「談到資安專業職能,工具、知識本身是死的,真正能解決問題的態度、應變能力才是活的」,104資訊科技資安長孫明功分享他對資安人才職能的看法,資安職能的重要性不在知識,具備應變能力,解決企業的痛點才是關鍵。
曾任 NTT Ltd. 首席資安顧問、安碁資訊前瞻研發處長,過去曾參與國內金融、政府、科技等資安專案,帶領團隊研究攻擊手法的孫明功表示,身為資安人的宿命,要不停追求新的技術、解決方案,瞭解新的駭客攻擊手法,但更大的挑戰是如何去作取捨,資安最佳實踐的關鍵是如何落實,例如在企業內要實踐零信任、特權管理時,需要投入更多資源、人力及成本,資安人如何運用學到的經驗協助企業解決痛點、真正急迫問題,是一種不同層次的專業
孫明功認為,資安的挑戰日新月異,在傳統資安戰場,需要不斷吸收學習知識,但更重要的是這些知識要能夠落地、實踐。
紅、藍、紫隊各有不同職能挑戰
他以紅隊、藍隊、紫隊概念為例,分享他對資安職能發展方向的看法。傳統上,紅隊屬於攻方,藍隊屬於守方,紫隊因為沒有制式定義,一般將資安攻守兩方間的仲裁角色歸類為紫隊,例如對資安情資的研究、資安事件的調查與應變。但是,孫明功對紫隊的定義是,凡是不屬於攻、守兩方的,可被歸類為紫隊,在這樣的定義下,不只是仲裁角色,資安管理也被歸類為紫隊。紅、藍、紫隊也衍生出不同的資安職能,例如檢測工程師、系統工程師、威脅分析顧問等等。不過,他坦言這只是104的畫分方式,其他公司可能採取不同的分類方式,在職能分類上更細緻或對應不同的專業需求。
進一步從紅、藍、紫隊來看各自的資安職能發展方向。藍隊扮演守方,雖然仍要瞭解「程式」,但就孫明功的觀察,藍隊的職能屬性更多傾向於和「系統」打交道,投入更多時間瞭解已開發完成的系統、解決方案,瞭解系統具備哪些功能、工作目標,確保系統持續運作不中斷、解決問題、調校效能,另方面,利用資安業者已開發的系統,架構資安防禦體系以抵擋入侵。
至於扮演攻方的紅隊,如滲透測試、弱點掃描、源碼檢測,更進階的紅隊演練、模擬攻擊,從入侵系統、提權、竊取資料,雖然滲透入侵的過程中要瞭解系統,孫明功認為,紅隊背後更多是瞭解程式面應用,因此多和「程式」打交道,不只是產出弱點掃描報告,更需要和程式開發者溝通,協助瞭解漏洞的影響,同時提出建議,幫助找到平衡、經濟有效的緩解方法。
紫隊則需具備紅隊、藍隊一定程度的知識外,孫明功認為紫隊更重要的職能是和「人」打交道,主要為兩種人,一種人是駭客,瞭解攻擊手法、攻擊的動機,慣用的攻擊方式、工具等等,另一種人是對企業內部利害關係人的溝通,例如提升企業的資安治理、資安防禦,必需要說服老闆、同事投入更多資源,「這個說服的過程,和人打交道是很重要的職能挑戰」。
孫明功以紅隊、藍隊、紫隊,分別和程式、系統、人打交道,可供資安人選擇職能發展方向參考。
疫情推升資安人才需求
孫明功也分享104職場力的觀察,資安人才市場數據,受到疫情推升數位化快速發展的影響,企業對資安人才需求,從2017年平均每月539個職缺,到2021年增加到1,356個,5年的時間成長了1.5倍。由於企業需求增加、專業度高,2021年資安工作者的月薪中位數為5.3萬元,和2017年的4.7萬元相比也成長12%,相較於同期其他產業,成長率比較高。
不同產業對資安人才的需求部分,軟體網路、金融、會計為急需資安人才的三大產業,尤以金融為資安人才需求最大宗。此外,資安的人才市場比較重視專業,相對而言,較不看重學歷,44.5%不限科系。
孫明功表示,看重專業甚於學歷的現象,在IT領域已有這個傾向,在資安更是明顯。企業對資安徵才看淡學歷,相對地反映出,更重視專業性及證照,包括求職者過去學習的工作經驗,如參與過什麼活動,以紅隊來說,過去曾發現哪些漏洞,以藍隊而言,曾負責哪些資安系統或設備。「這類專業領域的精通,對資安類別的人才是很重要的基礎」。
至於哪些證照比較熱門? 根據104證照中心的熱搜資安類別資料,資安領域證照的搜尋熱度,較高的1、2名證照分別為CEH及ISO 27001,他建議如果有心朝資安領域發展,可將這兩個證照當成入門的目標,不少學校在課程輔導取得入門證照。
至於第3、4、5名熱門證照則是CISA、ECIH、CHFI,值得注意的是,由資安設備廠商認證的證照,例如CISCO推出的證照CCNA/CCNP/CCIE,熱度甚至遠超過上述非設備類資安證照。
熱門新聞
2024-11-05
2024-11-05
2024-11-04
2024-11-02
2024-11-05