Re: [請益] 資安工程師在台灣的前景？

DrTech 發表於 2023/9/27 下午11:07:25

看板Tech_Job標題Re: [請益] 資安工程師在台灣的前景？作者

(竹科管理處網軍研發人員)時間Sep 27 23:07:25 2023推噓15 推:16 噓:1 →:26

※ 引述《away1225 (空飛牙)》之銘言：
: 小弟讀的是一個未來不知道幹嘛的文組科系
: 大概在去年我就發現了科系相關的工作沒前途的事實，於是在家人跟師長的建議下去巨匠: 補了網路管理相關的課程但隨著接觸越深，開始對資訊安全有些興趣，也做了一些功課了: 解資安工作與網管的差異，在104也發現普通網管的薪資其實跟其他產業的一般職位差別: 不會太大，資安相對薪資待遇更好、能應徵的工作更廣
: 我知道資安需要的硬實力要求肯定比較高，想問資安這塊是不是真的值得我再多花一點時: 間跟錢好好學，或是有沒有更好的路可以走？想知道版上各位大大的看法，謝謝!

這可以講很多面，簡單說解決資安問題最符合成本效益的方式，就是工作流程的改變。而不是靠什麼高科技技術。

以身份驗證 Authentication 來說:
外行人：要學密碼學。
實際：限制使用者密碼長度，複雜度，簡單有效。強制定期更改密碼，簡單省錢又有效。還不夠安全，就上多因子驗證。
多次驗証只有你知道的機密，簡單便宜有效。

以權限管理 Authorization 來說 :
外行人：要學很多 access control，zero-trust
實際：需要資訊安全的地方，先把所有權限都關了，慢慢申請。簡單有效。

以資料完整性來說 Integrity：
學術界：一堆新演算法，特殊場景的protocal
實際：你研發的演算法，不是國際標準，根本不合規，誰知道有沒有暗藏什麼黑箱或漏洞。所以直接用便宜免費的國際標準做法，反而是最好的做法。

以入侵恐嚇來說：
理想：找專家來解決根因
實際：報警請免費的人來調查。

以竊取企業資料來說：
理想：裝最先進的DLP，例如把公司所有檔案加密，監控員工電腦所有行為。
實際：zip檔，pdf檔加密，便宜有效。

以code security 來說：
教科書：一堆injection, buffer overflow
實際：這幾年新的開發工具，自動防範Injection

所以在資安領域，正確的流程，一直都比技術重要。而這些流程，經過幾十年來，都形成了固定的招式，甚至一堆國際標準，例如最基本的：
ISO 27001，BS7799。比較大的公司都會定期請"顧問"導入一堆資安流程。

因為政府的標案標案，以及政府的法律規定特殊產業，金融，軍事，公營，財團法人，都必須符合國際資安標準流程。且定"期驗"證。

所以在台灣唯一穩定賺錢，永遠被法律保護賺錢的產業，就是資安顧問業。專門導入資安流程與解決方案的顧問業。

專門賺這種錢的有：
國外顧問業，例如IBM，做金融產業比較多
國內資訊服務業：上市櫃那幾家，以及自己出來開公司的一些老人。最政府案子比較多。顧問業：例如常說的四大會計師事務所。政府金融都做。
財團法人：財團法人的一些組，有時也會接案去做政府的資安政策技術制定。(也是偏向顧問，而非技術研發)，早期資策會那一票人，都做到當官了。

政府與金融業要導入流程，
可能需要要採購資安軟硬體設備，通常都是買國外大牌子，因此賺錢的是代理商，或原廠。像趨勢就主要是賺這種To B客戶的錢。穩定，但吃不飽。

資安軟硬體國外品牌設備代理商或原廠雖然有工程師，但是只要熟自己產品就好，不用太懂技術底層，也不用開發資安產品。

台灣資安產業，穩定賺錢的剩下顧問業了。
而且其實餅還蠻大的，這幾年政府大灑錢，我認識的一堆人又升官了。

資安顧問要賺錢，有人要高薪聘你，考證照只是基本。到最後可能不是你技術要有多強，而是你"有經驗，有人脈，有關係"，能搞定政府流程與金融法規流程而已。

簡單說台灣資安產業，整體不是靠 "技術研發"賺錢，要走就走流程導入的顧問業，可以穩定吃飯一輩子。
比較知名那幾家，很挑學校名稱，吃績效分紅的，碩士畢業很快可破百，5年後年薪大概在150左右。但成長到200左右，要突破就要去混產官學關係了。

※ PTT 留言評論

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.73.200.125 (臺灣)

※ PTT 網址

推

dildoe 09/27 23:57政策推動需求阿，靠對的人推動政策阿，這很管理阿XD

推

jamo 09/28 00:05你講的這些賺錢路子,都不是一個連資安前景都要上網

→

jamo 09/28 00:05問的人,能走的路子~

推

Brioni 09/28 00:15等於是說最賺錢的那塊就靠嘴、靠關係

推

Brioni 09/28 00:18原po想當的工程師恐怕就是吃屑屑

→

VSshow 09/28 01:12懂資安可以做駭客嗎？

推

luweber88 09/28 01:33不會駭客算懂資安？

→

BoXeX 09/28 03:21沒在管 zero-trust 只能說你們資料還沒那麼有價值

→

BoXeX 09/28 03:23真的有價值的資料駭客是願意花好幾個月慢慢提權

推

Kimheeche 09/28 03:27確實剛畢業破百，150 6左右就一個檻，200要靠升上st

→

BoXeX 09/28 03:27你這帳號沒權限那就想辦法搞到有權限的帳號就好

→

Kimheeche 09/28 03:27aff。阿不過直接進的了美商就250起跳惹

→

BoXeX 09/28 03:30所以才需要 zero-trust，把內網電腦當外網防

→

snoopy79042809/28 04:10普通人都馬資安操作員跟網管沒兩樣

推

zaiter 09/28 07:21基本上看資安部是誰在搞如果是公司it 技術底就還可

→

zaiter 09/28 07:21以不是找文科來搞就是做做樣子要跟政府騙錢有做資

→

zaiter 09/28 07:21安給個交代的

推

butt1106 09/28 07:50那幾家會計事務所啊，垃圾，弄幾個給你掃描完就結束

→

BoXeX 09/28 08:28就買現成的弱點掃描工具然後就開始賺錢啊

→

BoXeX 09/28 08:29你公司真的重視資安會找有駭客能力的來打

→

BoXeX 09/28 08:29而不是這篇所說的那些靠關係仔

噓

yytseng 09/28 08:46力旺做的不是資安

推

InfinitySA 09/28 09:32密碼學數學這種其實是要研究資安措施的架構的

→

InfinitySA 09/28 09:32要用其實不太需要學

推

lantimes 09/28 09:36調查局前陣子不是po文徵人

推

sonia1011 09/28 11:58推這篇

推

suckKobe 09/28 12:16推分享

推

aegis91086 09/28 12:24推分享

推

gotozzz 09/28 12:35推

→

water7278 09/28 12:41流程導入的顧問業是指四大輔導iso或pcidss這類嗎？

→

water7278 09/28 12:41如果是的話這路線應該是最血海也最沒成長性的路線

→

water7278 09/28 12:41一堆知其然而不知其所以然的資安管理顧問

→

scott260202 09/28 13:23這就是為什麼台灣一堆亂搞的顧問

→

scott260202 09/28 13:24目地不是資安，是過27001

→

scott260202 09/28 13:24然後還是被攻擊成功

推

wwndbk 09/28 17:32protocol

推

germun 09/28 22:56這篇就說明了為什麼台灣資安這麼鳥 XDDDD

→

BoXeX 09/29 01:53這篇拿來應付老闆還行啦反正老闆不願意投資就這樣

→

yunf 09/29 19:51拿來唬唬文組的差不多

→

yunf 09/29 19:54上次那個分享駭客講解的也是被我找到破綻

→

yunf 09/29 19:56看看這裡有多少宅

→

yunf 09/29 19:56要講一個讓大家都服氣的說法真的不容易

→

yunf 09/29 19:58真的有實力的人誰跟你在拿200k?

同系列文章

[請益] 資安工程師在台灣的前景？

其他人也閱讀了

PTT 熱門相關