現代網路安全：零信任、隱私與AI安全課程

現代網路安全是一堂專為工程師與安全從業人員設計的進階網路安全課程，時長約 5.7 小時，深入且即時地講解零信任、通行密鑰、隱私工程、威脅偵測、AI/LLM 安全及軟體供應鏈防禦。 這是 Google、Microsoft、Apple 和 Cloudflare 的工程師實際用來保護數十億使用者的思維模型。

2022 年 9 月，一名 18 歲少年用不到一個三明治價錢買來的密碼登入了 Uber 的內部網路。十五年來的黃金標準——多因素驗證——卻敗給一通 WhatsApp 訊息。沒有零時差漏洞，沒有國家級攻擊，只是一個青少年和一位疲憊的約聘人員。

這個外洩事件正是本課程的起點，因為它提出了每位安全架構師現在都在思考的問題：如果完美的 MFA 還是會敗給一通電話，那真正好的安全究竟是什麼樣子？

這不是證照考試準備，也不是初學者理論。這是揭露全球最受攻擊的企業如何在實戰中防禦——比行銷簡報更深一層，透過那些迫使每一道防線出現的真實外洩事件來說明。

---

誰適合這門網路安全課程

本系列是為軟體工程師、安全工程師與實務從業人員所設計，他們已經了解 HTTPS 的功能和 MFA 的意義，並想要獲取資深架構師的知識，將頭條新聞化為真正的理解。

課程結束後，你將成為團隊中那個看到最新外洩公告，就能立刻指出防守方遺漏了什麼的人。

本課程適合你，如果你：

• 建置、營運或保護生產系統，並希望像架構師一樣思考安全
• 常讀到 Scattered Spider、Volt Typhoon、提示注入或 XZ 後門等新聞，並想真正理解它們
• 想要具體、週一早上就能採取的行動——而非抽象框架

（目前）不適合，如果你需要絕對的初學者入門或證照速成。我們假設你已具備基礎知識，直接深入核心。

---

你將學到什麼

三段緊密關聯的影片，每段都以一個真實的知名事件開場，提煉出架構教訓，並以確切的行動方案結尾。

第一部分 — 規模化的身分：零信任與通行密鑰（約 96 分鐘）

前門：誰能進來，以及為什麼所有其他防禦都建立在身分之上。

• 零信任在架構上真正的意義，而非口號（NIST 800-207、CISA 支柱，以及為什麼它真正代表持續、基於證據的信任）
• Google BeyondCorp — 第一個生產環境中的零信任實作，以及 ALTS、Binary Authorization 和 gVisor
• Microsoft Entra 與 Secure Future Initiative — 一場足以讓 Microsoft 公開重組組織的嚴重外洩事件，以及其回應背後的條件式存取模型
• Cloudflare One — 確切的密碼學原因，說明 FIDO2 硬體金鑰為何能擊敗那場讓 130 家企業淪陷的釣魚活動
• 通行密鑰與 WebAuthn，完整解釋 — 來源綁定、同步金鑰與設備綁定金鑰，以及密碼竊盜的真正終結
• Okta 外洩事件、Scattered Spider 和 Snowflake 攻擊潮 — 現代攻擊者如何跳過密碼學，直接打電話給客服
• 聯邦防釣魚 MFA 強制要求、WebAuthn Level 3、OAuth 2.1，以及 AI 代理時代的身分未來

第二部分 — 防護數十億使用者：隱私工程與威脅偵測（約 122 分鐘）

當攻擊者已經在內部時會發生什麼事——以及如何保護你甚至無法看見的資料。

• Apple Private Cloud Compute — 伺服器如何證明它從未讀取你的 AI 提示，以及為什麼 Apple 懸賞高達 100 萬美元給任何能證明它錯的人
• 差分隱私與聯邦學習 — 使用資料卻永遠不看見它
• 端對端加密 — Signal 協定、進階資料保護，以及後門的政治角力
• 威脅情資 — Microsoft 如何命名並追蹤 300 多個國家支持的駭客組織
• Volt Typhoon 與 Salt Typhoon — 在關鍵基礎設施內部預先部署的新時代
• ITDR、現代 SOC、檢測即程式碼，以及安全資料湖
• CrowdStrike 大當機 — 一次更新癱瘓 850 萬台機器的日子，以及防禦的真正代價

第三部分 — 新疆界：AI 安全與軟體供應鏈（約 124 分鐘）

攻擊者和防禦者仍在制定規則的兩大攻擊面——即時、在生產環境中。

• EchoLeak — 第一個針對生產環境 AI 代理的零點擊提示注入攻擊：一封電子郵件，零點擊，你的整個 SharePoint
• OWASP 十大 LLM 應用程式風險（2025） 以及為什麼提示注入是新的 SQL 注入
• 主要 AI 實驗室如何實際保護他們的模型 — 安全框架、紅隊演練和 MITRE ATLAS
• 代理型 AI 安全 — 當助理開始採取行動時，攻擊面倍增
• 模型竊取與蒸餾
• 軟體供應鏈安全 — SolarWinds、Log4Shell，以及 XZ 後門的完整故事，一個幾乎在幾天內就危害了地球上幾乎所有伺服器的驚險事件
• 真正的防禦：SLSA、Sigstore、SBOM 與可重現建置

---

這門網路安全課程有何不同

建構在真實事件上，而非抽象概念。 每個觀念都錨定在一個具名的外洩事件、一個真實的 CVE，以及本可阻止它的具體控制措施。

即時且相關。 這是安全領域現狀的權威快照——現行法規、正在出貨的產品，以及當下活躍於野外的攻擊行動。

達架構級深度，並附原始來源。 引用 NIST 800-207、BeyondCorp 論文、網路安全審查委員會報告、OWASP 和 MITRE——讓你在影片結束後還能繼續學習。

重視行動勝於冷知識。 每個部分都以一個具體的操作順序結尾，你可以在週一早上立即應用，無論你是在防護一家財星 500 大企業還是一人 SaaS。

---

課程包含什麼

• 所有三部進階影片（約 5.7 小時深入教學）
• 一次性購買，終身存取 — 買一次，永久持有
• 完整系列，建議依序觀看，每部影片都建立在前一部的基礎上

「課程結束時，那些縮寫——WebAuthn、FIDO2、OAuth、ZTNA、ITDR、SLSA、SBOM——將變得具體。你會知道每一項的用途、它在資安堆疊中的位置，以及缺少它會產生什麼問題。」

---

常見問題

這門網路安全課程適合初學者嗎？ 不適合。這是為工程師和從業人員設計的進階課程。我們假設你已經了解 HTTPS 和 MFA，然後再深入一層，探討大規模防禦實際是如何建構的。

我需要什麼背景知識？ 具備網路和身分驗證運作方式的基本知識。如果你能解釋 HTTPS 和 MFA 的作用，就已準備就緒。

教材是最新的嗎？ 是的。本系列涵蓋最新的外洩事件、法規和防禦措施，包括到 2025–2026 年的 AI/LLM 安全和軟體供應鏈攻擊。

我能終身存取嗎？ 可以。這是一次性購買，可終身存取所有三部影片。

這能幫我通過證照考試嗎？ 這並非以考試為目標，但其對零信任、身分、隱私工程、偵測和供應鏈安全的深度探討，可強化大多數現代安全證照背後的觀念。

---

立即取得三部影片 → nikandr.com/cybersecurity