史上最完整的(ISC)2 考試心得分享:SSCP/CSSLP/ CCSP/CISSP四張資安證照該如何準備?
史上最完整的(ISC)2 考試心得分享
SSCP/ CSSLP/ CCSP/ CISSP 四張資安證照該如何準備?
(ISC)2 為非營利性的全球知名資訊安全組織,獨家授權精誠資訊恆逸教育訓練中心為(ISC)2 於台灣的教育聯屬機構,提供台灣資安人員與全球同步的(ISC)2 資安認證教育訓練及考試服務。
課程針對資訊安全相關人員所規劃,由(ISC)2 認可之專業講師帶領您在短期的密集課程中,且全程採用(ISC)2 原版教材,其教材內容接近考試用語,絕非使用坊間自編教材與參考書,可在應考前充分複習,讓您面對考試的挑戰。
SSCP®資訊安全專業人員認證
SSCP® 認證是針對在企業組織中負責網路及系統管理的相關人員,有資訊安全技術能力且具實務經驗者而設,此證照以公正客觀的標準,界定企業組織中實際負責運作及落實資安政策相關從業人員的實務工作範圍、角色與職務。取得SSCP,代表應具備SSCP CBK® 七大領域的相關知識,包括瞭解各個常規工作範圍在推行、監督、運作上所運用的基本原則、組成部分及應用技術。恆逸學員:莊友豪
《考試準備》
因為平日要上班,所以報名了禮拜六假日班的SSCP,很榮幸給Vincent老師上課。SSCP觸及的資安範圍很廣,從實體安全到技術層面的安全都有,偏管理類的資安,老師上課時也會分享很多實際的案例,老師寫的筆記也一定要記下來。基本上那個禮拜六上完後,我就會利用禮拜天跟禮拜一到五的下班時間把課本再複習一次,不懂的單字一定要查,尤其是老師講到的部分加強複習。另外我有使用ISC2官方線上的「Post-Course Assessment」跟購買Sybex出版的「(ISC)2 SSCP Systems Security Certified Practitioner Official Practice Tests」這本書來輔助複習,這本書我是在Book Depository買的,優點是外文書便宜而且從英國寄過來免運費,缺點是要等快1個月才會收到且沒有什麼物流追蹤碼,只能慢慢等他寄來。而複習的時候要把題目想表達的觀念弄懂,死背是沒用的,答案的詳解也要搞懂為什麼要選那個答案,並養成使用刪去法,而用Sybex那本書的好處是他每個章節都有提供線上測驗,另外還有兩次模擬試題(125題),可以反覆複習好幾次,我反覆練習到所有題目混合到只有錯1、2題,並且要熟到一看的題目就知道要表達的觀念為止,對於不熟的觀念就去翻課本讀熟。另外SSCP是沒有考古題的,網路上找到的那些考試一題都沒有出現。
因為平日要上班,所以報名了禮拜六假日班的SSCP,很榮幸給Vincent老師上課。SSCP觸及的資安範圍很廣,從實體安全到技術層面的安全都有,偏管理類的資安,老師上課時也會分享很多實際的案例,老師寫的筆記也一定要記下來。基本上那個禮拜六上完後,我就會利用禮拜天跟禮拜一到五的下班時間把課本再複習一次,不懂的單字一定要查,尤其是老師講到的部分加強複習。另外我有使用ISC2官方線上的「Post-Course Assessment」跟購買Sybex出版的「(ISC)2 SSCP Systems Security Certified Practitioner Official Practice Tests」這本書來輔助複習,這本書我是在Book Depository買的,優點是外文書便宜而且從英國寄過來免運費,缺點是要等快1個月才會收到且沒有什麼物流追蹤碼,只能慢慢等他寄來。而複習的時候要把題目想表達的觀念弄懂,死背是沒用的,答案的詳解也要搞懂為什麼要選那個答案,並養成使用刪去法,而用Sybex那本書的好處是他每個章節都有提供線上測驗,另外還有兩次模擬試題(125題),可以反覆複習好幾次,我反覆練習到所有題目混合到只有錯1、2題,並且要熟到一看的題目就知道要表達的觀念為止,對於不熟的觀念就去翻課本讀熟。另外SSCP是沒有考古題的,網路上找到的那些考試一題都沒有出現。
《應考心得》
SSCP是自己去Pearson VUE上報名即可,考試地點在捷運市政府站附近,考試日期變動很快,可能今天看有的時間明天看可能被預約走了,所以自己大概可以挑一個日期範圍,一看到可以預約就馬上預約,考試費用249美金,125題,考試時間3小時。考試前一天一定一定要睡飽,不然沒精神考試會很慘。我考試那天是預約下午2點考試,不過我那天下午1點45分就到了。到那邊之後,進門就不能看書了,所以如果還想看書可以在他門外看,但沒有椅子只能站著。進去之後就會開始一連串的身份驗證,護照(注意有效期限,我護照過期被拒絕驗證,還好信用卡可以),拍照跟掌紋都要做,接著應考人員會要你先去上廁所,上完後就可以進去開始考試。考試環境也有其他考試會一直敲鍵盤,怕吵的可以跟考官要求耳塞,考官還會發給你一個很像小白板的紙,上面可以計算。考試的時候善用flag,遇到模稜兩可且沒有把握的答案就先flag,最後還可以回頭過來慢慢想,考試題目有90%都是在問你「最有可能」或「最不可能」,所以觀念一定要非常熟悉,當然一些基本觀念如port number、一些流程或網路OSI架構一定要倒背如流,基本題(送分題)只有2~3題,建議善用刪去法,到最後選跟題目最最接近的那個答案,冷靜應答,ISC2的Code Of Ethics也一定要熟記,必考。考完後會發給你一張紙要你回家靜待佳音,如果通過了ISC2官方會發信給你要你進入認證階段,但不會告訴你考幾分。認證階段可以用學歷(學士或碩士)來抵免工作資歷,或是至少在SSCP CBK的7大領域中1個領域至少工作一年,另外還要找一位ISC2的會員擔任推薦人。幸運的我通過了SSCP測驗,沒有白費上課跟考試費用,希望以上可以幫助到有要考或正在準備SSCP的人!
SSCP是自己去Pearson VUE上報名即可,考試地點在捷運市政府站附近,考試日期變動很快,可能今天看有的時間明天看可能被預約走了,所以自己大概可以挑一個日期範圍,一看到可以預約就馬上預約,考試費用249美金,125題,考試時間3小時。考試前一天一定一定要睡飽,不然沒精神考試會很慘。我考試那天是預約下午2點考試,不過我那天下午1點45分就到了。到那邊之後,進門就不能看書了,所以如果還想看書可以在他門外看,但沒有椅子只能站著。進去之後就會開始一連串的身份驗證,護照(注意有效期限,我護照過期被拒絕驗證,還好信用卡可以),拍照跟掌紋都要做,接著應考人員會要你先去上廁所,上完後就可以進去開始考試。考試環境也有其他考試會一直敲鍵盤,怕吵的可以跟考官要求耳塞,考官還會發給你一個很像小白板的紙,上面可以計算。考試的時候善用flag,遇到模稜兩可且沒有把握的答案就先flag,最後還可以回頭過來慢慢想,考試題目有90%都是在問你「最有可能」或「最不可能」,所以觀念一定要非常熟悉,當然一些基本觀念如port number、一些流程或網路OSI架構一定要倒背如流,基本題(送分題)只有2~3題,建議善用刪去法,到最後選跟題目最最接近的那個答案,冷靜應答,ISC2的Code Of Ethics也一定要熟記,必考。考完後會發給你一張紙要你回家靜待佳音,如果通過了ISC2官方會發信給你要你進入認證階段,但不會告訴你考幾分。認證階段可以用學歷(學士或碩士)來抵免工作資歷,或是至少在SSCP CBK的7大領域中1個領域至少工作一年,另外還要找一位ISC2的會員擔任推薦人。幸運的我通過了SSCP測驗,沒有白費上課跟考試費用,希望以上可以幫助到有要考或正在準備SSCP的人!
➤查詢開課時間
CISSP®資訊安全系統專家認證
CISSP® 認證被譽為資訊安全界的至高標準!並且是第一張經由ANSI美國國家標準學會認可符合ISO/IEC 17024國際標準要求的資訊安全證照;CISSP® 認證是針對在企業組織中的專業資安人員、資安顧問,或是資訊部門管理階層而設。雇主可以更有信心相信其所聘用的CISSP資訊安全人員,擁有所需要的技術水準與經驗,並能有效的處理及執行企業之資訊安全系統與政策。
恆逸學員:黃志雄
《考試準備》
上完課後荒廢了一個月,終於收到考試卷,趁著記憶猶新,狠下心報名了三個月後的考試,這是個非常重要的決定,唯有把錢砸下去時,才會認真去準備!
在這三個月裡,安排平日下班閱讀1至2小時,假日4小時,閱讀順序為:
1. 原廠課本地毯式精讀一次,看到不懂的單字一定要查
2. 考古題數份約三、四千題,讀到不懂的就立刻翻書+上網查
3. 原廠課本再重點式讀一次,補足看考古題不懂的地方
4. 投影片本精讀一次,遇不懂的就上網查、翻課本
考古題是在網路蒐集到的,其中更有對岸標榜「全真回憶」!對於考古題的心得:答案不一定是對的,自己必須要有判斷正確的能力,正如大家所說的,考古題對CISSP而言沒有命中率的問題,但它的價值是讓你多看、多練習。
《應考心得》
考試剛好遇到肺炎疫情,原廠也發信通知可在24小時前免費延期,但已經用了三個月精讀,實在太痛苦了!決定應考,一了百了!
這天安排了台北場11:15,我大概10:30就到了,建議提早到,讓自己從容一點(早到可早考)。在完成報到後,先在外場悠閒的吃早餐,調適心情再上場,大概是10:50開考。
考前TA(Test Administrator)會要求看證件、掃掌紋、拍照,進場前(記得去廁所排空!)要把手錶皮包等物品鎖到櫃子裡,口袋須淨空(拉出來給TA檢查),衣袖及褲管拉高,眼鏡取下檢查(非常仔細),接著TA帶你進考場,一個U形座位的電腦考場。閱讀完螢幕上的考試需知後,按下「Next」就開考了,計時180分鐘。
考試題目有簡單也有很難的,絕大多數都是:Which of the following is the BEST…,所有選項都對,但你要有能力挑出最優者。其中有好幾題真的非常難挑,篩到剩2個選項還是難分高下!有一題拖拉題,其實不難,就是需要花較多時間把左右邊看懂,花了不少時間。
由於要在180分鐘內解完100至150題,我自己規畫一題不能超過1.5分鐘,所以每解幾題,就瞄一下右上角的剩餘時間,也一再提醒自己不能慌,把題目、選項讀懂最重要,答過的題目不可回顧重答,因此必須謹慎、膽大但心要細。
答完第100 題時,這時大約剩90分鐘,心裡也做好被加題的準備了,結果竟然直接結束了!TA立刻過來請我出場,心裡很緊張,老實說剛剛的答題非常沒把握,其實已做好Fail的心理準備了!因為真的考太廣了,題目及選項的英文艱深,涵意又必須想了又想才能作答。
到外場後,外場TA隨即給我一張考試結果,寫著「Congratulations!」總算是對得起報名費、考試費、車票錢了!
恆逸學員:潘柏廷
《上課心得》
我在2021年10月參加了第一次精誠恆逸在高雄教室開班的CISSP課程,講師是唐任威老師,在本次課程讓我覺得收穫非常豐富。 恆逸的上課環境是採用大教室,每個人都可以使用到雙電腦螢幕的教室資源,在上課的過程中,同時可以看到老師分享的畫面,也可以隨時在另一部電腦查詢相關的補充資料,這是蠻大的優點。
講回課程部分,上課除了的官方教材內容的重要性外,老師的背景也很重要。先簡單談一下我個人對老師的背景的了解,唐老師是在網路攻防這個領域的專家,所以對於CISSP課外的補充,都提到了很多的內容。像是近期在中國舉辦的「天府盃」,就有一篇新聞標題寫:蘋果 iPhone 13一秒被破解!僅用網頁連結可「一鍵奪 iOS15 控制權」,看起來為之驚訝,往內容一看,就提到了過去知名的越獄團隊「盤古實驗室」開發出新的連結,僅靠點擊一個網頁超連結,即可在一秒內破解 iPhone 13 Pro 拿下控制權,並在遠距執行任一程式碼。某種程度也相當於將iPhone「遠距越獄」,相當驚人。 又像是關鍵字「export control arrangement apply computer exploits」,就是有心人士會充分利用系統漏洞來獲取電腦內特殊的控制權,而這些弱點往往都還未被揭露就遭到了利用。
在這些補充資訊的背後,就是代表著CISSP的高度與格局,大家很清楚CISSP分為八個專業領域,但在這些領域下,都各自包含著非常多的知識,例如談到網路的範疇,除了探討OSI 7層構的各自協定之外,也搭配著各層協議的資安議題與相關的風險,例如SSL的安全,就要再針對各版本的發展趨勢做了解,例如以往的SSL已經徹底被TLS取代,但我們口語上還是習慣講SSL,甚至是相關的服務例如SSLVPN,正確來說都已經往前進化。又如密碼學中提到RC4、RC5也已經徹底被破解,相關的加密技術都是持續與時俱進。 課程以外,還有很多豐富的自學方向去要去涉略,坊間也出了不少相關讀物和考古題,都是身為學員可以拿來增加學習成果的資源。而未來希望自己也可以規劃並取得本科的證照,幫自己的專業加分!
恆逸學員:潘勤强
我們都知道CISSP所涉及的內容是包山包海,從資訊管理、網路知識、安全開發一直到密碼學等,而講師在上課的過程中,對於每一項資安的知識信手拈來、深入淺出,明明這麼龐大的資訊量,卻能井井有條的講述給學員們瞭解,讓原本對這張證照感到恐懼的我,有如見到深夜中的燈塔般,嗅到了一絲希望。《考試準備》
在上完Roland老師的週日班和總復習班(每週回去都有復習進度)後,原計畫在2021年一月參加考試,但手邊有公司交辦的另一張證照要準備,因此就拖到四月。
從報考到考試準備大約三個月多月,每天固定約2-4小時,只要是假日大約是6-8小時。我使用的是ISC2的官方推薦教材:
1. CISSP certified information systems security professional official study guide (Eigth Edition)
2. CISSP官方學習指南(簡中第8版)
3. CISSP All in one Exam Guide (Eigth Edition)
4. CISSP認證考試指南 All-in-One (簡中第7版)
5. 恆逸上課投影片及總復習教材
以上的參考書建議一定要細讀過一遍,也由於CISSP八大領域內容是分廣泛,而領域間仍有些關聯,因此當一個部份細看了還是不理解時,不要糾結在當下,而應記下問題等到看到後面的章節或許會迎刃而解。在每一個領域(Domain)念完後,應馬上做該章的的練習題及模擬試題,以回顧是否有遺漏掉重點知識。
而我在考試之前大約做了2500+題模擬試題,主要的模擬試題來源也是官方出版的試題, CISSP Official Practice Tests (Second Edition)和 CISSP Practice Exams (Fifth Edition),此外還應利用零碎的時間加強對考試的準備,因此我也在手機APP "CISSP-Systems Security Prof."花新台幣230元買了約2600題模擬試題,方便只有部份時間也能夠熟悉相關知識。而在去考試之前,對於官方版的模擬試題答對率接近90%。
其實,學員們在報考前第一個要思考的不是時間,而是要報考的語系,由於預設考試的語言是英文,這對許多英文閱讀不快的考生其實是另一道門檻,幸而CISSP有提供簡體中文語系的選項,雖然簡體中文的翻譯及用字遣辭和正體中文有一段差距,但選擇簡體中文考試仍提供題目的英文原文可供檢視,這倒是另一個利多。然而英文版考試僅有100-150題,答題時間3小時,而簡體中文版考試卻有250題,答題時間6小時,因此體力和專注程度也是一項考驗。
《考試建議》
1. 每一個Domain都是重要的,沒有可以輕放過去的,因為每個人的背景不同,我沒辦法告訴各位要怎麼取捨。就我的背景而言,我最弱的是Domain 1, 5, 6. 資管方面、風險評估、BC/DR等概念都是第一次聽到,著實花了不少時間去啃,至於我較熟的密碼學、駭客攻擊、網路方面也是有看,但放的精神比較少(但都是整個精讀完一遍後,第二遍才會有輕重)。
2.不能死背,CISSP考試很活,大部份都是情境題,問定義的大約只有20題左右(可以爽爽10秒得分)。CISSP試題都會問為什麼,所以讀的時候 要問一下自己 「為什麼?」
3. 做題目若錯了,一定要搞清楚為什麼錯,若只把答案背起來,一旦遇到活的問題,背答案也是GG。
4. 若可以和同事或同學討論當然是最好,但若沒有討論,最好的方式還是問問谷歌大神。
5. 最後,卡要先刷下去,先報了名才會有壓力(但建議至少先念過一遍再報,有點熟悉,不要一開始就衝,怕時間不好掌握)
恆逸學員:鄭廣維
《上課過程》
針對CISSP認證,因資安法寬限的取得時間有限,我採取的策略是「以訓練課程建立整體觀念,再自行精讀」,所以恆逸的「訓練課程」(108年9月)及「總複習課程」(108年11月)皆有報讀,也很榮幸受教於前項的「唐老師」及後項的「王老師」。老師們的整理歸納方式雖不同,但都殊途同歸的提醒了這個認證的重要思考方向,尤其是「管理面維度優先」、「以資安框架思考」及「了解各技術的特性及適用範圍」這些面向。雖然我一直在從事資訊工作,但其實為了延續既有之制度或系統架構,所以日常接觸到的技術或程序只是整體資安大環境下的部分子集,透過這些課程上的認識,能幫助我從日常公司的作業程序中進行抽象化,以較高的層次去重新思考原因及適用性,對於MindSet的調整相當有幫助。
《考試準備自行精讀》
接下來的「自行精讀」階段,準備的書籍有「All in One CISSP Exam Guide 8th」、「CISSP Study Guide 3th」、「ISC2 CISSP Official Study Guide 8th」及先前課程中幾本講義。有完整看完一遍的只有第2項、第3項及課程講義中的Student Guide,其它都是僅用來交互查找,至於為什麼不全部看完或多看幾遍,這其實都是因為時間控管不好,到這個時候距離考試只剩2個月,只能先往下進行,有時間的話當然多多益善。
《考試準備自我測試》
在下一階段開始進行程度測試,準備的材料有「ISC2 CISSP Official Practice Tests」、「CISSP模擬題App」及「CISSP模擬題討論版」,就開始持續地進行「測驗、訂正、查找原因」循環,以找出目前觀念的不足或錯誤之處。依實際的結果來看,其實只演練第1項才會是較有效率的作法,第2項和第3項因都只是特定來源(如書籍作者或App創作者)模擬出題,常會出現太簡單、太複雜或答案有爭議的問題,對於考試題目的難易度易造成誤判,且反而要花時間確定題目或答案的有效性,時間上並不是很划算。事後以實際考試題目來看,第1項的各章節範例題和4個測驗的內容其實就已經足夠找出幾乎所有重要觀念的不足之處,可能不需要其它額外的材料。
《考試過程》
我選擇的考試類型為簡中版的「線性測驗」,但開始考試後發現簡中的詞彙用法不容易理解,讀的速度還不如英文,故實際上都還是以英文來讀,但在不太理解的英文字出現時(以我為例,250題中有2題碰到),可回頭和簡中比對以猜出該字的意思,故仍有輔助功能,仍建議個人英文程度沒很好時可選擇。另外提醒一下,這種6個小時的考試真的很久,我進去考試時忘記帶水和簡單食物,變成11點半或12點之後蠻難熬的,建議大家記得自備,放在考場專門茶水區,以便需要時自行出來食用。
(ISC)2 推出了與軟體安全開發有關的準則及認證,藉此期望降低軟體開發在安全上的問題。在(ISC)2 所提出的準則中,其將軟體安全開發所需具備的知識,劃分為八大知識體系(CBK® ),取得CSSLP® 認證,將可視為軟體開發人員對於安全軟體開發八大知識領域專業程度的展現。
恆逸學員:盧勝榮
《考試準備》
上完Vincent CSSLP 班後,把課程筆記整理好,不斷的 review 及理解內容,每天下班留2-3小時K書,也利用六日去K書。
除了 (ISC)2 Official 課本及之前上課的筆記,也讀了 Mano Paul的CSSLP書。
《準備策略》
因為內容有點多,我是利用關鍵字方式吧很多資訊簡約化(濃縮化),但建議要先了解內容(例如 COSO->Fraud, Biba->Integrity, sanitization->stripping, substitution, literalization, 等等),考試前就快速的再review一遍,也記得把課本所有練習題都做完。
《應考心得》
考試題目 175題: 4個小時
1. 考試前要睡好,考試時 好精神很重要(因為要考很久)
2. 問題要看仔細,不確定的可以先 Flag
3. 有把握的答案不用 Flag
4. 全部答完 先針對被 Flag 題目
5. 把所有答案 再review 一邊(不管有沒有被 Flag)
最後我就把所有答案分類成3類:100%對,50:50,亂猜的當比例,把握度低於 70% 時一定要重新 review,一邊總結。
由於職務需要 就上了 CSSLP 認證課程,本課程主要會講解開發流程需要注意的8個項目(8 Domain),讓我們可以開發更安全的軟體(產品),降低資安威脅在軟體開發時候發生。
Vincent 講師在此課程擁有專業的資安知識,也具備很多資安證照,在課程會特別提醒學生在軟體開發流程需要特別注意的事項。不管學生目的是為了 取得證照或只是為了加強自己在軟體開發的經驗與知識 都會有很大的幫助。
課程也不會特別限制與在某個程式語言,而會專注在流程 包含了軟體開發在 requirement, design, implementation, testing, deployment, operation, disposal 需要注意的資安問題。
CSSLP 考試範圍 還滿廣,學生考試前建議先把課本每個 domain 與 比較細節的內容深入的理解,針對每個流程的順序也要熟悉一下。也建議參考其他 CSSLP或CISSP課本,因為CSSLP有些 Domain 有包含在 CISSP 內容。 最後也可以試著把課程裡面的內容或理論,連結到我們在 開發軟體會進行的流程,不足的地方就補上去。
這樣做會讓我們不只是強在理論而有實際的 Implementation 的經驗,也會讓我們更加熟悉軟體安全開發每一個細節。
恆逸學員:林信忠
《上課與考後心得》
『CSSLP資安軟體開發專家認證課程』我是自己向公司爭取的,主因是從工作上逐漸體會到程式設計開發之初就要納入安全因素才是根本的資安問題解決之道。CSSLP為應用程式軟體開發安全認證課程,很容易讓人將考試準備重點放在程式開發各階段所應著重的資安措施,而忽略和駭客攻防相關的知識。就我考試印象中,CSSLP中駭客攻防知識有關的試題應佔了1/3以上,還好考前幾週有所警覺,稍稍複習了之前ECSA教材內容。除了原有的底子外,唐老師在課程中,將應用程式安全與駭客攻防知識交叉授課的風格,對後來CSSLP考試通過亦功不可沒。自取得CSSLP證照後,現在無論對客戶或者公司程式設計團隊開發中,不管是已上線的程式碼所發現的弱點、或是如何提升該程式碼的安全品質,均能十分中肯地提出正確完善的問題解決之道。
CCSP® 雲端資安專家認證
CCSP® 認證是二大安全組織-(ISC)2 及CSA(雲端安全聯盟)兩大國際原廠聯手打造的頂級雲端資安認證。透過此認證,主要用於表彰其持有者於資訊及雲端安全的專業與能力,藉此以協助組織維持重要雲端基礎設施的正常運作、免於危害。
恆逸學員:高梓銘
《考試準備》
雖然這一篇是在講CCSP的考試,但我也想稍微提一下CISSP的心得,因為學習方式大同小異。兩種考試內容不同但是有些地方是重疊的。例如Domain 3 Cloud Platform and Infrastructure Security,這邊就有很高的重疊性。
這門考試最重要的是什麼呢?
第一點:英文閱讀能力一定要好。因為是全英文考試(聽說CISSP已有簡中版考試了),如果平常英文閱讀有困難,題目變成英文難度就會再更高一點,若再加上幾個看不懂的單字,整個題目就看不懂了。
為了克服這個困難,CISSP我考了第三次才考取,考第一次CISSP時英文很多都看不懂,到了考CCSP時就好很多。所以想考(ISC)²的認證,英文閱讀能力是首先需要加強的部分。CCSP學習過程中我遇到了考試改版,雖然之前有上Vincent老師的課,但時間因素沒有辦法去重聽,所以我買了以下幾本書籍來輔助我的學習。
CCSP Official (ISC)2 Practice Tests
The Official (ISC)2 Guide to the CCSP CBK
(ISC)2 CCSP Certified Cloud Security Professional Official Study Guide
另外由於在我最近幾年的雲端職涯中,會使用到資安的部分大概只有10-15%,在實務上用的比較多的應該是CIA三角形的availability部分。CCSP的六個domain中會用到的大概是Architectural Concepts & Design Requirements/Cloud Application Security/Operations這三個部分。其中Application與operation也是AWS/GCP/Azure這幾個雲端平台會談及的。所以這兩個domain我學習及實務經驗上比較得心應手。對我來說比較困難的是domain 2 and 6,因為實務上及其他cloud的考試就沒有提過。
在學習的過程中我是把實務上遇到的、其他雲端平台業者的資安觀念,以及CCSP這一門科目所講的資安內容,三者互相對照。有些地方三者是一樣的,有些則不同,所以我必須時常提醒自己現在正在學習的是CCSP。
《應考心得》
我的準備方式是模擬考試的情境式的問題(我實務上沒遇到的就用其他書籍輔助)。我會思考遇到這一個資安狀況,在這六個domain中,是觸及到哪些議題,是只有觸及到一個domain還是多個?以此來加強我念到的內容。不然一個domain念完接著下一個念,不去做完整的思考,很快就會忘記之前的東西。因為CCSP跟CISSP的內容都很多,必須要自己能夠做系統性思考,學習上才不會東缺一塊西缺一塊。
再來就是做模擬測試,同時去思考題目是在問什麼樣的資安狀況、怎麼”控制”它,這也是Vincent老師課堂上會一直提到的,而不是用背考古題的方式來準備。考過(ISC)²考試的人都知道背考古題是沒有用的,因為不會有一模一樣的題目。所以重點在於”思考”題目真的問到的資安議題、狀況是什麼,然後選擇最佳解。有時可能必須暫時拋棄你實務上的做法或其他資安考試吸取到的內容(像我就是有這樣的狀況)。
至於念書計畫與學習方式,我常跟我的team member提到,每個人的方式不一樣,找到自己的最佳的”學習效率”才是重點。不要”死背”而是把念到的內容融會貫通。如果實務上有遇到的資安狀況及議題,拿出來思考根據CCSP的內容你會怎麼控制/解決/防範它。最後在作答時找出最佳解。
什麼是最佳解?這跟我之前在考PMP的心態一樣。”平衡、平衡再平衡”各方的需求。實務上有人會為了資安而資安,但CCSP這門課程教我們的是:資安是為了”業務需求”而存在的,沒有業務需求有資安也沒有用。所以要站在不同人的立場來思考這件事。如果你是CEO這個狀況你的會怎麼思考?你是CISO的話你又會是怎麼思考?
CCSP這門課程我覺得比CISSP難的地方是,CISSP你只要顧好自己的環境就可以,但在雲端上特別是公有雲,需要同時思考如何運用雲端的效益但同時能控制雲端平台的多租戶(也就是同一套resource上面有很多客戶)議題、實體雲端機房在全世界各地受各國法律的限制、以及客戶本國法律限制等等的問題。
所以回歸到最後,考試中必須不斷思考:題目真正要問的是什麼?選擇最佳解,才能順利通過CCSP雲端資安認證。
1月 10, 2022
成功案例, 資訊安全, 學員證言
0
0 意見:
張貼留言