1. เหตุผลของประกาศ : 

เนื่องจากเว็บไซต์เป็นช่องทางสำคัญของหน่วยงาน และเป็นเป้าหมายหลักของภัยคุกคามทางไซเบอร์ จากสถิติปี 2566-2567 พบว่าภัยคุกคามกว่า 44% เกิดขึ้นกับเว็บไซต์ (เช่น Web Defacement, Gambling, Fake Website) การโจมตีเหล่านี้ส่งผลกระทบต่อข้อมูล การให้บริการ สร้างความเสียหายต่อชื่อเสียง และอาจกระทบต่อความมั่นคงของประเทศ จึงจำเป็นต้องมีมาตรฐานขั้นต่ำเพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์มีประสิทธิภาพ

 

2. หน่วยงานที่ต้องปฏิบัติตาม :

บังคับ : 

หน่วยงานของรัฐ
หน่วยงานควบคุม หรือกำกับดูแล
หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII)

ส่งเสริม และสนับสนุนให้นำไปปรับใช้ : 

หน่วยงานเอกชน

 

3. ขอบเขตของมาตรฐานฉบับนี้ :

มาตรฐานนี้ครอบคลุมเว็บไซต์ที่เชื่อมต่ออินเทอร์เน็ต, เว็บไซต์ที่มีข้อมูลสำคัญ, เว็บไซต์บริการประชาชน และเว็บไซต์ที่มีธุรกรรมทางอิเล็กทรอนิกส์ โดยใช้ได้กับเว็บไซต์ทุกรูปแบบไม่ว่าจะเป็นแบบ On-Premises (ติดตั้งในองค์กร), Cloud Service (บนคลาวด์) หรือ Web Hosting (ใช้บริการเว็บโฮสติ้ง)

องค์ประกอบที่อยู่ในขอบเขตมาตรฐาน :

การกำกับดูแลด้านความมั่นคงปลอดภัย (Website Security Governance): ครอบคลุมการบริหารจัดการ, นโยบาย, มาตรการควบคุมเชิงบริหาร และการควบคุมการเข้าถึง
การรักษาความมั่นคงปลอดภัย (Website Security) เน้น 2 ส่วนหลักคือ

เครื่องบริการเว็บ (Web Server) ประกอบด้วย เว็บไซต์ (Website), ซอฟต์แวร์ให้บริการเว็บ (Web Server Software), เว็บแอปพลิเคชัน (Web Application), ระบบจัดการเนื้อหา (CMS), ระบบปฏิบัติการ (Operating System) และ SSL/TLS
เครื่องบริการฐานข้อมูล (Database Server) ประกอบด้วย ระบบฐานข้อมูล (Database System), ระบบปฏิบัติการ (Operating System), และซอฟต์แวร์จัดการฐานข้อมูล (DBMS Software)

องค์ประกอบที่อยู่นอกเหนือขอบเขต (แต่แนะนำให้พิจารณา) :

เป็นส่วนของสภาพแวดล้อมที่เกี่ยวข้อง เช่น Firewall, Web Application Firewall (WAF), DNS Server, DNSSEC, EDR/XDR, และมาตรการควบคุมเชิงกายภาพ ซึ่งเป็นองค์ประกอบที่หน่วยงานพิจารณาดำเนินการเพื่อให้เว็บไซต์มีความมั่นคงปลอดภัยจากภัยคุกคามทางไซเบอร์

 

4. สิ่งที่หน่วยงานต้องดำเนินการ :

หน่วยงานที่อยู่ในขอบเขตบังคับใช้

ต้องดำเนินการอย่างน้อยปีละ 1 ครั้ง ดังนี้ :

กำหนดคุณลักษณะ และประเมินผลกระทบ

กำหนดคุณลักษณะความมั่นคงปลอดภัยให้แก่ข้อมูล และระบบของเว็บไซต์
ประเมิน และจัดระดับผลกระทบในแต่ละด้าน (เช่น ต่ำ, กลาง, สูง)

ประเมินตนเอง (Self-Assessment)

ตรวจสอบการดำเนินงานของตนเองเทียบกับข้อกำหนดในมาตรฐาน โดยใช้ "แบบฟอร์ม ค๑ แบบตรวจรายการเพื่อตรวจสอบสถานะความมั่นคงปลอดภัยสำหรับเว็บไซต์"

รายงานผลการประเมิน (ตามระดับผลกระทบ)

กรณีผลกระทบระดับต่ำหรือระดับกลาง : จัดทำรายงานตามแบบฟอร์ม ค๑ พร้อมหลักฐาน เสนอต่อผู้บริหารสูงสุดของหน่วยงาน และเก็บไว้เพื่อให้ สกมช. ตรวจสอบ
กรณีผลกระทบระดับสูง : จัดทำรายงานตามแบบฟอร์ม ค๑ พร้อมหลักฐาน เสนอต่อผู้บริหารสูงสุด, หน่วยงานควบคุมหรือกำกับดูแล และต้องส่งสำเนาให้ สกมช. ด้วย

กรณีที่ยังไม่สอดคล้องกับมาตรฐาน

หากผลการประเมินพบว่ายังดำเนินการไม่ครบถ้วน หรือไม่สอดคล้องกับมาตรฐาน ให้จัดทำ "แบบฟอร์ม ค๒ แบบรายงานรายการที่ยังต้องปรับปรุง"
แจ้งแบบฟอร์ม ค๒ ต่อผู้บริหารสูงสุด เพื่อใช้อำนาจสั่งการให้ผู้เกี่ยวข้องดำเนินการปรับปรุงแก้ไขให้สอดคล้องกับมาตรฐานต่อไป

 

5. โครงสร้างของเอกสารมาตรฐาน : 

เอกสารมาตรฐานฉบับนี้มีโครงสร้างหลักอ้างอิงจาก NIST Cybersecurity Framework (CSF 2.0) และประกาศคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ประกอบด้วย

การกำกับดูแลด้านความมั่นคงปลอดภัย (Website Security Governance) ว่าด้วยการบริหารจัดการ และนโยบาย (หัวข้อ 5 ในประกาศ)

การสำรวจบริบทของหน่วยงาน (Organization Context)
นโยบายด้านความมั่นคงปลอดภัยสำหรับเว็บไซต์ (Website Security Policies)
กลยุทธการจัดการความเสี่ยง (Risk Management Strategy)

ความเสี่ยงที่ยอมรับได้ (Risk Appetite)
ระดับความเสี่ยงที่ยอมให้เบี่ยงเบนได้ (Risk Tolerance)

บทบาท และความรับผิดชอบด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ (Information Security Roles and Responsibilities)
การวางแผนกำหนดความต้องการด้านความมั่นคงปลอดภัยของเว็บไซต์
การกำหนดแนวทางด้านความมั่นคงปลอดภัยสำหรับเว็บไซต์

การรักษาความลับ (Confidentiality)
การรักษาความครบถ้วนสมบูรณ์ (Integrity)
การเตรียมความพร้อมใช้งาน (Availability)
การสำรองข้อมูล (Backup)
การจัดการข้อมูลจราจรทางคอมพิวเตอร์ (Log Management)

การรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ (Website Security and Operation) ว่าด้วยการปฏิบัติการ แบ่งเป็น 5 ด้าน (หัวข้อ 6 ในประกาศ)

การระบุความเสี่ยงที่จะเกิดขึ้นกับเว็บไซต์ (Website Security Identification)

การจัดการทรัพย์สิน (Asset Management)
การประเมินความเสี่ยง (Risk Assessment)
การประเมินช่องโหว่ และการทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing)

การป้องกันความเสี่ยงที่จะเกิดขึ้นกับเว็บไซต์ (Website Security Protection)

การพัฒนาโปรแกรมประยุกต์บนเว็บอย่างมั่นคงปลอดภัย

DevSecOps

การพัฒนาแอปพลิเคชันบนเว็บไซต์โดยพิจารณาปัจจัยเสี่ยงด้านความมั่นคงปลอดภัยของเว็บไซต์ที่พบได้บ่อย

OWASP

การออกแบบสถาปัตยกรรมเว็บไซต์อย่างมั่นคงปลอดภัย

Firewall
Web Application Firewall
IPS/IDS
XDR
SIEM
SOAR

การควบคุมการเข้าถึง (Access Control)

การกำหนดบทบาท และสิทธิ์การใช้งาน
การกำหนด และรักษารหัสผ่าน
การตั้งค่ารหัสผ่านใหม่

การพิสูจน์ตัวตนแบบหลายปัจจัย (Multi-Factor Authentication: MFA)
การตั้งค่าเพื่อความมั่นคงปลอดภัยพื้นฐาน

Operating System
Web Server Software
CMS
Database

การตรวจสอบ และเฝ้าระวังภัยคุกคามทางไซเบอร์สำหรับเว็บไซต์ (Website Security Detection)
การเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์สำหรับเว็บไซต์ (Website Incident Response)
การรักษา และฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์สำหรับเว็บไซต์ (Website Recovery)

 

6. การดำเนินการตามข้อกำหนดขั้นต่ำ และแนวทางในตรวจสอบ และปฏิบัติให้เป็นไปตามมาตรฐาน :

แนวทางในการดำเนินการตามข้อกำหนดขั้นต่ำ

ให้หน่วยงานกำหนดคุณลักษณะความมั่นคงปลอดภัยไซเบอร์ให้กับข้อมูล หรือสารสนเทศของเว็บไซต์ของหน่วยงานครบทั้ง 3 ด้าน ซึ่งประกอบด้วย ด้านการรักษาความลับ (Confidentiality) การรักษาความถูกต้องครบถ้วน (Integrity) และการรักษาสภาพพร้อมใช้ (Availability) ตามส่วนที่ 2 (ตาราง ค๑-ตาราง ค๕) ของแบบตรวจรายการเพื่อตรวจสอบสถานะความมั่นคงปลอดภัยสำหรับเว็บไซต์ (แบบฟอร์ม ค๑) นำผลที่ได้มาระบุเกณฑ์การดำเนินการตามข้อกำหนดขั้นต่ำในการปฏิบัติตามมาตรฐานฉบับนี้ ในตาราง ค๖

แนวทางในการตรวจสอบ และปฏิบัติเพื่อให้เป็นไปตามมาตรฐาน

กรณีที่หน่วยงานยังไม่ได้รับรอง ISO27001 หรือที่ได้รับการรับรองแต่ขอบเขตของการรับรองไม่ครอบคลุมถึงเว็บไซต์ของหน่วยงานจะต้องประเมินตนเอง (Self-Assessment) อย่างน้อยปีละ 1 ครั้ง
กรณีหน่วยงานได้รับการรับรอง ISO27001 ที่มีขอบเขตในการรับรองที่ครอบคลุมถึงเว็บไซต์ของหน่วยงานแล้ว หน่วยงานอาจจะพิจารณาดำเนินการตามมาตรฐานฉบับนี้ เฉพาะส่วนที่ยังไม่ได้ดำเนินการตามมาตรฐาน ISO27001 ตามที่หน่วยงานได้รับการรับรองนั้น

 

หมายเหตุ : เอกสารนี้เป็นเพียงการสรุปข้อมูลส่วนหนึ่งจากประกาศเรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ พ.ศ. 2568 เท่านั้น เพื่อทำความเข้าใจประกาศอย่างครบถ้วน องค์กรควรศึกษาข้อมูลเพิ่มเติมจากประกาศฉบับเต็ม https://ratchakitcha.

นักวิจัยด้านความปลอดภัยทางไซเบอร์ พบแคมเปญมัลแวร์ซึ่งใช้ไฟล์ SVG (Scalable Vector Graphics) และไฟล์แนบอีเมลเป็นช่องทางในการแพร่กระจาย Remote Access Trojan (RAT) โดยเฉพาะ XWorm และ Remcos RAT (more…)

แพลตฟอร์ม Phishing-as-a-Service (PhaaS) ตัวใหม่ที่ชื่อ “VoidProxy” กำลังมุ่งเป้าการโจมตีไปที่ผู้ใช้บัญชี Microsoft 365 และ Google รวมถึงบัญชีที่ได้รับการป้องกันแบบ Single Sign-On (SSO) จากผู้ให้บริการภายนอกอย่าง Okta

แพลตฟอร์มดังกล่าวใช้วิธีการโจมตีแบบ Adversary-in-the-Middle (AitM) เพื่อขโมยข้อมูล Credentials, Multi-factor authentication (MFA) และ Session Cookies ของเหยื่อ โดยสามารถขโมยได้แบบ real time

VoidProxy ถูกพบโดยนักวิจัยจาก Okta Threat Intelligence ซึ่งระบุว่า แพลตฟอร์มดังกล่าวมีความสามารถในการ Scalable, หลบเลี่ยงการตรวจจับได้ดี และมีความซับซ้อนสูง

การโจมตีจะเริ่มต้นจากอีเมลที่ส่งมาจากบัญชีที่ถูกแฮ็กบนแพลตฟอร์มของผู้ให้บริการส่งอีเมล เช่น Constant Contact, Active Campaign และ NotifyVisitors โดยอีเมลเหล่านี้จะมี Shortened Links ที่จะส่งผู้รับไปยังเว็บไซต์ phishing หลังจากถูกเปลี่ยนเส้นทางหลายครั้ง

เว็บไซต์อันตรายเหล่านี้จะ Host จะอยู่บนโดเมนราคาถูก เช่น .icu, .sbs, .cfd, .xyz, .top และ .home โดยใช้ Cloudflare เพื่อซ่อน IP Address ที่แท้จริงของเซิร์ฟเวอร์ไว้

เมื่อผู้ใช้เข้าสู่เว็บไซต์ จะพบกับ CAPTCHA ของ Cloudflare เพื่อกรองบอทออกไป และช่วยเพิ่มความน่าเชื่อถือ ในขณะเดียวกัน ก็ใช้สภาพแวดล้อมของ Cloudflare Workers เพื่อ filter traffic และโหลดหน้าเว็บต่าง ๆ ที่ใช้ในการโจมตี

โดยเป้าหมายที่ถูกเลือกจะเจอหน้าเว็บที่เลียนแบบหน้าการล็อกอินของ Microsoft หรือ Google ส่วนผู้ใช้งานรายอื่น ๆ จะถูกส่งไปยังหน้าเว็บทั่วไปที่ขึ้นข้อความว่า “Welcome” ซึ่งไม่มีอันตรายใด ๆ

หากมีการกรอกข้อมูล Credentials ลงใน Phishing form, Requests จะถูกส่งผ่าน Proxy ด้วยเทคนิคการโจมตีแบบ AitM ของ VoidProxy ไปยังเซิร์ฟเวอร์ของ Google หรือ Microsoft โดยตรง

สำหรับบัญชีแบบ Federated ที่ใช้ Okta ในการ SSO จะถูกเปลี่ยนเส้นทางไปยังหน้าถัดไปของเว็บ Phishing ซึ่งจะทำเลียนแบบเป็นหน้าขั้นตอน SSO ของ Microsoft 365 หรือ Google ที่ทำงานร่วมกับ Okta โดย Requests เหล่านี้จะถูกส่งผ่าน Proxy ไปยังเซิร์ฟเวอร์ของ Okta

Proxy Server ของบริการนี้จะทำหน้าที่รับ-ส่ง traffic ระหว่างเหยื่อกับ Microsoft หรือ Google ขณะเดียวกันก็จะดักจับข้อมูลชื่อผู้ใช้, รหัสผ่าน, และรหัส MFA ในระหว่างการส่งข้อมูล

เมื่อ Microsoft หรือ Google ออก Session Cookie เพื่อยืนยันการเข้าระบบ, VoidProxy จะดักจับคุกกี้นั้นไว้ และสร้าง Copy ขึ้นมา จากนั้นจะถูกส่งไปให้ผู้โจมตี ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงผ่าน Admin Panel ของแพลตฟอร์มได้

Okta ระบุว่า ผู้ใช้งานที่ลงทะเบียนใช้การยืนยันตัวตนแบบ Phishing-resistant เช่น Okta FastPass จะได้รับการป้องกันจากขั้นตอนการโจมตีของ VoidProxy และจะได้รับการแจ้งเตือนว่าบัญชีของพวกเขากำลังถูกโจมตี

นักวิจัยได้ให้คำแนะนำเพื่อป้องกันการโจมตีในลักษณะนี้ ได้แก่ :

จำกัดการเข้าถึงแอปพลิเคชันที่สำคัญให้ใช้ได้เฉพาะ Managed Devices เท่านั้น
บังคับใช้นโยบาย Risk-based Access Controls
ใช้ IP Session Binding สำหรับ administrative apps
บังคับให้มีการ Re-authentication เมื่อผู้ดูแลระบบพยายามดำเนินการในส่วนที่มีความสำคัญ

ที่มา : bleepingcomputer

ตรวจพบ Ransomware สายพันธุ์ใหม่ชื่อ HybridPetya ซึ่งสามารถ Bypass การทำงานของ UEFI Secure Boot เพื่อทำการติดตั้งแอปพลิเคชันอันตรายลงใน EFI System Partition ได้

HybridPetya ดูเหมือนจะได้รับแรงบันดาลใจจากมัลแวร์ Petya/NotPetya ซึ่งเคยเข้ารหัสคอมพิวเตอร์ และทำให้ Boot Windows ไม่ได้ในการโจมตีเมื่อปี 2016 และ 2017 โดยไม่มีวิธีกู้คืนข้อมูล

นักวิจัยจากบริษัท ESET พบตัวอย่างของ HybridPetya บน VirusTotal โดยระบุว่า มัลแวร์นี้อาจเป็นโครงการวิจัย, Proof-of-Concept (PoC) หรือเป็นเวอร์ชันเริ่มต้นของเครื่องมือของกลุ่มอาชญากรรมไซเบอร์ ที่ยังอยู่ในระยะทดลอง

อย่างไรก็ตาม ESET ระบุว่า การพบ HybridPetya ครั้งนี้ เป็นอีกหนึ่งตัวอย่าง (เช่นเดียวกับ BlackLotus, BootKitty และ Hyper-V Backdoor) ที่แสดงให้เห็นว่า UEFI bootkit ซึ่งมีความสามารถ Bypass การป้องกัน Secure Boot นั้นเป็นภัยคุกคามที่เกิดขึ้นจริง

HybridPetya ผสานลักษณะเด่นของ Petya และ NotPetya เข้าด้วยกัน ทั้งในด้านลักษณะการแสดงผล และขั้นตอนการโจมตีของมัลแวร์รุ่นเก่าเหล่านั้น

อย่างไรก็ตาม ผู้พัฒนา Ransomware HybridPetya ได้เพิ่มความสามารถใหม่ เช่น การติดตั้งลงใน EFI System Partition และความสามารถในการ Bypass การป้องกัน Secure Boot โดยอาศัยช่องโหว่ CVE-2024-7344

ESET ค้นพบช่องโหว่นี้เมื่อเดือนมกราคมปีนี้ โดยปัญหานี้เกิดจาก แอปพลิเคชันที่มีการ signed โดย Microsoft ซึ่งอาจถูกผู้โจมตีใช้เพื่อติดตั้ง Bootkit ได้ แม้ว่า Secure Boot ของเครื่องเป้าหมายจะยังทำงานอยู่

เมื่อเริ่มทำงาน HybridPetya จะตรวจสอบว่าคอมพิวเตอร์เป้าหมายใช้ UEFI แบบ GPT partitioning หรือไม่ จากนั้นจะปล่อย Bootkit อันตรายลงใน EFI System Partition ซึ่งประกอบด้วยไฟล์หลายไฟล์

ซึ่งไฟล์เหล่านี้ประกอบด้วย ไฟล์ configuration และ validation, modified bootloader, fallback UEFI Bootloader, exploit payload container และ status file สำหรับติดตามความคืบหน้าของการ encryption

ESET ระบุไฟล์ที่พบในหลายเวอร์ชันของ HybridPetya ดังนี้

\EFI\Microsoft\Boot\config – เก็บข้อมูล encryption flag, key, nonce และ victim ID
\EFI\Microsoft\Boot\verify – ใช้สำหรับตรวจสอบ decryption key ว่าถูกต้องหรือไม่
\EFI\Microsoft\Boot\counter – ใช้ติดตามความคืบหน้าของการ encrypted clusters
\EFI\Microsoft\Boot\bootmgfw.

Samsung ได้เผยแพร่การอัปเดตความปลอดภัยสำหรับ Android ซึ่งรวมถึงการแก้ไขช่องโหว่ด้านความปลอดภัยที่ถูกระบุว่ามีการนำไปใช้ในการโจมตีแบบ Zero-Day แล้ว

ช่องโหว่ CVE-2025-21043 (CVSS Score : 8.8) เป็นช่องโหว่ out-of-bounds write ที่อาจทำให้ผู้โจมตีสามารถรันโค้ดตามต้องการได้

Samsung ระบุใน advisory ว่า “Out-of-bounds Write ใน libimagecodec.

สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ออกคำเตือนเกี่ยวกับแฮ็กเกอร์ที่กำลังใช้ประโยชน์จากช่องโหว่ Remote Code Execution ระดับ Critical ใน DELMIA Apriso ซึ่งเป็นโซลูชันการจัดการ และดำเนินการด้านการผลิต (MOM) และ MES จาก Dassault Systèmes ของฝรั่งเศส

โดย CISA ได้เพิ่มช่องโหว่นี้ ซึ่งมีหมายเลข CVE-2025-5086 และถูกจัดระดับความรุนแรงเป็นระดับ Critical (CVSS v3: 9.0) เข้าไปในรายการ Known Exploited Vulnerabilities (KEV) แล้ว

(more…)

Microsoft ระบุว่าได้บรรเทาปัญหาการหยุดให้บริการของ Exchange Online ที่ส่งผลกระทบต่อผู้ใช้งานทั่วโลก ซึ่งทำให้ผู้ใช้ไม่สามารถเข้าถึงอีเมล และปฏิทินได้

(more…)

Microsoft ออก Patch Tuesday ประจำเดือนกันยายน 2025 โดยแก้ไขช่องโหว่ 81 รายการ ซึ่งรวมถึงช่องโหว่ Zero-Days ที่ถูกเปิดเผยรายละเอียดออกสู่สาธารณะแล้ว 2 รายการ (more…)

SAP ได้แก้ไขช่องโหว่ใหม่ 21 รายการที่ส่งผลกระทบต่อผลิตภัณฑ์ของบริษัท รวมถึงช่องโหว่ที่มีความรุนแรงระดับ Critical จำนวน 3 รายการ ที่ส่งผลกระทบต่อซอฟต์แวร์ SAP NetWeaver (more…)

นักวิจัยแจ้งเตือนการโจมตีระบบ SAP S/4HANA ผ่านช่องโหว่ code injection ซึ่งมีความรุนแรงระดับ Critical ไปยัง servers ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต

(more…)