From Pentesters With Love @ MUT

เนื่องด้วยเมื่อวันเสาร์ที่ 2 พฤศจิกายน 2556 ที่ผ่านมา พวกเราได้รับโอกาสไปบรรยายให้กับนักศึกษาปริญญาโทในสาขา Information Technology และ Network Engineering ของมหาวิทยาลัยมหานคร ในหัวข้อ

“From Pentesters With Love”

From Pentesters With Love

Slide ด้านล่างนี้เป็น Slide บางส่วนที่ใช้ประกอบในบรรยาย และ ช่วยให้ทุกคนได้ทราบถึงแหล่งข้อมูลต่าง ๆ ที่มีประโยชน์ในการศึกษาหาความรู้เพิ่มเติมเกี่ยวกับสายงานด้าน Information Security ต่อไปในอนาคตครับ

Learn Kung Fu

Learn Kung Fu

Security Experts' Twitter

Security Experts’ Twitter

online training

Free online security training

สุดท้ายนี้หากอาจารย์มหาวิทยาลับท่านใดสนใจให้เราไปบรรยาย หัวข้อเกี่ยวกับ Security ในลักษณะนี้ เรายินดีเป็นอย่างยิ่ง เพื่อเป็นแนวทางให้กับนักศึกษาที่มีความสนใจในด้าน Security ครับ

Security Professional’s Etiquette

สำหรับอาชีพนักเจาะระบบหรือสายงานอาชีพด้าน Information Security ผมคิดว่าเรื่อง Etiquette(จรรยาบรรณ) และ Ethics(จริยธรรม) เป็นเรื่องใหญ่และควรจะเป็นเรื่องที่คนที่อยู่ในสายงาน หรืออยากจะเข้ามาทำงานในสายอาชีพนี้ควรให้ความสำคัญ(แน่นอนว่าสำหรับอาชีพอื่นๆแล้วก็มีความสำคัญไม่แพ้กันเช่นเดียวกัน)
นอกเหนือจากความรู้และความสามารถที่ต้องฝึกฝนพัฒนาตลอดเวลาแล้ว การที่จะได้ชื่อว่าเป็นมืออาชีพ(Professionals) อย่างแท้จริงนั้นต้องไม่ละเลยเรื่อง Etiquette และ Ethics

ผมเชื่อมั่นว่าถ้าหากผู้อ่านได้เรียนกับ Mentor ชั้นยอด(เหมือนกับที่พวกเราได้สัมผัส) ท่านจะต้องสอนเรื่องพวกนี้อย่างแน่นอน Mentor ชั้นยอดนอกเหนือไปจากความสามารถในการถ่ายทอดความรู้ที่ดีแล้ว ยังสร้างแรงบันดาลใจและปลูกฝังทรรศนะคติที่ดีให้กับผู้เรียนด้วย Concepts ของสิ่งต่างๆที่กำลังจะกล่าวถึงต่อไปนี้ผมอยากจะแบ่งปันและอยากจะให้ทุกคนที่อยู่ในสาย Information Security ได้รู้จักกัน หากปราศจากซึ่ง Etiquette และ Ethics คุณจะไม่มีวันได้ชื่อว่าเป็น Professional

1. Plagiarism: ความหมายคือการเลียนแบบ การขโมย ความคิด คำพูด หรือผลงานของคนอื่นโดยที่ไม่ยอมบ่งบอกว่ามาจากใคร ในต่างประเทศเรื่องนี้จัดเป็นเรื่องที่ Serious เป็นอย่างยิ่ง เนื่องจากมันเป็นการทำลาย Academic Integrity ทำลายความคิด ผลงานของคนอื่น การพัฒนาหรือความก้าวหน้าในวิทยาการย่อมมีปัญหาอย่างแน่นอน ยิ่งถ้าเป็น Thesis ทุกๆประโยคต้องมีที่มาถ้าเป็นของคนอื่น ต้อง Acknowledge(ยอมรับ) ต้อง Refer หรือให้ Credit กับผลงานที่เรานำมาใช้อ้างอิง ถ้าเป็นคำพูดหรือชิ้นงานของเราเองต้องมีที่มาและมีองค์ประกอบสนับสนุน ถ้าผู้อ่านอยู่ในวงการน่าจะเคยเห็น Case นี้ Security Expert ชื่อดังทำ Plagiarism ปรากฎว่าถูกด่าเละ แม้แต่ผมยังหมดศรัทธา

2. Trust และ Trustworthy: Concept นี้อธิบายแบบยกตัวอย่างจะเข้าใจได้ง่ายที่สุด สมมติว่าคุณเป็นเจ้าหน้าที่รัฐทำงานให้กับหน่วยงานความมั่นคง โดย Default แล้วคุณจะเป็นคนที่ประชาชน Trust(เชื่อใจ) ได้ แต่ถ้าคุณนำความลับขององค์กรไปให้กับฝ่ายตรงข้าม เมื่อนั้นคุณจะไม่ใช่คนที่ Trustworthy(ไว้ใจได้และมีความรับผิดชอบ ไม่ทรยศแน่นอน) การที่จะได้ชื่อว่า Professional คุณต้องมีคุณสมบัติทั้ง Trust และ Trustworthy ครบถ้วน

3. Confidentiality: การทำงานในสาย Information Security คุณต้องพบกับระดับชั้นความลับของข้อมูลมากมายไล่ไปตั้งแต่ top secret,secret,confidential,restricted, และ unclassified ถามว่าข้อมูลในแต่ละระดับสำคัญหรือไม่ ขอตอบเลยว่าสำคัญครับ ข้อมูลระดับชั้นที่ไม่สำคัญรวมๆกันอาจคาดเดาหรือบ่งบอกข้อมูลสำคัญบางอย่างก็เป็นได้ ดังนั้นจงอย่าละเลย ลองคิดดูนะครับถ้าเราเป็นเจ้าของบริษัท แล้วมีใครสักคนนำเรื่องที่เป็นความลับของบริษัทเราไปบอกให้คนอื่นฟังจะเป็นยังไง สำหรับสาย Penetration Tester บางครั้งผมจะตกใจและรู้สึกไม่ค่อยดี ถ้าได้ยินว่าบริษัท X หรือ ระบบ Y มีช่องโหว่อย่างนั้นอย่างนี้จากคำพูดของคนในวงการเดียวกัน

4. Authority: คุณมีสิทธิ์ที่จะทำในสิ่งที่คุณอยากจะทำหรือไม่ เช่นไปโจมตีระบบของคนอื่น หรือ Website ที่เราไม่ได้เป็นเจ้าของ สิ่งเหล่านี้มีผลกระทบมากมายที่เราอาจจะไม่รู้ก็ได้ เช่นผู้ดูแลระบบถูกตำหนิหรือโดนไล่ออก, Security Engineer ต้องมาวิเคราะห์ว่าเกิดอะไรขึ้น หรือบางทีระบบอาจจะทำงานได้ช้าลง หรือใช้การไม่ได้ ผลของสิ่งที่เราจะทำคุณต้องคิดเสมอว่า คุณมี Authority หรือไม่ ถ้าไม่มีอย่าทำ แม้ว่าคุณอาจจะมองว่า Hacktivist บางกลุ่มยังทำได้เลยเพื่อสื่ออะไรบางอย่างออกไป แต่จงระลึกไว้เถอะครับ มันมีผลในทางที่ไม่ดีกับผู้อื่นแน่นอน จงใช้ความรู้ความสามารถในทางที่ถูก

5. Code of ethics : หรือแบบประมวลจริยธรรมซึ่งแต่ละสาขาวิชาก็จะมีเป็นของตัวเอง โดยส่วนตัวผมชอบ (ISC)² Code Of Ethics Canons ซึ่งกล่าวถึงลำดับความสำคัญของสิ่งที่ควรคำนึงถึงในสายงาน Information Security ซึ่งมีดังนี้(ข้อที่มาก่อนต้องให้ความสำคัญมากกว่าข้อที่มาทีหลัง)
1. Protect society, the common good, necessary public trust and confidence, and the infrastructure.
2. Act honorably, honestly, justly, responsibly, and legally.
3. Provide diligent and competent service to principals.
4. Advance and protect the profession.

พวกเราหวังว่าบทความนี้จะช่วยให้ผู้อ่านหรือคนที่สนใจในสายงานด้าน Information Security ได้เป็นอย่างที่มืออาชีพควรจะเป็น สำหรับพวกเราแล้วคำว่า “Professional” เป็นคำระดับโลก ต้องเก่ง มีความสามารถครบถ้วน และยังต้องนำความรู้ไปใช้ให้เกิดประโยชน์กับสังคม

fewgoodmen

The country needs a few good men.

REF: ภาพจากภาพยนตร์เรื่อง A Few Good Men

จำนวนคนมี Cert ของ ISC2

เนื่องจากเห็น Keyword ที่ Search เข้ามาเจอ Incognitolab ของเรา บางท่านต้องการทราบข้อมูลของคนทีี่มี Certificate ของ ISC2 ซึ่งผมเห็นว่าก็มีประโยชน์ดีครับ เพราะถ้าไม่ใช่ Member ของ ISC2 (และยังสอบไม่ผ่าน [ไม่แน่ใจว่า Member อย่างเดียวพอหรือไม่]) ก็จะไม่สามารถเข้าถึงข้อมูลได้

ข้อมูลล่าสุด ณ วันที่ 5 พฤศจิกายน 2555 ข้อมูลเป็นเฉพาะของคนไทยที่ Apply Cert เรียบร้อยนะครับ ซึ่งเป็นไปได้ว่ามีคนสอบผ่านเยอะกว่านี้ แต่ยังประสบการณ์ไม่ถึงก็เลย Apply ไม่ได้

Certificate Member count
SSCP 13
CSSLP 8
CISSP 150
ISSAP 1
ISSEP 1

IT Security Certificate ตอนที่ 4 certificate ในวงการของนักเจาะระบบ

คราวนี้เราก็จะมากล่าวถึง certificate ในวงการของนักเจาะระบบกันบ้าง หลายคนอาจสงสัยว่า “เฮ้ย พวกแฮคเกอร์ไม่เห็นต้องมี cert เลย ทำไมเป็น pentester ต้องมี cert ด้วยล่ะ” คำตอบง่ายๆเลยก็คือ ถ้าคุณ well-known และคุณเป็น World Class Professional คุณไม่ต้องเสียเวลาสอบหรอกครับ แต่ถ้าไม่ คุณจะทำยังไงให้คนอื่น องค์กร หรือ HR รู้จักเรา เชื่อเรา และมั่นใจว่าคนที่รับเข้ามาทำงานอย่างน้อยน่าจะมีทักษะเพียงพอที่จะทำงานที่จ้างได้ คำตอบนั้นก็คือการมี Cert นั่นเอง

ถ้าถามต่อว่าสอบ cert อย่างเดียวไม่ต้องเรียนจบปริญญาได้มั้ย ในต่างประเทศอาจจะเป็นไปได้ แต่ผมก็ไม่ค่อยได้เห็นตัวอย่างสักเท่าไรนะ ถ้าในประเทศไทยผมว่าไปเรียนให้จบสักใบดีกว่า เพราะการเรียนในระดับอุดมศึกษามันต้องใช้ความพยายามและความทุ่มเทมาก อีกอย่างก็คือวิชาที่เราเรียนก็จะหลากหลายสร้างพื้นฐานให้กับเราได้เป็นอย่างดี เรียนจบแล้วค่อยหา cert ทีหลังดีกว่า แต่อย่าลืมว่า cert ไม่ใช่คำตอบของทุกอย่าง เป็นแค่ตัวช่วยเราในการหางาน และทำให้คนอื่น trust เราเท่านั้น เกริ่นมาสักพักแล้ว ผมขอเล่าเรื่อง certificate ที่มีอยู่ในวงการนักเจาะระบบเลยละกันครับ

C|EH โดย EC-Council C|EH น่าจะเป็น cert ที่เป็นที่รู้จักที่สุดในวงการ infosec บ้านเรา ครอบคลุมเนื้อหาเยอะ แต่ว่าไม่ได้ลงลึกมากเท่าไร สำหรับผมแล้วถือว่าเป็น cert ที่เป็นจุดเริ่มต้นที่ดีในวงการครับ ถ้าไม่รู้จะเอา cert ตัวไหนก่อนก็ C|EH ก็ได้ครับ แต่อยากจะบอกว่า cert นี้ไม่ได้บ่งบอกว่าคนที่ได้จะเก่งอะไรมากมาย เนื้อหาที่สอบคุณจำไปสอบให้ได้ก็พอ ส่วนใหญ่เป็นความรู้ทางทฤษฎีซะมาก ซึ่ง C|EH จะมีตัวต่อคือ ECSA และ LPT ครับ

Cert ของสถาบัน GIAC พูดว่า GIAC อาจจะงง แต่ว่าถ้าพูดว่า SANS น่าจะรู้จักกันดี ความแตกต่างของ 2 องค์กรคือ SANS สอนแต่ GIAC รับผิดชอบเรื่อง cert ครับ คนที่สอบผ่านจะได้รับการรับรองว่าเป็น SANS Certified Engineer ซึ่งมีเนื้อหาหลายด้านมากๆครับทั้ง redteam(ทีมเจาะระบบ-เน้นเกมรุก),blueteam(ทีมป้องกันระบบ-เน้นเกมรับ),forensics,software development, และ audit คนที่สอบก็เลือกเอาว่าอยากจะสอบวิชาอะไร เนื้อหาจัดว่าทันสมัย practical และลงลึกในรายละเอียด เน้นด้าน technical มากๆ ค่าสอบจัดว่าแพง แต่ค่าเรียนแพงยิ่งกว่า ถ้าใครเก๋าก็ไปสอบเลยก็ได้ครับไม่ต้องเรียน(แอบ โชว์นิดนึงครับว่า Incognito Lab engineer ก็เคยไปสอบมาแล้วโดยไม่เคยผ่านการเรียนมาก่อน จริงๆก็อยากเรียนมากนะครับ เพราะ course ดีมากๆแต่แพงเกินไปสำหรับค่าครองชีพในประเทศเรา) สำหรับผมแล้วความรู้จาก SANS ถืิอว่าเป็นความรู้ที่เป็น professional จริงๆ วิทยากรของ SANS ก็จัดเป็น World Class อีกทั้งพวก US Navy และหน่วยงานด้าน Cyber Security ของ US มักจะให้คนของเค้าไปอบรมที่ SANS ครับ ความน่าเชื่อถือคงไม่ต้องพูดถึง ส่วนเรื่องการสอบนั้นจัดว่ายากครับ (แน่นอนอย่าหวังเลยว่าจะมี braindump) และการสอบเป็นแบบ openbook ด้วย ทาง GIAC เค้าต่อให้

OSCP โดย Offensive Security สำหรับพวก hardcore และอยากโชว์ป๋าว่ากังฟูของตัวเองใช้งานได้จริงๆ มีความอึด และมีเวลาเรียนทุกๆวันสัก 3 เดือนผมว่า OSCP นี่น่าจะเป็น Cert ที่เหมาะสมเป็นอย่างยิ่งครับ เนื่องจากเป็น Cert ที่ฝึกฝน practical skills มี virtual labs ให้เข้าถึงได้ตลอด เจ้าของคือ Mati Aharoni หรือ “MUTS” จัดเป็นสุดยอดในวงการคนนึงเลยทีเดียว ส่วนการสอบก็เข้มข้นมากคือโจทย์จะให้คุณต้องพยายาม compromise หรือยึดเครื่องทั้งหมดให้ได้ภายในระยะเวลา 24 hrs และต้องส่ง report ให้กับทาง Offensive Security อีกภายใน 24 hrs ถัดมาครับ ดังนั้นถ้าคุณได้ cert ตัวนี้จงภูมิใจได้เลยว่ากังฟูแน่นและยังอึดอีกด้วย ตอนสอบหา internet ที่ไว้ใจได้มาใช้งานนะครับ ตัวต่อของ Cert OSCP คือ OSCE ครับ ผมเคยอ่านเรื่องคนที่สอบผ่านมาเล่าให้ฟังเค้าบอกว่าเป็นประสบการณ์ที่เจ็บปวดมาก(painful) คำคมของ cert ค่ายนี้ก็คือ “Try harder” ซึ่งถูกใช้กับทุกๆปัญหาที่คุณทำไม่ได้แล้วส่งเมลไปถาม staffs ซึ่งเค้าจะตอบคำพูดนี้กลับมาเสมอโดยปราศจากการช่วยเหลือใดๆ ส่วนข้อเสียของ cert ก็คือ ผมยังไม่เคยเห็น HR คนไหนรู้จักมัน(คนทำงานด้าน Security ในประเทศไทยยังนับคนรู้จักได้ไม่มากเลยครับถ้าเทียบกับ SANS หรือ C|EH)

eCPPT โดย eLearnSecurity cert นี้ผูกกับการเรียน Professional Penetration Tester ที่ครอบคลุมเนื้อหาทั้ง system,network และ web โดยที่เนื้อหาของ Web ผมจัดว่าเป็นเนื้อหาที่ดีที่สุดของ online course ที่มีอยู่ในปัจจุบันเลยครับ การสอบคุณต้องทำการเจาะระบบและทำการเขียน penetration test report ส่งให้กับทางสถาบัน ถ้าช่องโหว่ที่คุณหาเจอครอบคลุมกับที่มีอยู่และเนื้อหาใน report สมบูรณ์คุณก็จะได้ cert ตัวนี้ไปครอบครองครับ เจ้าของ Course คือ Mr Armando Romeo เป็น instructor ที่ดีมาก เอาใจใส่นักเรียน และมีระบบสำหรับให้ทำการฝึกฝนอยู่เยอะพอสมควร ผมว่าคุณภาพของ course ดีเกินราคาครับ

ในส่วนถัดไปผมจะกล่าวถึง course ที่ผูกกับ cert ตัวอื่นๆที่มีอยู่ในโลกกัน ซึ่งจัดว่ายังรู้จักกันในวงการเท่านั้น

CAST by EC-Councilเป็น advanced training ของ EC-Council ที่จะทำ roadshow ไปยังประเทศต่างๆ ส่วนใหญ่เนื้อหาของ course จะเป็นเนื้อหาที่เหมาะสำหรับ professional มากกว่า หาก beginner ไปเรียนคงจะไม่สนุกเท่าไร เนื้อหาก็มีหลายหลายครอบคลุม pentest,network defense,mobile,cryptography และ application ราคาจัดว่าสูงครับ ทาง Incognito Lab เราก็เคยผ่านการอบรมมาแล้ว ถือว่าเป็นประสบการณ์ที่ดี สนุกและได้ความรู้ แต่โดยส่วนตัวคิดว่า EC-Council ยังต้องทำงานอีกมากหากต้องการให้ CAST ทัดเทียมกับ SANS ขอบอกว่า CAST ไม่มีการสอบ cert นะครับ train อย่างเดียว

Cert โดย Securitytube เจ้าของคือ Vivek Ramachandran แห่ง SecurityTube ที่นำเสนอเนื้อหาด้าน security ด้วย video training ซึ่งน่าชื่นชมมากกับสิ่งที่เค้าทำ Cert+course ที่มีตอนนี้จะมีเรื่อง Wireless,Metasploit และ Python scripting โดยส่วนตัวผมไม่เคยสอบ เคยแต่ดู เนื้อหาของ course ซึ่ง Vivek เค้าปล่อยให้ดูฟรี ใจดีมากๆครับ

Ninja-Sec
เนื้อหา hacking ของ course ชื่อว่า CODENAME: Samurai Skills Course ผมเคยดูเนื้อหาแล้วครับค่อนข้างน่าสนใจ

Hacking dojo เป็น course ที่มีเนื้อหาหลายด้านและหลายระดับ การเรียนจะเน้นกลุ่มเล็กแบบ online จัดว่าเป็น course ที่ดีเช่นกันครับ

Hacker Academy ไม่ค่อยมีคนพูดถึงเท่าไร แต่ดูเนื้อหาแล้วน่าลองเหมือนกัน ติดอย่างเดียวราคาสูงไป

cert ของ mile2 ตัวนี้สมัยก่อนอาจจะฮิต เดี๋ยวนี้ผมเห็นว่าเงียบไปจากวงการแล้ว

สุดท้ายนี้ผมก็ขอให้เลือก cert ที่อยากจะสอบสักตัวหนึ่งตัวไหนก็ได้ครับ ทำความเข้าใจกับเนื้อหาและฝึกฝนให้ใช้งานได้จริงๆ แล้วก็สอบให้ผ่านซะ เชื่อเถอะว่าจะเป็นประโยชน์กับการทำงานอย่างแน่นอน ขอให้โชคดีกับหนทางการเป็นนักเจาะระบบ และโอกาสหน้าจะมากล่าวถึงคุณสมบัติการเป็นนักเจาะระบบที่ดีให้ทราบกันนะครับ

We break computers, making them do stuff that their designers,implementers, deployers, and system administrators didn’t plan on them doing.

Noted penetration tester

IT Security Certificate ตอนที่ 3

มาเริ่มกันที่ Certificate จากค่าย ISC2

โดย Cert จาก ISC2 นั้นนอกจาก Cert ชื่อดังอย่าง CISSP แล้ว CISSP ยังมี Cert ตัวอื่นอีกเช่น SSCP, CSSLP, CISSP Concentration ซึ่งสำหรับตอนนี้เราจะเน้นกันที่ CISSP

CISSP (Certified Information Systems Security Professional) เป็น Cert ที่เน้นความรู้ Security ในเชิงกว้าง(มาก) แต่ไม่ลึก สิ่งที่ต้องเรียนรู้หากต้องการ Cert นี้ เนื้อหาก็จะถูกแบ่งออกเป็น 10 Domains ตามด้านล่าง ซึ่งโดยส่วนตัวแล้วพบว่า ความรู้ จากทั้ง 10 Domains นี้มีประโยชน์มากและเป็นพื้นฐานความรู้ที่สำคัญในการเดินต่อในเส้นทาง IT Security

  • Access Control – เกี่ยวกับ Mechanism ในการป้องกันการเข้าถึง Resources ต่างๆ การทำ Access control list, Capability list, etc.
  • Telecommunications and Network Security – เกี่ยวกับการวาง Design Network Architecture, การโจมตีในรูปแบบต่างๆ, การวาง Countermeasure
  • Information Security Governance and Risk Management – Concept ที่สำคัญของ Risk Management อธิบายตั้งแต่เริ่มต้นการทำ Asset inventory, Classification, การทำ Risk Assessment, Risk Treatment รวมไปถึงการทำ Security Policy ภายในองค์กร ซึ่งเป็นภาพใหญ่ที่จำเป็นสำหรับผู้ที่อยู่ในองค์กรใหญ่ๆ
  • Software Development Security – เน้นเกี่ยวกับ SDLC, การโจมตีและการป้องกันต่างๆในระดับ Application ซึ่งค่อนข้างสำคัญเนื่องจากปัจจุบันแนวโน้มการโจมตีนั้นจะเน้นไปในระดับ Application มากกว่าที่จะทำที่ Network level
  • Cryptography – นี่ถือเป็นหัวใจของ Security เลยทีเดียว การทำ Encryption, Digital Signature, PKI สิ่งต่างๆใน Security นั้นก็มักจะใช้ความรู้ Cryptography มา apply และ implement ไม่ว่าจะเป็น SSL, VPN หรือแม้แต่วิธีการหลบหลีก Antivirus ต่างๆ
  • Security Architecture and Design – พูดถึง Concept ต่างๆที่สำคัญในการออกแบบระบบ ความเสี่ยงของ Architecture ต่างๆเช่น Cloud มีความเสี่ยงอะไรบ้าง
  • Operations Security – อธิบายเกี่ยวกับ control ต่างๆสำหรับงาน Operation (งาน Operation คืองานประจำ Daily routine ทำทุกวันเพื่อให้องค์กรสามารถดำเนินงานได้) เช่นการทำ Patch Management, การวางแผนเตรียมทำ Incident response เป็นต้น
  • Business Continuity and Disaster Recovery Planning – การวางแผนเตรียมรับมือกับเหตุการณ์ต่างๆ ถ้ายกตัวอย่างให้เห็นง่ายๆก็เช่นว่า ถ้าเกิดเหตุการณ์น้ำท่วม ประท้วง องค์กรจะรับมืออย่างไร และจะทำอย่างไรเพื่อให้สามารถดำเนินธุรกิจได้ต่อไป
  • Legal, Regulations, Investigations and Compliance – เรื่องกฎหมายต่างๆที่เข้ามาบังคับใช้ภายในองค์กร เพื่อให้องค์กรมีระดับความน่าเชื่อถือเพิ่มมากขึ้น เช่น กฎหมายให้ทุกองค์กรจะต้องมีการเก็บ Internet Access Log หรือ สำหรับธนาคารก็จะมี PCIDSS
  • Physical (Environmental) Security – Security ไม่ได้ครอบคลุมในระดับ Logical อย่างเดียวเท่านั้น การป้องกันทางกายภาพก็สำคัญไม่แพ้กัน เช่น การสร้าง Data Center เราจะต้องคำนึงถึงอะไรบ้าง การเตรียม UPS, Generator ต่างๆ รวมถึงอุปกรณ์ป้องกันไฟไหม้ และอุปกรณ์อื่นๆอีกมากมาย

การที่จะได้มาซึ่ง CISSP Certificate นั้น จะต้องสอบข้อสอบผ่านและมีประสบการณ์ทำงานอย่างน้อย 5 ปีที่เกี่ยวข้องกับทั้ง 10 Domains ด้วย ซึ่งประสบการณ์ 5 ปีที่ว่านี้สามารถ waive ได้ 1 ปี (ก็คือลดเหลือ 4 ปีน่ะแหละ) ตาม criteria ใน link ด้านล่าง

เมื่อมีประสบการณ์ครบ และสอบผ่านแล้ว ขั้นตอนสุดท้ายก็ต้องให้ submit เอกสาร Endorsement form โดยเอกสารนี้จะต้องให้คนที่ CISSP certified เป็นคนเซ็นรับรองให้ แต่สำหรับเมื่อต้นปี 2012 ที่ผ่านมานั้นมีนโยบายใหม่ที่เรียกว่า Endorsement Time limit ซึ่งสำหรับบุคคลที่สอบผ่านไม่ว่าประสบการณ์จะครบหรือไม่ จะต้องส่ง Endorsement form ภายใน 9 เดือนหลังจากทราบผลสอบ ไม่งั้นได้สอบใหม่แน่ๆๆ

จากสถิติล่าสุดเมื่อเดือนกรกฏาคม 2012 ตอนนี้ในประเทศไทย มีคนที่มี Certificate CISSP แล้วจำนวน 148 คน ซึ่งถือว่าไม่เยอะมากเมื่อเทียบกับ Certificate อื่นๆ โดยส่วนตัวแล้วแนะนำว่าควรจะสอบ CISSP เนื่องจากว่าจะมีเนื้อหาต่างๆครอบคลุม Security ทุกเรื่องทำให้มีพื้นฐานความรู้ สำหรับคุยงาน หรือ อ่านหนังสือทางด้าน Security เพิ่มเติม

หากใครสนใจจะสอบ ผมขอแนะนำหนังสือของ Shon Harris ชื่อ CISSP-All-in-one Exam Guide

Reference: http://www.isc2.org

IT Security Certificate ตอนที่ 2

สอบ Cert อะไรดี คำถามที่ไม่เคยล้าสมัย

ขอแบ่ง Certificate ของ Security ออกเป็น 2 กลุ่มใหญ่ๆแล้วกันนะครับ

กลุ่มที่ 1 Certificate ที่อิงตาม Vendor (Vendor Specific Certificate)

Certificate กลุ่มนี้มักจะเน้นให้ความรู้ใน Product นั้นๆ ของแต่ละ Vendor โดยจะมีการสอดแทรกความรู้พื้นฐานของ Security เข้าไปด้วย ซึ่ง Certificate เหล่านี้จะมีมากมายตาม Product ของแต่ละ Vendor เช่น

  • CISCO - CCNA Security, CCNP Security, CCIE Security, CISCO ASA Specialist, CISCO Firewall Specialist, CISCO IPS Specialist
  • Juniper - JNCIS-SEC, JNCIP-SEC, JNCIE-SEC
  • Microsoft – MCSA, MCSE

กลุ่มที่ 2 Certificate ทั่วไป ที่ไม่ได้อิงตาม Product (Vendor Neutral Certificate)

Certificate กลุ่มนี้เน้นให้ความรู้เกี่ยวกับเรื่อง Security เป็นหลักมีทั้งแบบที่ให้ความรู้ในเชิงกว้างครอบคลุมทุกด้านของ Security และแบบที่ให้ความรู้เฉพาะทาง โดย Certificate ที่อยู่ในกลุ่มนี้มักจะแยกตามสถาบันที่ได้รับการยอมรับจากทั่วโลกทางด้าน Security เช่น

  • ISC2 – CISSP, CSSLP
  • ISACA – CISA, CISM, CRISC, CGEIT
  • SANS – GPEN, GSEC, GWAPT
  • EC-Council – CEH, CHFI, ECSA, LPT

สำหรับคนที่สนใจจะพัฒนาตัวเอง ขอแนะนำว่าควรจะมีการวางแผนที่ดีสำหรับการสอบ Certificate ต่างๆ และคำนวณถึงประโยชน์ที่จะได้รับจาก Certificate เหล่านี้ด้วย เพราะว่า Certificate บางตัวอาจจะต้องเสียเงินทุกปีเพื่อ Maintain รวมถึงต้องมีการเข้าคอร์สอบรมต่างๆเพื่อให้เป็นไปตาม Continuing Professional Education Programme ของแต่ละ Certificate หรือหากเลือก Certificate บางตัวที่มีวันหมดอายุ เมื่อถึงวันหมดอายุก็จะต้องไปสอบใหม่นะครับ

การเลือก Certificate ที่เราจะสอบนั้นควรจะเลือกให้สัมพันธ์กับงานที่เราทำด้วย เช่นหากทำงานเป็น Consultant หรือเป็นระดับ Management แนะนำว่าควรจะต้องมี Certificate ในกลุ่มที่ 2 ส่วนคนที่ทำงานเป็น System Administrator หรือ Network Administrator น่าจะเริ่มจากกลุ่มที่ 1 ก่อนนะครับ เนื่องจากมีความคุ้นเคยในอุปกรณ์ที่ดูแลอยู่แล้ว

สำหรับในตอนต่อไปเราจะขอแชร์ประสบการณ์ของ Certificate ที่ทางทีมงานของเราได้รับมานะครับ

IT Security Certificate ตอนที่ 1

IT Security Certificate มันสำคัญอย่างไร?

จากบทความที่แล้วเรื่อง งาน IT Security ในประเทศไทย เรามาดูกันต่อว่าประเด็นเรื่อง Certificate มันสำคัญอย่างไร

ประเด็นที่ต้องให้ความสำคัญในเรื่องของ Certificate คือ

  1. ใบเบิกทางในการหางาน
  2. เป็นการสร้างความน่าเชื่อถือให้กับคนที่ไม่รู้จักเรา

การสมัครงานในปัจจุบันนั้นค่อนข้างทำได้ง่าย แค่คลิ๊กไม่กี่ทีก็ส่ง Email หรือกรอกข้อมูลผ่าน web ได้แล้ว แต่ด้วยเอกสาร Resume ความยาว 1-2 หน้าของแต่ละคน จะต้องทำอย่างไรให้ Resume ของเราโดดเด่นกว่าของคนอื่น หนึ่งในนั้นก็คือการใช้ Certificate บอกให้ผู้ที่คัดเลือก Resume นั้นทราบถึงมาตรฐานความรู้ ความสามารถของเรา รวมถึงแสดงให้เห็นว่าเรามีความมุ่งมั่นในด้านนี้ นั่นก็จะเป็นการเพิ่มโอกาสในการเรียกสัมภาษณ์งานของเราในที่สุด

เมื่อมีงานทำแล้ว การมี Certificate นั้นคงไม่ใช่แค่มีไว้เขียนบนนามบัตร ว่าเรา Certified อะไร แต่การที่เราผ่านการสอบ Certificate นั้นแสดงว่าเราจะต้องมีพื้นความรู้ความสามารถที่เป็นมาตรฐาน ซึ่งคำว่ามีมาตรฐานนี้ไม่ได้บอกว่าทุกคนที่ Certified จะต้องเก่งนะ แต่เมื่อ Certified เรียบร้อยแล้ว จะทำอะไรก็จะได้รับความน่าเชื่อถือมากขึ้นนั่นเอง

นอกจากนี้ในอนาคตอันใกล้นี้หากมีการเปิด AEC การมี Certificate คงจะเป็นสิ่งสำคัญมากยิ่งขึ้นในการเปิดโอกาสให้ตัวเอง ได้ทำงานในต่างประเทศ โดย Certificate ที่ควรจะมี ก็ควรเลือกอันที่เป็น Global เช่น CISSP, CISA, CISM, Certificate ของ SANS เป็นต้น

เอ๊ะ แล้วทำไมหัวหน้าเราไม่เห็นจะต้องมี Certificate ทางด้าน IT Security เลย ก็มาเป็นหัวหน้าได้ อันนี้คำตอบง่ายๆอาจเป็นเพราะว่าหัวหน้าเราเค้ายังไม่ได้หางานใหม่ไงครับ 555 แต่จริงๆแล้วก็คงจะต้องดูประกอบกับความสามารถในการบริหารงานด้วยนะครับ

ทีนี้คงจะเริ่มได้ idea แล้วสิว่า ควรจะมี IT Security Certificate ไว้ครอบครองบ้างหรือไม่ โดยในตอนถัดๆไปจะเอารายละเอียดของ Certificate แต่ละตัวมาคุยกันนะครับ