圖片來源: 

iThome

臺灣資安人才有多搶手?根據iThome最新發布的2021年資安大調查,企業對資安人才的需求力度連年提升,今年有3成1的企業都要招募資安人才,每10家企業就有3家開出相關職缺。

目前平均一家企業已經有3.5位資安人力,但根據我們年初的調查,每家大型企業今年平均還要招募2.3人,希望能將資安團隊擴編到5.8人的規模,隨著企業數位化越深,資安挑戰和風險日益增加,企業現有資安人力明顯不足,得要多補6成人手才夠用。

從個別產業別來看,最缺資安人才的依舊是金融業,僅管現有資安人力是整體產業平均值的3倍之高,位居各產業之冠,但金融業打算今年平均還要多招募3.8人,而經常遭遇海外攻擊的政府與學校,也還要多找3.2人。特別的是,一般製造業今年要招募的資安人力也來到2.3人,甚至多於現有的2.1人,等於是要翻倍加碼資安人手,不僅因為去年製造業資安災情頻傳,疫情下的遠距工作型態也提升了資安風險,使製造業資安投資意願大幅提高。

企業不只要徵才,更要找技術精熟的資安人才。企業CIO們自評,企業難以阻擋駭客的原因中,缺乏熟練人員的企業占比來到3成,比起去年2成2高出許多,企業向來重視資安熟手,今年更是迫切需要。這也讓優秀資安人才的培育與招募,成為今年各界都更重視與關注的焦點。

根據iThome今年資安大調查,各產業今年資安人才需求力度提升,金融業平均要多招募3.8人,政府與學校也要多找3.2人,一般製造業今年則要招募2.3人,甚至多於現有的2.1人。

104最新統計:臺灣每3~4家企業搶一個資安人才

從這項超過400家臺灣2千大規模企業的調查,不難發現,企業對資安人才有迫切需求,但是,資安人才的供給量能滿足得了企業需求嗎?

日前在臺灣資安大會上,104人力銀行根據自家涵蓋臺灣7成工作人口的職缺統計數據,揭露了最新的資安人才需求趨勢。104獵才招聘事業群資深經理劉俊鴻就直言,資安人才供應遠不及需求,以網路安全系統分析師來看,光是今年第一季,平均每3家企業要搶1個求職者。

實際從104彙整的數據來看,針對「網路安全系統分析師」的職務,過去3年來,企業需求為人才供應量的3~4倍。比如2年前這項職缺需求就高達4,193人,今年第一季更成長到4,529人,但有興趣從事這項工作的人才供給量,2年前是1,075人,統計到今年第一季卻只有1,533人,大幅低於市場需求。

劉俊鴻點明,由於供應量不足,資安工程師在市場上屬於待價而沽的狀態,薪水更有商議空間;但對企業來說,平均3~4家公司要搶一個人,容易面臨找不到人才的處境。

而且,從這項數據也可以發現,企業開出的資安人才職缺數近兩年來持續增加,劉俊鴻認為,COVID-19疫情可能也起了部分推波助瀾之效,因為疫情帶來更多遠距、線上服務的需求,讓更多企業面臨了資安與風險管控的問題,而需要招募這類資安工程師。

進一步分析,若以資安人才就業的各產業分布狀況,前3大就業產業分布,最大宗是軟體及網路相關業,有54.3%資安人員都落點該行業,金融機構及其相關的產業則有7.6%,接下來則是教育服務業有4.3%。劉俊鴻解釋,金融業需求較大的原因,可能與金管會要強化金融資安的政策相關,而教育服務類產業的需求,則自於資安相關科系,也會需要資安人才來提升教育能量。

除了產業分布,另一項資安人才關注的重點,則是薪資條件的差異。針對年資3年以下的資安新鮮人,104統計,新人起薪最高的產業,是顧問與研發設計類產業,可達45K,再來則是半導體產業,起薪可達43K,不過,其他產業的資安類工作,起薪則大多低於35K,比如金融業與會計服務業約為34K,電腦及消費性電子製造業、電信及通訊相關業起薪最低,約為31K。

為彌補資安人才供需落差,政府從教育面推動人才培育

資安人才企業搶破頭,不只是因為企業數位轉型潮的內部需求,政府這幾年也積極扶植資安產業成為國家重要產業,且為了彌補資安人才的供需落差,政府早在5、6年前就從教育著手,透過系統性養成資安人才的方法,來穩定增加資安人才的數量。

從2015年起,教育部推動「資訊安全人才培育計畫」,目標提升大專院校資安教學能量,建立完整的資安人才培訓體系,同時也要透過產學合作,來培訓國際資安競賽選手,以及強調實務能力、能與產業接軌的資安人才。

幾年計畫執行下來,臺灣資安教育體系已然成形。高階資安人才上,教育部在2019年,就鼓勵4所大專院校,成立5個資安碩士學程。而今年已經邁入第七屆的新型態資安暑期課程(AIS3),則是鎖定大學學生,以期培養更多企業資安中堅人手。

AIS3透過暑期連續7天訓練營的形式,至今累計培育了近千位資安人才,主要以大學生為主。近兩年來,課程也從原先聚焦純攻擊技術結合Final CTF競賽的形式,逐漸與產業接軌,轉為與企業緊密合作,以專題競賽的方式培育更多企業所需的資安人才。

除了興辦AIS3課程,政府也與產業聯手,在2016年推行「臺灣好厲駭」課程,透過資安實務導師(Mentor)制度,以師徒制的方式來教學,在一年內請到不同業界與學界導師,來培育具有資安實務技術的學生。課程的目標栽培的對象,是具有一定技術能力與社群經驗的資安人才,比如參加過AIS3課程的學員,目標要培育學用合一的高階資安人才。

雖然臺灣好厲駭屬於高階培訓課程,但只要技術實力符合條件,不只大學、高中生,就連國中生仍有機會被錄取。其中,少部分表現優異的學員,更有機會獲得導師一對一的進階指導,若受到業界導師青睞,也有機會直接獲得實習或是正職的工作機會,接軌企業來學以致用。

不只中短期鎖定大學生來培養產業所需資安人才,資安人才培育計畫這幾年更是往下扎根,向國高中,甚至是小學邁進,要讓更多學子從小養成對資安的興趣。

AIS3專案計畫主持人鄭欣明指出,為了引起更多學生對資安的興趣,主辦方去年成立了AIS3 Club,來輔導全國各高中職、大專院要資安社團的運作,不只提供補助、輔導、協辦活動等支援,也整合各校資安社團,成立北中南跨校社群,讓更多學生有機會藉由社團來接觸資安,希望未來可以帶來源源不絕的資安新血。

在臺灣好厲駭接受培訓的學生,同樣將資安教育能量,回饋給國高中小學,2017年到2020年間,已經辦理了上百場高中職生的資安培訓課程,也已經將課程推動到國中與國小5、6年級。同時,主辦方也將高中職資安授課課程,設計成教材,提供6個課程模組給教師使用,讓老師在經過培訓與研習後,也能教授初階資安課程,持續擴大體制內的資安教育能量。

從學習到求職,臺灣資安人才也要接軌國際

資安是全球火熱的技術,資安培育計畫也不只在地深耕,也開始接軌國際,讓臺灣學子可以接觸到國外頂尖技術和趨勢。比如AIS3從2017年開始,攜手其他7個亞太資安社群,催生出AIS3的國際版,協同日本、韓國、新加坡、泰國、馬來西亞、澳洲、越南等國,輪流舉辦全球資安營活動(Globe Cybersecurity Camp,GCC)。臺灣AIS3計畫每年都會挑選表現優異的學生出國參加,增廣他們的國際視野。

AIS3培訓的學生,也有機會被選入CTF戰隊,向戰隊前輩學習,還能與前輩共同參與世界級CTF來傳承經驗。比如臺灣HITCON x BFKinesiS聯隊,就在2019年美國DEF CON CTF奪得第二名的成績,HITCON x Balsn聯隊則在2020年獲得同比賽第三名的成績,其中,BFKinesiS與Balsn隊伍的主要參賽成員,大都來自AIS3課程的培訓,這也意味著資安人才培育計畫,在推動不到5年的時間,就擁有培育全球頂尖資安競賽人才的能力。

臺灣資安人才接軌國際的管道越來越多元,也開始有非政府組織協助臺灣資安人才出海發展。比如Amazon資訊安全部總監陳浩維,就在2018年創辦臺灣未來基金會,要連結在海外工作的臺灣資安人才,來與國內人才交流。

臺灣未來基金會從去年底開始,與臺灣駭客協會、資安解壓所,共同發起了資安職涯讀書會,讓現役與未來留學生、資安前輩、有資安人才需求的企業能申請加入,在此交流經驗與技術,組成資安人脈網。同時,對於有意到海外就業的學生,海外資安工作者也共同貢獻過去經驗,建立起系統性的求職知識庫,降低海外就業的門檻,也能讓初出茅廬的資安人才,藉此規劃未來的職涯發展。

陳浩維指出,臺灣人具有勤奮、認真、負責的特質,且具有世界級的技術能量,加上長年受到中國駭客攻擊,對於攻擊手法也有一定程度的了解,這些條件都是臺灣資安人才的優勢,也具備成為國際級資安人才的潛力。

臺灣資安教育有5大目標,一是跨域教學以培育跨領域資安人才,二是培訓國際資安競賽選手,三是培育產業所需人才,四是向下扎根並發掘資安潛力學子,五是培養學生成為國際級資安人才。圖片來源/ISIP

社群助結交同好、吸收新知,更能汲取前輩經驗

除了政府和民間都紛紛動起來培育資安人才,過去十多年,還有一個重要的人才培育基地,就是臺灣資安社群,讓學生、資安新鮮人與資安工作者,都能透過不同管道來吸收資安新知、結交同好。這些社群包括學校、區域限定的類型,如UCCU、TDOH、BambooFox,也有全臺社群盛會HITCON,甚至全球性的社群OWASP,都能參加。

臺灣駭客協會也在2015年成立,以推廣資安為己任,積極推動資安相關社群活動的發展。

iThome舉辦的臺灣資安大會,同樣也是社群同好聚集的資安盛會。今年剛結束的活動中,也特別規劃了資安人才專區,讓不同工作職務、學習環境、成長背景的各類資安人才齊聚一堂,向資安新鮮人傳授職涯經驗,讓更多對資安懷抱憧憬的新血,能一窺行業專家的成長歷程,開拓他們對資安工作的想像。

比如戴夫寇爾執行長翁浩正,就分享了資安技能樹的重要性,鼓勵資安新鮮人要找到自己擅長的技能並深入學習,作為自己立足的資本。台灣大哥大資安長陳啓昌則強調,資安人才不能只會用技術專有名詞來溝通,要學會「講人話」!才能取得他人、尤其是管理階層的信任。

其他還有聞名全球的頂尖駭客Orange Tsai,分享了自己一路拿下世界冠軍的成長歷程;永豐金證券資訊安全部協理謝佳龍,則分享了自己跨國、跨產業的工作經驗;安永會計師事務所諮詢服務執行副總曾韵,更歸納出自己6個職涯轉捩點,分享曾有過的掙扎與體悟。

還有紅隊隊長許復凱、數聯資安資深IR技術顧問周哲賢、Panasonic IoT資安研究員賴婕芳,都分享了從事不同資安工作的職場實戰經驗;臺灣駭客協會首任秘書長李尚韋與學生計算機年會創辦人黃一晉,則是分享了社群經驗如何對現在的工作帶來助益。這些寶貴經驗,雖然無法完全複製,卻能帶給資安新手更多職涯規劃的啟發。

與企業接軌,AIS3資安人才培育從狂派轉為博派

AIS3專案計畫主持人鄭欣明指出,要長期培育人才,得先建立資安教育的典範,並深植到學生心中,當他們有所成就,就會願意承接前輩們的教育精神,回頭推廣資安。

在教育部資安人才培育計畫的推動下,臺灣唯一一個長期資安實務暑期營隊活動AIS3,已經走過6年,累計招收了近千名學生。AIS3專案計畫主持人,同時是臺科大資工系的副教授鄭欣明指出,AIS3屬於資安中階課程,較適合對資安有興趣,且已經一定資安能力的學生參加。

鄭欣明表示,AIS3主要有兩大目標,其一,是培訓國際資安競賽選手,也就是攻擊導向的「狂派」人才,尤其在AIS3開辦的前4年,更是以此目標來規劃課程,不只舉辦資安攻防賽,也安排學生與國際資安教育社群、CTF戰隊接軌。其二,則是要逐年培育能接軌企業的「博派」資安人才,來解決業界資安人才不足與人才的學用落差問題。對此,主辦方也在這兩年改變課程規劃,且開始與企業更緊密合作。

回顧了AIS3幾年來辦理營隊的成果,鄭欣明指出,剛開始舉辦AIS3時,課程規劃以資安實務技術為主,並邀請國內外知名CTF戰隊成員來授課,甚至有美國PPP戰隊成員、韓國BoB戰隊成員來臺授課,藉此來吸引學生目光。學生報名後,篩選方式以線上pre-exam進行,入選的學生除了上課之外,還能參加主辦方舉辦的Final CTF競賽,表現優異者更有機會獲得參加DEF CON CTF的資格。

2016年,AIS3規模擴展到北中南三地。隔年,主辦方也在Final CTF中,導入日本NICT(情報通信研究機構)的視覺化特效技術,讓參加者能體驗國際級CTF 競賽的氛圍。

邁入2018年時,講師陣容更開始納入了過去曾參與AIS3活動的學員,顯示過去培育的資安人才已經有獨當一面的能力,當年由AIS3校友組成的BFS戰隊,更打入DEF CON CTF,榮獲第12名的成績。這一年,優秀隊伍更能獲得參加日本最大規模駭客比賽SECCON CTF的資格。

培育了許多狂派資安人才後,主辦方也逐漸發現,產業界也存在了龐大的資安人才缺口,「所以我們做了重大改變,決定在2019年取消舉辦Final CTF。」鄭欣明指出,大約三年前,主辦方為了讓學生了解,資安不僅限於CTF,更有企業防禦的面向,因此改以專題競賽的形式,來取代Final CTF的舉辦。原先分散北中南三地的課程,也改在同一地點舉行。

近兩年來,AIS3課程也延續了專題競賽的形式,去年的課程中,主辦方與企業更緊密合作,來推出更具產業經驗的題目,更提供相應的課程與專題指導。今年,也決定改變徵選的方法,將過去透過pre-exam來篩選報名者的辦法,改為一半pre-exam、一半甄試的方式,也限制AIS3的參加次數以兩次為限,讓更多專長與特質的資安新血參與。今年也預計招收150位學生來參與培訓。

除了辦理暑期課程之外,AIS3主辦團隊也辦理了初階CTF比賽「My First CTF」,在每年5、6月舉行,針對讓高中職生與資安初學者來推廣,期許學生能燃起對資安的學習熱忱,4年來更已經累積了超過500位學生參加。表現優異者更能獲得參加全球資安營隊(Globe Cybersecurity Camp,GCC)的機會。

針對資安技術更加純熟的學生,AIS3主辦方也辦理了高階EOF CTF競賽,要透過建立資安實戰演練平臺,讓學生互切磋資安實務能力,更要藉由這項競賽,提供高階CTF實戰技術訓練,選拔優秀參賽者成為戰隊選手,讓學生有機會躍上世界級的競賽舞臺。4年來已經有共計154人參加。

強調實作與自學,臺灣好厲駭以師徒制培育菁英人才

臺灣好厲駭實務導師制度負責人曾龍指出,沒有產學界的師資,就不會有師徒制的課程誕生,當前資安人才豐沛的教育能量,來自於各界導師的無私奉獻。

為了進一步提拔高階資安技術人才,教育部資安人才培育計畫,從2016年開始,推動高階資安人才培訓課程「臺灣好厲駭」。與AIS3不同,臺灣好厲駭目標培育的是更高階的資安技術人才,因此在師資上,不只集合國內產學界頂尖師資,更透過資安實務導師(Mentor)制度,以師徒制的方式來教學,目標要培育具有資安實務技術能力的學生,以及國際級資安競賽的種子選手。

崑山科技大學資工系副教授曾龍,同時也是實務導師制度與資安扎根計畫負責人指出,這項課程僅限定學生報名,且因課程內容較為精深,主辦方會對學員進行篩選,第一階段會依據報名者是否參加過資安活動、相關資安培訓課程,以及報名者的專長、能力、興趣等條件來進行評選,通過會進入與導師面試的階段,最終篩選出每一年的培訓學員。

根據歷年的錄取人數統計,從2016年44位報名錄取33人,完成結訓有23人,到去年98人報名錄取了66人,加上61位舊生,參與課程的人數已經有顯著成長。曾龍指出,在這些錄取者之中,少部分的學生更能獲得導師一對一的進階指導,但進階指導的資格,取決於學生是否積極自學、能否了解自己想要精進的方向及其技術程度,並非有意願就能參加。

在為期一年的課程中,授課教師的師資陣容堅強,過去曾參與的業界教師包括戴夫寇爾Allen Own、Orange Tsai、奧義智慧的Birdman、HITCON創辦人Tim Hsu,以及Team T5、趨勢科技、資策會、中華電信等企業的資安技術人員等;學界教師則有臺科大、臺大、交大資訊相關科技的教授,曾龍也在其中,各自負責不同技術課程的指導。

課程主要可以分為三大類型,分別是核心課程如滲透測試、惡意程式分析、威脅獵捕與數位鑑識,跨域課程如金融資安與區塊鏈安全,以及關鍵課程如雲端安全、AI與資訊安全、資安產品與工具研發等。

曾龍也列舉出過去曾舉辦的課程內容,比如從CTF戰隊成員解難題的過程中,學習惡意程式分析、漏洞測試等技術的實戰運用,更曾舉辦過攻防訓練課程,將學生分為兩隊,並給予對方的漏洞,使其互相攻擊與防禦,更請到CTF戰隊成員來教學。

其他可以學到的技術如Advanced Binary Exploitation、Linux與Docker安全、Fuzzing、Symbolic Execution、Memory Forensics,還有數位鑑識軟體Encase的實務應用,主辦方也與資策會資安所的實驗場域合作,來進行資安測試的實務操作。

曾龍指出,在指導學生技術時,除了豐富的課程內容,更重要的是教學方法,不是只操作給學生看,還得讓學生實作與提問,這些實務教戰的環節,更是教科書上看不到的內容。老師們也鼓勵學生積極參與各種研討會,並在研討會後,試著實作聽過的內容,來精進資安實力。

儘管已經將許多資安實戰技術納入課程,但曾龍也坦言,還有些議題尚未列入其中,比如AI資安、零信任網路、MITRE ATT&CK、車聯網、eHealth、5G、雲端、量子電腦等,未來也將逐步設計到課程中,「我們正在努力。」

推動培訓課程後,主辦方2020年初也調查了學員的就業、實習與升學狀況,畢業後的學生,14位已經在國內知名資安廠商或企業就業,比如資策會、中華資安國際、Team T5、奧義智慧、可利可資安、趨勢科技、Line及戴夫寇爾等,也有20位學員進入企業實習、81位繼續升學。

相關報導


熱門新聞

Advertisement