Re: [請益] 資安工程師在台灣的前景？

: 小弟讀的是一個未來不知道幹嘛的文組科系 : 大概在去年我就發現了科系相關的工作沒前途的事實，於是在家人跟師長的建議下去巨匠 : 補了網路管理相關的課程但隨著接觸越深，開始對資訊安全有些興趣，也做了一些功課了 : 解資安工作與網管的差異，在104也發現普通網管的薪資其實跟其他產業的一般職位差別 : 不會太大，資安相對薪資待遇更好、能應徵的工作更廣 : 我知道資安需要的硬實力要求肯定比較高，想問資安這塊是不是真的值得我再多花一點時 : 間跟錢好好學，或是有沒有更好的路可以走？想知道版上各位大大的看法，謝謝! 這可以講很多面，簡單說解決資安問題最符合成本效益的方式，就是工作流程的改變。而不是靠什麼高科技技術。 以 身份驗證 Authentication 來說: 外行人：要學密碼學。 實際： 限制使用者密碼長度，複雜度，簡單有效。強制定期更改密碼，簡單省錢又有效。 還不夠安全，就上多因子驗證。 多次驗証只有你知道的機密，簡單便宜有效。 以 權限管理 Authorization 來說 : 外行人：要學很多 access control，zero-trust 實際：需要資訊安全的地方，先把所有權限都關了，慢慢申請。簡單有效。 以資料完整性來說 Integrity： 學術界：一堆新演算法，特殊場景的protocal 實際：你研發的演算法，不是國際標準，根本不合規，誰知道有沒有暗藏什麼黑箱或漏洞。所以直接用便宜免費的國際標準做法，反而是最好的做法。 以入侵恐嚇來說： 理想：找專家來解決根因 實際：報警請免費的人來調查。 以竊取企業資料來說： 理想：裝最先進的DLP，例如把公司所有檔案加密，監控員工電腦所有行為。 實際：zip檔，pdf檔加密，便宜有效。 以code security 來說： 教科書：一堆injection, buffer overflow 實際：這幾年新的開發工具，自動防範Injection 所以在資安領域，正確的流程，一直都比技術重要。而這些流程，經過幾十年來，都形成了固定的招式，甚至一堆國際標準，例如最基本的： ISO 27001，BS7799。 比較大的公司都會定期請"顧問"導入一堆資安流程。 因為政府的標案標案，以及政府的法律規定特殊產業，金融，軍事，公營，財團法人，都必須符合國際資安標準流程。且定"期驗"證。 所以在台灣唯一穩定賺錢，永遠被法律保護賺錢的產業，就是資安顧問業。專門導入資安流程與解決方案的顧問業。 專門賺這種錢的有： 國外顧問業，例如IBM，做金融產業比較多 國內資訊服務業：上市櫃那幾家，以及自己出來開公司的一些老人。最政府案子比較多。 顧問業：例如常說的四大會計師事務所。政府金融都做。 財團法人：財團法人的一些組，有時也會接案去做政府的資安政策技術制定。(也是偏向顧問，而非技術研發)，早期資策會那一票人，都做到當官了。 政府與金融業要導入流程， 可能需要要採購資安軟硬體設備，通常都是買國外大牌子，因此賺錢的是代理商，或原廠。 像趨勢就主要是賺這種To B客戶的錢。穩定，但吃不飽。 資安軟硬體國外品牌設備代理商或原廠雖然有工程師，但是只要熟自己產品就好，不用太懂技術底層，也不用開發資安產品。 台灣資安產業，穩定賺錢的剩下顧問業了。 而且其實餅還蠻大的，這幾年政府大灑錢，我認識的一堆人又升官了。 資安顧問要賺錢，有人要高薪聘你，考證照只是基本。到最後可能不是你技術要有多強，而是你"有經驗，有人脈，有關係"，能搞定政府流程與金融法規流程而已。 簡單說台灣資安產業，整體不是靠 "技術研發"賺錢，要走就走流程導入的顧問業，可以穩定吃飯一輩子。 比較知名那幾家，很挑學校名稱，吃績效分紅的，碩士畢業很快可破百，5年後年薪大概在150左右。但成長到200左右，要突破就要去混產官學關係了。 --
※ 批踢踢實業坊(ptt.cc), 來自: 42.73.200.125 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Tech_Job/M.1695827247.A.3C6.html

推 dildoe : 政策推動需求阿，靠對的人推動政策阿，這很管理阿XD 09/27 23:57

推 jamo : 你講的這些賺錢路子,都不是一個連資安前景都要上網 09/28 00:05

→ jamo : 問的人,能走的路子~ 09/28 00:05

推 Brioni : 等於是說最賺錢的那塊就靠嘴、靠關係 09/28 00:15

推 Brioni : 原po想當的工程師恐怕就是吃屑屑 09/28 00:18

→ VSshow : 懂資安可以做駭客嗎？ 09/28 01:12

推 luweber88 : 不會駭客算懂資安？ 09/28 01:33

→ BoXeX : 沒在管 zero-trust 只能說你們資料還沒那麼有價值 09/28 03:21

→ BoXeX : 真的有價值的資料 駭客是願意花好幾個月慢慢提權 09/28 03:23

推 Kimheeche : 確實剛畢業破百，150 6左右就一個檻，200要靠升上st 09/28 03:27

→ BoXeX : 你這帳號沒權限 那就想辦法搞到有權限的帳號就好 09/28 03:27

→ Kimheeche : aff。阿不過直接進的了美商就250起跳惹 09/28 03:27

→ BoXeX : 所以才需要 zero-trust，把內網電腦當外網防 09/28 03:30

→ snoopy790428: 普通人都馬資安操作員 跟網管沒兩樣 09/28 04:10

推 zaiter : 基本上看資安部是誰在搞 如果是公司it 技術底就還可 09/28 07:21

→ zaiter : 以 不是找文科來搞就是做做樣子要跟政府騙錢有做資 09/28 07:21

→ zaiter : 安給個交代的 09/28 07:21

推 butt1106 : 那幾家會計事務所啊，垃圾，弄幾個給你掃描完就結束 09/28 07:50

→ BoXeX : 就買現成的弱點掃描工具 然後就開始賺錢啊 09/28 08:28

→ BoXeX : 你公司真的重視資安 會找有駭客能力的來打 09/28 08:29

→ BoXeX : 而不是這篇所說的那些靠關係仔 09/28 08:29

噓 yytseng : 力旺做的不是資安 09/28 08:46

推 InfinitySA : 密碼學 數學 這種其實是要研究資安措施的架構的 09/28 09:32

→ InfinitySA : 要用 其實不太需要學 09/28 09:32

推 lantimes : 調查局 前陣子不是po文徵人 09/28 09:36

推 sonia1011 : 推這篇 09/28 11:58

推 suckKobe : 推分享 09/28 12:16

推 aegis91086 : 推分享 09/28 12:24

推 gotozzz : 推 09/28 12:35

→ water7278 : 流程導入的顧問業是指四大輔導iso或pcidss這類嗎？ 09/28 12:41

→ water7278 : 如果是的話這路線應該是最血海也最沒成長性的路線 09/28 12:41

→ water7278 : 一堆知其然而不知其所以然的資安管理顧問 09/28 12:41

→ scott260202 : 這就是為什麼台灣一堆亂搞的顧問 09/28 13:23

→ scott260202 : 目地不是資安，是過27001 09/28 13:24

→ scott260202 : 然後還是被攻擊成功 09/28 13:24

推 wwndbk : protocol 09/28 17:32

推 germun : 這篇就說明了為什麼台灣資安這麼鳥 XDDDD 09/28 22:56

→ BoXeX : 這篇拿來應付老闆還行啦 反正老闆不願意投資就這樣 09/29 01:53

→ yunf : 拿來唬唬文組的差不多 09/29 19:51

→ yunf : 上次那個分享駭客講解的也是被我找到破綻 09/29 19:54

→ yunf : 看看這裡有多少宅 09/29 19:56

→ yunf : 要講一個讓大家都服氣的說法真的不容易 09/29 19:56

→ yunf : 真的有實力的人誰跟你在拿200k? 09/29 19:58