對於企業的弱點管理,絕對不是拿一臺弱點掃描設備掃完後,自動產出一份報告就算了,重點是,企業如何透過從偵測、優先排序、回報、修復一直到驗證這樣的環節中,逐步降低企業各種設備與應用程式的弱點與風險,而這樣的經驗不僅是金融業的資安從業人員需要理解,各行各業的資安從業人員也必須跟上這樣的弱點管理趨勢。
我們很榮幸邀請到現在在美國某金融單位擔任資安工程師的 Howard Tsui (崔豪),於2018年12月20日(四)中午12點,來到由 iThome Studio 製播的「大話資安」直播節目,跟我們分享他多年來在金融業從事弱點管理的資安工作的經驗,他也說,隨著目前企業掌握的數據數量越來越多,又該如何從一個資料科學家的角度,從數據的蒐集、分析到可視化的視覺分析呈現,落實企業的威脅與弱點管理。
其中,Howard Tsui (崔豪)認為,從資料科學家蒐集的大數據來看企業的弱點管理時,相關資安威脅資料的來源就非常重要,從最基礎的弱點掃描設備的報告到企業漏洞獎勵計畫回報的弱點等,都是企業負責弱點管理資安工程師必須掌握的七大數據來源,也是企業未來如何從技術、流程與人員等面向,提升企業的資安成熟度。
時間:2018年12月20日(四)中午12點~13點
題目:美國金融業從大數據看弱點管理
來賓:美國金融單位資安工程師Howard Tsui(崔豪)
背景簡介:
美國金融業資深網路安全威脅與弱點管理工程師,曾經在美國前三大的Scottrade線上券商擔任多年的弱點管理工程師,並於併購後的TD Ameritrade擔任資深威脅與弱點管理工程師,目前在美國機敏的金融單位工作,擔任資深應用程式安全工程師,也負責第一線資安工程師招募工作。
本身熟稔各種漏洞管理與評估,對於各種網路配置設定管理、風險管理都具有豐富經驗,在大學時也是業餘CTF(搶旗攻防賽)比賽選手,今年也參與美國Bsides的CTF比賽,也是2017年 HITCON Pacific 的演講者,主題便針對企業弱點管理;熟悉包括微軟、Linux作業系統的各種漏洞與各種滲透測試及弱點管理的工具,擁有密蘇里大學聖路易斯分校管理信息系統專業的理學學士學位。
直播網址:https://r.itho.me/st1220
#大話資安 #海外資安工作 #弱點管理 #崔豪Howard
海外資安工作 在 [徵文] 日本資安相關工作經驗分享- 看板Oversea_Job 的推薦與評價
趕在徵文滿10篇文以前過來騙個P幣
・背景: 日本大手SE兩年 + 台灣e-discovery/數位鑑識業界三年。
三年前到日本的外商保險公司做inhouse資安相關工作
・工作內容: 一般在台灣說到資安,直覺就會想到抓抓病毒,看看Log,設定FW,幫忙重灌
電腦之類的工作。但在美國跟日本對資訊安全的範圍涵蓋更全面一些。
電腦病毒只是資安(Cyber Security)調查的起點,我的工作包含偵測到病毒
後的一堆事情,在國外現在是統稱DFIR
(Digital Forensic & Incident Response):
-數位鑑識: 像是查看病毒(或unapproved software)
怎麼進來,何時進來,進來幹嘛,
當然還有最重要的有沒有把機密文件偷搬出去等等其他其他
-面談: 今年已經interview三四個日本人了。其實病毒那些的都還好處理,
最難搞的是有人會偷偷下載自己愛用的軟體上班。這時候就要跟
當事人好好談心(審問)確認有無惡意。要知道好用的軟體也是可以
拿來做壞壞的事情。而人性更是你不攤出證據打他臉的話,
大部分人還是不會跟你說實話的,所以面談能取得多少成果,
其實還是要靠數位鑑識找到的證據才行。
-其他: 收集情資,看看有無新的漏洞病毒,看看其他部門的人有無濫用電腦
上上課,學些新的把戲。
吵吵架,跟其他部門像是法遵之類的爭取修改現有的處理流程等等
・在這工作的優點:
本來想跟其他人一樣用在日本工作的優點,但其實搞資安的不管在日本或台灣都很
賽。日本跟台灣一樣還是對資安抱持著我錢砸下去買設備買監控軟體了,所以你資安
就不能出問題,也不需要把錢投資在人身上了。
在美國人不是這樣想,因為他們碰過世界上最刁鑽的攻擊(俄羅斯駭客跟自己人)。
更知道買資安軟體只是基本,重點是操作跟判讀的人。
也因此美國那邊給的Training預算非常充足,SANS課程隨便挑,其他的可以談。
※SANS Institute可以算是世界頂級的資安課程之一,考照費用極貴
另外,外商先天體質上也比較適合外國人。如果有日本人在那邊雞雞歪歪提
不合理要求,英文好的人可以直接拉美國人進來一起討論。
日本人可能是有歷史情結吧。看到美國人就甸甸的人不少。
但也是有聽過那種讓大家都驚呆了的發言像是:
-某日本高級主管: 我們現在在日本開會,所以我不講英文我要用日文發言
-其他與會的美國人: ...OK...No Problem...
-其他與會的日本人: ㄟ誰去叫個翻譯過來好了...
歐對了不知道是不是這樣,我們公司甚至有一個自有的翻譯公司
專門負責開會的實時翻譯
還有一點很棒的是負責資安部門的組織架構很完整。
搞蒐證自動化的是一個Team,監控(SOC)是另外一個Team,
跟外部情資系統打交道的,內部調查的,負責數位鑑識的
通通各司其職但也能互相Cover。
不像台灣搞資安的不僅要能殺豬公,還要能上太空。然後月薪6萬被嫌貴。
・其他心得
總的來說,想在資安業界發展首選美國,在日美商次之。
世界級的資安公司幾乎都不會放過日本這個市場,所以在日本選擇也多。
只要瞄準外商(以色列的Cybereason聽說也不錯),破千萬應該是輕而易舉。
而進外商的基本能力是英文,在這點上台灣的工程師們贏過日本不少。
(只是日文也要顧啦,畢竟還是有需要團隊合作的地方)
而且現在日本資安人才超缺(應該說各行業都在缺人,少子化已經開始發酵)
想出頭比較容易。
以上
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 110.133.165.233 (日本)
※ 文章網址: https://www.ptt.cc/bbs/Oversea_Job/M.1661570536.A.86D.html
※ 編輯: nelley (110.133.165.233 日本), 08/27/2022 12:19:07
... <看更多>