Preface

มาคิดๆ ดูแล้ว ปีนี้เป็นปีที่ผมได้อะไรจาก สกมช. เยอะมาก…

สำหรับคนที่ไม่รู้จักหรือไม่คุ้นเคย สกมช. ย่อมาจาก สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ใช้ชื่อภาษาอังกฤษว่า National Cyber Security Agency หรือ NCSA เป็นหน่วยงานที่ตั้งขึ้นมาเพื่อให้มีการดำเนินการตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 หรือที่เราเรียกกันว่า พ.ร.บ. ไซเบอร์ นั่นเอง

ตั้งแต่ปีที่แล้วเป็นต้นมา สกมช. มีโครงการเร่งรัดพัฒนาบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ (Intensive Cybersecurity Capacity Building Program) ซึ่งมีการดำเนินการอย่างต่อเนื่อง และผมก็มีโอกาสได้เป็นส่วนหนึ่งในหลายๆ กิจกรรมของโครงการ หลักๆ คือ

  • หลักสูตรระดับพื้นฐาน รุ่นที่ 11 ช่วงเดือน ม.ค. 65
  • หลักสูตร SOC Analyst รุ่นที่ 3 ช่วงเดือน มี.ค. 65
  • หลักสูตร Threat Hunter รุ่นที่ 3 ช่วงเดือน มี.ค. 65
  • หลักสูตรระดับผู้เชี่ยวชาญ รุ่นที่ 11 ช่วงเดือน ก.ค. 65
  • หลักสูตรระดับผู้เชี่ยวชาญเฉพาะด้าน รุ่นที่ 1 ช่วงเดือน พ.ค.–ต.ค.65

โดยเฉพาะใน 2 หลักสูตรสุดท้าย ที่ตอนแรกคิดว่าคงไม่มีโอกาสได้เข้าร่วม เพราะอยู่ระหว่าง on-the-job training (OJT) ที่สาธารณรัฐเซอร์เบีย แต่โชคดีที่ทาง สกมช. ตัดสินใจเปิดอบรมหลักสูตรระดับผู้เชี่ยวชาญ แบบออนไลน์ ทำให้ผมมีโอกาสได้สมัครเรียน ผ่านการทดสอบ และได้สิทธิ์สอบ CompTIA Security+ แถมมาด้วย

สำหรับหลักสูตรระดับผู้เชี่ยวชาญเฉพาะด้าน ที่เป็นที่มาของการได้ไปสอบ CISSP เป็นเรื่องที่รู้สึกว่าแปลก เพราะมีความบังเอิญหลายๆ อย่าง เลยอยากเขียนเก็บไว้หน่อย เผื่อจะมาอ่านวันหลัง 🧐

I’ve Never Wanted to be a CISSP

เอาจริงๆ คือไม่เคยรู้ด้วยซ้ำว่ามันเป็น certification เกี่ยวกับอะไร ด้วยความที่ผมคิดว่าตัวเองเป็นสาย technical และสามารถเรียนรู้เกี่ยวกับ cybersecurity ของระบบ OT ด้วยตัวเองได้ประมาณนึง บวกกับความแตกต่างระหว่างระบบ IT/OT เลยไม่เคยสนใจ certification ด้าน information security เลย คิดแค่ว่า ถ้าจะต้องสอบ certificate ก็น่าจะเป็นแนว OT/ICS cybersecurity ที่เกี่ยวข้องกับงานที่ทำโดยตรงน่าจะดีกว่า

First Step to CISSP

ประมาณช่วงเดือน ก.พ. 65 ได้ข่าวว่าทาง FRSecure มีการจัด 2022 CISSP Mentor Program จำไม่ได้ว่ารู้มาจากไหน น่าจะ Reddit ผมก็ไปสมัครลงเรียน แน่นอนว่าตอนนั้นก็ยังไม่รู้ว่า CISSP คืออะไร รู้แค่ว่าเป็นเรื่องเกี่ยวกับ cybersecurity และมีคนให้ความสนใจโปรแกรมนี้มาก ส่วนผมเองคิดแค่ว่าอยากมีอะไรไว้ทำ/ดูแล้วมีประโยชน์ ในช่วงที่ไป OJT ที่เซอร์เบีย 😝

2022 FRSecure CISSP Mentor Program จัดเป็นช่วงยาวๆ ตั้งแต่ เม.ย.–มิ.ย. 65 สอนอาทิตย์ละ 2 วัน วันละ 2 ชั่วโมง ผมมีโอกาสได้ดูไป 2–3 session ก่อนจะเดินทางไปเซอร์เบีย พบว่าเนื้อหา CISSP น่าเบื่อมาก 😑 555+ ไม่ใช่ว่าทีม FRSecure สอนไม่ดี แต่รู้สึกว่ามันเป็นทฤษฎีล้วนๆ จับต้องไม่ค่อยได้ เลยเลิกติดตามไปพักนึง กะว่าไว้ว่างๆ ค่อยมานั่งดูทีหลัง

NCSA Comes into Play

อยู่มาวันนึงช่วงประมาณต้นเดือน พ.ค. 65 ผมก็เห็นประกาศของ สกมช. ร่วมกับ (ISC)² Bangkok Chapter เป็นโปสเตอร์หน้าตาแบบนี้

CISSP Cerfitication Sponsorship by NCSA and (ISC)²

ก็เลยอ้าว… มันเป็นอันที่เคยไปสมัครเรียนไว้นี่ เลยคิดว่าไหนๆ ก็จะเรียนอยู่แล้ว ถือโอกาสสอบ certification ไปด้วยเลยดีไหม

เป็นความบังเอิญที่ถ้าผมไม่เคยลงเรียนโปรแกรมของ FRSecure ไว้ ก็อาจจะไม่ได้สนใจหลักสูตรนี้ เพราะทีแรกก็ไม่รู้ว่ามันคือสิ่งเดียวกันกับหลักสูตรระดับผู้เชี่ยวชาญเฉพาะด้าน ที่น่าจะเป็นเป้าหมายสูงสุดในโครงการนี้ของ สกมช. 🤔

ตอนนั้นปัญหาของผมมีอย่างเดียวคือ ตัวเองอยู่ที่เซอร์เบีย ไม่สามารถไปอบรมหรือสอบ on-site ได้ เลยลองสอบถามเพิ่มเติมใน LINE กลุ่ม NCSA ก็ได้ความว่ากิจกรรมตาม timeline ตั้งแต่เริ่มต้น จนสิ้นสุดการสอบคัดเลือกรอบที่ 2 จะเป็นแบบ online ทั้งหมด หลังจากนั้นค่อยเป็น on-site ก็เลยเข้าทาง เพราะวันประกาศผลสอบรอบ 2 เป็นวันที่ผมเดินทางกลับจากเซอร์เบียพอดี ✈️

1st Elimination Exam

การสอบคัดเลือกรอบที่หนึ่ง ไปสอบแบบไม่ได้เตรียมตัวใดๆ กะว่าเป็นการทดสอบไปในตัวว่าด้วยความรู้ที่มีตอนนั้น จะมีคุณสมบัติพอได้ไปต่อไหม เท่าที่จำได้คือมีคนสมัครประมาณ 1,100 คน แล้วคัดเหลือ 720 คน ข้อสอบเป็นภาษาไทย คาดว่าจัดทำโดย สกมช. เอง

สรุปว่าความรู้ที่มีติดตัวอยู่พอไหว ได้เป็น 1 ใน 720 คนที่ได้ไปต่อ

ก่อนสอบรอบสอง จะมีการติวโดยผู้แทนจาก (ISC)² Bangkok Chapter เป็นเนื้อหาของ CISSP ทั้ง 8 domain ภายในเวลา 2 วัน !!! 😱 สารภาพตามตรงว่าไม่ค่อยได้ฟังเท่าไร เพราะ time zone ที่ไม่ตรงกัน และความเยอะของเนื้อหา ที่ต้องอัดให้ครบในเวลาที่จำกัด

2nd Elimination Exam

การสอบคัดเลือกรอบที่สอง เริ่มรู้สึกตัวว่าถ้ายังชิลๆ อยู่น่าจะยากละ เพราะ candidates แต่ละคนดูจริงจังสุดๆ แต่ตอนนั้นไม่มี materials ใดๆ เกี่ยวกับ CISSP ในมือเลย (พร้อมมาก 😒) เลยใช้วิธีดูคลิป 2022 FRSecure CISSP Mentor Program ที่ดองไว้ โดยใช้เวลาว่างช่วงเช้าบ้าง ช่วงเย็นบ้าง ใช้เวลาดูตั้งแต่ต้นจนจบ ประมาณ 10 วัน

ข้อสอบรอบสองเป็นภาษาอังกฤษ เดาว่าน่าจะเป็นการยำรวมกันระหว่างคำถามจาก OSG ไม่ก็ Official Practice Test กับข้อสอบของ Boson รอบนี้โหดมาก คัดคนสอบผ่านตามลำดับคะแนน โดยเอา 60 คนแรก + สำรองอีกนิดหน่อย ตอนสอบเสร็จก็รู้ตัวว่าทำผิดไปหลายข้อ โดยเฉพาะเรื่อง ARO, ALE, EF อะไรพวกนี้ ยังจำนิยาม/สูตร ไม่ได้ด้วยซ้ำ 🤣

ประกาศผลออกมา ปรากฏว่าได้ไปต่อ !!! เป็น 1 ใน 60 candidates น้ำตาจะไหล ทีแรกนึกว่าตกรอบเรียบร้อย เพราะได้เมลแจ้งผลหลังเพื่อน สงสัยเพราะคะแนนกาก เลยได้รับเป็นคนท้ายๆ มีไปดราม่าไว้นิดหน่อยด้วย 555+

2nd Exam Drama

จริงๆ ช่วงนั้นยังไม่ all-in เท่าไร แต่ก็หวังอยู่ลึกๆ ว่าจะได้ไปต่อ เลยกดสั่งหนังสือ CISSP Official Study Guide 9th Edition กับ CISSP Official Practice Tests 3rd Edition ที่ขายเป็น bundle จาก Amazon มาตั้งแต่ยังไม่ประกาศผลรอบสอง กะว่าถ้าเดินทางกลับจากเซอร์เบีย หนังสือน่าจะมาถึงไทยพอดี

CISSP Official Course

ผมเริ่มเตรียมตัวสอบ CISSP แบบเป็นเรื่องเป็นราว หลังจากกลับมาไทย และได้รับหนังสือที่สั่งไว้เรียบร้อย ก่อนถึงช่วง Official (ISC)² Training Seminar for CISSP รุ่นที่สอง จะมีเวลาประมาณ 2 สัปดาห์ ก็นั่งอ่าน OSG ไปเรื่อยๆ จนถึงวันที่ต้องเรียน พบว่าเพิ่งอ่านไปได้แค่ 6–7 chapter จากทั้งหมด 21 chapter ตอนไปนั่งเรียนก็เลยเป็นการ overview ในเรื่องที่ยังไม่ได้อ่าน มากกว่าจะเป็นการ review ทบทวนความเข้าใจ 😅

ข้อดีของการไปนั่งสัมมนาตัวเป็นๆ คือการได้รู้จักคนอื่นๆ ที่ทำงานในวงการเดียวกัน และมีเป้าหมายเหมือนกันคือ CISSP เป็นการเพิ่ม connection และช่วยกระตุ้นความตั้งใจในการสอบไปด้วยในตัว อาจารย์สอนดีมาก แต่มาค้นพบเองทีหลังว่า material ไม่ค่อยโอเคเท่าไร ตามที่บ่นไว้ในรีวิวการเตรียมตัวสอบ CISSP

Mile Wide, Inch Deep

ระหว่างเตรียมตัวสอบ สิ่งที่ได้ยินอยู่เสมอๆ คือ “CISSP is a mile wide, and an inch deep” ซึ่งตอนแรกๆ ก็ไม่ได้คิดอะไร เพราะก็เห็นๆ อยู่ว่าเนื้อหามันเยอะ จะเปรียบเทียบแบบนั้นก็ไม่น่าแปลก จนไปเจอ Security Certification Roadmap ของ Paul Jerimy ถึงได้เพิ่งรู้ตัวว่าต้องเจอกับอะไร 😱

Security Certification Roadmap

จากภาพจะเห็นว่า CISSP มันอยู่ในระดับ Expert (เกือบบนสุด) และครอบคลุม domain กว้างมากๆ ถ้าเทียบกับ certificate ระดับผู้เชี่ยวชาญ (CompTIA Security+) นี่คือเหมือนหนังคนละม้วน… และทำให้รู้สึกว่าถ้าไม่ตั้งใจจริงๆ น่าจะสอบผ่านได้ยาก ถือเป็นอีกหนึ่ง moment เปิดโลกสำหรับผม 😑

This is the My Way

สัมมนาเสร็จก็เป็นช่วงเว้นประมาณ 2 อาทิตย์ ก่อนจะเป็นอบรม bootcamp ตะลุยข้อสอบ ผมก็อ่าน OSG ไปเรื่อยๆ พร้อมกับทำ Review Questions ท้ายบท ระหว่างนี้ก็หาข้อมูลเกี่ยวกับการสอบ CISSP เพิ่มเติม เข้า r/cissp ใน Reddit เพื่อหาอ่าน success/failure story ดูว่าเค้าใช้ materials อะไรบ้าง เตรียมตัวสอบยังไง คิดว่าพลาดตรงไหน ฯลฯ

หาข้อมูลไปเรื่อยๆ จนมาเจอ Certification Station Discord ได้อ่านคำแนะนำและแนวคิดของ CISSP หลายๆ คนในนั้น เลยเอาข้อมูลที่ได้มา synthesize และ apply เป็นแนวทางของตัวเอง

จริงๆ อยากแชร์แนวคิดนี้กับสมาชิกในกลุ่ม LINE CISSP Candidates ตั้งแต่ก่อนสอบ แต่เนื่องจากมันดูสวนทางกับแนวทางของคนส่วนใหญ่ที่คุยกันในห้อง บวกกับตัวเองก็ยังสอบไม่ผ่าน เลยคิดว่าเงียบๆ ไว้ดีกว่า 🤐

แนวทางที่ผมตั้งใจว่าจะใช้ และทำตามแผนมาตลอดคือ

  • ใช้ OSG เป็น material หลัก แล้วหา material อื่นมาเสริม
  • ใช้ materials ที่หลากหลาย เพื่อให้เห็นมุมมองรอบด้านในแต่ละ topic/process
  • ไม่ใช้ Thor Hard เพราะยากเกินข้อสอบจริง
  • ไม่ใช้ Boson เพราะลงลึกด้านเทคนิคมากไป
  • พยายามทำความเข้าใจทุก step ในแต่ละ process ถ้าเห็นคำถาม ควรจะนึกออกว่าเค้าถาม process อะไร และเรากำลังอยู่ใน step ไหน
  • ถ้าเจอคำถามใน test bank ที่ดูไม่เข้าท่า หรือน่าจะเป็น bad question ก็จะไม่ใส่ใจหรือพยายามทำความเข้าใจกับมันมาก (เสียเวลาและสุขภาพจิต 🙄)

แน่นอนว่าแนวทางนี้ไม่ใช่แนวทางที่ดีที่สุด และแต่ละคนก็มีแนวทางที่เหมาะสมกับตัวเองต่างกันไป สิ่งสำคัญน่าจะเป็นการเข้าใจว่า CISSP ต้องการวัดคุณสมบัติ/ความรู้แบบไหนในตัวผู้สอบ ดังนั้นไม่ว่าใครจะใช้แนวทางไหน ถ้ามันช่วยให้เข้าใจ concept/process ต่างๆ ตามเนื้อหาใน CISSP CBK ก็น่าจะสอบผ่านได้เหมือนกันครับ 💯

NCSA CISSP Exam Bootcamp

ช่วง bootcamp ทาง สกมช. เตรียม question bank ไว้ให้ลองทำในระบบออนไลน์ และมี instuctor มาคอยติวคำถาม-คำตอบให้ในช่วงเวลา 5 วัน ผมไปร่วมแค่ครึ่งเช้าของวันแรก หลังจากนั้นเข้าร่วมทางออนไลน์แทน เหตุผลแรกคือรถติดมาก เหตุผลที่สองคือรู้สึกว่าไม่ค่อยได้ประโยชน์เท่าไร ขอให้ feedback ตามนี้ครับ

ระบบ question bank (ที่น่าจะเป็นคำถามของ Boson) ผมว่าสามารถปรับปรุงให้ดีกว่านี้ โดยการใส่คำอธิบายคำตอบลงไปด้วย ไม่ใช่แค่เฉลย A, B, C, D เพราะที่คนนิยมใช้ Boson กัน ส่วนหนึ่งเป็นเพราะมีคำอธิบายละเอียด สามารถใช้เพื่อเรียนหรือทบทวนเนื้อหาไปในตัว ไม่ได้ใช้เพื่อวัดความรู้เท่านั้น อันนี้ผมลองเข้าไปทำข้อสอบรอบนึง แล้วไม่ใช้อีกเลย

ผมมองว่าสิ่งสำคัญในการสอบ CISSP คือการรู้ว่าทำไมคำตอบนี้ถูก หรือทำไมคำตอบนี้ผิด ไม่ใช่การรู้ว่า คำถามข้อนี้ตอบ A หรือ B ดังนั้นควรมีคำอธิบายประกอบในทุกๆ คำถาม

bootcamp ตะลุยข้อสอบ เข้าใจว่ารูปแบบก็คงเป็นได้ประมาณนั้น คือเอาข้อสอบมาให้ดูเยอะๆ แล้วก็เฉลย/อธิบายกันไป โดยส่วนตัวไม่แน่ใจว่า 5 วันนี่นานไปไหม แต่มีข้อเสนอแนะนิดหน่อยคือ คำถามใน bootcamp ไม่ควรเป็นคำถาม definition และไม่ควรแยกติวตาม domain รวมทั้งถ้ามีมากกว่าหนึ่ง source ก็น่าจะดี เพื่อให้เห็นรูปแบบคำถามที่หลากหลาย และถ้าอยากให้ผู้เข้าร่วม bootcamp ได้ฝึกทักษะ/แนวคิด ที่ต้องใช้ในการสอบจริง อาจจะลองคัดเฉพาะคำถามที่เป็นการวิเคราะห์ และต้องใช้ความรู้จากหลายๆ domain และไม่เป็นเชิงเทคนิคมากไป มาถาม–ตอบ หรือวิเคราะห์กัน น่าจะได้ประโยชน์มากขึ้นครับ

Free 1-Up Mushroom!?

เรื่องบังเอิญ(มากกก) อีกอย่างคือ อยู่ดีๆ (ISC)² ก็ประกาศว่า ใครที่ลงทะเบียนและสอบในช่วงตั้งแต่วันที่ 1 ก.ย.-31 ต.ค. 65 แล้วสอบไม่ผ่าน มีสิทธิ์สอบใหม่ได้ฟรี 🤩 โดยจะต้องสอบรอบสองภายในวันที่ 31 ธ.ค. 65 เท่าที่ผมทราบคือ (ISC)² ไม่เคยมีโปรโมชันแบบนี้มาก่อน นี่เป็นครั้งแรก (และหวังว่าจะไม่เป็นครั้งสุดท้าย)

(ISC)² Announces Free Exam Retake

ในขณะเดียวกัน เงื่อนไขการสอบของ สกมช. ระบุว่า ทุกคนต้องลงทะเบียนสอบภายในวันที่ 12 ก.ย.-31 ต.ค. 65 (ยังกับนัดกันมา 😯) แปลว่าทุกคนในโครงการนี้จะเข้าเงื่อนไขได้รับสิทธิ์ free retake โดยอัตโนมัติ แน่นอนว่าถ้าเป็นไปได้ก็ไม่อยากใช้สิทธิ์ เพราะแค่คิดเล่นๆ ว่าต้องเตรียมตัวสอบอีกรอบก็หมดพลังแล้ว แต่ถือว่าโปรโมชันนี้เป็น fallback plan ที่ดีที่สุดที่ผู้เข้าสอบน่าจะอยากได้ และอยู่ดีๆ ก็ได้มาฟรีๆ อีกต่างหาก

Slaying the Beast

หลังจาก bootcamp จบแล้ว ทาง สกมช. จะให้แต่ละคนลงทะเบียนเลือกวันสอบ ผมเลือกวันที่ 10 ต.ค. โดยเหตุผลหลักคือ จะได้สอบวันที่ 10/10 เพราะเลขมันสวยดี 🤣 อาจจะดูสายมูหน่อยๆ แต่ก็คำนวณแล้วว่า ด้วยเวลาที่เหลืออยู่ น่าจะสามารถเตรียมตัวได้ทัน

ในช่วงก่อนถึงวันสอบ CISSP ผมพยายามสร้างความมั่นใจให้ตัวเอง โดยการไปลองสอบ Certified in Cybersecurity (CC) ที่เปิดให้เรียนและสอบฟรีตามโครงการ 1MCC ของ (ISC)² ต่อด้วย CompTIA Security+ ที่ได้สิทธิ์สอบจาก สกมช. ถือเป็นการสร้างความคุ้นเคยกับบรรยากาศของศูนย์สอบไปในตัว ผลที่ได้คือผ่านทั้งคู่ เป็นการลงทุนที่คุ้มค่า เพราะเตรียมตัวสอบทีเดียว ได้ certificate มาสามใบ 555+ 🤪

 
 

สำหรับประสบการณ์การสอบ CISSP และรายการ materials ที่ผมใช้ สามารถดูได้ที่โพสต์ CISSP Exam Preparation Review ครับ

Thank You, NCSA

สุดท้ายนี้ขอขอบคุณ สกมช. ที่ริเริ่มและดำเนินโครงการพัฒนาบุคลากรด้านไซเบอร์อย่างต่อเนื่องครับ ผมชอบคำพูดหนึ่งของพี่อมร (เลขาธิการ สกมช.) มาก เสียดายจำแบบเป๊ะๆ ไม่ได้ แต่อารมณ์ประมาณว่า สกมช. ไม่ได้ทำอะไรมาก แค่เอาคนที่มี potential มารวมๆ กัน แล้วให้โอกาส ส่วนความสำเร็จของโครงการก็ขึ้นอยู่กับทุกคนมากกว่า

เราแค่เปิดประตูให้ แต่ที่ทุกท่านไปถึงเป้าหมาย เพราะความพยายาม ทุ่มเท ของทุกคน

ส่วนตัวผมเองก็สัญญาว่าจะทำตัวให้เป็นประโยชน์ต่อองค์กรและประเทศ ให้สมกับที่ได้รับโอกาสในครั้งนี้ และจะพยายามผลักดันทีมงานในการดูแลและพัฒนาด้าน cybersecurity ต่อไป ขอบคุณครับ 🙂