How to Build a Cybersecurity Career

原文:How to Build a Cybersecurity Career

如何打造网络安全事业

在信息安全领域建立成功职业生涯的规范性指南

丹尼尔MIESSLER信息安全
创建/更新:2019年12月17日

我一直在做信息安全(现在很多人称之为网络安全)大约20年了,我也花了大部分时间写这方面的文章。因此,我收到大量电子邮件,询问以下问题:

我应该怎么做才能进入信息安全领域?

所以这篇文章就是我对这个问题的回答,把问题的各个方面都放在一个地方。它将会为您提供从完全的新手到开始您的第一份工作,再到达到行业顶峰的知识。

我把他分解为以下几个部分。

我们开始吧。

教育类

信息安全是一门高级学科,这意味着你最好在进入该领域之前精通其他某个技术领域。这不是必需的,但这很常见,而且很理想。信息安全委员会通常来自三个领域:

  1. 系统管理
  2. 网络
  3. 开发

这些是按最常见的切入点排序的,而不是最好的。最好是开发,然后是系统管理,然后是网络。

但假设你没有这些方面的背景,你需要从无到有。我们需要了解你,有三种主要方法:

  • 大学
  • 技术学校
  • 资质认证

我建议在一所像样的大学读四年制的计算机科学或计算机信息系统或信息技术课程。但是,当你这样做的时候,你需要做这篇文章中的所有其他事情。

照片-1491975474562-1f4e30bc9468-e1528896607928

你在大学里学到了什么取决于课程内容和你与他人的互动,以及你能从很多不同的地方获得知识。和一群聪明人一起出去玩,做些什么是大学真正的好处。

有很多人上大学是为了CS或者安全,却从来没有在这个行业取得成功,还有很多人从来没有上过大学,达到了最高水平。大学不是一切。

如果你不能上大学,你就需要另一种方式来学习,例如,技术学院或证书。只要你有好奇心和自律性去完成你开始的工作,以上任何一个都可以。

以下是您需要从大学、技术学院或自学/认证中获得的领域知识:

  1. 网络(TCP/IP/交换/路由/协议等)
  2. 系统管理(Windows/Linux/activedirectory/hardening等)
  3. 编程(编程概念/脚本/面向对象基础知识)

数据库也在那里,混合了系统管理和编程。

如果你在这三个方面都没有很好的基础,理想情况下其中一个没有足够的实力,那么你很难在信息安全职业生涯的早期阶段取得进步。此时的关键是您的游戏中不应存在重大漏洞,而在任何这些方面均较弱则是一个重大漏洞。

稍后我将更多地讨论认证,但我在上面提到它们的原因是:您可以使用认证学习书籍作为教学指南。他们很擅长向你展示基本知识。以下是一些示例:

  • A+
  • Security+
  • Linux+
  • 思科认证网络工程师 CCNA

有很多很棒的书(最好的一本在谷歌上)可以很快地向你展示一个主题的基本知识。这是一个很好的方法来确保你的知识没有任何重大的差距。

编程

t7yyvhu

编程本身就足够重要了。如果你不培养你的编程技能,你的信息安全事业将受到严重限制。

在这里查看程序员类型之间的差异.

你不需要成为程序员就可以得到一份工作。你甚至可以找到一份好工作。你甚至可以晋升为管理层。但是如果你不能构建东西,你永远不会达到infosec的精英水平。网站。工具。概念证明。等。

如果你不会编码,你将永远依赖那些能编码的人。

学会编码。

输入源

对于任何infosec专业人员来说,最重要的事情之一就是为新闻、文章、工具等提供一组好的输入。

传统上,这是通过一个优先的新闻来源列表来完成的,这些信息来源是根据个人所处的安全类型而定的。有些网站专注于网络安全、应用程序安全、OPSEC、OSIT、政府安全等等。

不过,Twitter正逐渐取代以下网站。其主要原因是数据的新鲜度。Twitter是实时的,这使得它比传统来源更有优势。

Twitter允许你创建(和订阅)列表。如果你的用户名是@丹尼米斯勒,您可以附加/列表/列表名称以及名单上所有人的推特。

我的建议是使用两个主要来源:

  1. 推特
  2. RSS源

在Twitter上关注那些可以让你接触到新思维方式、新学习方式和新知识的人。找到它们的所有来源,并在你的RSS阅读器中追踪它们。我推荐Feedly的RSS。

建造你的实验室

黑客实验室

有一个实验室是必不可少的。事实上,这是我在面试时首先要问的问题之一。我问他们要玩什么样的实验室或网络,如果他们回答说他们没有,我感谢他们的时间。

实验室是你学习的地方。实验室是你运行项目的地方。实验室是你成长的地方。

实验室设置有几个选项。

  1. 笔记本电脑或台式机上的VMware(或类似产品)
  2. 笔记本电脑或台式机(现在是服务器)上的VMware(或类似产品)
  3. 装有VMware(或类似产品)的真实服务器
  4. 在线VPS系统(EC2,Linode,Digital Ocean,LightSail等)

如果你有钱的话,我推荐3和4的组合,3是第一位的。以下是您希望在这样的实验室中能够做的一些事情:

  • 为您的房子建一个Active Directory林
  • 从Active Directory运行您自己的DNS
  • 从Active Directory运行您自己的DHCP服务器
  • 网络中有多个区域,如果要在室外提供服务,则包括DMZ
  • 尽快升级到真正的防火墙。我推荐Sophos的防火墙(以前是Astaro),因为它问世以来一直在使用它,但是还有其他一些不错的iptables和pf选项。这样做将需要您了解路由和NAT以及真正对进行升级至关重要的各种基础知识。
  • 在Windows / IIS上站起来的网站
  • 在Linux / PHP上站起来的网站
  • 在Linux / Wordpress上建立博客
  • 随时准备安装Kali Linux
  • 建立一个OpenBSD框并使用DJBDNS创建一个DNS服务器
  • 设置代理服务器
  • 在VPS上构建并运行自己的VPN
  • 构建并配置可以使用Postfix,Qmail或Sendmail将电子邮件发送到Internet的电子邮件服务器(我建议使用Postfix)

我用了上面的一些术语,你可能需要查一下。把它当作练习吧!

这些是最基本的。在过去的几年里,大多数对infosec非常感兴趣的人已经做了几十次或几百次以上的列表。

实验室的好处是你现在有地方做实验了。你从你的新闻中听到了一些事情,你可以跳到你的实验室,打开一个盒子,然后到处乱搞。对于一个成长中的infosec来说,这是无价的。

现在你有了这个清单,你就可以开始专注于你自己的项目了。

你就是你的项目

截屏-2018-06-13-at-3.52.38-pm-e1528898034897

这就是书本知识停止,创造力开始的地方。你应该一直在做项目。

作为一个初学者,甚至作为一个高级实践者,没有人应该问你在做什么,而你会说“没什么”。当然,除非你在中间休息一下。

项目往往与编程有很大的交叉。这个想法是,你想出一个可能对人们有用的工具或工具,然后你去做它。

当你在学习的时候,不要太担心有人已经做了一些事。创建是很有趣的,你想习惯使用代码从概念到完成的兴奋感。

你要培养的关键技能是用当前的方式识别问题,然后1)提出解决方案,2)创建解决问题的工具。

项目表明你可以实际应用知识,而不是仅仅收集知识。

不要去想你有多少项目。如果你那样做,那就是人为的。相反,只需关注安全方面有趣的问题,让想法和项目自然而然地出现。

在写作世界里,有一个最大的限度就是“展示,不要说”。项目正在展示,收集知识是很有说服力的。

用奖金练习

既然您已经有一个实验室,拥有一些扎实的技能,并且您一直在研究某些项目,那么您可能想要处理一些漏洞赏金。

最好将其归结为快速获得真实体验的原因,这是任何希望为您提供工作的人的第一要求。因此,除了具有编码经验(与您的项目一起使用)之外,还可以通过赏金获得测试经验。

有两个主要的平台你可以做奖金:BugCrowd和HackerOne。还有很多,但这些项目最多,也最成熟。

这个过程是你在网站上注册,找一个你感兴趣的程序来查找bug,然后你就直接跳进去。以下几点要记住:

  • 仔细阅读与每个程序相关的规则和限制。你不想与平台或客户发生冲突。
  • 赏金计划有多种类型。有些人花钱,审查和竞争更激烈,而有些人则更注重因果报应,或者说是荣誉,对初学者来说是更好的练习机会。
  • 我强烈推荐jasonhaddix的web奖励内容;学习他的方法是找到bug的最快方法。

世界是相当微妙的,有许多规则和您应该学习的独特礼节。因此,请尊重这一点,您将更有效率,也不会踩脚趾。

无论是在GitHub上编程还是做奖金,目标都是在你找到工作之前,或者在你想要的领域找到工作之前获得专业经验。这是一种展示而不是诉说的方式。

拥有一个活跃的GitHub,在你的悬赏档案中发现一些可靠的bug,这是一种让你远离那些仍然是纯理论的人的方法,并且可以很容易地帮助你获得第一个职位,或者在一个你还没有建立起来的领域找到一个新的职位。

出席

好吧,现在你已经完成了一些项目,是时候让人们通过你的品牌平台了解他们了。是的,你应该有一个品牌。如果你愿意的话,它可以是低调的,而且这个行业已经充满了太多的自负,但你确实需要一个平台来传播。

如果你是一个内向的人和/或你觉得谈论你所做的任何事情都是自夸的,那就停止吧。在这个行业,这种心态对你没有帮助。为了进入中高层,你需要学习如何推销自己和你的作品。

内向和(错误?)谦卑不行。做好工作,愿意谈。但要从分享和合作的角度出发,而不是傲慢自大。

网站

首先你需要一个网站。有人把这叫做博客,没关系。关键是你需要一个地方来展示自己。你应该有一个关于页面,一些好的联系信息,你的项目列表,等等。再说一次,如果你写博客,那就是做这件事的地方。

只要明白你的域名和你的网站是你身份的中心,所以理想情况下你会有一个好的域名,它会持续一辈子。firstnamelastname.com网站可能是理想的,但许多人不能这样做,因为他们的名字相当常见。还有其他选择,但要谨慎选择。你希望这个域名保持不变,直到你死,或被带进狂喜,或上传到集体。

我要说的是挑个好东西。这是你的品牌,你的品牌很重要。

你应该在自己的网站上写博客和主持所有的项目,并在其他地方联合起来。

避免在其他地方上写太多东西,比如 Medium 或Blogger,绝对不要在Facebook上写任何东西,除了随意的想法或互动。如果你在不是你自己领域的平台上创建了什么有趣的东西,把它变成一个完整的部分并带回你自己的网站。

推特

Twitter也是如此。理想的账号是名字,但如果你做不到,就选择一个好的替代品。同样,这是一个永久性的个人基础设施,所以不要将其设为@L33tH4x0rs97。随着年龄的增长,你的魅力会越来越小。

一旦你有了一个好的运营,慢慢就会有很多人关注你。在infosec中有很多列表供人们关注。用其中的一种让你开始,然后调整。

twitter-header-infosec-e1528897073126

参与谈话。不要强迫。当你没有知识的时候不要过度扩张。但如果你有什么要补充的,那就尽情贡献吧。你有3个关注者他们有10,000个关注者都没关系。Twitter是一个精英统治。如果不是,就假装是。

开始的一个好方法是转发你喜欢的其他人的内容。当你自己变得更有能力增加价值时,你可以开始在转发和你自己的原创内容之间交替。

不要太认真。Twitter上的许多顶级安全人员90%的时间都在闲聊。其他人只发布原始内容。做你自己,它会成功的。如果没有,你觉得你做的都错了,不用担心。坚持上面说的,你会没事的。

社会化媒体

还有很多其他的社交媒体。另一个你应该关心的是LinkedIn。有个人资料。努力吧。保持更新。只与你认识的人或者你至少有过一些互动的人联系。和每个人都互动会分摊你和他人之间的联系。

使用社交媒体很容易做得太多。抵制住。关注你的网站和Twitter,加入一些LinkedIn。我基本上把Facebook分开,但那是我个人的喜好。

记住一切都是从你的网站开始的。在那里创建内容,然后通过Twitter、Facebook、LinkedIn和其他任何你使用的渠道来发布。

关于认证

我对infosec认证有很多疑问。太多了。它们有两种形式:

  1. infosec认证真的值得吗?
  2. 我该买些什么?

好消息:我有答案。

是的,认证。大学学位也是如此。经验也是如此。其他人也一样认为如此。

事物有别人所看重的价值。

证书上没有固有的价值观。他们的价值和人们认为的一样多。如果雇主在你想找工作的地方要求他们,他们很重要。如果你想找工作的地方根本不在乎他们,他们在那里没有价值。就这么简单。

但对于初学者来说,是的,它们很重要。

获得哪些认证

让我们按级别来做:

初学者证书

如果你刚起步,我建议你获得以下证书:

  1. A+
  2. Network+
  3. Linux+
  4. Security+

不,我不为 CompTIA 工作。但是谢谢你的关心。

在这种我并不是说这些证书对大部分初学者有巨大的价值,但有学习的价值。

就像我在教育部分提到的,证书有很好的学习材料,如果你获得了这四个证书,你将对基础知识有一个相当好的理解。

高级证书

我喜欢这样解释infosec认证:你需要你的CISSP,你应该获得一个审计证书(CISA/CISM),你应该获得一个技术证书(SANS)。所以:

  1. CISSP适用于任何想要从事安全工作的人
  2. CISA/CISM为希望成为经理的全能安全人员提供服务
  3. 用于技术人员的SAN(GSEC/GPEN/GWAPT)
  4. 面向渗透测试人员的OSCP

一旦你有四年的信息安全经验,你就应该有你的CISSP。这是我们行业最接近标准基线的东西。在很多组织里,这实际上比计算机科学学位要好(因为很多人在大学期间没有学到任何东西)。

接下来,我们将介绍审计空间,这是infosec的一个关键部分。找你的CISA或CISM。

最后你想得到一个或多个技术认证。我建议从GSEC开始,这是非常全面的。从那里,你可以根据你的喜好进入GCIA或GPEN或GWAPT。但是,如果你只是得到了GSEC,这将是一个很好的方法来充实你的食物组。

OSCP和CREST是最受尊敬的核心渗透测试人员的认证,所以如果你感兴趣,一定要开始考虑这些认证。

然后是CEH。有时人们会问起它,所以您最好只拥有它。但是不要吹嘘它,特别是不要在经验丰富的安全人员身边。

与他人建立关系网

请记住,您可以同时执行这些步骤中的许多步骤。

好吧,现在我们有了一些教育,我们有了一个实验室,我们正在做一些项目,我们的网站和推特都被打开了,我们做好准备了。

酷。

现在你需要和一些人谈谈。再说一次,你可以而且应该一直这样做,但是如果你没有做到,那就绝对是时候去做了。

注意谁会来你的网站。关注Twitter上有趣的互动。向那些人伸出援手。开始对话。去他们要去的地方,亲自和他们交流。去维加斯参加黑帽和防暴周。有很多infosec的人在那里聊天。

找个导师

这部分几乎可以单做一篇文章,但我就把它放在这里。找一个有你喜欢的风格的人,让他们来指导你。给他们发邮件。打电话给他们。但我们要事先做研究。一定要先把这篇文章里的东西做完。

为了从潜在导师那里得到最好的回应,在第一次互动中明确你已经提前付出了努力。

让他们尽可能容易地帮助你,你就不会被拒绝。我在 infosec 中看到的一件事是,人们非常愿意帮助那些渴望工作并且刚刚起步的人。

提供实习机会

主动提出和某人实习。主动去做他们的脏活。为他们写剧本。编辑他们的博客帖子。帮助他们筛选数据。这些事情可能会有所帮助,而且可能会直接导致你在未来的面试或其他类型的引子。

会议

截屏-2018-06-13-at-3.43.25-pm

会议是行业中做一些事情的一种方式:

  1. 看看什么新研究正在被做
  2. 和你住在很远地方的其他infosec朋友联系
  3. 把你自己的想法、想法和研究成果呈现给别人

对于#1,您真的不必参加会议。大多数对话(尤其是非常好的对话)会在之后立即提供,因此您可以将其从网站上删除。

不过,这对#2没有帮助,大多数在现场工作了10年左右的infosec老兵大都会去参加会议,看望他们的朋友。会谈基本上是作为这样做的一个环境,而不是中心,特别是因为他们可以让会谈在线。

但对于新手来说,现场会谈是了解infosec文化的宝贵途径。我建议您考虑以下几点:

如果你刚开始,你肯定应该至少去一次。在这一点上,它基本上是对自己的模仿,但那只是因为它变得如此流行。它成功的牺牲品。

在每年的DEFCON之前是BlackHat,它的公司化程度更高(而且成本也更高),但对于新来的人来说,它仍然是体面的。

战场上的老兵们每年都开始越来越多地回避这些问题,转而去那些有着老牌的感觉的小公司,例如,更高质量的会谈,一个有助于与其他参与者进行更密切讨论的小场所,以及……嗯,只是人少了。

其中包括:

  • DerbyCon
  • ShmooCon
  • ThotCon
  • CactusCon
  • HouSecCon

…和其他人。

我最喜欢的会议类型是更像TED的单轨会议,专注于提出想法,而不是仅仅是新的方法来打破现状。当然,我们需要打破现状的内容,但我们也需要听到更多关于整体概念和如何实际解决问题的知识。

例如,我特别迷恋ENIGMA。在我看来,单轨模式是可行的方法。

除了这些传统类型的会议之外,您还应该在本地注册OWASP分会。从参加会议开始,全身心投入,然后主动提供帮助,当你准备好的时候,要求自己做一个演讲。

您希望在本地区对bside执行相同的操作。基本上,bside是任何特定领域的主要会议的替代品。最大的一次是在拉斯维加斯,与黑帽/防暴活动相对应。

会议底线:

  1. 从本地开始,参与进来,并在准备好后尽快进行自己的演讲
  2. 如果你以前从未参加过会议,你应该至少做一次DEFCON
  3. 像DerbyCon和ShmooCon这样规模较小但很受欢迎的会议在这一点上通常被大多数人认为“更好”,但这是一个基于受欢迎度和排他性的随时间变化的滑动条
  4. 请记住,cons的主要好处是在infosec环境中建立网络和与朋友见面

作出贡献

另一个提升你的职业生涯的好方法是运用你的技能帮助你完成各种各样的项目。

这通常是用你的编程技巧来完成的,关键是找到符合你兴趣和工作的东西。你不想强迫这一步,或者他们中的任何一个。做自然的事。

一个好的开始方法是简单地注意到,对于您使用和喜欢的工具,如果它们有任何突出的错误或问题。联系工具的创建者,询问您是否可以提供帮助。

Github很适合这种类型的交互,因为pull请求允许您修复一些东西,如果他们愿意,可以将这些东西带到项目中。

嘿,我喜欢这个项目,我有个办法来解决这个问题。我能把我提出的解决方案编码后发给你一个请求吗?

99%的项目负责人都会跳过这一步,很可能还会在学分中提到你。

  • 这对你来说是很好的练习
  • 它有助于改进工具
  • 你会帮助项目负责人的
  • 作为一个活跃的程序员,你会得到你的名字的

即使你没有在技术上提供帮助,也有各种各样的方法来帮助项目。你可以帮助组织输入,创建文档,发布关于项目的信息等等。找到你关心的事情,帮助他们做得更好

不要追逐荣誉或认可。把它放在输出上,让其他一切自然发生。

响应cfp

与掌握会议现场密切相关的是讲话在那些会议上。为了做到这一点,你必须熟悉征集文件(CFP)游戏。

如果你访问任何一个会议网站,你可能会看到一个发言人或CFP的链接,你可以在这里找到如何提交。您还可以订阅会议的电子邮件列表,并在CFP打开后立即收到通知。

基本上是会谈。谈得好。有好的演讲者。它是任何好事件的生命线。因此,每年,在活动开始前几个月,会议都会公开他们的CFP,或要求提交文件,这就是人们提交会谈以供审议的方式。

它被称为论文因为整个概念来自学术空间。在这种情况下,就是一群博士或研究生在一个专门的会议上提交实际的学术论文(比如秘鲁蝴蝶交配研讨会),这些学术论文非常专业,引文很多,不太可能引起他们狭隘领域之外的人的兴趣。

信息安全借用了这个概念,但规则要宽松得多。首先,在大多数情况下,人们不会提交学术风格的论文。他们在谈话。演示文稿。幻灯片,真的。

以下是您需要提交的内容:

  1. 伟大的头衔:会议有大量的谈话,很难引起人们的注意。所以你必须有一个简洁的标题。简洁和描述性的东西。我很快就会给一个朋友举一个例子,“从WTF到CTF:如何在不到2年的时间内成为一支信息安全的自然力量”,这可能会让一些人坐上议席。
  2. 像样的摘要:摘要(同样来自学术界)是你对你将要谈论的内容进行基本总结的地方。你需要真正地解决这个问题,因为它(结合标题)是评审委员会决定是否接受你的地方。根据会议情况,这应该是1-5段。从基本的概念中,或者说,人们肯定会有什么样的描述。一定要提到是否有演示或讲义。会议喜欢这些。
  3. 更深入的描述:有些会议要求您提供更详细的演讲描述。这些部分是什么。演示内容。如果你要提交到需要它的会议,你应该有它,但在大多数情况下,你可以通过一个体面的描述性摘要。
  4. 你的简历:你总是需要一份简历。你应该手边有一个。请参阅下面的扬声器捆绑部分。你可能想有两个可用的bios。一个真正正式的,严肃地谈论你自己的工作,有很多参考资料。或许还有一些更有趣和轻松愉快的会议,用于更具技术性或黑客性的会议。
  5. 头像:你通常需要一张你自己的照片才能和演讲一起发送。一定要有几个,这样你就可以根据你演讲的类型来定制它。RSA或某些政府会议的头像可能与DEFCON或Shmoocon不同。

演讲者的包袱

我建议您创建一个包含以下所有内容的扬声器捆绑包:

  • 简历
  • 头像
  • 会谈(每个人都有这个)
    • 标题
    • 摘要
    • 说明

将这些文件存储在某个地方,以便您可以根据需要快速复制并粘贴到各种会议的CFP表单中。错过CFP真的很糟糕,因为你组织起来不够快。

把这些东西准备好。会议全年都有,这意味着一旦你进入其中,你很可能每个季度至少要提交一些反对意见。

找到你的第一份工作

tips-para-ENTERVISTAS-de-trabajo-1024x740-e1540269650583

就像我在书中说的那样这是这一块,信息安全/网络安全部门的乔布斯发生了一件奇怪的事情。雇主们认为没有候选人,想要进入这个领域的人认为没有工作。他们都是对的。

但事实证明,这只是一个很简单的、关于中间人的回答是非常矛盾的。

入门级职位在网络安全领域并不存在。

为了对一个团队有用,你必须在第一天发挥作用,这需要你将以下三件事结合起来:

  1. 计算机科学和/或与信息安全相关的学位。
  2. 一套很好的证书,显示了与学位相似的知识。
  3. 一个实际的,有形的项目工作,表明你可以实际做的事情,你将被要求做的工作。

对于大多数阅读本文的人来说,#1不是你目前的选择(否则你已经有了一个职位)。所以你很可能需要2和3的组合。

请参阅本文中有关认证的认证部分。

在实际工作中,你需要一个博客,一个GitHub帐户,一个Twitter帐户,最重要的是你需要找到或创建你关心的项目,并围绕它们生成代码。

下面是一个例子在我的一个项目中,有人可以用最少的编程技巧来完成。

你不必是一个全栈开发人员,但你需要能够编程。你必须能够创造东西。也许是工作流程自动化。也许这是在创造一个新的工具。也许它是在改进一个已经过时的工具。

不管怎样,只要出去创造。

了解这份工作

下一件你需要做的事情就是证明你在可能被要求去做的事情上确实很熟练。基于近20年的行业经验,下面列出了其中一些任务。

  • 管理安全设备/服务:您首先需要做的事情之一是管理安全设备/云服务,如防火墙、IP等。了解它的功能。知道如何配置它(你必须阅读手册并观看视频)。集中记录。将报告配置为能够显示购买的价值。
  • 回复安全问卷:这是每个安全团队都必须做的事情,这通常是一项肮脏的工作,需要大量的技术知识、经验和能力…嗯…创造性的. 如果你能在这方面帮助团队,那么你已经在团队中赢得了一席之地。
  • 进行产品评估:管理层经常要求团队实施X类型的保护,无论是端点防御、云WAF、欺骗技术、AI SOC增强等等。你需要能够找到最好的供应商,建立一个评级系统,进行评估,然后根据你的研究和评估结果为管理层写一份建议。

看到了吗本文关于这个关键技能的更多细节。

  • 快速编写脚本:团队中有很多次需要从某个地方提取数据,对其做些什么,然后将结果放入叙述中。数据需要不断地被提取、处理和呈现。掌握这项技能会给你很大的优势。
  • 执行安全检查:由于各种原因,您经常会被要求评估网站的安全性,我们将要收购的公司,或其他任何东西。作为一个专家,你需要做一个非常快速的评估。

这是一个短名单,我会不断增加,因为我想更多。但我觉得有趣的是,它显示了为什么没有初级网络安全职位。这些都需要大量的教育、培训、经验、智力,或两者的某种结合。

如果你能在面试中表现出你能做到这些,你就更有可能被录用。

它们中的一个共同点是较强的写作能力.

掌握专业知识

好吧,现在我们进入高级艺术。这些东西会把你从中等技术领域带到大师和领导者的土地上。

专业是你用来展示自己的包装。在这方面失败意味着你的内容可以是世界级的,你仍然可以被忽视或被忽略。以下是基础知识:

  1. 可靠性. 不要做出你不遵守的承诺。不要错过会议。要早,不要晚。不要错过项目的最后期限。承诺不足,交付过度。
  2. 衣柜. 给自己买个像样的衣橱。把t恤放下。放下运动鞋。买一些高质量的牛仔裤和黑鞋子。买些像样的衬衫。确保一切都合身。买几件夹克和牛仔裤一起穿;它们是指数,而不是乘数。最后,在需要的时候至少有一套好衣服。
  3. 言简意赅. 语言交流要清晰明了。不要停留在积分上。另一个人可以干净利落的回答他们。
  4. 收紧你的写作. 学习和实施.
  5. 学会呈现. 公众演讲对许多人来说是一种野兽,但是如果你不能出席演讲,你的进步将受到严重限制。我建议演讲会的人谁有重大问题的前景,在人们面前。

这些技能放大了你所做的每件事,你身边总是有人在这些领域里毫无技能可言。做一个在所有这些方面都很强的人,你在大多数情况下都会表现出色。

了解业务

照片-1431540015161-0bf868a2d407-e1528897527723

这是许多人(大多数人?)发展的一个方面技术人员缺乏,这严重限制了他们在一定程度上参与对话的能力。

基本原则是:对于企业来说,一切都归结于金钱。钱进钱出。所以,你在风险计划上所做的所有工作,或者漏洞扫描,或者你新的零日漏洞攻击,都远远低于业务的重点领域。

企业希望量化风险,以便决定应该花多少钱来减轻风险。你至少应该准备好考虑存在的风险有多大(以美元计)、以各种方式减轻风险需要花费多少钱,以及剩余风险将如何(如果有的话)。

这是非常困难的,你不想用一种虚假的,伪科学的方式来做。但您需要认识到,每个安全决策最终都是一个业务(因此也是资金)决策。这是InfoSec人员的成熟标志。

有些人在某个时候接受了这一点并继续前进,而另一些人则直接拒绝了这一点,并将余下的职业生涯都花在了翻来覆去的工作上。

简言之,尽可能多地用数字表示事物,并尝试从风险和业务影响的角度考虑,而不是具体的漏洞和其他细节。

有激情

到目前为止,我们一直在谈论有形物。现在让我们来谈谈另一个,也可以说是最重要的关键区别点,在这个游戏中,谁达到了顶峰,谁在中间消失了。

好奇心、兴趣和激情。

成功的90%仅仅是获得10万次成功的机会。你会有机会出现的。启动虚拟机。写下概念证明。写那篇博文。你必须坚持几年。

您可以使用两种不同的方法:

  1. 非人的自律使可能你来做这个
  2. 一种与生俱来的激情强迫你来做这个

没有多少人能维持第一个这么久。它是空的。它是空的。这些类型的人都有,但他们经常会筋疲力尽,转而去做别的事情。最优秀的人是被迫.

大多数在infosec工作多年的成功人士之所以能取得成功,是因为他们的动力来自内部熔岩核。如果他们努力的话,他们就不能停止做保安工作。

他们熬夜写工具或写博客不是因为这是预定的时间,而是因为他们在生理上不能做其他的事.

理想情况下,希望在这个信息安全的世界上取得成功的人应该有很强的自律能力。这很重要。这是值得尊敬的。你需要一定量的。

但是,如果你真的想茁壮成长,并且没有一个僵硬的灵魂,你应该被激情所牵引,而不是被纪律所驱使。

成为大师

照片-1477244075012-5CC2828286E465-e1528897585884

好吧,现在你已经完成了这一切。你有丰富的经验,30多岁,40多岁,50多岁,一切都很好。顶层是什么样子的?信息安全领域最优秀的人能做什么,而其他人却做不到?

首先,他们通常拥有我们已经讨论过的所有东西。但它们有额外的维度将它们区分开来。示例包括:

  1. 金融知识. 处理预算、了解创业融资、做出采购决策等能力。
  2. 管理经验. 管理项目和管理人员是两件截然不同的事情,这一层的人两者都擅长。
  3. 广泛的网络. 这一层的很多人都知道infosec和business的主要参与者的比例很高。
  4. 连衣裙. 坐在这张桌子上的选手们的衣柜、礼仪、礼仪都有了显著的提升,并享受到了更加精致的休闲活动,如高尔夫、滑雪、划船等。
  5. 高等教育. 在这一级拥有硕士学位是个好主意。这不是必要的,但许多顶级职位确实会把大学学位作为一个复选框。
  6. 媒体悟性. 接受过培训,能够与媒体就各种话题进行交流。
  7. 科技/商业混合体. 这一级别的人能够走进开发者的房间,帮助他们,与《财富》50强的一位客户通电话,向董事会汇报一个关键问题,然后接受媒体人士的采访。了解不同的受众及其各自的需求是关键。
  8. 创造力. 那些走到这一步的人将以一种有规律的节奏提出新的想法和方法来解决问题。在这个层次上仅仅执行你所得到的是不够的。你必须有创新能力。

逆转采访

在行业中,顶级安全人员在看过并做了很多事情之后,通常还会做一些其他的事情:

他们开始更多地考虑如何改变世界,而不再考虑公司给予他们什么.

因此,与其问401K,或是假期,或是薪水,他们更倾向于问自己在组织中能得到多少支持来做他们认为需要做的事情。或者他们会开始只在他们觉得可以直接影响安全的地方工作。

最优秀的候选人在谈话,而不是接受面试。

基本上,在一定程度的经验和成功之后,一小部分的安全专业人士会认为,一家压垮灵魂的公司给他们的(几乎)任何东西都不会让他们愿意在那里工作。在那一点上,他们只会在他们觉得有实际意义的地方工作。

不是每个人都能在自己的职业生涯中走到这一步,也不是每个人都应该做到。但从角度来看,这是一个重要的区别:他们是否仍在努力从所供职的公司获得更多收益,还是已经转变为更关心自己对行业的影响?

摘要

我希望这些资源能帮助人们进入和经历网络/信息安全职业的各个层次。

这确实是一次旅行,但也是值得的。

笔记

  1. 一定要赶上这封信的姊妹邮递莱斯利·卡哈特(@hacks4pancakes). 她有出色的向导在信息安全领域,你可以选择不同的职业道路。强烈推荐!
  2. 如果你有任何关于如何改进我的反馈,请在Twitter上或在下面的评论中告诉我,如果你对如何在迷宫中导航有任何具体的问题,请直接联系我。
  3. 记住,你越深入你的职业生涯,任何教育或证书的重要性就越小。这一切都是关于你所做的,这就是你应该做的。
  4. 多亏了我的朋友杰森·哈迪克斯为了阅读这个版本。
  5. 要想专注于自己对行业的影响,还需要一定程度的信心和/或影响力,这是很少有人具备的,否则,这个人只会觉得自己是一个小齿轮,不可能影响变化。这是只有有经验和成功的人才会做出这种转变的另一个原因:他们是唯一相信自己能有所作为的人。

关于作者

丹尼尔·米斯勒是一名网络安全专家,著有真正的物联网总部设在加州旧金山。他擅长侦察/情报、应用和物联网安全以及安全程序设计20年经验帮助公司从早期初创企业到全球100强企业。丹尼尔目前在湾区一家领先的科技公司工作OWASP物联网安全项目,和可以找到文字关于安全、技术和人类的交集。他也是无监督学习播客和时事通讯。::

TIP

DEFCON:DEFCON极客大会是全球顶级的安全会议,诞生于1993年,被称为极客界的“奥斯卡”,每年7月在美国的拉斯维加斯举行,近万名参会者除来自世界各地的极客、安全领域研究者、爱好者,还有全球许多大公司的代表以及美国国防部、联邦调查局、国家安全局等政府机构的官员。

INFOSEC:INFOSEC是一家100%的泰国独资公司。INFOSEC是泰国领先的IT安全分销商。提供从个人用户到小型或大型企业的IT安全系统需求。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!

请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!