กราบสวัสดีครับท่านผู้อ่านทุกท่านครับ ช่วงนี้เทรน Blue Team ค่อนข้างมาแรงและมี cert เกิดขึ้นอยู่เรื่อยๆ และเมื่อต้นปีที่ผ่านมาก็มี cert จากค่าย CyberDefender ซึ่งก็ได้มีคอร์สออกมาตั้งแต่ช่วงปลายปี 2022 แล้ว ซึ่งก็คือตัว CCD Certification นั่นเอง ผมเห็นเนื้อหาต่างๆ แล้วรู้สึกสนใจมากเนื่องจากเป็น cert ที่สอบแบบ LAB 100% เหมือนกับ cert อีกค่ายที่ผมได้สอบและเขียนรีวิวไปก่อนหน้านี้ ก่อนจะเข้าเนื้อหาผมขอเล่าสักหน่อยว่าทำไมถึงได้มาเรียนและสอบ cert ตัวนี้นะครับ ***ส่วนนี้สามารถข้ามได้เลยนะครับสำหรับคนที่อยากอ่านแค่ริวิว แค่ก่อนจะได้เสียเงินมันมี story นิดหน่อยเลยอยากเล่าให้ฟังครับ ***
Background
หลังจากที่ผมได้เห็นตัวอย่างเนื้อหา และหัวข้อต่างๆ ของตัว CCD Certification แล้วก็รู้สึกสนใจเป็นอย่างมาก แต่ยังไม่มี budget ในการซื้อคอร์สเลยรอดูจังหว่ะก่อน แต่แล้วโอกาสของผมก็มาถึงครับ เนื่องจากตัว platform มีการพัฒนาอยู่เรื่อยๆ หลังจาก launch ตัวคอร์สขึ้นมา และมีการจัดกิจกรรมแจกส่วนลดสำหรับคนที่ได้ 5 อันดับแรก เพื่อเป็นการฉลองการอัพเดทเปิดตัว leaderboard ของ platform
จะเห็นได้ว่าตอนนั้นผมอยู่อันดับ 1 ของ platform ซึ่งก็คิดว่ายังไงตัวเองก็คงได้ส่วนลดนี้แน่ๆ ฮ่าๆ ในระหว่างช่วงเดือนกุมภาถึงมีนาก็แข่งกันดุเดือดมากๆ จนอันดับผมร่วงลงเรื่อยๆ เริ่มใจคอไม่ดีละ แต่ผมได้ทำการคำนวณไว้แล้วในตอนนั้นว่าก่อนจบกิจกรรม ผมน่าจะติด top 5 ได้อยู่ ซึ่งก็จบที่อันดับ 3 ครับ และได้รับส่วนลด 50% และในตอนนั้นตัวคอร์สก็ลดราคาอยู่แล้ว 40% เลยทำให้จบที่ราคา $249.99 เป็นราคาไทยประมาณ 8,771.07 บาท ซึ่งนั่นก็คือส่วนนึงที่ทำให้ผมได้เสียเงินนั่นเอง
What is CCD?
CCD ชื่อเต็มๆ ก็คือ Certified CyberDefender โดยจะเป็นการฝึกอบรมแบบ hands-on ที่เน้นการป้องกันภัยคุกคามในสายงานด้านความปลอดภัยของระบบสารสนเทศและเทคโนโลยีสารสนเทศ โดยเฉพาะสำหรับผู้ทำงานในด้าน Blue Team / SOC ซึ่งรวมถึง SOC analyst, Security Blue Teams, Threat hunters, และ DFIR professionals ซึ่งเป็นบุคคลที่มีหน้าที่รักษาความปลอดภัยขององค์กรหรือบริษัทต่าง ๆ อยู่แล้วด้วย
CCD มุ่งเน้นให้ผู้เข้าร่วมการอบรมได้รับประสบการณ์การป้องกันภัยคุกคามแบบ real-world นอกจากนี้ยังเน้นการใช้เครื่องมือและเทคโนโลยีที่ใช้ในการป้องกันและตรวจจับภัยคุกคาม รวมถึงได้เรียนรู้กลยุทธ์ในการป้องกัน, threat-hunting techniques, adversary detection และการทำ forensic ซึ่งเป็นส่วนสำคัญในการตอบสนองและการจัดการกับการละเมิดความปลอดภัยในระบบสารสนเทศและเครือข่ายขององค์กร
ข้อมูลเพิ่มเติม: https://cyberdefenders.org/blue-team-training/courses/certified-cyberdefender-certification/
Review Course
มาพูดถึงเนื้อหาของตัวคอร์สกันบ้างนะครับ ในส่วนของเนื้อหานั้นแบ่งออกเป็น 8 module (ปัจจุบันมี 9 แล้วนะครับโดยเพิ่ม Malware Analysis เข้ามา สำหรับใครที่ซื้อคอร์สหลังวันที่ 9 กย 2023 ก็จะได้หัวข้อนี้ไปด้วย ส่วนคนที่ซื้อก่อนจะต้องซื้อเพิ่มเป็น extension เอาราคา $200 !!!) เมื่อซื้อคอร์สแล้วจะสามารถเข้าถึงได้ภายในระยะเวลา 4 เดือนหลังจากซื้อ และตัว Lab สามารถเข้าได้ถึง 120 ชั่วโมงภายในระยะเวลา 4 เดือนเช่นกัน
มาพูดถึงเนื้อหาแต่ละ module กันบ้างนะครับ
Module 1: Security Operations (SecOps) Fundamentals
สำหรับส่วนนี้ก็จะเป็นพื้นฐานของ Security นะครับ โดยเริ่มตั้งแต่ CIA Triad, เนื้อหาเกี่ยวกับ Security Operation Centers (SOC) / SIEM / SOAR, เนื้อหาเกี่ยวกับ Security Devices เช่น Firewall, IDS/IPS, WAF และเนื้อหาใน module นี้ยังรวมถึง Vulnerability Management และ Threat Intelligence อีกด้วย ก็ปูพื้นกันไปครับ ที่สำคัญตัว Lab ที่มีให้เล่นใน module นี้มี Microsoft Sentinel ด้วยถือว่าคุ้มๆ เลยนะครับModule 2: Perimeter Defense — Email Security
ใน module นี้จะพูดถึง The Primary Cyber Attack Vector ซึ่งก็แน่นอนว่าอันดับ 1 ก็คงหนีไม่พ้นตัวอีเมลนั่นเอง และก็จะพูดถึงการโจมตีทางด้านอีเมล ทำความเข้าใจเกี่ยวกับ authentication protocol ของอีเมลซึ่งเราะจะได้เจอคำว่า SPF ( อันไม่ใช่ตัวบอกค่าที่เอาไว้กันแดดนะครับ แฮร่!! ), DKIM, และ DMARC รวมถึงได้ทำเข้าใจและวิเคราะห์ตัวภัยคุกคามทีเกิดจากอีเมลด้วย และที่สำคัญเลยคือเราจะได้ลองเขียน rule และ config SPF, DKIM, DMARC record ด้วย ซึ่งถือว่าเป็นความรู้ใหม่สำหรับผมเลยครับเรื่องนี้Module 3: Threat Hunting and Emulation
ใน module นี้จะพูดถึงการ Proactive Human-driven Threat Hunting หรือพูดง่ายๆ ก็คือการตาล่าภัยคุกคามในเชิงรุกที่โดยคนนั่นเอง มีการพูดถึงการตั้งสมมุติฐาน การใช้ SIEM ในการ hunting โดยจะใช้ Elastic SIEM, การสร้างและ custom detection rule ด้วย MITRE ATT&CK Framework, รวมถึงการ Hunting แต่ละ Tactic และ Techniques เช่น Persistence, Lateral Movement และ Credential DumpingModule 4: Forensics Evidence Collection
ใน module นี้จะพูดถึงความหมาย, ความสำคัญ และประเภทของ Digital Forensics รวมถึงการ Acquisition อย่างเช่น Memory Acquisition และ Disk Acquisition และยังมีการพูดถึงเครื่องมือที่ใช้อีกด้วยอย่างเช่น DumpIt, Magnet Encrypted Disk Detector, KAPE, FTK Imager และ Arsenal Image MounterModule 5: Disk Forensics
ใน module นี้จะพูดถึง Windows Forensics เป็นหลัก ประกอบไปด้วยโครงสร้างและการวิเคราะห์ Windows Event log และพูดถึง Artifacts ต่างๆ ที่สามารถใช้ตรวจสอบกิจกรรมต่างๆ ในเครื่องคอมพิวเตอร์ได้ เช่น User Activity, Deleted Files, Link Files, Shellbag, และ Jump Lists เป็นต้น ซึ่งตรงนี้จะช่วยให้เราสามารถเข้าใจถึง Artifacts ต่างๆ ภายในระบบที่เป็น Windows และส่วนนี้จะใช้ในการตรวจสอบร่องรอยและกิจกรรมที่เกิดขึ้นของ Threat actor ที่เข้ามากระทำภายในเครื่องอีกด้วยModule 6: Memory Forensics
ใน module นี้ก็ยังคงอยู่กับ Windows เหมือนเดิม ซึ่งเนื้อหาจะพูดถึงการวิเคราะห์ memory โดยใช้ Volatility 2 เพื่อวิเคราะห์ processes, วิเคราะห์ความสัมพันธ์ระหว่าง child และ parent processes, วิเคราะห์ network connection, File Artifacts และ MTF entries ใน memory เป็นต้น สำหรับส่วนนี้ก็สามารถใช้ตรวจสอบร่อยรอยของ process, Command Lineและ network connection ที่เกิดขึ้นโดย Threat actor ได้เช่นกันModule 7: Network Forensics
ใน module นี้ก็จะพูดถึงการวิเคราะห์ network packet ซึ่งก็จะลงรายละเอียดไปที่ Wirkshark ซึ่งก็เป็นเครื่องมือยอดฮิตในการวิเคราะห์ network packet อยู่แล้วด้วย สอนเกี่ยวกับการ capture, การ filter, และการวิเคราะห์ protocol streams เป็นต้นModule 8: Incident Response
ใน module นี้ก็เป็น module สุดท้ายแล้วซึ่งก็จะพูดถึงการทำ Incident Response การทำความเข้าใจเกี่ยวกับ ภัยคุกคาม, ช่องโหว่, ความเสี่ยง, การโจมตีและวิธีการของภัยคุกคาม รวมไปถึง framework และกลยุทธ์ต่างๆ ซึ่ง module นี้จะได้รู้จักกับ tools อย่างเช่น suricata, RITA และ Velociraptor เป็นต้น บอกเลยหัวข้อนี้ก็อัดแน่นมากๆ
Review Exam
ในส่วนของ exam ถือว่าทำออกมาได้ดีมากๆ ครับ ครอบคลุมทุกหัวข้อที่เรียนมาเลย ซึ่งตัว exam จะแบ่งออกเป็น 2 scenario และมีเวลาให้ 48 ชั่วโมง แต่!!!! การสอบสามารถสอบได้ 2 ครั้งก็จริงนะครับ แต่ว่าเงื่อนไขคือครั้งแรกต้องสอบภายใน 4 เดือนหลังจากที่ซื้อเท่านั้นนะครับ และครั้งที่สองคือภายใน 1 ปี สำหรับใครที่กำลังเล็งๆ ไว้ก็ระวังจะเลยเวลาสอบด้วยนะครับ เดี๋ยวจะเสียโอกาสเอา ส่วนของ exam เนี่ยในแต่ละ scenario จะรูปแบบ incident ที่ถูก compromise แล้วเราได้รับมอบหมายในการเข้าไป investigate แล้วก็ตอบคำถามลักษณะแบบ CTF ซึ่งเราสามารถตอบกี่ครั้งก็ได้ ไม่มีผลอะไรเพราะการให้คะแนนจะเป็นการตรวจหลังจากที่เรา submit ไปแล้วเท่านั้น ซึ่งจะตรวจโดยคน ในการตอบคำถามเราควรจะเขียนอธิบายวิธีที่ได้คำตอบไปด้วยเพราะกรณีที่เราตอบผิดแต่เราทำถูกวิธีเค้าก็จะให้คะแนนเราด้วย อันนี้ดี!! แต่สิ่งที่ดีจนสัมผัสได้ชัดๆ เลยคือผม submit ไปวันจันทร์ตอนเที่ยงคืน ผลสอบออกวันจันทร์ตอนประมาณ 2 ทุ่ม แล้วเค้าจะมีประกาศใน Discord ของทาง CyberDefender ด้วยว่าใครที่สอบผ่านบ้าง ซึ่งมันดูเจ๋ง และใส่ใจดี
การเตรียมตัว
หลังจากเรียนจบแล้วก็เล่น Lab ที่มากับคอร์สให้ครบ หลังจากนั้นก็เล่น Lab ในตัว platform ต่อซึ่งมีเยอะมากๆ แค่ของฟรีก็เล่นกันไม่ไหวละครับ ใครอยากติดตั้ง tools ในเครื่องหรือไม่สะดวกเล่นในเครื่องตัวเองก็มีแบบเสียเงินนะครับสมัครตัว Pro แล้วก็เล่น Lab ผ่านทาง web browser เอาสะดวกมากๆ ซึ่งตัวที่ฟรีเค้าจะเรียกว่า Challenges นะครับ ส่วนตัวเสียตังเรียกว่า Labs ตรงๆ เลยซึ่งเราก็สามารถ filter ได้ว่าอยากจะเล่นหัวข้ออะไร เช่น Digital Forensics, Threat Hunting, Malware Analysis เป็นต้น และยัง filter ตามละดับความยาก และตาม MITRE Tactic ได้อีกด้วย
วันสอบจริง
ในวันสอบจริงนั้น จริงๆ แล้วผมแทบไม่ได้เตรียมตัวอะไรมากมายเลยครับ เนื่องจากไม่ค่อยจะมีเวลาเตรียมตัวเท่าไรอีกอย่างก็ดองมานานแล้วด้วย จังหว่ะที่ผมสอบทุกครั้งมักจะเหตุอะไรบางอย่าง ที่ทำให้ไม่ได้สอบอยู่บ่อยครั้ง และผมก็ได้แพลนไว้ว่าศุกร์ เสาร์ อาทิตย์จะสอบเลยไม่งั้นก็ไม่ทันแล้วเพราะจะหมดเวลาสอบรอบแรกคือต้นเดือนตุลาเลย แบบว่าเหลืออีกไม่กี่วัน ก็หลังจากเลิกงานแล้วเคลียร์อะไรต่างๆ เสร็จก็เที่ยงคืน จึงได้กดสอบไป แรกๆ ก็ทรมานครับแต่พอ 6 โมงเช้าผ่านไปก็ตื่นยาวเลยทีนี้ วันแรกก็ทำ Threat Hunting ทั้งคืนก็ราวๆ 10+- ชั่วโมงได้ เนื่องจากคำถามเยอะที่สุดและสนุกมาก ผมก็พยายามจัดการเวลาเนื่องจากพอไม่ได้นอนแล้วมันจะต้องนอนยาวสักรอบกลัวจะหลับเพลิน แต่ความเป็นจริงหลับไม่ค่อยลง มาหนักวันที่สองนี่แหละครับ นอนเยอะจนแทบลืมตื่นมาทำต่อ ใช้เวลาเต็ม 48 ชั่วโมงเลย ข้อสอบทั้งสอง scenario นั้นจะแบ่งตามหัวข้อไปซึ่งเหมือนการทำงานจริงมากๆ แบบว่า เคสนี้ข้อมูลชุดนี้ไปหาจาก SIEM อีกชุดต้องไป Forensics อะไรก็ว่าไป ซึ่งดูสมจริง และมีความตึงอยู่ไม่น้อย ข้อสอบไม่ได้ยากจนทำไม่ได้ แต่ก็ไม่ได้ง่ายเลย ต้องใช้ความพยายามอย่างมาก
และในที่สุดหลังจาก submit ไปผมลุ้นอยู่ว่าผลจะออกเมื่อไหร่ เพราะจำได้ว่าเคยอ่านเจอว่าใช้เวลาตรวจ 5 หรือ 10 business day นี่แหละครับ เนื่อจากตรวจด้วยคน แต่ก็ไม่คิดว่าผลจะออกเร็วขนาดนี้ ผลออกไม่ถึง 1 วัน หลังสอบผ่านก็จะได้ cert หน้าตาเท่ๆ แบบนี้
Conclusion
สุดท้ายนี้สำหรับใครที่มองหา cert ที่สอบแบบ Lab 100% ในฝั่งของสายงาน Blue Team ผมมองว่า CCD ก็เป็นหนึ่งในตัวเลือกที่ดีเลยครับ และตอนนี้ตัวคอร์สเองก็ได้มีการยัดหัวข้อ Malware Analysis เข้ามาอีกด้วยแล้ว ถือว่าค่อนข้างครบถ้วนครอบคลุมและจบในใบเดียวได้เลย และแน่นอนว่าหลายๆ คนก็คงอยากรู้และก็มีบางคนได้สอบถามผมมาบ้างว่า CCD นี่เทียบกับ BTL1 แล้วเป็นยังไงบ้าง จริงๆ แล้วผมมองว่า CCD ควรเทียบกับ BTL2 มากกว่า จากเนื้อหาและความยากของข้อสอบ ต่างกันแค่ CCD ไม่ต้องเขียน Report แค่นั้น ตัว CCD เองค่อนข้างเจาะลึกไปที่ Digital Forensics ซึ่งเมื่อเทียบกับ BTL1 ที่มีหัวข้อเดียวกันนี้ปรากฎว่าตัว CCD ทำได้ดีกว่ามาก ทั้งเนื้อหาในคอร์สและการสอบ ส่วนหัวข้อ Threat Hunting ถือว่าใกล้เคียงกันกับ BTL2 แต่ตัว BTL2 นั้นค่อนข้างครอบคลุมกว่าเนื่องจากมีทั้ง Windows และ Linux ซึ่งตรงจุดนี้ทำให้เห็นได้ว่า CCD นั้นครอบคลุมทั้ง BTL1 และ BTL2 เลยก็ว่าได้ ซึ่งจะมีข้อดีข้อด้อยที่แตกต่างกันแบบเห็นได้ชัดอยู่ สำหรับใครที่ลังเลก็อาจดูเรื่องงบ ว่าไปตัวไหนได้บ้าง เพราะเอาจริงๆ BTL2 ก็ราคาโหดเอาเรื่อง ตัว CCD ก็ราคาค่อนข้างดีเลย แต่ถ้างบไม่เยอะอาจไปจบที่ BTL1 ก็ได้เหมือนกัน ใครไม่ติดเรื่องงบก็ควรมีทุกตัวดีทุกใบ (งบน้อย BTL1, พอมีงบสักครึ่งแสนก็ BTL1 + CCD หรือ CCD ใบเดียว, ถ้าบ้านขุดน้ำมันก็เก็บให้ครบไปเลย!!!)
พูดถึงเรื่องของรางวัลกันบ้าง
- อย่างแรกเลยคือ Digital badge และ cert ตัวอย่างแบบนี้
- ต่อมาก็จะได้ icon CCD ที่ตรงชื่อใน Discord
- ต่อมาก็จะเป็นตัว Physical CCD certificate
- และทีเด็ดก็คือตัว CCD coin เท่ๆ โดยมีเงื่อนไขว่าถ้าผ่าน 70% ก็จะได้ CCD silver coin แต่ที่เท่มากๆ เลยคือถ้าหากผ่าน 85% ขึ้นไปจะได้ CCD gold coin
ก็สำหรับใครที่สนใจอยากอ่านตัวรีวิว BTL1 และ BTL2 ก็เรียนเชิญตามลิงค์ด้านล่าง
