資安怎麼入門大哉問
如果你有更多的疑問,歡迎在留言或私訊。也許你的疑問也是其他人的疑問呢!
之前有許多機會與高中生與大學生分享資安的工作,其中大家最常問的是需要怎麼學資安,或是找工作該準備哪些技能?又有哪些出路等等一系列問題,所以我打算用問題集的方式來寫這篇文章。
資安工作有哪些?
許多學生對於資安工作有哪些感到好奇,雖然我們沒辦法一次把所有工作都列出,畢竟一個產業其實是需要很多元的角色,所以底下我附上的框架可能沒有包含全部。
我認為單從"資安" 這項技能來講,可以參考 ECSF 框架定義的 12 種角色,詳情可以參考 iThome 的整理,我原本嘗試找到台灣整理的資源,因為我記得有台灣版本借鑑這個框架和有 NICE 框架整理的台灣版本,可惜在網路上沒有找到我印象中的版本,詳細請參考 iThome 文章。
問題集:
問題零:我想進入資安行業,但不曉得從何學起?
我一率建議多了解不同類型的資安,首先要先了解資安的各項領域,你總要知道你擅長或是你討厭什麼。
這邊推薦兩位好友的寫給新手的入門文章:
先多接觸不同的方向,你會發現你喜歡的再往深入下去鑽研。另外,我非常鼓勵參加社群活動,你會在社群中認識不同的人,分享他們的研究,同時你也會被帶動持續的學習。參加社群活動也能節省你原本埋頭苦學無法多接觸不同領域知識的困境。無論是閱讀類型的社群、研討會的社群,還是打 CTF 的社群,都是一個很好的方式。
全台灣各地其實有各種社團,我非常鼓勵與人交流。像是教育部補助的 AIS3,你能在那裡認識許多人,同時也能學習。又或者參加台灣駭客盛會 HITCON 也是極度推薦的。
至於社群部分,在台南有若渴計畫,在台北也有各式各樣的社群,像是我所在的 UCCU Hacker,又或是 輔大 NISRA、各地 GSDC、台科資安社 、 HITCON GIRLS ...等等社群都很多。
如果你不知道要參加什麼活動,有熱心的大大 HTZ 每個月都會替大家整理活動,你可以從 Facebook 或 TDOH 的社團中看到分享的資訊,實在很暖心,附上他整理的 活動整理連結
問題一:台灣似乎攻擊類型工作比較多,是不是要學攻擊?
回答:從我看的從業人員角度,目前台灣整體資安職缺,攻擊類型的工作佔的比率不多,當然如果只看”純資安” 會覺得好像都是滲透、紅隊…,但別忘了普通企業也是缺資安人員的。
問題二:學密碼學會不會餓死找不到工作?
回答:如果你說會資安但只會密碼學的話,我不太敢保證。但以現在來說許多資安工作都用得到密碼學,以近期最近的零信任其中的 secure element 就是一個很需要密碼學的地方,又或是在許多軟體設計的過程中(特別是軍規),如果沒有好好利用密碼學的知識就會出現許多問題,所以也很適合找軟體安全開發相關的工作。
問題三:不會寫程式可以走資安嗎
回答:在一些資安職缺比如說稽核管理類型的:法規、政策合規、稽核、資安管理…,他們比起需要很會做攻擊、分析惡意程式等很技術的能力,還需要更多其他技能。實話來說你不需要到非常會寫(我認為我自己稱不上很會寫程式),但還是要有基礎的認識。
問題四:我想做防禦,我是不是要學數位鑑識? 但似乎很少工作要求這方面技能
回答:其實要做防禦和學數位鑑識不一定是能掛鉤的,如果參考我上述 ECSF 框架可以看到,數位鑑識的任務要求更偏向是在保存證據和解析數據,在台灣較多時候都是專家證人、警察或法務機關等特別需要這類人才。如果是企業做防禦就更注重在找到攻擊還有設計更安全的架構又或是合規等等…。
學習資源:
TW-Security-and-CTF-Resource:由 Ice1187 與多位熱心人士整理的台灣資安 / CTF 學習資源整理,如果你有什麼好學習資源,要分享的也可以發 PR 到這邊唷!
資安證照地圖: 外國資安人員 Paul Jerimy 整理的證照地圖,雖然我本身沒有一張資安證照,但對於一些有資源或是想要驗證自己所學的,拿一張證照是非常好的事。如果你是學生,證照費用太貴又想考,其實許多學校也有補助證照的計畫,可以試著從多方獲取資源。
個人覺得整理超多資源的網站:外國研究員 S0cm0nkey 整理的資源,我覺得超級詳細跟各位大推薦
免費/半付費的學習網站:
- https://tryhackme.com/path/outline/blueteam 很多年前學習資安時看的網站,持續有在更新
- https://www.cybrary.it/ 課程成長速度很快,也有跟一些國外知名單位合作
- https://letsdefend.io/ 模擬 SOC 人員的學習平台
