จะเริ่มต้นยังไงกับการเข้าสู่สายอาชีพของ IT Security ?

หลายๆ ท่านที่สนใจจะทำงานเกี่ยวกับ IT Security คงจะเคยถามคำถามนี้กับตัวเอง (ผมเองก็เช่นเดียวกัน) ว่าเราควรจะเริ่มต้นจากจุดไหนดี เพราะว่ามีเนื้อหาเยอะแยะไปหมดเลย ที่เราควรจะรู้เกี่ยวกับ IT Security ผมเลยได้เขียนออกมาเป็นบทสรุปสั้นๆ สำหรับคนที่อยากจะเริ่มต้นศึกษาหาความรู้เกี่ยวกับ IT Security ว่าสามารถเริ่มต้นได้อย่างไร โดยใช้ประสบการณ์ของผมเอง และคำแนะนำของผู้เชี่ยวชาญต่างๆ

ขั้นแรก เราควรจะเริ่มจากการศึกษาภาพรวมเกี่ยวกับ IT Security โดยการอ่านหนังสือที่ให้ความรู้พื้นฐานในทุกๆ ด้านของ security ยกตัวอย่างเช่น

• Practical Unix and Internet Security, 3rd Edition
• Counter Hack Reloaded, 2nd Edition

แน่นอนครับว่าการอ่านหนังสืออย่างเดียวคงไม่สามารถทำให้เราเก่งได้อย่างแน่นอน ดังนั้น ขั้นตอนต่อไปคือ เราควรจะทำการ set up แล็บของตัวเองขึ้นมา เพื่อที่จะทดลองวิชาต่างๆ ที่ได้อ่านมา ซึ่งในแล็บของเราอย่างน้อยก็ควรที่จะมีเครื่อง Unix/Linux สักหนึ่งหรือสองเครื่อง และก็เครื่อง Windows ซึ่งเครื่องทั้งหมดต้องเชื่อมต่อด้วยกันผ่าน network โดยเราสามารถค้นคว้าหาความรู้ที่จะมาใช้ทดลองในแล็บได้จากเว็บไซด์ต่างๆ ที่เกี่ยวกับ IT Security เช่น

• Foundstone Network Security
• Open Web Application Security Project (OWASP)
• SecurityFocus

ส่วนตัวอย่างหนังสือที่เราสามารถใช้ได้ในแล็บ ก็จะเป็นหนังสือในซีรี่ย์ของ Hacking Exposed ซึ่งจะอธิบายขั้นตอนและวิธีการต่างๆ ในการทดสอบ IT Security และก็ลองดาวโหลด tools ต่างๆ จากเว็บไซด์ Top 100 Network Security Tools (http://sectools.org/) แล้วลองเล่นแต่ละตัวในแล็บดู เพื่อที่จะศึกษาว่าแต่ละตัวทำงานยังไงและเราควรจะใช้ tool แต่ละตัวในสถานการณ์แบบไหนและเพื่อจุดประสงค์อะไร

หลังจากที่เราได้ศึกษาเรียนรู้เกี่ยวกับ IT Security ในด้านต่างๆ แล้ว เราก็ควรที่จะคอยอัพเดทความรู้ของเราอย่างสม่ำเสมอ โดยการอ่านบทความต่างๆ ในเว็บไซด์ที่เกี่ยวข้องกับ IT Security เช่น SecurityFocus หรือ subscribe ไปยัง security mailing lists ที่เราสนใจ โดยเฉพาะ mailing list ของ Bugtraq ที่จะคอยบอกเกี่ยวกับช่องโหว่ใหม่ๆ ที่ถูกค้นพบในซอฟแวร์ต่างๆ ซึ่งจะทำให้เราสามารถหา patch มาลงเพื่อปิดช่องโหว่ได้อย่างรวดเร็ว

ขั้นตอนสุดท้ายของเส้นทางไปสู่สายอาชีพ IT Security ก็คือ ลองไปสอบ certification ต่างๆ ที่เกี่ยวข้องกับ IT Security ดู (เช่น CISSP, CISA, CISM และ CEH เป็นต้น) เพื่อที่ว่าเราจะได้สามารถเอา certification เหล่านี้มาใช้ช่วยเราในการสมัครหางานได้ง่ายขึ้น และบางทีก็อาจจะใช้ในการต่อรองเรื่องเงินเดือนได้ด้วย และถ้าเราอยากจะสร้างชื่อเสียงในวงการ IT Security แล้วละก็ ให้ลองเข้าไปสมัครเป็นสมาชิกของ security community กับเว็บไซด์ที่เราสนใจ เพื่อที่จะได้ช่วยแบ่งปันความรู้และช่วยเหลือคนอื่น และถ้าท่านไหนที่มีความสามารถด้าน programming ก็ลองเขียน security tool ขึ้นมาเองดู ยิ่งจะเป็นการทำให้เราได้เรียนรู้เกี่ยวกับ security มากยิ่งขึ้น

ผมหวังว่าบทสรุปของผมจะสามารถช่วยตอบคำถามที่มีอยู่ในใจของหลายท่านๆ เกี่ยวกับการเริ่มต้นในสายอาชีพด้าน IT Security ได้บ้างนะครับ ถ้าท่านใดมีคำถามล่ะก็ อีเมล์มาหาผมได้เลยนะครับ ที่ andrew.thana [at] gmail.com