องค์ประกอบ 3 อย่าง#

ก่อนคุยเรื่อง technical attack — เริ่มจาก insider threat ก่อน เพราะส่วนใหญ่ของ data loss incident มาจากคนใน

Fraud Triangle บอกว่า การโกง/ทุจริต ต้องมีครบ 3 อย่าง:

1. Motivation — แรงจูงใจ (หนี้, ความไม่พอใจ, แรงกดดัน)
2. Opportunity — โอกาส (control อ่อน, ไม่มีคนเฝ้า)
3. Rationalization — การหาเหตุผลให้ตัวเอง (“เขาจ่ายผมน้อย ผมรับเอาเองก็ไม่ผิด”)

Auditor ทำอะไรได้ใน 3 อย่าง#

ถ้าผมถามว่า — auditor มีอิทธิพลกับองค์ประกอบไหนได้?

หลายคนตอบ “Motivation” — แต่ผิด

• Motivation — เป็นเรื่องของ HR / personal — auditor แทรกแซงไม่ได้
• Rationalization — เป็นเรื่องในใจคน — auditor แทรกแซงไม่ได้
• Opportunity — เป็นเรื่องของ controls — auditor มีอิทธิพลโดยตรง

หลักของ auditor: โจมตี Opportunity vertex ผ่าน controls — SoD, access controls, monitoring

ข้อสอบ trap: “Fraud Triangle — auditor มีอิทธิพลกับ element ไหนได้มากที่สุด?”

หลอก: Motivation — ลดแรงกดดัน จริง: Opportunity — ออกแบบ controls ที่ทำให้การโกงยาก

กลุ่ม Perpetrators#

หลายคนมีภาพ “hacker” เป็นคนผมยาวใส่ฮูดในห้องมืด — แต่ในชีวิตจริง attacker หลากหลายมาก:

• Hackers / Script kiddies — ภายนอก ใช้ tools ของคนอื่น
• Employees — คนในที่ตั้งใจ
• IT personnel — มี access สูงสุด — ภัยใหญ่สุด
• Former employees — มี knowledge ของระบบ + อาจมี access ที่ไม่ถูกเพิกถอน
• Interested outsiders — competitor, journalist, activist
• Third parties / Consultants — มี temporary access
• Opportunists — ไม่ตั้งใจแต่เห็นโอกาส
• Accidental actors — คนที่ทำผิดโดยไม่ตั้งใจ

ที่หลายองค์กรประมาท: IT personnel — กลุ่มนี้มี access สูงสุดและภายในมากสุด ถ้าตั้งใจจะทำลายระบบ — ทำได้ง่ายที่สุด

นี่คือเหตุผลที่ PAM, session recording, dual control สำหรับ admin จึงสำคัญ

Computer Crime Categories#

CRM แบ่ง crime เป็น 3 หมวด:

• Computer as target — โจมตีระบบโดยตรง (DDoS, ransomware)
• Computer as tool — ใช้คอมเพื่อทำผิด (online fraud, ขู่กรรโชก)
• Computer as subject — เกี่ยวกับเนื้อหา (CSAM, IP theft)

Attacks ที่กระทบ Availability#

DoS (Denial of Service)

• ถล่มเป้าด้วย traffic จนทำงานไม่ได้
• จากแหล่งเดียว = DoS
• จากหลายแหล่งพร้อมกัน = DDoS (Distributed)
• เป้าหมาย: หยุด service ไม่ใช่ขโมยข้อมูล
• ป้องกัน: rate limiting, CDN, cloud-based DDoS protection

ข้อสอบ trap: “DDoS attack — เป้าหมาย?”

หลอก: ขโมยข้อมูล จริง: disrupt availability — flood traffic ทำให้ legitimate user เข้าไม่ได้

Attacks ที่กระทบ Authentication#

Phishing — email ปลอมที่หลอกให้ใส่ credential Spear phishing — phishing ที่ targeted บุคคลเฉพาะ Whaling — phishing ที่ target ผู้บริหารระดับสูง Vishing — phishing ทางโทรศัพท์ Smishing — phishing ทาง SMS

Social Engineering = ครอบจักรวาลของ “หลอกคน” เพื่อให้ได้ access — phishing คือ subset

Credential stuffing / Brute force / Password spraying — โจมตี authentication mechanism

Attacks ที่กระทบ Application#

Injection attacks:

• SQL Injection — ใส่ SQL code เข้าไปใน input field
• XSS (Cross-Site Scripting) — ใส่ script ที่จะรันบน browser ของ user
• CSRF (Cross-Site Request Forgery) — หลอกให้ user ส่ง request ที่ตัวเองไม่ตั้งใจ

ป้องกันด้วย:

• Input validation — ตรวจ input ก่อน process
• Parameterized queries — แยก data ออกจาก SQL command

ข้อสอบ trap: “SQL injection — primary defense?”

หลอก: Firewall rules จริง: Input validation + parameterized queries ที่ application level — firewall ช่วยน้อยมาก

Attacks ที่กระทบ Network#

Man-in-the-Middle (MITM) — แทรกระหว่าง 2 ฝ่าย ฟังหรือแก้ traffic DNS spoofing / Pharming — ปลอม DNS response นำไปเว็บปลอม Cryptojacking — ใช้ resource ของเหยื่อขุดเหรียญ crypto

Zero-Day Exploits#

Zero-day = ช่องโหว่ที่ vendor ยังไม่รู้ → ยังไม่มี patch → signature-based detection จับไม่ได้

ป้องกันด้วย:

• Behavior-based detection (EDR/XDR)
• Threat intelligence
• Defense in depth — ถ้าผ่านชั้นหนึ่งก็มีชั้นอื่น

Malware Types#

ไม่ใช่แค่ “virus” — แต่ละแบบมีลักษณะต่างกัน:

• Virus — ติดเข้า file/program ต้องมี host file แพร่
• Worm — แพร่ตัวเองผ่าน network ไม่ต้องมี host
• Trojan — ปลอมเป็น software ปกติ user รันเอง
• Spyware — แอบเก็บข้อมูล user
• Logic bomb — รอ trigger แล้วทำลาย (เช่น “ถ้าฉันถูกไล่ออกจาก HR system → ลบ database”)
• Backdoor — ช่องลับให้กลับเข้าได้
• Rootkit — ฝังลึกใน OS หาเจอยาก
• Ransomware — เข้ารหัสข้อมูลแล้วเรียกค่าไถ่

Worm vs Virus — แยกชัด#

ในมุมบ้าน:

• Worm = แมลงที่เดินเข้าบ้านได้เอง (ไม่ต้องพาเข้า)
• Virus = ไวรัสที่ต้องอาศัย “พาหะ” (file หรือ program)

ข้อสอบ trap คลาสสิก: “worm vs virus — ต่างกันยังไง?”

หลัก: worm propagates ตัวเองได้ผ่าน network — virus ต้องการ file/program เป็นพาหะ

ทำไม Ransomware ใหญ่#

Ransomware กลายเป็น business model ที่ยั่งยืน ของอาชญากรรมไซเบอร์ — มี customer support มี cryptocurrency มี ransomware-as-a-service

สำหรับองค์กรที่ไม่มี backup ที่ดี — ทางเลือกมีจำกัด: จ่าย หรือ ยอมรับว่าข้อมูลหายถาวร

Ransomware Lifecycle#

1
Initial access (phishing / RDP / vulnerability)
2
    ↓
3
Persistence + Privilege escalation
4
    ↓
5
Lateral movement (เคลื่อนตัวในเครือข่าย)
6
    ↓
7
Data exfiltration (เอาข้อมูลออกก่อน)
8
    ↓
9
Encryption (เข้ารหัสทุกอย่าง)
10
    ↓
11
Ransom demand

Double extortion = encrypt + ขู่ publish ข้อมูลที่ exfil ออกไป

แม้คุณมี backup ที่ดี — attacker ก็ยังมี leverage จากข้อมูลที่เอาออกไป

ป้องกัน Ransomware#

• Immutable backups — backup ที่แก้ไม่ได้ (offline / air-gapped / write-once media)
• Tested backups — restore test เป็นประจำ
• EDR/XDR — detect behavior ของ ransomware ก่อน encrypt
• Network segmentation — จำกัดการ lateral movement
• Patch management — ปิดช่องโหว่ที่ rapidly exploited
• MFA on RDP — RDP brute force เป็น top initial access vector

ข้อสอบ trap: “ป้องกัน ransomware data encryption ที่ดีที่สุด?”

หลอก: จ่าย ransom จริง: Immutable offline backups ที่ test สม่ำเสมอ — จ่าย ransom ไม่การันตี recovery + funded criminal operations

มุมผู้บริหาร: Ransomware = Business Continuity Risk#

บริษัทที่โดน ransomware เสียมากกว่าแค่ IT systems:

• รายได้หายทุกชั่วโมง downtime
• Reputation damage จากลูกค้า
• ค่า incident response specialist (มหาศาล)
• ค่า legal fees
• Regulatory fine (PDPA notification)
• Insurance premium increase

นี่ไม่ใช่ IT problem — เป็น business continuity event ระดับ board

Compliance ≠ Security#

หลายบริษัทผ่าน ISO 27001 audit แล้วเชื่อว่า “secure”

ความจริง: ผ่าน audit = ผ่าน compliance check (process ตามมาตรฐาน) — ไม่ได้บอกว่า attacker เข้าได้หรือไม่

นี่เป็นเหตุผลที่ pen testing สำคัญ — มันตอบคำถามคนละข้อกับ audit

Security Assessment vs Audit vs Pen Test#

แยกให้ชัด — ออกข้อสอบบ่อย:

Security Assessment

• Risk-based — ระบุและจัดลำดับ threats/vulnerabilities
• ทำได้ทุกเวลา
• เน้น “อะไรเสี่ยงที่สุด”

Security Audit

• Compliance-based — เทียบกับมาตรฐาน (ISO 27001, PCI DSS, HIPAA)
• Formal methodology
• เน้น “ตามมาตรฐานหรือไม่”

Penetration Test

• Active exploitation — พยายาม break in จริง
• เน้น “เข้าได้จริงไหม”

ทั้งสามเสริมกัน — audit ให้ compliance evidence, assessment ให้ risk evidence, pen test ให้ exploitability evidence

Vulnerability Assessment vs Penetration Test#

Vulnerability Assessment (VA)

• Automated scan หา known vulnerabilities
• ผลลัพธ์: list ของช่องโหว่ที่อาจมี
• Frequency: ขั้นต่ำรายไตรมาส + หลัง major change

Penetration Test

• Active exploitation — พยายาม exploit ช่องโหว่
• ผลลัพธ์: หลักฐานว่าช่องโหว่ใช้งานได้จริง
• Frequency: รายปี + หลัง major change

ในมุมบ้าน:

• VA = Home inspector — รายการจุดเปราะบางทั้งหมด
• Pen test = จ้างผู้เชี่ยวชาญลองงัดประตูจริงๆ

ข้อสอบ trap: “VA vs pen test ต่างกัน?”

หลอก: VA แพงกว่า จริง: VA ระบุ known vulnerabilities; pen test exploit จริงเพื่อพิสูจน์ impact

Pen Test Types#

แยกตาม ความรู้ของ tester:

• Black-box / Blind — tester ไม่รู้อะไรเลย — แพงและช้า แต่จำลองสถานการณ์จริงที่สุด
• White-box — tester มีข้อมูลครบ — เร็วและละเอียด
• Grey-box — มีข้อมูลบางส่วน

แยกตาม ความรู้ของฝ่ายป้องกัน:

• Targeted (announced) — ทั้ง IT และ tester รู้ว่ามี test
• Blind — IT ปกป้องอย่างที่เคย แต่ tester เริ่มจากไม่มีข้อมูล
• Double-blind — internal security staff ไม่รู้ ว่ามี test — ทดสอบ real incident detection ด้วย

ข้อสอบ trap: “Double-blind pen test — ลักษณะเด่น?”

หลอก: 2 testers ทำพร้อมกัน จริง: Internal security staff ไม่รู้ว่ามี test — ทดสอบทั้ง technical controls + incident response capability

Authorization — สำคัญที่สุด#

Pen test ที่ไม่มี authorization = อาชญากรรม ไม่ว่า test แล้วเจออะไร

ก่อนเริ่ม:

• Senior management approval — เป็นลายลักษณ์อักษร
• Scope clearly defined
• Time window specified
• Emergency contact established
• Get out of jail card — ถ้าโดนจับ มีเอกสารยืนยันว่าได้รับอนุญาต

ข้อสอบ trap: “auditor review pen test report — verify อะไรสำคัญที่สุด?”

หลอก: คุณสมบัติของ tester จริง: Senior management authorization ที่ documented ก่อนการ test

หลักของ Red/Blue/Purple#

Blue Team = ทีม defense ปกติ (SOC, security operations)

• ทำงานต่อเนื่อง 24/7
• monitor, detect, respond

Red Team = ทีม attack จำลอง (in-house หรือ external)

• ใช้เทคนิคจริงเหมือน attacker
• ทำเป็นรอบ — เพื่อทดสอบ Blue team

Purple Team = Red + Blue ทำงานร่วมกัน

• หลัง Red attack — share findings — ปรับ defense

ในมุมบ้าน — Blue = ยามรักษาความปลอดภัย / Red = ทีมที่จ้างมาลองงัด / Purple = ทั้งสองนั่งคุยกันหลัง test

หลายองค์กรมี Blue (SOC) แต่ไม่มี Red — auditor ถามได้ว่า “คุณรู้ได้ยังไงว่า defense ของคุณทำงาน ถ้าไม่เคยทดสอบ?”

SAST vs DAST vs IAST#

ถ้า pen test ทำกับระบบทั้งหมด — testing ระดับ application มี 3 แบบ:

SAST (Static Application Security Testing)

• White-box — วิเคราะห์ source code
• ทำตอน development (ก่อน deploy)
• ดี: หา bug ตั้งแต่ต้น (cheap to fix)
• ไม่ดี: เจอเฉพาะ bug ที่อยู่ใน code (ไม่จับ runtime issue)

DAST (Dynamic Application Security Testing)

• Black-box — ทดสอบ running application
• ทำหลัง deploy
• ดี: เจอ runtime issue ที่ SAST ไม่เห็น
• ไม่ดี: เจอช้า แก้แพง

IAST (Interactive) = hybrid SAST + DAST

ข้อสอบ trap: “SAST vs DAST — อันไหนเจอ vulnerability เร็วกว่าใน SDLC?”

หลอก: DAST (comprehensive กว่า) จริง: SAST — วิเคราะห์ source code ตอน develop ก่อน deploy

หลัก shift left = หา bug ให้เร็วที่สุด ตอนต้น cheap ตอนปลายแพง

SOC — Operational Backbone#

SOC (Security Operations Center) = ทีมที่ทำ monitoring + response 24/7

• ใช้ SIEM, EDR, threat intel
• มี playbook สำหรับ incident type ต่างๆ
• เป็น operational arm ของ Blue team

จะกลับมาเรื่อง SOC ในตอนหน้า (Section 5.13)