背景
我在110年畢業時考上台科資管所,畢業前修完了資安學分學程,也確立想往資安發展,但資安這個領域,或許容易把許多攻擊原理說的頭頭是道,但實務上怎麼利用漏洞、企業網路架構配置、有什麼防護手段等等我其實完全沒概念,所以當時決定去業界接觸一陣子。
我在系統廠資安團隊跟事務所顧問之間選擇,最後選擇能接觸許多資安面向的事務所顧問。
剛開始工作覺得震憾很大,大學期間修的網路概論都是理論,進公司就真的溝通都圍繞在IP、防火牆、NAS等實際應用,如果大學期間沒有在公司實習或在計中工作過,真的會有一段陣痛期,但同時也有很大的進步幅度。
我有接觸到的業務包含了:
- APP資安檢測(Android)
- 資安評估案(弱點掃描)
- 社交工程
- 滲透測試
APP資安檢測
剛進到公司沒多久就被要求要通過APP檢測考核,針對Android的一支APP,使用「行動應用App基本資安檢測基準V3.1」此基準來檢測APP。通過考核後才能正式檢測客戶的APP,以及進入公司的檢測實驗室。公司APP檢測的教育訓練其實很完備,有教學影片和其他人做的報告可以參考,而且因為有明確的檢測規範,所以其實只要照著做就可以上手。
雖然只是照著基準在檢測,但其實過程中蠻需要大量檢測經驗,還有對網路連線、系統的熟悉才能做出好的判斷,不過這方面都可以直接請教資深同事的。老實說不需要會寫程式也能檢測,只要使用工具,並且有點基礎的網路觀念就能開始學習入門。反而是後續實際跟對接窗口的應對比較需要學習,畢竟客戶才是最後決定結案的人。
需要用到的能力包含:linux指令、封包監控(burp suite, wireshark)、檢測工具(sslscan, mobsf, OWASP ZAP, Frida)、簡單的trace code(檢查權限、hard code等等)、寫報告。
資安評估
剛進公司沒多久剛好有機會讓主管帶我去某間科技公司做訪談,首次去拜訪客戶真的對我是個衝擊,一切都是真槍實彈,並不會因為你是剛畢業就有做錯事的藉口。我在一旁看著主管表演,佩服得五體投地。進度規劃、如何講出客戶會在意的痛點,還有資安法規的熟悉等,都不是一簇可幾,需要靠大量專案經驗才能熟悉。
同時資安評估我認為是非技術入門者最適合的一條路,透過訪談可以了解公司的防護措施,還需要了解資安的法規和一點技術檢測如弱點掃描。對於資安會有很全面的認識,資安領域很廣泛,可以日後再選擇特定領域發展。
資安評估也是最容易去國外出差的業務!
在我進來兩個月後也接到一個新任務:銀行ATM資安檢測。
衣著西裝穿梭在台北市的各個銀行,頂著顧問的光環下指導棋,的確是吸引許多人的羨慕。身為剛畢業的新人,就因為穿著西裝而受到銀行行員跟警衛的禮遇也是啞口無言。但做的事其實沒什麼技術性,一樣是照著SOP做檢測,然後寫一堆文件。甚至同行的工程師問起你的薪水,你也只能苦笑地回答還可以。
跑了近十家的分行,跟不同的ATM專責人員聊天,據說是偏菜的人才會被分配到,甚至有遇到跟我一樣剛畢業的新人,一同抒發初出社會的感慨。有次遇到某分行的襄理不停建議我可以去轉考他們銀行,還有個主管一直打聽我的學歷跟目標,彷彿在做身家調查,遇到許多有趣可愛的人。
在不同分行之間移動都是透過計程車,基本上都能報公帳,午休時間我都會在當地尋找咖啡廳,享受著台北的繁榮。
需要用到的能力包含:廣泛的網路、資安知識、弱點掃描工具(Nessus)、專案管理、寫報告。
社交工程
社交工程就是透過「社交」的手段,去騙取他人重要資料,或者埋入後門。實務上常見就是使用釣魚信件,不需要太高深的技巧也能駭入目標公司,畢竟「人」通常是資安最脆弱的一環。因此定期的教育訓練非常重要,許多公司會定期找公司合作,寄出偽造的釣魚信(無害)給自己的員工,這個工作就需要跟上時事,建立一個能吸引人點擊的信件。
製作釣魚信件也可以看到大眾對什麼有興趣,常用軟體、網站的優惠券、免費容量、特價資訊都是很常騙到人的案例,代表大家都很貪小便宜?只能說需要利用人性的弱點。建議打開不明的信件前先確定來源信箱可不可信,logo、名稱與正版的有沒有不同,不點擊奇怪的連結或附件。
如果不確定,就不要點擊。easy peasy
社交工程的工作也很容易被告XD,尤其在疫情肆虐期間,如果有誤導的情況發生,是會有法律上的責任的。
需要用到的能力包含:創意、人性觀察。
滲透測試
滲透測試是透過模擬駭客的手法與思維,檢測對外開放的系統或網站,找出是否有漏洞、弱點、不符合資安規範等的設定。滲透測試是有方法論的,只不過網站有百百種,檢測途中使用的工具也會依據檢測人員習慣有所不同,所以很難統一有個固定的做法,但大方向是有明確目標的。不像APP資安檢測有個基準可以追隨,所以更需要時常請教資深同事、Google漏洞的影響程度,才能寫出一份合格的報告。
我自己是使用PTS,Penetration Testing Student這個INE網站上的免費課程來學習,上完課程後可以去準備eJPT這張證照(但我不想花錢考)。其實一位合格的滲透測試者需要花許多時間入門,才有資格檢測,我在上完PTS課程後才有一點點基礎可以做事,而且頂多做複測,完整的檢測老實說我還不夠格,給滲透的同事大師們一個respect。
不過滲透測試的職缺應該是不多,學生常接觸到的資安活動如CTF,各種競賽常面臨了畢業後有一身武功卻找不到相關工作,甚至最後回鍋當碼農,離開資安產業。有可能是工作缺額少,也可能是薪水不滿意。我想除了接觸有興趣的內容外,也需要時常了解業界的趨勢,持續累積公司想要的技術和特質,才不會在人力市場落了下風。
需要用到的能力包含:太多了,CS的全部科目吧。
顧問嘴
身為顧問,工作就是向客戶提供專業的服務,比起硬實力,更需要溝通交際的能力。
因此顧問的人格特質比起專業能力來說,更是重中之重。顧問若專業知識不足,其實是可以用技巧避掉的:唬爛+虛無飄渺的保證+堅定的自信,客戶是有可能被一路呼嚨到結案。假設遇到實際需要技術解決的難關,通常也會以超出專案的範圍來搪塞。
除去專業知識外,最大的收穫就是比起大學時更能分辨出誰在說空話、誰真的在解決問題、我要怎麼應對客戶,這些技能統整起來甚至被戲稱為顧問嘴,我想各行各業都需要這樣的能力,只不過在顧問業特別常見罷了。
雖然對顧問嘴聽起來抱怨居多,但依舊有遇到許多讓我佩服的顧問們。好的顧問除了能站在客戶的角度提供意見,並能做出專業上的高度。有人是利用閒暇時間考證照,有人打靶機練習資安的實務經驗、有人花時間熟悉資安各面向的業務。需要這些有熱情的顧問們讓資安圈更多元,也提供後輩更多可以參考的路線。