Posted inCybersecurity SysAdmin

ข้อแตกต่างของ Threat vs Vulnerability vs Risk สำหรับผู้ดูแลระบบ

เวลาพูดถึง Cybersecurity เรามักได้ยินคำว่า Threat, Vulnerability และ Risk อยู่เสมอ โดยเฉพาะเวลาอ่านรายงานสแกนช่องโหว่ ประเมินความปลอดภัย Server หรือทำแผนป้องกันระบบในองค์กร

ปัญหาคือ หลายคนใช้ 3 คำนี้สลับกัน ทั้งที่ความหมายไม่เหมือนกันเลย

ตัวอย่างเช่น ถ้า Server ของเรายังเปิด SSH ให้ Login ด้วยรหัสผ่านได้ คำถามคือ สิ่งนี้คือ Threat, Vulnerability หรือ Risk

คำตอบคือ มันอาจเกี่ยวข้องทั้ง 3 อย่าง แต่ต้องแยกให้ถูกว่าอะไรคือ “ภัยคุกคาม” อะไรคือ “จุดอ่อน” และอะไรคือ “ความเสี่ยง” เพราะถ้าแยกไม่ถูก เราจะวางแผนป้องกันผิดจุดได้ง่ายมาก

บทความนี้จะอธิบายความแตกต่างของ

  • ภัยคุกคาม (Threat )
  • ช่องโหว่หรือจุดอ่อน (Vulnerability)
  • ความเสี่ยง (Risk)


ความสัมพันธ์ Threat → Exploit Vulnerability → Create Risk

บทความนี้ไม่จำเป็นต้องใช้ Command Line แต่ผู้อ่านควรเข้าใจพื้นฐานต่อไปนี้เล็กน้อย

  • Server คือเครื่องที่ให้บริการ เช่น Web Server, Database Server, File Server
  • Network คือระบบเครือข่าย เช่น LAN, Wi-Fi, Internet
  • Authentication คือการยืนยันตัวตน เช่น Username/Password, SSH Key, MFA
  • Patch คือการอัปเดตระบบเพื่อแก้บั๊กหรือช่องโหว่

ตัวอย่างในบทความนี้สามารถประยุกต์ใช้ได้กับ Ubuntu Server, Rocky Linux, Windows Server, Cloud Server และระบบเครือข่ายทั่วไป

Threat คืออะไร

Threat คือ “ภัยคุกคาม” หรือสิ่งที่อาจก่อให้เกิดเหตุการณ์ไม่พึงประสงค์ต่อระบบ

พูดให้ง่ายขึ้น Threat คือ “ตัวการหรือเหตุการณ์ที่อาจเข้ามาทำอันตรายระบบ”

ตัวอย่าง Threat เช่น

  • Hacker พยายามเจาะระบบ
  • Malware หรือ Ransomware
  • Phishing Email หลอกให้ผู้ใช้กรอกรหัสผ่าน
  • พนักงานภายในนำข้อมูลออกไปโดยไม่ได้รับอนุญาต
  • ไฟดับ น้ำท่วม หรืออุปกรณ์เสียหาย
  • Botnet สแกนหา Server ที่ตั้งค่าไม่ปลอดภัย
  • ผู้โจมตีพยายาม Brute Force SSH

Threat ไม่จำเป็นต้องเป็นคนเสมอไป อาจเป็นซอฟต์แวร์ เหตุการณ์ธรรมชาติ ความผิดพลาดของมนุษย์ หรือระบบอัตโนมัติที่ถูกใช้โจมตี

ตัวอย่าง Threat ในงาน SysAdmin

สมมติเรามี Ubuntu Server เปิด SSH Port 22 ไว้บน Internet สิ่งที่เป็น Threat คือ

  • ผู้โจมตีที่พยายามเดารหัสผ่าน
  • Bot ที่สแกนหาเครื่องเปิด SSH
  • Malware ที่พยายาม Login เข้าระบบ
  • ผู้ใช้ภายในที่มีสิทธิ์มากเกินจำเป็น

สิ่งเหล่านี้คือ “ภัยที่อาจเกิดขึ้น” แต่ยังไม่ใช่ช่องโหว่โดยตรง

Vulnerability คืออะไร

Vulnerability คือ “ช่องโหว่” หรือ “จุดอ่อน” ในระบบ กระบวนการ การตั้งค่า หรือพฤติกรรมของผู้ใช้ ที่อาจถูก Threat นำไปใช้โจมตีได้

พูดง่าย ๆ คือ Vulnerability คือ “ประตูที่ปิดไม่สนิท” หรือ “จุดที่ระบบมีจุดอ่อน”

ตัวอย่าง Vulnerability เช่น

  • ใช้รหัสผ่านอ่อน เช่น admin123
  • ไม่อัปเดต Patch ระบบ
  • เปิด Service ที่ไม่จำเป็น
  • ตั้งค่า Firewall ผิด
  • Web Application มี SQL Injection
  • Server เปิด Directory Listing
  • ใช้ Software เวอร์ชันเก่าที่มี CVE
  • ผู้ใช้ไม่มีการเปิดใช้งาน MFA
  • Backup ไม่มีการเข้ารหัส
  • สิทธิ์ไฟล์หรือโฟลเดอร์กว้างเกินไป

ตัวอย่าง Vulnerability ในงาน SysAdmin

ถ้า Ubuntu Server เปิด SSH ให้ Login ด้วย Password ได้ และผู้ใช้ตั้งรหัสผ่านง่าย จุดอ่อนคือ

  • อนุญาตให้ Login ด้วย Password
  • ไม่มี Rate Limit
  • ไม่มี Fail2ban
  • ไม่มี MFA
  • ใช้รหัสผ่านที่คาดเดาง่าย

สิ่งเหล่านี้คือ Vulnerability เพราะเป็นจุดที่ Threat สามารถใช้โจมตีได้

Risk คืออะไร

Risk คือ “ความเสี่ยง” ที่เกิดจากการที่ Threat สามารถใช้ Vulnerability เพื่อสร้างผลกระทบต่อระบบหรือองค์กรได้

สูตรจำง่ายคือ

Risk = Threat × Vulnerability × Impact

หรือในเชิงบริหารความปลอดภัย มักประเมินเป็น

Risk = Likelihood × Impact

โดย

  • Likelihood คือโอกาสที่เหตุการณ์จะเกิดขึ้น
  • Impact คือผลกระทบหากเหตุการณ์เกิดขึ้นจริง

ตัวอย่าง Risk ในงาน SysAdmin

กรณี Server เปิด SSH บน Internet และยัง Login ด้วย Password ได้

  • Threat: Botnet พยายาม Brute Force SSH
  • Vulnerability: Server อนุญาต Password Login และรหัสผ่านอ่อน
  • Risk: ผู้โจมตีอาจ Login สำเร็จ ยึด Server ติดตั้ง Malware หรือขโมยข้อมูล

ดังนั้น Risk คือ “ภาพรวมของความเสียหายที่อาจเกิดขึ้น” ไม่ใช่แค่ช่องโหว่อย่างเดียว

ตารางเปรียบเทียบ Threat vs Vulnerability vs Risk

หัวข้อ Threat Vulnerability Risk
ความหมาย ภัยคุกคามที่อาจโจมตีระบบ จุดอ่อนที่อาจถูกโจมตี ความเสี่ยงจากภัยคุกคามที่ใช้จุดอ่อน
คำถามหลัก อะไรหรือใครจะโจมตีเรา? ระบบเราอ่อนตรงไหน? ถ้าเกิดขึ้น จะเสียหายแค่ไหน?
ตัวอย่าง Hacker, Malware, Phishing, ไฟดับ Password อ่อน, ไม่ Patch, ตั้งค่า Firewall ผิด ข้อมูลรั่ว, Server ล่ม, ถูกยึดระบบ
สิ่งที่ควรทำ เฝ้าระวังและทำ Threat Intelligence Patch, Hardening, Scan Vulnerability ประเมินโอกาสและผลกระทบ
เจ้าของงานหลัก Security Team, SOC, IT Admin SysAdmin, Developer, Network Admin ผู้บริหาร, IT Manager, Risk Owner

ตัวอย่างเปรียบเทียบแบบเข้าใจง่าย

ลองเปรียบระบบ IT เป็น “บ้าน”

  • Threat คือ ขโมยที่อาจเข้ามา
  • Vulnerability คือ ประตูบ้านที่ไม่ได้ล็อก
  • Risk คือ โอกาสที่ขโมยจะเข้าบ้านและขโมยของสำคัญไป

ถ้ามีขโมยอยู่แถวบ้าน แต่บ้านล็อกแน่น มีกล้อง มีสัญญาณกันขโมย Risk อาจต่ำลง

แต่ถ้าบ้านไม่ได้ล็อกประตู และมีทรัพย์สินมีค่าอยู่ในบ้าน Risk จะสูงขึ้นทันที

ตัวอย่างที่ 1: Web Server ไม่อัปเดต Patch

สถานการณ์

องค์กรมี Web Server ใช้ Apache หรือ Nginx ให้บริการเว็บไซต์หลัก แต่ไม่ได้อัปเดตระบบมานานหลายเดือน

วิเคราะห์

  • Threat: ผู้โจมตีสแกนหา Web Server ที่มีช่องโหว่
  • Vulnerability: Software เวอร์ชันเก่าที่มีช่องโหว่
  • Risk: เว็บไซต์อาจถูกเจาะ แก้ไขหน้าเว็บ ฝัง Malware หรือขโมยข้อมูลลูกค้า

แนวทางลดความเสี่ยง

  • อัปเดต Patch สม่ำเสมอ
  • ตรวจสอบ CVE ที่เกี่ยวข้องกับ Software ที่ใช้งาน
  • ใช้ Web Application Firewall หากเหมาะสม
  • แยกสิทธิ์ของ Web User ให้จำกัด
  • ทำ Backup และทดสอบ Restore เป็นระยะ

ตัวอย่างที่ 2: ผู้ใช้ถูก Phishing

สถานการณ์

พนักงานได้รับอีเมลปลอมที่อ้างว่าเป็นฝ่าย IT และขอให้กรอก Username/Password

วิเคราะห์

  • Threat: Phishing Email
  • Vulnerability: ผู้ใช้ไม่รู้เท่าทัน และระบบไม่มี MFA
  • Risk: บัญชีผู้ใช้อาจถูกยึดและนำไปเข้าถึงข้อมูลภายใน

แนวทางลดความเสี่ยง

  • เปิดใช้งาน MFA
  • อบรม Security Awareness
  • ใช้ Email Filtering
  • ตั้งค่าแจ้งเตือนเมื่อมี Login ผิดปกติ
  • จำกัดสิทธิ์ผู้ใช้ตามหลัก Least Privilege

ตัวอย่างที่ 3: Database เปิดให้เข้าถึงจาก Internet

สถานการณ์

Database Server เปิด Port ให้เข้าถึงจาก Internet โดยตรง เช่น MySQL, PostgreSQL หรือ MongoDB

วิเคราะห์

  • Threat: ผู้โจมตีสแกนหา Database ที่เปิดเผยบน Internet
  • Vulnerability: Database เปิด Public Access และ Authentication ไม่แข็งแรง
  • Risk: ฐานข้อมูลอาจถูกขโมย แก้ไข หรือลบ

แนวทางลดความเสี่ยง

  • ปิด Public Access
  • อนุญาตเฉพาะ IP ที่จำเป็น
  • ใช้ VPN หรือ Private Network
  • ตั้งรหัสผ่านให้แข็งแรง
  • เปิด Audit Log
  • Backup ฐานข้อมูลอย่างสม่ำเสมอ

วิธีจำแบบสั้นที่สุด

ถ้าต้องจำให้ได้ใน 10 วินาที ให้ใช้ประโยคนี้

Threat คือ สิ่งที่อาจโจมตีเรา
Vulnerability คือ จุดอ่อนที่ทำให้ถูกโจมตีได้
Risk คือ ความเสียหายที่อาจเกิดขึ้นเมื่อภัยคุกคามใช้จุดอ่อนนั้นสำเร็จ

หรือจำเป็นภาพรวมว่า

Threat ใช้ Vulnerability ทำให้เกิด Risk

การประเมิน Risk แบบง่ายสำหรับทีม IT

สำหรับองค์กรขนาดเล็กหรือทีม IT ที่เพิ่งเริ่มทำ Security Assessment สามารถใช้ตารางง่าย ๆ แบบ 3 ระดับได้

ระดับ Likelihood Impact ตัวอย่าง
Low โอกาสเกิดต่ำ ผลกระทบน้อย เครื่องทดสอบภายในไม่มีข้อมูลสำคัญ
Medium มีโอกาสเกิด กระทบงานบางส่วน Server ภายในไม่ได้ Patch
High โอกาสเกิดสูง กระทบธุรกิจหรือข้อมูลสำคัญ Database เปิด Internet และไม่มี MFA

ตัวอย่างการให้คะแนน

Risk Score = Likelihood × Impact

โดยกำหนดคะแนน

Low = 1
Medium = 2
High = 3

เช่น

Likelihood = 3
Impact = 3
Risk Score = 9

แปลว่าเป็นความเสี่ยงระดับสูง ควรรีบแก้ไขก่อนรายการอื่น

Checklist สำหรับแยก Threat, Vulnerability และ Risk

เมื่อต้องวิเคราะห์เหตุการณ์ด้าน Security ให้ลองตอบคำถาม 5 ข้อนี้

1. Asset คืออะไร

เรากำลังป้องกันอะไร เช่น Server, Database, Website, Email Account หรือข้อมูลลูกค้า

2. Threat คืออะไร

ใครหรืออะไรที่อาจโจมตี Asset นี้ เช่น Hacker, Malware, Phishing, Insider หรือไฟดับ

3. Vulnerability อยู่ตรงไหน?

ระบบมีจุดอ่อนอะไร เช่น ไม่ Patch, Password อ่อน, เปิด Port เกินจำเป็น หรือไม่มี Backup

4. Impact คืออะไร?

ถ้าเกิดเหตุขึ้น จะเสียหายอย่างไร เช่น ข้อมูลรั่ว ระบบล่ม เสียชื่อเสียง หรือธุรกิจหยุดชะงัก

5. Risk ควรจัดระดับเท่าไร?

ประเมินจากโอกาสเกิดและผลกระทบ แล้วจัดลำดับว่าควรแก้อะไรก่อน

ตัวอย่างการเขียน Risk Statement

Risk Statement คือประโยคที่สรุป Threat, Vulnerability และ Impact ไว้ในบรรทัดเดียว

รูปแบบที่ใช้ได้ง่ายคือ

หาก [Threat] ใช้ประโยชน์จาก [Vulnerability] อาจทำให้เกิด [Impact]

ตัวอย่าง

หากผู้โจมตีใช้ Botnet Brute Force SSH กับ Server ที่ยังเปิด Password Login อาจทำให้บัญชีผู้ดูแลระบบถูกยึดและนำไปสู่การควบคุม Server โดยไม่ได้รับอนุญาต

อีกตัวอย่าง

หากพนักงานถูก Phishing และระบบไม่มี MFA อาจทำให้บัญชี Email ถูกยึดและข้อมูลภายในรั่วไหล

การเขียนแบบนี้ช่วยให้ทีม IT, ผู้บริหาร และผู้ใช้งานทั่วไปเข้าใจตรงกันว่า “เรากำลังกลัวอะไร” และ “ต้องแก้อะไรก่อน”

ทดสอบความเข้าใจ

ลองดูสถานการณ์ต่อไปนี้

บริษัทมี File Server ภายในองค์กร แต่แชร์โฟลเดอร์แบบ Everyone Full Control และมีข้อมูลบัญชีอยู่ในนั้น

ให้แยกเป็น 3 ส่วน

Threat: ผู้ใช้ภายในหรือ Malware ที่เข้าถึง File Server
Vulnerability: ตั้งค่า Permission กว้างเกินไป
Risk: ข้อมูลบัญชีอาจถูกเปิดเผย แก้ไข หรือลบโดยไม่ได้รับอนุญาต

อีกสถานการณ์

เว็บไซต์ WordPress ไม่ได้อัปเดต Plugin มานาน และเปิดให้ใช้งานบน Internet

วิเคราะห์ได้เป็น

Threat: ผู้โจมตีหรือ Bot ที่สแกนหา WordPress Plugin ที่มีช่องโหว่
Vulnerability: Plugin เวอร์ชันเก่าที่ไม่ได้ Patch
Risk: เว็บไซต์อาจถูกเจาะ ฝัง Backdoor หรือเปลี่ยนหน้าเว็บ

ข้อผิดพลาดที่พบบ่อย

1. เรียก Vulnerability ว่า Risk

เช่น “รหัสผ่านอ่อนคือ Risk”

จริง ๆ แล้วรหัสผ่านอ่อนคือ Vulnerability ส่วน Risk คือความเป็นไปได้ที่ผู้โจมตีจะเดารหัสผ่านสำเร็จและเข้าระบบได้

2. มอง Threat อย่างเดียว แต่ไม่ดู Impact

บาง Threat อาจดูน่ากลัว แต่ถ้าไม่มีผลกระทบต่อระบบสำคัญ Risk อาจไม่สูงมาก

3. สแกนช่องโหว่แล้วไม่จัดลำดับความสำคัญ

รายงาน Vulnerability Scan อาจมีรายการหลายร้อยรายการ แต่ไม่ใช่ทุกช่องโหว่ต้องแก้พร้อมกัน ควรจัดลำดับจาก Risk ก่อนเสมอ

4. แก้เฉพาะเทคนิค แต่ไม่แก้กระบวนการ

บาง Risk ไม่ได้เกิดจาก Software อย่างเดียว แต่อาจเกิดจากกระบวนการ เช่น ไม่มี Policy, ไม่มีการอนุมัติสิทธิ์, ไม่มีการอบรมผู้ใช้ หรือไม่มีแผน Incident Response

แนวทางปฏิบัติสำหรับผู้ดูแลระบบ

สำหรับ SysAdmin หรือ IT Admin สามารถเริ่มต้นได้จากแนวทางต่อไปนี้

1. ทำ Asset Inventory

รู้ก่อนว่าองค์กรมี Server, Device, Service และ Account อะไรบ้าง ถ้าไม่รู้ว่ามีอะไร ก็ประเมิน Risk ได้ยาก

2. Scan Vulnerability เป็นประจำ

ใช้เครื่องมือสแกนช่องโหว่เพื่อตรวจหาจุดอ่อน เช่น Software เก่า, Port เปิดเกินจำเป็น หรือ Configuration ที่ไม่ปลอดภัย

3. Patch Management

กำหนดรอบอัปเดต Patch ให้ชัดเจน เช่น รายสัปดาห์ รายเดือน หรือเร่งด่วนเมื่อมีช่องโหว่ร้ายแรง

4. Hardening Server

ลดพื้นที่โจมตีของระบบ เช่น ปิด Service ที่ไม่ใช้ จำกัด Port ใช้ SSH Key ตั้ง Firewall และจำกัดสิทธิ์ผู้ใช้

5. Backup และ Restore Test

Backup อย่างเดียวไม่พอ ต้องทดสอบ Restore ได้จริง เพราะ Risk สำคัญของหลายองค์กรคือ “มี Backup แต่กู้คืนไม่ได้”

6. Log Monitoring

เก็บ Log และตรวจสอบเหตุการณ์ผิดปกติ เช่น Login Failed จำนวนมาก, การเปลี่ยน Permission, หรือ Traffic แปลก ๆ

7. Security Awareness

ผู้ใช้เป็นส่วนสำคัญของระบบความปลอดภัย ควรมีการอบรมเรื่อง Phishing, Password และการใช้ข้อมูลอย่างปลอดภัย

 

ตารางเปรียบเทียบ Threat, Vulnerability และ Risk

ตัวอย่าง Vulnerability Scan Report

ตัวอย่าง Login Failed บน Server Log

สรุป

Threat, Vulnerability และ Risk เป็น 3 คำพื้นฐานที่สำคัญมากในโลก Cybersecurity

Threat คือภัยคุกคามที่อาจโจมตีระบบ
Vulnerability คือจุดอ่อนที่ทำให้ระบบถูกโจมตีได้
Risk คือความเสี่ยงหรือผลกระทบที่อาจเกิดขึ้นเมื่อภัยคุกคามใช้จุดอ่อนนั้นสำเร็จ

สำหรับผู้ดูแลระบบ สิ่งสำคัญไม่ใช่แค่การรู้ว่าระบบมีช่องโหว่อะไร แต่ต้องประเมินให้ได้ว่า “ช่องโหว่นั้นทำให้เกิด Risk สูงแค่ไหน” และ “ควรแก้อะไรก่อน”

เมื่อแยก 3 คำนี้ได้ชัดเจน การทำ Security Assessment, Vulnerability Management, Patch Management และ Incident Response จะมีทิศทางมากขึ้น และช่วยให้ทีม IT สื่อสารกับผู้บริหารได้เข้าใจง่ายขึ้น


Write by Dr.Arnut Ruttanatirakul
SysAdmin Knowledge
https://www.sysadmin.in.th
June 10, 2026

Tags: