EP29 - 資安工作的各種不同面向 | 資安工程師 Vince

Podcast 連結

本集章節

01:52 踏入資安圈的契機
03:51 在沒有資安背景下進入資安領域
05:54 令人眼界大開的DEFCON
09:09 軟體工程師與資安工程師求職上的差異
15:15 資安工程師的工作內容
22:10 資安工程師所需的知識與技能
23:33 公司內部轉組經驗分享
25:00 公司內部的資安小組
29:22 駭客們的休閒娛樂是開鎖 ?!
31:20 在DEFCON可以買到的東西
34:04 特斯拉和其他IoT裝置的隱憂
38:32 被警察當監視器的Amazon Ring智慧門鎖
44:10 難以分辨真假的Deepfake 換臉影片
48:43 Vince給聽眾的資安建議與提醒

Bug Bounty 漏洞回報獎勵機制

透過獎勵的方式鼓勵全球的資安研究員和資安專家一起找出產品的漏洞，把產品的資安做得更全面的計畫

透過漏洞獎勵機制，吸引駭客與研究員在發現資安漏洞時，不拿去做壞事，而是主動回報給公司換取賞金

找到的漏洞會依據內容、嚴重程度、獨特性等眾多因素分成不同的等級，不同等級的漏洞會有不同等級的獎勵

常見的 Bug Bounty 平台

各大公司 Bug Bounty 賞金

bugbounty rewards

DEFCON

全球最大的電腦安全會議之一，每年暑假舉辦於美國 Las Vegas，很多駭客、資安相關從業人士和學生都會從世界各地聚集在此，除了演講、發表、Workshop，也有很多不同形式的比賽讓各路好手互相切磋

Defcon badge

DEFCON 26 的門票/識別證，本身就是一個解謎小遊戲

有的組織在募集隨身碟，他們計劃在把隨身碟裝滿外界的書籍和訊息後送入北韓，解放北韓人民的思想也開闊眼界，脫離金正恩的統治

模擬拆彈的比賽，過程中充斥著各種機關，假炸彈隨時可能被觸發，能夠最短解除炸彈的就是贏家

Wall of Sheep 綿羊牆，螢幕上顯示著現場連上不安全 Wi-Fi 而遭駭的待宰羔羊名單，背後的意義主要是要提醒大家 Wi-Fi 可能的危險性與資安的重要性

Social Engineer CTF 社交工程比賽，在現場隔音室中進行，透過社交工程在時間內取得最多指定目標資訊的就是勝利者

現場還有幫你弄龐克頭的攤位，讓你展現出你的龐克/駭客魂

資安工程師的求職

與軟體工程師相較下的難處

資安面試方向多元，需準備更多元的知識
網路上經驗分享不多，許多東西仍須求職者自行摸索
許多公司的資安相關職位還很新，目前沒有統一的準備方向
相比之下軟體工程師的職位內容比較成熟

兩個最常見的面試問題

資安版的系統設計： 提供你一個系統架構，請你說出哪些地方有資安問題、哪些比較嚴重、可以怎麼修和怎麼預防

Secure Code Review： 透過肉眼檢查一段程式碼，找出程式碼中的資安問題和漏洞

其他問題主要會依照你面試的職位，有很大的差異

不同的資安小組

Red Team / Application security / Offensive Security Team
- 滲透測試，以駭客的角度去測試公司的產品，並將結果寫成報告，幫助公司理解產品有哪些可能性的漏洞
Security Operation Team
- Detection and Response / Incident Response
  - 面對資安事件時的應急響應處理團隊
  - 架設 IPS / IDS （入侵偵測系統／入侵阻擋系統）
- SecDevOps/ DevSecOps
  - 整合一些資安的工具和測試進入軟體開發的流程，讓軟體開發的過程更安全，開發出的軟體也更安全
  - 處理公司內部憑證的設定
Firmware Security
- 負責處理公司的硬體產品內部韌體的資安
Enterprise Security
- 偏向 IT、實體資安 Physical Security
Security Outreacher
- 負責拉近資安組與公司其他成員的距離
- 會舉辦像是開鎖教學等有趣的活動，來讓大家更認識資安
Security Technical PM
- 資安專門的 PM (Project Manager)
Compliance Manager
- 負責處理各種資安相關的法規、規範，如 PCI、FedRamp