Re: [請益] 資安工程師在台灣的前景?
※ 引述《away1225 (空飛牙)》之銘言:
: 小弟讀的是一個未來不知道幹嘛的文組科系
: 大概在去年我就發現了科系相關的工作沒前途的事實,於是在家人跟師長的建議下去巨匠: 補了網路管理相關的課程但隨著接觸越深,開始對資訊安全有些興趣,也做了一些功課了: 解資安工作與網管的差異,在104也發現普通網管的薪資其實跟其他產業的一般職位差別: 不會太大,資安相對薪資待遇更好、能應徵的工作更廣
: 我知道資安需要的硬實力要求肯定比較高,想問資安這塊是不是真的值得我再多花一點時: 間跟錢好好學,或是有沒有更好的路可以走?想知道版上各位大大的看法,謝謝!
這可以講很多面,簡單說解決資安問題最符合成本效益的方式,就是工作流程的改變。而不是靠什麼高科技技術。
以 身份驗證 Authentication 來說:
外行人:要學密碼學。
實際: 限制使用者密碼長度,複雜度,簡單有效。強制定期更改密碼,簡單省錢又有效。還不夠安全,就上多因子驗證。
多次驗証只有你知道的機密,簡單便宜有效。
以 權限管理 Authorization 來說 :
外行人:要學很多 access control,zero-trust
實際:需要資訊安全的地方,先把所有權限都關了,慢慢申請。簡單有效。
以資料完整性來說 Integrity:
學術界:一堆新演算法,特殊場景的protocal
實際:你研發的演算法,不是國際標準,根本不合規,誰知道有沒有暗藏什麼黑箱或漏洞。所以直接用便宜免費的國際標準做法,反而是最好的做法。
以入侵恐嚇來說:
理想:找專家來解決根因
實際:報警請免費的人來調查。
以竊取企業資料來說:
理想:裝最先進的DLP,例如把公司所有檔案加密,監控員工電腦所有行為。
實際:zip檔,pdf檔加密,便宜有效。
以code security 來說:
教科書:一堆injection, buffer overflow
實際:這幾年新的開發工具,自動防範Injection
所以在資安領域,正確的流程,一直都比技術重要。而這些流程,經過幾十年來,都形成了固定的招式,甚至一堆國際標準,例如最基本的:
ISO 27001,BS7799。 比較大的公司都會定期請"顧問"導入一堆資安流程。
因為政府的標案標案,以及政府的法律規定特殊產業,金融,軍事,公營,財團法人,都必須符合國際資安標準流程。且定"期驗"證。
所以在台灣唯一穩定賺錢,永遠被法律保護賺錢的產業,就是資安顧問業。專門導入資安流程與解決方案的顧問業。
專門賺這種錢的有:
國外顧問業,例如IBM,做金融產業比較多
國內資訊服務業:上市櫃那幾家,以及自己出來開公司的一些老人。最政府案子比較多。顧問業:例如常說的四大會計師事務所。政府金融都做。
財團法人:財團法人的一些組,有時也會接案去做政府的資安政策技術制定。(也是偏向顧問,而非技術研發),早期資策會那一票人,都做到當官了。
政府與金融業要導入流程,
可能需要要採購資安軟硬體設備,通常都是買國外大牌子,因此賺錢的是代理商,或原廠。像趨勢就主要是賺這種To B客戶的錢。穩定,但吃不飽。
資安軟硬體國外品牌設備代理商或原廠雖然有工程師,但是只要熟自己產品就好,不用太懂技術底層,也不用開發資安產品。
台灣資安產業,穩定賺錢的剩下顧問業了。
而且其實餅還蠻大的,這幾年政府大灑錢,我認識的一堆人又升官了。
資安顧問要賺錢,有人要高薪聘你,考證照只是基本。到最後可能不是你技術要有多強,而是你"有經驗,有人脈,有關係",能搞定政府流程與金融法規流程而已。
簡單說台灣資安產業,整體不是靠 "技術研發"賺錢,要走就走流程導入的顧問業,可以穩定吃飯一輩子。
比較知名那幾家,很挑學校名稱,吃績效分紅的,碩士畢業很快可破百,5年後年薪大概在150左右。但成長到200左右,要突破就要去混產官學關係了。
--
政策推動需求阿,靠對的人推動政策阿,這很管理阿XD
你講的這些賺錢路子,都不是一個連資安前景都要上網
問的人,能走的路子~
等於是說最賺錢的那塊就靠嘴、靠關係
原po想當的工程師恐怕就是吃屑屑
懂資安可以做駭客嗎?
不會駭客算懂資安?
沒在管 zero-trust 只能說你們資料還沒那麼有價值
真的有價值的資料 駭客是願意花好幾個月慢慢提權
確實剛畢業破百,150 6左右就一個檻,200要靠升上st
你這帳號沒權限 那就想辦法搞到有權限的帳號就好
aff。阿不過直接進的了美商就250起跳惹
所以才需要 zero-trust,把內網電腦當外網防
普通人都馬資安操作員 跟網管沒兩樣
基本上看資安部是誰在搞 如果是公司it 技術底就還可
以 不是找文科來搞就是做做樣子要跟政府騙錢有做資
安給個交代的
那幾家會計事務所啊,垃圾,弄幾個給你掃描完就結束
就買現成的弱點掃描工具 然後就開始賺錢啊
你公司真的重視資安 會找有駭客能力的來打
而不是這篇所說的那些靠關係仔
力旺做的不是資安
密碼學 數學 這種其實是要研究資安措施的架構的
要用 其實不太需要學
調查局 前陣子不是po文徵人
推這篇
推分享
推分享
推
流程導入的顧問業是指四大輔導iso或pcidss這類嗎?
如果是的話這路線應該是最血海也最沒成長性的路線
一堆知其然而不知其所以然的資安管理顧問
這就是為什麼台灣一堆亂搞的顧問
目地不是資安,是過27001
然後還是被攻擊成功
protocol
這篇就說明了為什麼台灣資安這麼鳥 XDDDD
這篇拿來應付老闆還行啦 反正老闆不願意投資就這樣
拿來唬唬文組的差不多
上次那個分享駭客講解的也是被我找到破綻
看看這裡有多少宅
要講一個讓大家都服氣的說法真的不容易
真的有實力的人誰跟你在拿200k?
45
首Po小弟讀的是一個未來不知道幹嘛的文組科系 大概在去年我就發現了科系相關的工作沒前途的事實,於是在家人跟師長的建議下去巨匠 補了網路管理相關的課程但隨著接觸越深,開始對資訊安全有些興趣,也做了一些功課了 解資安工作與網管的差異,在104也發現普通網管的薪資其實跟其他產業的一般職位差別 不會太大,資安相對薪資待遇更好、能應徵的工作更廣1
同是天涯淪落人,提供點意見給你參考吧 找個SI進去蹲,從設備端的證照入手,因為我們是不會寫程式的使用者而已 充其量我們的功能能做到的就是“法醫” 功能就是跟什麼都不懂的領導說明 “誒。這次死的原因是什麼” 寫程式那就像是醫活人,我們只能分析結果,能把結果解釋清楚就很不容易
24
[請益] 三間公司請教 資安小弟目前學士畢業,想往資安領域走, 但還沒有太多經驗,最近面試了幾間公司, 想請問前輩們的看法與未來發展 公司A:某電信底下資安公司 職稱:資安分析師10
[請益] 脫北到台南轉職請益在台北工作五年準備脫北 3年半 種花電(資安產品工程師) 1年 高山銀(資安管理師) N為台積碩士新人價 offer 1. 勤X D所- 資訊安全風險管理顧問5
[討論] 四大資安發展?友人有些疑問,代友人po 各位版友好, 想請問各位工作選擇建議。 (手機排版第一次發文,若有排版不妥請見諒) 小妹背景為國立資管所,5
[請益] 脫北到台南轉職請益在台北工作五年準備脫北 3年半 種花電(資安產品工程師) 1年 高山銀(資安管理師) N為台積碩士新人價 offer 1. 勤X D所- 資訊安全風險管理顧問