ป้อมปราการชั้นเดียว = ป้อมที่พัง#

ลองเริ่มจากเคสที่ง่ายที่สุดก่อน สมมติบริษัทคุณมียามดี เก่ง ฉลาด ตื่นตัว ขยัน คุณตัดสินใจ “ลงทุนหนัก” จ้างยามคนนี้ปีละหลายล้าน ติด CCTV ที่หน้าประตูบริษัท 20 ตัว ติด firewall ที่ดีที่สุดในตลาด ใช้ระบบ login มาตรฐานสากล คุณมั่นใจมาก “เมืองของผมปลอดภัยที่สุดในวงการ”

คำถามคือ ถ้าโจรหาวิธีหลอกยามคนนี้ได้ทางใดทางหนึ่ง แล้วยังไงต่อ?

ลองนึกภาพป้อมที่มีกำแพงเดียวสูง 20 เมตรล้อมรอบ ไม่มีอะไรอย่างอื่น โจรเอาบันไดสูง 21 เมตรมาพาด ปีนข้ามได้ แล้วในป้อมไม่มีอะไรกั้นอีกเลย ตู้เซฟของขุนนางอยู่ตรงนั้น ห้องบัญชีอยู่ตรงนั้น คลังอาวุธอยู่ตรงนั้น ทุกอย่างถึงในเวลา 5 นาที ป้อมที่ลงทุนสร้างกำแพง 20 เมตรมหาศาล พังเพราะ “1 คน 1 บันได”

นี่คือเหตุผลที่นายช่างโบราณ ไม่เคย สร้างป้อมที่มีกำแพงเดียว ทุกป้อมในประวัติศาสตร์ที่อยู่รอดได้นาน ตั้งแต่ปราสาท Krak des Chevaliers ของพวก Crusader ที่ต้านทานการล้อมเป็นปีๆ จนถึงนครวัดของเขมรที่มีคูน้ำ 200 เมตรล้อมรอบ ออกแบบเป็น ชั้นๆ ฝ่ากำแพงนอกได้ ยังต้องข้ามคูน้ำ ข้ามคูน้ำได้ ยังต้องผ่านกำแพงใน ผ่านกำแพงในได้ ยังต้องสู้กับยามในลาน สู้ยามชนะแล้ว ยังต้องงัดเซฟ ในระหว่างทุกขั้นโจรใช้ “เวลา + เสียง + แสง” เพิ่มโอกาสที่กองทหารของขุนนางจะตื่นมาทัน

ในโลก IT หลักการนี้มีชื่อว่า Defense in Depth (การป้องกันเป็นชั้น บางคนแปลว่า “การป้องกันเชิงลึก”) ความหมายตรงตัวคือ ออกแบบระบบให้โจรต้องผ่านหลายชั้น ก่อนจะถึงของในเซฟ ไม่ใช่เพราะแต่ละชั้นกันโจรได้ 100% (ไม่มีชั้นไหนกันได้ 100%) แต่เพราะรวมกันแล้ว เพิ่มเวลาและความพยายามที่โจรต้องใช้ จนสูงพอที่จะถูกตรวจพบทัน

ลองดูโครงป้อมปราการดิจิทัลที่ใช้กันใน enterprise ทุกที่ ยังไม่ต้องเข้าใจรายละเอียดของแต่ละชั้น (จะลงลึกใน Part 4 — Infrastructure) แค่เห็นโครงก่อน

ชั้นที่ 1 — Network Firewall (ป้อมยามหน้าหมู่บ้าน) — ป้อมยามด่านแรก. ดูว่ารถคันไหนเข้าหมู่บ้านนี้ได้บ้าง — IP ไหนผ่าน, port ไหนเปิด, protocol อะไรอนุญาต. โจรที่ไม่มี “ป้ายทะเบียนที่ถูกต้อง” ผ่านด่านนี้ไม่ได้

ชั้นที่ 2 — IDS/IPS (ยามตรวจการในเมือง) — สมมติโจรสวมป้ายทะเบียนปลอม + ผ่านป้อมยามด่านแรกได้แล้ว. ในเมืองมียามอีกกลุ่มที่เดินตรวจการอยู่ดู “พฤติกรรม” — รถคันนี้วิ่งวนรอบบ้านเดิม 5 รอบในชั่วโมงเดียวเหมือนคนมีพิรุธไหม? นี่คือ IDS (Intrusion Detection System — ยามตรวจการเฉยๆ เห็นแล้วรายงาน) กับ IPS (Intrusion Prevention System — ยามที่หยุดรถได้เลย)

ชั้นที่ 3 — EDR (ยามในแต่ละตึก) — โจรเข้ามาในเมืองได้แล้ว ตอนนี้พยายามจะเข้าตึกของพนักงาน. ทุกตึก (= ทุก endpoint, ทุกเครื่อง laptop / desktop / server) มียามประจำตึกอีกชั้น. ยามตัวนี้เรียก EDR (Endpoint Detection & Response — ยามที่นั่งอยู่ในแต่ละเครื่อง คอยดูว่ามีโปรแกรมแปลกๆ ทำงานไหม)

ชั้นที่ 4 — SIEM (ห้องควบคุมกลางของเมือง) — ลองนึกถึงห้องควบคุมโรงไฟฟ้าที่มีจอเป็น 50 จอ. ยามทุกคนในเมือง (firewall + IDS + IPS + EDR) ส่งรายงานเข้ามารวมที่ห้องนี้ตลอด 24 ชม. SIEM (Security Information and Event Management — ระบบรวม log ความปลอดภัยของทั้งบริษัท) เห็นภาพรวมที่ยามแต่ละคนเห็นไม่ครบ — เช่น “เครื่อง A ที่เพิ่ง login จากกรุงเทพ 1 นาทีก่อน ตอนนี้ login ใหม่จากมอสโคว์” → เครื่องเดียว ยามคนเดียวมองไม่ออก — แต่ SIEM ที่เห็นทั้ง 2 log พร้อมกัน ออกได้ทันที

ชั้นที่ 5 — DLP (ยามขาออก) — สมมติโจรหลุดผ่าน 4 ชั้นแรกได้แล้ว, ขโมยของในเซฟใส่กระเป๋าจะเดินออกประตู. ยามชั้นสุดท้ายคือยามที่ขาออก เรียก DLP (Data Loss Prevention — ระบบป้องกันข้อมูลรั่วออกนอกบริษัท). ตรวจกระเป๋าที่ออก — ถ้ามีไฟล์ที่ติดป้ายว่า “ข้อมูลลูกค้า” หรือ “เลขบัตรเครดิต” → บล็อกการส่งออก / แจ้งเตือน / log ไว้

5 ชั้นนี้ไม่ใช่ทุกอย่างของ Defense in Depth — เป็นแค่ “5 ชั้นหลักที่ enterprise ส่วนใหญ่มี”. ของจริงมีมากกว่านี้ — และที่หลายคนลืมคือ ชั้นที่ 6 (คน) ที่เราจะคุยกันท้าย EP

ผมขออ้างเคสจริงเพื่อให้เห็นภาพว่า Defense in Depth ทำงานยังไง คือ Target 2013 ที่เราเล่าไปใน EP.02

โจรเข้าได้ผ่าน HVAC vendor (บริษัทที่ดูแลระบบแอร์ของ Target) นั่นคือผ่าน Layer 1 (Network Firewall) ทันที เพราะ vendor มี VPN เข้าระบบของ Target อยู่แล้ว แต่ที่น่าสนใจคือ โจรไม่ได้เข้าถึง card data network ของ Target ทันที โจรติดอยู่ใน vendor network (เป็น segment แยกออกมา) นานหลายสัปดาห์ ก่อนจะหาทางข้ามไปยัง card data network ได้ นั่นแปลว่า Layer 2-3 ทำงาน แต่ไม่ดีพอ ถ้า Target มี monitoring (SIEM) ที่ดีกว่านี้ หรือ network segmentation ที่แน่นกว่านี้ โจรน่าจะติดตั้งแต่สัปดาห์แรก ก่อนถึงข้อมูลบัตร 40 ล้านใบ

จุดที่ Target พังไม่ใช่ “ไม่มี Defense in Depth” มีอยู่ครับ จุดที่พังคือ ชั้นกลางๆ ทำงานช้าและหละหลวมเกินไป จนโจรมีเวลาเดินเล่นในระบบเป็นเดือน นี่คือ key point ของ DiD ไม่ใช่ “มีกี่ชั้น” แต่คือ “แต่ละชั้นบังคับให้โจรใช้เวลาและความพยายามพอที่จะถูกตรวจพบไหม”

มุมผู้บริหาร: ลองนั่งกับทีม IT ของคุณแล้วถามคำถามเดียว “ถ้าโจรเข้าระบบเราตอนนี้ ผ่านชั้นแรกได้ เราต้องใช้เวลากี่นาทีกว่าจะเห็นเขา? และโจรต้องผ่านอีกกี่ชั้นกว่าจะถึงข้อมูลลูกค้า?” ถ้าคำตอบคือ “เห็นภายใน 5 นาที + โจรต้องผ่านอีก 4 ชั้น” คุณมี Defense in Depth ที่ใช้งานได้ ถ้าคำตอบคือ “เห็นภายใน 30 วัน (ค่าเฉลี่ยอุตสาหกรรมจริง)” หรือ “ไม่รู้” แปลว่าคุณมี “กำแพงเดียวที่แพง” ไม่ใช่ป้อมปราการ และคำถามถัดไปที่ผมแนะนำให้ถามทีม “ถ้าเราขออนุมัติงบเพิ่มอีก 1 ล้านบาทปีหน้า ควรลงในชั้นไหนของ DiD ที่อ่อนที่สุดตอนนี้?” คำถามนี้เปลี่ยน budget security ของบริษัทคุณจาก “ซื้อของแพง” เป็น “ปิด gap จริง” ทันที

5 ชั้นกำแพงหิน vs 5 ชั้นต่างเทคนิค#

โอเค สมมติคุณกลับไปคุยกับทีม IT แล้ว ทุกคนเห็นด้วยว่า “ต้องมีหลายชั้น” ทีม IT กลับมาเสนอแผน “ให้เราติด firewall ของยี่ห้อ A ที่ดีที่สุดในตลาดทั้ง 5 ชั้นเลยครับ ยี่ห้อเดียวกัน รุ่นเดียวกัน config คล้ายกัน บริหารง่าย ทีมเรียนรู้รุ่นเดียว support call ที่เดียว”

ฟังดูสมเหตุสมผลใช่ไหมครับ ผมต้องบอกว่า นี่คือกับดักที่บริษัทไทยตกเยอะที่สุด ในเรื่อง Defense in Depth

ลองกลับไปที่ป้อมปราการโบราณดู สมมติขุนนางคนหนึ่งเข้าใจแล้วว่า “ต้องมีหลายชั้น” แต่ไปเลือก กำแพงหินทั้ง 5 ชั้นเหมือนกัน กำแพงนอกกำแพงหิน รั้วถัดเข้ามากำแพงหิน รั้วใน 2 ชั้นก็กำแพงหิน รอบเซฟชั้นในสุดก็กำแพงหิน ขุนนางคิดว่า “5 ชั้นแล้ว ปลอดภัยที่สุด”

โจรที่บินได้ (จินตนาการนะครับ) มาถึง ผ่านทั้ง 5 ชั้นในเวลาเดียวกับชั้นเดียว เพราะ 5 ชั้นนี้ใช้กลไกเดียวกันทั้งหมด บินข้าม กลับมาในโลกจริง โจรที่ “ปีนกำแพงหินเก่ง” ผ่านทั้ง 5 ชั้นในเทคนิคเดียว โจรที่มี “วัตถุระเบิดเฉพาะกับหิน” ทำลายทั้ง 5 ชั้นด้วยวิธีเดียว

ทีนี้ลองนึกถึงป้อมที่ออกแบบให้ ต่าง คูน้ำ + กำแพงหิน + ปืนใหญ่ + ยาม + สุนัข โจรที่ว่ายน้ำเก่ง → ข้ามคูน้ำได้ → ติดที่กำแพงหิน โจรที่ปีนกำแพงหินเก่ง → ตกตรงคูน้ำ โจรที่ปีนกำแพงเก่ง + ว่ายน้ำเก่ง → มาเจอปืนใหญ่ ปีนกำแพง + ว่ายน้ำ + หลบปืนใหญ่เก่ง → เจอยาม ผ่านยาม → เจอสุนัข โจรที่ “ทุกอย่างเก่ง” แทบไม่เคยมีในประวัติศาสตร์

นี่คือหลักการ Diversity of Controls (ความหลากหลายของ control บางคนเรียก Vendor Diversity) ความหมายตรงตัวคือ แต่ละชั้นป้องกันต้องใช้คนละเทคนิค คนละ vendor คนละ algorithm ไม่ใช่เพราะ vendor หนึ่งไม่ดี แต่เพราะ vendor ทุกตัวมี bug ของตัวเอง และ “bug ของ vendor เดียวกัน = เปิดประตูทั้ง 5 ชั้นพร้อมกัน”

กลับมาในโลก IT ห้ามใช้ firewall ยี่ห้อเดียวกันทั้ง 5 ชั้นเด็ดขาด ลองคิดดู ถ้าวันหนึ่งเจอช่องโหว่ใหม่ใน firewall ยี่ห้อ A (เกิดบ่อยมาก ยี่ห้อใหญ่ๆ ทุกค่ายมี CVE ใหม่กันเป็นรายเดือน — CVE = Common Vulnerabilities and Exposures = บัญชีช่องโหว่กลางของวงการ) โจรที่รู้ช่องโหว่นี้ก่อน → bypass ทั้ง 5 ชั้นของคุณในการโจมตีครั้งเดียว ป้อมที่ลงทุน 5 ล้าน พังเพราะ bug ของ vendor เดียว

เคสที่ดังที่สุดในประวัติศาสตร์ของ Diversity of Controls ที่ไม่มี คือ SolarWinds 2020 ที่เราเล่าไปใน EP.02

ลองคิดในมุม Diversity of Controls ดู บริษัทอเมริกัน 18,000 บริษัท (รวมหน่วยงานรัฐบาลกลางของสหรัฐหลายแห่ง) ใช้ SolarWinds Orion เป็นระบบ monitoring ของเครือข่ายตัวเอง ทุกบริษัทพวกนี้คิดว่าตัวเองมี Defense in Depth ดี มี firewall ของ Cisco มี EDR ของ CrowdStrike มี SIEM ของ Splunk มี IDS แยกออกมา หลายๆ vendor ดูเหมือนหลากหลายดี

แต่ทุกบริษัทพวกนี้มีจุดร่วมเดียวกันคือ ทุกตัวต้องวิ่งผ่าน SolarWinds Orion เพื่อให้ทีม IT monitor ได้ Orion อยู่ “ตรงกลาง” ของสถาปัตยกรรม security ทั้งหมด เห็นทุกอย่าง ติดตั้งบนทุก server มีสิทธิ์สูงสุด ตรงนี้แหละคือ single point of failure ที่ทุกคนมองข้าม

โจร (รัสเซีย APT29 / Cozy Bear) ฝัง malware ในการอัปเดต Orion ทุกบริษัท 18,000 รายเปิดอัปเดต = malware เข้าระบบของทุกราย “ผ่านประตูหน้า” ที่ทุก firewall + EDR ของบริษัทเชื่อใจ Defense in Depth ของแต่ละบริษัทมีหลายชั้น แต่ Diversity of Controls = 0 ในจุดนี้ เพราะทุกชั้นเชื่อใจ Orion เหมือนกันหมด

มันคือป้อมปราการที่มี 5 ชั้น แต่ “ผู้สร้างป้อม” คนเดียวกัน ถ้าผู้สร้างทรยศ ทั้ง 5 ชั้นพังพร้อมกัน

ในบริษัทคุณเอง Diversity of Controls หน้าตาเป็นยังไง? ขอยกตัวอย่างใกล้ตัวบ้าง

• Email security: ถ้าใช้ Microsoft 365 อย่างเดียว → ใช้ Defender ของ Microsoft อย่างเดียวด้วย → bug ใน Defender = email security พังทั้งบริษัท ที่ดีกว่าคือ Microsoft 365 + Mimecast/Proofpoint ซ้อนทับ 2 vendor ใช้ algorithm ต่างกัน โจรที่ผ่าน Microsoft Defender ได้ → ติดที่ Mimecast หรือกลับกัน
• Authentication: ถ้าทุกคนในบริษัท login ผ่าน Active Directory ของ Microsoft อย่างเดียว + MFA ก็ใช้ Microsoft Authenticator อย่างเดียว bug ใน Microsoft auth stack = ทั้งบริษัท login พังพร้อมกัน ที่ดีกว่าคือ Microsoft AD + MFA ของ Duo (Cisco) หรือ Yubikey (hardware แยก) 2 vendor ต่างกันคนละ stack
• Backup: ถ้า backup ทุกอย่างไว้บน Veeam อย่างเดียว + เก็บใน NAS ของบริษัทเดียวกันที่ผลิต Veeam bug ของ Veeam = backup ทั้งบริษัทพังเหมือน production ที่ดีกว่าคือใช้ Veeam สำหรับ daily backup + ใช้ tape หรือ S3-immutable ของ AWS เป็น secondary backup ที่ algorithm ต่างกัน โจรที่ทำลาย Veeam ได้ ทำลาย immutable storage ของ AWS ไม่ได้

หลักของ Diversity of Controls สรุปเป็นกฎสั้นๆ ได้ ทุกชั้นที่สำคัญต้องมีอย่างน้อย 2 vendor หรือ 2 mechanism ที่ใช้ algorithm ต่างกัน ค่าใช้จ่ายดูเหมือนเพิ่ม 30-50% แต่ปกป้องจาก single point of failure ที่ทำให้ “ลงทุน 5 ล้านพังในวันเดียว”

มุมผู้บริหาร: เวลา vendor มาขายของให้คุณ ถามคำถามนี้เสมอ “ของที่คุณขายผมตัวนี้ เทียบกับ control อื่นที่ผมมีอยู่แล้วในระบบ ใช้เทคนิค/algorithm ซ้ำกันไหม?” ถ้า vendor ตอบไม่ได้ → เขาไม่เข้าใจว่า DiD + Diversity ทำงานยังไง อย่าซื้อ ถ้า vendor ตอบ “ซ้ำ” แต่ขายของให้คุณอยู่ดี → เขากำลังขายของที่คุณไม่จำเป็นต้องซื้อเพิ่ม ถ้า vendor ตอบ “ไม่ซ้ำ + ปกป้องจุดที่ control เดิมอ่อน” → เป็น vendor ที่รู้ของจริง คุยต่อได้ คำถามนี้กรอง vendor ทั่วไปออกได้ 70% ใน meeting แรก

บ้านไม่มีกำแพง — Compensating Controls#

โอเค ตอนนี้คุณรู้แล้วว่าต้องหลายชั้น (DiD) + แต่ละชั้นต้องต่างเทคนิค (Diversity) คำถามต่อมาที่เกิดในใจผู้บริหารทุกคนคือ “แล้วถ้ามีจุดในระบบที่สร้าง ‘ชั้น’ ตามหลักไม่ได้ล่ะ? ผมต้องทิ้งระบบนั้นเลยเหรอ?”

นี่คือคำถามที่เจ้าของกิจการไทยเจอบ่อยที่สุด โดยเฉพาะบริษัทที่มี legacy system (ระบบเก่าที่ยังใช้อยู่) ระบบบัญชีที่ใช้ Windows Server 2008 ที่ Microsoft เลิก support ไปแล้ว ระบบ POS ที่ vendor เลิกออก patch มา 5 ปี เครื่องจักรในโรงงานที่คุม PLC รุ่นเก่าที่ลง patch ใหม่ไม่ได้เพราะจะทำให้สายการผลิตหยุด ระบบ ERP ที่ customize หนักจน upgrade ไม่ได้

ป้อมปราการแบบมาตรฐานวางไม่ได้ เพราะ “ชั้นกำแพง” ของระบบเหล่านี้ patch ไม่ได้ + เสริมไม่ได้ + เปลี่ยนไม่ได้

ลองนึกภาพง่ายๆ สมมติคุณซื้อบ้านเก่ามาราคาถูก บ้านสวย ทำเลดี แต่ ไม่มีกำแพงรอบบ้าน เพื่อนบ้านมีกำแพงหมด แต่บ้านคุณไม่มี และเหตุผลที่สร้างกำแพงไม่ได้คือเทศบาลจดทะเบียนว่าเป็นเขตอนุรักษ์ ห้ามสร้างกำแพงสูงเกิน 1 เมตร คุณจะทำยังไง? ขายบ้านทิ้งเหรอครับ? ก็เสียดายของดี

คำตอบที่นายช่างฉลาดจะแนะนำคือ ไม่ต้องสร้างกำแพง ใช้ของอื่นแทน เลี้ยงสุนัขดุ 2 ตัวรอบบ้าน + ติดกล้อง CCTV รอบบ้าน 8 ตัว + จ้างยามเดินตรวจกลางคืน + ติด alarm sensor ที่ทุกหน้าต่าง + ติดประตูบ้านที่ยากที่จะงัด ของที่ใส่เพิ่มไม่ใช่กำแพง แต่รวมกันให้ effect แบบเดียวกัน คือ “โจรเข้ายาก + ถูกจับเร็ว”

นี่คือหลักการ Compensating Controls (control ที่ทดแทน บางคนแปลว่า “control ชดเชย”) ความหมายคือ เมื่อ control มาตรฐานใช้ไม่ได้ในบางจุด ให้ใส่ control อื่นที่ “ให้ผลเทียบเท่า” แทน

กลับมาในโลก IT ลองมาดูเคสบ้านๆ บริษัทคุณมีเซิร์ฟเวอร์ระบบบัญชีเก่าที่ใช้ Windows Server 2008 ที่ Microsoft เลิก support ไปตั้งแต่ปี 2020 (และยอม support ต่ออีก 3 ปีในราคาแพงมหาศาลถ้าจ่าย Extended Security Update) ระบบ patch ใหม่ไม่ได้แล้ว ทุก vulnerability ใหม่ที่เจอในปี 2021 ขึ้นไป จะอยู่ในเครื่องตลอด เปลี่ยน OS ใหม่ก็ไม่ได้ เพราะระบบบัญชีที่ run อยู่บนนั้นเป็น software เก่าที่ vendor ปิดบริษัทไปแล้ว เปลี่ยน OS = ระบบบัญชี run ไม่ได้ = ทั้งบริษัทใช้บัญชีไม่ได้

ทางออกแบบ “Compensating Controls” จะเป็นแบบนี้

• Compensating control 1 — Network segmentation: เอาเซิร์ฟเวอร์ตัวนี้ออกจาก network หลักของบริษัท ใส่ใน “ห้องปิด” (VLAN แยก) ที่ห้ามคุยกับเครื่องอื่นในบริษัท ยกเว้นเครื่อง 3 เครื่องที่ฝ่ายบัญชีใช้ แม้จะมีช่องโหว่ โจรที่เข้ามาในเครือข่ายส่วนอื่นของบริษัทก็เข้าถึงเครื่องนี้ไม่ได้
• Compensating control 2 — Strict monitoring: ทุก log ของเครื่องนี้ส่งไป SIEM ด้วย sensitivity สูงกว่าเครื่องอื่น มีกิจกรรมแปลกๆ → alert ทันที เพราะรู้ว่าเครื่องนี้อ่อนแอกว่าเครื่องอื่น เลยตั้ง “ยามตัวพิเศษ” ไว้ดูแลโดยเฉพาะ
• Compensating control 3 — Limited access: คนที่ login เข้าเครื่องนี้ได้มีแค่ 3 คน และทุก session ที่ login มีการ record video ของ session ไว้ (PAM — Privileged Access Management) เพื่อให้ audit ได้ว่าใครทำอะไรเมื่อไหร่
• Compensating control 4 — Read-only export: ข้อมูลในเครื่องนี้ไม่ให้ใครเอาออก แต่ผู้ที่อยากดูข้อมูล export มาที่ “Read-only replica” ตัวนึงที่ผ่าน sanitize แล้ว แค่นั้น

รวมกัน 4 อย่างนี้ เครื่อง legacy ที่ patch ไม่ได้ ยังใช้งานได้ในบริษัท + risk ที่เกิดต่ำกว่าเดิม 90% แม้ตัวเครื่องเองยังเป็น Windows Server 2008 นี่คือเสน่ห์ของ Compensating Controls ไม่ต้องแก้จุดที่แก้ไม่ได้ เสริมจุดอื่นแทน

มีกับดักหนึ่งที่เป็น pattern คลาสสิคของวงการที่บริษัทไทยติดบ่อย บริษัทไทยชอบจ่ายเงินซื้อ “ของแพง” 1 ชิ้นแล้วลืม compensating control ที่ราคาถูก ตัวอย่าง บริษัทหนึ่งใช้งบ 5 ล้านบาทซื้อ EDR ระดับ enterprise มาติดทุกเครื่อง แต่ระบบบัญชี legacy ที่เป็น Windows 2008 ก็ “ติด EDR เหมือนเครื่องอื่น” และจบที่ตรงนั้น ไม่ทำ segmentation ไม่ทำ access limit ไม่ทำ enhanced monitoring เพิ่ม ผลคือเครื่อง legacy ที่ EDR เห็นแต่ทำอะไรไม่ได้กับ OS-level vulnerability โจรเข้าได้ผ่าน OS exploit ที่ EDR ไม่ครอบคลุม 5 ล้านที่ลงทุน ไม่ได้ป้องกันจุดอ่อนจริงของบริษัท

ที่ตลกร้ายคือ Compensating controls ส่วนใหญ่ ราคาถูกกว่าของแพง Network segmentation = config switch + firewall rules = แทบฟรี (ใช้ของที่มีอยู่) Enhanced monitoring = เพิ่ม alert rule ใน SIEM ที่มีอยู่ PAM session recording = software ที่ราคาไม่ถึง 1 ล้านสำหรับ 10 admin accounts รวมกันแล้วน้อยกว่าราคา EDR หลายเท่า แต่ปกป้องจุดที่ EDR ไม่ครอบคลุม

มุมผู้บริหาร: ก่อนตัดสินใจเปลี่ยน legacy system ครั้งใหญ่ ถามทีมก่อนว่า “compensating control อะไรเสริมได้ตอนนี้ที่ปิด gap ของ legacy ในงบไม่เกิน 10% ของ migration?” หลายครั้งคำตอบคือ compensating ดีพอจะรอการเปลี่ยนระบบให้ทำแบบใจเย็น ประหยัดได้หลายสิบล้านและลด risk ของ migration failure ที่เกิดกับ project ERP ขนาดใหญ่ในไทย 40%+

ป้อม 6 ชั้นในโลก IT จริง#

ถึงตรงนี้คุณเห็นแล้วว่า Defense in Depth + Diversity + Compensating Controls คือ 3 ขาของป้อมปราการที่ดี แต่ในชีวิตจริงเวลาผู้บริหารคุยกับทีม IT แล้ว ทีม IT พูดถึง “layer 3” หรือ “layer 7” ผู้บริหารส่วนใหญ่จะหงาย เพราะไม่รู้ว่า layer ในวงการ security จริงๆ มีอะไรบ้าง

ก่อนจะปิด EP นี้ ผมอยากวาง mental map ของ 6 ชั้นของป้อมปราการดิจิทัล ให้คุณดู ใช้คุยกับทีม IT ได้ทันที ไม่ต้องจำรายละเอียดของแต่ละชั้น (จะลงลึกใน Part 4 — Infrastructure) แค่จำว่ามี 6 ชั้น + ตัวอย่างของแต่ละชั้น

• ชั้นที่ 1 — Physical (กายภาพ) ป้อมแรกสุดคือป้อมที่จับต้องได้ ประตูทางเข้าตึก ระบบ access card mantrap (ห้อง airlock ที่เข้าทีละคน เปิดประตู A ต้องรอประตู B ปิด ป้องกัน tailgating ที่คนตามหลังเข้าตึกได้โดยไม่แสกนบัตร) CCTV ตู้ rack ที่ล็อกกุญแจ ฟังดูเก่าใช่ไหมครับ แต่ลองคิดดู ถ้าโจรเดินเข้า data center ของคุณได้ ดึง hard disk ออกจาก server เดินออกไป ของในนั้นจะปลอดภัยได้ยังไง? Physical security คือชั้นที่บริษัทไทยลงทุนเยอะอยู่แล้ว (เพราะจับต้องได้ ผู้บริหารเห็นด้วยตา) ปกติไม่ใช่จุดอ่อน
• ชั้นที่ 2 — Network (เครือข่าย) หลักการเดียวกับ 5 ชั้นที่ผมเล่าตอนต้น firewall + segmentation + IDS/IPS + VPN + DNS security ลองนึกถึงถนนของเมือง ใครเข้าเมืองได้ ใครเข้าซอยไหนได้ ใครเดินรอบเมืองได้ตอนกี่โมง Network security ในบริษัทไทยส่วนใหญ่ลงทุนถูกจุด (firewall ดี) แต่หละหลวมในเรื่อง segmentation (network แบนเกินไป ทุกเครื่องคุยกันได้หมด) ที่ทำให้ Target พังก็จุดนี้
• ชั้นที่ 3 — Endpoint (อุปกรณ์ปลายทาง) Endpoint = laptop + desktop + server + mobile phone ของพนักงาน ทุกเครื่องที่คนใช้งานจริง ชั้นนี้ใช้ EDR (Endpoint Detection & Response คือ antivirus รุ่นใหม่ที่ฉลาดกว่า ไม่แค่เปรียบเทียบกับ signature ของ malware เก่า แต่ดู behavior ผิดปกติ) + patch management (อัปเดต OS + software เป็นประจำ) + disk encryption (เข้ารหัสฮาร์ดดิสก์ laptop หาย ของไม่อ่าน) ในยุค remote work + work from anywhere endpoint คือชั้นที่บริษัทไทยลืมมากที่สุด เพราะ “laptop ของพนักงานเป็นเรื่องของพนักงาน” ทั้งที่ในความจริง laptop นั้นมีไฟล์บริษัทอยู่เต็มเครื่อง
• ชั้นที่ 4 — Application (แอปพลิเคชัน) ถึงแม้ network + endpoint แน่นแล้ว โจรยังโจมตีผ่าน “ตัวแอป” ได้ WAF (Web Application Firewall ยามที่ตรวจคำขอเข้าเว็บของบริษัท ก่อนถึงตัวเว็บจริง), secure coding (สอนทีม dev เขียน code ที่ไม่มีช่อง SQL injection / XSS ที่เคยเล่าใน IT Foundation EP.06), input validation (ตรวจทุก input ที่ user กรอกเข้ามาก่อนใช้งาน) ชั้นนี้กว่า 80% ของ web attack จริงๆ เกิดที่นี่ แต่บริษัทไทยส่วนใหญ่ไม่มี WAF เลย เพราะคิดว่า firewall ครอบคลุมแล้ว (ซึ่งไม่ใช่ firewall เป็น network layer, WAF เป็น application layer คนละชั้นกัน)
• ชั้นที่ 5 — Data (ข้อมูล) ถึงแม้โจรหลุดเข้ามาในระบบจนถึงไฟล์ ถ้าไฟล์เข้ารหัสอยู่ก็เปิดไม่ออก Encryption at rest (เข้ารหัสตอนข้อมูลนิ่งอยู่ในฮาร์ดดิสก์), Encryption in transit (เข้ารหัสตอนข้อมูลเดินทางระหว่างเครื่อง HTTPS, TLS), DLP (Data Loss Prevention ยามขาออก ตรวจว่ามีข้อมูลหลุดออกไหม), Backup (สำเนาในที่อื่นเพื่อกู้คืน) นี่คือชั้นที่ Maersk รอดมาได้ตอน NotPetya เพราะ domain controller ในกานาที่เป็น backup โดยฟลุก ชั้น Data คือชั้นที่เราจะลงลึกใน Part 3 ของซีรีส์ทั้งหมดเลย
• ชั้นที่ 6 — People (คน) และนี่คือชั้นที่บริษัทไทยลืม 90% คนคือ vulnerability ที่ patch ไม่ได้ด้วย software patch ได้แค่ด้วย training (ฝึกอบรม) + awareness (ปลุกตื่นรู้) + phishing simulation (จำลองส่งอีเมลปลอมให้พนักงานเองเพื่อทดสอบ) + culture (วัฒนธรรม security ของบริษัท)

ลองดูตัวเลขจริง รายงานของ Verizon Data Breach Investigations Report (DBIR) ที่ออกทุกปีบอกว่า 74% ของ data breach ทั้งหมดในโลกเกิดจาก “ปัจจัยมนุษย์” ทั้ง phishing การใช้ password อ่อนแอ การส่งไฟล์ผิดคน การคลิกลิงก์ที่ไม่ควรคลิก การถูก social engineering หลอกทางโทรศัพท์ คือ 3 ใน 4 ของ breach ทั้งหมด ผ่านชั้นที่ 6 (คน) ก่อนถึงชั้น 1-5

ลองกลับไปดูเคสที่เราเล่าใน EP ก่อนหน้านี้

• Target 2013 โจรเข้าผ่านพนักงานของ HVAC vendor ที่คลิก phishing email ก่อนเข้าได้ Layer 1
• Equifax 2017 Layer 6 พังเพราะ process ของทีม IT scanner หาเซิร์ฟเวอร์ที่ต้อง patch ไม่เจอ + ไม่มีระบบเช็คซ้ำว่า inventory ครบหรือยัง เป็น process problem ของคนทำงาน ไม่ใช่ technology problem
• SolarWinds 2020 โจรเข้าผ่านการขโมย credential ของพนักงาน SolarWinds ก่อนใส่ malware ใน Orion
• NotPetya / Maersk ลามเร็วเพราะ admin password ในบริษัท Maersk เหมือนกันทั่วโลก (process ของคน)

ทุกเคสใหญ่ที่เปลี่ยนวงการ Layer 6 พังก่อนเสมอ

ตารางสรุป 6 ชั้นนี้ใช้คุยกับทีม IT

สังเกตช่อง “ใครรับผิดชอบ” ดู 5 ชั้นแรกอยู่ในมือทีม IT/Security เท่านั้น แต่ Layer 6 อยู่ในมือ HR + ผู้บริหารทุกคน + พนักงานทุกคน นี่คือเหตุผลที่ Layer 6 บริษัทไทยลืม เพราะมันไม่ใช่ “เรื่องของทีม IT” และในเมื่อไม่ใช่เรื่องของใครโดยเฉพาะ มันจึงไม่ใช่เรื่องของใครเลย

มุมผู้บริหาร: ถามตัวเองข้อเดียว “ปีที่แล้วบริษัทส่ง phishing simulation กี่ครั้ง + click rate เท่าไหร่?” ถ้าตอบไม่ได้ Layer 6 ของบริษัทคุณ ไม่มีอยู่จริง ลงทุน Layer 1-5 หนักแค่ไหน โจรก็เลือกตี Layer 6 ก่อนเสมอเพราะถูกที่สุดสำหรับโจร งบฝึก + simulate + measure ราคาต่ำกว่าซื้อ EDR สักตัว ผลตอบแทนต่อบาทสูงที่สุดในบรรดา 6 ชั้น

สรุป — ป้อม 5 ชั้นต่างเทคนิคในเมืองของคุณ#

ถ้าให้สรุป EP นี้เป็นภาพเดียว ในเมืองที่โจรเก่งกว่าที่คิดเสมอ ป้อมที่ดีไม่ใช่ป้อมที่กำแพงสูงที่สุด ไม่ใช่ป้อมที่จ้างนายช่างแพงที่สุด แต่คือป้อมที่มีหลายชั้น + แต่ละชั้นต่างเทคนิค + มีชั้นทดแทนสำหรับจุดที่ซ่อมไม่ได้ + ไม่ลืมว่าชั้นสุดท้ายคือ “คน” 4 หลักการนี้คือ Defense in Depth + Diversity of Controls + Compensating Controls + 6 Layers เครื่องมือคิดที่ใช้ออกแบบโครง security ของบริษัทคุณตั้งแต่วันแรกที่เริ่มลงทุน

Defense in Depth ตอบคำถามว่า “กำแพงเดียวพอไหม” ไม่พอ Target 2013 ทำให้เห็นว่ามีหลายชั้นช่วยจำกัด damage แต่ถ้าชั้นกลางหละหลวม โจรก็มีเวลาเดินเล่นจนถึงของสำคัญ Diversity of Controls ตอบคำถามว่า “5 ชั้นเหมือนกันใช้ได้ไหม” ไม่ได้ SolarWinds 2020 ทำให้เห็นว่า 18,000 บริษัทพร้อมกันพังเพราะ vendor เดียว Compensating Controls ตอบคำถามว่า “จุดที่ซ่อมไม่ได้ทำยังไง” ไม่ต้องซ่อม ใส่ของอื่นแทนที่ให้ผลเทียบเท่า 6 Layers ตอบคำถามว่า “พอเริ่มลงทุน security ควรลงตรงไหน” ทั้ง 6 ชั้น แต่อย่าลืม Layer 6 ที่บริษัทไทย 90% ลืม