[Review] สอบ CRTA ใบเซอร์สาย Pentest ระดับเริ่มต้น ลดราคาจาก $99 เหลือ $9

เห็นว่ามีเพื่อน ๆ สนใจการสอบ CRTA หลายคนเลยนะครับ และไหน ๆ แอดก็สอบผ่านแล้วเดี๋ยวขอมาเล่าประสบการณ์ให้ฟังสักหน่อย เผื่อใครอยากจะลองซื้อมาเรียนและเตรียมตัวสอบ ช่วงนี้เขามาลดราคาด้วย 90% เลยนะ

Red Team Analyst [CRTA] และคอร์สเรียน

CRTA คือคอร์สและใบรับรองด้าน Cybersecurity ที่เกี่ยวข้องกับ Red Teaming Analyst หรือเอาง่าย ๆ ก็ Pentesting การเจาะระบบนั่นแหละ โดยเนื้อหาของคอร์สเรียนและตัวใบรับรองนั้น จัดอยู่ในระดับเริ่มต้น จากค่าย Cyberwarfare ครับ

เนื้อหาที่เขาสอนก็จะครอบคลุม 5 เรื่อง (แอดแคปมาเห็นแค่ 4 เรื่องนี้) จะเป็นการปูพื้นฐานด้าน Cybersecurity และการเจาะระบบเบื้องต้น ซึ่งสามารถนำไปต่อยอดเพื่อเรียนรู้ต่อไปหรือเป็นพื้นฐานเพื่อเตรียมตัวไปสอบเซอร์ตัวที่โหดขึ้น

เมื่อซื้อ CRTA มาแล้ว จะมีคอร์สเรียนและแลปให้เราลองทำกันด้วย โดยเขาจะแบ่งออกเป็น 2 ส่วนครับ ถ้าหน้าเว็บส่วนที่เป็นคอร์สสอน จะอยู่ใน LMS Portal แต่ถ้าเป็นแลปจะอยู่ใน Labs Portal ซึ่งตอนจองเวลาสอบเซอร์ ก็จะต้องเข้ามาจองใน Labs Portal ด้วย

ส่วนถ้าใครถามแอดว่า เนื้อหาที่เขาสอนเป็นยังไง อันนี้ขอพูดตามตรงว่าเรียนไม่จบ 55555 คือแอดกดข้ามคลิปไปเรื่อย ๆ อยากให้มันรีบ ๆ จบ คนสอนเขาพูดอังกฤษสำเนียงอินเดียก็เลยอาจจะฟังยากนิดนึง ที่เห็นว่าเรียนไป 20 ใน 29 บทเรียนน่ะ คือกดข้ามทั้งนั้น

ในส่วนของแลป หากเราเปิดแลปแล้วจะเข้าใช้งานได้ 30 วันเท่านั้น ซึ่งแอดยังไม่เคยได้ลองเล่นแลปหรอกนะ เปิดเข้าไปแต่ไม่มีเวลาว่างสักที ในแลปเห็นว่ามีทั้งแลปที่ใช้ควบคู่กับบทเรียน กับแลปยาว ๆ ที่ให้เราลองเจาะระบบกันเอง

ถ้าใครลองเล่นแลปแล้วมาเล่าให้ฟังหน่อยนะ

จากสอบ+ทำรายงาน เปลี่ยนเป็นสอบรวดเดียวจบ

ต้องบอกก่อนว่าข้อสอบของ CRTA มีการปรับเปลี่ยนพอสมควร เดิมจะเป็นการสอบเจาะระบบ 24 ชั่วโมง และทำรายงานส่งอีกใน 24 ชั่วโมง แต่ตอนนี้ได้ปรับเปลี่ยนใหม่ เป็นการสอบเพียง 6 ชั่วโมง ไม่ต้องส่งรายงาน เน้นเจาะระบบ ตอบคำถาม แล้วก็รับเซอร์ไปเลย (คล้าย eCPPT)

ตรงจุดนี้ผมว่าดีมาก เพราะถ้าเป็นการสอบแบบที่ต้องส่งรายงาน ทำให้จองวันสอบยากมาก พอมาเป็นสอบแบบ 6 ชั่วโมงจบ ทำให้ลงวันสอบได้ง่ายขึ้น ซึ่งการจองวันสอบก็เข้าไปจองใน Labs Portal นั่นแหละ ไม่แน่ใจว่าเขามีให้เลือกเวลาไหนบ้าง แต่วันที่แอดจอง 10 มิถุนายน มีให้เลือกแค่ช่วง 7.00-13.00 น. เท่านั้น

ประสบการณ์สอบของแอด

เช้าวันที่ 10 มิถุนายน แอดตื่นมาตั้งแต่ 6 โมงเช้า ไม่ใช่เพราะรีบตื่นมาเตรียมตัวนะ แต่จำเวลาผิด (พอดีเขาใช้เวลา GMT มันเลยต้องคำนวณกลับไปมานิดนึง) ก็เลยได้ตื่นมานั่งพิมพ์บทความลงเพจสักหน่อย รอถึงเวลาสอบครับ

เมื่อถึงเวลาสอบจะมี VPN ให้เราดาวน์โหลดไปลงใน Kali เพื่อใช้เป็นช่องทางสำหรับเข้าสู่ระบบของเขา โดยหน้าเว็บจะมีเครือข่ายที่จะให้เราเจาะ (ก็แจ้งมาแค่เลข IP Address นั่นแหละ ที่เหลือด้นสด) หลังจากนั้นเราจะต้องเจาะระบบไปเรื่อย ๆ พร้อมตอบคำถามตามโจทย์ที่เขาถาม ซึ่งคำตอบจะได้มาจากการเจาะระบบนั่นแหละ

เนื้อหาที่สอบจะเป็น Network Pentest และ AD Pentest เป็นหลัก ส่วน Web App Pentest มีน้อยมาก (จะไม่นับว่ามีเลยก็ได้) ซึ่งช่วงแรก ๆ ผมเจาะได้ค่อนข้างรวดเร็วครับ จนกระทั่งทำมาได้ 60% ตอนนี้เริ่มตันละ และเหลือเวลาอีก 3 ชั่วโมงเท่านั้น

จริง ๆ ถามว่ามันยากขนาดไหน อืมมม ถ้าพอมีพื้นฐานมา (และถ้าใครเรียนคอร์สของเขาด้วย) น่าจะทำได้ไม่ยากมากนัก แต่ต้องระวังเรื่องโดนหลอกล่อให้เข้าใจผิด คือผมคิดไปว่า เออ ช่องโหว่มันน่าจะอยู่ตรงนี้แหละ แต่สุดท้ายแล้วมันไม่ใช่เส้นทางนั้นครับ ผมลืมเรื่องเบสิกไปเฉยเลย

พอผมตั้งสติได้ เหลือเวลาอีก 2 ชั่วโมงครึ่ง ผมก็ไปต่อได้ฉลุยจนสามารถแก้โจทย์ได้ครบ เมื่อตอบโจทย์ครบหมดทุกข้อเว็บก็จะแสดงความยินดีและให้เรากดเคลมใบเซอร์ได้เลยครับ

บทสรุป CRTA ยากไหม

สำหรับตัวแอดเองมองว่าไม่ยากมากจนเกินไป เหมาะสำหรับคนที่เริ่มต้นอยากลองเรียนรู้สายงานด้าน Pentesting คือมันอาจจะไม่สามารถสะท้อนถึงการทำงานจริงได้ขนาดนั้น แต่มันเหมือนตัวช่วยให้เราเช็กความพร้อมในการเข้าสู่สายงานนี้ครับ

สิ่งสำคัญในการสอบครั้งนี้ บอกเลยว่า Enumeration สำคัญม้ากกกก คือถ้าคิดอะไรไม่ออก ไม่รู้จะเริ่มต้นยังไง Enum ไว้ก่อน Nmap, Gobuster, fuff จัดเต็มให้หมด เรามีข้อมูลเยอะ ๆ ไว้ เราจะเจาะระบบได้สะดวกสบายขึ้นเยอะ

ใครที่สนใจ CRTA นะครับ ตอนนี้มีโค้ดลดราคา 90% จาก 99 ดอลลาร์ เหลือเพียง 9 ดอลลาร์เท่านั้น เพียงกรอกโค้ด USA90 ลองดูได้เลยครับ https://cyberwarfare.live/product/red-team-analyst-crta/