請問找資安方面的工作需要會那些技能和程式語言 - 資安

※ 引述《dp2046 (Kevin)》之銘言：
: 大家好
: 就我了解資訊安全的工作有分很多面向
: 例如：資安管理、滲透測試、弱點掃描、原始碼檢測、逆向工程
: 個人是比較傾向找前三者
: 其他像是逆向工程感覺職缺非常少
: 而且好像需要會組合語言
: 以前曾接觸組合語言這對我來說真的太難了
: 再來介紹一下自己
: 大學時有修過網路概論的課
: 程式語言方面有修過C和資料結構的課
: 只是C語言好像也跟資安的關聯性不大
: 自己C其實也學得不太好
: 現在則是比較常看網路上的教學用Kali Linux內的工具做些滲透測試、弱點掃描、社交工程的實作
: 和讀資訊安全概論與實務這本書(不過這本書幾乎都是純理論沒什麼實作)
: 以現在的情況不知還需要加強哪方面的技能或學哪種程式語言？

資安要考慮的面向還很多

1.風險控管-政策制定-控制措施-矯正預防
需要實務經驗輔以理論，你可以去看CISSP的原文教材
至少看完一遍重點章節看兩遍，考不考證照是其次，對資安整體面向會更清楚

2.滲透測試/弱點掃描/灰箱測試
這部分只算是控制措施的一環，模擬外部攻擊找出比較常見的漏洞與風險
大都透過檢測軟體輔以自動化腳本執行檢測，資安工程師再根據檢測報告提供矯正預防措施

3.資安工程師比較需要安全意識和清楚的邏輯，還有對系統與網路架構的瞭解
程式語言能力頂多就是讓你在看攻擊程式或軟體原始碼找漏洞時，比較清楚在做什麼
但如果你是負責挖掘漏洞的資安研究員，就很需要程式語言跟密碼學原理還有網路概論
比起C語言，網路世代用Python,GO,Ruby,Perl應該比較多吧? 至少門檻比較低

4.建議從網路概論著手，TCP/IP ARP基礎、各種網路服務的通訊原理(https,dns,vpn..等)
再來是作業系統概論跟Linux系統操作、服務架設與設定、系統防護措施(RBAC,ACL,SELinux,FW)
接著是網路設備的架構、設計、通訊協定(802.1,802.3)、防護安控措施
最後是整體網路架構的安全性設計(DMZ,IDS,IPS,LOG分析告警)
無線網路安全也是個議題，但台灣企業比較少在乎這塊，其實還很多無線設備還沒補KRACKS漏洞

5.原碼檢測會分網頁程式、SQL或企業自己開發的程式(Java/.Net/C)，是比較專業細部的資安工作
會偏資安研究員必備的技能

6.逆向工程就是屬於資安鑑識這塊，要分析惡意程式的特性、行為與追查來源
也是屬於進階的資安研究員技能

總結：懂得設定、操作跟管理網路與系統的資安防護算是資安工程師
　　　知道如何挖掘新漏洞、修補漏洞甚至分析與追蹤惡意程式來源，算進階資安研究員的技能

個人才疏學淺，還望其他高手補充

--