The journey of getting the "Real World Security Practitioner"
去年年中, 我很幸運地有機會跟公司一些同事一同去參加美國的 Blackhat 2010. Blackhat 通常都在美國賭城舉行, 地點在著名的 Caesars Palace Hotel.
Blackhat 是一安全性的研討會, 2010 年共有六天, 分別為前四天的訓練課程, 以及後兩天的專題演講 (Briefings). 這次公司的同事都是參加兩天的訓練以及兩天的演講. 訓練的課程事先由各個同事選擇, 我們事先協調每個人都參加不同的訓練, 以及不同的演講.
我所參加的訓練是由 Peak Security 公司所舉辦的新課程「Real World Security: Attack, Defence & Repel」. 與其說它是一個課程, 不如說它是一個兩個整天的 War Game. 參與訓練的學員一進教室時, 就被分為兩隊. 整個課程有一個故事串起整個主軸, 而兩方分別是故事中的兩個重量級公司, 互相進行網路的攻防.
講師在課程一開始時, 就提到了一個叫做「Real World Security Practitioner」的認證, 是與這個課程合併在一起的. 完成這個課程的人, 就有資格申請這個認證. 這個認證通過核可需要下列幾個關卡:
- 完成這堂課
必須要有概括性的安全知識, 以及團隊合作的能力 (通過課內的同儕評比) - 通過課後的筆試
- 完成一個專題並繳交一份書面報告
課後 60 天內完成, 至少 15 頁, 必須為 APA 或 MLA 格式
剛開始聽到時, 真的是非常的挑戰, 上完課第一天我猶豫了很久到底是否要簽訂申請這個認證, 由於看起來太困難了. 第一天上完課時, 我在 Caesars Palance 通常 Flamingo 的天橋上, 跟我們同行的領隊敘述這件事情, 當時他鼓勵我可以先申請看看, 反正到時候生不出來再說.
上課的兩天對我來說非常的刺激, 因為距離上一次去美國, 已經是約莫二十年前的事情, 然後這又是一個團隊合作的課程, 導致語言溝通、文化差異對我來說造成更大的障礙. 隨著時間過去, 我漸入佳境, 第二天的課程也很順利的完成了. 班級上的同儕評分選出了兩位風雲人物 (MVP), 副總 (VP) 等級果然是當之無愧!
課後的筆試其實不會太困難, 只要課堂發的講義有稍微看過, 對資訊安全有些了解, 大概都答得出來, 是一份滿簡單的試卷 (大部分為選擇題, 其中兩題申論). 因此, 在我回台的一兩周內, 就被寄信告知我是認證的候選人, 由於課程與認證都是新的, 因此我被排在第十一號. 得到這個消息的我相當興奮, 竟然可以拿到一個全球編號 11 的認證!
時間又匆匆飛逝, 期間在趕公司的 project, 竟然一轉眼就超過了六十天, 而我還沒開始動工. Peak Security 的 Greg 很貼心的自動延長 30 天, 並且提供了我 APA/MLA 格式的協助.
正當我完全沒有思緒時, 突然有了重大的突破, 意外的發現廣告信中傳送者的一些特點, 於是我在截止前兩天花了一些時間把東西給趕出來.
天不從人願, 在一個半月後的回應, 說明了我的內容太少, 並且提出了幾個改進的地點, 包括撰寫一些程式來驗證我的想法, 以及一些更進一步的內容. 其實這個結果一點都不令人意外, 因為我為了趕稿, 大部分都是貼廣告信的原始碼, 佔據大部分篇幅.
我依照建議的項目一項一項完成 (書面報告在此), 最終在 2011 年春節前夕, 收到了 Greg 報給我的佳音, 我通過了認證, 並且成為第十一號認證通過的學員 (詳情見此連結).
這是一個非常寶貴的經驗, 去了美國參加 Blackhat 已經讓我大開眼界, 而拿到這個認證更是不可思議. 一切的起源都只是在天橋上的那一段話, 當時我完全不曉得是否能夠達成, 但是只要開始去做, 硬著頭皮執行下去, 回頭看這一切, 似乎也就不那麼困難了.
有時候我會懷疑這整件事情會不會是我一個人在自 high, 但後來在網路上看到同樣上過課的人, 也是高度評價, 是一個有別於其他訓練以及認證的課程.