Quantcast
Channel: iThome
Viewing all articles
Browse latest Browse all 31352

資安周報第30期:臺灣資安女力站出來

$
0
0

資安其實是資訊科技領域中,更為專精的領域,對許多人而言,要能夠在資安領域有很好的發揮,往往都需要具備跨界的知識技能,從程式開發、系統安全、網路犯罪等等,加上各種軟硬體裝置的漏洞等等,也讓各個領域都充斥著不同的資安議題可以進一步研究與發揮。

因為資安相較其他IT領域更窄,要看到女性在資安領域的投入,難度其實更高。因此,iThome在7月份推出的資安專安夏季號時,便採訪幾位在不同產業領域打拼的女性資安人員的故事,​​ 包括產業界、學術界、實業界甚至是還在就學的學生等,分享她們為什麼會願意將心力投入在資安相關領域。

採訪的過程中可以發現,這些願意投入資安領域的女性,不論是否是資工或資管相關的背景出身,本質上,都有巾幗不讓鬚眉的豪氣,也都有堅持做對的事情的正義感,對於研究的領域都願意花時間心力全心投入,對於一頭鑽進的資安研究項目也都具有極高的熱情,我們稱她們為「資安女力」。

臺灣資安女力約佔IT圈1%~2%

不論國外的報導,或者是iThome在幾年前的統計資料,從事IT領域的女性,平均比例大約10%左右,也就是大概每10個IT人中,就有1位女性IT人。這幾年,雖然沒有進一步針對IT圈的女性作統計,但從接觸IT人的比例看起來,並沒有太大落差。

如果說,IT是一個大的整體,只有十分之一是女性;而資安其實是IT領域中,一個很狹窄、專精的領域,光是投入資安相關領域的IT人,可能不到十分之一,要講參與資安圈女性,可能更少。換句話說,假設IT圈女性占十分之一,從不同資安社群中參與的女性比例來看,差不多是IT圈參與者的1%~2%之間。但整體而言,資安女力仍是IT領域中少數的鳳毛麟角。

在臺灣,女性資安從業人員的統計數據付之闕如,但韓國因為有Best of the Best(簡稱BoB)資安菁英人才培育計畫,女性參加BoB計畫的比例差不多有2成左右,甚至於,因為女性資安人才充裕,還可以舉辦純女性的CTF競賽:PowerXX,這也是全球少見的。

就算不懂技術,也能投入資安領域的研究

因為資安是很專精的領域,很多人認為,一定要某種領域的天才,才可能在資安領域優遊自在。事實上,這次受訪的前iSight Partners資安威脅研究員、現任美國Uber技術研究員的鍾安娜,就是資安業界中「非典型」的資安人。

鍾安娜主要專長是中國網路犯罪市場的研究,從政大外交系畢業後,經歷過一些有趣跨界的工作經驗後,確認自己還是喜歡跟人溝通,決定到美國攻讀國際關係時,成為當時全班唯一一個國際學生。

面對其他都是本國人的溝通,鍾安娜為了隨時掌握班上發生什麼事情,造就她具備了精準掌握各種「溝通」脈絡,能夠讀出細微氣氛變化的能力,這也讓她可以藉由觀察駭客行為和金錢流向,循線追查到中國網路犯罪的脈絡。這樣的能力,讓她成為資安圈中,少數研究中國網路犯罪領域中的專家之一。

鍾安娜扮演的資安研究員角色,更像是趨勢研究員以及分析師的角色,或許並不具備專業的資安技術能力,卻因為網路犯罪其實就是人的犯罪,只要可以掌握人性,就可以掌握網路犯罪的特性,也讓她有機會在特殊的資安領域中,發揮所長。

謹守好的開發流程和紀律,就是資安基本功

像是擔任趨勢科技核心技術研發部協理林孜穗,也是半路出家,原本她是到美國念英語教學的碩士,卻因為覺得下指令呼叫教學系統中不同模組的作法很有趣,讓她毅然而然決定再去拿一個資訊碩士,並在美國從事十年軟體開發相關工作後,2008年回來臺灣,才加入趨勢科技工作,開始鑽研資安領域。

林孜穗認為,程式語言是比英文更有邏輯的語言,一路從C語言開發各種系統的經驗,加上在美國任職時的公司,都是非常在意程式開發基本功的大公司。她早期只知道要遵守公司的規定,但是,回臺灣工作後才發現,她長期被訓練出來的「基本功夫」,其實就是落實安全軟體開發的基本功夫。也因此,她到趨勢科技工作後,才意識到過往在大公司的要求和訓練,就是奠定她可以進入資安領域的基礎。

不過,資安技術只是基本,林孜穗的想法就和鍾安娜殊途同歸,要分析一起資安事件時,就必須要進一步掌握國際情勢、經濟情勢,探究攻擊背後的目的,才能找出不同資安事件真正的攻擊者和受駭者。

制敵機先,個資法施行之初就推數位鑑識服務

科班出身的勤業眾信企業風險管理副總經理曾韻,則是一手打造和調查局鑑識實驗室齊名的民間鑑識實驗室的負責人,目前除了服務臺灣的客戶之外,數位鑑識團隊的服務能量,也早已經跨足到中國市場,並成為勤業眾信在亞洲提供數位鑑識的翹楚和典範。

對曾韻而言,選擇到會計事務所工作,就是深信所有的IT應用都和商業流程脫離不了關係。而在勤業​​ 眾信的歷練,不論ISO 27001的資安管理,到BCM(營運持續管理)的IT、安全結合業務管理工作經驗,讓她有機會涉足資安領域。

個資法施行對臺灣企業帶來的影響,其實不在法令的實施,而是背後一旦發生訴訟時,如何負起應該有的舉證責任,確保企業已經善盡個資管理之責。「舉證之所在就是敗訴之所在」,為了彌補舉證責任和訴訟結果之間的鴻溝,勤業眾信在推動個資管理認證BS 10012之際,就已經同步推出數位鑑識服務,不僅斥資千萬打造資安鑑識實驗室,更是臺灣唯二符合國際標準的鑑識實驗室。曾韻認為,因為該公司剛開始就認定,數位鑑識服務是未來要符合各種法規遵循的必要因素,也讓該公司在相關領域中,具有三~五年的領先優勢。

我們也另外採訪臺大資工系助理教授蕭旭君,以及Team T5資安威脅研究員沈祈恩外,從兩位新生代的學者和資安研究員,看待女性投身資安圈面臨的壓力和成就感。而一手推動臺灣駭客協會從無到有的秘書長李尚韋,更開誠佈公分享協會從創立以來,一路的辛酸甘苦。

為了展現傳承的意圖,也同時採訪臺科大大二升大三,擔任7月份舉辦的臺灣駭客年會(HITCON)社群場副總召高偉家,即便自認為是技術麻瓜,只要有熱情願意投入社群活動,也可以為資安圈盡一份心力。

另外,從HITCON衍生出來的HITCON Girls,在新任的總召汪會敏、副總召顏珣和張芫亭的努力下,希望藉由讀書會的形式,打破資安高不可攀的技術高牆,讓有興趣的女生都可以安心的從零開始學資安。

這次資安女力採訪,囿於採訪時間和受訪者意願,無法全然描繪出臺灣資安領域的女性全貌,卻期待透過這樣的分享,可以鼓勵更多對資安有興趣的女性,不要害怕踏出第一步。

上週(6/26~7/2)重要資安事件回顧:

卡巴斯基實驗室:今年被勒索的Android用戶數是去年的3倍

賽門鐵克防毒軟體爆漏洞,25項企業及消費安全產品可能受駭

Windows 10週年更新將於8月2日釋出

思科以2.9億美元買下CloudLock,讓企業安全政策上雲

中國行動程式管理規定8月上路,大力整頓中國App生態

汽車也要小心遭駭,法國資安專家8月將釋出汽車漏洞掃描外掛程式

美國政府機密資料也敢上雲端了,微軟、AWS取得FedRAMP高度機密資料安全認證

繼臉書祖克柏之後,Google執行長Pichai的Quora與Twitter也淪陷了

2.5萬監視器成DDoS殭屍網路大軍,多數來自台灣!

英國脫歐二次公投請願遭駭客搗亂,發動殭屍網路湧進7.7萬筆假連署

臺灣駭客年會社群場7月底登場,將揭露Gogoro電動摩托車資安漏洞

美國軍方研究單位DARPA使用3D影像技術,讓戰場和災區無死角

報導:YouTube、臉書悄悄開始自動化封鎖恐怖主義內容

報導:英特爾考慮出售McAfee資產
 


Viewing all articles
Browse latest Browse all 31352

Trending Articles



<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>