EP9 — Security & Compliance Configuration: ผ่าน Audit แต่ยังไม่ปลอดภัยจริง
“Compliance คือสิ่งที่ auditor เห็น
Security คือสิ่งที่ attacker ใช้โจมตี”
🔹 บทนำ: ทำไมองค์กรที่ “ผ่าน Audit” ยังโดน Incident
หลายองค์กร:
-
ผ่าน ISO 27001
-
มี policy ครบ
-
มี checklist ครบ
-
มีเอกสารพร้อม
แต่ยัง:
-
โดน Ransomware
-
ถูก Data Breach
-
ระบบล่มจาก Misconfiguration
-
ถูกใช้สิทธิ์เกินจำเป็น
คำถามคือ
ทำไมองค์กรที่ compliant แล้ว ยังไม่ secure?
คำตอบมักไม่ได้อยู่ที่เครื่องมือ
แต่อยู่ที่ Security & Compliance Configuration
🔹 Security ≠ Compliance (แต่คนมักเข้าใจผิด)
Compliance คือ
-
ทำตามมาตรฐาน
-
มี policy
-
มี process
-
มี evidence
Security คือ
-
ระบบตั้งค่าปลอดภัยจริง
-
ลด attack surface
-
ป้องกันความเสี่ยงในโลกจริง
Compliance ช่วย “ลดความเสี่ยงเชิงกระบวนการ”
แต่ Security ต้อง “ลดความเสี่ยงเชิงเทคนิค”
🔹 ทำไม Security & Compliance Configuration ถึงถูกลืม
✔ 1) คิดว่าซื้อ tool แล้ว = ปลอดภัย
Firewall, EDR, SIEM, Cloud Security
แต่ใช้ default config
เครื่องมือดี
แต่ configuration ไม่ตรง threat model
✔ 2) ตั้งค่าครั้งเดียว แล้วไม่เคยกลับมาดู
-
OS hardening ตอนติดตั้ง
-
Cloud baseline ตอนเริ่ม project
หลังจากนั้น:
-
ระบบเปลี่ยน
-
user เพิ่ม
-
service เพิ่ม
-
config drift
แต่ baseline ไม่เคยถูกทบทวน
✔ 3) ไม่มีเจ้าของ configuration ชัดเจน
-
System คิดว่า Security ดูแล
-
Security คิดว่า System ตั้งค่า
-
Compliance คิดว่าแค่ต้องมีเอกสาร
สุดท้าย ไม่มีใครรับผิดชอบจริง
✔ 4) ผ่าน audit = หยุดปรับปรุง
Audit กลายเป็น “เส้นชัย”
แทนที่จะเป็น “จุดตรวจระหว่างทาง”
🔹 ตัวอย่างปัญหาที่พบจริงในองค์กร
❌ Logging เปิดไม่ครบ
Policy บอกให้เก็บ log
แต่ระบบจริง:
-
ไม่เก็บ
-
เก็บแต่ไม่ centralize
-
เก็บแต่ไม่มี retention ที่เหมาะสม
❌ Encryption มีเฉพาะในเอกสาร
Policy ระบุ encryption at rest / in transit
แต่ config จริง:
-
Database ไม่ encrypt
-
Backup ไม่ encrypt
-
Internal traffic เป็น plain text
❌ Cloud Security Group เปิดกว้างเกินจำเป็น
ผ่าน audit เพราะ “มี firewall”
แต่เปิด 0.0.0.0/0 โดยไม่มีเหตุผลทางธุรกิจ
❌ Hardening ไม่ตรงกับ workload
ใช้ CIS benchmark แบบ copy-paste
จนระบบพัง หรือ admin ต้องปิด control ทิ้ง
🔹 Configuration Drift: ภัยเงียบที่ Compliance มองไม่เห็น
Configuration Drift คือ:
-
ระบบที่เคย secure
-
แต่ค่อย ๆ เปลี่ยนไปตามเวลา
-
โดยไม่มีใครรู้ตัว
เกิดจาก:
-
Hotfix
-
Temporary change
-
Emergency access
-
Vendor support
-
Human error
Audit มา → snapshot หนึ่งช่วงเวลา
แต่ attacker โจมตี “ทุกวัน”
🔹 Security Configuration ที่ดี ต้องอยู่ตรงกลาง
จุดสมดุลระหว่าง:
-
มาตรฐาน (ISO / NIST / CIS)
-
ความจริงของระบบ
-
ความสามารถของทีม
Security ที่ดี:
-
ไม่ใช่ทำตาม checklist อย่างเดียว
-
แต่ต้องเข้าใจ บริบทของระบบ
🔹 องค์ประกอบของ Security & Compliance Configuration ที่ใช้งานได้จริง
1) Baseline ที่เหมาะกับองค์กร
ไม่ใช่แค่ default หรือ benchmark
แต่เป็น baseline ที่:
-
รองรับ workload
-
เข้าใจ threat model
-
ดูแลได้จริง
2) Configuration Owner ชัดเจน
ใคร:
-
ตั้งค่า
-
อนุมัติ
-
เปลี่ยน
-
rollback
ต้องระบุให้ชัด
3) Evidence ต้องมาจากระบบจริง
ไม่ใช่ screenshot ครั้งเดียว
แต่เป็น:
-
log
-
config export
-
automated report
4) Review & Audit ภายใน
ก่อน auditor มาจริง
องค์กรควร audit ตัวเองก่อน
5) Security ต้องเดินคู่กับ System
Security policy ที่ system ทำไม่ได้
คือ policy ที่ไม่มีค่า
🔹 แนวทางเริ่มต้นสำหรับองค์กรและ SME
-
เลือก control ที่ “เสี่ยงจริง” ก่อน
-
ตรวจ config ที่กระทบระบบหลัก
-
อย่าพยายามทำทุกอย่างพร้อมกัน
-
ลดช่องว่างระหว่างเอกสารกับของจริง
Compliance ที่ดี
ควรช่วยให้ Security ดีขึ้น
ไม่ใช่เพิ่มภาระเอกสาร
🔹 สรุป EP9
Security & Compliance Configuration
ไม่ใช่เรื่องเอกสาร
แต่คือ การตั้งค่าระบบให้ปลอดภัยในโลกจริง
“Audit ผ่าน อาจทำให้สบายใจ
แต่ configuration ที่ดีเท่านั้น
ที่จะทำให้ระบบรอด”
EP9 คืออีกหนึ่งบทสรุปของ
System Security ที่ถูกลืม
ที่องค์กรต้องกลับมาให้ความสำคัญ
ก่อนที่ช่องว่างเล็ก ๆ จะกลายเป็นเหตุการณ์ใหญ่