從學生到首席資安工程師，8年恆逸學習資安之路

恆逸學員曾子維從研究所進修第一堂白帽駭客課程CEH開啟了他的資安旅程，學生時代半工半讀，一路當上上市櫃公司的首席資安工程師，再到創業當老闆，8年來考了7張資安認證與多張雲端認證，累積了堅強的實務經驗與資安技術，一起來看看他的進修心路歷程！ 

背景介紹

我大學念淡江大學的資訊工程，研究所是臺北醫學大學的醫療資訊所，博士班是臺大資訊工程。在念研究所時因為想培養多個專長，增加自己的競爭力，除了本身醫療資訊的專業之外，決定再進攻資訊安全領域。當時Google一查，恆逸成為我的首選，從CEH開始了我的資安旅程。

資安法的出現，標案遊戲規則大改變

碩士二年級開始半工半讀，2年後2018年資通法的出現讓遊戲規則大改變，我們的客戶都是醫學中心，許多資安條款是直接附件在標案規格裡，造就新的門檻出現。譬如公司團隊成員需要具備資安證照、公司要有ISO 27001的驗證證書等，而我當時就是公司負責考試的那位。

後端工程師到資安專家的職責轉變

從原本的後端coding人員轉變成為資安專責人員，職務內容變化很大，我需要替公司做資安規劃管理，從研發、合約到公司治理幾乎一手包辦，例如審核合約中的技術、評估要增加多少成本與資安服務、洽詢廠商、協助採購與評估、協助公司內部在開發時導入安全生命週期等，後來公司開始導入雲端架構也都是我在負責。

我認為資安是一條最難的道路，因為你要很理解它，才知道它安不安全。以前只專注在後端程式撰寫，接觸資安並學習攻擊與防禦後，你會開始被迫去了解前端網頁、無線網路的攻擊等，開啟了各種技能。學習過程我覺得很快樂也很興奮，當時我就告訴自己一句話『我是專家，所以我就是要懂，沒有我不能懂的東西。』

多張資安認證的考試經驗

我第一張資安認證選擇CEH(EC-Council CEH駭客技術專家認證課程)是因為它不需要工作經驗證明，再來它是白帽駭客，也是最入門的證照之一。考完CEH後下一步就繼續考取紅隊攻擊的滲透測試ECSA(現EC-Council CPENT滲透測試專家認證課程)。接下來考取CASE .NET(EC-Council CASE .NET應用程式安全工程師認證課程)則是因為當初公司內部開發使用.Net，我覺得有必要將安全開發周期的知識補起來。

考CHFI(EC-Council CHFI資安鑑識調查專家認證課程)也是因為任務的關係，由於我們客戶都是醫學中心，我又是公司代表的資安專責人員，常需要跟客戶解釋資安事件，甚至客戶遇到勒索軟體當下會打電話來求救，也需要會資安危機處理，要擔任現場顧問並配合調查局，因此覺得必須考取這張認證，學會其中的眉角。

CHFI證照最大的收穫就是，資安事件一旦發生，電腦不可以去碰也不能關機。唯一能做到降低傷害的方式就是把網路線拔了，等調查局的人來把硬碟拷貝走。雖然聽起來很簡單，但若沒有受過訓練，當下真的會很容易慌亂。

2022年開始，具備ISO 27001主導稽核員認證已經變成標案入門票，公司要導入ISO 27001除了聘請外面的輔導顧問之外，我們自己公司內部有多少人力要配合、表單程序要如何修改，我需要自己了解以後才能幫助老闆決策，因此考取了這張認證。

剛好公司在同年也開始導入AWS雲端，許多醫學中心客戶也開始使用雲端解決方案，我也是當時學習的代表，因此又選擇回到熟悉的恆逸來進修雲端課程，並考取AWS雲端架構與資安認證。

接下來會考CTIA(藍隊資安威脅分析-EC-Council CTIA認證課程)是因為公司與客戶端近兩年都有遭受許多資安威脅與攻擊，我從以前就對於情資如何做收集與處理很有興趣，而市面上只有CTIA認證專注在情資蒐集，可以學到國外的網站有哪些工具、怎麼蒐集、有哪些平台與組織等。另外一方面則是27001 2022轉版內容有一個新的控制措施就是威脅情資蒐集，不論你是要使用工具、人工還是自己寫程式自動化都可以。但在這之前的證照裡面都沒有很著重這個部分，因此我便決定考取CTIA，順便也能更新我的證照期限。

CISSP則是我考過最難的一張認證，因為它是出了名的沒有考古題，我還是買了官方模擬試題來練習，當初每天至少花了六七個小時在念書，考試過程雖然也經歷很大的自我懷疑與打擊，但考試結果還是順利通過了。

2023年創業，核心產品注重資安細節

2023年我決定自己創業，現在也還在學著怎麼做生意，找到公司的服務與核心產品是什麼。目前公司開發出來的重點產品是虛擬角色芙耶拉，它可用在智慧電商、虛擬店員與家庭陪伴。因為我們是做資安與雲端基礎起來的，我們跟純軟體出身的人開發出來的產品，最大的差異就是，開發過程中我們花非常多時間注意小細節，如資料加密、傳輸過程會不會被破解、有沒有備份與高可用性等，之前在恆逸學的與老師叮嚀的通通都用上了。我們的產品先不論功能面跟競品誰比較強，我有自信光是底子面就強別人好幾倍。

給新進資安人員的進修與職涯建議

現在資安人員因為角色太多了，有資安工程師(又分成藍隊紅隊)、資安產品的工程師、資安稽核人員(稽核與個資又不太一樣)，還有資安事件應變與鑑識人員等，雖然出路很多但同時負責事情也很雜，不像以前可能比較單純，學一個技能就可以用好幾年。我建議可以先到小公司磨練，小公司有機會讓自己檢視學到的東西如何應用，且習得複雜的綜合型實務經驗，對未來也會有很大的幫助。

有一派的人是不重視學歷也不考證照的，像這樣的資深技術人才跟我們的走法是完全不一樣的。他們可能從國高中就開始就很喜歡資安，把它當線上遊戲在打，當你還在家裡打魔獸打英雄聯盟的時候，他們是把微軟的技術手冊當作武俠小說在看。他們對這件事有熱情，也花了很多時間，這樣的純技術人才就不會需要認證。

但如果像我們這樣半路出家，可能經過幾年社會工作洗禮才發現喜歡好像還蠻喜歡資安，這時候就應該要找到入門門檻，找地方補習，當然我最推薦的就是恆逸。恆逸從設備到環境，不管是上課或考試都我覺得很安心，恆逸講師豐富的實務經驗也讓我受益匪淺。

我在前公司也負責公司的資安認證教育訓練的安排，我第一個評估很看重師資的品質，而我多年的經驗下來，恆逸挑選老師是真的比其他地方細心，而且學員反饋都很好。老師在學生的特別照顧上做得很足夠。如果能幫學生考上第一張認證，可以幫他在學習路上建立信心，如同我在恆逸考試都是一次就過，因為老師真的很會教。

資安新手入門認證推薦

如果是大學剛畢業的新鮮人，我會推薦入門資安證照CompTIA Security＋國際網路資安認證。這堂課很像大學的資安課，能讓你很全面的理解基礎知識。如果要學習技術面，我首推 CEH。我也是因為這張證照建立了整個資安基礎。後面的CASE.Net、CHFI、CTIA…很多東西都只是疊加在CEH之上，千萬不要覺得可以跳著考，除非你已經是在業界七八年以上的前輩。如果是剛畢業的新鮮人那這兩張認證都很適合新手從這裡著手。

更多資訊請上恆逸資安學習中心