← กลับหน้าหลัก
🛡️
ความปลอดภัยไซเบอร์ (Cybersecurity)
1. พื้นฐานความปลอดภัยสารสนเทศ (CIA Triad)
หัวใจสำคัญของความปลอดภัยสารสนเทศประกอบด้วย 3 องค์ประกอบหลัก (CIA Triad)
| องค์ประกอบ | ความหมาย | การโจมตีที่เกี่ยวข้อง | วิธีป้องกัน |
|---|---|---|---|
| Confidentiality (ความลับ) | ข้อมูลต้องเข้าถึงได้เฉพาะผู้มีสิทธิ์เท่านั้น | Snooping, Sniffing | Encryption, Authentication |
| Integrity (ความถูกต้อง) | ข้อมูลต้องไม่ถูกแก้ไขเปลี่ยนแปลงโดยไม่ได้รับอนุญาต | Tampering, Modification | Hashing, Digital Signature |
| Availability (ความพร้อมใช้) | ระบบ/ข้อมูลต้องพร้อมใช้งานเมื่อต้องการ | DDoS, Ransomware | Backup, Redundancy, Firewall |
🎯 จุดออกสอบบ่อย: จำ: CIA = Confidentiality (ลับ), Integrity (ถูก), Availability (พร้อม) ห้ามสลับกัน!
2. ภัยคุกคามและช่องโหว่ (Threat & Vulnerability)
ความเสี่ยง (Risk) เกิดจาก ภัยคุกคาม (Threat) อาศัย ช่องโหว่ (Vulnerability) ในการโจมตีระบบ
| คำศัพท์ | ความหมาย | ตัวอย่าง |
|---|---|---|
| Threat | สิ่งที่อาจก่อให้เกิดความเสียหาย | Hacker, Malware, ไฟไหม้ |
| Vulnerability | จุดอ่อนของระบบ | Software ไม่ได้อัปเดต, รหัสผ่านง่าย |
| Risk | โอกาสที่จะเกิดความเสียหาย | Risk = Threat x Vulnerability x Impact |
| Zero-day | ช่องโหว่ใหม่ที่ยังไม่มี Patch แก้ไข | การโจมตีช่องโหว่ที่เพิ่งค้นพบ |
3. มัลแวร์ (Malware) ประเภทต่างๆ
Malware (Malicious Software) คือซอฟต์แวร์ประสงค์ร้าย แบ่งเป็นหลายประเภท
| ประเภท | พฤติกรรมเด่น | การแพร่กระจาย |
|---|---|---|
| Virus | เกาะติดไฟล์อื่น ทำลายข้อมูล | ต้องอาศัยคนเปิดไฟล์/โปรแกรม |
| Worm (หนอน) | แพร่กระจายตัวเองผ่านเครือข่ายอัตโนมัติ | ไม่ต้องรอคนเปิด หาช่องโหว่เอง |
| Trojan Horse | แฝงมาในโปรแกรมดีๆ เพื่อเปิดประตูหลัง (Backdoor) | หลอกให้ผู้ใช้ติดตั้งเอง |
| Ransomware | เข้ารหัสข้อมูลเรียกค่าไถ่ | ผ่านเมล/ช่องโหว่ (อันตรายสุดในปัจจุบัน) |
| Spyware | แอบเก็บข้อมูลผู้ใช้ | เกาะมากับโปรแกรมฟรี/เว็บอันตราย |
| Rootkit | ซ่อนตัวในระดับลึกของระบบ (Kernel) | ยากต่อการตรวจจับ |
⚠️ ข้อควรระวัง: แยกให้ออก: Virus ต้องเกาะไฟล์, Worm ไปเองได้, Trojan หลอกให้ลง, Ransomware เรียกค่าไถ่
4. การพิสูจน์ตัวตนและกำหนดสิทธิ์ (AuthN & AuthZ)
เป็นด่านแรกของการรักษาความปลอดภัย
| กระบวนการ | ชื่อย่อ | หน้าที่ |
|---|---|---|
| Identification | ID | ระบุว่า "คุณคือใคร?" (เช่น Username) |
| Authentication | AuthN | พิสูจน์ว่า "ใช่คุณจริงไหม?" (เช่น Password) |
| Authorization | AuthZ | กำหนดว่า "คุณทำอะไรได้บ้าง?" (เช่น Permission) |
| Accounting | Accounting | บันทึกว่า "คุณทำอะไรไปบ้าง?" (Log) |
- Multi-Factor Authentication (MFA): ใช้ 2 อย่างขึ้นไปในการยืนยันตัวตน
- 1. Something you know (รหัสผ่าน, PIN)
- 2. Something you have (มือถือ, Token, บัตร)
- 3. Something you are (ลายนิ้วมือ, หน้า, ม่านตา)
5. เครื่องมือป้องกันระบบ
| เครื่องมือ | หน้าที่ |
|---|---|
| Firewall | กรอง Traffic เข้า-ออกตามกฎ (Allow/Block) |
| IDS (Intrusion Detection) | ตรวจจับการบุกรุกและแจ้งเตือน (เหมือนยาม) |
| IPS (Intrusion Prevention) | ตรวจจับและบล็อกการโจมตีทันที (เหมือนยามที่มีปืน) |
| Antivirus | สแกนและกำจัด Malware ในเครื่อง |
| VPN (Virtual Private Network) | สร้างท่อที่ปลอดภัยผ่านอินเทอร์เน็ต (เข้ารหัสข้อมูล) |
🎯 จุดออกสอบบ่อย: Encryption (การเข้ารหัส) คือการแปรสภาพข้อมูลให้อ่านไม่ออกถ้าไม่มี Key (Symmetric=Key เดียว, Asymmetric=คู่ Key Private/Public)
6. OWASP Top 10 (10 อันดับช่องโหว่เว็บยอดฮิต)
มาตรฐานความปลอดภัยของ Web Application ที่โลกยอมรับ (เวอร์ชันล่าสุด 2021):
- A01: Broken Access Control - สิทธิ์หลุด เข้าหน้า Admin ได้โดยไม่ต้อง Login
- A02: Cryptographic Failures - ข้อมูลสำคัญไม่เข้ารหัส (เช่น เก็บ Pass เป็น Plaintext)
- A03: Injection - ช่องโหว่จากการรับ Input (SQL Injection, XSS)
- A04: Insecure Design - ออกแบบผิดพลาดแต่แรก (เช่น ไม่มี Limit การกู้รหัสผ่าน)
- A05: Security Misconfiguration - ตั้งค่า Server ไม่ดี (เช่น เปิด Default Password, เปิด Debug Mode ทิ้งไว้)
7. เจาะลึกการเข้ารหัส (Cryptography Algorithms)
| ประเภท | ชื่อ Algorithm | ความปลอดภัย | การใช้งาน |
|---|---|---|---|
| Symmetric (กุญแจเดี่ยว) | AES (128/256 bit) | สูงมาก (มาตรฐานปัจจุบัน) | เข้ารหัสไฟล์, WiFi (WPA2), HTTPS (ช่วง Data) |
| Symmetric | DES / 3DES | ต่ำ (เลิกใช้แล้ว) | ระบบเก่า |
| Asymmetric (กุญแจคู่) | RSA (2048+ bit) | สูง | Digital Signature, HTTPS (ช่วง Handshake) |
| Asymmetric | ECC | สูงมาก (ใช้ Key สั้นกว่า RSA) | Blockchain, Smart Card |
| Hashing (ทางเดียว) | MD5 | ต่ำ (ชนกันง่าย) | ตรวจสอบไฟล์เสีย (ไม่ควรใช้เก็บ Pass) |
| Hashing | SHA-256 | สูงมาก | Bitcoin, เก็บ Password, SSL Cert |
8. ขั้นตอนการทดสอบเจาะระบบ (Penetration Testing)
การจำลองเป็นแฮกเกอร์เพื่อหาช่องโหว่ก่อนโดนเจาะจริง:
- 1. Reconnaissance: เก็บข้อมูลเป้าหมาย (IP, Email, Tech Stack)
- 2. Scanning: สแกนหา Port และ Service ที่เปิดอยู่ (Nmap)
- 3. Gaining Access: ลงมือโจมตีผ่านช่องโหว่ที่เจอ (Metasploit)
- 4. Maintaining Access: ฝัง Backdoor เพื่อกลับมาใหม่ได้
- 5. Covering Tracks: ลบ Log อำพรางร่องรอย
🎯 จุดออกสอบบ่อย: White Box (รู้หมด-มีข้อมูลภายในให้), Black Box (ไม่รู้อะไรเลย-เจาะเหมือนโจรจริง), Grey Box (รู้บ้าง)
9. Incident Response (การรับมือภัยคุกคาม)
ขั้นตอนมาตรฐานเมื่อถูกโจมตี (PICERL):
- 1. Preparation: เตรียมพร้อม (Backup, ซ้อมหนีไฟ)
- 2. Identification: ตรวจจับระบุปัญหา (Log, Alert)
- 3. Containment: จำกัดวงความเสียหาย (ตัดเน็ต, ปิดเครื่อง)
- 4. Eradication: กำจัดต้นตอ (ลบ Virus, Patch ช่องโหว่)
- 5. Recovery: กู้คืนระบบ (Restore Backup)
- 6. Lessons Learned: ถอดบทเรียนเพื่อไม่ให้พลาดซ้ำ
10. Social Engineering Types (หลอกคนไม่ใช่แฮกคอม)
| ประเภท | วิธีการ | ตัวอย่าง |
|---|---|---|
| Phishing | ส่งเมล/เว็บปลอม | Email แจ้งว่าบัญชีถูกระงับ |
| Vishing | โทรศัพท์หลอก (Voice) | แก๊งคอลเซ็นเตอร์ |
| Smishing | ส่ง SMS หลอก | SMS แจ้งกู้เงิน/รับรางวัล |
| Baiting | เอาของล่อ | ทิ้ง Flash Drive ติดไวรัสไว้หน้าบริษัท |
| Tailgating | เดินตามคนมีบัตรเข้าประตู | แกล้งถือของหนักเดินตามพนักงาน |
11. Biometrics Security
การยืนยันตัวตนด้วยลักษณะทางกายภาพ:
| ประเภท | ความแม่นยำ | ข้อควรระวัง |
|---|---|---|
| Fingerprint | สูง | ลอกเลียนแบบได้ (ซิลิโคน) |
| Face Recognition | ปานกลาง-สูง | แฝด/ภาพถ่าย/Deepfake |
| Iris (ม่านตา) | สูงมาก | ราคาสูง |
| Voice | ต่ำ | อัดเสียง/ดัดเสียงได้ |
🎯 จุดออกสอบบ่อย: FAR vs FRR: FAR (รับคนผิด) อันตรายกว่า FRR (ปฏิเสธคนถูก)
12. Network Security เจาะลึก
การรักษาความปลอดภัยของเครือข่ายเป็นส่วนสำคัญของ Cybersecurity
| เทคนิค | คำอธิบาย | การประยุกต์ใช้ |
|---|---|---|
| DMZ (Demilitarized Zone) | เขตกันชนระหว่าง Internet กับ Internal Network | วาง Web Server, Mail Server ไว้ใน DMZ |
| NAT (Network Address Translation) | แปลง Private IP เป็น Public IP | ซ่อน IP ภายในจากโลกภายนอก |
| Port Forwarding | ส่งต่อ Traffic จาก Port หนึ่งไปอีก Port | เข้าถึง Server ภายในจากภายนอก |
| VLAN (Virtual LAN) | แบ่ง LAN ทางตรรกะโดยไม่ต้องใช้สายแยก | แยก Traffic ระหว่างแผนก |
| Network Segmentation | แบ่งเครือข่ายเป็นส่วนๆ | จำกัดวงความเสียหายหากถูกโจมตี |
- Zero Trust Security: ไม่ไว้ใจใครเลยแม้อยู่ในเครือข่าย ต้องยืนยันตัวตนทุกครั้ง
- Defense in Depth: ป้องกันหลายชั้น (Firewall + IDS + Antivirus + User Training)
- Air Gap: ตัดเครือข่ายออกจากกันอย่างสิ้นเชิง (ใช้กับระบบลับสุดยอด)
🎯 จุดออกสอบบ่อย: ข้อสอบมักถาม: DMZ ใช้ทำอะไร? (ตอบ: เป็นเขตกันชนสำหรับวาง Server ที่ต้องเข้าถึงจากภายนอก)
13. Access Control Models (รูปแบบการควบคุมการเข้าถึง)
กฎกติกาในการกำหนดว่าใครเข้าถึงอะไรได้บ้าง
| Model | ชื่อเต็ม | หลักการ | ตัวอย่าง |
|---|---|---|---|
| DAC | Discretionary Access Control | เจ้าของไฟล์กำหนดสิทธิ์เอง | Windows NTFS, Linux chmod |
| MAC | Mandatory Access Control | ระบบกลางกำหนด (ไม่สามารถเปลี่ยนได้) | หน่วยข่าวกรอง, ทหาร (Top Secret) |
| RBAC | Role-Based Access Control | สิทธิ์ตามบทบาทหน้าที่ | พนักงาน HR ดูเงินเดือนได้ |
| ABAC | Attribute-Based Access Control | สิทธิ์ตาม Attribute หลายอย่าง | เข้าได้เฉพาะเวลาทำการ + จาก Office |
⚠️ ข้อควรระวัง: MAC เข้มงวดที่สุดใช้ในหน่วยงานราชการลับ, DAC ยืดหยุ่นที่สุดใช้ใน OS ทั่วไป, RBAC นิยมใช้ในองค์กรธุรกิจ
14. Risk Management (การจัดการความเสี่ยง)
กระบวนการประเมินและจัดการความเสี่ยงด้านความปลอดภัย
- Risk = Threat × Vulnerability × Impact (สูตรพื้นฐาน)
- Risk Assessment: ระบุและประเมินความเสี่ยงที่มีอยู่
- Risk Treatment: วิธีจัดการความเสี่ยง 4 แบบ
| วิธีจัดการ | คำอธิบาย | ตัวอย่าง |
|---|---|---|
| Accept (ยอมรับ) | ยอมรับความเสี่ยงเพราะค่าใช้จ่ายป้องกันสูงกว่า | เว็บส่วนตัวโดนแฮกก็ไม่เสียหายมาก |
| Mitigate (ลด) | ลดความเสี่ยงด้วยมาตรการป้องกัน | ติด Firewall, Antivirus |
| Transfer (โอน) | โอนความเสี่ยงให้คนอื่น | ซื้อประกันภัยไซเบอร์ |
| Avoid (หลีกเลี่ยง) | หยุดทำกิจกรรมที่มีความเสี่ยง | ไม่ให้พนักงานใช้ USB ส่วนตัว |
🎯 จุดออกสอบบ่อย: จำ: Accept=ยอม, Mitigate=ลด, Transfer=โอน, Avoid=หลีก
15. Security Frameworks & Standards
มาตรฐานและกรอบการทำงานด้านความปลอดภัยที่เป็นที่ยอมรับ
| Framework/Standard | องค์กร | เนื้อหาหลัก |
|---|---|---|
| ISO 27001 | ISO | ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) |
| NIST Cybersecurity Framework | NIST (สหรัฐ) | 5 Functions: Identify, Protect, Detect, Respond, Recover |
| PCI DSS | PCI Council | มาตรฐานความปลอดภัยข้อมูลบัตรเครดิต |
| CIS Controls | CIS | 18 ข้อปฏิบัติสำหรับป้องกันภัยไซเบอร์ |
| COBIT | ISACA | กรอบการกำกับดูแล IT |
- องค์กรที่รับบัตรเครดิตต้องผ่าน PCI DSS
- ISO 27001 เป็นมาตรฐานสากลที่ได้รับการยอมรับมากที่สุด
- NIST CSF ใช้กันมากในหน่วยงานภาครัฐสหรัฐ
16. Disaster Recovery & Business Continuity
การวางแผนให้องค์กรสามารถดำเนินธุรกิจต่อไปได้แม้เกิดเหตุร้ายแรง
| คำศัพท์ | ความหมาย |
|---|---|
| BCP (Business Continuity Plan) | แผนให้ธุรกิจดำเนินต่อได้แม้เกิดเหตุ |
| DRP (Disaster Recovery Plan) | แผนกู้คืนระบบ IT หลังเกิดภัยพิบัติ |
| RPO (Recovery Point Objective) | ข้อมูลย้อนหลังได้นานแค่ไหน (เช่น 4 ชม.) |
| RTO (Recovery Time Objective) | ต้องกู้คืนเสร็จภายในกี่ชั่วโมง (เช่น 24 ชม.) |
| Hot Site | ศูนย์กู้คืนพร้อมใช้ทันที (แพงสุด) |
| Warm Site | มีอุปกรณ์พร้อม แต่ต้องตั้งค่า (ราคากลาง) |
| Cold Site | มีแค่พื้นที่ ต้องขนอุปกรณ์มา (ถูกสุด) |
🎯 จุดออกสอบบ่อย: ข้อสอบมักถาม: Hot Site vs Cold Site ต่างกันอย่างไร? (ตอบ: Hot พร้อมใช้ทันที, Cold ต้องติดตั้งเอง)