每年台湾资安大会的资安人才论坛,我们经常听到投身资安领域多年的专家们,公开自身的学习经验或转职经历,让准备进入资安产业的人能得到更多启发。特别的是,今年一位讲者虽然入行才仅仅两年,但其演说题目「工厂到骇客:台积电课长转生资安工程师的异世界生活」,吸引相当多的目光。
他是中华资安国际高级资安检测工程师粘书豪,之前曾在台积电担任课长一职。他的离职主要是家庭因素,不过他的转职方向应该令许多认识他的人感到讶异,因为资安攻防领域已成为他另展长才的新舞台。
对于这次在台湾资安大会的资安人才论坛发表演说,粘书豪相当有感触,因为他两年前获得第一份资安工作,招募他的业者就是跟他约在台湾资安大会现场进行面试,进而成功开启了他的资安职涯之路。
虽然转入资安领域只有两年,粘书豪可说是相当投入其中,他不只日常上班负责资安检测类型工作,同时也利用个人时间,为国内资安漏洞通报做出重大贡献,在HITCON Zeroday 2023年度漏洞通报排行第1名。
转换跑道从本科系开始思考,寻找具使命感的工作让他决心成为骇客
对于转职一事,粘书豪表示,虽然在台积电的工作很繁忙,每天顾产线、对人员派工,还有生产会议、产能改善、约谈、报告与交接等任务,上班时间也不短,但他并不讨厌这样的工作,毕竟薪资水准不错。
离开台积电的原因主要是家庭因素,粘书豪坦言,家里有一些状况需要回去照顾,因此才与他太太讨论,离职后搬到台北工作。
为何新工作会选择资安领域?粘书豪表示,当时他希望找到一个既有兴趣、又具长期发展性的职涯方向。由于本身是资管系出身,因此他首先将目标聚焦在资讯相关领域。
而在众多职务中,他想要找一份让他更有责任感与使命感的工作,此时,「资安工程师」一词就浮现于他的脑海。不过,资安领域范围很大,职能分工多元,为了找到有趣的工作,最终他被其中富有骇客精神的职务所吸引,决心成为一名骇客。
零经验如何成功踏入资安新手村?
转职资安之路真的容易吗?粘书豪笑著回忆,当时只是很直觉地在Google搜寻:「到底要怎么成为一个骇客?」然后多数搜寻结果告诉他,要学会Linux、TCP/IP、Python,还有熟悉 OWASP Top 10。
不过,这些资讯是否正确,他其实无从判断,而且当时的他没用过Linux,也没听过OWASP。只有学生时期学过TCP/IP、大学写过Java、研究所用过Matlab,但那已是十年前的事了。
在这种情况下,粘书豪选择上课作为进入资安领域的起点。他报名了EC-Council CEH骇客技术专家认证课程,借助教育训练中心来提供系统化的学习方式。
他打趣说:「就像去健身房上课一样,缴了学费应该会有成果吧!」然而,第一天上课就让他尝到了震撼教育。因为讲师问大家:「这个80 port、21 port是什么,应该不用特别教吧!」而他当下心里想的是:「欸……什么是port?」
虽然粘书豪以玩笑般方式、轻描淡写地描述这段经历,但我们也可看出他在转职资安之路上,一开始所面对的挑战。
最终,粘书豪为了能够顺利转职资安,花了一年的时间,终究克服万难并考取证照。他提到,之所以花比较久的时间,一方面是要补足之前不懂的知识,另一方面是他的孩子在这段期间出身,每天听婴儿哭泣,其实很快就一天过去。甚至课程附赠的考试券都过期,还好与原厂沟通得以展延,不用再多花钱考试。
回顾踏入资安新手村的这段历程,粘书豪表示,后来他发现网路上的建议都是真的(意指前面所提Linux、TCP/IP、Python、OWASP),而他也整理自身经验,希望为想加入资安领域的新手提供具体的参考与方向。
在Linux方面,他强调这方面的基本指令务必要熟练,因为很多渗透测试工具与目标伺服器都是基于Linux系统而成。
同时,熟悉Windows、Active Directory架构也很重要,尤其在红队演练中经常会碰到相关环境;关联式资料库也必需掌握,因为渗透测试过程经常会接触到,所以资料库的SQL语法要会,至少常见的MSSQL、MySQL、Oracle要能够熟悉。虽然语法大同小异,唯有Oracle较特殊,需额外注意。
在网路架构方面,由于每个客户或目标环境都不一样,若客户端技术背景较弱,渗透测试人员若具备一定的网路诊断能力,在遭遇连线异常时将能协助厘清问题。
在Python程式语言方面,他觉得初期不一定要会写,但至少需看得懂,因为很多工具是用Python撰写,才能方便针对工具进行必要的修改。至于其他如GO或Rust等程式语言,只要能达到目的也可以多学一点。
至于OWASP Top 10方面,他觉得不用特地死背,基本能听懂名词与其背后的风险逻辑就好,但常见攻击手法一定要熟悉,包括SQL注入、命令注入、XSS等。
另外,粘书豪也整理出几个实务中常用的工具,建议大家可以试著及早熟悉,包括:WEB安全测试工具Burp Suite,网路扫描与探测工具Nmap,密码破解工具Hydra,以及渗透测试工具sqlmap等。
他同时提醒新手不要忽略一项关键能力──Google Hacking。简单来说,这是利用Google搜寻技巧搜集目标资讯的方法。他认为,资讯收集是骇客的基本功,不过自己有时执行专案都会忘了这招,因此他也在此向大家特别告诫。
资安职涯首年就面对到广泛工作内容,既是挑战也让他获取大量经验
谈到资安新人的职涯成长,粘书豪大方分享自己的经历。他提到,前面报名CEH到考取证照,大概花了1年的时间。
而从考取证照到获得资安职场的第一份工作,大约经历1个月,特别的是,求职当时对方刚好趁著台湾资安大会举行,因此将他约在展会现场进行面试。
他回顾当时第一份工作,由于经验尚浅,主管最初指派他负责弱点扫描,但由于公司算是新创,在人力有限、业务量增加之际,使得他在一个月后就要开始接触超出他原本能力、更具挑战性的工作。
因此,后续他陆续开始负责渗透测试、原始码扫描、社交工程等任务,也负责实验室的品质管理,需了解设备测试、文件管理、认证申请与稽核流程。加上公司一度缺乏专案经理(PM),工程师必须自行处理专案管理,从确认目标、交付报告到验收,另外也要支援业务进行Pre-sales,连采购工具也得亲自处理。「那段时间几乎什么都要会,也让我学到非常多。」粘书豪说。
在工作之余,粘书豪为了增强自己的技术能力,他在下班时间也很投入其中,因为他先前也就提到会积极参与HITCON Zeroday,并且成为了2023年度漏洞通报排行第1名,借此锻炼自己能力,也期望获得奖励与肯定。
此后,他在去年7月获取第二份资安工作,也就是现在于中华资安国际担任高级资安检测工程师一职。
转职初期的练习应多多益善,尽可能累积技术与实战经验
要如何提升自身实力?对于想从事渗透测试的资安新手,该粘书豪以自身转职初期的学习经验,分享他使用的方法与资源,提供有志投入此领域者作为参考。
不过在谈技术之前,粘书豪先强调道德意识与风险认知的重要性。他以自身喜爱的电影《星际大战》为例,将从资安研究的白帽骇客,与从事网路犯罪的黑帽骇客,比喻为绝地武士与西斯武士,提醒大家不要堕入「黑暗面」,以此强调学习过程中必须要有法律与伦理的自觉,像是《刑法》第36条妨害电脑使用罪,就指出违法行为最重可处五年以下有期徒刑。
对于自身实力的养成,粘书豪提到3个可供练习渗透测试技能的平台。
最初,他的练习是从Hack The Box线上平台开始,俗称「打靶机」,也就是学习试著破解各种不同漏洞题目,不过他也坦言,实际挑战时,发现这里的难度并不低,常常遇到标示为「简单」的题目,自己却花了好几个晚上都无法解出,令人感到挫折。
因此他建议,新手可以从TryHackMe线上平台开始,难度是相对适中,当中也提供丰富的免费课程,在这里可以学到很多基础知识。
另外他也推荐Vulnhub平台,优点是有许多靶机的虚拟机能免费下载,可在离线状态练习,缺点是品质参差不齐,需要自行架设。
此外,虽然Hack The Box让他在初期受到挫折,不过该平台开设的付费课程HTB Academy(年费约1万6千多元),他认为非常有帮助,因为其内容相当扎实,而且平台亦推出自有证照,如CPTS、CPPH。在他看来,该课程已经接近取得OSCP证照的等级,如果能真正理解CPPH课程所传授的内容,对于渗透测试工作的准备也就差不多了。
除了上述可练习渗透测试的资源,另外他也推荐3种类型管道,涵盖资安文章阅读、漏洞通报与CTF,可帮助自己在初学时获得更多的成长。
例如,他提到iThome举办的iT邦帮忙铁人赛,他会从中汲取资安类别文章的知识。
参与漏洞通报,参与国内的HITCON Zeroday漏洞通报平台,是粘书豪相当热衷的一项活动。在这里,他可以将网路上发现的实际资安漏洞进行通报,并请平台去通知对方修补,虽然这看似在做公益,对方也不一定接收通报或有意愿修补。但每天逛网站、到处找漏洞的研究与成长经历,确实让他比相同资历的人,可以更具实战经验。
未来,他还希望利用闲暇时间,能参加国际性的HackerOne漏洞奖励计划(Bug Bounty Program),因为成功回报漏洞还可获得奖金,同时也能精进自己工作上的能力,只是这里的竞争更为激烈,因为比拚对象是来自全球的白帽骇客。
在CTF方面,也是一种可以学习攻击与防御的骇客竞赛,虽然有些CTF竞赛开放各界人士参与,但多是针对学生而举办,他认为自己年龄超过30岁、已不再年轻,不适合参加CTF竞赛,因此他主要推荐picoCTF这个平台,因为当中收录了历年的CTF题目,适合自主练习且压力较小。
最后,虽然粘书豪还只是入行两年的资安新鲜人,但他也想向大家分享的是,资安工程师需要做到「持续精进」,因为资安技术真的是日新月异。这点,从他上述演说内容可以看出。
不只要重视技术实力的培养,另外他也指出「良好沟通」的重要性,毕竟我们知道资安威胁与风险是每个人的事,若要让其他人知道,他指出,就要懂得把专业术语转化为一般人能理解的语言,这对与客户或团队的沟通合作至关重要。
整体而言,迈向资安职涯之路有许多方式,粘书豪也以自身渗透测试工作领域的同事为例,总结出4种路线:(一)有些同事是资工或资管系出身,本身具备深厚的基础,程式设计、网路架构都很熟悉,进入产业就能很快学习;(二)有些同事不一定是资讯相关科系出身,但学生期间积极参与CTF比赛,可能在Web、鉴识、密码学、逆向或Pwn等领域是佼佼者,进入业界后就能靠著这些专长闯出一片天;(三)有些同事从资讯产业或其他领域转职,以本身是网管或MIS工程师而言,转职后通常只需要补足一些攻击手法的知识就能很快熟悉,(四)还有些同事技术能力强得夸张,他开玩笑地说,是不是原本就在做坏事,所以才会那么厉害!这次他也带来自身在资安职涯的成长经验,让大家能一窥不同的转职经历。
稳健的演说风格,多年会议报告经验打磨
关于粘书豪这次资安职涯经验分享,我们在现场聆听时可以感受到,他在演说时的语速稳健,内容精简且条理清晰,令我们好奇,这是否与其在台积电工作时经常需要报告的经历有关。
会后我们进一步向粘书豪询问,他表示,之前在半导体产业工作时,经常面对上台报告,接受台下主管提问语质询的历练,确实让他不害怕上台,心脏也越来越大颗。他另提到,在第一份资安工作时,他是该公司第一个出去做教育训练的「工程师」,这是因为以往这类授课通常由副总或顾问负责,而他因一次专案中副总临时有事,而被指派代为讲授。
至于半导体产业的经验对资安工作是否有帮助,对此问题,他认为,当时的工作内容其实与资安关联不大,但台积电「实事求是、持续精进」的企业文化对他影响深远。他坦言,自己原本个性较为随性,进入台积电后工作态度变得比较严谨,而且为了适应工作常常需要逼自己学习新的知识,或许也是因为这样的缘故,让他进入资安产业后,也很习惯去学习新的攻击手法等知识。