តើអ្នកចាប់យកអាជីពការងារផ្នែក PenTest យ៉ាងដូចម្តេច?
១. ព័ត៌មានទូទៅ
អាជីពការងារផ្នែកធ្វើតេស្តសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន (Pentesting) គឺជាការងារមួយមិនដូចការងារផ្សេងទៀតនៅក្នុងទម្រង់ច្រើនយ៉ាង។ វានឹងសាកល្បងកម្រិតសមត្ថភាពរបស់អ្នកស្ទើរតែរាល់ថ្ងៃ ដែលជំរុញភាពច្នៃប្រឌិតនិងប្រទាក់ក្រឡា ដោយសារតែអ្នកធ្វើតេស្តដើម្បីស្វែងរកចំនុចខ្សោយ និងទម្រង់នៃការវាយប្រហារជាច្រើនបែបច្រើនយ៉ាង។ នៅក្នុងអាជីពនេះ អ្នកនឹងដើរតួនាទីជាហេគឃ័រដែលមានក្រមសីលធម៌ (ethical hacker) ដែលត្រូវបានជួលដើម្បីពង្រឹងសន្តិសុខអ៊ិនធឺណិតនិងប្រព័ន្ធនៅក្នុងអង្គភាពមួយ។ ការងារនេះគឺរួមផ្សំទាំងកិច្ចការបច្ចេកទេស និងការសរសេររបាយការណ៍ពាក់ព័ន្ធផងដែរ។
ការស្វែងរក, ការធ្វើតេស្ត និងការជួសជុលចំនុចខ្សោយទាំងនោះត្រូវតែអមទៅដោយឯកសាររបាយការណ៍ដ៏ល្អ បង្ហាញពីជំហានណែនាំមួយៗ ព្រមទាំងការពន្យល់មួយដ៏ក្បោះក្បាយផងដែរ។ កម្មវិធីតូចៗ (tools) ដែលបានប្រើក្នុងកំឡុងពេលធ្វើតេស្ត ក៏ត្រូវបានកំណត់យ៉ាងច្បាស់លាស់ ហើយព័ត៌មានទាំងអស់នេះត្រូវតែបញ្ជូនបន្តទៅឱ្យគណៈគ្រប់គ្រង។
ប៉ុន្ដែថាតើអ្នកអាចកាន់តួនាទីពិសេសនេះបានយ៉ាងដូចម្តេច ហើយថាតើអ្នកធ្វើដំណើរឆ្ពោះទៅកាន់គោលដៅនេះយ៉ាងដូចម្តេច? នៅក្នុងអត្ថបទនេះយើងនឹងពិនិត្យមើលបច្ចេកទេសមួយចំនួន និងគន្លឹះដែលត្រូវចងចាំ នៅពេលដែលអ្នកកំពុងសម្លឹងមើលទៅការងារក្តីសុបិន្តរបស់អ្នក គឺក្លាយជា Pentester មួយរូប។
២. តើខ្ញុំគួររកមើលអ្វីខ្លះនៅក្នុងកាងារ Pentesting មួយ?
មិនមានដំណោះស្រាយមួយ ដែលអាចត្រូវទាំងអស់គ្នានោះទេ សម្រាប់ការងារជា Pentester នោះ ដោយសារតែជាចម្បង បេក្ខជននីមួយៗនឹងមានកម្រិតជំនាញផ្ទាល់ខ្លួនរបស់ពួកគេខុសៗគ្នា, ចំណង់ចំណូលចិត្តផ្ទាល់ខ្លួន និងការរំពឹងទុកប្រាក់បៀវត្សរ៍ដែលចាំបាច់ត្រូវយកមកពិចារណាខុសៗគ្នាផងដែរ។ តួនាទីកាន់តែខ្ពស់នឹងមានការទទួលខុសត្រូវ និងភារកិច្ចបន្ថែមដែលសមស្របទៅនឹងបេក្ខជនដែលមានបទពិសោធន៏ពាក់ព័ន្ធ ខណៈពេលដែលតួនាទីតូចៗនឹងផ្តោតទៅលើភារកិច្ចច្រំដែលជាច្រើន ដែលជាញឹកញាប់ត្រូវបានផ្សារភ្ជាប់ជាមួយតួនាទី។
ខាងក្រោមនេះគឺជាសំណួរមួយចំនួនដែលត្រូវសួរនៅពេលអ្នកកំពុងនិយាយជាមួយអ្នកធ្វើកិច្ចសំភាសន៍ ដែលនេះវានឹងផ្តល់ឱ្យអ្នកនូវគំនិតដ៏ល្អមួយស្តីអំពីតួនាទីដែលអ្នកនឹងទទួលបាន ដោយផ្អែកទៅលើចម្លើយដែលអ្នកទទួល។
- តើនរណាដែលអ្នកត្រូវធ្វើការជាមួយ?
ការធ្វើការជាមួយក្រុមដ៏រឹងមាំ និងចំណេះដឹង គឺមានអត្ថប្រយោជន៍ខ្ពស់ដល់អ្នក ដោយមិនគិតពីកម្រិតជំនាញ ឬបទពិសោធន៍របស់អ្នក។ សួរថាតើមានមនុស្សប៉ុន្មាននាក់ដែលអ្នកនឹងធ្វើការជាមួយ ហើយតើពួកគេមានមុខតំណែងអ្វីខ្លះ។ ការមានមនុស្សដែលមានជំនាញកម្រិតខ្ពស់អាចជួយអ្នកឱ្យឈានទៅរកកម្រិតមួយទៀតនៅក្នុងអាជីពរបស់អ្នក ដូច្នេះការស្វែងយល់អំពីបុគ្គលដែលអ្នកនឹងធ្វើការជាមួយ គឺជាអ្វីដែលអ្នកគួរតែស្វែងយល់។ វាក៏ធ្វើឱ្យអ្នកមើលទៅដូចជាអ្នកលេងនៅក្នុងក្រុមមួយដែលមានភារកិច្ចដ៏គួរឱ្យចាប់អារម្មណ៍។
- តើក្រុមហ៊ុននោះធ្វើអ្វីខ្លះ?
វាពិតជាជួយបានច្រើនណាស់ ប្រសិនបើក្រុមហ៊ុនដែលអ្នកសំរេចចិត្តធ្វើការជាមួយនោះ គឺនៅក្នុងឧស្សាហកម្មដែលអ្នករកឃើញគួរឱ្យចាប់អារម្មណ៍ ទោះបីជាផលិតផលស្នូល ឬសេវាកម្មដែលពួកគេផ្តល់ មិនជៈឥទ្ធិពលដោយផ្ទាល់ទៅលើតួនាទីរបស់អ្នកជា pentester ក៏ដោយ។
- តើពិពណ៌នាការងារនិងវិសាលភាពមានអ្វីខ្លះ?
នេះប្រហែលជាចំនុចមួយដ៏ធំបំផុត ដែលត្រូវដឹងក្នុងខណៈពេលដែលអ្នកព្យាយាមចាប់យកអាជីពការងារដ៏ល្អជា pentester ។ ទទួលបានព័ត៏មានលំអិតឱ្យបានច្រើនតាមដែលអ្នកអាចធ្វើបានអំពីតួនាទីរបស់អ្នក និងស្វែងយល់ថាតើទំនួលខុសត្រូវសំខាន់ៗរបស់អ្នកជាអ្វី។ វាមិនល្អនោះទេ សម្រាប់ខ្លួនអ្នកផ្ទាល់ ឬនិយោជក បើសិនជាអ្នកយល់ព្រមទទួលយកតួនាទីដែលមាន មុខងារ និងការទទួលខុសត្រូវដែលអ្នកមិនសម្បាយចិត្តទទួលយក ឬមិនសមស្របចំពោះអ្នក។ នោះមិនមែនមានន័យថា ការចាប់យកតួនាទីដែលមានភាពលំបាក (challenge) មិនអាចទៅរួចនោះទេ ដោយសារតែការងារដែលលំបាក ស្មុគស្មាញ វានឹងបង្រៀនអ្នកច្រើនណាស់ ហើយជំនាញដែលអ្នកអាចចាប់យកនោះ វានឹងបន្ថែមគុណសម្បត្តិដ៏ធំអស្ចារ្យដល់អ្នក។ ទោះជាយ៉ាងណាក៏ដោយ ត្រូវចងចាំជានិច្ចឱ្យស្មោះត្រង់ និងប្រាកដប្រជាក្នុងការសម្ភាសន៏។
- តើម៉ោងធ្វើការ និងតម្រូវការនៃការគាំទ្របច្ចេកទេសក្រោយម៉ោងធ្វើការយា៉ងដូចម្តេច?
តួនាទីរបស់អ្នកជា pentester អាចតម្រូវឱ្យមានការវាយប្រហារជាក់លាក់ ឬតាមទំលាប់ដែលត្រូវអនុវត្តន៍នៅម៉ោងពេលណាមួយ ជាពិសេសប្រសិនបើអ្នកមានគោលដៅធ្វើតេស្តនៅប្រទេសផ្សេងទៀតដែលមានម៉ោងពេលខុសគ្នា។ សូមធ្វើការស្វែងយល់អំពីចំណុចនេះ នៅពេលដែលអ្នកផ្តល់កិច្ចសម្ភាស ដើម្បីជៀសវាងការខកចិត្តនៅពេលក្រោយ។
- តើមានធនធានសម្រាប់ការបណ្ដុះបណ្ដាលនិងអភិវឌ្ឍន៍ដែលឬទេ?
ស្វែងយល់ថាតើតួនាទីជា pentester ផ្តល់ឱកាសអ្វីខ្លះសម្រាប់ការសិក្សាបន្ថែម និងអភិវឌ្ឍន៍ជំនាញ។ កាលណាអ្នករៀនបានកាន់តែច្រើន នោះវានឹងអាចជួយដល់អាជីពការងារជា pentester បានកាន់តែប្រសើរសម្រាប់ការងារបច្ចុប្បន្ន និងអនាគត។
៣. តើខ្ញុំគួរធ្វើការជាមួយភ្នាក់ងាររើសបុគ្គលធ្វើការងារ (recruitement agency) ដែរឬទេ?
មិនត្រូវទៅកាន់ភ្នាក់ងារជ្រើសរើសបុគ្គលិកទូទៅនោះទេ។ ផ្ទុយទៅវិញរកមើលក្រុមហ៊ុនជ្រើសរើសអ្នកឯកទេសបច្ចេកវិទ្យាព័ត៌មានដែលមានការយល់ដឹងកាន់តែប្រសើរអំពីតួនាទីដែលអ្នកកំពុងព្យាយាមរក ក្នុងនាមជាអ្នក pentester មួយ។ នៅពេលអ្នកបានរកឃើញហើយនោះ ត្រូវប្រាកដថាអ្នកធ្វើតាមចំនុចមួយចំនួនដូខខាងក្រោម:
- ត្រូវមានការស៊ូទ្រាំៈ មិនត្រូវយល់ព្រមទទួលការងារភ្លាមៗដែលមិនពេញចិត្តនោះទេ។ អ្នកមានជំនាញពិតប្រាកដគឺមានតម្រូវការខ្ពស់ ហើយនិយោជកនឹងផ្តល់រង្វាន់ដល់ការអត់ធ្មត់របស់អ្នក។
- ចងចាំនូវទ្រឹស្តីមួយចំនួន: ពេលខ្លះអ្នកនឹងទទួលបានទូរស័ព្ទទាក់ទងពីភ្នាក់ងារជ្រើសរើសបុគ្គលិក ហើយពួកគេនឹងមានសំនួរបឋមមុនពេលមានការសំភាសន៍។ ត្រូវប្រាកដថា អ្នករួចរាល់ក្នុងការតៀមឆ្លើយសំនួរសាកល្បងទូទៅដូចជា “តើ port លេខ X ទាក់ទងជាមួយនឹងសេវាអ្វីជាដើម? ”។
- ការសម្របសម្រួលការឆ្លើយឆ្លង: ព្យាយាមកុំប្រើការឆ្លើយតបដដែលៗនៅពេលធ្វើការជាមួយភ្នាក់ងារជ្រើសរើសបុគ្គលិក។ សូមបង្កើតការឆ្លើយតបជាលក្ខណៈបុគ្គល ដែលបង្ហាញថាអ្នកបានចំណាយពេលវេលាគិតគូរយ៉ាងច្បាស់។
- បង្ហាញពីជំនាញ និងសមិទ្ធិផលរបស់អ្នក: ប្រសិនបើអ្នកមានជំនាញឯកទេស ដែលអ្នកគិតថានឹងមានអត្ថប្រយោជន៍ចំពោះពាក្យសុំធ្វើការរបស់អ្នក សូមកុំខ្លាចក្នុងការបង្ហាញវាចេញមក។ ប្រសិនបើអ្នកទទួលបានជោគជ័យនៅក្នុងអតីតកាលជាមួយនឹងគម្រោង និងការសម្រេចសមិ្ធផលធំៗ ក៏គួរតែរៀបរាប់វាផងដែរ។
- ធ្វើឱ្យខ្លួនឯងអាចទំនាក់ទំនងបានគ្រប់ពេល: ជាទូទៅភ្នាក់ងារជ្រើសរើសបុគ្គលធ្វើការជាមួយបេក្ខជនច្រើនក្នុងពេលតែមួយ ។
៤. តើខ្ញុំអាចធ្វើឱ្យប្រវត្តិរូប ឬជីវប្រវត្តិសង្ខេបរបស់ខ្ញុំលេចធ្លោយ៉ាងដូចម្តេច?
នេះគឺជាផ្នែកមួយក្នុងចំណោមដំណើរការជាច្រើននៃការប្រមាញ់ការងារ ហើយអ្នកគួរតែជួលគេឲ្យរៀបចំ CV របស់អ្នកឱ្យមានលក្ខណៈអាជីព ប្រសិនបើអ្នកមិនអាចធ្វើវាបានដោយខ្លួនអ្នកផ្ទាល់នោះទេ។ មិនត្រូវមានការខ្មាស់អៀនក្នុងការទទួលបានជីវប្រវត្តិ ឬប្រវត្តិរូបពីអ្នកដែលមានជំនាញវិជ្ជាជីវៈនោះទេ ។ មានជំនាញ និងសមត្ថភាពបន្ថែមជាច្រើនទៀតដែលអ្នកត្រូវរៀបរាប់ នៅក្នុង CV នោះ ដោយសារតែ pentesting គឺជាជំនាញមួយដែលទាមទារឲ្យមានជំនាញបច្ចេកទេសមួយចំនួន។
ខាងក្រោមនេះគឺជាគន្លឹះមួយចំនួនដើម្បីឱ្យអ្នកចាប់ផ្ដើម:
ក. រៀបរាប់អំពីបទពិសោធដែលទាក់ទងនឹងការធ្វើ pentesting ទាំងអស់, ហើយបង្ហាញឱ្យបានច្បាស់ពីព័ត៌មាននិងជំនាញពាក់ព័ន្ធបំផុតរបស់អ្នកដែលទាក់ទងទៅនឹងវិស័យ។
ខ. មិនត្រូវរៀបរាប់បញ្ជីឈ្មោះនៃកម្មវិធី (tools) ដែលអ្នកប្រើប្រាស់សម្រាប់ការធ្វើ pentesting ទៅក្នុង CV របស់អ្នកឡើយ ព្រោះវាមិនបានបង្ហាញលំអិតអំពីជំនាញរបស់អ្នកដល់និយោជកនោះទេ។ កុំនិយាយអំពីកម្មវិធីដូចជា Wireshark, Burp និង Aircrack លើប្រវត្តិរូបរបស់អ្នក។ ផ្ទុយទៅវិញចូរនិយាយពីសមត្ថភាពរបស់អ្នកក្នុងធ្វើ Pentesting មានដូចជា wireless traffic testing, packget inpsecption និង web testing ជាដើម។ នេះអនុញ្ញាតឱ្យនិយោជកដឹងពីអ្វីដែលអ្នកអាចធ្វើសម្រាប់ពួកគេក្នុងតួនាទីជា pentester ។
គ. វិញ្ញាបនបត្រដែលទាក់ទងទៅនឹង pentesting ឬសន្តិសុខអ៊ីនធឺណិតជាទូទៅ ត្រូវតែគូសបញ្ជាក់ និងបញ្ជាក់យ៉ាងច្បាស់ ឲ្យស្របទៅនឹងអ្វីដែលនិយោជកត្រូវការស្វែងរកការដូចជាវិញ្ញាបនបត្រ CEH ឬ OSCP ឬ MCPS (Metasploit Certified Pro Specialist) ។
ឃ. បើសិនជាអ្នកបានបង្កើតនូវកម្មវិធីសម្រាប់ធ្វើតេស្ត ឬកម្មវិធីសន្តិសុខអ្វីមួយដោយខ្លួនឯង អ្នកគួតែបញ្ជាក់វាផងដែរ។
ង. តើអ្នកមានគម្រោងអ្វីខ្លះទេនៅលើ Github? បញ្ចូលតំណសម្រាប់និយោជករបស់អ្នកដើម្បីពិនិត្យឡើងវិញ។
ច. តើអ្នកមានវេបសាយផ្ទាល់ខ្លួន ឬប្លុកដែរឬទេ? តើអ្នកជាអ្នករួមចំណែកផ្តល់យោបល់ នៅក្នុងវេទិកា pentesting ណាមួយដែរឬទេ? ទាំងនេះគឺអាចបញ្ជាក់ដល់និយោជកថា អ្នកមានការចាប់អារម្មណ៍យ៉ាងខ្លាំងក្នុងជំនាញនេះ ហើយវាសាកសមនឹងក្រុមហ៊ុនរបស់ពួកគេ។
ឆ. បញ្ចូលនូវឯកសារយោង ឬលិខិតផ្តល់អនុសាសន៍ពីអតិថិជនចាស់ៗ ឬនិយោជកមុនៗ បើសិនជាមាន។
៥. ជាធម្មតា តើដំណើរការនៃការសំភាសន៍ Pentesting ដូចម្តេចដែរ?
ក្រុមហ៊ុននីមួយៗមានភាពខុសៗគ្នា ប៉ុន្តែជាធម្មតាដំណើរការនៃការសម្ភាសន៍តែងតែធ្វើឡើងពី 2 ទៅ 3ដង អាស្រ័យលើតួនាទីដែលអ្នកនឹងត្រូវបំពេញនៅក្នុងក្រុមហ៊ុន។ ការសំភាសន៍លើកដំបូង ជាទូទៅមានសំណួរជាស៊េរីដើម្បីជួយអ្នកសំភាសន៍វាស់កម្រិតនៃចំណេះដឹង និងការយល់ដឹងរបស់អ្នកអំពីតួនាទី pentesting របស់អ្នកស្នើសុំ។ ផ្នែកដំបូងនៃការសម្ភាសន៍របស់អ្នកនឹងមានសំណួរធម្មតាដែលត្រូវបានរៀបចំឡើងដើម្បីសាកល្បងចំនេះដឹងរបស់អ្នក។ សំណួរទាំងនេះនឹងមានភាពខុសប្លែកគ្នាអាស្រ័យលើអតីតភាពនៃតួនាទីដែលអ្នកកំពុងស្នើសុំ។
សំនួរគំរូមួយចំនួនអាចរួមបញ្ចូល:
ក. តើកម្មវិធីអ្វីខ្លះដែលត្រូវបានប្រើដើម្បីវិភាគដំណើរការនៅលើបណ្តាញ?
កម្មវិធីសម្រាប់ធ្វើការត្រួតពិនិត្យទៅលើចរាចរដូចជា Wireshark ត្រូវបានប្រើសម្រាប់ការវិភាគ ទៅលើ packet នៃចរាចរបណ្តាញ។
ខ. តើការប្រុងប្រយ័ត្នចំនួនបីដែលការពារប្រឆាំងនឹងការវាយប្រហារបែប brute force មានអ្វីខ្លះ?
យើងអាចមានយន្តការ ១/បិទមិនឲ្យមានការ Log ចូលបន្ទាប់ពីការព្យាយាមមិនបានសម្រេចប៉ុន្មានដង ២/រាំងខ្ទប់ IP តាមរយៈ script ដែលធ្វើការចាប់បាននូវការព្យាយាម Login ចូលមិនបានសម្រេច និង ៣/ច្រោះនៅក្នុងជញ្ជាំងភ្លើង ដោយយកតែ IP ណាដែលអនុញ្ញាតតែប៉ុណ្ណោះ។
គ. តើអ្វីទៅជាភាពខុសគ្នារវាង a /23 និង a /24 network?
បណ្តាញ A / 23 គាំទ្របានអតិបរមាចំនួន 510 ម៉ាស៊ីន និងប្រើ subnet mask លេខ 255.255.254.0 ខណៈពេលដែលបណ្តាញ a / 24 មានចំនួនអតិបរមានៃម៉ាស៊ីន 254 និងប្រើsubnet mask លេខ 255.255.255.0 ។ លេខ /n សំដៅលើចំនួននៃ network bits ហើយចំនួននៃ subnet ប្រែប្រួលអាស្រ័យលើថ្នាក់នៃបណ្តាញ (A, B ឬ C) ។
៦. តើការសម្ភាសន៍មានការធ្វើតេស្តវាយតម្លៃជាក់ស្តែងដែរឬទេ?
បន្ទាប់ពីអ្នកបានឆ្លើយសំណួរខ្លះៗរួចមក ការសម្ភាសន៍អាចតម្រូវឱ្យមានការធ្វើអនុវត្តន៍ជាក់ស្តែង ឬការធ្វើលំហាត់ដែលទាក់ទងទៅនឹង pentesting ។ នេះគឺដោយសារតែលក្ខណៈនៃតួនាទី pentesting និងការពិតដែលថាតួនាទីនេះត្រូវការចំណេះដឹងអនុវត្តន៍ជាក់ស្តែង។
៧. ការពិចារណាលើការសម្ភាសន៍បន្ថែម
ក្រៅពីការដឹងអំពីគោលការណ៍នៃបណ្តាញណេតវើកហើយនោះ បេក្ខជនត្រូវបានគេរំពឹងថាអាចធ្វើការពណ៌នា និងបកស្រាយដោយផ្ទាល់មាត់ ឬជាលាយលក្ខណ៍អក្សរ អំពីរបៀបដែលការវាយប្រហារជាក់លាក់ណាមួយដែលអាចកើតឡើងចំពោះអ្នកដែលមិនមែនជាអ្នកបច្ចេកទេស។ នេះគឺជាជំនាញដ៏សំខាន់មួយ ខណៈពេលដែល pentesting តម្រូវឱ្យមានជំនាញទំនាក់ទំនងដ៏ល្អក៏ដូចជាសមត្ថភាពក្នុងការពន្យល់អំពីទស្សនាទានស្មុគស្មាញជាភាសាសាមញ្ញទៅអ្នកដែលមិនមែនជាអ្នកបច្ចេកទេស ឬអ្នកគ្រប់គ្រង។
អ្នកសំភាសន៍ក៏ប្រហែលជាចង់ឃើញពីរបៀបដែលអ្នកចងក្រងរបាយការណ៍ឧប្បត្តិហេតុមួយ ឬរបាយការណ៍នៃការវាយតម្លៃភាពងាយរងគ្រោះ (vulnerability assessment) បន្ទាប់ពីការអនុវត្តជាក់ស្តែងត្រូវបានបញ្ចប់ ដើម្បីធ្វើការវាយតម្លៃជំនាញសរសេររបស់អ្នក។ ពួកគេក៏ទំនងជាចង់ឃើញនូវខ្លឹមសារជាជំហានៗ នៅក្នុងរបាយការណ៍ ពីរបៀបដែលអ្នកសម្រេចបាននូវលទ្ធផលរបស់អ្នក។
៨. សេចក្តីសន្និដ្ឋាន
ការចាប់យកអាជីពការងារក្នុងវិស័យសន្តិសុខអ៊ីនធឺណិត គឺជាការរៀនសូត្រ និងការអភិវឌ្ឍជំនាញពេញមួយជីវិត។ ការឈានដល់កម្រិតជា pentester ជារឿយៗត្រូវការចំណេះដឹងជាច្រើនមុខដូចជា រួមទាំងការសរសេរកម្មវិធី ការគ្រប់គ្រងមូលដ្ឋានទិន្នន័យ សន្តិសុខតាមបណ្តាញ ការធ្វើកោសលវិច័យ ការសរសេរស្គ្រីប (script) និងអ្នកជំនាញជាក់លាក់ផ្សេងទៀត ។ ព័ត៌មានបន្ថែមអំពីការក្លាយជា pentester អាចត្រូវបានរកឃើញនៅទីនេះក៏ដូចជាបញ្ជីនៃវគ្គបណ្តុះបណ្តាលដែលមានប្រយោជន៍ពាក់ព័ន្ធពីវិទ្យាស្ថាន Infosec មួយ៕
ប្រភពៈ InfoSec Institute