從學生到首席資安工程師,8年恆逸學習資安之路
恆逸學員曾子維從研究所進修第一堂白帽駭客課程CEH開啟了他的資安旅程,學生時代半工半讀,一路當上上市櫃公司的首席資安工程師,再到創業當老闆,8年來考了7張資安認證與多張雲端認證,累積了堅強的實務經驗與資安技術,一起來看看他的進修心路歷程!
背景介紹
我大學念淡江大學的資訊工程,研究所是臺北醫學大學的醫療資訊所,博士班是臺大資訊工程。在念研究所時因為想培養多個專長,增加自己的競爭力,除了本身醫療資訊的專業之外,決定再進攻資訊安全領域。當時Google一查,恆逸成為我的首選,從CEH開始了我的資安旅程。
資安法的出現,標案遊戲規則大改變
碩士二年級開始半工半讀,2年後2018年資通法的出現讓遊戲規則大改變,我們的客戶都是醫學中心,許多資安條款是直接附件在標案規格裡,造就新的門檻出現。譬如公司團隊成員需要具備資安證照、公司要有ISO 27001的驗證證書等,而我當時就是公司負責考試的那位。
後端工程師到資安專家的職責轉變
從原本的後端coding人員轉變成為資安專責人員,職務內容變化很大,我需要替公司做資安規劃管理,從研發、合約到公司治理幾乎一手包辦,例如審核合約中的技術、評估要增加多少成本與資安服務、洽詢廠商、協助採購與評估、協助公司內部在開發時導入安全生命週期等,後來公司開始導入雲端架構也都是我在負責。
我認為資安是一條最難的道路,因為你要很理解它,才知道它安不安全。以前只專注在後端程式撰寫,接觸資安並學習攻擊與防禦後,你會開始被迫去了解前端網頁、無線網路的攻擊等,開啟了各種技能。學習過程我覺得很快樂也很興奮,當時我就告訴自己一句話『我是專家,所以我就是要懂,沒有我不能懂的東西。』
我第一張資安認證選擇CEH(EC-Council
CEH駭客技術專家認證課程)是因為它不需要工作經驗證明,再來它是白帽駭客,也是最入門的證照之一。考完CEH後下一步就繼續考取紅隊攻擊的滲透測試ECSA(現EC-Council CPENT滲透測試專家認證課程)。接下來考取CASE .NET(EC-Council CASE .NET應用程式安全工程師認證課程)則是因為當初公司內部開發使用.Net,我覺得有必要將安全開發周期的知識補起來。
考CHFI(EC-Council CHFI資安鑑識調查專家認證課程)也是因為任務的關係,由於我們客戶都是醫學中心,我又是公司代表的資安專責人員,常需要跟客戶解釋資安事件,甚至客戶遇到勒索軟體當下會打電話來求救,也需要會資安危機處理,要擔任現場顧問並配合調查局,因此覺得必須考取這張認證,學會其中的眉角。
CHFI證照最大的收穫就是,資安事件一旦發生,電腦不可以去碰也不能關機。唯一能做到降低傷害的方式就是把網路線拔了,等調查局的人來把硬碟拷貝走。雖然聽起來很簡單,但若沒有受過訓練,當下真的會很容易慌亂。
2022年開始,具備ISO 27001主導稽核員認證已經變成標案入門票,公司要導入ISO 27001除了聘請外面的輔導顧問之外,我們自己公司內部有多少人力要配合、表單程序要如何修改,我需要自己了解以後才能幫助老闆決策,因此考取了這張認證。
剛好公司在同年也開始導入AWS雲端,許多醫學中心客戶也開始使用雲端解決方案,我也是當時學習的代表,因此又選擇回到熟悉的恆逸來進修雲端課程,並考取AWS雲端架構與資安認證。
接下來會考CTIA(藍隊資安威脅分析-EC-Council CTIA認證課程)是因為公司與客戶端近兩年都有遭受許多資安威脅與攻擊,我從以前就對於情資如何做收集與處理很有興趣,而市面上只有CTIA認證專注在情資蒐集,可以學到國外的網站有哪些工具、怎麼蒐集、有哪些平台與組織等。另外一方面則是27001 2022轉版內容有一個新的控制措施就是威脅情資蒐集,不論你是要使用工具、人工還是自己寫程式自動化都可以。但在這之前的證照裡面都沒有很著重這個部分,因此我便決定考取CTIA,順便也能更新我的證照期限。
CISSP則是我考過最難的一張認證,因為它是出了名的沒有考古題,我還是買了官方模擬試題來練習,當初每天至少花了六七個小時在念書,考試過程雖然也經歷很大的自我懷疑與打擊,但考試結果還是順利通過了。
2023年創業,核心產品注重資安細節
2023年我決定自己創業,現在也還在學著怎麼做生意,找到公司的服務與核心產品是什麼。目前公司開發出來的重點產品是虛擬角色芙耶拉,它可用在智慧電商、虛擬店員與家庭陪伴。因為我們是做資安與雲端基礎起來的,我們跟純軟體出身的人開發出來的產品,最大的差異就是,開發過程中我們花非常多時間注意小細節,如資料加密、傳輸過程會不會被破解、有沒有備份與高可用性等,之前在恆逸學的與老師叮嚀的通通都用上了。我們的產品先不論功能面跟競品誰比較強,我有自信光是底子面就強別人好幾倍。
給新進資安人員的進修與職涯建議
現在資安人員因為角色太多了,有資安工程師(又分成藍隊紅隊)、資安產品的工程師、資安稽核人員(稽核與個資又不太一樣),還有資安事件應變與鑑識人員等,雖然出路很多但同時負責事情也很雜,不像以前可能比較單純,學一個技能就可以用好幾年。我建議可以先到小公司磨練,小公司有機會讓自己檢視學到的東西如何應用,且習得複雜的綜合型實務經驗,對未來也會有很大的幫助。
有一派的人是不重視學歷也不考證照的,像這樣的資深技術人才跟我們的走法是完全不一樣的。他們可能從國高中就開始就很喜歡資安,把它當線上遊戲在打,當你還在家裡打魔獸打英雄聯盟的時候,他們是把微軟的技術手冊當作武俠小說在看。他們對這件事有熱情,也花了很多時間,這樣的純技術人才就不會需要認證。
但如果像我們這樣半路出家,可能經過幾年社會工作洗禮才發現喜歡好像還蠻喜歡資安,這時候就應該要找到入門門檻,找地方補習,當然我最推薦的就是恆逸。恆逸從設備到環境,不管是上課或考試都我覺得很安心,恆逸講師豐富的實務經驗也讓我受益匪淺。
我在前公司也負責公司的資安認證教育訓練的安排,我第一個評估很看重師資的品質,而我多年的經驗下來,恆逸挑選老師是真的比其他地方細心,而且學員反饋都很好。老師在學生的特別照顧上做得很足夠。如果能幫學生考上第一張認證,可以幫他在學習路上建立信心,如同我在恆逸考試都是一次就過,因為老師真的很會教。
0 意見:
張貼留言