科技日新月異,網路攻擊與資安風險日益嚴重,因此企業對於資訊安全人才的需求持續攀升。根據調查顯示,臺灣大型企業現有的平均資安人力僅 3.4 人,希望擴編到至少 6.1 人,而最需要資安人才的產業依序為金融業、政府與學校,再來是醫療業與服務業,可見資安人才在市場仍屬供不應求。為此,本文將介紹資安人才的工作內容、資安人才所需的關鍵能力,以及必備的技能和素養。
2022 年 9 月,隸屬歐盟底下的歐洲網路和資訊安全局(ENISA)發佈了名為歐洲網路安全技能框架(European Cybersecurity Skills Framework,簡稱 ECSF)的新規範。這個框架旨在應對資安人才短缺的挑戰,為歐盟成員國以及歐洲地區的其他國家提供可行的解決方案。
簡單來說,ECSF 可用於定義歐洲網路安全專業人員的種類,其中包括 12 種網路安全工作角色,而每種角色都有特定的任務和必備技能。
在台灣,資安院於 2023 年宣布當年臺灣資安人才培力研究報告的藍皮書,表示根據 ECSF 框架,將我國資安人才類別改良為「12+7」種類型,這是因為考量臺灣的國情與地緣政治因素,資安院認為需要投入更多保護與防禦的人才,並反映更多資安產業還有需求的工作角色。
簡而言之,我國這 19 項資安工作角色包括與 ECSF 框架共通的 12 種,以及新增的 7 種:資安系統規畫師、資安顧問師、資安專案經理、資安檢測工程師、資安系統維運員、資安監控防禦工程師、漏洞分析工程師。
以下將就幾項資安工作進行介紹,分別為資安策略人才、資安管理人才,以及資安技術人才。
早在 2021 年底,金管會要求上市(櫃)公司在 2023 年底前根據營運規模和業務情況,必須完成設置資安長和資安專責人員。這意味著「強化資安防禦」不僅是口號,更應盡快成為企業經營中的重要一環。
而「資安長」需要具備的包括以下四種能力:溝通能力、危機處理能力、法令遵循相關知識,以及資安基礎知識。
資安長得向董事會報告企業內部的資安狀況與績效的,因此必須向上溝通能力,以及與其他單位的橫向溝通能力。溝通協調在資安工作中佔據重要地位,而在過程中提供客觀的參考指標將更具說服力,以風險評估、安全事件回應時間為例:
● 同產業前五名公司在資安投資上的資源
● 在資安事件發生時,公司必須有自信能在 12 小時內使系統恢復運作
當企業面臨猝不及防的資安威脅時,資安長的危機處理能力就相當重要。在危機發生時,資安長需要展現公司及其資安團隊的應變能力,迅速釐清問題並提出解決方案。
資安長需要具備法遵相關知識和資安基礎知識,才能理解資安檢測報告、弱點掃描和滲透測試的結果,有助於資安長確定企業的資安問題所在。
資安風險管理師將管理與評估公司的資訊安全,將公司資產進行安全等級分類,深入風險分析與評估後,制定明確的風險處理方式。資安風險管理師還要考慮到不同資產的價值、敏感性,以及可能面臨的各種風險,包括外部攻擊、內部威脅等。
資安風險管理師需要具備全面的資訊安全知識和技能,並能運用這些知識制定適用於企業的風險管理策略。因此資安風險管理師需要專業知識與技能、良好的商業洞察力和風險意識。
根據組織的資安戰略與法律要求,資安教育與法遵得全面管理所有合規事宜,包括與網路安全相關的標準、法律和監管框架。資安風險管理師負責確保組織在資安相關事務上的遵從性,透過制定、實施和維護合規程序,確保公司在法規和行業標準方面的合法性和合規性
此外,資安教育與法遵在推動整體資安文化時,也需要致力於讓組織內的員工掌握如何遵守相關政策和程式,包括開發培訓計畫,提供相應的教育和培訓,使員工能夠理解並遵從組織制定的資安政策,進一步提升整個組織對資訊安全的識別和預防能力。
透過有效的合規管理和資安教育,資安教育與法遵能夠協助建立一個強化的組織文化,使每位成員都能夠扮演積極角色,提高整體資訊安全水準。
資安產品工程師在基礎架構和產品層面,負責資安產品的運作,並提供用戶與客戶相關的資安支援,同時與 IT 人員和 OT 人員密切合作。
在技能方面,資安產品工程師需要熟悉技術開發、系統導入、維護管理、制定升級策略,以及資安產品的測試。
資安滲透測試工程師主要負責執行各項資安任務,包括滲透測試、弱點掃描、紅隊演練、DDoS 演練(主機相關服務、應用程式、API 等),同時協助進行資訊安全教育訓練,並參與攻擊和防禦對策的研究。通常情況下,資安的滲透測試每半年至一年進行一次,因此並非所有資安部門都會內部聘用專職人員,而是傾向採用外包方式,由專業的外部團隊負責執行。
資安滲透測試工程師需具備以下技能和資格,包括熟悉 Linux 指令和 Windows 系統操作、熟悉資安檢測的評估標準(如 OWASP),以及熟練運用滲透測試工具(如 Burp Suite、Kali Linux 等)。
資安滲透工程師擁有 CEH、ECSA 等資安認證,同時具備針對資安事故進行調查和應變處理的實務能力。
以數位鑑識審計為例,發生資安危機時,數位鑑識審計需協助企業針對各類電子裝置,如個人電腦、硬碟和手機,進行數位資料蒐證,運用多種鑑識手法分析並還原事件真相。
同時,數位鑑識審計在跨國訴訟的 eDiscovery 過程中扮演關鍵角色,參與證據的蒐集、資料處理、審閱並負責報告的產出。
溝通和報告撰寫技能以清晰傳達鑑識結果,同時具備強大的邏輯思考和解決問題的能力,才能應對複雜的數位鑑識挑戰。此外,流利的語言能力也能確保在國際案件中順利協作。
額外的加分項目包括熟悉數位鑑識軟體,例如 Relativity、EnCase、Cellebrite,以及具備相關專業證照,例如 CFE、ACE、EnCE、CHFI、GCFA、GCFE、CCFP 等等。
職缺 | 公司 | 薪資 | 職缺需求 |
資安工程師 | BitoGroup | 50,000 ~ 95,000 TWD / 月 | 1. 熟悉Linux / Windows 作業系統與Docker / k8s 部署與管理 2. 熟悉主流的雲服務(如:GCP 、 AWS 、 Azure)資訊產業經驗者及相關認證 3. 熟悉 CI/CD 工具,並協助資訊安全設備建置、維運與整合 4. 經歷資安事件調查實戰經驗 5. 惡意程式分析經驗 6. 封包分析工具使用經驗,如:Wireshark / Moloch 等 7. 逆向程式分析工具使用經驗,如 IDA Pro 等 8. Log 分析工具 |
資安顧問 / 資安工程師 | 蓋亞資訊有限公司 | 50,000 ~ 80,000 TWD / 月 | 孰悉資安相關服務(如 VA/PT/Code Review/SOC 監控等) 網路架構 作業系統(Windows/Linux) 資安設備(FW/IPS/WAF 等) |
集團資安工程師 | 和泰汽車股份有限公司 | 40,000 ~ 83,000 TWD / 月 | 對雲端領域有高度興趣,能夠投入心力研究技術並主動提案。 具 Azure 工作經驗及證照者佳。 |