ทีม Security ส่วนใหญ่ที่ผมคุยด้วยมี IT Hygiene ที่ดีพอสมควร: EDR บน Endpoint, SIEM ที่รับ Windows Event Log, บางทีมี WAF หน้า Web App ด้วย แต่พอถามว่าในสาย Production มีอะไรรันอยู่บ้าง คำตอบมักออกมาในแนว "Siemens S7, Mitsubishi SCADA แล้วก็… ไม่แน่ใจว่ามีอะไรอีก"
ช่องว่างระหว่าง "เรามี SOC" กับ "เรามี Visibility ใน OT Environment" — นั่นแหละคือจุดเสี่ยงที่แท้จริง
และในบริบทของประเทศไทย ช่องว่างนี้มีนัยสำคัญเพิ่มขึ้นอีก เพราะ พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 กำหนดให้หน่วยงานที่ดูแลโครงสร้างพื้นฐานสำคัญ (CII) รวมถึงภาคการผลิตและพลังงาน ต้องมีมาตรการปกป้อง OT อย่างชัดเจน การไม่มี Visibility ใน OT ไม่ใช่แค่ความเสี่ยงด้านความปลอดภัย แต่ยังอาจเป็นความเสี่ยงด้านการปฏิบัติตามกฎหมายด้วย
ปัญหาของสถาปัตยกรรม
Purdue Model (ISA-99) ถูกออกแบบมาเพื่อแยก OT และ IT ออกจากกัน ในทางทฤษฎี: Level 0–2 คือ Physical Process (PLC, Sensor, Actuator), Level 3 คือ Manufacturing Operations (MES, Historian) และ Level 4+ คือ Enterprise IT มี DMZ คั่นกลางระหว่าง 3 กับ 4 ไม่มีอะไรจากอินเทอร์เน็ตแตะต้อง PLC ได้โดยตรง
แต่ในความเป็นจริง ขอบเขตนั้นพังทลายลงในช่วง 15 ปีที่ผ่านมา เพราะคำๆ เดียว: Remote Access
วิศวกรโรงงานต้องการ SSH เข้า Historian จากบ้าน Vendor ต้องการ VPN เพื่ออัปเดต Firmware อุปกรณ์ของตัวเอง ฝ่ายบริหารอยากได้ OEE Dashboard แบบ Realtime ใน ERP แต่ละอย่างล้วนเป็น Business Request ที่สมเหตุสมผล แต่รวมกันแล้วกลายเป็นการเจาะรู Purdue Model จนไม่เหลือสภาพ
สิ่งที่เหลืออยู่คือเครือข่ายโรงงานที่:
- PLC รัน Firmware ปี 2009 โดยไม่มี Authentication บน Modbus TCP
- Historian รัน Windows Server 2012 R2 (EOL, ไม่ได้ Patch มา อยู่ทั้งใน L3 และ L4)
- VPN Concentrator ของ Vendor วางอยู่บน OT Segment โดยตรง ด้วย Credential ที่ Vendor ตั้งไว้และไม่เคยเปลี่ยน
- Operator ใช้ Workstation เครื่องเดียวกันในการเช็คอีเมลและรัน HMI
นี่ไม่ใช่สมมติฐาน แต่คือสิ่งที่พบในโรงงานเกือบทุกแห่งที่ผมเคยดูมา
ผู้โจมตีทำอะไรจริงๆ
การโจมตี OT แทบไม่เคยเริ่มที่ Floor โรงงาน แต่เริ่มจากจุดเดียวกับการโจมตี IT — Phishing, RDP ที่เปิดไว้, บัญชี Vendor ที่ถูกขโมย — แล้วค่อย Pivot เข้ามา
เส้นทางคลาสสิก:
- Compromise IT Endpoint (Windows Workstation, Mail Server)
- ย้ายข้างไปยัง Historian หรือ Engineering Workstation — เครื่องที่เป็น Bridge
- จากนั้น Enumerate OT Segment: สแกนหา Modbus บน Port 502, EtherNet/IP บน 44818, OPC-DA ผ่าน DCOM
- Map กระบวนการผลิต: PLC นี้ควบคุมอะไร? ถ้าเปลี่ยน Setpoint จะเกิดอะไรขึ้น?
- Deploy Ransomware (Encrypt Historian แล้วเรียกค่าไถ่) หรือ Manipulate กระบวนการโดยตรง
Stuxnet คือขั้นตอนที่ 5 ผู้โจมตีส่วนใหญ่ในปัจจุบันหยุดที่ขั้นตอนที่ 4 แล้วไปทาง Ransomware เพราะความเสี่ยงต่ำกว่าและได้เงินเร็วกว่า แต่ความสามารถในการทำขั้นตอนที่ 5 มีอยู่จริง และ Barrier ต่ำกว่าที่ผู้จัดการโรงงานส่วนใหญ่คิด
ทำไม IT Security Tools มาตรฐานถึงตรวจไม่เจอ
EDR ของคุณไม่ได้รันบน PLC Vulnerability Scanner ของคุณจะทำให้ PLC Crash ถ้าชี้ไปที่มัน — Active Scanning ส่ง Probe Packet ที่ TCP Stack ของ PLC รับไม่ไหว
OT ต้องการแนวทางที่แตกต่างออกไป:
Passive Monitoring เท่านั้น แตะเครือข่าย (SPAN Port หรือ Network TAP) และสังเกตการณ์ Traffic โดยไม่สร้าง Traffic ใดๆ เอง Zeek เหมาะกับงานนี้มาก เครื่องมือเชิงพาณิชย์บางตัว (Claroty, Dragos, Nozomi) มี OT Protocol Decoder ในตัวด้วย
Protocol-Aware Detection Modbus Traffic ปกติในโรงงานที่กำลังทำงานอยู่จะซ้ำๆ กันมาก SCADA Poll Coil เดิมในช่วงเวลาเดิมตลอดทั้งวัน Anomaly คือ: Source IP ใหม่ที่ส่ง Modbus WRITE MULTIPLE REGISTERS ตีสองตีสาม หรือ Function Code (FC 8, Diagnostics) ที่ไม่เคยปรากฏใน Operation ปกติแล้วเกิดขึ้นทันที นี่ไม่ใช่ Signature-Based Detection แต่เป็น Behavioral Baseline
Asset-Centric Alerting ใน IT คุณ Alert ที่ User ใน OT คุณ Alert ที่ Asset — IP/MAC Combination เฉพาะที่ผูกกับอุปกรณ์จริง "PLC-04 ได้รับ Connection ที่ไม่ได้ร้องขอจาก 10.0.1.88" คือ Alert ที่นำไปทำอะไรได้ "พบ Anomalous Modbus Traffic" ไม่ใช่
จุดเริ่มต้นที่ทำได้จริงด้วย Wazuh
ถ้าคุณรัน Wazuh สำหรับ IT อยู่แล้ว คุณสามารถขยายเข้าสู่ OT ได้โดยไม่ต้องซื้อ OT Platform เฉพาะทาง Coverage อาจไม่ลึกเท่า Dragos แต่สำหรับโรงงานส่วนใหญ่ในไทย ปัญหาตอนนี้ไม่ใช่ "เราต้องการ Enterprise OT XDR" แต่คือ "เราไม่มี Visibility เลย"
สถาปัตยกรรมเริ่มต้นที่แนะนำ:
flowchart TD
subgraph OT["OT Network (Level 2/3)"]
PLC1["PLC (Modbus TCP)"]
PLC2["PLC (EtherNet/IP)"]
HMI["HMI Workstation"]
SCADA["SCADA / Historian"]
OT_SW["OT Switch (SPAN port)"]
PLC1 --> OT_SW
PLC2 --> OT_SW
HMI --> OT_SW
SCADA --> OT_SW
end
subgraph SENSOR["Passive Sensor (DMZ)"]
TAP["Network TAP"]
ZEEK["Zeek Sensor\n(modbus.log / conn.log)"]
AGENT["Wazuh Agent"]
TAP --> ZEEK
ZEEK --> AGENT
end
subgraph SOC["SOC Backend (IT Network)"]
WAZUH["Wazuh Manager\n(OT Detection Rules)"]
OS["OpenSearch / Kibana\n(OT Dashboard)"]
IRIS["DFIR-IRIS\n(Case Management)"]
PD["PagerDuty\n(Alerting)"]
WAZUH --> OS
WAZUH --> IRIS
WAZUH --> PD
end
OT_SW -->|"SPAN (read-only)"| TAP
AGENT -->|"Encrypted log shipping"| WAZUH
SCADA ---|"Bridge host\n(monitored)"| IT_FW
IT_FW["Firewall / DMZ"]
IT_FW --> WAZUH
Wazuh Rules ที่ควรเขียนก่อน:
- Alert เมื่อมี Modbus FC 5 (Write Single Coil) หรือ FC 15 (Write Multiple Coils) นอกช่วง Maintenance Window
- Alert เมื่อมี Source IP ใหม่ที่ติดต่อกับ PLC Address ที่รู้จัก
- Alert เมื่อ Historian ที่อยู่ทั้งใน OT และ IT Subnet ได้รับ Connection จาก IT-Side Host นอกเวลางาน
- Alert เมื่อมี EtherNet/IP List Identity Broadcast (ขั้นตอน Recon ที่พบบ่อย)
Wazuh Ruleset สำหรับ Modbus ไม่มีใน Default Distribution คุณต้องเขียน Custom Decoder เอง Modbus TCP Payload เริ่มที่ Byte 7 ของ TCP Stream โดย Function Code คือ Byte แรกของ PDU Zeek’s modbus.log จะ Parse ส่วนนี้ให้อยู่แล้ว
ส่วนที่ยากที่สุด: IR โดยไม่หยุดสายการผลิต
OT Incident Response มีข้อจำกัดที่ IT IR ไม่มี คุณไม่สามารถ Isolate PLC กลางสายการผลิตได้ คุณไม่สามารถ Reimage HMI ขณะที่มันกำลังรัน Process อยู่ได้ Availability สำคัญกว่า Confidentiality และ Integrity ใน OT — ตรงข้ามกับ Enterprise IT
ซึ่งหมายความว่า IR Playbook ของคุณต้องเขียนไว้ ก่อน เกิดเหตุ ร่วมกับฝ่าย Operations ไม่ใช่แค่ทีม Security สำหรับแต่ละ Asset: Blast Radius ของการ Isolate คืออะไร? ใครมีอำนาจอนุมัติ Controlled Shutdown? Manual Fallback คืออะไรถ้า SCADA ดับ?
ภายใต้กรอบ พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ หน่วยงาน CII มีหน้าที่ต้องรายงานเหตุการณ์ด้าน Cybersecurity ต่อ สกมช. (NCSA) ภายในระยะเวลาที่กำหนด การมี IR Playbook ที่ครอบคลุม OT ไม่ใช่แค่ Best Practice แต่เป็นส่วนหนึ่งของการปฏิบัติตามกฎหมาย
จะเริ่มจากไหน
สำหรับ IT/OT Engineer ที่กำลังสร้าง Business Case ภายในองค์กร จุดเริ่มต้นที่มีแรงเสียดทานน้อยที่สุดคือ Passive OT Asset Discovery ไม่ต้องติดตั้ง Agent ไม่ต้อง Active Scan ไม่ต้องเปลี่ยนแปลง Production Network แค่ TAP บน OT Switch และ Zeek ที่รันอยู่สองสัปดาห์
ผลที่ได้คือ:
- Asset Inventory ครบถ้วน (ประเภทอุปกรณ์, IP, MAC, Protocol, Vendor ถ้าระบุได้)
- Communication Matrix (ใครคุยกับใคร บน Protocol อะไร บ่อยแค่ไหน)
- Anomaly Baseline
ผลลัพธ์นั้นเพียงพอที่จะของบประมาณสำหรับขั้นตอนถัดไปได้ในกรณีส่วนใหญ่ ผู้จัดการโรงงานส่วนใหญ่ไม่รู้ว่ามีอะไรอยู่บน OT Network ของตัวเอง การแสดงให้เห็น — ด้วย Network Map ที่มองเห็นได้ — ทำให้ความเสี่ยงเป็นรูปธรรมในแบบที่ Threat Report ไม่สามารถทำได้
สรุป
OT Security ไม่ใช่เรื่องพิเศษอีกต่อไปแล้ว Tooling มีความพร้อมเพียงพอที่จะ Deploy ได้โดยไม่ต้องใช้งบมหาศาล และภัยคุกคามก็จริงพอที่จะทำให้ "ค่อยทำทีหลัง" ไม่ใช่ท่าทีที่ปกป้องได้อีกต่อไป โรงงานที่จะโดน OT-Targeted Ransomware ใน 24 เดือนข้างหน้าส่วนใหญ่จะเป็นโรงงานที่รู้ว่ามีช่องว่างแต่ไม่ลงมือทำ
ข่าวดีคือ Baseline ต่ำมาก Visibility ใดๆ ก็ดีกว่าไม่มีเลย ไม่จำเป็นต้องทำทุกอย่างพร้อมกัน — เริ่มจาก Passive TAP, Zeek Sensor และ Wazuh Rules ที่เขียนดีสักกำมือหนึ่ง แค่นั้นก็ทำให้คุณล้ำหน้า 80% ของ Industrial Site ในเอเชียตะวันออกเฉียงใต้แล้ว
Simplico Co., Ltd. สร้างโครงสร้างพื้นฐาน OT/IT Security สำหรับลูกค้าในอุตสาหกรรมการผลิตและโครงสร้างพื้นฐานสำคัญทั่วประเทศไทยและเอเชียตะวันออกเฉียงใต้ หากคุณกำลังมองหาคนช่วยประเมิน OT Environment ของคุณ ติดต่อเราได้เลย
บทความล่าสุด
- แอปชาร์จ EV ที่คุณไม่ต้องสร้างเอง: ระบบ QR Code กับ OCPP ID Tag July 2, 2026
- การติดตั้ง LLM แบบ On-Premise สำหรับองค์กร: ฮาร์ดแวร์ โมเดล และ TCO (2026) July 1, 2026
- เปิดเครือข่ายชาร์จ EV ของคุณใน 6 ขั้นตอน — ไม่ต้องพึ่งแพลตฟอร์มราคาแพง June 29, 2026
- แบบประเมินความพร้อมสำหรับการติดตั้ง Local LLM ในองค์กร June 26, 2026
- ทำไมองค์กรในเอเชียตะวันออกเฉียงใต้และญี่ปุ่นถึงย้าย LLM เข้ามาอยู่ภายใน Firewall June 26, 2026
- วิธีเลือกพาร์ทเนอร์เทคโนโลยีในเอเชียตะวันออกเฉียงใต้: คู่มือประเมินเชิงปฏิบัติสำหรับทีมองค์กร June 24, 2026
