資訊安全

眾多顧客已親身體驗恆逸的好,並成功提升專業競爭力,你也可以!

來看看他們是如何學習、如何努力考取認證的經驗分享多汲取他人的寶貴經驗,將讓您的未來進修之路走得更有效率!快來看看恆逸應援團怎麼說!

高梓銘

  • 文章分類:資訊安全
  • 參訓課程:CCSP雲端資安專家認證
  • 取得證照:CCSP雲端資安專家認證

CCSP雲端資安專家認證準備心得:融會貫通不死背才有可能通過認證考試

背景介紹

我在學校念的科系是資工系,退伍後一直從事IT Infrastructure的工作,資安在工作的比重中佔了20%。這些年來考取跟資安相關的認證有CEHv8與Juniper JNCIS-SEC。另外為了在之前的公司導入SoC (Security operation Center),在2013年也考取了CISSP。

2015年我開始接觸雲端平台,先是AWS,再來是GCP跟Azure,所以我也具有AWS的Solution Architect – Professional、GCP Professional Cloud Architect與Azure Architect Technologies證照(半張的SA認證,還在努力另外半張)。

這些考試中資安的比重也達到了25%以上,但不同的認證各有各的做法與觀點,所以才促使我想來學習CCSP這一門課程。

 

CCSP考試心得:學習方式

雖然這一篇是在講CCSP的考試,但我也想稍微提一下CISSP的心得,因為學習方式大同小異。兩種考試內容不同但是有些地方是重疊的。例如Domain 3 Cloud Platform and Infrastructure Security,這邊就有很高的重疊性。

 

這門考試最重要的是什麼呢?
第一點:英文閱讀能力一定要好。因為是全英文考試(聽說CISSP已有簡中版考試了),如果平常英文閱讀有困難,題目變成英文難度就會再更高一點,若再加上幾個看不懂的單字,整個題目就看不懂了。

為了克服這個困難,CISSP我考了第三次才考取,考第一次CISSP時英文很多都看不懂,到了考CCSP時就好很多。所以想考(ISC)²的認證,英文閱讀能力是首先需要加強的部分。

CCSP學習過程中我遇到了考試改版,雖然之前有上Vincent老師的課,但時間因素沒有辦法去重聽,所以我買了以下幾本書籍來輔助我的學習。

  • CCSP Official (ISC)2 Practice Tests
  • The Official (ISC)2 Guide to the CCSP CBK
  • (ISC)2 CCSP Certified Cloud Security Professional Official Study Guide

 

另外由於在我最近幾年的雲端職涯中,會使用到資安的部分大概只有10-15%,在實務上用的比較多的應該是CIA三角形的availability部分。CCSP的六個domain中會用到的大概是Architectural Concepts & Design Requirements/Cloud Application Security/Operations這三個部分。其中Application與operation也是AWS/GCP/Azure這幾個雲端平台會談及的。所以這兩個domain我學習及實務經驗上比較得心應手。對我來說比較困難的是domain 2 and 6,因為實務上及其他cloud的考試就沒有提過。

 

在學習的過程中我是把實務上遇到的、其他雲端平台業者的資安觀念,以及CCSP這一門科目所講的資安內容,三者互相對照。有些地方三者是一樣的,有些則不同,所以我必須時常提醒自己現在正在學習的是CCSP。

 

CCSP考試心得:備考方式

我的準備方式是模擬考試的情境式的問題(我實務上沒遇到的就用其他書籍輔助)。我會思考遇到這一個資安狀況,在這六個domain中,是觸及到哪些議題,是只有觸及到一個domain還是多個?以此來加強我念到的內容。

不然一個domain念完接著下一個念,不去做完整的思考,很快就會忘記之前的東西。因為CCSP跟CISSP的內容都很多,必須要自己能夠做系統性思考,學習上才不會東缺一塊西缺一塊。

再來就是做模擬測試,同時去思考題目是在問什麼樣的資安狀況、怎麼”控制”它,這也是Vincent老師課堂上會一直提到的,而不是用背考古題的方式來準備。考過(ISC)²考試的人都知道背考古題是沒有用的,因為不會有一模一樣的題目。所以重點在於”思考”題目真的問到的資安議題、狀況是什麼,然後選擇最佳解。有時可能必須暫時拋棄你實務上的做法或其他資安考試吸取到的內容(像我就是有這樣的狀況)。

 

至於念書計畫與學習方式,我常跟我的team member提到,每個人的方式不一樣,找到自己的最佳的”學習效率”才是重點。不要”死背”而是把念到的內容融會貫通。如果實務上有遇到的資安狀況及議題,拿出來思考根據CCSP的內容你會怎麼控制/解決/防範它。最後在作答時找出最佳解。

 

什麼是最佳解?這跟我之前在考PMP的心態一樣。”平衡、平衡再平衡”各方的需求。實務上有人會為了資安而資安,但CCSP這門課程教我們的是:資安是為了”業務需求”而存在的,沒有業務需求有資安也沒有用。所以要站在不同人的立場來思考這件事。如果你是CEO這個狀況你的會怎麼思考?你是CISO的話你又會是怎麼思考?

 

CCSP這門課程我覺得比CISSP難的地方是,CISSP你只要顧好自己的環境就可以,但在雲端上特別是公有雲,需要同時思考如何運用雲端的效益但同時能控制雲端平台的多租戶(也就是同一套resource上面有很多客戶)議題、實體雲端機房在全世界各地受各國法律的限制、以及客戶本國法律限制等等的問題。

所以回歸到最後,考試中必須不斷思考:題目真正要問的是什麼?選擇最佳解,才能順利通過CCSP雲端資安認證。

 

 

 

看看其他人怎麼說

看更多