今天剛好進入鐵人賽的一半了，
累，真滴累。雖然單純看文章，是看不出甚麼端倪，
內容都不是很多，可是都還是需要花費一些時間準備，
這十幾天，真的還滿算是有點累的撐過來。
是還不到拼命苦撐下來，因為接下來的15天才會是QQ

這好一半，也來個非常特別的一篇～
給真的是完全沒概念的入門者或是轉職人員一些參考，
還有談談我自己的一些想法。

畢竟這系列的文章「資安面試300題」，
打從題目到主旨，其實就跟找工作是息息相關的了XD

就來談談在資安領域，關於如何找工作？該學些甚麼東西呢？
首先自肥一下，之前有拍一個影片推薦SANS的資安技術路線圖

資安技術路線圖 | 資安職涯發展 | 資安學習路線 |Cyber Security Skills Roadmap | SANS Institute
https://www.youtube.com/watch?v=8fuon7gTfGM

SANA Cyber-Security-Skills-Roadmap
https://www.sans.org/cyber-security-skills-roadmap/

不管你是打算進入資安圈，抑或者是已經在資安產業中打滾了，
其實都還是可以參考看看了解自己目前所在的位置，或是想發展的方向，
也可以透過這個路線圖與不同項目中的內容，
去了解說不同的領域與階段，或許應該學習與具備甚麼樣的技能與知識。

但這個畢竟是一個稍微偏向於理論與學術上的框架或規劃，
實務上不同組織單位，還有職務內容，都可能會有差異。
而且是國際性的資安組織所設計，不會考量的地緣性的特點與文化。

所以接下來我們來看看「實務上」「台灣」的「職缺」都有甚麼樣的玩法吧！

下面我會列出一堆我在人力銀行上面所看到有開的資安缺，來更貼近我們的實務生活。
列完之後，也會談談一些關於我自己的想法。
實際上要怎麼找工作？該學些甚麼東西？
對於剛入門的人甚至說大部份的人，其實都滿推薦直接點開人力銀行來看看，
可以直接看看社會上都是開甚麼樣的職缺比較多，不同的職缺需要甚麼樣的技能、知識、證照，
也可以從上面的需求條件，來進行自己的技能與職涯規劃也可以。
就算是同樣的職缺與職稱，在不同的產業或不同的公司，
有時候所需技能樹和職務的內容，也都會有不少的差異。

資安工程師

工作內容
滲透測試
弱點掃瞄、資安健診、社交工程、原碼檢測等服務執行
資安事件應變處理
專案計劃書規劃撰寫
配合客戶提供顧問諮詢
其他條件
具獨立滲透測試經驗並理解相關漏洞細節原理
熟悉網路、作業系統、HTTP協議原理
熟悉至少一種語言用以輔助自行開發工具
熟悉各種滲透測試輔助工具 (Burp、Metasploit、Kali等）
具團隊合作精神、良好自學態度者佳
具資安相關證照者佳 (CEH、ECSA、CHFI、OSCP、CISSP)

資安檢測工程師

工作內容
擁有一身好武功卻無處發揮？被迫把弱掃當滲透？加入我們吧！
(1)負責業務：紅隊演練、滲透測試、弱點掃描、源碼檢測。
(2)具有白帽駭客技能，曾任資安講師、發表CVE、Bug Bounty者尤佳。
(3)熟悉系統建置與網路，具備安全防護與漏洞修補知識。
(4)對於新技術有研究熱忱，深入探討駭客技術且想當個好人。
(5)具有IoT背景、Waf調校、網頁程式、Python或行動APP開發經驗尤佳。
(6)具備GWAPT、GPEN、ECSA、LPT、OSCP等證照者尤佳
其他條件
(1)熟悉網際網路TCP/IP通訊協定、作業系統、各種伺服器服務運作原理 (如Web、DB、AD、DNS等)、基本資料庫語法，並具備相關技術經驗。
(2)熟悉OWASP Top 10與Testing Guide、入侵攻擊運作原理與相關技術。
(3)具備網路與資安防護設備(如Waf防護設備等)建置與維運管理經驗者尤佳。
(4)曾參與資安競賽(如金盾獎、CTF等)、漏洞通報 (如CVE、HackerOne等)、資安培訓或資安社群經驗尤佳。

資安維運工程師

工作內容
1.協助資訊安全設備維運基礎工作。
2.協助處理資訊安全事件/事故。
3.支援ISO27001資安驗證維運作業。
4.執行資安管理相關作業之資料彙整，及相關文件撰寫與管理。
5.內外部稽核缺失、事故應變處理之改善與追蹤。
其他條件
1.具網路管理基本知識。
2.擁有資安ISO27001主導稽核員認證。
3.具資訊相關工作經驗為佳。
4.瞭解TCP/IP、網路及作業系統、資訊安全相關知識為佳。
5.具備防火牆、IPS、WAF防毒等資安設備代管經驗為佳。
6.本科系畢業無相關經驗可，可提供教育訓練。
7.適合初階對資安領域有興趣者。

好的，上面列出了三個來自不同公司的不同職缺。
當然還有更多更多更多...其他的公司職缺，不可能都列上來，
不過列出來的三個其實也幾乎都包含了我想表達的一些想法，
其他的公司資缺也都大同小異～

接著我想針對幾個點稍微說明一些，
關於找工作的一些事項還有台灣的資安職缺情況。

1-網路+作業系統+Web基礎
在資安領域中，其實可以發現許許多多的職缺，
都至少會有要求要有基礎的網路知識，
其實也如同我們系列最前面的網路基礎篇所提及，
網路不等同於資安，但學好資安，是應該要具備基礎網路知識。
所以不管如何，網路基礎要學好！
第一項可以看到「熟悉網路、作業系統、HTTP協議原理」，
其實也可以知道對於網路以外，對於基礎作業系統和HTTP理解，
也是多數的資安工程師都會需要的技能。

2-職務內容包山包海?!
有時候你會看到許多的職缺內容幾乎是包山包含
（其實不資安，前後端或是軟體開發也常見這種情形）。
例如工作內容是
PT+源碼檢測+健診+社交工程+惡意程式分析+數位鑑識+ERS+資安設備建置等等

你一定想說..靠北怎麼可能這麼全能!?
這時候首先我們可以先簡單，從薪資做一個區分XD
第一種是它開的薪資就真的是高到有資格要求你全能，
第二種就是它薪資沒有這麼高。

以第二種的情況來說也是不用急著靠北，
其實還是有許多的可能性，有著不同的面向與因素，
我簡單談談幾個我自己知道的理由。

A. 它不知道自己要甚麼，或是不知道每個項目的詳細內容與難易度。
這個機率偏低，但不是不可能。
我自己有遇過有公司內部是完全沒有任何一個資安專才的人員，
但是他們需要找一個資安人員進去。
可是你想想，他們內部就沒有任何人懂資安，
也許他們不是太清楚自己要的是甚麼，
他們不知道職務內容PT+數位鑑識+資安稽核管理，三個都要學好學滿有多困難，
也不清楚具備這些條件應該開多少的薪資合理，其實都不是不無可能。

B. 不是要你全能，而是有你會的就可以，或是部門涵蓋範圍這麼廣。
這個機率稍微比較常見。
列出了一堆東西，它不是要求你都會，而是你當中有你會的就可以。
例如公司或是部門涵蓋的範圍就是這麼廣泛，
但不會要求你全部都能精通，可是希望你對於其中幾個項目是比較熟悉的，
其他的項目則是若有遇到需要支援，則去幫忙支援，或是時間可以再學習。

談到這個，我又想多談一件事情，
關於不同的技能，如果你是一個鑽研技術的愛好者，
有時候～從技術的角度來看，和從執行服務的角度來看，會有些些的不同。
工作經常會是一個專案、一個服務、完成該目標的導向為主。
在不同的產業、公司、專案當中，有時可能會與想像中或是理想中有出入，
可能有人會覺得說這是甚麼職場黑暗面嗎？其實不一定啦，
雖然有的可能會是XDD，但「不見得」都是不好的方向。
想表達的想法好多，可是不知道怎麼說才好QQ

我舉幾個例子，先前參加一個營隊，有個從學術界跨到業界的講師，
分享了一個科學家與工程師的差別的小故事，
他是一個化學家，到業界公司的時候，公司給他一個考試，
給他一間化學實驗室，要他做一個壓克力板出來。
（其實我忘了是要做甚麼東西，不過這不是重點XD，不影響故事發展）
然後他一開始覺得有點被羞辱，怎麼會考這麼簡單的東西，
花了半天的時間，做了一個純度很高的壓克力板出來。
可是對公司來講，反而並不及格，因為他花費太多時間與成本，
對公司來說，需要的是可能是要低成本快速且穩定產出壓克力板的方式。
分享這故事...就是，其實彼此都沒有錯，
只是站在不同的角度，可能會有不同的理解與需求。

接著想提電影《霍元甲》中，
霍元甲說到，「武術沒有高低之分，人卻有強弱之別」。
這句話也可以從很多角度切入去延伸XD

像是前端開發工程師呀，常常看到有個公司開缺薪資卻是3萬-10萬(?!，
即使是在同一個公司的職缺都會有這樣的差距，更何況是不同產業與公司，
而不同產業與公司對於同樣的職缺，也可能有著不同能力強度要求。

領域之間通常也沒有所謂高低之分（通常沒有，但薪資高低不保證XD），
例如滲透測試或是惡意程式分析，沒有所謂哪個比較高級、比較厲害。

C. 就是要你都會。
就是要你都會都做，但這種通常就變成你每種可能都會接觸或執行，
可是就不會要求都精通就是了，如果是這種情況，其實要再精通也是困難。

3-證照加分
這個幾乎是不用多說的一個點，雖然我還是要說。
資訊領域的工作，除了學歷以外，
其實不少工作，面試者都會利用作品來達到加分的一個效果，
把自己寫的程式放到Github、自己架一個網站，諸如此類的。
不過資安通常不是以寫程式為主，不太會有甚麼「作品」，
常見可以證明自己的，可能就是證照了，
不過國際認證真的都貴貴der，大家也可以好好斟酌。

雖然這個我自己覺得也是有點奇怪啦～
感覺認證應該是要先具備職場經驗，才去上課程考認證比較好，
不過現在很多都變成還是學生就去考了，或是公司要求你進來前要有，
先不論是不是亂象了，這個就是目前台灣生態，唉。

4-熱誠與自學
除了剛剛提到的認證，有參與各種競賽像是CTF之類也都是加分的。
其實也可以看到許多資安缺，會提到有熱誠與自學，
我覺得每個產業都有各自的特性，其他產業需不需要熱誠我是不確定啦，
但有些可能還好，像是輪班設備工程師，
應該是不會要求你平常要自學設備，對設備有熱忱吧XD

可是要走資安，如果是希望能在這個領域好好發展，
個人認為能夠對資安具備熱誠，並且有能力且願意花費時間自學，
是非常重要的事情！如果我是主管，這個必然會是我的優先考量之一。
（熱情會不會被磨滅掉，就是另外一回事了XD）
能夠多多參與一些社群活動，不管常年舉辦的，或是一些不定期的小活動，
訂閱或是追蹤一些網路相關的臉書、Youtube、Twitter、部落格也都很不錯！

挖XD

今天不知不覺廢話有點多了

供大家參考個人淺見