原文:How to Build a Cybersecurity Career
在資訊保安領域建立成功職業生涯的規範性指南
由丹尼爾MIESSLER 在資訊保安
建立/更新:2019年12月17日
我一直在做資訊保安(現在很多人稱之為網路安全)大約20年了,我也花了大部分時間寫這方面的文章。因此,我收到大量電子郵件,詢問以下問題:
我應該怎麼做才能進入資訊保安領域?
所以這篇文章就是我對這個問題的回答,把問題的各個方面都放在一個地方。它將會為您提供從完全的新手到開始您的第一份工作,再到達到行業頂峰的知識。
我把他分解為以下幾個部分。
我們開始吧。
教育類
資訊保安是一門高階學科,這意味著你最好在進入該領域之前精通其他某個技術領域。這不是必需的,但這很常見,而且很理想。資訊保安委員會通常來自三個領域:
- 系統管理
- 網路
- 開發
這些是按最常見的切入點排序的,而不是最好的。最好是開發,然後是系統管理,然後是網路。
但假設你沒有這些方面的背景,你需要從無到有。我們需要了解你,有三種主要方法:
- 大學
- 技術學校
- 資質認證
我建議在一所像樣的大學讀四年制的電腦科學或計算機資訊系統或資訊科技課程。但是,當你這樣做的時候,你需要做這篇文章中的所有其他事情。
你在大學裡學到了什麼取決於課程內容和你與他人的互動,以及你能從很多不同的地方獲得知識。和一群聰明人一起出去玩,做些什麼是大學真正的好處。
有很多人上大學是為了CS或者安全,卻從來沒有在這個行業取得成功,還有很多人從來沒有上過大學,達到了最高水平。大學不是一切。
如果你不能上大學,你就需要另一種方式來學習,例如,技術學院或證照。只要你有好奇心和自律性去完成你開始的工作,以上任何一個都可以。
以下是您需要從大學、技術學院或自學/認證中獲得的領域知識:
- 網路(TCP/IP/交換/路由/協議等)
- 系統管理(Windows/Linux/activedirectory/hardening等)
- 程式設計(程式設計概念/指令碼/物件導向基礎知識)
資料庫也在那裡,混合了系統管理和程式設計。
如果你在這三個方面都沒有很好的基礎,理想情況下其中一個沒有足夠的實力,那麼你很難在資訊保安職業生涯的早期階段取得進步。此時的關鍵是您的遊戲中不應存在重大漏洞,而在任何這些方面均較弱則是一個重大漏洞。
稍後我將更多地討論認證,但我在上面提到它們的原因是:您可以使用認證學習書籍作為教學指南。他們很擅長向你展示基本知識。以下是一些示例:
- A+
- Security+
- Linux+
- 思科認證網路工程師 CCNA
有很多很棒的書(最好的一本在谷歌上)可以很快地向你展示一個主題的基本知識。這是一個很好的方法來確保你的知識沒有任何重大的差距。
程式設計
程式設計本身就足夠重要了。如果你不培養你的程式設計技能,你的資訊保安事業將受到嚴重限制。
在這裡檢視程式設計師型別之間的差異.
你不需要成為程式設計師就可以得到一份工作。你甚至可以找到一份好工作。你甚至可以晉升為管理層。但是如果你不能構建東西,你永遠不會達到infosec的精英水平。網站。工具。概念證明。等。
如果你不會編碼,你將永遠依賴那些能編碼的人。
學會編碼。
輸入源
對於任何infosec專業人員來說,最重要的事情之一就是為新聞、文章、工具等提供一組好的輸入。
傳統上,這是通過一個優先的新聞來源列表來完成的,這些資訊來源是根據個人所處的安全型別而定的。有些網站專注於網路安全、應用程式安全、OPSEC、OSIT、政府安全等等。
不過,Twitter正逐漸取代以下網站。其主要原因是資料的新鮮度。Twitter是實時的,這使得它比傳統來源更有優勢。
Twitter允許你建立(和訂閱)列表。如果你的使用者名稱是@丹尼米斯勒,您可以附加/列表/列表名稱以及名單上所有人的推特。
我的建議是使用兩個主要來源:
- 推特
- RSS源
在Twitter上關注那些可以讓你接觸到新思維方式、新學習方式和新知識的人。找到它們的所有來源,並在你的RSS閱讀器中追蹤它們。我推薦Feedly的RSS。
建造你的實驗室
有一個實驗室是必不可少的。事實上,這是我在面試時首先要問的問題之一。我問他們要玩什麼樣的實驗室或網路,如果他們回答說他們沒有,我感謝他們的時間。
實驗室是你學習的地方。實驗室是你執行專案的地方。實驗室是你成長的地方。
實驗室設定有幾個選項。
- 膝上型電腦或桌上型電腦上的VMware(或類似產品)
- 膝上型電腦或桌上型電腦(現在是伺服器)上的VMware(或類似產品)
- 裝有VMware(或類似產品)的真實伺服器
- 線上VPS系統(EC2,Linode,Digital Ocean,LightSail等)
如果你有錢的話,我推薦3和4的組合,3是第一位的。以下是您希望在這樣的實驗室中能夠做的一些事情:
- 為您的房子建一個Active Directory林
- 從Active Directory執行您自己的DNS
- 從Active Directory執行您自己的DHCP伺服器
- 網路中有多個區域,如果要在室外提供服務,則包括DMZ
- 儘快升級到真正的防火牆。我推薦Sophos的防火牆(以前是Astaro),因為它問世以來一直在使用它,但是還有其他一些不錯的iptables和pf選項。這樣做將需要您瞭解路由和NAT以及真正對進行升級至關重要的各種基礎知識。
- 在Windows / IIS上站起來的網站
- 在Linux / PHP上站起來的網站
- 在Linux / Wordpress上建立部落格
- 隨時準備安裝Kali Linux
- 建立一個OpenBSD框並使用DJBDNS建立一個DNS伺服器
- 設定代理伺服器
- 在VPS上構建並執行自己的VPN
- 構建並配置可以使用Postfix,Qmail或Sendmail將電子郵件傳送到Internet的電子郵件伺服器(我建議使用Postfix)
我用了上面的一些術語,你可能需要查一下。把它當作練習吧!
這些是最基本的。在過去的幾年裡,大多數對infosec非常感興趣的人已經做了幾十次或幾百次以上的列表。
實驗室的好處是你現在有地方做實驗了。你從你的新聞中聽到了一些事情,你可以跳到你的實驗室,開啟一個盒子,然後到處亂搞。對於一個成長中的infosec來說,這是無價的。
現在你有了這個清單,你就可以開始專注於你自己的專案了。
你就是你的專案
這就是書本知識停止,創造力開始的地方。你應該一直在做專案。
作為一個初學者,甚至作為一個高階實踐者,沒有人應該問你在做什麼,而你會說“沒什麼”。當然,除非你在中間休息一下。
專案往往與程式設計有很大的交叉。這個想法是,你想出一個可能對人們有用的工具或工具,然後你去做它。
當你在學習的時候,不要太擔心有人已經做了一些事。建立是很有趣的,你想習慣使用程式碼從概念到完成的興奮感。
你要培養的關鍵技能是用當前的方式識別問題,然後1)提出解決方案,2)建立解決問題的工具。
專案表明你可以實際應用知識,而不是僅僅收集知識。
不要去想你有多少專案。如果你那樣做,那就是人為的。相反,只需關注安全方面有趣的問題,讓想法和專案自然而然地出現。
在寫作世界裡,有一個最大的限度就是“展示,不要說”。專案正在展示,收集知識是很有說服力的。
用獎金練習
既然您已經有一個實驗室,擁有一些紮實的技能,並且您一直在研究某些專案,那麼您可能想要處理一些漏洞賞金。
最好將其歸結為快速獲得真實體驗的原因,這是任何希望為您提供工作的人的第一要求。因此,除了具有編碼經驗(與您的專案一起使用)之外,還可以通過賞金獲得測試經驗。
有兩個主要的平臺你可以做獎金:BugCrowd和HackerOne。還有很多,但這些專案最多,也最成熟。
這個過程是你在網站上註冊,找一個你感興趣的程式來查詢bug,然後你就直接跳進去。以下幾點要記住:
- 仔細閱讀與每個程式相關的規則和限制。你不想與平臺或客戶發生衝突。
- 賞金計劃有多種型別。有些人花錢,審查和競爭更激烈,而有些人則更注重因果報應,或者說是榮譽,對初學者來說是更好的練習機會。
- 我強烈推薦jasonhaddix的web獎勵內容;學習他的方法是找到bug的最快方法。
世界是相當微妙的,有許多規則和您應該學習的獨特禮節。因此,請尊重這一點,您將更有效率,也不會踩腳趾。
無論是在GitHub上程式設計還是做獎金,目標都是在你找到工作之前,或者在你想要的領域找到工作之前獲得專業經驗。這是一種展示而不是訴說的方式。
擁有一個活躍的GitHub,在你的懸賞檔案中發現一些可靠的bug,這是一種讓你遠離那些仍然是純理論的人的方法,並且可以很容易地幫助你獲得第一個職位,或者在一個你還沒有建立起來的領域找到一個新的職位。
出席
好吧,現在你已經完成了一些專案,是時候讓人們通過你的品牌平臺瞭解他們了。是的,你應該有一個品牌。如果你願意的話,它可以是低調的,而且這個行業已經充滿了太多的自負,但你確實需要一個平臺來傳播。
如果你是一個內向的人和/或你覺得談論你所做的任何事情都是自誇的,那就停止吧。在這個行業,這種心態對你沒有幫助。為了進入中高層,你需要學習如何推銷自己和你的作品。
內向和(錯誤?)謙卑不行。做好工作,願意談。但要從分享和合作的角度出發,而不是傲慢自大。
網站
首先你需要一個網站。有人把這叫做部落格,沒關係。關鍵是你需要一個地方來展示自己。你應該有一個關於頁面,一些好的聯絡資訊,你的專案列表,等等。再說一次,如果你寫部落格,那就是做這件事的地方。
只要明白你的域名和你的網站是你身份的中心,所以理想情況下你會有一個好的域名,它會持續一輩子。firstnamelastname.com網站可能是理想的,但許多人不能這樣做,因為他們的名字相當常見。還有其他選擇,但要謹慎選擇。你希望這個域名保持不變,直到你死,或被帶進狂喜,或上傳到集體。
我要說的是挑個好東西。這是你的品牌,你的品牌很重要。
你應該在自己的網站上寫部落格和主持所有的專案,並在其他地方聯合起來。
避免在其他地方上寫太多東西,比如 Medium 或Blogger,絕對不要在Facebook上寫任何東西,除了隨意的想法或互動。如果你在不是你自己領域的平臺上建立了什麼有趣的東西,把它變成一個完整的部分並帶回你自己的網站。
推特
Twitter也是如此。理想的賬號是名字,但如果你做不到,就選擇一個好的替代品。同樣,這是一個永久性的個人基礎設施,所以不要將其設為@L33tH4x0rs97。隨著年齡的增長,你的魅力會越來越小。
一旦你有了一個好的運營,慢慢就會有很多人關注你。在infosec中有很多列表供人們關注。用其中的一種讓你開始,然後調整。
參與談話。不要強迫。當你沒有知識的時候不要過度擴張。但如果你有什麼要補充的,那就盡情貢獻吧。你有3個關注者他們有10,000個關注者都沒關係。Twitter是一個精英統治。如果不是,就假裝是。
開始的一個好方法是轉發你喜歡的其他人的內容。當你自己變得更有能力增加價值時,你可以開始在轉發和你自己的原創內容之間交替。
不要太認真。Twitter上的許多頂級安全人員90%的時間都在閒聊。其他人只發布原始內容。做你自己,它會成功的。如果沒有,你覺得你做的都錯了,不用擔心。堅持上面說的,你會沒事的。
社會化媒體
還有很多其他的社交媒體。另一個你應該關心的是LinkedIn。有個人資料。努力吧。保持更新。只與你認識的人或者你至少有過一些互動的人聯絡。和每個人都互動會分攤你和他人之間的聯絡。
使用社交媒體很容易做得太多。抵制住。關注你的網站和Twitter,加入一些LinkedIn。我基本上把Facebook分開,但那是我個人的喜好。
記住一切都是從你的網站開始的。在那裡建立內容,然後通過Twitter、Facebook、LinkedIn和其他任何你使用的渠道來發布。
關於認證
我對infosec認證有很多疑問。太多了。它們有兩種形式:
- infosec認證真的值得嗎?
- 我該買些什麼?
好訊息:我有答案。
是的,認證。大學學位也是如此。經驗也是如此。其他人也一樣認為如此。
事物有別人所看重的價值。
證照上沒有固有的價值觀。他們的價值和人們認為的一樣多。如果僱主在你想找工作的地方要求他們,他們很重要。如果你想找工作的地方根本不在乎他們,他們在那裡沒有價值。就這麼簡單。
但對於初學者來說,是的,它們很重要。
獲得哪些認證
讓我們按級別來做:
初學者證照
如果你剛起步,我建議你獲得以下證照:
- A+
- Network+
- Linux+
- Security+
不,我不為 CompTIA 工作。但是謝謝你的關心。
在這種我並不是說這些證照對大部分初學者有巨大的價值,但有學習的價值。
就像我在教育部分提到的,證照有很好的學習材料,如果你獲得了這四個證照,你將對基礎知識有一個相當好的理解。
高階證照
我喜歡這樣解釋infosec認證:你需要你的CISSP,你應該獲得一個審計證照(CISA/CISM),你應該獲得一個技術證照(SANS)。所以:
- CISSP適用於任何想要從事安全工作的人
- CISA/CISM為希望成為經理的全能安全人員提供服務
- 用於技術人員的SAN(GSEC/GPEN/GWAPT)
- 面向滲透測試人員的OSCP
一旦你有四年的資訊保安經驗,你就應該有你的CISSP。這是我們行業最接近標準基線的東西。在很多組織裡,這實際上比電腦科學學位要好(因為很多人在大學期間沒有學到任何東西)。
接下來,我們將介紹審計空間,這是infosec的一個關鍵部分。找你的CISA或CISM。
最後你想得到一個或多個技術認證。我建議從GSEC開始,這是非常全面的。從那裡,你可以根據你的喜好進入GCIA或GPEN或GWAPT。但是,如果你只是得到了GSEC,這將是一個很好的方法來充實你的食物組。
OSCP和CREST是最受尊敬的核心滲透測試人員的認證,所以如果你感興趣,一定要開始考慮這些認證。
然後是CEH。有時人們會問起它,所以您最好只擁有它。但是不要吹噓它,特別是不要在經驗豐富的安全人員身邊。
與他人建立關係網
請記住,您可以同時執行這些步驟中的許多步驟。
好吧,現在我們有了一些教育,我們有了一個實驗室,我們正在做一些專案,我們的網站和推特都被開啟了,我們做好準備了。
酷。
現在你需要和一些人談談。再說一次,你可以而且應該一直這樣做,但是如果你沒有做到,那就絕對是時候去做了。
注意誰會來你的網站。關注Twitter上有趣的互動。向那些人伸出援手。開始對話。去他們要去的地方,親自和他們交流。去維加斯參加黑帽和防暴周。有很多infosec的人在那裡聊天。
找個導師
這部分幾乎可以單做一篇文章,但我就把它放在這裡。找一個有你喜歡的風格的人,讓他們來指導你。給他們發郵件。打電話給他們。但我們要事先做研究。一定要先把這篇文章裡的東西做完。
為了從潛在導師那裡得到最好的回應,在第一次互動中明確你已經提前付出了努力。
讓他們儘可能容易地幫助你,你就不會被拒絕。我在 infosec 中看到的一件事是,人們非常願意幫助那些渴望工作並且剛剛起步的人。
提供實習機會
主動提出和某人實習。主動去做他們的髒活。為他們寫劇本。編輯他們的部落格帖子。幫助他們篩選資料。這些事情可能會有所幫助,而且可能會直接導致你在未來的面試或其他型別的引子。
會議
會議是行業中做一些事情的一種方式:
- 看看什麼新研究正在被做
- 和你住在很遠地方的其他infosec朋友聯絡
- 把你自己的想法、想法和研究成果呈現給別人
對於#1,您真的不必參加會議。大多數對話(尤其是非常好的對話)會在之後立即提供,因此您可以將其從網站上刪除。
不過,這對#2沒有幫助,大多數在現場工作了10年左右的infosec老兵大都會去參加會議,看望他們的朋友。會談基本上是作為這樣做的一個環境,而不是中心,特別是因為他們可以讓會談線上。
但對於新手來說,現場會談是瞭解infosec文化的寶貴途徑。我建議您考慮以下幾點:
如果你剛開始,你肯定應該至少去一次。在這一點上,它基本上是對自己的模仿,但那只是因為它變得如此流行。它成功的犧牲品。
在每年的DEFCON之前是BlackHat,它的公司化程度更高(而且成本也更高),但對於新來的人來說,它仍然是體面的。
戰場上的老兵們每年都開始越來越多地迴避這些問題,轉而去那些有著老牌的感覺的小公司,例如,更高質量的會談,一個有助於與其他參與者進行更密切討論的小場所,以及……嗯,只是人少了。
其中包括:
- DerbyCon
- ShmooCon
- ThotCon
- CactusCon
- HouSecCon
…和其他人。
我最喜歡的會議型別是更像TED的單軌會議,專注於提出想法,而不是僅僅是新的方法來打破現狀。當然,我們需要打破現狀的內容,但我們也需要聽到更多關於整體概念和如何實際解決問題的知識。
例如,我特別迷戀ENIGMA。在我看來,單軌模式是可行的方法。
除了這些傳統型別的會議之外,您還應該在本地註冊OWASP分會。從參加會議開始,全身心投入,然後主動提供幫助,當你準備好的時候,要求自己做一個演講。
您希望在本地區對bside執行相同的操作。基本上,bside是任何特定領域的主要會議的替代品。最大的一次是在拉斯維加斯,與黑帽/防暴活動相對應。
會議底線:
- 從本地開始,參與進來,並在準備好後儘快進行自己的演講
- 如果你以前從未參加過會議,你應該至少做一次DEFCON
- 像DerbyCon和ShmooCon這樣規模較小但很受歡迎的會議在這一點上通常被大多數人認為“更好”,但這是一個基於受歡迎度和排他性的隨時間變化的滑動條
- 請記住,cons的主要好處是在infosec環境中建立網路和與朋友見面
作出貢獻
另一個提升你的職業生涯的好方法是運用你的技能幫助你完成各種各樣的專案。
這通常是用你的程式設計技巧來完成的,關鍵是找到符合你興趣和工作的東西。你不想強迫這一步,或者他們中的任何一個。做自然的事。
一個好的開始方法是簡單地注意到,對於您使用和喜歡的工具,如果它們有任何突出的錯誤或問題。聯絡工具的建立者,詢問您是否可以提供幫助。
Github很適合這種型別的互動,因為pull請求允許您修復一些東西,如果他們願意,可以將這些東西帶到專案中。
嘿,我喜歡這個專案,我有個辦法來解決這個問題。我能把我提出的解決方案編碼後發給你一個請求嗎?
99%的專案負責人都會跳過這一步,很可能還會在學分中提到你。
- 這對你來說是很好的練習
- 它有助於改進工具
- 你會幫助專案負責人的
- 作為一個活躍的程式設計師,你會得到你的名字的
即使你沒有在技術上提供幫助,也有各種各樣的方法來幫助專案。你可以幫助組織輸入,建立文件,釋出關於專案的資訊等等。找到你關心的事情,幫助他們做得更好
不要追逐榮譽或認可。把它放在輸出上,讓其他一切自然發生。
響應cfp
與掌握會議現場密切相關的是講話在那些會議上。為了做到這一點,你必須熟悉徵集檔案(CFP)遊戲。
如果你訪問任何一個會議網站,你可能會看到一個發言人或CFP的連結,你可以在這裡找到如何提交。您還可以訂閱會議的電子郵件列表,並在CFP開啟後立即收到通知。
基本上是會談。談得好。有好的演講者。它是任何好事件的生命線。因此,每年,在活動開始前幾個月,會議都會公開他們的CFP,或要求提交檔案,這就是人們提交會談以供審議的方式。
它被稱為論文因為整個概念來自學術空間。在這種情況下,就是一群博士或研究生在一個專門的會議上提交實際的學術論文(比如祕魯蝴蝶交配研討會),這些學術論文非常專業,引文很多,不太可能引起他們狹隘領域之外的人的興趣。
資訊保安借用了這個概念,但規則要寬鬆得多。首先,在大多數情況下,人們不會提交學術風格的論文。他們在談話。簡報。幻燈片,真的。
以下是您需要提交的內容:
- 偉大的頭銜:會議有大量的談話,很難引起人們的注意。所以你必須有一個簡潔的標題。簡潔和描述性的東西。我很快就會給一個朋友舉一個例子,“從WTF到CTF:如何在不到2年的時間內成為一支資訊保安的自然力量”,這可能會讓一些人坐上議席。
- 像樣的摘要:摘要(同樣來自學術界)是你對你將要談論的內容進行基本總結的地方。你需要真正地解決這個問題,因為它(結合標題)是評審委員會決定是否接受你的地方。根據會議情況,這應該是1-5段。從基本的概念中,或者說,人們肯定會有什麼樣的描述。一定要提到是否有演示或講義。會議喜歡這些。
- 更深入的描述:有些會議要求您提供更詳細的演講描述。這些部分是什麼。演示內容。如果你要提交到需要它的會議,你應該有它,但在大多數情況下,你可以通過一個體面的描述性摘要。
- 你的簡歷:你總是需要一份簡歷。你應該手邊有一個。請參閱下面的揚聲器捆綁部分。你可能想有兩個可用的bios。一個真正正式的,嚴肅地談論你自己的工作,有很多參考資料。或許還有一些更有趣和輕鬆愉快的會議,用於更具技術性或黑客性的會議。
- 頭像:你通常需要一張你自己的照片才能和演講一起傳送。一定要有幾個,這樣你就可以根據你演講的型別來定製它。RSA或某些政府會議的頭像可能與DEFCON或Shmoocon不同。
演講者的包袱
我建議您建立一個包含以下所有內容的揚聲器捆綁包:
- 簡歷
- 頭像
- 會談(每個人都有這個)
- 標題
- 摘要
- 說明
將這些檔案儲存在某個地方,以便您可以根據需要快速複製並貼上到各種會議的CFP表單中。錯過CFP真的很糟糕,因為你組織起來不夠快。
把這些東西準備好。會議全年都有,這意味著一旦你進入其中,你很可能每個季度至少要提交一些反對意見。
找到你的第一份工作
就像我在書中說的那樣這是這一塊,資訊保安/網路安全部門的賈伯斯發生了一件奇怪的事情。僱主們認為沒有候選人,想要進入這個領域的人認為沒有工作。他們都是對的。
但事實證明,這只是一個很簡單的、關於中間人的回答是非常矛盾的。
入門級職位在網路安全領域並不存在。
為了對一個團隊有用,你必須在第一天發揮作用,這需要你將以下三件事結合起來:
- 電腦科學和/或與資訊保安相關的學位。
- 一套很好的證照,顯示了與學位相似的知識。
- 一個實際的,有形的專案工作,表明你可以實際做的事情,你將被要求做的工作。
對於大多數閱讀本文的人來說,#1不是你目前的選擇(否則你已經有了一個職位)。所以你很可能需要2和3的組合。
請參閱本文中有關認證的認證部分。
在實際工作中,你需要一個部落格,一個GitHub帳戶,一個Twitter帳戶,最重要的是你需要找到或建立你關心的專案,並圍繞它們生成程式碼。
下面是一個例子在我的一個專案中,有人可以用最少的程式設計技巧來完成。
你不必是一個全棧開發人員,但你需要能夠程式設計。你必須能夠創造東西。也許是工作流程自動化。也許這是在創造一個新的工具。也許它是在改進一個已經過時的工具。
不管怎樣,只要出去創造。
瞭解這份工作
下一件你需要做的事情就是證明你在可能被要求去做的事情上確實很熟練。基於近20年的行業經驗,下面列出了其中一些任務。
- 管理安全裝置/服務:您首先需要做的事情之一是管理安全裝置/雲服務,如防火牆、IP等。瞭解它的功能。知道如何配置它(你必須閱讀手冊並觀看視訊)。集中記錄。將報告配置為能夠顯示購買的價值。
- 回覆安全問卷:這是每個安全團隊都必須做的事情,這通常是一項骯髒的工作,需要大量的技術知識、經驗和能力…嗯…創造性的. 如果你能在這方面幫助團隊,那麼你已經在團隊中贏得了一席之地。
- 進行產品評估:管理層經常要求團隊實施X型別的保護,無論是端點防禦、雲WAF、欺騙技術、AI SOC增強等等。你需要能夠找到最好的供應商,建立一個評級系統,進行評估,然後根據你的研究和評估結果為管理層寫一份建議。
看到了嗎本文關於這個關鍵技能的更多細節。
- 快速編寫指令碼:團隊中有很多次需要從某個地方提取資料,對其做些什麼,然後將結果放入敘述中。資料需要不斷地被提取、處理和呈現。掌握這項技能會給你很大的優勢。
- 執行安全檢查:由於各種原因,您經常會被要求評估網站的安全性,我們將要收購的公司,或其他任何東西。作為一個專家,你需要做一個非常快速的評估。
這是一個短名單,我會不斷增加,因為我想更多。但我覺得有趣的是,它顯示了為什麼沒有初級網路安全職位。這些都需要大量的教育、培訓、經驗、智力,或兩者的某種結合。
如果你能在面試中表現出你能做到這些,你就更有可能被錄用。
它們中的一個共同點是較強的寫作能力.
掌握專業知識
好吧,現在我們進入高階藝術。這些東西會把你從中等技術領域帶到大師和領導者的土地上。
專業是你用來展示自己的包裝。在這方面失敗意味著你的內容可以是世界級的,你仍然可以被忽視或被忽略。以下是基礎知識:
- 可靠性. 不要做出你不遵守的承諾。不要錯過會議。要早,不要晚。不要錯過專案的最後期限。承諾不足,交付過度。
- 衣櫃. 給自己買個像樣的衣櫥。把t恤放下。放下運動鞋。買一些高質量的牛仔褲和黑鞋子。買些像樣的襯衫。確保一切都合身。買幾件夾克和牛仔褲一起穿;它們是指數,而不是乘數。最後,在需要的時候至少有一套好衣服。
- 言簡意賅. 語言交流要清晰明瞭。不要停留在積分上。另一個人可以乾淨利落的回答他們。
- 收緊你的寫作. 學習和實施這.
- 學會呈現. 公眾演講對許多人來說是一種野獸,但是如果你不能出席演講,你的進步將受到嚴重限制。我建議演講會的人誰有重大問題的前景,在人們面前。
這些技能放大了你所做的每件事,你身邊總是有人在這些領域裡毫無技能可言。做一個在所有這些方面都很強的人,你在大多數情況下都會表現出色。
瞭解業務
這是許多人(大多數人?)發展的一個方面技術人員缺乏,這嚴重限制了他們在一定程度上參與對話的能力。
基本原則是:對於企業來說,一切都歸結於金錢。錢進錢出。所以,你在風險計劃上所做的所有工作,或者漏洞掃描,或者你新的零日漏洞攻擊,都遠遠低於業務的重點領域。
企業希望量化風險,以便決定應該花多少錢來減輕風險。你至少應該準備好考慮存在的風險有多大(以美元計)、以各種方式減輕風險需要花費多少錢,以及剩餘風險將如何(如果有的話)。
這是非常困難的,你不想用一種虛假的,偽科學的方式來做。但您需要認識到,每個安全決策最終都是一個業務(因此也是資金)決策。這是InfoSec人員的成熟標誌。
有些人在某個時候接受了這一點並繼續前進,而另一些人則直接拒絕了這一點,並將餘下的職業生涯都花在了翻來覆去的工作上。
簡言之,儘可能多地用數字表示事物,並嘗試從風險和業務影響的角度考慮,而不是具體的漏洞和其他細節。
有激情
到目前為止,我們一直在談論有形物。現在讓我們來談談另一個,也可以說是最重要的關鍵區別點,在這個遊戲中,誰達到了頂峰,誰在中間消失了。
好奇心、興趣和激情。
成功的90%僅僅是獲得10萬次成功的機會。你會有機會出現的。啟動虛擬機器。寫下概念證明。寫那篇博文。你必須堅持幾年。
您可以使用兩種不同的方法:
- 非人的自律使可能你來做這個
- 一種與生俱來的激情強迫你來做這個
沒有多少人能維持第一個這麼久。它是空的。它是空的。這些型別的人都有,但他們經常會筋疲力盡,轉而去做別的事情。最優秀的人是被迫.
大多數在infosec工作多年的成功人士之所以能取得成功,是因為他們的動力來自內部熔岩核。如果他們努力的話,他們就不能停止做保安工作。
他們熬夜寫工具或寫部落格不是因為這是預定的時間,而是因為他們在生理上不能做其他的事.
理想情況下,希望在這個資訊保安的世界上取得成功的人應該有很強的自律能力。這很重要。這是值得尊敬的。你需要一定量的。
但是,如果你真的想茁壯成長,並且沒有一個僵硬的靈魂,你應該被激情所牽引,而不是被紀律所驅使。
成為大師
好吧,現在你已經完成了這一切。你有豐富的經驗,30多歲,40多歲,50多歲,一切都很好。頂層是什麼樣子的?資訊保安領域最優秀的人能做什麼,而其他人卻做不到?
首先,他們通常擁有我們已經討論過的所有東西。但它們有額外的維度將它們區分開來。示例包括:
- 金融知識. 處理預算、瞭解創業融資、做出採購決策等能力。
- 管理經驗. 管理專案和管理人員是兩件截然不同的事情,這一層的人兩者都擅長。
- 廣泛的網路. 這一層的很多人都知道infosec和business的主要參與者的比例很高。
- 連衣裙. 坐在這張桌子上的選手們的衣櫃、禮儀、禮儀都有了顯著的提升,並享受到了更加精緻的休閒活動,如高爾夫、滑雪、划船等。
- 高等教育. 在這一級擁有碩士學位是個好主意。這不是必要的,但許多頂級職位確實會把大學學位作為一個核取方塊。
- 媒體悟性. 接受過培訓,能夠與媒體就各種話題進行交流。
- 科技/商業混合體. 這一級別的人能夠走進開發者的房間,幫助他們,與《財富》50強的一位客戶通電話,向董事會彙報一個關鍵問題,然後接受媒體人士的採訪。瞭解不同的受眾及其各自的需求是關鍵。
- 創造力. 那些走到這一步的人將以一種有規律的節奏提出新的想法和方法來解決問題。在這個層次上僅僅執行你所得到的是不夠的。你必須有創新能力。
逆轉採訪
在行業中,頂級安全人員在看過並做了很多事情之後,通常還會做一些其他的事情:
他們開始更多地考慮如何改變世界,而不再考慮公司給予他們什麼.
因此,與其問401K,或是假期,或是薪水,他們更傾向於問自己在組織中能得到多少支援來做他們認為需要做的事情。或者他們會開始只在他們覺得可以直接影響安全的地方工作。
最優秀的候選人在談話,而不是接受面試。
基本上,在一定程度的經驗和成功之後,一小部分的安全專業人士會認為,一家壓垮靈魂的公司給他們的(幾乎)任何東西都不會讓他們願意在那裡工作。在那一點上,他們只會在他們覺得有實際意義的地方工作。
不是每個人都能在自己的職業生涯中走到這一步,也不是每個人都應該做到。但從角度來看,這是一個重要的區別:他們是否仍在努力從所供職的公司獲得更多收益,還是已經轉變為更關心自己對行業的影響?
摘要
我希望這些資源能幫助人們進入和經歷網路/資訊保安職業的各個層次。
這確實是一次旅行,但也是值得的。
筆記
- 一定要趕上這封信的姊妹郵遞萊斯利·卡哈特(@hacks4pancakes). 她有出色的嚮導在資訊保安領域,你可以選擇不同的職業道路。強烈推薦!
- 如果你有任何關於如何改進我的反饋,請在Twitter上或在下面的評論中告訴我,如果你對如何在迷宮中導航有任何具體的問題,請直接聯絡我。
- 記住,你越深入你的職業生涯,任何教育或證照的重要性就越小。這一切都是關於你所做的,這就是你應該做的。
- 多虧了我的朋友傑森·哈迪克斯為了閱讀這個版本。
- 要想專注於自己對行業的影響,還需要一定程度的信心和/或影響力,這是很少有人具備的,否則,這個人只會覺得自己是一個小齒輪,不可能影響變化。這是隻有有經驗和成功的人才會做出這種轉變的另一個原因:他們是唯一相信自己能有所作為的人。
關於作者
丹尼爾·米斯勒是一名網路安全專家,著有真正的物聯網總部設在加州舊金山。他擅長偵察/情報、應用和物聯網安全以及安全程式設計20年經驗幫助公司從早期初創企業到全球100強企業。丹尼爾目前在灣區一家領先的科技公司工作OWASP物聯網安全專案,和可以找到文字關於安全、技術和人類的交集。他也是無監督學習播客和時事通訊。::
TIP
DEFCON:DEFCON極客大會是全球頂級的安全會議,誕生於1993年,被稱為極客界的“奧斯卡”,每年7月在美國的拉斯維加斯舉行,近萬名參會者除來自世界各地的極客、安全領域研究者、愛好者,還有全球許多大公司的代表以及美國國防部、聯邦調查局、國家安全域性等政府機構的官員。
INFOSEC:INFOSEC是一家100%的泰國獨資公司。INFOSEC是泰國領先的IT安全分銷商。提供從個人使用者到小型或大型企業的IT安全系統需求。
本作品採用《CC 協議》,轉載必須註明作者和本文連結