作者 DrTech (竹科管理處網軍研發人員)標題 Re: [請益] 資安工程師在台灣的前景?時間 Wed Sep 27 23:07:25 2023
※ 引述《away1225 (空飛牙)》之銘言:
: 小弟讀的是一個未來不知道幹嘛的文組科系
: 大概在去年我就發現了科系相關的工作沒前途的事實,於是在家人跟師長的建議下去巨匠
: 補了網路管理相關的課程但隨著接觸越深,開始對資訊安全有些興趣,也做了一些功課了
: 解資安工作與網管的差異,在104也發現普通網管的薪資其實跟其他產業的一般職位差別
: 不會太大,資安相對薪資待遇更好、能應徵的工作更廣
: 我知道資安需要的硬實力要求肯定比較高,想問資安這塊是不是真的值得我再多花一點時
: 間跟錢好好學,或是有沒有更好的路可以走?想知道版上各位大大的看法,謝謝!
這可以講很多面,簡單說解決資安問題最符合成本效益的方式,就是工作流程的改變。而不是靠什麼高科技技術。
以 身份驗證 Authentication 來說:
外行人:要學密碼學。
實際: 限制使用者密碼長度,複雜度,簡單有效。強制定期更改密碼,簡單省錢又有效。
還不夠安全,就上多因子驗證。
多次驗証只有你知道的機密,簡單便宜有效。
以 權限管理 Authorization 來說 :
外行人:要學很多 access control,zero-trust
實際:需要資訊安全的地方,先把所有權限都關了,慢慢申請。簡單有效。
以資料完整性來說 Integrity:
學術界:一堆新演算法,特殊場景的protocal
實際:你研發的演算法,不是國際標準,根本不合規,誰知道有沒有暗藏什麼黑箱或漏洞。所以直接用便宜免費的國際標準做法,反而是最好的做法。
以入侵恐嚇來說:
理想:找專家來解決根因
實際:報警請免費的人來調查。
以竊取企業資料來說:
理想:裝最先進的DLP,例如把公司所有檔案加密,監控員工電腦所有行為。
實際:zip檔,pdf檔加密,便宜有效。
以code security 來說:
教科書:一堆injection, buffer overflow
實際:這幾年新的開發工具,自動防範Injection
所以在資安領域,正確的流程,一直都比技術重要。而這些流程,經過幾十年來,都形成了固定的招式,甚至一堆國際標準,例如最基本的:
ISO 27001,BS7799。 比較大的公司都會定期請"顧問"導入一堆資安流程。
因為政府的標案標案,以及政府的法律規定特殊產業,金融,軍事,公營,財團法人,都必須符合國際資安標準流程。且定"期驗"證。
所以在台灣唯一穩定賺錢,永遠被法律保護賺錢的產業,就是資安顧問業。專門導入資安流程與解決方案的顧問業。
專門賺這種錢的有:
國外顧問業,例如IBM,做金融產業比較多
國內資訊服務業:上市櫃那幾家,以及自己出來開公司的一些老人。最政府案子比較多。
顧問業:例如常說的四大會計師事務所。政府金融都做。
財團法人:財團法人的一些組,有時也會接案去做政府的資安政策技術制定。(也是偏向顧問,而非技術研發),早期資策會那一票人,都做到當官了。
政府與金融業要導入流程,
可能需要要採購資安軟硬體設備,通常都是買國外大牌子,因此賺錢的是代理商,或原廠。
像趨勢就主要是賺這種To B客戶的錢。穩定,但吃不飽。
資安軟硬體國外品牌設備代理商或原廠雖然有工程師,但是只要熟自己產品就好,不用太懂技術底層,也不用開發資安產品。
台灣資安產業,穩定賺錢的剩下顧問業了。
而且其實餅還蠻大的,這幾年政府大灑錢,我認識的一堆人又升官了。
資安顧問要賺錢,有人要高薪聘你,考證照只是基本。到最後可能不是你技術要有多強,而是你"有經驗,有人脈,有關係",能搞定政府流程與金融法規流程而已。
簡單說台灣資安產業,整體不是靠 "技術研發"賺錢,要走就走流程導入的顧問業,可以穩定吃飯一輩子。
比較知名那幾家,很挑學校名稱,吃績效分紅的,碩士畢業很快可破百,5年後年薪大概在150左右。但成長到200左右,要突破就要去混產官學關係了。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.73.200.125 (臺灣)
※ 作者: DrTech 2023-09-27 23:07:25
※ 文章代碼(AID): #1b54KlF6 (Tech_Job)
※ 文章網址: https://www.ptt.cc/bbs/Tech_Job/M.1695827247.A.3C6.html
※ 同主題文章:
Re: [請益] 資安工程師在台灣的前景?
09-27 23:07 DrTech
推 dildoe: 政策推動需求阿,靠對的人推動政策阿,這很管理阿XD1F 09/27 23:57
推 jamo: 你講的這些賺錢路子,都不是一個連資安前景都要上網問的人,能走的路子~2F 09/28 00:05
推 Brioni: 等於是說最賺錢的那塊就靠嘴、靠關係
原po想當的工程師恐怕就是吃屑屑4F 09/28 00:15
→ VSshow: 懂資安可以做駭客嗎?6F 09/28 01:12
→ BoXeX: 沒在管 zero-trust 只能說你們資料還沒那麼有價值真的有價值的資料 駭客是願意花好幾個月慢慢提權8F 09/28 03:21
推 Kimheeche: 確實剛畢業破百,150 6左右就一個檻,200要靠升上st10F 09/28 03:27
→ BoXeX: 你這帳號沒權限 那就想辦法搞到有權限的帳號就好11F 09/28 03:27
→ Kimheeche: aff。阿不過直接進的了美商就250起跳惹12F 09/28 03:27
→ BoXeX: 所以才需要 zero-trust,把內網電腦當外網防13F 09/28 03:30
→ zaiter …
推 zaiter: 基本上看資安部是誰在搞 如果是公司it 技術底就還可15F 09/28 07:21
→ zaiter: 以 不是找文科來搞就是做做樣子要跟政府騙錢有做資
→ zaiter: 安給個交代的
推 butt1106: 那幾家會計事務所啊,垃圾,弄幾個給你掃描完就結束18F 09/28 07:50
→ BoXeX: 就買現成的弱點掃描工具 然後就開始賺錢啊
你公司真的重視資安 會找有駭客能力的來打
而不是這篇所說的那些靠關係仔19F 09/28 08:28
推 InfinitySA: 密碼學 數學 這種其實是要研究資安措施的架構的
要用 其實不太需要學23F 09/28 09:32
推 lantimes: 調查局 前陣子不是po文徵人25F 09/28 09:36
→ water7278: 流程導入的顧問業是指四大輔導iso或pcidss這類嗎?如果是的話這路線應該是最血海也最沒成長性的路線一堆知其然而不知其所以然的資安管理顧問30F 09/28 12:41
→ scott260202: 這就是為什麼台灣一堆亂搞的顧問
目地不是資安,是過27001
然後還是被攻擊成功33F 09/28 13:23
推 wwndbk: protocol36F 09/28 17:32
推 germun: 這篇就說明了為什麼台灣資安這麼鳥 XDDDD37F 09/28 22:56
--