PTT評價

Re: [請益] 資安工程師在台灣的前景?

看板Tech_Job標題Re: [請益] 資安工程師在台灣的前景?作者
DrTech
(竹科管理處網軍研發人員)
時間推噓15 推:16 噓:1 →:26

※ 引述《away1225 (空飛牙)》之銘言:
: 小弟讀的是一個未來不知道幹嘛的文組科系
: 大概在去年我就發現了科系相關的工作沒前途的事實,於是在家人跟師長的建議下去巨匠: 補了網路管理相關的課程但隨著接觸越深,開始對資訊安全有些興趣,也做了一些功課了: 解資安工作與網管的差異,在104也發現普通網管的薪資其實跟其他產業的一般職位差別: 不會太大,資安相對薪資待遇更好、能應徵的工作更廣
: 我知道資安需要的硬實力要求肯定比較高,想問資安這塊是不是真的值得我再多花一點時: 間跟錢好好學,或是有沒有更好的路可以走?想知道版上各位大大的看法,謝謝!

這可以講很多面,簡單說解決資安問題最符合成本效益的方式,就是工作流程的改變。而不是靠什麼高科技技術。

以 身份驗證 Authentication 來說:
外行人:要學密碼學。
實際: 限制使用者密碼長度,複雜度,簡單有效。強制定期更改密碼,簡單省錢又有效。還不夠安全,就上多因子驗證。
多次驗証只有你知道的機密,簡單便宜有效。

以 權限管理 Authorization 來說 :
外行人:要學很多 access control,zero-trust
實際:需要資訊安全的地方,先把所有權限都關了,慢慢申請。簡單有效。

以資料完整性來說 Integrity:
學術界:一堆新演算法,特殊場景的protocal
實際:你研發的演算法,不是國際標準,根本不合規,誰知道有沒有暗藏什麼黑箱或漏洞。所以直接用便宜免費的國際標準做法,反而是最好的做法。


以入侵恐嚇來說:
理想:找專家來解決根因
實際:報警請免費的人來調查。

以竊取企業資料來說:
理想:裝最先進的DLP,例如把公司所有檔案加密,監控員工電腦所有行為。
實際:zip檔,pdf檔加密,便宜有效。

以code security 來說:
教科書:一堆injection, buffer overflow
實際:這幾年新的開發工具,自動防範Injection


所以在資安領域,正確的流程,一直都比技術重要。而這些流程,經過幾十年來,都形成了固定的招式,甚至一堆國際標準,例如最基本的:
ISO 27001,BS7799。 比較大的公司都會定期請"顧問"導入一堆資安流程。

因為政府的標案標案,以及政府的法律規定特殊產業,金融,軍事,公營,財團法人,都必須符合國際資安標準流程。且定"期驗"證。

所以在台灣唯一穩定賺錢,永遠被法律保護賺錢的產業,就是資安顧問業。專門導入資安流程與解決方案的顧問業。

專門賺這種錢的有:
國外顧問業,例如IBM,做金融產業比較多
國內資訊服務業:上市櫃那幾家,以及自己出來開公司的一些老人。最政府案子比較多。顧問業:例如常說的四大會計師事務所。政府金融都做。
財團法人:財團法人的一些組,有時也會接案去做政府的資安政策技術制定。(也是偏向顧問,而非技術研發),早期資策會那一票人,都做到當官了。


政府與金融業要導入流程,
可能需要要採購資安軟硬體設備,通常都是買國外大牌子,因此賺錢的是代理商,或原廠。像趨勢就主要是賺這種To B客戶的錢。穩定,但吃不飽。

資安軟硬體國外品牌設備代理商或原廠雖然有工程師,但是只要熟自己產品就好,不用太懂技術底層,也不用開發資安產品。

台灣資安產業,穩定賺錢的剩下顧問業了。
而且其實餅還蠻大的,這幾年政府大灑錢,我認識的一堆人又升官了。

資安顧問要賺錢,有人要高薪聘你,考證照只是基本。到最後可能不是你技術要有多強,而是你"有經驗,有人脈,有關係",能搞定政府流程與金融法規流程而已。


簡單說台灣資安產業,整體不是靠 "技術研發"賺錢,要走就走流程導入的顧問業,可以穩定吃飯一輩子。
比較知名那幾家,很挑學校名稱,吃績效分紅的,碩士畢業很快可破百,5年後年薪大概在150左右。但成長到200左右,要突破就要去混產官學關係了。



--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.73.200.125 (臺灣)
PTT 網址

dildoe 09/27 23:57政策推動需求阿,靠對的人推動政策阿,這很管理阿XD

jamo 09/28 00:05你講的這些賺錢路子,都不是一個連資安前景都要上網

jamo 09/28 00:05問的人,能走的路子~

Brioni 09/28 00:15等於是說最賺錢的那塊就靠嘴、靠關係

Brioni 09/28 00:18原po想當的工程師恐怕就是吃屑屑

VSshow 09/28 01:12懂資安可以做駭客嗎?

luweber88 09/28 01:33不會駭客算懂資安?

BoXeX 09/28 03:21沒在管 zero-trust 只能說你們資料還沒那麼有價值

BoXeX 09/28 03:23真的有價值的資料 駭客是願意花好幾個月慢慢提權

Kimheeche 09/28 03:27確實剛畢業破百,150 6左右就一個檻,200要靠升上st

BoXeX 09/28 03:27你這帳號沒權限 那就想辦法搞到有權限的帳號就好

Kimheeche 09/28 03:27aff。阿不過直接進的了美商就250起跳惹

BoXeX 09/28 03:30所以才需要 zero-trust,把內網電腦當外網防

snoopy79042809/28 04:10普通人都馬資安操作員 跟網管沒兩樣

zaiter 09/28 07:21基本上看資安部是誰在搞 如果是公司it 技術底就還可

zaiter 09/28 07:21以 不是找文科來搞就是做做樣子要跟政府騙錢有做資

zaiter 09/28 07:21安給個交代的

butt1106 09/28 07:50那幾家會計事務所啊,垃圾,弄幾個給你掃描完就結束

BoXeX 09/28 08:28就買現成的弱點掃描工具 然後就開始賺錢啊

BoXeX 09/28 08:29你公司真的重視資安 會找有駭客能力的來打

BoXeX 09/28 08:29而不是這篇所說的那些靠關係仔

yytseng 09/28 08:46力旺做的不是資安

InfinitySA 09/28 09:32密碼學 數學 這種其實是要研究資安措施的架構的

InfinitySA 09/28 09:32要用 其實不太需要學

lantimes 09/28 09:36調查局 前陣子不是po文徵人

sonia1011 09/28 11:58推這篇

suckKobe 09/28 12:16推分享

aegis91086 09/28 12:24推分享

gotozzz 09/28 12:35

water7278 09/28 12:41流程導入的顧問業是指四大輔導iso或pcidss這類嗎?

water7278 09/28 12:41如果是的話這路線應該是最血海也最沒成長性的路線

water7278 09/28 12:41一堆知其然而不知其所以然的資安管理顧問

scott260202 09/28 13:23這就是為什麼台灣一堆亂搞的顧問

scott260202 09/28 13:24目地不是資安,是過27001

scott260202 09/28 13:24然後還是被攻擊成功

wwndbk 09/28 17:32protocol

germun 09/28 22:56這篇就說明了為什麼台灣資安這麼鳥 XDDDD

BoXeX 09/29 01:53這篇拿來應付老闆還行啦 反正老闆不願意投資就這樣

yunf 09/29 19:51拿來唬唬文組的差不多

yunf 09/29 19:54上次那個分享駭客講解的也是被我找到破綻

yunf 09/29 19:56看看這裡有多少宅

yunf 09/29 19:56要講一個讓大家都服氣的說法真的不容易

yunf 09/29 19:58真的有實力的人誰跟你在拿200k?