Zero Trust Identity

Verizon DBIR รายงานต่อเนื่องหลายปีว่าการโจมตีที่สำเร็จในสัดส่วนที่สูงเริ่มจากการ compromise identity ไม่ว่าจะผ่าน phishing, credential stuffing หรือ token theft บทนำนี้ชี้ให้เห็นว่า identity ได้กลายเป็น perimeter ใหม่ขององค์กรยุค cloud-first และอธิบายเหตุผลที่ Zero Trust identity ไม่ใช่ทางเลือก แต่เป็นพื้นฐานที่ทุก control อื่น ๆ วางทับอยู่ ตั้งแต่ MFA ที่ทน phishing, PAM, ITDR จนถึง session-based authorization

 

กรณี Scattered Spider โจมตี MGM Resorts และ Caesars Entertainment ในปี 2566 การรั่วไหลของ Snowflake ในปี 2567 และการโจมตี Okta ในปี 2566 แสดงให้เห็นว่าผู้โจมตีที่มีประสิทธิภาพสูงไม่จำเป็นต้องใช้ zero-day แต่อาศัยเทคนิค social engineering และ credential theft เพื่อเข้าถึง identity provider แล้วจึงขยายสิทธิ์ไปยังทรัพยากรที่ต้องการ

 

ในบริบทของประเทศไทย สถาบันการเงินและหน่วยงานภาครัฐจำนวนหนึ่งยังคงใช้ SMS OTP เป็นกลไก MFA หลัก ซึ่งเป็น factor ที่ CISA ระบุว่าไม่ทนต่อ phishing สมัยใหม่อีกต่อไป ขณะเดียวกันรายงานของ BetterCloud ระบุว่าองค์กรขนาดกลาง-ใหญ่ใช้ SaaS เฉลี่ยในหลักหลายสิบถึงเกือบร้อยบริการต่อองค์กร ทำให้การควบคุม identity แบบ silo ของแต่ละระบบไม่ครอบคลุมพื้นที่การโจมตีที่เพิ่มขึ้นอย่างรวดเร็ว

 

75%

ของเหตุการณ์ที่ CrowdStrike ตรวจพบในรอบปี ไม่มีการใช้ malware ในขั้นตอนแรก ผู้โจมตีใช้ credential ที่ถูกต้อง

 

มากกว่า 1 ใน 3

ของเหตุการณ์ข้อมูลรั่วเกี่ยวข้องกับการใช้ credential ที่ถูกขโมยหรือใช้ในทางที่ผิด (Verizon DBIR 2024)

 

3 เสา

ของกรอบที่ Series H ใช้วางสถาปัตยกรรม identity ขององค์กร

 

คู่มือเล่มนี้แบ่งออกเป็น 7 บท เรียงลำดับจากพื้นฐานความรู้ความเข้าใจในภัยคุกคาม ไปจนถึงการวางกลยุทธ์ การลงมือปฏิบัติ และการวัดผล แต่ละบทจะสรุปแนวคิดหลัก ศัพท์สำคัญ และข้อควรทำจริงให้อ่านเข้าใจได้โดยไม่ต้องมีพื้นฐานเทคนิคมาก่อน

 

 

CHAPTER ONE · THE LANDSCAPE

 

 

กลุ่มผู้โจมตีที่มุ่งเป้าที่ identity ได้แก่ Scattered Spider (UNC3944) ที่ใช้ social engineering + SIM swap + MFA fatigue, APT กลุ่มจีนเช่น Storm-0558 ที่ขโมย signing key ของ Microsoft เพื่อสร้าง forged token, และกลุ่ม financially-motivated ที่ใช้ infostealer (RedLine, Lumma, Vidar) เพื่อขโมย cookie และ session token

 

“Identity compromise ไม่ได้เริ่มจากการ hack แต่เริ่มจาก login ที่ดูปกติด้วย credential ที่ถูกขโมย”

 

 

CHAPTER TWO · THE MFA

 

 

FIDO2 (WebAuthn) และ Passkey เป็นมาตรฐาน authentication ที่ใช้ public-key cryptography แทน shared secret ทำให้ไม่สามารถถูก phishing ได้ เพราะ credential ผูกกับ domain ของ website จริง — ถ้าผู้ใช้ถูก phishing ไปยัง look-alike domain, browser จะไม่ยอมใช้ credential นั้น การ deploy hardware security key (YubiKey, Titan) สำหรับ privileged account และ passkey บน mobile device สำหรับ general user เป็น architecture ที่ใช้ได้

 

“MFA ที่ใช้ SMS ไม่ใช่ MFA ในปี 2569 — มันคือ security theater”

 

 

CHAPTER THREE · THE PRIVILEGE

 

 

Privileged Access Management (PAM) มี 3 ส่วนหลัก — Vault ที่เก็บ credential ของ privileged account, Session Management ที่ broker การเข้าใช้งานและ record session, และ Approval Workflow ที่บังคับให้ต้องมี approver ก่อนใช้ credential ระดับสูง เครื่องมืออย่าง CyberArk, Delinea, BeyondTrust, HashiCorp Boundary เป็นตัวเลือกหลัก

 

“PAM ที่ไม่ถูกใช้ = งบประมาณที่ทิ้งลงน้ำ”

 

 

CHAPTER FOUR · THE JUST-IN-TIME

 

 

Just-in-Time (JIT) Access คือแนวคิดที่ให้สิทธิ์เฉพาะเมื่อต้องการ และ revoke อัตโนมัติเมื่อหมดเวลา ทำให้ไม่มี user ที่ถือสิทธิ์ระดับสูงตลอดเวลา Azure PIM, AWS IAM Identity Center, และ Google Workspace Context-Aware Access เป็น native tool ที่ช่วย implement JIT

 

การออกแบบ JIT ที่ทำงานได้ต้องมี 3 องค์ประกอบ — approval policy ที่กำหนดว่าใครต้องอนุมัติสำหรับแต่ละ role, max duration ที่จำกัดช่วงเวลาที่สิทธิ์ถูกใช้ได้ (ปกติ 4–8 ชั่วโมง), และ audit trail ที่บันทึกการใช้งานทุกครั้ง — ใครขอ, ใครอนุมัติ, ทำอะไร, เสร็จเมื่อไหร่

 

“Standing privilege ที่ไม่จำเป็นคือ attack surface ที่ย้อมสี”

 

 

CHAPTER FIVE · THE DETECTION

 

 

ITDR เป็น category ใหม่ที่ Gartner ระบุในปี 2565 — เป็นการ detect, investigate และ respond ต่อ threat ที่ระดับ identity เช่น unusual sign-in, token theft, privilege escalation, lateral movement across tenant เครื่องมือ ITDR ได้แก่ Microsoft Defender for Identity, Semperis DSP, Crowdstrike Falcon Identity Protection และ Silverfort

 

“ITDR จับสิ่งที่ SIEM มองไม่เห็น — พฤติกรรมของ identity ที่ดูถูกต้องแต่ผิดบริบท”

 

 

CHAPTER SIX · THE NON-HUMAN

 

 

ในองค์กรสมัยใหม่ที่มี microservice, Kubernetes, cloud automation จำนวน non-human identity (NHI) มักมากกว่ามนุษย์หลายเท่าถึงหลายสิบเท่า (CyberArk Identity Security Threat Landscape Report) ได้แก่ service account, API key, OAuth token, certificate, SSH key การจัดการ NHI ที่ดีต้องมี inventory ครบถ้วน, lifecycle ที่ชัดเจน (ออก-หมุน-เพิกถอน), และ policy ที่จำกัดขอบเขตการใช้งาน (IP restriction, time restriction)

 

“ในองค์กรสมัยใหม่ identity ส่วนใหญ่ไม่ใช่มนุษย์ — แต่ security control ส่วนใหญ่ยังมุ่งไปที่มนุษย์”

 

 

CHAPTER SEVEN · THE OFFBOARDING

 

 

Offboarding ที่มีประสิทธิภาพต้องเกิดขึ้นภายในไม่กี่ชั่วโมงหลังจากพนักงานออก ไม่ใช่หลายวันหรือหลายสัปดาห์ ขั้นตอนต้องครอบคลุม — disable IdP account, revoke all SSO session, remove from groups, disable MFA devices, revoke API key ที่ issue ให้, remove from shared mailbox, และ archive mailbox/drive สำหรับการสืบสวนในอนาคต

 

“Offboarding ที่ล่าช้าคือ insider threat ที่ไม่มีใครรับผิดชอบ”

 

 

การลงทุนใน identity security ในปี 2569 ไม่ใช่ทางเลือก — เป็นข้อกำหนดขั้นพื้นฐานสำหรับองค์กรทุกขนาด การวาง zero trust identity architecture ที่ต่อยอดไปถึง PAM ที่ใช้งานได้จริง และ ITDR capability ที่จับภัยคุกคามที่ระดับ identity คือรากฐานของ security program ในยุคที่ perimeter แบบเดิมไม่มีแล้ว

 

หากท่านต้องการเนื้อหาฉบับเต็มที่ครอบคลุมทุกบท พร้อมแนวปฏิบัติเชิงเทคนิค ตัวอย่าง workflow และคำศัพท์เฉพาะทาง กดตาม URL นี้เพื่อดาวน์โหลด: