萬字長文——資訊保安職業生涯規劃

StrokMitream發表於2020-09-17


萬字長文——資訊保安職業生涯規劃

我從事資訊保安(通常也被稱為網路安全)工作將近 20 年了。其中的大部分時間,我也一直在撰寫關於資訊保安的文章。所以,我收到一大批郵件詢問:

我要怎麼做才能入門資訊保安領域?

本文,就是我對這個問題的回答,涉及的方方面面,都會在本文作解答。我將帶領你從一個資訊保安領域的新手,到找到你的第一份安全行業工作,直至到達行業的巔峰。

這也是我一路來的親身經歷。

一起來吧!

1 教育

資訊保安是一門高階學科,意味著入行之前,你最好有一定的技術基礎。這並不是必須的,但這是很普遍、合理的條件。資訊保安行業的從業人員主要來自這 3 個領域:

·      1.系統管理

·      2.網路通訊行業

·      3.程式設計開發

上面列出的 3 點,只是轉行從事資訊保安行業的最大的幾個輸出行業領域,並不是最佳。最佳選擇,第一是,開發;其次,系統管理;接著是網路通訊。

不過,我們假設,你沒有絲毫這幾個行業從業背景,你完全是從 0 開始。

你需要從頭學起,主要有三種途徑:

·      大學教育

·      職業技術學校

·      認證培訓

最佳選擇,是接受正規大學 4 年的電腦科學/計算機資訊系統/計算機技術專業教育。不過,在讀大學的這幾年裡,本文提到的其他事情也要同時進行。

萬字長文——資訊保安職業生涯規劃

在大學裡,你需要學習什麼內容,很大程度上取決於課程內容以及你與其他人的互動。

多折騰,和一群志同道合的人一起倒騰,是大學真正的價值。

當然,也有許多去大學學 CS(電腦科學) 或資訊保安專業的,但是卻在工作中了無成就;另外有些人,沒在大學專業學習過,卻達到了業界頂尖水平。大學不是萬能的。

如果你沒法去大學,那麼你需要換一種方式。例如,技術學校或者認證培訓。

所有這些,都是為了培養你的好奇心和自我約束力,能達到行業入門水平。

無論是透過大學教育,技術學校學習還是自學、認證培訓,這些基礎知識,你都必須掌握:

·      1.網路(TCP/IP、交換、路由、其他網路協議等等)

·      2.系統(Windows、Linux、AD活動目錄、安全加固等等)

·      3.程式設計(程式設計、指令碼、物件導向基礎)

資料庫技術——系統與程式設計的交叉學科,也包含在內。

如果你在上述三個領域的基礎都欠佳,沒有一些擅長的技術,那麼,要度過資訊保安職業的前期階段將會很困難。這裡的關鍵點在於,在遊戲中不要有大的失誤操作,也即這三個領域,哪個方面的技術都不能太差。關於認證培訓學習,我在後面會詳細討論。我在上文提到認證培訓,主要原因就一個——你可以用認證學習的書籍作為你的學習輔導書。這些培訓材料,通常都很注重基礎知識。這是一些例子:

·      A+

·      Security+

·      Linux+

·      CCNA

這些認證培訓,提供了很好的書籍資料(只需 Google 一下就就能找到最好的),能夠讓你對基礎知識點有一個快速的認識。這是一個快速構建知識體系的好方法。

1.1 程式設計

萬字長文——資訊保安職業生涯規劃

程式設計,實在很有必要單獨拿出來談談。

如果你不好好培養,那麼你的程式設計能力將嚴重限制你的職業成長。

你可以獲得一份無需程式設計的工作,甚至還是一份相當不錯的工作。而且,你還可能提拔成為為管理層。但是,如果你不能自己編寫網頁,工具,PoC 等等,那麼你將永遠無法躋身資訊保安的頂尖行列。


如果你不會編碼,你將永遠依賴於那些會的人。


學會編碼!

1.2 輸入源

對資訊保安專業人士來說,最重要的事情之一是,有一系列資訊、文章、工具等獲取渠道。

傳統的方法是,根據安全從業者者的細分行業,如網路安全,應用安全,OPSE,OSINT,政府安全等等,收集這個行業的重點資訊。

隨著網路的發展,Twitter 逐漸取代傳統的資訊網站。主要原因在於資料的新鮮度。Twitter 是實時的,這是它相對於傳統媒體的優勢。Twitter 允許你建立(和訂閱)列表。因此,如果你的使用者名稱為  @daniemiessler ,你可以在後面追加 /list/listname 。這樣,你就可以接收到這個列表中使用者的推文。

我建議可以用這兩個渠道獲取資訊:

·      1.Twitter

·      2.RSS 訂閱

關注 Twitter 上那些可以使你接觸到新的想法,新的學習方法,以及新知識的人。同時,找到他們其他的資訊釋出源,在 RSS 中訂閱。RSS 訂閱器推薦 Feedly for RSS  。

2 擁有自己的實驗室

萬字長文——資訊保安職業生涯規劃

實驗環境是必不可少的。在招聘面試中,這通常是我問的第一件事情。我通常問他們的實驗環境或是他們實驗的網路環境。如果他們回答說沒有實驗環境,我只能感謝他花費時間前來面試。

實驗環境是學習的重要場所,是執行你的專案的地方,也是技術成長的地方。

實驗環境的配置有以下幾種:

·      1.安裝 VMware(或其他類似軟體)的膝上型電腦或桌上型電腦

·      2.安裝 VMware(或其他類似軟體)的專用膝上型電腦或桌上型電腦

·      3.裝有 VMware (或其他類似軟體)的真正伺服器

·      4.線上 VPS (EC2,Linode,Digital Ocean,LightSail 等等)

我建議,如果資金充裕,可以 #3 和 #4 搭配使用,優先配備 #3  。在這種實驗條件下,你可以做這些事情:

·      構建活動目錄資源林。

·      從活動目錄執行你自己的 DNS。

·      從活動目錄執行你自己的 DHCP。

·      劃分不同的網路區域,包括 DMZ 區(如果伺服器需向外部提供服務)。

·      儘快配備防火牆。我推薦使用 Sophos 的防火牆,因為我從一開始就使用他們的產品。不過,也有其他基於 iptables 和包過濾的產品。配置這些要求你學會路由和 NAT 以及所有相關的基礎知識,這些都將是你技術成長的關鍵。

·      用 Windows/IIS 搭建網站。

·      用 Linux/PHP 搭建網站。

·      用 Linux/Wordpress 搭建部落格。

·      安裝好隨時能使用的 Kali linux 系統。

·      構建 OpenBSD 盒子以及用 DJDNS 建立 DNS 伺服器。

·      搭建代理伺服器。

·      在 VPS 上部署自用 VPN

·      用Postfix,Qmail 或是 Sendmail(推薦 Postfix )構建部署可向網際網路傳送郵件的郵件伺服器

這幾點中的一些專業名詞你可能需要去網上搜尋一下。就當作是個簡單的練習吧!



上述這些僅僅是基礎。這些年來,絕大多數信安領域的發燒友,對列表中的操作重複了幾十乃至幾百次。

實驗環境的優勢是,你有地方可以進行試驗。你從你的獲取的資訊中聽到了一些新的東西,你可以馬上在你的實驗環境裡,驗證一下。這是培養安全思維的無價之寶。

現在,列表中的服務都部署執行起來了,你可以開始專注於你自己的專案。

3 打造你自己的專案

萬字長文——資訊保安職業生涯規劃

這裡,是書本知識止步之處,也是創新開始之處。

你應該一直忙於專案中。作為一個初學者,或即使是高階從業人員,當別人問起你“你現在在做什麼專案?”而你只能回答“沒有專案”,這是非常不應該的。除非你正好是在專案間隙的休息階段。

同時,當你在學習過程中,不用擔心別人早已做出了一些成果。創造是一件很有趣的事情,你想適應從概念到用程式碼程式設計實現給興奮激動。你應該培養的關鍵技能是,定位問題的能力。

然後:

·      1)提出解決方法;

·      2)建立解決問題的工具。


專案展示出來的是你能真正應用知識解決問題,而不是僅僅知道知識。



不要關注你擁有的專案數量多少,專案數量沒什麼實際意義。反過來,你應該緊緊盯著有趣的安全問題,想法和專案自然而然隨之而來。

在寫作領域,有句話常常聽到“展現出來,而不是講出來”。專案就是展示你的能力,掌握知識只是說說而已。

4 賞金專案練手

現在,你有了實驗環境,掌握了一些牢靠的技能,以及在做一些專案。你可能想實打實地幹一場,不妨試試“漏洞賞金”專案。

這麼做的原因,可以總結為:快速獲取實際經驗。這往往也是招聘要求中首要的一條。因此,除了編碼經驗(你自己的專案),透過漏洞賞金專案,你還將獲得測試的經驗。

有兩個主要的漏洞賞金平臺:BugCrowd 和 HackerOne 。相較於其他平臺,這兩個無論是專案數量還是平臺成熟度,都遠遠優於其他。

參與流程為:在網站註冊賬號,尋找你感興趣的漏洞專案,然後投入進去挖洞。有一些東西必須牢記於心:

·      仔細閱讀每個專案的規則和限制。避免與平臺或是金主產生衝突。

·      賞金專案型別各異。一些付費專案需要詳細地審查、分析。其他的更多的是一些榮譽專案,對初學者來說,這些才是更好的練習專案。

·      我強烈推薦 Jason Haddix 的 Web 漏洞挖掘課程。學會他的挖洞手法,是最快開始挖洞的路徑。

我們是世界是如此的差異萬千,有著一系列的規則和一些獨一無二的規定你必須學。因此,對規則保持敬畏之心,你將更高效同時少犯錯。


對於在 GitHub 編碼和參與漏洞賞金專案,都是為了幫助你獲得一份工作或獲得一份你感興趣領域的工作,增長專業經驗。這是展示能力的實際行動,而非口頭空談。


保持 GitHub 活躍,賞金平臺個人頁面扼要介紹你發現的硬核漏洞,將會把你和那些純理論的人,遠遠地區分開。也將助力你輕鬆地獲得你第一個位置或者在你尚未涉足的領域獲得新位置。

5 展示自我

到目前為止,你已經完成了不少專案;是時候讓人們透過你的品牌平臺瞭解你做的一切。是的,你應該打造一個自己的品牌。如果你想,保持低調也是可以的,只是業界已然滿是自負之徒,你確實需要一個平臺來展示自己。

如果你是一個內向的人,或者覺得討論自己完成的工作純粹是自吹自擂,停止這種想法。這並不是一個崇尚謙遜品格的行業。為了達到行業的中等水平,你要學會如何推銷自己以及自己的工作。

內向和(虛假的)謙遜是沒用的。把工作做好,同時也要樂於討論所做的工作。不過,注意是以分享合作的角度而不是傲慢炫耀的角度與別人探討。

5.1 網站

首先,你需要一個網站。一些人稱為 部落格 的網站,就很好。關鍵在於,你需要一個展示你自己的地方。你需要有 about 頁面,聯絡資訊,列出你的專案等等。另外,如果你寫部落格,那麼釋出到這裡就對了。

你要清楚,你的域名和網站就是你的個人中心,因此理想條件下你需要一個可以持續使用的好的域名。firstnamelastname.com 或許很不錯,不過很多人都沒法這樣做,因為他們的名字相當的常見。還有其他選擇,不過一定要仔細考慮。這個域名或許會伴隨你一生。正如我前面說的,一定要選擇一個好的,這是你的品牌,至關重要。


你應該把部落格和你所有的專案放置在你的個人網站上,然後從這裡分發出去。


應該儘量避免在其他媒體平臺(如 Medium ,Blogger )寫太多內容。當然,避免在 Facebook 釋出內容,除了隨想或是互動。如果你在個人網站外的其他平臺上創造了一些有意思的東西,把它做成完整的內容,放到你的個人網站上。

5.2 Twitter

Twitter 同樣如此,需要好好處理。理想情況下, firstnamelastname ,如果沒法這樣,那就選一個好的替代暱稱。同樣的,這也是永久的個人基礎設施,因此不要把它設定為 @L33tH4x0rs97  .這會越來越缺乏吸引力。

一旦你準備好後 ,那麼你就可以開始跟蹤一些話題。在資訊保安領域,有許多優秀的列表,可供大家關注 。選一個列表開始關注,後續逐漸調整。

萬字長文——資訊保安職業生涯規劃

積極參加對話討論。彆強迫自己。對於知識能力範圍之外的,不要過分擴充套件。不過,你認為有需要補充的,那麼自信地說出來便是。無需在意你只有 3 個關注者,而別人有 10000 個。Twitter 上能力最重要。

開始玩推特最好的方式是,對別人推文中你喜歡的能容回推。當你的越來越能增加價值,你可以開始替換回推推文為你自己的原創內容。

別把推特上的內容當真。twitter 上許多 top 話題 90% 以上的時間都是在閒聊。

其他的只是釋出一些原始訊息。做好你自己就行,慢慢來。

5.3 社交媒體

對於其他數不清的社交媒體,一個最大的你應該關注的就是 Linkedln 。註冊一個賬號,維護好個人資訊,保持更新。只是用這個平臺來與那些你認識的人或是你有過一些互動的人保持連線。隨意新增好友只會稀釋人際網路的效力,不僅僅對於你,對方也是如此。

往往很容易就在社交媒體上花費太多精力。保持克制。專注於你的網站和 Twitter ,偶爾逛一下 Linkedln 就行了。

同時記住——所有東西都應該起始於你的個人網站。創作你的內容,透過 Twitter,Facebook,Linkedln 以及你在使用的其他平臺分發出去。所有這些其他平臺,都只應該是你的分發渠道。

6 認證

我收到了眾多關於資訊保安認證的問題,主要有兩種:

·      1.資訊保安認證真的有價值嗎 ?

·      2.我應該考哪一個認證 ?

對於這個問題,我要給大家一個好訊息:我有答案!

是的,認證很重要。跟大學學位一樣,跟經驗一樣,跟所有人們認為重要的東西一樣重要。


事物的價值在於,人們賦予它的價值。


認證本身並沒有實際價值。它的確切價值在於人們認可的價值。如果僱主在一份你想獲取的工作面試中要求認證資質,那麼認證就很重要了。如果你想去的工作對絲毫不關心認證資質,那麼認證便沒有價值。就是這麼簡單的道理。

但是對於初學者來說,認證的確很重要。

6.1 考哪個認證 ?

我們按照能力水平分下類:

初級認證:

如果你剛剛入門,我推薦你考慮下面這些認證:

1.  A+

2.  Network+

3.  Linux+

4.  Security+

在這種情況下,除了對剛入門的初學者,我並不是說這些認證有多麼大的價值,他們真正的價值在於學習。

正如我在前面 教育 章節提到的,認證培訓往往會提供許多優秀的學習資料。因此,如果你獲取了上面 4 門的認證,那麼你已經有了相當的基礎理解。

高階認證:

我喜歡這樣描述資訊保安認證:你需要 CISSP ,你需要審計證照(CISA/CISM),你還需要一個技術證照(SANs)等等:

·      1.CISSP ,任何想從事安全行業的人員

·      2.CISA/CISM ,任何與安全相關的管理者

·      3.SANS (GSEC/GPEN/GWAPT),安全技術崗位人員

·      4.OSCP,滲透測試從業人員

一旦你在資訊保安行業從業達到 4 年,你就應該取得 CISSP 認證。這是這個行業的不成文標準基線。在許多組織機構中,這個證照的含金量遠遠超過電腦科學學位的含金量(因為很多人在大學什麼都沒有學到)。

下一步,你可能想涉足安全審計——資訊保安中極其重要的一部分。你需要取得 CISA 或 CISM 證照。最後,你想獲取一個或多個更技術性的認證。我建議從 GSEC 開始,這一個相當技術相當全面的認證。以這為基礎,你可以根據個人喜好,進入GCIA 或 GPEN 或是GWAPT 。

OSCP 和 CREST 是滲透測試者中最受尊敬的認證,因此,如果你對滲透感興趣,不妨從這些認證入手。

最後是 CEH 認證。這只是有時候人們問到的認證,因此,最好把它拿到手。只是千萬別隨便吹噓,尤其是在那些富有經驗的安全人員面前。

7 網上互動

不要忘了,你是可以並行地做這些不同的事情的。



好吧!到目前為止,我們已經接受教育,我們有自己的實驗環境,我們也在進行自己的專案,我們正在運營自己的網站和 Twitter ,我們正蓄勢待發。

Cool!

現在,你需要走出去,參與到一些話題的探討中。再次說明,你可以也應用從一開始就這麼做;不過,你之前沒有這麼幹,現在就應該開始這麼做。

觀察訪問你部落格的人,觀察 Twitter 尋找有趣的互動。接近這些人。不妨與他們聊聊,去他們將出現的地方,與他們一對一交流。去 Vegas (拉斯維加斯)參加 Blackhat 和 DEFCON 周。與參加活動的眾多安全從業者討論。

7.1 尋找導師

這個話題,幾乎應該單獨寫一章,但是我只是在這裡簡單說下。找一個行為、處事風格你喜歡/佩服的人,請求他來指導你。給他發郵件,給他打電話。不過在這之前,你必須做好功課,好好研究研究這個人。


為了你將來的導師能給你一個最好的響應,最好清楚的展示,你已經做了大量前期功課。


讓他們儘可能容易地幫你,這樣你也更不容易被拒絕。在資訊保安行業,我見到的事情是,人們極其願意幫助那些迫切渴望成長的初入行的人。

7.2 充當助手

主動承擔他們的髒活累活。編寫指令碼,編輯部落格文章,幫助篩選資料等等。這些事情多少都會有點幫助,無論是幫助你直接進入面試或是與你將來的工作產生某種聯結。

8 研討會

萬字長文——資訊保安職業生涯規劃

研討會是業界常見的活動:

·      1.展示最新在進行的研究

·      2.與那些住得很遠的資訊保安領域朋友同步進度

·      3.向別人展示你自己的想法,主意和研究

對於第一點,你完全沒必要去會議現場。大多數討論,尤其是那些優秀的話題,往往即可就在網上公開了,所以關注他們網站的更新就好了。

對於第二點,網路就無能為力了。儘管,對於大多數從業超過 10 年的資深安全人員來說,他們參加大會往往是去見他們的老朋友。會議上探討的話題基本上只是順路聽聽而已,而非核心——尤其是他們可以線上觀看相關討論。

不過對於新手來說,這種業界舉行的大會將會是學習安全文化的非常寶貴的途徑。以下是我的一些個人建議:

如果你只是剛開始走出去,你應該至少去一次 DEFCON 。

在 DEFCON 之前,是一年一度的 Blackhat ,一個更加合作化的大會(更貴),不過依然有相當多的人參會。

只是越來越多業內的資深人士開始退出這些會議,取而代之的是參加小型的研討會——更像以前的 DEFCON ,例如,更高質量的探討,更小的會場,允許與參會人員更密切的交流……等等。總之,就是人少。

列舉一些:

·      DerbyCon

·      ShmooCon

·      ThotCon

·      CactusCon

·      HouSecCon

……以及其他一些。

我新的最喜愛的研討形式是 TED 類似的單線討論——專注於展示想法,而不是新的破壞事物是方法。可以肯定的是,我們的確需要那些如何攻擊的內容,但是我們同樣也需要傾聽更全面、更完整的內容以及如何去修復這些問題。

我尤其迷戀上了 ENIGMA。 除了這些傳統的討論形式,你應該註冊本地的 OWASP 分會 。從參加會議開始,深入參與其中,然後提供志願服務來幫助別人。之後,當你準備好了後,可以請求給你一個發起討論的機會。

研討會的底線:

·      1.從本地開始,從參與開始,一旦準備好,就試著你自己做演講。

·      2.如果此前你從未參加過研討會,你應該最好去參加一次 DEFCON 。

·      3.當前,小型但受歡迎的會議如 DerbyCon ,ShmooCon 通常被認為更好的。不過,隨著時間的推移,是否還能保持之前的受歡迎度和獨特性就很難說了。

·      4.不要忘記了,參加會議活動的主要出發點還是在於與信安圈子的朋友見面。

9 做出貢獻

另外一個好的增強你職業生涯的途徑是,用你的技能為眾多專案提供幫助。

這通常透過你的程式設計技能樹來實現,關鍵在於找到與你興趣和工作相關的事物。你不應該強迫自己進入這一階段。做那些自然而然到來的。

一個好的開頭是,只需稍稍注意,你日常使用的工具,如果它們有一些顯著的 bug 或問題。向工具的創造者指出來,同時詢問是否可以向他們提供幫助。

GitHub 的 pull request 功能,讓人可以很輕易地進行這種互動。

Hey there, I love the project and I have an idea how to fix this issue. Could I code up my proposed solution and send you a pull request?

99%  的專案 leader 會很欣喜地接受你的 PR ,很有可能會把你加入貢獻者名單裡面。

·      1.對你來說,這是一次非常好的練習。

·      2.改進了工具質量。

·      3.幫助了專案 leader 解決問題。

·      4.你成為活躍開發者,名字留存在於專案中。

儘管你不是提供技術層面的幫助,還有許多其他途徑可以為專案做貢獻。你可以幫助組織輸入,建立文件,釋出關於專案的訊息等等。找到你關心的事情,幫助把他們做得更好。

不要報著 credit 或者博取別人認可的心態去。關注你的產出,所有其他的一切都順其自然。

10 響應 CFP

與會議活動最相關,莫過於在大會上做演講了。因此,為了達到這個目的,你必須熟悉 CFP(Call For Papers) 。

當你訪問任意一個會議網站,你基本上都會看到一個演講者的連結,或者是 CFP 。這是你可以找到如何提交論文的地方。你也可以訂閱大會的郵件列表,以便在 CFP 開放的第一時間得到通知。

基本上來說,大會集中在演講上。優秀的演講內容,優秀的演講者。這是任何大型活動的命脈。因此,每年,大會開始前的幾個月,會議主辦方會開放他們的 CFP 入口或者公開徵集 paper——人們提交的關於演講的想法。

被稱為“call for papers”,是因為它整個的內容都是來源於學術領域。在學術界,它的含義是一群 Ph.D. 或研究生向某個特定的學術會議(例如,Peruvian Butterfly Mating Symposium)提交學術報告。這是相當專業,包括各種引用文獻,這個狹窄領域之外的任何人都不會對這些有興趣。

資訊保安界借用了這個概念,不過規則寬鬆得多了。首先,絕大多數情況下人們並不是提交學術樣式的論文。他們提交的是演講,滲透測試,幻燈片。

下面是提交必備的條件:

·      1.出色的標題。會議往往會進行成千上萬場演講,要吸引觀眾的注意力很難。因此,你需要一個精煉的標題,簡略而概括。舉個例子,“From WTF to CTF: How to Become an InfoSec Force of Nature in Less Than 2 Years.”這個標題很有可能會打動座位上的一些人。

·      2.高度抽象。抽象(又一個源自學術界的名詞),即對你將演講的內容做一個基本的概括。你需要真正掌握這點,因為這是(以及前述的標題)是大會複核委員會判斷是否接受你的演講的重要依據。根據大會的不同,通常這個概括應該在 1 -5 小段內。確認包含以下要素:對你的想法/內容的做一個基本概括,列舉將講述的內容,人們將從本次講演中收穫的東西。如果有 demo 或講義,一定記得要提出來,參會人員喜歡這些。

·      3.深度描述:有些大會要求你提供演講的更詳細的描述。各個小節的內容,demo 的覆蓋範圍等等。如果給需要這些材料的大會提交申請,你得確保有這些材料。不過,大多數情況下,透過一個相當描述性的抽象就可以搞定。

·      4.你的個人簡介。你經常會用到個人簡介,你應該隨時都能拿得出。參見 下文。你可能有各種經歷。一份真實、正式的簡歷應當是關於你自己的嚴肅的介紹,與你工作高度關聯的。或許,可以適當增加一些有趣的、輕鬆的內容,而不是技術性的或hackerish 。

·      5.你的頭像。你經常需要給演講大會寄一張你自己的照片。確保你有不止一張照片,這樣針對不同型別的大會,你可以定製化以便契合你的演講主題。顯然,RSA 大會的頭像與一些政府組織的大會不同,與 DEFCON 或 Shmoocon 又不一樣。

10.1 演講者必備

我建議你準備一個包含下述內容的演講者頭銜:

·      個人簡歷

·      頭像

·      演講

o   標題

o   摘要

o   概述

把這個儲存到你隨時可以複製貼上到許多大會要求的 CFP 表格中。如果只是因為材料準備的不夠快而錯過 CFP ,那是相當令人咋舌的。儲存好材料開始吧。大會全年都有,意味著一旦你開始,每季度你可以申請好幾個 conference 。

11 你的第一份工作

萬字長文——資訊保安職業生涯規劃

正如我在 這篇文章 中說的,在資訊保安/網路安全行業,有一個很奇怪的現象。僱主認為沒有一個候選人合適;但那些想進入這個領域的人卻覺得沒有合適工作。從他們自身的角度來看,也都合理。

對這一矛盾,人們常常感到相當困惑。不過,這卻揭示出了一個極其簡單的道理:資訊保安行業沒有初級,除了中級就是高階水平。


入門級水平位置,在資訊保安領域是不存在的。


為了能在團隊中發揮作用,你必須從第一天起就能幹活——這意味著你必須具備以下幾點:

·      1. CS(電腦科學)學位或與資訊保安相關的學位。

·      2.與學位相關的知識認證。

·      3.一批實際的、真實的專案工作,證實你能勝任當前的工作

對於大多數讀到文章這個位置的讀者,第一項顯然無需再操心。因此,你最需要考慮的是如何融合第二點和第三點。

對於資質認證這一塊,可以參考本文 認證 這一節。

對於實際工作,你需要一個部落格,一個 GitHub 賬號,twitter 賬號。最重要的是,你需要找到或建立你感興趣的專案,實實在在地寫程式碼。

舉我自己的專案來說,只要最少的程式設計技能就能實現。

並不要求你成為一個全棧開發者,但是你必須會程式設計。你必須有能力創造一些東西。或許是一個自動化流程,或許是開發一個新的工具,或許是為過時的工具開發更新版本。

一句話,動起手來,作出點成果。

11.1 認識你的工作

接下來你需要做的是,體現你對即將安排的工作的技術熟練度。基於我 20 餘年的從業經驗,我把一些工作列一下:

·      安全管理。你需要做的第一件事是,管理一套安全裝置或系統,例如防火牆,IPS 等等。掌握這些裝置/系統是怎麼工作的。學會如何配置(可能需要閱讀操作手冊和觀看影片)。開啟日誌記錄,定時輸出報告,以便觀察裝置的防護效果和價值。

·      安全諮詢響應。這是每個安全團隊必須做的事情。這也是一件髒活,需要足夠的技術能力,經驗,其他能力……還有創造力。如果你能在這個層面為團隊提供一些幫助,那麼,你將在團隊中佔有一席之地。

·      產品評估。管理部門經常要求安全團隊實現某種保護,無論是終端防護,雲 WAF,欺騙技術,AI SOC 擴張等等。你應該有能力篩選出最優秀的產品,從構建評分體系,進行評估,基於你的研究向管理部門輸出你的建議和評估。

      對於該項能力,更詳細的內容可參考另一篇文章。

·      快速編寫指令碼。在團隊中,經常需要你從別處採集資料,分析處理,輸出結果。資料通常需要經過採集,清洗分類,展示。掌握了這項能力,將會是你的一大優勢。

·      安全審計。由於種種原因,你將會經常為要求評估一個網站,一家公司的安全水平。你需要以一個非專家角色,粗略地看一下所有東西,然後迅速作出評估。

這只是一個簡短的列表,當我想到了其他更多的我會持續新增進來。不過,我發現這個列表的有趣之處在於,它很好地解釋了為什麼沒有初級資訊保安從業人員的位置。所有這些工作,都需要良好地教育,訓練,經驗,智力亦或是這幾項的結合。

如果在面試中,你展示出你可以做這些,那麼你被僱傭的可能性將大大提高。

所有以上這些都需要一個共同的技能——良好的寫作能力。

12 專業素質

好了,現在我們到了高階階段。這一階段,將帶你從中級技術區域到專家級。

專業素質是你展示你自己的包裝。

把你的專業能力包裝展示出來,便是專業素質。如果不懂得這些,即使你的有世界級的內容,也會直接忽視。

·      1.可靠。別輕易做出無法兌現的承諾。不要開會遲到,提前到,而不是晚點到。別錯過專案的最後期限。少承諾,多兌現。

·      2.衣櫃。在你的衣櫃上投入相當的資源。T-shirt,運動鞋,這些都該丟了。購置一些質量好的 jeans (深色)和鞋子。購置一些套裝,確保合適得體。多買幾件夾克,搭配你的 jeans 。最後,確保在需要的情況下至少有一套合適的套裝。

·      3.言簡意賅。說話清晰,利落。別幾點內容雜糅在一起。把要點分開來陳述,以便別人回覆。

·      4.加強寫作能力。參考這裡。

·      5.學會展示自己。公開演講是大多數人的攔路虎。但是,如果你不能展示自己,你將嚴重地被你進步的程度所限制。

這些技巧將放大其他你所做的一切,同時,你周圍也將存在眾多始終不具備這一項/幾項技能的人。成為在這些方面都極其優秀的人,那麼在任何場合下你都將遊刃有餘。

13 理解業務

萬字長文——資訊保安職業生涯規劃

這是許多(大多數?)技術人員所缺乏的一個發展方面,它嚴重限制了他們參加一定水平以上對話的能力。

這是基本規則:對於商業來說,所有事情都是圍繞金錢,收入,支出。因此,你全部的工作是:與存在風險的應用程式,漏洞掃描或是新的 0-day 漏洞利用。所有這些,都離不開業務本身。

業務要求量化風險,以便決定如何折中(付出多大的代價,修復漏洞)。你應該評估風險將造成的損失,緩解風險所需付出的代價,以及殘留的風險。

這相當難處理,你不願意以錯誤,偽科學的方式評估。同時你也要清醒地認識到,每個安全決策最終也是商業決策。這是資訊保安人員成熟的標誌。

一些人接受了這一觀點,不斷提升。其他人徹底地反對這一觀點,把他們剩餘的職業生涯都花費到牌桌上了。

總之,可能的話,儘量對每件事心裡有底。試著從安全風險和商業這兩個對立的角度思考。

14 激情

到現在為止,我們已經討論了這些實實在在的。現在我們來談點別的——最有爭議的地方—— top 級選手與半道退出的人的區別。

好奇心,興趣,熱情。

90% 的成功的人,只是 100000 次嘗試後的結果。一次次地展示,一次次地在 VM 除錯,一次次的 PoC,一篇篇的部落格,數年間持續不間斷地積累。

你可以以下面兩種方式做:

·      1.極其的自律,使得你去做

·      2.發自內在的激情,驅使你去做

沒有多少人可以長時間保持第一個條件。 它是空心的,空虛的。 自我約束力是有限的,但它們通常會耗盡並轉移到其他物件上。高階人士往往是靠激情驅動。

那些在安全行業待了很多年的資深人士,獲得成功是因為發自內心深處的力量。即便退休了,他們也不會停止研究安全。

他們熬夜寫工具或部落格文章,不是因為時間計劃,僅僅是因為除了這個時間段,他們已無空閒。

理想條件下,想要在資訊保安領域取得一定成就,必須要有一定的自律。這很重要,值得尊敬。你也需要保證一定程度的自律。

但是,你真的想要得到茁壯成長,必須要有足夠的激情。你應該是發自內心的激情驅動,而不是自律。

15 成為專家

萬字長文——資訊保安職業生涯規劃

OK,到現在為止,你已完成所有的內容。你學到了許許多多的經驗,你也從三十幾,到四十幾,五十幾,一切順利。最頂尖的安全水平是怎麼樣的 ?有什麼是頂尖安全專家能做而其他人做不了的 ?

首先,他們擁有所有我們前面談到的特質。不過,另外一些方面使他們與眾不同:

·      1.財務知識。處理預算,理解 startup financing (創始資金期),制定採購決定的能力。

·      2.管理經驗。專案管理與人員管理是完全不同的兩個事。處於這個級別的人這兩項管理都十分擅長。

·      3.廣泛的人際網路。許多處於這一級別的安全專家與安全界和商業界的 major player 的都熟識。

·      4.著裝/禮儀。這個級別的專家衣著、行為舉止、禮儀都相當有範,也更傾向於高階休閒活動,例如,高爾夫,滑冰,划船等等。

·      5.高等教育。擁有碩士學歷會很不錯。這並不是必須的,但是很多高階等級確實對要求大學學位有要求。

·      6.懂得媒體。對媒體的各種議題應對自如。

·      7.技術/商務融合。這個級別的專家,既能指導技術工作,又能協調商務事宜。理解不同的客戶以及每位客戶的需求是關鍵。

·      8.創造力。對於常規的問題,要能提出新的想法和解決方式。不能是僅僅能執行已經提供的解決辦法,還要創新。

反向應聘

在業界待過一段時間,做了相當多事情後,頂尖的安全人員往往會開始思考其他問題:

他們開始更多地思考他們可以如何改造世界,而忽視公司可以給他們帶來什麼。

因此,他們不是要求 401k,度假,或是薪水,而是,他們在組織裡面做他認為需要做的事情能得到多大的支援。或者,他們選擇去那些能夠以實際方式,直接影響行業的地方工作。


對於他們來說,這已然不是僱主面試他們了。




大體上來說,有了一定水平的經驗和成功,一小部分安全專家覺得原來令人傾心的公司已沒有什麼值得留在那兒工作。因此,他們只會選擇他們覺得能產生實際影響的工作。

並不是每個人在他的職業生涯中都能達到這個階段,也並不是每個人都需要到達這種水平。但是,這是一個很重要的區別:他們是為了從工作的公司獲得更多?還是他們轉變為更多地關心他們對行業的影響 ?

相關文章