My Journey to GSE Certificate Part 2

ตอนที่ 2 ขั้นตอนการเตรียมตัวและประสบการณ์การไปสอบ

การเตรียมตัวสำหรับ Pre-requisites

• ผมเลือกสอบ Pre-requisites 5 วิชาคือ GSEC(401), GCIH(504), GCIA(503), GPEN(560), GCFA (508)
• ที่เลือก GPEN นั้นไม่มีเหตุผลอะไรเป็นพิเศษ เนื่องจากปกติต้องใช้ GPEN ในการเข้าโครงการอยู่แล้วเลยสอบเก็บไว้
• ส่วน GCFA นั้นเนื่องจากส่วนตัวไม่เคยมี hands-on experience กับฝั่ง Defense มากนักจึงเลือก GCFA เพื่อใช้เพิ่มความรู้ด้าน Forensics
• ตอนอ่านหนังสือเตรียมตัวสอบแต่ละวิชาจะจัดทำ Index ไว้คร่าว ๆ หน้าตา Index ของผมคร่าว ๆ จัดทำไว้ 2 แบบ (อันนึงเรียงตามเนื้อหาในหนังสือ อีกอันเรียงตามตัวอักษร) เพื่อให้ reference ตอนสอบได้เร็ว (สอบเป็นแบบ Open book) ซึ่ง Index ผมก็ไม่ได้ละเอียดมากนักมีประมาณ 20 หน้าได้ แต่มีบางคนทำ Index แบบอลังการมากเป็นร้อยหน้า (https://www.youtube.com/watch?v=U4QmSQDIiHM)
• การสมัครสอบ SANS แต่ละวิชาจะให้ practice test มา 2 ชุด ผมใช้วิธีการ capture หน้าจอทั้งคำถามและคำตอบเก็บไว้เพื่อไว้ review ในภายหลัง
• เมื่อพร้อมแล้วก็ไปลุยสอบได้เลย ปกติจะไปศูนย์สอบที่ Central World คนไม่เยอะ ไม่เคยเจอปัญหา มีครั้งนึงเคยไปแถว BTS นานา Facility ห่วยมาก Internet ไม่เสถียร รอบนั้นเสียเวลาแก้ปัญหาไปประมาณ 1 ชั่วโมง (จาก 4 ชั่วโมง) เลยเลิกไปเลย
• ตั้งแต่เริ่มเก็บ Certificate ของค่ายนี้ใช้เวลาประมาณ 2 ปี นิด ๆ ในการเก็บครบ Pre-requisites

การเตรียมตัวสำหรับข้อสอบ Choice

• ก่อนไปสอบก็อ่านซ้ำรอบนึง และ review ข้อสอบเก่าอีกรอบนึง ตอนไปสอบนี่ถึงกับต้องเอาหนังสือใส่กระเป๋าเดินทางไปเลยครับ
• ปกติตอนสอบวิชาทั่ว ๆ ไปจะไม่คิดอะไรมาก แค่สอบให้คะแนนเกินเกณฑ์ก็พอ แต่สำหรับ GSE choice exam นี่ทุกข้อมีคุณค่า เนื่องจากคะแนนจะเอาไปรวมกับคะแนน Lab ดังนั้นแนะนำว่าต้องตั้งใจให้ดีครับ
• ข้อสอบ Choice นี้คงไม่มีอะไรมากหากผ่าน Pre-requisite มาหมดแล้ว

การเตรียมตัวสำหรับข้อสอบ Lab

• เข้าไปศึกษาใน Google Group ของคนที่เตรียมตัวสอบ GSE https://groups.google.com/forum/#!forum/giac-study
  • มีเอกสารเตรียมตัวสอบ มีการรวบรวมเนื้อหา command ต่าง ๆ ซึ่งทำโดยหลาย ๆ คนช่วยกัน หนึ่งในนั้นคือ Don Murdoch คนเขียนหนังสือ Blue Team Handbook
• อ่าน Slide GSE ของ Jeff Pike ที่ https://www.yumpu.com/en/document/view/21536987/gse-rumors-myths-and-facts-giac/1
  • เค้าบอกว่า SANS เองก็ไม่ได้ทำให้ GSE มันโคตรยาก SANS เองก็อยากให้คนสอบผ่านเช่นกัน
  • Tough but fair -> นี่คือ คำนิยาม ที่ทุกคนลงความเห็น และผมเองก็เห็นด้วย
• เตรียมหนังสือเข้าไป 3 เล่ม ซึ่งส่วนใหญ่ก็คือเป็นสรุป command และ concept ต่าง ๆ
  • RTFM: Red Team Field Manual
  • BTFM: Blue Team Field Manual
  • Blue Team Handbook
• ซ้อมทำโจทย์ โดยหัดเล่น CTF
  • ลองทำ SANS Holiday Challenge ทุกปี ยกเว้นปี 2015 โจทย์มันยาว 555 ส่วนปี 2016 ก็ได้รับคำชมจากทีมงาน ?
  • ลองทำโจทย์ Forensics จาก http://forensicscontest.com
  • โจทย์อื่น ๆ อีกนิดหน่อย
• ระหว่างนั้นมีความจำเป็นต้องใช้ GWAPT และ GXPN เลยได้ skill exploit มาบ้าง (แต่ GXPN ไม่ได้ใช้ใน GSE หรอกครับ)
• ทำ Lab ทุก ๆ อันที่ใน GCIA, GCIH, GSEC (ผมทำทุกอันไม่ไหว ตอนนั้นผมก็เก็ง ๆ เอาบางหัวข้อ)
• หัดใช้ command line เยอะ ๆ โดยเฉพาะคำสั่งบน unix
• เมื่อเดือน March ที่ผ่านมามีงาน SANS community night ได้พบกับ Speaker ที่เค้าสอบผ่าน GSE แล้ว เค้าแนะนำว่าไม่ต้องแบกหนังสือไป เพราะว่าจะไม่มีเวลาเปิดหนังสือ
• ทำ note ของตัวเองอีกชุดนึง ซึ่งตอนนั้นตัดสินใจว่าจะไม่แบกหนังสือทั้ง 3 วิชาไปแน่นอน เพราะว่ามันหนักมาก และเปลืองน้ำหนักเวลาบินในประเทศ 555 (งก นั่นเอง)

ตอนที่บินไปสอบ

• เนื่องจากต้องบินไป USA ปัญหาที่เจออย่างแรกก็คือเรื่องของ Jet lag ก็ไปเตรียมตัวล่วงหน้าประมาณ 1 สัปดาห์
• ระหว่างนั้นก็ทั้งเที่ยว ทั้งอ่านหนังสือ วน ๆ ไป
• ใกล้ ๆ ถึงวันสอบเค้าจะส่ง Schedule ของการสอบมาให้ เป็นข้อมูลว่าแต่ละ session เริ่มกี่โมง ๆ
• ตอนนั้นก็เครียด ๆ เหมือนกันครับ เนื่องจากค่าสอบแพง 555 สอบไม่ผ่านนี่ไม่รู้จะบอกผู้สนับสนุนอย่างเป็นทางการอย่างไร และแต่ละคนที่มี GSE นี่ Super Star ในวงการทั้งนั้นเลย เราจะรอดมั้ยนะ

ตอนอยู่หน้าห้องสอบ

• เฮ้ย!! ทำไมคนเยอะจัง แต่ละคนก็มีวัยวุฒิพอสมควรเลย ออกแนว 40+ เกินครึ่ง
• รอบที่สอบมีคนประมาณ 30-35 คน มีคนเอเชียอยู่ 2 คน (รวมผม) ตอนเข้าห้องสอบเค้าบอกว่ารอบที่ผมสอบนี่คนสมัครเยอะมากที่สุดเลยตั้งแต่เปิดมา -> % ของคนที่สอบผ่านเท่าไร อยากรู้เลื่อนไปข้างล่างสุด
• คนส่วนใหญ่ลากกระเป๋าเดินทางมา แน่นอนในนั้นมีหนังสือ SANS เยอะมากกกกกกกกก
• ความรู้สึกในตอนนั้นคือ ทำไรผิดป่าวหว่า ทำไมมีแต่คนลากกระเป๋าเดินทางมา ส่วนเรานั้นมีหนังสือ 3 เล่มกับ note อีกปึกนึง

ตอนเข้าไปสอบ

• Proctor บอกว่าให้ทำให้ครบทุก Domain อย่างน้อยต้องผ่านในแต่ละ Domain ไม่งั้นตกทันที (Domain ในที่นี้ก็หมายถึงหัวข้อจาก GSEC, GCIA, GCIH) ดังนั้นตอนเห็นโจทย์แนะนำว่าต้องวางแผนในการทำโจทย์ดี ๆ ไม่งั้นทำไม่ทันแน่ ๆ เรื่อง Time management นี่สำคัญมาก ๆ
• เครื่องที่ใช้สอบไม่สามารถออก Internet ได้ แต่จะมีการจัดเตรียมเครื่องให้หน้าห้อง กรณีที่ต้องการ search ข้อมูลจาก Internet
• ข้อสอบก็อย่างที่เค้า comment กัน "Tough but fair"
• รายละเอียดข้อสอบไม่สามารถเปิดเผยได้ แต่บอกได้ว่าสิ่งที่มีบอกบน GSE page ของ GIAC นั่นแหละ โอเคแล้ว

จำนวนคนสอบผ่านรอบนี้มี 15 คน ก็เรียกว่าราว ๆ 50% เท่านั้นเอง Passing rate ระดับนี้ถือว่าต่ำมาก เพราแต่ละคนที่ผ่านมาจนสอบ Lab ได้นี่ผมคิดว่าไม่ธรรมดามาก ๆ ละ ใครสนใจก็ถามเพิ่มเติมได้นะครับ แต่ว่าเรื่องโจทย์ตอนสอบ Lab นี่ไม่ขอตอบนะครับ ?