👁️ Visibility & Segmentation
แนวคิดด้านการมองเห็นโครงข่ายและการแบ่งส่วนเครือข่าย ความสัมพันธ์กับ WSS และผลิตภัณฑ์ Vendor
👁️ Visibility — การมองเห็น
Visibility (การมองเห็น) คือความสามารถในการมองเห็น ทำความเข้าใจ และติดตามกิจกรรมที่เกิดขึ้นในโครงสร้างพื้นฐานด้าน IT และ Security ขององค์กร รวมถึง:
- การรับรู้ traffic บนเครือข่าย (Network Visibility)
- การเก็บ log จากอุปกรณ์ทุกชนิด (Log Collection)
- การตรวจจับ anomaly และภัยคุกคาม (Threat Detection)
- การวิเคราะห์พฤติกรรมผู้ใช้และอุปกรณ์ (Behavior Analytics)
- การรู้ inventory ของทรัพย์สิน (Asset Visibility)
💡 หลักการ: "You cannot protect what you cannot see" — สิ่งที่มองไม่เห็นจะป้องกันไม่ได้
🔗 Visibility กับ WSS
| WSS ข้อ | หัวข้อ | ความต้องการด้าน Visibility |
| 6.5 | Cloud Security | มองเห็น service/API ใน cloud ที่เชื่อมต่อกับเว็บไซต์ |
| 6.9 | Log Management | เก็บ log จราจรคอมพิวเตอร์ตาม พ.ร.บ. — ต้องเห็นทุก access |
| 7.1 | Asset Management | รู้ inventory ทรัพย์สินทั้งหมดที่เกี่ยวข้องกับเว็บไซต์ |
| 7.1a | ทะเบียนทรัพย์สิน | มีทะเบียนทรัพย์สิน — ตรวจสอบปีละครั้ง |
| 7.1d | Vulnerability Assessment | VA scan — ต้องเห็นทุกช่องโหว่ในระบบ |
| 7.1f | Third Party | มองเห็นผู้ให้บริการภายนอกที่เกี่ยวข้อง |
| 8.4e | Information Sharing | แบ่งปันข้อมูลภัยคุกคาม — ต้องมี Visibility ก่อนแชร์ |
| 9.1 | Monitoring & Detection | ตรวจจับและเฝ้าระวัง — ต้องมองเห็น network traffic, log, behavior |
| 9.1a | กลไกตรวจจับ | สร้างกลไกตรวจจับ วิเคราะห์ ระบุภัยคุกคาม |
| 9.1b | ทบทวนกลไก | ทบทวนกลไกปีละครั้ง — วัดผลจาก visibility data |
| 10.1 | Incident Response | ตอบสนองต่อ incident — ต้องมองเห็น timeline, scope, impact |
🛡️ Product Visibility ตาม Vendor
🔬 Tenable — Asset & Vulnerability Visibility
- Tenable.asm: ค้นหา asset ที่เชื่อมต่ออินเทอร์เน็ตทั้งหมด (Shadow IT, Rogue Asset)
- Nessus / Tenable.io: VA scanning — เห็นทุกช่องโหว่ใน Web Server, CMS, DB, OS
- Tenable.cs: Visibility บน Cloud (AWS, Azure, GCP) — CSPM, Container Scan
- NNM: Passive Network Monitor — ดู traffic โดยไม่ส่ง packet
- WSS 7.1 6.2
📊 Splunk — Log & Behavioral Visibility
- Splunk Enterprise: เก็บ log จากทุกแหล่ง (Web Server, WAF, DB, OS, FW)
- Splunk ES: SIEM — correlation, threat detection, notable events
- Splunk UBA: UEBA — มองเห็นพฤติกรรมผิดปกติของผู้ใช้และอุปกรณ์
- Mission Control: SOC Case Management — มองเห็น lifecycle ของ incident
- WSS 6.9 9.1
🛡️ Radware — Network & WAF Visibility
- AppWall WAF: Visibility ด้าน HTTP/HTTPS traffic, OWASP attacks, API calls
- DefensePro: Behavioral DoS Detection — มองเห็น DDoS pattern
- Cloud WAF Portal: Dashboard แบบ Real-time Attack Visibility
- Alteon ADC: Health Check, Traffic Pattern, SSL Certificate
- WSS 8.8 9.1
🌐 Cisco — Network & Endpoint Visibility
- Secure Network Analytics: NetFlow Visibility — เห็นทุก flow ในเครือข่าย
- Catalyst Center: Network Topology, Device Inventory, Compliance
- Secure Endpoint: Endpoint Visibility — process, network, file activity
- XDR + SecureX: Cross-product Visibility — รวมทุก source เข้าด้วยกัน
- Firepower FTD: Visibility on traffic, IPS events, SSL decryption
- WSS 6.9 9.1
🧱 Segmentation — การแบ่งส่วนเครือข่าย
Segmentation (การแบ่งส่วนเครือข่าย) คือการแบ่งเครือข่ายออกเป็นส่วนย่อย (segment) เพื่อจำกัดการเข้าถึงระหว่างส่วนต่าง ๆ และลดขอบเขตความเสียหายหากเกิดการโจมตี มี 2 ระดับหลัก:
- Network Segmentation: แบ่งเครือข่ายด้วย VLAN, Subnet, Firewall
- Micro-segmentation: แบ่งระดับ Application/Workload — granular ถึง service แต่ละตัว
💡 หลักการ: "Compromise one segment ≠ Compromise all" — ถ้ามีการบุกรุกแค่ segment เดียว ไม่กระจายไปทั้งเครือข่าย
🔗 Segmentation กับ WSS
| WSS ข้อ | หัวข้อ | ความต้องการด้าน Segmentation |
| 8.3 | Secure Architecture | ออกแบบสถาปัตยกรรมเว็บไซต์แบบ 4 ส่วน — DMZ, Web, App, DB |
| 8.3a | วาง Web Server | วาง Web Server ร่วมกับอุปกรณ์รักษาความมั่นคงปลอดภัย |
| 8.3b | แบ่งโครงสร้าง 4 ส่วน | DMZ → Web Server → Application Server → Database Server |
| 8.4 | Access Control | ควบคุมการเข้าถึงระหว่าง segment — Least Privilege |
| 8.4a | Remote Connection | Remote access ต้องเชื่อมต่อเฉพาะ segment ที่ได้รับสิทธิ์ |
| 8.8 | Firewall / WAF | Firewall คั่นระหว่าง segment, WAF ป้องกัน Web segment |
| 9.1 | Monitoring | ตรวจจับ lateral movement — การเคลื่อนไหวระหว่าง segment |
| 10.1 | Incident Response | เมื่อเกิด incident — isolate segment ที่ถูกโจมตี |
🏗️ WSS 4-Layer Architecture
🌐 Internet
→
🛡️ WAF / Firewall
→
📡 DMZ + Web Server
→
⚙️ App Server
→
🗄️ DB Server
แต่ละ Segment คั่นด้วย Firewall Policy — Application Server ไม่สามารถเข้าถึง Internet ได้โดยตรง
🛡️ Product Segmentation ตาม Vendor
🌐 Cisco — Segmentation เต็มรูปแบบ
- Cisco Firepower FTD: Firewall ระหว่าง segment, VRFs, Zone-based FW
- Cisco ISE + TrustSec: SGT-based Micro-segmentation (ไม่ต้องใช้ VLAN)
- Cisco SD-Access: Automated Network Segmentation ด้วย Policy
- Cisco Catalyst Center: กำหนดและจัดการ segmentation policy แบบ central
- ACI (Application Centric Infrastructure): Micro-segmentation สำหรับ Data Center
- WSS 8.3 8.4
🛡️ Radware — Application Segmentation
- Alteon ADC: Traffic Steering — ส่ง traffic ไปยัง segment ที่ถูกต้อง
- AppWall WAF: Application-level segmentation — ป้องกันเฉพาะ Web App
- DefensePro: Network-level segmentation — DDoS protection per segment
- WSS 8.3 8.8
🔬 Tenable — Segmentation Validation
- Nessus / Tenable.io: ตรวจสอบช่องโหว่ระหว่าง segment (lateral movement path)
- Tenable.asm: ดูว่า asset ใดอยู่ใน segment ใดบ้าง
- CIS Benchmark Audit: ตรวจสอบ firewall rules, ACLs ระหว่าง segment
- WSS 8.3 7.1
📊 Splunk — Segmentation Monitoring
- Splunk ES: ตรวจจับ lateral movement — correlation rules ข้าม segment
- Splunk UBA: UEBA — มองเห็น behavior ที่ผิดปกติระหว่าง segment
- Splunk SOAR: ตอบสนองอัตโนมัติ — isolate segment เมื่อพบ incident
- WSS 9.1 10.1
🔗 ความสัมพันธ์: Zero Trust → Visibility → Segmentation
ทั้ง 3 แนวคิดทำงานร่วมกันเป็น Foundational Pillars ของความมั่นคงปลอดภัยไซเบอร์สมัยใหม่:
🔐 Zero Trust
Never Trust, Always Verify
→
👁️ Visibility
เห็นทุกอย่างก่อนตัดสินใจ
→
🧱 Segmentation
แยกให้ขาด ป้องกันให้ได้
| แนวคิด | Zero Trust | Visibility | Segmentation |
| บทบาท | นโยบายความปลอดภัย | ข้อมูลประกอบการตัดสินใจ | การบังคับใช้นโยบาย |
| คำถาม | ใคร? ที่ไหน? อย่างไร? | เกิดอะไรขึ้นในเครือข่าย? | จะจำกัดการเข้าถึงอย่างไร? |
| WSS หลัก | 8.5 (MFA), 8.4 (Access Control) | 6.9 (Log), 9.1 (Monitoring) | 8.3 (Architecture), 8.4 (ACL) |
| Cisco | Duo, ISE | Secure Network Analytics, XDR | Firepower, SD-Access |
| Radware | AppWall WAF | DefensePro, Cloud Portal | Alteon ADC |
| Tenable | — | Tenable.asm, Nessus | Nessus Audit |
| Splunk | — | ES, UBA | ES (lateral movement detection) |
🔧 เทคนิคการเพิ่ม Visibility (สำหรับ WSS)
📡 Network Visibility
- NetFlow / IPFIX: Cisco Secure Network Analytics — ดู metadata ทุก flow
- sFlow: การ sampled packet export
- PCAP: Full packet capture สำหรับ forensic
- DNS Log: Umbrella / Splunk — ดู DNS query
- Passive Monitoring: Tenable NNM — ดู traffic แบบ passive
📋 Log Visibility
- Syslog: ทุกอุปกรณ์ส่ง log ไป Splunk
- HTTP Event Collector: Web App ส่ง log ตรง
- Windows Event Log: Secure Endpoint การเปลี่ยนแปลง
- Cloud Trail / Log: AWS CloudTrail, Azure Monitor
- WAF Log: Radware AppWall Log → Splunk
🔍 Endpoint Visibility
- Cisco Secure Endpoint: process, network, file activity
- Orbital Search: Live query endpoint แบบ real-time
- EDR Telemetry: process creation, registry, DLL load
🧠 Behavioral Visibility
- Splunk UBA: UEBA — baseline user behavior
- Cisco XDR: Cross-product correlation
- MITRE ATT&CK Mapping: แมปเหตุการณ์กับ framework
🔧 เทคนิคการทำ Segmentation (สำหรับ WSS)
🌐 Network Segmentation
- VLAN: แยก segment ด้วย 802.1Q VLAN
- VRF: Virtual Routing and Forwarding — แยก routing table
- Firewall Zone: Firepower Zone-based FW
- DMZ: แยก Web Server ไว้ DMZ แยกจาก internal
- ACL: Access Control List บน Switch/Router
🔬 Micro-segmentation
- Cisco TrustSec / ISE: SGT (Security Group Tag) — ไม่ต้อง VLAN
- SD-Access: Policy-based segmentation อัตโนมัติ
- ACI: Application Policy — segment ใน Data Center
- K8s Network Policy: สำหรับ Container/Cloud
🛡️ WSS 4-Layer Model
- Layer 1 — DMZ: รับ traffic จาก Internet (Firewall + WAF)
- Layer 2 — Web: Web Server, Reverse Proxy (static content)
- Layer 3 — App: Application Server (business logic)
- Layer 4 — DB: Database Server (data storage)
- Rule: แต่ละ layer คุยกันได้เฉพาะ port/service ที่จำเป็น
🔗 การตรวจสอบ Segmentation
- Nessus Audit: ตรวจสอบ ACL/Firewall rules
- Splunk ES: ตรวจจับ lateral movement ที่ผิดปกติ
- Penetration Testing: ทดสอบ bypass segmentation
- Catalyst Center: Compliance check — segmentation policy
📋 สรุป: Visibility & Segmentation สำหรับ WSS
| WSS ข้อ | ต้องทำอะไร | Visibility | Segmentation | Vendor หลัก |
| 6.9 | เก็บ Log ตาม พ.ร.บ. | ✅ เก็บ log ทั้งหมด | — | Splunk, Cisco |
| 7.1 | VA / Asset Management | ✅ รู้ inventory ทั้งหมด | — | Tenable |
| 8.3 | แบ่งโครงสร้าง 4 ส่วน | — | ✅ DMZ → Web → App → DB | Cisco, Radware |
| 8.4 | Access Control | ✅ ดูว่าใครเข้าถึงอะไร | ✅ จำกัดการเข้าถึงระหว่าง segment | Cisco ISE, Duo |
| 8.8 | Firewall / WAF | ✅ ดู traffic ที่ถูก block | ✅ คั่น segment ด้วย FW | Cisco Firepower, Radware AppWall |
| 9.1 | Monitoring | ✅ ดูทุกกิจกรรมแบบ real-time | ✅ ตรวจจับ lateral movement | Splunk ES, Cisco XDR |
| 10.1 | Incident Response | ✅ ดู timeline และ scope | ✅ Isolate segment ที่ถูกโจมตี | Splunk SOAR, Cisco XDR |