Jun182026 by contentNo Comments
Application Allowlisting ในระบบ OT: ป้องกัน Malware ระดับ Host ด้วยแนวคิด Whitelist

Application Allowlisting ในระบบ OT: ป้องกัน Malware ระดับ Host ด้วยแนวคิด Whitelist

Article
ในโลกของระบบควบคุมอุตสาหกรรม (OT) มีความจริงอย่างหนึ่งที่วิศวกรความปลอดภัยรู้ดี — Antivirus แบบดั้งเดิมไม่สามารถปกป้องระบบ OT ได้อย่างเพียงพอ ทั้งนี้เพราะ AV ทำงานบนหลักการ "Blacklist" คือพยายามจดจำ Malware ที่รู้จักแล้วบล็อกเท่านั้น แต่ในระบบ OT ที่อุปกรณ์ทำงานซ้ำๆ แบบเดิมตลอดอายุการใช้งาน 15 ปี มีแนวทางที่ทรงประสิทธิภาพกว่ามาก นั่นคือ Application Allowlisting ที่ทำงานบนหลักการตรงกันข้าม — อนุญาตเฉพาะสิ่งที่รู้จักว่าปลอดภัย และบล็อกทุกอย่างอื่น Allowlisting คืออะไร และทำไมถึงเหมาะกับ OT? Application Allowlisting (หรือ Whitelisting) คือเทคโนโลยีการควบคุมการทำงานของ Host ที่อนุญาตให้เฉพาะโปรแกรมที่อยู่ใน "รายการที่อนุญาต" เท่านั้นที่สามารถ Execute หรือรันได้บนระบบปฏิบัติการ เมื่อมีโปรแกรมใดพยายามรันที่ไม่อยู่ในรายการ ระบบจะบล็อกทันทีและบันทึก Event ลงใน Security Log แนวทางนี้เหมาะกับ OT เป็นพิเศษเพราะลักษณะของระบบ OT ที่ Stable และ Predictable — กล่าวคือ HMI เครื่องหนึ่งที่ติดตั้งในโรงงานมักจะรันโปรแกรมเดิมๆ ตลอดอายุการใช้งาน เช่น SCADA Client, Historian Agent และ Driver สื่อสารกับ PLC ไม่มีโปรแกรมใหม่ปรากฏขึ้นมาเองอย่างกระทันหัน ดังนั้นการสร้าง Allowlist ที่ถูกต้องจึงเป็นไปได้ในทางปฏิบัติ 📌 หลักคิดสำคัญ: ในระบบ IT มีโปรแกรมใหม่เกิดขึ้นทุกวันจึงใช้ Blacklist (AV) แต่ในระบบ OT โปรแกรมที่รันมีจำกัดและคงที่ — Allowlisting จึงเป็น Default-Allow ในทางกลับกัน วิธีการทำงานของ Application Allowlisting ระบบ Allowlisting สมัยใหม่ทำงานโดยการตรวจสอบ 3 ประเภทของตัวระบุ (Identifier) เพื่อตัดสินใจว่าไฟล์สามารถรันได้หรือไม่: ประเภท Rule วิธีการ ความปลอดภัย ความยืดหยุ่นในการดูแล Hash-Based เก็บค่า Hash (SHA-256) ของไฟล์ที่อนุญาต สูงมาก — ตรวจจับการแก้ไขได้ทันที ต่ำ — เมื่ออัปเดตโปรแกรมต้อง Hash ใหม่ Publisher-Based อนุญาตไฟล์ที่เซ็นด้วย Digital Certificate ของผู้ผลิต ปานกลาง — ไวต่อการขโมย Certificate สูง —…
Read More
Jun182026 by contentNo Comments
SIEM สำหรับ OT Cybersecurity: รวบรวม วิเคราะห์ และตอบสนองภัยคุกคามแบบรวมศูนย์

SIEM สำหรับ OT Cybersecurity: รวบรวม วิเคราะห์ และตอบสนองภัยคุกคามแบบรวมศูนย์

Article
ในโรงงานอุตสาหกรรมยุคใหม่ที่เชื่อมต่อกันทั้งระบบ IT และ OT มีเหตุการณ์ด้านความปลอดภัยเกิดขึ้นนับหมื่นครั้งต่อวัน — ตั้งแต่การพยายาม Login ผิดพลาด การเชื่อมต่อที่น่าสงสัย ไปจนถึงการเปลี่ยนแปลง Configuration ของ PLC การดูแลเหตุการณ์เหล่านี้ทีละอุปกรณ์เป็นไปไม่ได้ นี่คือเหตุผลที่ SIEM (Security Information and Event Management) กลายเป็นเครื่องมือหัวใจสำคัญของ Security Operations Center (SOC) สำหรับระบบ OT ในปัจจุบัน SIEM คืออะไร และทำงานอย่างไร? SIEM เป็นแพลตฟอร์มที่ทำหน้าที่ รวบรวม, ประมวลผล, วิเคราะห์ และแจ้งเตือน ข้อมูล Log และ Event ด้านความปลอดภัยจากแหล่งต่างๆ ทั่วทั้งโรงงาน โดยทำงานบนหลักการสำคัญ 4 ขั้นตอน คือ: Log Collection — ดึงข้อมูลจาก Firewall, PLC, HMI, Active Directory, VPN Gateway ฯลฯ ผ่าน Syslog, SNMP Trap หรือ REST API Normalization — แปลงรูปแบบ Log ที่ต่างกันให้เป็นมาตรฐานเดียวกัน (เช่น CEF หรือ LEEF) เพื่อให้เปรียบเทียบข้ามอุปกรณ์ได้ Correlation — ใช้ Rule Engine วิเคราะห์ความสัมพันธ์ของเหตุการณ์หลายๆ อย่างที่เกิดขึ้นพร้อมกัน เพื่อค้นหารูปแบบการโจมตี Alerting and Reporting — แจ้งเตือนเจ้าหน้าที่ SOC เมื่อพบเหตุการณ์ที่น่าสงสัย และสร้างรายงาน Compliance ตามที่ต้องการ 💡 ตัวอย่างการทำงาน: หาก SIEM พบว่ามีการพยายาม Login ผิดพลาด 5 ครั้งที่ HMI เครื่องหนึ่ง ภายในเวลา 2 นาที และในเวลาใกล้เคียงกันมีการเปลี่ยนแปลง Tag Configuration ของ PLC ตัวหนึ่ง — Correlation Engine จะรวมสองเหตุการณ์นี้เข้าด้วยกันและแจ้งเตือนว่าอาจมีการบุกรุกกำลังเกิดขึ้น ซึ่งวิศวกรคนเดียวที่ดู Log ทีละอุปกรณ์จะไม่มีทางสังเกตเห็นความเชื่อมโยงนี้ได้ ความแตกต่างระหว่าง SIEM สำหรับ IT และ OT แม้หลักการพื้นฐานของ…
Read More
Jun182026 by contentNo Comments
Post-Quantum Cryptography สำหรับ OT/ICS: เตรียมพร้อมระบบอุตสาหกรรมสู่ยุคควอนตัม

Post-Quantum Cryptography สำหรับ OT/ICS: เตรียมพร้อมระบบอุตสาหกรรมสู่ยุคควอนตัม

Article
เมื่อเราพูดถึงภัยคุกคามทางไซเบอร์ในระบบควบคุมอุตสาหกรรม (OT/ICS) เรามักนึกถึง Ransomware, Malware หรือการโจมตีทางเครือข่าย แต่มีภัยคุกคามรูปแบบใหม่ที่กำลังจะมาถึงและอาจส่งผลกระทบรุนแรงต่อโครงสร้างพื้นฐานอุตสาหกรรมในทศวรรษหน้า — นั่นคือ ควอนตัมคอมพิวเตอร์ (Quantum Computer) ที่มีความสามารถในการทำลายระบบเข้ารหัสแบบดั้งเดิมที่เราใช้อยู่ทุกวันนี้ บทความนี้จะพาคุณเจาะลึกถึงสิ่งที่วิศวกร OT ต้องเตรียมพร้อมเพื่อเข้าสู่ยุค Post-Quantum Cryptography (PQC) ทำไมควอนตัมคอมพิวเตอร์ถึงเป็นภัยต่อ OT/ICS? ระบบอัตโนมัติและระบบควบคุมกระบวนการผลิตในปัจจุบันอาศัยอัลกอริทึมการเข้ารหัสแบบดั้งเดิมอย่าง RSA-2048 และ ECC-256 (Elliptic Curve Cryptography) ในการปกป้องการสื่อสารระหว่าง HMI, SCADA Server, PLC และ Edge Gateway ทั้งในเรื่องของ TLS/SSL Session, VPN Tunnel รวมถึงการยืนยันตัวตนของ Firmware Update ปัญหาคืออัลกอริทึมเหล่านี้สร้างมาบนสมมติฐานทางคณิตศาสตร์ว่า "การแยกตัวประกอบจำนวนเฉพาะขนาดใหญ่" และ "ปัญหา Discrete Logarithm" เป็นเรื่องยากที่คอมพิวเตอร์แบบดั้งเดิมจะคำนวณได้ภายในเวลาที่เป็นจริง แต่ในปี 1994 นักคณิตศาสตร์ Peter Shor ได้คิดค้นอัลกอริทึม Shor's Algorithm ซึ่งเมื่อรันบนควอนตัมคอมพิวเตอร์ที่มีคิวบิตเพียงพอจะสามารถแก้ปัญหาทางคณิตศาสตร์เหล่านี้ได้ในเวลาพหุนาม (Polynomial Time) — ทำให้ RSA-2048 ที่ใช้กันอยู่ล่มสลายในเวลาเพียงไม่กี่ชั่วโมง 💡 ข้อเท็จจริงที่น่าตกใจ: ประมาณการจากงานวิจัยล่าสุดระบุว่าควอนตัมคอมพิวเตอร์ที่มีความสามารถเพียงพอจะสามารถทำลาย RSA-2048 ได้ภายในปี 2030 ถึง 2035 ซึ่งอยู่ในช่วงอายุการใช้งานของอุปกรณ์ OT ที่ติดตั้งกันอยู่ในปัจจุบัน Harvest Now, Decrypt Later (HNDL) — ภัยเงียบที่กำลังเกิดขึ้น ภัยคุกคามที่น่ากลัวที่สุดไม่ใช่การโจมตีในอนาคต แต่เป็นสิ่งที่เกิดขึ้น เดี๋ยวนี้ ผู้ไม่ประสงค์ดีระดับชาติ (Nation-State Actors) กำลังดำเนินกลยุทธ์ที่เรียกว่า Harvest Now, Decrypt Later (HNDL) คือการบันทึกข้อมูลที่ถูกเข้ารหัสจากระบบ OT ที่ตั้งเป้าหมายไว้ แล้วเก็บไว้จนกว่าควอนตัมคอมพิวเตอร์จะพร้อมใช้งาน เมื่อนั้นข้อมูลที่เคยปลอดภัยจะถูกถอดรหัสได้ทั้งหมด สำหรับอุตสาหกรรมที่ข้อมูลมีความละเอียดอ่อนสูง เช่น สูตรการผลิตในโรงงานเคมี, ข้อมูลกระบวนการผลิตในอุตสาหกรรมยา หรือข้อมูลการควบคุมในโรงไฟฟ้า ภัยคุกคามนี้หมายความว่าความลับทางการค้าที่ถูกส่งผ่านเครือข่ายในวันนี้ อาจถูกเปิดเผยในอีก 5–10 ปีข้างหน้า NIST Post-Quantum Cryptography Standards — มาตรฐานใหม่ที่ OT ต้องรู้ สถาบัน NIST ของสหรัฐอเมริกาได้ดำเนินการคัดเลือกอัลกอริทึมการเข้ารหัสที่ทนทานต่อการโจมตีของควอนตัมมาตั้งแต่ปี 2016 และได้ประกาศมาตรฐานอย่างเป็นทางการในปี 2024 โดยมีอัลกอริทึมหลัก 3 ตัวที่เกี่ยวข้องกับระบบ OT ดังนี้: อัลกอริทึม…
Read More
May142026 by contentNo Comments
VPN สำหรับ Remote Access ในระบบ OT: เข้าถึงโรงงานจากที่ไหนก็ได้อย่างปลอดภัย

VPN สำหรับ Remote Access ในระบบ OT: เข้าถึงโรงงานจากที่ไหนก็ได้อย่างปลอดภัย

Article
VPN สำหรับ Remote Access ในระบบ OT: เข้าถึงโรงงานจากที่ไหนก็ได้อย่างปลอดภัย ในยุคหลัง COVID-19 และการเติบโตของ Remote Operations วิศวกรและช่างเทคนิคจำเป็นต้องเข้าถึงระบบ SCADA, HMI และ PLC จากที่ไกล้ที่ไม่ใช่ภายในโรงงานมากขึ้นกว่าเดิม VPN (Virtual Private Network) จึงกลายเป็นเครื่องมือพื้นฐานสำหรับการ Remote Access ที่ปลอดภัยในสภาพแวดล้อม OT แต่การนำ VPN มาใช้ในโรงงานอุตสาหกรรมนั้น มีความท้าทายและข้อควรพิจารณาที่แตกต่างจากการใช้ VPN ในสำนักงานทั่วไป ความท้าทายของ VPN ในสภาพแวดล้อม OT การใช้ VPN สำหรับ Remote Access เข้าสู่ระบบ OT มีความแตกต่างและซับซ้อนกว่า IT อย่างมีนัยสำคัญ: Latency ส่งผลต่อกระบวนการผลิต: HMI Remote ผ่าน VPN ต้องการ Latency ต่ำกว่า 200ms มิฉะนั้นการควบคุมจะไม่น่าเชื่อถือ โปรโตคอลอุตสาหกรรม: RDP, VNC หรือ Web HMI ผ่าน VPN ต้องรักษา Session ที่มีเสถียรภาพ มิฉะนั้นจะ Disconnect ระหว่างการดำเนินงาน Audit Trail: ทุกการเข้าถึงต้องถูกบันทึกเพื่อ Compliance — ใคร เข้าเมื่อไหร่ ทำอะไรบ้าง หลาย Stakeholder: ไม่ใช่แค่พนักงานในบริษัท แต่รวมถึง Vendor, System Integrator, ที่ปรึกษา ที่ต้องการ Remote Access ประเภท VPN สำหรับ OT Remote Access ประเภท VPN โปรโตคอล ข้อดี ข้อจำกัด Site-to-Site VPN IPSec เชื่อมโรงงานหลายแห่ง, เข้ารหัส End-to-End, ทนทาน ตั้งค่าซับซ้อน, ต้องมี Hardware VPN Gateway ทุก Site Remote Access VPN SSL VPN, IPSec ใช้จากที่ไหนก็ได้, ไม่ต้องติดตั้ง Hardware, Browser-based ประสิทธิภาพต่ำกว่า, ขึ้นกับ Internet Quality…
Read More
May142026 by contentNo Comments
OT Firewall: ป้อมปราการป้องกันภัยไซเบอร์สำหรับเครือข่ายอุตสาหกรรม

OT Firewall: ป้อมปราการป้องกันภัยไซเบอร์สำหรับเครือข่ายอุตสาหกรรม

Article
OT Firewall คืออะไร? ด่านป้องกันภัยไซเบอร์ที่โรงงานอุตสาหกรรมต้องมี ในยุคที่ระบบ OT (Operational Technology) ถูกเชื่อมต่อเข้าสู่เครือข่าย IT มากขึ้น ทั้งเพื่อการเก็บข้อมูล การวิเคราะห์ และการควบคุมระยะไกล OT Firewall จึงกลายเป็นอุปกรณ์ความปลอดภัยที่ขาดไม่ได้สำหรับโรงงานอุตสาหกรรมทุกแห่ง ต่างจาก Firewall ทั่วไปที่ออกแบบมาสำหรับสภาพแวดล้อมสำนักงาน OT Firewall ถูกสร้างขึ้นมาเพื่อเข้าใจโปรโตคอลอุตสาหกรรมโดยเฉพาะ เช่น Modbus TCP, DNP3, OPC UA, Ethernet/IP, PROFINET และ S7comm ทำไม IT Firewall ธรรมดาไม่พอสำหรับโรงงาน? IT Firewall ทั่วไปทำงานกับโปรโตคอล เช่น HTTP, HTTPS, FTP, SMTP ซึ่งเพียงพอสำหรับสภาพแวดล้อมสำนักงาน แต่ในโรงงานอุตสาหกรรม การสื่อสารระหว่าง PLC, RTU, HMI และ SCADA Server ใช้โปรโตคอลเฉพาะทาง ซึ่ง IT Firewall ไม่สามารถตรวจสอบเนื้อหา (Deep Packet Inspection) ได้อย่างถูกต้อง ทำให้คำสั่งที่เป็นอันตราย เช่น การสั่งปิดเครื่องจักร หรือการเปลี่ยนค่า Set Point อาจผ่านเข้ามาได้โดยไม่ถูกตรวจจับ ความสามารถหลักของ OT Firewall Deep Packet Inspection (DPI) สำหรับโปรโตคอลอุตสาหกรรม: วิเคราะห์ทุกคำสั่งในโปรโตคอล Modbus, DNP3, OPC UA เพื่อบล็อกคำสั่งที่ผิดปกติ เช่น “Force Coil Off” หรือ “Write Register” ที่ไม่ได้รับอนุญาต Whitelist-based Policy: อนุญาตเฉพาะการสื่อสารที่รู้จักและคาดหวังเท่านั้น ซึ่งเหมาะกับ OT ที่รูปแบบการสื่อสารค่อนข้างคงที่ Low Latency: หน่วงเวลาน้อยกว่า 1ms เพื่อไม่กระทบต่อ Real-time Control Loop Industrial-grade Hardware: ทนอุณหภูมิ -40°C ถึง 70°C, รองรับ DIN-rail mount, มี Dual Power Supply Network Segmentation: แบ่งเครือข่ายเป็น Zone ย่อยตามแนวทาง IEC 62443 และ Purdue Model ตารางเปรียบเทียบ…
Read More
May112026 by contentNo Comments
TSN (Time-Sensitive Networking): เครือข่ายเวลาจริงที่เปลี่ยนโฉมหน้าโรงงานอัจฉริยะ

TSN (Time-Sensitive Networking): เครือข่ายเวลาจริงที่เปลี่ยนโฉมหน้าโรงงานอัจฉริยะ

Article
ในโลกของระบบอัตโนมัติอุตสาหกรรมที่ต้องการความแม่นยำระดับมิลลิวินาที TSN (Time-Sensitive Networking) กำลังเปลี่ยนแปลงพื้นฐานของเครือข่ายในโรงงานอย่างสมบูรณ์ TSN ไม่ใช่แค่ Ethernet เวอร์ชันใหม่ แต่เป็นชุดมาตรฐาน IEEE 802.1 ที่เพิ่มความสามารถ Deterministic Communication ให้กับ Ethernet มาตรฐานเดิม TSN คืออะไร? และทำไมจึงสำคัญสำหรับ Smart Factory TSN คือชุดมาตรฐานที่พัฒนาโดย IEEE 802.1 Working Group ที่เพิ่มความสามารถด้าน Time Synchronization และ Scheduled Traffic ให้กับ Ethernet มาตรฐาน ทำให้สามารถส่งข้อมูลที่มี Time Constraint ได้อย่างแม่นยำ โดยไม่มี Jitter หรือ Delay ที่ไม่คาดคิด ก่อนหน้า TSN โรงงานต้องใช้เครือข่ายแยกกัน 2 ระบบ: IT Network สำหรับข้อมูลทั่วไป และ OT Network ที่ใช้ Fieldbus เฉพาะทางเช่น PROFINET, EtherCAT, POWERLINK เพื่อให้ได้ Real-Time Performance แต่ TSN เปลี่ยนเรื่องนี้ทั้งหมด มาตรฐาน IEEE 802.1 หลักที่อยู่ใน TSN IEEE 802.1AS — Time-Aware Shaper (gPTM) ซิงโครไนซ์นาฬิกาทุก Node ในเครือข่ายให้ตรงกันภายใน ±1 μs IEEE 802.1Qbv — Time-Aware Shaper กำหนดตารางเวลาส่งข้อมูลแบบ Gate-Control List IEEE 802.1Qbu / 802.3br — Frame Preemption ให้ Frame สำคัญสามารถขัดจังหวะ Frame ที่สำคัญน้อยกว่า IEEE 802.1Qcc — Stream Reservation จอง Bandwidth สำหรับ Stream ที่ต้องการ Guaranteed Delivery IEEE 802.1CB — Frame Replication and Elimination for Reliability (FRER) ส่งข้อมูลซ้ำเพื่อ Redundancy…
Read More