資安怎麼入門大哉問

閱讀時間約 4 分鐘
如果你有更多的疑問,歡迎在留言或私訊。也許你的疑問也是其他人的疑問呢!

之前有許多機會與高中生與大學生分享資安的工作,其中大家最常問的是需要怎麼學資安,或是找工作該準備哪些技能?又有哪些出路等等一系列問題,所以我打算用問題集的方式來寫這篇文章。

資安工作有哪些?

許多學生對於資安工作有哪些感到好奇,雖然我們沒辦法一次把所有工作都列出,畢竟一個產業其實是需要很多元的角色,所以底下我附上的框架可能沒有包含全部。

我認為單從"資安" 這項技能來講,可以參考 ECSF 框架定義的 12 種角色,詳情可以參考 iThome 的整理,我原本嘗試找到台灣整理的資源,因為我記得有台灣版本借鑑這個框架和有 NICE 框架整理的台灣版本,可惜在網路上沒有找到我印象中的版本,詳細請參考 iThome 文章。


問題集:

問題零:我想進入資安行業,但不曉得從何學起?

我一率建議多了解不同類型的資安,首先要先了解資安的各項領域,你總要知道你擅長或是你討厭什麼。

這邊推薦兩位好友的寫給新手的入門文章:

先多接觸不同的方向,你會發現你喜歡的再往深入下去鑽研。另外,我非常鼓勵參加社群活動,你會在社群中認識不同的人,分享他們的研究,同時你也會被帶動持續的學習。參加社群活動也能節省你原本埋頭苦學無法多接觸不同領域知識的困境。無論是閱讀類型的社群、研討會的社群,還是打 CTF 的社群,都是一個很好的方式。

全台灣各地其實有各種社團,我非常鼓勵與人交流。像是教育部補助的 AIS3,你能在那裡認識許多人,同時也能學習。又或者參加台灣駭客盛會 HITCON 也是極度推薦的。

至於社群部分,在台南有若渴計畫,在台北也有各式各樣的社群,像是我所在的 UCCU Hacker,又或是 輔大 NISRA、各地 GSDC、台科資安社HITCON GIRLS ...等等社群都很多。

如果你不知道要參加什麼活動,有熱心的大大 HTZ 每個月都會替大家整理活動,你可以從 Facebook 或 TDOH 的社團中看到分享的資訊,實在很暖心,附上他整理的 活動整理連結


問題一:台灣似乎攻擊類型工作比較多,是不是要學攻擊?

回答:從我看的從業人員角度,目前台灣整體資安職缺,攻擊類型的工作佔的比率不多,當然如果只看”純資安” 會覺得好像都是滲透、紅隊…,但別忘了普通企業也是缺資安人員的。


問題二:學密碼學會不會餓死找不到工作?

回答:如果你說會資安但只會密碼學的話,我不太敢保證。但以現在來說許多資安工作都用得到密碼學,以近期最近的零信任其中的 secure element 就是一個很需要密碼學的地方,又或是在許多軟體設計的過程中(特別是軍規),如果沒有好好利用密碼學的知識就會出現許多問題,所以也很適合找軟體安全開發相關的工作。


問題三:不會寫程式可以走資安嗎

回答:在一些資安職缺比如說稽核管理類型的:法規、政策合規、稽核、資安管理…,他們比起需要很會做攻擊、分析惡意程式等很技術的能力,還需要更多其他技能。實話來說你不需要到非常會寫(我認為我自己稱不上很會寫程式),但還是要有基礎的認識。


問題四:我想做防禦,我是不是要學數位鑑識? 但似乎很少工作要求這方面技能

回答:其實要做防禦和學數位鑑識不一定是能掛鉤的,如果參考我上述 ECSF 框架可以看到,數位鑑識的任務要求更偏向是在保存證據和解析數據,在台灣較多時候都是專家證人、警察或法務機關等特別需要這類人才。如果是企業做防禦就更注重在找到攻擊還有設計更安全的架構又或是合規等等…。


學習資源:

TW-Security-and-CTF-Resource:由 Ice1187 與多位熱心人士整理的台灣資安 / CTF 學習資源整理,如果你有什麼好學習資源,要分享的也可以發 PR 到這邊唷!

資安證照地圖: 外國資安人員 Paul Jerimy 整理的證照地圖,雖然我本身沒有一張資安證照,但對於一些有資源或是想要驗證自己所學的,拿一張證照是非常好的事。如果你是學生,證照費用太貴又想考,其實許多學校也有補助證照的計畫,可以試著從多方獲取資源。

個人覺得整理超多資源的網站:外國研究員 S0cm0nkey 整理的資源,我覺得超級詳細跟各位大推薦

免費/半付費的學習網站:

avatar-img
22會員
9內容數
分享對於資訊安全的分析和評(吐)論(嘈),趨勢觀察、技術分析、觀點評論、科普教育,除了特別專業的網路安全分享,也會穿插一些科普文章與實體安全討論,歡迎分享給你的親朋好友,畢竟多了解一些安全也就多一份保障。
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
駭客花生醬的沙龍 的其他內容
同一場活動,不同的人參加有不同的感想,有人覺得讚嘆,也有人覺得失望,強烈建議看完這篇的你親身去走一遭。 這篇文章將著重介紹一些大家在遊記中較少提及的部分。同時,我也要感謝公司提供機會讓我參加此活動! 希望這篇文章能給將來有意參加活動的朋友提供一些有用的知識。
這件事情是從 B.C. & Lowy 看到的翻譯影片『有個男子利用手機的無線分享功能,傳送「炸彈威脅」給多名乘客,最後飛機緊急降落,男子也隨即遭警方逮捕。』 有趣的是,我們看到警方落地後很明確知道他們要抓的是誰,雖然警方能夠獲得乘客名單,但他們怎麼知道是誰發的?這就激發了我的好奇心。
我們常常講要導入特權存取管理 (Privileged Access Management, PAM),將特權帳號收攏、集中管理。但特權存取管理解決方案真的有辦法達到防護效果嗎?對於合規有什麼作用?本文將聚焦於技術層面解析特權存取管理的定義與應用,並分析相關解決方案的優缺點。
你是否想過,如果哪些第三方服務突然中斷或是遭到駭客攻擊,會對你的單位造成什麼影響?本文會透過具體案例,解析資安事件發生時,駭客從攻擊服務供應商到進入單位內部的不同階段,並附上自檢表讓讀者迅速檢視自己是否對於供應鏈資安事件有所準備。
無論是線上匯款、帳戶申辦,還是購物結帳,在這個「無處不需要手機驗證碼」的世界,如果你還對「如何保護好手機號碼」沒概念,你可能會被盜刷一堆錢、背負莫名其妙的借貸債務、或是帳號被盜。 這篇文章會介紹關於 SIM 卡劫持攻擊與類似攻擊在台灣的發生案例,趕快來了解一下吧!
隨著「零信任架構」(Zero Trust Architecture) 一詞在臺灣風靡一時,各家資安廠商也搭上了這股風潮,什麼產品都要「零信任」一下。然而,有「零信任」的產品就是資安萬靈丹嗎? 零信任架構是什麼?
同一場活動,不同的人參加有不同的感想,有人覺得讚嘆,也有人覺得失望,強烈建議看完這篇的你親身去走一遭。 這篇文章將著重介紹一些大家在遊記中較少提及的部分。同時,我也要感謝公司提供機會讓我參加此活動! 希望這篇文章能給將來有意參加活動的朋友提供一些有用的知識。
這件事情是從 B.C. & Lowy 看到的翻譯影片『有個男子利用手機的無線分享功能,傳送「炸彈威脅」給多名乘客,最後飛機緊急降落,男子也隨即遭警方逮捕。』 有趣的是,我們看到警方落地後很明確知道他們要抓的是誰,雖然警方能夠獲得乘客名單,但他們怎麼知道是誰發的?這就激發了我的好奇心。
我們常常講要導入特權存取管理 (Privileged Access Management, PAM),將特權帳號收攏、集中管理。但特權存取管理解決方案真的有辦法達到防護效果嗎?對於合規有什麼作用?本文將聚焦於技術層面解析特權存取管理的定義與應用,並分析相關解決方案的優缺點。
你是否想過,如果哪些第三方服務突然中斷或是遭到駭客攻擊,會對你的單位造成什麼影響?本文會透過具體案例,解析資安事件發生時,駭客從攻擊服務供應商到進入單位內部的不同階段,並附上自檢表讓讀者迅速檢視自己是否對於供應鏈資安事件有所準備。
無論是線上匯款、帳戶申辦,還是購物結帳,在這個「無處不需要手機驗證碼」的世界,如果你還對「如何保護好手機號碼」沒概念,你可能會被盜刷一堆錢、背負莫名其妙的借貸債務、或是帳號被盜。 這篇文章會介紹關於 SIM 卡劫持攻擊與類似攻擊在台灣的發生案例,趕快來了解一下吧!
隨著「零信任架構」(Zero Trust Architecture) 一詞在臺灣風靡一時,各家資安廠商也搭上了這股風潮,什麼產品都要「零信任」一下。然而,有「零信任」的產品就是資安萬靈丹嗎? 零信任架構是什麼?
你可能也想看
Google News 追蹤
Thumbnail
這是張老師的第三本書,我想前二本應該也有很多朋友們都有讀過,我想絕對是受益良多,而這次在書名上就直接點出,著重在從投資的角度來切入
感覺自己被架空、甚至被安靜資遣的時期,還有哪些事情可以做?
Thumbnail
昨天美股的 MVP 應該就是 ARM 超級衝刺,盤中漲幅最多至 60%,主要的原因是因為財測開出來的結果比預期好,究竟是發生什麼事情,我們先從財報結果看起。Arm Q3營收同比增長14%至8.24億美元,好於市場預期的7.60億美元
Thumbnail
之前有許多機會與高中生與大學生分享資安的工作,其中大家最常問的是需要怎麼學資安,或是找工作該準備哪些技能?又有哪些出路等等一系列問題,所以我打算用問題集的方式來寫這篇文章。 必且只是給個方向,畢竟每個人要的或許都不同?
Thumbnail
故宮近期被報導去年6月發生「截圖事件」,其實不只臺灣,各國博物館也常遭駭客攻擊或是有心人士鑽漏洞獲得不義之財...
Thumbnail
單集介紹: 在投資、研究NFT的過程中,應該或多或少經歷或聽過誰被詐騙、誰NFT被盜,有時候精美的網頁、華麗的ROADMAP故事看了讓人心動,mint下去卻發現不只什麼也沒有,連你的NFT及資產也都轉給別人了。 隨著資安意識提高,幾乎有在研究的朋友都買了冷錢包儲存自己的資產,但,這樣就夠了嗎?
Thumbnail
今年三月科技成長股大調整時,我寫過一篇文章推介CRWD,至今其股價已漲了七成。上周,雲端安全板塊好消息連發,包括CRWD被納入成為Nasdaq-100成份股和白宮會議等,帶動CRWD和ZS齊創新高。本篇文章會介紹「下一代資安」的三大面向、不同公司的競爭與合作狀況,以及我投資這板塊雲端安全公司的策略。
Thumbnail
觀察這九間台灣主要的資安公司,會發現絕大多數都還是以硬體為主。分享一下自己的觀點與適合的投資方式 資安大廠代理商:  零壹(3029)、敦陽科(2480)、聚碩(6112)、凌群(2453)、精誠資訊(6214)。 偏硬體相關:  立端(6245)、是方(6561)、瑞祺電通(6416)。
Thumbnail
延續上篇的內容,這期跟大家分享對於剩下幾間公司的心得跟想法。 資安大廠代理商: 零壹(3029)、敦陽科(2480)、聚碩(6112)、凌群(2453)、精誠資訊(6214)。 偏硬體相關: 立端(6245)、是方(6561)、瑞祺電通(6416)。
Thumbnail
這是張老師的第三本書,我想前二本應該也有很多朋友們都有讀過,我想絕對是受益良多,而這次在書名上就直接點出,著重在從投資的角度來切入
感覺自己被架空、甚至被安靜資遣的時期,還有哪些事情可以做?
Thumbnail
昨天美股的 MVP 應該就是 ARM 超級衝刺,盤中漲幅最多至 60%,主要的原因是因為財測開出來的結果比預期好,究竟是發生什麼事情,我們先從財報結果看起。Arm Q3營收同比增長14%至8.24億美元,好於市場預期的7.60億美元
Thumbnail
之前有許多機會與高中生與大學生分享資安的工作,其中大家最常問的是需要怎麼學資安,或是找工作該準備哪些技能?又有哪些出路等等一系列問題,所以我打算用問題集的方式來寫這篇文章。 必且只是給個方向,畢竟每個人要的或許都不同?
Thumbnail
故宮近期被報導去年6月發生「截圖事件」,其實不只臺灣,各國博物館也常遭駭客攻擊或是有心人士鑽漏洞獲得不義之財...
Thumbnail
單集介紹: 在投資、研究NFT的過程中,應該或多或少經歷或聽過誰被詐騙、誰NFT被盜,有時候精美的網頁、華麗的ROADMAP故事看了讓人心動,mint下去卻發現不只什麼也沒有,連你的NFT及資產也都轉給別人了。 隨著資安意識提高,幾乎有在研究的朋友都買了冷錢包儲存自己的資產,但,這樣就夠了嗎?
Thumbnail
今年三月科技成長股大調整時,我寫過一篇文章推介CRWD,至今其股價已漲了七成。上周,雲端安全板塊好消息連發,包括CRWD被納入成為Nasdaq-100成份股和白宮會議等,帶動CRWD和ZS齊創新高。本篇文章會介紹「下一代資安」的三大面向、不同公司的競爭與合作狀況,以及我投資這板塊雲端安全公司的策略。
Thumbnail
觀察這九間台灣主要的資安公司,會發現絕大多數都還是以硬體為主。分享一下自己的觀點與適合的投資方式 資安大廠代理商:  零壹(3029)、敦陽科(2480)、聚碩(6112)、凌群(2453)、精誠資訊(6214)。 偏硬體相關:  立端(6245)、是方(6561)、瑞祺電通(6416)。
Thumbnail
延續上篇的內容,這期跟大家分享對於剩下幾間公司的心得跟想法。 資安大廠代理商: 零壹(3029)、敦陽科(2480)、聚碩(6112)、凌群(2453)、精誠資訊(6214)。 偏硬體相關: 立端(6245)、是方(6561)、瑞祺電通(6416)。