漏洞評估滲透測試工程師 資安與防護的守門員

記者/孫敬 Archer Sun

「資安即國安」出自2016年蔡英文政府國家資安戰略,2024新賴清德政府就任也表示將續推國家資安政策,顯現出台灣大環境對資安的重視。

在企業資安防護中「漏洞評估滲透測試工程師」(有的又稱滲透測試工程師、資安工程師),除了要熟悉最新資安技術還要能掌握最新駭客攻擊,不分產業與公司規模大小都需要的人才,究竟需要具備哪些專業能力?

延伸閱讀:資安監控防禦工程師 資安防衛的先鋒

漏洞評估滲透測試工程師除了重視資安技術與威脅,平常也要能有效跟內部溝通。(圖/Checkpoint)

目錄

漏洞評估滲透測試工程師日常工作

漏洞評估滲透測試工程師工作內容,大多為滲透測試(透過第三方單位模擬攻擊企業的潛在漏洞)、弱點掃描、紅隊演練(在不影響企業營運下,模擬對自家的攻擊行為)、DDoS演練(如針對官網、APP、API的攻擊),以及跟企業內部人員進行資安教育訓練,撰寫弱點描述與流程並開發弱點解決方案,可以想像成是「站在駭客角度思考的假駭客」。

軟硬實力和專業能力需求

具備黑箱(藉由外部資安團隊,對正在運作下的進行網頁安全檢測)、白箱(非運作下的程式原始碼進行檢測)專業能力,以及滲透測試、逆向工程(類似拆解產品掌握製作流程與細節),有做過產品及系統的風險評估與建模經驗較佳。

滲透測試工具方面,測試網路應用程式安全性的Burp Suite、數位檢測及滲透測試工具Kali Linux,會建議熟悉使用,將有效加速並協助日常的資安檢測工作(更多滲透測試工具,可參考資安防護公司Check Point提供的列表)。

跳脫專業硬實力,漏洞評估滲透測試工程師也要有良好的溝通、資料彙整與簡報/報告的能力,隨時更新資安事件跟業界最新資安相關服務、產品,替企業不斷更新資安防護網。

相關進修與證照

擁有任一「ECSA資安分析專家認證」、「CEH道德駭客認證」、「CPENT滲透測試專家認證」、「OSCP滲透測試技術證照」、「CSSLP軟體生命週期認證」。市面上資安相關證照很多,可以先從工作中常用的做準備。如果沒有考取證照,也可用其他替代的專業證明(比如虛擬滲透測試平台HACKTHEBOX成績、漏洞資料庫CVE、漏洞回報獎勵計畫Bug Bounty)來佐證。

薪資區間

根據人力銀行公開職缺統計,漏洞評估滲透測試工程師基本月薪約40,000至80,000元,工作年資3年平均月薪為55,000元(在不考慮研究所學歷與國外進修的條件下),外商資安公司年薪有望挑戰1,000,000至1,600,000元新台幣,但實際的薪資還是會因為產業、企業規模不同而有所差異。

未來職涯發展

漏洞評估滲透測試工程師其他職涯發展方向,還能橫跨像是「資安網路工程師」、「資安維運工程師」、「資安工程師」、「資安檢測工程師」幾項職缺。資安職缺所需的背景基礎知識不會相差到太大,市面上諸多機構如資策會、工研院產業學習網也有不少學習管道,只要在求職、轉職的過程中展現有持續學習資安領域知識,目前大環境對資安人員的「剛需」讓企業更願意給予非本科、理工出身的人才發展的機會。

想了解更多的科技業職缺嗎?由科技島與1111人力銀行攜手合作、透視上百種科技工作內容與薪資行情的「職缺百科」正等著您前往探索!

瀏覽 555 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button