[資安職涯] 001 資安工程師是駭客嗎

飛飛 | 2021-12-03

本篇文章介紹進入資安界不能不知的刑法妨害電腦使用罪,並以淺顯的用詞科普駭客與資安工程師的差異,文章內提到的資安工程師偏向滲透測試工程師的定義,最後提及資安的工作類型。

關於資安工程師

我其實很少對非相關領域的人介紹自己的工作,一方面是覺得自己蠻懶得解釋專有名詞,所以我通常會簡稱自己為工程師,就是坐在電腦前面的生物,這篇文章將會以淺顯的用詞科普駭客與資安工程師的差異,文章內提到的資安工程師偏向滲透測試工程師。

資安乃資訊安全,許多人一聽到資安工程師總是會問我,「你的工作是在當駭客嗎?」、「你可以駭進去我的電腦裡面嗎?」、「你可以盜我的帳號嗎?」這些問題有如颱風天的雨水迅速地灑在我的臉上。

我的工作跟「駭客」有 87 % 相似,但解釋工作內容之前,可以先參考刑法第三十六章妨害電腦使用罪,裡面提到非法的事情,都不會接觸到,所有工作內容均遵守法律規範。

資安工程師 VS. 駭客

我們要先正名,其實駭客這個詞是非常中性的,甚至說有一點稱讚,所謂駭客的定義其實是熱衷於研究、建設網路世界,讓這個網路更美好,也可以說是資訊高手,而怪客 Cracker 才有沒有道德標準,可能會肆意破壞他人的網站,或針對性的去竊取他人機密,也有可能因為政治因素,攻擊他人。

駭客是技術能力很厲害的人,但大家的誤解,可能時常聽到駭客非常邪惡,常常盜取民眾或企業的敏感資料(如個人資料、商業機密)或是惡意破壞某個組織的網站,又可以從駭客的利益去判別類別的,分別為黑帽駭客、灰帽駭客和白帽駭客,當然絕對不是因為帽子的顏色不同而區分這個人是好人還是壞人

駭客種類

駭客種類的差異

  1. 黑帽駭客:惡意竊取他人的機密或是進行攻擊,甚至侵害他人隱私。
  2. 白帽駭客:
    針對企業內有網站或服務,企業會委託資安公司進行資安檢測,由資安工程師進行檢測。

如同醫生對人類身體進行健康檢查檢查身體有沒有生病,檢查完畢,收到一份健檢報告,從報告裡面知道自己身體有什麼地方需要加強,比如要定期運動增加免疫力或吃藥殺菌並定期追蹤。
資安工程師會幫企業檢查他們的網站有沒有問題,檢查完畢寫一份報告,告知企業網站哪裡有問題(弱點、漏洞),如何修復這些問題。

  1. 灰帽駭客:根據利益性(竊取他人機密或公益回報問題)來判別偏向黑帽還是白帽。

資安工程師是就像網站的醫生,透過檢測手法(醫生的醫術),找到網站的弱點(病原),撰寫報告告知修復方式(開藥單與改善方式),讓網站更安全(讓身體更健康)。

自身工作內容

我的工作內容有大致上分為企業資安服務(弱點掃描、滲透測試、紅隊演練)和 IoT 物聯網設備(自動化檢測產品維護與漏洞挖掘),這段內容比較多專有名詞,可以想像成依據受測方的需求提供不同服務

  1. 弱點掃描:透過「弱點掃描軟體」掃描目標網站,根據掃描結果以人工審查方式判別是否為誤判與漏判弱點,再撰寫弱點掃描報告。
  2. 滲透測試:以惡意攻擊者的攻擊思維,針對目標企業網站,透過滲透檢測流程,深入檢測網站的安全性,並撰寫滲透測試報告。
  3. 紅隊演練:以惡意攻擊者的攻擊思維,針對目標企業網段,以不同的攻擊思路與廣度,針對企業環境全面性的進行檢測,可能於企業外網,想辦法打進內網或是透過社交工程等攻擊手段,最後再撰寫紅隊演練報告。
  4. IoT 物聯網自動化檢測:公司產品,主要針對市面上物聯網設備進行自動化檢測,維護檢測段的程式碼。
  5. IoT 物聯網設備漏洞挖掘:針對市面上物聯網設備進行檢測,挖掘未被公諸於世的漏洞。
  6. 企業資安環境檢測:會去中小型企業確認企業內部環境架構並且提供建議與改善方式。

自身興趣

  1. 資安教育訓練:喜歡透過淺顯易懂的圖解加上 LAB,讓學員可以更認識資安概論、網站安全、滲透測試、物聯網安全。
  2. 資安文章:不管是科普文章、還是技術文章,凡走過必留下痕跡,之所以寫文章,原本是因為自己的小腦袋紀錄不下太多東西,因此透過寫文章的方式讓自己記起來。

資安工作類型

因為自己比較接觸攻擊檢測類的,所以文章會比較介紹檢測相關的資安服務,其實在職場上,資安工程師還有許多類型,比如在資安公司可以簡單區分成攻擊類型與防禦類型,工作內容可以分成以下:

  • 攻擊檢測:紅隊演練、滲透測試、弱點掃描、資安健診等…
  • 數位鑑識:分析惡意程式、分析 log 來了解駭客攻擊手法等…
  • 防禦類型:惡意程式偵測、攻擊偵測系統、防毒軟體等…
  • 資安監控:SOC、稽核等…
  • 資安治理:ISO27001、資安長、制定資安政策
  • 人工智慧:將資安加上 AI 訓練模型等…
  • 也有在乙方擔任資安部門防禦自家公司也算是資安工程師
  • 還有很多工作類型,一一列舉不完,如果有想補充的夥伴有可以留言給我。

飛飛的文章連結

如果你想學習網站安全,我撰寫了一篇給新手的網站安全路徑指南,提供給新手從 Linux、git、網站基礎、網站相關漏洞、滲透測試、Windows 相關的學習資源,可參考這篇文章:

如果你想了解所謂的駭客集團是什麼,或是現在有哪些所謂的網軍在攻擊,ATT&CK® 是一個紀錄駭客集團的攻擊手法與情資分享的資料庫,你可以參考以下的科普文章:

如果你對於物聯網設備的攻擊手法有興趣,可以參考以下的文章:

有什麼問題都可以在底下詢問我,如果可以請幫我按愛心與拍手拍五下,感謝你們!