สารบัญ
Series: CyberSecurity Foundation — รากฐาน Security สำหรับยุค AI (ภาษาคน)
Part 0 — WHY: เมืองนี้ทำไมต้องมียาม
- EP.00 (Prologue) — 5 Generations + PPT + CISA vs CISA ← คุณอยู่ตรงนี้
- EP.01 — Cybersecurity คือเรื่องของคุณ
- EP.02 — 4 เคสที่เปลี่ยนวงการ
- EP.03 — CIA Triad
- EP.04 — Defense in Depth + Diversity
- EP.05 — Assume Breach + Risk
Part 1 — HOW: ระบบนิเวศของเมือง
- EP.06 — ระบบนิเวศของโจร
- EP.07 — ระบบนิเวศของผู้ป้องกัน: Blue / Red / Purple
- EP.08 — Framework: ISO / NIST / COBIT / CIS
- EP.09 — Compliance Theater
Part 2 — Identity: บัตรประชาชน + กุญแจห้อง
- EP.10 — IAM Lifecycle
- EP.11 — Authentication: 3 Factors + AAA
- EP.12 — Password 101
- EP.13 — MFA + Biometric
- EP.14 — Kerberos
- EP.15 — Federation + SSO
- EP.15.5 — Web Services Trio: SOAP / WSDL / UDDI (Primer)
- EP.16 — Authorization: RBAC / ABAC / MAC / DAC
- EP.17 — PAM + Zero Trust
Part 3 — Data: ของในเซฟ
- EP.18 — Data Classification + Lifecycle
- EP.19 — Cryptography 101
- EP.20 — Symmetric Crypto: AES
- EP.21 — Asymmetric Crypto: RSA + DH
- EP.22 — Hashing: SHA Family
- EP.23 — PKI + Certificates
- EP.24 — TLS / HTTPS
- EP.25 — Email Security: SPF / DKIM / DMARC
- EP.26 — Privacy Engineering
Part 4 — Infrastructure: ถนน กำแพง ท่อ
- EP.26.5 — Network Anatomy: 7 ชั้นของถนนในเมือง (Primer)
- EP.27 — Network Basics + Firewall Generations
- EP.28 — Segmentation + DMZ + Microsegmentation
- EP.29 — IDS / IPS / WAF / RASP
- EP.30 — VPN + Proxy + DNS Security
- EP.31 — DDoS + DLP
- EP.32 — Cloud + Shared Responsibility
- EP.32.5 — Cloud Stack Anatomy: 9 ชั้นของระบบ (Primer)
- EP.33 — Container + Kubernetes Security
- EP.33.5 — Beyond Container: MicroVM / Wasm / Unikernel
- EP.34 — DevSecOps + Shift-Left
- EP.35 — Mobile + Wireless
- EP.36 — IoT + OT / ICS Security
- EP.37 — Remote Work + ZTNA
- EP.38 — AI Security + Blockchain Security
Part 5 — Operations: ตำรวจ ดับเพลิง สืบสวน
- EP.39 — Kill Chain + MITRE ATT&CK
- EP.40 — Social Engineering: Phishing / BEC / Vishing
- EP.41 — Malware Taxonomy
- EP.42 — Web App Attacks: OWASP Top 10
- EP.43 — Detection: SOC + SIEM + EDR / XDR / SOAR
- EP.44 — Threat Hunting + Deception
- EP.45 — Vuln Scan / Pen Test / Red Team / BAS
- EP.46 — Incident Response (NIST 800-61)
- EP.47 — Digital Forensics
Part 6 — Governance: เทศบาล + กฎหมายเมือง
ก่อนที่เราจะเดินเข้าเมือง security ใน 52 EPs ที่เหลือ ผมอยากชวนคุณขึ้นยอดเขาก่อนครับ เพื่อมองภาพรวมของวงการทั้งใบจากด้านบน
เพราะถ้าเดินเข้าเมืองเลย คุณจะเห็นถนน เห็นบ้าน เห็นตำรวจ แต่จะไม่เห็นว่าทำไมเมืองนี้ถูกออกแบบแบบนี้ มันโตมายังไง แล้วทิศทางต่อไปคืออะไร ผู้บริหารที่เก่ง security ไม่ได้รู้แค่ “tool ตัวไหนซื้อ” แต่รู้ว่า วงการกำลังเดินไปทางไหน และทำไม
EP.00 พาคุณดู 3 อย่างที่เป็น mental model ครอบทุก EP ที่เหลือ
- 5 Generations of Security — วงการเดินทางมาจากไหน 50 ปี และตอนนี้อยู่ที่ไหน
- PPT Framework (People + Process + Technology) — สามขาที่ทุก security program ต้องยืน
- CISA vs CISA disambiguation — ทำไมคำนี้สับสนที่สุดในวงการ + Cyber Resilience Review (CRR) 10 domains
ลองนึกภาพง่ายๆ ถ้าวงการ security คือ “การแพทย์” ก่อนเข้าโรงพยาบาล คุณควรรู้คร่าวๆ ว่า medicine มาจากยุคสมุนไพร → ยุคศัลยกรรม → ยุคยาปฏิชีวนะ → ยุค precision medicine → ยุค AI diagnosis ไม่ใช่เพราะคุณจะเป็นหมอ แต่เพราะคุณจะเข้าใจว่า ทำไมหมอวันนี้ถามคำถามแบบที่เขาถาม และ อะไรกำลังเปลี่ยน
Security ก็เหมือนกัน ไปขึ้นยอดเขากันครับ
5 Generations of Security — วิวัฒนาการของวงการ 50 ปี
วงการ security เกิดมาพร้อมคอมพิวเตอร์ตั้งแต่ทศวรรษ 1970s แต่ภายใน 50 ปีนี้ ความหมายของคำว่า “security” เปลี่ยนถึง 5 รอบ แต่ละรอบไม่ได้ลบของเก่าทิ้ง แต่ซ้อนทับขึ้นมาใหม่
ลองเปรียบกับการแพทย์ ยุคสมุนไพรไม่ได้หายไปเพราะมียาปฏิชีวนะ มันอยู่ใต้สุดเป็นรากของ pharmacology ยุคศัลยกรรมไม่ได้หายไปเพราะมี precision medicine มันยังเป็น tool หลัก Security 5 generations ก็เหมือนกัน ทับซ้อนกัน ไม่ได้ทดแทนกัน
| Gen | ชื่อยุค | จุดเน้น | ยุคสมัย | Framework ตัวแทน |
|---|---|---|---|---|
| 1 | Computer Security | HW + SW protection | 1970s-1980s | TCSEC (Orange Book) |
| 2 | Information Security | Data protection | 1990s-2000s | ISO/IEC 27001 |
| 3 | Cybersecurity | End-to-end ecosystem | 2010s-2015 | NIST CSF |
| 4 | Cyber Resilience | Recover + survive | 2017+ | CISA CRR, NIST CSF 2.0 |
| 5 | Cyber Dominance | Human + AI + active defense | 2020+ | (ยังไม่มี framework เดียวที่ครอง) |
แต่ละยุคเกิดเพราะ โจรเปลี่ยนวิธีโจมตี + คอมพิวเตอร์เปลี่ยนรูปแบบการใช้งาน มาเล่าทีละยุคกัน
Gen 1 — Computer Security (1970s-1980s) — ป้องกัน “เครื่อง” ก่อน
ยุคนี้คอมพิวเตอร์คือ mainframe ขนาดเท่าห้อง อยู่ในมหาวิทยาลัย กองทัพ ธนาคารใหญ่ ผู้ใช้ส่วนใหญ่คือ นักวิจัย + ทหาร ไม่มี internet ไม่มี endpoint หลายล้านเครื่อง
ภัยในยุคนั้นคือ คนเข้าห้องคอมไม่ถูกต้อง, bug ใน OS ที่ทำให้ user คนหนึ่งอ่านไฟล์ของอีกคนได้, และ virus ที่เริ่มระบาดผ่าน floppy disk (Brain virus ปี 1986 = virus PC ตัวแรก)
Framework ตัวแทน คือ TCSEC (Trusted Computer System Evaluation Criteria) หรือ “Orange Book” ออกโดย กระทรวงกลาโหมสหรัฐ ปี 1983 แบ่ง computer system เป็น 4 ระดับความปลอดภัย (D, C, B, A) โดย A1 ปลอดภัยที่สุด
ขอบเขต คือ เครื่องเดียวจบ ไม่มีคำถามเรื่อง network / cloud / endpoint ต่างประเทศ เพราะมันยังไม่มี
Gen 2 — Information Security (1990s-2000s) — ป้องกัน “ข้อมูล” ที่อยู่หลายที่
ยุค 1990s internet มา + PC ถึงทุกบ้าน + ธุรกิจเริ่ม digital ทันใดนั้นข้อมูลของบริษัทไม่ได้อยู่ใน mainframe เดียวอีกแล้ว มันอยู่ใน server หลายตัว ใน laptop ของพนักงาน ส่งผ่าน email และ copy ลง floppy disk เอากลับบ้าน
ภัยเปลี่ยน ไม่ใช่แค่ “คนเข้าห้องคอม” แต่เป็น “ข้อมูลรั่ว” ใครจะเอา customer database ของบริษัทออกไปขายให้คู่แข่ง? ใครจะแอบดู email ของ CEO ที่ส่งผ่าน network ที่ไม่ encrypt? ใครจะเอา laptop ที่หายไปแล้วเปิดอ่านไฟล์?
วงการตอบด้วยการสร้างคำใหม่ Information Security (InfoSec) focus ที่ “ข้อมูล” ไม่ใช่ “เครื่อง”
Framework ตัวแทน คือ ISO/IEC 27001 (ออกปี 2005 จากต้นกำเนิด BS 7799 ของอังกฤษปี 1995) เป็นมาตรฐาน Information Security Management System (ISMS) ที่บริษัททั่วโลก adopt ครอบทั้ง people + process + technology แต่ คำถามหลัก ที่ ISO 27001 ตอบคือ “ข้อมูลของคุณ ใครเข้าได้? ป้องกันยังไง? ตอบสนองอย่างไรเมื่อหลุด?”
CIA Triad (Confidentiality / Integrity / Availability ที่เราคุยลึกใน EP.03) เกิดในยุคนี้ เป็น 3 คำถามที่ทุก control ต้องตอบ สำหรับ data
ขอบเขต คือ ข้อมูลที่อยู่ในระบบขององค์กร แต่ยังไม่ครอบเรื่อง threat ภายนอกที่เป็น organized crime ระดับชาติและ supply chain
Gen 3 — Cybersecurity (2010s-2015) — ป้องกัน “ทั้ง ecosystem”
ยุค 2010s smartphone ครอง + cloud มา + APT (Advanced Persistent Threat) กลายเป็น norm โจรไม่ใช่ hacker เดี่ยวอีกแล้ว เป็น ทีมจัดตั้ง ที่มีรัฐสนับสนุน (Russia, China, North Korea, Iran) เคสที่เปลี่ยนวงการในยุคนี้คือ Stuxnet (2010) malware ของ US/Israel ที่ทำลาย centrifuge nuclear ของ Iran เป็นครั้งแรกที่ cyber attack ทำลายสิ่งของจริงในโลก physical
ภัยเปลี่ยนอีกครั้ง ไม่ใช่แค่ “ข้อมูลรั่ว” แต่เป็น “ระบบทั้งใบโดนยึด” และ “infrastructure ของประเทศโดนโจมตี” ครอบไม่แค่ data แต่ครอบ network + endpoint + cloud + OT/ICS + mobile + IoT + supply chain
วงการตอบด้วยคำใหม่ Cybersecurity ครอบทุกอย่างใน “ไซเบอร์สเปซ” ไม่ใช่แค่ “ข้อมูล”
Framework ตัวแทน คือ NIST Cybersecurity Framework (CSF) ออกปี 2014 โดย NIST (US) ตาม Executive Order 13636 ของ Obama แบ่งเป็น 5 functions คือ Identify / Protect / Detect / Respond / Recover (ที่เราคุยใน EP.08)
NIST CSF เปลี่ยน mindset ของวงการ Protect เป็นแค่ 1 ใน 5 ฟังก์ชัน Detect + Respond + Recover ก็สำคัญพอกัน เพราะ โจรเข้ามาแน่ ไม่ว่าจะป้องกันดีแค่ไหน
ขอบเขต คือ ทั้ง ecosystem ของบริษัท แต่ยังเน้นที่ “ก่อนเกิดเรื่อง” และ “ตอนเกิดเรื่อง” เรื่อง “กลับมายืนได้แค่ไหนหลังเรื่องจบ” ยังเป็นจุดอ่อน
Gen 4 — Cyber Resilience (2017+) — รอด + ฟื้น + เรียนรู้
ปี 2017 WannaCry + NotPetya ransomware 2 ตัวที่ทำลายบริษัทระดับโลก Maersk (บริษัทขนส่งใหญ่ที่สุดในโลก) โดน NotPetya ระบบ IT พังทั้งโลกใน 7 นาที เสียหาย $300 ล้าน USD กู้คืนได้ใน 10 วันเพราะ domain controller เดียวที่เหลือรอด อยู่ที่กานา ที่ไฟดับวันที่ระบาด
วงการเรียนรู้ว่า การป้องกันไม่ใช่จุดหมาย การฟื้นตัวต่างหากคือจุดหมาย ถ้าบริษัทใหญ่อย่าง Maersk ยังโดนได้ แปลว่าทุกคนจะโดน คำถามไม่ใช่ “เราจะป้องกันยังไง” แต่คือ “เมื่อโดนแล้ว เราจะกลับมายืนได้ใน 24 ชั่วโมง หรือ 24 เดือน?”
วงการตอบด้วยคำใหม่ Cyber Resilience (ความยืดหยุ่นทางไซเบอร์) focus ที่ survive + recover + adapt + learn
Framework ตัวแทน มี 2 ตัวหลัก:
- CISA CRR (Cyber Resilience Review) ของ US CISA (ไม่ใช่ ISACA เดี๋ยวอธิบายในส่วนถัดไป) 10 domains ของ resilience assessment ที่บริษัท critical infrastructure ใช้
- NIST CSF 2.0 (กุมภาพันธ์ 2024) เพิ่ม function ใหม่ตัวที่ 6 คือ Govern ครอบ governance + risk + supply chain (CSF 1.0 มี 5 → 2.0 มี 6 functions)
Cyber Resilience ครอบ 4 เสาหลัก:
- Anticipate (คาดการณ์) — รู้ว่าอะไรจะเกิด → tabletop exercise + threat intel
- Withstand (ทน) — ระบบยังทำงานได้แม้บางส่วนพัง → redundancy + segmentation
- Recover (ฟื้น) — กลับมาสู่สภาพปกติเร็ว → backup + DR + IR plan (ที่เราคุยใน EP.46)
- Adapt (ปรับตัว) — เรียนรู้จากเหตุการณ์ → post-incident review + framework update
ขอบเขต คือ ทั้ง lifecycle ของเหตุการณ์ ทั้งก่อน ตอน และหลัง เพิ่ม dimension ใหม่ที่ Gen 3 ขาด
Gen 5 — Cyber Dominance (2020+) — Human + AI + Active Defense
ยุคปัจจุบันที่เรายืนอยู่ AI generative มา + deepfake ระบาด + state-sponsored attack เพิ่มขึ้นทุกปี + supply chain attack (SolarWinds 2020) ที่เปลี่ยนเกม ภัยใหม่ที่ไม่เคยมีมาก่อน:
- Deepfake video call — CFO โดนปลอมเสียง + หน้า → โอน $25M USD (Hong Kong 2024)
- AI-generated phishing — email ที่เขียนถูกไวยากรณ์ภาษาทุกภาษา personalized ทุกคน — ต่างจาก phishing ยุคก่อนที่จับได้จากภาษางอ
- Prompt injection — attack รูปแบบใหม่ที่โจมตี LLM ที่ฝังในระบบ
- Living off the Land (LOTL) — โจรใช้ tool ของระบบเองโจมตี — ไม่ install malware — detect ยากที่สุด
วงการเริ่มพูดถึงคำใหม่ Cyber Dominance (ความเหนือกว่าทางไซเบอร์) concept ที่ยังไม่นิ่ง 100% แต่ core idea คือ:
“ไม่ใช่แค่ป้องกันและฟื้น แต่ต้อง active deterrence + outpace adversary”
3 ขาของ Cyber Dominance:
- Human-centric — โจร AI โจมตี คน ไม่ใช่เครื่อง ดังนั้น awareness + culture + behavioral analytics สำคัญที่สุด EP.40 (Social Engineering) ของเราจะลึกเรื่องนี้
- AI vs AI — ใช้ AI ป้องกัน AI EDR ยุคใหม่ทุกตัว (CrowdStrike Falcon / SentinelOne / Microsoft Defender) ใช้ ML ตรวจจับ pattern ที่ rule-based ไม่เคยจับได้
- Active Defense + Proactive Hunting — ไม่รอ alert ออกไปหาโจร (Threat Hunting — EP.44) วาง deception ล่อโจรเปิดตัว และ cyber threat intelligence แชร์ข้ามองค์กร
Framework ตัวแทน ยังไม่มีตัวเดียวที่ครอง แต่ที่ดังขึ้นคือ:
- MITRE ATT&CK (ที่เราคุยใน EP.39) — knowledge base ของ technique ที่โจรใช้จริง
- MITRE Engage — framework สำหรับ active defense + deception
- Zero Trust Architecture (NIST SP 800-207) — สมมุติว่าโจรอยู่ในระบบแล้ว ตรวจทุก request
ขอบเขต คือ ทุก dimension ของ Gen 1-4 + คนเป็นศูนย์กลาง + AI เป็น weapon ของทั้ง 2 ฝั่ง
สรุปภาพ 5 Generations
flowchart TB
G5["<b>Gen 5 — Cyber Dominance</b><br/>(2020+)<br/>Human + AI + Active Defense"]
G4["<b>Gen 4 — Cyber Resilience</b><br/>(2017+)<br/>ฟื้น + ปรับตัว"]
G3["<b>Gen 3 — Cybersecurity</b><br/>(2010s)<br/>ป้องกัน ecosystem"]
G2["<b>Gen 2 — Information Security</b><br/>(1990s)<br/>ป้องกันข้อมูล"]
G1["<b>Gen 1 — Computer Security</b><br/>(1970s-80s)<br/>ป้องกันเครื่อง"]
G1 -->|ขยาย| G2
G2 -->|ขยาย| G3
G3 -->|ขยาย| G4
G4 -->|ขยาย| G5
classDef g1 fill:#5a3a1f,stroke:#a07040,color:#fff
classDef g2 fill:#3a4a2a,stroke:#6a8050,color:#fff
classDef g3 fill:#2a4a5a,stroke:#508aa0,color:#fff
classDef g4 fill:#1e3a5f,stroke:#4a9eff,color:#fff
classDef g5 fill:#3a1f5a,stroke:#8050c0,color:#fff
class G1 g1
class G2 g2
class G3 g3
class G4 g4
class G5 g5ไม่ใช่การทดแทน แต่เป็นการซ้อนทับ Gen 5 ยังต้องการ Gen 1 (HW/SW protection) เป็นรากฐาน ไม่มี Gen ไหนหายไป ทุก Gen ยังอยู่ใต้ยอดเขา
ที่ผู้บริหารต้องเข้าใจคือ บริษัทคุณตอนนี้อาจอยู่ที่ Gen 2 หรือ 3 (มี ISO 27001 + NIST CSF) แต่โจรที่จะมา อยู่ที่ Gen 5 หมดแล้ว AI-generated phishing ที่ภาษาไทยเป๊ะ deepfake เสียง CFO supply chain attack ที่ผ่าน vendor SaaS โจรไม่รอให้คุณ catch up
มุมผู้บริหาร — บริษัทคุณอยู่ Gen ไหน?
3 คำถามที่ผู้บริหารควรถาม CISO ในการประชุมครั้งหน้า
- ข้อ 1: “เรามี IR plan + tabletop exercise ที่ซ้อมในรอบ 12 เดือนล่าสุดไหม?” ถ้าไม่มี = ยังอยู่ Gen 3 (มี protection ไม่มี resilience)
- ข้อ 2: “เรามี threat hunting program ที่ออกหาภัยแบบ active หรือยัง?” ถ้าไม่มี = ยังไม่เข้า Gen 5
- ข้อ 3: “AI security policy ของเราเรื่อง prompt injection + deepfake เขียนแล้วหรือยัง?” ถ้าไม่มี = ยังไม่เริ่ม Gen 5
ไม่ต้องกระโดดจาก Gen 2 ไป Gen 5 แต่ต้องรู้ตัวว่าอยู่ที่ไหน และมี roadmap ไปต่อยังไง
PPT Framework — 3 ขาที่ทุก security program ต้องยืน
ผ่าน 5 generations มาแล้ว framework เปลี่ยนหลายตัว แต่มี mental model หนึ่ง ที่อยู่กับวงการมาตั้งแต่ Gen 2 จนถึง Gen 5 ไม่เปลี่ยน นั่นคือ PPT Framework (People + Process + Technology)
PPT ไม่ใช่ ISO หรือ NIST ไม่มี certification แต่เป็น lens ที่ทุก security professional ใช้มอง problem ที่มาของ PPT คือ Bruce Schneier (security legend) เขียนในหนังสือ “Secrets and Lies” ปี 2000 core insight:
“Security is a process, not a product.”
ขยายความ security ที่มีแค่ technology (product) จะล้มเหลวเสมอ ต้องมีทั้ง 3 ขา
3 ขาของ PPT
flowchart TB
S["🛡️ SECURITY<br/>(ความปลอดภัยที่ทำงานจริง)"]
P["👥 People<br/>คน + วัฒนธรรม + awareness"]
Pr["📋 Process<br/>นโยบาย + ขั้นตอน + KPI"]
T["⚙️ Technology<br/>เครื่องมือ + ระบบ + automation"]
P --> S
Pr --> S
T --> S
classDef top fill:#1e3a5f,stroke:#4a9eff,stroke-width:3px,color:#fff
classDef leg fill:#2d2d2d,stroke:#888,stroke-width:2px,color:#fff
class S top
class P,Pr,T legSecurity ที่ทำงานจริง คือผลรวมของ 3 ขาที่ยืนพร้อมกัน ขาดขาใดขาหนึ่ง = พังทันที เหมือนเก้าอี้ 3 ขาที่หักไป 1 ขา
1. People (คน) — ขาที่อ่อนที่สุดเสมอ
- พนักงาน ที่คลิก phishing email
- admin ที่เปิด port ผิดบน firewall
- CEO ที่ใช้ password “12345” บน laptop
- vendor ที่เก็บ API key ของบริษัทคุณใน Slack ที่โดนแฮก
- คุณเอง ที่ใช้ public WiFi ที่ร้านกาแฟตอนเข้า admin panel
Control ฝั่ง People:
- Security awareness training (ที่เราคุยใน CISA D5.49)
- Phishing simulation
- Background check
- Acceptable Use Policy
- Security culture + tone from the top
2. Process (กระบวนการ) — ขาที่บริษัทไทยขาดมากที่สุด
- IR runbook ที่บอกว่าใครโทรหาใครตอนเกิดเหตุ
- Change management ที่บังคับ approve ก่อน push prod
- Vendor risk assessment ที่ตรวจ vendor ก่อนเซ็นสัญญา
- Access review ที่ตรวจสิทธิ์ user ทุก 6 เดือน
- Vulnerability management lifecycle (ที่เราคุยใน EP.45)
Control ฝั่ง Process:
- Policy + Standard + Procedure (3 ระดับ — ที่เราคุยใน EP.48)
- Workflow automation
- KPI + metrics + reporting
- Audit + assessment
3. Technology (เทคโนโลยี) — ขาที่ผู้บริหารชอบที่สุด (เพราะซื้อง่ายที่สุด)
- Firewall / IDS / IPS / WAF
- EDR / XDR / SIEM
- MFA / SSO / PAM
- Encryption + key management
- DLP / CASB / Cloud security tools
Control ฝั่ง Technology:
- Defense in depth (ที่เราคุยใน EP.04)
- Zero Trust Architecture
- AI/ML in security tools
- Automation + SOAR
Pattern ที่ผู้บริหารทำผิดเรื่อง PPT
Pattern คลาสสิคของวงการ ที่บริษัทไทยซึ่งเพิ่งเริ่มจริงจังเรื่อง security ติดกันบ่อย:
- Tech 70% + Process 20% + People 10%
ซื้อ EDR ราคา 150K + WAF 430K** ในด้าน technology Process มี policy 5 หน้าที่ไม่มีคนอ่าน People มี training online 1 ชั่วโมง/ปี ที่ดูเหมือนเป็นการเซ็นรับเฉยๆ
ผลที่ตามมาคือ Equifax 2017 (ที่เราคุยใน EP.45) มี vulnerability scanner ตัวแพง + มี firewall ระดับ enterprise + มี policy เขียนไว้ครบ แต่ ไม่มีคน ที่ติดตามว่า Apache Struts patch ออกแล้ว 6 สัปดาห์ต้องไป patch Technology ครบ Process มี People ไม่ทำ ผลลัพธ์ = $1.4B
Pattern ที่ถูก คือ People 40% + Process 35% + Technology 25%
ลงทุน People (training คุณภาพ + culture + sufficient headcount) มากที่สุด ลงทุน Process (runbook + tabletop + workflow) รองลงมา Technology เป็นสิ่งสุดท้ายที่ เสริม ไม่ใช่ แทน 2 ขาแรก
มุมผู้บริหาร — Budget Allocation Test
ลองเอา budget security ของบริษัทคุณปีล่าสุด แบ่งเป็น 3 กลุ่ม
- People: เงินเดือนทีม security + training + awareness program
- Process: consultant ที่ช่วยเขียน policy + tabletop exercise + audit
- Technology: license + hardware + cloud security tool
ถ้า Technology > 60% บริษัทคุณกำลังลงทุนผิดสมดุล โจรไม่ได้แฮก firewall ของคุณ โจรหลอกพนักงานคนเดียวพอ PPT balance ดี = 40/35/25 หรือ 35/35/30 CISO ที่ดีจะดันให้ People + Process มากกว่าครึ่ง
PPT ผ่านยุค — ขายืนเหมือนเดิม น้ำหนักเปลี่ยน
| Gen | People | Process | Technology |
|---|---|---|---|
| Gen 1 Computer Security | 20% | 20% | 60% — เน้น OS hardening |
| Gen 2 Information Security | 25% | 35% | 40% — เพิ่ม ISMS process |
| Gen 3 Cybersecurity | 30% | 35% | 35% — balance ขึ้น |
| Gen 4 Cyber Resilience | 35% | 40% — IR + BCP สำคัญ | 25% |
| Gen 5 Cyber Dominance | 45% — AI โจมตีคน | 35% | 20% — AI ช่วย แต่คนตัดสิน |
ทิศทางที่ชัด น้ำหนักไหลจาก Technology → People ตลอด 50 ปี ปัจจุบันบริษัทที่ลงทุน Technology อย่างเดียวจะแพ้บริษัทที่ลงทุน People ก่อน
CISA vs CISA — ไขความสับสนที่สุดในวงการ
ปกติคนที่เพิ่งเข้าวงการมักงงเรื่องนี้ ลองนึกภาพ scenario คลาสสิค มีคนบอกว่า “CISA นี่ใช่ certification ที่สอบยากๆ ใช่ไหม?” อีกคนตอบ “ไม่ใช่ CISA คือหน่วยงานรัฐบาลอเมริกา” ทั้งสองคนพูดถูก แต่กำลังพูดถึงคนละสิ่ง
คำตอบคือ มี CISA 2 ตัวในวงการ คนละหน่วยงาน คนละเรื่อง คนละโลก แต่เขียนเหมือนกันเป๊ะๆ
CISA ตัวที่ 1 — ISACA CISA (Certification)
ISACA CISA (Certified Information Systems Auditor) คือ certification ของ ISACA (Information Systems Audit and Control Association) สมาคมวิชาชีพ IT audit ตั้งปี 1969
- คือใคร: สอบให้ผ่าน → ได้ใบเซอร์ฯ บอกว่าคุณเป็น IT auditor มืออาชีพ
- เนื้อหา 5 domains: Audit Process / IT Governance / Information Systems Acquisition / IT Operations / Protection of Information Assets
- ผู้ถือ: IT auditor, internal auditor, compliance officer ทั่วโลก ~150,000 คน
- blog นี้มี series ครอบทั้ง 5 domains: ดู CISA series
คำสำคัญ: ISACA CISA = “บุคคล” + “audit” + “compliance”
CISA ตัวที่ 2 — US CISA (Government Agency)
US CISA (Cybersecurity and Infrastructure Security Agency) คือ หน่วยงานรัฐบาลสหรัฐ ตั้งปี 2018 อยู่ภายใต้ Department of Homeland Security
- คือใคร: agency ของรัฐที่ดูแล cybersecurity ของ critical infrastructure (พลังงาน น้ำ การเงิน สาธารณสุข การขนส่ง) ของอเมริกา
- หน้าที่: ออก alert + advisory + framework + tool ฟรี และจัดการ KEV (Known Exploited Vulnerabilities catalog ที่เราคุยใน EP.45)
- Director คนแรก: Chris Krebs (2018-2020) โดน Trump ปลดเพราะบอกว่าเลือกตั้ง 2020 ปลอดภัย
- Director ปัจจุบัน: Jen Easterly (2021-)
คำสำคัญ: US CISA = “หน่วยงาน” + “critical infrastructure” + “rules”
ตารางเปรียบเทียบเร็ว
| มิติ | ISACA CISA | US CISA |
|---|---|---|
| ประเภท | Certification | Government agency |
| ผู้ออก | ISACA (NGO) | US Department of Homeland Security |
| ปีก่อตั้ง | 1978 (cert เริ่ม) | 2018 |
| ขนาด | ~150K cert holders ทั่วโลก | ~3,000 staff |
| เกี่ยวกับ | บุคคล / audit / governance | หน่วยงาน / infrastructure / nation-level |
| เนื้อหาในบล็อก | CISA series 50+ EPs | EP.00 (อันนี้) + KEV catalog ใน EP.45 |
ทดสอบเข้าใจ: ถ้าใครพูดว่า “CISA ออก KEV catalog” → หมายถึง US CISA ถ้าพูดว่า “เขาเรียน CISA อยู่” → หมายถึง ISACA CISA
CISA CRR — Cyber Resilience Review (10 Domains)
ของ US CISA ที่เกี่ยวกับ Gen 4 (Cyber Resilience) ที่เราคุยข้างบนคือ CISA CRR (Cyber Resilience Review) assessment framework ที่ออกปี 2010 (ก่อนที่ US CISA จะตั้งด้วยซ้ำ ตอนนั้นอยู่ใต้ DHS โดยตรง)
CRR คือ self-assessment ที่บริษัท critical infrastructure ใช้วัด maturity ของ resilience program แบ่งเป็น 10 domains:
| # | Domain | คำถามที่ตอบ |
|---|---|---|
| 1 | Asset Management | คุณรู้ว่ามี asset อะไรบ้าง? (Discover ใน VM Lifecycle) |
| 2 | Controls Management | control ที่มี — ทำงานจริงไหม? |
| 3 | Configuration & Change Management | เปลี่ยน config — มี approval + tracking? |
| 4 | Vulnerability Management | เจอ vuln แล้วปิด loop ครบไหม? (ที่ EP.45 ลึก) |
| 5 | Incident Management | เกิดเหตุ → ตอบสนอง → ฟื้น (NIST 800-61 ที่ EP.46) |
| 6 | Service Continuity Management | ระบบหลักล้ม → ใช้ระบบสำรองได้ใน RTO? (BCP/DR ที่ CISA D4.40) |
| 7 | Risk Management | identify + assess + mitigate risk |
| 8 | External Dependencies Management | vendor + supply chain risk |
| 9 | Training & Awareness | คน — training + awareness program |
| 10 | Situational Awareness | threat intel + monitoring + sharing |
10 domains ของ CRR = checklist ที่ผู้บริหาร critical infra ใช้ ตอบทั้ง 10 ได้ครบ + scores สูง = บริษัทคุณมี cyber resilience ในระดับที่รัฐบาลสหรัฐ approve
ใช้กับใคร: บริษัทที่ทำ critical infrastructure ในอเมริกา (พลังงาน / การเงิน / สาธารณสุข / น้ำ / การขนส่ง / โทรคมนาคม) แต่ ทั่วโลก adopt เป็น best practice เพราะ assessment ฟรี + ใช้ง่าย + ครอบคลุม
มุมผู้บริหาร — CRR Self-Assessment
ถ้าบริษัทคุณยังไม่ทำ formal cyber maturity assessment ลอง download CISA CRR Self-Assessment Tool ฟรี จากเว็บ US CISA ใช้เวลา 6-8 ชั่วโมงทำกับทีม IT + Security ผลลัพธ์คือ score 1-5 ต่อ 10 domains + roadmap ที่ระบุว่าควรลงทุนตรงไหนก่อน
คุ้มที่สุดในวงการ ใช้ framework ระดับ federal ของอเมริกาโดยไม่เสียค่า license ผู้บริหารที่อยากเริ่ม cybersecurity strategy แต่ไม่รู้เริ่มจากตรงไหน เริ่มที่ CRR
Mental Model สรุป — 3 เลนส์ที่ใช้กับทุก EP ที่เหลือ
ก่อนเข้า EP.01 ผมอยากให้ติด mental model 3 อันต่อไปนี้ไว้ จะช่วยให้คุณอ่าน 52 EPs ที่เหลือได้ลึกขึ้น
เลนส์ 1: “EP นี้พูดถึง Gen ไหน?”
ทุก EP ที่เหลือ ลองถามตัวเองว่ามันเกี่ยวกับ generation ไหน:
- EP เรื่อง password / encryption / firewall = Gen 1-2 (รากของ computer/information security)
- EP เรื่อง MITRE ATT&CK / Kill Chain / threat actor = Gen 3 (cybersecurity)
- EP เรื่อง IR / BCP / disaster recovery / tabletop = Gen 4 (cyber resilience)
- EP เรื่อง AI security / threat hunting / deception / Zero Trust = Gen 5 (cyber dominance)
รู้ว่า EP อยู่ Gen ไหน = รู้ว่า บริษัทคุณควรเอาไปทำตอนไหน (Gen 1-2 ก่อน → 3 → 4 → 5)
เลนส์ 2: “EP นี้พูดถึง PPT ขาไหน?”
ทุก control / tool / process ที่ EP เล่า ลองถามว่ามันเป็น People / Process / Technology
- EP เรื่อง Social Engineering / Awareness / Phishing = People
- EP เรื่อง IR plan / VM Lifecycle / Change management = Process
- EP เรื่อง EDR / SIEM / Firewall / Encryption = Technology
EP ที่ดีคือครอบทั้ง 3 ขา EP ที่พูดแค่ Technology คือขาดความครบ
เลนส์ 3: “CISA นี่ตัวไหน?”
ทุกครั้งที่เห็นคำว่า “CISA” ในบทความหรือข่าว เช็ค context ว่าหมายถึง:
- ISACA CISA (certification + audit) ส่วนใหญ่ในซีรีส์ CISA ของบล็อก
- US CISA (agency + KEV + CRR + infrastructure) ใน EP.00 + EP.45 (KEV)
สับสนผิดตัว = อ่านบทความออกผิด
ปิดเรื่อง — ขึ้นยอดเขาแล้ว ลงไปเดินในเมือง
ขึ้นยอดเขามาด้วยกันแล้ว ได้เห็นภาพใหญ่:
5 Generations วงการเดินจาก Computer Security (1970s) → Information Security (1990s) → Cybersecurity (2010s) → Cyber Resilience (2017+) → Cyber Dominance (2020+) ทับซ้อนกัน ไม่ทดแทนกัน บริษัทส่วนใหญ่อยู่ Gen 2-3 ส่วนโจรอยู่ Gen 5
PPT Framework People + Process + Technology 3 ขาที่ต้องยืนพร้อมกัน Pattern ที่ผิด = Tech 70% Pattern ที่ถูก = People 40% + Process 35% + Technology 25% น้ำหนักไหลไปทาง People มากขึ้นทุก generation
CISA vs CISA ISACA CISA (cert) ≠ US CISA (agency) อันหลังออก CRR 10 domains ที่บริษัท critical infra ทั่วโลกใช้วัด resilience maturity ฟรี
3 เลนส์ติดตัว ใช้กับทุก EP ที่เหลือ:
- EP นี้พูดถึง Gen ไหน?
- EP นี้พูดถึง PPT ขาไหน?
- คำว่า CISA ตรงนี้ตัวไหน?
ลงจากยอดเขากันครับ เดินเข้าเมือง security 52 EPs
EP ต่อไป
→ EP.01 — Cybersecurity คือเรื่องของคุณ ไม่ใช่แค่ฝ่าย IT
EP.01 พาคุณเข้าใจว่าทำไมเรื่องนี้ไม่ใช่ของฝ่าย IT คนเดียว เป็นเรื่องของเจ้าของกิจการ ผู้บริหาร พนักงาน และคุณทุกคนที่มี smartphone ผ่านเคสจริงที่คนไทยเจอทุกสัปดาห์ และ 4 เคสที่เปลี่ยนวงการตลอด 20 ปี
หรือถ้าคุณอยากเริ่มจากตรงไหนก่อน กระโดดไปที่:
→ CyberSecurity Foundation 101 — สารบัญรวม 52 ตอน เพื่อเห็นแผนที่เมืองทั้งใบ
เจอกันใน EP.01 ครับ