540 คำ
3 นาที
IT Foundation EP.09 — Security ขั้นสูง
2026-04-22
เรื่องราวธุรกิจ
IT GENIUS
IT
สารบัญ
1. The Context: วิวัฒนาการของภัยคุกคาม ยุคที่ 1: ปราสาทและคูเมือง (1990s–2010s) ยุคที่ 2: ไร้พรมแดน (ปัจจุบัน) ยุคที่ 3: AI และ Quantum (อนาคตอันใกล้) 2. Zero-Trust Architecture: เกราะแห่งยุคปัจจุบัน 2.1 หลักการ: ตรวจสอบอย่างละเอียด 2.2 Micro-Segmentation: ซอยห้องเรือดำน้ำ 2.3 ขั้นตอนการเริ่มทำ 3. Offensive Security: หารูรั่วก่อนโจร 3.1 Scanners vs Penetration Testing 3.2 Supply Chain Security: ตรวจวัตถุดิบ 4. Incident Response: แผนกดับเพลิง 4.1 ขั้นตอนดับเพลิง 4.2 Backups: ประกันชีวิต 4.3 กฎหมายและ PR 5. เตรียมรับ AI และ Quantum ป้องกัน AI ด้วย AI Post-Quantum Cryptography สรุปท้ายตอน

Series: IT Foundation — พื้นฐาน IT สำหรับยุค AI (ภาษาคน)

  1. EP.01 — รากฐานคอมพิวเตอร์
  2. EP.02 — พื้นฐาน Computer Science
  3. EP.03 — ซอฟต์แวร์ทำงานยังไง
  4. EP.04 — Architectures
  5. EP.05 — Web Technologies
  6. EP.06 — Security พื้นฐาน
  7. EP.07 — Performance & Testing
  8. EP.08 — Dev/Deploy/Ops
  9. EP.09 — Security ขั้นสูง ← คุณอยู่ตรงนี้
  10. EP.10 — Project Management

ตอนที่ 6 เราคุยกันเรื่อง Security พื้นฐาน — รหัสผ่าน, HTTPS, การเข้ารหัส, การสำรองข้อมูล ซึ่งยังจำเป็นอยู่ครับ แต่ในยุคที่พนักงานทำงานจากร้านกาแฟ ข้อมูลอยู่บน Cloud และแฮกเกอร์ใช้ AI เขียนมัลแวร์ได้ในเสี้ยววินาที พื้นฐานอย่างเดียวไม่พอแล้ว ตอนนี้ผมอยากพาคุณเดินผ่านชั้นขั้นสูงของ Security แบบที่ผู้บริหารควรเข้าใจ ไม่ใช่เพื่อให้ไปเขียนโค้ดเอง แต่เพื่อให้คุยกับทีม IT รู้เรื่องและตัดสินใจเรื่องงบประมาณได้ถูก

1. The Context: วิวัฒนาการของภัยคุกคาม#

ภัยไซเบอร์มีวิวัฒนาการไม่ต่างจากเชื้อโรคครับ จากไวรัสธรรมดาที่ยาปกติเอาอยู่ กลายเป็น “Superbug” ที่ดื้อยา ถ้าเราไม่เข้าใจว่าภัยมันเปลี่ยนไปยังไง เราจะวางเกราะผิดยุค

ยุคที่ 1: ปราสาทและคูเมือง (1990s–2010s)#

สมัยก่อนข้อมูลอยู่ในตึก พนักงานต้องมาออฟฟิศถึงทำงานได้ บริษัทก็สร้าง Firewall ล้อมรอบเหมือนกำแพงเมือง ใครเสียบสาย LAN ในออฟฟิศคือ “คนใน” = คนดี

ปัญหาคือข้างในเปิดโล่ง ถ้าโจรข้ามกำแพงมาได้ครั้งเดียว (เช่น พนักงานเผลอคลิกลิงก์ในอีเมล) ข้อมูลจะโดนขโมยเกลี้ยง เพราะในปราสาทไม่มีใครล็อกประตูห้องเลย

โมเดลนี้ตายแล้วครับ ห้ามวางระบบใหม่แบบนี้เด็ดขาด ถ้าที่ปรึกษาคนไหนยังขายไอเดีย “ล้อม Firewall แล้วจบ” ให้คุณ ให้รู้ไว้ว่าเขาหยุดอัปเดตตัวเองมาสิบปีแล้ว

ยุคที่ 2: ไร้พรมแดน (ปัจจุบัน)#

พอมายุค Cloud และ Remote Work กำแพงเมืองหายไปครับ พนักงานเปิดแล็ปท็อปทำงานจากร้านกาแฟ ข้อมูลลูกค้าอยู่บน Google Drive มือถือพนักงานกลายเป็นส่วนหนึ่งของระบบ

คำถามคือ “ออฟฟิศ” อยู่ตรงไหน? คำตอบคือ ไม่อยู่ตรงไหนเลยและอยู่ทุกที่พร้อมกัน การล้อมกำแพงรอบตึกจึงไม่มีประโยชน์ เพราะคนสำคัญและข้อมูลสำคัญไม่ได้อยู่ในตึกแล้ว

ทางออกคือแนวคิดใหม่ชื่อ Zero Trust — “ไม่เชื่อใครเลย ตรวจสอบเสมอ” ซึ่งผมจะขยายในหัวข้อถัดไป

ยุคที่ 3: AI และ Quantum (อนาคตอันใกล้)#

ยุคต่อไปแฮกเกอร์จะไม่ใช่คนครับ แต่เป็น AI Agents ที่เขียนมัลแวร์ใหม่หลบ Antivirus ได้ในเสี้ยววินาที และคอมพิวเตอร์ควอนตัมที่ (ในทางทฤษฎี) ถอดรหัสปัจจุบันได้ในพริบตา

ทางป้องกันคือเอา AI สู้ AI และเริ่มศึกษาการเข้ารหัสแบบทนควอนตัม (Post-Quantum Cryptography) ฟังดูเหมือนหนังไซไฟ แต่บริษัทใหญ่ระดับโลกเริ่มเตรียมตัวกันจริงจังแล้ว

จุดที่อยากให้คุณจำคือ Security ไม่ใช่เรื่องซื้อแล้วจบ มันเหมือนสุขภาพ — ต้องปรับตามยุคและตามอายุระบบเสมอ

2. Zero-Trust Architecture: เกราะแห่งยุคปัจจุบัน#

Zero Trust เป็น Mindset มากกว่าเป็นผลิตภัณฑ์ครับ หลักคิดสั้นๆ คือ “ไม่ว่าใคร ต่อให้เป็นซีอีโอ ต่อให้อยู่ในออฟฟิศ ก็ต้องถูกตรวจสอบทุกครั้งที่เข้าถึงของสำคัญ”

2.1 หลักการ: ตรวจสอบอย่างละเอียด#

ปัญหาเดิมคือแฮกเกอร์ขโมยรหัสพนักงานแล้วล็อกอินเข้ามาเนียนๆ ระบบแยกไม่ออกว่าคนไหนตัวจริง ทางแก้คือตรวจหลายชั้น:

  • MFA (Multi-Factor Authentication): ยืนยันสองขั้นตอน เช่น รหัสผ่าน + โค้ด OTP ในมือถือ
  • Context-Aware: ดูพฤติกรรมด้วย เช่น พนักงานคนนี้ปกติล็อกอินจากกรุงเทพ ทำไมจู่ๆ ล็อกอินจากรัสเซียตอนตีสาม?
  • Device Health: เครื่องที่ใช้ล็อกอินสะอาดมั้ย อัปเดตระบบมั้ย มีแอนติไวรัสมั้ย

ให้นึกภาพ ตม. สนามบินครับ ต่อให้คุณมีตั๋วเครื่องบินและพาสปอร์ต เจ้าหน้าที่ก็ยังดูโหงวเฮ้ง ถามคำถาม เปิดกระเป๋าเพิ่มได้ ถ้าดูแล้วรู้สึกไม่ชอบมาพากล

Keywords ที่ควรจำ: Least Privilege (ให้สิทธิ์น้อยที่สุดเท่าที่งานต้องใช้), Continuous Validation (ตรวจสอบต่อเนื่อง ไม่ใช่ครั้งเดียวพอ)

2.2 Micro-Segmentation: ซอยห้องเรือดำน้ำ#

ถ้าแฮกเกอร์เจาะเซิร์ฟเวอร์หน้าเว็บไซต์ได้ สิ่งที่เขามักทำต่อคือกระโดดเข้าไปหาฐานข้อมูลลูกค้า เรียกว่า Lateral Movement (การเดินข้างในหลังเจาะเข้ามา)

ทางป้องกันคือ Micro-Segmentation — แบ่งเครือข่ายเป็นห้องเล็กๆ กั้นกำแพงทุกจุด ห้องเว็บไซต์คุยกับห้องฐานข้อมูลได้แค่ช่องทางที่อนุญาตเท่านั้น

เหมือนห้องในเรือดำน้ำครับ ถ้าห้องเครื่องระเบิด กัปตันสั่งปิดตายประตูห้องนั้นทันที น้ำไม่ท่วมไปห้องนอน เรือยังลอยต่อได้ ศัพท์ทางธุรกิจเรียกว่าจำกัด “Blast Radius” — รัศมีความเสียหาย ไม่ให้พังทั้งบริษัทเพราะรูรั่วจุดเดียว

2.3 ขั้นตอนการเริ่มทำ#

ถ้าบริษัทคุณยังไม่เคยทำ Zero Trust เริ่มแบบนี้ได้ครับ:

  1. Inventory Assets: ลิสต์ก่อนว่าข้อมูลสำคัญที่สุดของเราอยู่ไหน (ฐานลูกค้า? สูตรสินค้า? สัญญา?)
  2. Define Policies: กำหนดกฎว่า “ใคร เข้าอะไรได้บ้าง” ให้เป็นลายลักษณ์อักษร
  3. Pilot Phase: ลองใช้กับแผนกเล็กๆ ก่อน เช่นแผนกการเงิน แล้วค่อยขยาย
  4. Monitoring: เฝ้าดูพฤติกรรมต่อเนื่อง ปรับนโยบายตามของจริง

Zero Trust ไม่ใช่โปรเจกต์ที่จบในสามเดือน มันคือการเปลี่ยนวัฒนธรรมองค์กรให้ยอมรับการถูกตรวจสอบ ซึ่งใช้เวลาครับ

3. Offensive Security: หารูรั่วก่อนโจร#

Network attack path visualization — แสงแดงวิ่งผ่านเครือข่าย ทะลุด่านป้องกัน

จำลอง attack path — โจรหาเส้นทางจากขอบนอก ทะลุ firewall ถึง target ตรงกลาง

Offensive Security คือการ “จ้างคนมาแฮกเราเอง” เพื่อหาช่องโหว่ก่อนที่แฮกเกอร์ตัวจริงจะเจอ ฟังดูย้อนแย้ง แต่เป็นวิธีที่ได้ผลที่สุด

3.1 Scanners vs Penetration Testing#

มีสองระดับที่ต้องแยกให้ออกครับ:

  • Scanners (เครื่องสแกนอัตโนมัติ): เปรียบเหมือน รปภ. เดินบิดลูกบิดประตูตามตารางเวลา เจอแค่ประตูที่ลืมล็อก ปัญหาตื้นๆ เช่น ซอฟต์แวร์เวอร์ชันเก่ามีช่องโหว่ที่รู้กันแล้ว
  • Pentest (Penetration Test): เหมือนจ้างสายลับมืออาชีพโรยตัวจากเพดาน งัดแงะบริษัทจริงๆ เจอช่องทางลับที่หุ่นยนต์ไม่เคยคิดถึง เช่น เอาข้อมูลจากหน้าเว็บมาประกอบกับช่องโหว่ในแอปมือถือ

มุมผู้บริหาร: รายงาน Pentest คือ “ใบรับรองแพทย์” ที่ลูกค้าองค์กรใหญ่หรือคู่ค้าต่างประเทศจะขอดูเพื่อความมั่นใจก่อนเซ็นสัญญา ถ้าบริษัทคุณอยากขายให้ธนาคาร ประกัน หรือบริษัทข้ามชาติ เตรียมงบส่วนนี้ไว้เลยครับ

Keywords ที่อาจได้ยินจากทีม: SAST (สแกนโค้ดตอนยังไม่รัน), DAST (ทดสอบระบบที่รันอยู่), Red Team (ทีมจำลองเป็นแฮกเกอร์)

3.2 Supply Chain Security: ตรวจวัตถุดิบ#

เรื่องนี้คนภายนอกมักนึกไม่ถึงครับ โปรแกรมเมอร์สมัยนี้ไม่ได้เขียนโค้ดทุกบรรทัดเอง ประมาณ 80% ของโค้ดในระบบคือของฟรี (Library) ที่หยิบมาใช้จากอินเทอร์เน็ต

ถ้าของฟรีนั้นมีไวรัสแอบวางยา (เจ้าของเดิมถูกซื้อเงียบๆ หรือบัญชีถูกแฮก) เราก็ซวยโดยที่ไม่รู้ตัว เพราะเราเอามันมาอยู่ในบ้านเราเรียบร้อยแล้ว

อุปมาง่ายๆ คือเชฟครับ — ปรุงเก่งแค่ไหน ถ้าน้ำปลาที่ซื้อมามีสารพิษ ลูกค้าก็ตายอยู่ดี ทางออกคือตรวจฉลากวัตถุดิบ ซึ่งในวงการ IT เรียกว่า SBOM (Software Bill of Materials) — บัญชีรายการว่าระบบเราประกอบด้วยอะไรบ้าง เวอร์ชันไหน จากใคร

มุมผู้บริหาร: อย่าปล่อยให้ Dev โหลดอะไรมาใช้ก็ได้ตามใจ ต้องมีกระบวนการอนุมัติที่เรียกว่า Governance และ Version Pinning (ล็อกเวอร์ชันของที่ใช้ ไม่ใช่อัปเดตอัตโนมัติจนได้ของใหม่ที่ยังไม่ได้ตรวจ)

4. Incident Response: แผนกดับเพลิง#

ความจริงที่ต้องยอมรับคือ ไม่ว่าป้องกันดีแค่ไหน วันหนึ่งก็มีสิทธิ์โดนอยู่ดี คำถามจึงไม่ใช่ “จะโดนมั้ย” แต่เป็น “โดนแล้วจะฟื้นได้เร็วแค่ไหน” นี่คือที่มาของ Incident Response

4.1 ขั้นตอนดับเพลิง#

เหมือนแผนฉุกเฉินในตึกครับ มีสี่ขั้น:

  1. Identification: สัญญาณดังปุ๊บต้องรู้ว่าไฟไหม้ห้องไหน ศัพท์คือ MTTD (Mean Time To Detect) — เฉลี่ยใช้เวลานานแค่ไหนกว่าจะรู้ตัวว่าโดน
  2. Containment: ปิดประตูขังไฟ เช่น ตัดเน็ตเครื่องที่ติดเชื้อ ไม่ให้ลามไปเครื่องอื่น
  3. Eradication: ดับไฟและซ่อมแซม อุดรูที่โจรเข้ามา ลบมัลแวร์
  4. Recovery: กู้ข้อมูลกลับมาจาก Backup ที่เชื่อถือได้

บริษัทที่ซ้อมขั้นตอนนี้บ่อยๆ (เหมือนซ้อมหนีไฟ) จะฟื้นจากเหตุการณ์ได้ใน 1–2 วัน บริษัทที่ไม่เคยซ้อมอาจใช้เวลาเป็นเดือนและเสียลูกค้าไปจำนวนมาก

4.2 Backups: ประกันชีวิต#

Backup ธรรมดาไม่พอแล้วครับ เพราะแฮกเกอร์ยุคใหม่ (Ransomware) เข้ามาแล้วจะลบ Backup ทิ้งก่อน เพื่อให้เราไม่มีทางเลือกนอกจากจ่ายค่าไถ่

ทางออกคือ Immutable Backup — Backup ที่ “ลบไม่ได้ แก้ไม่ได้” แม้แต่แอดมินเอง เปรียบเหมือน “จารึกบนแผ่นหิน” ต่อให้โจรยึดระบบได้ ก็แก้แผ่นหินไม่ได้

Keywords ที่ควรถามทีม: Offsite Backups (เก็บนอกสำนักงาน), RTO (Recovery Time Objective — ยอมหยุดกี่ชั่วโมง), RPO (Recovery Point Objective — ยอมสูญข้อมูลย้อนหลังกี่ชั่วโมง)

4.3 กฎหมายและ PR#

ส่วนนี้สำคัญมากสำหรับผู้บริหารครับ ในไทยกฎหมาย PDPA บังคับแจ้งเหตุข้อมูลรั่วภายใน 72 ชั่วโมง ถ้าเงียบโดนปรับหนัก และถ้าต่างประเทศรู้ทีหลัง (เช่นลูกค้าในยุโรปที่อยู่ภายใต้ GDPR) จะยิ่งหนักกว่าเดิม

ความจริงที่เจ็บปวดคือ สิ่งที่ฆ่าบริษัทไม่ใช่ตัวเหตุการณ์แฮก แต่คือ “การพยายามปกปิด” ลูกค้าอภัยให้บริษัทที่ยอมรับผิดและแก้ไขอย่างโปร่งใส แต่ไม่อภัยให้บริษัทที่โกหก

เตรียมทีม 3 ฝั่งไว้ก่อนเกิดเหตุ: ทีมเทคนิค (Digital Forensics — เก็บหลักฐานดิจิทัล), ทีมกฎหมาย (แจ้งหน่วยงาน), และทีม PR (สื่อสารกับสาธารณะ) ซ้อมร่วมกันอย่างน้อยปีละครั้ง

5. เตรียมรับ AI และ Quantum#

ปิดท้ายด้วยเรื่องอนาคต ซึ่งไม่ไกลเท่าที่คิดครับ

ป้องกัน AI ด้วย AI#

เมื่อแฮกเกอร์ใช้ AI เขียนมัลแวร์ใหม่ในไม่กี่วินาที มนุษย์เฝ้าจอดูเองไม่ทัน ทางออกคือใช้ AI เป็น “ตำรวจ” คอยเฝ้าพฤติกรรมระบบ 24 ชั่วโมง จับสัญญาณผิดปกติที่คนอาจมองข้าม

ตัวอย่างเช่น พนักงานคนหนึ่งดาวน์โหลดไฟล์ขนาด 500 MB ตอนเที่ยงคืน ซึ่งปกติไม่เคยทำ — AI จะยกธงแดงทันที ส่วนคนตรวจ Log จะเห็นแค่หนึ่งบรรทัดในไฟล์ Log ที่มีล้านบรรทัด

Post-Quantum Cryptography#

ข้อมูลบางประเภท เช่น สูตรยา, สัญญาความลับระยะยาว, หรือข้อมูลลูกค้าที่ต้องเก็บ 20 ปี จำเป็นต้องคิดล่วงหน้าแล้วว่าการเข้ารหัสที่ใช้วันนี้จะยังทนทานอยู่หรือไม่ในอีก 10 ปี เพราะเทคโนโลยีควอนตัมอาจมาถึงจุดที่ถอดรหัสแบบเก่าได้

ถ้าธุรกิจคุณไม่ได้อยู่ในกลุ่มข้อมูลลับยาวนานแบบนั้น ยังไม่ต้องรีบครับ แต่ควรมีคนในทีม IT คอยติดตามข่าวสารและเริ่มคุยกับ Vendor ว่าแผนงานเขาเป็นยังไง

สรุปท้ายตอน#

Security ขั้นสูงไม่ใช่เรื่องของกลัวและขู่ครับ มันคือการยอมรับความจริงสามข้อ:

  1. กำแพงอย่างเดียวไม่พอ — ต้องเปลี่ยนไปใช้ Zero Trust ที่ตรวจสอบต่อเนื่องและแบ่งห้องเล็กๆ
  2. ต้องหารูรั่วก่อนโจร — Pentest และ SBOM คือเครื่องมือประจำยุคนี้
  3. ต้องมีแผนตอนโดน — Incident Response, Immutable Backup, แผน PR และการปฏิบัติตามกฎหมาย

ถ้าคุณทำได้สามข้อนี้ บริษัทคุณจะไม่ใช่เป้าที่ง่ายที่สุดในย่าน ซึ่งในโลกแห่งความจริง แฮกเกอร์จะข้ามไปเล่นเหยื่อที่อ่อนแอกว่า

ตอนต่อไปเป็นตอนสุดท้ายของซีรีส์นี้แล้วครับ เราจะปิดท้ายด้วย Project Management — จะบริหารโปรเจกต์ IT ยังไงให้ไม่เจ๊งกลางทาง ไม่บานปลาย และทีมไม่ลาออกยกแผง เพราะต่อให้เทคโนโลยีดีแค่ไหน ถ้าบริหารไม่เป็นก็พังได้หมด

EP.10 — Project Management

Ciel
interviewed by Ciel
JustNotOrdinary's Chief-of-Staff →
IT Foundation EP.10 — Project Management
IT Foundation EP.08 — Dev/Deploy/Ops
© 2026 Just Not Ordinary. All Rights Reserved. / Sitemap