CISA Series ตอนที่ 42 : D5 - เปิด Domain 5: บ้านดิจิทัลของคุณ + แผนที่ป้องกันทั้งหมด

มาถึง Domain สุดท้ายแล้วครับ — Domain 5: Protection of Information Assets

ก่อนเริ่ม ขอตั้งหลักก่อน Domain นี้ใหญ่ที่สุดในทั้งซีรีส์ — น้ำหนักข้อสอบ 26% (เท่ากับ Domain 4) แต่ CRM ใส่เนื้อหามาเป็น 4,668 บรรทัด — มากกว่า Domain ไหนๆ ทั้งหมด 15 sections ตั้งแต่นโยบายความปลอดภัย ไปจนถึงนิติวิทยาศาสตร์ดิจิทัล

อ่านครั้งแรกแบบเรียงลำดับ section ตามตำรา ผมเจอปัญหาเดิมที่เคยเจอตอนเริ่ม Domain 1 — ศัพท์เยอะมาก IAM, ZTA, PAM, SIEM, SOAR, DLP, PKI, MDM, EDR, XDR, IDS, IPS, SAST, DAST… ทุกอันมีรายละเอียด ทุกอันมีการตรวจสอบเฉพาะ และทุกอันก็เชื่อมโยงกันหมด

อ่านไป 3 sections สมองเริ่มล้น — ไม่เห็นภาพรวมว่าตัวเองอ่านเรื่องอะไรอยู่

ผมเลยถอยหนึ่งก้าว เลือกใช้แนวที่เคยใช้ตอน ตอน 03 — หา เรื่องเล่าตัวเดียว ที่ครอบคลุมทุก section ของ Domain นี้ได้ แล้วใช้เรื่องเล่านั้นเป็นแผนที่ในหัว

เรื่องเล่าที่เลือกคือ — บ้านดิจิทัล

ทำไม “บ้านดิจิทัล”?#

Domain 5 ทั้งหมดตอบคำถามเดียว: “ปกป้องข้อมูลขององค์กรยังไง?”

ทุก section เป็นชิ้นส่วนหนึ่งของระบบป้องกัน — บางชิ้นเป็นกฎ บางชิ้นเป็นกำแพง บางชิ้นเป็นกุญแจ บางชิ้นเป็นกล้องวงจรปิด บางชิ้นเป็นแผนรับมือเมื่อโจรเข้าแล้ว

ภาพที่คนทุกคนเข้าใจตรงกันที่สุดคือ — บ้านที่เราอยู่ทุกวัน บ้านมีกฎของบ้าน มีประตู มีกุญแจ มีกล้อง มีตู้เซฟ มีคนในบ้าน มีเพื่อนบ้าน มีโจร มีตำรวจ มีนักสืบ — ทุกอย่างพร้อม

ถ้าเราเปลี่ยน “บ้าน” → “ระบบไอทีขององค์กร” และเปลี่ยน “โจร” → “attacker / malicious actor” ก็จะเห็นภาพ Domain 5 ทันที

นี่คือ metaphor ที่ผมจะใช้ต่อเนื่องตลอด 11 บทถัดไป — ไม่ได้เพื่อความน่ารัก แต่เพื่อให้ทุกศัพท์มีที่อยู่ในหัว ไม่ลอย

Map ของ Domain 5 — บ้านดิจิทัลและส่วนต่างๆ#

ลองนึกบ้านขนาดใหญ่หลังหนึ่ง บ้านนี้มีของมีค่า ของลับ และคนหลายคนที่ต้องเข้า-ออกตลอดเวลา

ส่วนแรกของ Domain 5 คือ “สร้างป้อม” — ทำยังไงให้บ้านนี้ป้องกันตัวเองได้ ก่อนโจรจะมาเคาะ

ส่วน	ใน Domain 5	บทไหน
กฎบ้าน ที่ทุกคนต้องรู้และทำตาม	Section 5.1 — Security Policies, Frameworks, Baselines	ตอน 43
ประตู กำแพง ระบบดับเพลิง ที่จับต้องได้	Section 5.2 — Physical และ Environmental Controls	ตอน 43
กุญแจ บัตรเข้า ระบบระบุตัวตน	Section 5.3 — Identity and Access Management	ตอน 44
ถนนระหว่างห้อง + ท่อน้ำ ที่เชื่อมทุกพื้นที่	Section 5.4 — Network Security	ตอน 45
ยามที่ตรวจของขาออก จากบ้าน	Section 5.5 — Data Loss Prevention (DLP)	ตอน 45
ตู้เซฟดิจิทัล ที่ทำให้ของมีค่าเปิดดูไม่ได้	Section 5.6 — Cryptography	ตอน 46
กรมที่ดิน ที่รับรองว่ากุญแจนั้นเป็นของจริง	Section 5.7 — PKI	ตอน 46
อพาร์ตเมนต์ ที่เราเช่าในตึกของคนอื่น	Section 5.8 — Cloud และ Virtualization	ตอน 47
อุปกรณ์เคลื่อนที่ ที่พกออกไปนอกบ้านได้	Section 5.9 — Mobile, Wireless, IoT	ตอน 48
คนในบ้าน ที่ต้องรู้ว่าทำอะไรได้และทำอะไรไม่ได้	Section 5.10 — Security Awareness	ตอน 49

ส่วนที่สองคือ “ตรวจจับ ตอบสนอง เรียนรู้” — เพราะไม่มีบ้านไหนที่กันโจรได้ 100% ต้องมีระบบตอนเกิดเหตุด้วย

ส่วน	ใน Domain 5	บทไหน
วิธีที่โจรเข้าบ้าน + การจ้างคนลองงัด	Section 5.11 + 5.12 — Attacks + Pen Testing	ตอน 50
กล้องวงจรปิด + sensor + แผนรับมือ	Section 5.13 + 5.14 — Monitoring + Incident Response	ตอน 51
นิติวิทยาศาสตร์ หลังเกิดเหตุ	Section 5.15 — Forensics	ตอน 52

แล้วปิดทั้ง Domain และทั้งซีรีส์ใน ตอน 53

ทำไมเรียงแบบนี้#

CRM เรียง 5.1 → 5.15 ตามลำดับเลข แต่ผมว่าเล่าตามภาษาบ้านจะเข้าใจง่ายกว่า เลยจัดใหม่ตาม flow ของ “เริ่มสร้างบ้าน → อยู่ในบ้าน → เกิดเหตุ → สืบสวน”:

1
ขั้นที่ 1 — วางกฎและสร้างกำแพง
2
    Policy + Physical (ตอน 43)
3
         ↓
4
ขั้นที่ 2 — ใส่ระบบควบคุมการเข้า-ออก
5
    IAM (ตอน 44)
6
         ↓
7
ขั้นที่ 3 — เชื่อมห้องและตรวจของออก
8
    Network + DLP (ตอน 45)
9
         ↓
10
ขั้นที่ 4 — ใส่ตู้เซฟและระบบยืนยันกุญแจ
11
    Crypto + PKI (ตอน 46)
12
         ↓
13
ขั้นที่ 5 — ขยายไปบ้านเช่าและอุปกรณ์เคลื่อนที่
14
    Cloud + Mobile/IoT (ตอน 47-48)
15
         ↓
16
ขั้นที่ 6 — สอนคนในบ้าน
17
    Awareness (ตอน 49)
18
         ↓
19
══════════════════ Part B เริ่ม ══════════════════
20
         ↓
21
ขั้นที่ 7 — เข้าใจว่าโจรเข้ามายังไง + จ้างคนลองงัด
22
    Attacks + Pen Test (ตอน 50)
23
         ↓
24
ขั้นที่ 8 — ติดกล้อง + วางแผนรับมือ
25
    Monitoring + IR (ตอน 51)
26
         ↓
27
ขั้นที่ 9 — เก็บหลักฐานหลังเกิดเหตุ
28
    Forensics (ตอน 52)
29
         ↓
30
══════════════════ ปิด ══════════════════
31
         ↓
32
ปิด Domain 5 + ปิดทั้งซีรีส์ (ตอน 53)

เห็น flow แล้วก็จะเห็นว่า — Domain 5 ไม่ใช่ตำรา 15 หัวข้อแยกกัน แต่เป็นเรื่องเล่าเรื่องเดียวจาก “สร้างบ้าน” จนถึง “ตำรวจมาสืบ”

5 หลักที่จะปรากฏซ้ำตลอด Domain 5#

ก่อนเริ่ม อยากเซ็ตหลักไว้ในหัว 5 ข้อที่จะกลับมาเจอซ้ำในเกือบทุกบท

1. Defense in Depth — ป้องกันเป็นชั้นๆ#

ไม่มี control เดียวที่ป้องกันได้ทุกอย่าง ระบบที่ดีคือมีหลายชั้นวางทับกัน — กำแพงนอก ประตูใน กุญแจห้อง ตู้เซฟในห้อง

ถ้าชั้นแรกพังก็ยังมีชั้นที่สอง สาม สี่ — โจรต้องผ่านทุกชั้นถึงจะถึงของจริง

2. คนคือทั้งจุดอ่อนและจุดแข็ง#

จะลงทุน firewall แพงแค่ไหน ถ้าพนักงานคนเดียวรับโทรศัพท์จาก “IT support” แล้วบอกรหัสผ่าน — ทุกอย่างหมดความหมาย

แต่กลับกัน พนักงานคนเดียวที่ฉุกคิดว่า “ทำไม email นี้แปลก” แล้วแจ้งทีม security — อาจหยุด attack ได้ตั้งแต่ก่อนเริ่ม

3. ป้องกัน 100% ไม่มีทาง — ต้องเตรียม detect และ respond ด้วย#

นี่คือเหตุผลที่ Domain 5 มี Part B ทั้ง part — Monitoring, Incident Response, Forensics

ถ้าคิดว่า “เราป้องกันได้สมบูรณ์” คือคิดผิด ต้องคิดว่า “เมื่อโจรเข้าได้ — เราจะรู้ตัวเร็วแค่ไหน และตอบสนองยังไง”

4. Compliance ≠ Security#

ผ่าน ISO 27001 audit ≠ บริษัทไม่โดน hack — สิ่งหนึ่งวัด process ตามมาตรฐาน อีกสิ่งวัดความสามารถจริงในการต้านการโจมตี

หลายบทใน Domain 5 จะเตือนข้อนี้ซ้ำๆ — โดยเฉพาะตอนเรื่อง pen testing

5. Auditor ไม่ใช่ implementer#

ทำไมต้องย้ำซ้ำตั้งแต่ Domain 1 — เพราะมันสำคัญ Domain 5 มี control เยอะมาก แต่หน้าที่ของ IS auditor ไม่ใช่ “ออกแบบ control” แต่คือ “ประเมินว่า control ที่บริษัทมี เหมาะสมและทำงานจริงหรือไม่”

ถ้าเริ่มเขียน firewall rule หรือออกแบบ policy เอง — independence หาย — กลับไปอ่าน ตอน 02

เชื่อมกับ Domain ที่ผ่านมา#

Domain 5 ไม่ได้ลอยมา — มันต่อยอดจากทุก Domain ที่ผ่านมา

จาก Domain 1 เรารู้ วิธีตรวจ ของ auditor — Domain 5 ให้ของให้ตรวจมากขึ้น
จาก Domain 2 (Governance) เรารู้ว่า policy hierarchy ทำงานยังไง — Domain 5 Section 5.1 คือ application ของ hierarchy นั้นในเรื่อง security
จาก Domain 3 (Acquisition/Dev) เรารู้ว่า DevSecOps ฝัง security ตั้งแต่ design — Domain 5 Section 5.8 ขยายเรื่องนี้
จาก Domain 4 (Operations) เรารู้ว่า log management + change management + BCP ทำงานยังไง — Domain 5 ใช้ log นั้นเป็น input ของ SIEM และ forensics

ถ้า Domain 1-4 แน่น Domain 5 จะอ่านง่ายขึ้นเยอะ เพราะหลายเรื่องเป็นการเอาฐานเดิมมาขยาย ไม่ใช่เริ่มจากศูนย์

เหตุผลที่ Domain 5 หนักที่สุด#

ก่อนปิด ขอเตือนตัวเองและคนอ่านพร้อมๆ กัน — Domain 5 ใช้เวลามากกว่า Domain ไหน ด้วยเหตุผล 3 ข้อ:

หนึ่ง — ศัพท์เฉพาะเยอะมาก หลายอันคล้ายกันจนสับสน (IDS vs IPS / SAST vs DAST / IaaS vs PaaS vs SaaS / Symmetric vs Asymmetric) ผมจะพยายามแยกให้ชัดทุกครั้ง

สอง — ข้อสอบ trap เยอะ Domain 5 มี top 5 trap ที่เห็นซ้ำในทุก mock exam:

IDS placement — วาง IDS ฝั่งอินเตอร์เน็ตของ firewall vs ฝั่งใน detect คนละแบบ
Digital signature ≠ encryption — signature ให้ authentication + integrity ไม่ใช่ confidentiality
Shared Responsibility Model — IaaS = ลูกค้ารับผิดชอบ OS ขึ้นไป (cloud provider ไม่ patch OS ให้)
Forensics: power-off สัญชาตญาณ = ผิด — ทำลาย volatile evidence ใน RAM ก่อนจะได้เก็บ
DLP ทำงานได้แค่กับข้อมูลที่ classify แล้ว — ถ้าไม่จัดประเภทข้อมูลก่อน DLP ไม่รู้จะป้องกันอะไร

จะกลับมาเจาะแต่ละ trap ในบทที่เกี่ยวข้อง

สาม — เนื้อหา technical หนักกว่า Domain อื่น ถ้าไม่มี mental model ดีๆ จะจำไม่ติด — นี่คือเหตุผลที่ผมเลือกใช้ “บ้านดิจิทัล” เป็นแกน เพื่อให้ทุก concept มีที่ยึด

ปิดบทเปิด Domain 5 แค่นี้ครับ — บทถัดไปเราเริ่มจากชั้นรากฐาน: กฎบ้านดิจิทัล (Security Policies) และ ประตูกับกำแพงจริงๆ (Physical Security) ที่ทุก control ในบทถัดๆ ไปจะมาตั้งอยู่บนนี้

ถ้าไม่มีกฎและกำแพง — กุญแจ ตู้เซฟ กล้องวงจรปิด ก็ไม่มีที่ติดตั้ง

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 5: ภาพรวมและ storyboard — ครอบคลุม Section 5.1-5.15