關聯筆記:Google Cybersecurity Certificate > C2 課程總覽
C2W1 — 安全領域(Security domains)
Module 1: Security domains
目錄
- 一、這週在建立什麼地圖
-
- 這個模組(module)在學什麼?
-
- 這週的學習目標
-
- 二、威脅、風險、漏洞怎麼分
-
- 三個核心詞的差別
-
- 常見威脅、風險、漏洞有哪些?
-
- 它們怎麼影響業務營運?
-
- 初階分析師最常優先關注什麼?
-
- 三、八大安全域怎麼和工作連起來
-
- 八大安全域速覽
-
- 哪些安全域和初階分析師最相關?
-
- 四、風險管理與 NIST 風險管理框架
-
- 常見的風險管理策略
-
- 風險管理的基本步驟
-
- NIST 風險管理框架七步驟
-
- 五、術語速查表
一、這週在建立什麼地圖
1. 這個模組(Module)在學什麼?
- 這週是 C2 的起點,目標是把 C1 的基礎概念正式拉進「安全營運(security operations)」與「風險管理(risk management)」語境
- 核心主題有四塊:
- CISSP 八大安全域(eight security domains) 到底各在管什麼
- 威脅(Threat)、風險(Risk)、漏洞(Vulnerability) 要怎麼正確分辨
- 這些問題會怎麼影響 業務營運(business operations)
- NIST 風險管理框架(NIST Risk Management Framework, RMF) 怎麼把風險管理流程化
課程 2 概覽
C2 會依序帶你看:
- W1:安全領域(Security domains)
- W2:安全框架與控制(Security frameworks and controls)
- W3:資安工具導論(Introduction to cybersecurity tools)
- W4:使用 Playbook 回應事件(Use playbooks to respond to incidents)
這次實際抓取並整合的 Module 1 原文來源
- Get started with the course
- More about the CISSP security domains(4 份字幕)
- Navigate threats, risks, and vulnerabilities(4 份字幕)
- Review: Security domains
核心邏輯
先學會用「領域(domain)」和「風險(risk)」來分類問題,後面學安全資訊與事件管理工具(SIEM)、稽核(audit)、應變手冊(Playbook)才不會全部混成一團。
2. 這週的學習目標
根據這個模組(module)的介紹,這週要能做到:
- 認出並說明 CISSP 八大安全域(eight security domains) 的重點
- 定義會影響業務營運的主要 威脅(threats)、風險(risks)、漏洞(vulnerabilities)
- 描述 初階資安分析師(entry-level security analyst) 最常關注的威脅、風險與漏洞
- 判斷這些問題會如何影響 業務營運(business operations)
- 認出 風險管理(risk management) 的步驟
這週不是要你變成架構師
這週比較像在建立一張「資安問題索引表」,讓你之後看到事件、工具、控制、政策時,知道它屬於哪一類。
講師職涯補充
Ashley 和 Herbert 的分享都在提醒同一件事:初階分析師除了技術基礎,還需要團隊合作(teamwork)、分析能力(analysis skills)與跨團隊溝通(cross-team communication)。真實工作裡,常見問題不只是不明攻擊,也包括權限例外(exception requests)、權限過大(over-permissioning)、系統過時(outdated systems)與設定錯誤(misconfigurations)。
二、威脅、風險、漏洞怎麼分
1. 三個核心詞的差別
| 詞 | 中文 | 直白理解 | 例子 |
|---|---|---|---|
| Threat | 威脅 | 可能造成傷害的人、事件或條件 | 攻擊者、釣魚郵件、勒索軟體 |
| Vulnerability | 漏洞 / 弱點 | 可被利用的缺口 | 弱密碼、未修補系統、流程缺失 |
| Risk | 風險 | 威脅利用漏洞後帶來的可能損害 | 帳號被盜、資料外洩、服務中斷 |
最好記的公式
威脅(Threat)利用漏洞(Vulnerability),就會讓風險(Risk)升高。
課程版定義要記熟
- 威脅(Threat):任何會對資產(asset)造成負面影響的情況或事件
- 風險(Risk):任何會影響資產機密性、完整性、可用性(CIA)的因素
- 漏洞(Vulnerability):可被威脅(threat)利用的弱點
2. 常見威脅、風險、漏洞(Threats, Risks, Vulnerabilities)有哪些?
威脅(Threats)
- 內部威脅(Insider threat):員工或供應商濫用已授權存取
- 進階持續性威脅(Advanced persistent threat, APT):長時間維持未授權存取、持續潛伏
- 社交工程(Social engineering):利用人為錯誤取得私密資訊、存取權或貴重資產
- 釣魚攻擊(Phishing):以看似可信的郵件或訊息誘騙使用者交出帳密、銀行資訊或其他敏感資料
- 勒索軟體(Ransomware):加密組織資料並要求付款才恢復存取
風險(Risks)
- 外部風險(External risk):來自組織外部的風險,例如威脅行為者(threat actor)試圖取得私密資料
- 內部風險(Internal risk):現任或前任員工、供應商、合作夥伴帶來的風險
- 老舊系統(Legacy systems):老舊系統未更新、未盤點,仍持續連到重要環境
- 多方風險(Multiparty risk):第三方供應商接觸到智慧財產、設計或內部資料
- 軟體合規 / 授權風險(Software compliance / licensing):軟體未更新、未合規、修補程式(patch)沒及時安裝
漏洞(Vulnerabilities)
- ProxyLogon
- ZeroLogon
- Log4Shell
- PetitPotam
- 安全日誌與監控失效(Security logging and monitoring failures)
- 伺服器端請求偽造(Server-side request forgery, SSRF)
課程提醒
開放式 Web 應用程式安全專案(OWASP)在 2021 的更新新增了像是不安全設計(insecure design)、軟體與資料完整性失敗(software and data integrity failures)、**伺服器端請求偽造(SSRF)**等風險,這也反映資安領域是持續演進的。
3. 它們怎麼影響業務營運?
- 資安問題不只是「系統壞掉」,而是會直接影響組織維持日常運作的能力
- 典型影響包括:
- 財務衝擊(Financial impact):服務中斷、修復成本、法規罰款
- 身分盜竊(Identity theft):PII、銀行帳號、出生日期等資料被出售或外洩
- 聲譽受損(Reputational damage):客戶流失、負面新聞、品牌信任下降
- 供應鏈影響:第三方出問題,也會連帶影響自己的業務
勒索軟體(Ransomware)的營運衝擊
勒索軟體會讓網路系統凍結、裝置無法使用、機密資料被加密鎖住;攻擊者再要求支付贖金,才提供解密金鑰(decryption key)讓組織恢復正常運作。
三層網路(Three layers of the web)
- 表層網路(Surface web):一般瀏覽器可直接存取的內容
- 深層網路(Deep web):需要授權才能進入,例如公司內網(intranet)
- 暗網(Dark web):需特殊軟體存取,常被犯罪者利用其匿名性進行資料交易或勒索談判
業務連續性(Business continuity)
課程把 業務連續性(business continuity) 定義為組織能透過風險與災難復原計畫,維持日常生產力的能力。
所以風險管理不是可有可無,而是維持營運的核心。
4. 初階分析師最常優先關注什麼?
- 初階資安分析師(entry-level analyst)最常處理的,不一定是最抽象的策略,而是最容易直接影響資產的問題:
- 未授權存取
- 帳號權限異常
- 記錄與監控不足
- 已知漏洞未修補
- 可疑登入、可疑使用者活動
- 設定錯誤(misconfigurations)
- 裝置與系統過時(outdated systems)
- 也常參與:
- 漏洞管理(vulnerability management)
- 安全稽核(security audits)
- 權限審查(permission review)
- 安全資訊與事件管理儀表板(SIEM dashboard) 日常監看
易混點
初階分析師不一定負責設計整套安全策略,但很常是第一個看到訊號、第一個幫組織縮小風險範圍的人。
三、八大安全域怎麼和工作連起來
1. 八大安全域速覽
| # | 安全域 | 重點焦點 | 例子 |
|---|---|---|---|
| 1 | 安全與風險管理(Security & Risk Management) | 安全目標、風險緩解、合規、法規、倫理、業務連續性 | 因應一般資料保護規範(GDPR)調整個人可識別資訊(PII)處理方式 |
| 2 | 資產安全(Asset Security) | 資產的儲存、維護、保留、銷毀 | 建備份、做復原計畫(recovery plan)、管資料暴露 |
| 3 | 安全架構與工程(Security Architecture & Engineering) | 用正確工具、系統、流程保護資料 | 用安全資訊與事件管理工具(SIEM)偵測異常登入 |
| 4 | 通訊與網路安全(Communication & Network Security) | 保護實體網路、遠端與雲端通訊 | 限制外部網路連線、保護遠端工作 |
| 5 | 身分與存取管理(Identity & Access Management, IAM) | 確保身份可信、授權正確 | 依最小權限原則(least privilege)給客服最少資料存取 |
| 6 | 安全評估與測試(Security Assessment & Testing) | 找出並降低風險、威脅、漏洞 | 權限稽核、控制測試、滲透測試 |
| 7 | 安全作業(Security Operations) | 調查事件、做預防、做文件與鑑識 | 安全資訊與事件管理工具(SIEM)、日誌管理(log management)、Playbook、事件管理(incident management) |
| 8 | 軟體開發安全(Software Development Security) | 把安全寫進整個開發生命週期 | 測試新應用程式或醫療設備加密設定 |
額外值得記的設計原則
第 3 域特別會碰到:
- 最小權限原則(least privilege)
- 縱深防禦(defense in depth)
- 安全失敗(fail securely)
- 職務分離(separation of duties)
- 零信任(zero trust)
- 信任但驗證(trust but verify)
2. 哪些安全域和初階分析師(entry-level analyst)最相關?
最常直接碰到的通常是以下幾個:
- 安全與風險管理(Security & Risk Management)
- 理解安全態勢(security posture)、合規、風險緩解與應變手冊(Playbook)
- 身分與存取管理(Identity & Access Management, IAM)
- 審查權限是否符合最小權限原則(least privilege)
- 安全評估與測試(Security Assessment & Testing)
- 做稽核(audit)、控制測試(control testing)、權限驗證、支援滲透測試(pen test)結果修補
- 安全作業(Security Operations)
- 看安全資訊與事件管理工具(SIEM)、日誌(log)、事件(incident)、鑑識(forensics)、經驗回饋(lessons learned)
身分與存取管理(IAM)的 4 個組件
- 識別(Identification):使用者提供帳號、門禁卡或生物特徵,說明自己是誰
- 驗證(Authentication):用密碼、PIN 或其他方法證明身分
- 授權(Authorization):依角色決定能存取什麼
- 可歸責性(Accountability):記錄登入與操作,確保資料被正確使用
IAM 為什麼重要
如果整間公司共用同一個管理員帳號(administrator login),一旦發生資料外洩事件(breach),就幾乎不可能分辨哪一段操作是正常使用者,哪一段是威脅行為者(threat actor)。
另外也常會和以下領域協作:
- 資產安全(Asset Security):資料備份、保留與復原
- 通訊與網路安全(Communication & Network Security):遠端工作與網路安全控制
- 軟體開發安全(Software Development Security):當事件牽涉到應用程式弱點或安全測試時
這週和 C1 的銜接
C1W2 比較像「第一次看到八大安全域」;C2W1 則進一步把每個領域(domain)跟實際工作、資產保護、風險管理連起來。
四、風險管理與 NIST 風險管理框架
1. 常見的風險管理策略
| 策略 | 中文 | 直白理解 |
|---|---|---|
| Acceptance | 接受 | 接受這個風險,避免影響業務連續性 |
| Avoidance | 避免 | 直接改變計畫,避開風險 |
| Transference | 轉移 | 把風險交由第三方承擔或管理 |
| Mitigation | 緩解 | 降低已知風險的影響 |
風險緩解(Risk mitigation)
課程把**風險緩解(risk mitigation)**定義為:建立正確程序與規則,在資料外洩事件(breach)等風險發生時能快速降低衝擊。
2. 風險管理的基本步驟
把這週內容濃縮成最實務的流程,可以先記成:
- 找出重要資產(assets)
- 辨識威脅(threats)、風險(risks)、漏洞(vulnerabilities)
- 評估影響與可能性
- 選擇控制與處理策略
- 持續監控與調整
先有資產盤點(inventory),才有風險管理(risk management)
不知道自己有哪些資產,就很難正確評估風險。
3. NIST 風險管理框架(RMF)七步驟
| 步驟 | 名稱 | 課程版意思 |
|---|---|---|
| 1 | 準備(Prepare) | 在資料外洩事件(breach)發生前,先做管理安全與隱私風險所需的準備 |
| 2 | 分類(Categorize) | 發展風險管理流程與任務 |
| 3 | 選擇(Select) | 選擇、客製、記錄要保護組織的控制 |
| 4 | 實作(Implement) | 實作安全與隱私計畫 |
| 5 | 評估(Assess) | 確認控制是否正確實施 |
| 6 | 授權承擔(Authorize) | 對仍存在的安全與隱私風險負責 |
| 7 | 監控(Monitor) | 持續關注系統如何運作 |
NIST RMF 的價值
NIST 風險管理框架(RMF)不是背流程而已,而是把風險管理做成一個可重複、可稽核、可持續監控的循環。
影片版的實務理解
- Prepare(準備):先監看風險,找能降低風險的控制
- Categorize(分類):用組織既有流程去判斷哪些系統與資訊最關鍵
- Select(選擇):挑選控制,也包含維護 Playbook 和文件
- Implement(實作):把安全與隱私計畫真正落地
- Assess(評估):檢查控制、流程、工具是否真的有效
- Authorize(授權承擔):建立報告、行動計畫與里程碑,對剩餘風險負責
- Monitor(監控):持續看系統是否仍支援組織安全目標
五、術語速查表
| 英文 | 中文 | 白話解釋 |
|---|---|---|
| Security Posture | 安全態勢 | 組織防禦重要資產與資料、並回應變化的能力 |
| Business Continuity | 業務連續性 | 組織透過規劃維持日常生產力的能力 |
| Threat | 威脅 | 可能對資產造成負面影響的事件或情況 |
| Risk | 風險 | 任何會影響資產 CIA 的因素 |
| Vulnerability | 漏洞 / 弱點 | 可被威脅(threat)利用的缺口 |
| External Threat | 外部威脅 | 組織外部會傷害資產的來源 |
| Internal Threat | 內部威脅 | 現任或前任員工、供應商、合作夥伴帶來的風險 |
| APT | 進階持續性威脅 | 長期維持未授權存取的高階威脅行為者 |
| Shared Responsibility | 共同責任 | 組織內每個人都要主動參與降低風險 |
| Least Privilege | 最小權限原則 | 只給完成任務所需的最低授權 |
| InfoSec | 資訊安全 | 保護資訊的一組流程與做法 |
| NIST RMF | NIST 風險管理框架 | 用來系統化管理安全與隱私風險的框架 |
| Prepare | 準備 | RMF 第一步,先做風險管理準備 |
| Categorize | 分類 | RMF 第二步,為系統與風險分類 |
| Select | 選擇 | RMF 第三步,挑選適合的控制 |
| Implement | 實作 | RMF 第四步,落地執行控制 |
| Assess | 評估 | RMF 第五步,檢查控制是否正確實施 |
| Authorize | 授權承擔 | RMF 第六步,對剩餘風險負責 |
| Monitor | 監控 | RMF 第七步,持續觀察系統運作 |
| SSRF | 伺服器端請求偽造 | 攻擊者操控伺服器去存取後端資源 |
| Log4Shell | Log4j 漏洞 | 可讓遠端攻擊者執行惡意程式碼的重大漏洞 |
| ProxyLogon | Exchange 漏洞 | 影響 Microsoft Exchange 的已知漏洞 |
| ZeroLogon | Netlogon 漏洞 | 影響 Microsoft 驗證協定的重大漏洞 |
筆記建立日期:2026-03-27 | 最後更新:2026-03-27