初次上課日 20231119
獨立=沒靠行 freelancer 接案
教材版本202307,使用的是ISC2原廠投影片 + roland老師補充
另一位唐任威老師是用原廠書本,每個老師風格不同
同時也有台中、高雄的教室一起遠端上課
個人背景
工作經驗
老師:全球19x個國家,台灣拿 27001 LA課程人數排前10名
唸法是 ISC square
考試費美金749,以考試來說很貴沒錯,2022年曾經有買一送一優惠,2023年底又有出現一次
另外有一個證照是 isc cc ,是一個入門等級entry level
證照很簡單,裸考有機會過,考不過也沒關係
因為考cc不用錢,目的是熟悉考場(跟cissp一樣)
熟悉螢幕作答流程,考過多一張證照,考不過也沒怎樣
CISSP® 認證考試範圍(即為CISSP CBK® 資訊安全通識體系八大領域):
上課就是照這8個領域順序上,cissp的內容特色就是廣,會超過 iso 27001的範圍
例如 domain 3 提到 security model(1970年代出現,有些同學根本還沒出生),27001沒有
補償性控制措施 nist有 pci dss也有,但27001沒有
老師做資安20年也不敢說每個領域都懂
廣度廣的特性,深度不可能太深
8個 domain都先看過,去強化自己最弱的那個
考試題目不是跟你講考在哪一個 domain ,可能是 1題同時包含複數個domain
例如風險管理在domain3,但概念也可以用在domain 8軟體開發,
資產盤點跟備份兩者的關聯,你覺得重要資料消失毀損影響嚴重才會去做備份,但是沒有資產盤點,怎麼知道哪個重要? 所以會有複數domain關聯性
顧問或是稽核厲害的地方在理解之間的關聯性與先後順序
舉例 kerberos 這個東西
每個 domain 準備完,就去考單domain的模擬考題
要考到 70% 以上才算了解
1~8個 domain,每個都準備完就去做不分 domain 的模擬考題,至少混合題目也考到70%,再去考正式
不分 domain 的考 2~3 次都 70% 以上再去考正式比較有機會過
工具規律之馬斯洛槌子:你手上有個錘子 看什麼都是釘子
if all you have is a hammer, everything looks like a nail
by Maslow and Kaplan
技術人員解決資安問題 什麼都想用技術解決,但是在資安不見得都能用技術,還是需要管理
例如特權帳號管理 可以採購cyberark這種PAM工具,但成本很高
用opensource沒有取得成本但是有技術成本(要專家去研究)
另一個是技術有限制,例如dlp資料外洩偵測,如果被用圖片隱藏技術帶出去
或是原碼檢測不能保證全部弱點檢測到或是一定沒有誤報
技術背景的人高度要拉到管理者思維,要確定題目想問題管理議題還是技術議題
解題方向錯就會答錯
考試問法類似PMP best answer最佳解,不是 correct正確解,可能4個答案都正確,那就是要用管理面來解(風險 預算 組織規模 來評估),從題目裡面找出線索才方便解,刪去法在這類題目上比較困難
資安小白可能比較沒差,在職場打滾很久的老鳥有心態可能被台灣職場固化,正式考試有時候轉不過來,工作經驗不見得是對的,答題要 by the book(依照書上寫的),優先以國際標準規範正確觀念來回答題目。
CAT考試 曾經只有英文 變動題目數量,2023年底開放500個實驗性的簡中名額,預計2024年4月15月後增加簡中版,考試時間 3小時 125~175題
變動題目的意思:他覺得你前面125題答得很好已經夠看得出你實力了、或是答太爛沒救了,就會自動終止,看不出來的話才會超過125,最多做到175題。
考試出來走到櫃檯,看到紙上結果:英文congulation=過了, thank you=沒過
linear 考試 線性 固定250題 有簡中+英文原文對照 6小時
打開要注意日期是不是新的,裡面有英文也有簡中的
https://www.isc2.org/certifications/cissp/cissp-certification-exam-outline