iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 27
0
Security

小資工程師維持資安證照之路系列 第 27

[Day 27] 一年四季持續開論壇做研究的IANS

之前花了三天的時間介紹各種SANS Institute相關資源,SANS的研究與資源真的是包羅萬象包山包海,但是資訊安全這麼廣大的領域,資訊安全研究可不是SANS一家獨大喔!今天要來介紹另一家名氣比較小,但是仍然有豐富資源的獨立研究機構 :IANS

IANS的全名是Institute for Applied Network Security,雖然不像SANS那麼龐大,有GIAC核發資安證照、有STI提供碩士學士課程,但身為資安研究機構,它將自己定位成協助CISO資安長的主要資源。所謂的CISO (Chief Information Security Officer)是資安長,作為向上對CIO和高級管理階層報告、向下管理資安團隊的重要人物,在任何企業組織的重要性相當於孔明軍師,既需要具備技術層面的真功夫,又需要熟悉管理層面、法遵法規和營運的考量。例如最近熱門的議題資安韌性Cyber Resilience,它的技術層面是麼達成的?怎麼應用?從管理的層面上需要如何注意考量?對企業組織帶來的影響為何?可以解決什麼問題?這些都是CISO需要了解、對上說明,對下指導,所以IANS提供適當資源協助CISO做決策。

各項活動

從網站上的Events點選進去,可以看到活動分為幾大類,其中對我們最有幫助、可以學習並申報CPE學分的是:Forums、CISO Roundtables、Symposium、 Webinar。Webinar是我們介紹好多次的網路研討會,因為IANS有自己的成員,所以不用擔心又是看到資安廠商來賣產品,而是專注於資安議題的研討;Symposium討論會和一般一個小時左右的網路研討會不同,而是利用半天的時間深入探討技術與運作上的資安議題,這些討論會都有影片紀錄放在Symposium Replay這個地方, 我特別推薦David Kennedy講的「Leveraging MITRE ATT&CK」,對於企業為什麼需要了解個框架,及如何運用MITRE ATT & CK,有深入的解析;CISO Rounbtables是資安長圓桌會議,主要是讓不同的資安長認識交流,彼此分享、討論;Forums是為期兩天的座談會,每天有主題演講、分組課程/議程、新技術介紹等等活動,在新技術介紹的課堂上偶爾會帶到資安產品,畢竟資安廠商會想趁這個機會宣傳自己領先對手、獨特的新技術,但是IANS和廠商間的默契很好,課堂上還是以講解技術為主,想要深入了解產品,可以趁休息時間到旁邊的贊助商攤位詢問。

這些活動都是免費的,而且IANS會提供完成證明,讓參與者申報CPE學分,網路研討會和討論會回放影片都可以從網站上看,而因為COVID-19疫情影響,原本一年四季各處巡迴舉辦的種種活動也都變成線上舉辦,更方便大家參與學習。

閱讀資料

IANS也有出版白皮書報告和各種研究報告,有一種名為Ask-An-Expert Wrtieups報告是由IANS成員訪問業界專家,針對特定資安議題撰寫的報告;另一種是由IANS成員針對當前資安議題,獨立撰寫的Faculty Report,其他還有很多閱讀資料,但是一般人好像無法獲取,不知道是否要訂閱什麼會員?因為我個人對讀報告寫介紹來申報CPE學分不感興趣,這部分就有待其他人嘗試分享了。

IANS是獨立的研究機構,它的faculty成員來自業界知名專家,兼具學術與業界資訊,而且和資安廠商的關係良好,課程研討集中在資安議題,不賣產品不推銷,值得我們利用它的資源來學習、賺CPE學分。

https://ithelp.ithome.com.tw/upload/images/20201012/20084806pIqGtBNvey.png

*下面提供兩個連結幫助大家熟悉CISO的角色

《CISO的必備絕活》資安人科技網
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=5283

《資安長之必須(1)-CISO-關鍵領導要角的職責與資格》原文出自「CIO IT經理人」雜誌 2019年2月號
http://www.cc.ntu.edu.tw/chinese/epaper/0048/20190320_4811.html


上一篇
[Day 26] 自家資源大放送:Qualys
下一篇
[Day 28] Fortinet NSE Institute 免費網路安全培訓課程
系列文
小資工程師維持資安證照之路30

尚未有邦友留言

立即登入留言