Try   HackMD

Cissp Day 0 老師介紹與課程介紹

初次上課日 20231119


王瑞祥 ROLAND WANG 教師簡介

  • 資安獨立顧問 講師

獨立=沒靠行 freelancer 接案

講師經歷

  • 軟體工程師
  • 專案經理
  • 技術主管 - 經濟部工業局app檢測
  • 目前主要是顧問和講師

在恆逸上課的事項

  1. 記得上課時刷磁卡簽到,下課不用簽退
  2. 領了硬碟才能開機
  3. 教室電腦可以使用遠距功能,實體教室老師會直接切換到投影螢幕
  4. 教室電腦有網路可連到Google等開放網路

教材說明

教材版本202307,使用的是ISC2原廠投影片 + roland老師補充
另一位唐任威老師是用原廠書本,每個老師風格不同
同時也有台中、高雄的教室一起遠端上課


老師確認學生的上課目標

個人背景

  • 資安管理 政策面 (台北5 高雄1 台中2)
  • 資安技術 滲透測試 紅隊藍隊(台北5 高雄1 台中1)
  • IT 網管 系統管理MIS (台北6 高雄1 台中0)
  • PG 開發程式 (台北2 台中0 高雄0)
  • PM 專案經理 產品經理 (台北3 台中0 高雄0)
  • 其他 Consultant 顧問(台中1 高雄0) Presales sales

工作經驗

  • 資安5年工作經驗(台北1)
  • 管理制度 ISO 27001、nist、pci dss 建置和執行 (台北10 台中4 高雄1)

老師:全球19x個國家,台灣拿 27001 LA課程人數排前10名

  • 一定要考證照(台北14 台中4 高雄1 全部都是要考照)
  • 只是想要系統性的了解資安領域 (0,大家都是目標考照)

原廠 ISC2

唸法是 ISC square
考試費美金749,以考試來說很貴沒錯,2022年曾經有買一送一優惠,2023年底又有出現一次

另外有一個證照是 isc cc ,是一個入門等級entry level
證照很簡單,裸考有機會過,考不過也沒關係
因為考cc不用錢,目的是熟悉考場(跟cissp一樣)
熟悉螢幕作答流程,考過多一張證照,考不過也沒怎樣


8個領域 CBK 有管理有技術

CISSP® 認證考試範圍(即為CISSP CBK® 資訊安全通識體系八大領域):

  • Domain 1—安全暨風險管理 (政策面 管理面居多)
  • Domain 2—資產安全 (有管理也有一點技術 盤點就是管理面,但 資訊資產銷毀方式就是偏技術)
  • Domain 3—安全架構與工程 (講到風險 密碼學)
  • Domain 4—通訊及網路安全 (網路協定 純技術)
  • Domain 5—識別暨存取控制 (身分識別 存取管理 帳號權限盤點就是管理 kerberos就是技術面)
  • Domain 6—安全性評估與測試 (管理技術都有 如管理的內稽流程 技術的滲透測試弱掃)
  • Domain 7—安全性作業 (管理BCP DRP 營運持續計畫 ;技術備份還原)
  • Domain 8—軟體開發安全性 (管理SSDLC 技術:原碼檢測)

上課就是照這8個領域順序上,cissp的內容特色就是廣,會超過 iso 27001的範圍
例如 domain 3 提到 security model(1970年代出現,有些同學根本還沒出生),27001沒有
補償性控制措施 nist有 pci dss也有,但27001沒有

老師做資安20年也不敢說每個領域都懂

廣度廣的特性,深度不可能太深

準備課程順序建議

8個 domain都先看過,去強化自己最弱的那個
考試題目不是跟你講考在哪一個 domain ,可能是 1題同時包含複數個domain

例如風險管理在domain3,但概念也可以用在domain 8軟體開發,

資產盤點跟備份兩者的關聯,你覺得重要資料消失毀損影響嚴重才會去做備份,但是沒有資產盤點,怎麼知道哪個重要? 所以會有複數domain關聯性

顧問或是稽核厲害的地方在理解之間的關聯性與先後順序

深度要看到多深?

  1. 首先了解這個知識點是什麼? 主要目的 主要功能
  2. 這個東西為什麼存在? 他要解決什麼問題
  3. 這個東西如何運作? (最後再理解 相對不重要)

舉例 kerberos 這個東西

  1. 做什麼? 身分驗證
  2. 解決什麼問題? single sign on,third party
  3. 什麼角色 何種技術

如何確認自己的 cissp 考試準備完成?

每個 domain 準備完,就去考單domain的模擬考題
要考到 70% 以上才算了解

1~8個 domain,每個都準備完就去做不分 domain 的模擬考題,至少混合題目也考到70%,再去考正式

不分 domain 的考 2~3 次都 70% 以上再去考正式比較有機會過


cissp 的高度 跟技術背景有關

工具規律之馬斯洛槌子:你手上有個錘子 看什麼都是釘子
if all you have is a hammer, everything looks like a nail
by Maslow and Kaplan

技術人員解決資安問題 什麼都想用技術解決,但是在資安不見得都能用技術,還是需要管理

例如特權帳號管理 可以採購cyberark這種PAM工具,但成本很高
用opensource沒有取得成本但是有技術成本(要專家去研究)

另一個是技術有限制,例如dlp資料外洩偵測,如果被用圖片隱藏技術帶出去
或是原碼檢測不能保證全部弱點檢測到或是一定沒有誤報

技術背景的人高度要拉到管理者思維,要確定題目想問題管理議題還是技術議題
解題方向錯就會答錯

考試問法類似PMP best answer最佳解,不是 correct正確解,可能4個答案都正確,那就是要用管理面來解(風險 預算 組織規模 來評估),從題目裡面找出線索才方便解,刪去法在這類題目上比較困難


mind set 心態準備

  • 考題出現 人命 的優先選保命
    cissp 西方國家思維,對人的生命安全非常重視,一定排第一位,牽涉到人的生命安全,一定是命最重要,其他都其次
  • 遵循性也是很重要

資安小白可能比較沒差,在職場打滾很久的老鳥有心態可能被台灣職場固化,正式考試有時候轉不過來,工作經驗不見得是對的,答題要 by the book(依照書上寫的),優先以國際標準規範正確觀念來回答題目。


考試類型

  • CAT考試 曾經只有英文 變動題目數量,2023年底開放500個實驗性的簡中名額,預計2024年4月15月後增加簡中版,考試時間 3小時 125~175題
    變動題目的意思:他覺得你前面125題答得很好已經夠看得出你實力了、或是答太爛沒救了,就會自動終止,看不出來的話才會超過125,最多做到175題。
    考試出來走到櫃檯,看到紙上結果:英文congulation=過了, thank you=沒過

  • linear 考試 線性 固定250題 有簡中+英文原文對照 6小時


要考試的很推薦看 exam outline

打開要注意日期是不是新的,裡面有英文也有簡中的
https://www.isc2.org/certifications/cissp/cissp-certification-exam-outline

Image Not Showing Possible Reasons
  • The image was uploaded to a note which you don't have access to
  • The note which the image was originally uploaded to has been deleted
Learn More →


正課補充資料

https://tinyurl.com/cisspucom

Image Not Showing Possible Reasons
  • The image was uploaded to a note which you don't have access to
  • The note which the image was originally uploaded to has been deleted
Learn More →