Menu
Request Free Security Consult

Business

CSA CCM เช็คลิสต์เดียว ทำ Cloud Security ได้แทบครบทุกมาตรฐานสากล ISO 27001, NIST, SOC2 จนถึงยุค AI

Leave a Comment / Business, Certifications, Cloud Computing, Technology

หน้าที่หลักของการเป็นที่ปรึกษาด้านไซเบอร์ หรือแม้แต่ Pentester ก็คือการวิเคราะห์และช่วยวางมาตรการควบคุมความเสี่ยง (ของช่องโหว่) ให้อยู่ในระดับที่ยอมรับได้

(ถึงขู่กันว่าจุดที่ยากที่สุดของการทดสอบเจาะระบบ คือการทำรายงานให้ลูกค้านำไปใช้ควบคุมความเสี่ยงที่ตรวจพบได้มีประสิทธิภาพ เป็นประโยชน์มากที่สุด จนแทบลบคำปรามาสที่ถามกันว่า ทำไมเพนเทสต้องมีความรู้ระดับใบประกาศ CISSP หรือ CISM ที่ให้คำปรึกษาในการจำกัดความเสี่ยงตามความต้องการโดยรวมขององค์กรได้)

และ pain point ที่องค์กรทั้งหลายในยุคคลาวด์ มาจนถึงยุค AI ตอนนี้เจอก็คือ สารพัดมาตรฐานและกฎหมายที่นำมาใช้อ้างอิงการควบคุมความเสี่ยง แต่รู้ไหม มีเช็คลิสต์มาตรฐานที่ได้รับการยอมรับหนึ่งเดียวที่ทำได้ก็ถือว่าครบแทบทุกมาตรฐานเลย ก็คือ Cloud Control Matrix version 4.1 ของ Cloud Security Alliance ที่ขนาดไทยยังให้การยอมรับในประกาศมาตรฐานความปลอดภัยบนคลาวด์แทน ISO ต่างๆ ครับ

CSA CCM เช็คลิสต์เดียว ทำ Cloud Security ได้แทบครบทุกมาตรฐานสากล ISO 27001, NIST, SOC2 จนถึงยุค AI Read More »

CSA Egregious 11: มุมมองความเสี่ยงบน Cloud ที่องค์กรส่วนใหญ่มองข้าม

Leave a Comment / Business, Cloud Computing, Software Management, Technology, web development

เมื่อพูดถึงการจัดอันดับความเสี่ยงด้านความปลอดภัยไซเบอร์ของระบบยอดนิยม หลายองค์กรจะคุ้นเคยกับรายการจาก OWASP เช่น OWASP Top 10 สำหรับ Web Application รวมถึงรายการย่อยอื่น ๆ เช่น API, Mobile Application หรือแม้แต่ระบบยุคใหม่อย่าง LLM และ Agentic Applications

รายการเหล่านี้มีบทบาทสำคัญในการเป็น “baseline” สำหรับทั้ง ฝั่งนักพัฒนา (Developer) ฝั่งป้องกัน (Blue Team) และฝั่งทดสอบเจาะระบบ (Penetration Tester) เพื่อใช้ประเมินและลดความเสี่ยงโดยอิงจากสถิติและความรุนแรง (Criticality) ของช่องโหว่ในระดับสากล แล้วความเสี่ยงที่ “ไม่ใช่ Web Application” โดยเฉพาะใน Cloud Infrastructure ล่ะ?

CSA Egregious 11: มุมมองความเสี่ยงบน Cloud ที่องค์กรส่วนใหญ่มองข้าม Read More »

Shift Left ด้วย Threat Modeling หยุดช่องโหว่ร้ายแรงที่จะบานตอน Pentest ด้วย ASTRIDE ที่ครอบคลุม AI ไปพร้อมกัน

Leave a Comment / Business, Software Management, Technology, web development

องค์กรที่ต้องเร่งส่งมอบระบบให้ทันธุรกิจ สิ่งที่เกิดขึ้นซ้ำๆ คือการโฟกัสไปที่ QA Testing เพื่อให้ “ระบบใช้งานได้” มากกว่าการออกแบบให้ “ระบบปลอดภัยตั้งแต่ต้น” ผลลัพธ์คือแม้จะผ่าน Functional Test ได้ครบ แต่เมื่อถึงรอบ Penetration Testing กลับพบช่องโหว่ระดับ Critical จำนวนมาก และในทางปฏิบัติ ทีมจำนวนไม่น้อยเลือก “รับความเสี่ยง” แทนการแก้ไข ยิ่งยุค AI ที่ทั้งต้องทำแอพ AI และต้องโกไลฟ์ให้เร็วที่สุดด้วยแล้ว?

Shift Left ด้วย Threat Modeling หยุดช่องโหว่ร้ายแรงที่จะบานตอน Pentest ด้วย ASTRIDE ที่ครอบคลุม AI ไปพร้อมกัน Read More »

เคล็ดไม่ลับทำโครงการ Pentest ให้สำเร็จตามแผน

เคล็ดไม่ลับ: ทำโครงการ Penetration Testing ให้สำเร็จตามแผนอย่างมืออาชีพ

Leave a Comment / Business, Technology

งานจบ ลูกค้าปิดงานเรียบร้อย ได้งานเร็ว ผู้ให้บริการก็ได้เงินเร็ว ชาวเพนเทสก็ได้ผลงานตาม Manday เร็ว เป็นอุดมคติที่เราต่างอยากได้ แม้จริงๆ มักเจอความท้าทายแทบไม่ซ้ำ

พวกเราที่ทำแต่งานด้านเทคนิคทดสอบ ที่เพนเทสคอยอัพเดทส่งงานให้ Project Manager ตามรอบเท่านั้น หรืออาจจะเข้ามาช่วยทำรายงานสรุป ก็อาจยังไม่เคยมองเห็นภาพรวมของทั้งโปรเจกต์ว่ามีขั้นตอนอะไรบ้าง ใครเข้ามาเกี่ยวข้อง มีความต้องการและคาดหวังอะไรบ้าง

จะดีกว่าไหมถ้าเราชาวเพนเทสรู้วิธีส่งงานให้ Lead รัก PM ชอบ ลูกค้าพอใจ ส่งรายงานทัน โดยกระทบกับระบบของลูกค้าน้อยที่สุด 🤩

เคล็ดไม่ลับ: ทำโครงการ Penetration Testing ให้สำเร็จตามแผนอย่างมืออาชีพ Read More »

AI Prompt Injection Attack ในมุมของ WHITEHAT: เคยเกิดกรณีเสียหายกับธุรกิจจริงหรือไม่? โจมตีในวงกว้างจริงหรือเปล่า?

Leave a Comment / Business, Future, Technology

ปัจจุบันนี้ ข่าวสารเกี่ยวกับเทคโนโลยี AI ใหม่ๆ รวมถึงเทคนิคการโจมตีและการป้องกัน AI ได้รับการเผยแพร่อัปเดตแทบจะทุกวัน แต่ในฐานะผู้ที่คลุกคลีในวงการ ท่านเคยได้รับทราบข่าวความเสียหายที่เกิดขึ้นจริงจังบ้างหรือไม่? ความเสียหายที่รุนแรงและจับต้องได้ เช่น รายงานบริการคลาวด์ล่มทั่วโลก หรือข้อมูลรั่วไหลจริง ซึ่งมีสาเหตุหลักจากการโจมตี AI โดยตรง มีการโจมตีในวงกว้างที่กลายเป็นข่าวจริงให้เราได้ยินในช่วง 2-3 เดือนล่าสุดนี้บ้างหรือไม่?   คำถามสำคัญคือ: เราควรให้ความสำคัญกับการศึกษาด้าน AI Security (หรือ Security for AI) มากน้อยแค่ไหน ในเมื่อเทคโนโลยีมีการเปลี่ยนแปลงอย่างรวดเร็วถึงเพียงนี้?   รากฐานของความกังวล: LLM และความเสี่ยงจากการเรียนรู้   ตลอดระยะเวลากว่าสามปี นับตั้งแต่ ChatGPT เปิดตัวเมื่อปลายปี 2022 ทั่วโลกได้รู้จักกับนวัตกรรม AI รูปแบบใหม่ที่เรียกว่า Large Language Model (LLM) โมเดลภาษาที่ทำงานโดยการทำความเข้าใจข้อความที่ผู้ใช้ป้อนเข้ามา (Prompt) แล้วนำไปย่อยเป็นหน่วยย่อยที่เรียกว่า Token (เวกเตอร์ทางคณิตศาสตร์) เพื่อใช้ในการคำนวณหาความน่าจะเป็นของ Token คำถัดไป โดยอาศัยการเปรียบเทียบจากฐานข้อมูล Parameter ขนาดมหาศาลที่โมเดลได้เรียนรู้มา

AI Prompt Injection Attack ในมุมของ WHITEHAT: เคยเกิดกรณีเสียหายกับธุรกิจจริงหรือไม่? โจมตีในวงกว้างจริงหรือเปล่า? Read More »