IT General
Soc Analyst Career Guide
SOC Analyst Career Guide คืออะไร / ทำไมถึงสำคัญ
น้องๆ เคยสงสัยมั้ยว่าทำไมบริษัทใหญ่ๆ ถึงโดนแฮกยากจัง? หรือทำไมบางทีเราเข้าเว็บแปลกๆ แล้วโดนบล็อค? นั่นแหละครับ หน้าที่หลักของ SOC Analyst (Security Operations Center Analyst) คือการเฝ้าระวังภัยคุกคามทางไซเบอร์ตลอด 24 ชั่วโมง 7 วัน
สมัยผมทำร้านเน็ต SiamCafe (ตั้งแต่ปี 1997 นู่น!) ผมก็ต้องคอยสอดส่องดูแลเครื่องลูกข่ายตลอดเวลา กลัวมีใครมาลงโปรแกรมแปลกๆ หรือเข้าเว็บอันตราย SOC Analyst ก็คล้ายๆ กัน แต่สเกลใหญ่กว่าเยอะมากๆ ครับ
ความสำคัญของ SOC Analyst เนี่ยไม่ต้องพูดถึงเลยครับ ในยุคที่ข้อมูลสำคัญกว่าทองคำ การป้องกันข้อมูลรั่วไหลจึงเป็นเรื่องคอขาดบาดตาย บริษัทไหนไม่มี SOC Analyst ก็เหมือนบ้านไม่มีประตู ใครจะเข้ามาขโมยอะไรก็ง่ายไปหมด
หน้าที่หลักๆ ของ SOC Analyst มีอะไรบ้าง?
- เฝ้าระวัง (Monitoring): ดู Log, Alert, Traffic ว่ามีอะไรผิดปกติหรือเปล่า
- วิเคราะห์ (Analysis): ถ้าเจออะไรแปลกๆ ต้องวิเคราะห์หาสาเหตุให้ได้
- ตอบสนอง (Response): เมื่อเจอภัยคุกคาม ต้องรีบจัดการให้ทันท่วงที
- รายงาน (Reporting): สรุปสถานการณ์ให้ผู้บริหารเข้าใจ
ทำไมถึงต้องมี SOC Analyst?
ลองคิดดูนะครับ ถ้าเรามีระบบ Firewall อย่างดี แต่ไม่มีคนคอยดู Log ว่ามีใครพยายามเจาะเข้ามา Firewall ก็เหมือนยามที่หลับตลอดเวลา SOC Analyst คือยามที่ตื่นอยู่เสมอ พร้อมรับมือกับทุกสถานการณ์
ถ้าสนใจเรื่อง Cybersecurity ลองแวะไปอ่านบทความอื่นๆ ใน SiamCafe Blog ได้นะครับ มีเรื่องน่าสนใจเยอะเลย
พื้นฐานที่ต้องรู้
ความรู้ด้าน Network
พื้นฐานสำคัญอันดับต้นๆ เลยครับ ต้องเข้าใจว่า Network ทำงานยังไง TCP/IP คืออะไร Subnet Mask คืออะไร ถ้าไม่รู้เรื่องพวกนี้ ก็เหมือนหมอที่ไม่รู้จักกายวิภาคของร่างกาย
ยกตัวอย่าง: ถ้าเราเห็น Traffic แปลกๆ วิ่งจากเครื่อง A ไปเครื่อง B เราต้องรู้ว่า A กับ B อยู่ Subnet เดียวกันหรือเปล่า ถ้าอยู่คนละ Subnet ต้องผ่าน Gateway อะไร เพื่อที่จะได้ตามสืบสาวราวเรื่องต่อไปได้
ความรู้ด้าน Operating System (OS)
รู้จัก Windows, Linux, macOS ยิ่งรู้ลึกยิ่งได้เปรียบ เพราะภัยคุกคามส่วนใหญ่มักจะโจมตีผ่าน OS นี่แหละครับ
ยกตัวอย่าง: ถ้าเราเห็น process แปลกๆ รันอยู่บนเครื่อง Windows เราต้องรู้ว่า process นั้นคืออะไร มาจากไหน มีความเสี่ยงอะไรบ้าง
ความรู้ด้าน Security Tools
รู้จักเครื่องมือที่ใช้ในการเฝ้าระวังและวิเคราะห์ เช่น SIEM (Security Information and Event Management), IDS/IPS (Intrusion Detection/Prevention System), Firewall, Antivirus พวกนี้ต้องใช้ให้เป็นครับ
ยกตัวอย่าง: SIEM คือพระเอกของ SOC เลยครับ มันจะรวบรวม Log จากทุกที่มารวมกัน แล้วช่วยเราวิเคราะห์หาภัยคุกคาม ถ้าใช้ SIEM ไม่เป็น ก็เหมือนมีรถ Ferrari แต่ขับไม่เป็น
วิธีใช้งาน / เริ่มต้นยังไง
น้องๆ หลายคนอาจจะรู้สึกว่า SOC Analyst เป็นงานที่ยากและซับซ้อน แต่จริงๆ แล้วมันก็เหมือนกับการเรียนรู้ทักษะอื่นๆ นั่นแหละครับ เริ่มจากพื้นฐาน แล้วค่อยๆ พัฒนาไปเรื่อยๆ
สมัยผมเริ่มทำร้านเน็ต ผมก็ไม่รู้อะไรเลย แต่ค่อยๆ ศึกษา ลองผิดลองถูก จนสุดท้ายก็ทำได้ดี การเป็น SOC Analyst ก็เหมือนกันครับ อย่าท้อแท้ เริ่มจากสิ่งเล็กๆ แล้วค่อยๆ ขยายไป
ขั้นตอนการเริ่มต้น
- ศึกษาพื้นฐาน: เริ่มจาก Network, OS, Security Concepts ก่อนเลย
- เรียนรู้ Tools: ลองเล่น SIEM, IDS/IPS, Firewall ดู หา Tutorial ใน YouTube ก็ได้
- ฝึกฝน: หา Lab มาลองทำ หา CTF (Capture The Flag) มาเล่น
- หา Mentor: หาคนที่เก่งๆ คอยแนะนำ จะช่วยให้เราพัฒนาได้เร็วขึ้น
ถ้าอยากรู้เรื่อง Cybersecurity เพิ่มเติม ลองเข้าไปอ่านบทความใน SiamCafe Blog นะครับ
ขั้นตอนปฏิบัติจริง
การวิเคราะห์ Log
Log คือขุมทรัพย์ของ SOC Analyst เลยครับ มันจะบอกทุกอย่างที่เกิดขึ้นในระบบ แต่ปัญหาคือ Log มันเยอะมากกกกกกก เราต้องรู้วิธีการกรอง Log, ค้นหา Log, และวิเคราะห์ Log
# ตัวอย่างการค้นหา Log ใน Linux
grep "error" /var/log/syslog
Code ข้างบนเป็นแค่ตัวอย่างนะครับ การวิเคราะห์ Log จริงๆ มันซับซ้อนกว่านี้เยอะ ต้องใช้เครื่องมือช่วย ต้องมีความรู้เรื่อง Log Format ด้วย
การจัดการ Incident
Incident คือเหตุการณ์ที่น่าสงสัยว่าอาจจะเป็นภัยคุกคาม เมื่อเจอ Incident เราต้องรีบวิเคราะห์ หาสาเหตุ และจัดการให้เร็วที่สุด
- Identification: ระบุว่า Incident คืออะไร
- Containment: กักกัน Incident ไม่ให้แพร่กระจาย
- Eradication: กำจัด Incident
- Recovery: กู้คืนระบบ
- Lessons Learned: เรียนรู้จาก Incident เพื่อป้องกันไม่ให้เกิดซ้ำ
เปรียบเทียบกับทางเลือกอื่น
SOC Analyst ไม่ใช่งานเดียวในโลก IT ที่เกี่ยวข้องกับ Security ยังมีอีกหลายตำแหน่งที่น่าสนใจ เช่น Security Engineer, Penetration Tester, Security Consultant แต่ละตำแหน่งก็มีหน้าที่และความรับผิดชอบที่แตกต่างกัน
| ตำแหน่ง | หน้าที่หลัก | ทักษะที่จำเป็น |
|---|---|---|
| SOC Analyst | เฝ้าระวังภัยคุกคาม, วิเคราะห์ Incident | Network, OS, Security Tools, Log Analysis |
| Security Engineer | ออกแบบและติดตั้งระบบ Security | Network, OS, Security Tools, System Administration |
| Penetration Tester | ทดสอบเจาะระบบเพื่อหาช่องโหว่ | Network, OS, Programming, Hacking Tools |
| Security Consultant | ให้คำปรึกษาด้าน Security | Security Concepts, Risk Management, Communication |
น้องๆ ลองพิจารณาดูนะครับว่าชอบงานแบบไหน ถนัดอะไร แล้วค่อยเลือกเส้นทางที่ใช่สำหรับตัวเอง
Best Practices / เคล็ดลับจากประสบการณ์
น้องๆ หลายคนถามพี่ว่า "พี่บอมครับ ทำยังไงถึงจะเป็น Soc Analyst ที่เก่งๆ ได้" เอาจริงๆ มันไม่มีสูตรสำเร็จหรอกน้อง แต่พี่มีเคล็ดลับเล็กๆ น้อยๆ จากประสบการณ์ที่คลุกคลีกับวงการ IT มานาน มาแบ่งปันให้ฟังกัน
จำไว้ว่า "ความรู้คืออำนาจ" ยิ่งเรารู้เยอะ ยิ่งวิเคราะห์ได้แม่นยำ ยิ่งแก้ปัญหาได้เร็ว
3-4 เทคนิคที่ใช้ได้จริง
1. อย่าหยุดเรียนรู้
โลก IT มันเปลี่ยนเร็วมากน้อง วันนี้เราว่าเราเก่งแล้ว พรุ่งนี้อาจจะกลายเป็นคนตกยุคไปเลยก็ได้ สมัยพี่ทำร้านเน็ต (SiamCafe) ใหม่ๆ เนี่ย Firewall ยังเป็นแค่โปรแกรมง่ายๆ เดี๋ยวนี้มันซับซ้อนจนแทบจะเป็นระบบปฏิบัติการอีกตัวแล้ว ดังนั้นต้องขยันหาความรู้ใหม่ๆ เสมอ
แนะนำว่าให้ลองอ่านข่าวสารวงการ IT, ติดตาม Blog ของผู้เชี่ยวชาญ, เข้าอบรมคอร์สต่างๆ, หรือแม้แต่เล่น HackTheBox ก็ช่วยได้เยอะ
2. หัดตั้งคำถาม
เวลาเจอปัญหา อย่าเพิ่งรีบหาทางแก้ ให้ลองตั้งคำถามก่อน เช่น "ทำไมถึงเกิดเหตุการณ์นี้?" "มีอะไรที่ผิดปกติ?" "มีใครที่เกี่ยวข้อง?" การตั้งคำถามจะช่วยให้เราวิเคราะห์ปัญหาได้ลึกซึ้งยิ่งขึ้น
สมัยพี่ทำร้านเน็ต เคยเจอเคสเด็กแฮ็กเกมส์ พี่ไม่ได้รีบไปจับตัวเด็ก แต่พี่ตั้งคำถามว่า "เด็กมันแฮ็กได้ยังไง?" "เราป้องกันตรงไหนได้บ้าง?" สุดท้ายก็เจอช่องโหว่และอุดได้ทัน
3. ฝึกใช้เครื่องมือให้คล่อง
Soc Analyst ต้องใช้เครื่องมือเยอะมาก ไม่ว่าจะเป็น SIEM, EDR, Firewall, IDS/IPS ดังนั้นต้องฝึกใช้ให้คล่อง แนะนำว่าให้ลองสร้าง Lab เล็กๆ ของตัวเองขึ้นมา แล้วลองเล่นกับเครื่องมือต่างๆ ดู
สมัยพี่ทำร้านเน็ต พี่จะชอบเอาเครื่องเก่าๆ มาลง Linux แล้วลองทำเป็น Server ต่างๆ เช่น Web Server, Mail Server, DNS Server มันช่วยให้เราเข้าใจระบบมากขึ้นเยอะ
4. สื่อสารให้เป็น
Soc Analyst ไม่ได้ทำงานคนเดียว เราต้องทำงานร่วมกับคนอื่นๆ ไม่ว่าจะเป็นทีม Security, ทีม IT, หรือแม้แต่ผู้บริหาร ดังนั้นต้องสื่อสารให้เป็น ฟังให้เป็น พูดให้รู้เรื่อง เขียนให้เข้าใจง่าย
เคยเจอเคสที่ทีม IT แก้ปัญหาไม่ได้ เพราะ Soc Analyst สื่อสารไม่เคลียร์ บอกแค่ว่า "มี Malicious Traffic" แต่ไม่บอกรายละเอียดว่า Traffic มาจากไหน ไปไหน ทำให้ทีม IT งงไปหมด
FAQ คำถามที่พบบ่อย
Q: ต้องจบอะไรถึงจะเป็น Soc Analyst ได้?
A: จริงๆ แล้วไม่จำเป็นต้องจบตรงสายเป๊ะๆ หรอกน้อง สำคัญคือเรามีความรู้พื้นฐานด้าน IT และ Security ที่ดี ถ้าจบ Computer Science, Information Security, หรือสาขาที่เกี่ยวข้องก็จะดี แต่ถ้าจบอย่างอื่นมา แล้วมีความสนใจและใฝ่รู้ ก็สามารถเป็น Soc Analyst ได้เหมือนกัน
สมัยพี่ทำร้านเน็ต ก็มีน้องๆ ที่จบสายศิลป์มาช่วยดูแลระบบ น้องๆ เหล่านั้นไม่ได้มีความรู้ IT มากมาย แต่มีความกระตือรือร้นที่จะเรียนรู้ และสุดท้ายก็เก่งกว่าคนที่จบสายตรงมาอีก
Q: ต้องมี Certificate อะไรบ้าง?
A: Certificate ก็เหมือนใบเบิกทาง มันช่วยให้เราดูน่าเชื่อถือมากขึ้น แต่ไม่ใช่ทุกอย่าง Certificate ที่เป็นประโยชน์สำหรับ Soc Analyst ก็มีหลายตัว เช่น CompTIA Security+, Certified Ethical Hacker (CEH), SANS GIAC Certification ต่างๆ
แต่สิ่งที่สำคัญกว่า Certificate คือความรู้และประสบการณ์ ถ้าเรามีความรู้และประสบการณ์จริง ถึงไม่มี Certificate ก็สามารถทำงานได้
Q: Soc Analyst ต้องเขียนโปรแกรมเป็นไหม?
A: ถ้าเขียนโปรแกรมเป็นก็จะดีมาก เพราะมันช่วยให้เรา automate งานบางอย่างได้ เช่น เขียน Script เพื่อวิเคราะห์ Log, เขียน Plugin สำหรับ SIEM แต่ถ้าเขียนไม่ได้ก็ไม่เป็นไร อย่างน้อยก็ควรอ่าน Code เป็น
สมัยพี่ทำร้านเน็ต พี่จะชอบเขียน Script ง่ายๆ ด้วย Python เพื่อ automate งาน เช่น Script สำหรับ Backup ข้อมูล, Script สำหรับ Monitor Server
สรุป
การเป็น Soc Analyst ที่เก่ง ไม่ใช่เรื่องง่าย แต่ก็ไม่ใช่เรื่องยากเกินไป สิ่งที่สำคัญที่สุดคือ "ความรัก" รักในสิ่งที่ทำ รักที่จะเรียนรู้ รักที่จะพัฒนาตัวเอง ถ้าเรามีความรัก ความตั้งใจจริง ยังไงก็สำเร็จแน่นอน
ขอให้น้องๆ ทุกคนโชคดีในการเดินทางบนเส้นทาง Soc Analyst นะครับ และอย่าลืมแวะไปเยี่ยมชม iCafeForex และ SiamCafe Blog นะครับ
