找资安工作，怎麽找？要学甚麽？该何去何从？

今天刚好进入铁人赛的一半了，
累，真滴累。虽然单纯看文章，是看不出甚麽端倪，
内容都不是很多，可是都还是需要花费一些时间准备，
这十几天，真的还满算是有点累的撑过来。
是还不到拼命苦撑下来，因为接下来的15天才会是QQ

这好一半，也来个非常特别的一篇～
给真的是完全没概念的入门者或是转职人员一些参考，
还有谈谈我自己的一些想法。

毕竟这系列的文章「资安面试300题」，
打从题目到主旨，其实就跟找工作是息息相关的了XD

就来谈谈在资安领域，关於如何找工作？该学些甚麽东西呢？
首先自肥一下，之前有拍一个影片推荐SANS的资安技术路线图

资安技术路线图 | 资安职涯发展 | 资安学习路线 |Cyber Security Skills Roadmap | SANS Institute
https://www.youtube.com/watch?v=8fuon7gTfGM

SANA Cyber-Security-Skills-Roadmap
https://www.sans.org/cyber-security-skills-roadmap/

不管你是打算进入资安圈，抑或者是已经在资安产业中打滚了，
其实都还是可以参考看看了解自己目前所在的位置，或是想发展的方向，
也可以透过这个路线图与不同项目中的内容，
去了解说不同的领域与阶段，或许应该学习与具备甚麽样的技能与知识。

但这个毕竟是一个稍微偏向於理论与学术上的框架或规划，
实务上不同组织单位，还有职务内容，都可能会有差异。
而且是国际性的资安组织所设计，不会考量的地缘性的特点与文化。

所以接下来我们来看看「实务上」「台湾」的「职缺」都有甚麽样的玩法吧！

下面我会列出一堆我在人力银行上面所看到有开的资安缺，来更贴近我们的实务生活。
列完之後，也会谈谈一些关於我自己的想法。
实际上要怎麽找工作？该学些甚麽东西？
对於刚入门的人甚至说大部份的人，其实都满推荐直接点开人力银行来看看，
可以直接看看社会上都是开甚麽样的职缺比较多，不同的职缺需要甚麽样的技能、知识、证照，
也可以从上面的需求条件，来进行自己的技能与职涯规划也可以。
就算是同样的职缺与职称，在不同的产业或不同的公司，
有时候所需技能树和职务的内容，也都会有不少的差异。

资安工程师

工作内容
渗透测试
弱点扫瞄、资安健诊、社交工程、原码检测等服务执行
资安事件应变处理
专案计划书规划撰写
配合客户提供顾问谘询
其他条件
具独立渗透测试经验并理解相关漏洞细节原理
熟悉网路、作业系统、HTTP协议原理
熟悉至少一种语言用以辅助自行开发工具
熟悉各种渗透测试辅助工具 (Burp、Metasploit、Kali等）
具团队合作精神、良好自学态度者佳
具资安相关证照者佳 (CEH、ECSA、CHFI、OSCP、CISSP)

资安检测工程师

工作内容
拥有一身好武功却无处发挥？被迫把弱扫当渗透？加入我们吧！
(1)负责业务：红队演练、渗透测试、弱点扫描、源码检测。
(2)具有白帽骇客技能，曾任资安讲师、发表CVE、Bug Bounty者尤佳。
(3)熟悉系统建置与网路，具备安全防护与漏洞修补知识。
(4)对於新技术有研究热忱，深入探讨骇客技术且想当个好人。
(5)具有IoT背景、Waf调校、网页程序、Python或行动APP开发经验尤佳。
(6)具备GWAPT、GPEN、ECSA、LPT、OSCP等证照者尤佳
其他条件
(1)熟悉网际网路TCP/IP通讯协定、作业系统、各种服务器服务运作原理 (如Web、DB、AD、DNS等)、基本资料库语法，并具备相关技术经验。
(2)熟悉OWASP Top 10与Testing Guide、入侵攻击运作原理与相关技术。
(3)具备网路与资安防护设备(如Waf防护设备等)建置与维运管理经验者尤佳。
(4)曾参与资安竞赛(如金盾奖、CTF等)、漏洞通报 (如CVE、HackerOne等)、资安培训或资安社群经验尤佳。

资安维运工程师

工作内容
1.协助资讯安全设备维运基础工作。
2.协助处理资讯安全事件/事故。
3.支援ISO27001资安验证维运作业。
4.执行资安管理相关作业之资料汇整，及相关文件撰写与管理。
5.内外部稽核缺失、事故应变处理之改善与追踪。
其他条件
1.具网路管理基本知识。
2.拥有资安ISO27001主导稽核员认证。
3.具资讯相关工作经验为佳。
4.了解TCP/IP、网路及作业系统、资讯安全相关知识为佳。
5.具备防火墙、IPS、WAF防毒等资安设备代管经验为佳。
6.本科系毕业无相关经验可，可提供教育训练。
7.适合初阶对资安领域有兴趣者。

好的，上面列出了三个来自不同公司的不同职缺。
当然还有更多更多更多...其他的公司职缺，不可能都列上来，
不过列出来的三个其实也几乎都包含了我想表达的一些想法，
其他的公司资缺也都大同小异～

接着我想针对几个点稍微说明一些，
关於找工作的一些事项还有台湾的资安职缺情况。

1-网路+作业系统+Web基础
在资安领域中，其实可以发现许许多多的职缺，
都至少会有要求要有基础的网路知识，
其实也如同我们系列最前面的网路基础篇所提及，
网路不等同於资安，但学好资安，是应该要具备基础网路知识。
所以不管如何，网路基础要学好！
第一项可以看到「熟悉网路、作业系统、HTTP协议原理」，
其实也可以知道对於网路以外，对於基础作业系统和HTTP理解，
也是多数的资安工程师都会需要的技能。

2-职务内容包山包海?!
有时候你会看到许多的职缺内容几乎是包山包含
（其实不资安，前後端或是软件开发也常见这种情形）。
例如工作内容是
PT+源码检测+健诊+社交工程+恶意程序分析+数位监识+ERS+资安设备建置等等

你一定想说..靠北怎麽可能这麽全能!?
这时候首先我们可以先简单，从薪资做一个区分XD
第一种是它开的薪资就真的是高到有资格要求你全能，
第二种就是它薪资没有这麽高。

以第二种的情况来说也是不用急着靠北，
其实还是有许多的可能性，有着不同的面向与因素，
我简单谈谈几个我自己知道的理由。

A. 它不知道自己要甚麽，或是不知道每个项目的详细内容与难易度。
这个机率偏低，但不是不可能。
我自己有遇过有公司内部是完全没有任何一个资安专才的人员，
但是他们需要找一个资安人员进去。
可是你想想，他们内部就没有任何人懂资安，
也许他们不是太清楚自己要的是甚麽，
他们不知道职务内容PT+数位监识+资安稽核管理，三个都要学好学满有多困难，
也不清楚具备这些条件应该开多少的薪资合理，其实都不是不无可能。

B. 不是要你全能，而是有你会的就可以，或是部门涵盖范围这麽广。
这个机率稍微比较常见。
列出了一堆东西，它不是要求你都会，而是你当中有你会的就可以。
例如公司或是部门涵盖的范围就是这麽广泛，
但不会要求你全部都能精通，可是希望你对於其中几个项目是比较熟悉的，
其他的项目则是若有遇到需要支援，则去帮忙支援，或是时间可以再学习。

谈到这个，我又想多谈一件事情，
关於不同的技能，如果你是一个钻研技术的爱好者，
有时候～从技术的角度来看，和从执行服务的角度来看，会有些些的不同。
工作经常会是一个专案、一个服务、完成该目标的导向为主。
在不同的产业、公司、专案当中，有时可能会与想像中或是理想中有出入，
可能有人会觉得说这是甚麽职场黑暗面吗？其实不一定啦，
虽然有的可能会是XDD，但「不见得」都是不好的方向。
想表达的想法好多，可是不知道怎麽说才好QQ

我举几个例子，先前参加一个营队，有个从学术界跨到业界的讲师，
分享了一个科学家与工程师的差别的小故事，
他是一个化学家，到业界公司的时候，公司给他一个考试，
给他一间化学实验室，要他做一个压克力板出来。
（其实我忘了是要做甚麽东西，不过这不是重点XD，不影响故事发展）
然後他一开始觉得有点被羞辱，怎麽会考这麽简单的东西，
花了半天的时间，做了一个纯度很高的压克力板出来。
可是对公司来讲，反而并不及格，因为他花费太多时间与成本，
对公司来说，需要的是可能是要低成本快速且稳定产出压克力板的方式。
分享这故事...就是，其实彼此都没有错，
只是站在不同的角度，可能会有不同的理解与需求。

接着想提电影《霍元甲》中，
霍元甲说到，「武术没有高低之分，人却有强弱之别」。
这句话也可以从很多角度切入去延伸XD

像是前端开发工程师呀，常常看到有个公司开缺薪资却是3万-10万(?!，
即使是在同一个公司的职缺都会有这样的差距，更何况是不同产业与公司，
而不同产业与公司对於同样的职缺，也可能有着不同能力强度要求。

领域之间通常也没有所谓高低之分（通常没有，但薪资高低不保证XD），
例如渗透测试或是恶意程序分析，没有所谓哪个比较高级、比较厉害。

C. 就是要你都会。
就是要你都会都做，但这种通常就变成你每种可能都会接触或执行，
可是就不会要求都精通就是了，如果是这种情况，其实要再精通也是困难。

3-证照加分
这个几乎是不用多说的一个点，虽然我还是要说。
资讯领域的工作，除了学历以外，
其实不少工作，面试者都会利用作品来达到加分的一个效果，
把自己写的程序放到Github、自己架一个网站，诸如此类的。
不过资安通常不是以写程序为主，不太会有甚麽「作品」，
常见可以证明自己的，可能就是证照了，
不过国际认证真的都贵贵der，大家也可以好好斟酌。

虽然这个我自己觉得也是有点奇怪啦～
感觉认证应该是要先具备职场经验，才去上课程考认证比较好，
不过现在很多都变成还是学生就去考了，或是公司要求你进来前要有，
先不论是不是乱象了，这个就是目前台湾生态，唉。

4-热诚与自学
除了刚刚提到的认证，有参与各种竞赛像是CTF之类也都是加分的。
其实也可以看到许多资安缺，会提到有热诚与自学，
我觉得每个产业都有各自的特性，其他产业需不需要热诚我是不确定啦，
但有些可能还好，像是轮班设备工程师，
应该是不会要求你平常要自学设备，对设备有热忱吧XD

可是要走资安，如果是希望能在这个领域好好发展，
个人认为能够对资安具备热诚，并且有能力且愿意花费时间自学，
是非常重要的事情！如果我是主管，这个必然会是我的优先考量之一。
（热情会不会被磨灭掉，就是另外一回事了XD）
能够多多参与一些社群活动，不管常年举办的，或是一些不定期的小活动，
订阅或是追踪一些网路相关的脸书、Youtube、Twitter、部落格也都很不错！

挖XD

今天不知不觉废话有点多了

供大家参考个人浅见