信息安全职业：FAQ（第一部分）

我们最近收到一封来自在读学生的邮件，其中包含一些针对我们测试人员的问题。这些问题非常棒，而且由于我们经常被问到类似的内容，我们决定创建一个分为两部分的博客文章，借助几位测试人员的帮助来回答它们。看看他们对自己旅程的看法，别忘了周一查看第二部分！

1) 最初是什么激励您追求信息安全职业？

Kent Ickler: 跨部门业务流程唯一更令人兴奋的事情就是打破并利用这些流程。

Beau Bullock: 在特别对信息安全感兴趣之前，我从很小就知道至少想从事计算机相关的工作。我家对计算机并不太懂技术，但在我童年时我们有几台计算机，真正激发了我最初的兴趣。我们有一台 Apple IIe，我花了很多时间试图弄懂它。大约十岁时，我说服爸爸让我订购一个“自己组装计算机”的套件，并自己组装（虽然装错了，但我学到了很多）。直到大学我才发现计算机安全是我想要追求的方向。我选了一门关于道德黑客的课程，了解到我可以合法地黑客公司并为此获得报酬。现在这就是我所做的。

Mike Felch: 我爸爸激励了我。他是一名低级固件工程师，所以我成长在一个厨房桌子上摆满了他正在逆向工程的硬件、转储 EEPROM、创建二进制补丁甚至“备份”我的任天堂游戏的房子里。在个人计算机刚刚发布和持续摆弄的曝光之间，我很快采用了非常相似的思维方式，并开始尝试弄清楚技术底层的工作原理。

Brian BB King: 我收到一封邮件，其签名是一个完整的 RSA 实现，用了大约四行极其晦涩的 Perl 代码。据说美国政府认为它是军火，非法出口。这从三个方面吸引了我。首先，我很惊讶可以用这么小的程序进行加密。其次，我无法相信这段看起来像坏调制解调器连接上的线路噪声的文本是一种实现方式。我想要能够理解那样的东西。第三，分享这段文本在法律上等同于运输战争武器的想法让我着迷。

我不确定这是否是我看到的那个，但它展示了这个想法：

1
2
3

#!/bin/perl -sp0777i<X+d*lMLa^*lN%0]dsXx++lMlN/dsM0<j]dsj
$/=unpack('H*',$_);$_=`echo 16dio\U$k"SK$/SM$n\EsN0p[lN*1
lK[d2%Sa2/d0$^Ixp"|dc`;s/\W//g;$_=pack('H*',/((..)*)$/)

Craig Vincent: 直到大学转专业到计算机科学，我才意识到信息安全作为一个行业或职业道路的存在。我选修了一门入门级的信息安全课程，立刻就被吸引住了。我知道我想在这个行业做点什么。

Matt Toussain: 我偶然进入了这个领域，而且我喜欢那部电影（《黑客》1995）。SANS 学院向我所在的大学（美国空军学院）提供奖学金，让我们春假期间参加 SANS 课程。我当时是政治学专业，但我们的计算机科学学生对牺牲春假不感兴趣。我感兴趣。这改变了我的生活。

Kelsey Bellew: 这可能是个最糟糕的答案，但我实际上追求技术/安全是因为我知道市场很大，有很多工作机会，而且薪酬优厚。从安全角度更好的答案是：当我申请 BHIS 的实习时，我对公司做什么以及红队是什么只有模糊的概念。在面试的某个时刻，我开始意识到，“等等，这些人黑客别人，而那些人付钱给他们？那是个真正的工作？？我需要在这里工作。”

Ethan Robish: 很难确切 pinpoint。可能是学习基本网络以绕过学校防火墙限制来玩游戏或看 YouTube，偶然发现远程连接方法和持久性机制来恶作剧朋友的计算机，或者是大学校园偏僻角落的一张传单，导致我与 John 通电话，我难以置信地问他黑客银行是否真的合法。

Derrick Rauch: 我选择这个职业是因为我在高中时总是喜欢弄清楚如何修理计算机以及它们如何工作，所以觉得为什么不把这作为我的目标。当然，我在高中和大学之间花了两年时间，通过做一些零工来确保这是我想做的。

Jordan Drysdale: 我从大约 1999 年到 2004 年在建筑行业工作以完成大学学业，并意识到每天有多艰难。回想起来，把工作留在工地很好，但那就是开始的地方。我的一个室友在 CIS 项目并热爱它。我跳槽了。HP 在我 2005 年毕业后几乎立即雇佣了我。技术支持，前线——真正的磨砺。这是在这个领域的四份工作的开始，最终让我来到了 BHIS。专业提示：客户服务、技术支持、帮助台等，这些工作对于形成坚实的计算机科学背景至关重要。学习如何有效解决问题。学习如何区分有用的网络搜索结果和浪费时间的东西。雇主不想雇佣你知道什么。我 generally 相信任何人（有一些计算机背景）都可以被训练来完成数字任务。我不能训练你很好地管理时间。我们不能训练人们友善，把别人当人对待，或在压力下保持稳定。而 truly，这些技能会让你排在队伍的前面。这对我有效，对 BHIS 的其他人也有效。

2) 对于考虑进入这个领域的人，有什么重要建议？

Kent Ickler: 我不知道你是否能“从 IT 信息安全开始”。我没有，我努力工作才到达这里，因此对 IT 的许多不同方面以及企业实际如何运作有相当好的理解。

Beau Bullock: “Try Harder”是 Offensive Security 的座右铭，自从 2011 年我 working on the OSCP 以来，它就一直伴随着我。在信息安全和生活中，我发现这个座右铭是我完成任务 extremely 重要的支柱。很多时候你会碰壁，觉得某事太难而想放弃。只需知道计算机安全中有 vast 未探索的领域，可能包含只有通过推动自己 further 才能发现的漏洞。

另一个我现在遵循的座右铭是我在 2017 年 DEF CON 的“Bomb Defusing”挑战中从 Mike Felch (@ustayready) 那里学到的。那个座右铭是“Fail Fast, Fail Often, and Fail Forward”。当你解决问题时，花更多时间失败，少花时间从远处分析问题。记录你做了什么，为什么失败，然后尝试不同的东西。如果那也失败了，那没关系。这里的关键是从你所做的事情中学习，以便你能更快地找到解决方案。

我知道你只问了一个重要建议，但这里是第三个：学习一门编程语言。这将是一个 extremely 有用的技能，你可以利用它来修改当前工具，或编写一个全新的工具。

Derrick Rauch: 准备好 always 学习，有时会感到沮丧。IT/安全 always 在变化，三周前有效的东西明天可能就无效了。

Brian BB King: 不要太早专精。在进入“安全”之前，发展广泛的基础技能。编程、网络、数据库管理、系统管理等。如果你对你想要保护的系统环境没有扎实的基础，你将 always 在挣扎。（你无论如何都会挣扎，但没有良好的背景，你会浪费时间挣扎于错误的事情。）

Craig Vincent: 尽可能获得尽可能多的动手经验。在家里建立某种实验室或测试环境。即使你只是练习利用一些故意易受攻击的虚拟机或弄乱你自己的网络，那种经验 super 有价值。John 的 5 年计划网络直播有一些你可以在家便宜/免费做的好例子。

Matt Toussain: 不要太担心学位。在我对黑客产生兴趣后，我认为计算机科学是应该去的领域。对我来说，换专业是个错误。作为一个模糊专业，我花时间摆弄东西，编码 side 为了自我提升。作为计算机科学家，我被指定“作业”来完成。它吸走了我的激情和毅力，同时给你挑战已知解决方案的问题。信息安全中最关键的技能之一是能够脱离脚本。没有比摆弄更好的学习方式了…… on your own。虽然 STEM 专业可能提供一些价值，但在我经验中，这与纯粹的激情、 proven 能力和经验相比 pale。当你学习时，抓住机会超越你的学位，找到并贡献开源项目，摆弄。

Kelsey Bellew: 找到网络安全中真正让你感兴趣的某个方面，并把它做成一个个人项目。这将教你比在课堂上学到的多得多，而且在面试中谈论那个项目会让你成为优秀的候选人。

Ethan Robish: 我要呼应其他人提到的：找一个导师（ ideally 本地的）。如果可能，去参加安全会议，或者找本地城市或大学聚会如果存在。在大学里找其他对同样事情感兴趣的人。尝试在本地找一位安全专业人士（尝试搜索 LinkedIn、Twitter、Facebook 或会议）并与他们见面。 just 尝试尽可能讨人喜欢并尊重他们的时间。展示你的热情和学习与帮助的意愿。如果你 already 有技能， chances are 你可以找到一个实习，在那里你可以尽最大努力贡献和学习。我们喜欢 self-driven、提问并找到增加价值的方式而不是等待有人有时间给他们逐步指导的实习生。或者如果你 still 有一些基础要学，接受导师能给你的任何建议，采取行动，然后在几个月后汇报你 accomplished、 learned 等。接受某人的建议并 actually 付诸行动是一个巨大的恭维。不仅你显示了尊重那个人，你也显示了你是 self-driven、能够学习，并且你现在有更多有价值的技能和经验带来。

Jordan Drysdale: 我已经在这个上卖了牧场，但 here goes。在 IT 中接受一个入门级工作是可以的，在帮助台、本地 ISP、提供某种形式托管服务的本地公司。桌面技术员成为服务器技术员。我们雇佣服务器技术员因为他们知道如何让世界运转。学习网络。我不是指人脉网络，我是指连接系统 together。学习第二层是什么（MAC 到 MAC 设备通信 – ARP） – 交换机住在这里？为什么 ARP 对第三层通信（路由器住在这里）重要？第四层是协议通信 — HTTP 是端口 80，SSL 是端口 443。所以，我的网络服务器是 mac aa:bb:cc:dd:ee:ff 在 10.1.1.10 并监听端口 80。一个 destined 到这个设备的数据包看起来像什么？Truly，学习如何从本地设备 10.1.1.20 与这个设备通信以及那些数据包看起来像什么， verses 从我家，和路由器，这些基础对于 general 互联网和整体商业运作 these days so crucial。信息安全的基础从网络开始。

3) 当您刚开始进入信息安全领域时，遇到的最大障碍是什么，您是如何克服的？

Kent Ickler: 我最大的障碍是冒名顶替综合症。它是真实的。我对很多事情都知道一点。很长一段时间，我试图跟上同事的职业生涯。 Turns out 每个人都带来一些重要的东西。在 BHIS 工作很棒，因为我们一起工作，分享想法、知识、经验。我们都成长并都成为更好的安全分析师、黑客和人。

Beau Bullock: 我遇到的最大障碍是获得信息安全的初始角色。我从大学那门道德黑客课程知道那是我想要做的，但没有任何经验。还在大学时，我得到了一份“IT 相关”的操作工作，我基本上在一个 SOC 中，但主要是保持事情运行。不过，那并不是真正的“信息安全”角色。我最终能够在我所在公司的安全部门 shadow 来在信息安全中涉足。最终，我申请了另一家公司的“系统分析师”工作，但在面试中，我谈了很多关于我的兴趣和 motivation 在计算机安全角色工作。他们 actually 在那次面试后为我创建了一个全新的“安全分析师”角色。

Mike Felch: 互联网是全新的，这意味着资源非常有限。理解 deep 技术漏洞意味着我必须理解技术的内部工作原理，以便当安全问题时 introduced 给我时我能理解。在 90 年代末 00 年代初，我们会在 IRC 频道上聚集，合作发现新的安全漏洞，然后在电子杂志中发布细节。它归结为拥有 inquisitive 思维生活，被一群比我聪明的人包围，并 always 愿意分享， regardless 我觉得是否值得分享。

Brian BB King: 我认为没有安全经验可能是最大的障碍。当我有机会代表我的团队（一种开发小组）参加由公司安全小组运行的项目时，我抓住了它。我尽力理解项目的目标以及它将如何影响我的团队。我提问，找到答案，并认识了领导安全方面的人。在一起工作几周后，我问他他们是否在招聘。他说是的。我申请并基于我如何处理那个项目而不是我的安全技能内部调动到安全团队。

Derrick Rauch: 我 struggled 试图找到工作与生活之间的平衡，我终于意识到并接受了一个人不能知道这个领域的一切，专注于你享受的部分是可以的，不要让生活从你身边流逝。

Craig Vincent: 弄清楚我 actually 想做什么可能是最困难的事情。当我开始考虑进入信息安全时，这个领域有多 broad 有点 daunting。有许多不同的路径可以开始，其中许多需要一些非常不同的技能。至于我如何克服它？我猜你可以说我 brute-forced 它，因为我第一次搞错了！我曾经以为我想成为一名恶意软件分析师。直到我花了数百小时学习、发展那些技能并玩弄恶意软件样本后，我才意识到我 really 不适合做恶意软件分析师。有些东西听起来比实际更有趣，而恶意软件分析 just 不适合我。我能给刚开始的人的最好建议是尝试不同的事情，直到找到他们真正享受的东西。

Kelsey Bellew: 我最大的障碍是我网络知识中的 gaping 漏洞。当时 BHIS 的大多数测试人员来自非常 varied 的背景，他们在所有计算机相关的事情上有很多经验，或者他们 previously worked 作为网络管理员。当我刚开始时（并且来自严格的计算机科学/编码背景），我 hardly 理解内部和外部网络之间的区别。我通过阅读大量技术文章/维基百科/RFC、获得 firsthand 经验以及问很多问题来克服这一点，即使我认为它们会让我听起来很蠢。

Ethan Robish: 从大学到一个 extremely 小的咨询业务，很少有反馈或指导。有了大学，你每个作业都有成绩，所以你知道你是否做得好。有了工作，你 only really 知道如果你 seriously 搞砸了。如果你非常幸运，你会知道你是否做得好，但大多数时候你 just 必须找到自己的 self-confidence，同时保持谦虚并接受任何可能到来的反馈。

Jordan Drysdale: 随着我的第一份工作在 HP 为企业客户解决复杂网络问题，是 immaturity。我年轻，没有大的支持网络 around me。需要我的经理成为我见过的最好的人之一（ still 发短信）才能让我朝着正确的方向前进。我不知道如何与人交谈，看着他们的眼睛。我也不知道如何倾听，这 turned out to be way more important。随着我在 IT 的生活进展，一路上有许多其他挑战。学习如何平衡生活，对吧？我们都需要在工作场所有健康的习惯，这在科罗拉多很容易。徒步、骑行、雪上运动，所有那些事情。家庭 eventually，缺乏睡眠。随着薪酬上涨， generally 责任也上升。我携带了一个下班后寻呼机很长一段时间，这 sucked。Bad， especially already 累了并在半夜接到电话。在 BHIS，我 quickly 意识到我的背景中缺少一些重要的东西。自从我开始 here，我一直在 struggling 写脚本、代码、程序，并 basically 开发功能代码。我 still 今天 struggling 与此。

非常感谢我们所有测试人员抽出时间帮助回答这些问题！

准备好了解更多吗？ 通过 Antisyphon 的实惠课程提升你的技能！ Pay-Forward-What-You-Can 培训 提供直播/虚拟和点播