寫了幾篇都是有關職位。也講一個很多人迷思的職位:白帽資安人員 White Hats。
白帽資安人員 White Hat Hackers 很多時是只存在於很多人的傳說和幻想中。但實際上是有這類的正式職位。例如在香港,據我所知有正規白帽資歷、或從事白帽一樣的專業資安工作的,有大約一至二千人。
要講白帽,就必須先講資安團隊的分類。筆者之前寫過,在這裡(連結)。白帽是分類在 Red Teaming 以下。一般白帽也會叫 Penetration Tester 滲透測試人員、Security Specialist 資安專員、Ethical Hacker 道德駭客。
~ 白帽是個怎樣的編制?~
講白帽的來由,先講為甚麼企業會需要白帽資安人員。
編制外、自由工作者的有 Bounty Hunter 賞金獵人,或 Security Researcher 資安研究人貝,這些都不計算。只計企業編制內的。
原由是因為 IT Audit 監管。IT Audit 的需求,是來自有些公司是需要持牌。持牌就需要監管。
持牌的例子,例如 ISO 品質管理、PCIDSS 信用卡監管機制、 SFC 証監會、HKMA 金管局等的監管機構。
而只要 Audit 監管涉及電腦系統,就需要 IT Audit,然後就有 Cybersecurity 部門的工作參與。
Cybersecurity 部門,通常由 Blue Team 去處理 IT Audit 資訊監管;而 Red Team 是負責系統的直接「滲透測試」Penetration Test。或俗稱 Pen-Test。Pen-Test 就是由白帽資安人員 White Hat 執行。
~ 滲透測試包括甚麼工序?~
滲透測試 Penetration Test (Pen-Test) 是很專業的工序。一般都包括 *所有* 的企業技術資產。例如:
- 公司內電腦
- 公司內網絡
- 雲端電腦
- 雲端網絡
- 各式系統
- 各式代碼
- 各式數據
- 各式人員
- 等等
滲透測試若要好好講解,可以寫另一個十多篇的專屬欄目。但很概括的說,一般都是分為幾類:
- 社交工程 Social Engineering:非技術,純粹針對人員操作的測試。
- 網絡外到網絡內
- 電腦群外到群內
- 企業權限外到權限內(例如 Active Directory 之類的網域目錄權限集)
- 低階、二元式:Binary / Assembly Level。例如著名的 Stack Overflow,就是屬於 Binary 類。
科技行業管理與透析(1):簡介
科技行業管理與透析(2):科技部門種類
科技行業管理與透析(3):公司種類
科技行業管理與透析(4):人員種類
科技行業管理與透析(5):工程師工作日常
科技行業管理與透析(6):架構師工作日常
科技行業管理與透析(7):CTO/CIO 工作日常
科技行業管理與透析(8):白帽資安工作日常
科技行業管理與透析(9):Scrum / Agile
Stories Tech Biz 