國立成功大學電機系SpaceLab軟體工程師Emmet(馬睿晟)與果核數位資訊安全部副理PhoenixWolf(張力文)(右)
現今不論政府或企業皆出現大量資安人力需求,若從資安求職者角度來看,可能遇到哪些困境?再者隨著無人機逐漸被廣泛應用,可能面臨哪些資安挑戰?上述提到的環節,都被果核數位列入2024年首場Hacker Talk論壇的探索範圍。
暸解產業環境,實現加入資安
率先開講的果核數位資訊安全部副理PhoenixWolf(張力文),發表「資安路漫漫~資安入行之我見」。他觀察目前資安職場上有四個現狀,首先「職缺粥多僧少」,相關就業空間甚大,對求職者有利;其次「技術競爭較弱」,高階資訊人才普遍不選擇加入資安,使得經驗有限的求職者更有機會跨入產業。
前述兩項為對求職者的優勢,但環境對求職者仍有兩項劣勢。譬如「能力不符需要」,求職者誤解職位需求準備紅隊技能,卻與企業主要需求的資安管理存有落差;再者「職務定位不明」,許多公司因應主管機關壓力而徵才,但未能明確定義企業資安實際用人需求。
談及產業推動資安的驅動力,主要來自「法規要求」及「商業關係」,如金管會要求上市櫃公司設置專責資安團隊,或半導體大廠將晶圓設備資安標準納入採購合約。影響所及,各產業別企業資安人力缺口逐年增高。甲方如此、乙方亦然,隨著提供資安服務的廠商家數不斷提升,亦需延攬更多資安人才加入服務行列。
但對於具資訊背景的求職者,資安並非就業首選,像是高科技產業、新創企業或大型開發商,普遍被視為更佳選項。另外資安經常是「二轉職業」,做過開發、設備維運的人,發現資安需求攀升,才萌生轉入資安產業的念頭。PhoenixWolf則認為資安是「隱藏職業」,大家都知道有資安產業,但不明白入門管道與加入不同職位需擁有哪些技能。
「資安是跨領域的能力,舉凡法規管理知識、軟硬體架構設計、駭客攻防技巧…等資訊領域,皆需瞭解學習。」PhoenixWolf說,雖說跨領域樣樣精通的難度高,但作為一個稱職的資安人才,需要一定程度的融會貫通。故資安新人第一個要克服的難題,便是學著跨出程式開發、從資安角度來解讀資訊系統全貌,藉此理解資安風險、分析風險成因並提出適當管理機制。
有志投身資安管理工作的人,須回歸企業營運、風險管理的根本,理解法遵、風控、稽核三大流程;所以其未必需要具備高深資訊技能,而是擅於運用資訊知識,促使上述流程更加合理化。因此若求職者具有資訊能力且熟稔法規管理知識,就可望在資安管理崗位上得心應手。
事實上產業最稀缺的是藍隊人才。多數新鮮人儘管欠缺紅隊經驗,但多有機會接收CTF教材,使用既有工具練習攻打站台,對紅隊的技術需求背景形成初步認知;然而企業要找到處理資安事件的人才成為藍隊新血,相對困難許多。因此若有欲朝藍隊發展,建議多接觸資訊系統底層知識,了解不同Log可以擷取的調查資料,能夠歸納資訊以構築事件樣貌;兼具這些條件,就有望成為適任的藍隊角色。
建立正確資安認知識,從容因應無人機資安驗測
現為國立成功大學電機系SpaceLab軟體工程師Emmet(馬睿晟),從開發者視角解讀無人機的資安策略與挑戰。
他指出,無人機主要分成兩個部分,一個是無人機本體,二是地面控制站。其中地面控制站分為軟體和硬體,硬體主體可為手機、平板、筆電等裝置,上面搭載地面控制站軟體,用來操控無人機,其間會隨時監控無人機的姿態、經緯度、電壓、電流等狀態資訊,以確保飛行安全。
綜上所述,無人機會透過地面控制站接收命令,或將數據回傳地面控制站,其中需仰賴飛控軟體執行控制。現今市面上常見的飛控軟體多為開源性質,包括PX4 Autopilot、ArduPilot。至於地面控制站軟體,則以 Mission Planner、QgroundControl為主流,同樣是開源屬性。
Emmet說,這四套軟體背後皆由龐大的社群來維護,但都有不符合臺灣無人機資安規範的地方,例如身份驗證機制、資料儲存加密以及原始碼掃描等測項。
環顧無人機的資安保障規範,係於去年(2023)年1月4日公告1.0版本,3月1日啟用無人機資安聯合驗測實驗室,6月29日推出2.0版規範。從此之後,無人機廠商所生產與販售的產品、皆應接受初階、中階或高階的資安檢測。驗測流程相當明確,受策廠商需將無人機和地面控制站同時送至檢測單位執行測試,檢測單位測完後出具檢測報告,再提交至TTC(財團法人電信技術中心)審核無誤後,由檢測單位交付檢測報告/證書給受測廠商。
1.0規範存在一些爭議,主要包括檢測項目過於嚴格以及與無人機業界實際需求不符。其中最大的爭議是檢測項目中包含了酬載模組測試,這將導致檢測項目無法盡善盡美,難以完全符合要求。
所幸後來的2.0版已經對大部分爭議進行了修正,並將檢測範圍限縮在無人機本體及地面控制站,同時也明確定義了各自的規範。這包括了測試目的、測試方法以及預期結果都有了明確的定義。儘管仍然存在一些爭議,但至少相較於1.0版,已經明確許多。
最後Emmet為開發者團隊提出建議,資安不是敵人, 只是你不夠瞭解他,才會討厭資安、認為它總是來找麻煩;資安其實可輔助開發者,確保產品更安全,不會輕易被駭客攻破。希望開發者多瞭解資安知識,並關注意相關法規或技術,藉以加強自身開發能力。
熱門新聞
2024-04-30
2024-04-29
2024-05-01
2024-04-29
2024-04-30
2024-04-30
2024-04-28
2024-04-29