![acis_logo](https://i1.wp.com/www.techtalkthai.com/wp-content/uploads/2016/03/acis_logo.png?resize=155%2C50&ssl=1)
พอดีหนึ่งในทีมงาน TechTalkThai ได้มีโอกาสไปเข้าคอร์สอบรม Advanced Pentration Tester ของทาง ACIS Professional บริษัทที่ปรึกษาและศูนย์อบรมชื่อดังด้าน Security ของประเทศไทย เลยถือโอกาสเขียนรีวิวการเรียนการสอน เผื่อใครสนใจทางด้าน Ethical Hacking หรือต้องการมาสายทำ Penetration Testing และกำลังหาคอร์สอบรมภาษาไทยลงเรียนอยู่ จะได้เห็นภาพชัดๆ ขึ้นครับว่า คอร์ส Pen Test เหล่านี้เรียนอะไรกันบ้าง คุ้มค่าที่ลงเรียนไหม และจบคอร์สแล้วจะแฮ็ค เอ้ย ตรวจสอบช่องโหว่ของระบบเป็นไหม
แนะนำเบื้องต้นกันก่อน
Ethical Hacking หรือการแฮ็คอย่างมีจริยธรรม ต่างจากการแฮ็คทั่วไปที่เราเห็นในข่าว คือเป็นการแฮ็คเพื่อค้นหาช่องโหว่หรือจุดอ่อนของระบบ จากนั้นทำการแจ้งผลลัพธ์ให้กับทางเจ้าของระบบรับทราบโดยไม่ทำอันตรายใดๆต่อระบบ การทำ Penetration Testing (Pen Test) ถือว่าเป็นบริการรูปแบบหนึ่งของ Ethical Hacking คือ Pen Tester จะต้องตกลงกับเจ้าของระบบถึงขอบเขตในการค้นหาช่องโหว่ก่อน แล้วค่อยเริ่มทำการเจาะระบบว่ามีช่องโหว่อยู่จริงพร้อมแสดงหลักฐานและให้คำแนะนำในการอุดช่องโหว่
![acis_training_4](https://i0.wp.com/www.techtalkthai.com/wp-content/uploads/2016/03/acis_training_4.jpg?resize=495%2C329&ssl=1)
เกี่ยวกับคอร์ส Advanced Penetration Testing
ถึงแม้ว่าจะชื่อ Advanced แต่ที่จริงหลักสูตรนี้ก็คือการสอนทำ Pen Test เบื้องต้นโดยอาศัย Tools ต่างๆ เข้ามาช่วยเหลือ คอร์สอบรมจะแบ่งเนื้อหาออกเป็น 2 ส่วน คือ ภาคทฤษฎี และภาคปฏิบัติ เป็นระยะเวลา 5 วันเต็ม สอนโดยทีมงาน ACIS ที่มีประสบการณ์ในการเจาะระบบจริง และมี Certificate รับรองความสามารถ เช่น CISSP, C|EH, CompTIA Security+ เป็นต้น และเมื่อเรียนจบแล้วก็มี Certificate of Completion แจกให้
1. เนื้อหาของคอร์สอบรม
เนื้อหาทางทฤษฎีถือว่าเตรียมมาได้เป็นอย่างดี เรียงลำดับให้เข้าใจได้ง่าย สอนในระดับที่คนที่ไม่ค่อยคุ้นเคยทางด้าน Security มากนัก (แต่มีความรู้พื้นฐานมาบ้าง) ก็สามารถเข้าใจได้ไม่ยาก เนื้อหาครอบคลุมตั้งแต่แนวคิดพื้นฐานด้าน Cyber Security, ภัยคุกคามรูปแบบต่างๆ, เครื่องมือที่ใช้ในการค้นหาช่องโหว่และเจาะระบบ พร้อมทั้งแนะนำว่า Tools ที่ใช้ในชีวิตจริงและเป็นที่นิยมมีอะไรบ้าง ข้อดีข้อเสียเป็นอย่างไร รวมไปถึงวิธีจัดทำรายงานเพื่อนำเสนอต่อผู้ที่เกี่ยวข้อง นอกจากนี้ยังมีการอัพเดทเนื้อหาให้ล่าสุดอย่าง Unknown Threats และ Advanced Persistent Threats เข้าไปด้วย แต่จะไม่ครอบคลุมเนื้อหาของ C|EH ทั้งหมด เพราะเน้นที่การนำไปใช้งานจริงมากกว่าการสอบเอา Certificate
เนื้อหา 4 วันแรกจะถูกแบ่งออกเป็น 5 ขั้นตอนตามที่แฮ็คเกอร์นิยมใช้ คือ Reconnaissance, Scanning, Gaining Access, Maintain Access และ Covering Track แต่จะเน้นที่ 3 ขั้นตอนแรกเพราะการทำ Pen Test ไม่จำเป็นต้องทำ Maintain Access และ Covering Track
เนื้อหาหลักจะเริ่มต้นที่วิธีการค้นหาเป้าหมาย ตรวจสอบรายละเอียดของอุปกรณ์หรือบริการที่ต้องการทดสอบ จากนั้นจะทำการค้นหาช่องโหว่ และทดลองเจาะช่องโหว่เพื่อยืนยันว่าสามารถโจมตีผ่านช่องโหว่ดังกล่าวได้จริง ไม่ใช่ False Positive และในวันที่ 5 จะเน้นที่การเจาะระบบเครือข่ายไร้สายและระบบเว็บแอพพลิเคชัน
โดยรวมแล้วถือว่าลำดับเนื้อหาดีมาก ได้ 5/5 คะแนน
![acis_training_1](https://i0.wp.com/www.techtalkthai.com/wp-content/uploads/2016/03/acis_training_1.jpg?resize=495%2C329&ssl=1)
2. การทำแล็บ
คอร์สอบรมจะเรียนสลับเนื้อหาทางทฤษฎีกับการทำแล็บ โดยส่วนใหญ่จะเป็นเนื้อตอนเช้า และทำแล็บตอนบ่าย แล็บถูกจัดเตรียมให้ตรงกับเนื้อหาที่สอน (5 ขั้นตอน + Wireless + Web) โดยรวมถือว่าอยู่ในเกณฑ์ที่ดี แต่เอกสารคู่มือแล็บนั้นบางส่วนเขียนไม่ค่อยละเอียด ส่งผลให้วิทยากรต้องคอยอธิบายเพิ่มเติม บางขั้นตอนที่สำคัญมากๆ เช่น การใช้ Metasploit เจาะระบบหรือการทำ Pen Test เว็บแอพพลิเคชันกลับไม่มีเขียนในคู่มือแล็บ แต่เป็นการทำไปพร้อมกับวิทยากร ซึ่งวิทยากรจะส่งคำสั่งและคำอธิบายเล็กน้อยมาให้เพิ่มเติมในภายหลัง
แล็บทำผ่านคอมพิวเตอร์ของ ACIS ซึ่งเป็น Ubuntu มีการติดตั้งโปรแกรม VirtualBox เพื่อรันเครื่องมือที่ใช้ทดสอบ เช่น Kali Linux, Metasploitable (Linux ที่มีช่องโหว่) และ Windows เวอร์ชันต่างๆ เครื่องมือและแอพพลิเคชันอื่นๆ ที่ใช้ทดสอบเจาะระบบจะถูกเตรียมไว้ผ่าน File Sharing เรียบร้อย ผู้เรียนสามารถนำทุกอย่างกลับบ้านได้ อย่างไรก็ตาม การเรียนครั้งนี้เป็นครั้งแรกหลังจากปรับหลักสูตรและแก้ไขระบบคอมพิวเตอร์ไปเป็น Open Source เพื่อแก้ปัญหาเรื่องลิขสิทธิ์ซอฟต์แวร์ ทำให้การทำแล็บไม่ราบรื่นเท่าที่ควร และ VirtualBox มักมีปัญหายิบย่อยบ่อยๆ ซึ่งทางวิทยากรและผู้ช่วยก็ได้ทราบเรื่องและพยายามแก้ไขปัญหาให้ทุกคนสามารถทำแล็บต่อไปได้ คาดว่าคอร์สอบรมครั้งถัดไปจะแก้ปัญหาเหล่านี้ได้เรียบร้อย
เนื้อหาการทำแล็บถือว่าดีมาก แต่ยังมีปัญหาเรื่องเอกสารคู่มือแล็บและระบบคอมพิวเตอร์ที่ใช้ ให้ 3.5/5 คะแนน
3. วิทยากร
ความรู้และความสามารถของวิทยากรอยู่ในระดับดีมาก ถามอะไรตอบได้ วิทยากรเป็นผู้เชี่ยวชาญด้านการทำ Pen Test ของ ACIS และมี Certificate การันตีความสามารถ เช่น CISSP, C|EH, GCIH, GCFA, E|CSA, COmpTIA Security+ และอื่นๆ เทคนิคการสอนและการนำเสนออยู่ในเกณฑ์ดี อธิบายเข้าใจง่าย ไม่น่าเบื่อ รวมทั้งมีความใส่ใจ ให้คำแนะนำ และให้ความรู้แบบไม่มีกั๊ก บรรยากาศการสอนเป็นกันเอง แต่บางครั้งขณะทำแล็บ วิทยากรมีหายตัวไปจากห้องบ้างเป็นครั้งคราว คาดว่าติดภารกิจเร่งด่วน จึงทำให้การทำแล็บกระตุกเล็กน้อย
แฮปปี้กับวิทยากรครับ ติดประเด็นเรื่องชอบหายตัวนิดหน่อย ให้ 4.5/5 คะแนน
![acis_training_2](https://i2.wp.com/www.techtalkthai.com/wp-content/uploads/2016/03/acis_training_2.jpg?resize=495%2C329&ssl=1)
4. ราคา
คอร์สอบรมราคา 27,900 บาท (ไม่รวม VAT 7%) เทียบกับคอร์สออนไลน์ภาษาไทยใน Udemy แพงกว่าหลายเท่าตัว แต่ชั่วโมงเรียนเทียบกันแล้วถือว่าเยอะกว่ามาก ที่สำคัญคือสามารถสอบถามวิทยากรเมื่อไม่เข้าใจหรือต้องการทราบข้อมูลเพิ่มเติมได้ทันที นอกจากนี้ยังสามารถกลับไปเรียนได้ฟรี 1 ครั้งภายในระยะเวลา 1 ปี
เทียบกับราคาของสถาบันอื่นคงเทียบได้ยาก เนื่องจากไม่ค่อยเจอคอร์สสอน Pen Test เชิงปฏิบัติอย่างจริงจัง ส่วนใหญ่มักจะเน้นไปเฉพาะด้าน เช่น Web Application Pen Test หรือไม่ก็เป็นการสอนเพื่อเตรียมสอบ C|EH (Certified Ethical Hacking) ไปเลย
โดยส่วนตัวแล้ว ถือว่าความรู้ที่ได้มาคุ้มค่ากับเม็ดเงินที่จ่ายไป ให้ 4/5 คะแนน
5. ความสะดวกสบาย
ขอแบ่งออกเป็น 4 ประเด็นย่อย ดังนี้
- สถานที่: อบรมแถวซอยหลังสวน ใจกลางเมือง เดินทางง่ายโดยรถไฟฟ้า BTS
- ห้องอบรม: ไม่กว้างหรือเล็กไป นั่งสบายๆ ยืดแข้งยืดขาได้เล็กน้อย แอร์เย็นกำลังดี
- สิ่งอำนวยความสะดวก: มี Wi-Fi ฟรีให้ใช้บริการ มีอาหารว่าง เครื่องดื่ม ชา กาแฟ บริการฟรี
- เวลา: อบรมตั้งแต่ 9.00 – 16.00 น. เบรก 2 ครั้งตอนสายและตอนบ่าย พักกลางวัน 1 ชั่วโมง บางวันสอนเกินเวลาไปถึง 17.00 น.
- อาหาร: บริการอาหารกลางวันฟรี จากโรงแรมฝั่งตรงข้าม ซึ่งรสชาติไม่เลวเลยทีเดียว
รวมๆ แล้วถือว่าบริการดี สะดวกสบาย แต่ถ้ามีขนมอร่อยๆ ให้กินเยอะกว่านี้จะดีมาก ให้ 4/5 คะแนน
![acis_training_3](https://i1.wp.com/www.techtalkthai.com/wp-content/uploads/2016/03/acis_training_3.jpg?resize=495%2C329&ssl=1)
สรุปหลังเรียนจบคอร์ส
เนื้อหาของคอร์สอบรม |
5 / 5 |
การทำแล็บ |
3.5 / 5 |
วิทยากร |
4.5 / 5 |
ราคา |
4 / 5 |
ความสะดวกสบาย |
4 / 5 |
คะแนนเฉลี่ย |
4.2 / 5 – Highly Recommended |
วิทยากรสอนแบบจัดเต็ม ถ่ายทอดความรู้ไม่อั้น ผู้เรียนได้ทราบถึงแนวคิดและกระบวนการทำ Pen Test โดยใช้ Tools ต่างๆ เข้ามาช่วย เป็นการเริ่มต้นปูพื้นฐานไปสู่หนทางของ Pen Tester ได้เป็นอย่างดี สามารถนำความรู้ที่ได้ไปทดสอบเจาะระบบเบื้องต้นในที่ทำงานของตนเองพร้อมทำรายงานส่งเจ้าของระบบได้ทันที แต่ยังไม่สามารถนับว่าเป็น Pen Tester ได้อย่างแท้จริง เนื่องจากต้องอาศัยการสั่งสมประสบการณ์ คิดนอกกรอบ เพื่อให้สามารถหาข่องโหว่หรือจุดอ่อนที่ซ่อนอยู่ได้
เกี่ยวกับ ACIS Professional
ACIS Professional Center Co., Ltd. เป็นบริษัทที่ปรึกษาทางด้าน Cyber Security และ Business Continuity Management (BCM) แบบครบวงจร โดยมีเป้าหมายเพื่อเพิ่มประสิทธิภาพของการบริหารจัดการเชิงธุรกิจและระบบ IT ให้บรรลุเป้าหมายขององค์กร และสร้างความเขื่อมั่นต่อผู้บริโภค นอกจากนี้ยังให้บริการศูนย์อบรมด้าน Cyber Security ที่ได้รับการยอมรับจากองค์กรต่างๆ ไม่ว่าจะเป็น ISC2, EC-Council ซึ่งวิทยากรเองก็มีประกาศนียบัตรรับรองความสามารถจากสถานบันที่ได้รับการยอมรับในรดับสากล อาทิ CISSP, SSCP, CSSLP, CISA, CISM, CGEIT, CRISC, CBCI, CFE, IRCA: ISMS Lead Auditor, IRCA: ITSMS & BCMS Provisional Auditor, SANS GIAC GPEN & GXPN, ITIL Expert, ITIL Foundation, COBIT 5 Certified Trainer เป็นต้น
![acis_logo](https://i1.wp.com/www.techtalkthai.com/wp-content/uploads/2016/03/acis_logo.png?resize=326%2C105&ssl=1)
from:https://www.techtalkthai.com/review-advanced-penetration-tester-by-acis/