2642 คำ
13 นาที
CyberSecurity Foundation EP.00 (Prologue) — 5 Generations + PPT + ไขความสับสน CISA vs CISA
สารบัญ
5 Generations of Security — วิวัฒนาการของวงการ 50 ปี Gen 1 — Computer Security (1970s-1980s) — ป้องกัน “เครื่อง” ก่อน Gen 2 — Information Security (1990s-2000s) — ป้องกัน “ข้อมูล” ที่อยู่หลายที่ Gen 3 — Cybersecurity (2010s-2015) — ป้องกัน “ทั้ง ecosystem” Gen 4 — Cyber Resilience (2017+) — รอด + ฟื้น + เรียนรู้ Gen 5 — Cyber Dominance (2020+) — Human + AI + Active Defense สรุปภาพ 5 Generations PPT Framework — 3 ขาที่ทุก security program ต้องยืน 3 ขาของ PPT Pattern ที่ผู้บริหารทำผิดเรื่อง PPT PPT ผ่านยุค — ขายืนเหมือนเดิม น้ำหนักเปลี่ยน CISA vs CISA — ไขความสับสนที่สุดในวงการ CISA ตัวที่ 1 — ISACA CISA (Certification) CISA ตัวที่ 2 — US CISA (Government Agency) ตารางเปรียบเทียบเร็ว CISA CRR — Cyber Resilience Review (10 Domains) Mental Model สรุป — 3 เลนส์ที่ใช้กับทุก EP ที่เหลือ เลนส์ 1: “EP นี้พูดถึง Gen ไหน?” เลนส์ 2: “EP นี้พูดถึง PPT ขาไหน?” เลนส์ 3: “CISA นี่ตัวไหน?” ปิดเรื่อง — ขึ้นยอดเขาแล้ว ลงไปเดินในเมือง EP ต่อไป

Series: CyberSecurity Foundation — รากฐาน Security สำหรับยุค AI (ภาษาคน)

Part 0 — WHY: เมืองนี้ทำไมต้องมียาม

Part 1 — HOW: ระบบนิเวศของเมือง

Part 2 — Identity: บัตรประชาชน + กุญแจห้อง

Part 3 — Data: ของในเซฟ

Part 4 — Infrastructure: ถนน กำแพง ท่อ

Part 5 — Operations: ตำรวจ ดับเพลิง สืบสวน

Part 6 — Governance: เทศบาล + กฎหมายเมือง

→ สารบัญรวมของซีรีส์ (Hub)

ก่อนที่เราจะเดินเข้าเมือง security ใน 52 EPs ที่เหลือ ผมอยากชวนคุณขึ้นยอดเขาก่อนครับ เพื่อมองภาพรวมของวงการทั้งใบจากด้านบน

เพราะถ้าเดินเข้าเมืองเลย คุณจะเห็นถนน เห็นบ้าน เห็นตำรวจ แต่จะไม่เห็นว่าทำไมเมืองนี้ถูกออกแบบแบบนี้ มันโตมายังไง แล้วทิศทางต่อไปคืออะไร ผู้บริหารที่เก่ง security ไม่ได้รู้แค่ “tool ตัวไหนซื้อ” แต่รู้ว่า วงการกำลังเดินไปทางไหน และทำไม

EP.00 พาคุณดู 3 อย่างที่เป็น mental model ครอบทุก EP ที่เหลือ

  1. 5 Generations of Security — วงการเดินทางมาจากไหน 50 ปี และตอนนี้อยู่ที่ไหน
  2. PPT Framework (People + Process + Technology) — สามขาที่ทุก security program ต้องยืน
  3. CISA vs CISA disambiguation — ทำไมคำนี้สับสนที่สุดในวงการ + Cyber Resilience Review (CRR) 10 domains

ลองนึกภาพง่ายๆ ถ้าวงการ security คือ “การแพทย์” ก่อนเข้าโรงพยาบาล คุณควรรู้คร่าวๆ ว่า medicine มาจากยุคสมุนไพร → ยุคศัลยกรรม → ยุคยาปฏิชีวนะ → ยุค precision medicine → ยุค AI diagnosis ไม่ใช่เพราะคุณจะเป็นหมอ แต่เพราะคุณจะเข้าใจว่า ทำไมหมอวันนี้ถามคำถามแบบที่เขาถาม และ อะไรกำลังเปลี่ยน

Security ก็เหมือนกัน ไปขึ้นยอดเขากันครับ

5 Generations of Security — วิวัฒนาการของวงการ 50 ปี#

วงการ security เกิดมาพร้อมคอมพิวเตอร์ตั้งแต่ทศวรรษ 1970s แต่ภายใน 50 ปีนี้ ความหมายของคำว่า “security” เปลี่ยนถึง 5 รอบ แต่ละรอบไม่ได้ลบของเก่าทิ้ง แต่ซ้อนทับขึ้นมาใหม่

ลองเปรียบกับการแพทย์ ยุคสมุนไพรไม่ได้หายไปเพราะมียาปฏิชีวนะ มันอยู่ใต้สุดเป็นรากของ pharmacology ยุคศัลยกรรมไม่ได้หายไปเพราะมี precision medicine มันยังเป็น tool หลัก Security 5 generations ก็เหมือนกัน ทับซ้อนกัน ไม่ได้ทดแทนกัน

Genชื่อยุคจุดเน้นยุคสมัยFramework ตัวแทน
1Computer SecurityHW + SW protection1970s-1980sTCSEC (Orange Book)
2Information SecurityData protection1990s-2000sISO/IEC 27001
3CybersecurityEnd-to-end ecosystem2010s-2015NIST CSF
4Cyber ResilienceRecover + survive2017+CISA CRR, NIST CSF 2.0
5Cyber DominanceHuman + AI + active defense2020+(ยังไม่มี framework เดียวที่ครอง)

แต่ละยุคเกิดเพราะ โจรเปลี่ยนวิธีโจมตี + คอมพิวเตอร์เปลี่ยนรูปแบบการใช้งาน มาเล่าทีละยุคกัน

Gen 1 — Computer Security (1970s-1980s) — ป้องกัน “เครื่อง” ก่อน#

ยุคนี้คอมพิวเตอร์คือ mainframe ขนาดเท่าห้อง อยู่ในมหาวิทยาลัย กองทัพ ธนาคารใหญ่ ผู้ใช้ส่วนใหญ่คือ นักวิจัย + ทหาร ไม่มี internet ไม่มี endpoint หลายล้านเครื่อง

ภัยในยุคนั้นคือ คนเข้าห้องคอมไม่ถูกต้อง, bug ใน OS ที่ทำให้ user คนหนึ่งอ่านไฟล์ของอีกคนได้, และ virus ที่เริ่มระบาดผ่าน floppy disk (Brain virus ปี 1986 = virus PC ตัวแรก)

Framework ตัวแทน คือ TCSEC (Trusted Computer System Evaluation Criteria) หรือ “Orange Book” ออกโดย กระทรวงกลาโหมสหรัฐ ปี 1983 แบ่ง computer system เป็น 4 ระดับความปลอดภัย (D, C, B, A) โดย A1 ปลอดภัยที่สุด

ขอบเขต คือ เครื่องเดียวจบ ไม่มีคำถามเรื่อง network / cloud / endpoint ต่างประเทศ เพราะมันยังไม่มี

Gen 2 — Information Security (1990s-2000s) — ป้องกัน “ข้อมูล” ที่อยู่หลายที่#

ยุค 1990s internet มา + PC ถึงทุกบ้าน + ธุรกิจเริ่ม digital ทันใดนั้นข้อมูลของบริษัทไม่ได้อยู่ใน mainframe เดียวอีกแล้ว มันอยู่ใน server หลายตัว ใน laptop ของพนักงาน ส่งผ่าน email และ copy ลง floppy disk เอากลับบ้าน

ภัยเปลี่ยน ไม่ใช่แค่ “คนเข้าห้องคอม” แต่เป็น “ข้อมูลรั่ว” ใครจะเอา customer database ของบริษัทออกไปขายให้คู่แข่ง? ใครจะแอบดู email ของ CEO ที่ส่งผ่าน network ที่ไม่ encrypt? ใครจะเอา laptop ที่หายไปแล้วเปิดอ่านไฟล์?

วงการตอบด้วยการสร้างคำใหม่ Information Security (InfoSec) focus ที่ “ข้อมูล” ไม่ใช่ “เครื่อง”

Framework ตัวแทน คือ ISO/IEC 27001 (ออกปี 2005 จากต้นกำเนิด BS 7799 ของอังกฤษปี 1995) เป็นมาตรฐาน Information Security Management System (ISMS) ที่บริษัททั่วโลก adopt ครอบทั้ง people + process + technology แต่ คำถามหลัก ที่ ISO 27001 ตอบคือ “ข้อมูลของคุณ ใครเข้าได้? ป้องกันยังไง? ตอบสนองอย่างไรเมื่อหลุด?

CIA Triad (Confidentiality / Integrity / Availability ที่เราคุยลึกใน EP.03) เกิดในยุคนี้ เป็น 3 คำถามที่ทุก control ต้องตอบ สำหรับ data

ขอบเขต คือ ข้อมูลที่อยู่ในระบบขององค์กร แต่ยังไม่ครอบเรื่อง threat ภายนอกที่เป็น organized crime ระดับชาติและ supply chain

Gen 3 — Cybersecurity (2010s-2015) — ป้องกัน “ทั้ง ecosystem”#

ยุค 2010s smartphone ครอง + cloud มา + APT (Advanced Persistent Threat) กลายเป็น norm โจรไม่ใช่ hacker เดี่ยวอีกแล้ว เป็น ทีมจัดตั้ง ที่มีรัฐสนับสนุน (Russia, China, North Korea, Iran) เคสที่เปลี่ยนวงการในยุคนี้คือ Stuxnet (2010) malware ของ US/Israel ที่ทำลาย centrifuge nuclear ของ Iran เป็นครั้งแรกที่ cyber attack ทำลายสิ่งของจริงในโลก physical

ภัยเปลี่ยนอีกครั้ง ไม่ใช่แค่ “ข้อมูลรั่ว” แต่เป็น “ระบบทั้งใบโดนยึด” และ “infrastructure ของประเทศโดนโจมตี” ครอบไม่แค่ data แต่ครอบ network + endpoint + cloud + OT/ICS + mobile + IoT + supply chain

วงการตอบด้วยคำใหม่ Cybersecurity ครอบทุกอย่างใน “ไซเบอร์สเปซ” ไม่ใช่แค่ “ข้อมูล”

Framework ตัวแทน คือ NIST Cybersecurity Framework (CSF) ออกปี 2014 โดย NIST (US) ตาม Executive Order 13636 ของ Obama แบ่งเป็น 5 functions คือ Identify / Protect / Detect / Respond / Recover (ที่เราคุยใน EP.08)

NIST CSF เปลี่ยน mindset ของวงการ Protect เป็นแค่ 1 ใน 5 ฟังก์ชัน Detect + Respond + Recover ก็สำคัญพอกัน เพราะ โจรเข้ามาแน่ ไม่ว่าจะป้องกันดีแค่ไหน

ขอบเขต คือ ทั้ง ecosystem ของบริษัท แต่ยังเน้นที่ “ก่อนเกิดเรื่อง” และ “ตอนเกิดเรื่อง” เรื่อง “กลับมายืนได้แค่ไหนหลังเรื่องจบ” ยังเป็นจุดอ่อน

Gen 4 — Cyber Resilience (2017+) — รอด + ฟื้น + เรียนรู้#

ปี 2017 WannaCry + NotPetya ransomware 2 ตัวที่ทำลายบริษัทระดับโลก Maersk (บริษัทขนส่งใหญ่ที่สุดในโลก) โดน NotPetya ระบบ IT พังทั้งโลกใน 7 นาที เสียหาย $300 ล้าน USD กู้คืนได้ใน 10 วันเพราะ domain controller เดียวที่เหลือรอด อยู่ที่กานา ที่ไฟดับวันที่ระบาด

วงการเรียนรู้ว่า การป้องกันไม่ใช่จุดหมาย การฟื้นตัวต่างหากคือจุดหมาย ถ้าบริษัทใหญ่อย่าง Maersk ยังโดนได้ แปลว่าทุกคนจะโดน คำถามไม่ใช่ “เราจะป้องกันยังไง” แต่คือ “เมื่อโดนแล้ว เราจะกลับมายืนได้ใน 24 ชั่วโมง หรือ 24 เดือน?”

วงการตอบด้วยคำใหม่ Cyber Resilience (ความยืดหยุ่นทางไซเบอร์) focus ที่ survive + recover + adapt + learn

Framework ตัวแทน มี 2 ตัวหลัก:

  • CISA CRR (Cyber Resilience Review) ของ US CISA (ไม่ใช่ ISACA เดี๋ยวอธิบายในส่วนถัดไป) 10 domains ของ resilience assessment ที่บริษัท critical infrastructure ใช้
  • NIST CSF 2.0 (กุมภาพันธ์ 2024) เพิ่ม function ใหม่ตัวที่ 6 คือ Govern ครอบ governance + risk + supply chain (CSF 1.0 มี 5 → 2.0 มี 6 functions)

Cyber Resilience ครอบ 4 เสาหลัก:

  1. Anticipate (คาดการณ์) — รู้ว่าอะไรจะเกิด → tabletop exercise + threat intel
  2. Withstand (ทน) — ระบบยังทำงานได้แม้บางส่วนพัง → redundancy + segmentation
  3. Recover (ฟื้น) — กลับมาสู่สภาพปกติเร็ว → backup + DR + IR plan (ที่เราคุยใน EP.46)
  4. Adapt (ปรับตัว) — เรียนรู้จากเหตุการณ์ → post-incident review + framework update

ขอบเขต คือ ทั้ง lifecycle ของเหตุการณ์ ทั้งก่อน ตอน และหลัง เพิ่ม dimension ใหม่ที่ Gen 3 ขาด

Gen 5 — Cyber Dominance (2020+) — Human + AI + Active Defense#

ยุคปัจจุบันที่เรายืนอยู่ AI generative มา + deepfake ระบาด + state-sponsored attack เพิ่มขึ้นทุกปี + supply chain attack (SolarWinds 2020) ที่เปลี่ยนเกม ภัยใหม่ที่ไม่เคยมีมาก่อน:

  • Deepfake video call — CFO โดนปลอมเสียง + หน้า → โอน $25M USD (Hong Kong 2024)
  • AI-generated phishing — email ที่เขียนถูกไวยากรณ์ภาษาทุกภาษา personalized ทุกคน — ต่างจาก phishing ยุคก่อนที่จับได้จากภาษางอ
  • Prompt injection — attack รูปแบบใหม่ที่โจมตี LLM ที่ฝังในระบบ
  • Living off the Land (LOTL) — โจรใช้ tool ของระบบเองโจมตี — ไม่ install malware — detect ยากที่สุด

วงการเริ่มพูดถึงคำใหม่ Cyber Dominance (ความเหนือกว่าทางไซเบอร์) concept ที่ยังไม่นิ่ง 100% แต่ core idea คือ:

“ไม่ใช่แค่ป้องกันและฟื้น แต่ต้อง active deterrence + outpace adversary”

3 ขาของ Cyber Dominance:

  1. Human-centric — โจร AI โจมตี คน ไม่ใช่เครื่อง ดังนั้น awareness + culture + behavioral analytics สำคัญที่สุด EP.40 (Social Engineering) ของเราจะลึกเรื่องนี้
  2. AI vs AI — ใช้ AI ป้องกัน AI EDR ยุคใหม่ทุกตัว (CrowdStrike Falcon / SentinelOne / Microsoft Defender) ใช้ ML ตรวจจับ pattern ที่ rule-based ไม่เคยจับได้
  3. Active Defense + Proactive Hunting — ไม่รอ alert ออกไปหาโจร (Threat Hunting — EP.44) วาง deception ล่อโจรเปิดตัว และ cyber threat intelligence แชร์ข้ามองค์กร

Framework ตัวแทน ยังไม่มีตัวเดียวที่ครอง แต่ที่ดังขึ้นคือ:

  • MITRE ATT&CK (ที่เราคุยใน EP.39) — knowledge base ของ technique ที่โจรใช้จริง
  • MITRE Engage — framework สำหรับ active defense + deception
  • Zero Trust Architecture (NIST SP 800-207) — สมมุติว่าโจรอยู่ในระบบแล้ว ตรวจทุก request

ขอบเขต คือ ทุก dimension ของ Gen 1-4 + คนเป็นศูนย์กลาง + AI เป็น weapon ของทั้ง 2 ฝั่ง

สรุปภาพ 5 Generations#

flowchart TB
    G5["<b>Gen 5 — Cyber Dominance</b><br/>(2020+)<br/>Human + AI + Active Defense"]
    G4["<b>Gen 4 — Cyber Resilience</b><br/>(2017+)<br/>ฟื้น + ปรับตัว"]
    G3["<b>Gen 3 — Cybersecurity</b><br/>(2010s)<br/>ป้องกัน ecosystem"]
    G2["<b>Gen 2 — Information Security</b><br/>(1990s)<br/>ป้องกันข้อมูล"]
    G1["<b>Gen 1 — Computer Security</b><br/>(1970s-80s)<br/>ป้องกันเครื่อง"]

    G1 -->|ขยาย| G2
    G2 -->|ขยาย| G3
    G3 -->|ขยาย| G4
    G4 -->|ขยาย| G5

    classDef g1 fill:#5a3a1f,stroke:#a07040,color:#fff
    classDef g2 fill:#3a4a2a,stroke:#6a8050,color:#fff
    classDef g3 fill:#2a4a5a,stroke:#508aa0,color:#fff
    classDef g4 fill:#1e3a5f,stroke:#4a9eff,color:#fff
    classDef g5 fill:#3a1f5a,stroke:#8050c0,color:#fff
    class G1 g1
    class G2 g2
    class G3 g3
    class G4 g4
    class G5 g5

ไม่ใช่การทดแทน แต่เป็นการซ้อนทับ Gen 5 ยังต้องการ Gen 1 (HW/SW protection) เป็นรากฐาน ไม่มี Gen ไหนหายไป ทุก Gen ยังอยู่ใต้ยอดเขา

ที่ผู้บริหารต้องเข้าใจคือ บริษัทคุณตอนนี้อาจอยู่ที่ Gen 2 หรือ 3 (มี ISO 27001 + NIST CSF) แต่โจรที่จะมา อยู่ที่ Gen 5 หมดแล้ว AI-generated phishing ที่ภาษาไทยเป๊ะ deepfake เสียง CFO supply chain attack ที่ผ่าน vendor SaaS โจรไม่รอให้คุณ catch up

มุมผู้บริหาร — บริษัทคุณอยู่ Gen ไหน?

3 คำถามที่ผู้บริหารควรถาม CISO ในการประชุมครั้งหน้า

  • ข้อ 1: “เรามี IR plan + tabletop exercise ที่ซ้อมในรอบ 12 เดือนล่าสุดไหม?” ถ้าไม่มี = ยังอยู่ Gen 3 (มี protection ไม่มี resilience)
  • ข้อ 2: “เรามี threat hunting program ที่ออกหาภัยแบบ active หรือยัง?” ถ้าไม่มี = ยังไม่เข้า Gen 5
  • ข้อ 3:AI security policy ของเราเรื่อง prompt injection + deepfake เขียนแล้วหรือยัง?” ถ้าไม่มี = ยังไม่เริ่ม Gen 5

ไม่ต้องกระโดดจาก Gen 2 ไป Gen 5 แต่ต้องรู้ตัวว่าอยู่ที่ไหน และมี roadmap ไปต่อยังไง

PPT Framework — 3 ขาที่ทุก security program ต้องยืน#

ผ่าน 5 generations มาแล้ว framework เปลี่ยนหลายตัว แต่มี mental model หนึ่ง ที่อยู่กับวงการมาตั้งแต่ Gen 2 จนถึง Gen 5 ไม่เปลี่ยน นั่นคือ PPT Framework (People + Process + Technology)

PPT ไม่ใช่ ISO หรือ NIST ไม่มี certification แต่เป็น lens ที่ทุก security professional ใช้มอง problem ที่มาของ PPT คือ Bruce Schneier (security legend) เขียนในหนังสือ “Secrets and Lies” ปี 2000 core insight:

“Security is a process, not a product.”

ขยายความ security ที่มีแค่ technology (product) จะล้มเหลวเสมอ ต้องมีทั้ง 3 ขา

3 ขาของ PPT#

flowchart TB
    S["🛡️ SECURITY<br/>(ความปลอดภัยที่ทำงานจริง)"]
    P["👥 People<br/>คน + วัฒนธรรม + awareness"]
    Pr["📋 Process<br/>นโยบาย + ขั้นตอน + KPI"]
    T["⚙️ Technology<br/>เครื่องมือ + ระบบ + automation"]

    P --> S
    Pr --> S
    T --> S

    classDef top fill:#1e3a5f,stroke:#4a9eff,stroke-width:3px,color:#fff
    classDef leg fill:#2d2d2d,stroke:#888,stroke-width:2px,color:#fff
    class S top
    class P,Pr,T leg

Security ที่ทำงานจริง คือผลรวมของ 3 ขาที่ยืนพร้อมกัน ขาดขาใดขาหนึ่ง = พังทันที เหมือนเก้าอี้ 3 ขาที่หักไป 1 ขา

1. People (คน) — ขาที่อ่อนที่สุดเสมอ

  • พนักงาน ที่คลิก phishing email
  • admin ที่เปิด port ผิดบน firewall
  • CEO ที่ใช้ password “12345” บน laptop
  • vendor ที่เก็บ API key ของบริษัทคุณใน Slack ที่โดนแฮก
  • คุณเอง ที่ใช้ public WiFi ที่ร้านกาแฟตอนเข้า admin panel

Control ฝั่ง People:

  • Security awareness training (ที่เราคุยใน CISA D5.49)
  • Phishing simulation
  • Background check
  • Acceptable Use Policy
  • Security culture + tone from the top

2. Process (กระบวนการ) — ขาที่บริษัทไทยขาดมากที่สุด

  • IR runbook ที่บอกว่าใครโทรหาใครตอนเกิดเหตุ
  • Change management ที่บังคับ approve ก่อน push prod
  • Vendor risk assessment ที่ตรวจ vendor ก่อนเซ็นสัญญา
  • Access review ที่ตรวจสิทธิ์ user ทุก 6 เดือน
  • Vulnerability management lifecycle (ที่เราคุยใน EP.45)

Control ฝั่ง Process:

  • Policy + Standard + Procedure (3 ระดับ — ที่เราคุยใน EP.48)
  • Workflow automation
  • KPI + metrics + reporting
  • Audit + assessment

3. Technology (เทคโนโลยี) — ขาที่ผู้บริหารชอบที่สุด (เพราะซื้อง่ายที่สุด)

  • Firewall / IDS / IPS / WAF
  • EDR / XDR / SIEM
  • MFA / SSO / PAM
  • Encryption + key management
  • DLP / CASB / Cloud security tools

Control ฝั่ง Technology:

  • Defense in depth (ที่เราคุยใน EP.04)
  • Zero Trust Architecture
  • AI/ML in security tools
  • Automation + SOAR

Pattern ที่ผู้บริหารทำผิดเรื่อง PPT#

Pattern คลาสสิคของวงการ ที่บริษัทไทยซึ่งเพิ่งเริ่มจริงจังเรื่อง security ติดกันบ่อย:

  • Tech 70% + Process 20% + People 10%

ซื้อ EDR ราคา 200K/ปี+FirewallNextGen200K/ปี + Firewall NextGen 150K + WAF 80Kรวม80K รวม **430K** ในด้าน technology Process มี policy 5 หน้าที่ไม่มีคนอ่าน People มี training online 1 ชั่วโมง/ปี ที่ดูเหมือนเป็นการเซ็นรับเฉยๆ

ผลที่ตามมาคือ Equifax 2017 (ที่เราคุยใน EP.45) มี vulnerability scanner ตัวแพง + มี firewall ระดับ enterprise + มี policy เขียนไว้ครบ แต่ ไม่มีคน ที่ติดตามว่า Apache Struts patch ออกแล้ว 6 สัปดาห์ต้องไป patch Technology ครบ Process มี People ไม่ทำ ผลลัพธ์ = $1.4B

Pattern ที่ถูก คือ People 40% + Process 35% + Technology 25%

ลงทุน People (training คุณภาพ + culture + sufficient headcount) มากที่สุด ลงทุน Process (runbook + tabletop + workflow) รองลงมา Technology เป็นสิ่งสุดท้ายที่ เสริม ไม่ใช่ แทน 2 ขาแรก

มุมผู้บริหาร — Budget Allocation Test

ลองเอา budget security ของบริษัทคุณปีล่าสุด แบ่งเป็น 3 กลุ่ม

  • People: เงินเดือนทีม security + training + awareness program
  • Process: consultant ที่ช่วยเขียน policy + tabletop exercise + audit
  • Technology: license + hardware + cloud security tool

ถ้า Technology > 60% บริษัทคุณกำลังลงทุนผิดสมดุล โจรไม่ได้แฮก firewall ของคุณ โจรหลอกพนักงานคนเดียวพอ PPT balance ดี = 40/35/25 หรือ 35/35/30 CISO ที่ดีจะดันให้ People + Process มากกว่าครึ่ง

PPT ผ่านยุค — ขายืนเหมือนเดิม น้ำหนักเปลี่ยน#

GenPeopleProcessTechnology
Gen 1 Computer Security20%20%60% — เน้น OS hardening
Gen 2 Information Security25%35%40% — เพิ่ม ISMS process
Gen 3 Cybersecurity30%35%35% — balance ขึ้น
Gen 4 Cyber Resilience35%40% — IR + BCP สำคัญ25%
Gen 5 Cyber Dominance45% — AI โจมตีคน35%20% — AI ช่วย แต่คนตัดสิน

ทิศทางที่ชัด น้ำหนักไหลจาก Technology → People ตลอด 50 ปี ปัจจุบันบริษัทที่ลงทุน Technology อย่างเดียวจะแพ้บริษัทที่ลงทุน People ก่อน

CISA vs CISA — ไขความสับสนที่สุดในวงการ#

ปกติคนที่เพิ่งเข้าวงการมักงงเรื่องนี้ ลองนึกภาพ scenario คลาสสิค มีคนบอกว่า “CISA นี่ใช่ certification ที่สอบยากๆ ใช่ไหม?” อีกคนตอบ “ไม่ใช่ CISA คือหน่วยงานรัฐบาลอเมริกา” ทั้งสองคนพูดถูก แต่กำลังพูดถึงคนละสิ่ง

คำตอบคือ มี CISA 2 ตัวในวงการ คนละหน่วยงาน คนละเรื่อง คนละโลก แต่เขียนเหมือนกันเป๊ะๆ

CISA ตัวที่ 1 — ISACA CISA (Certification)#

ISACA CISA (Certified Information Systems Auditor) คือ certification ของ ISACA (Information Systems Audit and Control Association) สมาคมวิชาชีพ IT audit ตั้งปี 1969

  • คือใคร: สอบให้ผ่าน → ได้ใบเซอร์ฯ บอกว่าคุณเป็น IT auditor มืออาชีพ
  • เนื้อหา 5 domains: Audit Process / IT Governance / Information Systems Acquisition / IT Operations / Protection of Information Assets
  • ผู้ถือ: IT auditor, internal auditor, compliance officer ทั่วโลก ~150,000 คน
  • blog นี้มี series ครอบทั้ง 5 domains: ดู CISA series

คำสำคัญ: ISACA CISA = “บุคคล” + “audit” + “compliance

CISA ตัวที่ 2 — US CISA (Government Agency)#

US CISA (Cybersecurity and Infrastructure Security Agency) คือ หน่วยงานรัฐบาลสหรัฐ ตั้งปี 2018 อยู่ภายใต้ Department of Homeland Security

  • คือใคร: agency ของรัฐที่ดูแล cybersecurity ของ critical infrastructure (พลังงาน น้ำ การเงิน สาธารณสุข การขนส่ง) ของอเมริกา
  • หน้าที่: ออก alert + advisory + framework + tool ฟรี และจัดการ KEV (Known Exploited Vulnerabilities catalog ที่เราคุยใน EP.45)
  • Director คนแรก: Chris Krebs (2018-2020) โดน Trump ปลดเพราะบอกว่าเลือกตั้ง 2020 ปลอดภัย
  • Director ปัจจุบัน: Jen Easterly (2021-)

คำสำคัญ: US CISA = “หน่วยงาน” + “critical infrastructure” + “rules

ตารางเปรียบเทียบเร็ว#

มิติISACA CISAUS CISA
ประเภทCertificationGovernment agency
ผู้ออกISACA (NGO)US Department of Homeland Security
ปีก่อตั้ง1978 (cert เริ่ม)2018
ขนาด~150K cert holders ทั่วโลก~3,000 staff
เกี่ยวกับบุคคล / audit / governanceหน่วยงาน / infrastructure / nation-level
เนื้อหาในบล็อกCISA series 50+ EPsEP.00 (อันนี้) + KEV catalog ใน EP.45

ทดสอบเข้าใจ: ถ้าใครพูดว่า “CISA ออก KEV catalog” → หมายถึง US CISA ถ้าพูดว่า “เขาเรียน CISA อยู่” → หมายถึง ISACA CISA

CISA CRR — Cyber Resilience Review (10 Domains)#

ของ US CISA ที่เกี่ยวกับ Gen 4 (Cyber Resilience) ที่เราคุยข้างบนคือ CISA CRR (Cyber Resilience Review) assessment framework ที่ออกปี 2010 (ก่อนที่ US CISA จะตั้งด้วยซ้ำ ตอนนั้นอยู่ใต้ DHS โดยตรง)

CRR คือ self-assessment ที่บริษัท critical infrastructure ใช้วัด maturity ของ resilience program แบ่งเป็น 10 domains:

#Domainคำถามที่ตอบ
1Asset Managementคุณรู้ว่ามี asset อะไรบ้าง? (Discover ใน VM Lifecycle)
2Controls Managementcontrol ที่มี — ทำงานจริงไหม?
3Configuration & Change Managementเปลี่ยน config — มี approval + tracking?
4Vulnerability Managementเจอ vuln แล้วปิด loop ครบไหม? (ที่ EP.45 ลึก)
5Incident Managementเกิดเหตุ → ตอบสนอง → ฟื้น (NIST 800-61 ที่ EP.46)
6Service Continuity Managementระบบหลักล้ม → ใช้ระบบสำรองได้ใน RTO? (BCP/DR ที่ CISA D4.40)
7Risk Managementidentify + assess + mitigate risk
8External Dependencies Managementvendor + supply chain risk
9Training & Awarenessคน — training + awareness program
10Situational Awarenessthreat intel + monitoring + sharing

10 domains ของ CRR = checklist ที่ผู้บริหาร critical infra ใช้ ตอบทั้ง 10 ได้ครบ + scores สูง = บริษัทคุณมี cyber resilience ในระดับที่รัฐบาลสหรัฐ approve

ใช้กับใคร: บริษัทที่ทำ critical infrastructure ในอเมริกา (พลังงาน / การเงิน / สาธารณสุข / น้ำ / การขนส่ง / โทรคมนาคม) แต่ ทั่วโลก adopt เป็น best practice เพราะ assessment ฟรี + ใช้ง่าย + ครอบคลุม

มุมผู้บริหาร — CRR Self-Assessment

ถ้าบริษัทคุณยังไม่ทำ formal cyber maturity assessment ลอง download CISA CRR Self-Assessment Tool ฟรี จากเว็บ US CISA ใช้เวลา 6-8 ชั่วโมงทำกับทีม IT + Security ผลลัพธ์คือ score 1-5 ต่อ 10 domains + roadmap ที่ระบุว่าควรลงทุนตรงไหนก่อน

คุ้มที่สุดในวงการ ใช้ framework ระดับ federal ของอเมริกาโดยไม่เสียค่า license ผู้บริหารที่อยากเริ่ม cybersecurity strategy แต่ไม่รู้เริ่มจากตรงไหน เริ่มที่ CRR

Mental Model สรุป — 3 เลนส์ที่ใช้กับทุก EP ที่เหลือ#

ก่อนเข้า EP.01 ผมอยากให้ติด mental model 3 อันต่อไปนี้ไว้ จะช่วยให้คุณอ่าน 52 EPs ที่เหลือได้ลึกขึ้น

เลนส์ 1: “EP นี้พูดถึง Gen ไหน?”#

ทุก EP ที่เหลือ ลองถามตัวเองว่ามันเกี่ยวกับ generation ไหน:

  • EP เรื่อง password / encryption / firewall = Gen 1-2 (รากของ computer/information security)
  • EP เรื่อง MITRE ATT&CK / Kill Chain / threat actor = Gen 3 (cybersecurity)
  • EP เรื่อง IR / BCP / disaster recovery / tabletop = Gen 4 (cyber resilience)
  • EP เรื่อง AI security / threat hunting / deception / Zero Trust = Gen 5 (cyber dominance)

รู้ว่า EP อยู่ Gen ไหน = รู้ว่า บริษัทคุณควรเอาไปทำตอนไหน (Gen 1-2 ก่อน → 3 → 4 → 5)

เลนส์ 2: “EP นี้พูดถึง PPT ขาไหน?”#

ทุก control / tool / process ที่ EP เล่า ลองถามว่ามันเป็น People / Process / Technology

  • EP เรื่อง Social Engineering / Awareness / Phishing = People
  • EP เรื่อง IR plan / VM Lifecycle / Change management = Process
  • EP เรื่อง EDR / SIEM / Firewall / Encryption = Technology

EP ที่ดีคือครอบทั้ง 3 ขา EP ที่พูดแค่ Technology คือขาดความครบ

เลนส์ 3: “CISA นี่ตัวไหน?”#

ทุกครั้งที่เห็นคำว่า “CISA” ในบทความหรือข่าว เช็ค context ว่าหมายถึง:

  • ISACA CISA (certification + audit) ส่วนใหญ่ในซีรีส์ CISA ของบล็อก
  • US CISA (agency + KEV + CRR + infrastructure) ใน EP.00 + EP.45 (KEV)

สับสนผิดตัว = อ่านบทความออกผิด

ปิดเรื่อง — ขึ้นยอดเขาแล้ว ลงไปเดินในเมือง#

ขึ้นยอดเขามาด้วยกันแล้ว ได้เห็นภาพใหญ่:

5 Generations วงการเดินจาก Computer Security (1970s) → Information Security (1990s) → Cybersecurity (2010s) → Cyber Resilience (2017+) → Cyber Dominance (2020+) ทับซ้อนกัน ไม่ทดแทนกัน บริษัทส่วนใหญ่อยู่ Gen 2-3 ส่วนโจรอยู่ Gen 5

PPT Framework People + Process + Technology 3 ขาที่ต้องยืนพร้อมกัน Pattern ที่ผิด = Tech 70% Pattern ที่ถูก = People 40% + Process 35% + Technology 25% น้ำหนักไหลไปทาง People มากขึ้นทุก generation

CISA vs CISA ISACA CISA (cert) ≠ US CISA (agency) อันหลังออก CRR 10 domains ที่บริษัท critical infra ทั่วโลกใช้วัด resilience maturity ฟรี

3 เลนส์ติดตัว ใช้กับทุก EP ที่เหลือ:

  1. EP นี้พูดถึง Gen ไหน?
  2. EP นี้พูดถึง PPT ขาไหน?
  3. คำว่า CISA ตรงนี้ตัวไหน?

ลงจากยอดเขากันครับ เดินเข้าเมือง security 52 EPs

EP ต่อไป#

EP.01 — Cybersecurity คือเรื่องของคุณ ไม่ใช่แค่ฝ่าย IT

EP.01 พาคุณเข้าใจว่าทำไมเรื่องนี้ไม่ใช่ของฝ่าย IT คนเดียว เป็นเรื่องของเจ้าของกิจการ ผู้บริหาร พนักงาน และคุณทุกคนที่มี smartphone ผ่านเคสจริงที่คนไทยเจอทุกสัปดาห์ และ 4 เคสที่เปลี่ยนวงการตลอด 20 ปี

หรือถ้าคุณอยากเริ่มจากตรงไหนก่อน กระโดดไปที่:

CyberSecurity Foundation 101 — สารบัญรวม 52 ตอน เพื่อเห็นแผนที่เมืองทั้งใบ

เจอกันใน EP.01 ครับ