คำแนะนำสำหรับคนที่สนใจสอบ Blue Team Security Level 2 (BTL2)
บทความนี้จะขอแบ่งปันประสบการณ์ในการสอบใบรับรอง Blue Team Security Level 2 (BTL2) ของบริษัท Security Team Training ซึ่งเป็นบริษัทของทางฝั่ง UK (แต่เนื้อหาหลายๆส่วนของ cert ตัวนี้ น่าจะได้รับแรงบันดาลใจจากเนื้อหาที่ประยุกต์มาจากหลายๆคอร์สของ SANS จากทางฝั่ง US ซึ่งเป็น cert ระดับพรีเมียมในเรื่องของเนื้อหาและราคาด้วยเช่นกัน :) ) สำหรับผู้ที่สนใจที่จะสอบ สามารถเข้าไปสมัครได้ตาม url นี้ได้เลยครับ
ทีนี้ในส่วนของผู้อ่านที่ไม่อยากอ่านเนื้อหายาวๆ ผมขอเริ่มด้วยการสรุปในส่วนที่สำคัญๆก่อนไว้ในหัวข้อที่ 1 ละกันครับ สำหรับผู้อ่านที่ต้องการลงในรายละเอียด สามารถตามอ่านต่อในส่วนของรายละเอียดในหัวข้อที่ 2 นะครับ
- เวอร์ชั่นกระชับ
- ใบรับรองนี้จะเป็นเนื้อหาสำหรับฝั่ง Defensive หรือ Blue Team (ฝั่งรับมือและตอบสนองต่อเหตุการณ์การโจมตีระบบฯ) ซึ่งน่าจะเป็นใบรับรองแรกๆ ที่ทำออกมาเป็นแนววัดผลด้วยการสอบปฏิบัติ
- เป็นเนื้อหาระดับ Advanced ที่ควรจะผ่าน BTL1 (level 1) มาก่อน (แต่ไม่ได้บังคับ) หรือ cert ในสาย blue team ตัวอื่นๆ หรือเคยมีประสบการณ์ในสายงานมาก่อน และมั่นใจว่าสามารถข้ามระดับเริ่มต้นเพื่อมาลงระดับ advanced ได้เลย
- จะมี 4 หัวข้อหลักๆ คือ การวิเคราะห์ Malware / การตามล่าค้นหาภัยคุกคาม (Threat hunting) / SIEM ระดับสูง / การบริหารจัดการช่องโหว่
- เป็นการเรียนด้วยตัวเองแบบอ่านเอง ทำแลปเอง สอบเอง เจ็บเอง :)
- update ข้อมูล ณ วันที่ 29 กันยายน 2565 — เนื้อหาและ quiz ทั้งหมด 231 ข้อ / จำนวน lab ทั้งหมด 28 labs ให้เวลาทำทั้งหมด 120 ชม. (นับเฉพาะเวลาที่เราเปิดเข้าไปเล่น) / ระยะเวลาที่เข้าไปเรียนได้หลังชำระเงินเป็นเวลา 5 เดือน / ราคา £1,999 (ประมาณ 82,xxx THB)
- การเตรียมตัวสอบ แนะนำให้ฝึกทำแลปให้ครบทั้งหมดที่เค้ามี โดยฝึกใช้เครื่องมือและคำสั่งต่างๆให้คล่อง เพราะตอนสอบจะได้ไม่ลนจนเกินไปเพราะว่าต้องแข่งกับเวลาที่จำกัด และต้องเจอจำนวนเครื่องหลายเครื่องที่ต้องเข้าไปค้นหาข้อมูล
- การสอบจะเป็นภาคปฏิบัติล้วนๆ + เขียนรายงานสรุปผล ให้เวลาทำทั้งหมด 72 ชม. (3 วัน) ส่งรายงานแล้วรอฟังผล
- ระหว่างสอบให้พยายามจดบันทึก และ Capture ผลลัพธ์ที่ได้มาเก็บไว้ และควรทำ short note กำกับด้วย เนื่องจากตอนหลังข้อมูลที่ได้มาจะเยอะมาก จนทำให้อาจเกิดการลืมหรือสับสนเอง
- สอบผ่านจะต้องได้คะแนนไม่น้อยกว่า 70% ทางบริษัทให้ข้อเสนอสามารถสอบแก้ตัวได้โดยไม่เสียเงินอีก 1 รอบในกรณีที่สอบครั้งแรกไม่ผ่าน
- ลืมเรื่องสำคัญอีกเรื่อง ถ้าผู้สอบสามารถทำคะแนนได้เกิน 90% ในรอบแรก เน้นว่าต้องผ่านในรอบแรกด้วยคะแนนสูงกว่า 90% เท่านั้น ไม่สามารถที่จะสอบแก้ตัว แล้วได้เกิน 90% ในรอบที่ 2 ได้ ผู้สอบจะได้อัพเกรดเหรียญจากเงินเป็นทอง :)
2. เวอร์ชั่นร่ายยาว++
สำหรับ cert ตัวนี้ ผมรู้จักมาจากรุ่นน้องคนนึงที่ไปสอบ BTL1 มา แล้วเล่าว่าน่าสนใจเพราะเป็น cert ที่ไม่ใช่สอบข้อเขียนแบบตัวอื่นๆในท้องตลาด แต่มีความท้าทายเพราะต้องทำจริง วัดกันไปเลยว่าทำเป็นจริงๆ ไม่ใช่แค่รู้แค่ทฤษฎีแต่ปฏิบัติไม่ได้ หลังจากนั้นผมก็เลยสนใจแล้วได้ลองเข้าไปอ่านเนื้อหาดู แต่ยังมองว่าเนื้อหามันยังใกล้เคียงกับตัวที่ผมมี เช่น GCFA, GCFE ช่วงแรกผมก็เลยยังไม่ได้สมัคร และพอดีเป็นช่วงมีงานเข้ารัวๆ เลยก็จะยังไม่มีเวลาสอบ
ผ่านไปอีก 2–3 เดือน เห็นข่าวว่าทาง Security Blue กำลังทำคอร์สระดับ 2 (BTL2) ซึ่งพอเข้าไปอ่านดูแล้วเห็นว่าน่าสนใจดี เลยคอยตามข่าว จนมาถึงช่วงเดือน ต.ค 64 เริ่มว่าง เลยเข้าไปดูอีกรอบ เห็นว่าเริ่มเปิดให้สมัครเรียนได้ ก็เลยใช้เวลาอีกซักพักในการตัดสินใจ เพราะว่าค่าเรียนที่เปิดมาแอบแพง คือ £1,999 (ตอนนั้นค่าเงินที่ผมคำนวณจากอัตราแลกเปลี่ยนที่อยู่ที่เกือบ 46 บาท/GBP จะเป็นประมาณ 92,xxx THB) ซึ่งเรียกว่ากระโดดไปจาก BTL1 ที่ £399 แบบแทบเรียกได้ว่าคิดหนักมากกก แต่สุดท้ายก็พ่ายแพ้กับคำว่า กิเลศต้องระงับด้วยการซื้อ สุดท้ายก็จ่ายไปและเริ่มเรียนตอนต้นเดือน พ.ย 64 โดยตั้งใจว่าจะสอบให้เสร็จช่วงปีใหม่ที่ได้หยุดยาวๆ
ย่อหน้านี้ขอแทรกเป็นเรื่องบ่นๆๆ ก่อนเข้าสู่เนื้อหาหลักนะครับ ใครขี้เกียจอ่าน สามารถข้ามไปย่อหน้าถัดไปได้เลยครับ — หลังจากเข้าไปเรียนก็ได้พบเรื่องที่ต้องทำให้หัวร้อนแทบระเบิดหลายๆเรื่องในช่วงแรก (คิดว่า ถึงตอนนี้ ต.ค 65 น่าจะเรียบร้อยใช้งานได้ดีทุกอย่างแล้ว) ตั้งแต่
- ระบบยังไม่เสร็จ เนื้อหายังไม่เรียบร้อย เมลไปถามก็ตอบช้ามาก
- ระบบ lab ยังไม่เรียบร้อยเช่นกัน ทำได้แค่ไม่กี่ lab แถมทั้ง error ทั้ง bug มาเพียบ ผลลัพธ์ที่ตอบไป หลายๆครั้งก็ไม่ผ่านแบบงงๆ ต้องทำเรื่องแจ้งไปถาม ซึ่งหลายๆครั้งเป็นที่ระบบ
- ณ เวลานั้น แทบจะอยากทำเรื่องขอเงินคืน รอเรียบร้อยค่อยสมัครใหม่ เพราะกลัวสอบไม่ทันใน 5 เดือน แต่ตอนสมัครมีแจ้งมาเลยว่า ไม่สามารถยกเลิกหรือคืนเงินได้ไม่ว่ากรณีใดๆ :(
- แต่คนที่เป็นผู้กล้าในช่วงแรกๆ ได้รับแจ้งว่าจะได้รับการขยายเวลาให้ฟรีโดยอัตโนมัติ หลังจากระบบเรียบร้อย
- สุดท้ายกว่าระบบจะเรียบร้อยพร้อมสอบ ก็เดือน เม.ย 65 ซึ่งผมก็เริ่มมีงาน แถมต้องมีสอบ cert ใบอื่นอีก (ไว้ cert อีกตัวนี้ก็มีแผนเตรียมไว้เล่าในบทความหน้า) ซึ่งผมก็เลยรีบกลับมาทำ lab กับเรียนบทเรียนที่เหลือๆให้จบ แล้วลงสอบช่วงเดือน พ.ค 65
กลับมาโหมดจริงจังกันต่อครับ จะขอเล่าเรื่องเนื้อหา การทำแลป แล้วก็เล่าประสบการณ์เตรียมตัวสอบ (สำหรับการสอบอาจจะเล่าเนื้อหาไม่ได้เยอะนะครับ เพราะมีเซ็น NDA ไม่ให้เปิดเผยไว้ตอนสอบ)
สำหรับเนื้อหานั้น จะมีทั้งหมด 4 เรื่องใหญ่ Malware Analysis / Threat Hunting / Advanced SIEM / Vulnerability Management โดย
a) Malware analysis นั้นจะสอนวิธีการวิเคราะห์ malware ทั้งแบบ static และ dynamic การใช้เครื่องมือต่างๆ ซึ่งการทำแลปก็จะมีเครื่องที่รีโมทเข้าไปใช้เครื่องมือในการวิเคราะห์และตอบคำถามต่างๆให้ถูกต้อง malware ก็มีหลาย format ทั้ง exe, powershell script ที่ฝังมาใน word และ pdf เป็นต้น สำหรับมือใหม่ ก็น่าจะสนุกกับแลปได้อยู่ ส่วนถ้าใครเคยผ่านคอร์สของ SANS หรือมี GREM มาแล้ว น่าจะสบายๆไม่ยากครับ พอดีตัวนี้ผมมีอาจารย์ที่ไปอบรมคอร์ส SANS มาด้วยกัน ที่เลือกลงคนละคอร์ส แล้วมาแชร์กัน ผมเลยได้อ่านและลองเล่นแลปมาแล้ว หัวข้อนี้ก็เลยไม่ค่อยยากเท่าไหร่สำหรับผมครับ
b) Threat Hunting นั้นก็จะสอนตั้งแต่การเตรียมเครื่องมือ การตามล่าค้นหาภัยคุกคามจากเครื่อง endpoint ทั้งที่ใช้ระบบปฏิบัติการ Windows และ Linux รวมไปถึงการตามล่าค้นหาภัยคุกคามในระบบ network ส่วนใน lab ก็จะมีให้ลองทำทั้ง Windows System Hunt และ Linux System Hunt สอนให้ใช้เครื่องมือต่างๆ เช่น Chainsaw, Velociraptor, RITA และ DeTTECT เป็นต้น หัวข้อนี้สนุกดีครับ ถึงแม้ว่าผมจะเคยผ่านคอร์สอย่าง GCFA ของ SANS มาแล้ว ในส่วนนี้จะค่อนข้างแตกต่าง เครื่องมือที่ใช้ก็แตกต่าง ทำให้เหมือนได้เรียนรู้เรื่องใหม่ๆเพิ่มเติม
c) Advanced SIEM หัวข้อนี้หลักๆจะใช้ splunk เป็นเครื่องมือหลักเลย ผมใช้เล่นกับใช้สอนมาก่อนอยู่แล้ว ก็เลยค่อนข้างง่ายในการเรียนในหัวข้อนี้ เนื้อหาและ lab จะเน้นการค้นหาและสร้างกฎสำหรับตรวจหาความผิดปกติในระบบ เช่น การพยายามเข้าถึงระบบ การรันอะไรต่างๆในระบบ รวมถึงการเชื่อมต่อกับไปยัง C2 (Command&Control) ของผู้บุกรุก ส่วนของ lab ตอนผมทำ เค้าจะใช้ dataset ที่ชื่อ BOTS (Boss of The SOC) ผมก็เลยทำเองได้ไม่ยากจากเครื่องตัวเอง ผมก็เลยสามารถประหยัดเวลาไม่ต้องเสียเวลาในส่วนของแลป (120 ชม.) ไปได้ค่อนข้างเยอะ (แต่จริงๆแนะนำว่าทำของเค้าไปเลยก็ได้ครับ 120 ชม. นี่เวลาเหลือๆเลยครับ สุดท้ายเหลือไปก็ไม่ได้ใช้จนหมดอายุ)
d) Vulnerability Management หัวข้อนี้ค่อนข้างจะ อิหยังวะ สำหรับผม ก็คือว่าหัวข้อนี้จะพูดถึงการใช้เครื่องมือในการสแกนหาช่องโหว่ในระบบ เช่น nessus, openvas ซึ่งถ้าใครเคยผ่านคอร์สที่สอนพวกการทำ VA/PenTest มาแล้ว ก็น่าจะคุ้นเคย ไม่ว่าจะเป็นคอร์สเช่น CEH, Pentest+, CPENT, GPEN เป็นต้น น่าจะผ่านหัวข้อนี้ได้แบบสบายๆ lab ที่มีให้เล่นก็เป็นการใช้เครื่องมือที่กล่าวมา เอาไปสแกนเครื่อง แล้วให้ตอบว่าเจอช่องโหว่อะไร เลข CVE อะไร ประมาณนี้ ซึ่งในส่วนของการสอบ ผมเองก็ไม่ได้ใช้ส่วนนี้
ข้ามมาในส่วนของการสอบ พอเรียนจบทุกหัวข้อและทำทุกแลปให้เสร็จทั้งหมดจนพอใจ ก็สามารถนัดวันสอบได้เลย (แอบบ่น ในส่วนแลปของผมไม่ได้เล่นทั้งหมด เนื่องจากตอนใกล้จะหมดกำหนดเวลาเรียนที่เค้าขยายให้ ระบบแลปก็ยังไม่เสร็จเรียบร้อยทั้งหมด ผมเห็นมีหลายคนไปบ่นไว้ใน discord ของหัวข้อนี้ด้วย ส่วนผมก็เมลไปคุย แต่คำตอบที่ได้กลับมาคืออิหยังวะมาก เพราะเค้าบอกว่าไม่จำเป็นต้องทำแลปทั้งหมดก็ได้ อ้าว แล้วในหน้าคำแนะนำสำหรับเตรียมสอบ ดันบอกให้ต้องทำแลปให้หมดก่อน :( )
พอมาถึงวันสอบ ขอบอกว่าเป็นการสอบแบบที่ไม่ได้เข้มงวดมากเหมือนของ OSCP หรือ CPENT ที่ต้องมีคนคุมสอบ ต้องให้เปิดกล้องเปิดไมค์ตลอดเวลา จะไปไหนก็ต้องขอและรอให้เค้าอนุญาตกลับมาก่อน ถึงจะไปได้ แต่ในส่วนของ BTL2 นั้นสบายๆ สอบด้วยตัวเอง เค้ามีไฟล์ให้ download เพื่อเชื่อมต่อไปยังระบบที่เค้าเตรียมไว้ให้ ข้อสอบเท่าที่เล่าได้ (เพราะติดเซ็น NDA ตอนสอบด้วย) ก็จะเป็นระบบที่มี server หลายเครื่อง มีหน้าที่ต่างกัน แต่เชื่อมโยงกันหมด มีหลักฐานให้หาทุกเครื่อง คำถามจะว่ายากก็ยาก จะว่าง่ายก็ไม่เต็มปาก เพราะมันเป็นคำถามกว้างๆ เช่น ให้หาจุดเริ่มต้นของการโจมตี ซึ่งดูเหมือนง่าย แต่พอทำจริง มันมีหลากหลายเหตุการณ์ รวมทั้งมีหลายเครื่อง เราก็เลยไม่มั่นใจว่า คนถามเค้าตั้งใจจะให้ตอบตรงจุดไหน สรุปก็เลยตอบไปให้มากที่สุด และพยายามใช้การอธิบายรายละเอียด อันนี้น่าจะดีสุด มั้ง
ในระหว่างสอบซึ่งเราจะมีเวลาทำเต็มๆ 72 ชม. เราจะไปเดินเล่น กินข้าว ไปนอน ทำได้หมดทุกอย่าง ขอแค่ห้ามถามคนอื่น ห้ามโกง แล้วถ้าจะปิดเครื่องไปพัก ก็ห้ามหยุดระบบ เพราะมันจะเป็นการจบการสอบเลย เค้าบอกว่าให้ปิดเครื่องได้ตามปกติ แล้วนาฬิกาจับเวลามันก็นับถอยหลังต่อไปเรื่อยๆเอง พอกลับมาเปิดทำต่อ มันก็ทำต่อไปได้เลย ทำไปจนหมดเวลา แล้วก็ค่อยมาทำรายงานต่อเพื่อส่งให้เค้าตรวจ ระหว่างทำสอบ แนะนำเลยว่าสำคัญมาก ห้ามลืม Capture ผลลัพธ์ต่างๆที่ทำได้ไว้ด้วย เพราะต้องเอามาใส่ในรายงานและอธิบายสิ่งที่เราทำและเจอในแต่ละเครื่อง เรื่องของระยะเวลาในการเขียนรายงาน ช่วงที่ผมสอบเหมือนจะไม่มีกำหนดเวลาให้ถ้าจำไม่ผิดนะ แต่ผมก็รีบทำให้เสร็จภายใน 1 วันแล้วรีบส่งไปให้เค้าเลย ข้อดีคือเราจะได้ยังไม่ลืมในสิ่งที่เราทำเอาไว้ด้วย แต่ไม่แน่ใจว่าตอนนี้ เค้าจะมีข้อกำหนดเรื่องระยะเวลาที่ต้องส่งรายงานมั้ยนะครับ
ก่อนส่งรายงานก็ยอมรับว่ามั่นใจในสิ่งที่ทำในระดับนึง รายงานผมทำทั้งหมดราวๆ 52 หน้า แต่พอหลังส่งก็มีรู้สึกระแวงบ้าง กลัวว่าหาได้ไม่มากพอบ้าง หรือจะเขียนไม่ถูกใจคนตรวจบ้าง เพราะเคยฟังที่รุ่นน้องเล่ามาว่า ตอนสอบ BTL1 เคยไม่ผ่านในครั้งแรก เนื่องจากรายงานไม่ดีพอ ในระหว่างรอฟังผลก็มีลุ้นอยู่ตลอด แต่สุดท้ายพอได้ผลว่าผ่าน ก็โล่งใจ จบสิ้นไปอีก 1 ใบรับรองที่ยาวนานที่สุดตั้งแต่เคยสอบมา เพราะกินเวลาไปราวๆ 8 เดือน (พ.ย 64 — มิ.ย 65) ส่วนใบรับรอง เหรียญ และของพิเศษสำหรับผู้ที่สอบผ่าน 100 คนแรก ทางบริษัทแจ้งว่าจะส่งมาให้ทีหลัง ซึ่งถึงตอนที่เขียนบทความนี้ก็ยังไม่ได้รับ เห็นทางรุ่นน้องที่เคยสอบ BTL1 ก็รอเกือบ 1 ปี ถึงจะได้รับ 555
updated #1
ลืมสรุปความรู้สึกกับเนื้อหาและการสอบ cert ตัวนี้
ในส่วนของเนื้อหา ก็เข้าใจว่าน่าจะเป็นเพราะช่วงเวลาที่ผมสมัครเรียน คงยังเป็นช่วงกำลังเรียบเรียงเนื้อหาและจัดทำระบบอยู่ หลายๆส่วนเลยยังดูไม่ค่อยต่อเนื่อง ยังติดๆขัดๆอยู่บ้าง แต่ในส่วนของแลปที่ทำได้ ก็มีความน่าสนใจและก็สนุก
ในส่วนของระบบสอบและข้อสอบ ระบบค่อนข้าง smooth and stable ระหว่างสอบไม่เจอปัญหาใดๆกับระบบ ส่วนข้อสอบและคำถาม อาจจะมีงงๆหรือกำกวมอยู่บ้าง แต่ก็เข้าใจได้ว่าถ้าเป็นเหตุการณ์จริงๆ เราก็เริ่มจากที่ไม่มีข้อมูลอะไรมาก ต้องค่อยๆเริ่มคลำหาทางเอาเอง แต่เนื่องจากในการสอบมันจะมีเงื่อนไขที่ให้ทำในเวลาจำกัด ก็เลยอาจจะมีหัวร้อนในบางช่วงเวลารีบๆ 555
คะแนนในความรู้สึกส่วนตัว และกับระบบในช่วงแรก (ช่วงปลายปี 64 ที่พึ่งเริ่มเปิดรับสมัคร)
เนื้อหา — 3.5/5 หลายบทยังไม่เรียบร้อย เข้าไปอ่านยังไม่ได้ กว่าจะเรียบร้อย ก็เกือบจะครบกำหนดเวลาที่เรียนได้
Lab — 4/5 คล้ายๆกับเนื้อหา แต่หลายแลปที่ได้เล่น ก็มีความสนุกให้ทำ
ระบบสอบ — 4.5/5
ปล. ผมได้คะแนนไม่ถึงเหรียญทองนะครับ เสียดายอยู่เหมือนกัน ทางผู้ตรวจแจ้งว่า ยังขาดไฟล์ที่สำคัญมากๆไปไฟล์นึง จากข้อมูลที่รู้ ณ ตอนนั้น ก็ยังไม่มีใครได้เหรียญทองเหมือนกัน ซึ่งถ้ามีใครลองไปสอบแล้วได้เหรียญทองมา ฝากทักมาทีนะครับ ผมอยากรู้มากๆว่ามันคือไฟล์อะไร
สำหรับบทความแรกของผม ก็หวังว่าจะเป็นประโยชน์ให้กับผู้ที่สนใจจะสอบ BTL2 นะครับ ขอให้สอบผ่านกันทุกคนครับ
