Re: [請益] 27歲想轉換跑道到資安

※ 引述《yukimatoi (纏)》之銘言：
: 今年27歲 過去三年都在寫C++ Qt
: 主軸雖然是C++ 不過其他語言跟開發環境都有經驗
: 寫過Javascript跟SQL、Python
: 雖然平時用VS開發 但建置也懂自己撰寫CMake
: 也曾經porting程式到到linux上跨平台開發
: 今年下班自己進修 一直好奇駭客是怎麼入侵電腦的(因為有好友問如何防止網站被入侵): 於是自己註冊了VHL 下班抽空摸一摸自學
: 課程雖然沒有到exploit development
: 但算是有過過水體驗整個流程(我看reddit的評價, vhl的難度與oscp相比還是較低的): 在思索要不要轉換跑道到資安 拼一張OSCP 主要考量的
: 樂觀
: 1. 近年政府對資訊科技的重視遠高於以往
: 也許未來企業組織資安職缺會變多 (個人主觀臆測)
: 2. 大專院校的課程安排著重在開發 對資安實務著墨較少
: 人才競爭相較不激烈
: 悲觀
: 1. 重新累積資歷, 薪水仍停留在畢業生階段
: 2. 對資安從業環境過於樂觀, 發展性不足或進去在作MIS的業務無法獲得提升
: 不知道是否有資安從業的板友願意分享或給給建議
: 非常感謝

講點現實的情況
台灣的資安職缺
資安管理>=純資安防護>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>滲透測試>>>>>>逆向工程

資安管理就是建立ISMS的那套流程
寫四階文件、資安稽核、做資安教育訓練等等
政府因為前幾年有通過資通安全管理法
所以會要求很多公家單位和關鍵基礎設施的行業(例如：金融業、電信業、醫院...)
都要取得ISO 27001的認證
需求量就會相對來說比較多

資安防護就是Blue team
我會加"純"是因為通常也只有金融業會有獨立的資安部門(像推文有人說的SOC和SIEM就是)不然不管是科技廠或其他類型的甲方公司通常都是由網管或系統工程師兼任

至於滲透測試和逆向工程除非是強者
不然實在是不建議往這個方向
職缺數量完全比不上開發和維運
公司徵人要求的門檻也不低

和開發相比又難入門
要當軟體工程師只要把學校教的程式和資料結構學好
就有一堆工作給你選了

想要當個Penetration tester
即便我把學校教的資訊安全概論和網路概論念熟
也有利用Kali Linux內的工具實作練習
去面試也是被問倒
書本裡可能會教你滲透測試的工具怎麼使用、和背後的原理
但是卻很少會告訴你入侵系統的思路是如何

--