※ 引述《yukimatoi (缠)》之铭言:
: 今年27岁 过去三年都在写C++ Qt
: 主轴虽然是C++ 不过其他语言跟开发环境都有经验
: 写过Javascript跟SQL、Python
: 虽然平时用VS开发 但建置也懂自己撰写CMake
: 也曾经porting程式到到linux上跨平台开发
: 今年下班自己进修 一直好奇骇客是怎么入侵电脑的(因为有好友问如何防止网站被入侵)
: 于是自己注册了VHL 下班抽空摸一摸自学
: 课程虽然没有到exploit development
: 但算是有过过水体验整个流程(我看reddit的评价, vhl的难度与oscp相比还是较低的)
: 在思索要不要转换跑道到资安 拼一张OSCP 主要考量的
: 乐观
: 1. 近年政府对资讯科技的重视远高于以往
: 也许未来企业组织资安职缺会变多 (个人主观臆测)
: 2. 大专院校的课程安排着重在开发 对资安实务着墨较少
: 人才竞争相较不激烈
: 悲观
: 1. 重新累积资历, 薪水仍停留在毕业生阶段
: 2. 对资安从业环境过于乐观, 发展性不足或进去在作MIS的业务无法获得提升
: 不知道是否有资安从业的板友愿意分享或给给建议
: 非常感谢
讲点现实的情况
台湾的资安职缺
资安管理>=纯资安防护>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>渗透测试>>>>>>逆向工程
资安管理就是建立ISMS的那套流程
写四阶文件、资安稽核、做资安教育训练等等
政府因为前几年有通过资通安全管理法
所以会要求很多公家单位和关键基础设施的行业(例如:金融业、电信业、医院...)
都要取得ISO 27001的认证
需求量就会相对来说比较多
资安防护就是Blue team
我会加"纯"是因为通常也只有金融业会有独立的资安部门(像推文有人说的SOC和SIEM就是)
不然不管是科技厂或其他类型的甲方公司通常都是由网管或系统工程师兼任
至于渗透测试和逆向工程除非是强者
不然实在是不建议往这个方向
职缺数量完全比不上开发和维运
公司征人要求的门槛也不低
和开发相比又难入门
要当软件工程师只要把学校教的程式和资料结构学好
就有一堆工作给你选了
想要当个Penetration tester
即便我把学校教的资讯安全概论和网络概论念熟
也有利用Kali Linux内的工具实作练习
去面试也是被问倒
书本里可能会教你渗透测试的工具怎么使用、和背后的原理
但是却很少会告诉你入侵系统的思路是如何