พิชัยยุทธไซเบอร์ — เรียนรู้ MITRE ATT&CK ผ่านวรรณกรรมสามก๊ก

หนึ่งในความท้าทายที่ยิ่งใหญ่ที่สุดของการสื่อสารด้านความมั่นคงปลอดภัยไซเบอร์ในประเทศไทย คือการทำให้ผู้บริหารและคณะกรรมการเข้าใจภัยที่ทีม IT และ SOC ต้องเผชิญทุกวัน ภัยที่เต็มไปด้วยศัพท์เทคนิคภาษาอังกฤษ ตารางที่ดูซับซ้อน และเฟรมเวิร์กที่อ่านครั้งเดียวจำไม่ได้

 

ECOP CSOC ทีมงานที่ให้บริการ Managed Security Services 24 ชั่วโมงในประเทศไทย พบปัญหานี้กับลูกค้ากลุ่มธนาคาร ประกัน และค้าปลีกมาตลอดหลายปี เมื่อทีม SOC พบ alert ที่ใช้คำว่า Initial Access หรือ Privilege Escalation ผู้บริหารมักหันมาถามว่า หมายความว่าอะไร และส่งผลต่อธุรกิจอย่างไร

 

จากคำถามเหล่านี้เอง จึงเกิดเป็นหนังสือเล่มหนึ่งที่ใช้ชื่อว่า พิชัยยุทธไซเบอร์ — The Cyber Art of War หนังสือที่นำกรอบความรู้ MITRE ATT&CK ทั้ง 14 กลยุทธ์ มาเล่าผ่านเรื่องเล่าจากวรรณกรรมสามก๊กที่คนไทยคุ้นเคย

 

 

พิชัยยุทธไซเบอร์ เป็นหนังสือขนาด 60 หน้า ที่จัดเรียงเนื้อหาตาม Kill Chain ทั้ง 14 ขั้นของ MITRE ATT&CK ตั้งแต่ขั้นการลาดตระเวนก่อนยกทัพ (Reconnaissance) จนถึงขั้นทำลายระบบ (Impact) แต่ละบทไม่ได้นำเสนอด้วยตารางหรือบุลเล็ตยาว ๆ แต่เล่าผ่าน 4 ส่วนต่อบท คือ

 

หนึ่ง เรื่องเล่าจากสามก๊ก ฉากที่ผู้อ่านคนไทยอ่านแล้วเห็นภาพทันที เช่น ขงเบ้งส่องดาวก่อนยกทัพ จิวยี่ยืมลูกศรจากศัตรู เตียวเลี้ยวเข้าเมืองด้วยเกวียนซ่อนทหาร และไฟผาเซ็กเพ็กที่เผาทัพเรือของโจโฉ

 

สอง ภาพในยุคปัจจุบัน ฉากเดิมที่ถูกตีความใหม่ในบริบทไซเบอร์ ผู้โจมตีในยุคนี้ ส่อง บริษัทคุณผ่าน LinkedIn และ Shodan แทนที่จะส่องดาว ผู้โจมตี ยืมลูกศร จากตลาด dark web แทนที่จะใช้เรือฟางในหมอก และ เผาเมือง ด้วย ransomware แทนที่จะใช้ไฟจริง

 

สาม เคสจำลอง กรณีศึกษาที่สังเคราะห์จากเหตุการณ์จริงที่ ECOP CSOC พบในห้อง SOC โดยปกป้องชื่อและข้อมูลของลูกค้า ผู้อ่านจะเห็นว่าผู้โจมตีดำเนินการทีละขั้นอย่างไร และจุดไหนที่ทีม SOC ของเราเข้าจัดการได้ทัน

 

สี่ สามวิธีรับมือที่ทำได้พรุ่งนี้ คำสั่ง คอนฟิก และเครื่องมือที่ทีม IT หรือ Security ของบริษัทสามารถนำไปลองใช้ได้ทันที โดยไม่ต้องลงทุนเครื่องมือราคาแพง

 

นอกจาก 14 บทหลัก หนังสือยังมีบทสรุปผู้บริหาร 2 หน้าที่กล่าวถึง 5 ข้อค้นพบสำคัญและ ROI ของการลงทุน Security พร้อมด้วยภาคผนวกที่รวมตารางเปรียบเทียบ 14 กลยุทธ์ของ MITRE กับฉากในสามก๊ก, อภิธานศัพท์เทคนิคในเล่ม, และรายการ References จากแหล่งข้อมูลสาธารณะ

 

 

ปัญหาที่หนังสือเล่มนี้แก้ คือช่องว่างระหว่าง ภาษาเทคนิค ของทีม SOC กับ ภาษาธุรกิจ ของผู้บริหาร เมื่อผู้บริหารเข้าใจว่า ransomware ลามได้ใน 4 ถึง 6 ชั่วโมง ไม่ใช่หลักวัน เขาจะตอบรับการลงทุน segment network ได้เร็วขึ้น เมื่อผู้บริหารเข้าใจว่าทำไม Tabletop Exercise ทุก 6 เดือนถึงคุ้มค่า เขาจะอนุมัติงบประมาณได้ง่ายขึ้น

 

สำหรับทีม SOC Analyst หนังสือเล่มนี้ช่วยให้ครั้งต่อไปที่เปิด attack.mitre.org คุณจะนึกถึงขงเบ้งส่องดาว ฉากเกวียนซ่อนทัพ หรือผาเซ็กเพ็ก แทนที่จะเห็นแค่ตารางตัวอักษรเล็ก ๆ ที่จำได้ยาก

 

สำหรับทีม Compliance และ Risk ตาราง mapping ในภาคผนวกช่วยให้รายงาน Incident ตรงประเภทภัย และอธิบายให้คณะกรรมการที่ไม่ใช่สายเทคนิคเข้าใจได้ง่ายขึ้น

 

 

หนังสือเล่มนี้ออกแบบมาสำหรับสี่กลุ่มผู้อ่าน คือ

 

ผู้บริหารและคณะกรรมการ เพื่อเข้าใจว่าทีม security กำลังเผชิญอะไร และทำไมการลงทุนป้องกันถึงคุ้มค่า ผู้อ่านกลุ่มนี้แนะนำให้เริ่มจากบทสรุปผู้บริหาร 2 หน้าก่อน แล้วเลือกอ่านบทที่สนใจ

 

SOC Analyst และ Threat Hunter ที่ต้องการเข้าใจ MITRE ATT&CK ในมุมมองใหม่ที่จำได้ง่าย และต้องการเห็นเคสจำลองจากเหตุการณ์จริงในไทย พร้อมเครื่องมือและคำสั่งที่ใช้ได้ทันที

 

ทีม Compliance และ Risk ที่ต้องรายงาน Incident และต้อง map ระหว่าง MITRE technique กับ Threat Category ที่ใช้ในองค์กร ผู้อ่านกลุ่มนี้จะได้ตาราง mapping ที่พร้อมใช้ในภาคผนวก

 

นักศึกษาและผู้ที่สนใจ Cybersecurity ที่ต้องการเริ่มเข้าใจ MITRE ATT&CK โดยไม่ติดศัพท์ภาษาอังกฤษตั้งแต่หน้าแรก

 

 ตัวอย่างจากหนังสือ — บทที่ 1 ขงเบ้งส่องดาว

 

ในยุคสามก๊ก ขงเบ้งมีชื่อเสียงว่าสามารถ ดูดาว และทำนายเหตุการณ์ได้แม่นยำ แต่ความจริงที่มีเพียงลูกศิษย์ใกล้ชิดเท่านั้นที่รู้ คือขงเบ้งไม่เคยดูดาว ในห้องลับใต้หอสูง มีโต๊ะใหญ่กางแผนที่แคว้นโจโฉทั้งผืน ปักหมุดเล็ก ๆ บอกตำแหน่งของขุนนางคนสำคัญ และมีกองจดหมายที่สายลับฝังตัวในทุกหัวเมืองทยอยส่งกลับมาทุกเดือน

 

ในวงการ Cyber สิ่งนี้เรียกว่า Reconnaissance ขั้นแรกของ Kill Chain ที่ผู้โจมตีใช้เวลา 60 ถึง 90 วันค้นข้อมูลในที่สาธารณะ ตั้งแต่ชื่อพนักงานบน LinkedIn ถึง server ที่เปิดทิ้งไว้บน internet พวกเขาใช้เครื่องมือฟรีอย่าง Shodan ที่เป็น Google Maps แต่ค้น server แทนร้าน และ Wayback Machine ที่ใช้ดูเว็บไซต์เก่าของบริษัท ทุกอย่างเกิดในที่สาธารณะ ไม่มี alert ไม่มี trigger

 

หนังสือเสนอ 3 วิธีรับมือสำหรับ Recon คือ ค้นบริษัทตัวเองบน Shodan เพื่อหาช่องโหว่ที่เปิดให้คนภายนอกเห็น ใช้ crt.sh หา subdomain ที่ลืม และตรวจ email พนักงานที่หลุดใน data breach ผ่าน Have I Been Pwned

 

นี่เป็นเพียงตัวอย่างเดียวจากทั้งหมด 14 บท แต่ละบทมีฉากสามก๊กของตัวเอง ภาพปัจจุบันที่ตรงกับ MITRE technique เคสจำลองจากห้อง SOC จริง และสามวิธีรับมือที่ทำได้พรุ่งนี้

 

 

ภัยไซเบอร์ในปี 2026 ไม่ใช่เรื่องใหม่ทั้งหมด หลักการเดิมยังอยู่ เปลี่ยนเพียงสนามรบและเครื่องมือ จากดาบเป็น keyboard จากม้าเป็น network จากกำแพงเมืองเป็น firewall

 

หนังสือพิชัยยุทธไซเบอร์ ฉบับเริ่มต้น TLP:CLEAR เผยแพร่ในปี 2026 โดยทีมงาน ECOP CSOC จำนวน 60 หน้า ครอบคลุม MITRE ATT&CK ทั้ง 14 กลยุทธ์ พร้อม Threat Category mapping อภิธานศัพท์ และตาราง References

 

สำหรับองค์กรที่สนใจรับหนังสือ สามารถดาวน์โหลดฟรีได้ที่

 

หรือต้องการให้ทีม ECOP CSOC จัด workshop เพื่ออธิบาย MITRE ATT&CK ในบริบทของอุตสาหกรรมของท่าน โดยใช้หนังสือเล่มนี้เป็นสื่อกลาง สามารถติดต่อทีมงานได้ที่

 

ภัยไซเบอร์อาจดูซับซ้อนและน่ากลัวในสายตาคนที่ไม่ได้อยู่ในวงการ แต่เมื่อเล่าผ่านเรื่องที่คนไทยคุ้นเคย ภัยเดิมเหล่านั้นจะดูไม่ต่างจากกลศึกในสนามรบ เปลี่ยนแค่ยุคสมัยและเครื่องมือ หลักการแห่งการรู้เขา รู้เรา ยังเป็นเส้นทางสู่ความปลอดภัยเหมือนเดิม

 

— ทีมงาน Erawan66