人生清單裡的一個小目標，就是將自己在資安領域的經驗撰寫成書。去年我用鐵人賽逼自己持續產出，今年依舊如此。這次的主題我選擇了 「從稽核發現到落實保護＿會這麼做的不愧是勇者」。

為什麼會挑這個題目？因為過去一年我參與教育部主辦的資安稽核的技術檢測，親眼看見一份份的檢測報告從「漏洞清單」變成「修補紀錄」，過程裡的痛點、落差與改進，其實比工具操作本身更值得被記錄。

同時，我今年也設定了一個新的研究目標：深入分析 《“蚍蜉撼树”——台民进党当局“资通电军”黑客组织网络攻击活动调查报告》。這份報告揭示了國際間對台灣資安情勢的觀察角度，我希望能把它和教育部的檢測實務並列，嘗試做出「外部威脅 vs. 內部治理」的對照。

更巧的是，剛好數位政府高峰會上，資安署署長蔡福隆拋出了 分級稽核、EASM 外部曝險檢測、AI 場外稽核 的新方向，正好與我想要寫的主軸呼應。這也是我希望透過這次挑戰，邊寫邊整理思路，最後也許能把這些文章再整理成一本小書。

入坑的起手式
回想剛踏進資安檢測的時候，身邊的同事都在聊 Nessus、Burp Suite、Nmap，我卻連「為什麼要先做弱掃」都搞不清楚。直到實際跟著技術檢測團隊跑過一場完整流程，才驚覺：

稽核不是為了扣分，而是為了讓系統更安全。

這個體悟，成了我想寫這系列的起點。今年聚集了三個人一同分擔，透過大家在資安領域的專長互補：有人擅長滲透測試；有人熟悉稽核流程，有人則可專注於將檢測發現與後續防護措施串聯起來。讓我們不只是做出「檢測報告」，而是能從不同角度看待同一個資安議題。

希望藉由這個系列文章，帶領大家走過資安外部稽核的脈絡：從「檢測項目」到「為什麼重要」，再到「實際案例」與「改善措施」。無論你是剛入門的新人、需要配合稽核的 IT 人員，或是正在尋找資安投資方向的管理者，都能從中獲得一些啟發。

因為，資安並不是少數專家的責任，而是所有人都要一起參與的持續旅程。

本系列的五大方向
為了讓 30 天的文章更有結構，我們團隊將內容分成五大主題，讓讀者能循序漸進：

1. 資安稽核基礎與理論

• 說明為何教育部的稽核要拆成八大檢測項目
• 解析「使用者電腦弱點掃描」這類測試背後的思維

2. 檢測與漏洞挑戰

• 對應八大檢測項目：電腦、IoT、核心系統、資料庫等
• 工具實作：Nessus、Shodan、Burp Suite、sqlmap…

3. 攻擊手視角培訓

• 模擬攻擊路徑：如何把一個小弱點拼湊成可行攻擊鏈
• 參考「攻擊手培訓」課程內容，延伸成案例分享

4. 觀察與分析

• 從觀察員角色出發，記錄演練過程中的「人性面」與「組織面」
• 例如：報告如何被審查、哪些缺失會被特別放大檢視

5. 總結與回顧

• 反思這 30 天寫作與檢測經驗
• 展望未來 AI 稽核、自動化檢測的可能

小提醒
資安檢測須執行各式各樣的工具與掃描，設備的穩定性與耐用性會直接影響學習體驗。

如果你正準備跟著這系列學習，請先準備一台能上網的電腦，並確認散熱良好。因為在過去的實戰經驗裡，我就真的把陪伴多年的筆電燒退役了（笑）。

環境方面，其實不管是 MacOS、Windows 11 WSL2，還是 Kali VM，都有人在用。我自己三種都試過，各有優缺點。但能讓你「穩定地持續練習」才是重點，就像運動時不用在意穿什麼牌子的鞋子，而是能不能長期訓練一樣，資安檢測也需要在一個熟悉且穩地的環境裡，累積實戰經驗。

結語
Day 1 算是暖身，先把整體架構與動機寫下來。從 Day 2 開始，我會繼續水一點── 使用者電腦安全檢測，帶大家認識為什麼在資安檢測流程中，弱點掃描還不夠，必須透過實際的滲透測試來驗證風險能否被真正利用。

30 天的挑戰，就從這裡正式展開。