🔹 1. ความหมายสั้น ๆ
Forensics (นิติวิทยาศาสตร์ดิจิทัล)
→ คือการ “เก็บ ตรวจสอบ และพิสูจน์หลักฐาน” จากระบบคอมพิวเตอร์หรืออุปกรณ์ดิจิทัล เพื่อหาว่าเกิดอะไรขึ้น ใครทำ อย่างไร
จุดเน้นคือ ความถูกต้องของหลักฐาน (Integrity) และ สามารถนำไปใช้ในศาลได้Analysis (การวิเคราะห์)
→ คือการ “ตีความข้อมูล” เพื่อเข้าใจพฤติกรรม รูปแบบ (Pattern) หรือหาความสัมพันธ์ (Correlation) ของเหตุการณ์
จุดเน้นคือ เข้าใจและอธิบายสิ่งที่เกิดขึ้น เพื่อใช้วางแผนป้องกันหรือปรับปรุงระบบ
🔹 2. จุดประสงค์ต่างกัน
| ด้าน | Forensics | Analysis |
|---|---|---|
| วัตถุประสงค์หลัก | พิสูจน์สิ่งที่เกิดขึ้น (Proof & Evidence) | ทำความเข้าใจเหตุการณ์ (Insight & Pattern) |
| เป้าหมาย | รวบรวมหลักฐานที่เชื่อถือได้ | วิเคราะห์ข้อมูลเพื่อหาสาเหตุ / แนวโน้ม |
| มุมมองเวลา | มักทำ “หลังเหตุการณ์” | ทำ “ระหว่างหรือก่อนเหตุการณ์” |
🔹 3. ลักษณะการทำงาน
Forensics:
ดำเนินการตามขั้นตอนแน่นอนเก็บหลักฐาน (Acquisition)
รักษาความถูกต้อง (Preservation)
ตรวจสอบ (Examination)
วิเคราะห์ (Analysis เฉพาะภายใน forensic scope)
รายงาน (Reporting)
Analysis:
มีลักษณะยืดหยุ่นมากกว่าดึง log / alert / traffic มาวิเคราะห์
หาความสัมพันธ์ของข้อมูล (Correlation)
สร้าง Pattern หรือ Rule สำหรับตรวจจับในอนาคต
🔹 4. ข้อมูลที่ใช้ (Data Type)
| ประเภท | Forensics ใช้ | Analysis ใช้ |
|---|---|---|
| Disk Image | ✅ ใช้บ่อย (ตรวจไฟล์, Metadata) | ❌ น้อยมาก |
| Memory Dump | ✅ ใช้บ่อย (หา Malware, Process) | ❌ |
| Log Files | ✅ ใช้ (Timeline Reconstruction) | ✅ ใช้หลัก (Detection / Trend) |
| Network PCAP | ✅ ตรวจหลักฐานแพ็กเก็ต | ✅ วิเคราะห์พฤติกรรมการเชื่อมต่อ |
| Threat Intel IOC | ✅ ใช้เพื่อเทียบความเกี่ยวข้อง | ✅ ใช้เพื่อคาดการณ์ภัย |
| SIEM / Alert Data | ❌ | ✅ ใช้หลักในการมอนิเตอร์ |
🔹 5. ผลลัพธ์สุดท้าย (Output)
| ด้าน | Forensics | Analysis |
|---|---|---|
| ผลลัพธ์หลัก | รายงานหลักฐาน (Forensic Report / Evidence Summary) | รายงานเชิงวิเคราะห์ (Analytic Report / Dashboard) |
| ใช้เพื่อ | การสืบสวน, การฟ้องร้อง, การสอบสวนภายใน | การปรับปรุงระบบตรวจจับ, การเข้าใจแนวโน้มการโจมตี |
| รูปแบบข้อมูล | รายละเอียดไฟล์, Timestamp, Hash, Artifact | สถิติ, Pattern, Timeline, IOC List |
🔹 6. ตัวอย่างในเหตุการณ์จริง
กรณี: พบว่า Server หนึ่งถูกโจมตีผ่านช่องโหว่ Web
Analysis:
ทีม SOC ตรวจ log จาก Suricata / ELK → พบว่ามี IP แปลกเข้ามา POST ข้อมูล
→ วิเคราะห์พฤติกรรมว่าเป็น Web Shell pattern
→ แจ้ง Incident ResponseForensics:
หลังจากนั้นทีม DFIR เข้าดึง disk image ของ server
→ ตรวจไฟล์ shell.php, memory dump, log rotation
→ พิสูจน์ timeline และยืนยันว่ามีการรันคำสั่งwhoamiโดย attacker จริง
🔹 7. เครื่องมือที่นิยมใช้
| ประเภท | Forensics | Analysis |
|---|---|---|
| Disk / Memory | Autopsy, FTK, Volatility | - |
| Network | Wireshark, NetworkMiner | Zeek, Suricata |
| Threat Intel | MISP, VirusTotal | OpenCTI, TheHive |
| Log / Monitoring | ELK (ใช้สร้าง Timeline) | ELK, Loki, Grafana |
| Automation / Response | Velociraptor, KAPE | SIEM, SOAR |
| Documenting | BookStack, Obsidian | BookStack, Obsidian |
🔹 8. ความสัมพันธ์กันในกระบวนการ IR
Analysis → ตรวจจับและประเมินความรุนแรงของเหตุการณ์
Forensics → พิสูจน์และยืนยันข้อเท็จจริงจากหลักฐาน
Incident Response → ดำเนินการตอบสนองตามผลการวิเคราะห์และพิสูจน์
ทั้งสองทำงาน ควบคู่กันในวงจรเดียวกัน
Analysis = “เข้าใจสิ่งที่เกิดขึ้น”
Forensics = “พิสูจน์สิ่งที่เข้าใจนั้นว่าจริงหรือไม่”
🔹 9. สรุปสุดท้าย (จำง่าย)
| เปรียบเทียบ | Forensics | Analysis |
|---|---|---|
| มุมมอง | สืบสวน / พิสูจน์หลักฐาน | วิเคราะห์ / ทำความเข้าใจ |
| เป้าหมาย | ยืนยันความจริง | หาความหมายและแนวโน้ม |
| ลักษณะเวลา | หลังเหตุการณ์ | ระหว่าง / ก่อนเหตุการณ์ |
| ผลลัพธ์ | หลักฐานใช้ในศาล | Insight ใช้ปรับปรุงระบบ |
| แนวคิดจำง่าย | “Forensics = พิสูจน์” | “Analysis = เข้าใจ” |