信息安全职业：常见问题解答（第一部分）

我们最近收到一封来自在读学生的邮件，其中包含一些针对测试人员的问题。由于这类问题被频繁提出，我们决定借助多位测试人员的帮助，创建一个分为两部分的博客文章来回答它们。以下是他们的见解，别忘了周一查看第二部分！

1) 最初是什么激励您追求信息安全职业？

Kent Ickler:
跨部门业务流程唯一比其更令人兴奋的事情，就是破解并利用这些流程。

Beau Bullock:
在具体对信息安全产生兴趣之前，我很小就知道至少想与计算机打交道。家里并不太懂技术，但童年时的几台计算机激发了我的兴趣。十岁左右，我说服父亲让我订购了一个“自己组装电脑”工具包，虽然装错了，但学到了很多。直到大学，我才发现计算机安全是我想要追求的。我选修了一门关于道德黑客的课程，了解到可以合法地黑客公司并获得报酬。现在这就是我的工作。

Mike Felch:
我父亲激励了我。他是一名低级固件工程师，所以我成长在一个厨房桌上满是他在逆向工程的硬件、转储EEPROM、创建二进制补丁甚至“备份”我的任天堂游戏的家庭环境中。在个人电脑刚发布和持续摆弄的曝光下，我很快采用了类似的心态，开始尝试理解技术底层的工作原理。

Brian BB King:
我收到一封邮件，其签名是一个完整的RSA实现，用了大约四行极其晦涩的Perl代码。据说美国政府认为它是军火，非法出口。这吸引了我三点：首先，惊讶于加密可以用这么小的程序完成；其次，无法相信这段看起来像坏调制解调器连接上的线路噪声的文本是一种实现方式；我想理解这样的东西；第三，分享这段文本在法律上等同于运输战争武器的想法让我着迷。

我不确定是否就是我看到的那段，但它展示了这个想法：

1
2
3

#!/bin/perl -sp0777i<X+d*lMLa^*lN%0]dsXx++lMlN/dsM0<j]dsj
$/=unpack('H*',$_);$_=`echo 16dio\U$k"SK$/SM$n\EsN0p[lN*1
lK[d2%Sa2/d0$^Ixp"|dc`;s/\W//g;$_=pack('H*',/((..)*)$/)

Craig Vincent:
直到大学转专业到计算机科学，我才意识到信息安全是一个行业或职业路径。我选修了一门信息安全入门课程，立刻被吸引住了。我知道我想在这个行业做点什么。

Matt Toussain:
我偶然进入这个领域，也喜欢电影《黑客》（1995）。SANS学院向我们学院（美国空军学院）提供奖学金，让我们在春假期间参加SANS课程。我当时是政治学专业，但计算机科学的学生不愿牺牲春假。我愿意。这改变了我的生活。

Kelsey Bellew:
这可能是个最差的答案，但我实际上追求技术/安全是因为我知道市场大、工作机会多、薪酬好。从安全角度更好的答案是：当我申请BHIS的实习时，我对公司做什么和红队只有模糊的概念。面试中段，我开始意识到，“等等，这些人黑客别人，那些人还付钱给他们？这是真实的工作？？我需要在这里工作。”

Ethan Robish:
很难确切说清。可能是试图绕过学校防火墙限制以玩游戏或看YouTube时学习基本网络，偶然发现远程连接方法和持久性机制以在朋友电脑上恶作剧，或者大学校园偏僻角落的一张传单导致我与John通电话，我难以置信地问他黑客银行是否真的合法。

Derrick Rauch:
我选择这个职业是因为高中时总是喜欢弄清楚如何修理电脑和它们的工作原理，所以想为什么不把这作为目标。当然，我在高中和大学之间花了两年时间做一些零工来确保这是我想做的。

Jordan Drysdale:
我从1999年到2004年在建筑行业工作以完成大学学业，意识到每天有多艰难。回头看，把工作留在工地很好，但那就是起点。我的一个室友在CIS项目并热爱它。我跳槽了。HP在我2005年毕业时几乎立即雇佣了我。技术支持，前线——真正的磨砺。这是在这个领域的四份工作的开始，最终让我来到BHIS。专业提示：客户服务、技术支持、帮助台等这些工作对于形成坚实的计算机科学背景至关重要。学习如何有效解决问题。学习如何区分有用的网络搜索结果和浪费时间的东西。雇主不想雇佣你知道的东西。我通常认为任何人（有一些计算机背景）都可以被训练来完成数字任务。我不能训练你管理好时间。我们不能训练人们友善、像对待人类一样对待他人或在压力下保持稳定。而这些技能才会让你排在前面。这对我有效，对BHIS的其他人也有效。

2) 对于考虑进入这个领域的人，您会给出什么重要建议？

Kent Ickler:
我不知道你是否能“从IT信息安全开始”。我没有，我努力工作才到达这里，因此对IT的许多不同方面和企业实际运作有相当的理解。

Beau Bullock:
“更努力尝试”是Offensive Security的座右铭，自2011年我从事OSCP以来一直伴随着我。在信息安全和生活中，我发现这个座右铭是我完成任务极其重要的支柱。很多时候你会碰壁，认为某事太难而想放弃。只需知道计算机安全中有大量未探索的领域，可能包含只有通过推动自己 further 才能发现的漏洞。

我现在的另一个座右铭是从Mike Felch（@ustayready）那里学到的，当我们在2017年DEF CON的“炸弹拆除”挑战中工作时。那个座右铭是“快速失败，经常失败，向前失败”。当你解决问题时，花更多时间失败，少花时间从远处分析问题。记录你做了什么，为什么失败，然后尝试不同的东西。如果那也失败了，没关系。关键是从你所做的中学习，以便更快地找到解决方案。

我知道你只问了一个重要建议，但这里是第三个：学习一门编程语言。这将是一个极其有用的技能，你能利用它修改现有工具或编写全新工具。

Derrick Rauch:
准备好始终学习，有时会感到沮丧。IT/安全总是在变化，三周前有效的东西明天可能无效。

Brian BB King:
不要太早专业化。在进入“安全”之前，发展广泛的基础技能。编程、网络、数据库管理、系统管理等。如果你没有扎实的系统和你想要保护的环境的基础，你将总是挣扎。（你无论如何都会挣扎，但没有良好的背景，你会浪费时间挣扎于错误的事情。）

Craig Vincent:
尽可能获得动手经验。在家里建立某种实验室或测试环境。即使你只是练习利用一些故意易受攻击的虚拟机或弄乱你自己的网络，那种经验超级有价值。John的5年计划网络直播有一些你可以在家便宜/免费做的好例子。

Matt Toussain:
不要太担心学位。在我对黑客产生兴趣后，我认为计算机科学是要走的领域。对我来说，换专业是个错误。作为模糊专业，我花时间摆弄东西，编码 side 为了自我提升。作为计算机科学家，我被指定“作业”来完成。它吸走了我的激情和毅力，同时给你有已知解决方案的挑战。信息安全中最关键的技能之一是能够脱离脚本。没有比摆弄……自己更好的学习方式。虽然STEM专业可能提供一些价值，但在我经验中，这与纯粹的激情、 proven 能力和经验相比相形见绌。当你学习时，抓住机会超越你的学位，找到并贡献开源项目，摆弄。

Kelsey Bellew:
找到网络安全中真正吸引你的某个方面，并把它做成个人项目。这将教给你比在课堂上学到的多得多，谈论那个项目使你在面试中成为优秀的候选人。

Ethan Robish:
我要呼应其他人提到的：找一个导师（理想情况下本地的）。如果可能，去安全会议，或找本地城市或大学聚会如果存在。找大学中对同样事情感兴趣的其他 人。尝试在本地找安全专业人士（尝试搜索LinkedIn、Twitter、Facebook或会议）并与他们会面。只是尽量尽可能讨人喜欢并尊重他们的时间。展示你的热情和学习和帮助的意愿。如果你已经有技能， chances are 你可以找到一个实习，在那里你可以尽最大努力贡献和学习。我们喜欢自我驱动、提问并找到增加价值的方式而不是等待有人有时间给他们逐步指导的实习生。或者如果你还有一些基础要学，接受导师能给你的任何建议，采取行动，然后在几个月后汇报你完成了什么，学到了什么等。接受某人的建议并实际付诸行动是一个巨大的恭维。不仅你显示了你尊重那个人，你也显示了你自我驱动，能够学习，并且你现在有更有价值的技能和经验带来。

Jordan Drysdale:
我已经在这个上卖了牧场，但 here goes。在IT中接受入门级工作，在帮助台，为本地ISP，为提供某种形式托管服务的本地公司，是可以的。桌面技术员成为服务器技术员。我们雇佣服务器技术员因为他们知道如何让世界运转。学习网络。我不是指人脉网络，我是指连接系统在一起。学习第二层是什么（MAC到MAC设备通信——ARP）——交换机住在这里？为什么ARP对第三层通信（路由器住在这里）重要？第四层是协议通信——HTTP是端口80，SSL是端口443。所以，我的网络服务器是mac aa:bb:cc:dd:ee:ff在10.1.1.10并在端口80监听。一个 destined 给这个设备的数据包看起来像什么？真正地，学习如何从本地设备10.1.1.20与这个设备通信，以及那些数据包看起来像什么， verses 从我家，和路由器，这些基础对于 general 互联网和整体商业运作这些天如此关键。信息安全的基础从网络开始。

3) 当您刚开始信息安全时，遇到的最大障碍是什么，您如何克服它？

Kent Ickler:
我最大的障碍是冒名顶替综合症。它是真实的。我对很多事情知道一点。很长一段时间，我试图跟上同事的职业生涯。结果每个人带来一些重要的东西。在BHIS工作很棒因为我们一起工作，分享想法、知识、经验。我们都成长并都成为更好的安全分析师、黑客和人类。

Beau Bullock:
我遇到的最大障碍是获得信息安全的初始角色。我从大学那个道德黑客课程知道那是我想做的但没有经验。仍在大学时，我得到一份“IT相关”的操作工作，我基本上在一个SOC但主要只是保持事情运行。它不是真正的“信息安全”角色 though。我最终能够在我所在公司的安全部门 shadow 以在信息安全中涉足。最终，我申请了另一家公司的“系统分析师”工作，但在我的面试中，我谈了很多关于我的兴趣和 motivation 在计算机安全角色工作。他们实际上最终在那次面试后为我创建了一个全新的“安全分析师”角色。

Mike Felch:
互联网是全新的，这意味着资源非常有限。理解深层次技术漏洞意味着我必须理解技术的内部工作原理，以便当安全问题时它们被介绍给我时我能理解。在90年代末00年代初，我们会在IRC频道上聚集，合作发现新的安全漏洞，然后在电子杂志中发布细节。它归结为有好奇的思维生活，被一群比我聪明的人包围，并总是愿意分享，无论我感觉它是否值得分享。

Brian BB King:
我认为没有安全经验可能是最大的障碍。当我有机会代表我的团队（一种开发组）在一个由我公司安全组运行的项目上时，我抓住了它。我尽力理解项目的目标以及它将如何影响我的团队。我问问题，找到答案，并认识了领导安全方面的人。在合作几周后，我问他他们是否在招聘。他说他们是。我申请并基于我如何处理那个项目而不是我的安全技能内部转移到安全团队。

Derrick Rauch:
我挣扎于试图找到工作和生活之间的平衡，我最终意识到并接受一个人不能知道这个领域的一切，专注于你享受的部分并不要让生活 pass you by 是可以的。

Craig Vincent:
弄清楚我实际想做什么可能是最困难的事情。当我开始考虑进入信息安全时，这个领域有多 broad 有点 daunting。有许多不同的路径开始，许多需要一些非常不同的技能。至于我如何克服它？我猜你可以说我暴力破解了它因为我第一次搞错了！我曾经认为我想成为恶意软件分析师。直到我花了数百小时学习、发展那些技能和玩恶意软件样本，我才意识到我真的不适合成为恶意软件分析师。有些事情听起来比实际更有趣，恶意软件分析 just 不适合我。我能给刚开始的人的最好建议是尝试不同的事情，直到他们找到他们真正享受的东西。

Kelsey Bellew:
我最大的障碍是我网络知识中的巨大漏洞。当时BHIS的大多数测试人员来自非常多样的背景，他们在所有计算机相关的事情上有大量经验，或者他们以前是网络管理员。当我刚开始时（并且来自严格的计算机科学/编码背景），我几乎不理解内部和外部网络之间的区别。我通过阅读许多技术文章/维基百科/RFC、获得第一手经验和问许多问题即使我认为它们会让我听起来 dumb 来克服这个。

Ethan Robish:
从大学到一个极其小的咨询业务，反馈或指导非常少。有了大学，你每个作业都有成绩所以你知道你是否做得好。有了工作，你只会真正知道如果你严重搞砸了。如果你非常幸运你会知道你是否做得好但大多数时间你只是必须找到你自己的自信同时保持谦卑并对任何可能来的反馈 receptive。

Jordan Drysdale:
随着我的第一份工作在HP为企业客户解决复杂网络问题，是不成熟。我年轻，没有大的支持网络 around me。需要我的经理是我见过的最好的人之一（仍然发短信）让我 headed 在正确的方向。我不知道如何与人交谈，看他们眼睛。我也不知道如何倾听，结果证明 way 更重要。随着我的IT生活进展，沿途有许多其他挑战。学习如何平衡生活，对吧？我们都需要在工作场所有健康习惯，这在科罗拉多很容易。徒步、骑行、雪上运动，所有那些事情。家庭 eventually，缺乏睡眠。随着薪酬上升，通常责任也上升。我携带了一个下班后寻呼机很长一段时间，这 sucked。糟糕， especially 已经累了并在半夜接到电话。在BHIS，我 quickly 意识到我的背景中缺少一些重要的东西。自从我开始 here，我一直在挣扎写脚本、代码、程序和基本上开发功能代码。我今天仍然在挣扎这个。

非常感谢我们所有测试人员抽出时间帮助回答这些问题！

准备好学习更多？
用Antisyphon的实惠课程提升你的技能！
Pay-Forward-What-You-Can 培训
可用直播/虚拟和点播

播客：John Strand的5年计划进入信息安全第二部分 信息安全职业：常见问题解答（第二部分）