วิศวกรรมความปลอดภัยคือกระบวนการบูรณาการมาตรการควบคุมความปลอดภัยเข้ากับระบบสารสนเทศเพื่อให้มาตรการควบคุมเหล่านั้นกลายเป็นส่วนสำคัญของความสามารถในการปฏิบัติงานของระบบ กระบวนการนี้คล้ายคลึงกับ กิจกรรม วิศวกรรมระบบ อื่นๆ ตรงที่แรงจูงใจหลักคือการสนับสนุนการส่งมอบโซลูชันทางวิศวกรรมที่ตรงตาม ข้อกำหนดด้านฟังก์ชันและการใช้งานที่กำหนดไว้ล่วงหน้าแต่มีมิติเพิ่มเติมคือการป้องกันการใช้ในทางที่ผิดและพฤติกรรมที่เป็นอันตราย ข้อจำกัดและข้อห้ามเหล่านั้นมักถูกกำหนดเป็นนโยบายความปลอดภัย

วิศวกรรมความปลอดภัยทางไซเบอร์และวิศวกรรมความเป็นส่วนตัวมุ่งเน้นไปที่ความปลอดภัยของข้อมูลความปลอดภัยของคอมพิวเตอร์และความปลอดภัยของเครือข่ายรวมถึงการปกป้องข้อมูลจากการเข้าถึง การใช้งาน การเปิดเผย การทำลาย การแก้ไข หรือการขัดขวางการเข้าถึงโดยไม่ได้รับอนุญาตความปลอดภัยทางกายภาพเกี่ยวข้องกับการยับยั้งผู้โจมตีไม่ให้เข้าถึงสถานที่ ทรัพยากร หรือข้อมูลที่จัดเก็บไว้ในสื่อทางกายภาพ วิศวกรรมความปลอดภัยเกี่ยวข้องกับแง่มุมต่างๆ ของสังคมศาสตร์ จิตวิทยา(เช่นการออกแบบระบบให้ " ล้มเหลวอย่างมีประสิทธิภาพ " แทนที่จะพยายามกำจัดแหล่งที่มาของข้อผิดพลาดทั้งหมด) เศรษฐศาสตร์ (ดูเศรษฐศาสตร์ของความปลอดภัย ) คณิตศาสตร์และสถาปัตยกรรมเทคนิคบางอย่างที่ใช้ เช่นการวิเคราะห์แผนผังความผิดพลาดมาจากวิศวกรรมความปลอดภัย

รูปแบบแรกเริ่มของวิศวกรรมความปลอดภัย ได้แก่ สาขาการทำกุญแจการพิมพ์เพื่อความปลอดภัยและการเข้ารหัสลับความกังวลเกี่ยวกับวิศวกรรมความปลอดภัยสมัยใหม่และระบบคอมพิวเตอร์ได้รับการวางรากฐานอย่างชัดเจนครั้งแรกในเอกสารของ RAND ในปี 1967 เรื่อง "ความปลอดภัยและความเป็นส่วนตัวในระบบคอมพิวเตอร์" โดย Willis H. Ware ^{[ 1 ]}เอกสารฉบับนี้ได้รับการขยายความในภายหลังในปี 1979 ^{[ 2 ]} ซึ่งได้นำเสนอแนวคิดพื้นฐานด้านความปลอดภัยของข้อมูลหลายประการ ซึ่งปัจจุบันเรียกว่าความปลอดภัยทางไซเบอร์ ที่ส่งผลกระทบต่อระบบคอมพิวเตอร์สมัยใหม่ ตั้งแต่การใช้งานบนคลาวด์ไปจนถึง IoT แบบฝังตัว หนึ่งในผู้บุกเบิกในการจัดตั้งวิศวกรรมความปลอดภัยให้เป็นสาขาวิชาอย่างเป็นทางการคือRoss Anderson

หลายประเทศได้กำหนดกรอบกฎหมายที่กำหนดข้อกำหนดสำหรับการคุ้มครองข้อมูลส่วนบุคคลและความปลอดภัยของข้อมูลในภาคส่วนต่างๆ ในสหรัฐอเมริกากฎระเบียบเฉพาะมีบทบาทสำคัญในการปกป้องข้อมูลที่ละเอียดอ่อนพระราชบัญญัติการพกพาและการรับผิดชอบด้านการประกันสุขภาพ (HIPAA) ได้กำหนดมาตรฐานที่เข้มงวดสำหรับการปกป้องข้อมูลสุขภาพ เพื่อให้มั่นใจว่าองค์กรด้านการดูแลสุขภาพจะรักษาความลับและความสมบูรณ์ของข้อมูลผู้ป่วย^{[ 3 ] [ 4 ]}

พระราชบัญญัติSarbanes-Oxley (SOX) กำหนดข้อกำหนดการปฏิบัติตามกฎระเบียบโดยมีเป้าหมายเพื่อเพิ่มความถูกต้องและความน่าเชื่อถือของการรายงานทางการเงินและการกำกับดูแลกิจการ ซึ่งส่งผลให้ข้อมูลขององค์กรมีความปลอดภัย^{[ 5 ]}นอกจากนี้พระราชบัญญัติการจัดการความปลอดภัยข้อมูลของรัฐบาลกลาง (FISMA) ยังกำหนดมาตรฐานความปลอดภัยที่ครอบคลุมสำหรับหน่วยงานของรัฐบาลกลางและผู้รับเหมา เพื่อให้มั่นใจถึงแนวทางที่เป็นหนึ่งเดียวในการรักษาความปลอดภัยของข้อมูลทั่วทั้งภาครัฐ^{[ 6 ]}

ในระดับโลก มีกฎระเบียบอื่นๆ อีกมากมายที่เกี่ยวข้องกับการคุ้มครองข้อมูล เช่นระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป (GDPR) ในสหภาพยุโรปซึ่งกำหนดมาตรฐานสูงสำหรับความเป็นส่วนตัวของข้อมูลและให้อำนาจแก่บุคคลในการควบคุมข้อมูลส่วนบุคคลของตนเองมากขึ้น กรอบการทำงานเหล่านี้โดยรวมแล้วมีส่วนช่วยในการสร้างมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งและส่งเสริมแนวปฏิบัติที่ดีที่สุดในอุตสาหกรรมต่างๆ

ผู้เชี่ยวชาญด้านวิศวกรรมความปลอดภัยทางไซเบอร์ประกอบด้วยทั้งผู้ที่มีการศึกษาอย่างเป็นทางการในสาขานี้และผู้ที่ได้รับความเชี่ยวชาญผ่านการศึกษาด้วยตนเองและประสบการณ์การทำงาน^{[ 7 ]}เส้นทางการศึกษาอย่างเป็นทางการ ได้แก่ปริญญาตรีหรือปริญญาโทใน สาขา วิทยาการคอมพิวเตอร์วิศวกรรมคอมพิวเตอร์หรือสาขาที่เกี่ยวข้อง การศึกษาในปี 2020 พบว่า 60% ของงานด้านความปลอดภัยทางไซเบอร์ต้องการปริญญาตรีในสาขาที่เกี่ยวข้อง 25% ต้องการปริญญาโท และ 30% ต้องการใบรับรอง^{[ 8 ]}

ไฟร์วอลล์ ไม่ว่าจะเป็นฮาร์ดแวร์หรือซอฟต์แวร์ ล้วนเป็นส่วนประกอบของโครงสร้างพื้นฐานด้านความปลอดภัยทางไซเบอร์ ทำหน้าที่เป็นกำแพงกั้นที่ควบคุมการรับส่งข้อมูลเครือข่าย ขาเข้าและขาออก ตามกฎความปลอดภัยที่กำหนดไว้ การป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต ไฟร์วอลล์ช่วยปกป้องเครือข่ายจากภัยคุกคามที่อาจเกิดขึ้น นอกจากนี้ระบบตรวจจับการบุกรุก (IDS) ยังตรวจสอบการรับส่งข้อมูลเครือข่ายอย่างต่อเนื่องเพื่อตรวจจับกิจกรรมที่น่าสงสัย และแจ้งเตือนผู้ดูแลระบบเกี่ยวกับการละเมิดที่อาจเกิดขึ้นระบบป้องกันการบุกรุก (IPS) ช่วยเสริมมาตรการเหล่านี้โดยไม่เพียงแต่ตรวจจับภัยคุกคามเท่านั้น แต่ยังบล็อกภัยคุกคามเหล่านั้นแบบเรียลไทม์ ทำให้เกิดท่าทีด้านความปลอดภัยเชิงรุกมากขึ้น^{[ 9 ] [ 10 ]}

การเข้ารหัสเป็นรากฐานสำคัญของ การปกป้อง ข้อมูลโดยใช้ เทคนิค การเข้ารหัส ที่ซับซ้อน เพื่อรักษาความปลอดภัยของข้อมูลที่ละเอียดอ่อน กระบวนการนี้ทำให้มั่นใจได้ว่าข้อมูลจะไม่สามารถอ่านได้โดยผู้ใช้ที่ไม่ได้รับอนุญาต ซึ่งเป็นการปกป้องทั้งข้อมูลที่จัดเก็บอยู่ เช่น ไฟล์ที่จัดเก็บไว้บนเซิร์ฟเวอร์ และข้อมูลที่กำลังส่งผ่าน เช่น ข้อมูลที่ส่งผ่านทางอินเทอร์เน็ต การใช้โปรโตคอลการเข้ารหัสช่วยให้องค์กรสามารถรักษาความลับและความสมบูรณ์ของข้อมูล ปกป้องทรัพย์สินที่สำคัญจากภัยคุกคามทางไซเบอร์และการรั่วไหลของข้อมูล^{[ 11 ] [ 12 ]}

ระบบ SIEMรวบรวมและวิเคราะห์ข้อมูลจากแหล่งต่างๆ ทั่วทั้งสภาพแวดล้อมไอทีขององค์กร ระบบเหล่านี้ให้ภาพรวมที่ครอบคลุมของการแจ้งเตือนและเหตุการณ์ด้านความปลอดภัย ช่วยให้วิศวกรด้านความปลอดภัยทางไซเบอร์สามารถตรวจจับความผิดปกติและตอบสนองต่อเหตุการณ์ได้อย่างรวดเร็ว ด้วยการเชื่อมโยงข้อมูลจากอุปกรณ์และแอปพลิเคชันต่างๆ เครื่องมือ SIEM ช่วยปรับปรุงการรับรู้สถานการณ์และสนับสนุนการปฏิบัติตามข้อกำหนดด้านกฎระเบียบ^{[ 13 ] [ 14 ]}

เครื่องมือประเมินช่องโหว่มีความสำคัญอย่างยิ่งในการระบุและประเมินจุดอ่อนด้านความปลอดภัยภายในระบบและแอปพลิเคชัน เครื่องมือเหล่านี้จะทำการสแกนอย่างละเอียดเพื่อตรวจจับช่องโหว่ โดยจัดประเภทตามระดับความรุนแรง การจัดลำดับความสำคัญนี้ช่วยให้วิศวกรด้านความปลอดภัยทางไซเบอร์สามารถมุ่งเน้นไปที่การแก้ไขช่องโหว่ที่สำคัญที่สุดก่อน ซึ่งจะช่วยลดความเสี่ยงขององค์กรและเพิ่มประสิทธิภาพด้านความปลอดภัยโดยรวม^{[ 15 ]}

โซลูชัน TDR ใช้การวิเคราะห์ขั้นสูงเพื่อคัดกรองข้อมูลจำนวนมหาศาล ระบุรูปแบบที่อาจบ่งชี้ถึงภัยคุกคามที่อาจเกิดขึ้น เครื่องมือต่างๆ เช่น Security Information and Event Management (SIEM) และ User and Entity Behavior Analytics (UEBA) ให้ข้อมูลเชิงลึกแบบเรียลไทม์เกี่ยวกับเหตุการณ์ด้านความปลอดภัย ช่วยให้องค์กรสามารถตอบสนองต่อภัยคุกคามได้อย่างมีประสิทธิภาพก่อนที่จะลุกลาม^{[ 16 ]}

มาตรการควบคุมการจราจรในวิศวกรรมความปลอดภัยทางไซเบอร์ได้รับการออกแบบมาเพื่อเพิ่มประสิทธิภาพการไหลของข้อมูลภายในเครือข่าย ลดความเสี่ยงต่างๆ เช่น การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) โดยการใช้เทคโนโลยีต่างๆ เช่นไฟร์วอลล์แอปพลิเคชันเว็บ (WAF) และตัวปรับสมดุลโหลดองค์กรต่างๆ สามารถรับประกันการกระจายการจราจรที่ปลอดภัยและมีประสิทธิภาพ นอกจากนี้ การนำ โปรโตคอล คุณภาพของบริการ (QoS) มาใช้จะช่วยจัดลำดับความสำคัญของแอปพลิเคชันและบริการที่สำคัญ เพื่อให้มั่นใจว่าแอปพลิเคชันและบริการเหล่านั้นยังคงทำงานได้อย่างต่อเนื่องแม้ในกรณีที่เกิดเหตุการณ์ด้านความปลอดภัยหรือการแย่งชิงทรัพยากร^{[ 17 ] [ 18 ]}

เครื่องมือ EDRมุ่งเน้นการตรวจสอบและวิเคราะห์กิจกรรมบนอุปกรณ์ปลายทาง เช่น แล็ปท็อปและอุปกรณ์เคลื่อนที่ เพื่อตรวจจับภัยคุกคามแบบเรียลไทม์XDRพัฒนาต่อยอดจาก EDR โดยการผสานรวมผลิตภัณฑ์ด้านความปลอดภัยหลายอย่าง เช่น เครื่องมือวิเคราะห์เครือข่าย ทำให้มองเห็นภาพรวมด้านความปลอดภัยขององค์กรได้อย่างครอบคลุมมากขึ้น ข้อมูลเชิงลึกที่ครอบคลุมนี้ช่วยในการตรวจจับและลดภัยคุกคามตั้งแต่เนิ่นๆ ในจุดต่างๆ ของเครือข่าย

ตามข้อมูลจากMicrosoft Developer Networkรูปแบบและแนวปฏิบัติของวิศวกรรมความปลอดภัยประกอบด้วยกิจกรรมดังต่อไปนี้: ^{[ 19 ]}

• วัตถุประสงค์ด้านความปลอดภัย
• แนวทางการออกแบบด้านความปลอดภัย
• การสร้างแบบจำลองความปลอดภัย
• การตรวจสอบสถาปัตยกรรมและการออกแบบด้านความปลอดภัย
• การตรวจสอบรหัสความปลอดภัย
• การทดสอบความปลอดภัย
• การปรับแต่งความปลอดภัย
• การตรวจสอบการใช้งานด้านความปลอดภัย

กิจกรรมเหล่านี้ได้รับการออกแบบมาเพื่อช่วยให้บรรลุเป้าหมายด้านความปลอดภัยในวงจรชีวิตของซอฟต์แวร์

• ความเข้าใจเกี่ยวกับ ภัย คุกคามทั่วไปและความเสี่ยงที่มักเกิดขึ้นกับบุคคลและทรัพย์สิน
• ทำความเข้าใจแรงจูงใจที่เกิดขึ้นจากทั้งภัยคุกคามและมาตรการรับมือ
• ทำความเข้าใจระเบียบวิธีวิเคราะห์ความเสี่ยงและภัยคุกคาม รวมถึงประโยชน์ของการศึกษาเชิงประจักษ์ด้านความปลอดภัยทางกายภาพของสถานที่
• เข้าใจวิธีการนำระเบียบวิธีนี้ไปประยุกต์ใช้กับอาคาร โครงสร้างพื้นฐานที่สำคัญ ท่าเรือ ระบบขนส่งสาธารณะ และสิ่งอำนวยความสะดวก/สถานที่อื่นๆ
• ภาพรวมของวิธีการป้องกันทางกายภาพและเทคโนโลยีทั่วไป และความเข้าใจบทบาทของวิธีการเหล่านั้นในการยับยั้งการตรวจจับ และการบรรเทาผลกระทบ
• การกำหนดและจัดลำดับความสำคัญของความต้องการด้านความปลอดภัย และปรับให้สอดคล้องกับภัยคุกคามที่คาดการณ์ไว้และงบประมาณที่มีอยู่

วิศวกรรมความปลอดภัยของผลิตภัณฑ์คือวิศวกรรมความปลอดภัยที่ประยุกต์ใช้กับผลิตภัณฑ์ที่องค์กรสร้าง จัดจำหน่าย และ/หรือขายโดยเฉพาะ วิศวกรรมความปลอดภัยของผลิตภัณฑ์แตกต่างจากความปลอดภัยขององค์กร/บริษัท^{[ 20 ]}ซึ่งมุ่งเน้นไปที่การรักษาความปลอดภัยเครือข่ายและระบบขององค์กรที่องค์กรใช้ในการดำเนินธุรกิจ

การรักษาความปลอดภัยของผลิตภัณฑ์รวมถึงวิศวกรรมความปลอดภัยที่นำไปประยุกต์ใช้กับ:

• อุปกรณ์ฮาร์ดแวร์ เช่น โทรศัพท์มือถือ คอมพิวเตอร์ อุปกรณ์ อินเทอร์เน็ตของสรรพสิ่งและกล้องถ่ายรูป
• ซอฟต์แวร์ เช่น ระบบปฏิบัติการ แอปพลิเคชัน และเฟิร์มแวร์

วิศวกรด้านความปลอดภัยเหล่านี้มักได้รับการว่าจ้างในทีมที่แยกต่างหากจากทีมรักษาความปลอดภัยขององค์กร และทำงานอย่างใกล้ชิดกับทีมวิศวกรรมผลิตภัณฑ์

• Ross Anderson (2001). วิศวกรรมความปลอดภัย . Wiley. ISBN 0-471-38922-6.
• Ross Anderson (2008). วิศวกรรมความปลอดภัย - คู่มือการสร้างระบบกระจายที่เชื่อถือได้ . Wiley. ISBN 978-0-470-06852-6.
• Ross Anderson (2001). "เหตุใดการรักษาความปลอดภัยของข้อมูลจึงเป็นเรื่องยาก - มุมมองทางเศรษฐศาสตร์" (PDF) . รายงานการประชุมประจำปีว่าด้วยการประยุกต์ใช้ความปลอดภัยของคอมพิวเตอร์ . doi : 10.1109/ACSAC.2001.991552 . เก็บถาวรจากต้นฉบับเมื่อวันที่ 11 ตุลาคม 2006
• Bruce Schneier (1995). การเข้ารหัสลับประยุกต์ (ฉบับที่ 2). Wiley. ISBN 0-471-11709-9.
• บรูซ ชไนเออร์ (2000). ความลับและการโกหก: ความปลอดภัยทางดิจิทัลในโลกเครือข่าย . ไวลีย์. ISBN 0-471-25311-1.
• David A. Wheeler (2003). "วิธีการเขียนโปรแกรมอย่างปลอดภัยสำหรับ Linux และ Unix" . โครงการเอกสาร Linux . เก็บถาวรจากต้นฉบับเมื่อ 2007-04-28 . เรียกดูเมื่อ2005-12-19 .
• Ron Ross , Michael McEvilley, Janet Carrier Oren (2016). "วิศวกรรมความปลอดภัยของระบบ" (PDF) . อินเทอร์เน็ตของสรรพสิ่ง . สืบค้นเมื่อ22 พฤศจิกายน 2016 .{{cite web}}: CS1 maint: multiple names: authors list ( link )

• รูปแบบและแนวปฏิบัติ วิศวกรรมความปลอดภัย บนช่อง 9
• รูปแบบและแนวปฏิบัติ วิศวกรรมความปลอดภัย บน MSDN
• รูปแบบและแนวปฏิบัติ วิศวกรรมความปลอดภัย อธิบายโดยละเอียด
• การเสริมความแข็งแกร่งเป้าหมายขั้นพื้นฐานจากรัฐบาลเซาท์ออสเตรเลีย