雲力橘子 2024 首發 Hacker Talk 論壇，破解資安求職與無人機資安盲點

2024/04/22

現今不論政府或企業皆出現大量資安人力需求，若從資安求職者角度來看，可能遇到哪些困境？再者隨著無人機逐漸被廣泛應用，可能面臨哪些資安挑戰？上述提到的環節，都被雲力橘子列入 2024 年首場 Hacker Talk 論壇的探索範圍。

暸解產業環境，實現加入資安

率先開講的雲力橘子資訊安全部副理PhoenixWolf（張力文），發表「資安路漫漫∼資安入行之我見」。他觀察目前資安職場上有四個現狀，首先「職缺粥多僧少」，相關就業空間甚大，對求職者有利；其次「技術競爭較弱」，高階資訊人才普遍不選擇加入資安，使得經驗有限的求職者更有機會跨入產業。

前述兩項為對求職者的優勢，但環境對求職者仍有兩項劣勢。譬如「能力不符需要」，求職者誤解職位需求準備紅隊技能，卻與企業主要需求的資安管理存有落差；再者「職務定位不明」，許多公司因應主管機關壓力而徵才，但未能明確定義企業資安實際用人需求。

談及產業推動資安的驅動力，主要來自「法規要求」及「商業關係」，如金管會要求上市櫃公司設置專責資安團隊，或半導體大廠將晶圓設備資安標準納入採購合約。影響所及，各產業別企業資安人力缺口逐年增高。甲方如此、乙方亦然，隨著提供資安服務的廠商家數不斷提升，亦需延攬更多資安人才加入服務行列。

但對於具資訊背景的求職者，資安並非就業首選，像是高科技產業、新創企業或大型開發商，普遍被視為更佳選項。另外資安經常是「二轉職業」，做過開發、設備維運的人，發現資安需求攀升，才萌生轉入資安產業的念頭。PhoenixWolf 則認為資安是「隱藏職業」，大家都知道有資安產業，但不明白入門管道與加入不同職位需擁有哪些技能。「資安是跨領域的能力，舉凡法規管理知識、軟硬體架構設計、駭客攻防技巧⋯等資訊領域，皆需瞭解學習。」PhoenixWolf 說，雖說跨領域樣樣精通的難度高，但作為一個稱職的資安人才，需要一定程度的融會貫通。故資安新人第一個要克服的難題，便是學著跨出程式開發、從資安角度來解讀資訊系統全貌，藉此理解資安風險、分析風險成因並提出適當管理機制。

有志投身資安管理工作的人，須回歸企業營運、風險管理的根本，理解法遵、風控、稽核三大流程；所以其未必需要具備高深資訊技能，而是擅於運用資訊知識，促使上述流程更加合理化。因此若求職者具有資訊能力且熟稔法規管理知識，就可望在資安管理崗位上得心應手。

事實上產業最稀缺的是藍隊人才。多數新鮮人儘管欠缺紅隊經驗，但多有機會接收 CTF 教材，使用既有工具練習攻打站台，對紅隊的技術需求背景形成初步認知；然而企業要找到處理資安事件的人才成為藍隊新血，相對困難許多。因此若有欲朝藍隊發展，建議多接觸資訊系統底層知識，了解不同 Log 可以擷取的調查資料，能夠歸納資訊以構築事件樣貌；兼具這些條件，就有望成為適任的藍隊角色。

建立正確資安認知識，從容因應無人機資安驗測

現為國立成功大學電機系 SpaceLab 軟體工程師 Emmet（馬睿晟），從開發者視角解讀無人機的資安策略與挑戰。他指出，無人機主要分成兩個部分，一個是無人機本體，二是地面控制站。其中地面控制站分為軟體和硬體，硬體主體可為手機、平板、筆電等裝置，上面搭載地面控制站軟體，用來操控無人機。

其間會隨時監控無人機的姿態、經緯度、電壓、電流等狀態資訊，以確保飛行安全。綜上所述，無人機會透過地面控制站接收命令，或將數據回傳地面控制站，其中需仰賴飛控軟體執行控制。現今市面上常見的飛控軟體多為開源性質，包括 PX4 Autopilot、ArduPilot。至於地面控制站軟體，則以 Mission Planner、QgroundControl 為主流，同樣是開源屬性。Emmet 說，這四套軟體背後皆由龐大的社群來維護，但都有不符合臺灣無人機資安規範的地方，例如身份驗證機制、資料儲存加密以及原始碼掃描等測項。

環顧無人機的資安保障規範，係於去年（2023）年 1 月4 日公告 1.0 版本，3 月 1 日啟用無人機資安聯合驗測實驗室，6 月 29 日推出 2.0 版規範。從此之後，無人機廠商所生產與販售的產品、皆應接受初階、中階或高階的資安檢測。驗測流程相當明確，受策廠商需將無人機和地面控制站同時送至檢測單位執行測試，檢測單位測完後出具檢測報告，再提交至 TTC（財團法人電信技術中心）審核無誤後，由檢測單位交付檢測報告/證書給受測廠商。1.0 規範存在一些爭議，主要包括檢測項目過於嚴格以及與無人機業界實際需求不符。其中最大的爭議是檢測項目中包含了酬載模組測試，這將導致檢測項目無法盡善盡美，難以完全符合要求。所幸後來的 2.0 版已經對大部分爭議進行了修正，並將檢測範圍限縮在無人機本體及地面控制站，同時也明確定義了各自的規範。這包括了測試目的、測試方法以及預期結果都有了明確的定義。儘管仍然存在一些爭議，但至少相較於 1.0版，已經明確許多。最後 Emmet 為開發者團隊提出建議，資安不是敵人，只是你不夠瞭解他，才會討厭資安、認為它總是來找麻煩；資安其實可輔助開發者，確保產品更安全，不會輕易被駭客攻破。希望開發者多瞭解資安知識，並關注意相關法規或技術，藉以加強自身開發能力。

其他訊息

產業訊息

雲力橘子 2024 首發 Hacker Talk 論壇， 破解資安求職與無人機資安盲點

其他訊息

多雲管理雲端是什麼？企業多雲資安管理的5大解決方案一次看！

雲地混合是什麼？3分鐘看公有雲、私有雲及混合雲優缺點比較！

ISO 27001是什麼？企業需要導入嗎？一篇瞭解資訊管理系統的優缺點！

雲端託管好嗎？雲端託管6大優點和挑選重點懶人包！

API 金鑰洩露引發大規模虛擬機創建事件

如何有效監控雲端成本？用「用量」而非「費用」來分析異常

虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場

採用人工智慧克服銀行業的挑戰

雲端遷移策略企業數位轉型關鍵

從遊戲產業到數位平台：BigQuery 如何突破海量數據挑戰

社交工程是什麼？被攻擊該如何防範？5大資安攻擊和防範手法一次知！

企業需要用到CDN嗎？3分鐘快速瞭解CDN架構、用途和優點！

AWS是什麼？AWS雲端服務類型、優勢和使用方式一次瞭解！

DevOps和SRE差在哪？DevOps的4大優勢和相關服務推薦一次看！

如何做好雲端安全防護？推薦這6大雲端資安健診方法一次看！

IDC是什麼？我適合用嗎？挑選IDC機房3個重點和注意事項一次懂！

全新登場！阿里雲 CAPTCHA 服務，給您頂級安全防護與用戶體驗

什麼是DDoS攻擊？一次教你如何做好DDoS防護，保護你的網站！

如何提升網站效能優化？推薦5個改善網站速度的方法一次看！

雲端遷移成功關鍵因素

SOC它到底是什麼?它對資安有什麼作用?對於SOC資訊安全監控的功能與優勢有哪些?

精準運維，一站監控：探索騰訊雲可觀測平台的強大功能

Page Speed網頁速度如何加快？四種方法教你如何改善網站速度！

雲力橘子 2024 首發 Hacker Talk 論壇， 破解資安求職與無人機資安盲點

如何定義開源軟體＆套件？3分鐘快速搞懂第三方套件的授權模式！

雜貨店也能數位轉型？食品零售商如何透過公有雲優化商務呢

騰訊雲CCN雲聯網 手把手配置 高效穩定企業跨境全球互聯

【2024最新】公司企業的3款最佳Devops工具，成功案例一次看！

使用CDN安全嗎？CDN如何達到基本防護功能呢?

我用的APP安全嗎？會被竊個資嗎？3分鐘快速檢查手機APP資安！

如何確保做好企業資訊安全？這4大DDoS防護方法，推薦學起來！

發現手機被追蹤怎麼辦？注意 這十大被駭徵兆，手機資安恐不 保！

如何加快網站速度?影響網速的要件及升級指南

Vertex AI 和 Workbench 語言模組實戰，打造有人性的客服小幫手

我的 AWS實例啟用失敗，應該怎麼做？

雲力橘子 2023 最終場駭客論壇，探討網站風險、原碼檢測盲點與 Crypto 黑暗面

DDOS流量清洗是什麼？可以阻擋攻擊嗎？DDOS防禦方法一次看！

Devops是什麼？推薦企業一次看懂Devops定義、流程及優缺點！

如何做好資安防護？3個APP資安檢測工具、費用及功能一次看！

CDN廠商怎麼選？中華電信CDN、Cloudflare及Multi CDN大評比！

如何檢測iOS、Android手機資安？4招檢測方法預防詐騙＆駭客！

Google Cloud 引領潮流，擴大企業級生成式 AI的應用範疇，開創無限可能！

雲力橘子邀請專家獻策，破解惡意後門與車載資安盲點

企業為什麼要上雲？用途為何？盤點上雲5大優勢和費用解析！

可自建CDN嗎？和供應商差在哪？兩者優缺點和供應商挑選一次懂！

優化數據處理體驗：探索騰訊雲 EdgeOne 邊緣計算新境界

我該如何選擇最適合 AWS EC2 實例?

企業如何挑選合適的雲端服務？公有雲、私有雲差異比較總整理

技術專欄_運用AWS Network Firewall控制 Workspaces

弱點掃描工具有哪些？5款免費、付費弱點掃描工具優缺點分析！

如何設定網站CDN？推薦公司企業使用CDN加速的4大原因！

如何應對邊緣節點的網路攻擊？在 CDN 邊緣節點建立防護系統！

如何測試網站安全？OWASP工具測試弱點掃描的功能服務解析！

如何防禦DDoS攻擊？推薦這4大DDoS防護方法，避免網站被駭！

Google Cloud 初學者指南：我該將服務運行在哪呢？

雲力橘子串聯執法機關、資安廠商與風險顧問引導企業降低遇駭危機

企業需要SOC資安監控嗎？如何評估？看懂SOC監控的5大功能！

Multi CDN是什麼？為什麼要融合CDN？其應用方法與原理一次知！

如何利用CDN內容傳遞網路讓網站加速？4大優勢與趨勢分析！

DDoS攻擊怎麼防禦？DDoS攻擊手法與資安供應商挑選一次搞懂！

為什麼網站速度慢？和網頁設計有關嗎？速度慢會造成什麼影響？

如何提升企業雲端防護力-Cloud Armor

雲力橘子 2023 首發論壇，揭示藍隊能力升級、 開發／資安磨合的奧妙心法

2021 OWASP Top 10 A09資安紀錄與監控失效

2021 OWASP Top 10 A10伺服器請求偽造

安全防護：Web Application Firewall 設定教學

主動追蹤 AWS 「資源用量」，避免配額用盡造成任務失敗

我的網站慢嗎？如何檢測讓網站加速？新手必知 5 項網站優化指南！

阿里雲訪問控制與權限設置教學

該怎麼選擇 GCP Disk ?

AWS-WorkSpaces雲端桌面服務 (下集)

SOC 是什麼？SOC 資訊安全監控 v.s NOC 網路操作中心的差異？

2021 OWASP Top 10 A08軟體及資料完整性失效

OWASP前10大A07認證及驗證機制失效，瞭解如何修補及預防！

2022 雲力橘子 Hacker Talk 漂亮收尾， 解構開發模式、弱點檢測之安全盲點

CDN 內容傳遞網路是什麼？其運作的原理及用途為何？

SOC 資訊安全監控中心是什麼？4 項功能服務與優勢一次知！

雲力橘子 2024 首發 Hacker Talk 論壇，破解資安求職與無人機資安盲點

雲力橘子 2024 首發 Hacker Talk 論壇，破解資安求職與無人機資安盲點

騰訊雲CCN雲聯網手把手配置高效穩定企業跨境全球互聯

發現手機被追蹤怎麼辦？注意這十大被駭徵兆，手機資安恐不保！

雲力橘子 2023 首發論壇，揭示藍隊能力升級、開發／資安磨合的奧妙心法

2022 雲力橘子 Hacker Talk 漂亮收尾，解構開發模式、弱點檢測之安全盲點

如何提升網站速度及效能？推薦先搞懂動態v.s靜態網站的差異！

從零基礎學破解的駭客工具 Magisk Root，看懂駭客攻擊如何操作！

嚇！手遊資安危機　數小時恐喪失上億營收

從Google Play下載App保證安全!？資安業者：超過100款惡意程式會偷資料、點擊詐騙

網銀App漏洞金管會關注