各位資深大大好
小女目前一直想從事資安技術方面的工作,但卻有極大的困擾不知如何做起
先說我曾經做過有關資安方面的作業
大學畢業後第一份工作我主要從事助理人員以ISMS稽核制度管理開始執行
目前如果說技術面是完全沒接觸到的,主要也只是負責行政類的資安工作
例如內外部管控、相關設備演練、機房維護與外部稽核作業等..
後來某些原因離開了而現行所做的作業如果說有技術方面的也很牽強
主要是負責應用系統帳號權限管理、系統版本上版作業((應該也可以說是版本控制、弱點掃描、APP檢測((目前還沒執行到但後續會做的項目、社交工程等工作
而現在想要以自學的方式來提昇自己的技術能力
但完全迷茫不知要從何下手,而且先前的工作感覺比較偏向管理面與檢測作業
不知有哪位資安高人能提供方向指點小女((雖然感覺好像很少女生會走這條路
ISMS 資訊安全管理系統
本身就就是屬於管理技術,管理的領域
你的感覺並沒有錯
如果你說的技術類是指攻擊、防禦、修補這種 工程師的領域
資訊安全是個很廣的範圍
比如說 OWASP TOP 10 掃描的結果
可能是 APP 本身設計問題
或是 web server (apache) 元件或組態問題
sql server 組態問題
光以上這些舉例就可能是三個領域來處理
一個漏洞
可能可以從不同領域進行攻擊,也可以從不同領域修補
因為你不太可能全包,所以你要確定方向
你喜歡做硬體維運?
還喜歡寫軟體?
目前小女比較有興趣的方向是硬體維護,寫軟體比較沒有太大的興趣,但硬體維護部分我比較好奇是有哪些資安的作業?
另外其實OWASP TOP 10的弱掃我工作有使用到Fortify SCA工具,
如果說要針對掃出來做分析確實要花點時間與精力了((倘若是走程式分析的話
補覺鳴詩
資訊安全有三方向,
機密性(Confidentiality)
完整性(Integrity)
可用性(Availability)
我自己也是做硬體的,以我自己接觸來說 工作大部分是
權限管理,系統更新、設定,軟體更新、設定,firewall 設定,WAF 設定
維持高可用性,備份系統,弱點修補
硬體有時候會比較灰心一點,畢竟比較沒有創造力
遇到資安問題,原廠沒釋出解決方案
除了擋掉以外,就束手無策
然後就會慢慢開始採用開源方案
要做到資安,沒有基本工是沒辦法的
舉個例子,安裝 linux 到能用是一回事
要調校 linux 又是另一回事
要學的話,就是去 SI 打滾個幾年吧
好的喔~感謝你的指點補覺鳴詩
說真的我覺得女生不適合做資訊的技術層面
這不是瞧不起女生 而是女生對一些IT相關技術真的有興趣的很少
除了寫程式以外
很少看到工程師類有女生來應徵資訊類
女生大多做的是比較需要心細的工作
例如行政職或稽核類型
我家的稽核也是女生 對資訊真的不懂
不過有一天也來威脅我 說他可以開我缺失單
但是她聽說就是證照很多
有興趣的話真的可以去朝向稽核面
把稽核類證照都考到 未來還是打趴工程師
至於資安 基本觀念懂就好 太精深的除了很大的公司 沒什麼需求的
開就開啊,只會開單不會修補有屁用啊。
聽過連root帳號都搞不清楚是什麼的稽核。
雖然說確實女生做資訊比較困難,但大部分還是要取決於是否有懂基本觀念,如果有的話會比較吃香些,畢竟我認為做稽核還是要有資訊底子會比較好些,不然連root帳號都不知道這種我也笑了
hsiang11
資安管理應該去走資安證照的路,未來有機會就可以跳去資安顧問或會計事務所公司.
這方向我確實有想過,但我還是覺得要有基本的資安技術認知會比較好,會在考量考證照的部分,畢竟有些稽核人員還是有工程師底子出來混的也很多
何必問
我們單位算是很常稽核吧!?
每年都會外部稽核至少二次(BSI跟ISO27001或金X會)
稽核很重視法規法條合規和補償性措施
這麼說不是硬推薦你往稽核方向發展
只是科技發展快速
所謂的資安技術已經是無極限
以個人觀點
我們可以多了解那些產品可以解決問題
哪些又欠缺合規的部分
常常顧問和稽核人員也是一語突破盲腸的提問
也是因為他們抓到管理重點
而非往技術層的牛角尖上琢磨(這是工程師的毛病吧..)
誠心建議
加入HITCON GIRLS社群
不必再來這裡了
這裡對妳沒有什麼幫助
離開之前
記得選我正解
參加 ISDA https://reg.isda.org.tw/
裡面的活動 很有趣 也會學到東西
先把這些都看完 (X
延伸閱讀:
題外話:
你知道今天是什麼日子嗎?
引用六角學院之言
#事實一
女性開發者寫的程式被接受率比男性高
#事實二
女性在學習上比男性有耐心且比較少出錯
#事實三
女性的合作、富同理心的特質有助於整體團隊合作
ISMS確實比較偏向管理面與檢測作業,依照您之前的經驗,走管理、稽核方向應該是比較游刃有餘,IT稽核師、資安稽核師其實也都是資安方向,未來當各項政策法規慢慢成熟,有經驗技術熟的稽核師絕對比紙上談兵的稽核師受歡迎。
基本上我是不推薦你考CISSP,因為感覺還沒有一個明確的方向想努力。既然你對系統架構維護比較有興趣,應該是偏向網管,可以學習一些網管的能力,不一定要考證照但是可以用證照當作學習方向。
難得有女生想跳IT這個火坑
個人覺得,【資訊安全】是一個宇宙,裡面有不同的世界,每個世界有自己的酸甜苦辣與進入門檻
問題反而是你想要去哪個世界?
技術這種東西,越多越好,越精越好
但我覺得,有些東西是基本功
OS(Win&Linux)、Networking(switching & routing )幾乎都會用到,就算只是基本瞭解也夠用(暫時)
至於其他的DB、Web、Wireless、VPN等等等,有機會也了解一下
之後再想對哪種技術比較有興趣,再去專精
不然就是先去小資安SI公司待個幾年,再看想走哪個方向
個人就是從資策會網工班畢業後進小資安SI公司,3年摸過幾十種不同面向的資安產品,摸到想死