哈囉,大家好!又到了我們週三的語音專訪時間,今天我們請到的是鍾安娜(Anna Chung),她目前在跨國資訊安全公司 iSight Partner 擔任研究員的工作。我們今天很幸運可以請到她來辦公室,因為她其實這次回來是受到台灣駭客年會的邀請來演講,我知道她的行程非常地匆忙,謝謝她留了一點時間給我們。今天,我們要跟 Anna 聊聊她在資安領域的一些職涯觀察,先請 Anna 和大家打聲招呼。
Hi 大家好,我的中英文名字都一樣,所以叫我 Anna 都可以了。
可不可以先跟我們稍微簡單地介紹一下妳目前的工作內容呢?
我的工作是在資安領域,我身邊其實圍繞了非常多電腦天才,所以常會給人一種我好像電腦科技這個方面知識很強的錯覺,但其實並不是這個樣子。我的工作主要是在研究駭客地下經濟的趨勢,以及他們的發展、使用的工具、服務、洗錢的手法等等。我們會從大數據中掌握這方面的趨勢,最終利用我們的報告,幫助客戶從比較被動的、事後的反應去轉化為主動地去投資一些安全的防禦系統。
資訊安全在現在算是一個比較新的產業,但是現在應該慢慢地越來越多。像你們的客戶比較多是屬於哪些產業呢?
我覺得還是以金融產業為主。現在慢慢地,能源產業、航空產業也開始這方面的投資,然後也有一些各國的緊急安全事件的響應中心。
通常大家一聽到「駭客」,馬上就會想到電影裡面駭客任務的情節,就是你隨時隨地都在做資安的攻防,在電腦前面用超級電腦的感覺,很緊張刺激。那會有這樣的想像,是因為大家對於領域是非常陌生的。要不要稍微跟我們介紹一下妳目前的研究主題,什麼是「Cyber Threat Intelligence」?
Cyber Threat Intelligence 可以分成內部跟外部,我們公司做的部分比較偏外在威脅環境研究。譬如說我們常會看到某一些攻擊力很強的駭客常常在用的工具,他可能用了惡意軟體或者是他常用的 IP 、域名,這個在英文稱之為「Indicator」。這些 Indicator 其實被視為一種原始的資料。我們的工作就是去驗證這些資料的正確性,再把它連結起來,從比較單純、無聊、數字性的數據變成一個完整的故事,譬如說誰在什麼樣的情況下,曾經用了這個 IP 去攻擊誰,然後我們多常見到這樣的狀況或是這個 IP 被使用,所以客戶可以理解,對整個事件可以完整地了解,而不是單純地收到很多零散的數據而已。
所以聽起來有一點點像是情資的報告?
很大一部分是。但最終還是在依賴客戶自己每一個企業內部的安全團隊的大小、人員配置以及他們的預算去做最有效的策略或是他們工具上的投資,那我們的報告就是幫助他們怎麼樣更聰明地去運用這些安全預算。
說到這裡,大家可能還是不太清楚,我們來講講最近很有名的新聞事件好了。
美國的外遇網站 Ashley Madison 資料安全外洩,我們每天都會看到很多不一樣的新聞,比如:男女比例、假帳號等等。那我想問問安娜,在妳的研究領域裡面,如果 Ashley Madison 他們的資料外洩到地下市場的時候,通常駭客會做什麼樣的運用?
在地下市場,每一個數據或它的定價取決於非常多不一樣的價格因素,包括:它有沒有被加密?它有沒有信用卡資料?或是它只是單純客戶用來註冊的 Email 或密碼。如果 Ashley Madison 數據裡面有 Email 或是密碼的話,它可以被駭客用在地下常見的自動掃號器。如果沒有記錯的話, Ashley Madison 有三千三百萬用戶,它可以直接把它導入這個工具,她們可以去測試有哪一些人是用完全一模一樣的 Email 還有登入帳密,去其他的社交網站或是網路購物網站上使用。如果不幸地你的信用卡直接連結那個帳戶的話,她們就可以直接拿去再進一步地購物,可能在地下市場再重新賣掉變成現金。
聽起來有一點已經到經濟犯罪的規模了。
駭客其實是中性的族群,他們是一群很聰明的人。可以請妳介紹一下駭客是一個什麼樣的族群嗎?
這真是個大問題。我覺得比較常聽見的駭客,他們會用帽子的顏色來區分。所謂黑帽,他通常以金融、經濟利益導向,可能去做一些所謂黑色產業的網路犯罪行為;如果是灰帽,可能是中間灰色地帶;如果是白帽,可能就是在安全公司的專業研究人員,當他們如果發現系統有漏洞或有瑕疵時,他們並不會利用這個漏洞去犯罪或是賺錢,而是盡快地提交給廠商,希望他們去修補這些漏洞。
所以其實,即使稱為駭客,也會有善、惡意的。
你會很驚訝,其實心地善良的白帽駭客人數是非常多的。
妳大學的時候是在政大外交系,那麼後來在美國 American University 是國際溝通碩士,聽起來好像跟資安的關係不大,妳當初是什麼因緣際會下,才會踏入這個領域?
當時我畢業的時候,我想要進的就是比較大型的諮詢公司,不過我在一個因緣際會之下,我遇到了一個前三大某一間公司工作十五年的中高階主管,他當時跟我說:「在非常大型的公司工作可能要到處鋪磚,但如果妳鋪磚的範圍太廣的話,妳永遠都沒有辦法把它建造一面堅固的牆。」所以後來就選擇進入比較專業的諮詢公司,就鎖定資安這個領域。
有趣的是妳大學到研究所都感覺上對「溝通」是比較有研究的,感覺上妳對跨文化的溝通是非常有經驗的。我覺得這個 soft skill 在大家的理解裡面可能是比較屬於模糊地帶的能力。可不可以跟我們聊聊妳是如何培養這個能力?有什麼樣的經驗嗎?在工作上,它會不會帶給妳不一樣的幫助?
我想先分享一個我小時候的一個小故事。大學的時候,我的同學們隱隱約約都知道我母親是印尼華僑。大三那年,我修了一堂課,助教學姊總是對我非常地關懷,一直到有一天,我就像一般大學生一樣染了頭髮去上課,學姊看到我的時候就說:「爸爸的榮民退休俸得來不易,還要照顧一家,不要亂花錢。」我才發現這個學姊她對外籍配偶有個既定印象,她覺得我父親可能是榮民,媽媽是印尼來的外籍配偶,我就說:「妳要稱我媽媽為外籍配偶也是可以,但她其實是一位小兒科醫生。」我主要希望透過故事說:大家其實對於很多世界不一樣的國家或是區域都會有一個既定的印象,哪裡來的人一定都是怎麼樣。但世界真的很大,不是說什麼事情都如我們聽聞的這樣。
所以我現在的工作其實跟非常多歐洲人,或者是中東、東南亞、印度、烏克蘭、俄羅斯人一起工作,大家語言交流的習慣都不一樣,我們很多時候其實是網路上溝通。我給大家的建議就是「盡量多傾聽」,通常我們在這樣的狀況下,大家都會盡量用英語溝通,但沒有人的母語真的都是英文,所以我建議大家聽完對方的論述之後,總結妳聽到的東西,再反問對方是否正確?因為這對長期下來會造成的傷害其實非常地大,因為會有非常多的溝通成本。
我覺得 Anna 剛剛提到的「承認不懂」這件事情還滿重要的,因為可能大家愛面子或是說我想要維持我的專業度,所以很多事情,當下先說好了,但其實工作場合上面,這是傷害還滿大的。
算是在個人跟潛在客戶建立交情的時候,其實多發問真的有非常大的幫助,會讓對方覺得:「哦!你對於我的文化或是對我的想法有興趣!」建立起信任的速度會更快速。
所以,其實反問、多發問去確認雙方的理解程度是在工作上面來說是非常地重要的。我相信大家現在跟國際合作的機會也越來越多,可以特別注意一下 Anna 剛剛提到的這個部分。
最後,先問 Anna 資安產業的男女比例分配大概是?
我沒有非常數字性的答案,但我只能說非常懸殊。但是大家千萬不要絕望,這代表女性她一旦想要找工作的時候,其實她被接納的機率其實很大。科技公司現在他們已經意識到這個問題,他們希望可以代入不一樣的視角進來,然後讓他們自己內部的員工也不管在性別、文化、種族都非常多元化。所以如果女性有能力的話,她去爭取這個工作,其實她被其實她被採用的機率是比較大的。
哇,聽起來滿讓人興奮的。所以資安這個產業,如果大家慢慢地有興趣的話,或許可以開始接觸。
可不可以跟我們分享為什麼妳在這個產業覺得很興奮呢?妳喜歡這個產業的原因是什麼?
第一,我覺得這個產業讓我不停地去吸收新知,每一天、每一個小時都有人付我錢去看新的資料,何樂而不為?每天都過得非常充實。
第二,我的報告很大的一個目的是幫助企業、客戶或者是個人使用者在使用網路安全上變得更安全。這給我很大的使命感跟成就感,當我寫完一篇,發現客戶真的用得上它的時候,那時真的覺得很充實。
第三,我非常喜歡的是我身邊這群駭客靈魂,充滿駭客熱忱的人,他們就像抱持著開源這種程序的心態,他們很願意分享,甚至是他們花好幾百個小時好不容易做出來的工具,也會放上網,讓大家一起使用,甚至讓大家挑戰他,告訴他說:「欸,你這個地方可以做得更好、那個地方可以做得更好。」所以當我自己在工作遇到問題的時候,不管多資深的資安人員都非常樂意撥時間教我,跟我一起腦力激盪怎麼把這個東西做得更好,自己也從中學習到他們的精神,對於新進員工,我也是抱持著這樣的態度去幫助他們。
這個交流的習慣或模式是非常澎湃的,大家自然而然地可以分享不一樣的想法,不會藏私。
對,我覺得所謂「聞道有先後,術業有專攻」就是如此,很多事情在我們的公司裡面,我們都覺得就算是實習生、比你小十歲的人都有東西可以教你,所以大家都不藏私。然後也不會預設覺得自己是前輩,說話就會很衝、很大聲。
你有沒有什麼建議,如果對這個領域有興趣的會員要怎麼開始第一步?
當然如果有資安或是資工背景,會相對來說容易。但是其實在台灣有一群默默努力、非常聰明的駭客組織,他們也是駭客年會的主辦單位,他們都時不時地會提供訓練,所以大家如果留意他們的官方網站,他們有 Hitcon 的線上完全公開免費的演講。
另外有一個組織,我希望可以在這邊利用這個機會幫她們宣傳一下,叫做 Hitcon Girls。她們是專門辦給女生的駭客訓練,讓妳一步一步地學習。
哇,所以可能以後 CAREhER 就可以有一群駭客女孩了,我覺得抱持那個開源分享的精神,在現代的社會其實還滿重要,因為一個人的能量真的是太少了。
然後,現在我們要面對的許多課題其實都比較複雜,一起合作才是最有效的解決之道。
沒錯,所以大家如果想培養妳的駭客精神,可以參考 Anna 剛剛介紹的兩個組織。那我們今天非常謝謝 Anna,我想大家今天可能對於資安的領域還是半知不解,希望以後如果妳有什麼問題想要問,妳可以在下面留言,今後我們也可以再有其他的機會邀請 Anna 回來跟我們分享,謝謝!
