ป้อมปราการชั้นเดียว = ป้อมที่พัง#

ลองเริ่มจากเคสที่ง่ายที่สุดก่อนครับ. สมมติบริษัทคุณมียามดี — เก่ง ฉลาด ตื่นตัว ขยัน. คุณตัดสินใจ “ลงทุนหนัก” — จ้างยามคนนี้ปีละหลายล้าน, ติด CCTV ที่หน้าประตูบริษัท 20 ตัว, ติด firewall ที่ดีที่สุดในตลาด, ใช้ระบบ login มาตรฐานสากล. คุณมั่นใจมาก — “เมืองของผมปลอดภัยที่สุดในวงการ”

คำถามครับ — ถ้าโจรหาวิธีหลอกยามคนนี้ได้ทางใดทางหนึ่ง — แล้วยังไงต่อ?

ลองนึกภาพป้อมที่มีกำแพงเดียวสูง 20 เมตรล้อมรอบ ไม่มีอะไรอย่างอื่น. โจรเอาบันไดสูง 21 เมตรมาพาด — ปีนข้ามได้ — แล้วในป้อมไม่มีอะไรกั้นอีกเลย. ตู้เซฟของขุนนางอยู่ตรงนั้น ห้องบัญชีอยู่ตรงนั้น คลังอาวุธอยู่ตรงนั้น — ทุกอย่างถึงในเวลา 5 นาที. ป้อมที่ลงทุนสร้างกำแพง 20 เมตรมหาศาล — พังเพราะ “1 คน 1 บันได”

นี่คือเหตุผลที่นายช่างโบราณ ไม่เคย สร้างป้อมที่มีกำแพงเดียวครับ. ทุกป้อมในประวัติศาสตร์ที่อยู่รอดได้นาน — ตั้งแต่ปราสาท Krak des Chevaliers ของพวก Crusader ที่ต้านทานการล้อมเป็นปีๆ, จนถึงนครวัดของเขมรที่มีคูน้ำ 200 เมตรล้อมรอบ — ออกแบบเป็น ชั้นๆ. ฝ่ากำแพงนอกได้ ยังต้องข้ามคูน้ำ. ข้ามคูน้ำได้ ยังต้องผ่านกำแพงใน. ผ่านกำแพงในได้ ยังต้องสู้กับยามในลาน. สู้ยามชนะแล้ว ยังต้องงัดเซฟ. ในระหว่างทุกขั้นโจรใช้ “เวลา + เสียง + แสง” — เพิ่มโอกาสที่กองทหารของขุนนางจะตื่นมาทัน

ในโลก IT หลักการนี้มีชื่อว่า Defense in Depth (การป้องกันเป็นชั้น — บางคนแปลว่า “การป้องกันเชิงลึก”) ครับ. ความหมายตรงตัวคือ ออกแบบระบบให้โจรต้องผ่านหลายชั้น ก่อนจะถึงของในเซฟ. ไม่ใช่เพราะแต่ละชั้นกันโจรได้ 100% (ไม่มีชั้นไหนกันได้ 100%) — แต่เพราะรวมกันแล้ว เพิ่มเวลาและความพยายามที่โจรต้องใช้ จนสูงพอที่จะถูกตรวจพบทัน

ลองดูโครงป้อมปราการดิจิทัลที่ใช้กันใน enterprise ทุกที่ครับ — ยังไม่ต้องเข้าใจรายละเอียดของแต่ละชั้น (จะลงลึกใน Part 4 — Infrastructure). แค่เห็นโครงก่อน

ชั้นที่ 1 — Network Firewall (ป้อมยามหน้าหมู่บ้าน) — ป้อมยามด่านแรก. ดูว่ารถคันไหนเข้าหมู่บ้านนี้ได้บ้าง — IP ไหนผ่าน, port ไหนเปิด, protocol อะไรอนุญาต. โจรที่ไม่มี “ป้ายทะเบียนที่ถูกต้อง” ผ่านด่านนี้ไม่ได้

ชั้นที่ 2 — IDS/IPS (ยามตรวจการในเมือง) — สมมติโจรสวมป้ายทะเบียนปลอม + ผ่านป้อมยามด่านแรกได้แล้ว. ในเมืองมียามอีกกลุ่มที่เดินตรวจการอยู่ดู “พฤติกรรม” — รถคันนี้วิ่งวนรอบบ้านเดิม 5 รอบในชั่วโมงเดียวเหมือนคนมีพิรุธไหม? นี่คือ IDS (Intrusion Detection System — ยามตรวจการเฉยๆ เห็นแล้วรายงาน) กับ IPS (Intrusion Prevention System — ยามที่หยุดรถได้เลย)

ชั้นที่ 3 — EDR (ยามในแต่ละตึก) — โจรเข้ามาในเมืองได้แล้ว ตอนนี้พยายามจะเข้าตึกของพนักงาน. ทุกตึก (= ทุก endpoint, ทุกเครื่อง laptop / desktop / server) มียามประจำตึกอีกชั้น. ยามตัวนี้เรียก EDR (Endpoint Detection & Response — ยามที่นั่งอยู่ในแต่ละเครื่อง คอยดูว่ามีโปรแกรมแปลกๆ ทำงานไหม)

ชั้นที่ 4 — SIEM (ห้องควบคุมกลางของเมือง) — ลองนึกถึงห้องควบคุมโรงไฟฟ้าที่มีจอเป็น 50 จอ. ยามทุกคนในเมือง (firewall + IDS + IPS + EDR) ส่งรายงานเข้ามารวมที่ห้องนี้ตลอด 24 ชม. SIEM (Security Information and Event Management — ระบบรวม log ความปลอดภัยของทั้งบริษัท) เห็นภาพรวมที่ยามแต่ละคนเห็นไม่ครบ — เช่น “เครื่อง A ที่เพิ่ง login จากกรุงเทพ 1 นาทีก่อน ตอนนี้ login ใหม่จากมอสโคว์” → เครื่องเดียว ยามคนเดียวมองไม่ออก — แต่ SIEM ที่เห็นทั้ง 2 log พร้อมกัน ออกได้ทันที

ชั้นที่ 5 — DLP (ยามขาออก) — สมมติโจรหลุดผ่าน 4 ชั้นแรกได้แล้ว, ขโมยของในเซฟใส่กระเป๋าจะเดินออกประตู. ยามชั้นสุดท้ายคือยามที่ขาออก เรียก DLP (Data Loss Prevention — ระบบป้องกันข้อมูลรั่วออกนอกบริษัท). ตรวจกระเป๋าที่ออก — ถ้ามีไฟล์ที่ติดป้ายว่า “ข้อมูลลูกค้า” หรือ “เลขบัตรเครดิต” → บล็อกการส่งออก / แจ้งเตือน / log ไว้

5 ชั้นนี้ไม่ใช่ทุกอย่างของ Defense in Depth — เป็นแค่ “5 ชั้นหลักที่ enterprise ส่วนใหญ่มี”. ของจริงมีมากกว่านี้ — และที่หลายคนลืมคือ ชั้นที่ 6 (คน) ที่เราจะคุยกันท้าย EP

ผมขออ้างเคสจริงเพื่อให้เห็นภาพว่า Defense in Depth ทำงานยังไงครับ — Target 2013 ที่เราเล่าไปใน EP.02

โจรเข้าได้ผ่าน HVAC vendor (บริษัทที่ดูแลระบบแอร์ของ Target) — นั่นคือผ่าน Layer 1 (Network Firewall) ทันที เพราะ vendor มี VPN เข้าระบบของ Target อยู่แล้ว. แต่ที่น่าสนใจคือ — โจรไม่ได้เข้าถึง card data network ของ Target ทันที. โจรติดอยู่ใน vendor network (เป็น segment แยกออกมา) นานหลายสัปดาห์ ก่อนจะหาทางข้ามไปยัง card data network ได้. นั่นแปลว่า Layer 2-3 ทำงาน — แต่ไม่ดีพอ. ถ้า Target มี monitoring (SIEM) ที่ดีกว่านี้ หรือ network segmentation ที่แน่นกว่านี้ — โจรน่าจะติดตั้งแต่สัปดาห์แรก ก่อนถึงข้อมูลบัตร 40 ล้านใบ

จุดที่ Target พังไม่ใช่ “ไม่มี Defense in Depth” — มีอยู่ครับ. จุดที่พังคือ ชั้นกลางๆ ทำงานช้าและหละหลวมเกินไป จนโจรมีเวลาเดินเล่นในระบบเป็นเดือน. นี่คือ key point ของ DiD — ไม่ใช่ “มีกี่ชั้น” แต่คือ “แต่ละชั้นบังคับให้โจรใช้เวลาและความพยายามพอที่จะถูกตรวจพบไหม”

มุมผู้บริหาร: ลองนั่งกับทีม IT ของคุณแล้วถามคำถามเดียวครับ — “ถ้าโจรเข้าระบบเราตอนนี้ ผ่านชั้นแรกได้ — เราต้องใช้เวลากี่นาทีกว่าจะเห็นเขา? และโจรต้องผ่านอีกกี่ชั้นกว่าจะถึงข้อมูลลูกค้า?”. ถ้าคำตอบคือ “เห็นภายใน 5 นาที + โจรต้องผ่านอีก 4 ชั้น” — คุณมี Defense in Depth ที่ใช้งานได้. ถ้าคำตอบคือ “เห็นภายใน 30 วัน (ค่าเฉลี่ยอุตสาหกรรมจริงครับ)” หรือ “ไม่รู้” — แปลว่าคุณมี “กำแพงเดียวที่แพง” ไม่ใช่ป้อมปราการ. และคำถามถัดไปที่ผมแนะนำให้ถามทีม — “ถ้าเราขออนุมัติงบเพิ่มอีก 1 ล้านบาทปีหน้า ควรลงในชั้นไหนของ DiD ที่อ่อนที่สุดตอนนี้?” — คำถามนี้เปลี่ยน budget security ของบริษัทคุณจาก “ซื้อของแพง” เป็น “ปิด gap จริง” ทันที

5 ชั้นกำแพงหิน vs 5 ชั้นต่างเทคนิค#

โอเค สมมติคุณกลับไปคุยกับทีม IT แล้ว ทุกคนเห็นด้วยว่า “ต้องมีหลายชั้น”. ทีม IT กลับมาเสนอแผน — “ให้เราติด firewall ของยี่ห้อ A ที่ดีที่สุดในตลาดทั้ง 5 ชั้นเลยครับ ยี่ห้อเดียวกัน รุ่นเดียวกัน config คล้ายกัน — บริหารง่าย ทีมเรียนรู้รุ่นเดียว support call ที่เดียว”

ฟังดูสมเหตุสมผลใช่ไหมครับ. ผมต้องบอกว่า นี่คือกับดักที่บริษัทไทยตกเยอะที่สุด ในเรื่อง Defense in Depth ครับ

ลองกลับไปที่ป้อมปราการโบราณดู. สมมติขุนนางคนหนึ่งเข้าใจแล้วว่า “ต้องมีหลายชั้น” — แต่ไปเลือก กำแพงหินทั้ง 5 ชั้นเหมือนกัน — กำแพงนอกกำแพงหิน, รั้วถัดเข้ามากำแพงหิน, รั้วใน 2 ชั้นก็กำแพงหิน, รอบเซฟชั้นในสุดก็กำแพงหิน. ขุนนางคิดว่า “5 ชั้นแล้ว ปลอดภัยที่สุด”

โจรที่บินได้ (จินตนาการนะครับ) มาถึง — ผ่านทั้ง 5 ชั้นในเวลาเดียวกับชั้นเดียว เพราะ 5 ชั้นนี้ใช้กลไกเดียวกันทั้งหมด — บินข้าม. กลับมาในโลกจริง — โจรที่ “ปีนกำแพงหินเก่ง” ผ่านทั้ง 5 ชั้นในเทคนิคเดียว. โจรที่มี “วัตถุระเบิดเฉพาะกับหิน” ทำลายทั้ง 5 ชั้นด้วยวิธีเดียว

ทีนี้ลองนึกถึงป้อมที่ออกแบบให้ ต่างครับ — คูน้ำ + กำแพงหิน + ปืนใหญ่ + ยาม + สุนัข. โจรที่ว่ายน้ำเก่ง → ข้ามคูน้ำได้ → ติดที่กำแพงหิน. โจรที่ปีนกำแพงหินเก่ง → ตกตรงคูน้ำ. โจรที่ปีนกำแพงเก่ง + ว่ายน้ำเก่ง → มาเจอปืนใหญ่. ปีนกำแพง + ว่ายน้ำ + หลบปืนใหญ่เก่ง → เจอยาม. ผ่านยาม → เจอสุนัข. โจรที่ “ทุกอย่างเก่ง” — แทบไม่เคยมีในประวัติศาสตร์

นี่คือหลักการ Diversity of Controls (ความหลากหลายของ control — บางคนเรียก Vendor Diversity) ครับ. ความหมายตรงตัวคือ แต่ละชั้นป้องกันต้องใช้คนละเทคนิค คนละ vendor คนละ algorithm. ไม่ใช่เพราะ vendor หนึ่งไม่ดี — แต่เพราะ vendor ทุกตัวมี bug ของตัวเอง และ “bug ของ vendor เดียวกัน = เปิดประตูทั้ง 5 ชั้นพร้อมกัน”

กลับมาในโลก IT ครับ — ห้ามใช้ firewall ยี่ห้อเดียวกันทั้ง 5 ชั้นเด็ดขาด. ลองคิดดู ถ้าวันหนึ่งเจอช่องโหว่ใหม่ใน firewall ยี่ห้อ A (เกิดบ่อยมาก — ยี่ห้อใหญ่ๆ ทุกค่ายมี CVE ใหม่กันเป็นรายเดือน — CVE = Common Vulnerabilities and Exposures = บัญชีช่องโหว่กลางของวงการ) — โจรที่รู้ช่องโหว่นี้ก่อน → bypass ทั้ง 5 ชั้นของคุณในการโจมตีครั้งเดียว. ป้อมที่ลงทุน 5 ล้าน — พังเพราะ bug ของ vendor เดียว

เคสที่ดังที่สุดในประวัติศาสตร์ของ Diversity of Controls ที่ไม่มี — คือ SolarWinds 2020 ที่เราเล่าไปใน EP.02 ครับ

ลองคิดในมุม Diversity of Controls ดู. บริษัทอเมริกัน 18,000 บริษัท (รวมหน่วยงานรัฐบาลกลางของสหรัฐหลายแห่ง) ใช้ SolarWinds Orion เป็นระบบ monitoring ของเครือข่ายตัวเอง. ทุกบริษัทพวกนี้คิดว่าตัวเองมี Defense in Depth ดี — มี firewall ของ Cisco, มี EDR ของ CrowdStrike, มี SIEM ของ Splunk, มี IDS แยกออกมา. หลายๆ vendor — ดูเหมือนหลากหลายดี

แต่ทุกบริษัทพวกนี้มีจุดร่วมเดียวกันคือ — ทุกตัวต้องวิ่งผ่าน SolarWinds Orion เพื่อให้ทีม IT monitor ได้. Orion อยู่ “ตรงกลาง” ของสถาปัตยกรรม security ทั้งหมด — เห็นทุกอย่าง, ติดตั้งบนทุก server, มีสิทธิ์สูงสุด. ตรงนี้แหละคือ single point of failure ที่ทุกคนมองข้าม

โจร (รัสเซีย — APT29 / Cozy Bear) ฝัง malware ในการอัปเดต Orion. ทุกบริษัท 18,000 รายเปิดอัปเดต = malware เข้าระบบของทุกราย “ผ่านประตูหน้า” ที่ทุก firewall + EDR ของบริษัทเชื่อใจ. Defense in Depth ของแต่ละบริษัทมีหลายชั้น — แต่ Diversity of Controls = 0 ในจุดนี้ เพราะทุกชั้นเชื่อใจ Orion เหมือนกันหมด

มันคือป้อมปราการที่มี 5 ชั้น — แต่ “ผู้สร้างป้อม” คนเดียวกัน. ถ้าผู้สร้างทรยศ — ทั้ง 5 ชั้นพังพร้อมกัน

ในบริษัทคุณเอง Diversity of Controls หน้าตาเป็นยังไงครับ? ขอยกตัวอย่างใกล้ตัวบ้าง —

Email security: ถ้าใช้ Microsoft 365 อย่างเดียว → ใช้ Defender ของ Microsoft อย่างเดียวด้วย → bug ใน Defender = email security พังทั้งบริษัท. ที่ดีกว่าคือ Microsoft 365 + Mimecast/Proofpoint ซ้อนทับ — 2 vendor ใช้ algorithm ต่างกัน. โจรที่ผ่าน Microsoft Defender ได้ → ติดที่ Mimecast หรือกลับกัน

Authentication: ถ้าทุกคนในบริษัท login ผ่าน Active Directory ของ Microsoft อย่างเดียว + MFA ก็ใช้ Microsoft Authenticator อย่างเดียว — bug ใน Microsoft auth stack = ทั้งบริษัท login พังพร้อมกัน. ที่ดีกว่าคือ Microsoft AD + MFA ของ Duo (Cisco) หรือ Yubikey (hardware แยก) — 2 vendor ต่างกันคนละ stack

Backup: ถ้า backup ทุกอย่างไว้บน Veeam อย่างเดียว + เก็บใน NAS ของบริษัทเดียวกันที่ผลิต Veeam — bug ของ Veeam = backup ทั้งบริษัทพังเหมือน production. ที่ดีกว่าคือใช้ Veeam สำหรับ daily backup + ใช้ tape หรือ S3-immutable ของ AWS เป็น secondary backup ที่ algorithm ต่างกัน — โจรที่ทำลาย Veeam ได้ ทำลาย immutable storage ของ AWS ไม่ได้

หลักของ Diversity of Controls สรุปเป็นกฎสั้นๆ ได้ครับ — ทุกชั้นที่สำคัญต้องมีอย่างน้อย 2 vendor หรือ 2 mechanism ที่ใช้ algorithm ต่างกัน. ค่าใช้จ่ายดูเหมือนเพิ่ม 30-50% — แต่ปกป้องจาก single point of failure ที่ทำให้ “ลงทุน 5 ล้านพังในวันเดียว”

มุมผู้บริหาร: เวลา vendor มาขายของให้คุณ ถามคำถามนี้เสมอครับ — “ของที่คุณขายผมตัวนี้ — เทียบกับ control อื่นที่ผมมีอยู่แล้วในระบบ ใช้เทคนิค/algorithm ซ้ำกันไหม?”. ถ้า vendor ตอบไม่ได้ → เขาไม่เข้าใจว่า DiD + Diversity ทำงานยังไง อย่าซื้อ. ถ้า vendor ตอบ “ซ้ำ” แต่ขายของให้คุณอยู่ดี → เขากำลังขายของที่คุณไม่จำเป็นต้องซื้อเพิ่ม. ถ้า vendor ตอบ “ไม่ซ้ำ + ปกป้องจุดที่ control เดิมอ่อน” → เป็น vendor ที่รู้ของจริง คุยต่อได้. คำถามนี้กรอง vendor ทั่วไปออกได้ 70% ใน meeting แรก

บ้านไม่มีกำแพง — Compensating Controls#

โอเค ตอนนี้คุณรู้แล้วว่า — ต้องหลายชั้น (DiD) + แต่ละชั้นต้องต่างเทคนิค (Diversity). คำถามต่อมาที่เกิดในใจผู้บริหารทุกคนคือ — “แล้วถ้ามีจุดในระบบที่สร้าง ‘ชั้น’ ตามหลักไม่ได้ล่ะ? ผมต้องทิ้งระบบนั้นเลยเหรอ?”

นี่คือคำถามที่เจ้าของกิจการไทยเจอบ่อยที่สุดครับ — โดยเฉพาะบริษัทที่มี legacy system (ระบบเก่าที่ยังใช้อยู่). ระบบบัญชีที่ใช้ Windows Server 2008 ที่ Microsoft เลิก support ไปแล้ว, ระบบ POS ที่ vendor เลิกออก patch มา 5 ปี, เครื่องจักรในโรงงานที่คุม PLC รุ่นเก่าที่ลง patch ใหม่ไม่ได้เพราะจะทำให้สายการผลิตหยุด, ระบบ ERP ที่ customize หนักจน upgrade ไม่ได้

ป้อมปราการแบบมาตรฐานวางไม่ได้ครับ — เพราะ “ชั้นกำแพง” ของระบบเหล่านี้ patch ไม่ได้ + เสริมไม่ได้ + เปลี่ยนไม่ได้

ลองนึกภาพง่ายๆ ครับ. สมมติคุณซื้อบ้านเก่ามาราคาถูก — บ้านสวย ทำเลดี แต่ ไม่มีกำแพงรอบบ้าน. เพื่อนบ้านมีกำแพงหมด — แต่บ้านคุณไม่มี และเหตุผลที่สร้างกำแพงไม่ได้คือเทศบาลจดทะเบียนว่าเป็นเขตอนุรักษ์ ห้ามสร้างกำแพงสูงเกิน 1 เมตร. คุณจะทำยังไง? ขายบ้านทิ้งเหรอครับ? ก็เสียดายของดี

คำตอบที่นายช่างฉลาดจะแนะนำคือ — ไม่ต้องสร้างกำแพง. ใช้ของอื่นแทน. เลี้ยงสุนัขดุ 2 ตัวรอบบ้าน + ติดกล้อง CCTV รอบบ้าน 8 ตัว + จ้างยามเดินตรวจกลางคืน + ติด alarm sensor ที่ทุกหน้าต่าง + ติดประตูบ้านที่ยากที่จะงัด. ของที่ใส่เพิ่มไม่ใช่กำแพง — แต่รวมกันให้ effect แบบเดียวกัน คือ “โจรเข้ายาก + ถูกจับเร็ว”

นี่คือหลักการ Compensating Controls (control ที่ทดแทน — บางคนแปลว่า “control ชดเชย”) ครับ. ความหมายคือ เมื่อ control มาตรฐานใช้ไม่ได้ในบางจุด ให้ใส่ control อื่นที่ “ให้ผลเทียบเท่า” แทน

กลับมาในโลก IT — ลองมาดูเคสบ้านๆ ครับ. บริษัทคุณมีเซิร์ฟเวอร์ระบบบัญชีเก่าที่ใช้ Windows Server 2008 ที่ Microsoft เลิก support ไปตั้งแต่ปี 2020 (และยอม support ต่ออีก 3 ปีในราคาแพงมหาศาลถ้าจ่าย Extended Security Update). ระบบ patch ใหม่ไม่ได้แล้ว — ทุก vulnerability ใหม่ที่เจอในปี 2021 ขึ้นไป จะอยู่ในเครื่องตลอด. เปลี่ยน OS ใหม่ก็ไม่ได้ — เพราะระบบบัญชีที่ run อยู่บนนั้นเป็น software เก่าที่ vendor ปิดบริษัทไปแล้ว เปลี่ยน OS = ระบบบัญชี run ไม่ได้ = ทั้งบริษัทใช้บัญชีไม่ได้

ทางออกแบบ “Compensating Controls” จะเป็นแบบนี้ครับ —

Compensating control 1 — Network segmentation: เอาเซิร์ฟเวอร์ตัวนี้ออกจาก network หลักของบริษัท. ใส่ใน “ห้องปิด” (VLAN แยก) ที่ห้ามคุยกับเครื่องอื่นในบริษัท ยกเว้นเครื่อง 3 เครื่องที่ฝ่ายบัญชีใช้. แม้จะมีช่องโหว่ — โจรที่เข้ามาในเครือข่ายส่วนอื่นของบริษัทก็เข้าถึงเครื่องนี้ไม่ได้

Compensating control 2 — Strict monitoring: ทุก log ของเครื่องนี้ส่งไป SIEM ด้วย sensitivity สูงกว่าเครื่องอื่น. มีกิจกรรมแปลกๆ → alert ทันที. เพราะรู้ว่าเครื่องนี้อ่อนแอกว่าเครื่องอื่น เลยตั้ง “ยามตัวพิเศษ” ไว้ดูแลโดยเฉพาะ

Compensating control 3 — Limited access: คนที่ login เข้าเครื่องนี้ได้มีแค่ 3 คน — และทุก session ที่ login มีการ record video ของ session ไว้ (PAM — Privileged Access Management) เพื่อให้ audit ได้ว่าใครทำอะไรเมื่อไหร่

Compensating control 4 — Read-only export: ข้อมูลในเครื่องนี้ไม่ให้ใครเอาออก. แต่ผู้ที่อยากดูข้อมูล export มาที่ “Read-only replica” ตัวนึงที่ผ่าน sanitize แล้ว — แค่นั้น

รวมกัน 4 อย่างนี้ — เครื่อง legacy ที่ patch ไม่ได้ ยังใช้งานได้ในบริษัท + risk ที่เกิดต่ำกว่าเดิม 90% แม้ตัวเครื่องเองยังเป็น Windows Server 2008. นี่คือเสน่ห์ของ Compensating Controls — ไม่ต้องแก้จุดที่แก้ไม่ได้ — เสริมจุดอื่นแทน

มีกับดักหนึ่งที่เป็น pattern คลาสสิคของวงการที่บริษัทไทยติดบ่อย — บริษัทไทยชอบจ่ายเงินซื้อ “ของแพง” 1 ชิ้นแล้วลืม compensating control ที่ราคาถูก ครับ. ตัวอย่าง: บริษัทหนึ่งใช้งบ 5 ล้านบาทซื้อ EDR ระดับ enterprise มาติดทุกเครื่อง — แต่ระบบบัญชี legacy ที่เป็น Windows 2008 ก็ “ติด EDR เหมือนเครื่องอื่น” และจบที่ตรงนั้น. ไม่ทำ segmentation, ไม่ทำ access limit, ไม่ทำ enhanced monitoring เพิ่ม. ผลคือเครื่อง legacy ที่ EDR เห็นแต่ทำอะไรไม่ได้กับ OS-level vulnerability — โจรเข้าได้ผ่าน OS exploit ที่ EDR ไม่ครอบคลุม. 5 ล้านที่ลงทุน — ไม่ได้ป้องกันจุดอ่อนจริงของบริษัท

ที่ตลกร้ายคือ Compensating controls ส่วนใหญ่ ราคาถูกกว่าของแพง ครับ. Network segmentation = config switch + firewall rules = แทบฟรี (ใช้ของที่มีอยู่). Enhanced monitoring = เพิ่ม alert rule ใน SIEM ที่มีอยู่. PAM session recording = software ที่ราคาไม่ถึง 1 ล้านสำหรับ 10 admin accounts. รวมกันแล้วน้อยกว่าราคา EDR หลายเท่า — แต่ปกป้องจุดที่ EDR ไม่ครอบคลุม

มุมผู้บริหาร: ก่อนตัดสินใจเปลี่ยน legacy system ครั้งใหญ่ — ถามทีมก่อนว่า “compensating control อะไรเสริมได้ตอนนี้ที่ปิด gap ของ legacy ในงบไม่เกิน 10% ของ migration?” หลายครั้งคำตอบคือ compensating ดีพอจะรอการเปลี่ยนระบบให้ทำแบบใจเย็น — ประหยัดได้หลายสิบล้านและลด risk ของ migration failure ที่เกิดกับ project ERP ขนาดใหญ่ในไทย 40%+

ป้อม 6 ชั้นในโลก IT จริง#

ถึงตรงนี้คุณเห็นแล้วว่า — Defense in Depth + Diversity + Compensating Controls คือ 3 ขาของป้อมปราการที่ดี. แต่ในชีวิตจริงเวลาผู้บริหารคุยกับทีม IT แล้ว ทีม IT พูดถึง “layer 3” หรือ “layer 7” ผู้บริหารส่วนใหญ่จะหงาย — เพราะไม่รู้ว่า layer ในวงการ security จริงๆ มีอะไรบ้าง

ก่อนจะปิด EP นี้ ผมอยากวาง mental map ของ 6 ชั้นของป้อมปราการดิจิทัล ให้คุณดูครับ — ใช้คุยกับทีม IT ได้ทันที. ไม่ต้องจำรายละเอียดของแต่ละชั้น (จะลงลึกใน Part 4 — Infrastructure) — แค่จำว่ามี 6 ชั้น + ตัวอย่างของแต่ละชั้น

ชั้นที่ 1 — Physical (กายภาพ). ป้อมแรกสุดคือป้อมที่จับต้องได้ครับ. ประตูทางเข้าตึก, ระบบ access card, mantrap (ห้อง airlock ที่เข้าทีละคน — เปิดประตู A ต้องรอประตู B ปิด — ป้องกัน tailgating ที่คนตามหลังเข้าตึกได้โดยไม่แสกนบัตร), CCTV, ตู้ rack ที่ล็อกกุญแจ. ฟังดูเก่าใช่ไหมครับ — แต่ลองคิดดู ถ้าโจรเดินเข้า data center ของคุณได้ ดึง hard disk ออกจาก server เดินออกไป — ของในนั้นจะปลอดภัยได้ยังไง? Physical security คือชั้นที่บริษัทไทยลงทุนเยอะอยู่แล้ว (เพราะจับต้องได้ ผู้บริหารเห็นด้วยตา) — ปกติไม่ใช่จุดอ่อน

ชั้นที่ 2 — Network (เครือข่าย). หลักการเดียวกับ 5 ชั้นที่ผมเล่าตอนต้น — firewall + segmentation + IDS/IPS + VPN + DNS security. ลองนึกถึงถนนของเมือง — ใครเข้าเมืองได้ ใครเข้าซอยไหนได้ ใครเดินรอบเมืองได้ตอนกี่โมง. Network security ในบริษัทไทยส่วนใหญ่ลงทุนถูกจุด (firewall ดี) แต่หละหลวมในเรื่อง segmentation (network แบนเกินไป — ทุกเครื่องคุยกันได้หมด) — ที่ทำให้ Target พังก็จุดนี้

ชั้นที่ 3 — Endpoint (อุปกรณ์ปลายทาง). Endpoint = laptop + desktop + server + mobile phone ของพนักงาน — ทุกเครื่องที่คนใช้งานจริง. ชั้นนี้ใช้ EDR (Endpoint Detection & Response — antivirus รุ่นใหม่ที่ฉลาดกว่า — ไม่แค่เปรียบเทียบกับ signature ของ malware เก่า แต่ดู behavior ผิดปกติ) + patch management (อัปเดต OS + software เป็นประจำ) + disk encryption (เข้ารหัสฮาร์ดดิสก์ — laptop หาย ของไม่อ่าน). ในยุค remote work + work from anywhere — endpoint คือชั้นที่บริษัทไทยลืมมากที่สุด เพราะ “laptop ของพนักงานเป็นเรื่องของพนักงาน” — ทั้งที่ในความจริง laptop นั้นมีไฟล์บริษัทอยู่เต็มเครื่อง

ชั้นที่ 4 — Application (แอปพลิเคชัน). ถึงแม้ network + endpoint แน่นแล้ว — โจรยังโจมตีผ่าน “ตัวแอป” ได้. WAF (Web Application Firewall — ยามที่ตรวจคำขอเข้าเว็บของบริษัท ก่อนถึงตัวเว็บจริง), secure coding (สอนทีม dev เขียน code ที่ไม่มีช่อง SQL injection / XSS — ที่เคยเล่าใน IT Foundation EP.06), input validation (ตรวจทุก input ที่ user กรอกเข้ามาก่อนใช้งาน). ชั้นนี้กว่า 80% ของ web attack จริงๆ เกิดที่นี่ — แต่บริษัทไทยส่วนใหญ่ไม่มี WAF เลย เพราะคิดว่า firewall ครอบคลุมแล้ว (ซึ่งไม่ใช่ — firewall เป็น network layer, WAF เป็น application layer คนละชั้นกัน)

ชั้นที่ 5 — Data (ข้อมูล). ถึงแม้โจรหลุดเข้ามาในระบบจนถึงไฟล์ — ถ้าไฟล์เข้ารหัสอยู่ก็เปิดไม่ออก. Encryption at rest (เข้ารหัสตอนข้อมูลนิ่งอยู่ในฮาร์ดดิสก์), Encryption in transit (เข้ารหัสตอนข้อมูลเดินทางระหว่างเครื่อง — HTTPS, TLS), DLP (Data Loss Prevention — ยามขาออก ตรวจว่ามีข้อมูลหลุดออกไหม), Backup (สำเนาในที่อื่นเพื่อกู้คืน). นี่คือชั้นที่ Maersk รอดมาได้ตอน NotPetya — เพราะ domain controller ในกานาที่เป็น backup โดยฟลุก. ชั้น Data คือชั้นที่เราจะลงลึกใน Part 3 ของซีรีส์ทั้งหมดเลย

ชั้นที่ 6 — People (คน). และนี่คือชั้นที่บริษัทไทยลืม 90% ครับ. คนคือ vulnerability ที่ patch ไม่ได้ด้วย software — patch ได้แค่ด้วย training (ฝึกอบรม) + awareness (ปลุกตื่นรู้) + phishing simulation (จำลองส่งอีเมลปลอมให้พนักงานเองเพื่อทดสอบ) + culture (วัฒนธรรม security ของบริษัท)

ลองดูตัวเลขจริงครับ — รายงานของ Verizon Data Breach Investigations Report (DBIR) ที่ออกทุกปีบอกว่า 74% ของ data breach ทั้งหมดในโลกเกิดจาก “ปัจจัยมนุษย์” — phishing, การใช้ password อ่อนแอ, การส่งไฟล์ผิดคน, การคลิกลิงก์ที่ไม่ควรคลิก, การถูก social engineering หลอกทางโทรศัพท์. คือ 3 ใน 4 ของ breach ทั้งหมด — ผ่านชั้นที่ 6 (คน) ก่อนถึงชั้น 1-5

ลองกลับไปดูเคสที่เราเล่าใน EP ก่อนหน้านี้ครับ. Target 2013 — โจรเข้าผ่านพนักงานของ HVAC vendor ที่คลิก phishing email ก่อนเข้าได้ Layer 1. Equifax 2017 — Layer 6 พังเพราะ process ของทีม IT — scanner หาเซิร์ฟเวอร์ที่ต้อง patch ไม่เจอ + ไม่มีระบบเช็คซ้ำว่า inventory ครบหรือยัง — เป็น process problem ของคนทำงาน ไม่ใช่ technology problem. SolarWinds 2020 — โจรเข้าผ่านการขโมย credential ของพนักงาน SolarWinds ก่อนใส่ malware ใน Orion. NotPetya / Maersk — ลามเร็วเพราะ admin password ในบริษัท Maersk เหมือนกันทั่วโลก (process ของคน). ทุกเคสใหญ่ที่เปลี่ยนวงการ — Layer 6 พังก่อนเสมอ

ตารางสรุป 6 ชั้นนี้ใช้คุยกับทีม IT ครับ —

สังเกตช่อง “ใครรับผิดชอบ” ดูครับ — 5 ชั้นแรกอยู่ในมือทีม IT/Security เท่านั้น. แต่ Layer 6 อยู่ในมือ HR + ผู้บริหารทุกคน + พนักงานทุกคน. นี่คือเหตุผลที่ Layer 6 บริษัทไทยลืม — เพราะมันไม่ใช่ “เรื่องของทีม IT”. และในเมื่อไม่ใช่เรื่องของใคร โดยเฉพาะ — มันจึงไม่ใช่เรื่องของใครเลย

มุมผู้บริหาร: ถามตัวเองข้อเดียว — “ปีที่แล้วบริษัทส่ง phishing simulation กี่ครั้ง + click rate เท่าไหร่?” ถ้าตอบไม่ได้ — Layer 6 ของบริษัทคุณ ไม่มีอยู่จริง. ลงทุน Layer 1-5 หนักแค่ไหน โจรก็เลือกตี Layer 6 ก่อนเสมอเพราะถูกที่สุดสำหรับโจร. งบฝึก + simulate + measure ราคาต่ำกว่าซื้อ EDR สักตัว — ผลตอบแทนต่อบาทสูงที่สุดในบรรดา 6 ชั้น

สรุป — ป้อม 5 ชั้นต่างเทคนิคในเมืองของคุณ#

ถ้าให้สรุป EP นี้เป็นภาพเดียวครับ — ในเมืองที่โจรเก่งกว่าที่คิดเสมอ ป้อมที่ดีไม่ใช่ป้อมที่กำแพงสูงที่สุด ไม่ใช่ป้อมที่จ้างนายช่างแพงที่สุด — แต่คือป้อมที่มีหลายชั้น + แต่ละชั้นต่างเทคนิค + มีชั้นทดแทนสำหรับจุดที่ซ่อมไม่ได้ + ไม่ลืมว่าชั้นสุดท้ายคือ “คน”. 4 หลักการนี้คือ Defense in Depth + Diversity of Controls + Compensating Controls + 6 Layers — เครื่องมือคิดที่ใช้ออกแบบโครง security ของบริษัทคุณตั้งแต่วันแรกที่เริ่มลงทุน

Defense in Depth ตอบคำถามว่า “กำแพงเดียวพอไหม” — ไม่พอ. Target 2013 ทำให้เห็นว่ามีหลายชั้นช่วยจำกัด damage แต่ถ้าชั้นกลางหละหลวม โจรก็มีเวลาเดินเล่นจนถึงของสำคัญ. Diversity of Controls ตอบคำถามว่า “5 ชั้นเหมือนกันใช้ได้ไหม” — ไม่ได้. SolarWinds 2020 ทำให้เห็นว่า 18,000 บริษัทพร้อมกันพังเพราะ vendor เดียว. Compensating Controls ตอบคำถามว่า “จุดที่ซ่อมไม่ได้ทำยังไง” — ไม่ต้องซ่อม ใส่ของอื่นแทนที่ให้ผลเทียบเท่า. 6 Layers ตอบคำถามว่า “พอเริ่มลงทุน security ควรลงตรงไหน” — ทั้ง 6 ชั้น แต่อย่าลืม Layer 6 ที่บริษัทไทย 90% ลืม