Investigation มีกี่แบบ#

เมื่อเกิดเหตุ — อาจต้องเผชิญหลาย investigation พร้อมกัน:

Administrative Investigation

• HR / internal investigation
• ตัดสินใจการลงโทษพนักงาน
• ใช้ลายลักษณ์อักษร, witness statements

Criminal Investigation

• ตำรวจ / DSI / กระทรวงดิจิทัลเข้าสอบสวน
• มาตรฐานสูงสุดของหลักฐาน — “beyond reasonable doubt”
• Chain of custody ต้องสมบูรณ์

Civil Investigation

• ฟ้องเรียกค่าเสียหาย
• มาตรฐานต่ำกว่า criminal — “preponderance of evidence” (ความน่าจะเป็นเกินครึ่ง)

Regulatory Investigation

• PDPC, ก.ล.ต., ธปท. สอบสวน
• บริษัทต้องสามารถผลิตเอกสาร + log

Forensic Investigation

• มาตรฐาน scientifically sound
• หลักฐานต้อง admissible ในศาล
• Chain of custody บังคับ

กฎทอง: Treat Every Incident as Forensic#

หลักของผม — ไม่รู้ตอนต้นว่า incident จะกลายเป็นเรื่องอะไร อาจเริ่มจาก minor issue แล้วลามใหญ่

ดังนั้นทุก incident ควร handle ตามมาตรฐาน forensic ตั้งแต่แรก:

• หลักฐานที่เก็บแบบ criminal-standard ใช้ได้ในทุกประเภท
• หลักฐานที่เก็บแบบ administrative อาจใช้ใน criminal ไม่ได้

ข้อสอบ trap: “Criminal vs civil investigation — มาตรฐานหลักฐานต่างกันยังไง?”

หลอก: Criminal ต้องการหลักฐานน้อยกว่า จริง: Criminal = beyond reasonable doubt (สูงสุด); Civil = preponderance of evidence (ต่ำกว่า)

หลักฐานอยู่หลายที่#

CRM แบ่ง forensics ตามแหล่ง evidence:

Database forensics

• query ที่รัน, schema changes, metadata
• ใช้สำหรับ data theft cases

Email forensics

• messages, headers, metadata
• พิสูจน์การส่ง email, identity ของผู้ส่ง

Mobile forensics

• messages, photos, contacts, location data
• เพิ่มความซับซ้อนของ device encryption + cloud sync

Memory forensics

• volatile data ใน RAM
• running processes, network connections, encryption keys
• ต้องเก็บก่อน shutdown — หายเมื่อปิดเครื่อง

Network forensics

• packet captures, firewall logs, DNS logs
• traffic analysis

Malware forensics

• code analysis, payload examination
• เข้าใจวิธีการทำงานของ malware

Volatile vs Non-Volatile#

หลักสำคัญ:

• Volatile evidence — หายเมื่อปิดเครื่อง (RAM, running processes, network connections, encryption keys ใน memory)
• Non-volatile evidence — ยังอยู่หลังปิดเครื่อง (disk, log files, backups)

Order of Volatility — เก็บที่ volatile สุดก่อน:

1. CPU registers, cache
2. RAM
3. Network state
4. Running processes
5. Disk
6. Backup media

Top Trap ของ Domain 5#

ข้อสอบที่ออกบ่อยที่สุดเรื่อง forensics:

“พบ server ที่โดน compromise — first action?”

หลอก: ปิดเครื่องทันทีเพื่อหยุด attack จริง: เก็บ volatile data (RAM, running processes, network connections) ก่อน shutdown

เหตุผล:

• การปิดเครื่อง = ทำลาย volatile evidence ทั้งหมด
• ใน RAM อาจมี: encryption keys ของ malware (ต้องการ decrypt later), active session ของ attacker, malware in-memory ที่ไม่ได้ persistent บน disk
• หาก attacker ใช้ fileless malware (อยู่แค่ใน memory) — ปิดเครื่อง = สูญเสียหลักฐานหลักของ attack

ทำไมสัญชาตญาณคือ “ปิดเครื่อง”#

Manager ส่วนใหญ่คิดว่า “ปิด = หยุด attack” — แต่:

• ส่วนใหญ่ attacker เก็บข้อมูลเสร็จไปแล้ว ก่อนเรารู้ตัว
• ปิดเครื่องไม่ได้ recover อะไร
• แต่ทำลาย investigation capability

วิธีที่ถูก:

1. Isolate from network ก่อน (unplug network cable, disable network) — หยุดการแพร่
2. Capture volatile data — RAM image
3. จากนั้นค่อย shutdown — ทำ disk image

หลักการ#

Chain of Custody = บันทึกทุกการเคลื่อนย้าย/แตะต้อง evidence — ตั้งแต่เก็บมา จนถึงนำเสนอในศาล

ในมุมบ้าน — เปรียบเหมือนตำรวจที่:

• ใส่ถุงมือก่อนแตะหลักฐาน
• เก็บในซองที่ seal ด้วยตรา
• ระบุชื่อ + เวลา + สถานที่ในการเก็บ
• ทุกครั้งที่ถ่ายทอดให้คนอื่น = signing transfer log
• ที่จัดเก็บมี control เข้าออก

ทำไมต้อง Chain of Custody#

ทนายฝ่ายตรงข้ามจะถาม:

• “หลักฐานนี้แตะใครบ้าง?”
• “ใครการันตีว่าไม่ถูกแก้ไข?”
• “เก็บที่ไหนระหว่างเก็บมาถึงวันนี้?”

ถ้าตอบไม่ครบ — ศาลอาจปฏิเสธหลักฐาน — คดีพัง

ข้อสอบ trap: “auditor ดู forensic report — ลักษณะที่สำคัญที่สุด?”

หลอก: ความครบถ้วนของการวิเคราะห์ทาง technical จริง: Chain of custody documented + unbroken — analysis ที่เก่งแค่ไหน ไม่มีค่าถ้า chain ขาด

Imaging — ทำงานกับสำเนา#

หลักของ forensics — ห้ามทำงานกับ original media

ทำสำเนาแบบ bit-for-bit เรียก forensic image:

• Copy ทุก bit รวมพื้นที่ที่ “ลบแล้ว”
• ใช้ write blocker ป้องกัน original ถูกแก้ไขโดยไม่ตั้งใจ
• คำนวณ hash (MD5/SHA) ของ image — verify ว่าทุกครั้งที่เปิดยังเหมือนเดิม

ในมุมบ้าน — ถ่ายเอกสารสำคัญก่อนวิเคราะห์ — ต้นฉบับเก็บไว้ไม่แตะ

File Recovery / Carving#

สำคัญที่ต้องเข้าใจ — Delete ≠ Erase

เมื่อ user “ลบ” file ใน OS:

• File system ลบ reference ไป file
• Data จริงยังอยู่บน disk จนกว่า block จะถูก overwrite

ดังนั้น:

• File recovery — กู้ file จาก reference ที่ยังเหลือ
• File carving — ค้นหา data pattern ใน raw disk space (สำหรับ file ที่ reference ลบหมดแล้ว)
• Slack space analysis — เนื้อที่ระหว่าง file end กับ block boundary อาจมี data เก่า

ในมุมบ้าน — ฉีกจดหมายไม่เท่ากับทำลาย ผู้เชี่ยวชาญสามารถนำชิ้นส่วนมาต่อกัน

ข้อสอบ trap: “attacker ลบ log files — concern?”

หลอก: log หายถาวร จริง: อาจ recover ได้ด้วย forensic techniques — แต่ที่กังวลกว่าคือไม่มี write-protected log storage (ต้นเหตุที่ attacker ลบได้)

Steganography#

Steganography = ซ่อนข้อมูลใน data อื่น (ในรูปภาพ, audio, video)

ตัวอย่าง — secret message ซ่อนใน LSB (least significant bits) ของ pixel ในภาพ — ตาเปล่ามองไม่ออก

Forensic tools มี steganography detection — โดยเฉพาะในคดีที่เกี่ยวกับ data exfiltration

Metadata Analysis#

ทุก digital file มี metadata:

• Creation date / modification date / access date
• Author
• Application used
• GPS coordinates (สำหรับรูป)
• Device model

Metadata ใช้สำหรับ:

• Timeline reconstruction — ลำดับเหตุการณ์
• Identity verification — author ของเอกสาร
• Location — รูปถ่ายที่ไหน

หลายคดี solved ด้วย metadata มากกว่า content

IT Audit ที่อาจทำลายหลักฐาน#

ปัญหาที่เจอ — ทีม IT audit หรือ IT operations เข้าถึงระบบที่อาจเป็น crime scene ก่อน forensic team

ผลกระทบ:

• เปลี่ยน file timestamps
• Overwrite slack space
• Modify registry entries
• Trigger เรื่อง MAC time

วิธีป้องกัน:

• มี forensic preservation procedure ที่ activate ก่อน ใครแตะระบบ
• IR plan + forensic ต้อง integrate ด้วยกัน
• IT staff ต้อง train เรื่อง “อย่าแตะ” สำหรับเหตุที่อาจเป็น forensic case

Forensic Process#

หลังจาก isolate + capture volatile:

• Forensic data protection — write blocker on all media
• Imaging — bit-for-bit copy
• Data acquisition — controlled transfer
• Extraction — เลือกข้อมูลที่เกี่ยวข้องออกจาก imaged dataset
• Interrogation — หาความสัมพันธ์ (IP addresses, phone numbers, names)
• Ingestion / Normalization — แปลง binary/hex เป็น readable format
• Reporting — technical report + management summary

Tools Categories#

(ขออ้างอิงเฉพาะ category ทั่วไป — ไม่ระบุยี่ห้อเฉพาะ)

• Disk imaging tools
• Memory capture tools
• Mobile forensics tools
• Network forensics tools
• Malware analysis sandbox
• Write blockers (hardware)

PDPA + Forensics#

PDPA กำหนดว่าต้อง notify breach ภายใน 72 ชั่วโมง — และ notification ต้อง accurate:

• ข้อมูลอะไรที่ได้รับผลกระทบ
• จำนวนคนที่ได้รับผลกระทบ
• เหตุการณ์เกิดขึ้นยังไง
• ทำอะไรอยู่

ถ้า notification ผิด = regulatory penalty เพิ่มจากการ breach เอง

ดังนั้น forensic investigation ต้องเริ่มทันที — ไม่ใช่หลังจาก recovery เสร็จ

Forensic Readiness — ลด Cost#

องค์กรที่ “พร้อม” สำหรับ forensic จะเสียน้อยกว่า:

• Write-protected log storage
• Forensic kit เตรียมไว้
• CSIRT รู้ขั้นตอน
• Incident response plan + forensic procedure ผูกกัน
• Pre-identified forensic team (in-house หรือ retainer กับ external firm)

ที่ผมเห็นใน practice — ค่า incident response specialist ราคาแพงมากต่อชั่วโมง องค์กรที่ไม่พร้อมเสียทั้งเงินและเวลามากกว่าหลายเท่า