Yourator會員限定專欄✨
請先註冊或登入以瀏覽全部內容
已是會員嗎? 馬上登入
近幾年詐騙、竊密事件頻傳,資安議題在臺灣一直都有很高的討論熱度,資訊安全工程與技術相關的職缺也成為上升中的求職選項,你也在觀望是否加入這個新興領域嗎?
Yourator 日前(8/26)與 HITCON 台灣駭客協會合辦《2023 HITCON x Yourator 資安職涯論壇》,邀請 DEVCORE、自由系統、XREX、奧義智慧、勤業眾信等團隊現場進行資安時事議題分享,並開放求職者現場互動,詢問企業資安產業的發展前景及招募需求,讓求職者對於加入資安團隊更有信心。
本文總結現場趨勢論壇內容,依照產業現況、求職方向及未來發展為大家分析,到底該不該加入資安領域?除了資安工程師還有哪些職位可以選擇?又有哪些資源能協助自我成長呢?
內容目錄:
隨著國內外資安攻擊事件頻傳,越來越多企業意識到擁有資安人才的重要性,開始設立資安部門,透過建置防火牆等形式以防止內部資料外洩,或尋找外部資安團隊協助,如自由系統提供綜合型 IT 服務、DEVCORE 提供紅隊演練服務、勤業眾信提供風險諮詢顧問服務等。
正因如此,資安人才缺口逐年擴大,整體招募市場供不應求。產業署依照低中高階資安人才,及資安治理、資安管理、資安維運等三大工作面向,細分不同類資安人才必備的知識及技能,在投遞履歷前,你可以先檢視自身能力是否符合相應職缺需求。
(資料來源:數位部產業署111年度產業資安人才發展職能地圖報告)
除了職能需求外,隨著數位轉型推動新技術落地,《2023 HITCON x Yourator 資安職涯論壇》也邀請企業分享不同技術在面臨資安風險時,團隊如何應對與防範。
以近期常見的 API 串接技術為例,自由系統的前端功能師 Edward 指出,帶入資安思維設計的良好 API 系統應該有四個必備機制:能夠應對常見資安攻擊、驗證機制(authentication)、授權機制(authorization)以及能追蹤軌跡紀錄。
發生資安事件時該如何應對?XREX 旗下擁有國際級虛擬貨幣交易所,首席資安工程師 Wolf 坦言:「由於在區塊鏈上的交易量過於龐大,還需要確認與其他交易所的合作關係,一旦發生類似洗錢等事件通常難以追回。」
目前交易所能做到的手段,幾乎都是將人頭帳號凍結。「舉例來說,人頭帳號或是洗錢帳號進行操作時,一定會有一些 pattern(特徵),例如在 KYC,或跟他 Q&A 問答的過程會有一些很奇怪的行為,我們會分非常多層的過濾機制去確認該帳號是不是刻意的。」
Wolf 也分享:「因為區塊鏈是一個新領域,當攻擊發生時,我很願意去看有沒有新的犯罪手法或防範方式,以及我可以從裡面學到什麼。」如果你也期望能從工作中,不斷跟隨趨勢探索新技術與新解方,歡迎來瀏覽上述團隊的職缺。
談到資安產業的職缺需求,通常以技術人才為大宗,Yourator 先前有整理過資安工程師的工作內容介紹,歡迎點擊專欄參考:
➤ 10 種資安工程師工作內容介紹,一起加入薪水成長潛力股資安產業!
而除了工程師,部分期望更多提供知識輸出、諮詢建議的技術人才,會轉任 IT 或風險諮詢顧問。四大會計事務所之一的勤業眾信,除了顧問、會計等服務外,也設有風險諮詢諮詢部門,招募各種面向的人才,提供風險諮詢相關服務。
勤業眾信風險諮詢部門的 Warren 與 Amber 也在趨勢分享環節提到,風險諮詢部門除了建置、檢測的技術面人才,也相當需要熟悉法律的法遵人才,協助制訂整體的建議方向、檢視方案是否可行,而如果求職者希望在未來持續晉升,具備溝通及管理的能力也十分重要。
對於如何加入資安產業這個問題,DEVCORE 共同創辦人暨資深副總 Bowen 也統整身旁「強者」的學習軌跡,提供初步指引:
培訓計畫:SCIST、AIS3、Junior、AIS3、台灣好厲駭
資安社群:NISRA、TSJ、UCCU、Balsn、HITCON
線上課程平台:DVWA、TryHackMe、Hack The Box、Web Security Academy
這些資源可以成為你踏入資安領域的第一步,但資安是個不斷變換且推陳出新的領域,有一定基礎後,可以開始大量參與讀書會與社群活動、撰寫技術文章、參加 CTF 比賽、漏洞獎勵計畫等,透過實戰結交人脈與累積經驗。
Bowen 也強調:「只要有心想學資安,任何時候都不會太晚,但前提是找出一個會讓你即使不眠不休、廢寢忘食都想要挑戰的資安領域,才能保有學習的熱情。」
➤ 資安人才的未來趨勢,DEVCORE、動力安全資訊兩大企業觀點分享
推薦閱讀: