Posts for category: Career

Comparing Pentest Certificates

September 27 / 2016
บทความนี้ขอพูดถึง Certificate ยอดนิยมที่เกี่ยวข้องกับการทดสอบเจาะระบบ (Pentest) เพื่อ ให้คนที่สนใจจะเรียนมีข้อมูลเพิ่มขึ้นเพื่อใช้ในการตัดสินใจ สำหรับ HR ที่กำลังต้องการหาคนด้านนี้อยู่ก็คงจะมีประโยชน์เพิ่มมากขึ้นไม่ใช่หาแต่ CEH หน่วยงานหรือองค์กรต่างๆที่ขาดความเข้าใจในเรื่องของ Certificate เข้าใจว่า Certificate ด้าน Pentest เหมือนกันเอามาทดแทนกันได้ แต่ Certificate บางอันนั้นไม่ควรเอามาเปรียบเทียบกัน เพราะ level มันต่างชั้นกันมากครับ เราจะพูดถึง 4 Certificates จาก 4 สถาบัน GIAC GPEN จาก SANS eCPPT จาก eLearnSecurity OSCP จาก Offensive-Security CEH จาก EC-Council ทั้ง 4 Certificate นี้มีข้อดีข้อเสียแตกต่างกันไป โดยจะเปรียบเทียบตามตารางด้านล่าง สรุป SANS สอนดีมากๆ Certificate เป็นที่ยอมรับในระดับโลก แน่นอนว่าของดีราคาต้องสูง eLearnSecurity สอนดีเช่นกัน Lab ที่ให้ใช้ก็เป็น Dedicated สอนใน Topic ที่สำคัญๆได้ดี แต่…

Types of Company

July 30 / 2016
“เพราะเราไม่ได้ทำ Security แบบเล่นๆ ดังนั้นบริษัทที่เราทำงานนั้น Security ต้องเป็น Core Business”  บทความก่อนๆเคยพูดถึงประเภทงานไปแล้ว (http://incognitolab.com/th/thailand-it-security-career/) คราวนี้มาพูดเรื่องประเภทบริษัทดีกว่า ขอแบ่งง่ายๆเป็น 2 ประเภทครับ 1.บริษัทที่ไม่ได้มี Core Business เป็นเรื่อง Security บริษัทในกลุ่มนี้ก็คือบริษัททั่วๆไปที่ งาน IT หรืองาน Security เป็นงาน Support ธุรกิจหลักของบริษัท เช่น กลุ่มธุรกิจการเงิน (ธนาคาร, ประกัน, หลักทรัพย์, ปล่อยกู้เช่า-ซื้อ) กลุ่มโรงงานอุตสาหกรรม กลุ่มปิโตรเลียม หน่วยงานราชการ และอื่นๆอีกมากมาย เรียกว่าเกือบทุกบริษัทล่ะครับ ซึ่งกลุ่มนี้ถ้ามีงาน Security เปิดรับล่ะก็ จะต้องเป็นบริษัทที่ค่อนข้างใหญ่ เป็นที่รู้จัก ถ้าได้ทำงานที่นี่คนรู้จักรอบข้างคงจะเห็นดีเห็นงามด้วย เพราะว่าเป็นบริษัทขนาดใหญ่ ใครๆก็รู้จัก รวมถึงมีความมั่นคงสูง “แต่ Security ไม่ใช่ Core Business เท่านั้นเอง” อีกทั้งในบางครั้งบริษัทที่แกร่งมาก พอมีการ Reorganisation ก็จะมีการแยกงานด้าน IT ออกมาจากบริษัทแม่แล้วตั้งเป็นบริษัทลูก ซึ่งบริษัทประเภทนี้ก็เหมือนจะเป็นบริษัททำ IT อย่างเดียว…

From Pentesters With Love @ MUT

November 3 / 2013
เนื่องด้วยเมื่อวันเสาร์ที่ 2 พฤศจิกายน 2556 ที่ผ่านมา พวกเราได้รับโอกาสไปบรรยายให้กับนักศึกษาปริญญาโทในสาขา Information Technology และ Network Engineering ของมหาวิทยาลัยมหานคร ในหัวข้อ “From Pentesters With Love” Slide ด้านล่างนี้เป็น Slide บางส่วนที่ใช้ประกอบในบรรยาย และ ช่วยให้ทุกคนได้ทราบถึงแหล่งข้อมูลต่าง ๆ ที่มีประโยชน์ในการศึกษาหาความรู้เพิ่มเติมเกี่ยวกับสายงานด้าน Information Security ต่อไปในอนาคตครับ สุดท้ายนี้หากอาจารย์มหาวิทยาลับท่านใดสนใจให้เราไปบรรยาย หัวข้อเกี่ยวกับ Security ในลักษณะนี้ เรายินดีเป็นอย่างยิ่ง เพื่อเป็นแนวทางให้กับนักศึกษาที่มีความสนใจในด้าน Security ครับ

Security Professional’s Etiquette

March 13 / 2013
สำหรับอาชีพนักเจาะระบบหรือสายงานอาชีพด้าน Information Security ผมคิดว่าเรื่อง Etiquette(จรรยาบรรณ) และ Ethics(จริยธรรม) เป็นเรื่องใหญ่และควรจะเป็นเรื่องที่คนที่อยู่ในสายงาน หรืออยากจะเข้ามาทำงานในสายอาชีพนี้ควรให้ความสำคัญ(แน่นอนว่าสำหรับอาชีพอื่นๆแล้วก็มีความสำคัญไม่แพ้กันเช่นเดียวกัน) นอกเหนือจากความรู้และความสามารถที่ต้องฝึกฝนพัฒนาตลอดเวลาแล้ว การที่จะได้ชื่อว่าเป็นมืออาชีพ(Professionals) อย่างแท้จริงนั้นต้องไม่ละเลยเรื่อง Etiquette และ Ethics ผมเชื่อมั่นว่าถ้าหากผู้อ่านได้เรียนกับ Mentor ชั้นยอด(เหมือนกับที่พวกเราได้สัมผัส) ท่านจะต้องสอนเรื่องพวกนี้อย่างแน่นอน Mentor ชั้นยอดนอกเหนือไปจากความสามารถในการถ่ายทอดความรู้ที่ดีแล้ว ยังสร้างแรงบันดาลใจและปลูกฝังทรรศนะคติที่ดีให้กับผู้เรียนด้วย Concepts ของสิ่งต่างๆที่กำลังจะกล่าวถึงต่อไปนี้ผมอยากจะแบ่งปันและอยากจะให้ทุกคนที่อยู่ในสาย Information Security ได้รู้จักกัน หากปราศจากซึ่ง Etiquette และ Ethics คุณจะไม่มีวันได้ชื่อว่าเป็น Professional 1. Plagiarism: ความหมายคือการเลียนแบบ การขโมย ความคิด คำพูด หรือผลงานของคนอื่นโดยที่ไม่ยอมบ่งบอกว่ามาจากใคร ในต่างประเทศเรื่องนี้จัดเป็นเรื่องที่ Serious เป็นอย่างยิ่ง เนื่องจากมันเป็นการทำลาย Academic Integrity ทำลายความคิด ผลงานของคนอื่น การพัฒนาหรือความก้าวหน้าในวิทยาการย่อมมีปัญหาอย่างแน่นอน ยิ่งถ้าเป็น Thesis ทุกๆประโยคต้องมีที่มาถ้าเป็นของคนอื่น ต้อง Acknowledge(ยอมรับ) ต้อง Refer หรือให้ Credit กับผลงานที่เรานำมาใช้อ้างอิง ถ้าเป็นคำพูดหรือชิ้นงานของเราเองต้องมีที่มาและมีองค์ประกอบสนับสนุน…

How many CISSPs in Thailand?

November 25 / 2012
เนื่องจากเห็น Keyword ที่ Search เข้ามาเจอ Incognitolab ของเรา บางท่านต้องการทราบข้อมูลของคนที่มี Certificate ของ ISC2 ซึ่งผมเห็นว่าก็มีประโยชน์ดีครับ เพราะถ้าไม่ใช่ Member ของ ISC2 (และยังสอบไม่ผ่าน [ไม่แน่ใจว่า Member อย่างเดียวพอหรือไม่]) ก็จะไม่สามารถเข้าถึงข้อมูลได้ ข้อมูลล่าสุด ณ วันที่ 5 พฤศจิกายน 2555 ข้อมูลเป็นเฉพาะของคนไทยที่ Apply Cert เรียบร้อยนะครับ ซึ่งเป็นไปได้ว่ามีคนสอบผ่านเยอะกว่านี้ แต่ยังประสบการณ์ไม่ถึงก็เลย Apply ไม่ได้ Certificate Member count SSCP 13 CSSLP 8 CISSP 150 ISSAP 1 ISSEP 1