今天剛好進入鐵人賽的一半了,
累,真滴累。雖然單純看文章,是看不出甚麼端倪,
內容都不是很多,可是都還是需要花費一些時間準備,
這十幾天,真的還滿算是有點累的撐過來。
是還不到拼命苦撐下來,因為接下來的15天才會是QQ
這好一半,也來個非常特別的一篇~
給真的是完全沒概念的入門者或是轉職人員一些參考,
還有談談我自己的一些想法。
畢竟這系列的文章「資安面試300題」,
打從題目到主旨,其實就跟找工作是息息相關的了XD
就來談談在資安領域,關於如何找工作?該學些甚麼東西呢?
首先自肥一下,之前有拍一個影片推薦SANS的資安技術路線圖
資安技術路線圖 | 資安職涯發展 | 資安學習路線 |Cyber Security Skills Roadmap | SANS Institute
https://www.youtube.com/watch?v=8fuon7gTfGM
SANA Cyber-Security-Skills-Roadmap
https://www.sans.org/cyber-security-skills-roadmap/
不管你是打算進入資安圈,抑或者是已經在資安產業中打滾了,
其實都還是可以參考看看了解自己目前所在的位置,或是想發展的方向,
也可以透過這個路線圖與不同項目中的內容,
去了解說不同的領域與階段,或許應該學習與具備甚麼樣的技能與知識。
但這個畢竟是一個稍微偏向於理論與學術上的框架或規劃,
實務上不同組織單位,還有職務內容,都可能會有差異。
而且是國際性的資安組織所設計,不會考量的地緣性的特點與文化。
所以接下來我們來看看「實務上」「台灣」的「職缺」都有甚麼樣的玩法吧!
下面我會列出一堆我在人力銀行上面所看到有開的資安缺,來更貼近我們的實務生活。
列完之後,也會談談一些關於我自己的想法。
實際上要怎麼找工作?該學些甚麼東西?
對於剛入門的人甚至說大部份的人,其實都滿推薦直接點開人力銀行來看看,
可以直接看看社會上都是開甚麼樣的職缺比較多,不同的職缺需要甚麼樣的技能、知識、證照,
也可以從上面的需求條件,來進行自己的技能與職涯規劃也可以。
就算是同樣的職缺與職稱,在不同的產業或不同的公司,
有時候所需技能樹和職務的內容,也都會有不少的差異。
工作內容
滲透測試
弱點掃瞄、資安健診、社交工程、原碼檢測等服務執行
資安事件應變處理
專案計劃書規劃撰寫
配合客戶提供顧問諮詢
其他條件
具獨立滲透測試經驗並理解相關漏洞細節原理
熟悉網路、作業系統、HTTP協議原理
熟悉至少一種語言用以輔助自行開發工具
熟悉各種滲透測試輔助工具 (Burp、Metasploit、Kali等)
具團隊合作精神、良好自學態度者佳
具資安相關證照者佳 (CEH、ECSA、CHFI、OSCP、CISSP)
工作內容
擁有一身好武功卻無處發揮?被迫把弱掃當滲透?加入我們吧!
(1)負責業務:紅隊演練、滲透測試、弱點掃描、源碼檢測。
(2)具有白帽駭客技能,曾任資安講師、發表CVE、Bug Bounty者尤佳。
(3)熟悉系統建置與網路,具備安全防護與漏洞修補知識。
(4)對於新技術有研究熱忱,深入探討駭客技術且想當個好人。
(5)具有IoT背景、Waf調校、網頁程式、Python或行動APP開發經驗尤佳。
(6)具備GWAPT、GPEN、ECSA、LPT、OSCP等證照者尤佳
其他條件
(1)熟悉網際網路TCP/IP通訊協定、作業系統、各種伺服器服務運作原理 (如Web、DB、AD、DNS等)、基本資料庫語法,並具備相關技術經驗。
(2)熟悉OWASP Top 10與Testing Guide、入侵攻擊運作原理與相關技術。
(3)具備網路與資安防護設備(如Waf防護設備等)建置與維運管理經驗者尤佳。
(4)曾參與資安競賽(如金盾獎、CTF等)、漏洞通報 (如CVE、HackerOne等)、資安培訓或資安社群經驗尤佳。
工作內容
1.協助資訊安全設備維運基礎工作。
2.協助處理資訊安全事件/事故。
3.支援ISO27001資安驗證維運作業。
4.執行資安管理相關作業之資料彙整,及相關文件撰寫與管理。
5.內外部稽核缺失、事故應變處理之改善與追蹤。
其他條件
1.具網路管理基本知識。
2.擁有資安ISO27001主導稽核員認證。
3.具資訊相關工作經驗為佳。
4.瞭解TCP/IP、網路及作業系統、資訊安全相關知識為佳。
5.具備防火牆、IPS、WAF防毒等資安設備代管經驗為佳。
6.本科系畢業無相關經驗可,可提供教育訓練。
7.適合初階對資安領域有興趣者。
好的,上面列出了三個來自不同公司的不同職缺。
當然還有更多更多更多...其他的公司職缺,不可能都列上來,
不過列出來的三個其實也幾乎都包含了我想表達的一些想法,
其他的公司資缺也都大同小異~
接著我想針對幾個點稍微說明一些,
關於找工作的一些事項還有台灣的資安職缺情況。
1-網路+作業系統+Web基礎
在資安領域中,其實可以發現許許多多的職缺,
都至少會有要求要有基礎的網路知識,
其實也如同我們系列最前面的網路基礎篇所提及,
網路不等同於資安,但學好資安,是應該要具備基礎網路知識。
所以不管如何,網路基礎要學好!
第一項可以看到「熟悉網路、作業系統、HTTP協議原理」,
其實也可以知道對於網路以外,對於基礎作業系統和HTTP理解,
也是多數的資安工程師都會需要的技能。
2-職務內容包山包海?!
有時候你會看到許多的職缺內容幾乎是包山包含
(其實不資安,前後端或是軟體開發也常見這種情形)。
例如工作內容是
PT+源碼檢測+健診+社交工程+惡意程式分析+數位鑑識+ERS+資安設備建置等等
你一定想說..靠北怎麼可能這麼全能!?
這時候首先我們可以先簡單,從薪資做一個區分XD
第一種是它開的薪資就真的是高到有資格要求你全能,
第二種就是它薪資沒有這麼高。
以第二種的情況來說也是不用急著靠北,
其實還是有許多的可能性,有著不同的面向與因素,
我簡單談談幾個我自己知道的理由。
A. 它不知道自己要甚麼,或是不知道每個項目的詳細內容與難易度。
這個機率偏低,但不是不可能。
我自己有遇過有公司內部是完全沒有任何一個資安專才的人員,
但是他們需要找一個資安人員進去。
可是你想想,他們內部就沒有任何人懂資安,
也許他們不是太清楚自己要的是甚麼,
他們不知道職務內容PT+數位鑑識+資安稽核管理,三個都要學好學滿有多困難,
也不清楚具備這些條件應該開多少的薪資合理,其實都不是不無可能。
B. 不是要你全能,而是有你會的就可以,或是部門涵蓋範圍這麼廣。
這個機率稍微比較常見。
列出了一堆東西,它不是要求你都會,而是你當中有你會的就可以。
例如公司或是部門涵蓋的範圍就是這麼廣泛,
但不會要求你全部都能精通,可是希望你對於其中幾個項目是比較熟悉的,
其他的項目則是若有遇到需要支援,則去幫忙支援,或是時間可以再學習。
談到這個,我又想多談一件事情,
關於不同的技能,如果你是一個鑽研技術的愛好者,
有時候~從技術的角度來看,和從執行服務的角度來看,會有些些的不同。
工作經常會是一個專案、一個服務、完成該目標的導向為主。
在不同的產業、公司、專案當中,有時可能會與想像中或是理想中有出入,
可能有人會覺得說這是甚麼職場黑暗面嗎?其實不一定啦,
雖然有的可能會是XDD,但「不見得」都是不好的方向。
想表達的想法好多,可是不知道怎麼說才好QQ
我舉幾個例子,先前參加一個營隊,有個從學術界跨到業界的講師,
分享了一個科學家與工程師的差別的小故事,
他是一個化學家,到業界公司的時候,公司給他一個考試,
給他一間化學實驗室,要他做一個壓克力板出來。
(其實我忘了是要做甚麼東西,不過這不是重點XD,不影響故事發展)
然後他一開始覺得有點被羞辱,怎麼會考這麼簡單的東西,
花了半天的時間,做了一個純度很高的壓克力板出來。
可是對公司來講,反而並不及格,因為他花費太多時間與成本,
對公司來說,需要的是可能是要低成本快速且穩定產出壓克力板的方式。
分享這故事...就是,其實彼此都沒有錯,
只是站在不同的角度,可能會有不同的理解與需求。
接著想提電影《霍元甲》中,
霍元甲說到,「武術沒有高低之分,人卻有強弱之別」。
這句話也可以從很多角度切入去延伸XD
像是前端開發工程師呀,常常看到有個公司開缺薪資卻是3萬-10萬(?!,
即使是在同一個公司的職缺都會有這樣的差距,更何況是不同產業與公司,
而不同產業與公司對於同樣的職缺,也可能有著不同能力強度要求。
領域之間通常也沒有所謂高低之分(通常沒有,但薪資高低不保證XD),
例如滲透測試或是惡意程式分析,沒有所謂哪個比較高級、比較厲害。
C. 就是要你都會。
就是要你都會都做,但這種通常就變成你每種可能都會接觸或執行,
可是就不會要求都精通就是了,如果是這種情況,其實要再精通也是困難。
3-證照加分
這個幾乎是不用多說的一個點,雖然我還是要說。
資訊領域的工作,除了學歷以外,
其實不少工作,面試者都會利用作品來達到加分的一個效果,
把自己寫的程式放到Github、自己架一個網站,諸如此類的。
不過資安通常不是以寫程式為主,不太會有甚麼「作品」,
常見可以證明自己的,可能就是證照了,
不過國際認證真的都貴貴der,大家也可以好好斟酌。
雖然這個我自己覺得也是有點奇怪啦~
感覺認證應該是要先具備職場經驗,才去上課程考認證比較好,
不過現在很多都變成還是學生就去考了,或是公司要求你進來前要有,
先不論是不是亂象了,這個就是目前台灣生態,唉。
4-熱誠與自學
除了剛剛提到的認證,有參與各種競賽像是CTF之類也都是加分的。
其實也可以看到許多資安缺,會提到有熱誠與自學,
我覺得每個產業都有各自的特性,其他產業需不需要熱誠我是不確定啦,
但有些可能還好,像是輪班設備工程師,
應該是不會要求你平常要自學設備,對設備有熱忱吧XD
可是要走資安,如果是希望能在這個領域好好發展,
個人認為能夠對資安具備熱誠,並且有能力且願意花費時間自學,
是非常重要的事情!如果我是主管,這個必然會是我的優先考量之一。
(熱情會不會被磨滅掉,就是另外一回事了XD)
能夠多多參與一些社群活動,不管常年舉辦的,或是一些不定期的小活動,
訂閱或是追蹤一些網路相關的臉書、Youtube、Twitter、部落格也都很不錯!
挖XD
今天不知不覺廢話有點多了
供大家參考個人淺見