IT General
Soc Analyst Career Path
SOC Analyst Career Path คืออะไร / ทำไมถึงสำคัญ
น้องๆ เคยสงสัยไหมว่าเวลาโดนแฮก โดนไวรัส หรือข้อมูลรั่วไหล ใครเป็นคนจัดการเรื่องพวกนี้? นั่นแหละครับ SOC Analyst คือฮีโร่เบื้องหลังที่คอยปกป้องระบบของเรา
SOC ย่อมาจาก Security Operations Center แปลง่ายๆ คือ ศูนย์ปฏิบัติการความปลอดภัย หน้าที่หลักของ SOC Analyst คือ การเฝ้าระวัง วิเคราะห์ และตอบสนองต่อภัยคุกคามทางไซเบอร์ตลอด 24 ชั่วโมง 7 วันต่อสัปดาห์ เรียกได้ว่าทำงานแข่งกับเวลาเลยทีเดียว
ทำไมถึงสำคัญ? สมัยผมทำร้านเน็ต SiamCafe บอกเลยว่าเรื่องความปลอดภัยนี่สำคัญสุดๆ เพราะข้อมูลลูกค้า ข้อมูลการเงิน ทุกอย่างอยู่ในระบบ ถ้าโดนแฮกทีเดียวคือจบเห่ ธุรกิจเจ๊งแน่นอน ยิ่งยุคนี้ทุกอย่างออนไลน์หมด ความเสี่ยงก็ยิ่งสูงขึ้นตามไปด้วย ดังนั้น SOC Analyst เลยกลายเป็นตำแหน่งที่ขาดไม่ได้ขององค์กรต่างๆ
พื้นฐานที่ต้องรู้
ก่อนจะไปเป็น SOC Analyst ได้เนี่ย ต้องมีพื้นฐานความรู้แน่นๆ หน่อยนะ ไม่ใช่ว่าอยู่ดีๆ จะมานั่งเฝ้าหน้าจอดู Log ได้เลย มันต้องมี Skill ติดตัวมาบ้าง
Network Fundamentals
พื้นฐาน Network นี่สำคัญมาก ต้องเข้าใจว่า Network ทำงานยังไง TCP/IP คืออะไร Subnetting คืออะไร พวก Protocol ต่างๆ HTTP, DNS, SMTP ทำงานยังไง ถ้าไม่เข้าใจ Network ก็เหมือนคนตาบอดคลำทางในโลกไซเบอร์
# ตัวอย่างการใช้ nmap สแกน port
nmap -p 1-1000 192.168.1.1
สมัยผมทำร้านเน็ต ต้องเซ็ต Network เองหมด ตั้งแต่ Router ยัน Switch ถ้า Network มีปัญหา ลูกค้าเล่นเน็ตไม่ได้ ร้านก็ขาดรายได้ ต้องแก้ปัญหาให้ได้ไวที่สุด
Operating Systems
ต้องคุ้นเคยกับระบบปฏิบัติการต่างๆ ทั้ง Windows, Linux, macOS แต่ Linux นี่สำคัญเป็นพิเศษ เพราะเครื่อง Server ส่วนใหญ่ก็ใช้ Linux ทั้งนั้น ต้องใช้งาน Command Line เป็น ต้องเข้าใจเรื่อง Permission, File System และ Security Settings ต่างๆ
# ตัวอย่างคำสั่ง Linux ที่ใช้บ่อยๆ
ls -l # ดูรายละเอียดไฟล์
chmod 777 file.txt # เปลี่ยน permission ไฟล์
sudo apt update # อัพเดท package
ตอนนั้นผมใช้ Linux เป็น Server หลักของร้านเลย เพราะมันเสถียรและปลอดภัยกว่า Windows เยอะ แถมยังปรับแต่งได้เยอะด้วย
Security Concepts
ต้องเข้าใจหลักการพื้นฐานด้าน Security เช่น Encryption, Authentication, Authorization, Vulnerability Assessment, Penetration Testing และ Incident Response รู้จักเครื่องมือต่างๆ ที่ใช้ในการป้องกันและตรวจจับภัยคุกคาม เช่น Firewall, Intrusion Detection System (IDS), Antivirus และ SIEM (Security Information and Event Management)
สมัยก่อน Firewall ที่ใช้ก็แค่ iptables ง่ายๆ แต่ก็พอป้องกันพวก Hacker เด็กๆ ได้บ้าง แต่ยุคนี้มันต้องใช้ Firewall ที่ฉลาดกว่านั้นเยอะ
วิธีใช้งาน / เริ่มต้นยังไง
อยากเป็น SOC Analyst ไม่ยากอย่างที่คิด แต่ก็ไม่ง่ายอย่างที่ฝัน ต้องเริ่มจากปูพื้นฐานให้แน่น แล้วค่อยๆ สั่งสมประสบการณ์ไปเรื่อยๆ
ขั้นตอนปฏิบัติจริง
เอาล่ะ มาดูกันว่าถ้าอยากเป็น SOC Analyst จริงๆ ต้องทำอะไรบ้าง
เรียนรู้และฝึกฝน
เริ่มต้นจากการเรียนรู้พื้นฐานด้าน IT Security อย่างที่บอกไปข้างต้น อาจจะเริ่มจากคอร์สออนไลน์ หนังสือ หรือเรียนในมหาวิทยาลัยก็ได้ แต่สิ่งที่สำคัญคือต้องลงมือปฏิบัติจริงด้วย ลองสร้าง Lab เล็กๆ ที่บ้าน แล้วลองทำ Penetration Testing เอง หรือลองตั้งค่า Firewall เอง จะช่วยให้เข้าใจ Concept ได้ลึกซึ้งยิ่งขึ้น
สมัยผมเรียน IT ก็ชอบลองผิดลองถูก ทดลองอะไรใหม่ๆ ตลอด ถ้าไม่ลองทำเองก็จะไม่เข้าใจ
สร้าง Resume และ Portfolio
หลังจากเรียนรู้และฝึกฝนจนมั่นใจแล้ว ก็ถึงเวลาสร้าง Resume และ Portfolio เพื่อนำเสนอตัวเองให้กับบริษัทต่างๆ Resume ควรจะเน้น Skills และประสบการณ์ที่เกี่ยวข้องกับ IT Security ส่วน Portfolio อาจจะเป็น Project ที่เคยทำ หรือ Certificate ที่ได้รับ
ตอนนั้น Resume ผมก็ไม่ได้สวยหรูอะไร แต่เน้นที่ประสบการณ์จริงที่เคยทำมากกว่า
สมัครงานและสัมภาษณ์
เมื่อเตรียม Resume และ Portfolio เรียบร้อยแล้ว ก็เริ่มสมัครงานในตำแหน่งที่เกี่ยวข้องกับ IT Security เช่น Security Analyst, Network Engineer หรือ System Administrator เมื่อได้รับโอกาสสัมภาษณ์ ก็เตรียมตัวให้พร้อม ตอบคำถามด้วยความมั่นใจ และแสดงให้เห็นว่าเรามีความกระตือรือร้นที่จะเรียนรู้และพัฒนาตัวเอง
การสัมภาษณ์งานครั้งแรกๆ ของผมก็ตื่นเต้นมาก แต่พอสัมภาษณ์ไปเรื่อยๆ ก็เริ่มชิน
พัฒนาตัวเองอย่างต่อเนื่อง
เมื่อได้ทำงานเป็น SOC Analyst แล้ว ก็อย่าหยุดที่จะพัฒนาตัวเองอยู่เสมอ เพราะเทคโนโลยีและภัยคุกคามมีการเปลี่ยนแปลงอยู่ตลอดเวลา ต้องติดตามข่าวสาร Security ใหม่ๆ เข้าร่วมอบรมหรือสัมมนา และเรียนรู้เครื่องมือใหม่ๆ อยู่เสมอ
ผมเองก็ยังต้องเรียนรู้สิ่งใหม่ๆ อยู่ตลอดเวลา เพราะโลก IT มันเปลี่ยนแปลงเร็วมาก
เปรียบเทียบกับทางเลือกอื่น
ในสายงาน IT Security มันก็มีหลายตำแหน่งให้เลือกนะ ไม่ได้มีแค่ SOC Analyst อย่างเดียว มาดูกันว่าตำแหน่งอื่นๆ มันแตกต่างกันยังไง
| ตำแหน่ง | หน้าที่หลัก | ทักษะที่จำเป็น | เหมาะกับใคร |
|---|---|---|---|
| SOC Analyst | เฝ้าระวัง วิเคราะห์ และตอบสนองต่อภัยคุกคาม | Network, Security Concepts, SIEM | คนที่ชอบแก้ปัญหาเฉพาะหน้า |
| Penetration Tester | ทดสอบความปลอดภัยของระบบ | Network, Programming, Exploitation | คนที่ชอบ Hack ระบบ |
| Security Engineer | ออกแบบและติดตั้งระบบรักษาความปลอดภัย | Network, Security Tools, System Administration | คนที่ชอบวางแผนและสร้างระบบ |
| Security Consultant | ให้คำปรึกษาด้านความปลอดภัย | Security Concepts, Communication, Presentation | คนที่ชอบพูดและให้คำแนะนำ |
แต่ละตำแหน่งก็มีข้อดีข้อเสียแตกต่างกันไป เลือกตำแหน่งที่เหมาะกับความชอบและความถนัดของตัวเองนะน้องๆ
ถ้าสนใจเรื่อง IT Security เพิ่มเติม ลองเข้าไปอ่านบทความอื่นๆ ใน SiamCafe Blog ได้นะ มีเรื่องน่าสนใจเยอะเลย
และอย่าลืมติดตาม SiamCafe Blog เพื่ออัพเดทข่าวสาร IT และ Security ใหม่ๆ อยู่เสมอนะครับ
Best Practices / เคล็ดลับจากประสบการณ์
น้องๆ หลายคนถามพี่ว่า "พี่บอมครับ ทำยังไงถึงจะเป็น SOC Analyst ที่เก่งๆ ได้?" เอาจริงๆ มันไม่มีสูตรสำเร็จตายตัวหรอก แต่จากประสบการณ์ที่คลุกคลีกับ IT มา 28 ปี พี่พอจะสรุปเคล็ดลับที่ใช้ได้จริงมาฝากกัน
สมัยพี่ทำร้านเน็ต SiamCafe เนี่ย เรื่องความปลอดภัยสำคัญมากนะ เพราะร้านเราเป็นแหล่งรวมข้อมูลลูกค้า การโดนแฮกแต่ละทีนี่เสียหายหนักเลย พี่เลยต้องศึกษาเรื่อง Security มาตั้งแต่ตอนนั้น
3-4 เทคนิคที่ใช้ได้จริง
- เข้าใจ Network พื้นฐานให้แน่นปึ้ก: น้องต้องรู้ว่า IP Address, Subnet Mask, Routing ทำงานยังไง Packet วิ่งแบบไหน พวกนี้สำคัญมาก เหมือนเราจะซ่อมรถ ก็ต้องรู้ว่าเครื่องยนต์ทำงานยังไงก่อน
- รู้จักเครื่องมือ (Tools) ที่ใช้: SIEM, IDS/IPS, Firewall, Endpoint Detection and Response (EDR) พวกนี้เป็นเครื่องมือหากินของ SOC Analyst น้องต้องลองเล่น ลองใช้ให้คล่อง เหมือนเชฟต้องรู้จักมีดแต่ละแบบ
- ฝึกวิเคราะห์ Log: Log เป็นขุมทรัพย์ข้อมูลเลยนะ น้องต้องฝึกอ่าน Log ของระบบต่างๆ ให้เป็น มองให้ออกว่าอะไรคือเหตุการณ์ปกติ อะไรคือผิดปกติ สมัยพี่ทำร้านเน็ต พี่อ่าน Log Apache Server แทบทุกวัน
- Keep Learning: โลก IT เปลี่ยนแปลงเร็วมาก น้องต้องขยันอัพเดทความรู้ตลอดเวลา ตามข่าวสาร Cybersecurity, อ่าน Blog, เข้าอบรม สารพัดวิธีที่จะทำให้เราไม่ตกยุค SiamCafe Blog ก็มีบทความดีๆ ให้อ่านเยอะนะ
ตัวอย่างการวิเคราะห์ Log แบบง่ายๆ (สมมติเราเจอ Log แบบนี้):
[2023-10-27 10:00:00] - User 'admin' login successful from 192.168.1.10
[2023-10-27 10:01:00] - User 'admin' login successful from 10.0.0.5
[2023-10-27 10:02:00] - User 'admin' login successful from 172.16.0.15
จาก Log ข้างบน เราจะเห็นว่า User 'admin' Login เข้ามาจากหลาย IP Address ในเวลาใกล้เคียงกัน ซึ่งผิดปกติ (Normal Profile ของ Admin ไม่น่าจะ Login จากหลายที่พร้อมกัน) นี่อาจจะเป็นสัญญาณของการโดน Brute Force Attack หรือ Credential Compromise ก็ได้
FAQ คำถามที่พบบ่อย
Q: พี่บอมครับ SOC Analyst ต้องเขียน Code เก่งไหม?
A: ไม่จำเป็นต้องเทพขนาด Full-Stack Developer แต่ถ้าน้องเขียน Script ง่ายๆ ได้ (เช่น Python, Bash) จะช่วยให้ชีวิตง่ายขึ้นเยอะเลย เช่น เขียน Script automate งานบางอย่าง หรือ Parse Log files
Q: จำเป็นต้องมี Certificate อะไรบ้าง?
A: Certificate พวก CompTIA Security+, CEH, CISSP เป็นที่ยอมรับในวงการ แต่ประสบการณ์จริงสำคัญกว่านะ ถ้าน้องมี Certificate แต่ทำงานจริงไม่ได้ ก็เท่านั้น
Q: SOC Analyst ทำงานเป็นกะจริงไหม?
A: ส่วนใหญ่เป็นกะครับ เพราะภัยคุกคามมันไม่เลือกเวลา เราต้อง Standby 24/7 เพื่อ Monitor ระบบ iCafeForex ก็ต้องมีคนคอยดูแลตลอด
Q: เงินเดือน SOC Analyst เริ่มต้นประมาณเท่าไหร่?
A: แล้วแต่บริษัทและประสบการณ์ แต่โดยเฉลี่ยเด็กจบใหม่ (ไม่มีประสบการณ์) ก็เริ่มต้นประมาณ 25,000 - 35,000 บาท ถ้าน้องเก่งจริง บริษัทพร้อมจ่ายไม่อั้น
สรุป
เส้นทาง SOC Analyst ไม่ได้โรยด้วยกลีบกุหลาบ แต่มันเป็นอาชีพที่ท้าทายและมีคุณค่า น้องต้องขยันเรียนรู้ ฝึกฝน และ Passion ในเรื่อง Cybersecurity รับรองว่าน้องจะประสบความสำเร็จในสายงานนี้แน่นอน
จำไว้เสมอว่า "ความรู้คือพลัง" (Knowledge is Power) ยิ่งน้องมีความรู้มากเท่าไหร่ น้องก็จะยิ่งเก่งขึ้นเท่านั้น
