台湾资安人才济济,在国际级竞赛经常名列前茅。资安业者观察,无论是师承本科系或半路出家,台湾能有这么多的优秀资安人才,并不是偶然发生,有赖社群凝聚力与个人热情。
来自台湾的攻击型资安公司 DEVCORE(戴夫寇尔)共同创办人暨首席执行官翁浩正接受中央社记者专访表示,玩资安的人一定需要很多热情,因为资安知识更新很快,每天都要学新的资安漏洞、套件、操作系统,对资安掌握度才会更高。
成立 9 年却保持低调的 DEVCORE 采取“精兵策略”,尽管每年都会固定征才,但不急于大规模扩编。翁浩正坦言,永远有别的公司可以提供更高薪资,能把人才留下来的,一定是因为认同企业理念。
37 岁的翁浩正说,DEVCORE 员工很多都 30 几岁,尤其年轻一辈对资安热忱很高,才有动力不断学习。DEVCORE 征才特别注重道德观跟价值观,如果应征者曾经贩卖资安漏洞,绝对不会任用。
DEVCORE 由世界级白帽骇客团队组成,提供的“红队演练”服务可以检测企业组织的资安防御能力,进而提升资安体质。翁浩正透露,红队演练团队成员要拿到百万年薪不难,但会有技术上的要求,也要擅长团队合作与沟通,能有效把技术成果翻译成一般人看得懂的文字,这些都需要训练。
去年 10 月 DEVCORE 开始研究世界知名的邮件服务器 Microsoft Exchange Server 漏洞,并于 12 月取得初步成果,领先全球发现漏洞并通报给微软。微软安全回应中心网站也向发现漏洞的 DEVCORE 首席资安研究员暨研究组组长蔡政达致谢。
29 岁的蔡政达从国中开始对电脑产生兴趣,当时看到骇客相关新闻觉得很酷,开始搜寻一切有关骇客的内容,没想到踏进这个圈子后,转眼已超过 10 年。
外界认为他是“台湾最强白帽骇客”,蔡政达谦虚表示,可能因为他在某些小领域有杰出表现。他认为资安不是单一学科,而是所有资讯领域的综合,若想要成为白帽骇客,什么都要会,所有资讯领域学到的东西,都可能变成资安技能或知识。
“学资安的人需要忍受孤独,因为摸技术的时候没人可以讨论。”蔡政达说,现在学生有些可能没办法忍受孤独的过程,然而如果兴趣够深,就算花的时间比较长,还是可以自己搞定。
蔡政达说,资安社群环境很重要,他开始接触资安的前两三年都靠自己摸索,到了高中有学长考上辅仁大学,发现大学里有资安社团,才认识更多志同道合的朋友。目前台湾顶尖资安人才非常优秀,但中坚分子数量不太够;底层人才的数量已开始增加,还需要 3~5 年才会变成中坚份子。
DEVCORE 共同创办人暨红队组组长许复凯表示,从培育角度来看,汇集人才相当重要,人才彼此会互相讨论、变得更厉害。例如参加 CTF(Capture the Flag)攻防抢旗赛,可以练技术又能拿奖金,慢慢有些同侪会被影响,加上-推出资安人才培育计划,这几年台湾资讯人才就是这样培育起来。
许复凯认为,学资安之前,要对基本学科非常熟悉,很多人学了“偏门小招”,却连网站都不会写,到头来还是走不远。虽然学校教育必须扎根,但无法很快做起来,毕竟相关师资真的满难找,目前多半是邀请业界有经验的人才到学校讲课,不过资安人才若要兼顾研究和学校教育,往往会心有余而力不足。
许复凯说,DEVCORE 过去一直在找攻击型人才,比较偏向网页相关,随着业务广度与深度不断拓展,也许未来会找其他类型的人才,例如专门负责资安维运的人力,不仅对企业比较了解,也可以驻点在企业直接指导,只不过细节都还在规划中,要看未来需求而定。
(作者:吴家豪;首图来源:DEVCORE)
延伸阅读:
- 微软紧急修补 Exchange Server 漏洞,背后功臣是来自台湾资安团队
- 台湾 DEVCORE 意外卷入,中国骇客入侵微软 Exchange Server 案外案
- 公亲变事主,DEVCORE 驳斥阴谋论强调未受到微软警告
