關於資安人才的培育,5年前在臺灣駭客年會(HITCON)社群場主題演講上,臺灣科技大學資管系特聘教授吳宗成曾提出人手、人才、人物三種等級的區分,而在今年臺灣資安大會鴻海研究院展覽區,他在一場演講當中,以自己資安人生歷經的4個階段,帶著大家以另一種角度思考整體資安人才的角色,他的講題相當別開生面,叫做「我的資安人生:是當釘子?還是當鐵鎚?」
一般人談到釘子與鐵鎚的關係,可能會先想到前者被後者鎚打,有種無奈、受傾軋的感覺,然而,吳宗成則是回歸它們的本質與作用,以此譬喻處於不同角色的資安人彼此不可或缺,都有其重要性,他期勉大家要經常思考自己目前處於何種角色階段,持續接觸新興科技進行鍛鍊,才能跟著環境、情境、年代的變化進步,而且,不要只是成為工具的使用者,要成為智慧的創造者。
想要完成工程,釘子、鐵鎚、工匠都很重要,缺一不可
參加過大大小小的資安活動,吳宗成每年都在這些場合看到很多身懷高超技術的資安人,他都會注意哪些有哪些是很好的人才,然而他也經常在想一件事:臺灣有非常多頂尖的資安高手,每個「釘子」都非常厲害,如何能找到他們的用武之地?因此,他也問現場觀眾幾個關於釘子的簡單問題,希望大家也透過這個比喻去想想資安人才的問題。首先,我們可以思考釘子本身的功能,它們可能是用來固定、穿牆,把兩個不同材質的東西緊密結合,例如,我們可透過釘子把木板等材料結合在一起;接著,則是思考用途,想想如果我們手上有個全世界最強大的釘子,可以怎麼用?有的人會將它釘在一個特殊的牆壁上;再接下來,要去思考怎麼釘、用什麼工具幫忙釘。
此時,多數人的選擇是用鐵鎚去釘,吳宗成也特別指名在場聽講的幾位創辦資安公司的業界專家,將他們比喻成「鐵鎚」,扮演敲擊釘子(督促資安人員研究與創新)的工具角色。
接下來的情境,我們可以思考:一個好的釘子固然要搭配好的鐵鎚來敲擊,如果拿到一個全世界最好的釘子,以及一支全世界最棒的鐵鎚,下一步要怎麼釘?要釘出什麼?要釘到哪裡?
至此,吳宗成引用一首美國搖滾歌手Todd Rundgren唱的歌《The Want of a Nail》,歌詞提到:少了一根釘子可能會讓你喪失一個世界,以此呼應與延伸上述的釘子與鐵鎚的思考,提醒大家資安領域每個看似不起眼的角色,其實都有唇齒相依的密切關聯,缺少其中一個,可能就會讓你輸掉戰爭、丟失了國家與世界,而這也跟為何臺灣主張「資安就是國安」是相同的道理。
工法、手法、心法也要到位,才能充分發揮所長
關於資安人才的角色,吳宗成也透過闡述鐵鎚與工匠的比喻,突顯這類資安人才的重要。
首先是工法,在鐵鎚的使用上,我們要選擇好上手的,因為若拿到一個全世界最小的鐵鎚,並不好釘;若拿到全世界最強的鐵鎚,所用的釘子卻是一般的鐵釘,可能也不合用;若要釘脆弱的木板,我們使用鋼釘去釘,可能每次一釘下去,木板就必定會破掉。
除此之外,如果使用太重的鐵鎚,我們往往不易施力,而使用太輕的鐵鎚,可能不易發揮鐵鎚的能力,因此,吳宗成說,當你成為鐵鎚式的資安人,要注意你在那個位置適不適合。並不是每個重要的資安人都是應該在那個位置的。
接下來是手法與心法,對應到這個比喻就是指釘子該怎麼釘,而關鍵在於:要以忽急忽慢的頻率進行敲擊、扶好釘子、下手要筆直。若拿到10根釘子,10根都能垂直釘下去,那麼我們就會是好的工匠,若出現釘歪的狀況,釘子就無法發揮應有功能,我們必須要把釘子取出、重新進行以鐵鎚敲擊釘子的程序。
因此,若就最單純的角度來看待資安人才,我們可能要去思考自己是不是一個好釘子、鐵鎚,所使用的釘子、鐵鎚是否恰當,而在搭配兩者時,我們也要設法去了解適合的用法。
簡而言之,釘子很重要,鐵鎚很重要,打釘子的人心法也很重要,談到這裡,吳宗成有感而發地表示,資安確實是良心的事業,因為我們會看到很多系統的缺陷,因此當下會面臨的選擇是去補漏洞?或是去戳那個洞?還是先戳洞再補洞?所以很多人想成為釘子,但也必須要去想想自己要成為一個怎樣的釘子。
擴大能力布局,與時俱進持續磨練,期許自己從工具的使用者成為智慧的創造者
回顧從25歲至今的40年資安人生,吳宗成區分為4個階段。在第一、二個階段是扮演釘子的角色,初期作為「鐵釘」,他在研究領域鑽研學術,從論文當中學到許多,開始教書之後,帶領很多技術能力很強的學生一起研究、幫忙學界,成為「鋼釘」;第三階段是扮演鐵鎚的角色,進行「打釘」,例如,找大家來幫忙修補程式漏洞,尋找驗證電動車資安的實驗方式;到了第四階段則是扮演工匠的角色,進行「造釘」,他在學校教書,培養資安人才,若大家在政府機關服務或一般企業,也需要這樣的能者來幫單位造釘,因為沒有釘子,我們就無法將手上的木板等材料,用釘子串接、固定在一起。
事實上,當我們從負責技術的人員演變到負責管理的人員,要思考這時候要如何成為擘畫整個架構的師傅。所以,我們必須能夠找到釘子、會打釘子,這當中,很重要的是,怎麼拿那個鐵鎚,把好的、適當的釘子釘到一個位置。
吳宗成表示,自己現在就是在造釘,告訴大家如何打釘、選鐵鎚、了解整個環境,也就是所謂的工法、手法、心法。他認為,每個人在職場都應該有自己的階段,要衡量自己到底目前是處於哪一個階段。
除了思考角色定位,吳宗成也勉勵資安人注意三件事。首先是要了解臺灣資安的能量其實很大,我們已經有很多的「釘子」,當中有鐵釘、鋼釘,釘子都很優秀,就像臺灣的工業有很多隱形冠軍廠商。同時,我們也有鐵鎚,大家會想要找適當的鐵鎚來敲釘子,尋找能夠做好支撐、介接、牢固的人,這樣的人很重要。
第二個期許是多接觸新興科技,像自駕車、無人機、5G,都有資安議題需要關注,身為釘子、鐵鎚、工匠,可以在這些領域磨練,以免生鏽、生疏。
吳宗成發現,有很多新進資安領域的人仍從資通訊(ICT)的角度來關注,他認為,應該要把OT、工業控制、人工智慧、機器學習等技術,納入持續關注的資安議題範疇,這是因為新興科技的普及,會讓資安問題變得更複雜,讓資安難度更高。
第三個則是成為智慧的創造者。吳宗成表示,有些資安問題只需用一般的釘子即可,有些可能需要用到鋼釘,甚至要以特殊的方式去釘,更重要的是,我們必須能夠「造釘」,不只是工具的使用者,而是成為智慧的創造者。
而相關的典範早有前例,像是春秋時期的魯班、墨子,分別因發明重要工具與守城器具而著稱,明代科學家宋應星撰寫的《天工開物》也提供一些啟發,我們可以從中思考如何成為好的工程人、好的釘子,以及善用工具的方法。
關於資安攻防,他建議學生研究到一定程度即可,接下來是如何找到認可的目標,創造新的事物,這樣才有辦法抵擋最新的資安威脅,跟著身處的環境與年代而進步。
熱門新聞
2024-12-24
2024-08-14
2024-12-20
2024-12-22
2024-12-23
2024-12-23