自從去年成立了資安公司,這一年多來經歷了許許多多的挑戰,從產品的研發到商務模式的規劃,以及如何開拓市場,不斷的修正產品的功能,以符合市場上的需求,當然也與許多的商務夥伴共同合作,執行了許多的專案,服務了許多重視資訊安全的客戶,不過也遇到了少部份只想應付應付的客戶,在這幾年來資訊安全的議題成為政府、企業、學校到個人都關心的項目,國內相關的研討會不勝枚舉,有每年固定辦理的大型展會,也有許多資安產品或解決方案廠商辦理的主題式研討會,當然也有許多社群辦理的活動,這些大大小小的會議與活動,再加上近來網路詐諞與駭侵事件頻傳,令人對於資訊安全越來越重視,但尚存僥倖心態的人還是大有人在,總覺得資安事件不會發生在自己的單位或與自己相關。
從投入資訊安全這個領域已近 30 年,這一路走來看著資訊科技的發展,但也印證了資安技術的轉型,以及駭客攻擊手法的創新,雖然近幾年興起了一股資安風,從大專院校大量的開辦資安學程、開設資安相關的研究所等,都希望能夠讓學生在學校就知道投入資安領域所需要具備的素養與技能,不過這幾年因 CTF 等競賽的興起,也讓資安學習這件事有了不一樣的發展,許多人學習資安卻是為了參加競賽,當然不可否認在學習的過程,仍然會學習到許多的資安技術,但居限在以競賽為主的學習目標,與企業所需要的資安人才卻是不同的,也許主因就在於學術機構畢竟不是來自產業的第一線,無法掌握實際的需求,也許相較之下而有如此的發展就是正常的情況了,前者是資安產業所需要的資安人,但是企業中的資訊人員所應具備的資安技能,兩者的思維並不相同。
這幾天前往澎湖科大分享「如何進入資訊安全領域」一題,在課堂上與對資安有興趣的同學們互動,提供一些進入這個領域的方法,而隔天在當地好友的帶領下,除了品嘗道地的美食外,當然也走訪了幾個著名的景點,在發呆亭看了海面,聽著海浪的聲音以及耳邊呼嘯而過的風聲,內心除了感受大自然的神奇外,腦海中不自覺得想著資安的未來,在風平浪靜的海面下,可能是暗潮洶湧而無法查覺,若非熟悉海相的達人,可能在大海之中隨時可能被無情的吞嗜,一個不小心就可能失去了寶貴的生命;而這就如同我們面對虛擬的網路世界時,駭侵的威脅隨時可能出現,雖然我們都投入了許多的資安防禦機制,但卻不見得能夠看透整個網路所面對的資安風險,一個不小心導致了資安事件的發生,所遭受的損失就不可計數了。
在「奎壁山摩西分海」探尋著潮間帶豐富的生態時,看到了前人所留下來的石堆,由大到小的豎立在暫時露出的步道上,看著這座石堆不免想起人生的經歷,正所謂守成不易,一場組織內的鬥爭就可以讓耕耘十餘年的成果毀於一旦,從原本有能力自行研發建置平台的團隊,變得大大小小的事只能專案委外,看著發生的這一切,在事隔一年多來而感到不勝唏噓,但也只能祝福,所有的小人也是貴人,帶給我們的就是改變的力量;資安領域的養成須具備基礎的能力,例如:系統營運管理、網路安全架構、應用程式安全開發、資安數據的關聯分析、有效的資訊安全事件應變等,這些都是建構一個完整的資安團隊不可或缺的要素,而不是只說著一嘴好資安,可惜的是許多的主事者或是當權者並不一定有正確的認知,這也是考驗著自身的能力是否可以帶領團隊的角色,在人生的經歷中參與了許多國際資安組織,其中最受到影響的就是如何建立領導者(Leadership)的能力,因為這將會直接關係到事件執行過程的成與敗。
如何進入資訊安全的領域,除了本身的專業能力養成外,也需要有明確的目標以及找出最佳的學習途徑,許多對資安有興趣的人,需要思考一下自己的喜好,因為資訊安全是一門綜合科學,一個人是無法單打獨鬥的,需要能夠參與團隊的運作,各司所職再一起發揮綜效,這也是在處理資訊安全事件時,如果只看到一、兩個人忙裏忙外,其它的人只關心「到底是什麼原因?」、「什麼時候可以恢復?」等,就知道這個資安事件能夠找出根因的機率就不高了,因為只出張嘴的比做事的人多,當然就需要外援的資安團隊了,才有機會對於目前的事件進行仔細的調查。
學習資訊安全超過八成的人是由資安工具開始著手,這是一個好的方式,但也需要對於這些不同類型的資安工具,至少能夠熟悉絕大多數的功能與用法,像有時候在教網路封包的課程時,有的學員口口聲聲說教 Wireshark 太過簡單了,一直想要學別的工具,但在練習解析網路封包時,居然連過濾規則怎麼下以及如何找出 TCP Flow 都不知道,真的打從心裏佩服他,自我感覺有夠良好,但這樣的心態對於進入資安的領域,就成了最大的障礙,無法虛心的體認自己的不足,而失去了學習的契機。
資訊安全是門緊密扣合與細密分工的行業,但需要具備的專業領域各有擅長,從近年來興起的一股 DevSecOps 就不難看出,以前應用程式的開發團隊,只需要滿足使用者期待的功能開發,上線後就交給維運的團隊,隨著近年來駭客攻擊手法的進展,每隔三到六個月就可以發現一個全新的駭侵手法出現在我們週遭,基礎能力的建立在資訊安全的領域中是相當重要的,很多人問我說,在學期間要學習什麼,將來才能夠投入資訊安全的行業,其實這個答案並不困難,只需要問自己對資訊安全的那個項目是有興趣的,然後結合自己擅長的技術,就能夠在資安領域中有著一席之地。
聽見海的聲音,在風和日麗時,是令人感動的,但在狂風暴雨時,卻是令人感到畏懼的,資訊安全也是如此,當天下太平時,大家都會覺得資安是只會花錢的事,但是出了資安事件,這些平時辛苦保護數位邊界的人,就成了代罪羔羊,這是不合理的,最近有個協會喊出了「No Money, No Security」,這句話真的道出了許多資安人的心裏話,每次提需要資安預算時,總是被主管問遍所有的理由,最後還不一定獲得同意,不然就是七折八扣拿不到原本心目中的預算,但發生資安事件時,主管就像得了失憶症一樣,總覺得已經給了預算居然還出事,那就是管理人的問題了,早已置身事外,只等著開事件的檢討會議。
接近年末,感恩今年邀請演講的單位,也讓我有機會介紹公司的產品,幫助有需要的人進入資訊安全的領域。