有感而發,選擇一篇無關技術的主題,在一場非正式會議「討論資安人才培訓」企業資安主管會議中,讓我聽到非常特別觀點也是我扎心很久的想法,心想為何一直沒人提出相似觀點,是我想法太突出嗎?
什麼是企業要的資安人才呢
這裡所談的企業,泛指非資安產業專屬資安職能公司,企業規模介於中大型企業,一般小型企業可能是MIS或是IT兼任,歸納來看,企業要找尋的普遍性資安人才是有分級分類,有些職能角色分別專精於NGF、WAF、DLP、EDR、VA、PT、Code review的報告判讀分析。因為要找到的人才能「適型」於該企業資安管理制度與資安架構,所形塑出來的資安團隊。需要能夠實作驗證,而且持續精進的資安防護人才。企業未必需要絕頂駭客資安高手,可能讓以駭客為職志的人大失所望了,一來企業薪資可能不如預期;二來重視防守更慎重視攻擊,但是並不代表攻擊技術不重要。其實更多時候企業需要的是專注在某一類防禦機制下的專才。
領頭羊vs.駭客高手
一個企業的資安團隊需要一位領頭羊的角色,這領頭羊角色除了帶領企業資安團隊外,需要具備更廣更深資安專業整合,及資安事件應變能力。那領頭羊一定駭客級高手? 具備資安技術能力是基本要求,而是否是駭客高手卻不一定,該角色可能依據企業類型屬性不同而不同,求其在 (1)管理、(2)法律、(3)技術、(4)數據分析能力,四個面向上取得一個「類四方」的變形,長短邊將呈現重視的維度,且缺一不可。企業所期待面向,如果尤重管理,公司思維的可能更加在意資安的制度落實管控;特種高科技安全防護入侵竊取,在資安攻防技術上有更高要求。
是不是需要一位全能絕頂資安駭客高手來當領頭羊呢? 還是要回歸到企業實際需求,大型企業擁有一位資安高手都實屬不易了,本來就很稀少,重點在於企業怎樣運用這樣的角色來領導團隊。如同前面所提企業薪資對價可能有落差;一般企業重視防守更慎重視攻擊。全能絕頂駭客資安高手,需要在有規模且非資安領域企業中尋找到一位就很了不起。
攻守之間的平衡
近來年輕資安新苗爭相引頸加入CTF資安攻防搶旗賽,在政府與學校鼓勵下成為顯學,但是要請大家冷靜一下,回到「什麼是企業要的資安人才」,找漏洞拿獎金爭取駭客排名是一個行業與職能,但多少人能在此領域永續發光發熱,回到創業與業界,可能是多數人面臨思考的問題。孫子兵法中「善攻者,敵不知其所守;善守者,敵不知其所攻」這兩句話不能分開來解讀的,兩者如陰陽一樣相生相剋,所以過度強調「CTF資安攻防搶旗」與業界需求就會產生落差,政策指導與教育單位,必須更謹慎操作引導。如果是為資訊戰部隊而設立,那就另當別論。有趣的是即便是軍事需求,也是需要防守的思維與應用。
想起在一次面試中,我面對一位駭客新苗,他誇耀著自己入侵百餘企業官網,這樣的思維筆者不能苟同,因為即便在Cyberspace仍會有法律制度與社會規範,在虛擬世界的活動是可以轉化成現實懲罰,透過法律制度來約束禁制某些不成熟的駭客活動,只不過當下他似乎沒發現他正潛浸在風險中。思考這是不是過度引導「攻方價值」的後遺症呢!? 以平衡攻守的角度思考,應該是更好的選擇,不是嗎?。其實防守的價值,就像金庸小說中獨孤求敗的「從敗招中求取出勝招」,防守失敗被攻破,必須知道防守破口,進而強化改進與保護機制。
駭客暱稱迷思與企業人才關係
人的過往軌跡都有脈絡可追,再細膩的隱藏都有其風險,就像「蛋殼難免會有縫一樣」,駭客暱稱是Cyberspace中角色「虛擬真實」的再現,帶有你人格、心理與行為的特徵。不該以駭客世界名聲當成是價值的代表。在網路世界的暱稱,並不願意也不應該全然彰顯給真實世界,因為該暱稱需要被隱匿,搭配空間跳躍,那是一種「安全潛行」,就像Stalker與Hacker的結合。應該是要深化資安或駭客的精神與價值。駭客稱謂與企業人才需求,並不一定畫上等號關係。反而不成孰的行為會帶來負面的效果,這是給資安新苗的建議。