2020年7月3日 星期五

史上最完整的(ISC)2 考試心得分享:SSCP/CSSLP/ CCSP/CISSP四張資安證照該如何準備?


史上最完整的(ISC)2 考試心得分享

SSCP/ CSSLP/ CCSP/ CISSP 四張資安證照該如何準備?

(ISC)2 為非營利性的全球知名資訊安全組織,獨家授權精誠資訊恆逸教育訓練中心為(ISC)2 於台灣的教育聯屬機構,提供台灣資安人員與全球同步的(ISC)2 資安認證教育訓練及考試服務。

課程針對資訊安全相關人員所規劃,由(ISC)2 認可之專業講師帶領您在短期的密集課程中,且全程採用(ISC)2 原版教材,其教材內容接近考試用語,絕非使用坊間自編教材與參考書,可在應考前充分複習,讓您面對考試的挑戰。







SSCP®資訊安全專業人員認證

SSCP® 認證是針對在企業組織中負責網路及系統管理的相關人員,有資訊安全技術能力且具實務經驗者而設,此證照以公正客觀的標準,界定企業組織中實際負責運作及落實資安政策相關從業人員的實務工作範圍、角色與職務。取得SSCP,代表應具備SSCP CBK® 七大領域的相關知識,包括瞭解各個常規工作範圍在推行、監督、運作上所運用的基本原則、組成部分及應用技術。

恆逸學員:莊友豪
考試心得:

《考試準備》
因為平日要上班,所以報名了禮拜六假日班的SSCP,很榮幸給Vincent老師上課。SSCP觸及的資安範圍很廣,從實體安全到技術層面的安全都有,偏管理類的資安,老師上課時也會分享很多實際的案例,老師寫的筆記也一定要記下來。基本上那個禮拜六上完後,我就會利用禮拜天跟禮拜一到五的下班時間把課本再複習一次,不懂的單字一定要查,尤其是老師講到的部分加強複習。另外我有使用ISC2官方線上的「Post-Course Assessment」跟購買Sybex出版的「(ISC)2 SSCP Systems Security Certified Practitioner Official Practice Tests」這本書來輔助複習,這本書我是在Book Depository買的,優點是外文書便宜而且從英國寄過來免運費,缺點是要等快1個月才會收到且沒有什麼物流追蹤碼,只能慢慢等他寄來。而複習的時候要把題目想表達的觀念弄懂,死背是沒用的,答案的詳解也要搞懂為什麼要選那個答案,並養成使用刪去法,而用Sybex那本書的好處是他每個章節都有提供線上測驗,另外還有兩次模擬試題(125),可以反覆複習好幾次,我反覆練習到所有題目混合到只有錯12題,並且要熟到一看的題目就知道要表達的觀念為止,對於不熟的觀念就去翻課本讀熟。另外SSCP是沒有考古題的,網路上找到的那些考試一題都沒有出現。

《應考心得》
SSCP
是自己去Pearson VUE上報名即可,考試地點在捷運市政府站附近,考試日期變動很快,可能今天看有的時間明天看可能被預約走了,所以自己大概可以挑一個日期範圍,一看到可以預約就馬上預約,考試費用249美金,125題,考試時間3小時。考試前一天一定一定要睡飽,不然沒精神考試會很慘。我考試那天是預約下午2點考試,不過我那天下午145分就到了。到那邊之後,進門就不能看書了,所以如果還想看書可以在他門外看,但沒有椅子只能站著。進去之後就會開始一連串的身份驗證,護照(注意有效期限,我護照過期被拒絕驗證,還好信用卡可以),拍照跟掌紋都要做,接著應考人員會要你先去上廁所,上完後就可以進去開始考試。考試環境也有其他考試會一直敲鍵盤,怕吵的可以跟考官要求耳塞,考官還會發給你一個很像小白板的紙,上面可以計算。考試的時候善用flag,遇到模稜兩可且沒有把握的答案就先flag,最後還可以回頭過來慢慢想,考試題目有90%都是在問你「最有可能」或「最不可能」,所以觀念一定要非常熟悉,當然一些基本觀念如port number、一些流程或網路OSI架構一定要倒背如流,基本題(送分題)只有2~3題,建議善用刪去法,到最後選跟題目最最接近的那個答案,冷靜應答,ISC2Code Of Ethics也一定要熟記,必考。考完後會發給你一張紙要你回家靜待佳音,如果通過了ISC2官方會發信給你要你進入認證階段,但不會告訴你考幾分。認證階段可以用學歷(學士或碩士)來抵免工作資歷,或是至少在SSCP CBK7大領域中1個領域至少工作一年,另外還要找一位ISC2的會員擔任推薦人。幸運的我通過了SSCP測驗,沒有白費上課跟考試費用,希望以上可以幫助到有要考或正在準備SSCP的人!

查詢開課時間

CISSP®資訊安全系統專家認證

CISSP® 認證被譽為資訊安全界的至高標準!並且是第一張經由ANSI美國國家標準學會認可符合ISO/IEC 17024國際標準要求的資訊安全證照;CISSP® 認證是針對在企業組織中的專業資安人員、資安顧問,或是資訊部門管理階層而設。雇主可以更有信心相信其所聘用的CISSP資訊安全人員,擁有所需要的技術水準與經驗,並能有效的處理及執行企業之資訊安全系統與政策。

恆逸學員:莊友豪
考試心得:

《考試準備》

上完課後荒廢了一個月,終於收到考試卷,趁著記憶猶新,狠下心報名了三個月後的考試,這是個非常重要的決定,唯有把錢砸下去時,才會認真去準備!

在這三個月裡,安排平日下班閱讀1至2小時,假日4小時,閱讀順序為:

1. 原廠課本地毯式精讀一次,看到不懂的單字一定要查

2. 考古題數份約三、四千題,讀到不懂的就立刻翻書+上網查
3. 原廠課本再重點式讀一次,補足看考古題不懂的地方
4. 投影片本精讀一次,遇不懂的就上網查、翻課本

考古題是在網路蒐集到的,其中更有對岸標榜「全真回憶」!對於考古題的心得:答案不一定是對的,自己必須要有判斷正確的能力,正如大家所說的,考古題對CISSP而言沒有命中率的問題,但它的價值是讓你多看、多練習。

《應考心得》
考試剛好遇到肺炎疫情,原廠也發信通知可在24小時前免費延期,但已經用了三個月精讀,實在太痛苦了!決定應考,一了百了!
這天安排了台北場11:15,我大概10:30就到了,建議提早到,讓自己從容一點(早到可早考)。在完成報到後,先在外場悠閒的吃早餐,調適心情再上場,大概是10:50開考。
考前TA(Test Administrator)會要求看證件、掃掌紋、拍照,進場前(記得去廁所排空!)要把手錶皮包等物品鎖到櫃子裡,口袋須淨空(拉出來給TA檢查),衣袖及褲管拉高,眼鏡取下檢查(非常仔細),接著TA帶你進考場,一個U形座位的電腦考場。閱讀完螢幕上的考試需知後,按下「Next」就開考了,計時180分鐘。

考試題目有簡單也有很難的,絕大多數都是:Which of the following is the BEST…,所有選項都對,但你要有能力挑出最優者。其中有好幾題真的非常難挑,篩到剩2個選項還是難分高下!有一題拖拉題,其實不難,就是需要花較多時間把左右邊看懂,花了不少時間。
由於要在180分鐘內解完100至150題,我自己規畫一題不能超過1.5分鐘,所以每解幾題,就瞄一下右上角的剩餘時間,也一再提醒自己不能慌,把題目、選項讀懂最重要,答過的題目不可回顧重答,因此必須謹慎、膽大但心要細。 

答完第100 題時,這時大約剩90分鐘,心裡也做好被加題的準備了,結果竟然直接結束了!TA立刻過來請我出場,心裡很緊張,老實說剛剛的答題非常沒把握,其實已做好Fail的心理準備了!因為真的考太廣了,題目及選項的英文艱深,涵意又必須想了又想才能作答。
到外場後,外場TA隨即給我一張考試結果,寫著「Congratulations!」總算是對得起報名費、考試費、車票錢了!

(ISC)2 推出了與軟體安全開發有關的準則及認證,藉此期望降低軟體開發在安全上的問題。在(ISC)2 所提出的準則中,其將軟體安全開發所需具備的知識,劃分為八大知識體系(CBK® ),取得CSSLP® 認證,將可視為軟體開發人員對於安全軟體開發八大知識領域專業程度的展現。

恆逸學員:盧勝榮
考試心得:

《考試準備》 
上完Vincent CSSLP 班後,把課程筆記整理好,不斷的 review 及理解內容,每天下班留2-3小時K書,也利用六日去K書。
 除了 (ISC)2 Official 課本及之前上課的筆記,也讀了 Mano Paul的CSSLP書。

準備策略 
 因為內容有點多,我是利用關鍵字方式吧很多資訊簡約化(濃縮化),但建議要先了解內容(例如 COSO->Fraud, Biba->Integrity, sanitization->stripping, substitution, literalization, 等等),考試前就快速的再review一遍,也記得把課本所有練習題都做完。 

《應考心得》
 考試題目 175題: 4個小時
 1. 考試前要睡好,考試時 好精神很重要(因為要考很久) 
2. 問題要看仔細,不確定的可以先 Flag 
3. 有把握的答案不用 Flag 
4. 全部答完 先針對被 Flag 題目 
5. 把所有答案 再review 一邊(不管有沒有被 Flag) 

最後我就把所有答案分類成3類:100%對,50:50,亂猜的當比例,把握度低於 70% 時一定要重新 review,一邊總結。
由於職務需要 就上了 CSSLP 認證課程,本課程主要會講解開發流程需要注意的8個項目(8 Domain),讓我們可以開發更安全的軟體(產品),降低資安威脅在軟體開發時候發生。

 Vincent 講師在此課程擁有專業的資安知識,也具備很多資安證照,在課程會特別提醒學生在軟體開發流程需要特別注意的事項。不管學生目的是為了 取得證照或只是為了加強自己在軟體開發的經驗與知識 都會有很大的幫助。

課程也不會特別限制與在某個程式語言,而會專注在流程 包含了軟體開發在 requirement, design, implementation, testing, deployment, operation, disposal 需要注意的資安問題。

CSSLP 考試範圍 還滿廣,學生考試前建議先把課本每個 domain 與 比較細節的內容深入的理解,針對每個流程的順序也要熟悉一下。也建議參考其他 CSSLP或CISSP課本,因為CSSLP有些 Domain 有包含在 CISSP 內容。 最後也可以試著把課程裡面的內容或理論,連結到我們在 開發軟體會進行的流程,不足的地方就補上去。

這樣做會讓我們不只是強在理論而有實際的 Implementation 的經驗,也會讓我們更加熟悉軟體安全開發每一個細節。 



CCSP® 雲端資安專家認證

CCSP® 認證是二大安全組織-(ISC)2 及CSA(雲端安全聯盟)兩大國際原廠聯手打造的頂級雲端資安認證。透過此認證,主要用於表彰其持有者於資訊及雲端安全的專業與能力,藉此以協助組織維持重要雲端基礎設施的正常運作、免於危害。

恆逸學員:高梓銘
考試心得:

《考試準備》
雖然這一篇是在講CCSP的考試,但我也想稍微提一下CISSP的心得,因為學習方式大同小異。兩種考試內容不同但是有些地方是重疊的。例如Domain 3 Cloud Platform and Infrastructure Security,這邊就有很高的重疊性。

這門考試最重要的是什麼呢?
第一點:英文閱讀能力一定要好。因為是全英文考試(聽說CISSP已有簡中版考試了),如果平常英文閱讀有困難,題目變成英文難度就會再更高一點,若再加上幾個看不懂的單字,整個題目就看不懂了。

為了克服這個困難,CISSP我考了第三次才考取,考第一次CISSP時英文很多都看不懂,到了考CCSP時就好很多。所以想考(ISC)²的認證,英文閱讀能力是首先需要加強的部分。CCSP學習過程中我遇到了考試改版,雖然之前有上Vincent老師的課,但時間因素沒有辦法去重聽,所以我買了以下幾本書籍來輔助我的學習。

CCSP Official (ISC)2 Practice Tests
The Official (ISC)2 Guide to the CCSP CBK
(ISC)2 CCSP Certified Cloud Security Professional Official Study Guide 

另外由於在我最近幾年的雲端職涯中,會使用到資安的部分大概只有10-15%,在實務上用的比較多的應該是CIA三角形的availability部分。CCSP的六個domain中會用到的大概是Architectural Concepts & Design Requirements/Cloud Application Security/Operations這三個部分。其中Application與operation也是AWS/GCP/Azure這幾個雲端平台會談及的。所以這兩個domain我學習及實務經驗上比較得心應手。對我來說比較困難的是domain 2 and 6,因為實務上及其他cloud的考試就沒有提過。 

在學習的過程中我是把實務上遇到的、其他雲端平台業者的資安觀念,以及CCSP這一門科目所講的資安內容,三者互相對照。有些地方三者是一樣的,有些則不同,所以我必須時常提醒自己現在正在學習的是CCSP。

《應考心得》 
我的準備方式是模擬考試的情境式的問題(我實務上沒遇到的就用其他書籍輔助)。我會思考遇到這一個資安狀況,在這六個domain中,是觸及到哪些議題,是只有觸及到一個domain還是多個?以此來加強我念到的內容。不然一個domain念完接著下一個念,不去做完整的思考,很快就會忘記之前的東西。因為CCSP跟CISSP的內容都很多,必須要自己能夠做系統性思考,學習上才不會東缺一塊西缺一塊。

再來就是做模擬測試,同時去思考題目是在問什麼樣的資安狀況、怎麼”控制”它,這也是Vincent老師課堂上會一直提到的,而不是用背考古題的方式來準備。考過(ISC)²考試的人都知道背考古題是沒有用的,因為不會有一模一樣的題目。所以重點在於”思考”題目真的問到的資安議題、狀況是什麼,然後選擇最佳解。有時可能必須暫時拋棄你實務上的做法或其他資安考試吸取到的內容(像我就是有這樣的狀況)。 

至於念書計畫與學習方式,我常跟我的team member提到,每個人的方式不一樣,找到自己的最佳的”學習效率”才是重點。不要”死背”而是把念到的內容融會貫通。如果實務上有遇到的資安狀況及議題,拿出來思考根據CCSP的內容你會怎麼控制/解決/防範它。最後在作答時找出最佳解。 

什麼是最佳解?這跟我之前在考PMP的心態一樣。”平衡、平衡再平衡”各方的需求。實務上有人會為了資安而資安,但CCSP這門課程教我們的是:資安是為了”業務需求”而存在的,沒有業務需求有資安也沒有用。所以要站在不同人的立場來思考這件事。如果你是CEO這個狀況你的會怎麼思考?你是CISO的話你又會是怎麼思考?

 CCSP這門課程我覺得比CISSP難的地方是,CISSP你只要顧好自己的環境就可以,但在雲端上特別是公有雲,需要同時思考如何運用雲端的效益但同時能控制雲端平台的多租戶(也就是同一套resource上面有很多客戶)議題、實體雲端機房在全世界各地受各國法律的限制、以及客戶本國法律限制等等的問題。

所以回歸到最後,考試中必須不斷思考:題目真正要問的是什麼?選擇最佳解,才能順利通過CCSP雲端資安認證。

查詢開課時間


恆逸教育訓練中心



0 意見:

張貼留言