Search
A
A
A
Home
Cybersecurity

Cybersecurity

ข่าวและบทความที่เกี่ยวข้อง

Related news and articles

PostType Filter En

บทความ
Big Data 101
AI Governance: เข็มทิศนำทางสู่ปัญญาประดิษฐ์ที่น่าเชื่อถือ
ในยุคที่ปัญญาประดิษฐ์ (AI) เข้ามามีบทบาทสำคัญต่อการดำเนินธุรกิจและการใช้ชีวิตประจำวัน เราจำเป็นต้องเข้าใจว่า AI ไม่ใช่แค่เครื่องมือธรรมดา แต่เป็นเทคโนโลยีที่สามารถใช้งานได้หลากหลาย ส่งผลให้ผู้ใช้มีอิทธิพลต่อผลลัพธ์ที่เกิดขึ้น เปรียบเสมือนกับค้อนที่สามารถใช้ตอกตะปูหรือทำกิจกรรมอื่น ๆ ได้ จึงควรเตรียมความพร้อมและสร้างความเข้าใจให้กับบุคลากรและผู้มีส่วนได้ส่วนเสีย เพื่อป้องกันความเสี่ยงไม่ว่าจะเป็น ความเสี่ยงที่เกิดจากการกระทำโดยเจตนา (Intentional) เช่น Deepfake Scam หรือ Autonomous Weapons และความเสี่ยงที่ไม่ได้เกิดจากความตั้งใจ (Unintentional) เช่น ความผิดพลาดโดยไม่เจตนา หรือภัยธรรมชาติ ซึ่งเป็นปัญหาหลักที่องค์กรควรให้ความสำคัญ โดยรวมถึงข้อมูลที่ AI ใช้ในการเรียนรู้เกิดความลำเอียง (Bias Training Data) AI สร้างข้อมูลหรือเนื้อหาที่ไม่ถูกต้อง ไม่เป็นความจริง หรือไม่สมเหตุสมผล (Hallucination) คำแนะนำหรือการตัดสินใจที่ผิดพลาด ปัญหาลิขสิทธิ์ เป็นต้น โดยเฉพาะอย่างยิ่ง หากท่านผู้อ่านเป็นผู้บริหารแล้ว ควรทำความเข้าใจและจัดการความเสี่ยงจาก AI อย่างรอบด้านผ่านคำถาม ดังนี้ หลักการกำกับดูแล AI (AI Principles) แนวทางในการพัฒนา ใช้งาน และกำกับดูแลเทคโนโลยี AI คำนึงถึงผลกระทบทางจริยธรรม สังคม และกฎหมาย โดยเน้นให้ AI สร้างประโยชน์ต่อมนุษย์และสังคม พร้อมลดความเสี่ยงและผลกระทบเชิงลบที่อาจเกิดขึ้น  ได้แก่ ภาพรวม AI Governance ในระดับสากลและไทย ในระดับสากล โดยเฉพาะสหประชาชาติ (UN) ให้ความสำคัญกับการกำกับดูแล AIโดยเน้นไปที่ สิทธิมนุษยชน จริยธรรม และความยุติธรรม เป็นหลัก ต่างจากสหรัฐอเมริกา ที่ขับเคลื่อนด้วยกลไกตลาด เน้นการแข่งขัน ประสิทธิภาพ และนวัตกรรมมากกว่า จีนเน้นการลงทุนโครงสร้างพื้นฐาน และการควบคุมโดยรัฐ และสหภาพยุโรปเน้นการกำกับดูแลเพื่อปกป้องสิทธิเสรีภาพของประชาชน สำหรับประเทศไทย คาดว่าจะไม่มีการออกกฎหมาย AI ในเร็วๆ นี้ และแนวโน้ม คือการพัฒนามาตรฐานอุตสาหกรรมโดยหลายภาคส่วนร่วมกัน ไม่ใช่แค่รัฐบาลเดียว องค์กรจึงควรแสดงให้เห็นว่าการใช้ AI สอดคล้องกับนโยบายเพื่อหลีกเลี่ยงการถูกมองว่าไม่รับผิดชอบต่อสังคมหรือที่เรียกว่า Social License to Operate และเพื่อประเมินความเสี่ยงของผลิตภัณฑ์ โดยเทียบกับ EU AI Act ที่แบ่งความเสี่ยงเป็น 4 ระดับตามแนวทาง Risk-Based Approach ได้แก่ โดยสิ่งที่สำคัญคือจะต้องใช้แนวทางในการ “อิงตามความเสี่ยง (Risk-Based)” เพื่อให้เข้าใจประเภทของความเสี่ยง (กฎหมาย จริยธรรม การดำเนินงาน) และใช้แนวทาง Integration-Based เพื่อบูรณาการและพิจารณาร่วมกันจากหลาย ๆ ฝ่ายโดยใช้เครื่องมือและกลไกที่หลากหลาย บทสรุป การกำกับดูแล AI ถูกให้ความสำคัญทั้งในระดับสากลและในประเทศไทย โดยมีเป้าหมายเพื่อคุ้มครองสิทธิส่วนบุคคลและสร้างความยุติธรรมในการใช้งาน เทรนด์ทั่วโลกสะท้อนให้เห็นหลายแนวทาง ไม่ว่าจะเป็นการเน้นจริยธรรมและสิทธิมนุษยชนของสหประชาชาติ การขับเคลื่อนด้วยนวัตกรรมในสหรัฐอเมริกา หรือการควบคุมโดยรัฐในจีน ขณะที่สหภาพยุโรปออกกฎหมายเพื่อคุ้มครองเสรีภาพประชาชน สำหรับไทย แม้ยังไม่มีการออกกฎหมาย AI โดยตรง แต่มีแนวโน้มเน้นการพัฒนามาตรฐานร่วมกันจากหลายภาคส่วน องค์กรจึงควรดำเนินงานอย่างโปร่งใสและมีความรับผิดชอบต่อสังคม ควรประเมินความเสี่ยงของ AI ด้วยแนวทางอิงตามความเสี่ยง เพื่อให้มั่นใจว่าสอดคล้องกับมาตรฐานและไม่เกิดผลกระทบเชิงลบ โดยเฉพาะกับระบบที่มีความเสี่ยงสูง ทั้งนี้ การบูรณาการความร่วมมือกับหลายฝ่ายและเลือกใช้เครื่องมือที่เหมาะสมจะช่วยสร้างความเชื่อมั่นในการนำ AI ไปใช้ในสังคมได้อย่างยั่งยืน เอกสารอ้างอิง https://arxiv.org/pdf/2407.01294 https://www.aiaaic.org/aiaaic-repository https://www.theguardian.com/society/article/2024/jun/23/dwp-algorithm-wrongly-flags-200000-people-possible-fraud-error https://doi.org/10.1007/s13347-021-00474-3 https://s41721.pcdn.co/wp-content/uploads/2021/06/Executive-Summary-2022-Report.pdf https://aiindex.stanford.edu/wp-content/uploads/2023/04/HAI_AI-Index-Report_2023.pdf
7 July 2025
Read More

บทความ
Big Data 101
Big Data ผสาน AI Agent: พลังอัจฉริยะสู่เกราะป้องกันภัยไซเบอร์ยุคดิจิทัล 
ในยุคดิจิทัลที่เทคโนโลยีก้าวหน้าอย่างรวดเร็ว ภัยไซเบอร์ได้กลายเป็นความท้าทายสำคัญที่ทั้งองค์กรและบุคคลทั่วไปต้องเผชิญ  การโจมตีที่มีความซับซ้อนและหลากหลายรูปแบบ เช่น แรนซัมแวร์ (Ransomware), ฟิชชิ่ง (Phishing) หรือการบุกรุกเครือข่าย ทำให้มาตรการป้องกันแบบดั้งเดิมไม่เพียงพออีกต่อไป  ด้วยเหตุนี้ ในปี 2025 ได้มีการนำ Big Data และ AI Agent เข้ามาผสานรวมกันเพื่อสร้างระบบรักษาความปลอดภัยที่มีประสิทธิภาพและสามารถตอบสนองแบบเรียลไทม์  บทบาทของ Big Data ในการป้องกันภัยไซเบอร์  Big Data มีบทบาทสำคัญในการป้องกันภัยไซเบอร์โดยการรวบรวมและวิเคราะห์ข้อมูลจำนวนมหาศาลจากหลากหลายแหล่ง ซึ่งรวมถึงข้อมูลจากระบบเครือข่าย, เซ็นเซอร์ความปลอดภัย, กิจกรรมผู้ใช้ และข้อมูลภัยคุกคามทั่วโลก ข้อมูลเหล่านี้ช่วยให้ระบบรักษาความปลอดภัยสามารถทำความเข้าใจรูปแบบการโจมตีที่เปลี่ยนแปลงไปได้อย่างรวดเร็วและแม่นยำยิ่งขึ้น ตัวอย่างเช่น การวิเคราะห์ข้อมูลบันทึก (log) จากเซิร์ฟเวอร์และอุปกรณ์เครือข่ายแบบเรียลไทม์ ทำให้สามารถตรวจจับพฤติกรรมที่ผิดปกติซึ่งอาจบ่งชี้ถึงการบุกรุก หรือการแพร่ระบาดของมัลแวร์ได้อย่างรวดเร็ว  AI Agent: ตัวกระทำอัจฉริยะในโลกของปัญญาประดิษฐ์  AI Agent (ตัวแทนปัญญาประดิษฐ์) หมายถึง ระบบหรือโปรแกรมที่สามารถรับข้อมูลจากสิ่งแวดล้อม (Input) ประมวลผลเพื่อวิเคราะห์สถานการณ์ และดำเนินการตอบสนอง (Action) ตามวัตถุประสงค์ที่กำหนดไว้โดยอัตโนมัติ โดยไม่จำเป็นต้องมีมนุษย์ควบคุมตลอดเวลา  AI Agent โดยทั่วไปจะประกอบด้วยองค์ประกอบหลัก 3 ส่วน ได้แก่  AI Agent ถูกนำไปใช้งานในหลากหลายบริบท ไม่ว่าจะเป็นหุ่นยนต์ในสายการผลิตที่สามารถทำงานซ้ำ ๆ ได้อย่างแม่นยำ ผู้ช่วยเสมือน (Virtual Assistant) เช่น Siri หรือ Alexa ที่สามารถโต้ตอบและช่วยจัดการงานต่าง ๆ ให้กับผู้ใช้ ระบบแนะนำสินค้าในแพลตฟอร์มอีคอมเมิร์ซที่ช่วยวิเคราะห์พฤติกรรมผู้บริโภคเพื่อเสนอสินค้าที่ตรงความต้องการ และหนึ่งในบริบทที่มีความสำคัญอย่างยิ่งคือ การนำ AI Agent มาใช้ในด้านการรักษาความปลอดภัยทางไซเบอร์  AI Agent กับการตอบสนองภัยไซเบอร์แบบอัตโนมัติ  ในบริบทของความปลอดภัยทางไซเบอร์ AI Agent คือระบบปัญญาประดิษฐ์ที่ได้รับการออกแบบให้สามารถตรวจจับ วิเคราะห์ และตอบสนองต่อภัยคุกคามได้โดยอัตโนมัติ ภายในปี 2025 เทคโนโลยี AI Agent มีความสามารถก้าวหน้าอย่างมาก โดยสามารถเรียนรู้จากข้อมูลขนาดใหญ่ (Big Data) เพื่อนำไปสู่การตรวจจับภัยคุกคามรูปแบบใหม่ที่ไม่เคยปรากฏมาก่อน (Zero-day threats) ได้อย่างมีประสิทธิภาพ  AI Agent สามารถดำเนินการตอบสนองได้แบบเรียลไทม์ ไม่ว่าจะเป็นการบล็อกการโจมตีก่อนเกิดความเสียหาย การแจ้งเตือนผู้ดูแลระบบทันทีเมื่อพบพฤติกรรมที่ผิดปกติ หรือแม้กระทั่งการตอบสนองเชิงรุกโดยไม่ต้องรอคำสั่งจากมนุษย์ ความสามารถเหล่านี้ช่วยลดภาระของทีมรักษาความปลอดภัย และเสริมสร้างความสามารถขององค์กรในการป้องกันและรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพมากยิ่งขึ้น  การใช้ Big Data และ AI Agent ร่วมกันสร้างระบบป้องกันภัยไซเบอร์ที่ยืดหยุ่นและทันสมัย  การผสานศักยภาพของ Big Data เข้ากับความสามารถของ AI Agent ได้กลายเป็นกลยุทธ์สำคัญในการพัฒนาระบบรักษาความปลอดภัยทางไซเบอร์ในยุคปัจจุบัน โดย Big Data มีบทบาทในการจัดเก็บและวิเคราะห์ข้อมูลขนาดใหญ่ที่มีความหลากหลายและซับซ้อนอย่างมีประสิทธิภาพ ขณะที่ AI Agent ทำหน้าที่เรียนรู้จากข้อมูลเหล่านั้น เพื่อนำมาใช้ในการคาดการณ์ ตรวจจับ และตอบสนองต่อภัยคุกคามได้อย่างชาญฉลาดและทันท่วงที  นอกจากนี้ แนวโน้มสำคัญที่กำลังได้รับความสนใจ คือการพัฒนา AI Agent ให้ทำงานร่วมกันในรูปแบบของ Multi-agent System ซึ่งเป็นเครือข่ายของเอเจนต์อัจฉริยะที่สามารถแบ่งหน้าที่ ประสานการทำงาน และตัดสินใจร่วมกันในลักษณะกระจายศูนย์ (Distributed) โครงสร้างแบบนี้ช่วยเพิ่มขีดความสามารถในการเฝ้าระวังและตอบสนองต่อภัยคุกคามจากหลายจุดในเวลาเดียวกัน จึงเหมาะสมอย่างยิ่งสำหรับองค์กรที่มีระบบโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศขนาดใหญ่และซับซ้อน  เทคนิคที่ใช้ในการพัฒนา AI Agent สำหรับป้องกันภัยไซเบอร์  การพัฒนา AI Agent สำหรับรับมือกับภัยคุกคามไซเบอร์จำเป็นต้องอาศัยเทคนิคขั้นสูงที่สามารถวิเคราะห์ข้อมูลจำนวนมาก เรียนรู้พฤติกรรม และตัดสินใจตอบสนองได้อย่างแม่นยำและรวดเร็ว โดยเทคนิคที่นิยมใช้มีหลายรูปแบบ ซึ่งแต่ละเทคนิคมีจุดเด่นที่เหมาะสมกับสถานการณ์และลักษณะของภัยคุกคามที่แตกต่างกัน โดยจะขอยกตัวอย่าง ดังนี้  เทคนิคการเรียนรู้แบบมีผู้สอน (Supervised Learning) อาศัยชุดข้อมูลที่มีการระบุผลลัพธ์ล่วงหน้า (labeled data) เช่น ข้อมูลเหตุการณ์ด้านความปลอดภัยที่ถูกจัดประเภทว่าเป็นภัยคุกคามหรือไม่ AI Agent จะเรียนรู้จากรูปแบบที่พบในข้อมูลเหล่านี้ และสามารถนำไปใช้จำแนกเหตุการณ์ใหม่ในอนาคตได้อย่างแม่นยำ ตัวอย่างการประยุกต์ใช้งาน ได้แก่ การตรวจจับอีเมลฟิชชิ่ง (Phishing Detection) และการวิเคราะห์ทราฟฟิกเครือข่ายเพื่อกรองกิจกรรมที่มีความผิดปกติ  รูปที่ 1 Supervised Learning (Source: https://medium.com/@dhara732002/supervised-machine-learning-a-beginners-guide-9ac0b07eccbb)  เทคนิคการเรียนรู้แบบไม่มีผู้สอน (Unsupervised Learning) มีหลักการที่แตกต่างจาก Supervised Learning โดยไม่ใช้ข้อมูลที่มีการระบุผลลัพธ์ล่วงหน้า (unlabeled data) แต่ให้ AI Agent ค้นหารูปแบบหรือโครงสร้างในข้อมูลด้วยตนเอง เทคนิคนี้เหมาะสำหรับการวิเคราะห์ข้อมูลจำนวนมากที่ไม่มีการจัดประเภทล่วงหน้า โดยเฉพาะในสถานการณ์ที่ภัยคุกคามมีพฤติกรรมแปลกใหม่และไม่เคยปรากฏมาก่อน  ตัวอย่างการใช้งาน ได้แก่ การใช้เทคนิค Clustering เพื่อจัดกลุ่มพฤติกรรมที่คล้ายกัน และการประยุกต์ใช้ Anomaly Detection เพื่อระบุเหตุการณ์หรือทราฟฟิกที่เบี่ยงเบนจากพฤติกรรมปกติของระบบ ซึ่งอาจเป็นสัญญาณของการโจมตีหรือกิจกรรมที่มีความเสี่ยง  รูปที่ 2 Unsupervised Learning  (Source: https://www.mathworks.com/discovery/unsupervised-learning.html)  Reinforcement Learning เป็นเทคนิคที่ช่วยให้ AI Agent สามารถเรียนรู้จากประสบการณ์โดยอาศัยกลไกของการทดลองและการได้รับรางวัล (trial-and-error with reward signals) ระบบจะทดลองดำเนินการตอบสนองต่อภัยคุกคามในรูปแบบต่าง ๆ และปรับปรุงกลยุทธ์ของตนเองอย่างต่อเนื่อง โดยมีเป้าหมายเพื่อเพิ่มผลลัพธ์ที่ต้องการให้สูงที่สุด  เทคนิคนี้เหมาะอย่างยิ่งสำหรับสถานการณ์ที่มีความซับซ้อนและเปลี่ยนแปลงตลอดเวลา เช่น การจัดการเหตุการณ์แบบหลายขั้นตอน (multi-step attacks) การควบคุมแบบไดนามิก หรือการตอบสนองต่อภัยคุกคามอย่างอัตโนมัติตามนโยบายด้านความปลอดภัยขององค์กร โดยไม่ต้องพึ่งพาการป้อนข้อมูลตัวอย่างจำนวนมากล่วงหน้าเหมือนในเทคนิคแบบ Supervised  รูปที่ 3 Reinforcement Learning  (Source: https://www.enterrasolutions.com/is-reinforcement-learning-the-future-of-artificial-intelligence)  Natural Language Processing (NLP) เป็นเทคนิคที่ช่วยให้ AI Agent สามารถเข้าใจและประมวลผลข้อมูลในรูปแบบข้อความ ซึ่งถือเป็นองค์ประกอบสำคัญในการวิเคราะห์ข้อมูลที่ไม่เป็นโครงสร้าง (unstructured data) โดยเฉพาะในงานด้านความปลอดภัยไซเบอร์ที่เกี่ยวข้องกับอีเมล เอกสาร รายงาน หรือข้อความจากแหล่งข่าวกรองภัยคุกคาม  ตัวอย่างการประยุกต์ใช้งาน ได้แก่ การวิเคราะห์เนื้อหาในอีเมลเพื่อระบุความเสี่ยงจากฟิชชิ่ง การสกัดข้อมูลภัยคุกคามจากรายงานเชิงเทคนิคหรือโพสต์ในฟอรั่มของแฮกเกอร์ และการสร้างระบบแจ้งเตือนอัตโนมัติจากข้อมูล Threat Intelligence ที่อยู่ในรูปแบบข้อความ ความสามารถของ NLP ช่วยให้ AI Agent เข้าใจเจตนา วิเคราะห์บริบท และสรุปสาระสำคัญจากข้อความเหล่านั้นได้อย่างมีประสิทธิภาพ  รูปที่ 4 Natural Language Processing  (Source: https://amazinum.com/insights/what-is-nlp-and-how-it-is-implemented-in-our-lives/)  ความท้าทายในอนาคต  แม้ว่าการผสานเทคโนโลยี Big Data เข้ากับ AI Agent จะช่วยยกระดับศักยภาพในการป้องกันภัยคุกคามทางไซเบอร์ได้อย่างมีนัยสำคัญ แต่อนาคตยังคงเต็มไปด้วยความท้าทายทั้งในด้านเทคนิค ปฏิบัติการ และจริยธรรม ซึ่งองค์กรจำเป็นต้องให้ความสำคัญอย่างรอบด้าน ดังนี้:  แฮกเกอร์และกลุ่มอาชญากรไซเบอร์ยังคงพัฒนาเทคนิคการโจมตีรูปแบบใหม่อย่างไม่หยุดยั้ง อาทิ การใช้ AI...
16 June 2025
Read More

บทความ
BDI ร่วมเสนอแนวทางการปกป้องข้อมูลและความมั่นคงไซเบอร์ในยุค AI ในงาน Accelerate Asia 2025
27 พฤษภาคม 2568, กรุงเทพฯ – รศ. ดร.ธีรณี อจลากุล ผู้อำนวยการสถาบันข้อมูลขนาดใหญ่ (BDI) ได้รับเกียรติร่วมเสวนาพิเศษในงาน Accelerate Asia 2025 – Thailand Edition ร่วมกับ พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ, ดร. รัฐิติ์พงษ์ พุทธเจริญ Senior Manager, Systems Engineering, Fortinet และ นายกระมล พูลเกษ รองกรรมการผู้จัดการ สายงาน Intelligence Engineering & Data Technology  บริษัท กสิกร บิซิเนส-เทคโนโลยี กรุ๊ป ภายใต้หัวข้อ “Fortifying National Cybersecurity and Data Protection in the Era of AI-Driven Threats” จัดโดยบริษัท ฟอร์ติเน็ต ดีเอ็นทีซีเน็ตเวิร์ค (ประเทศไทย) จำกัด ณ ห้อง แกรนด์ บอลลูม โรงแรมอีสตินแกรนด์พญาไท กรุงเทพมหานคร ในเวทีเสวนาครั้งนี้ ผู้อำนวยการ BDI ได้เน้นย้ำว่า แม้การลงทุนด้าน AI จะเป็นแนวโน้มสำคัญ แต่หากไม่มีข้อมูลที่พร้อมใช้งาน และไม่มีกรอบธรรมาภิบาลข้อมูลที่ชัดเจน การลงทุนเหล่านั้นอาจไม่คุ้มค่าในระยะยาว พร้อมเสนอว่าองค์กรควรมีเทคโนโลยีที่สามารถตรวจสอบ ยืนยัน และคัดแยกข้อมูลส่วนบุคคล (personal data) ออกจากข้อมูลที่เป็นบุคคล (personnel data) ได้อย่างแม่นยำ เช่น การดึงข้อมูลส่วนบุคคลออกจากข้อมูลการประเมินผลการปฏิบัติงาน เป็นต้น เพื่อให้สามารถปกป้องข้อมูลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ผอ. BDI ยังกล่าวถึงแนวทางการจัดการข้อมูลแบบเปิด (open data) โดยยกตัวอย่างกรณีของการพัฒนาโครงสร้างพื้นฐานปัญญาประดิษฐ์สำหรับภาษาไทย หรือ ThaiLLM ซึ่ง BDI ร่วมมือกับพันธมิตร 6 หน่วยงานกำลังดำเนินการรวบรวมข้อมูลจากหนังสือที่หมดลิขสิทธิ์แล้วจากหอสมุดแห่งชาติ หรือข้อมูลจากภาครัฐที่ไม่อยู่ในชั้นความลับ เช่น กฎหมายที่ได้รับการเผยแพร่ผ่านราชกิจจานุเบกษา หรือเอกสารต่างๆ จากกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเพื่อใช้ในการฝึก AI อย่างถูกต้องตามหลักจริยธรรม “Data Bank ที่ดีไม่ควรมีชั้นความลับมากเกินไปโดยไม่จำเป็น โดยเฉพาะหากเป็นข้อมูลที่สามารถเปิดเผยได้ ควรทำให้เป็น Open Data เพื่อให้หน่วยงานต่างๆ สามารถนำไปต่อยอดได้อย่างมีประสิทธิภาพ” รศ. ดร.ธีรณี กล่าว พร้อมเน้นย้ำว่า หากองค์กรใดดำเนินธุรกิจด้วยการใช้ AI ก็ต้องคำนึงถึงจริยธรรมและธรรมาภิบาลของข้อมูลอย่างเคร่งครัด งานครั้งนี้จัดขึ้นเพื่อเชื่อมโยงผู้เชี่ยวชาญด้าน Cybersecurity, Data Protection และ AI Policy จากหลากหลายภาคส่วน เพื่อแลกเปลี่ยนองค์ความรู้ แนวปฏิบัติ และแนวทางขับเคลื่อนนโยบายระดับประเทศให้สามารถรับมือกับภัยคุกคามทางไซเบอร์ในยุค AI ได้อย่างรอบด้านและยั่งยืน
27 May 2025
Read More

บทความ
Big Data 101
แนวทางการตรวจสอบความปลอดภัยในการพัฒนาแอพพลิเคชั่น ตามรายการจัดอันดับของ OWASP และ MITRE
ปัจจุบันในแต่ละองค์กรมีการใช้งานแอพพลิเคชั่นในแทบทุกส่วนงาน ไม่ว่าจะเป็นแอพพลิเคชั่นที่พัฒนาใช้เองหรือเป็นการใช้บริการจากภายนอก ในการใช้งานแอพพลิเคชั่นต่าง ๆ เหล่านั้น จำเป็นต้องนึกถึงความปลอดภัยอยู่เสมอ เพราะมีข้อมูลที่ถูกจัดเก็บหรือส่งต่อไปในบริการเหล่านั้น โดยเฉพาะอย่างยิ่งถ้าเป็นแอพพลิเคชั่นที่ให้บริการแก่ลูกค้า และต้องการให้ลูกค้ามีความเชื่อมั่นด้วยนั้น ยิ่งต้องมีความจำเป็นที่จะต้องคำนึงถึงความปลอดภัยของระบบที่พัฒนาขึ้น มิฉะนั้นแล้วลูกค้าอาจไม่เชื่อถือหรือมีความกังวลใจในการใช้งาน ส่งผลกระทบให้จำนวนลูกค้าลดลงหรือไม่อยากใช้บริการ การพัฒนาแอพพลิเคชั่นเพื่อใช้งานในองค์กรเอง ก็จำเป็นต้องสร้างความปลอดภัยด้วยเช่นกัน เพราะในปัจจุบันภัยทางไซเบอร์ใกล้ตัวยิ่งกว่าที่คิด มีความหลากหลายและรุนแรงในหลายๆ รูปแบบ หากระบบที่ให้บริการมีจุดอ่อนและช่องโหว่ถูกเปิดเผยจนข้อมูลรั่วไหลหรือถูกเจาะเข้าระบบได้ ก็จะทำให้ส่งผลต่อคนในองค์กร และอาจกระทบต่อระบบอื่น ๆ รวมทั้งธุรกิจขององค์กรเอง ซึ่งอาจแผ่ขยายไปยังส่วนการให้บริการกับภายนอกด้วย ระบบอาจจะต้องหยุดชะงักและใช้เวลาแก้ไข ไม่ว่าจะเป็นกู้ข้อมูลหรือการตอบสนองและรายงานสาเหตุกับลูกค้า สุดท้ายก็จะทำให้เกิดความเสื่อมเสียต่อชื่อเสียงขององค์กร แล้วเราจะทราบได้อย่างไรว่าระบบหรือแอพพลิเคชั่นที่เราพัฒนานั้นได้ป้องกันจุดอ่อนต่าง ๆ ครบถ้วนแล้วหรือยัง? ในปัจจุบันมีการรวบรวมช่องโหว่หรือจุดอ่อนต่าง ๆ ที่มักถูกพบหรือเกิดขึ้นในการพัฒนาแอพพลิเคชั่น ที่เป็นที่ยอมรับและใช้กันเป็นมาตรฐาน โดยสำหรับการพัฒนาแอพพลิเคชั่นได้มีรายการจัดอันดับจุดอ่อนที่พบบ่อยในการพัฒนา เพื่อเป็นแนวทางให้กับนักพัฒนา หรือนักออกแบบระบบ หรือผู้ดูแลความปลอดภัยให้กับองค์กรได้นำไปใช้ เรียกว่า OWASP Top 10 ซึ่งเป็นรายการความเสี่ยงด้านความปลอดภัยที่มีโอกาสเกิดขึ้นได้มากที่สุด 10 อันดับในการพัฒนาเว็บแอพพลิเคชั่น ซึ่งสอดคล้องกับปัจจุบันที่หลาย ๆ องค์กรนิยมเลือกให้บริการต่าง ๆ ผ่านเว็บ OWASP Top 10 OWASP (Open Web Application Security Project) เป็นกลุ่มองค์กรที่จัดตั้งขึ้นโดยไม่แสวงหาผลกำไร มีเป้าหมายในการทำโปรเจค ทำวิจัย และมาตรฐานต่าง ๆ ด้านความปลอดภัย โดยไม่แบ่งแยกเทคโนโลยีหรือซอฟต์แวร์การค้าใด ๆ และเผยแพร่ผลลัพธ์ต่าง ๆ เช่น เครื่องมือ ผลงานวิจัย ผลการศึกษา และแนวทางหรือมาตรฐานต่าง ๆ ที่สร้างความปลอดภัยทางไซเบอร์ โดยหนึ่งในโปรเจคที่สำคัญคือ OWASP Top 10 เป็นการสรุปรายการความเสี่ยงด้านความปลอดภัยของเว็บแอพพลิเคชั่น ซึ่งได้จัดทำขึ้นมาอย่างต่อเนื่องตั้งแต่เริ่มโครงการเมื่อปี 2003 ซึ่งในปัจจุบันเป็นเวอร์ชั่นปี 2021 ในปี 2021 OWASP จัดอันดับ 10 รายการจุดอ่อนประกอบด้วยหัวข้อดังต่อไปนี้ (รายละเอียดเพิ่มเติม link) นอกจาก OWASP Top 10 แล้ว ยังมีการจัดอันดับจาก CWE Top 25 (Common Weakness Enumeration) อีกด้วย ซึ่งจะครอบคลุมการพัฒนาระบบแอพพลิเคชั่นในทุกแพลตฟอร์ม ไม่จำกัดเฉพาะบนเว็บเท่านั้น CWE Top 25 CWE (Common Weakness Enumeration) เป็นชุดรายการจุดอ่อนที่ถูกค้นพบได้ในทุกระบบ ทั้งฮาร์ดแวร์และซอฟต์แวร์ ซึ่งเป็นโครงการจัดทำและเผยแพร่โดย The MITRE Corporation (MITRE) ซึ่งเป็นหน่วยงานที่รับการสนับสนุนจาก the U.S. Department of Homeland Security (DHS) Cybersecurity และ Infrastructure Security Agency (CISA) ชุดจุดอ่อนที่ว่านี้เป็นได้ทั้งที่เกิดจากการโปรแกรมภายในผิดพลาด ไม่ปลอดภัย หรือมีบัก และถูกรายงานจากนักวิจัย นักพัฒนา หรือนักวิเคราะห์ระบบด้านความปลอดภัยไซเบอร์ที่ค้นพบหรือจากทดสอบจากทั่วโลก ดังนั้นรายการต่าง ๆ นี้จึงถูกรวบรวมและจัดการอัพเดทอยู่โดยสม่ำเสมอ ในปัจจุบันรายการชุดจุดอ่อนมีมากกว่า 600 ชุดรายการ และนอกจากนี้ทาง MITRE ได้มีการจัดทำชุด CWE เฉพาะรายการที่เป็นความผิดพลาดในการพัฒนาหรือช่องโหว่ในซอฟต์แวร์ ซึ่งจัดอันดับเป็นข้อผิดพลาดที่อันตรายที่สุด 25 รายการ (หรือเรียกชื่อเต็มว่า CWE Top 25 Most Dangerous Software Weaknesses) จัดว่าเป็นแนวทางหรือเช็คลิสต์ที่มีประโยชน์อย่างมากสำหรับนักพัฒนาระบบหรือแอพพลิเคชั่น ซึ่งชุดรายการอัพเดทล่าสุดถึงปี 2023 ในปี 2023 CWE Top 25 สำหรับ 10 อันดับแรก มีรายละเอียดดังต่อไปนี้ ส่วนอันดับอื่น ๆ ที่เหลือสามารถศึกษาเพิ่มเติมได้จาก Link จากรายการตัวอย่างทั้ง 10 อันดับ ของ OWASP และ CWE จะเห็นได้ว่ามีส่วนคล้ายคลึงกันอย่างมาก และที่สังเกตได้สิ่งหนึ่งคือ CWE จะมีรายละเอียดช่องโหว่เฉพาะเรื่องหรือจำเพาะเฉพาะส่วนการทำงานหนึ่ง ๆ ในขณะที่ OWASP จะเป็นลักษณะช่องโหว่ที่ครอบคลุมแนวกว้าง เช่น OWASP’s Injections ตรงกันกับ Cross-site Scripting, SQL Injection และ OS Command Injection ของ CWE หรือ OWASP’s Broken Access Control เป็นจุดอ่อนกรณีเดียวกันกับที่กล่าวถึงใน Path Traversal และ CSRF ของ CWE เป็นต้น อีกส่วนที่แตกต่างกันคือ OWASP จะมุ่งเน้นไปในวิธีการสร้างความปลอดภัยบนระบบเว็บแอพพลิเคชั่น ส่วน CWE จะครอบคลุมช่องโหว่ในแนวลึกทุกระดับประเภทซอฟต์แวร์ ไม่ว่าจะเป็น Firmware, System, Application on desktop/web/mobile แต่ไม่ว่าจะเป็น OWASP Top 10 หรือ CWE Top 25 อาจกล่าวได้ว่าสำหรับนักพัฒนาแล้ว ถือเป็นแนวทางที่ช่วยสร้างความเข้าใจ และทำให้มองเห็นช่องโหว่ที่พวกแฮคเกอร์มักนำมาใช้ในการโจมตีได้ชัดเจนขึ้น การทำความคุ้นเคยและปฎิบัติตามแนวทางดังกล่าว นับว่าเป็นสิ่งที่นักพัฒนาควรใส่ใจและตระหนักอยู่เสมอ รวมถึงควรจัดทำให้เป็นมาตรฐานหลักของการพัฒนาแอพพลิเคชั่นภายในองค์กร อย่างไรก็ตามแนวทางเหล่านี้ แม้แต่ OWASP เองก็ให้ข้อคิดเห็นว่าเป็นเพียงแค่ความปลอดภัยขั้นต้นที่ควรมีเป็นอย่างน้อยที่สุดเท่านั้น หรือจุดอ่อนต่าง ๆ ใน CWE ก็สามารถถูกค้นพบได้เพิ่มขึ้นอยู่ตลอดเวลา ดังนั้นแล้วการดูแล อัพเดทข้อมูล และปฎิบัติตามข้อแนะนำของมาตรฐานต่าง ๆ อย่างสม่ำเสมอ จะเป็นวิธีที่เหมาะสมที่จะปกป้องระบบ และข้อมูลทั้งขององค์กรและของลูกค้าให้ปลอดภัยได้ยาวนานที่สุด บทความโดย ธีร์วิช ว่องทวี ตรวจทานและปรับปรุงโดย ดวงใจ จิตคงชื่น Reference: https://owasp.org/Top10 https://www.sans.org/top25-software-errors https://cwe.mitre.org/top25 https://blog.omnetworks.com.np/owasp-top-10-understanding-the-most-critical-application-security-risks https://www.cyfence.com/article/owasp-top-10-2021 https://www.hackerone.com/vulnerability-management/cwe-common-weakness-enumeration-and-cwe-top-25-explained https://www.picussecurity.com/resource/blog/the-most-common-security-weaknesses-cwe-top-25-and-owasp-top-10
21 August 2024
Read More

สถาบันข้อมูลขนาดใหญ่ (องค์การมหาชน)

Big Data Institute (Public Organization)

234/432 Soi Lat Phrao 12, Chomphon, Chatuchak, Bangkok 10900, Thailand

Contact Us

0 2480 8833
saraban@bdi.or.th (For receiving and sending electronic documents)
info@bdi.or.th (For general inquiries)

Quick Link

About Us

© Big Data Institute | Privacy Policy

Web Setting
PDPA Icon

We use cookies to optimize your browsing experience and improve our website’s performance. Learn more at our Privacy Policy and adjust your cookie settings at Settings

Settings Reject Accept
Privacy Preferences

You can choose your cookie settings by turning on/off each type of cookie as needed, except for necessary cookies.

Accept all
Manage Consent Preferences
  • Strictly Necessary Cookies
    Always Active

    This type of cookie is essential for providing services on the website of the Personal Data Protection Committee Office, allowing you to access various parts of the site. It also helps remember information you have previously provided through the website. Disabling this type of cookie will result in your inability to use key services of the Personal Data Protection Committee Office that require cookies to function.
    Cookies Details

  • Performance Cookies

    This type of cookie helps the Big Data Institute (Public Organization) understand user interactions with its website services, including which pages or areas of the site are most popular, as well as analyze other related data. The Big Data Institute (Public Organization) also uses this information to improve website performance and gain a better understanding of user behavior. Although the data collected by these cookies is non-identifiable and used solely for statistical analysis, disabling them will prevent the Big Data Institute (Public Organization) from knowing the number of website visitors and from evaluating the quality of its services.

  • Functional Cookies

    This type of cookie enables the Big Data Institute (Public Organization)’s website to remember the choices you have made and deliver enhanced features and content tailored to your usage. For example, it can remember your username or changes you have made to font sizes or other customizable settings on the page. Disabling these cookies may result in the website not functioning properly.

  • Targeting Cookies

    "This type of cookie helps the Big Data Institute (Public Organization) understand user interactions with its website services, including which pages or areas of the site are most popular, as well as analyze other related data. The Big Data Institute (Public Organization) also uses this information to improve website performance and gain a better understanding of user behavior. Although the data collected by these cookies is non-identifiable and used solely for statistical analysis, disabling them will prevent the Big Data Institute (Public Organization) from knowing the number of website visitors and from evaluating the quality of its services.

Save settings
Privacy Preferences
Name
Strictly Necessary Cookies
Category
Strictly Necessary Cookies
Host
https://bdi.or.th
Duration
1 ปี
Description
Strictly Necessary Cookies