สะวีดัด สวัสดีครับผู้อ่านทุกคน สำหรับบทความในวันนี้ผมมาแนะนำการเรียนรู้ด้าน Blue Team ขั้นพื้นฐานสำหรับผู้ที่ต้องการเรียนรู้ รวมถึงแนะนำ Lab ที่น่าเล่นของชาว Blue Team เพื่อฝึกฝนให้เป็นชาว Blue Team ที่แข็งแกร่ง!!!
ซึ่งถึงแม้ว่าทาง Datafarm ของเรา เป็นบริษัทที่ทำ Penetration Testing กับ Red Teaming เป็นหลัก (ฝั่ง Red Team นั่นเอง) แต่ก็ควรที่จะมีความรู้ของฝั่ง Blue Team อยู่บ้าง เพื่อที่จะเข้าใจการป้องกันแบบต่าง ๆ เพื่อพัฒนาการโจมตีแบบใหม่ ๆ และหลบหลีกการตรวจจับ เป็นต้น ซึ่งถ้าเรานั้นมีความรู้ทั้ง Red และ Blue เราอาจจะไปสาย Purple Team ที่เป็นคนที่เป็นตัวกลางคอยประสานงานให้กับทั้งสองทีมก็สามารถทำได้
Blue Team
สำหรับคนที่ไม่รู้ว่า Blue Team คืออะไรนะครับ ผมขออธิบายกันคร่าว ๆ ว่า Blue Team คือทีมที่มีหน้าที่คอยดูแลและทำให้ระบบต่าง ๆ มีความปลอดภัยอยู่เสมอ ๆ ไม่ว่าจะเป็นการค่อยเฝ้าระวัง ตรวจจับภัยคุกคามพร้อมการโต้ตอบกับภัยคุกคามที่เกิดขึ้น ร่วมถึงวิเคราะห์ความเสี่ยงจนลดความเสี่ยงที่อาจจะเกิดขึ้น และอื่น ๆ อีกมากมาย โดยสรุปคือทีมที่ทำให้องค์กรแข็งแกร่งไม่โดนโจมตีได้ง่าย ๆ นั่นเอง
หน้าที่ของ Blue Team
1. ประเมินความเสี่ยง (Risk Assessment)
แน่นอนว่าชาว Blue Team นั้น จะต้องคอยตรวจสอบความเสี่ยงที่อยู่ในองค์กร และประเมินว่าความเสี่ยงไหนที่มีผลกระทบ และมีโอกาสเกิดเป็นอย่างไร ยิ่งมีความเสี่ยงที่สูงก็เป็นสิ่งที่ควรแก้ไขเป็นอันดับแรก ๆ นั่นเอง
2. ตรวจจับ และตอบสนอง (Detection and Response)
สิ่งที่เราได้ยินเกี่ยวกับ Blue Team บ่อย ๆ ก็คือการตรวจสอบ และวิเคราะห์เหตุการณ์ว่ามีการกระทำแปลก ๆ เข้ามาที่เครือข่ายของเราหรือไม่ แล้วถ้าเกิดพบว่ามีการเข้ามาของผู้ไม่หวังดีสามารถเข้าถึงเครือข่ายก็จะต้องตอบสนองต่อเหตุการณ์ที่เกิดขึ้นอย่างไรให้ระบบกลับมาปกติเหมือนเดิมให้เร็วที่สุด
3. ทำให้ระบบปลอดภัยเสมอ (Security Maintenance)
อีกหนึ่งหน้าที่ของชาว Blue Team คือ คอยตรวจสอบระบบ และอุปกรณ์ต่าง ๆ ในองค์กรให้ปลอดภัยอยู่เสมอ หากมีการอัปเดต Security Patch ที่แก้ไขช่องโหว่ร้ายแรงก็ควรที่จะรีบทดสอบว่า Patch มีผลกระทบอะไรหรือไม่ แล้วจึงทำการ Patch อย่างรวดเร็วที่สุด
ตำแหน่งงานสาย Blue Team
Security Operations Center (SOC)
มีหน้าที่คอย Monitoring ตรวจจับภัยคุกคามตลอด 24 ชั่วโมง ทั้ง 7 วัน และทำการตอบสนองต่อเหตุการณ์ภัยคุกคามที่เกิดขึ้น โดยจะทำงานกันเป็นกะ และแบ่งเวลาทำงานกัน
Security Engineer
มีหน้าที่ในการออกแบบและสร้างหรือติดตั้งระบบเครื่องมือและเทคโนโลยีด้านความปลอดภัยเพื่อช่วยในการเพิ่มความปลอดภัยขององค์กร จนถึงการดูแลรักษาระบบความปลอดภัย
นอกจากนี้ยังมีอีกหลากหลายตำแหน่งที่น่าสนใจที่น่าไปไปศึกษาเพิ่มเติม เช่น Digital Forensics and Incident Response (DFIR), Security Architect เป็นต้น
แหล่งเรียนรู้ Blue Team
ในบทความนี้ผมก็มีแหล่งเรียนรู้ Blue Team มาแนะนำ 3 แหล่งด้วยกันครับ
1. Security Blue Team — eLearning Platform
เป็นหนึ่งในแพลตฟอร์มการเรียนรู้ของ Security Blue Team บริษัทฝึกอบรมด้าน Cybersecurity มีการให้เนื้อหาเรียนฟรีในด้าน Blue Team และพื้นฐาน Programming และ Scripts เช่น Introduction to PowerShell Bash Python
ในบทเรียนจะมี Blue Team Junior Analyst Pathway Bundle ที่มีเนื้อหา 6 เรื่อง ได้แก่
- Open-Source Intelligence
- Digital Forensics
- Vulnerability Management
- Darkweb Operations
- Threat Hunting
- Network Analysis
ถ้าสามารถเรียนและตอบคำถามครบกำหนด เราก็จะได้ Blue Team Junior Analyst Pathway Certificate หลังจากเรียนจบมาครอบครองด้วย
สามารถเข้าไปศึกษาเพิ่มเติมได้ที่ https://elearning.securityblue.team/ ครับ
2. TryHackMe
เป็นแพลตฟอร์มการเรียนรู้ที่เหล่า Red Team คงคุ้นเคยกัน แต่ในตอนนี้ TryHackMe ก็มี Learning Paths ที่เกี่ยวข้องกับ Blue Team เพิ่มมากขึ้น ไม่ว่าจะเป็น SOC Level 1, SOC Level 2, DevSecOps และ Security Engineer
โดยเนื้อหาของ SOC Level 1 จะเกี่ยวกับพื้นฐานความรู้ของตำแหน่ง Junior Security Analyst ที่คอย Monitoring event logs กับ alerts ได้แก่
- Cyber Defence Frameworks
- Cyber Threat Intelligence
- Network Security and Traffic Analysis
- Endpoint Security Monitoring
- Security Information and Event Management
- Digital Forensics and Incident Response
- Phishing
ส่วนเนื้อหาของ Security Engineers จะเกี่ยวกับการทำระบบ เครือข่าย และซอฟต์แวร์ให้ปลอดภัย (การทำ Hardening) และจัดการกับภัยคุกคามและความเสี่ยงที่เกิดขึ้นกับองค์กร ได้แก่
- Introduction to Security Engineering
- Threats and Risks
- Network and System Security
- Software Security
- Managing Incidents
สามารถเข้าไปศึกษาเพิ่มเติมได้ที่ https://tryhackme.com/r/hacktivities
3. HTB Academy
อีกหนึ่งแพลตฟอร์มที่เหล่า Red Team คุ้นเคยกันอย่าง HTB Academy ก็มี SOC Analyst มาให้เรียนเช่นเดียวกัน ซึ่งมีเนื้อหาแน่น ๆ เบิ้ม ๆ เลยครับ โดยมีถึง 15 โมดูลแบบจัดเต็ม ตามสไตล์ HTB Academy ได้แก่
- Incident Handling Process
- Security Monitoring & SIEM Fundamentals
- Windows Event Logs & Finding Evil
- Introduction to Threat Hunting & Hunting With Elastic
- Understanding Log Sources & Investigating with Splunk
- Windows Attacks & Defense
- Intro to Network Traffic Analysis
- Intermediate Network Traffic Analysis
- Working with IDS/IPS
- Introduction to Malware Analysis
- JavaScript Deobfuscation
- YARA & Sigma for SOC Analysts
- Introduction to Digital Forensics
- Detecting Windows Attacks with Splunk
- Security Incident Reporting
สามารถเข้าไปศึกษาเพิ่มเติมได้ที่ https://academy.hackthebox.com/paths/jobrole
Lab ของชาว Blue Team
เมื่อเราเริ่มมีความรู้แล้วเราก็ต้องฝึกฝนด้วยการทำ Lab สักหน่อย ผมขอแนะนำ Lab สำหรับ Blue Team กันสักนิดครับ
1. Blue Team Labs Online (BTLO)
เป็นที่ฝึกทำ Lab ของชาว Blue Team ที่เป็นของ Security Blue Team ที่ได้กล่าวไปก่อนหน้านี้ โดยมีหลายหมวดของ Lab และมีบอก Tools ที่ใช้งานในแต่ละข้อ มีทั้งแบบ Free และ Pro ได้แก่
· Incident Response
· Reverse Engineering
· Digital Forensics
· Threat Intelligence
· Security Operations
สามารถเข้าไปศึกษาเพิ่มเติมได้ที่ https://blueteamlabs.online/
2. CyberDefenders Cybersecurity Blue Team Labs & Training
อีกหนึ่งที่ทำ Lab ของชาว Blue Team จาก CyberDefenders ก็มีความคล้ายกับ BTLO ซึ่งแบ่งเป็นหมวด ๆ เหมือนกัน และมีทั้งแบบ Free และ Pro ได้แก่
· Malware Analysis
· Threat Intel
· Network Forensics
· Detection Engineering
· Threat Hunting
· Cloud Forensics
· Endpoint Forensics
สามารถเข้าไปศึกษาเพิ่มเติมได้ที่ https://cyberdefenders.org/blueteam-ctf-challenges/
Certificate สำหรับชาว Blue Team
แน่นอนว่าเมื่อฝึกฝนจนแข็งแกร่งแล้ว ขั้นต่อไปของการท้าทายตัวเองก็คือการไปสอบวัดความรู้เพื่อให้ได้ใบ Certificate มาครอบครอง จะมีเจ้าไหนกันบ้าง ไปเริ่มกันเลยครับ
1. Junior Security Operations Certification (BTL1), Advanced Security Operations Certification (BTL2), Certified Security Operations Manager (CSOM)
Certificate จาก Security Blue Team ที่มีหลายระดับตั้งแต่ Junior ไปถึงขั้น Advance และไปจนถึงขั้น Manager ให้เลือกสอบกันเลยครับ
2. Certified CyberDefender (CCD)
Certificate จาก CyberDefender เจ้าของ Lab ที่ได้กล่าวไปก่อนหน้าก็มี Certificate ของตัวเองด้วยครับ
3. HTB Certified Defensive Security Analyst (HTB CDSA)
ในส่วนของ HTB นั้น ก็มี Certificate สำหรับชาว Blue Team อยู่หนึ่งตัว ซึ่งถือเป็นหนึ่งเดียวจากทั้งหมดครับ
4. OffSec Defense Analyst (OSDA)
แม้แต่เจ้าพ่อ OffSec ของเราก็ได้ทำ Certificate ของชาว Blue Team ของตัวเองด้วย
5. OffSec Threat Hunter (OSTH)
เมื่อไม่นานมานี้ก็ได้ออก Certificate ตัวใหม่อย่าง OSTH (TH-200: Foundational ภาษาไทย) ออกมา ซึ่งเกี่ยวกับการทำ Threat Hunting อีกด้วยครับ
จบไปแล้วครับสำหรับแหล่งการเรียนรู้ของผู้ที่สนใจเป็นชาว Blue Team ผมหวังว่าบทความนี้จะมีประโยชน์ต่อคนที่สนใจด้าน Blue Team นะครับ แต่การเรียนรู้ไม่มีที่สิ้นสุด สำหรับคนที่ทำงานด้าน Red Team ก็สามารถมาลองอะไรใหม่ ๆ ได้เช่นกันนะครับ
References
- https://www.devo.com/threat-hunting-guide/red-team-vs-blue-team/
- https://cyberdefenders.org/blue-team-labs/
- https://blueteamlabs.online/
- https://tryhackme.com/r/hacktivities
- https://academy.hackthebox.com/path/preview/soc-analyst
- https://www.securityblue.team/training/
- https://academy.hackthebox.com/preview/certifications/htb-certified-defensive-security-analyst
- https://www.offsec.com/courses/soc-200
- https:/www.offsec.com/courses/th-200
- https://www.securityblue.team/why-btl1/
- https://cyberdefenders.org/blue-team-training/courses/certified-cyberdefender-certification/
