蔡一郎的部落格

Yilang's Blogger

重新思考如何進入資訊安全的領域

Published by Yi-Lang Tsai under , , , on 11/12/2023 11:14:00 下午

自從去年成立了資安公司,這一年多來經歷了許許多多的挑戰,從產品的研發到商務模式的規劃,以及如何開拓市場,不斷的修正產品的功能,以符合市場上的需求,當然也與許多的商務夥伴共同合作,執行了許多的專案,服務了許多重視資訊安全的客戶,不過也遇到了少部份只想應付應付的客戶,在這幾年來資訊安全的議題成為政府、企業、學校到個人都關心的項目,國內相關的研討會不勝枚舉,有每年固定辦理的大型展會,也有許多資安產品或解決方案廠商辦理的主題式研討會,當然也有許多社群辦理的活動,這些大大小小的會議與活動,再加上近來網路詐諞與駭侵事件頻傳,令人對於資訊安全越來越重視,但尚存僥倖心態的人還是大有人在,總覺得資安事件不會發生在自己的單位或與自己相關。

從投入資訊安全這個領域已近 30 年,這一路走來看著資訊科技的發展,但也印證了資安技術的轉型,以及駭客攻擊手法的創新,雖然近幾年興起了一股資安風,從大專院校大量的開辦資安學程、開設資安相關的研究所等,都希望能夠讓學生在學校就知道投入資安領域所需要具備的素養與技能,不過這幾年因 CTF 等競賽的興起,也讓資安學習這件事有了不一樣的發展,許多人學習資安卻是為了參加競賽,當然不可否認在學習的過程,仍然會學習到許多的資安技術,但居限在以競賽為主的學習目標,與企業所需要的資安人才卻是不同的,也許主因就在於學術機構畢竟不是來自產業的第一線,無法掌握實際的需求,也許相較之下而有如此的發展就是正常的情況了,前者是資安產業所需要的資安人,但是企業中的資訊人員所應具備的資安技能,兩者的思維並不相同。

這幾天前往澎湖科大分享「如何進入資訊安全領域」一題,在課堂上與對資安有興趣的同學們互動,提供一些進入這個領域的方法,而隔天在當地好友的帶領下,除了品嘗道地的美食外,當然也走訪了幾個著名的景點,在發呆亭看了海面,聽著海浪的聲音以及耳邊呼嘯而過的風聲,內心除了感受大自然的神奇外,腦海中不自覺得想著資安的未來,在風平浪靜的海面下,可能是暗潮洶湧而無法查覺,若非熟悉海相的達人,可能在大海之中隨時可能被無情的吞嗜,一個不小心就可能失去了寶貴的生命;而這就如同我們面對虛擬的網路世界時,駭侵的威脅隨時可能出現,雖然我們都投入了許多的資安防禦機制,但卻不見得能夠看透整個網路所面對的資安風險,一個不小心導致了資安事件的發生,所遭受的損失就不可計數了。

在「奎壁山摩西分海」探尋著潮間帶豐富的生態時,看到了前人所留下來的石堆,由大到小的豎立在暫時露出的步道上,看著這座石堆不免想起人生的經歷,正所謂守成不易,一場組織內的鬥爭就可以讓耕耘十餘年的成果毀於一旦,從原本有能力自行研發建置平台的團隊,變得大大小小的事只能專案委外,看著發生的這一切,在事隔一年多來而感到不勝唏噓,但也只能祝福,所有的小人也是貴人,帶給我們的就是改變的力量;資安領域的養成須具備基礎的能力,例如:系統營運管理、網路安全架構、應用程式安全開發、資安數據的關聯分析、有效的資訊安全事件應變等,這些都是建構一個完整的資安團隊不可或缺的要素,而不是只說著一嘴好資安,可惜的是許多的主事者或是當權者並不一定有正確的認知,這也是考驗著自身的能力是否可以帶領團隊的角色,在人生的經歷中參與了許多國際資安組織,其中最受到影響的就是如何建立領導者(Leadership)的能力,因為這將會直接關係到事件執行過程的成與敗。

如何進入資訊安全的領域,除了本身的專業能力養成外,也需要有明確的目標以及找出最佳的學習途徑,許多對資安有興趣的人,需要思考一下自己的喜好,因為資訊安全是一門綜合科學,一個人是無法單打獨鬥的,需要能夠參與團隊的運作,各司所職再一起發揮綜效,這也是在處理資訊安全事件時,如果只看到一、兩個人忙裏忙外,其它的人只關心「到底是什麼原因?」、「什麼時候可以恢復?」等,就知道這個資安事件能夠找出根因的機率就不高了,因為只出張嘴的比做事的人多,當然就需要外援的資安團隊了,才有機會對於目前的事件進行仔細的調查。

學習資訊安全超過八成的人是由資安工具開始著手,這是一個好的方式,但也需要對於這些不同類型的資安工具,至少能夠熟悉絕大多數的功能與用法,像有時候在教網路封包的課程時,有的學員口口聲聲說教 Wireshark 太過簡單了,一直想要學別的工具,但在練習解析網路封包時,居然連過濾規則怎麼下以及如何找出 TCP Flow 都不知道,真的打從心裏佩服他,自我感覺有夠良好,但這樣的心態對於進入資安的領域,就成了最大的障礙,無法虛心的體認自己的不足,而失去了學習的契機。

資訊安全是門緊密扣合與細密分工的行業,但需要具備的專業領域各有擅長,從近年來興起的一股 DevSecOps 就不難看出,以前應用程式的開發團隊,只需要滿足使用者期待的功能開發,上線後就交給維運的團隊,隨著近年來駭客攻擊手法的進展,每隔三到六個月就可以發現一個全新的駭侵手法出現在我們週遭,基礎能力的建立在資訊安全的領域中是相當重要的,很多人問我說,在學期間要學習什麼,將來才能夠投入資訊安全的行業,其實這個答案並不困難,只需要問自己對資訊安全的那個項目是有興趣的,然後結合自己擅長的技術,就能夠在資安領域中有著一席之地。

聽見海的聲音,在風和日麗時,是令人感動的,但在狂風暴雨時,卻是令人感到畏懼的,資訊安全也是如此,當天下太平時,大家都會覺得資安是只會花錢的事,但是出了資安事件,這些平時辛苦保護數位邊界的人,就成了代罪羔羊,這是不合理的,最近有個協會喊出了「No Money, No Security」,這句話真的道出了許多資安人的心裏話,每次提需要資安預算時,總是被主管問遍所有的理由,最後還不一定獲得同意,不然就是七折八扣拿不到原本心目中的預算,但發生資安事件時,主管就像得了失憶症一樣,總覺得已經給了預算居然還出事,那就是管理人的問題了,早已置身事外,只等著開事件的檢討會議。

接近年末,感恩今年邀請演講的單位,也讓我有機會介紹公司的產品,幫助有需要的人進入資訊安全的領域。


2023年演講與授課清單

Published by Yi-Lang Tsai under , on 11/12/2023 10:04:00 下午
2023年-演講與授課清單
日期講題地點主辦單位/活動
2023/12/22提昇製造業資安韌性的八個關鍵沙崙資安暨智慧科技研發大樓數位發展部數位產業署沙崙資安服務基地
2023/12/2網站應用程式安全與分析國立虎尾科技大學國立虎尾科技大學
2023/11/30資安威脅與趨勢分析沙崙資安暨智慧科技研發大樓國家實驗研究院/112年度產業高階人才培訓課程
2023/11/30物聯網安全與因應對策沙崙資安暨智慧科技研發大樓國家實驗研究院/112年度產業高階人才培訓課程
2023/11/29網路封包與事件解析中華民國軟體協會CISA數位轉型大學
2023/11/25TRE面臨的資安風險張榮發基金會國際會議中心國家衛生研究院/2023台灣健康大數據整合服務平台年會 建構信任研究環境
2023/11/22資安五四三 - 主動與被動真的不一樣Virtual台灣數位安全聯盟/資安五四三
2023/11/21以沉浸式學習打造資安人才試鍊場中華民國電腦學會忠孝會館中華民國電腦學會/幸福下午茶
2023/11/14OWASP與網站應用程式安全臺北市立大同高中教育部國民及學前教育署學科中心
2023/11/9如何進入資訊安全的領域國立澎湖科技大學國立澎湖科技大學
2023/11/8地緣政治下的資安威脅與因應之道國立成功大學政治學系國立成功大學政治學系
2023/11/2從全球欺敵網路部署看威脅情資應用集思北科大會議中心中山科學研究院/神盾盃
2023/11/1利用零信任架構和資料合規性來保護現代高科技製造環境新竹豐邑喜來登大飯店THALES/零信任時代資料安全防護最佳實踐製造業座談會
2023/10/27Cybersecurity Threats and Industry-Related Information Security Management Risk台灣經濟研究院台灣經濟研究院/ICITI 2023 國際研討會
2023/10/26我們與駭客的距離國立臺南大學國立臺南大學
2023/10/25數位轉型後的資安世代Virtual國立臺南女中
2023/10/24學術網路常見的資安威脅基隆市教育網路中心基隆市教育網路中心
2023/10/24以資安數據驅動防禦策略基隆市教育網路中心基隆市教育網路中心
2023/10/12資安五四三 - 我真是猜不透你呀,談跨域人才Virtual台灣數位安全聯盟/資安五四三
2023/10/6從攻防演訓探究駭客思維中華電信學院台中所台中市政府機關資安人員滲透攻防及訓練
2023/9/21資安就從你我做起Virtual中華電視公司
2023/9/20面對雲端世代的資安思維Virtual總統府
2023/9/19從駭客思維看 DevOps 的安全風險經濟部工業局經濟部工業局
2023/9/16AI於雲端誘捕系統之實作經驗分享國立臺灣大學共同教學館Artificial Intelligence Information Security Day/GDG Taipei
2023/9/14零信任安全模型:重塑企業網絡安全的未來Virtual國際金融科技論壇
2023/9/8資安事件調查與實務分析資安暨智慧科技研發大樓資策會/數位發展部數位產業署
2023/9/5駭客威脅與資安發展趨勢交通部公路總局公路人員訓練所交通部公路總局
2023/8/29網站應用程式安全與分析實務經濟部工業局經濟部工業局
2023/8/23打造良好的 DevSecOps 團隊文化國家高速網路與計算中心國家高速網路與計算中心
2023/8/9資安數據分析實務國立陽明交通大學國立陽明交通大學/竹苗區域網路中心
2023/8/8資訊安全監控中心 SOC 維運機制與實務流恆逸資訊教育訓練中心恆逸資訊教育訓練中心
2023/8/7駭侵手法與資安威脅分析國立政治大學區域網路中心研討會
2023/8/5資訊安全概論與法規研析國立東吳大學資安跨域聯防暨物聯網場域推動計畫/數位發展部數位產業署
2023/8/4從Infosec Taiwan 2023看全球資安產業發展趨勢資安暨智慧科技研發大樓2023沙崙資安國際研討會/數位發展部數位產業署
2023/7/29駭客攻防戰最新方法大同大學大同大學/資安與鑑識研習營
2023/7/27資訊作業委外安全管理Virtual國立陽明交通大學/竹苗區域網路中心
2023/7/26資安多元意識課程Virtual財團法人資訊工業策進會資安科技研究所
2023/7/18-19資安情資蒐集與分析實務工研院產業學院財團法人工業技術研究院
2023/7/6教戰守則:資安威脅的因應之道Virtual台東縣新生國中未來教室
2023/6/20從全球資安事件案例談駭客攻擊技術與趨勢經濟部工業局經濟部工業局
2023/6/18從資安檢測聊程式開發淡江大學臺北校區軟體測試實務:業界成功案例與高效實踐-新書分享會
2023/6/15資安風險管理台灣金融研訓院 Fin & Tech 芬恩特金融資安高階主管儲訓(CISE 2023)
2023/6/14工業控制系統資通安全概論交通部公路總局交通部公路總局
2023/6/13資安威脅與駭侵手法分析國立台南大學國立台南大學通識中心/博雅教育講座
2023/6/1Cyber Security Threat and Challenge資安暨智慧科技研發大樓財團法人國際合作發展基金會/資安政策研習班
2023/5/31從孫子兵法談資訊安全考試院考試院
2023/5/25資安五四三 - 談資安證照的武林秘笈Virtual台灣數位安全聯盟/資安五四三
2023/5/24網站應用程式安全與分析實務中華民國軟體協會CISA數位轉型大學
2023/5/12如何保護使用者資料和隱私國立中山大學國立中山大學公共事務管理研究所/數位人權研討會
2023/5/12工控系統安全與事件分析國立高雄科技大學電資學院國立高雄科技大學電資學院
2023/5/11建立資安管理與全球駭侵威脅防禦思維矽格聯測股份有限公司矽格聯測股份有限公司
2023/5/10從孫子兵法談資訊安全交通部公路總局交通部公路總局
2023/5/3從資工到資安的距離-職涯探索經驗分享沙崙資安服務基地長榮大學資訊工程學系
2023/4/21打造次世代資安人才試煉場空軍航空技術學院航空科技與飛航安全暨航空與社會聯合學術研討會
2023/4/19-20資安情資蒐集與分析實務工研院產業學院財團法人工業技術研究院
2023/4/18資安五四三 - 談量子安全與先進資安發展趨勢Virtual台灣數位安全聯盟/資安五四三
2023/4/17重大資安事件根因分析與處理資安暨智慧科技研發大樓沙崙資安產業實戰工作坊
2023/4/13弱點掃描與檢測實務桃園區網中心桃園區網中心
2023/4/11Google Hacking 與事件分析Virutal教育部國民及學前教育署學科中心
2023/3/24資安數據與分析實務辛耘企業股份有限公司辛耘企業股份有限公司
2023/3/23如何看懂弱掃報告桃園區網中心桃園區網中心
2023/3/21雲端架構下的資安防禦Virutal國家實驗研究院台灣儀器科技研究中心/發展智慧製造及半導體先進製程資安實測場域專案計畫
2023/3/16如何成為資安數據的魔法師國立嘉義大學資訊管理系國立嘉義大學資訊管理系
2023/3/15工業控制系統資通安全概論交通部公路總局交通部公路總局
2023/3/9資安工具101桃園區網中心桃園區網中心
2023/3/4數位轉型下的雲端應用與資安威脅世新大學中華民國數位金融交易暨資料保護協會/數位沙龍講座
2023/2/21從孫子兵法談資訊安全Virutal國家實驗研究院台灣儀器科技研究中心/發展智慧製造及半導體先進製程資安實測場域專案計畫
2023/2/16從全球資安事件談製造業資安技術與趨勢高雄軟體園區會議中心資安人/國立中山大學資訊安全研究中心
2023/1/17當IT與OT邊界消失下的資安防禦Virutal國家實驗研究院台灣儀器科技研究中心/發展智慧製造及半導體先進製程資安實測場域專案計畫
2023/1/4資安事件處理與調查實務友達光電股份有限公司友達光電股份有限公司