ยกระดับศักยภาพของทีม IT Security องค์กรด้วย CTF & Cybersecurity Online Platform - SEC Cyber Club Q

บจก.สยามถนัดแฮก
Responsible: Mr. Pichaya Morimoto
Version (Date): 1.0 (2023-09-26)
Confidentiality class: Public
ยกระดับศักยภาพของทีม IT Security
องค์กรด้วย CTF & Cybersecurity
Online Platform
SEC Cyber Club Q

Responsible / Version: Pichaya Morimoto / 1.0 (2023-09-26)
2
# whoami
Pichaya (LongCat) Morimoto
ที่ปรึกษาด้านความมั่นคงปลอดภัยฯ
บริษัท สยามถนัดแฮก จํากัด
ความเชี่ยวชาญ
Penetration Testing (Pentest)
อื่น ๆ
- (อดีต) ผู้ดูแลเพจ สอนแฮกเว็บแบบแมวๆ
- หนึ่งในผู้ดูแลกลุ่ม 2600 Thailand

Disclaimer
3
จุดประสงค์ของ Session นี้เพื่อแบ่งปันความรู้ ทางด ้านความปลอดภัยระบบสารสนเทศ
ไม่สนับสนุนการนําความรู้ทางด ้านความปลอดภัยฯ ไปใช ้ในทางที่ผิดกฎหมายทั้งหมด
ตัวอย่างโค ้ด รูป ช่องโหว่ และการโจมตี ใน Session นี้ เป็นระบบจําลอง สําหรับการเรียนรู้
ไม่ใช่ระบบลูกค ้า และไม่ใช่ระบบที่เปิดใช ้งานจริง

Overview
4
1. ศักยภาพของทีม IT Security องคกร
- BAD (Build, Attack, Defend)
- IT Security Certification
- Learning Pyramid
2. Online Learning Platform
- SecPlayGround
- DropCTF
- BlueTeamLabOnline (BTLO)
- HackTheBox (HTB)
- TryHackMe (THM)
3. TryHackMe Platform
- Room
- Learning Path
- AttackBox & VPN
- Blue Team Rooms
- Intro to Endpoint Security
- Incident Handling with Splunk
- Linux System Hardening
- Sigma
- Yara
- Phishing Prevention

5
BAD (Build, Attack, Defend)
ที่มา: https://danielmiessler.com/study/red-blue-purple-teams/
Red Teams (Offensive Security)
- Penetration Tester
- Red Teamer (Adversary Simulation)
Blue Teams (Defensive Security)
- IT Security Compliance
- Internal Security Team
- IT Security Engineer (SI)
- IT Security Consultant
- Incident Responder
- Security Analyst (SOC)
- Cyber Threat Hunter
- Digital Forensics Examiner
Purple Teams
- Red + Blue

Cybersecurity
Nutritional Facts
6
- Passion
- Determination
- Creativity
- Critical Thinking
- Innovation
- Hard Work
- Sleep
- Caffeine

Challenges in Cybersecurity Talent Acquisition
7
- Everyone is looking for senior IT security staff
- Less open positions for junior IT security staff
- Hire junior IT security staff to do mid-level cybersecurity tasks
e.g.
- 0-year experience
- Penetration Tester
- SOC Tier-1 Analyst
- …
คนที่ไมรู คนที่รู

8
IT Security
Certifications
Common Misconceptions:
- Certification equals expertise
- All certifications are equally valuable
- One-size-fits-all certification
- Certifications guarantee job security
- Certifications are only for beginners
- Recertification is not necessary

Dunning
Kruger
Effect
9
Source: BrandThink
https://www.facebook.com/brandthi
nk.me/posts/2471666556492215/
- Individuals with low ability at a
task tend to overestimate
their ability
- While those with high ability
underestimate their own
competence.

Learning Pyramid
10

ความรู้พื้นฐานสําคัญกว่า “เครื่องมือ”
11
เขียนโปรแกรม ระบบปฏิบัติการ
(Linux/Windows Server)
ระบบเครือขาย
คอมพิวเตอร
IT Security

Platform แนะนําสําหรับการพัฒนาบุคลากร
12
ตัวอยาง Online Learning Platform:
1. SECPlayground (https://www.secplayground.com)
2. DropCTF (https://lab.dropctf.live)
3. BlueTeamLabOnline (https://blueteamlabs.online)
4. Hack The Box (https://www.hackthebox.com)
5. TryHackMe (https://tryhackme.com)
รูปแบบการเรียนรู:
- Lecture (มีคนพูดใหฟง)
- Reading (อานเอง)
- Demonstration (มีคนทําใหดู)
- Practice by Doing (ลองทําเอง)

Gamification
13
User Ranking
Live Feed
Scenario +
Point
Badge

1 - SECPlayground
14
URL:
https://www.secplayground.com
- รองรับ 2 ภาษา
- ภาษาไทย
- ภาษาอังกฤษ
- โจทยนาเชื่อถือ และปลอดภัย
ในระดับหนึ่ง
- มีบทเรียนฟรี และ เสียเงิน

1 - SECPlayground
15
ฟรี:
- เลนได 2 คอรส
- 23 โจทย Playground
- 11 โจทย OWASP Top 10 2017
Basic คนทั่วไป:
- + 20 คอรส
- 1 เดือน / 1000 บาท
- 1 ป / 4600 บาท
Basic Corp:
- + 20 คอรส
- 1 ป / 15000 บาท
Enterprise:
- On Call
ขอสังเกต: แลป (ฟรี) ที่ลองเลนติดปญหา,
IP ของแลปติด Phishing List ของ Chrome

2 - DropCTF
16
URL: https://lab.dropctf.live
- รองรับ
- ภาษาไทย
- โจทยนาเชื่อถือ และปลอดภัย
ในระดับหนึ่ง
- มีบทเรียนฟรี และ เสียเงิน
- โจทยแบบ
- Interactive Lab
- Challenge

2 - DropCTF
17
URL: https://lab.dropctf.live
- Package
- ฟรี มีแตแลป
- แลป + คอรส
- 450 บาท / เดือน
- 3999 บาท / ป
ขอสังเกต: จํานวนไมชัดเจนวามี
อะไรเพิ่มมาบาง หลังชําระเงิน,
โจทย (ฟรี) หลาย ๆ ขอคําถามไม
ชัดเจน อาจจะตองเดารูปแบบคํา
ตอบหลาย ๆ ครั้ง

2 - DropCTF
18
โจทยแบบ Challenge

2 - DropCTF
19
โจทยแบบ Interactive Lab

3 - Blue Team Lab Online (BTLO)
20
URL: https://blueteamlabs.online
- Interactive lab
- เนน Blue Team
- Threat Hunting
- Digital Forensics
- รองรับ ภาษาอังกฤษ
- นาเชื่อถือ เปนที่รูจักระดับสากล
- โจทยแบบ
- Investigation Lab
- Challenge
- มีโจทยฟรี และ เสียเงิน

21
ฟรี:
- เลนไดแต Challenge
- Investigation มีฟรี 2 Lab
(ลองเลนได 4 ชั่วโมง)
Pro:
- Investigation Lab ทั้งหมด
- 1 เดือน / 600 บาท
- 1 ป / 5500 บาท

22
หมวด:

23

24

25

26
โจทยแบบ Investigation
URL: https://blueteamlabs.online

27
โจทยแบบ Investigation

ข้อควรระวัง 1: วิเคราะห์ไฟล์มัลแวร์
28
ไฟลติดรหัสผาน (infected) มีคําเตือนใหวิเคราะหใน VM
ที่สรางมาเพื่อวิเคราะหเทานั้น
ขอสังเกต:
- ตองระวัง การ
วิเคราะหมัลแวร ในเครื่อง
VM
- โปรแกรม Forensics สวน
มากออกแบบมาใชบน
Windows x86, x64
Apple Silicon อาจทําไมได

Offline Malware Sandbox
29
- VirtualBox (Free)
- VMWare (Free,
Commercial)
ที่มา: https://www.docker.com/blog/containers-and-vms-together/

Online Malware Sandbox
30
https://www.virustotal.com https://app.any.run

ข้อควรระวัง 2: User-Generated Content
31
เจาของ Platform สราง
โจทยเอง (Official)
ผูใชงาน (Community)
ชวยกันสรางโจทย
Unofficial Writeup

4 - Hack The Box
32
- จําลองการโจมตีระบบ
ที่มีชองโหว เรียกวา Box
- เนนสําหรับ Red Team
- รองรับ ภาษาอังกฤษ
- เริ่มตั้งแตการหาชองโหว
ไปจนถึงการลงมือโจมตี
แยกยอยออกเปน:
- HTB Machine
- HTB Pro Labs
- HTB Challenges
- HTB Academy
- HTB PwnBox

4 - Hack The Box
33
HTB Machine
- ไมมีเนื้อหาใหเรียน
- มีแตแลปใหลองแฮก
- เปนระบบที่มีชองโหว
- ใหลองแฮกเขาไป
- สิทธิ์ตํ่า
(user.txt)
- สิทธิ์สูง
(root.txt)
- สามารถเลือกไดระหวาง
- Adventure mode
- Guided mode

Adventure Mode ของ Hack The Box
34
เปนการจําลองสถานการณโจมตีจริง
ใหมาแค IP Address ของเปาหมายที่ตองโจมตี
ที่เหลือตองวิเคราะหและโจมตีดวยตัวเอง

Guided Mode ของ Hack The Box
35
มีคําถามใหเราคอย ๆ หาคําตอบไปทีละขั้น
เชน ขอแรกถามเกี่ยวกับ FTP ทําใหรูวา
ควรตรวจสอบ FTP Service ที่รันอยูบนเครื่องเปาหมาย

Guided Mode ของ Hack The Box
36
เมื่อตรวจสอบ FTP Service จึงพบวามีชองโหวอยู
ทําใหใน Guided Mode เราสามารถเรียนรูการโจมตีในแตละขั้นได

HTB Academy
37
- คอรสเรียนพรอม Lab
- อธิบายแบบ Step-by-step
เหมาะกับการเรียนรู
- มีทั้งคอรสฝง Red Team และ
Blue Team
- เลือกเรียนตาม Path ที่สนใจ
หรือเลือกเรียนทีละหัวขอได
- มีทั้งแบบฟรีและแบบที่ตอง
เสียเงินซื้อจากการเติม Cube
- เนื้อหาละเอียด

ตัวอย่าง Module ใน HTB Academy
38
สารบัญของ Module ที่เรียนอยู
เนื้อหาแบงเปนสัดสวนชัดเจน

39
มีภาพประกอบชวยใหเขาใจงาย

40
มีคําถามทายบท ซึ่งอาจตองหาคําตอบจาก
การทํา Lab (ลงมือปฏิบัติจริง)

PwnBox ของ Hack The Box และ HTB Academy
41
ทํา Lab ผานหนาเว็บไดเลย
ไมตอง ติดตั้งบนเครื่องผูใชงาน
เปน VM ที่มีโปรแกรมตาง ๆ
ติดตั้งไวใหพรอมใชงาน
ปลอดภัยเพราะไมตองเปดไฟลหรือ
โปรแกรมบนเครื่องตัวเอง

4 - TryHackMe
42
- คอรสเรียนพรอม Lab
- อธิบายแบบ Step-by-step
เหมาะกับการเรียนรู
- มีทั้งคอรสฝง Red Team และ
Blue Team
- เลือกเรียนตาม Path ที่สนใจ
หรือเลือกเรียนทีละหัวขอได
- มีทั้งแบบฟรีและแบบที่ตอง
สมัคร Premium
- คอรสเรียนหลากหลาย

ตัวอย่างห้องใน TryHackMe
43
ในแตละหองจะไดเรียนทีละ Task

44
คําถามในแตละ Step มีหลายรูปแบบ ไดแก
- ทําความเขาใจเนื้อหา แลวตอบคําถาม
- ทําความเขาใจเนื้อหา แลวหาคําตอบจากไฟลที่กําหนดให
- ทําความเขาใจเนื้อหา แลวหาคําตอบจากระบบ Interactive ผานหนาเว็บ
- ทําความเขาใจเนื้อหา แลวหาคําตอบจากการทํา Lab ผาน VPN หรือ AttackBox

45
เรียนเนื้อหา
ตอบคําถามตาม
ความเขาใจ
ทําความเขาใจเนื้อหาแลวตอบคําถาม

46
ดาวนโหลดไฟลที่
เกี่ยวของเพื่อหา
คําตอบ
ทําความเขาใจเนื้อหาแลวหาคําตอบ
จากไฟลที่กําหนดให

47
ระบบ Interactive
จากระบบ Interactive บนหนาเว็บ

48
ที่มา: https://tryhackme.com/room/introtosiem (ฟรี)

49
ที่มา: https://tryhackme.com/room/introtosiem (ฟรี)

50
เรียนเนื้อหากอนเริ่มทํา Lab
“Start Machine”
สําหรับทํา Lab
ตอบคําถามใหถูกกอน
จะผานไป Task ถัดไป
ทําความเขาใจเนื้อหาแลวหาคําตอบจากการทํา Lab

ตัวอย่าง Learning Path ใน TryHackMe
51

AttackBox ของ TryHackMe
52
ทํา Lab ผานหนาเว็บไดเลย
ไมตอง Setup เครื่องตัวเอง
เปน VM ที่มีโปรแกรมตาง ๆ
ติดตั้งเอาไวใหพรอม
ปลอดภัยเพราะไมตองเปดไฟลหรือ
โปรแกรมบนเครื่องตัวเอง

AttackBox ของ TryHackMe
53
สามารถเปดไดจากในหองเลย

การเชื่อม VPN ในกรณีไม่ใช้ AttackBox
54
สามารถใชโปรแกรม OpenVPN เพื่อเชื่อมตอกับระบบของ TryHackMe เขาไปทํา lab ได
โดยตองติดตั้งโปรแกรม OpenVPN กอน สามารถดาวนโหลดไดจาก https://openvpn.net/client/

55
จากนั้นเขาไปดาวนโหลดไฟลตั้งคาที่ใชสําหรับการเชื่อมตอ VPN ที่ https://tryhackme.com/access

56
เมื่อติดตั้งโปรแกรมเสร็จ ใหเปดโปรแกรมขึ้นมาและไปที่ System Tray (มุมลางขวา)
ไปที่ Import > Import file และเลือกไฟลตั้งคาที่ดาวนโหลดมา ก็จะสามารถเชื่อม VPN ของ TryHackMe ได

เปรียบเทียบ TryHackMe แบบฟรีและ Premium
57
ที่มา: https://tryhackme.com/why-subscribe
ฟรี 495 หอง
Premium 213 หอง
แตหอง Premium จะมีเนื้อหา
ที่ละเอียดและครบถวนกวา

แนะนําห้อง TryHackMe ที่น่าสนใจ
58
Red Team
- Red Team Fundamentals (ฟรี)
- Red Team Recon (ฟรี)
- Bypassing UAC (ฟรี)
- Lateral Movement and Pivoting (Premium)
- Active Directory Basics (ฟรี)
- Credentials Harvesting (Premium)
Blue Team
- Incident handling with Splunk (Premium)
- Linux System Hardening (Premium)
- Sigma (Premium)
- Yara (Premium)
- Intro to Endpoint Security (ฟรี)
- Phishing Prevention (Premium)

Linux System Hardening
59
ที่มา: https://tryhackme.com/room/linuxsystemhardening (Premium)

Linux System Hardening
60
การทํา Hardening คือการตั้งคาหรือติดตั้งการปองกันตาง ๆ บนระบบเพื่อ
ลด Attack Surface และความเสี่ยงที่จะถูกโจมตี
- Physical Security
- Filesystem Encryption
- Firewall
- Remote Access
- User Accounts
- Software and Services
- Update and Upgrade Policies
- Audit and Log Configuration
ที่มา: https://tryhackme.com/room/linuxsystemhardening (Premium)

Intro to Endpoint Security
61
ที่มา: https://tryhackme.com/room/introtoendpointsecurity (ฟรี)

Incident Handling with Splunk
62
ที่มา: https://tryhackme.com/room/splunk201 (Premium)

Incident Handling with Splunk
63
ที่มา: https://tryhackme.com/room/splunk201 (Premium)
จําลองสถานการณรับมือกับ incident ที่เกิดขึ้นดวย Splunk
- ภาพรวมการทํา incident handling
- วิเคราะหการโจมตีที่เกิดขึ้นในขั้นตอนตาง ๆ
- Reconnaissance
- Weaponization
- Delivery
- Exploitation
- Installation
- Command & Control
- Action on Objectives

Sigma
64
Sigma คือ ภาษา Signature สําหรับตรวจสอบหาการโจมตีในไฟล Log
- Syntax ของภาษา Sigma
- แนวทางในการเขียน Sigma rule
- วิธีแปลง Sigma rule ไปใชใน SIEM
- ฝกเขียน Sigma rule เพื่อตรวจสอบ log
ที่มา: https://tryhackme.com/room/sigma (Premium)

Sigma
65
ที่มา: https://tryhackme.com/room/sigma (Premium)

Yara
66
Yara คือ Rule สําหรับตรวจสอบหา pattern ของไฟลที่อาจจะเปน malware
- Syntax ของ Yara rule
- การเขียน Yara rule แบบตาง ๆ
- Module และ tool ตาง ๆ ที่ใชรวมกับ Yara
ที่มา: https://tryhackme.com/room/yara (Premium)

Yara
67
ที่มา: https://tryhackme.com/room/yara (Premium)

Phishing Prevention
68
ที่มา: https://tryhackme.com/room/phishingemails4gkxh (Premium)

Key Takeaway
69
- Learning Platform มีเยอะ แตละที่โจทย เยอะ-
นอย แตกตางกัน, ราคา ถูก-แพง แตกตางกัน
- แตเวลา เรียนรูเรามีจํากัด
- ควรทดลองหลาย ๆ Platform แลวหาอันที่มองวา
เหมาะกับตนเอง และคุมคาที่จะใชเวลากับมัน
- ระวังความเสี่ยงจากการดาวนโหลดไฟลที่อาจ
อันตรายจาก Learning Platform ตาง ๆ

Questions are
engouraged!
For business inquiry:
pentest@sth.sh

ยกระดับศักยภาพของทีม IT Security องค์กรด้วย CTF & Cybersecurity Online Platform - SEC Cyber Club Q

Recommended

Recommended

More Related Content

More from Pichaya Morimoto

More from Pichaya Morimoto (10)

ยกระดับศักยภาพของทีม IT Security องค์กรด้วย CTF & Cybersecurity Online Platform - SEC Cyber Club Q