下班準備回家
目前在本土軟體外商做產品資安，會有旅人想問問題嗎

防止客戶接到詐騙電話是資安的工作嗎？

papaya3716: 如果電話號碼上顯示是公司的電話，那就是喔！

個資到底怎麼外洩的

ox9805: 因為要做的服務太多了，但又不可能全交給一家公司開發，所以就會有很多廠商有你的資料，只要其中一個廠商沒做好防護就會外洩囉

咦不是被賣出去的嗎？

ox9805: 賣出去也有可能啦，但通常要賣的話，要收集夠多的資料，至少幾十萬起跳那種才有可能賣比較好
而且最好是金融相關資料例如信用卡，如果只是身分證字號和電話號碼其實也挺不值錢的，因為駭客網路上蒐集就有囉！
或說其實早就被人家先賣掉了（？）東西賣了又賣就不值錢啦

原來如此

至於政治因素的話就是大家都知道的那樣

請問實務上 傳輸過程中被截的資安問題比較多 還是server直接被攻擊的狀況多 呢？
系統整合導致的資安問題通常會怎麼解決？

mantis8553: 以個資外洩來說，其實最常見的還是詐騙郵件、簡訊、網站這些，他們模仿正常的網站，讓別人不小心把自己的資料打上去或在你的電腦裡中病毒偷偷帶資料回去之類的

服務端的問題則通常是伺服器或網站沒有設計好，所以不小心讓沒有權限的人可以訪問後台的資料。
除非是特別的大企業或公家機關會被駭客作為目標，不然其餘的公司基本上都只是駭客們在網路上亂玩的時候剛好被發現有漏洞，就看他們心情要不要打打看而已。

系統整合的問題就是身為一家盡責的公司必須做好供應鏈管理，也就是說所有你公司有在配合的廠商，公司都有必要納入管理稽查，但很難，美國政府現在正在努力做這件事

我個人是覺得是資料落地之後的管理問題比較大，傳輸過程現在都有通用的協定在加密，即使不夠嚴謹但要專門針對某些網站做流量監聽還是很耗費時間的
駭客當然選成本最低獲利最高的方式在攻擊

原來如此 感謝噗主詳細的說明
請問這部分的設計通常會做些什麼測試呢？

mantis8553: 基本上是先做盤點，看我們用了哪些東西
然後對自己產品和別人家用到的產品進行檢測看有沒有安全疑慮這樣
檢測方法有很多種就不在這細說了

了解...這邊對資安只有基本認識而已，所以問題稍微有點多
請問噗主的工作項目包含舊產品的maintain嗎？

mantis8553: 我們這邊算是只負責盤點還有哪些舊產品，然後跟開發團隊討論能上補丁就儘量上、儘量更新，剩下沒辦法更新的部分就是利用其他資安防護產品（防火牆WAF之類的）降低風險，直到舊產品可以正式退役為止

哇...是需要對產品很了解的工作、還需要很縝密的思考
請問對產品的安全性上會有差異嗎?這個產品的敏感資訊較多，需要保護好保護滿這樣
另外噗主和開發團隊合作一般是如何進行的呢?會需要開發團隊提供怎樣的資訊?

mantis8553: 我們是有一個統一標準先參照，例如有客戶資料的話應該要有相應的什麼防護設定之類的，但有些產品功能不觸及個資的話，這個部分就不會強硬要求。
基本上就是協助開發團隊檢測產品的安全性，然後提供他們建議修補的方式，接著請該功能開發的小組回覆能不能修、會不會影響到產品功能運作，最後共同商議出一個可行的安全實施方案。
畢竟最安全的做法就是不要連上網，但這是不可能的，所以時常需要溝通出一個平衡點

沒錯，連網路線都不接最安全
能問問噗主當初是怎麼踏入資安領域的嗎?

mantis8553: 資訊背景但不想寫程式所以就踏進來了

原來還有這個選項
感謝噗主熱心地回答 有機會了解這個職業真是太好了