Beating Cybersecurity Certificate

เนื่องจากวันก่อนได้มีโอกาสไปคุยกับ Partner แล้วก็ได้มีคำถามในห้องว่ามีเทคนิคในการสอบ Cert หรือไม่? คำตอบเร็ว ๆ คือ ไม่มีครับ แต่บทความนี้ขอเล่า Journey การสอบ Cert ที่ผ่านมาของผมโดยแบ่งเป็นประเด็น ๆ ไป

Certificate ที่เคยสอบมาน่าจะเป็นไปตามด้านล่างครับ

CISSP > CISA > ITIL > ISO27001 > ISO22301 (BCM )> CISM > eCPPT > GCIH >
GPEN > GSEC > GCIA > GCFA > GWAPT > GXPN > GSE > AWS Cloud Practitioner >
AWS Solution Architect Associate > AWS Security Specialty

ถ้าไล่ดูจาก Timeline นี้จะเห็นว่าเริ่มจากสาย Management แล้วค่อยไปสาย Technical แล้วก็มาจบที่ AWS ต่อไปจะเป็นประเด็นที่ผมคิดว่ามีความสำคัญและที่ผมใช้ในการสอบครับ

ประเด็นที่ 1 เริ่มจากเข้าใจภาพรวม Concept พื้นฐาน

สิ่งที่ผมคิดว่าแตกต่างจากคนส่วนใหญ่คือ คนส่วนใหญ่จะไปทางสาย Technical แล้วไต่มาเป็นสาย Management แต่ผมเริ่มจาก Cert ที่จัดอยู่ในกลุ่ม Management ซึ่งตอนนั้นที่เลือกที่จะสอบเพราะในยุคนั้น (ปี 2009) เรื่อง Cybersecurity ไม่ได้ถูกให้ความสำคัญแบบในทุกวันนี้ และเรื่อง Certificate ก็ไม่ได้มีให้เลือกมากมายเช่นกัน

• CISSP เป็น Cert ที่เรียกว่า Top Form ที่สุดในขณะนั้น ในความคิดผมตอนนั้นนะ 555 ใน Forum ตปท.ก็มักมีการตั้งกระทู้ว่าที่เทียบระหว่าง
• CISSP กับ ปริญญาโทด้าน Cybersecurity ซึ่งความเห็นผมคือทำไมต้องเลือกอ่ะ ก็มีทั้งคู่ไปเลยสิ

แต่เอาจริง ๆ แล้วอย่าเอาไปเทียบกันเลยครับ มันแตกต่างกันมากนะ การสอบ Cert 1 ใบอาจใช้เวลาเพียง 1 สัปดาห์ 1 เดือน ในการทำให้สำเร็จ มันไม่ควรเอามาเทียบกับปริญญาที่ใช้เวลาเป็นปี

หลังจากที่คิดเอาเองว่าต้องมี CISSP บ้างละ ก็รู้สึกว่าไม่น่าเป็นปัญหาอะไร เพราะช่วงนั้นเพิ่งเรียนจบมา ถึงแม้ไม่มีประสบการณ์ทำงานเลย แต่เนื้อหาไม่ได้ยาก แค่ครอบคลุมกว้าง และด้วยพื้นฐานความรู้และภาษาของผมในขณะนั้นน่าจะไม่มีปัญหา

ตอนอ่านสอบก็ไม่ได้เข้าใจทุกเรื่องนะ บางเรื่องที่เป็น Concept หรือ Technical นี่สบายเลย แต่ถ้าเป็นระดับ Policy หรือ Organizational level ก็จะเหมือนเข้าใจ แต่ไม่เข้าใจ เพราะเราไม่เห็นภาพ ในการทำงานกับองค์กรระดับใหญ่

สุดท้ายสอบผ่าน แต่ก็เหมือนเราได้ Concept แต่ไม่เห็นของจริง ซึ่งตอนที่เราเริ่มมีประสบการณ์ทำงาน Concept เหล่านี้สำคัญมาก อย่างน้อยเราก็มี Concept ที่ถูกต้องในหัวเรา ไว้คอย Defense หรือ บางครั้งเจอ Vendor ที่บอกว่าทำอย่างนั้นอย่างนี้ไม่ได้ เพราะเหตุผลต่าง ๆ นานา เราก็จะรู้ว่าสิ่งที่อีกฝั่งพูดมานั้นมันแปลก ๆ ไม่ตรงตาม Concept

ประเด็นที่ 2 ประสบการณ์ในองค์กรขนาดใหญ่ช่วยให้เข้าใจเรื่อง Process

ประสบการณ์ในการทำงานช่วยได้มากจริง ๆ โดยเฉพาะตอนที่ทำงานที่ธนาคาร เราเห็นภาพว่าการทำงานระดับองค์กรใหญ่มันต้องมี Process ต่าง ๆ มี Change management มี Audit ทั้งภายในและภายนอกองค์กร หรือ แม้แต่การบริหารจัดการด้าน Cybersecurity ของจริง ที่ไม่มีทางที่เราจะอ่านหนังสือแล้วเข้าใจได้เลย ซึ่งตอนที่สอบ CISA, ITIL เราก็สามารถที่จะ Map Concept ในหนังสือเข้ากับประสบการณ์ในชีวิตจริงได้มากขึ้น ทำให้การสอบไม่ได้ยากอะไร

ประเด็นที่ 3 ประสบการณ์ในองค์กรขนาดใหญ่ช่วยส่งเสริม Practical Skill

อยู่องค์กรใหญ่ ทำให้มีของให้เล่นเยอะ Vendor แวะเยี่ยมเยี่ยนมาหาบ่อย ซึ่งจุดนี้ทำให้ Practical Skill เราสูงขึ้น จากเดิมรู้ Concept ทำเองไม่ค่อยเป็น เราก็มีอุปกรณ์ด้าน Security ราคาแพงให้เราลองใช้งาน ถ้าใช้ไม่เป็น พี่ ๆ ในทีมก็คอยสอน หรือ เรียกให้ Vendor มาช่วย Support และอธิบายให้เราเข้าใจได้มากขึ้น ซึ่งถ้าเทียบกับทำ Lab เองนั้น เหนื่อยตั้งแต่ลงทุน และ Setup Lab เองแล้ว ต่อให้ Setup Lab เองได้ ท่าต่าง ๆ ปัญหาที่เจอก็เทียบไม่ได้กับปัญหา Scale ของธนาคารหรอก

นอกจากนี้ตอนอยู่ที่ธนาคารก็เน้นทำ Pentest ให้กับระบบของธนาคาร ซึ่งจุดที่ผมคิดว่าผมได้ความรู้มากที่สุดนั้นไม่ใช่ประสบการณ์ทำ Pentest นะ แต่เป็นความรู้ความเข้าใจทางด้าน Business ในธนาคาร การแบ่ง Roles บนระบบ การ Design Process ต่าง ๆ ทำให้เราสามารถเข้าใจและเห็นความเสี่ยงของ Business และ Application ได้อย่างรวดเร็ว

ประเด็นที่ 4 เปลี่ยน Role จาก Customer มาเป็น Consult

ผันตัวจากงาน IT Security Operation มาเป็นงานแนว Consulting คราวนี้ความรู้ที่เรามีกับความรู้ที่เราต้องใช้นั้นคนละขั้วละ จากเดิมเน้นทำ Operation และช่วยออกแบบ Solution ให้ปลอดภัย คราวนี้เราต้องมารู้จัก Standard รู้จักข้อบังคับต่าง ๆ รวมถึงต้องไปให้คำปรึกษากับองค์กรต่าง ๆ ซึ่งถือว่า Challenge มากเพราะข้อกำหนดเยอะเหลือเกิน อ่านแล้วง่วง ความยากคือทำอย่างไรให้ลูกค้าเชื่อเรา

ซึ่งการให้คำปรึกษานั้นไม่ได้ยากมากเท่าไร เพราะเราเคยมีประสบการณ์เห็นภาพองค์กรใหญ่ ซึ่งพอเราได้รู้จัก Standard ก็สามารถที่จะสอบ Cert ในกลุ่ม ISO ได้ไม่ยากเลย

ประเด็นที่ 5 เมื่อทุกอย่างพร้อม เราก็ลุย

เมื่อความรู้พื้นฐาน และ ประสบการณ์ พร้อมแล้วการสอบอะไรก็ไม่ใช่เรื่องยากจนเกินไป เพราะเราเองก็ยังวนเวียนด้าน Cybersecurity ดังนั้น Concept ทุกอย่างไม่ได้หนีจากเดิม ยกเว้นเป็นเทคโนโลยีใหม่ หรือ Model ใหม่ ๆ อย่าง เช่น AWS แรก ๆ เราก็ไม่เข้าใจ อยู่ดี ๆ จะไปทำ Security ของ AWS เลยก็เป็นไปได้ยากนะ มันก็ต้องกลับไปทำความเข้าใจพื้นฐานของ Service บน AWS แต่ละ Service มีหน้าที่อะไร ทำอะไรได้บ้าง การ Integration บน AWS มีท่าไหนบ้าง เมื่อเราเข้าใจแล้วเราก็สามารถที่จะเห็นความเสี่ยงและจัดการกับปัญหาได้

ข้างบนนั่นคือ Journey ในสาย Cybersecurity แต่ยังไม่เกี่ยวกับเรื่องเทคนิคในการสอบอยู่ดี เรื่องเทคนิคในการสอบของผมมันเป็นเรื่องพื้นฐานมาก (เกรงว่าบางคนจะไม่เรียกว่าเทคนิค)

1. สร้างพื้นฐานของเราให้แน่น ความรู้ Foundation สำคัญและพร้อมที่จะใช้ต่อยอด หรือนำไปใช้ Apply เป็นเทคนิคใหม่ ๆ ได้เสมอ
2. จองวันสอบล่วงหน้า ในตอนที่ยังไม่พร้อม จะได้เป็นการเพิ่มแรงผลักดันให้ตัวเอง
3. ถ้าสอบบ่อย ๆ จะรู้ Pattern ของคำตอบที่ถูกต้อง เช่น ถ้าให้เลือกระบบราคาแพง กับ ชีวิตคน แน่นอนเราต้องเลือก ชีวิตคน มาเป็นอันดับแรก หรือ ถ้าให้เลือกใช้เงินแพง ๆ แต่ Business ลงทุนแล้วแทบเจ๊ง กับ ลงทุนเหมาะสม แล้ว Business เดินต่อได้ ในขณะที่ความเสี่ยงไม่ถูกกำจัดให้หมดไป เราก็ต้องเลือก Case ที่ 2 เพราะว่า Business ต้องอยู่ได้
4. ถ้าทำข้อสอบ Choice คิดไม่ออกตัดข้อที่น่าจะถูกน้อยที่สุดออกไปก่อน (ตอนเด็ก ๆ ก็ทำแบบนี้ไหม หรือว่าใครทิ้งดิ่ง กาข้อเดียวรวด?)
5. อ่าน Material ที่ถูกต้อง ถ้ามี Official Book ก็อาจเริ่มอ่านจาก Official Book แต่ถ้าไม่มีก็แนะนำลอง Google ดูว่าคนส่วนใหญ่แนะนำอะไร เช่น CISSP ก็มีแต่คนแนะนำหนังสือของ Shon Harris เป็นหลัก
6. ถ้าอันไหนมีทำ Lab เราก็ควรจะทำ Lab บ้างจะได้เข้าใจเนื้อหามากขึ้น
7. ความเชื่อว่าองค์กรที่ออก Certificate นั้นเค้าก็ต้องการให้มีคนมี Cert เค้า มันคือธุรกิจที่เค้าต้องให้มีคนมี Cert เยอะ และมีการ Renew เยอะ ๆ เพื่อสร้าง cashflow ให้กับเค้า ดังนั้นการสอบคงจะทำให้ยากเกินไปไม่ได้

ถ้าใครสงสัย Certificate ตัวไหนด้าน Security ลองสอบถามเพิ่มได้ครับ :)