2022 個人年度回顧

一年又過了,延續去年的慣例來發一下個人的年度回顧作為年度日記。

開授課程

台灣駭客年會HITCON Summer Training 2022
《網站滲透測試入門 Web Security – From Zero to Hero》

這是這門課第二次在HITCON Training開課成功,個人覺得上課過程是滿順利的,收到的回饋也都不錯。

顧問服務&資安服務

台北新創A公司資安顧問服務
台灣新創B公司滲透測試服務

社群活動

在社群 UCCU Hacker、NOP Lab 中順利度過,定期分享交流技術

順便記錄一下在讀書會分享的題目

  • PostgreSQL 憑證驗證機制
  • OpenID Connect SSO CSRF偽造跨站請求攻擊
  • NIST SP 800-171 介紹
  • Authentication bypass via encryption oracle
  • Docker-in-Docker
  • 其他還有一些是也有在公開研討會分享的內容..

Conference 研討會&公開分享

今年以講師的身分有參與了四場Conference跟一場學校分享
其他較大型的年度資安盛會像是資安大會、HITCON,也有以聽眾身分參加到,去聽大家分享

8/03 (三) 19:00-21:00 台科大資訊安全研究社
主題:滲透測試實務經驗@ NOP Lab – 高于凱 (Kai, HackerCat)

8/31 Agile Summit
題目:不斷被延後的安全需求,如何於敏捷中落實資安
https://agile.ithome.com.tw/2022/speaker-page/635

9/15 DevOpsDays Taipei
題目:如何保護好你的CI/CD管道安全性
https://devopsdays.tw/speaker-page/635

10/05 Infosec Taiwan
題目:如何有效評估組織內DevSecOps成熟度
https://2022.infosec.org.tw/agenda_1005.html

12/03 devfest 2022 taipei
題目:DevSecOps導入及成熟度模型
https://gdg.community.dev/events/details/google-gdg-taipei-presents-devfest-2022-taipei/

個人平台經營

平台都算是有在順利穩定的經營維護,但主要比較活躍的就是Facebook而已
Twitter算是有空看到喜歡的就分享一下,而網站與Youtube新文章跟影片的數量有點少就是了

Certification 證照及認證

  • ISO 27001 Lead Auditor – Information Security Certification
  • EC-Council Certified Penetration Testing Professional (CPENT)
  • EC-Council Licensed Penetration Tester (LPT Master)
  • Microsoft Certified: Azure Fundamentals (AZ900)

小結&新年規劃

內容其實還是跟2021回顧一樣的少XD

可是對我來說很多項目其實是需要花費很多時間準備的,所以也不可能一年達成太多的目標。除非投入更大量的時間,或是自己的能力有更明顯的提升,但這都有點困難QQ

不過老實說,自己算是很滿意的了。因為2022是我個人身體狀況有點糟糕的一年(也是因為這樣沒有辦法參加iThome的體人賽QQ)。出現了兩次滿嚴重的病情,第二個病情至今仍未康復,希望203年可以完全康復。

滿有趣的是2022投稿分享的Conference其實都算是預料之外的,原本是打算可以投稿SITCON、HITCON、資安大會。但SITCON跟資安大會因為錯過投稿時間完全沒有機會,HITCON原本在思考的主題還沒準備好,所以也放棄了。HITCON Training 則是有持續投稿成功,自己是非常開心,我也滿喜歡教學這件事情的,如果有機會也會希望能夠準備更多的課程(不管是在哪個平台)。

2022的認證部分,有考了原本就計畫的ISO 27001。然後OSCP沒考,反而先拿了CPENT附加一張LPT。方向跟學習內容上,自己覺得是符合預期的。接下來的話,可能會優先考慮CISSP,當然也可能會繼續準備滲透測試或紅隊或DevSecOps相關的認證,但畢竟不管認證或考照都是需要$$,會需要好好評估是否有這個需求。

然後回顧起來才發現原來我2021年沒有考取任何證照與認證。原本是預計要先準備考OSCP,不過就是種種因素(各種藉口XD),加上後來工作內容大幅度異動,內容與OSCP稍微有點遠,所以沒考。今年仍然是有規劃要準備OSCP,再來就是可能會考慮ISO 27001與CHFI。

個人技能的部分,算是符合個人的方向與規劃,因為新工作的緣故,開始精進許多DevSecOps、產品安全、應用程式安全、CI/CD、資料庫安全、雲端安全、資安框架以及標準的技術和知識。而除了Security以外,也拓展了許多SRE以及DevOps的相關內容。然後滲透測試還是仍然有持續練習與學習。新的一年,也已經列出了滿滿一堆項目準備探索,希望可以更精進紅隊演練的一些橫向移動、C2 Server、Rootkit後門等等的技術。還有針對「遊戲外掛」、「OAuth & Open ID Connect」、「Code Review」等領域繼續學習。

最後,2023年也會努力在Youtube與網站上面分享內容,盡量讓數量還有品質都可以更加提升!

發佈留言