Penetration Testing + Interest = Penetrest (My Journey)

ว่างจากอ่าน web app security ก็กลับมาต่อในตอนที่ 2 กัน   5.  Communications and operations management   แผนก Network จะมีงานในส่วนนี้เยอะเลยเพราะมันเป็นงาน operation ที่ต้องทำทุกวัน รวมถึงการที่เรามีการ implement process บางอย่างขึ้นมาเพื่อ control งาน operation อีกที เช่น การทำ patch management, hardening เพื่อให้อุปกรณ์เครือข่ายทั้งหมดมีความปลอดภัยเพียงพอ รวมถึงการ backup configuration ของอุปกรณ์ไว้ในกรณีฉุกเฉินด้วย ซึ่งผมจะเล่าการทำ patch management และ hardening ไปขยายรายละเอียดในอีกบทนึงต่อไปนะครับ 6.  Access control   - งานในส่วนนี้ก็จะเกี่ยวกับเรื่อง user management ซึ่งต้องคอยจัดเก็บและจัดการ user ของบุคลากรที่จะเข้าใช้ระบบ อุปกรณ์ต่างๆ โดยที่นี่จะมีการ validate user ของพนักงานทุกๆ 3 เดือน แต่เรื่องจุกจิก และยุ่งยากก็จะเกิดขึ้นเมื่ออุปกรณ์ network มีเป็นพัน เป็นหมื่นนี่ละ เพราะอุปกรณ์ของลูกค้าที่เรา provide service ให้นั้นในแต่ละ zone ก็จะมี user แตกต่างกัน และสิทธิ์ไม่เท่ากัน บางทีอยู่ใน zone เดียวกัน แต่สิทธิ์ไม่เท่ากันก็มี ความยุ่งยากบังเกิดเลยตรงนี้ ค

Post นี้เขียนเรื่องงานที่ที่เกี่ยวกับ security ในอีกมุม คือด้าน policy and management ซึ่งเป็นประสบการณ์การทำงานและสิ่งที่เคยสัมผัสสมัยตอนที่ทำงานอยู่ที่บริษัทใหญ่แห่งนึง ในประเทศไทย เป็นระยะเวลา 4 ปีกว่า (ไม่ได้เขียนครอบคลุมเรื่อง ISO27001 ทั้งหมดนะครับ จะเขียนเฉพาะที่เกี่ยวกับงานในแผนกที่เคยทำโยงกับ ISO27001 เพื่อให้เห็นภาพว่างานเกี่ยวข้องยังไง) เกี่ยวกับงานที่จะเล่า              ณ ตอนนั้น เป็นพนักงานประจำ แต่ถูกส่งไปปฏิบัติงานเป็น outsource ให้แบงค์ใหญ่อันดับต้นๆ ถึง 2 แบงค์ โดยที่เ ป็น Security consult ของแผนก Network อธิบายนิดนึงคือทางบริษัทผม ให้ชื่อว่า บริษัท A จะมีพนักงานที่ไปประจำลูกค้าแต่ละแห่งแบ่งเป็นแผนก เช่น ทำ Server, Network, Application และอื่นๆ ซึ่งแต่ละทีมก็จะต้องรับผิดชอบหน้า เช่น Network ก็ดูแลอุปกรณ์ network cisco, hp, checkpoint, etc. ทั้งหมด ถ้าเป็น Server ก็จะดูเครื่อง Server Windows, Linux, Unix ประมาณนี้ ทีนี้หน้าที่อีกอย่างนึงของพนักงาน ก็คือต้องส่งมอบงานทั้งหมดตามมาตรฐานของ ISO27001 แต่ในบริษัทเองจะเลี่ยงไม่ใช้คำว่า ISO27001 นะ จะเรียกว่าเป็น securit

เนื้อหาภาษาไทยสามารถดูได้ด้านล่างนะครับ About me I would like to tell you before that my english writing skill is not good, ^^", but I will try . I was Network Engineer and System Engineer with 10 years working experience and have CCNP, CCNP Security, CCDP, ITIL, MCP and I have experience in ISO27001 for 4 years. Right now I move to be a Penetration Tester in new company for 6 months. Inspiration Actually before getting a new job as pentester I would like to take CEH or ECSA certificate. But after do a new job, my three colleagues have OSCP and they are my model. All of them have an awesome skill. Then I try to find more information about OSCP and found that OSCP is very difficult to pass, no exam dump, no one answer you. Although I have a few experience on hacking but I think I can try and TRY HARDER. OSCP Course There are two course manual, pdf and video that are dependent. After I got them I tried to read from PDF only but not enough, many technics ar

  * ตั้งใจเขียนทั้งสองภาษาเพราะอยากฝึกภาษาอังกฤษด้วยครับ ถ้าใครเก่งภาษาอังกฤษ แนะนำเรื่อง grammar ได้นะครับ อ่านภาษาไทยได้ด้านล่างเลยครับ Penetrest  --> come from Penetrate + Interest I write this blog because I always forget some technique, how to, or knowledge and try to write about basic things when you work as penetration tester to help you more easy to begin. I write how to fix problem that I found in my penetration life. Hope it useful. I have working experience in system + network for 10 years,defensive sec, sec policy for 4 years and offensive sec just 1 year. About Me Former --> Network Security and System Engineer.              --> IT Security Consultant and Focal point for Network dept in IBM.  Currently --> I work as Penetration Tester in Thailand. Valid Certificates --> OSCP, ITILv3, CCNP Sec, CCNP r&s, CCDP, MCTS About content I intend to write with easy to understand about - Some part from ISO27001 - Penetration Testing and H