跳至主要內容

[資安工作] 資安工程師是駭客嗎

本篇文章介紹進入資安界不能不知的刑法妨害電腦使用罪,並以淺顯的用詞科普駭客與資安工程師的差異,文章內提到的資安工程師偏向滲透測試工程師的定義,最後提及資安的工作類型。

關於資安工程師

我其實很少對非相關領域的人介紹自己的工作,一方面是覺得自己蠻懶得解釋專有名詞,所以我通常會簡稱自己為工程師,就是坐在電腦前面的生物,這篇文章將會以淺顯的用詞科普駭客與資安工程師的差異,文章內提到的資安工程師偏向滲透測試工程師。

資安乃資訊安全,許多人一聽到資安工程師總是會問我,「你的工作是在當駭客嗎?」、「你可以駭進去我的電腦裡面嗎?」、「你可以盜我的帳號嗎?」這些問題有如颱風天的雨水迅速地灑在我的臉上。

我的工作跟「駭客」有 87 % 相似,但解釋工作內容之前,可以先參考刑法第三十六章妨害電腦使用罪,裡面提到非法的事情,都不會接觸到,所有工作內容均遵守法律規範。

資安工程師 VS. 駭客

我們要先正名,其實駭客這個詞是非常中性的,甚至說有一點稱讚,所謂駭客的定義其實是熱衷於研究、建設網路世界,讓這個網路更美好,也可以說是資訊高手,而怪客 Cracker 才有沒有道德標準,可能會肆意破壞他人的網站,或針對性的去竊取他人機密,也有可能因為政治因素,攻擊他人。

駭客是技術能力很厲害的人,但大家的誤解,可能時常聽到駭客非常邪惡,常常盜取民眾或企業的敏感資料(如個人資料、商業機密)或是惡意破壞某個組織的網站,又可以從駭客的利益去判別類別的,分別為黑帽駭客、灰帽駭客和白帽駭客,當然絕對不是因為帽子的顏色不同而區分這個人是好人還是壞人

駭客種類

駭客種類的差異

  1. 黑帽駭客:惡意竊取他人的機密或是進行攻擊,甚至侵害他人隱私。
  2. 白帽駭客:
    針對企業內有網站或服務,企業會委託資安公司進行資安檢測,由資安工程師進行檢測。

如同醫生對人類身體進行健康檢查檢查身體有沒有生病,檢查完畢,收到一份健檢報告,從報告裡面知道自己身體有什麼地方需要加強,比如要定期運動增加免疫力或吃藥殺菌並定期追蹤。
資安工程師會幫企業檢查他們的網站有沒有問題,檢查完畢寫一份報告,告知企業網站哪裡有問題(弱點、漏洞),如何修復這些問題。

  1. 灰帽駭客:根據利益性(竊取他人機密或公益回報問題)來判別偏向黑帽還是白帽。

資安工程師是就像網站的醫生,透過檢測手法(醫生的醫術),找到網站的弱點(病原),撰寫報告告知修復方式(開藥單與改善方式),讓網站更安全(讓身體更健康)。

自身工作內容

我的工作內容有大致上分為企業資安服務(弱點掃描、滲透測試、紅隊演練)和 IoT 物聯網設備(自動化檢測產品維護與漏洞挖掘),這段內容比較多專有名詞,可以想像成依據受測方的需求提供不同服務

  1. 弱點掃描:透過「弱點掃描軟體」掃描目標網站,根據掃描結果以人工審查方式判別是否為誤判與漏判弱點,再撰寫弱點掃描報告。
  2. 滲透測試:以惡意攻擊者的攻擊思維,針對目標企業網站,透過滲透檢測流程,深入檢測網站的安全性,並撰寫滲透測試報告。
  3. 紅隊演練:以惡意攻擊者的攻擊思維,針對目標企業網段,以不同的攻擊思路與廣度,針對企業環境全面性的進行檢測,可能於企業外網,想辦法打進內網或是透過社交工程等攻擊手段,最後再撰寫紅隊演練報告。
  4. IoT 物聯網自動化檢測:公司產品,主要針對市面上物聯網設備進行自動化檢測,維護檢測段的程式碼。
  5. IoT 物聯網設備漏洞挖掘:針對市面上物聯網設備進行檢測,挖掘未被公諸於世的漏洞。
  6. 企業資安環境檢測:會去中小型企業確認企業內部環境架構並且提供建議與改善方式。

自身興趣

  1. 資安教育訓練:喜歡透過淺顯易懂的圖解加上 LAB,讓學員可以更認識資安概論、網站安全、滲透測試、物聯網安全。
  2. 資安文章:不管是科普文章、還是技術文章,凡走過必留下痕跡,之所以寫文章,原本是因為自己的小腦袋紀錄不下太多東西,因此透過寫文章的方式讓自己記起來。

資安工作類型

因為自己比較接觸攻擊檢測類的,所以文章會比較介紹檢測相關的資安服務,其實在職場上,資安工程師還有許多類型,比如在資安公司可以簡單區分成攻擊類型與防禦類型,工作內容可以分成以下:

  • 攻擊檢測:紅隊演練、滲透測試、弱點掃描、資安健診等…
  • 數位鑑識:分析惡意程式、分析 log 來了解駭客攻擊手法等…
  • 防禦類型:惡意程式偵測、攻擊偵測系統、防毒軟體等…
  • 資安監控:SOC、稽核等…
  • 資安治理:ISO27001、資安長、制定資安政策
  • 人工智慧:將資安加上 AI 訓練模型等…
  • 也有在乙方擔任資安部門防禦自家公司也算是資安工程師
  • 還有很多工作類型,一一列舉不完,如果有想補充的夥伴有可以留言給我。

飛飛的文章連結

如果你想學習網站安全,我撰寫了一篇給新手的網站安全路徑指南,提供給新手從 Linux、git、網站基礎、網站相關漏洞、滲透測試、Windows 相關的學習資源,可參考這篇文章:

如果你想了解所謂的駭客集團是什麼,或是現在有哪些所謂的網軍在攻擊,ATT&CK® 是一個紀錄駭客集團的攻擊手法與情資分享的資料庫,你可以參考以下的科普文章:

如果你對於物聯網設備的攻擊手法有興趣,可以參考以下的文章:

有什麼問題都可以在底下詢問我,如果可以請幫我按愛心與拍手拍五下,感謝你們!

分類:資安工作新手入門

2 則留言

  1. 醃芥菜 醃芥菜

    想了解資安工作對於程式能力的要求有多少?
    雖然爬過文章但因為資安類型太多有些沒有要求有些需要懂基礎程式至少要能看懂,有些比較高階的就會需要自行撰寫,像是你提到的自動化測試應該也是需要自行撰寫

    所以我想知道程式之於資安的重要性如何?

    • fei fei

      看你想做哪方面的資安工作,用到的程式語言不太一樣。

      滲透測試:寫程式為了加快自己的工作效率,如 Python 爬蟲等
      逆向工程:
      (1) 需要知道 C 與 組合語言
      (2) 看你逆向什麼程式,就要學那個程式語言
      網站安全:你打什麼類型的程式語言後端,你大概要了解該程式語言的特性

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

由 Compete Themes 設計的 Author 佈景主題