文章列表

EP32 - 台灣海外資安人的橋樑 | 台灣未來基金會 創辦人HW

Podcast連結


本集章節

00:44 踏入資安圈的契機
02:49 關於18歲的“30歲陳先生”
05:18 不被理解的白帽駭客身分
12:40 對資安無法被澆熄的熱情
14:18 建立資安人才間的橋樑
19:16 給想到海外發展的資安人的建議
22:35 海外資安人返台的人才介接
24:13 台美日的資安文化差異
29:59 對數位身分證的看法
30:56 公開原始碼可能造成反效果?
33:11 獎金獵人計劃上的考量
36:50 資安是一件需要持續維護的事
39:22 對於Zoom的看法
41:48 未來的計畫與目標
42:52 NEX Foundation 台灣未來基金會
47:30 推薦給聽眾的資源與工具

給想到海外發展的資安人

來美國工作的方式

  • 外派 L1簽證

    • 最簡易的方式
    • 由台灣企業外派到海外工作
  • 工作簽證H1B

    • 在台灣直接投美國的工作
    • H1B簽證須抽籤,難度較高
    • 較少有企業願意直接提供H1B的機會給身在海外的求職者
  • 學生 F1簽證

    • 先在美國念書,接著透過學生簽證提供的OPT機會,在美國實習、工作
    • 先以OPT工作幾年後,再請公司幫忙辦H1B工作簽證
    • 如果是在美國就讀研究所以上學位,H1B中簽率較高
    • 最常見的手法
    • 例:在台灣讀完大學→在美國就讀研究所→利用學生身分的OPT簽證在美求職→工作後申請H1B工作簽證

申請海外學校資安學位的加分項目

優秀的成績當然是非常好的條件,但美國的學校也非常看重個人特色與經歷

如果能展現對資安的熱情也是證明自己是合適人才的好方法,找到各種實際的方式佐證可以加深面試官對你的印象

  • 資安競賽

  • 參與Open-Source 專案,培養實務的經驗

  • 參與資安的研討會

    • 當志工
    • 報名當講者
  • 透過各種方式凸顯你對資安的熱情

海外資安人才的介接

  • Contact Taiwan:政府吸引海外人才的計劃

  • 科技部研究相關的機會

  • 透過認識資安圈的人脈得知工作機會

    • 透過台灣駭客協會
    • 透過HW幫忙介紹
  • 台灣的求職網

  • 目前暫時沒有一個統一的資訊管道,需透過多交流多認識來獲取工作機會相關資訊

在與HW訪談和討論後,促成了資安職涯讀書會 Slack Channel,目前這個讀書會正在積極的籌備當中,有興趣的人歡迎加入我們

台美日的資安文化差異

美國文化

美國企業很重視與客戶建立信任關係,因此為了更長遠的發展,如果有被駭或漏洞被發現,更傾向於主動公告。

一個很顯著的例子就是發生在2020年末的FireEye事件,FireEye事件是由公司主動公告被駭事實,才開始有相關新聞出現,而事件發生後也持續更新與調查,讓可能被影響用戶知道狀況。

亞洲文化 (台灣和日本)

面對漏洞與負面消息比較不會主動坦白,而在事件爆發後的處理方式也更傾向於公關方面,這個部分很有可能是因為亞洲文化更傾向於把自己比較好的一面展露在外。

大多數被駭/資料外洩事件是先被新聞報導後,公司才會出來發聲明稿與應對。

台灣目前較缺乏資安的文化與長遠的思考,在這個方面我們需要透過法律來約束企業與組織。 像是以違反了個資法為例,現行法規的罰緩是兩萬至二十萬,這個金額少於雇用一名資安人才,因此個資法的罰則無法促成企業雇用資安人才,無法實質上的推動企業走向更安全。

對數位身分證的疑慮

關於公開原始碼

政府希望透過公開原始碼讓大眾能共同檢視數位身分證的安全性,也藉由這個方法表明對於數位身分證的信心,但事實上公開原始碼是否安全還是需要建立在一些前提之下的

符合這些條件才能說公開原始碼是安全的:

  • 程式碼有長時間的被挑戰與驗證
  • 有夠大的社群在審視與維護

沒有以上前提就公開原始碼的話,會大幅降低攻擊者的攻擊成本。

整個系統的設計、資料儲存方式與程式運作方式都已經表露無遺,攻擊者在了解整個架構的狀況下,需要做的攻擊測試就會相對低很多,也可以經由已知的狀況去更快找到突破口。

關於獎金獵人Bug Bounty Program

政府希望能透過Bug Bounty Program漏洞回報獎勵計劃鼓勵研究人員與資安專家一起找出漏洞以維護數位身分證的資安,Bug Bounty Program的本意是非常好的,但一個真正有效的Bug Bounty Program也是需要建立在一些條件與完整的前置準備工作的。

完善的Bug Bounty Program流程:

  1. 確保產品有一定的成熟度 (經過一系列的測試與檢驗,下面有更詳細的說明)
  2. 非公開的Bug Bounty Program:只有受邀的研究人員與資安專家才能夠參與,這些人可能會經過審慎的背景評估 (犯罪記錄、信用紀錄、國籍或成長背景都可能包含在內)
  3. 考量是否將Bug Bounty Program公開

實行Bug Bounty Program之前應該做的事 (確保產品在資安上有一定的成熟度):

  • Code Review 程式碼審查
  • Architecture Review 架構分析
  • Threat Modeling 威脅模型分析
  • Static Scanning 靜態分析
  • Dynamic Testing 動態測試
  • Penetration Testing 滲透測試
  • Red Teaming 紅隊演練

在一連串的準備工作之後,確保產品有一定的成熟度才能創造更完善的Bug Bounty Program

其他還要考量的點:

  • 台灣是否有足夠的資安人員可以來參與獎金獵人計畫?
  • 是否有足夠大的誘因讓大家願意去舉報漏洞?
  • 當獎金獵人計畫公開以後,如何應對海外國家級駭客這種不受金錢誘惑的攻擊者?
  • 如何評斷這個計畫是成功的?沒有發現漏洞是真的沒有漏洞還是根本沒有人在參與?

資安是一件需要持續維護的事

行政院長蘇貞昌曾表示數位身分證在正式上線前會設立賞金並鼓勵駭客進攻,確認沒有人能攻擊成功,才會進行全國換發的動作。 (相關新聞:蘇貞昌:數位身分證確認安全前 不一定7月全國換發

然而,事實上資安是一件長久的事情,沒有任何系統是沒有漏洞的,很多時候只是漏洞還沒有被發現,所以持續維護與檢視是很有必要的。 並不是現在沒有被破解就代表很安全。 同樣的,現在有漏洞,也不代表問題無法被改善或修復。

我們能做的是去增加攻擊者的成本,讓數位身分證更難被攻破,但政府目前推行的開源與獎金獵人計畫可能會讓攻擊者的成本降低,更容易攻擊。

資安上的考量重點應該更著重於是否有持續檢驗、更新與維護。

如果想要了解更多HW對數位身分證的看法,可以參考HW寫的文章:改變台灣的資安文化,從數位身分證開始 ── 一位資安從業人員的公開信

NEX Foundation 台灣未來基金會

為協助台灣海外人才的職涯發展而存在,希望能透過媒合、諮詢與聚會的方式解決海外人才資訊不對等或資源匱乏的問題。

核心價值: 實踐熱血、互助培力和永續回饋

NEX的目標: 建立一個海外人才的互助圈,讓海外的台灣人能夠在求學後順利找到工作,發揮所學,未來回到台灣後可以利用海外習得的這些知識與經驗幫助台灣

NEX在做的事: 全球台灣人才庫、內推、職涯發展活動和讀書會

  • NEX Media Lab:非營利的媒體平台,希望透過文字的力量鼓勵台灣的人才去實現夢想,並提供第一手的國際視野與職涯資訊
  • NEX Work:國際企業內推整合系統,協助拉拔留學生、年輕的人才
  • 職涯發展活動和讀書會:凝聚台灣的人才,建立人脈

NEX Foundation 官網Facebook 粉絲團LinkedInInstagram

推薦給聽眾的資源與工具

參與獎金獵人Bug Bounty Program

Bug Bounty 平台:

Bug Bounty 學習資源:

關注台灣駭客協會HITCON的活動

2005年舉辦了HITCON Conference,後來成立了台灣駭客協會

HITCON在做的事:

台灣駭客協會 官網Facebook 粉絲專頁

聆聽Podcast

中文:資安解壓縮我們與駭的距離

英文:35 個資安相關的Podcast

追蹤資安圈的KOL

許多資安圈的研究員會第一時間在Twitter上分享他們的發現,因此追蹤這些資安圈的KOL可以幫助我們在第一時間獲取資安相關的新聞

21 Cyber Security Twitter Accounts You Should Be Following

Top Cybersecurity Experts to follow on Twitter