Security Operations & XDR

      สวัสดีครับทุกท่าน สำหรับบทความนี้มีที่มาจากการที่ผมได้มีโอกาสสอนและบรรยายเรื่องของการวางแผนออกแบบ Cybersecurity Architecture โดยใช้ Security Solutions ต่างๆ ของทาง Microsoft ครับ โดยเรื่องดังกล่าวจะเกี่ยวข้องกับหลายปัจจัยที่จะต้องนำเอามาใช้ในการวางแผนออกแบบตลอดจนผู้ที่ออกแบบหรือที่เราเรียกว่า "Cybersecurity Architect" จะต้องมีความรู้ความเข้าใจคอนเซปตลอดจนรายละเอียดต่างๆ ที่เกี่ยวข้องกับเรื่องดังกล่าวนี้ทั้งหมด ยกตัวอย่างเช่น เรื่องของ Security Models (Shared Responsibilities, Zero Trust Model, MCRA, และอื่นๆ)

ถัดมาคือ เรื่องของ Cyber Kill Chain กับ Standard Security Models เช่น  NIST, MITRE ATT&CK, เป็นต้น, 

และตามด้วยเรื่องของ Microsoft Security Ecosystem (เช่น Microsoft Entra Family, Microsoft Defender Family, และอื่นๆ) ครับ

ซึ่งจะมาพร้อมกับเทคโนโลยีต่างๆ ที่จะมาช่วยในเรื่องของการสร้างความปลอดภัยให้กับ IT Environments ขององค์กร ไม่ว่าจะอยู่ในรูปแบบที่เป็น Hybrid หรือ Multi-Cloud Environments ก็ตาม

และสำหรับบทความนี้ผมจะนำเสนอเทคโนโลยีหนึ่งที่เกี่ยวข้องกับ Security โซลูชั่น ที่หลายๆ บริษัทชั้นนำที่มีโซลูชั่นด้านความปลอดภัยให้บริการอยู่มากมายในตลาด และหนึ่งในนั้นคือ Microsoft ครับ โดยเทคโนโลยีที่ผมกำลังพูดถึงหรืออยากจะพาท่านผู้อ่านทุกท่านไปทำความรู้จักนั่นก็คือ "Extended Detection and Response" หรือเรียกกันสั้นๆ ว่า "XDR" ครับ โดยเทคโนโลยีนี้ผมเชื่อว่าทุกท่านจะน่าเคยได้ยินและคุ้นเคยกันอยู่แล้วใช่มั๊ยครับ !!!!! แต่ถ้ามีใครมาถามหรืออยากจะปรึกษาทุกท่าน โดยเริ่มจาก XDR คืออะไร? และเทคโนโลยีดังกล่าวนี้จะเค้ามาช่วยองค์กรในเรื่องของความปลอดภัยอย่างไร? ทุกท่านจะอธิบายหรือตอบคำถามเมื่อซักครู่นี้ว่าอย่างไรครับ? 

ก่อนที่จะพาทุกท่านเข้าสู่เรื่องราวของ XDR ผมอยากจะขอเกริ่นหรือท้าวความก่อนว่า XDR จะเป็นเทคโนโลยีหนึ่งที่จะเข้ามาเกี่ยวข้องกับกระบวนการที่เรียกว่า "Security Operations" ตามชื่อของบทความนี้เลยครับ โดยกระบวนการดังกล่าวนี้จะเป็นกระบวนที่สำคัญในการที่จะช่วย Secure & Protect IT Environments (ครอบคลุม Hybrid และ Multi-Cloud) ขององค์กร โดยจุดเริ่มต้นจะมาจากการที่องค์กรมีความต้องการที่จะทำการวางแผนตลอดจนเตรียมความพร้อมในการที่จะดำเนินการในเรื่องของความปลอดภัยให้กับองค์กร แต่องค์กรนั้นๆ ไม่ทราบว่าจะต้องเริ่มต้นอย่างไร?, ต้องทำอย่างไร? และอื่นๆ 

และจากจุดนี้เองครับท่านที่ทำหน้าที่หรือมีบทบาทเป็น Cybersecurity Architect จะเข้ามาช่วยองค์กร โดยเริ่มจากเก็บรวบรวมความต้องการ, ศึกษาเรื่องราวตลอดจนข้อมูลต่างๆ ของ Existing Environments ขององค์กร, ตามด้วยการนำเอา Frameworks, Best Practices, Models, และอื่นๆ มาประยุกต์ใช้ในการวางแผนและออกแบบ, จากนั้น Cybersecurity Architect ก็จะทำการออกแบบซึ่งการออกแบบดังกล่าวนี้จะเกี่ยวข้องกับ Security Operations ด้วยครับ เพราะฉะนั้นท่านใดที่ยังไม่รู้จักหรือยังไม่ทราบว่า Security Operations คืออะไร? ลองย้อนกลับไปอ่านบทความของผมก่อนหน้านี้ได้ครับ สำหรับ Security Operations จะประกอบไปด้วย Processes ย่อยๆ และมี Cycle ดังรูปด้านล่างครับ

และอย่างที่ผมได้เกริ่นไว้ก่อนหน้านี้ว่า XDR เทคโนโลยี ก็จะเป็นส่วนหนึ่งที่อยู่ในกระบวนการ Security Operations ครับ โดย XDR จะมาพร้อมกับ Security Solutions ซึ่งว่ากันตามหลักการทำงานจริงๆ ก็จะเป็นสิ่งที่ Cybersecurity Architect เป็นผู้ทำการพิจารณาเลือก Security Solutions ตลอดจนเทคโนโลยีต่างๆ ที่มาพร้อมกับ Security Solutions เหล่านั้นครับ เอาคร่าวๆ ประมาณนี้นะครับสำหรับเรื่องของที่มาที่ไปหรือจุดเริ่มต้นของการที่เราจะเข้ามาเกี่ยวข้องกับ XDR ตลอดจนเทคโนโลยีอื่นๆ ครับ

ผมจะเริ่มเข้าสู่เรื่องของ XDR โดยผมจะพาท่านไปทำความรู้จักกับเทคโนโลยีนึงก่อน ซึ่งเทคโนโลยีดังกล่าวนี้คือ เทคโนโลยีที่เป็นต้นทางก่อนที่มาถึง XDR ครับ เทคโนโลยีที่ว่านี้ คือ "Endpoint Detection and Response" หรือ "EDR" ครับ 

Endpoint Detection and Response (EDR) คืออะไร?

คือ Security โซลูชั่นที่ทำการตรวจสอบ (Monitor) Endpoints (ครอบคลุมถึง Servers และ Devices) อย่างต่อเนื่องเพื่อทำการค้นหา (Detect), ป้องกัน (Prevent), และแก้ไข (Remediate) ภัยคุกคามหรือ Threats ที่โจมตี Endpoints  ณ ปัจจุบัน Endpoint Security โซลูชั่นมักจะมาพร้อมกับ Agent เพื่อทำการติดตั้ง Agent ดังกล่าวนี้ไปยัง Endpoints ที่องค์กรต้องการป้องกัน โดยเมื่อทำการติดตั้ง Agent ไปยัง Endpoints เรียบร้อยแล้วตัว Agent จะทำการรวบรวม, วิเคราะห์, ตรวจสอบ, และส่งรายงานไปยัง Endpoint Security โซลูชั่นที่อยู่บน Cloud เพื่อดำเนินการต่อไป เช่น Triage, Investigation, เป็นต้น นอกจากนี้แล้วตัวของ EDR ยังสามารถทำงานร่วมกัน Security โซลูชั่นอื่นๆ ได้อีก เช่น SIEM เป็นต้นครับ

สำหรับ EDR เทคโนโลยีนี้ทาง Microsoft ได้นำเอามาใช้ใน Endpoint Security โซลูชั่นที่ชื่อว่า "Microsoft Defender for Endpoint" หรือเรียกสั้นๆ ว่า "MDE" ครับ

Extended Detection and Response (XDR) คืออะไร?

คือ Security โซลูชั่น ที่พัฒนาต่อยอดมาจาก EDR ครับ โดย XDR จะทำการรวบรวมข้อมูลจากหลายๆ ส่วนใน IT Environments นอกเหนือจาก Endpoints เช่น Email, Apps, Network, เป็นต้น เพื่อทำการค้นหา, ตรวจสอบ, และทำการป้องกัน นั่นหมายความว่า XDR ไม่ได้ทำการตรวจสอบค้นหาโดยดูจาก Endpoints อย่างเดียวเหมือนกับ EDR แต่ยังทำการค้นหาส่วนอื่นๆ ที่เกี่ยวข้องเพื่อจะทำให้การค้นหา, ตรวจสอบ, และป้องกันภัยคุกคามมีประสิทธิภาพมากยิ่งขึ้น  สำหรับ XDR เทคโนโลยีดังกล่าวนี้ทาง Microsoft ได้นำเอามาใช้ใน Security โซลูชั่นที่ชื่อว่า "Microsoft Defender XDR" หรือชื่อเดิมคือ Microsoft 365 Defender ครับ โดย Microsoft Defender XDR จะอยู่ใน Microsoft Defender Family ครับ

และ MDE หรือ Microsoft Defender for Endpoint จะเป็น Product/Service นึงที่อยู่ใน Microsoft Defender XDR ครับ นั่นหมายความว่าเราสามารถพิจารณานำเอา Microsoft Defender XDR มาใช้ในการป้องกัน Endpoints, Microsoft 365 (Exchange Online และอื่นๆ), Identity, และอื่นๆ ครับ รายละเอียดเพิ่มเติมสามารถไปย้อนอ่านบทความของผมก่อนหน้านี้ได้ครับ รวมถึงไปที่ Link นี้ครับ, Microsoft Defender XDR | Microsoft Security

สำหรับเรื่องราวของ Security เทคโนโลยียังมีอีกเยอะมากครับ สำหรับบทความนี้ผมนำเสนอแค่ 2 Security โซลูชั่น คือ EDR และ XDR ครับ ถ้าโฟกัสเฉพาะ Security โซลูชั่นที่ลงท้าย xxxDR ยังมีอีกเยอะนะครับนอกเหนือจาก EDR และ XDR ครับ ตัวอย่างเช่น

1. Network Detection and Response (NDR), Security โซลูชั่นนี้จะทำการรวบรวมข้อมูลที่เกี่ยวข้องกับ Network ไปทำการตรวจสอบและวิเคราะห์เพื่อค้นหาภัยคุกคามครับ และจะทำงานร่วมกับ Security โซลูชั่นอื่นๆ เช่น UEBA, SIEM เป็นต้น

2. Identity Detection and Response (ITDR), Security โซลูชั่นนี้จะทำการค้นหาแ่ละจัดการกับภัยคุกคามที่โจมตีระบบ Identity-Based System 

3. Managed Detection and Response (MDR), เป็นการบริการเกี่ยวกับ EDR ให้กับองค์กรที่ไม่มีทีมงานทางด้านความปลอดภัยครับ โดยรายละเอียดและขอบเขตงานของการให้บริการดังกล่าวนี้ขึ้นอยู่กับการตกลงกันระหว่างผู้ให้บริการ MDR กับผู้ใช้บริการครับ

และทั้งหมดนี้คือเรื่องราวของเทคโนโลยี EDR และ XDR ที่ถูกนำมาใช้ใน Security โซลูชั่นต่างๆ โดย Cybersecurity Architect สามารถนำเอามาพิจารณาร่วมกับ Cybersecurity Architecture รวมถึง Security Operations ที่ออกแบบไว้ได้ครับผม.....

ทำความรู้จักกับ Active Directory-Based Identity Solutions

      สวัสดีครับทุกท่าน สำหรับบทความนี้ผมตั้งใจนำเอาเรื่องราวเกี่ยวกับการบริหารและจัดการ Identity ซึ่งจะเกี่ยวข้อง Services ต่างๆ เช่น Active Directory Domain Service (AD DS) ที่หลายๆ ท่านรู้จักและคุ้นเคยกันเป็นอย่างดี หรือ Microsoft Entra ID ที่มาพร้อมกับ Cloud Services ของ Microsoft เช่น Microsoft Azure, Microsoft 365 เป็นต้น และเหตุผลนึงที่ผมอยากจะนำเสนอเรื่องราวดังกล่าวนี้ก็เพราะว่า ช่วงสัปดาห์ที่ผ่านมาผมมีโอกาสให้คำปรึกษาเกี่ยวกับ Active Directory Domain Service (AD DS) และ Microsoft Configuration Manager (MCM) กับลูกค้า 

โดยลูกค้ามีคำถามต่างๆ มาสอบถามและขอคำปรึกษาและหนึ่งในหลายๆ คำถามที่น่าสนใจและเป็นเหตุผลที่ผมนำมาเป็นจุดเริ่มต้นของการเขียนบทความนี้ คือ คำถามนี้ครับ เริ่มด้วยทางลูกค้าอยากจะปรับปรุงเรื่องของการบริหารจัดการ Identity ใน On-Premise ซึ่งกรณีนี้ทางลูกค้าใช้ Active Directory Domain Service (AD DS) ที่อยู่ใน On-Premise โดยโครงสร้างจะเป็นแบบ Single Forest/Domain  แต่ครอบคลุมหลายๆ Locations อีกทั้งยังมีการทำ Hybrid Identity Scenario (ต้องการ SSO) การปรับปรุงที่ว่านี้คือทางลูกค้าสนใจอยากที่จะขยาย Active Directory Domain Service (AD DS) ที่มีอยู่แล้วใน On-Premise ขยายไปทำงานบน Cloud (Microsoft Azure) ด้วยรวมถึงกำลังพิจารณาที่จะทำการ Deploy Applications/Services ที่ต้องทำงานร่วมกับ AD DS ไปบน Cloud นอกจากนี้แล้วลูกค้ายังให้ความสนใจ Service นึงใน Microsoft Azure ที่ชื่อว่า "Microsoft Entra Domain Services" ทางลูกค้าเลยอยากขอปรึกษาว่าจากความต้องการข้างต้นควรจะทำอย่างไร? ตลอดจนยังมีความสงสัยเกี่ยวกับ Microsoft Entra Domain Services ว่าสามารถนำเอาไปประยุกต์ใช้งานตามความต้องการที่อยู่ในคำถามนี้ได้หรือไม่? 

และจากคำถามนี้ ผมขอเริ่มอธิบายในรายละเอียดดังนี้ครับ โดยเริ่มจากเรื่องราวของ "Active Directory-Based Identity Solutions" ครับ

ภาพรวมของ Active Directory-Based Identity Solutions นั้นมีอยู่ด้วยกัน 3 แบบ:

1. Active Directory Domain Service (AD DS) เป็น Role นึงใน Windows Server ตั้งแต่ Windows Server 2000 จนถึงปัจจุบันคือ Windows Server 2025 ครับ โดย Role (AD DS) ดังกล่าวนี้ถ้าเรานำไปติดตั้งที่ Windows Server ตัวใดก็ตาม เราจะเรียก Windows Server ตัวนั้นๆ ว่า "Domain Controller" หรือเรียกสั้นๆ ว่า DC ครับ โดย DC จะทำหน้าที่ในการ Authentication, Authorization, และอื่นๆ ครับ หรืออธิบายให้เข้าใจง่ายๆ คือ DC หรือ AD DS จะเข้ามาทำหน้าที่ในการบริหารจัดการ Identity ครับ และถ้าพูดถึงโครงสร้างของ AD DS (AD DS Structure) จะมีลักษณะเป็น Hierarchical Structure ซึ่งประกอบไปด้วย Forest, Tree, Domain, และ Organizational Unit (OU) ครับ และจะมี Protocols ต่างๆ เข้ามาเกี่ยวข้องกับการทำงานของ AD DS เช่น Kerberos, LDAP, เป็นต้น นอกจากนี้แล้ว AD DS ยังมาพร้อมกับฟีเจอร์ต่างๆ เช่น Group Policy, Forest Trust, และอื่นๆ ทั้งนี้ขึ้นอยู่กับเวอร์ชั่นและ Editions ของ Windows Server ที่ทำหน้าที่เป็น DC 

2. Microsoft Entra ID หรือชื่อเดิมคือ Azure Active Directory (Azure AD) เป็น Service ที่ให้บริการเกี่ยวกับ Identity and Access Management (IAM) โดยตัวของ Microsoft Entra ID นั้นจะมาพร้อมกับ Cloud Services ของ Microsoft เช่น Microsoft Azure, Microsoft 365, เป็นต้น ถ้ามองในเรื่องของโครงสร้างของ Microsoft Entra ID จะมีโครงสร้างในลักษณะที่เป็น Flat Structure โดยเริ่มจาก Microsoft Entra Tenant (หรือเรียกสั้นๆ ว่า Tenant), และ Accounts ซึ่งใน Microsoft Entra ID supported Accounts อยู่ 2 ชนิด คือ User และ Group Accounts หรือจะเรียกว่า Identity ก็ได้ครับ ในส่วนของ Protocols ที่เกี่ยวข้องกับ Microsoft Entra ID มีหลาย Protocols ครับ เช่น OAuth, OpenID, SAML, และอื่นๆ นอกจากนี้แล้วตัวของ Microsoft Entra ID มีความสามารถในการไป Integrate ทำงานร่วมกับ Cloud/SaaS Apps, ,การบริหารจัดการ Devices, สามารถ Integrate กับ Active Directory Domain Service (AD DS) เพื่อทำ Hybrid Identity Scenario, และอื่นๆ 

3. Microsoft Entra Domain Services หรือชื่อเดิม Azure AD Domain Services เป็น Service นึงใน Microsoft Azure ที่ให้บริการในส่วนของ "Managed Domain Services" และมาพร้อมกับฟีเจอร์บางส่วนของ Active Directory Domain Service (AD DS) ปรกติที่เราใช้งานกันใน On-Premise ครับ ยกตัวอย่าง เช่น 

- Domain Join

- Group Policy

- LDAP

- Kerberos/NTLM Authentication Protocols

และในบทความนี้ผมจะเน้นไปที่ Microsoft Entra Domain Services ครับ แต่ก่อนจะไปที่ Microsoft Entra Domain Services มีเรื่องหนึ่งที่อยากจะอธิบายให้ทุกท่านได้ทราบและเข้าใจก่อนครับ นั่นก็คือ หากเกิดกรณีที่เราหรือองค์กรใดก็ตามมีความต้องการที่จะวางแผนและดำเนินการในเรื่องราวเกี่ยวกับการบริหารจัดการ Identity และแน่นอนจะต้องเกี่ยวข้องกับ Active Directory-Based Identity Solutions ที่ผมได้อธิบายไปก่อนหน้านี้ครับ โดยในกรณีดังกล่าวนี้สมมติว่า ถ้าเรามี Applications หรือ Services ที่ต้องทำงานร่วมกับ AD DS แต่อยากจะ Deploy Applications/Services ดังกล่าวนี้บน Cloud เช่น Microsoft Azure คำถามคือเราจะต้องดำเนินการอย่างไร?  จากกรณีดังกล่าวนี้เรามีสิ่งหนึ่งที่จะต้องดำเนินการแน่ๆ นั่นก็คือ จะต้องเอา Applications ดังกล่าวนี้มา Join เข้ากับ AD DS (ซึ่งโดยปรกติอยู่ใน On-Premise)  มี 2 ทางเลือกสำหรับกรณีดังกล่าวนี้สำหรับการวางแผนเกี่ยวกับ AD DS ที่จะทำงานบน Cloud นั่นก็ คือ:

- A Self-Manage Domain, คือ การที่เราจะดำเนินการ AD DS ในรูปแบบของ IaaS นั่นก็คือ เราจะต้องไปทำการสร้าง VM (Azure VM), ติดตั้ง OS (Windows Server), และทำการ Promote Additional DCs และแน่นอนจะต้องมีการเชื่อมต่อกับ DCs ตัวอื่นๆ ก่อนหน้านี้ที่อยู่ใน On-Premise จากนั้นก็นำ Applications ที่รันอยู่ใน VM (Azure VM) มาทำการ Join เข้ากับ Domain (AD DS)  สำหรับแนวทางนี้ผมเชื่อว่าหลายๆ ท่านน่าจะคุ้นเคยกันอยู่แล้ว โดยเฉพาะใน IT Environment ที่มีลัษณะเป็น Multiple Locations หรือมีหลายๆ ที่นั่นเองครับ

- A Managed Domain, คือ การที่เรานำเอา Microsoft Entra Domain Services มาประยุกต์ใช้งานแทนแนวทางแรกครับ

จากทั้ง 2 แนวทางจากกรณีตัวอย่างที่ผมยกมาข้างต้น คือ สิ่งที่ทุกท่านจะต้องทำการพิจารณาครับว่า ถ้ามีความต้องการที่จะขยายหรือ Extend Active Directory Domain Service (AD DS) ไปใช้งานบน Cloud (Microsoft Azure) เพื่อที่รองรับกับการทำงานของ Applications/Services ที่ยังคงต้องการทำงานกับ AD DS นี่คือเรื่องนึงที่จะต้องถูกนำมาพิจารณาเพื่อดำเนินการวางแผนและออกแบบต่อไปครับ

และจากที่ผมได้แจ้งไว้ก่อนหน้านี้ว่า บทความนี้ผมจะเน้นไปที่ Microsoft Entra Domain Services เรามาทำความรู้จัก Microsoft Entra Domain Services กันครับ 

โดยขอเริ่มจากสิ่งที่ Microsoft Entra Domain Services ให้บริการเราจะเรียกว่า "Managed Domain Services" ซึ่งจะมาพร้อมกับฟีเจอร์บางส่วนของ AD DS ปรกติตามที่ผมได้อธิบายไว้ข้างต้นครับ นอกจากนี้แล้วการที่เราพิจารณาแล้วว่าเราต้องการนำเอา Microsoft Entra Domain Services มาใช้งานก็เพราะว่า เราไม่อยากใช้งาน AD DS ในรูปแบบเดิม คือ ต้องมี Server (VM) ที่ทำหน้าที่เป็น DC เพราะเราจะต้องคอยมาดูแล DCs เหล่านี้ เช่น การ Deploy, Manage, และการ Patch DCs เหล่านี้ เป็นต้น นั่นหมายความว่า Microsoft Entra Domain Services ที่ให้บริการ Managed Domain Services จะเข้ามาจัดการเรื่องราวนี้แทนเราหรือผู้ดูแลระบบเองครับ และยังสามารถนำเอา Applications/Services ที่ยังคงต้องการทำงานร่วมกับ AD DS สำหรับในกรณีคือ Microsoft Entra Domain Services โดยการที่เราสามารถทำการ Join Applications/Services (VMs) มายัง Microsoft Entra Domain Services ได้เหมือนกับ AD DS ปรกติครับ ซึ่งถือว่าเป็นวัตถุประสงค์นึงที่เราพิจารณานำเอา Microsoft Entra Domain Services มาประยุกต์ใช้งานครับ

นอกจากนี้แล้วตัวของ Microsoft Entra Domain Services ยัง Integrate ทำงานร่วมกับ Microsoft Entra ID โดยการ Integrate เพื่อทำงานร่วมกันนี้ส่งผลทำให้ผู้ใช้งานที่ทำการ Sign-In เข้ามาเพื่อเข้าใช้งาน Applications/Services ที่เชื่อมต่อกับ Managed Domain โดยใช้ Credentials ที่มีอยู่แล้วทำให้องค์กรดังกล่าวได้รับ Benefits นึง นั่นก็คือ Single Sign-On หรือ SSO ครับ

และเมื่อเราตัดสินใจแล้วจะเริ่มใช้งาน Microsoft Entra Domain Services นั่นหมายความว่าเราได้ทำความเข้าใจตลอดจนวางแผนและเตรียมความพร้อมทุกอย่างเรียบร้อย สิ่งแรกที่จะต้องดำเนินการในตัวของ Microsoft Entra Domain Services คือ การสร้าง Domain Services ขึ้นมาและจะต้องกำหนด  Namespace ครับ จากนั้นสิ่งที่จะเกิดขึ้นเบื้องหลังคือ Microsoft Entra Domain Services จะทำการสร้างและ Deploy  2 Domain Controllers ไปยัง Azure Regions ที่เรากำหนดครับ โดยการ Deploy DCs ดังกล่าวนี้จะถูกเรียกว่า "Replica Set" ครับ และที่สำคัญคือ เราไม่ต้องไป Manage, Configure, รวมถึงการ Update DCs เหล่านี้เลยครับ เพราะ Microsoft จะไปคนที่มาทำสิ่งเหล่านี้ให้เรา และจากจุดนี้เองก็จะแสดงให้เห็นว่าถ้าเราต้องการใช้ AD DS ที่อยู่ใน On-Premise และต้องการขยายไปบน Cloud (Microsoft Azure) เรามีทางเลือกเพิ่มเติมจากทางเลือกเดิม คือ ทำการ Deploy VM (Azure VM) แล้วทำการ Promote Additional DC ซึ่งทางเลือกดังกล่าวนี้เราจะต้องจัดการและดูแลทุกอย่างเอง ซึ่งแตกต่างจากทางเลือกที่เราใช้ Microsoft Entra Domain Services นอกจากนี้แล้ว Microsoft ยังเข้ามาจัดการ DCs หรือ Replica Set ซึ่งถือเป็นส่วนประกอบหนึ่งของ Managed Domain Services ใน Microsoft Entra Domain Services เพิ่มเติมอีก เช่น Backups และ Encryption (โดยใช้ Azure Disk Encryption) 

Managed Domain ที่เราสร้างขึ้นมาจะถูก Configured ให้ทำ One-Way Synchronization กับ Microsoft Entra ID โดยมีการ Sync Users, Groups, และอื่นๆ เราสามารถสร้าง Resources ต่างๆ ภายใน Managed Domain ได้ครับ เพียงแต่ว่ามันจะไม่มีการ Sync กลับไปยัง Microsoft Entra ID และใน Hybrid Cloud Environment, ที่ได้มีการ Implemented Hybrid Identity Scenario ก็จะทำงานร่วมกับ Managed Domain (Microsoft Entra Domain Services) ดังรูปครับ

ต่อเนื่องจากรูปด้านบน Microsoft Entra Domain Services จะทำการ Replicates Identity จาก Microsoft Entra ID รวมถึงการทำงานร่วมกับ Microsoft Entra Tenant (Microsoft Entra ID) โดย Microsoft Entra ID ก็จะทำการ Sync กับ On-Premise AD DS ครับ และสิ่งทีผมได้อธิบายจากรูปด้านบนเป็นเพียงคอนเซปและแนวทางการนำเอา AD DS หรือ Domain Services มาใช้งานผ่านทาง Microsoft Entra Domain Services เท่านั้นครับ ในการทำงานจริงเราจะต้องพิจารณาเพิ่มเติมด้วยว่าเราจะนำเอา Domain Services มาใช้งานผ่านทาง Microsoft Entra Domain Services อย่างไร? โดยมีให้เลือก 2 Options ครับ:

Option 1: Domain Service for Hybrid Organizations จะพิจารณา Option นี้หมายความว่าองค์กรดังกล่าวมี Hybrid Identity Scenario ใช้งานอยู่ เราต้องการนำเอา Microsoft Entra Domain Services มา Integrate ทำงานด้วยครับ

Option 2: Domain Service for Cloud-Only Organizations จะพิจาณา Option นี้หมายความว่าองค์กรดังกล่าวไม่มี AD DS ใน On-Premise แต่ต้องการสร้างและใช้งาน AD DS บน Cloud (Microsoft Azure) เพื่อนำเอา Applications/Services ที่ต้องการทำงานร่วมกับ AD DS มาทำการ Join กับ AD DS ผ่านทาง Managed Domain Services ของ Microsoft Entra Domain Services ครับ

เมื่อมาถึงจุดนี้ เราสามารถสรุปและทำความเข้าใจกับ Microsoft Entra Domain Services ได้ว่า Microsoft Entra Domain Services เป็น Service ที่เข้ามาเป็นทางเลือกในการพิจารณาในเรื่องของการที่เราจะขยายการบริหารจัดการ AD DS ตลอดจนการนำเอา Applications/Services ที่ต้องการติดต่อและทำงานร่วมกับ AD DS ดังกล่าวไปนี้ไปบน Cloud (Microsoft Azure) จึงต้องการความสามารถหรือฟีเจอร์ต่างๆ เช่น Domain Join และฟีเจอร์อื่นๆ (ความสามารถหรือฟีเจอร์เหล่านี้มีอยู่ใน AD DS ปรกติอยู่แล้ว) เพื่อที่จะทำให้ผู้ใช้งานสามารถเข้าถึง Applications/Services ดังกล่าวนี้ ตลอดจน Resources อื่นๆ ได้ แต่ไม่อยากจะใช้ AD DS ในรูปแบบเดิม (VMs) เพราะจะต้องคอยมาจัดการอะไรต่างๆ ตามที่ผมได้อธิบายไปก่อนหน้านี้ สิ่งที่เราจะต้องทำความเข้าใจเพิ่มเติมอีกก็คือ Microsoft Entra Domain Services มีความสามารถแค่บางส่วนของ Active Directory Domain Service (AD DS) เท่านั้นครับ 

เพราฉะนั้นเราจึงจำเป็นที่จะต้องทำความเข้าใจคอนเซปตลอดจนรายละเอียดต่างๆ ที่เกี่ยวข้องกับการบริหารจัดการ Identity ว่าเป็นอย่างไร รวมถึงทำความเข้าใจกับ Active Directory-Based Identity Solutions ว่าเป็นอย่างไร จากนั้นย้อนกลับไปดู Existing IT Environment ขององค์กรของเราเองว่าปัจจุบันเรื่องของการบริหารจัดการ Identity เป็นอย่างไร บวกกับความต้องการเพิ่มเติมที่เกี่ยวข้องกับเรื่องดังกล่าวนี้ นำทั้งหมดมาพิจารณา, วิเคราะห์, และทำการวางแผน & ออกแบบ เพื่อดำเนินการต่อไปครับผม .....

ทำความรู้จักกับ Microsoft Security Exposure Management (MSEM)

     สวัสดีครับทุกท่านเรากลับมาพบกันอีกเช่นเคยครับ ช่วงนี้ระวังเรื่องของฝุ่นกันหน่อยนะครับ ออกไปกลางแจ้งหรือข้างนอกอย่าลืมหาหน้ากากมาใส่ป้องกันนะครับ และหวังว่าทุกท่านจะสบายดีนะครับ เอาล่ะครับเรามาเข้าเรื่องราวที่ผมอยากจะนำเสนอในบทความนี้กันดีกว่าครับ โดยบทความนี้ผมจะพาทุกท่านไปทำความรู้จัก Product/Feature ใหม่ที่มีชื่อว่า "Microsoft Security Exposure Management" หรือเรียกสั้นๆ ว่า "MSEM" ครับ ก่อนที่จะเข้าสู่เรื่องราวของ Microsoft Security Exposure Management ผมอยากจะอธิบายเรื่องนึงก่อนครับ เพื่อที่จะให้ทุกท่านเข้าใจเรื่องราวของ Microsoft Security Exposure Management ซึ่งจะเกี่ยวข้องกับภาพใหญ่คือเรื่องของ Cybersecurity รวมถึงเรื่องของ Security Operations แน่นอนครับ

สำหรับเรื่องที่ผมอยากจะอธิบายคือ เรื่องของ "Security Posture" หรือบางเอกสารรวมถึงบางท่านจะเรียกสั้นๆ ว่า Posture ครับ ซึ่งเรื่องของ Security Posture นั้นถือว่าเป็นเรื่องหนึ่งหรือสามารถบอกได้ว่าเป็นปัจจัยหนึ่งที่สำคัญสำหรับการวางแผน, ออกแบบ, และดำเนินการในกระบวนการที่เราเรียกว่า Security Operations ครับ และเกี่ยวข้องแน่นอนกับ Security/SOC Teams ตลอดจนผู้ที่สนใจเรื่องราวของ Cybersecurity ครับ โดยส่วนตัวเองในเวลาที่ผมสอนหรืออบรมลูกค้าเกี่ยวกับเรื่องของ Microsoft Azure Security, Microsoft Cybersecurity, และอื่นๆ เรื่องนึงที่ผมมักจะหยิบยกมาอธิบายก่อนเลยคือ Security Posture ครับ เพราะฉะนั้นเรามาทำความรู้จักกันครับว่า Security Posture คืออะไร?

Security Posture คืออะไร?

Security Posture คือ การสะท้อนให้เห็นถึงภาพรวมความปลอดภัยของ IT Assets ที่อยู่ใน IT Environment ขององค์กรซึ่งครอบคลุมถึง Hybrid และ Multi-Cloud Environments ว่าเป็นอย่างไร ตัวอย่างของ IT Assets เช่น Identities, Endpoints, Apps, เป็นต้นครับ เพราะฉะนั้นถ้าเรามีข้อมูลและรู้ว่า Security Posture ของ IT Environment นั้นเป็นอย่างไร ก็จะทำให้เราสามารถดำเนินการในเรื่องของการวางแผนและออกแบบการ Secure & Protect IT Environment ได้ดียิ่งขึ้นครับ 

ดังนั้นองค์กรหรือท่านที่เกี่ยวข้องกับ Security Operations รวมถึง Cybersecurity ควรจะหาเครื่องมือหรือโซลูชั่นที่จะเข้ามาทำการรวบรวมข้อมูลของ IT Environment จากนั้นนำเอาข้อมูลที่รวบรวมมานั้น มาทำการวิเคราะห์, ตรวจสอบ, และทำการประเมิน Security Posture ของ IT Environment ดังกล่าวเพื่อให้เรารู้ว่ามีความเสี่ยง (Risk) กับจุดใดหรือ IT Assets ใดที่อยู่ใน IT Environment ดังกล่าวบ้าง และจะได้ดำเนินการปรับปรุงแก้ไขต่อไปเพื่อทำให้ Security Posture ของ IT Environment ขององค์กรนั้นมีความเสี่ยงน้อยลงและในทางกลับกันก็จะทำให้ภาพรวมของ Security Posture ของ IT Environment ขององค์กรมีความปลอดภัยมากขึ้นครับ เครื่องมือหรือโซลูชั่นที่จะเข้ามาดำเนินการตั้งแต่การรวบรวมข้อมูล, วิเคราะห์, ตรวจสอบ, และทำการประเมิน Security Posture ให้กับ IT Environment ขององค์กรนั้นมีหลากหลายครับ แม้กระทั่ง Microsoft เองก็มีเครื่องมือหรือโซลูชั่นที่จะดำเนินการเรื่องนี้หลายตัวครับ หนึ่งในนั้นคือ "Microsoft Defender for Cloud" หรือ MDC ซึ่งเป็น Service หนึ่งใน Microsoft Azure โดยตัวของ MDC นั้นมาพร้อมกับโซลูชั่นด้านความปลอดภัย คือ

- Cloud Security Posture Management (CSPM)

- Cloud Workload Protection Platform (CWPP)

- Cloud Native Application Protection Platform (CNAPP)

ซึ่ง CSPM ของ Microsoft Defender for Cloud คือ เครื่องมือหรือโซลูชั่นที่จะเข้าดำเนินการขั้นตอนต่างๆ ที่ผมได้อธิบายไว้ก่อนหน้านี้สำหรับเรื่องของ Security Posture ครับ โดยตัวของ MDC นั้นจะโฟกัสที่ Security Posture ที่เกี่ยวข้องกับ Infrastructure เป็นหลักครับ แต่ในความเป็นจริงแล้วยังมี Security Posture ของ IT Assets อื่นๆ อีกที่จะต้องดำเนินการ เช่น SaaS/Cloud Apps เช่น Microsoft 365 ซึ่ง Microsoft ก็มีเครื่องมือหรือโซลูชั่นในการเข้าไปทำการรวบรวมข้อมูล, วิเคราะห์, ตรวจสอบ, และทำการประเมิน Security Posture ของ Microsoft 365 ครับ เมื่อมาถึงตรงนี้ท่านผู้อ่านจะสังเกตเห็นว่าเครื่องมือหรือโซลูชั่นที่จะใช้ในการเข้าไปจัดการกับ Security Posture นั้นจะมีของใครของมันต่างหากรวมถึงข้อมูลที่ได้จากการตรวจสอบและประเมิน Security Posture ก็จะแยกของใครของมันเช่นเดียวกันหรือจะใช้คำว่าเครื่องมือหรือโซลูชั่นรวมถึงข้อมูลที่ได้จากการวิเคราะห์และประเมิน Security Posture มีลักษณะที่เรียกว่า Data (Security Posture) Silos ครับ 

และจากประเด็นนี้ส่งผลทำให้ SOC/Security Teams ตลอดจนผู้ที่เกี่ยวข้องในกระบวน Security Operations ก็จะต้องดูข้อมูลต่างๆ เกี่ยวกับ Security Posture ของ IT Assets ขององค์กรด้วยเครื่องมือต่างๆ จากนั้นต้องมาปะติดปะต่อเป็นภาพใหญ่เพื่อทำให้เข้าใจว่าภาพรวมทั้งหมดของ Security Posture ขององค์กรเป็นอย่างไร จากนั้นก็จะนำมาคิดและพิจารณาดำเนินการจัดการต่อไป มาถึงตรงนี้ทุกท่านจะเห็นว่า SOC/Security Teams ขาดเรื่องของ Visibility ของ Security Posture ทั้งหมดจากที่เดียวครับ และจากประเด็นดังกล่าวนี้เอง จึงเป็นจุดเริ่มต้นที่ทาง Microsoft ได้ทำการเตรียม Microsoft Security Posture Management (MSEM) เข้ามาช่วยจัดการประเด็นดังกล่าวนี้ครับ

Microsoft Security Posture Management (MSEM) คืออะไร?

คือ เครื่องมือที่จะทำการยุบรวม Data Silos (ข้อมูลเกี่ยวกับ Security Posture ของ IT Assets ต่างๆ) ที่กระจัดกระจายมารวมไว้ที่ MSEM หรือถ้าจะอ้างอิงตาม Cybersecurity Solutions ทั่วๆ ไป สามารถบอกได้ว่า Microsoft Security Posture Management หรือ MSEM ให้บริการหรือทำหน้าที่ที่เรียกว่า "Extended Security Posture Management" หรือ "XSPM" ครับ

โดยการยุบรวม Data Silos ข้างต้นส่งผลทำให้ SOC/Security Teams มองเห็นภาพรวมทั้งหมดของ Security Posture แบบ End-to-End ทำให้  SOC/Security Teams เข้าใจตลอดจนดำเนินการกับ Security Exposure ที่เกี่ยวข้องกับ Security Posture นั้นๆ ส่งผลทำให้ภาพรวมของ IT Environment ขององค์กรนั้นๆ มีความปลอดภัยมากขึ้นครับ โดยส่วนตัวถ้าท่านใดมีความคุ้นเคยกับ Microsoft Defender Family เช่น Microsoft Defender for Endpoint, Microsoft Defender for Cloud, และอื่นๆ ก็สามารถที่จะใช้งาน MSEM ได้ครับ เพราะ MSEM จะเข้ามาทำงานร่วมกับ Microsoft Defender Family และอื่นๆ ครับ และยิ่งไปกว่านั้น MSEM จะถูกเพิ่มเข้าไปใน Microsoft Defender XDR เพื่อดำเนินการเรื่องของ Security Posture แบบ End-to-End ส่งผลทำให้ SOC/Security Teams สามารถใช้ Portal เดียวในการดำเนินการในเรื่องของ Security Operations และก่อนหน้านี้ Microsoft ก็ได้ทำการ Integrate ระหว่าง XDR (Microsoft Defender XDR) กับ SIEM (Microsoft Sentinel) ภายใตัคอนเซปที่เรียกว่า "Unified Security Operations Platform" ครับ

ประโยชน์หรือ Benefits ของ MSEM

- ทำการยุบรวม (Consolidate) Data Silos ของ Security Posture ของ IT Assets มาไว้ที่เดียว ส่งผลทำให้มองเห็นภาพรวมทั้งหมดที่เกี่ยวกับ Security Posture แบบ End-to-End ผ่านทาง MSEM

- ทำการวิเคราะห์และประเมินความเสี่ยง (Risk Assessment) และจัดลำดับความเสี่ยงของ IT Assets ว่า IT Assets ใดที่มีความเสี่ยงสูงหรือต่ำ

- แสดงให้เห็นว่า Attackers เข้ามาใน IT Environment อย่างไรตลอดจนการเข้าถึง IT Assets ต่างๆ ได้อย่างไร ทำให้ SOC/Security Teams สามารถจัดการและป้องกันต่อไป เรียกความสามารถนี้ว่า "Attack Path Analysis" ครับ

- อื่นๆ 

ตัวของ Microsoft Security Exposure Management หรือ MSEM สามารถทำงานร่วมกับ Security Solutions ต่างๆ ดังนี้ (ณ ขณะที่เขียนบทความนี้)

1. CSPM

- Microsoft Defender for Cloud (MDC)

2. Endpoint Security

- Microsoft Defender for Endpoint (MDE)

3. IAM

- Microsoft Defender for Identity (MDI)

- Microsoft Entra ID (Free, P1, และ P2)

4. SaaS/Cloud Application Security

- Microsoft Defender for Cloud Apps (MDA)

5. Vulnerability Management

- Microsoft Defender Vulnerability Management (MDVM)

- Qualys Vulnerability Mangement (Preview)

- Rapid7 Vulnerability Management (Preview)

6. Email Security

- Microsoft Defender for Office (MD)

7. OT/IoT Security

- Microsoft Defender for IoT

8. อื่นๆ

การใช้งาน Microsoft Security Exposure Management นั้นจะขึ้นอยู่กับ Plan หรือ License ครับ โดย Plan หรือ License ต่อไปนี้ที่สามารถใช้ MSEM ได้:

- Microsoft 365 E5

- Microsoft 365 E3 (with Microsoft Enterprise Mobility + Security E5 Add-On)

- Microsoft 365 A5

- Microsoft 365 A3 (with Microsoft 365 A5 Security Add-On)

- Microsoft Defender for Endpoint (Plan1 และ Plan 2)

- อื่นๆ

รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft Security Exposure Management สามารถไปที่ Link นี้ได้เลยครับ, Microsoft Security Exposure Management | Microsoft Security

 

และทั้งหมดนี้คือเรื่องราวของ Microsoft Security Exposure Management เบื้องต้นที่ผมอยากจะแนะนำให้ทุกท่านได้รู้จักครับผม.....

AI เทคโนโลยีกับ Cybersecurity ตอนที่ 2

      สวัสดีครับทุกท่าน สำหรับบทความนี้จะเป็นเรื่องราวเกี่ยวกับ AI เทคโนโลยีกับ Cybersecurity โดยในบทความนี้ผมได้เล่าเรื่องราวต่างๆ ของ AI ไปในระดับหนึ่ง ดังนั้นในบทความนี้จะเป็นเรื่องราวที่ต่อเนื่องจากตอนที่แล้วครับ และเพื่อไม่ให้เป็นการเสียเวลาเรามาเข้าสู่เรื่องราวดังกล่าวนี้กันได้เลยครับ

Machine Learning (ML) คืออะไร?

ML หรือ Machine Learning ที่เราได้ยินกันบ่อยๆ และยังถูกนำเอาไปใช้กันซึ่งรวมถึงเรื่องของ Cybersecurity เช่นเดียวกัน โดย ML ถือว่าเป็นส่วนหนึ่งหรือ Subset หนึ่งของ AI ครับ ซึ่ง ML ทำให้ Computers หรือ Systems สามารถเรียนรู้ข้อมูลต่างๆ และทำการตัดสินใจครับ โดยตัวของ ML ยังแบ่งเป็นรูปแบบต่างๆ ดังนี้:

1. Supervised Learning

2. Unsupervised Learning

3. Reinforcement Learning

นอกจาก ML แล้วเรามักจะได้ยินอีกคำหนึ่งที่อยู่ในเรื่องราวของ AI และ ML นั่นก็คือ "Deep Learning" ครับ 

Deep Learning คืออะไร?

โดยตัวของ Deep Learning นั้นถือว่าเป็นส่วนหนึ่งหรือ Subset หนึ่งของ ML ครับ โดย Deep Learning นั้นถูกสร้างและพัฒนามาจาก "Artificial Neural Network" หรือเรียกย่อๆ ว่า "ANN" ซึ่งเป็น Computational Models ที่ได้แรงบันดาลใจมาจากโครงสร้างและการทำงานของสมองของมนุษย์ครับ

และจากแนวคิดประกอบกับแรงบันดาลใจในการสร้าง ANN ที่มีโครงสร้างและการทำงานเหมือนกับสมองของมนุษย์นั้น ถ้าเราเข้าไปดูกันในเรื่องดังกล่าวนี้เราจะเห็นว่าโครงสร้างและการทำงานของสมองของมนุษย์เรานั้นประกอบไปด้วยสิ่งที่เรียกว่า Neuron หรือเซลล์ประสาท ซึ่งเป็นเซลล์พื้นฐานที่สำคัญของสมอง โดยในสมองของมนุษย์เรานั้นประกอบไปด้วย Neurons จำนวนมากและแต่ละเซลล์จะมีการเชื่อมต่อและติดต่อสื่อสารกันและกันซึ่งก่อให้เกิดสิ่งที่เรียกว่า Neural Network ครับ 

และเซลล์เหล่านี้ (Neurons) ยังมีการนำเอาเข้าข้อมูลต่างๆ เข้ามาโดยผ่านช่องทางต่างๆ เช่น จากการมองเห็น, จากการได้ยิน, และอื่นๆ และจะมีการส่งข้อมูลเหล่านี้ไปยังเซลล์ต่างๆ และสุดท้ายก็จะเกิดการกระทำต่างๆ ตามมา โดยการทำงานของ Neurons รวมถึง Neural Network นั้นส่งผลทำให้มนุษย์เราสามารถคิด, เรียนรู้, และอื่นๆ ครับ 

และจากคอนเซปการทำงานของเซลล์ของสมองนี่เองเจ้า ANN (Artificial Neural Network) จึงถูกสร้างและพัฒนาขึ้นมาตามที่อธิบายไว้ก่อนหน้านี้ ดังนั้น ANN จึงเป็น Computational Network ซึ่งถูกออกแบบและสร้างมาจาก Biological Neural Network ของสมองของมนุษย์เรานั่นเองครับ

และในช่วงที่ผ่านมาจนถึง ณ ตอนนี้อีกคำหนึ่งที่หลายๆ ท่านน่าจะได้ยินกันอยู่บ่อยๆ และยังคงเกี่ยวข้องกับเรื่องราวของ AI ที่ผมกำลังเล่าอยู่ ณ ขณะนี้ นั่นก็คือ คำว่า "Generative AI" ครับ

Generative AI คืออะไร?

คือรูปแบบหนึ่งของ AI ที่มีความสามารถในการสร้างสิ่งใหม่ๆ ขึ้นมา เช่น เพลง, ภาพ, และอื่นๆ โดยที่เราไม่ต้องบอกรายละเอียดต่างๆ เหมือนกับ AI ในรูปแบบต่างๆ ก่อนหน้านี้ โดย AI ในรูปแบบก่อนหรือรูปแบบเดิมนั้นจะต้องมีการให้ข้อมูลตลอดจนรายละเอียดต่างๆ เพื่อให้ AI ทำงานตามที่กำหนดหรือระบุไว้ เช่น การแก้ปัญหา เป็นต้น ในขณะที่ Generative AI นั้นสามารถแสดงความสามารถในการสร้างสรรค์ (Creativity) สิ่งใหม่ๆ หรือ Contents ใหม่ๆ เหมือนกับความสามารถในการสร้างสรรค์ของมนุษย์เราครับ และนี่คือภาพรวมของ AI ตลอดจนส่วนประกอบต่างๆ ครับ

และทั้งหมดนี้คือเรื่องราวต่างๆ ของ AI เทคโนโลยีครับ และต้องเรียนทุกท่านว่าเรื่องราวของ AI ที่ผมนำเสนอผ่านบทความนี้รวมถึงตอนก่อนหน้านี้เป็นเพียงแค่ส่วนหนึ่งเท่านั้นครับ ซึ่งในความเป็นจริงยังมีรายละเอียดอีกเยอะมากครับ และโดยวัตุประสงค์ของผมมีเพียงแค่ให้ทุกท่านได้รู้จักกับคอนเซปตลอดจนคำศัพท์ต่างๆ ที่เกี่ยวข้องเท่านั้นครับ และต่อจากนี้ผมจะพาทุกท่านเข้าสู่เรื่องราวของ AI กันต่อโดยจะเป็นการนำเอา AI เทคโนโลยีไปประยุกต์ใช้งานกับ Cybersecurity ครับ โปรดติดตามครับผม.....

Zero Trust กับ Security Operations

      สวัสดีปีใหม่ครับทุกท่าน สำหรับบทความนี้ถือว่าเป็นบทความแรกของปี 2025 ของผมเลยครับ โดยบทความนี้ผมอยากจะนำเสนอเรื่องราวเกี่ยวกับ Cybersecurity โดยจะโฟกัสที่ Model หรือ Framework ที่มีความสำคัญมากเพราะ Model ดังกล่าวนี้ถือว่าเป็นส่วนสำคัญมากส่วนหนึ่งที่จะช่วยเราในเรื่องของการทำความเข้าใจ, การวางแผน, การออกแบบ, ตลอดจนการนำเอา Security Solutions ต่างๆ ที่จะเข้ามาช่วยสร้างความปลอดภัยใหักับ IT Environments ขององค์กรโดยจะครอบคลุมทั้ง Hybrid และ Multi-Cloud ครับ โดย Model หรือ Framework ดังกล่าวนี้คือ "Zero Trust" ครับ สำหรับท่านใดที่ยังไม่รู้จักกับ Zero Trust เลยผมแนะนำให้ย้อนกลับไปอ่านบทความของผมที่นำเสนอเรื่องราวของ Zero Trust ก่อนนะครับ โดยตัวของ Zero Trust นั้นยังมีความเกี่ยวข้องกับ "Security Operations" หรือ SecOps ด้วยครับ โดย Security Operations นั้นจะเกี่ยวข้องกับกระบวนการต่างๆ โดยเริ่มจากการรวบรวมข้อมูล (Data Collection) โดยข้อมูลดังกล่าวนี้ในมุมของ Cybersecurity จะเกี่ยวข้องพวก Logs ต่างๆ ที่อยู่ใน IT Environments ขององค์กรที่ดำเนินการ Security Operations ครับ โดยข้อมูลที่รวบรวมมาได้ จะถูกนำมาวิเคราะห์และค้นหาสิ่งผิดปรกติ, เหตุการณ์หรือพฤติกรรมต่างๆ ที่น่าสงสัยและมีความเป็นไปได้ว่าจะก่อให้เกิดการโจมตี (Attacks) จาก Attackers โดย Security Operations ประกอบไปด้วยกระบวนต่างๆ ดังรูปด้านล่างครับ

ดังนั้นหน้าที่ความรับผิดชอบของท่านที่ดำเนินการเกี่ยวกับ Security Operations หรือ SecOps หลักๆ ก็จะทำหน้าที่เกี่ยวกับ 

- Security Monitoring

- Incident Management

- Orchestration

- อื่นๆ

โดยทีมที่เข้ามาดำเนินการ Security Operations หรือ SecOps จะมีเครื่องมือหรือ Tools ต่างๆ  ตลอดจนเทคนิดและวิธีการที่จะทำให้ IT Environments นั้นๆ มีความปลอดภัยมากขึ้นเพื่อลดความเสี่ยงจากการที่จะถูกโจมตี ดังนั้นการที่ทีมงานที่เกี่ยวข้องกับ Security Operations หรือ SecOps นำเอา Zero Trust เข้ามาประยุกต์ใช้งานในการออกแบบและสร้างความปลอดภัยให้กับ IT Environments ขององค์กรมากขึ้น และสิ่งสำคัญเรื่องหนึ่งสำหรับทีมงานที่เกี่ยวข้องกับ Security Operations คือ เรื่องการมองเห็นและเข้าใจภาพทั้งหมดของ IT Environments ที่เรากำลังดำเนินการหรือจัดการอยู่ให้ครบถ้วน และจากสิ่งที่ผมกำลังอธิบายอยู่ ณ ขณะนี้ ในมุมของ Cybersecurity มักนิยมใช้คำนี้ คือ "Visibility" ครับ ดังนั้นทีมที่เกี่ยวข้องกับเรื่องราวของ Security จะต้องเห็นและเข้าใจแบบ End-to-End Visibility ครับ เพื่อที่จะทำให้การดำเนินการหรือจัดการเรื่องของความปลอดภัยได้ดีขึ้นครับ ซึ่ง Zero Trust ก็จะเข้ามาช่วยในประเด็นนี้เช่นเดียวกันครับ เพราะเมื่อเราทำการออกแบบ Cybersecurity Architecture โดยมีการนำเอา Zero Trust เข้ามาช่วยในการออกแบบจะทำให้เราเห็นภาพครบถ้วน (Visibility) อีกทั้งยังช่วยในเรื่องของการ Mitigation ด้วยครับ

และทีมงานที่เกี่ยวข้องกับเรื่องราวของ Cybersecurity ที่จะเข้ามาดำเนินการต่างๆ ในภาพและคอนเซปของ Security Operations ที่ผมได้อธิบายไว้ข้างต้น ตลอดจนที่ดังกล่าวนี้จะต้องดำเนินการกระบวนการต่างๆ ตามคอนเซป Security Operations โดยอาศัยเครื่องมือต่างๆ จาก Security Solutions ที่ได้ออกแบบไว้ โดยสิ่งเหล่านี้จะเข้ามาดำเนินการต่างๆ เช่น Continuous Threat Detection & Protection, Mitigation, และอื่นๆ และทีมงานที่ว่านี้โดยปรกติจะเรียกว่า "Security Operations Center" หรือเรียกกันสั้นๆ ว่า "SOC" ครับ เชื่อว่าหลายๆ ท่านจะน่าเคยได้ยินหรือคุ้นหูกันนะครับ บางทีก็จะเรียกว่า "Security Team" ก็ได้ครับ โดยภายนทีมดังกล่าวก็ยังประกอบไปด้วยทีมย่อยๆ เพื่อดำเนินการเกี่ยวกับ Security Operations ครับ

สำหรับเครื่องมือต่างๆ ที่มาพร้อมกับ Security Solutions ที่ได้มีการออกแบบไว้นั้น (โดย SOC Team หรือ Security Team จะเป็นทีมที่ใช้งาน Security Solutions ตลอดจนเครื่องมือต่างๆ ครับ) ก็จะมาพร้อมกับเทคโนโลยีต่างๆ ที่ถูกใส่เข้ามาใน Security Solutions เหล่านั้นและแน่นอนรวมถึง Security Solutions ของ Microsoft ครับ และนี่คือตัวอย่างของเทคโนโลยีที่อยู่ใน Security Solutions ที่ SOC Teams ควรจะพิจารณานำมาใช้งานครับ

- Extended Detection and Response (XDR)

- Cloud Security Posture Management (CSPM)

- Cloud Workload Protection (CWP)

- User Entity Behavior Analytics (UEBA)

- Security Information and Event Management (SIEM)

- อื่นๆ 

และอย่างที่ผมได้เน้นย้ำจากตอนต้นของบทความว่า "Zero Trust" เป็นสิ่งสำคัญสิ่งหนึ่งในการวางแผนและออกแบบ Cybersecurity Architecture ครับ และไม่ใช่เพียงแค่ Microsoft เท่านั้นที่นำเอาแนวคิดหรือ Framework (Zero Trust) มาใช้งาน ยังมีอีกหลายๆ Vendors ครับที่นำเอา Zero Trust มาใช้กับ Security Solutions ต่างๆ ของแต่ละ Vendors เอง เช่น Zero Trust (Microsoft), BeyondCorp (Google), LISA, CARTA (Gartner), NIST, และอื่นๆ ครับ 

Microsoft (Zero Trust)

BeyondCorp (Google)

CARTA (Gartner)

โดยเป้าหมายหรือวัตถุประสงค์หลักของ Zero Trust ของทุกๆ Vendors คือ ทำการปรับปรุงและพัฒนาเรื่องของความปลอดภัย (Security) โดยทำการตรวจสอบ (Verify) ทุกอย่าง (Users, Endpoints, เป็นต้น) ตลอดก่อนที่จะเข้าถึง Resources ต่างๆ ขององค์กร และทำให้องค์กรดังกล่าวมีความปลอดภัยมากขึ้น

มาถึงตรงนี้ทุกท่านจะเห็นว่า Zero Trust ไม่ใช่เป็นเพียงแค่ Model หรือ Framework ที่เอาไว้ท่องจำเฉยๆ หรือดูแค่เพียงผ่านๆ ในทางกลับกัน Zero Trust เป็นสิ่งที่สำคัญมากสิ่งหนึ่งตามที่ผมได้อธิบายไว้ในบทความนี้ครับ โดยส่วนตัวผมใช้ Zero Trust แทบจะเป็นประจำหรือเป็นกิจวัตรครับ เพราะงานของผมส่วนใหญ่จะเกี่ยวข้องกับ Cybersecurity โดยเน้นไปที่เรื่องของการวางแผนและออกแบบ Cybersecurity Architecture ให้กับลูกค้า รวมถึงผมยังนำเอาเรื่องนี้ไปถ่ายทอดและบรรยายใน Courses ต่างๆ ที่เกี่ยวข้องกับ Cybersecurity อีกด้วยครับ โดยเฉพาะท่านใดที่อ่านบทความนี้และตัวของท่านเองสนใจเรื่องราวดังกล่าวนี้ตลอดจนท่านที่มีบทบาทหน้าที่ในการวางแผนและออกแบบหรือท่านที่เป็น Cybersecurity Architect อย่าลืมที่จะทำความเข้าใจคอนเซปและเรื่องราวต่างๆ ของ Zero Trust ด้วยนะครับ เพราะเป็นสิ่งที่จะเข้ามาช่วยท่านได้ในการวางแผนและออกแบบ ตลอดจนการนำเอา Security Solutions ต่างๆ เข้ามาช่วยสร้างความปลอดภัยให้กับ IT Environments (ครอบคลุมทั้ง Hybrid และ Multi-Cloud) ขององค์กรของท่านครับ 

สำหรับท่านใดที่สนใจและอยากศึกษาเรื่องราวเกี่ยวกับ Zero Trust ของ Microsoft สามารถไปที่ Link นี้ได้เลยครับ, โมเดล Zero Trust - สถาปัตยกรรมการรักษาความปลอดภัยสมัยใหม่ | Microsoft Security

Zero Trust ของทาง Google (BeyondCorp) ไปที่ Link นี้ได้ครับ, BeyondCorp Zero Trust Enterprise Security | Google Cloud

Zero Trust ของทาง Gartner (CARTA) ไปที่ Link นี้ได้เลยครับ, Zero Trust Architecture: Strategies and Benefits | Gartner

และทั้งหมดนี้คือเรื่องราวส่วนเล็กๆ ส่วนหนึ่งของ Zero Trust กับ Security Operations ที่ผมนำมาฝากทุกท่านครับผม.....

รู้จักกับ Microsoft Entra Workload ID (Identities)

      สวัสดีครับทุกท่าน สำหรับบทความนี้ผมอยากจะนำเสนอเรื่องราวของ Identity ซึ่งถือว่าเป็นสิ่งที่หลายๆ ท่านรวมถึงตัวผมจะต้องเข้าไปเกี่ยวข้องไม่มากก็น้อยครับ สำหรับเรื่องของ Identity ในบทความนี้ผมจะพาทุกท่านไปทำความรู้จักกับ "Microsoft Entra Workload ID" ครับ ซึ่งจะตัวของ Microsoft Entra Workload ID นี้ก็จะเกี่ยวข้อง Service หนึ่งที่ทำหน้าที่ในการบริหารจัดการ Identity ครับ โดย Service นี้มีชื่อว่า "Microsoft Entra ID" นั่นเองครับ และอย่างที่เราทราบกันว่า Microsoft Entra ID นั้นถือว่าเป็น Service หลักและเป็น Service ที่สำคัญสำหรับองค์กรที่นำเอา Clouds ของ Microsoft เข้ามาประยุกต์ใช้งาน ไม่ว่าจะเป็น Microsoft 365, Microsoft Azure, เป็นต้น เราจะต้องเข้าไปเกี่ยวข้องและใช้งาน Microsoft Entra ID แน่นอนครับ นอกจากนี้แล้วตัวของ Microsoft Entra ID ยังมีความสามารถในการทำงานร่วมกับ "Active Directory Domain Service" หรือ AD DS ซึ่งเป็น Role หนึ่งของ Windows Server (Domain Controller) เพื่อทำ Hybrid Identity (Single Sign-On หรือ SSO) ท่านใดที่สนใจหรืออยากรู้จัก Microsoft Entra ID สามารถย้อนไปอ่านบทความก่อนหน้านี้ของผมได้ครับ และเพื่อไม่ให้เป็นการเสียเวลาเรามาทำความรู้จักกับ Microsoft Entra Workload ID กันเลยครับ

Microsoft Entra Workload ID คืออะไร?

Microsoft Entra Workload ID คือ Identity ชนิดหนึ่ง (ซึ่งในความเป็นจริงแล้วใน Microsoft Entra ID มี Identity หลากหลายรูปแบบ เช่น Microsoft Entra ID Accounts, Microso Entra External ID, เป็นต้น) ที่เราทำการกำหนด (Assign) ให้กับ Software Workloads (Application, Service, Script, และ Container) เพื่อทำการ Authenticate และ Authorize (เข้าถึง Resources ต่างๆ) และโดยส่วนใหญ่แล้วเราจะพิจารณาใช้ Microsoft Entra Workload ID กับ Software Workloads ตามที่เกริ่นไว้ข้างต้น ตัวอย่างของการใช้งาน Microsoft Entra Workload ID เช่น เราต้องการให้ GitHub Actions เข้าถึงหรือ Access Microsoft Azure Subscription, ใช้ในการเข้าถึงหรือ Access Microsoft Graph, หรือใช้ Microsoft Entra Workload ID เป็น AWS Service Role กับ EC2 เพื่อเข้าถึงข้อมูลใน Amazon S3 Bucket เป็นต้น

ถ้าเรามองและทำความเข้าใจในมุมเทคนิคที่เกี่ยวข้องระหว่าง Microsoft Entra ID กับ Microsoft Entra Workload ID สามารถอธิบายได้ว่า Microsoft Entra Workload ID (Identities) คือ

- Application คือ Application ที่ถูก Developed ขึ้นเพื่อใช้งานและนำเอา Application ดังกล่าวนี้มา Integrate กับ Microsoft Entra ID (เพื่อทำ Authentication และ Authorization)

- Service Principal*

- Managed Identity*

*รายละเอียดของ Service Principal, และ Managed Identity คืออะไร ทุกท่านสามารถอ่านบทความนี้ได้ครับ, WT Blog (ITGeist): รูปแบบต่างๆ ของ Identity ใน Microsoft Entra ID (itgeist5blog.blogspot.com)

นอกจากนี้แล้วถ้าเรามองในภาพรวมแบบ High-Level ที่เกี่ยวข้องกับ Identity เรายังสามารถแบ่งออกเป็น 2 แบบ คือ

1. Machine Identities (Non-Human Identities)  คือ Identity ที่แสดงถึงหรือใช้กับสิ่งที่ไม่ใช่มนุษย์หรือ Human ครับ โดย Machine Identities แบ่งออกเป็น 2 ชนิด (อ้างอิงตามรูปด้านบน) คือ 1. Workload Identities (เช่น Applications) และ 2. Device Identities คือ Desktop, Mobile, IoT Sensors และ IoT Managed Devices, เป็นต้น

2. Human Identities คือ Identity ที่แสดงถึงหรือใช้กับมนุษย์หรือ Human เช่น พนังงานขององค์กร, ลูกค้า, ที่ปรึกษา, และอื่นๆ 

สิ่งที่ต้องพิจารณาในการบริหารจัดการและใช้งาน Identity ทั้ง 2 แบบ (Machine และ Human Identities) เรื่องหนึ่งเลยที่จะต้องพิจารณาคือ เรื่องของความปลอดภัย เพราะ Identity ทั้ง 2 แบบ เมื่อถูกนำเอาไปใช้งานจะมีลักษณะที่แตกต่างกัน เช่น ในกรณีของ Human Identities นั้น, จะมีลักษณะเป็น Single Identity และทำการเข้าถึง Resources ต่างๆ  ในขณะที่ Machine หรือ Non-Human Identities คือ Software Workloads (Application, Services, และอื่นๆ) ที่มาพร้อมกับหลายๆ Credentials และต้องการเข้าถึง Resources ที่แตกต่างกันทั้งนี้ขึ้นอยู่กับความต้องการครับ ดังนั้นเราจะต้องวางแผนและเตรียมการในเรื่องของการ Secure และ Protect Identities ต่างๆ ของ Microsoft Entra ID โดยมีอาจจะนำเอาฟีเจอร์หรือ Services ตัวอื่นๆ เข้ามาช่วยในเรื่องนี้ ยกตัวอย่างเช่น Microsoft Entra Conditional Access, Microsoft Entra ID Protection, เป็นต้น

รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft Entra Workload ID สามารถไปที่ Link นี้ได้เลยครับผม, Microsoft Entra Workload ID | Microsoft Security

และทั้งหมดนี้คือเรื่องราวของ Microsoft Entra Workload ID ที่ผมนำฝากทุกท่านครับผม.....

AI เทคโนโลยีกับ Cybersecurity ตอนที่ 1

      สวัสดีครับทุกท่าน กลับมาเจอกันเหมือนเดิมครับ สำหรับบทความนี้ผมตั้งใจว่าจะนำเสนอเรื่องราวของเทคโนโลยี AI (Artificial Intelligence) ซึ่งในช่วงที่ผ่านมาจนถึง ณ ตอนนี้เป็นเทคโนโลยีที่หลายๆ องค์กรตลอดจนหลายๆ ท่านให้ความสนใจ โดยมีการนำเอาเทคโนโลยีดังกล่าวนี้เข้ามาประยุกต์ใช้งานในหลากหลายด้านในองค์กรครับ แต่บทความนี้ผมอยากจะนำเสนอเรื่องราวของการนำเอา AI มาช่วยในเรื่องของความปลอดภัยหรือ Security ให้กับระบบ IT ขององค์กรไม่ว่าองค์กรดังกล่าวนั้นจะมีรูปแบบเป็น Hybrid หรือ Multi-Cloud Environment ก็ตาม โดยผมจะเริ่มจากพาทุกท่านไปทำความรู้จักกับ AI กันก่อน เพราะมีเรื่องราวตลอดจนคำศัพท์ต่างๆ ที่เกี่ยวข้องกับเทคโนโลยีดังกล่าวเยอะพอสมควร เช่น Machine Learning, Deep Learning, LLM, และอื่นๆ เป็นต้นครับ จากนั้นตามด้วยประโยชน์ที่เราจะได้รับถ้าเรามีการนำเอา AI เข้ามาช่วยในเรื่องของ Security หรือ Cybersecurity ครับ และตามด้วย Security Solutions ของทาง Microsoft ที่จะเข้ามาช่วยในการป้องกันภัยคุกคามที่จะเข้ามาโจมตี IT Environment ครับ ซึ่งรวมถึงผมจะพาทุกท่านไปทำความรู้จักกับ Microsoft Copilot for Security ครับ และเพื่อไม่ให้เป็นการเสียเวลาเรามาเริ่มกันเลยครับ

Artificial Intelligence (AI) คืออะไร?

Artificial Intelligence  หรือ AI นั้นเป็นเทคโนโลยีที่เข้ามาเกี่ยวข้องกับชีวิตประจำวันของเราอยู่นานแล้วครับและในแต่ละช่วงเวลาก็มีการพัฒนาเทคโนโลยีดังกล่าวให้มีความสามารถมากขึ้นเรื่อยๆ ครับ และก่อนที่ผมจะบอกหรืออธิบายว่า AI คืออะไร? นั้น ผมขอเริ่มด้วยตัวอย่างนี้ครับ โดยอยากให้ทุกท่านนึกภาพตามผม โดยสมมติว่าผมอยากไปเตะฟุตบอล แต่ผมหาลูกฟุตบอลไม่เจอ ไม่รู้ว่ามันหายไปไหน!!!  แล้วผมจะหามันเจอได้อย่างไร? 

จากตัวอย่างข้างต้น ผมคงต้องเริ่มคิดก่อนว่าสิ่งที่ผมต้องการหานั้นคืออะไร (ลูกฟุตบอล), มีลักษณะอย่างไร, สีอะไร, ขนาดเท่าไร, และอื่นๆ เพื่อทำให้ระบุหรือกำหนด (Identify) สิ่งนั้นที่ผมต้องการค้นหา จากนั้นตามด้วยแนวทางหรือกลยุทธ์ (Strategy) ในการค้นหาว่าผมจะมีแนวทางหรือวิธีในการค้นหาอย่างไร เช่น เริ่มหาจากภายในบ้าน, ห้องไหนที่เราจะเริ่มค้นหา, ในกรณีถ้าหาทั่วบ้านแล้วยังไม่เจอ จะต้องไปถามใครบ้าง, และอื่นๆ ตลอดจนนึกถึงสถานการณ์หรือเหตุการณ์ (Situation) ที่เกี่ยวข้อง เช่น ก่อนหน้านี้ผมได้นำเอาลูกฟุตบอลนี้ไปเตะกับใคร, ก่อนหน้านี้มีใครมาขอยีมรึป่าว, และอื่นๆ  โดยสิ่งต่างๆ ที่ผมได้อธิบายไว้ข้างต้นจะถูกนำมาคิดวิเคราะห์เพื่อตัดสินใจและดำเนินการหาลูกฟุตบอลที่หายไป โดยกระบวนการดังกล่าวนี้จะผ่านการคิดวิเคราะห์เพื่อดำเนินการผ่านทางสมองของมนุษย์เรา (Human Brain) และในที่สุดผมก็หาลูกฟุตบอลดังกล่าวนี้เจอ 

และถ้าผมต้องการเอาเรื่องราวจากตัวอย่างนี้ทั้งหมดไปใส่ใน Computers/Machines/Systems โดยใช้ AI เทคโนโลยี 

เพื่อในอนาคตผมเกิดทำลูกฟุตบอลหายอีก ผมสามารถที่จะให้ Computers/Machines/Systems นี้ทำการค้นหาลูกฟุตบอลให้ผม โดยผมต้องทำให้ Computers/Machines/Systems ดังกล่าวนี้สามารถคิดและทำเหมือนกับผมครับ โดยผมต้องทำให้ Computers/Machines/Systems เรียนรู้เรื่องราวๆ ต่างๆ ที่เกี่ยวข้องทั้งหมดที่เกี่ยวข้องกับลูกฟุตบอลตามที่ผมอธิบายไว้ก่อนหน้านี้ ยกตัวอย่างเช่น ข้อมูลเกี่ยวกับลูกฟุตบอล (รูปร่าง, สี, ขนาด, และอื่นๆ), สภาพแวดล้อมของบ้าน (ห้อง, ขั้น, และอื่นๆ), และอื่นๆ เพื่อให้ Computers/Machines/Systems ทำการค้นหาลูกฟุตบอลได้เองในครั้งหน้าถ้าเกิดลูกฟุตบอลผมหายอีก เพราะฉะนั้นมาถึงตรงนี้ ถ้ามีใครถามผมว่า AI คืออะไร? ผมขออธิบายแบบนี้ครับ AI คือเทคโนโลยีที่ทำให้ Computers/Machines/Systems สามารถคิดและตัดสินใจได้เหมือนกับมนุษย์ครับ โดย AI ทำให้ Computers/Machines/Systems สามารถวิเคราะห์ข้อมูลและตัดสินใจโดยที่ไม่ต้องมีมนุษย์เราให้คำแนะนำครับ 

และอย่างที่ผมได้เกริ่นไว้ตอนต้นว่าในชีวิตประจำวันของเรานั้นมี AI เทคโนโลยีเข้ามาเกี่ยวข้องอยู่แล้วครับ เช่น เวลาที่เราเข้าไปสั่งซื้อสินค้าออนไลน์, รับชมหนังหรือซีรีย์ผ่านทาง Streaming ยี่ห้อต่างๆ, และอื่นๆ ครับ ซึ่ง ณ ปัจจุบันมีการนำเอา AI เทคโนโลยีมาประยุกต์ใช้งานในหลากหลายรูปแบบ เช่น

- Social Media Algorithms

- Virtual Assistants- Online Shopping 

- อื่นๆ 

ยิ่งไปกว่านั้นเรายังสามารถแบ่งประเภทหรือชนิดของ AI ได้เป็น 2 แบบ ดังนี้:

1. แบบที่สร้างขึ้นมาสำหรับ Capability

2. แบบที่สร้างขึ้นมาสำหรับ Functionality

1. แบบที่สร้างขึ้นมาสำหรับ Capability ยังแบ่งออกเป็นอีก 3 ประเภท คือ

1.1 Narrow AI, คือ ประเภทหนึ่งของ AI  มีอีกชื่อหนึ่งคือ Weak AI ที่ถูกออกแบบมาเพื่อให้ทำงานเฉพาะอย่างหรือเฉพาะทางเท่านั้น เช่น ในการค้นหาข้อมูลใน Search Engine, ในการทำ Email Spam Filters, และอื่นๆ 

1.2 General AI, คือ  AI ประเภทที่สามารถเรียนรู้และเข้าใจ ตลอดจนสามารถทำงานต่างๆ เหมือนกับมนุษย์ได้

1.3 Super AI, คือ AI ประเภทที่สามารถเรียนรู้, เข้าใจ, และทำสิ่งต่างๆ เท่ากับ Human Intelligence (คือ ความสามารถของมุนษย์เราที่สามารถรับรู้ข้อมูลต่างๆ, การคิดวิเคาระห์, อารมณ์, ความคิดสร้างสรร, และอื่นๆ) สำหรับ AI ประเภทนี้ยังคงอยู่ในการทดลองและพัฒนา แต่เราสามารถเห็นได้จากหนังหลายๆ เรื่อง เช่น The Matrix, I Robot, และอื่นๆ เป็นต้นครับ

2. แบบที่สร้างขึ้นมาสำหรับ Functionality แบ่งออกเป็นอีก 4 ประเภท คือ

2.1 Reactive Machines, คือ ประเภทหนึ่งของ AI ที่ไม่มี Memory โดยการทำงานจะพิจารณจากข้อมูลและสถานการณ์ปัจจุบันเท่านั้น เพื่อทำงานต่างๆ 

2.2 Limited Memory, คือ ประเภทหนึ่งของ AI ที่มี Memory ขั่วคราวเพื่อใช้ในการทำงานและเป็นการปรับปรุงจาก AI ประเภทแรกก่อนหน้านี้ โดย AI ประเภทนี้จะมีการใช้งานและเก็บข้อมูลต่างๆ ก่อนหน้านี้เอาไว้ใน Memory (ซึ่งเก็บได้ระยะเวลาหนึ่งเท่านั้นหรือเรียกว่า Short-Term Memory) เพื่อทำให้การทำงานตลอดจนการตัดสินใจดีขึ้นกว่าประเภทแรก

2.3 Theory Of Mind, คือ ประเภทหนึ่งของ AI ที่ยังอยู่ในการทดลองและพัฒนา เพราะ AI ประเภทนี้จะมีความสามารถในการเรียนรู้และเข้าใจสิ่งต่างๆ ของมนุษย์ เช่น อารมณ์ของมุนษย์ (Human Emotions), ความเชื่อ (Belief), และอื่นๆ

2.4 Self-Aware AI, คือ ประเภทหนึ่งของ AI ที่มีความฉลาดมากๆ หรือเรียกว่า Super Intelligent เพราะ AI ประเภทนี้สามารถเรียนรู้และเข้าใจในเรื่องราวต่างๆ เช่น ความตระหนักรู้ (Consciousness), อารมณ์ (Sentiment), และอื่นๆ 

และทั้งหมดนี้คือเรื่องราวของ AI ตอนที่ 1 ซึ่งเป็นจุดเริ่มต้นที่ผมจะพาทุกท่านเข้าสู่เรื่องราวของ AI เทคโนโลยีที่จะนำมาประยุกต์ใช้งานในด้าน Cybersecurity ครับผม.....