2023年8月23日 星期三

資安初學者的學習資源與職業道路


隨著數位科技持續發展,企業極需網路安全專業人員來做弱點測試,加強企業安全防護,道德駭客的需求量也大增。需要什麼技能才成為一名道德駭客?有沒有適合初學者的駭客課程呢?哪裡有免費的學習資源?本文提供對於考慮朝道德駭客發展職業生涯的人各種進修建議。


駭客VS道德駭客

駭客主要的動機是『惡意意圖』(如造成破壞或竊取資料),道德(白帽)駭客則是採用駭客思維,模擬真實世界的網路攻擊,探測目標的防禦系統是否存在安全漏洞。

駭客和道德駭客的區別在於執行者的意圖和合法性。道德駭客在發動攻擊之前從目標獲得許可,遵守法律界限。

推薦道德駭客初學者必學的核心技能

想成為道德駭客,建議先掌握以下的基本技能:

網路:道德駭客需要熟悉電腦網路協定和架構,以便分析網路流量並識別潛在的入口,包括對TCP/IP、DNS、路由和子網的熟練掌握(這是加分優勢)

作業系統:道德駭客需要深入了解最常見的作業系統:Windows、macOS和Linux,能識別每個系統的獨特漏洞並利用配置錯誤。

程式語言和腳本編寫:道德駭客通常會使用多種不同的程式語言和腳本語言來自動執行任務或掃描漏洞。包括C/C++、Java、Python或Bash(這是加分優勢)

Web應用程式:專門從事網路應用程式的道德駭客必須熟悉HTML、CSS、JavaScript等技術與各種網路框架,以及了解常見的Web漏洞,如SQL隱碼攻擊(SQL Injection)、跨站腳本攻擊(XSS)和IDOR漏洞(這是加分優勢)

解決問題的能力和分析思維:道德駭客領域需要強大的問題解決和分析能力,快速發現漏洞,了解如何利用它們,並進行批判性和創造性的思考。

溝通:攻擊完成後,道德駭客需要向受測目標報告他們的發現,提供漏洞的訊息以及如何解決漏洞的建議,並與非技術決策者(例如經理和高階主管)進行有效溝通。

給初學者的免費道德駭客課程

EC-Council的E|HE是一門免費的道德駭客課程,帶您無痛入門網路安全領域。

E|HE課程適合各年齡層,從學生到職業人士皆可適用,課程會傳授道德駭客和滲透測試的關鍵基礎知識。學成您將會識別威脅和漏洞、密碼破解、Web應用程式攻擊、物聯網(IoT)攻擊、雲端計算等IT安全概念。

E|HE課程中有12個Module,包含15小時的影片以及11個實作,你將可以一探道德駭客的大門。

認證道德駭客課程CEH

EC-Council的CEH是全球業界認可、知名度最高的道德駭客認證。CEH課程包括20個Module,涵蓋各種技術、策略,為您提供了資安領域的核心知識。

五天課程中教導您基礎知識和實際應用,熟悉操作系統、漏洞、工具和技術。

■ CEH考試包含125題,考試時間為4小時。

 CEH Practical則是6個小時的進階實作考試,比起CEH更能夠直接測試考生在漏洞檢測、SQL隱碼攻擊、加密和無線加密等技術方面的能力,並對20個真實場景進行實際操作。


道德駭客的最佳職業道路

學習道德駭客的專業技能,職涯道路選擇很多,可參考以下幾種職位:

滲透測試:滲透測試模擬對電腦、網路或應用程式進行攻擊,識別漏洞。對IT環境進行全面的評估審核,並提供改進建議。推薦課程:

CompTIA PenTest+滲透測試和漏洞管理國際認證班

EC-Council CPENT滲透測試專家認證課程


安全分析師:安全分析師監控並分析IT系統、網路流量和log以檢測和回應潛在的安全事件,並且調查系統警報、分析漏洞,並提出增強組織安全防禦的建議。推薦課程:

資訊安全分析實務-方法、流程與工具
CompTIA Cybersecurity Analyst (CySA+) 網路資安分析師國際認證班


事件回應:事件回應是對資安事件進行反應和減少損失的過程,調查並分析潛在的威脅,制定事件應對計劃,並協調如何從攻擊中恢復正常作業。推薦課程:

EC-Council ECIH資安危機處理員認證課程


紅隊成員:資安紅隊成員會對組織的IT系統、網路或基礎設施進行模擬攻擊,以評估系統的安全防禦和彈性。紅隊成員也會與組織內的藍隊成員合作,藍隊代表網路安全的防禦方,負責檢測和防止攻擊。推薦課程:

EC-Council Web 應用程式安全課程
EC-Council CEH駭客技術專家認證課程


安全架構師:安全架構師目標在設計和部署安全的IT系統、網路和應用程式,制定網路安全框架,評估系統架構,確保在設計過程中擁有正確的IT安全控制。推薦課程:

EC-Council CCT 網路安全認證技師課程
CISSP資安系統專家認證課程


數位鑑識專家:數位鑑識專家從電腦系統、網路和應用程式中收集數位證據,協助調查法律和刑事案件,使用數位取證技術來恢復數據、分析惡意軟體,並在網路攻擊後重建事件。推薦課程:

EC-Council CHFI資安鑑識調查專家認證課程
EC-Council ECIH資安危機處理員認證課程

 

資安長:資安長(CISO)以管理者的角度,負責擬定組織的網路安全策略,確保建立強大的安全措施。推薦課程:

EC-Council專業資安經理人課程


資安初學者強力背書

沒有資安背景學習CEH會有困難嗎?讓兩位獲得CEH Master考試分數世界排名前三的學長告訴你,如何成功取得資安領域入門票!

恆逸學員胡益誠:

『我是資訊管理系的,畢業後進入電腦公司工作,後來開始接觸系統並管理公司核心系統。我工作16年,CEHP也不是我工作上必備的證照,但對我來說是有加分的,不僅可以證明學習動機以及能力,老闆也會因為你有資安認證,而開始問一些資安的相關問題,你的回答也能相對有可信度。

我很推薦CEH給沒有資安背景的人當作入門認證,因為我自己就是從CEH開始學習的,不會覺得有進入障礙。只要認真上課,不會的地方盡量提問,就可以慢慢的累積實力。

對企業來講考過CEHP有是加分的作用的,因為很多人很害怕實作,取得CEHP可以證明自己具有實作能力。我建議考過CEH後直接再拿CEHP,因為恆逸目前有推出報名CEH贈送CEHP的專案優惠,花一次錢就能把3張證照一起拿到。』

恆逸學員賴韋佑

『約一年前因客戶回報資安漏洞,基於好奇與自我充實的理由,我間接搜尋到CEH課程,發現課程內容正好都是我想學的,便下定決心要開始走往資安領域。

CEH的教學方式是理論與實作並行,以Module 10: Denial of Service來說,從概念開始,一路從攻擊技巧、殭屍網路、案例研究、攻擊工具到最後的對策和保護工具,每個流程都有詳細解說。跟著講師的引導,可以完整走過整個過程,到實作的時候可以親身體會到講師剛剛講的原來就是這樣,這種教學方式讓學習變得有趣也容易理解。

老師講解淺顯易懂,即便是沒有資安背景的人都不會聽得很吃力。很推薦給想要學習資安的夥伴們上CEH,它是進入資安領域很好的工具書,主要以駭客的思維學習各種攻擊手法與防禦對策,在這門課程會學到很多的資安概念、理論與工具。』


參考資料:https://www.eccouncil.org/cybersecurity-exchange/ethical-hacking/free-ethical-hacking-for-beginners/


0 意見:

張貼留言