圖/iThome
戴夫寇爾(Devcore)執行長翁浩正,今年作為臺灣資安大會資安人才系列活動的開場講者,在活動上以自身經驗為例,分享要成為傑出資安人才可參考的幾種方法與心態。他尤其聚焦在資安技能的學習上,認為正在學習資安技能的人,應逐步找到自己在產業中的定位,並同步發展適合自己的資安技能樹;而在學習過程中,若以遊戲化的學習方法來精進技能,就能降低因缺乏動力而導致半途而廢的機會。
從自身經驗出發,每一位資安人才都應該找到自己的定位,培養資安技能樹
「Allen,你不再玩技術了嗎?」翁浩正一開始就以他人對他的疑問,來說明自己技能樹的轉變。他表示,自己十年前也是個資安技術的狂熱研究者,近年來雖然仍會花時間研究技術,但在開始經營公司後,受到工作需求驅使,也開始發展策略面、管理面的技能,在原有的技能樹上,長出其他能力。
過程中,他逐步尋找自己的定位,更遭遇了挫折。他在活動上詢問現場與會者,身邊是否有一個天才朋友,對於某項技能的天賦極高,且令人絕望的事,這位天才朋友還比自己還更努力,「遇到這種情況,你要如何贏過他?」
翁浩正點明,在這個情況下,其實可以轉念思考,如果無法在單一技能贏過對方,那何不與對方合作,比如推廣對方的研究成果讓更多人看見,「如何把天才的話語,翻譯成人類看得懂的話?這是我覺得我可以做的事。」他因此開始盤點自己的技能,找出可著力的方向。
翁浩正十年前的技能樹,有攻擊技術、防禦技術、事件調查、程式開發、專案管理、溝通演講、教育訓練、系統網管等技能。
比如說,翁浩正發現,技術成果最終一定要靠溝通、演講來傳遞給更多人了解,因此,他強迫自己要培養溝通的技能,從過去至今累積發表超過300場演講,從5人到上千人規模的研討會皆有,希望透過更精確、易理解的話語來對話與溝通,「讓大家都能聽得懂、感興趣。」
同時,翁浩正也意識到:「相較於一個人作戰,團體戰一定可以走的更遠。」因此,從學生時期開始,他就與學弟妹籌組相關社團,後來也加入HITCON帶領社群,更創辦了戴夫寇爾,參與臺灣駭客協會。過程中,他也重新思考自己的定位,開始精進領導、組織、管理、策略規劃等技能,促成資安圈用打群架的方式,增進群體的資安實力。
「資安人才應去思考自己的優勢在哪裡?」從自身的經驗出發,翁浩正鼓勵,欲從事資安工作的人,應先盤點自己擁有的技能,找出自己的專長,尤其資安領域的技術範疇非常廣闊,從事滲透測試、資安研究、戰略擬定等不同工作者,所需的技能與知識素養都不同,「你要知道你感興趣的領域是什麼,才能專精技能來獲得更高的成就。」
培養資安技能的工具與方法
資安人才在發展自己技能樹的過程中,也有些資料與工具能利用。比如翁浩正就分享了中國一家駭客公司定出來的通用技能樹,其中不只有技術面的必備專業能力,也列出了做事方法的準則、自我成長的心態要點、甚至對於任職企業的信念等,他鼓勵,資安人才可以透過表格來檢視自己,還有哪些不足的能力需要補強。
至於在專業技能的部分,則有一份在Github上的 Hack with Github文件,其中有一個Awesome Hacking專區,當中羅列了不同資安相關技術可使用的工具、可參考的技術文章或書籍,讓資安人才可在了解自己感興趣的領域後,能針對該領域所需的技能來精進自己。
在學會相關技能後,資安人員可能會透過考取相關證照,來證明自己的能力,但翁浩正也提醒,在考照之前,要先了解每張證照的定位,比如透過一份美國資安專家Paul Jerimy製作的資安證照地圖,就能比對每一張證照分屬哪個技能類別,來了解每張證照的定位,「不是考了CEH(Certificated Ethical Hacker,道德駭客認證),就可以去當資安顧問或研究員了,這是不足的。」
發展出自己的資安技能樹後,翁浩正認為,下一步,則是要盤點自己的能力,找出在資安業界的定位,才能了解自己適合哪種類型的企業,進而發揮所長。但客觀盤點自身能力的方法,不是靠自己嘴巴上說:「我很強!」而是要透過與身邊朋友或合作夥伴的對談,來了解自己在合作過程中展現了哪些更突出的能力,同時也要去思考:「有什麼事非我做不可?」來找出自己獨特的定位。
翁浩正建議,可以用三個面向來找出自己在產業中的定位。首先,是盤點自己的資安能力,找出自己與他人差異化的技能。找出這項技能後,同時,也要從市場需求的角度來看業界是否具有這類職位,是否需要這類人才。最後,則是要對這項工作懷抱熱情,尤其在資安領域,每天都有新攻擊手法、技術的演進,「如果沒有熱情,就難以追求新知識,把資安當成職業來做。」
靠遊戲化學習方法,找出精進資安技能的動力
翁浩正也分享,在學習資安技能的過程中,如何能持續不斷的學習?「回想一下,你在做哪些事情的時候可以廢寢忘食?打遊戲就是一個例子。」他指出,遊戲讓人沈迷的原因,在於遊戲具有某些特質吸引人持續性地玩,比如每天都要登入領獎勵、角色被賦予神聖的任務等,讓人感覺自己比別人厲害,從中獲得成就感是一大關鍵。同理,若能將資安技能的學習「遊戲化」,持續學習並精進資安能力,就會變得更容易。
翁浩正以自己學Python的經驗為例,指出自己本來沒有動力學Python,但一位朋友在網路投票的活動上請他幫忙灌票,在這個需求驅使之下,由於用Python寫程式的速度快、複雜性低,他也就以Python來協助完成這項任務。另一個動力,則是來自於過去看網路漫畫下載圖片速度慢,但用Python一次將漫畫抓下來,後續就能更順暢的閱讀。換句話說,學習Python帶來的使命感與成就感,就成為翁浩正精進Python技能的動力。
「我覺得作為一個駭客的駭客精神,不只是要駭入一個系統,更要駭入你的人生(Life Hack)。」翁浩正指出,用遊戲化的精神來進行Life Hack,就能在人生中學習各種技能時,都能更加有動力,且這個論述不僅能套用在資安技能的學習,更可以套用在各類技能學習以及習慣的培養上,「為了健康去運動、跑步、健身房,大家一定都有失敗的經驗,但如果在過程中獲得成就感,就能更容易將習慣養成。」
在培養資安技能的過程中,翁浩正也指出,每個人也要找出自己快速進入心流(Flow)的方法,也就是快速進入非常專注於某件事的狀態,才能更心無旁騖的追求、學習、精進技能。他也分享自己快速專注的方法,就是戴上耳機聽特定的幾首歌曲,而每個人都應有最適合自己的專注方法。
翁浩正也發表看法,指出當前許多人都會以「斜槓」學習了很多技能為榮,但他提醒,不是會下Google廣告,就可以稱為行銷人,斜槓學習了很多技能,可能對每一個領域都只是略懂皮毛而已。因此他也呼籲,在學習資安技能的過程中,不要盲目地想要斜槓學習或發展,而是應該先培養自己精通的第一專長,再根據需求培養第二技能,「每個技能都是武器,武器越鋒利,才能去打仗,獲得很棒的成果。」
跨入職場前可先評估能力與職位是否相符,更要思考興趣當工作的可行性
最後,對於要進入資安產業的求職者,翁浩正提供了相關工具,來輔助資安人才盤點各種工作所需的能力。比如透過國外Cyberseek網站,可以了解各種職業的薪資水平、所需的技能,資安人才就能藉此檢視,自己距離這個職位還有多遠,還要再學哪些技能、考取哪些證照,才能勝任這份工作,「除了薪資的部分,臺灣可能還沒跟上,但其他的資訊可以讓求職者知道自己的定位。」
又比如iThome繪製了一份資安地圖,2021年4月更新到最新版,求職者也可以從中檢視各種資安服務與產品的供應廠商,根據自己想從事的工作類型,選擇有興趣就業的公司來應徵。
翁浩正表示,資安人才的選擇工作時,也要考量到,興趣與職業的權衡,「要不要把興趣當成工作,這是沒有答案的。」他舉例說明,有些人喜歡做打網站,但當資安攻擊成為工作,就需要根據客戶要求來進行攻擊,除了有各種限制,還要公布攻擊工具、把攻擊的結果整理成報告呈現,這不一定求職者選擇這份工作的初衷。
同樣的,喜歡挖漏洞的人,將資安研究當成工作後,每天都要從事資安研究,且一年產出的漏洞數量有限,大多時間是做白工,也不是每個人都能承擔這個壓力。「不要盲目覺得這個工作好棒,要思考,當它成為你的日常生活,你是不是能接受?」
翁浩正最後也提醒:「人生中的每個歷練,都會成為成長的養分。」扣回一開始曾向觀眾提到的,他過去曾覺得自己的資安技術超強,但後來發現,許多努力的天才比自己更厲害,不過在找到自己的定位後,挫折就會成為進化的養分,重新化為成長的動力。
熱門新聞
2024-11-29
2024-11-29
2024-11-20
2024-11-29
2024-11-29