CISA Series ตอนที่ 52 : D5 - นิติวิทยาศาสตร์ดิจิทัล: Forensics และ Evidence Preservation

ลองนึกภาพ เกิดเหตุที่บริษัท ทีม IT รีบกู้ระบบ:

Login เข้า server ที่โดนโจมตี เปลี่ยน password ทันที
รันโปรแกรม clean malware
ลบ file ที่น่าสงสัย
Reboot server เพื่อให้แน่ใจว่า clean
เปิดให้ user ใช้งานต่อ

5 ชั่วโมงต่อมา ระบบกลับมาใช้งานได้ ทุกคนโล่งใจ

แต่…

3 สัปดาห์ต่อมา PDPC (Personal Data Protection Committee / คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ของไทย) สอบสวน ขอหลักฐานว่าข้อมูลส่วนบุคคลรั่วมั้ย รั่วเท่าไหร่ ใครเข้าระบบ

คำตอบ: ไม่มีหลักฐานเหลือเลย ทุกอย่างที่ทีม IT ทำใน 5 ชั่วโมงนั้น ทำลายหลักฐานหมดแล้ว อ้าว

นี่แหละเรื่องของบทนี้ครับ Digital Forensics สาขาที่ผสมระหว่าง information security กับ law

ในมุมบ้านดิจิทัล เมื่อบ้านถูกงัด ตำรวจมาตรวจ สิ่งที่ทำใน 30 นาทีแรกกำหนดว่าคดีนี้จะชนะหรือแพ้ในศาล

หลักของ forensics คือ action ที่ทำในนาทีแรกหลังเหตุ คือสิ่งที่กำหนดว่าหลักฐานจะใช้ได้หรือไม่

ส่วนที่ 1 — ประเภทของ Investigation#

Investigation มีกี่แบบ — รู้จัก 6 ประเภท#

เมื่อเกิดเหตุ อาจต้องเผชิญหลาย investigation พร้อมกัน CRM แยกออกเป็น 6 ประเภท:

1. Administrative Investigation

HR / internal investigation
ตัดสินใจการลงโทษพนักงาน
ใช้ลายลักษณ์อักษร, witness statements

2. Criminal Investigation

ตำรวจ / DSI (Department of Special Investigation / กรมสอบสวนคดีพิเศษ) / กระทรวงดิจิทัลเข้าสอบสวน
มาตรฐานสูงสุดของหลักฐาน คือ “beyond reasonable doubt”
Chain of custody ต้องสมบูรณ์

3. Civil Investigation

ฟ้องเรียกค่าเสียหาย ระหว่างคู่ความ
มาตรฐานต่ำกว่า criminal คือ “preponderance of evidence” (ความน่าจะเป็นเกินครึ่ง)

4. Regulatory Investigation

หน่วยงานกำกับสอบสวน (PDPC, ก.ล.ต., ธปท.)
ฐานอำนาจคือกฎหมาย ฝ่าฝืน = ปรับ, พักใบอนุญาต, ระงับการประกอบกิจการ
บริษัทต้องสามารถผลิตเอกสาร + log

5. Industry Standards Investigation

กรอบมาตรฐานของวงการ (PCI DSS = Payment Card Industry Data Security Standard, ISO 27001 = International Organization for Standardization 27001 — มาตรฐาน Information Security Management System, SOC 2 = System and Organization Controls 2)
ฐานคือกรอบสมัครใจ ที่บริษัทเข้าร่วมเอง ฝ่าฝืน = เสีย certification, เสีย partner ที่บังคับให้ certify
ตัวอย่าง ถ้าไม่ผ่าน PCI DSS ก็รับบัตรเครดิตไม่ได้ (Visa/Master ตัดสิทธิ์)

6. Forensic Investigation

การสืบสวนเชิงเทคนิคที่ support investigation 5 ประเภทข้างบน
มาตรฐาน scientifically sound
หลักฐานต้อง admissible ในศาล
Chain of custody บังคับ

ระวังสับสน: Regulatory ≠ Industry standards

Regulatory = กฎหมายบังคับ (PDPC, ธปท.) ไม่ทำตาม = ผิดกฎหมาย

Industry standards = กรอบสมัครใจ (PCI DSS, ISO 27001) ไม่ทำตาม = เสีย certification แต่ไม่ผิดกฎหมายโดยตรง

บริษัทเดียวอาจเจอทั้งคู่พร้อมกัน เช่น breach บัตรเครดิต → PDPC สอบ (regulatory) + PCI Council สอบ (industry)

กฎทอง: Treat Every Incident as Forensic#

หลักที่ ISACA ย้ำคือ ตอนต้นเรายังไม่รู้ว่า incident จะกลายเป็นเรื่องอะไร อาจเริ่มจาก minor issue แล้วลามใหญ่ขึ้นเรื่อยๆ

ดังนั้นทุก incident ควร handle ตามมาตรฐาน forensic ตั้งแต่แรก:

หลักฐานที่เก็บแบบ criminal-standard ใช้ได้ในทุกประเภท
หลักฐานที่เก็บแบบ administrative อาจใช้ใน criminal ไม่ได้

ข้อสอบ trap: “Criminal vs civil investigation — มาตรฐานหลักฐานต่างกันยังไง?”

หลอก: Criminal ต้องการหลักฐานน้อยกว่า
จริง: Criminal = beyond reasonable doubt (สูงสุด); Civil = preponderance of evidence (ต่ำกว่า)

ส่วนที่ 2 — ประเภทของ Computer Forensics#

หลักฐานอยู่หลายที่#

CRM แบ่ง forensics ตามแหล่ง evidence:

Database forensics

query ที่รัน, schema changes, metadata
ใช้สำหรับ data theft cases

Email forensics

messages, headers, metadata
พิสูจน์การส่ง email, identity ของผู้ส่ง

Mobile forensics

messages, photos, contacts, location data
เพิ่มความซับซ้อนของ device encryption + cloud sync

Memory forensics

volatile data ใน RAM
running processes, network connections, encryption keys
ต้องเก็บก่อน shutdown เพราะหายเมื่อปิดเครื่อง

Network forensics

packet captures, firewall logs, DNS logs
traffic analysis

Malware forensics

code analysis, payload examination
เข้าใจวิธีการทำงานของ malware

Volatile vs Non-Volatile#

หลักสำคัญ:

Volatile evidence หายเมื่อปิดเครื่อง (RAM, running processes, network connections, encryption keys ใน memory)
Non-volatile evidence ยังอยู่หลังปิดเครื่อง (disk, log files, backups)

Order of Volatility เก็บที่ volatile สุดก่อน:

CPU (Central Processing Unit) registers, cache
RAM (Random Access Memory)
Network state
Running processes
Disk
Backup media

ส่วนที่ 3 — Power-Off Trap: สัญชาตญาณที่ผิด#

Top Trap ของ Domain 5#

ข้อสอบที่ออกบ่อยที่สุดเรื่อง forensics:

“พบ server ที่โดน compromise — first action?”

หลอก: ปิดเครื่องทันทีเพื่อหยุด attack
จริง: เก็บ volatile data (RAM, running processes, network connections) ก่อน shutdown

เหตุผล:

การปิดเครื่อง = ทำลาย volatile evidence ทั้งหมด
ใน RAM อาจมี: encryption keys ของ malware (ต้องการ decrypt later), active session ของ attacker, malware in-memory ที่ไม่ได้ persistent บน disk
หาก attacker ใช้ fileless malware (อยู่แค่ใน memory) ปิดเครื่อง = สูญเสียหลักฐานหลักของ attack ทันที

ทำไมสัญชาตญาณคือ “ปิดเครื่อง”#

Manager ส่วนใหญ่คิดว่า “ปิด = หยุด attack” แต่จริงๆ:

ส่วนใหญ่ attacker เก็บข้อมูลเสร็จไปแล้ว ก่อนเรารู้ตัวด้วยซ้ำ
ปิดเครื่องไม่ได้ recover อะไร
แต่ทำลาย investigation capability ไปเลย

วิธีที่ถูก:

Isolate from network ก่อน (unplug network cable, disable network) เพื่อหยุดการแพร่
Capture volatile data — RAM image
จากนั้นค่อย shutdown ทำ disk image

ส่วนที่ 4 — Forensic Phases#

ลำดับ phase ของ forensic investigation:

1
First Response
2
    ↓
3
Search and Seizure (ตามกฎหมาย)
4
    ↓
5
Evidence Collection
6
    ↓
7
Secure Evidence (chain of custody)
8
    ↓
9
Data Acquisition (imaging)
10
    ↓
11
Data Analysis
12
    ↓
13
Evidence Assessment
14
    ↓
15
Documentation and Reporting
16
    ↓
17
Expert Witness Testimony (ถ้าต้องไปศาล)

หลักการ:

ทำงานกับ copy ไม่ใช่ original
ทุก step มี timestamp + signature ของผู้ปฏิบัติ
ไม่มีช่วงเวลาที่ evidence “หายไป” จาก documented chain

ส่วนที่ 5 — Chain of Custody#

หลักการ#

Chain of Custody = บันทึกทุกการเคลื่อนย้าย/แตะต้อง evidence ตั้งแต่เก็บมา จนถึงนำเสนอในศาล

ในมุมบ้าน เปรียบเหมือนตำรวจที่:

ใส่ถุงมือก่อนแตะหลักฐาน
เก็บในซองที่ seal ด้วยตรา
ระบุชื่อ + เวลา + สถานที่ในการเก็บ
ทุกครั้งที่ถ่ายทอดให้คนอื่น = signing transfer log
ที่จัดเก็บมี control เข้าออก

ทำไมต้อง Chain of Custody#

ทนายฝ่ายตรงข้ามจะถาม:

“หลักฐานนี้แตะใครบ้าง?”
“ใครการันตีว่าไม่ถูกแก้ไข?”
“เก็บที่ไหนระหว่างเก็บมาถึงวันนี้?”

ถ้าตอบไม่ครบ ศาลอาจปฏิเสธหลักฐาน คดีพังเลย

ข้อสอบ trap: “auditor ดู forensic report — ลักษณะที่สำคัญที่สุด?”

หลอก: ความครบถ้วนของการวิเคราะห์ทาง technical
จริง: Chain of custody documented + unbroken analysis ที่เก่งแค่ไหน ไม่มีค่าถ้า chain ขาด

11 Best Practices ในการรักษา Digital Evidence#

Chain of custody คือหลัก ส่วน 11 ข้อนี้คือวิธีปฏิบัติ ที่ทำให้ chain ไม่ขาดและหลักฐานไม่ถูก contaminate CRM ไล่ไว้เป็นชุด:

ป้องกัน contamination ใช้ sterile media สำหรับ working copy, ใส่ write-blocker บน source ก่อนแตะ
ทำงานกับสำเนา ไม่แตะต้นฉบับ original seal ในซองหลักฐาน ตู้นิรภัย ห้ามเปิดถ้าไม่จำเป็น
Chain of custody สะอาด ทุกการเคลื่อนย้าย/ส่งต่อ บันทึก timestamp + ชื่อ + เหตุผล
Hash verification ทุกขั้นตอน SHA-256 เป็นขั้นต่ำ ตรวจซ้ำทุกครั้งที่เปิด image
Secure storage ตู้นิรภัยล็อก, climate-controlled, access log มีคนเฝ้า
Isolate mobile device Faraday bag หรือ airplane mode ทันที กัน remote wipe + signal interference
ใช้ forensic-grade equipment write-blocker, imaging tool ที่ certified (ไม่ใช่ copy ด้วย Windows Explorer)
Document ทุกอย่าง ถ่ายภาพ before/after, จดทุก action ที่ทำ ใครทำ เมื่อไหร่ ด้วยอะไร
เรียกผู้เชี่ยวชาญเมื่อจำเป็น งาน specialized (mobile encryption, malware reverse engineering) อย่าฝืนทำเอง
หลีกเลี่ยงการเปลี่ยน power state capture RAM ก่อน shutdown ถ้าเป็นไปได้ ปิดเครื่อง = ทำลาย volatile evidence
Treat ทุก transaction/transfer ว่าเป็น evidence การส่งต่อหลักฐานครั้งเดียว = log entry + dual sign-off (คนส่ง + คนรับ เซ็นทั้งคู่)

ในมุมบ้าน เหมือนตำรวจที่: ใส่ถุงมือ (1) → ถ่ายรูปที่เกิดเหตุก่อนแตะ (8) → ใส่ของในถุงหลักฐาน seal (2) → ส่งต่อด้วยการเซ็นชื่อรับ-ส่ง (11) → เก็บในห้อง evidence ที่มี access log (5) → ปั้มหมายเลข + บันทึกการตรวจสอบทุกครั้ง (4) → ถ้าเจอของที่ผู้เชี่ยวชาญต้องดู ส่งห้องแล็บ (9)

กับดักของ exam: “auditor พบว่าทีม IT image disk ด้วย dd แต่ไม่ได้ใช้ write-blocker — concern หลัก?”

หลอก: ใช้ command line ไม่เป็น professional

จริง: ไม่มี write-blocker = original อาจถูกแก้ระหว่าง mount (timestamp เปลี่ยน) → หลักฐานถูก challenge ได้ในศาลครับ

ส่วนที่ 6 — Disk Imaging + File Recovery#

Imaging — ทำงานกับสำเนา#

หลักของ forensics: ห้ามทำงานกับ original media

ทำสำเนาแบบ bit-for-bit เรียก forensic image:

Copy ทุก bit รวมพื้นที่ที่ “ลบแล้ว”
ใช้ write blocker ป้องกัน original ถูกแก้ไขโดยไม่ตั้งใจ
คำนวณ hash (MD5 = Message-Digest Algorithm 5 / SHA = Secure Hash Algorithm) ของ image verify ว่าทุกครั้งที่เปิดยังเหมือนเดิม

ในมุมบ้าน ถ่ายเอกสารสำคัญก่อนวิเคราะห์ ต้นฉบับเก็บไว้ไม่แตะ

File Recovery / Carving#

สำคัญที่ต้องเข้าใจคือ Delete ≠ Erase

เมื่อ user “ลบ” file ใน OS:

File system ลบ reference ไป file เฉยๆ
Data จริงยังอยู่บน disk จนกว่า block จะถูก overwrite

ดังนั้น:

File recovery — กู้ file จาก reference ที่ยังเหลือ
File carving — ค้นหา data pattern ใน raw disk space (สำหรับ file ที่ reference ลบหมดแล้ว)
Slack space analysis — เนื้อที่ระหว่าง file end กับ block boundary อาจมี data เก่า

ในมุมบ้าน ฉีกจดหมายไม่เท่ากับทำลาย ผู้เชี่ยวชาญเอาชิ้นส่วนมาต่อกันได้

ข้อสอบ trap: “attacker ลบ log files — concern?”

หลอก: log หายถาวร
จริง: อาจ recover ได้ด้วย forensic techniques แต่ที่กังวลกว่าคือไม่มี write-protected log storage (ต้นเหตุที่ attacker ลบได้ตั้งแต่แรก)

Steganography + Steganalysis#

Steganography = ซ่อนข้อมูลใน data อื่น (ในรูปภาพ, audio, video)

ตัวอย่าง secret message ซ่อนใน LSB (least significant bits) ของ pixel ในภาพ ตาเปล่ามองไม่ออกเลย

Steganalysis — ตรวจจับ Steganography#

Steganalysis = ฝั่งตรงข้าม เทคนิคในการ detect ว่า file มี hidden data หรือไม่

วิธีหลัก:

Statistical analysis เปรียบ statistical property ของ file (entropy, frequency distribution) กับ baseline ของ file ปกติ file ที่มี hidden data มักมี anomaly ที่ตาไม่เห็น
Visual analysis ดู noise pattern ของรูปภาพ (LSB modification ทิ้ง pattern ไว้)
Signature-based รู้ว่า steganography tool ตัวไหนทิ้ง signature อะไร
Compare with original ถ้ามี original file ให้เทียบ → bit-level diff

ในมุม forensic เมื่อสงสัย data exfiltration ผ่าน image/video steganalysis tool คือเครื่องมือหลัก

กับดักของ exam: “ทำไม encryption ป้องกัน steganography ไม่ได้?” เพราะ steganography ซ่อน การมีอยู่ ของ data ส่วน encryption ซ่อน เนื้อหา คนละ goal ไม่ทดแทนกัน

ในมุม DLP steganography เป็นช่องโหว่ที่ DLP ทั่วไปจับยาก เพราะ file ดูเหมือนรูปภาพ/video ปกติ ต้องใช้ specialized tool

Metadata Analysis#

ทุก digital file มี metadata:

Creation date / modification date / access date
Author
Application used
GPS (Global Positioning System) coordinates (สำหรับรูป)
Device model

Metadata ใช้สำหรับ:

Timeline reconstruction — ลำดับเหตุการณ์
Identity verification — author ของเอกสาร
Location — รูปถ่ายที่ไหน

หลายคดี solved ด้วย metadata มากกว่า content ด้วยซ้ำ

Cross-Drive Analysis (CDA) — เชื่อม Evidence ข้ามอุปกรณ์#

Cross-drive analysis (CDA) = เทคนิคที่ correlate artifact ข้าม drive/อุปกรณ์หลายตัว ในการสืบสวนเดียวกัน ต่างจาก per-drive analysis ที่ดูทีละเครื่องแยกกัน

ตัวอย่าง suspect ถูกสงสัยว่า exfiltrate ข้อมูลบริษัท forensic team ยึดมาได้ 4 อย่าง:

Laptop ที่ทำงาน
โทรศัพท์ส่วนตัว
USB stick ที่บ้าน
Cloud backup account

ถ้าวิเคราะห์แยกทีละเครื่อง อาจเจอเศษหลักฐานชิ้นเล็กๆ ที่ไม่สรุปอะไรได้ชัด แต่ถ้า cross-drive:

email signature เดียวกันโผล่ใน laptop + cloud backup
รูปเดียวกัน (hash ตรง) อยู่ใน USB + โทรศัพท์
file ที่ลบจาก laptop ตอน 14:32 → upload เข้า cloud ตอน 14:35 จากเครื่องนั้น
ชื่อ user account ปลอมที่ใช้คือชื่อเดียวกันทั้ง 4 device

หลักฐานชิ้นเล็กที่ดูไม่เกี่ยวกัน เมื่อ correlate ข้าม drive กลายเป็น strong link ที่ทนายฝ่ายตรงข้าม challenge ยาก

CRM mention CDA ในบริบทของ steganography ด้วย — ถ้าเจอ stego ใน file 1 ที่เครื่อง A เปรียบเทียบกับ file เดียวกันที่เครื่อง B/C อาจช่วย detect ว่า file ไหนคือต้นฉบับและไหนคือ container ที่ฝัง data

ในมุมบ้าน เหมือนสืบสวนคดี ตำรวจไม่ได้ดูเฉพาะที่เกิดเหตุ แต่เช็คกล้องวงจรปิดร้านข้างๆ + บันทึก GPS รถ + ข้อความใน WhatsApp ของผู้ต้องสงสัย แล้ว tie เข้าด้วยกันเป็น timeline เดียว

Academic Forensics Technique — Forensic ตามกรอบวิชาการ#

Academic forensics technique = การทำ forensic ตาม framework วิชาการที่มีการ peer-review ไม่ใช่ ad-hoc ตามที่ investigator ถนัด

framework หลักที่ exam ออก:

NIST SP 800-86 (Guide to Integrating Forensic Techniques into Incident Response)#

4 phase หลัก ที่กลายเป็น de facto standard ของ digital forensic:

1
1. Collection      — เก็บ data จาก source (disk, RAM, network)
2
       ↓
3
2. Examination     — แยก data ที่เกี่ยวข้องออกจาก noise (filter / decode)
4
       ↓
5
3. Analysis        — ตีความ data ที่ examine แล้ว สร้าง finding
6
       ↓
7
4. Reporting       — เขียน report ที่ defensible ในศาล

หลักของ NIST 800-86 คือ media → data → information → evidence แต่ละ phase แปลง output ของ phase ก่อนหน้าให้กลายเป็นรูปแบบที่ phase ถัดไปใช้ได้

Reith / Carr / Gunsch 9-step model#

อีก framework วิชาการที่ refer บ่อย แบ่งละเอียดกว่า NIST:

Identification — รู้ว่ามี incident เกิดขึ้น
Preparation — เตรียม tool + warrant
Approach strategy — วางแผนวิธีเก็บที่กระทบ minimal
Preservation — กัน evidence ไม่ให้ถูกแก้
Collection — เก็บจริง (ตามแผน)
Examination — ดูข้อมูลที่เก็บมา
Analysis — ตีความ
Presentation — เสนอผล
Returning evidence — คืน original ให้เจ้าของหลัง case จบ

ทำไม “academic” สำคัญ#

ในศาล ทนายฝ่ายตรงข้ามจะ challenge methodology ของ forensic investigator ถ้าตอบว่า “ผมทำตามที่ผมถนัด” = ถูก challenge ง่าย ถ้าตอบว่า “ผมทำตาม NIST SP 800-86 ซึ่งเป็น peer-reviewed framework ของหน่วยงานรัฐ” = strong defensibility มาก

ในมุมบ้าน เหมือนหมอที่รักษาคนไข้ — ถ้าทำตาม clinical guideline ที่ peer-review = ปกป้องตัวเองในกรณีถูกฟ้องได้ ถ้าทำตาม “ที่ตัวเองคิดว่าน่าจะถูก” = ไม่มีอะไรปกป้อง

ข้อสอบ trap: “Forensic investigator ใช้ NIST SP 800-86 — ประโยชน์หลัก?”

หลอก: เร็วขึ้น
จริง: Defensibility — framework ที่ peer-review ทำให้ทนายฝ่ายตรงข้าม challenge methodology ได้ยาก

ส่วนที่ 7 — Forensic Audit Considerations (Section 5.16)#

IT Audit ที่อาจทำลายหลักฐาน#

pattern ที่ CRM เตือนบ่อยคือ ทีม IT audit หรือ IT operations เข้าถึงระบบที่อาจเป็น crime scene ก่อน forensic team

ผลกระทบ:

เปลี่ยน file timestamps
Overwrite slack space
Modify registry entries
Trigger เรื่อง MAC time (Modified/Accessed/Created timestamps — คนละความหมายกับ MAC = Mandatory Access Control)

วิธีป้องกัน:

มี forensic preservation procedure ที่ activate ก่อน ใครแตะระบบ
IR plan + forensic ต้อง integrate กัน
IT staff ต้อง train เรื่อง “อย่าแตะ” สำหรับเหตุที่อาจเป็น forensic case

Forensic Process#

หลังจาก isolate + capture volatile:

Forensic data protection — write blocker on all media
Imaging — bit-for-bit copy
Data acquisition — controlled transfer
Extraction — เลือกข้อมูลที่เกี่ยวข้องออกจาก imaged dataset
Interrogation — หาความสัมพันธ์ (IP addresses, phone numbers, names)
Ingestion / Normalization — แปลง binary/hex เป็น readable format
Reporting — technical report + management summary

Tools Categories#

(ขออ้างอิงเฉพาะ category ทั่วไป ไม่ระบุยี่ห้อเฉพาะ)

Disk imaging tools — ทำ bit-for-bit copy ของ disk (เช่น dd, FTK Imager, EnCase)
Memory capture tools — dump RAM ออกมาเป็น file เพื่อวิเคราะห์ (เช่น Volatility, WinPmem)
Mobile forensics tools — เจาะ data ใน smartphone / tablet
Network forensics tools — capture + analyze packet เพื่อ reconstruct event (เช่น Wireshark, Zeek)
Malware analysis sandbox — VM (Virtual Machine) แยกที่รัน suspicious file ดูพฤติกรรม (เช่น Cuckoo, Joe Sandbox)
Write blockers (hardware) — อุปกรณ์กั้นไม่ให้เขียนทับ disk ระหว่างทำ imaging

8 Quality Requirements ของ Forensic Report#

ตอนแรกเล่าว่ารายงานแบ่งเป็น 2 ฝั่ง (technical + management) เรื่องที่ลึกกว่านั้นคือตัวรายงานเอง ต้องมี 8 คุณสมบัติ ไม่งั้นจะไม่ผ่านการ challenge ในศาล หรือใช้ตัดสินใจระดับ executive ไม่ได้

Requirement	ทำไมสำคัญ	จุดที่ fail บ่อย
Clarity (ความชัดเจน)	ผู้อ่านไม่ใช่ technical (ผู้พิพากษา, คณะลูกขุน, executive) ต้องอ่านแล้วเข้าใจ	ใส่ jargon ไม่ explain, ใช้ภาพ technical ที่ดูเองไม่ออก
Conciseness (กระชับ)	เขียนเฉพาะที่จำเป็น ไม่ใส่ filler	ใส่ background ทุกเรื่อง, copy log ทั้งดุ้นโดยไม่ highlight
Accuracy (ความถูกต้อง)	เขียนเฉพาะ fact ไม่มี opinion (ในส่วน technical)	เขียน “น่าจะเป็น” / “คาดว่า” ที่ตีความได้ว่าเป็น opinion
Completeness (ครบถ้วน)	ทุก step ที่ทำ + ทุก finding ต้อง document	ข้าม step ที่คิดว่า “obvious”, ไม่ระบุ tool version
Chronological order (เรียงตามเวลา)	เล่า timeline ให้คนตามได้ ไม่ใช่ jump ไปมา	จัด finding ตามความสำคัญแทนเวลา → reader งง
Reproducibility (ทำซ้ำได้)	ผู้ตรวจคนอื่นทำตามแล้วได้ผลเดียวกัน	ใช้ proprietary tool โดยไม่ระบุ config / parameter
Defensibility (ทนต่อการ challenge)	ทนต่อการ cross-examination ในศาล	step ไหนที่ทนายฝ่ายตรงข้ามจิ้ม chain หรือ method ได้
Confidentiality (รักษาความลับ)	จำแนกชั้นความลับเหมาะสม จำกัดการแจกจ่าย	ส่งรายงานทาง email ปกติ, ไม่จำกัดผู้รับ

หลักง่ายๆ ที่จำได้ Technical report ฝั่งหนึ่งเน้น Accuracy + Reproducibility + Completeness (ต่อสู้ในศาล) ส่วน Management summary เน้น Clarity + Conciseness (ตัดสินใจระดับ executive) ทั้งคู่ต้องผ่าน Defensibility + Confidentiality เหมือนกัน

กับดักของ exam: “auditor review forensic report พบว่าเขียน ‘น่าจะเป็นการโจมตีจาก insider’ concern อะไร?”

หลอก: ระบุไม่ชัดว่าใคร

จริง: ละเมิด Accuracy — technical report ห้ามมี opinion/speculation มีแต่ fact (timestamp, hash, source IP) ส่วนการตีความว่า insider หรือไม่ ไปอยู่ใน management summary / investigation conclusion ต่างหาก

ส่วนที่ 8 — มุม PDPA + Forensic Readiness#

PDPA + Forensics#

PDPA (Personal Data Protection Act / พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ของไทย) กำหนดว่าต้อง notify breach ภายใน 72 ชั่วโมง แล้ว notification ต้อง accurate ด้วย:

ข้อมูลอะไรที่ได้รับผลกระทบ
จำนวนคนที่ได้รับผลกระทบ
เหตุการณ์เกิดขึ้นยังไง
ทำอะไรอยู่

ถ้า notification ผิด = regulatory penalty เพิ่มจากการ breach เองอีกชั้น

ดังนั้น forensic investigation ต้องเริ่มทันที ไม่ใช่หลังจาก recovery เสร็จ

Forensic Readiness — ลด Cost#

องค์กรที่ “พร้อม” สำหรับ forensic จะเสียน้อยกว่า:

Write-protected log storage
Forensic kit เตรียมไว้
CSIRT รู้ขั้นตอน
Incident response plan + forensic procedure ผูกกัน
Pre-identified forensic team (in-house หรือ retainer กับ external firm)

ที่วงการรายงานกันบ่อย ค่า incident response specialist ราคาแพงมากต่อชั่วโมง องค์กรที่ไม่พร้อมเสียทั้งเงินและเวลามากกว่าหลายเท่าเลย

Trap Summary#

สถานการณ์	คำตอบหลอก	คำตอบจริง
Server compromised — first action	ปิดเครื่อง	Capture volatile (RAM, processes) ก่อน shutdown
Criminal vs civil — มาตรฐานหลักฐาน	Criminal น้อยกว่า	Criminal = beyond reasonable doubt; Civil = preponderance
Forensic report — ลักษณะสำคัญ	technical comprehensive	Chain of custody documented + unbroken
Attacker ลบ log — concern	log หายถาวร	Recoverable แต่ปัญหาที่ใหญ่กว่าคือไม่มี write-protected storage
ตัดสินใจไม่แจ้งตำรวจ — auditor	สนับสนุนเพื่อ reputation	Note risk: failure to preserve evidence + อาจมี regulatory reporting
Delete = erase ไหม	ใช่	ไม่ — recoverable ผ่าน forensic techniques
NIST SP 800-86 — ประโยชน์หลัก	เร็วขึ้น	Defensibility — peer-reviewed framework ที่ challenge ยาก
สืบสวนเดียวกัน 4 device — เทคนิคที่ correlate ได้	per-drive analysis	Cross-drive analysis (CDA) — เชื่อม artifact ข้ามอุปกรณ์

เชื่อมไปบทถัดไป#

ตอนนี้เราจบเนื้อหา 12 บทของ Domain 5 ทั้งหมดแล้ว:

1
สร้างป้อม (Part A):
2
ตอน 42 — Storyboard
3
ตอน 43 — Policy + Physical
4
ตอน 44 — IAM
5
ตอน 45 — Network + DLP
6
ตอน 46 — Crypto + PKI
7
ตอน 47 — Cloud
8
ตอน 48 — Mobile/IoT
9
ตอน 49 — Awareness
10

11
ตรวจจับ ตอบสนอง เรียนรู้ (Part B):
12
ตอน 50 — Attacks + Pen Test
13
ตอน 51 — Monitoring + IR
14
ตอน 52 — Forensics (บทนี้)

เหลืออีกบทเดียว — ตอน 53 — ปิด Domain 5 + ปิดทั้งซีรีส์ CISA แล้วก็คุยเรื่อง next step: สอบจริง

หลังเดินทางผ่าน 54 ตอน 5 Domains ~133,000 คำ มาดูภาพรวมและต่อยอดไปที่การสอบจริงกัน

จะปิดในตอนหน้าครับ

เรื่องที่ลึกกว่านี้อ่านได้ที่:#

Digital forensics deep#

6 Types of Investigation deep + Forensic Tools (DEBs/Password Crackers/File Viewers) + Keyword Searching + Academic Forensics techniques + Chain of Custody depth → cybersec EP.47 — Digital Forensics (เพิ่มรอบนี้)
NIST 800-61 IR + NIST 800-34 plan family → cybersec EP.46 — Incident Response

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 5: Section 5.15 Evidence Collection and Forensics (รวม Section 5.16 Audit Considerations)