“9 เครื่องมือจัดการ Attack Surface ที่องค์กรควรรู้ – ป้องกันภัยไซเบอร์ก่อนถูกเจาะ!”

ในยุคที่ระบบ IT เชื่อมต่อกับโลกภายนอกตลอดเวลา การรู้ว่า “อะไรเปิดเผยอยู่บ้าง” คือกุญแจสำคัญในการป้องกันการโจมตี เครื่องมือประเภท CAASM (Cyber Asset Attack Surface Management) และ EASM (External Attack Surface Management) จึงกลายเป็นหัวใจของการรักษาความปลอดภัยระดับองค์กร

บทความจาก CSO Online ได้รวบรวม 9 เครื่องมือเด่นที่ช่วยค้นหาและจัดการช่องโหว่ในระบบขององค์กร โดยแต่ละตัวมีจุดเด่นต่างกัน เช่น การมองจากมุมของแฮกเกอร์, การเชื่อมต่อกับระบบภายใน, หรือการวิเคราะห์ความเสี่ยงเชิงธุรกิจ

เป้าหมายของเครื่องมือเหล่านี้คือการลด “ข้อมูลที่แฮกเกอร์มองเห็น” ให้เหลือน้อยที่สุด โดยยังคงให้บริการธุรกิจได้ตามปกติ และสามารถตรวจจับการเปลี่ยนแปลงแบบเรียลไทม์ เช่น การเพิ่ม asset ใหม่ หรือการเปลี่ยน config ที่อาจเกิดจาก human error หรือการโจมตี

ความเข้าใจพื้นฐานของ Attack Surface
หมายถึงทรัพยากรทั้งหมดที่เข้าถึงได้จากอินเทอร์เน็ต เช่น IP, domain, application
รวมถึง open ports, SSL, server platform และ protocol ที่ใช้งาน
ช่องโหว่เกิดจาก config ผิดพลาดหรือ software ที่ยังไม่ได้ patch
แม้ asset จะอยู่ใน data center ก็ยังเสี่ยง หากไม่มีการ monitor ที่ดี

ความสามารถของเครื่องมือ CAASM/EASM
ตรวจจับ asset ใหม่และ config drift แบบเรียลไทม์
วิเคราะห์ความเสี่ยงจากทั้งมุมเทคนิคและมุมธุรกิจ
เชื่อมต่อกับระบบภายใน เช่น Jira, ServiceNow, Slack
บางตัวสามารถทำ remediation อัตโนมัติหรือผ่าน playbook

เครื่องมือเด่นที่แนะนำ
Axonius – เน้น asset inventory และ policy compliance เช่น PCI/HIPAA
CrowdStrike Falcon Surface – มองจากมุมแฮกเกอร์ พร้อม remediation ผ่าน integration
CyCognito – วิเคราะห์ความสัมพันธ์ระหว่าง asset และจัดลำดับความเสี่ยง
Informer – ค้นหา asset บน web/API พร้อม pen testing เสริม
JupiterOne – แสดง asset แบบ visual map พร้อม query ขั้นสูง
Microsoft Defender EASM – ค้นหา shadow IT และ probe ทุก layer ของ tech stack
Rapid7 InsightVM – มีสิทธิ์ออก CVE ใหม่ พร้อม dashboard วิเคราะห์แบบเจาะลึก
SOCRadar AttackMapper – ตรวจ SSL, DNS, defacement และ correlate กับวิธีโจมตี
Tenable.asm – วิเคราะห์ asset ด้วย metadata กว่า 200 field พร้อม context เชิงธุรกิจ

ข้อควรระวังและคำเตือน
การ scan แบบ periodic ไม่เพียงพอ ต้องใช้ monitoring แบบต่อเนื่อง
การไม่จัดการ config drift อาจเปิดช่องให้โจมตีโดยไม่รู้ตัว
หากไม่เชื่อมโยง asset กับ context ธุรกิจ อาจจัดลำดับความเสี่ยงผิด
การใช้หลายเครื่องมือโดยไม่มีการบูรณาการ อาจทำให้ข้อมูลกระจัดกระจาย
การไม่ฝึกซ้อม incident response ทำให้ 57% ของเหตุการณ์จริงไม่เคยถูกจำลองมาก่อน

https://www.csoonline.com/article/574797/9-attack-surface-discovery-and-management-tools.html

“Idealist.org ลดค่าใช้จ่ายจาก $3,000 เหลือ $55 ต่อเดือน – เปลี่ยนจาก Heroku มาใช้เซิร์ฟเวอร์เดียวกับ Disco!”

Idealist.org ซึ่งเป็นเว็บไซต์หางานด้าน nonprofit ที่มีผู้ใช้งานหลายล้านคนต่อเดือน เคยใช้ Heroku สำหรับ staging environment โดยเสียค่าใช้จ่ายถึง $500 ต่อ environment และมีทั้งหมด 6 environment รวมแล้วจ่ายถึง $3,000 ต่อเดือน แค่เพื่อการทดสอบก่อนปล่อยจริง!

ทีมงานจึงทดลองย้าย staging environment ไปยังเซิร์ฟเวอร์เดียวบน Hetzner ราคาเพียง $55 ต่อเดือน โดยใช้เครื่องมือชื่อว่า Disco ซึ่งช่วยให้ยังคง workflow แบบ “git push to deploy” ได้เหมือนเดิม

Disco ไม่ใช่แค่ docker-compose ธรรมดา แต่ให้ฟีเจอร์แบบ PaaS เช่น deploy อัตโนมัติ, SSL certificate, UI สำหรับดู log และจัดการ environment ได้ง่าย ๆ ทำให้ทีมสามารถสร้าง staging ใหม่ได้ทันทีโดยไม่ต้องขออนุญาตหรือกังวลเรื่องค่าใช้จ่าย

ผลลัพธ์คือจากเดิมที่มีแค่ 2 environment (dev และ main) ตอนนี้มีถึง 6 environment บนเซิร์ฟเวอร์เดียว โดยใช้ CPU แค่ ~2% และ RAM 14 GB จาก 32 GB เท่านั้น

แม้จะต้องจัดการ DNS, CDN และดูแลเซิร์ฟเวอร์เอง แต่ทีมยอมรับได้ เพราะประหยัดงบมหาศาล และได้ความคล่องตัวในการพัฒนาเพิ่มขึ้น

ปัญหาที่พบจากการใช้ Heroku
ค่าใช้จ่ายสูงถึง $500 ต่อ staging environment
ต้องจำกัดจำนวน environment เพราะงบประมาณ
ระบบ staging กลายเป็นทรัพยากรที่หายากและต้องขออนุญาตก่อนใช้

แนวทางใหม่ที่ใช้ Disco บนเซิร์ฟเวอร์เดียว
ใช้ Hetzner CCX33 ราคา $55/เดือน
ใช้ Disco เพื่อรักษา workflow แบบ git push to deploy
แชร์ Postgres instance เดียวกันสำหรับ staging ทั้งหมด
สร้าง environment ใหม่ได้ง่ายและรวดเร็ว
ใช้ CPU ~2% และ RAM 14 GB จาก 32 GB

ฟีเจอร์ของ Disco ที่ช่วยให้ใช้งานง่าย
deploy อัตโนมัติแบบ zero-downtime
SSL certificate อัตโนมัติสำหรับทุก branch
UI สำหรับดู log และจัดการ environment
ไม่ต้องเขียน automation เองเหมือนใช้ VPS แบบดิบ ๆ

ผลลัพธ์ที่ได้
ลดค่าใช้จ่ายจาก $3,000 เหลือ $55 ต่อเดือน
สร้าง staging ได้ทันทีโดยไม่ต้องขออนุญาต
เพิ่มความคล่องตัวในการพัฒนาและทดสอบ
เปลี่ยน mindset จาก “staging เป็นของแพง” เป็น “staging เป็นของฟรี”

ข้อควรระวังและคำเตือน
ต้องจัดการ DNS และ CDN ด้วยตัวเอง
ต้องดูแลเรื่อง security และ monitoring ของเซิร์ฟเวอร์
หากเซิร์ฟเวอร์ล่ม ต้อง reprovision ใหม่เอง
ต้องปรับ networking ของแอปให้เข้ากับ Docker
Disco ยังไม่เหมาะกับ workload ที่ต้อง redundancy สูง

https://disco.cloud/blog/how-idealistorg-replaced-a-3000mo-heroku-bill-with-a-55mo-server/

“แฮกเกอร์จีนใช้คีย์ ASP.NET ที่หลุด – ฝัง TOLLBOOTH Backdoor และ Rootkit บน IIS Server ทั่วโลก!”

Elastic Security Labs และ Texas A&M University System Cybersecurity เผยการค้นพบแคมเปญโจมตีจากกลุ่มแฮกเกอร์ที่พูดภาษาจีน ซึ่งใช้คีย์ ASP.NET ที่ถูกเปิดเผยต่อสาธารณะในการเจาะระบบ Microsoft IIS Server ที่ตั้งค่าผิดพลาด

แฮกเกอร์ใช้คีย์ machineKey ที่หลุดจากเอกสาร Microsoft และ StackOverflow เพื่อสร้าง payload ที่สามารถ deserialization ผ่าน ViewState ได้ ทำให้สามารถรันคำสั่งบนเซิร์ฟเวอร์ได้โดยไม่ต้องยืนยันตัวตน

หลังจากเจาะระบบได้แล้ว พวกเขาจะติดตั้ง backdoor ชื่อว่า TOLLBOOTH ซึ่งเป็น IIS module ที่มีความสามารถทั้ง SEO cloaking, webshell, และ command execution โดยมี webshell ซ่อนอยู่ที่ /mywebdll พร้อมรหัสผ่าน hack123456!

TOLLBOOTH ยังสามารถแยกแยะระหว่าง bot ของ search engine กับผู้ใช้จริง เพื่อแสดงเนื้อหาหลอกลวงให้ bot เห็น (เพื่อดัน SEO) และ redirect ผู้ใช้ไปยังเว็บไซต์อันตราย ซึ่งเป็นเทคนิคที่เรียกว่า link farm network

หากวิธีฝัง backdoor ล้มเหลว แฮกเกอร์จะใช้เครื่องมือ Remote Monitoring & Management (RMM) ชื่อ GotoHTTP เพื่อควบคุมเครื่องผ่านเบราว์เซอร์โดยตรง

นอกจากนี้ยังพบ rootkit ระดับ kernel ที่ชื่อว่า HIDDENDRIVER ซึ่งดัดแปลงจากโครงการโอเพ่นซอร์สชื่อ “Hidden” โดยใช้เทคนิค DKOM (Direct Kernel Object Manipulation) เพื่อซ่อน process, ไฟล์ และ registry key จากเครื่องมือวิเคราะห์ระบบ

การโจมตีนี้ถูกจัดกลุ่มเป็น REF3927 และพบว่ามีความเชื่อมโยงกับแคมเปญที่ Microsoft และ AhnLab เคยรายงานมาก่อน โดยมีเป้าหมายเป็นเซิร์ฟเวอร์ IIS กว่า 571 เครื่องทั่วโลก ยกเว้นในประเทศจีน ซึ่งสอดคล้องกับพฤติกรรมของกลุ่มแฮกเกอร์จีนที่มักหลีกเลี่ยงการโจมตีภายในประเทศตัวเอง

วิธีการโจมตี
ใช้คีย์ ASP.NET machineKey ที่ถูกเปิดเผยสู่สาธารณะ
สร้าง ViewState payload เพื่อรันคำสั่งบน IIS Server
ติดตั้ง TOLLBOOTH IIS module เป็น backdoor
ใช้ GotoHTTP หากฝัง backdoor ไม่สำเร็จ
ติดตั้ง rootkit HIDDENDRIVER เพื่อซ่อนการทำงาน

ความสามารถของ TOLLBOOTH
มี webshell ซ่อนอยู่ที่ /mywebdll พร้อมรหัสผ่าน
รองรับการอัปโหลดไฟล์และรันคำสั่ง
มี endpoint สำหรับ health check, debug และ clean
มี SEO cloaking engine เพื่อหลอก bot และ redirect ผู้ใช้
ใช้ JSON config จากเซิร์ฟเวอร์ควบคุม

ความสามารถของ HIDDENDRIVER
ใช้เทคนิค DKOM เพื่อซ่อน process, ไฟล์ และ registry
มี companion app ชื่อ HIDDENCLI เขียนด้วยภาษาจีน
ปรับปรุงจากโปรเจกต์ “Hidden” ด้วยฟีเจอร์ AMSI bypass และ whitelist process
ซ่อนตัวจากเครื่องมืออย่าง Process Explorer ได้

ขอบเขตของการโจมตี
พบการติดเชื้อใน IIS Server อย่างน้อย 571 เครื่อง
ครอบคลุมหลายอุตสาหกรรม เช่น การเงิน โลจิสติกส์ การศึกษา
ไม่มีเหยื่อในประเทศจีน – สะท้อนการใช้ geofencing
พบการติดตั้งซ้ำในหลายองค์กร แสดงว่าปัญหายังไม่ถูกแก้ที่ต้นเหตุ

https://securityonline.info/chinese-hackers-exploit-exposed-asp-net-keys-to-deploy-tollbooth-iis-backdoor-and-kernel-rootkit/

“ช่องโหว่ CVE-2025-11492 บน ConnectWise Automate” — เสี่ยงถูกโจมตีแบบ Man-in-the-Middle หากใช้ HTTP แทน HTTPS

ConnectWise ได้ออกแพตช์ฉุกเฉินสำหรับช่องโหว่ร้ายแรง CVE-2025-11492 ซึ่งมีคะแนน CVSS สูงถึง 9.6 โดยช่องโหว่นี้เกิดจากการตั้งค่าที่อนุญาตให้ Agent ของระบบ Automate ใช้การสื่อสารผ่าน HTTP แทน HTTPS ซึ่งเปิดช่องให้ผู้โจมตีที่อยู่ในตำแหน่งเครือข่ายแบบ Man-in-the-Middle (MitM) สามารถดักฟัง แก้ไข หรือส่งคำสั่งปลอมไปยังเซิร์ฟเวอร์ได้

ช่องโหว่นี้มีผลกระทบสูงมาก เพราะ ConnectWise Automate เป็นระบบ RMM (Remote Monitoring and Management) ที่มีสิทธิ์เข้าถึงระดับผู้ดูแลระบบในเครื่องลูกข่ายจำนวนมาก หากถูกโจมตีสำเร็จ อาจนำไปสู่การติดตั้งมัลแวร์หรือการควบคุมระบบจากระยะไกล

แพตช์เวอร์ชัน 2025.9 ได้แก้ไขโดยบังคับให้ Agent ทุกตัวใช้ HTTPS เท่านั้น และแนะนำให้ผู้ใช้ที่ติดตั้งแบบ on-premise เปิดใช้ TLS 1.2 เพื่อเพิ่มความปลอดภัยในการสื่อสาร

นอกจากนี้ยังมีช่องโหว่ CVE-2025-11493 (CVSS 8.8) ที่เกี่ยวข้องกับการตรวจสอบไฟล์อัปเดตไม่เพียงพอ ซึ่งอาจทำให้ผู้โจมตีแทรกไฟล์ปลอมระหว่างการอัปเดต Agent ได้ โดยช่องโหว่นี้จะถูกปิดเมื่อมีการบังคับใช้ HTTPS เช่นกัน

ข้อมูลในข่าว
ช่องโหว่ CVE-2025-11492 มีคะแนน CVSS 9.6 เกิดจากการใช้ HTTP แทน HTTPS
เสี่ยงถูกโจมตีแบบ Man-in-the-Middle หากอยู่ในเครือข่ายเดียวกัน
ConnectWise Automate เป็นระบบ RMM ที่มีสิทธิ์ระดับสูงในเครื่องลูกข่าย
แพตช์เวอร์ชัน 2025.9 บังคับใช้ HTTPS สำหรับ Agent ทุกตัว
แนะนำให้เปิดใช้ TLS 1.2 สำหรับเซิร์ฟเวอร์แบบ on-premise
ช่องโหว่ CVE-2025-11493 เกี่ยวข้องกับการตรวจสอบไฟล์อัปเดตไม่เพียงพอ
การบังคับใช้ HTTPS ช่วยปิดช่องโหว่ทั้งสองตัว
ระบบ cloud-hosted ของ ConnectWise ได้รับการอัปเดตแล้ว
ผู้ใช้แบบ on-premise ต้องอัปเดตด้วยตนเองเพื่อป้องกันความเสี่ยง

https://securityonline.info/critical-connectwise-automate-flaw-cve-2025-11492-cvss-9-6-allows-rmm-agent-man-in-the-middle-attack/

“ปกป้องข้อมูลในยุคคลาวด์ผสม – เลือกแพลตฟอร์มให้มั่นใจว่าไม่พังตอนวิกฤต”

ลองนึกภาพว่าองค์กรของคุณมีข้อมูลกระจายอยู่ทั่วทุกที่—จากอุปกรณ์ IoT ไปจนถึงคลาวด์หลายเจ้า ทั้ง AWS, Azure และ Google Cloud แล้ววันหนึ่งเกิดเหตุไม่คาดฝัน เช่น ransomware โจมตี หรือไฟดับจากภัยธรรมชาติ… ข้อมูลสำคัญจะยังปลอดภัยหรือไม่?

นั่นคือเหตุผลที่ “แพลตฟอร์มปกป้องข้อมูล” (Data Protection Platform) กลายเป็นสิ่งจำเป็นสำหรับองค์กรที่ใช้ระบบ hybrid cloud ซึ่งผสมผสานระหว่างคลาวด์สาธารณะ คลาวด์ส่วนตัว และเซิร์ฟเวอร์ภายในองค์กร

บทความนี้จาก CSO Online ได้เจาะลึกว่าองค์กรควรมองหาอะไรในแพลตฟอร์มปกป้องข้อมูล พร้อมแนวโน้มล่าสุดในตลาด และคำถามสำคัญที่ควรถามก่อนตัดสินใจซื้อ

นอกจากนี้ ผมขอเสริมว่าในปี 2025 ตลาด Data Protection ทั่วโลกมีมูลค่ากว่า 136 พันล้านดอลลาร์ และคาดว่าจะเติบโตถึง 610 พันล้านในอีกไม่กี่ปีข้างหน้า โดยเฉพาะบริการแบบ DPaaS (Data Protection as a Service) ที่มาแรงสุด ๆ เพราะองค์กรไม่ต้องดูแลเองทั้งหมด

สรุปประเด็นสำคัญ
ความจำเป็นของการปกป้องข้อมูลใน hybrid cloud
ข้อมูลองค์กรกระจายอยู่ในหลายระบบ ทั้ง IoT, edge, endpoint และคลาวด์
60% ของข้อมูลองค์กรอยู่ในคลาวด์ และ 80% ใช้ hybrid cloud
ความเสี่ยงจาก ransomware, ภัยธรรมชาติ, กฎหมายความเป็นส่วนตัว และการตั้งค่าผิดพลาด

ฟีเจอร์สำคัญที่ควรมีในแพลตฟอร์มปกป้องข้อมูล
การค้นหาและจัดประเภทข้อมูล (Data Discovery & Classification)
การประเมินช่องโหว่ (Vulnerability Assessment)
การเข้ารหัสและป้องกันข้อมูลสูญหาย (Encryption, DLP, CASB)
การตรวจสอบและวิเคราะห์แบบเรียลไทม์ (Monitoring & Analytics)
การควบคุมสิทธิ์การเข้าถึง (Access Control)
การตรวจสอบและรายงานเพื่อความสอดคล้องกับกฎหมาย (Audit & Compliance)
ความสามารถในการขยายระบบและรองรับการทำงานหนัก (Scalability & Performance)
ระบบอัตโนมัติที่ลดงานคนและเพิ่มความเร็วในการกู้คืน (Automation)

แนวโน้มตลาดและผู้ให้บริการชั้นนำ
DPaaS เติบโตเร็วที่สุดในตลาด เพราะองค์กรต้องการความยืดหยุ่นและไม่ต้องดูแลเอง
ผู้เล่นหลัก ได้แก่ AWS, Cisco, Dell, HPE, IBM
ผู้ให้บริการที่ครอบคลุมทั้งความปลอดภัยและการสำรองข้อมูล เช่น Cohesity, Commvault, Druva, Veritas

คำถามที่ควรถามก่อนเลือกแพลตฟอร์ม
ข้อมูลของเรามีอะไรบ้าง อยู่ที่ไหน และสำคัญแค่ไหน
ระบบสามารถป้องกัน ransomware ได้หรือไม่
รองรับการกู้คืนได้เร็วแค่ไหน
มีระบบอัตโนมัติและการทดสอบ disaster recovery หรือไม่
มีการรายงานและวิเคราะห์ที่ครอบคลุมหรือไม่
ราคาและ ROI คุ้มค่าหรือเปล่า

https://www.csoonline.com/article/4071098/what-to-look-for-in-a-data-protection-platform-for-hybrid-clouds.html

Decoding Market Opportunities: Key Insights from the Insomnia Market Research

Recent Insomnia Market research highlights how evolving patient expectations and technology integration are reshaping treatment methodologies. Research shows that insomnia affects more than one-third of adults globally, contributing to increased healthcare costs and lost productivity. The condition’s psychological and physiological impacts are encouraging pharmaceutical and technology companies to innovate beyond traditional medication-based therapies. Behavioral therapies, digital platforms, and wearable monitoring devices are at the forefront of this evolution. The increasing preference for non-drug treatments is transforming the competitive landscape, allowing new entrants and startups to thrive.

Ref - https://www.marketresearchfuture.com/reports/insomnia-market-545

“RediShell — ช่องโหว่ 13 ปีใน Redis ที่เปิดประตูให้แฮกเกอร์ยึดเซิร์ฟเวอร์กว่า 60,000 เครื่องทั่วโลก”

Redis ฐานข้อมูลแบบ in-memory ที่ใช้กันอย่างแพร่หลายในระบบคลาวด์ทั่วโลก กำลังเผชิญกับช่องโหว่ร้ายแรงที่ถูกค้นพบในปี 2025 โดยนักวิจัยจาก Wiz ซึ่งตั้งชื่อว่า “RediShell” (CVE-2025-49844) ช่องโหว่นี้มีคะแนนความรุนแรง CVSS เต็ม 10.0 และถูกซ่อนอยู่ในโค้ดของ Redis มานานกว่า 13 ปีโดยไม่มีใครตรวจพบ

จุดอ่อนเกิดจากบั๊กประเภท use-after-free ใน Lua interpreter ของ Redis ซึ่งเป็นฟีเจอร์ที่เปิดใช้งานโดยค่าเริ่มต้น ผู้โจมตีสามารถส่งสคริปต์ Lua ที่ถูกออกแบบมาอย่างเจาะจงเพื่อหลบหนีจาก sandbox และรันคำสั่ง native บนเซิร์ฟเวอร์ได้โดยตรง ส่งผลให้สามารถขโมยข้อมูล ติดตั้งมัลแวร์ หรือใช้เซิร์ฟเวอร์ที่ถูกยึดเพื่อโจมตีระบบอื่นต่อได้

จากการสแกนของ Wiz พบว่า Redis ถูกใช้งานในกว่า 75% ของระบบคลาวด์ และมี Redis instance ที่เปิดให้เข้าถึงจากอินเทอร์เน็ตกว่า 330,000 เครื่อง โดยประมาณ 60,000 เครื่องไม่มีระบบ authentication ใด ๆ ทำให้เสี่ยงต่อการถูกโจมตีโดยไม่ต้องยืนยันตัวตน

Redis ได้ออกแพตช์แก้ไขเมื่อวันที่ 3 ตุลาคม 2025 และแนะนำให้ผู้ดูแลระบบอัปเดตทันที พร้อมตั้งค่าความปลอดภัยเพิ่มเติม เช่น ปิด Lua scripting หากไม่จำเป็น ใช้บัญชี non-root และจำกัดการเข้าถึงผ่าน firewall หรือ VPC

RediShell เป็นตัวอย่างชัดเจนของ “หนี้ทางเทคนิค” ที่สะสมในโค้ดโอเพ่นซอร์ส และแสดงให้เห็นว่าการตั้งค่าระบบที่ไม่รัดกุมสามารถเปิดช่องให้เกิดการโจมตีระดับร้ายแรงได้ แม้จะไม่มีหลักฐานว่าช่องโหว่นี้ถูกใช้โจมตีจริงในขณะนี้ แต่ความเสี่ยงที่เกิดขึ้นถือว่าสูงมาก โดยเฉพาะในระบบที่เปิดสู่สาธารณะ

ข้อมูลสำคัญจากข่าว
ช่องโหว่ RediShell (CVE-2025-49844) เป็นบั๊ก use-after-free ใน Lua interpreter ของ Redis
ผู้โจมตีสามารถส่ง Lua script เพื่อหลบหนี sandbox และรันคำสั่ง native บนเซิร์ฟเวอร์
มี Redis instance เปิดสู่สาธารณะกว่า 330,000 เครื่อง โดย 60,000 ไม่มี authentication
Redis ใช้ในกว่า 75% ของระบบคลาวด์ทั่วโลก
Redis ออกแพตช์แก้ไขเมื่อวันที่ 3 ตุลาคม 2025
Wiz ค้นพบช่องโหว่นี้ในงาน Pwn2Own Berlin และแจ้ง Redis ล่วงหน้า
แนะนำให้ปิด Lua scripting หากไม่จำเป็น และใช้บัญชี non-root
ควรจำกัดการเข้าถึง Redis ด้วย firewall หรือ VPC
เปิดระบบ logging และ monitoring เพื่อจับพฤติกรรมผิดปกติ

ข้อมูลเสริมจากภายนอก
Lua เป็นภาษา lightweight ที่นิยมใช้ใน embedded systems และเกม
use-after-free เป็นบั๊กที่เกิดจากการใช้ memory หลังจากถูกปล่อยคืนแล้ว
Redis เคยถูกโจมตีด้วยมัลแวร์ เช่น P2PInfect, Redigo, HeadCrab และ Migo
Redis container บน Docker มักไม่มีการตั้งค่า authentication โดยค่าเริ่มต้น
การตั้งค่า bind 0.0.0.0 ใน Docker Compose อาจเปิด Redis สู่สาธารณะโดยไม่ตั้งใจ

https://hackread.com/13-year-old-redishell-vulnerability-redis-servers-risk/

“Synology กลับลำ! เปิดให้ใช้ฮาร์ดดิสก์ยี่ห้ออื่นอีกครั้ง หลังยอดขาย NAS ร่วงหนัก”

หลังจากสร้างความไม่พอใจให้กับผู้ใช้ทั่วโลกในช่วงต้นปี 2025 ด้วยนโยบายจำกัดการใช้งานฮาร์ดดิสก์จากแบรนด์อื่น ล่าสุด Synology ได้ประกาศกลับลำอย่างเงียบ ๆ โดยในอัปเดตระบบปฏิบัติการ DSM 7.3 ได้เปิดให้ NAS รุ่นใหม่สามารถใช้งานฮาร์ดดิสก์จากแบรนด์อื่นได้อีกครั้ง เช่น Seagate และ Western Digital โดยไม่มีการแจ้งเตือนหรือจำกัดฟีเจอร์เหมือนที่ผ่านมา

ก่อนหน้านี้ Synology ได้ออกนโยบายบังคับให้ผู้ใช้ NAS รุ่น DS925+, DS1825+ และ DS425+ ต้องใช้ฮาร์ดดิสก์ของ Synology เท่านั้น หากใช้แบรนด์อื่นจะพบข้อความเตือนว่า “ไม่รับรอง” และฟีเจอร์สำคัญอย่างการตรวจสอบสุขภาพของดิสก์หรือการซ่อม RAID จะถูกปิดใช้งาน ส่งผลให้ผู้ใช้จำนวนมากไม่พอใจและปฏิเสธการอัปเกรด

เสียงวิจารณ์จากชุมชนผู้ใช้และนักรีวิวเทคโนโลยีต่างกล่าวหาว่า Synology มีพฤติกรรม “บีบบังคับ” และ “โลภ” โดยเฉพาะเมื่อฮาร์ดดิสก์ของ Synology มีราคาสูงกว่าคู่แข่งอย่างชัดเจน ผู้ใช้บางรายถึงขั้นเขียนสคริปต์เพื่อหลบเลี่ยงข้อจำกัด และหลายคนหันไปใช้แบรนด์คู่แข่งอย่าง QNAP แทน

ยอดขาย NAS รุ่นใหม่ของ Synology ลดลงอย่างเห็นได้ชัดในช่วงหลายเดือนที่ผ่านมา จนบริษัทต้องปรับนโยบายใน DSM 7.3 โดยไม่ประกาศอย่างเป็นทางการ แต่ผลลัพธ์คือผู้ใช้สามารถใช้งานฮาร์ดดิสก์จากแบรนด์อื่นได้เต็มฟีเจอร์เหมือนเดิม รวมถึง SSD ขนาด 2.5 นิ้วด้วย

แม้จะยังมีข้อจำกัดบางส่วน เช่น การใช้งาน NVMe SSD ที่ยังต้องใช้รุ่นที่ผ่านการรับรองเท่านั้น แต่การกลับมาเปิดให้ใช้ฮาร์ดดิสก์ทั่วไปถือเป็นการคืนความยืดหยุ่นให้กับผู้ใช้ และอาจช่วยฟื้นภาพลักษณ์ของ Synology ที่เคยเป็นแบรนด์โปรดของผู้ใช้ NAS ทั่วโลก

ข้อมูลสำคัญจากข่าว
Synology กลับลำนโยบายห้ามใช้ฮาร์ดดิสก์แบรนด์อื่นใน NAS รุ่นใหม่
DSM 7.3 เปิดให้ใช้งานฮาร์ดดิสก์จาก Seagate, WD และแบรนด์อื่นได้เต็มฟีเจอร์
NAS รุ่น DS925+, DS1825+, DS425+ เคยถูกจำกัดการใช้งานฮาร์ดดิสก์ภายนอก
ฟีเจอร์ที่เคยถูกปิด เช่น S.M.A.R.T. monitoring และ RAID repair กลับมาใช้งานได้
ผู้ใช้สามารถใช้งาน SSD ขนาด 2.5 นิ้วจากแบรนด์อื่นได้โดยไม่มีข้อจำกัด
การเปลี่ยนแปลงนี้เกิดขึ้นหลังยอดขาย NAS รุ่นใหม่ลดลงอย่างหนัก
Synology ไม่ประกาศอย่างเป็นทางการ แต่ปรับนโยบายผ่าน DSM 7.3
ชุมชนผู้ใช้และนักรีวิววิจารณ์นโยบายเดิมว่าเป็นการบีบบังคับและไม่เป็นธรรม

ข้อมูลเสริมจากภายนอก
NAS คืออุปกรณ์จัดเก็บข้อมูลที่เชื่อมต่อผ่านเครือข่าย ใช้ในบ้านและองค์กร
DSM (DiskStation Manager) เป็นระบบปฏิบัติการของ Synology ที่ควบคุม NAS
NVMe SSD มีความเร็วสูง ใช้สำหรับ caching หรือ storage หลัก แต่ยังถูกจำกัดรุ่น
QNAP เป็นคู่แข่งหลักของ Synology และเคยมีปัญหา ransomware ในอดีต
การเปิดให้ใช้ฮาร์ดดิสก์ทั่วไปช่วยลดต้นทุนและเพิ่มความยืดหยุ่นในการใช้งาน

https://www.guru3d.com/story/synology-reverses-policy-banning-thirdparty-hdds-after-nas-sales-plummet/

“GreyNoise พบการโจมตีแบบประสานงานทั่วโลก เจาะช่องโหว่ Grafana CVE-2021-43798 — แค่ปลั๊กอินเดียว ก็อ่านไฟล์ระบบได้”

แม้ช่องโหว่ CVE-2021-43798 ใน Grafana จะถูกเปิดเผยมาตั้งแต่ปี 2021 แต่ล่าสุดเมื่อวันที่ 28 กันยายน 2025 บริษัท GreyNoise ได้ตรวจพบการโจมตีแบบประสานงานทั่วโลกที่พุ่งเป้าไปยังช่องโหว่นี้อย่างชัดเจน โดยมี IP ที่เป็นอันตรายถึง 110 รายการในวันเดียว ซึ่งถือเป็นการพุ่งขึ้นอย่างรวดเร็วหลังจากที่กิจกรรมโจมตีเงียบไปนานหลายเดือน

ช่องโหว่นี้เป็นแบบ path traversal ซึ่งเปิดให้ผู้โจมตีสามารถอ่านไฟล์ใดก็ได้ในระบบเซิร์ฟเวอร์ผ่าน endpoint /public/plugins/:pluginId โดยใช้เทคนิคการใส่ path แบบ ../../ เพื่อหลบหลีกการตรวจสอบและเข้าถึงไฟล์สำคัญ เช่น /etc/passwd โดยไม่ต้องมีสิทธิ์พิเศษ

จากการวิเคราะห์ของ GreyNoise พบว่าการโจมตีครั้งนี้มีรูปแบบการกระจายเป้าหมายแบบ 3:1:1 โดยเน้นไปที่สหรัฐฯ (100+ IP), สโลวาเกีย และไต้หวัน โดย IP ส่วนใหญ่ (107 จาก 110) มาจากบังกลาเทศ และเกือบทั้งหมดพุ่งเป้าไปยังเซิร์ฟเวอร์ในสหรัฐฯ ซึ่งแสดงให้เห็นถึงการวางแผนและการใช้เครื่องมือร่วมกัน

นอกจากนี้ยังพบว่ามีการใช้ fingerprint แบบ TCP และ HTTP ที่คล้ายกันในหลายประเทศ เช่น จีนและเยอรมนี ซึ่งบ่งชี้ว่าการโจมตีครั้งนี้ไม่ใช่การสุ่ม แต่เป็นการใช้เครื่องมือชุดเดียวกันหรือรายการเป้าหมายร่วมกัน

ช่องโหว่นี้เคยถูกใช้ในแคมเปญ SSRF และการ takeover บัญชีผู้ใช้ในอดีต และยังคงถูกวิจัยและนำไปใช้ใน exploit chain หลายรูปแบบ โดยเฉพาะในขั้นตอน reconnaissance และ lateral movement

ข้อมูลสำคัญจากข่าว
GreyNoise ตรวจพบการโจมตีแบบประสานงานต่อช่องโหว่ Grafana CVE-2021-43798 เมื่อวันที่ 28 ก.ย. 2025
ช่องโหว่เป็นแบบ path traversal ผ่าน endpoint /public/plugins/:pluginId
ผู้โจมตีสามารถอ่านไฟล์ระบบ เช่น /etc/passwd โดยไม่ต้องล็อกอิน
พบ IP อันตราย 110 รายการในวันเดียว โดย 107 มาจากบังกลาเทศ
รูปแบบการโจมตีกระจายเป้าหมายแบบ 3:1:1 (สหรัฐฯ:สโลวาเกีย:ไต้หวัน)
พบ fingerprint แบบ TCP/HTTP ที่คล้ายกันในหลายประเทศ
ช่องโหว่นี้เคยถูกใช้ใน SSRF และ exploit chain สำหรับ takeover บัญชี
Grafana ได้ออก patch ตั้งแต่เวอร์ชัน 8.3.1 เพื่อแก้ไขช่องโหว่นี้

ข้อมูลเสริมจากภายนอก
CVE-2021-43798 มีคะแนน CVSS 7.5 ถือว่าเป็นช่องโหว่ระดับสูง
Grafana เป็นเครื่องมือ visualisation ยอดนิยมในระบบ monitoring เช่น Prometheus
Path traversal เป็นเทคนิคที่ใช้หลบหลีกการตรวจสอบ path เพื่อเข้าถึงไฟล์นอกขอบเขต
SSRF (Server-Side Request Forgery) เป็นเทคนิคที่ใช้เซิร์ฟเวอร์ส่งคำขอไปยังระบบภายใน
การใช้ reverse proxy ที่ normalize path เช่น Envoy สามารถช่วยลดความเสี่ยงได้

https://securityonline.info/greynoise-detects-coordinated-surge-exploiting-grafana-path-traversal-flaw-cve-2021-43798/

“Broadcom อุดช่องโหว่ร้ายแรงใน VMware — เสี่ยงถูกยกระดับสิทธิ์และขโมยข้อมูลจาก VM โดยไม่รู้ตัว”

Broadcom ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ความปลอดภัย 3 รายการที่ส่งผลกระทบต่อผลิตภัณฑ์ VMware Aria Operations และ VMware Tools ซึ่งถูกใช้งานอย่างแพร่หลายในระบบคลาวด์และโครงสร้างพื้นฐานขององค์กร โดยช่องโหว่เหล่านี้มีระดับความรุนแรงตั้งแต่ปานกลางไปจนถึงสำคัญ และอาจถูกใช้โจมตีเพื่อยกระดับสิทธิ์หรือขโมยข้อมูลจากระบบเสมือนจริง (VM)

ช่องโหว่แรก CVE-2025-41244 เป็นช่องโหว่แบบ Local Privilege Escalation ที่เปิดโอกาสให้ผู้ใช้ที่ไม่มีสิทธิ์แอดมินใน VM สามารถยกระดับสิทธิ์เป็น root ได้ หาก VM นั้นติดตั้ง VMware Tools และถูกจัดการผ่าน Aria Operations ที่เปิดใช้ SDMP

ช่องโหว่ที่สอง CVE-2025-41245 เป็นช่องโหว่แบบ Information Disclosure ที่เกิดขึ้นใน Aria Operations โดยผู้ใช้ที่ไม่มีสิทธิ์แอดมินสามารถเข้าถึงข้อมูล credential ของผู้ใช้อื่นในระบบได้

ช่องโหว่สุดท้าย CVE-2025-41246 เป็นช่องโหว่ Improper Authorization ใน VMware Tools for Windows ซึ่งเปิดช่องให้ผู้ใช้ที่ผ่านการยืนยันตัวตนใน vCenter หรือ ESX สามารถเข้าถึง VM อื่น ๆ ได้โดยไม่ควรจะทำได้

Broadcom ได้ออกแพตช์ในเวอร์ชัน VMware Tools 13.0.5 และ 12.5.4 รวมถึง Aria Operations 8.18.5 เพื่อแก้ไขช่องโหว่ทั้งหมด และแนะนำให้ผู้ใช้งานอัปเดตทันที เนื่องจากไม่มีวิธีแก้ไขชั่วคราวหรือ workaround ใด ๆ ที่ปลอดภัยพอในตอนนี้

ข้อมูลสำคัญจากข่าว
Broadcom แก้ไขช่องโหว่ 3 รายการใน VMware Aria Operations และ VMware Tools
CVE-2025-41244 เป็นช่องโหว่ยกระดับสิทธิ์จากผู้ใช้ทั่วไปเป็น root บน VM
ช่องโหว่นี้เกิดเมื่อใช้ VMware Tools ร่วมกับ Aria Operations ที่เปิด SDMP
CVE-2025-41245 เป็นช่องโหว่เปิดเผยข้อมูล credential ของผู้ใช้อื่นใน Aria Operations
CVE-2025-41246 เป็นช่องโหว่การควบคุมสิทธิ์ที่ผิดพลาดใน VMware Tools for Windows
ผู้ใช้ที่ผ่านการยืนยันตัวตนใน vCenter หรือ ESX อาจเข้าถึง VM อื่นได้โดยไม่ถูกจำกัด
แพตช์ถูกปล่อยใน VMware Tools 13.0.5, 12.5.4 และ Aria Operations 8.18.5
ช่องโหว่มีผลกระทบต่อ VMware Cloud Foundation และ Telco Cloud Platform

ข้อมูลเสริมจากภายนอก
ช่องโหว่แบบ privilege escalation เป็นหนึ่งในช่องโหว่ที่ถูกใช้โจมตีมากที่สุดในองค์กร
SDMP (Software Defined Monitoring Platform) เป็นฟีเจอร์ที่ช่วยจัดการ VM แต่เพิ่มความเสี่ยงหากไม่ตั้งค่าปลอดภัย
Aria Operations เป็นเครื่องมือจัดการและวิเคราะห์ประสิทธิภาพของระบบคลาวด์
VMware Tools เป็นชุดเครื่องมือที่ติดตั้งใน VM เพื่อปรับปรุงการทำงานร่วมกับ hypervisor
การอัปเดตไดรเวอร์และเครื่องมือใน VM เป็นสิ่งจำเป็นเพื่อป้องกันการโจมตีจากภายใน

https://securityonline.info/broadcom-patches-vmware-flaws-privilege-escalation-and-info-disclosure-vulnerabilities-affect-vmware-tools-and-aria-operations/

“Yantar: เรือสอดแนมรัสเซียที่กำลัง ‘เดินสาย’ ใต้ทะเลยุโรป — เมื่อสายเคเบิลกลายเป็นสมรภูมิใหม่ของสงครามเงียบ”

รายงานล่าสุดจาก Financial Times และหน่วยงานความมั่นคงยุโรปเปิดเผยว่า เรือ Yantar ของรัสเซีย ซึ่งถูกระบุว่าเป็น “เรือสอดแนมทางทหาร” ได้ถูกติดตามขณะเคลื่อนที่อย่างลับ ๆ ตามแนวสายเคเบิลใต้น้ำที่เชื่อมโยงประเทศ NATO ทั่วชายฝั่งมหาสมุทรแอตแลนติกของยุโรป โดยมีเป้าหมายเพื่อ “ทำแผนที่” และอาจ “สกัดกั้น” การสื่อสารที่สำคัญของพันธมิตร NATO

Yantar ถูกระบุว่าออกเดินทางจากคาบสมุทร Kola ของรัสเซียตั้งแต่ปลายปี 2024 โดยปลอมตัวเป็นเรือพลเรือน แต่ติดตั้งอุปกรณ์สอดแนมเต็มรูปแบบ เช่น ระบบเรดาร์, แขนกลใต้น้ำ, และยานดำน้ำไร้คนขับ ซึ่งสามารถเข้าถึงสายเคเบิลที่อยู่ลึกถึง 6,000 เมตร

เรือถูกพบในหลายจุดสำคัญ เช่น ทะเลไอริช, ช่องแคบอังกฤษ, และระหว่างนอร์เวย์กับหมู่เกาะ Svalbard ซึ่งเป็นพื้นที่ยุทธศาสตร์ในอาร์กติก โดยมีการเคลื่อนไหวที่พยายามหลบเลี่ยงการตรวจจับ เช่น ไม่ส่งสัญญาณตำแหน่ง และเคลื่อนที่ช้าเหนือสายเคเบิลโดยตรง

ข้อมูลจากดาวเทียม Sentinel-1 ของ ESA แสดงให้เห็นว่า Yantar เคลื่อนตัวอย่างมีเป้าหมาย และมีการหยุดตามจุดที่ตรงกับตำแหน่งสายเคเบิลพลังงาน, อินเทอร์เน็ต, และระบบสื่อสารทางทหาร เช่น Integrated Undersea Surveillance System ที่ใช้ติดตามเรือดำน้ำของศัตรู

ผู้เชี่ยวชาญเตือนว่า หากรัสเซียต้องการโจมตีแบบ “สงครามลูกผสม” การตัดสายเคเบิลเหล่านี้อาจทำให้ประเทศตะวันตก “มืดสนิท” ทั้งในด้านพลังงาน, การเงิน, และการสื่อสาร โดยเฉพาะในช่วงที่ความตึงเครียดกับยูเครนและ NATO ยังคงสูงขึ้น

ข้อมูลสำคัญจากข่าว
เรือ Yantar ของรัสเซียถูกติดตามขณะเคลื่อนที่ตามแนวสายเคเบิลใต้น้ำของ NATO
เรือถูกระบุว่าเป็นเรือสอดแนมทางทหารที่ติดตั้งอุปกรณ์สอดแนมเต็มรูปแบบ
จุดที่พบเรือ ได้แก่ ทะเลไอริช, ช่องแคบอังกฤษ, และระหว่างนอร์เวย์กับ Svalbard
ใช้ดาวเทียม Sentinel-1 ของ ESA ในการติดตามตำแหน่งเรือ
เรือสามารถปล่อยยานใต้น้ำและแขนกลเพื่อเข้าถึงสายเคเบิลลึกถึง 6,000 เมตร
เป้าหมายคือการทำแผนที่และอาจสกัดกั้นการสื่อสารของ NATO
สายเคเบิลที่ถูกติดตามรวมถึงระบบติดตามเรือดำน้ำ Integrated Undersea Surveillance System
รัฐบาลอังกฤษและ NATO เริ่มพัฒนาเทคโนโลยีป้องกัน เช่น หุ่นยนต์ใต้น้ำและโดรนตรวจการณ์

ข้อมูลเสริมจากภายนอก
สายเคเบิลใต้น้ำส่งข้อมูลกว่า 95% ของการสื่อสารทั่วโลก และรองรับธุรกรรมการเงินกว่า $10 ล้านล้านต่อวัน
รัสเซียมีหน่วยงานลับชื่อ GUGI ที่ดูแลเรือ Yantar และยานใต้น้ำกว่า 50 ลำ
การตัดสายเคเบิลเคยเกิดขึ้นจริง เช่น กรณีสายเคเบิลระหว่างฟินแลนด์และสวีเดนถูกตัดในปี 2024
สายเคเบิลบางเส้นมีความลับสูง เช่น เส้นที่ใช้ติดตามเรือดำน้ำของศัตรู
ประเทศในยุโรปเริ่มใช้โดรนอัตโนมัติเพื่อตรวจสอบและป้องกันการโจมตีใต้น้ำ

https://www.tomshardware.com/tech-industry/moscow-military-spy-ship-tracked-mapping-and-surveilling-nato-undersea-cables-shes-following-cable-lines-and-pipelines-making-stops-we-are-monitoring-her-very-closely

“แฮกเกอร์ปลอมอัปเดต Chrome และคำเชิญประชุม Teams — แฝงเครื่องมือควบคุมระยะไกลเพื่อเจาะระบบองค์กร”

งานวิจัยล่าสุดจาก Red Canary และ Zscaler เผยให้เห็นเทคนิคฟิชชิ่งยุคใหม่ที่ซับซ้อนและแนบเนียนกว่าที่เคย โดยแฮกเกอร์ไม่ใช้มัลแวร์ทั่วไป แต่หันมาใช้เครื่องมือควบคุมระยะไกล (Remote Monitoring and Management: RMM) เช่น ITarian, Atera, PDQ และ SimpleHelp ซึ่งปกติใช้โดยผู้ดูแลระบบ IT เพื่อดูแลเครื่องในองค์กร แต่เมื่ออยู่ในมือของผู้ไม่หวังดี เครื่องมือเหล่านี้กลับกลายเป็นช่องทางเข้าถึงระดับแอดมินที่เปิดทางให้ติดตั้งมัลแวร์หรือเรียกค่าไถ่ได้ทันที

แคมเปญฟิชชิ่งเหล่านี้ใช้ “เหยื่อ” ที่ดูน่าเชื่อถือ เช่น:

หน้าอัปเดต Chrome ปลอมที่ฝัง JavaScript บนเว็บไซต์ที่ถูกแฮก เมื่อผู้ใช้คลิก “Update” จะดาวน์โหลดตัวติดตั้ง ITarian ที่ถูกเซ็นรับรองอย่างถูกต้อง

คำเชิญประชุมปลอมจาก Microsoft Teams หรือ Zoom ที่แนบไฟล์ติดตั้ง Atera หรือ PDQ โดยใช้ชื่อไฟล์เหมือนของจริง เช่น “MicrosoftTeams.msi”

การ์ดเชิญงานเลี้ยงหรือเอกสารภาษีปลอม เช่น W9 หรือแบบฟอร์ม IRS ที่แฝงตัวติดตั้ง RMM ผ่าน Cloudflare R2 ซึ่งเป็นแพลตฟอร์มที่ดูน่าเชื่อถือ

ในบางกรณี แฮกเกอร์ติดตั้ง RMM สองตัวพร้อมกันเพื่อสร้างช่องทางสำรองหากช่องทางแรกถูกปิดกั้น ทำให้การตรวจจับและป้องกันยิ่งยากขึ้น

ผู้เชี่ยวชาญเตือนว่า การฟิชชิ่งในยุคนี้ไม่ใช่แค่เรื่องอีเมลที่พิมพ์ผิดหรือดูแปลกตาอีกต่อไป แต่เป็นการใช้ “ล่อ” ที่ดูเหมือนจริงทุกประการ และแม้การให้ความรู้กับพนักงานจะช่วยได้บ้าง แต่สิ่งสำคัญคือการมีระบบป้องกันหลายชั้น เช่น การตรวจจับที่ปลายทาง (EDR), การควบคุมเครื่องมือที่อนุญาตให้ใช้ และการตรวจสอบโดเมนใหม่ที่น่าสงสัย

https://hackread.com/hackers-rmm-installs-fake-chrome-updates-teams-invite/

“ใต้ทะเลไม่เงียบอีกต่อไป — ไต้หวันเพิ่มการลาดตระเวนสายเคเบิลใต้น้ำ 24 จุด รับมือยุทธวิธี ‘สงครามสีเทา’ จากจีน”

ในช่วงไม่กี่เดือนที่ผ่านมา ไต้หวันเผชิญกับภัยคุกคามรูปแบบใหม่ที่ไม่ใช่การยิงขีปนาวุธหรือการส่งเรือรบ แต่เป็นการโจมตีสายเคเบิลใต้น้ำที่เชื่อมต่อเกาะกับโลกภายนอก ซึ่งถือเป็นหัวใจสำคัญของการสื่อสารระดับประเทศ ทั้งด้านเศรษฐกิจ การทหาร และการบริหารภาครัฐ

ล่าสุด รัฐบาลไต้หวันได้เพิ่มการลาดตระเวนรอบสายเคเบิลใต้น้ำทั้ง 24 จุดทั่วเกาะ โดยเน้นพื้นที่ TP3 ซึ่งเคยถูกเรือจีนชื่อ Hong Tai 58 ตัดสายเคเบิลในเดือนกุมภาพันธ์ และศาลไต้หวันได้ตัดสินว่ากัปตันจีนมีความผิดฐานเจตนาโจมตีโครงสร้างพื้นฐานของประเทศ

การลาดตระเวนดำเนินการตลอด 24 ชั่วโมง โดยใช้เรือตรวจการณ์ PP-10079 พร้อมระบบแจ้งเตือนเมื่อมีเรือเข้าใกล้สายเคเบิลในระยะ 1 กิโลเมตรด้วยความเร็วต่ำ รวมถึงการใช้เรดาร์และสถานีตรวจจับหลายสิบแห่งทั่วเกาะเพื่อสแกนหาความเคลื่อนไหวที่น่าสงสัย

เจ้าหน้าที่ความมั่นคงของไต้หวันระบุว่า มีเรือที่เชื่อมโยงกับจีนกว่า 96 ลำที่ถูกขึ้นบัญชีดำ และอีกกว่า 400 ลำที่สามารถดัดแปลงเป็นเรือสงครามได้ ซึ่งสร้างแรงกดดันมหาศาลต่อทรัพยากรของหน่วยยามชายฝั่ง

เหตุการณ์นี้สะท้อนถึงยุทธวิธี “สงครามสีเทา” ที่จีนใช้เพื่อบั่นทอนเสถียรภาพของไต้หวันโดยไม่ต้องเปิดฉากสงครามอย่างเป็นทางการ เช่นเดียวกับที่รัสเซียเคยใช้ในทะเลบอลติกหลังการรุกรานยูเครน

มาตรการป้องกันสายเคเบิลใต้น้ำของไต้หวัน
เพิ่มการลาดตระเวน 24 ชั่วโมงรอบสายเคเบิล TP3 และอีก 23 จุดทั่วเกาะ
ใช้เรือตรวจการณ์ PP-10079 พร้อมระบบแจ้งเตือนเมื่อมีเรือเข้าใกล้
มีสถานีเรดาร์หลายสิบแห่งช่วยตรวจจับเรือที่เคลื่อนที่ผิดปกติ
ออกคำเตือนทางวิทยุก่อนส่งเรือเข้าตรวจสอบ

เหตุการณ์ที่เกี่ยวข้องกับการโจมตีสายเคเบิล
เรือ Hong Tai 58 ถูกตัดสินว่าตั้งใจตัดสายเคเบิล TP3 ในเดือนกุมภาพันธ์
ศาลไต้หวันตัดสินจำคุกกัปตันจีนเป็นเวลา 3 ปี
มีเหตุการณ์คล้ายกันในภาคเหนือของไต้หวันที่เชื่อมโยงกับเรือจีน
จีนปฏิเสธข้อกล่าวหา โดยระบุว่าไต้หวัน “สร้างเรื่อง” ก่อนมีข้อเท็จจริง

ข้อมูลเสริมจากภายนอก
สายเคเบิลใต้น้ำเป็นโครงสร้างพื้นฐานสำคัญของการสื่อสารระดับโลก
การตัดสายเคเบิลสามารถทำให้ประเทศหนึ่ง “ตัดขาดจากโลกภายนอก” ได้ทันที
ยุทธวิธีสงครามสีเทาเน้นการบั่นทอนทรัพยากรโดยไม่เปิดสงคราม
รัสเซียเคยใช้วิธีคล้ายกันในทะเลบอลติกหลังรุกรานยูเครน

https://www.tomshardware.com/networking/taiwan-increases-undersea-cable-protection-patrols-closely-monitoring-96-blacklisted-china-linked-boats

Highlight Words In Action : August 2025

bipartisan
adjective: representing, characterized by, or including members from two parties or factions

From the headlines: The Trump administration’s decision to cut funding for the Open Technology Fund (OTF) has raised concerns among lawmakers, who see it as a vital tool against internet censorship in authoritarian regimes. Trump’s executive order effectively terminated the OTF’s budget, prompting bipartisan efforts to save the program. Advocates warn that without OTF-backed tools, many citizens and activists could lose secure communication channels, increasing their risk of surveillance and persecution.

bounty
noun: a premium or reward, especially one offered by a government

From the headlines: The United States has lifted bounties on three senior Taliban figures. The three members of the Haqqani militant network in Afghanistan were allegedly involved in planning deadly attacks during the war with the U.S., some of which killed American citizens. Until this week, the State Department had offered rewards of up to $10 million for the death or capture of the militant leaders. The move follows last week’s release of a U.S. hostage who had been held by the Taliban since 2022.

breach
noun: an infraction or violation, such as of a law, contract, trust, or promise

Jeffrey Goldberg, editor-in-chief of The Atlantic, disclosed that he was inadvertently added to a private Signal group chat used by U.S. national security officials. This unexpected breach exposed sensitive information, including details about military strikes in Yemen. The incident underscored a serious protocol violation, as national security deliberations are typically confined to secure, classified settings rather than informal messaging platforms.

cartography
noun: the production of maps, including construction of projections, design, compilation, drafting, and reproduction

From the headlines: After more than a decade of unraveling the mysteries of the universe, the space telescope Gaia has officially powered down. In its ten years of operation, Gaia meticulously mapped nearly 2 billion stars, 150,000 asteroids, and countless other celestial wonders. This cartography resulted in a precise, three-dimensional map of our solar system, which has transformed our understanding of the Milky Way.

civil liberty
noun: the freedom of a citizen to exercise customary rights, as of speech or assembly, without unwarranted or arbitrary interference by the government

From the headlines: Legal experts say surveillance methods being used by colleges and universities on their students may violate their civil liberties. When investigating vandalism connected to political protests, campus police have been using new tactics, including seizing students’ phones and laptops. They have also issued warrants based on social media posts or participation in campus protests. Civil liberties experts say these actions amount to stifling university students’ right to free speech.

confiscate
verb: to seize as forfeited to the public domain; appropriate, by way of penalty, for public use

From the headlines: A kite was briefly confiscated after it came into contact with a United Airlines plane near Washington, D.C. The aircraft landed safely at Ronald Reagan National Airport following reports of a kite hitting it. Police seized the kite from a family at nearby Gravelly Point park, but returned it later. Despite the fact that kite flying is banned there because the sky overhead is “restricted airspace,” about a dozen people had reportedly been flying kites at the park that day.

defraud
verb: to deprive of a right, money, or property by fraud

From the headlines: Hollywood writer-director Carl Erik Rinsch was arrested for defrauding Netflix of $11 million, meant for his unfinished sci-fi show White Horse. Prosecutors say he spent around $10 million on luxury purchases, including Rolls-Royces, a Ferrari, and antiques. Prosecutors also claim that he used the money to pay legal fees to sue Netflix for additional money. Rinsch has been charged with wire fraud and money laundering, while Netflix has declined to comment.

embezzlement
noun: the stealing of money entrusted to one’s care

From the headlines: French politician Marine Le Pen was convicted of embezzlement and barred from public office for five years. Le Pen, who leads the far-right National Rally party, had planned to run for president in 2027. She was also sentenced to four years in prison for spending $4.3 million in European Parliament funds on her own party expenses.

Fun fact: Embezzlement is from the Anglo-French enbesiler, “cause to disappear,” and an Old French root meaning “to destroy or gouge.”

fairway
noun: Golf. the part of the course where the grass is cut short between the tees and the putting greens

From the headlines: When golf courses close, research shows the surrounding environment improves. With declining interest in golf, nearby neighborhoods report benefits like less flooding and reduced pesticide runoff. Across the U.S., many former courses have been repurposed as nature reserves, where manicured fairways have been replaced by thriving wildflower meadows.

forage
verb: to wander or go in search of provisions

From the headlines: A new online map shows where 1.6 million edible plants grow in cities around the world. The guide, called Falling Fruit, is meant to help urban dwellers and visitors forage for food. Its open source design means people can add locations, mapping additional fruit trees, berry bushes, beehives, and plants that might otherwise go unnoticed.

franchise
noun: Sports. a professional sports team

From the headlines: A group led by Bill Chisholm has agreed to buy the Boston Celtics for $6.1 billion, making it the most expensive franchise sale in North American sports history. The Celtics, fresh off their 18th NBA title, are facing significant financial challenges under the new collective bargaining agreement, but remain favorites to repeat as champions.

geriatric
adjective: noting or relating to aged people or animals

From the headlines: The New England Aquarium in Boston has introduced a new “retirement home” for geriatric aquarium penguins, relocating six elderly birds to a designated island. While wild penguins typically live about ten years, the new aquarium houses twenty penguins in their twenties and thirties. This specialized haven ensures these aging animals receive monitoring for conditions such as arthritis and cataracts.

Fun fact: The Greek gērōs, “old,” is the root of geriatric.

iguana
noun: a large, arboreal lizard, native to Central and South America, having stout legs and a crest of spines from neck to tail

From the headlines: A recent study sheds light on how North American iguanas may have reached a remote island in Fiji. Genetic analysis suggests that these large reptiles likely traversed thousands of miles across the Pacific Ocean by drifting on makeshift rafts of fallen trees. If confirmed, this would represent the longest documented oceanic migration by any terrestrial vertebrate, apart from humans.

inaccessible
adjective: not accessible; unapproachable

From the headlines: Researchers investigating why we can’t remember being babies found evidence that those memories still exist in our brains, but are inaccessible. Scientists have long suspected that infants don’t create memories at all. A new study using MRI imaging to observe babies’ brains found that around 12 months old, they do begin storing memories of specific images. Neuroscientists are now focused on learning why these early recollections become locked away and out of reach as we grow older.

magnitude
noun: greatness of size or amount

From the headlines: A devastating 7.7 magnitude earthquake struck Myanmar, killing over 3,000 people and leaving hundreds missing. The tremors were so intense they reached 600 miles to Bangkok, where skyscrapers swayed. In response, China, India, and Russia sent rescue teams, while countries like Thailand, Malaysia, and Vietnam offered aid.

manipulate
verb: to adapt or change (accounts, figures, etc.) to suit one’s purpose or advantage

From the headlines: A cheating scandal shook the world of professional ski jumping this week. Several members of Team Norway were suspended after officials found evidence that their ski suits had been manipulated to make the athletes more aerodynamic. The team’s manager admitted to illegally adding an extra seam where the legs are sewn together; more material there was hoped to give the jumpers extra lift and allow air to flow around them more efficiently.

mush
verb: to drive or spur on (sled dogs or a sled drawn by dogs)

From the headlines: Greenland’s annual dog sledding race attracted unusual international attention when the White House said the vice president’s wife, Usha Vance, would attend. Vance canceled her trip after Greenlanders planned to protest her presence at the event. Competitors in the Avannaata Qimussersua, or “Great Race of the North,” mushed their dogs over 26 snowy miles. Henrik Jensen, a musher from northern Greenland, crossed the finish line in first place, pulled by his team of Greenlandic sled dogs.

ovine
adjective: pertaining to, of the nature of, or like sheep

From the headlines: The world’s first known case of bird flu in sheep was diagnosed in Yorkshire, England. After the H5N1 virus was found among birds on a farm, health officials also tested its flock of sheep; only one ovine case was detected. The infected sheep was euthanized to prevent the disease from spreading, and officials said “the risk to livestock remains low.”

pontiff
noun: Ecclesiastical. the Roman Catholic pope, the Bishop of Rome

From the headlines: Following the release of Pope Francis from the hospital on March 23, his lead physician said the pontiff had faced such grave danger that his medical team considered halting treatment. During his hospitalization, the pope endured two critical health crises, prompting intense deliberations over whether aggressive interventions should continue, given the potential risks to his internal organs. Ultimately, the doctors opted to pursue “all available medicines and treatments,” a decision that proved pivotal to his recovery.

populism
noun: grass-roots democracy; working-class activism; egalitarianism

From the headlines: Bernie Sanders is drawing unprecedented crowds on his “Fighting Oligarchy” tour, fueled by a message rooted in economic populism. His rhetoric resonates with disillusioned voters seeking an alternative to both President Trump and the Democratic Party. The independent senator from Vermont frequently denounces what he terms a “government of the billionaires, by the billionaires, and for the billionaires,” while chastising Democrats for failing to adequately champion the interests of the working class.

prescription
noun: a direction, usually written, by the physician to the pharmacist for the preparation and use of a medicine or remedy

From the headlines: A new trend is emerging in healthcare — doctors are now prescribing museum visits. Backed by research showing that time spent in cultural spots can boost mental health and ease loneliness, more physicians are encouraging patients to explore art galleries, theaters, concert halls, and libraries. These cultural outings are said to reduce stress, alleviate mild anxiety and depression, and even improve conditions like high blood pressure. It’s the prescription you didn’t know you needed.

pristine
adjective: having its original purity; uncorrupted or unsullied

From the headlines: Many countries are looking to Switzerland as a model, hoping to replicate its transformation of once heavily polluted rivers and lakes into some of the most pristine in Europe. In the 1960s, Swiss waterways were choked with algae and dead fish due to sewage and industrial pollution. However, over the following decades, the country made significant investments in advanced water treatment facilities. Today, nearly all of its lakes and rivers are once again pristine and safe for swimming.

prolong
verb: to lengthen out in time; extend the duration of; cause to continue longer

From the headlines: After their quick trip to the International Space Station turned out to have an unexpectedly long duration, two NASA astronauts have been safely returned to Earth. What began as an eight-day mission for Butch Wilmore and Suni Williams had to be prolonged after their Starliner spacecraft experienced helium leaks and thruster problems. The two ended up staying on the ISS for more than nine months, until two seats were available on a returning space capsule.

recruit
verb: to attempt to acquire the services of (a person) for an employer

From the headlines: As the White House cuts funding for scientific research, European countries are stepping up to recruit top U.S. scientists. Experts in climate change and vaccine safety are now eyeing job offers across the Atlantic, with France and the Netherlands boosting their budgets to hire talent for their universities.

reinstate
verb: to put back or establish again, as in a former position or state

From the headlines: On March 24, a South Korean court reinstated impeached Prime Minister Han Duck-soo. Han was returned to the government and named acting leader once his impeachment was overturned. President Yoon Suk Yeol, who was also removed from office, is still awaiting a verdict. Han and Yoon were both suspended by South Korea’s National Assembly in December.

repatriation
noun: the act or process of returning a person or thing to the country of origin

From the headlines: After several weeks of refusal, Venezuela agreed to accept repatriation flights from the United States, and the first plane carrying Venezuelan migrants back to their home country landed on March 24. About 200 people who had been deported from the U.S. were on the initial flight. Conflicts between the two countries had previously put the returns on hold.

serenade
verb: to entertain with or perform with vocal or instrumental music

From the headlines: After an incredible 70-year career, Johnny Mathis, the legendary crooner with the famously smooth “velvet voice,” has announced his retirement at the age of 89. Known for his romantic ballads, jazz classics, and soft rock hits, Mathis has been serenading audiences since his teenage years. With more albums sold than any pop artist except Frank Sinatra, his voice has been the soundtrack to countless memories.

tuition
noun: the charge or fee for instruction, as at a private school or a college or university

From the headlines: Starting this fall, attending Harvard University will cost nothing for most students. The school announced that tuition will be free for people whose families earn less than $200,000 per year. The average household income in the U.S. is $80,000. Food, housing, health insurance, and travel will also be free for less wealthy students. The University of Pennsylvania and the Massachusetts Institute of Technology have adopted the same financial aid policy.

unredacted
adjective: (of a document) with confidential or sensitive information included or visible

From the headlines: The Trump administration released over 2,000 documents on JFK’s assassination, leading to a search for new insights. While the unredacted files do not dispute that Lee Harvey Oswald acted alone, they reveal long-hidden details about CIA agents and operations. Attorney Larry Schnapf, who has pushed for their release, argues the disclosures highlight excessive government secrecy. He believes the unredacted documents demonstrate how overclassification has been misused by national security officials.

© 2025, Aakkhra, All rights reserved.

เรื่องเล่าจาก Dark Web: เมื่อการเฝ้าระวังในเงามืดกลายเป็นเกราะป้องกันองค์กรก่อนภัยจะมาถึง

หลายองค์กรยังมอง Dark Web ว่าเป็นพื้นที่ของอาชญากรรมไซเบอร์ที่ไม่ควรเข้าไปยุ่ง แต่ในความเป็นจริง มันคือ “เรดาร์ลับ” ที่สามารถแจ้งเตือนภัยล่วงหน้าได้ก่อนที่การโจมตีจะเกิดขึ้นจริง ไม่ว่าจะเป็นการรั่วไหลของ credentials, การขายสิทธิ์เข้าถึงระบบ, หรือการวางแผน ransomware

ผู้เชี่ยวชาญจากหลายบริษัท เช่น Nightwing, Picus Security, ISG และ Cyberproof ต่างยืนยันว่า Dark Web คือแหล่งข้อมูลที่มีค่า—ถ้าเรารู้ว่าจะดูอะไร และจะใช้ข้อมูลนั้นอย่างไร เช่น การตรวจพบ stealer logs, การพูดถึงแบรนด์ขององค์กร, หรือการขายสิทธิ์ RDP/VPN โดย initial access brokers (IABs)

การเฝ้าระวัง Dark Web ไม่ใช่แค่การ “ดูว่ามีข้อมูลหลุดหรือไม่” แต่ต้องเชื่อมโยงกับระบบภายใน เช่น SIEM, XDR, หรือระบบ identity เพื่อให้สามารถตอบสนองได้ทันทีเมื่อพบ session token หรือ admin credential ที่ถูกขโมย

เครื่องมือที่นิยมใช้ ได้แก่ SpyCloud ซึ่งเน้นการตรวจจับ credentials ที่หลุดแบบอัตโนมัติ และ DarkOwl ที่เน้นการวิเคราะห์เชิงกลยุทธ์ โดยมี search engine สำหรับ Dark Web ที่สามารถกรองตามประเภทข้อมูล, เวลา, และแหล่งที่มา

นอกจากนี้ ยังมีเทคนิคเชิงรุก เช่น honeypots และ canary tokens ที่ใช้ล่อให้แฮกเกอร์เปิดเผยตัว และการเข้าร่วม ISACs หรือ CERTs เพื่อแลกเปลี่ยนข้อมูลภัยคุกคามในอุตสาหกรรมเดียวกัน

เหตุผลที่ควรเฝ้าระวัง Dark Web
เป็นระบบแจ้งเตือนภัยล่วงหน้าเมื่อมีข้อมูลหลุดหรือถูกวางเป้าหมาย
ช่วยให้ทีม security รู้ว่ากลุ่ม ransomware กำลังเล็งอุตสาหกรรมใด
สามารถใช้ข้อมูลเพื่อปรับ playbook และทำ adversarial simulation

สัญญาณที่ควรจับตา
stealer logs, brand mentions, การขายสิทธิ์ RDP/VPN โดย IABs
การพูดถึงซอฟต์แวร์หรือระบบที่องค์กรใช้อยู่ เช่น CRM, SSO, cloud
การโพสต์รับสมัคร affiliate ที่เจาะจงอุตสาหกรรม เช่น SaaS หรือ healthcare

เครื่องมือและแพลตฟอร์มที่ใช้
SpyCloud: ตรวจจับ credentials, cookies, tokens ที่หลุดแบบอัตโนมัติ
DarkOwl: วิเคราะห์เชิงกลยุทธ์ มี search engine สำหรับ Dark Web
Flashpoint, Recorded Future: ใช้สำหรับ threat intelligence และการแจ้งเตือน

เทคนิคเสริมเพื่อเพิ่มการตรวจจับ
honeypots และ canary tokens สำหรับล่อแฮกเกอร์และตรวจจับ insider threat
การเข้าร่วม ISACs และ CERTs เพื่อแลกเปลี่ยนข้อมูลภัยคุกคาม
การตั้งค่า monitoring สำหรับ domain, IP, username บน marketplace และ forum

การเชื่อมโยงข้อมูลภายนอกกับระบบภายใน
cross-reference กับ authentication logs, identity changes, และ anomalous behavior
ใช้ข้อมูลจาก Dark Web เพื่อ trigger investigation, revoke access, isolate services
พัฒนา incident response playbook ที่เชื่อมโยงกับ threat intelligence

https://www.csoonline.com/article/4046242/a-cisos-guide-to-monitoring-the-dark-web.html

เมื่อ CyberOps ไม่ใช่แค่คนเฝ้าแจ้งเตือน แต่เป็น “ทีมมนุษย์-เอเจนต์” ที่ทำงานร่วมกัน

ในอดีต การทำงานของทีมรักษาความปลอดภัยไซเบอร์ (CyberOps) คือการเฝ้าระวัง แจ้งเตือน และตอบสนองต่อภัยคุกคามแบบ manual — แต่วันนี้ AI เข้ามาเปลี่ยนทุกอย่าง

ไม่ใช่แค่ machine learning ที่ช่วยวิเคราะห์ log หรือตรวจจับ anomaly แบบเดิม แต่เป็น generative AI และ agentic AI ที่สามารถ “คิด วิเคราะห์ และลงมือทำ” ได้เองในระดับที่ใกล้เคียงมนุษย์

ตัวอย่างเช่น ใน Security Operations Center (SOC) ตอนนี้ AI สามารถจัดการงานระดับ 1 ได้เกือบทั้งหมด เช่น การจัดการ ticket, การ triage, และการ route ไปยังทีมที่เกี่ยวข้อง โดยปล่อยให้มนุษย์โฟกัสกับงานระดับสูง เช่น threat modeling หรือ incident response

AI ยังช่วยให้ทีมเล็กๆ ที่ไม่มีผู้เชี่ยวชาญเฉพาะด้านสามารถทำงานที่ซับซ้อนได้ เช่น การวิเคราะห์ phishing หรือการจัดการ vulnerability โดยใช้ agent ที่เรียนรู้จากข้อมูลและให้คำแนะนำแบบ real-time

แต่ทั้งหมดนี้ไม่ได้หมายความว่า “มนุษย์จะถูกแทนที่” — กลับกัน AI กลายเป็น “force multiplier” ที่ช่วยให้ทีมทำงานได้มากขึ้น เร็วขึ้น และแม่นยำขึ้น โดยยังคงต้องมีมนุษย์คอยตรวจสอบและตัดสินใจในจุดสำคัญ

อย่างไรก็ตาม การนำ AI มาใช้ใน CyberOps ก็มีความท้าทาย ทั้งเรื่อง governance, ความเร็วในการปรับตัว และการจัดการความเสี่ยงจาก AI ที่ถูกใช้โดยฝ่ายตรงข้าม

สรุปเนื้อหาเป็นหัวข้อ
AI โดยเฉพาะ generative และ agentic AI กำลังเปลี่ยนวิธีการทำงานของทีม CyberOps
AI ช่วยจัดการงานระดับ 1 ใน SOC เช่น ticket triage และ routing ได้อย่างมีประสิทธิภาพ
AI ช่วยยกระดับทักษะของทีม โดยทำให้พนักงานใหม่เรียนรู้เร็วขึ้น และพนักงานเก่าทำงานได้ดีขึ้น
AI สามารถสร้าง case study และคำแนะนำให้ SOC worker ทำงานระดับสูงได้ง่ายขึ้น
การใช้ AI ใน threat modeling ช่วยให้ทีมเล็กๆ สามารถวิเคราะห์และป้องกันภัยล่วงหน้าได้
การใช้ AI ทำให้ทีม CyberOps มีขนาดเล็กลง แต่มีประสิทธิภาพมากขึ้น
บทบาทใหม่ของทีมคือ “ผู้จัดการเอเจนต์” มากกว่าการเป็นผู้ลงมือทำทุกอย่างเอง
ทักษะใหม่ที่จำเป็นคือ AI governance, prompt engineering และ data science
การใช้ AI ต้องมีมนุษย์อยู่ใน loop เพื่อควบคุมคุณภาพและความถูกต้อง
การใช้ AI ในองค์กรยังล่าช้า โดยมีเพียง 22% ที่มีนโยบายและการฝึกอบรมด้าน AI อย่างชัดเจน
มีเพียง 25% ขององค์กรที่ใช้ encryption และ access control อย่างเต็มรูปแบบในการปกป้องข้อมูล
83% ขององค์กรยังไม่มีระบบ cloud security ที่มี monitoring และ response แบบครบวงจร
Gartner แนะนำให้ใช้แนวทาง AI TRiSM (Trust, Risk, Security Management) เพื่อจัดการความเสี่ยงจาก AI

ข้อมูลเสริมจากภายนอก
Agentic AI คือระบบที่สามารถตัดสินใจและลงมือทำได้เอง โดยมีเป้าหมายและ autonomy
SOC ที่ใช้ AI อย่างมีประสิทธิภาพสามารถลด false positive ได้มากถึง 70%
Prompt engineering กลายเป็นทักษะสำคัญในการควบคุมพฤติกรรมของ AI agent
การใช้ AI ใน cybersecurity ต้องมีระบบ audit และ explainability เพื่อให้ตรวจสอบได้
ฝ่ายตรงข้าม (threat actors) ก็ใช้ AI ในการสร้าง malware ที่เปลี่ยนรูปแบบได้ตลอดเวลา
การใช้ AI ใน offensive security เช่น red teaming กำลังเติบโตในหลายองค์กร

https://www.csoonline.com/article/4042494/how-ai-is-reshaping-cybersecurity-operations.html

เมื่อฮาร์ดดิสก์ปลอมทะลักตลาดโลก – และมาเลเซียกลายเป็นจุดศูนย์กลางของการหลอกลวง

กลางเดือนสิงหาคม 2025 หน่วยงานในมาเลเซียร่วมกับทีมความปลอดภัยของ Seagate ได้บุกจับโกดังใกล้กรุงกัวลาลัมเปอร์ ซึ่งเป็นศูนย์กลางการปลอมแปลงฮาร์ดดิสก์ขนาดใหญ่ที่สุดแห่งหนึ่งในภูมิภาค โดยพบฮาร์ดดิสก์ปลอมเกือบ 700 ลูกจาก Seagate, Western Digital และ Toshiba

กลุ่มผู้ปลอมแปลงนำฮาร์ดดิสก์เก่าจากตลาดมือสอง—บางลูกมีอายุเกิน 10 ปี—มาล้างข้อมูล SMART (Self-Monitoring, Analysis, and Reporting Technology) เพื่อซ่อนอายุและการใช้งาน จากนั้นติดฉลากใหม่และขายผ่านแพลตฟอร์มอีคอมเมิร์ซอย่าง Shopee และ Lazada โดยอ้างว่าเป็นฮาร์ดดิสก์ใหม่สำหรับระบบ surveillance หรือ NAS

ที่น่าตกใจคือฮาร์ดดิสก์จำนวนมากมาจากจีน ซึ่งเคยใช้ในการขุดเหรียญ Chia ที่อาศัยการเขียนข้อมูลลงดิสก์อย่างหนัก เมื่อการขุดไม่คุ้มค่าอีกต่อไป ฮาร์ดแวร์เหล่านี้จึงถูกขายต่อและกลายเป็นวัตถุดิบของการปลอมแปลง

แม้ Seagate จะเริ่มเข้มงวดกับโปรแกรมคู่ค้า และใช้ระบบ Global Trade Screening เพื่อป้องกันการซื้อจากบริษัทที่อยู่ในบัญชีเฝ้าระวัง แต่การกระจายสินค้าปลอมยังคงเกิดขึ้นใน Amazon และแพลตฟอร์มอื่น ๆ โดยไม่มีการควบคุมที่มีประสิทธิภาพ

สรุปเนื้อหาเป็นหัวข้อ
มาเลเซียบุกจับโกดังปลอมฮาร์ดดิสก์ใกล้กรุงกัวลาลัมเปอร์
พบฮาร์ดดิสก์ปลอมเกือบ 700 ลูกจาก Seagate, WD และ Toshiba
ฮาร์ดดิสก์ถูกล้างข้อมูล SMART และติดฉลากใหม่เพื่อขายเป็นของใหม่
ขายผ่าน Shopee และ Lazada โดยอ้างว่าเป็นฮาร์ดดิสก์ surveillance หรือ NAS
ฮาร์ดดิสก์จำนวนมากมาจากจีน ซึ่งเคยใช้ขุดเหรียญ Chia
การขุด Chia ทำให้ฮาร์ดดิสก์เสื่อมเร็ว แต่ยังถูกนำกลับมาขาย
Seagate เริ่มใช้ระบบ Global Trade Screening เพื่อคัดกรองคู่ค้า
มีการปลอมฮาร์ดดิสก์ UnionSine ขายบน Amazon โดยไม่มีการควบคุม
ผู้ปลอมแปลงสามารถสร้างรายได้หลายพันดอลลาร์ต่อเดือนจากการขายเหล่านี้
การปลอมแปลงรวมถึงการอัปเกรดฮาร์ดดิสก์เก่าให้ดูเหมือนรุ่นใหม่ความจุสูง

ข้อมูลเสริมจากภายนอก
ฮาร์ดดิสก์ปลอมบางลูกมีอายุการใช้งานเกิน 10 ปี แต่ถูกขายเป็นของใหม่
การล้าง SMART ทำให้ผู้ใช้ไม่สามารถตรวจสอบอายุหรือการใช้งานจริงได้
Amazon และแพลตฟอร์มใหญ่ยังไม่มีระบบตรวจสอบสินค้าปลอมที่มีประสิทธิภาพ
การปลอมแปลงฮาร์ดดิสก์ surveillance มีความเสี่ยงสูงต่อข้อมูลที่ต้องการความเสถียร
Heise.de ประเมินว่ามีฮาร์ดดิสก์กว่า 1 ล้านลูกถูกปลดจากเครือข่าย Chia และเข้าสู่ตลาดมือสอง

https://www.techradar.com/pro/major-raid-targets-counterfeit-fake-hdds-from-seagate-wd-and-toshiba-in-malaysia-but-is-it-too-little-too-late

CobraJet: โดรนสังหารอัจฉริยะที่บินเร็วถึง 300 ไมล์ต่อชั่วโมง

ในยุคที่ฝูงโดรนราคาถูกกลายเป็นภัยคุกคามหลักในสนามรบ เช่นในสงครามยูเครน-รัสเซีย บริษัท SkyDefense LLC จากสหรัฐฯ ได้เปิดตัว “CobraJet” โดรนขับเคลื่อนด้วย AI ที่ออกแบบมาเพื่อรับมือกับภัยเหล่านี้โดยเฉพาะ

CobraJet เป็นโดรนแบบ eVTOL (บินขึ้นลงแนวดิ่ง) ที่ใช้พลังงานจากแบตเตอรี่ solid-state และมอเตอร์ไฟฟ้าแบบ duct fan ทำให้สามารถบินด้วยความเร็วสูงถึง 300 ไมล์ต่อชั่วโมง พร้อมความคล่องตัวระดับเครื่องบินขับไล่

ตัวเครื่องทำจากวัสดุคาร์บอนไฟเบอร์พิมพ์ 3D และมีดีไซน์คล้าย F-22 และ F-35 พร้อมระบบ thrust vectoring เพื่อการหลบหลีกและโจมตีที่แม่นยำ

ระบบ AI ของ CobraJet ใช้ชิป NVIDIA และกล้อง Teledyne FLIR ที่ไม่มีชิ้นส่วนจากประเทศต้องห้าม ทำให้สามารถตรวจจับ วิเคราะห์ และตัดสินใจได้แบบเรียลไทม์ ทั้งกลางวันและกลางคืน

นอกจากนี้ยังมีระบบ VRAM (Visual Realtime Area Monitoring) ที่ช่วยให้ผู้ควบคุมสามารถสั่งการหรือปล่อยให้โดรนทำงานอัตโนมัติได้ และสามารถสื่อสารกับ CobraJet ตัวอื่นเพื่อทำงานเป็นฝูงแบบ “AI-powered unmanned Air Force”

CobraJet สามารถติดอาวุธได้หลากหลาย ตั้งแต่โดรนกามิกาเซ่ ไปจนถึงระเบิดนำวิถี และสามารถปรับภารกิจได้ทั้งโจมตีทางอากาศ พื้นดิน หรือทางทะเล

คุณสมบัติหลักของ CobraJet
เป็นโดรน eVTOL ที่บินได้เร็วถึง 300 ไมล์ต่อชั่วโมง
ใช้แบตเตอรี่ solid-state และมอเตอร์ไฟฟ้าแบบ duct fan
โครงสร้างทำจากคาร์บอนไฟเบอร์พิมพ์ 3D ดีไซน์คล้าย F-22 และ F-35
มีระบบ thrust vectoring เพื่อความคล่องตัวสูง
ใช้ชิป NVIDIA และกล้อง Teledyne FLIR สำหรับการวิเคราะห์ภาพแบบเรียลไทม์
มีระบบ VRAM ที่ให้ผู้ควบคุมมีส่วนร่วมในการตัดสินใจ
สามารถทำงานร่วมกันเป็นฝูงแบบ AI-powered unmanned Air Force
รองรับอาวุธหลากหลาย เช่น โดรนกามิกาเซ่ ระเบิดนำวิถี และมิสไซล์ขนาดเล็ก
สามารถปล่อยจากรถบรรทุก เรือ หรือเครื่องบิน เพิ่มความยืดหยุ่นในการใช้งาน

ข้อมูลเสริมจากภายนอก
ใช้ระบบ SmartVision และ anti-jam เพื่อทำงานในพื้นที่ที่มีการรบกวนสัญญาณ
มีเวอร์ชัน V4, V6 และ V8 สำหรับภารกิจต่างระดับ
ใช้ในภารกิจป้องกันชายแดน ฐานทัพ และสถานที่สาธารณะ
มีความสามารถในการโจมตีเป้าหมายภาคพื้นและทางทะเล
ระบบ modular ทำให้สามารถอัปเกรดได้ตามเทคโนโลยีใหม่
เหมาะสำหรับหน่วยงานความมั่นคง เช่น กองทัพ ตำรวจ และ Homeland Security

https://www.tomshardware.com/tech-industry/cobrajet-nvidia-ai-powered-drone-killer-takes-out-overwhelming-enemy-drone-incursions-at-up-to-300mph

เรื่องเล่าจากโลกคริปโต: เมื่อการกู้เงินด้วยเหรียญดิจิทัลต้องเผชิญภัยไซเบอร์

ในยุคที่คริปโตไม่ใช่แค่การลงทุน แต่กลายเป็นสินทรัพย์ที่ใช้ค้ำประกันเงินกู้ได้ “Crypto-backed lending” จึงกลายเป็นเทรนด์ที่ทั้งนักลงทุนรายย่อยและสถาบันต่างหันมาใช้กันมากขึ้น เพราะมันเปิดโอกาสให้ผู้ถือเหรียญสามารถกู้เงินโดยไม่ต้องขายเหรียญออกไป

แต่ในความสะดวกนั้น ก็มีเงามืดของภัยไซเบอร์ที่ซ่อนอยู่ เพราะเมื่อมีสินทรัพย์ดิจิทัลมูลค่าหลายหมื่นล้านดอลลาร์ถูกล็อกไว้ในแพลตฟอร์มเหล่านี้ แฮกเกอร์ก็ยิ่งพัฒนาเทคนิคใหม่ ๆ เพื่อเจาะระบบให้ได้

ภัยที่พบได้บ่อยคือการเจาะ smart contract ที่มีช่องโหว่ เช่นกรณี Inverse Finance ที่ถูกแฮกผ่านการบิดเบือนข้อมูลจาก oracle จนสูญเงินกว่า 15 ล้านดอลลาร์ หรือกรณี Atomic Wallet ที่สูญเงินกว่า 35 ล้านดอลลาร์เพราะการจัดการ private key ที่หละหลวม

นอกจากนี้ยังมีการปลอมเว็บกู้เงินบน Telegram และ Discord เพื่อหลอกให้ผู้ใช้กรอก seed phrase หรือ key รวมถึงมัลแวร์ที่แอบเปลี่ยน address ใน clipboard เพื่อขโมยเหรียญแบบเนียน ๆ

บทเรียนจากอดีต เช่นการล่มของ Celsius Network และการถูกเจาะซ้ำของ Cream Finance แสดงให้เห็นว่าไม่ใช่แค่โค้ดที่ต้องแข็งแรง แต่กระบวนการภายในและการตรวจสอบความเสี่ยงก็ต้องเข้มงวดด้วย

แนวทางป้องกันที่ดีคือการใช้ multi-signature wallet เช่น Gnosis Safe, การตรวจสอบ smart contract ด้วย formal verification, การตั้งระบบตรวจจับพฤติกรรมผิดปกติแบบ real-time และการให้ผู้ใช้ใช้ hardware wallet ร่วมกับ 2FA เป็นมาตรฐาน

Crypto-backed lending เติบโตอย่างรวดเร็วในปี 2024
มีสินทรัพย์กว่า $80B ถูกล็อกใน DeFi lending pools

ผู้ใช้สามารถกู้ stablecoin โดยใช้ BTC หรือ ETH เป็นหลักประกัน
ไม่ต้องขายเหรียญเพื่อแลกเป็นเงินสด

ช่องโหว่ใน smart contract เป็นจุดเสี่ยงหลัก
เช่นกรณี Inverse Finance สูญเงิน $15M จาก oracle manipulation

การจัดการ private key ที่ไม่ปลอดภัยนำไปสู่การสูญเงินมหาศาล
Atomic Wallet สูญเงิน $35M จาก vendor ที่เก็บ key ไม่ดี

การปลอมเว็บกู้เงินและมัลแวร์ clipboard เป็นภัยที่พุ่งเป้าผู้ใช้ทั่วไป
พบมากใน Telegram, Discord และ browser extensions

Celsius Network และ Cream Finance เคยถูกแฮกจากการควบคุมภายในที่อ่อนแอ
เช่นการไม่อัปเดตระบบและการละเลย audit findings

แนวทางป้องกันที่แนะนำคือ multi-sig wallet, formal verification และ anomaly detection
Gnosis Safe เป็นเครื่องมือยอดนิยมใน DeFi

ตลาด crypto lending มีแนวโน้มเติบโตต่อเนื่อง
คาดว่าจะกลายเป็นเครื่องมือการเงินหลักในอนาคต

Blockchain ช่วยเพิ่มความโปร่งใสและลดการพึ่งพาตัวกลาง
แต่ก็ยังต้องพึ่งระบบรักษาความปลอดภัยที่แข็งแรง

End-to-end encryption และ biometric login เป็นแนวทางเสริมความปลอดภัย
ช่วยลดความเสี่ยงจาก phishing และ social engineering

การใช้ระบบ real-time monitoring และ kill switch ช่วยหยุดการโจมตีทันที
ลดความเสียหายจากการเจาะระบบแบบ flash attack

https://hackread.com/navigating-cybersecurity-risks-crypto-backed-lending/

ผู้ช่วยทูตทหารอาเซียน ตั้งทีมติดตามหยุดยิง : [NEWS UPDATE]

พล.ต.วินธัย สุวารี โฆษกกองทัพบก เผย กองทัพบกหารือกับผู้ช่วยทูตทหารอาเซียนประจำประเทศไทย เกี่ยวกับสถานการณ์ชายแดนไทย-กัมพูชา เห็นพ้องตั้งทีมเฝ้าติดตามชั่วคราวของทูตทหารจากชาติสมาชิกอาเซียนโดยเร่งด่วน เพื่อติดตามสถานการณ์และสร้างความไว้วางใจระหว่างทั้งสองฝ่าย รวมถึงหารือการตั้งกลไก ASEAN Monitoring Team(AMIT) ในอนาคต ทำหน้าที่หลักในการเฝ้าระวังสถานการณ์ โดยจะหารือในเวทีประชุมคณะกรรมการชายแดนทั่วไป(GBC) ระหว่างไทยกับกัมพูชา ในวันที่ 4 ส.ค. นี้ ยืนยัน จุดยืนไทยเคารพหลักสากล ไม่รุกราน ไม่ใช้ความรุนแรง

-หวั่นล่ามล้วงข้อมูลไทย

-เปลี่ยนสถานที่วัดใจกัมพูชา

-เขมรฉวยจังหวะฟ้องโลก

-ลดค่าไฟ กันยายน–ธันวาคม

Security Copilot บน Entra พร้อมใช้งานแล้ว – ผู้ดูแลระบบ IT มีผู้ช่วย AI อย่างเป็นทางการ

Security Copilot เป็นเครื่องมือที่ใช้ AI (โดยเฉพาะ LLMs) เพื่อช่วยตรวจสอบและวิเคราะห์เหตุการณ์ด้านความปลอดภัยในระบบ IT โดยสามารถตอบคำถามจากผู้ดูแลระบบด้วยภาษาธรรมชาติ เช่น “ใครเปลี่ยนสิทธิ์ผู้ใช้ในระบบเมื่อวานนี้?” หรือ “มีการล็อกอินผิดปกติจากประเทศอื่นหรือไม่?”

ล่าสุด Microsoft ได้รวม Security Copilot เข้ากับแพลตฟอร์ม Entra ซึ่งเป็นระบบจัดการสิทธิ์และตัวตนของผู้ใช้ในองค์กร และเปิดให้ใช้งานได้ฟรีสำหรับผู้ดูแลระบบทุกคน โดยมีฟีเจอร์หลักใน 4 ด้าน:

1️⃣. การวิเคราะห์ตัวตนและสิทธิ์ (Identity insights)  – ตรวจสอบสิทธิ์ผู้ใช้, กลุ่ม, ประวัติการล็อกอิน, audit logs และ risky users

2️⃣. การจัดการสิทธิ์และการเข้าถึง (Access governance)  – วิเคราะห์สิทธิ์เกินจำเป็น, การตั้งค่า access package, และบทบาทที่มีสิทธิ์มากเกินไป

3️⃣. การปกป้องแอปและทรัพยากร (App protection)  – ตรวจสอบพฤติกรรมแอปที่เสี่ยง, การตั้งค่าที่ผิดพลาด, และการใช้ license ที่ไม่คุ้มค่า

4️⃣. การตรวจสอบและจัดการสถานะระบบ (Monitoring & posture)  – ตรวจสอบความเสี่ยงด้าน tenant, domain, MFA, และ SLA ของ workflow สำคัญ

Microsoft ยังปรับปรุง Security Copilot ให้เข้าใจคำถามที่ซับซ้อนมากขึ้น และให้คำตอบที่ชัดเจนกว่าเดิม พร้อมประกาศว่าจะพัฒนาให้รองรับกรณีอื่น ๆ เพิ่มเติมในอนาคต เช่น Conditional Access Optimization Agent

https://www.neowin.net/news/security-copilot-in-microsoft-entra-is-now-available-for-all-it-admins/

ระบบล่มไม่ได้นอน
Log เยอะไม่อยากอ่าน
ลูกค้าโทรมา… Dev ยังไม่ทันตอบ
AI ตอบให้แล้วจ้าา
องค์กรสมัยนี้มีระบบเยอะ:
Network, Server, ERP, VPN, Firewall
ทุกระบบมี Log และ “เสียงเตือน” ของมันเอง
ปัญหาคือ — ไม่มีใครมานั่งไล่อ่านทันทั้งหมด
เราใช้ AI มาช่วยจัดการให้:
– วิเคราะห์ Log แบบ Real-time
– แจ้งเตือนผ่าน Teams/Line/Telegram
– สรุปให้เข้าใจง่าย พร้อมส่งถึง Dev หรือผู้ดูแลระบบ
– เร็ว ๆ นี้: สื่อสารกับลูกค้าอัตโนมัติ (Auto Update)
เพราะข้อมูลมันเยอะขึ้นทุกวัน…
องค์กรต้องมี AI ไว้ช่วยเฝ้าแบบ 24/7
#ThinkableIT #AIforMonitoring
#ไม่ต้องเฝ้าLogให้เมื่อย #องค์กรต้องรอด
#แจ้งก่อนพัง #ThinkableCyberReady
#ZabbixAI #ทีมเรามีหุ่นเป็นเพื่อนงาน

ระบบเครือข่ายไม่ใช่แค่เสียบสายแล้วจบ
เราวางระบบให้ เสถียร ปลอดภัย และขยายได้ในอนาคต
จากหน้างานจริงของทีม Thinkable
บริการ Network & Security ครบวงจร สำหรับองค์กรที่ต้องการมากกว่าแค่ “เน็ตใช้ได้”
บริการของเรา:
ออกแบบ/ติดตั้ง LAN และ Wi-Fi สำหรับองค์กร
วางระบบ Firewall, VPN, RADIUS, Zero Trust
Monitoring ระบบเครือข่ายด้วย + แจ้งเตือนทันทีผ่าน MS Teams / Telegram
เพราะระบบเครือข่ายที่ดี = ธุรกิจเดินได้ไม่สะดุด
https://www.thinkable-inn.com/
#Thinkable #NetworkSecurity #Monitoring #องค์กรต้องรอด #ITService

“วันนั้นเป็นวันประชุมใหญ่ระดับผู้บริหาร ทั้งทีมไอทีเตรียมงานกันทั้งสัปดาห์
แต่ลืมดู ‘Storage เต็ม’ ใน Server ที่เก็บเอกสารประชุม...
ระบบล่มตั้งแต่ 09.00 น.
ประชุมต้องเลื่อน ลูกค้าภายนอกรอข้อมูลไม่ทัน”
ปัญหาแบบนี้เกิดได้กับองค์กรที่ ไม่มีระบบ Monitoring และแจ้งเตือนที่ทันเวลา
ที่ Thinkable เราช่วยแก้ปัญหาแบบนี้ด้วย
ระบบ Zabbix Monitoring แจ้งเตือนทันทีเมื่อ Storage ใกล้เต็ม
เชื่อมต่อ MS Teams, Telegram หรือ Email แจ้งเตือนแบบไม่พลาด
ปรับแต่ง Dashboard เฉพาะองค์กร พร้อมตั้งค่า Alert ได้เอง
หมดปัญหา “ระบบล่มโดยไม่รู้ตัว” พร้อมใช้งานทุกสถานการณ์
สนใจให้เราตรวจสอบระบบฟรีก่อนติดตั้งจริง ทักมาทาง Inbox หรือคลิกดูบริการเพิ่มเติมที่
www.thinkable-inn.com

พร้อมลุยทุกโปรเจกต์ IT แบบครบวงจร – กับ Thinkable Innovation
เราคือทีมเล็กแต่โคตรตั้งใจ ที่รวม Developer และฝ่ายเทคนิคเข้าด้วยกัน
เชี่ยวชาญทั้ง Web/App และระบบ Network สำหรับองค์กรโดยเฉพาะ
บริการของเรา:
1️⃣ System Integration & IT Infrastructure
วางระบบ Server, Storage, Virtualization (VMware, Proxmox, Sangfor)
2️⃣ Enterprise Network & Security
Wi-Fi องค์กร, Firewall, RADIUS, WAF, Zero Trust, SD-WAN
3️⃣ Software & Application Development
Web & Mobile App, ERP, Dashboard, ระบบจอง/ทะเบียน/คลินิก พร้อมเชื่อมต่อ API ภาครัฐ (MOPH, GIN, MFA TH)
4️⃣ Monitoring & Automation
ติดตั้ง Zabbix, FreeRADIUS, IoT, Docker, Git, Portainer พร้อม Alert ผ่าน MS Teams, Telegram
5️⃣ IT Support & Managed Services
บริการ MA, Outsourcing, Preventive Maintenance, Remote Support 24/7
สนใจบริการไหน? ทักมาคุยกันได้เลย!
www.thinkable-inn.com | พร้อมช่วยเหลือทุกสายงาน