Home

To be completed!

此篇為個人學習筆記
課程:Put It to Work: Prepare for Cybersecurity Jobs-Google @ Coursera

主題
學習資安事件的分類、升級處理流程,以及與利害關係人溝通的方法。本課程亦將為整體訓練計畫作結,並提供參與資安社群的建議,以及人工智慧在資安領域中的應用簡介。

# 保護資料與事件通報

# 事件與事故偵測

實驗 1: NotebookLM 平台

資料與資產分類

資料依安全需求可分為:

  • 公開資料風險低但仍需基本防護,如:新聞稿、職務說明、行銷素材。
  • 私有資料應限制外洩,如:員工編號、研發資料。
  • 敏感資料未授權存取可能導致嚴重損害,如: PII、SPII。
  • 機密資料攸關營運,須嚴格管控與簽署保密協議 (NDA),如:商業機密、財務報表、敏感政府資料。

資產依其敏感性與重要性可分為高、低等級。

  • 公開資料與網站屬低等級
  • 敏感與機密資料屬高等級,外洩恐導致競爭力、聲譽與信任流失。

# 我們對資料保護的影響

災難復原與業務持續計畫

制定業務持續與災難復原計畫,屬於多數資安團隊所遵循的四大程序之最終階段:

  1. 資產識別:安全團隊需先盤點組織內需保護的關鍵資產。
  2. 威脅評估:識別可能對這些資產造成影響的潛在威脅。
  3. 威脅偵測:部署工具與流程,以偵測針對資產的潛在威脅。
  4. 制定計畫:由 IT 部門或相關業務單位擬定業務持續與災難復原計畫,兩者通常同步規劃,以降低安全事件對營運造成的影響。

災難復原計畫
協助恢復系統運作並處理資安威脅 (如勒索軟體攻擊導致製造部門無法存取關鍵資料)。步驟包括:

  • 實施軟體復原策略
  • 實施硬體復原策略
  • 識別受影響的應用與資料

業務持續計畫 (BCP)
說明如何在資安事件中維持營運,常與災難復原計畫併行。步驟如下:

  1. 分析業務影響
  2. 擬定關鍵復原流程
  3. 組建跨部門應變團隊
  4. 執行訓練與演練

# 事件升級

# 網路安全升級

有目的的升級

資安事件升級:指識別潛在安全事件並通報給資深人員的過程。
多國法規要求在個資外洩時主動通知當事人,資安人員應熟悉並掌握最新通報法規。

低階安全問題不涉及個資外洩,但仍需調查以防範潛在風險,如異常登入嘗試或未授權軟體下載,避免惡意軟體入侵及組織損失。

各公司有不同升級政策,規範通知對象與備援聯絡人,以及事件升級的管道與方式。

常見資安事件類型

  • 惡意軟體感染:惡意軟體滲透系統並導致中斷
  • 不當使用:員工違反可接受使用政策 (可為意外或是故意的)
  • 未授權存取:未經允許即存取系統或資料

# 是否升級

升級流程中的角色與職責

  • 資料擁有者:決定誰可存取、使用、銷毀資料,負責分類與存取控制。
  • 資料控制者:決定資料處理目的與方式,確保符合法規。
  • 資料處理者:代表控制者處理資料,通常為第三方廠商。
  • 資料管理人員 (Data Custodians):實施安全控制、管理存取權與監控資料狀態
  • 資料保護官 (DPO):監督法規遵循、提供資安建議並進行保護成效評估。

# 時機的重要性

事件升級時機

資安分析師職責

  • 資安分析師需果斷判斷事件是否升級,保護組織資產。
  • 熟悉升級政策能提升判斷力,但在不確定時應主動提問,展現學習與責任感。

資安事件處理

  • 資安事件應依資產關鍵程度判斷優先順序。
  • 了解升級政策、辨識事件類型,並依業務影響程度迅速升級。

注意細節很重要。

# 和利害關係人溝通

# 利害關係人的角色與影響

利害關係人 (Stakeholders)

  • 指對組織的任何決策或行動具有興趣的個人或群體。
  • 資安分析師的工作之一就是將資安發現結果回報給不同層級的利害關係人。

層級
初階資安分析師可能只會直接與少數人接觸。

  • 資安風險經理(Cybersecurity Risk Manager)
    領導組織內風險辨識、評估與緩解工作。
  • 執行長(CEO, Chief Executive Officer)
    組織最高負責人,初階分析師通常不會直接與其互動。
  • 財務長(CFO, Chief Financial Officer)
    主要關注資安事件的財務影響,亦屬高層,通常不會直接互動。
  • 資訊安全長(CISO, Chief Information Security Officer)
    資安最高主管,負責制定整體資安策略,通常不會直接互動。
  • 營運經理(Operations Manager)
    負責每日資安營運管理,通常會領導資安策略的實施與執行,較可能與初階分析師互動。

高階主管如 CFO 與 CISO 主要關心資安事件對整體財務或策略層面的影響,而營運經理等中階主管則聚焦於日常作業的執行與風險因應。

O.S.: 高階主管和營運經理就像是軍官和士官的概念。

初階分析師需向營運經理與風險經理清楚報告資安事件與原因,營運經理會根據回報判斷後續行動,並協調其他團隊成員進行修復或解決。這些中層利害關係人會回報給高層(如 CISO、CFO),形成整體資安戰略。

# 與利害關係人進行有效溝通

切中要點
利害關係人負責具時效性且影響業務的任務,因此溝通必須明確、具行動性。撰寫訊息前請思考:

  • 對方需瞭解什麼?
  • 為何重要?
  • 何時需採取行動?
  • 如何以非技術語言說明?

遵循溝通流程
加入資安團隊時,應熟悉與利害關係人溝通的標準流程與工具。確認哪些通訊形式為公司允許,例如會議、視訊、Email 或即時通訊平台。

根據對象調整訊息
初入資安領域時,常與中階管理者互動,他們關注日常作業(如日誌紀錄)。高階主管則重視風險影響(如潛在財務損失)。與營運經理溝通時,聚焦於其職責範圍內的關鍵資訊(如異常日誌事件)。

選擇合適的溝通方式

  • 單一明確:即時通訊、電話
  • 情境複雜:Email、面談
  • 資料導向:圖表、試算表、簡報

# 透過儀表板進行視覺化溝通

資安需仰賴清晰溝通以迅速應對威脅。利害關係人常身兼多職,透過視覺化資料呈現能提高其參與度,並提供可採取行動的資訊,有助維護整體安全態勢。

視覺化儀表板
集中呈現多樣數據,用以說明資安事件或風險狀況,特別適用於需處理大量資料的場景。

  • 簡單儀表板:單一圖表
  • 複雜儀表板:多個圖表、趨勢圖與表格

建議工具:Google Sheets、Apache OpenOffice

溝通方式應視情境調整:

  • 簡單更新:Email 即可
  • 需補充說明:Email + 附件
  • 即時溝通:電話可快速回應
  • 資料呈現:視覺化工具效果最佳

# 與社群互動

# 可靠來源至關重要

資安組織與研討會
參與研討會或加入專業組織,可向業界資深人員學習最新攻防策略與技術,拓展視野與人脈,提升實務能力。

選擇合適的資安組織
無論是專注於事件應變、預防、數位鑑識、日誌分析,或有志成為 CISO,明確職涯目標能幫助篩選合適的組織與活動。確認方向後,透過網路搜尋:

  • incident response cybersecurity conferences in my area
  • forensic security organizations in my area

或善用 LinkedIn® 等平台尋找:

  • Incident response cybersecurity groups
  • Organizations for cybersecurity analysts

美國網路安全暨基礎設施安全局 (CISA) 提供兩個資安郵件訂閱清單:

  • 安全威脅資訊、資安最佳實務與國內外安全分析
  • 每週新漏洞摘要,提醒潛在網路風險

練習: Explore cybersecurity organizations
找工作篩選模板: Google docs
範例: Google docs

# 構建資安網絡

關注資安長的 LinkedIn® 帳戶,能幫助你了解他們分享的資安資訊與趨勢,進而提升你的資安認知與職業發展。

LinkedIn® 是建立資安人脈的理想平台。撰寫清晰的訊息能幫助你有效與他人聯繫。以下是幾個建議:

  • 使用對話式語氣
  • 提供明確的連繫理由
  • 避免拼寫和語法錯誤

訊息範例:
"Hi Tim,我最近完成了 Google 資安證書課程,並希望與其他資安專業人士建立聯繫。看起來你在資安領域有豐富的經驗,我希望能從你身上學到更多。希望保持聯絡!"

# 運用 AI 優化工作流程

# 資安領域中的 AI

好的 Prompt 框架:

  • T (Task): AI 帶入的角色和預期輸出的格式。
  • C (Context, 上下文)
  • R(References)
  • E (Evaluate, 評估)
  • I (Iterate, 迭代)

在資安領域中的日益重要性
AI 正在改變資安領域,掌握 AI 技術對未來職業成功至關重要。AI 工具有助於識別風險、快速反應和優先處理威脅。可能也會參與保護 AI 系統的工作。

資安專業人士可用來:

  • 創建資安最佳實踐清單
  • 分析並總結資安報告
  • 回答常見資安威脅問題
  • 簡化日常工作,如識別網絡釣魚郵件

注意事項

  • 仔細檢查 AI 輸出
  • 考慮隱私與安全性問題,避免輸入敏感資料
  • 採用「human-in-the-loop」的方法,AI 應為補充而非替代
  • 查閱公司政策,了解生成式 AI 使用規範。

實際應用舉例:

  • 幫助理解並採用複雜的資安框架
  • 掃描代碼中的錯誤、漏洞及效能瓶頸
  • 提供改進程式語言代碼的建議
  • 描述資安漏洞、影響及緩解措施
  • 協助進行檢測與回應任務,如調查警報

# 準備技術面試

面試過程通常包括介紹性訪談,與招聘經理的第二次訪談以及小組訪談。此外,可能會要求您參加技術訪談。

Python
面試中可能會要求展示 Python 基礎知識,甚至在白板上寫 Python 虛擬碼。

一般技術

  • 可能會需要展示對資安框架與網絡安全的理解。
  • 了解特定安全框架,如 NIST 的網路安全框架 (CSF) 是一個加分項。
  • 網路安全知識也非常關鍵,涵蓋如何保護組織的網路基礎設施。

答題策略
回答問題前,先將問題寫下來,有助於清晰結構化你的回答,避免漏掉問題的任何部分。

可能的技術面試問題

  • 什麼是 TCP/IP 模型?
    TCP/IP 模型是一個用來描述數據在網絡中如何組織和傳輸的框架,包含四層:應用層、傳輸層、網絡層和數據連接層。
  • 什麼是 OSI 模型?
    OSI 模型(開放系統互連模型)將通信過程劃分為七層:物理層、數據鏈路層、網絡層、傳輸層、會議層、表示層和應用層。
  • 什麼是 SIEM 工具,並且它們的用途是什麼?
    SIEM 工具是安全資訊與事件管理工具,用來識別和分析安全威脅、風險與漏洞,並集中管理來自多個來源的安全事件和警報。

面試中應用 STAR 方法

在工作面試中,有效傳達職業經歷和技能可能具有挑戰性。使用 STAR 方法 可以展示您面對挑戰的應對策略,並向雇主展示您具備成功解決問題的能力。
STAR

1. 情況 (Situation)

  • 描述您面臨的專案或挑戰。
  • 例子:處理不滿客戶、系統錯誤導致交易減慢、獨自解決問題。
    目標:充分描述情況,讓面試官了解挑戰。

2. 任務 (Task)

  • 說明您在情況中的關鍵職責或角色。
  • 清楚描述您的目標和角色在解決挑戰中的作用。

3. 行動 (Action)

  • 描述為解決問題採取的具體步驟。
  • 重要性:這部分展示您如何快速思考、做出決策並解決挑戰。
  • 行動步驟可以顯示您如何應對真實情境中的壓力。

4. 結果 (Result)

  • 分享您採取行動後的結果,如何解決挑戰。
  • 建議:確保範例結果是積極的,表明您能有效解決問題。
  • 若結果不完全正面,重點放在您從中學到的經驗和成長。