這篇文章想分享的是 ISC2 CC 的心得,不過會是從一個比較不同的角度出發來簡單聊一下。不是那種很完整的準備攻略或新手教學,如果你是想找怎麼準備、看什麼題庫,那這篇應該不太適合你。
先簡單自我介紹一下,我自己本身是具有五年以上經驗的資安從業人員,做過攻防相關,也有做過安全開發,算是不同面向都有碰過。(這邊附上我的 LinkedIn 給大家參考)
前陣子在準備 ISC2 的 CSSLP,因為是第一次考 ISC2 的考試,多少還是有一點「第一次」的緊張感。這時候突然想到,我之前其實有申請過一張 CC 的免費考試資格,但一直沒有去考,後來才發現已經過期了。寫信去問之後 ISC2 還幫我延長,這點還滿加分的。
所以我就決定先安排一場 CC,當作練筆,也順便體驗一下 ISC2 的考試環境跟出題風格。(也順便多拿一張認證XD)
關於 ISC2 的 CC (Certified in Cybersecurity) 認證
根據官方說明:
“Certified in Cybersecurity (CC) is an entry-level certification that validates foundational cybersecurity knowledge and skills.”
中文意思是:👉 CC 是一張驗證資安基礎知識與技能的入門級認證
CC(Certified in Cybersecurity)照官方的說法,是一張 entry-level certification,用來驗證資安的基礎知識與技能。簡單講,它就是一張偏入門、偏觀念的資安證照,而不是那種強調技術深度或實戰能力的東西。考試本身也很單純,100 題選擇題,考試時間 2 小時,滿分 1000 分,700 分通過。
也就是說,它本質上是:
- 偏「觀念與基礎」的證照
- 而不是技術深度或實戰導向的認證
老實說,這張證照本身的定位就是入門,所以含金量本來就不高,這其實也不需要特別去美化。但它也絕對不是一張沒什麼用的證照,它代表的是「你至少具備基本的資安概念,而且是正確的」。再加上 ISC2 的考試風格比較偏理解,而不是單純背考古題,這點我自己是覺得有價值的。
「ISC CC的含金量不高,並不是它的缺點,而是它的定位」
關於 CC 考試的準備
至於 CC 考試準備的部分,我其實真的沒什麼準備。因為知道它屬於入門的認證、選擇題,而且對我來說不是這麼必要要取得的認證。當下的想法很直接,就是覺得這對我來說不是一張一定要花很多時間的考試。最後是在考試當天早上出發去考場的路上,搭捷運的時候,大概用 45 分鐘快速看了一下別人整理的筆記。確實有幫助,也順便感謝一下整理與分享的兩位網友大大:
- Certified in Cybersecurity Certification:https://hackmd.io/@bojack/S1734FVma
- ISC2 Certified in Cybersecurity (CC) 認證課程筆記:https://hackmd.io/@hiiii/Sya5eORQbe
平常多多熟悉一些資安的內容,就是很好的準備了。還有,英文可能也要好好準備 XDDD
考試當天:考試搭車到市政府捷運站,下車走短短幾分鐘就可以到考場大樓(Pearson VUE 授權考試中心)(聯合世紀大樓),進去後會檢查護照,確認基本資訊,然後東西會鎖在置物櫃,外套跟水還有雜物都是放在外面。接著會進到一個小電腦教室(有隔板,大家有點像是背對背的),進去用電腦作答選擇題。走進大樓的時候我記得是 10 點整,走出來大樓的時候我是 11:15,其實滿快就結束的。考完當下就會拿到一張紙,知道考試測驗結果。
ISC2 CC 心得
接下來是我覺得這篇比較想講的重點。
這次,我自己其實是把 CC 當成一個「反思工具」在看,而不是單純一張證照。如同我的標題與開頭所說,想以一個比較特別的反省角度來分享心得。
如同剛剛我所說的,CC的定位是一張入門認證。如果你是剛進資安領域一兩年,或是接觸的東西還比較有限,那這張考試本來就需要準備,甚至不容易通過,這很正常。但如果反過來,你已經在資安圈待了四五年以上,甚至已經是資深工程師、分析師或顧問,那這張考試的內容,本質上其實就是一些資安的基本觀念。
如果真的是已經在資安領域待了好幾年,已經掛上 Senoir 或是更高階的頭銜了,考試內容原本就只是資安基礎知識與觀念,就算沒辦法裸考通過,至少應該是花幾天複習一下就可以通過。在這樣的前提下,如果還需要花很多時間準備,甚至考起來很吃力,我覺得比較像是一個訊號。可能代表你的經驗其實集中在某一個領域,對整體資安的理解沒有那麼全面,或者有些觀念只是「聽過」,但沒有真的內化(更嚴重的可能是你學到的或你知道的觀念可能會是錯誤的),或許應該好好反思一下你在資安圈四五年的經驗到底都在幹嘛,避免空有年資沒有資歷。當然也有可能是你本來就走得很專精,例如只做某一塊攻擊或防禦,那這也沒有什麼問題,就是術業有專攻,對這種類型的考試本來就不擅長。
另外一個我自己的感覺是,CC 跟像 CISSP、OSCP 這種考試不太一樣。後者沒考過,其實不一定代表能力不夠,有時候是準備方式、考試策略、甚至一點運氣。但 CC 比較不像,它比較像是在確認一件很基本的事情:你對資安這件事的基本理解,有沒有到位。
所以對我來說,這張證照的價值反而不在證照本身,而是在於它讓我先熟悉 ISC2 的考試方式,同時也讓我重新檢視自己的基礎與觀念是不是足夠紮實與正確。
如果你是新手,這張證照是一個不錯的起點;但如果你已經在這個領域一段時間了,那它比較像是一面鏡子,讓你看看自己的基礎,有沒有你想像中的那麼紮實穩固。