาความปลอดภัย / Red = ทีมที่จ้างมาลองงัด / Purple = ทั้งสองนั่งคุยกันหลัง test

หลายองค์กรมี Blue (SOC) แต่ไม่มี Red auditor ถามได้เลยว่า “คุณรู้ได้ยังไงว่า defense ของคุณทำงาน ถ้าไม่เคยทดสอบ?”

SAST vs DAST vs IAST#

ถ้า pen test ทำกับระบบทั้งหมด ส่วน testing ระดับ application มี 3 แบบ:

SAST (Static Application Security Testing)

• White-box — วิเคราะห์ source code
• ทำตอน development (ก่อน deploy)
• ดี: หา bug ตั้งแต่ต้น (cheap to fix)
• ไม่ดี: เจอเฉพาะ bug ที่อยู่ใน code (ไม่จับ runtime issue)

DAST (Dynamic Application Security Testing)

• Black-box — ทดสอบ running application
• ทำหลัง deploy
• ดี: เจอ runtime issue ที่ SAST ไม่เห็น
• ไม่ดี: เจอช้า แก้แพง

IAST (Interactive) = hybrid SAST + DAST

ข้อสอบ trap: “SAST vs DAST — อันไหนเจอ vulnerability เร็วกว่าใน SDLC?”

หลอก: DAST (comprehensive กว่า) จริง: SAST วิเคราะห์ source code ตอน develop ก่อน deploy

หลัก shift left = หา bug ให้เร็วที่สุด ตอนต้น cheap ตอนปลายแพงโคตร

SOC — Operational Backbone#

SOC (Security Operations Center) = ทีมที่ทำ monitoring + response 24/7

• ใช้ SIEM, EDR, threat intel
• มี playbook สำหรับ incident type ต่างๆ
• เป็น operational arm ของ Blue team

จะกลับมาเรื่อง SOC ในตอนหน้า (Section 5.13)