你是不是也這樣
- 沒時間做完整的威脅建模,每次評估風險都靠經驗拍腦袋
- 開發團隊趕進度,安全永遠是最後才想到的事,上線後才補洞
- 老闆問「我們的風險在哪、有多嚴重」,你答不出一個有條理的版本
這堂課面向要替公司守住資安、但人力與時間都不夠的 IT/資安負責人與技術主管,由資安講師親授,教你把 AI 變成你的資安副手。
說得更直白一點:資安的難處從來不是「不知道有風險」,而是看不全、排不出優先序、處理不完。這堂課就是用 AI 補上這三段——把風險看見、排序、處理。
上完課,你會帶走什麼
- 一份你公司某系統的威脅模型+分級風險清單——不是範例,是你自己的系統
- 一套可重複使用的「AI 資安檢視」提示流程——下次換個系統照跑就行
- 一份能向主管簡報的風險摘要——回答「風險在哪、有多嚴重」有條理的版本
課程大綱
- 資安風險的全貌:從攻擊者視角看你的系統——先學會像攻擊者一樣思考,才知道風險藏在哪
- 用 AI 做威脅建模——以 STRIDE 與攻擊路徑為骨架,半小時跑出一份結構化威脅清單
- 把安全內建進開發:AI 輔助的 SSDLC——讓安全在開發流程裡發生,而不是事後補
- 風險盤點與分級:產出能報告的版本——把散落的風險盤點起來、分出等級,整理成可報告的格式
- 建立可重複的「AI 資安檢視」流程——把前面的做法固化成一套提示流程,換個系統也能重跑
講師背書
講師長期投入滲透測試與資安教育:自建多套漏洞演練環境(LFI、Docker 提權、SQL injection 到提權的攻擊鏈),撰寫 iThome 鐵人賽「資安這條路」系列,並實作威脅建模與 SSDLC。教你防禦的人,自己得先會攻擊——因為懂攻擊,所以知道防禦該守在哪。
適合誰?不適合誰?
| 說明 | |
|---|---|
| ✅ 適合 | 要替公司守住資安、但人力與時間都不夠的 IT/資安負責人、技術主管 |
| ❌ 不適合 | 只想要一份合規文件範本的人(那是另一條路,本課專注在用 AI 看見與處理技術風險) |
課程版本
| 版本 | 長度 | 適合情境 |
|---|---|---|
| 主題演講 | 1 小時 | 快速建立「用 AI 做資安」的視野 |
| 技術工作坊 | 半天 | 對你們某個系統當場跑威脅建模與風險分級 |
| 全員內訓 | 1–2 天 | 威脅建模+SSDLC+可重複檢視流程完整落地 |
場域經驗
課程由資安講師設計與授課,已在金融、交通、科技、研究單位、零售、NGO 等場域實施企業內訓。
常見問題
我們團隊沒有專職資安人員,跑得動威脅建模嗎?
跑得動。課程的核心就是用 AI 補上人力缺口——你不需要先是威脅建模專家,AI 會帶著你對一個系統半小時跑出結構化的威脅清單,你的工作是判斷與取捨。
AI 做的威脅建模和風險盤點,可信嗎?
AI 負責「看得廣、列得齊」,把容易遺漏的攻擊面攤開;最終的判斷與分級仍由你拍板。課程會教你怎麼驗證 AI 的產出、哪些地方一定要人工把關,讓你交得出能對上層負責的版本。