實習 : KPMG 顧問部 實習生
#實習內容 #實習收穫 #改變 #KPMG #顧問
就這樣默默的做滿一年了,決定在離職前夕,默默坐在68樓把這一年做的事情整理出來並寫了這篇,當作一個完美結尾。
上半年已經寫過一篇了,所以這次就不寫上半年做了哪些事情了。
↓沒看過的可以看看這篇↓
答應續約的原因是覺得這裡還有很多我可以學習的地方,加上以為課業會越來越重,不想換環境,所以就留了下來。這後半年其實每周只進公司兩天,加上中間疫情影響又WFH一個多月,感覺很快地就過完這半年,認真數了一下,其實也才工作了35天左右。
在這篇文章中就來記錄一下我這35天做了哪些事情。
1. 把實習當研究所
在年初時就接了兩個研究任務
- 2019年底發布的NISTIR 8011 vol.4
- 2020年初發布的Mitre ATT&CK for ICS
這些都是最新國際資安相關的上百頁文件,內容從分析駭客入侵模式到資安控管,這對我來說根本就是新的世界,加上太新了根本沒有甚麼輔助資料可以閱讀,而且還要弄懂後再說明如何運用在公司現有服務中。
從完全不懂開始研究,去理解那些一句話有三行的原文文件,過程中還去問了一堆人討論報告內容實不實際,到最後和同事一起完成並報告給經理副總們聽,這些對我來說不會枯燥反而因為是新的知識因此還會有些興趣,加上報告會有反饋,反而更有成就感。
但是到真正碰到顧問業務內容時,就真的很無聊了。
像是ISO 20000的條文整理翻譯,協助顧問們透過這些條文去稽核客戶公司有沒有把資安作完善等等。我發現顧問們都要對這些東西很熟,這樣客戶在問他們如何籌備相關資料文件時才回答得出來。
上一篇有提到過自己很茫然不知道適不適合這領域工作,而在這段時間我似乎有點懂資安在幹嘛以及我們部門到底在做甚麼了。但是在完全沒技術的情況下,我要繼續留下的話感覺只能走管理面的資安控管,我自己也不知道我會不會喜歡這樣的工作內容。
結果馬上Mentor丟了六七篇關於利用AI去識別化的paper給我讀,於是乎,我的實習生活開始比我的研究所還要研究所。
去識別化是資安方面的技術甚至可以協助客戶處理敏感資料,而如何去識別就有很多的方法,而現在有很多利用機器學習去實現去識別化。
雖然讀完一知半解,但也因為讀了之後才會覺得在資訊領域沒有甚麼不想走AI就不會碰到AI的事情,因為技術都是相輔相成的,所以稍微對我學廣卻不深的狀況有點坦然了。
其實就算在管理為主的資安顧問還是需要這些新興技術輔助,就算偏管理但還是可以有非常重的技術背景的。
重點是,我讀的這些Paper在這學期修的課中直接解決了一堆期末Paper報告,一舉兩得。
後來我還整理成文章放在這裡 :https://medium.com/1205hsiao/paper-note/home
2. Cyber + Web
因為Mentor知道我想要多碰技術的東西,所以接下來的二十天左右,我被要求做了兩個輔助顧問的程式系統。一個是把去年閱讀的ISO 20K文件中的一些內容關聯起來弄成資料庫並透過網頁視覺化出來,於是我開始研究了一堆視覺化的方法,包含neo4J,Sigma.js,D3.js等等,加上是用以前完全沒碰過的Asp.net去架設,因此途中遇到很多問題卡關等等,而且只有Mentor可以問,所以真的是心蠻累的。
後來我個人覺得沒有很完善的狀況下被抓去到客戶公司Demo,但最後看起來是安全下莊了。
而最後一項任務是OWASP(Open Web Application Security Project)的實作,一樣利用Asp.net去實作OWASP裡面說的前十大資安風險,包含SQL injection、XSS等等,好讓顧問透過這些實作去展示網頁沒注重資安的嚴重性。
雖然這算是我唯一一個完整的系統專案了,但是心裡總是覺得我寫得很爛,所以我又在思考自己適合寫程式還是當顧問了,當然目前還是沒答案,但是在顧問的環境下倒是莫名地找到自己的志向。
我很希望我做的工作是可以make meaning,讓別人因為我做的事情而得到幫助,又加上資訊背景關係,就會想要去協助某些組織團體數位化,看到這次疫情政府用了很多科技輔助管理,就覺得這樣才是我想要的未來。
正巧我在的資安組很多客戶都是政府機關,加上最近政府資安越來越重要,真的覺得這裡似乎有點符合我志向,但仔細看工作內容成就感又沒有那麼大,所以還需要多探索探索。
最後,我真的覺得很幸運第一次實習就能夠到這樣的環境工作,不僅是同事還是主管都非常親切,有時候還在會議室用氣炸鍋烤香腸煎牛排,都不怕警報器響起來,而且動不動就請吃東西,很多食物我都是在這裡第一次吃到,像鼎泰豐跟一些出差帶回來的國外名產,另外還有有名的春捲、天使雞排、阜杭豆漿等等一堆。
雖然顧問或主管們常常不在公司,但是對實習生都是抱持著培養的心態來教導,不管這些實習生是不是會轉正,都會在一次次會議當中把他們的心路歷程或者知識技巧教給我們。
尤其是我的Mentor。
我覺得我的福報都是一次砸下去的,上一次福報砸在系上尾牙抽Iphone上,中間累積三年後再砸到我的職場上。在去年畢業後對於職涯的茫然,到現在面臨論文壓力,Mentor都一直給我不同的意見,知道我想要繼續碰coding,技術出生的他就讓我做了資安相關的網站系統;知道我對職涯方向的猶豫不決,也跟我說了很多過來人的心路歷程。
Mnetor曾經說 : 與其在大海裡茫然亂游,不如站在高山上看遠方哪裡有黃金。你看這裡,夠高了吧。
我 : (往窗外看)摁,真的很高。
但是我最終還是決定離開這裡,到別的地方像是新加坡拓展視野並接觸更多東西,如果有一天我回到KPMG,我猜那時候的第一個理由就是因為有Mentor在。
我不確定其他人心目中的好Mentor是甚麼模樣,但我想我已經遇到了。
