目前任職於資策會資安所檢測技術中心的洪光鈞,不僅身懷滲透測試絕技,擁有GREM、GPEN、CHFI、CEH等專業資安證照,多次執行政府機關重要資訊系統、關鍵基礎設施、金融與銀行資安檢測,今年還以「雲端資安防護整合服務委外服務案」計畫,獲得ISLA資訊安全從業者獎項。
每年(ISC)2亞太資訊領導成就表彰計畫,總會從資安界眾多佼佼者中,篩選出當年度最佳資訊安全從業者獎。要獲得ISLA資訊安全從業者獎項並不容易,得層層過關斬將。首先要審查年資與經驗。該名人員必在IT領域奉獻至少六年的歲月,而這其中三年必須與資訊安全直接相關。第二個挑戰則是來自於亞太區箇中好手的角逐。今年洪光鈞以「雲端資安防護整合服務委外服務」計畫,從眾多的角逐者中脫穎而出,與另一位同事共同獲獎。
目前任職於資策會資安所檢測技術中心的洪光鈞,有著開朗活潑的笑容,在高大的外表下,反而看不出是個整天與駭客針鋒相對、鬥智鬥力的資安從業人員。不過個性隨和的他確實身懷滲透測試技術的絕技,同時擁有GREM、GPEN、CHFI、CEH等專業資安證照,並且多次執行政府機關重要資訊系統、關鍵基礎設施、金融與銀行資安檢測,協助提升政府、工業控制及金融等關鍵領域的資安防護強度。
此外,更透過相關軟體安全研究與檢測技術,與國際資安組織合作,如ICS-CERT、US-CERT、JPCERT等,協助降低全球工業控制系統(Industrial Control System,ICS)資安漏洞與風險。今年(2013年)他也獲邀參與國際資安組織FIRST(Forum of Incident Response and Security Teams)之VRDX-SIG (Vulnerability Reporting and Data eXchange SIG)會員,協助規劃與發展全球資安漏洞識別與交換的最佳做法。
職業軍人栽進資安
|
▲現任職於資策會資安所的洪光鈞認為,對資安人員而言,堅持不做壞事的道德操守比專業技術更為重要。 |
在從事資安專業工作之前,洪光鈞原本是一位職業軍人,以上尉軍階退伍。同樣都是捍衛安全,但相較於實體環境,他更著迷網路世界。「我在軍中服役期間,就開始接觸網頁設計。一方面覺得很好玩,另一方面也發現可以協助別人解決工作上的問題,例如紀錄、工作管理等OA自動化的設計。後來,剛好同學在資策會投入資安領域的工作,在他的邀請下,毅然決定投入資安領域,因而結下不解之緣。」
從網頁設計跨行到資訊安全,似乎是兩個迥然不同的領域,卻有著緊密的連結。洪光鈞分析,「許多資安技術很強的人,同時有很大的比例可能是一位優秀的開發人員。因為瞭解程式開發,知道程式如何產生、系統如何建立,才有可能透視在哪些環節中比較容易成為駭客入侵的弱點。在我過去進行滲透測試的經驗中,從程式開發人員或系統建置人員最容易疏忽或犯錯的點切入,往往就容易找到問題。」
儘管大學與研究所都是資管系畢業,已經奠定不少IT基礎專業知識,但初接觸資安領域,洪光鈞也花費一番功夫自學。但他認為,自學固然是一個很重要的關鍵,但有系統的技能培訓其實也很重要,「很慶幸在一個有經驗的單位下工作,資策會技服中心具有多年經驗,知道如何提供給同仁一個完善的規劃,每隔半年到一年的期間內就會安排密集的進修課程。我的GREM、GPEN、CHFI、CEH等專業資安證照,都是在工作中同時進修取得的認證。」
道德比技能更重要
想要破解駭客手法,首要便是要思考駭客是如何入侵,換句話說,就是要熟悉駭客入侵的技倆,讓自己具備駭客的條件與思維,如此才能從容不迫地擊潰。換言之,技術就像雙面利刃,用於正途就能捍衛正義,誤入歧途就成為違法的工具。
因此身為資安人員,洪光鈞對於道德操守相當看重。「專業技能可以透過各種不同的管道培養,但是道德操守卻不能偏頗。網路世界也如同現實世界,不能以為網路是一個虛擬環境,就可以為非作歹。」
之所以如此義正嚴詞,是因為他觀察到,目前有不少年輕的資安人員以為學習到很好的駭客技術,就想試試入侵別人的電腦或網站,確認自己習得的技術是否管用,「但在做這件事的同時,卻沒有考慮到入侵別人網站的後果,很有可能導致對方需要支付昂貴的賠償、或是管理伺服器的IT人員可能因為這個事件而喪失工作。」他提到,一個不經意的念頭,往往造成嚴重的影響,「不要以為小事,不重要。專業技術就應該被拿來做正當的運用,這才是正規的途徑。」
挑戰嚴峻但樂此不疲
面對年年層出不窮的新手法,資安人員的防範技術也需與時俱進。但洪光鈞樂此不疲。「從事資安最有趣之處就是每天面對不同的挑戰,完全不會無聊。」他笑著說,每次遇到的挑戰都不同,就拿滲透測試為例,因為每一位工程師寫程式的手法與邏輯都不盡相同,因此每次的檢測所發現的問題也不會一樣,雖然根本原因可能雷同,但是在檢測的過程中所使用的手法也要不斷的嘗試,才有可能找出問題點。
「我發現一種快速學習的途徑,可以累進資安技能,那就是直接在網路上偷師。」洪光鈞解釋,常常看別人的案例,看多了,找問題也比較快。網路上有不少案例分享,有些人會在網頁上公布這些資訊,例如最近常常流行那些惡意程式或攻擊,看看別人如何處理或是分享心得等等,都有助於技術的精進。
他認為,身為資安從業人員,最基本的條件就是要不怕挑戰,「如果抱持著只想做份穩定的工作,那麼肯定不合適這份工作。面對各式各樣的新手法,當然會遇到瓶頸與挫折,但是不要鑽牛角尖,只要把心態轉換一下,自然就可以從容應對。」