กราบสวัสดีครับท่านผู้อ่าน หลังจากที่ได้ห่างหายไปนานนับปี ฮ่าๆ นี่ก็เป็นบทความที่ 2 ของผมนะครับ ซึ่งมาคราวนี้ผมก็มีบทความที่เกี่ยวกับการรีวิว BTL2 Certification ในตอนนี้ผมก็เป็นหนึ่งในคนที่เหมา cert ค่าย Security Blue Team ครบแล้ว ตอนนี้รู้สึกเท่มาก ฮ่าๆ ก็สำหรับ cert ตัวนี้ก็ยังคงเป็นการสอบแบบ LAB 100% เหมือนเดิม ซึ่งในตลาดก็มีอยู่ไม่กี่ cert โม้มาเยอะแล้วเดี๋ยวไปเข้าเรื่องกันเลยดีกว่าครับ
What is BTL2?
BTL2 ชื่อเต็มๆ ก็คือ Blue Team Level 2 เป็น certification ระดับ professional ซึ่งตัว cert นั้นได้ถูกออกแบบมาโดยเฉพาะสำหรับสาย technical defenders ที่มีประสบการณ์ใน security operations หรือที่เกี่ยวข้อง และอยากก้าวสู่การ role ในระดับ senior-level โดยการสอบก็จะเป็นแบบ practical 72 hours ซึ่งจะต้องส่งคำตอบเป็น report ทาง Security Blue Team ก็จะมี template มาให้แล้ว เกณฑ์ในการผ่านขั้นต่ำอยู่ที่ 70% แต่!!! ราคาก็ดุเอาเรื่องอยู่เหมือนกันครับ เกือบแสนบาทเลยทีเดียว (วันที่ผมซื้อราคาอยู่ที่ 88,716.80 บาท ราคาจุกๆ ไปเลยครัช)
ข้อมูลเพิ่มเติม: https://securityblue.team/btl2/
Review Course
คอร์สที่ให้มาก็ถือว่าดีมากๆ เลยเนื้อหาในแต่ละหัวข้อก็จะมี Lab ให้ลองทำเพื่อเพิ่มความเข้าใจด้วย ตัวเนื้อหาก็จะแบ่งออกเป็น 4 หัวข้อ ประกอบไปด้วย Malware Analysis, Threat Hunting, Advance SIEM, และ Vulnerability Management สำหรับคอร์สก็จะมีเวลาจำกัดหลังจาก enable คอร์สแล้วอยู่ที่ 5 เดือน พร้อมกับ lab แบบ browser lab ซึ่งจะสามารถรีโมทเข้าใช้ได้ผ่าน browser ตรงนี้จะเวลามีให้เข้าไปเล่นอยู่ที่ 120 ชม. ก็เล่นให้พรุนกันไปเลย
เนื้อหาแต่ละหัวข้อที่กล่าวมาน่าสนใจมากๆเลย ผมจะขอเกริ่นให้อ่านสักหน่อยแล้วกันครับ
เริ่มที่หัวข้อ Malware Analysis เนื้อหาก็จะเป็นการสร้างความเข้าใจเกี่ยวกับ Malware Analysis และสอนการใช้งานเครื่องมือต่างๆ เพื่อใช้ในการวิเคราะห์ทั้งในแบบ static และ dynamic โดยแบ่งเป็นการวิเคราะห์ PE (Portable Executables), การวิเคราะห์ไฟล์ PDF document, และการวิเคราะห์ไฟล์ Microsoft Office document
ต่อมาหัวข้อ Threat Hunting เนื้อหาจะเป็นการสร้างความเข้าใจเกี่ยวกับ Threat Hunting เริ่มตั้งแต่การสร้างสมมติฐานและเข้าใจเทคนิคของผู้โจมตีไปจนถึงการ Hunting บนระบบ Windows และ Linux รวมทั้งในระบบเครือข่าย และมีการสอนใช้เครื่องมือต่างๆ ในการทำ Threat Hunting ด้วย เช่น ELK, Sigma rule, Chainsaw, Sysmon เป็นต้น
ต่อมาหัวข้อ Advance SIEM เนื้อหาจะเป็นการสร้างความเข้าใจเกี่ยวกับ SIEM ในระดับ Advance และสอนวิธีการสร้าง dashboard สำหรับการทำงาน การจำลองพฤติกรรมของผู้โจมตี สอนการ search และการวิเคราะห์โดยใช้ Splunk
สุดท้ายก็คือหัวข้อ Vulnerability Management เนื้อหาจะเป็นการสร้างความเข้าใจเกี่ยวกับช่องโหว่ และวิธีการวางแผนในการจัดการกับช่องโหว่ โดยจะสอนการใช้เครื่องมือ scan ช่องโหว่ต่างๆ แยกผลลัพธ์โดยใช้แนวทางอ้างอิงตาม risk-based และผลกระทบเพื่อเพิ่มประสิทธิภาพในการปรับปรุง security posture ภายในองค์กร
โดยรวมเนื้อหาถือว่าทำออกมาได้ดีเลยครับ และมี lab ให้ลองทำเพื่อเสริมความเข้าใจ และสามารถนำไปใช้ตอนสอบได้ด้วยควรค่าแก่การนั่งเรียนให้จบก่อนครับ เพราะผมเรียนไม่จบแล้วไปสอบแล้วก็ตกมารอบนึงแล้วครับ!!
Review Exam
พูดถึงการสอบกันบ้างข้อสอบจะว่ายากก็ยาก จะว่าง่ายก็ไม่นะ!! คือผมเป็นคนที่คิดเยอะ และคิดไปเองด้วยความที่เล่น lab มาเยอะมากๆ ก็จิตนาการในหัวพลุกพล่านอะครับ เรียกว่าจินตนาการสำคัญกว่าความรู้ก็ได้ ฮ่าๆ แต่มันใช้กับการสอบไม่ได้!! การสอบจริงๆ ก็จะใช้เนื้อหาที่เรียนมาแบบตรงไปตรงมา แต่จุดที่ไม่ตรงก็คือมีความซับซ้อนเข้ามาแทรกให้เราคิดเยอะ เวลาในการสอบก็ถือว่าไม่เยอะ ไม่น้อยให้เวลามา 72 ชม. ด้วยกัน ซึ่งถ้าวางแผนจัดการเวลาไม่ดี อาจกลายเป็นทำไม่ทันก็ได้ ซึ่งการสอบเราก็จะได้ใช้ทุกหัวที่เรียนมาในคอร์สอย่างละนิด ละหน่อย ในส่วนของตัว report จะเป็นการกำหนด template จาก Security Blue Team มาเลย ซึ่งผมก็ไม่ชำนาญการเขียน report เท่าไรนัก ก็นึกภาพไม่ค่อยออกว่าควรจะเขียนอะไรบ้าง ข้อสอบถือว่าทำมาดีเลย ผมชอบมาก มีหลายองค์ประกอบ และได้ใช้ทักษะทุกหัวข้อจริงๆ ถ้าตัดเรื่องแพงออกผมให้ชนะเลิศ ฮ่าๆ อันนี้ก็อวยไป แต่ก็เป็นความจริงแหละครับ เพราะถึงแม้จะมีหลายหัวข้อ แต่ว่าก็ออกข้อสอบได้ครอบคลุม เชื่อมโยงกันได้หมด ต้องชมเชยทาง Security Blue Team เค้าแหละ
การเตรียมตัว
ผมก็เตรียมตัวโดยฝึกจาก lab ใน Blue Team Lab Online (ต่อไปผมจะขอเรียกว่า BTLO) หลังจากที่ผมซื้อคอร์ส BTL2 แล้วผมก็ทำการสมัคร pro member ของ BTLO เพื่อหา lab มาฝึก ผมเองก็ฝึกแบบบ้าคลั่งกันเลยทีเดียวรู้ตัวอีกทีคือเล่นจบไป 96 lab!!! จากทั้งหมด 114 lab จากที่ฝึกเพื่อไปสอบกลายเป็นบ้าคลั่ง บ้าพลังเล่นยันติด top 20 มาแล้ว อันดับสูงสุดที่เคยทำได้คือ 17 โม้ซะหน่อย!!! ปัจจุบันไม่ค่อยได้เล่นอันดับก็ร่วงลงมา 22 แล้ว แต่!!! อันนี้ไม่เกี่ยวกับการเตรียมตัวเลย
วันสอบจริง
ปัญหาของผมเลยคือชอบมีภาพในหัวเยอะ สอบรอบแรกนี่ก็พลาดเพราะ config linux ไม่ถูกทำให้ไม่สามารถเข้าเว็บได้ และตรงนี้ทำให้เสียเวลามากๆ เพราะ log ไม่ได้ช่วยอะไรเลยครับ ถ้าไม่ดูหน้าเว็บประกอบ แนะนำควรทำให้ถูกต้องตามคำแนะนำตอนสอบเลย ในส่วนของ AD เน้น Investigate จาก Splunk เป็นหลัก ซึ่งตัว Splunk เองก็ไม่ได้เป็นปัญหาอะไรสำหรับผมอยู่แล้ว ในการสอบรอบสองผมก็ยังหลอกตัวเองด้วย timeline ของหลักฐานที่เจออยู่ดี ทำให้ตอบ initial access ผิดครั้งแรกตอบถูกแต่ตอบไม่ละเอียด อย่างว่าแหละครับ จินตนาการสำคัญกว่าความรู้!!! แต่รู้เท่าไม่ถึงกาญ (เพราะอยู่กรุงเทพ ผ่าม!!!) รอบแรกผมจัดการเวลาไม่ดี นอนไม่พอและเครียดอยู่เหมือนกัน รอบสองจัดการเวลานอนได้ดีครับ แต่ไม่มีเวลาทำข้อสอบ ฮ่าๆ สำหรับการสอบหลายๆ วันนั้นถือว่ามีความยากในเรื่องการจัดการเวลาพอสมควรเลยครับ และอยากจะแนะนำสำหรับคนที่อยากสอบนะครับ พยายามฝึก hunting linux เยอะๆ และทำความเข้าใจ AD และคอนเซ็ปต์การโจมตี AD และฝึกวิเคราะห์ malware ด้วยข้อสอบไม่ถึงกับให้ debug หรือให้ทำ code analysis หลอกครับ แต่ควรจะวิเคราะห์ให้ได้ว่ามันสร้างมาไว้ทำอะไร รอบนี้เขียน report ก็ถือว่าจับทางได้ดีเลยแหละครับ มีความมั่นใจสำหรับการสอบรอบที่สองอยู่สัก 70% ได้เนื่องจากเผื่อใจไว้ เพราะเคยตกมาครั้งนึง แต่ก็มั่นใจว่าทำได้อยู่เหมือนกัน report ก็เขียนไป 30 กว่าหน้ามันก็ต้องผ่านแล้วแหละครับ ฮ่าๆ
ผมสอบครั้งที่สองไปเมื่อช่วงวันที่ 14 เมษาที่ผ่านมา สงกรานต์ก็ไม่ได้ไปไหนอยู่แล้วเอาเป็นว่าสอบช่วงนี้แล้วกัน หลังจากสอบผ่านไปได้สักเดือน วันที่ 14 พฤษภาได้เมลว่าผลสอบออกแล้ว ก็รีบเข้าเว็บไปดู และในที่สุด!!! ผมก็สอบผ่านแล้วครับ โลโก้ cert ติดปีกมาเลยอย่างเท่
Conclusion
และสุดท้ายนี้ ก็แนะนำสำหรับใครที่มีเงินเหลือๆ และอยากได้ความท้าทายในการสอบ ผมคิดว่า BTL2 เป็น cert ใบหนึ่งที่น่าสนใจเลยแหละครับ ในฝั่ง Blue Team ก็ไม่ค่อยจะมี cert ใหม่ๆ และเป็นแบบ lab เท่าไรด้วย
- สำหรับใครทำงานในสาย Blue Team อยู่แล้ว และอยากเพิ่มทักษะหรือก้าวข้ามความสามารถของตัวเอง BTL2 Certification ก็เป็นตัวเลือกที่น่าสนใจเลยครับ
- สามารถนำความรู้จากเนื้อหาไปใช้กับงานได้อย่างมีปะสิทธิภาพมากขึ้น
- มี Cert ใบนี้การรันตีความเป็น Professional ในฝั่ง Blue Team ได้ดีเลยครับ
- ถ้าหากสอบผ่านจะได้ challenge coin เท่ๆ อีกด้วยถ้าผ่าน 70% ก็จะได้ silver challenge coin แต่ที่เท่มากๆ เลยคือถ้าหาผ่าน 90% ขึ้นไปในครั้งแรกจะได้ gold challenge coin
ลืมบอกไปข้อในการสอบ BTL2 ผลจะออกหลังจากส่ง report ไม่เกิน 30 วันทำการไม่รวมเสาร์ อาทิตย์ และวันหยุดต่างๆ ตามเทศกาล (อาจไวกว่านั้น) หากใครสนใจสามารถไปหาสอบกันได้ที่นี่ และถ้าใครต้องการอ่านเนื้อหาการรีวิว BTL1 เชิญที่บทความของผมได้เลยครับ รีวิวคอร์สและการสอบ BTL1 Certification
Update
หลังจากเวลาผ่านไปนานหลายเดือน ตอนนี้ผมก็ได้รับ physical rewards แล้ว แต่ก็แอบเสียดายที่ไม่ได้ sticker BTL2 มาด้วย แต่!! ผมก็ได้เหรียญทองมา 2 เหรียญแบบงง เหรียญแรกนั้นคือ FIST 100 DEFENDER COIN และเหรียญที่สองก็คือ BTL2 GOLD COIN ซึ่งจริงๆ ไอ้ตัว BTL2 GOLD COIN น่าจะได้แค่คนที่สอบผ่านรอบแรกที่ได้คะแนน 90% ขึ้นไปแต่คงมีการเปลี่ยนแปลงแล้วไม่ได้อัพเดทข้อมูล และอีกข่าวร้ายก็คือก่อนหน้าที่หน้าเว็บเขียนไว้ว่า BTL2 Cert นั้นเป็นแบบ life time แต่ตอนผมสอบผ่านมันมี expired date ผมจึงได้ไปสอบถามกับทาง SBT Support สรุปก็คือ cert นั้นมีอายุ 4 ปีไม่ใช่ถาวร (ปัจจุบันหน้าเว็บอัพแล้วว่า 4 ปี) ส่วนวิธีต่ออายุนั้นเค้ายังคิดไม่ออกว่าจะให้ทำยังไง คงน่าจะมีประกาศมาอีกทีนึง ตรงนี้ทำให้ผมแอบเสียดายนิดๆ เพราะส่วนนึงที่สอบใบนี้เพราะคิดว่ามันอยู่ถาวร เนื้อหาที่มาอัพเดทก็ประมาณนี้ครับ
