資安怎麼入門大哉問

更新於 發佈於 閱讀時間約 4 分鐘
如果你有更多的疑問,歡迎在留言或私訊。也許你的疑問也是其他人的疑問呢!

之前有許多機會與高中生與大學生分享資安的工作,其中大家最常問的是需要怎麼學資安,或是找工作該準備哪些技能?又有哪些出路等等一系列問題,所以我打算用問題集的方式來寫這篇文章。

資安工作有哪些?

許多學生對於資安工作有哪些感到好奇,雖然我們沒辦法一次把所有工作都列出,畢竟一個產業其實是需要很多元的角色,所以底下我附上的框架可能沒有包含全部。

我認為單從"資安" 這項技能來講,可以參考 ECSF 框架定義的 12 種角色,詳情可以參考 iThome 的整理,我原本嘗試找到台灣整理的資源,因為我記得有台灣版本借鑑這個框架和有 NICE 框架整理的台灣版本,可惜在網路上沒有找到我印象中的版本,詳細請參考 iThome 文章。


問題集:

問題零:我想進入資安行業,但不曉得從何學起?

我一率建議多了解不同類型的資安,首先要先了解資安的各項領域,你總要知道你擅長或是你討厭什麼。

這邊推薦兩位好友的寫給新手的入門文章:

先多接觸不同的方向,你會發現你喜歡的再往深入下去鑽研。另外,我非常鼓勵參加社群活動,你會在社群中認識不同的人,分享他們的研究,同時你也會被帶動持續的學習。參加社群活動也能節省你原本埋頭苦學無法多接觸不同領域知識的困境。無論是閱讀類型的社群、研討會的社群,還是打 CTF 的社群,都是一個很好的方式。

全台灣各地其實有各種社團,我非常鼓勵與人交流。像是教育部補助的 AIS3,你能在那裡認識許多人,同時也能學習。又或者參加台灣駭客盛會 HITCON 也是極度推薦的。

至於社群部分,在台南有若渴計畫,在台北也有各式各樣的社群,像是我所在的 UCCU Hacker,又或是 輔大 NISRA、各地 GSDC、台科資安社HITCON GIRLS ...等等社群都很多。

如果你不知道要參加什麼活動,有熱心的大大 HTZ 每個月都會替大家整理活動,你可以從 Facebook 或 TDOH 的社團中看到分享的資訊,實在很暖心,附上他整理的 活動整理連結


問題一:台灣似乎攻擊類型工作比較多,是不是要學攻擊?

回答:從我看的從業人員角度,目前台灣整體資安職缺,攻擊類型的工作佔的比率不多,當然如果只看”純資安” 會覺得好像都是滲透、紅隊…,但別忘了普通企業也是缺資安人員的。


問題二:學密碼學會不會餓死找不到工作?

回答:如果你說會資安但只會密碼學的話,我不太敢保證。但以現在來說許多資安工作都用得到密碼學,以近期最近的零信任其中的 secure element 就是一個很需要密碼學的地方,又或是在許多軟體設計的過程中(特別是軍規),如果沒有好好利用密碼學的知識就會出現許多問題,所以也很適合找軟體安全開發相關的工作。


問題三:不會寫程式可以走資安嗎

回答:在一些資安職缺比如說稽核管理類型的:法規、政策合規、稽核、資安管理…,他們比起需要很會做攻擊、分析惡意程式等很技術的能力,還需要更多其他技能。實話來說你不需要到非常會寫(我認為我自己稱不上很會寫程式),但還是要有基礎的認識。


問題四:我想做防禦,我是不是要學數位鑑識? 但似乎很少工作要求這方面技能

回答:其實要做防禦和學數位鑑識不一定是能掛鉤的,如果參考我上述 ECSF 框架可以看到,數位鑑識的任務要求更偏向是在保存證據和解析數據,在台灣較多時候都是專家證人、警察或法務機關等特別需要這類人才。如果是企業做防禦就更注重在找到攻擊還有設計更安全的架構又或是合規等等…。


學習資源:

TW-Security-and-CTF-Resource:由 Ice1187 與多位熱心人士整理的台灣資安 / CTF 學習資源整理,如果你有什麼好學習資源,要分享的也可以發 PR 到這邊唷!

資安證照地圖: 外國資安人員 Paul Jerimy 整理的證照地圖,雖然我本身沒有一張資安證照,但對於一些有資源或是想要驗證自己所學的,拿一張證照是非常好的事。如果你是學生,證照費用太貴又想考,其實許多學校也有補助證照的計畫,可以試著從多方獲取資源。

個人覺得整理超多資源的網站:外國研究員 S0cm0nkey 整理的資源,我覺得超級詳細跟各位大推薦

免費/半付費的學習網站:

留言
avatar-img
留言分享你的想法!
Marcos-avatar-img
2023/11/24
感謝分享
avatar-img
駭客花生醬的沙龍
28會員
13內容數
分享對於資訊安全的分析和評(吐)論(嘈),趨勢觀察、技術分析、觀點評論、科普教育,除了特別專業的網路安全分享,也會穿插一些科普文章與實體安全討論,歡迎分享給你的親朋好友,畢竟多了解一些安全也就多一份保障。
2025/04/04
這篇文章分享了幾個 iPhone 捷徑自動化應用程式,包括熱量追蹤、簡易記帳和自然語言轉提醒清單,這些捷徑都整合了 OpenAI API,可以有效提高效率。文章也推薦了幾個 Mac/iOS 自動化捷徑資源,例如 RoutineHub、Reddit shortcuts 社群和 AppleFans。
Thumbnail
2025/04/04
這篇文章分享了幾個 iPhone 捷徑自動化應用程式,包括熱量追蹤、簡易記帳和自然語言轉提醒清單,這些捷徑都整合了 OpenAI API,可以有效提高效率。文章也推薦了幾個 Mac/iOS 自動化捷徑資源,例如 RoutineHub、Reddit shortcuts 社群和 AppleFans。
Thumbnail
2025/02/06
此篇文章分享 90 天準備 CISSP 證照考試的經驗,包含考試資訊、學習技巧及資源推薦。學習重點在於掌握核心概念及框架,並透過每週專注一個領域、與朋友討論、善用影片資源等方式提升學習效率。文章也提及一些考試相關的小訣竅,例如:購買含兩次考試機會的套裝組、善用 ISC2 官方資訊及臺北分會資源等。
Thumbnail
2025/02/06
此篇文章分享 90 天準備 CISSP 證照考試的經驗,包含考試資訊、學習技巧及資源推薦。學習重點在於掌握核心概念及框架,並透過每週專注一個領域、與朋友討論、善用影片資源等方式提升學習效率。文章也提及一些考試相關的小訣竅,例如:購買含兩次考試機會的套裝組、善用 ISC2 官方資訊及臺北分會資源等。
Thumbnail
2024/12/27
考 OSCP+ 值得嗎?應該考嗎? OffSec 的課程內容與考試內容的品質真的很好!能夠讓不懂的人有系統地去學習一個知識,加上 OSCP 的 Lab 是很完整的。大家通常會說,如果你需要入門或想要證明自己具備滲透測試的能力,這是一個不錯的證照。 但我想提出一個不同的觀點...
Thumbnail
2024/12/27
考 OSCP+ 值得嗎?應該考嗎? OffSec 的課程內容與考試內容的品質真的很好!能夠讓不懂的人有系統地去學習一個知識,加上 OSCP 的 Lab 是很完整的。大家通常會說,如果你需要入門或想要證明自己具備滲透測試的能力,這是一個不錯的證照。 但我想提出一個不同的觀點...
Thumbnail
看更多
你可能也想看
Thumbnail
介紹朋友新開的蝦皮選物店『10樓2選物店』,並分享方格子與蝦皮合作的分潤計畫,註冊流程簡單,0成本、無綁約,推薦給想增加收入的讀者。
Thumbnail
介紹朋友新開的蝦皮選物店『10樓2選物店』,並分享方格子與蝦皮合作的分潤計畫,註冊流程簡單,0成本、無綁約,推薦給想增加收入的讀者。
Thumbnail
當你邊吃粽子邊看龍舟競賽直播的時候,可能會順道悼念一下2300多年前投江的屈原。但你知道端午節及其活動原先都與屈原毫無關係嗎?這是怎麼回事呢? 本文深入探討端午節設立初衷、粽子、龍舟競渡與屈原自沉四者。看完這篇文章,你就會對端午、粽子、龍舟和屈原的四角關係有新的認識喔。那就讓我們一起解開謎團吧!
Thumbnail
當你邊吃粽子邊看龍舟競賽直播的時候,可能會順道悼念一下2300多年前投江的屈原。但你知道端午節及其活動原先都與屈原毫無關係嗎?這是怎麼回事呢? 本文深入探討端午節設立初衷、粽子、龍舟競渡與屈原自沉四者。看完這篇文章,你就會對端午、粽子、龍舟和屈原的四角關係有新的認識喔。那就讓我們一起解開謎團吧!
Thumbnail
攻擊型資安公司 DEVCORE 與資安人才培育品牌 OffSec 合作,推出全台首個由 OffSec 原廠講師講授的實體資安人才證照課程。才打造更全面、具系統性的學習體系。OffSec 原廠專業講師將於 8 月 26 日至 30 日親至台灣,幫助學員在 5 天內掌握駭客思維及不同環境下的攻擊技術。
Thumbnail
攻擊型資安公司 DEVCORE 與資安人才培育品牌 OffSec 合作,推出全台首個由 OffSec 原廠講師講授的實體資安人才證照課程。才打造更全面、具系統性的學習體系。OffSec 原廠專業講師將於 8 月 26 日至 30 日親至台灣,幫助學員在 5 天內掌握駭客思維及不同環境下的攻擊技術。
Thumbnail
逆旅分享如何以最低金錢成本, 取得足夠的專業,高效通過CISSP考試的經驗。文章內容包括考試準備時間、閱讀材料、練習題目數等對於考試準備的建議。
Thumbnail
逆旅分享如何以最低金錢成本, 取得足夠的專業,高效通過CISSP考試的經驗。文章內容包括考試準備時間、閱讀材料、練習題目數等對於考試準備的建議。
Thumbnail
在資訊保安的工作裡,資安認知訓練是一項基本的措施,但同時亦是很多企業忽略的一環。 過往筆者也有參與資安認知訓練的設計及提供培訓服務,很多時最困難的並不是內容的撰寫,也不是預算的多寡或培訓時間的時數,而是如何讓受訓者認真去接受培訓資訊。 企業員工會覺得資訊保安是資訊科技部門的責任......
Thumbnail
在資訊保安的工作裡,資安認知訓練是一項基本的措施,但同時亦是很多企業忽略的一環。 過往筆者也有參與資安認知訓練的設計及提供培訓服務,很多時最困難的並不是內容的撰寫,也不是預算的多寡或培訓時間的時數,而是如何讓受訓者認真去接受培訓資訊。 企業員工會覺得資訊保安是資訊科技部門的責任......
Thumbnail
注意! 我並非什麼資安專家,因此,以下的文章內容,純粹是個人在組織內的做法分享,不符合任何法規或所謂的「標準做法」,若您有更好的做法,請多多給予建議,我們可以一起前進(或請您帶領我們前進)。
Thumbnail
注意! 我並非什麼資安專家,因此,以下的文章內容,純粹是個人在組織內的做法分享,不符合任何法規或所謂的「標準做法」,若您有更好的做法,請多多給予建議,我們可以一起前進(或請您帶領我們前進)。
Thumbnail
之前有許多機會與高中生與大學生分享資安的工作,其中大家最常問的是需要怎麼學資安,或是找工作該準備哪些技能?又有哪些出路等等一系列問題,所以我打算用問題集的方式來寫這篇文章。 必且只是給個方向,畢竟每個人要的或許都不同?
Thumbnail
之前有許多機會與高中生與大學生分享資安的工作,其中大家最常問的是需要怎麼學資安,或是找工作該準備哪些技能?又有哪些出路等等一系列問題,所以我打算用問題集的方式來寫這篇文章。 必且只是給個方向,畢竟每個人要的或許都不同?
Thumbnail
除了電腦與網路技術方面的人才,完整的資安架構還必須包含資安法遵師。我甚至認為,多數企業對於資安法遵的需求,高於資安技術。企業面對資安威脅,必須採取風險控管的角度,將實際的防禦技術工作外包給專門的資安公司進行,企業內部僅需評估與控制風險。而控制風險正是法遵的核心職能。期待法律人才能一同為資安盡一份力。
Thumbnail
除了電腦與網路技術方面的人才,完整的資安架構還必須包含資安法遵師。我甚至認為,多數企業對於資安法遵的需求,高於資安技術。企業面對資安威脅,必須採取風險控管的角度,將實際的防禦技術工作外包給專門的資安公司進行,企業內部僅需評估與控制風險。而控制風險正是法遵的核心職能。期待法律人才能一同為資安盡一份力。
Thumbnail
配合先前 Matters Lab Discord 辦的資安課,我設計了一份資安小問答,供大家課前暖身。以下是該次小問答的題目,你可以作答後,再對照文末的解答:
Thumbnail
配合先前 Matters Lab Discord 辦的資安課,我設計了一份資安小問答,供大家課前暖身。以下是該次小問答的題目,你可以作答後,再對照文末的解答:
Thumbnail
於今年8月27日掛牌上路的數位發展部,配置有「資通安全署」與行政法人「國家資通安全研究院」,這兩個單位的定位分別是強化政府與民間資安的建設及提升整體資安防護的研發能量,其成敗完全取決於進駐人員的專長與素質。首屆數發部部長唐鳳表示將打破現有公務員聘僱制度,運用彈性約聘的方式招募部內半數以上的人員,以大
Thumbnail
於今年8月27日掛牌上路的數位發展部,配置有「資通安全署」與行政法人「國家資通安全研究院」,這兩個單位的定位分別是強化政府與民間資安的建設及提升整體資安防護的研發能量,其成敗完全取決於進駐人員的專長與素質。首屆數發部部長唐鳳表示將打破現有公務員聘僱制度,運用彈性約聘的方式招募部內半數以上的人員,以大
Thumbnail
許多人對駭客一詞有著負面的印象。但駭客一詞,原本並不具有負面的意思,而是指對事物內部運作原理深入研究、追求技術卓越的人。不論置身於哪個地方、從事何種產業,深入探索系統原理、追求技術卓越的駭客,都是值得尊敬的。
Thumbnail
許多人對駭客一詞有著負面的印象。但駭客一詞,原本並不具有負面的意思,而是指對事物內部運作原理深入研究、追求技術卓越的人。不論置身於哪個地方、從事何種產業,深入探索系統原理、追求技術卓越的駭客,都是值得尊敬的。
Thumbnail
最近談起資安相關的話題時,發現其他人有些觀念可能有待澄清。筆者因為過去的經歷,在這方面也算是有點心得;所以這裡就來探討幾點大家可能比較有興趣、但觀念上可能跟一般研發經驗不一樣的地方。
Thumbnail
最近談起資安相關的話題時,發現其他人有些觀念可能有待澄清。筆者因為過去的經歷,在這方面也算是有點心得;所以這裡就來探討幾點大家可能比較有興趣、但觀念上可能跟一般研發經驗不一樣的地方。
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News