信息安全职业发展：常见问题解答（第二部分）

Staff//

如果您错过了第一部分，可以在这里补上：www.blackhillsinfosec.com/a-career-in-information-security-faq-part-1/
让我们直接回到问答环节！

4) 您大学时修过的哪些课程对您的职业生涯产生了持久影响？

人力资本管理课程对我的职业生涯影响最持久。但在这方面我可能属于少数。人力资本管理涉及人类知识、人力资源，以及将薪酬服务与能够胜任工作的人匹配。拥有这种背景的安全分析师可以帮助您发现因知识/技能差距而成为最薄弱环节的漏洞。投资于人力资本管理的企业通常以某种方式覆盖其IT资产，确保合适的眼睛在合适的时间查看合适的地方，并为这些眼睛疲劳时制定连续性计划。——Kent Ickler

道德黑客是我大学时修过的主要课程，对我的职业生涯产生了“持久影响”。我修过的任何编程课程也有影响，但日常工作中，我更多使用从实际经验中学到的东西，而不是大学课程所教的内容。就高质量教育课程而言，我强烈推荐SANS课程。我修过的每门SANS课程都充满了信息，我能够日常使用。——Beau Bullock

哲学105：逻辑与推理。这门课涵盖了形式和非形式逻辑：三段论、谬误等。我选修它是为了好玩，但它让我扎实理解了如何构建论点以及如何识别认知偏见和有缺陷的推理。当我转向计算机领域时，我发现布尔逻辑和真值表非常熟悉。——Brian BB King

编程是我最有益的课程之一。不，我并不是说只修编程课程（除非那是您想要的领域）。我这么说是因为它教授了应用程序工作原理的基础知识以及设计流程，这有助于关联到可能的漏洞发现，并为系统化故障排除/跳出框框思考提供基础。——Derrick Rauch

我们有一门叫做“计算中的法律与伦理问题”的课程。我几乎每天都在使用那门课的概念和想法。——Craig Vincent

真的没有。我大学时甚至没修过安全课程。——Kelsey Bellew

计算机科学的基础知识非常通用，掌握它们很好：离散数学、数据结构、算法。了解几种编程语言很有用。网络知识至关重要，但可以自学，操作系统基础知识有时也很有用。——Ethan Robish

项目管理。Microsoft Office训练营。Java基础。金融，我仍然携带一个能计算时间价值的计算器。市场营销——理解人口统计学。宏观经济学——我现在在每个情况下都采取宏观视角。HTML。西班牙语！！！我无法强调这一点，而且没有提到我在HP获得机会的唯一原因是因为我能用半生不熟的西班牙语接电话。说真的，这门课程以及与墨西哥人的日常建筑工作为我进入IT铺平了道路。不开玩笑。回顾过去，我会投资更多计算机科学。——Jordan Drysdale

5) 您职业生涯中有哪些方面是刚开始时不知道或没考虑到的？

我的职业生涯是一条曲折的道路，涉及多个行业领域，但都以某种方式专注于IT。五年前，我不知道我现在会做这个，但我享受我的工作，能够（并有动力）回馈社区是惊人的。——Kent Ickler

刚开始时，我没有真正考虑过会花多少时间做报告。我每周花很多时间打开Microsoft Word为客户写报告。这是最重要的部分，因为它是交付给支付您公司让您工作的人的可交付成果。所以，如果您有兴趣进入渗透测试或红队，请注意这不全是黑客行为。您将花很多时间打字写报告。——Beau Bullock

我以为这是一个纯粹的技术领域。它不是。学会写好。您可以边做边学很多技术技能，但您永远不会像在学校那样有机会学习如何使用语言。抓住每个机会练习写作。——Brian BB King

我没有考虑到我必须投入这么多时间进行继续教育，然而这对我来说是一把双刃剑，因为我热爱学习！——Derrick Rauch

刚开始时，我没有意识到我的技术工作与我所服务的公司和组织的业务/运营方面如此紧密地耦合。我发现从“业务角度”考虑我的角色使我更有价值。它最终也使我的工作更容易和更愉快。——Craig Vincent

我必须经常与人打交道。任何时候我想到技术工作，我都以为意味着在某个黑暗的偏远洞穴里，如果您与任何人互动，那将是洞穴里的其他人。在安全领域，这完全不真实，而且我认为无论您进入哪个分支都无关紧要。本质上，这是一份非常社交的工作。如果您想走得更远，您必须非常擅长清楚地解释事件和您自己的观点。——Kelsey Bellew

在与John进行那通关键电话之前，我不知道入侵东西是一份合法的工作。之后，我认为最让我惊讶的是企业文化如何影响整体安全。一般来说，安全最差的地方是那些A）不想要我们在那里B）被合规、客户或其他部门强迫考虑安全C）对领土有占有欲，对我们和公司内其他IT相关部门要么防御要么攻击。——Ethan Robish

我从未想象过我的生活会像现在这样。我每天所做的事情与现实世界中发生的事情之间不可能有更紧密的联系。SANS SEC504——黑客技术与事件处理——这门课程是我们每天所做的事情，也是防御者如今所面临的。每天都有违规事件。我们拼命地教育、帮助人们、企业和任何愿意倾听的人。但是，试图退一步更直接地回答这个问题……我们都只是期望出去，得到一份很棒的工作，热爱我们的生活。挣扎是真实的。在HP这样的大公司环境中工作非常艰难，压力越来越大。五年后，我辞职了，右眼抽搐，生活压力大。当然，钱很好，但很难。——Jordan Drysdale

6) 我现在（校外）应该花时间做些什么来帮助我为这个领域的职业生涯做准备？

观看所有BHIS的网络直播，并在Twitter上关注我们的团队！周围有很多IT安全资源。参加夺旗挑战！启动一个本地聚会来讨论IT安全、IT问题，或者只是远离学校一小时。网络在IT安全中非常重要，因为该领域如此广泛，不可能在所有方面都成为专家。——Kent Ickler

尽可能多地学习网络基础知识。在我看来，在深入安全方面之前对网络有理解非常重要。这是一个来自Microsoft的七小时课程，有八个模块和八个非常短的评估，可能是一个好的起点。
https://mva.microsoft.com/en-us/training-courses/networking-fundamentals-8249
学习Linux命令行。它是我们在渗透测试中使用的主要操作系统之一，因此了解它以及如何使用命令行将非常有益。我们在安全中做的几乎所有事情都是从命令行驱动的。这里有两个关于Linux和命令行的免费课程。第二个将引导您设置Virtual Box和Linux虚拟机，然后向您展示一些命令行基础知识。
https://www.codecademy.com/learn/learn-the-command-line
https://www.udacity.com/course/linux-command-line-basics–ud595
在渗透测试中，我们经常攻击其他计算机系统。一个非常流行的工具叫做Metasploit。有一个来自Offensive Security的免费课程介绍它，叫做Metasploit Unleashed，值得一看——https://www.offensive-security.com/metasploit-unleashed/。从这里下载易受攻击的虚拟机Metasploitable two：http://downloads.metasploit.com/data/metasploitable/metasploitable-linux-2.0.0.zip 并使用Metasploit攻击它。
对于学习Web应用程序安全，首选标准是DVWA（Damn Vulnerable Web App）。设置它并进行一些练习。一个好的更多易受攻击虚拟机列表可以在这个SANS海报上找到：http://counterhack.net/Poster_PenTest_2015.pdf
最后，我强烈建议找一些夺旗比赛参加。那些将挑战您所知道的，并迫使您学习新事物。Google有一个已经结束但挑战仍然存在的：https://capturetheflag.withgoogle.com。大多数“Security BSides”活动都有它们，我真的很喜欢NYU Poly的CSAW CTF，但还有很多其他。此外，SANS每年都会举办假日黑客挑战，所以您现在可以做前一年的挑战。它们很史诗，也很有趣。——Beau Bullock

学习事物如何工作，以及如何修复它们。通过“事物”，我指的是物理物品。更换厨房水龙头。换掉旧的灯具。拆开割草机并重新组装。

培养一个不涉及计算机的爱好或兴趣。演奏音乐。在一个不涉及数字电路的乐器上。参加休闲运动。上烹饪课。建造一个书架。找到一些您喜欢做的事情，使用与计算机不同的部分大脑。寻找一些您不能坐在椅子在桌边做的事情！培养一项您可以因为自己的原因感到好的技能。——Brian BB King

获得实践经验。在帮助台或计算机销售处找一份工作，或者根据您的时间做一些按项目计的兼职，以获得人们需求的广泛概述以及这个行业可以覆盖的内容。这也有助于建立社交互动技能以及实践经验。即使您的工作愿望更倾向于编程或安全，像这样的良好基础总是有帮助的。——Derrick Rauch

去大会和人交谈。去您的本地聚会和人交谈。听播客。读博客。上Twitter关注那些在做您想做的事情的人。在家玩您感兴趣的东西。——Craig Vincent

为开源项目做贡献，提出并解决代码挑战，构建和管理大量不同的系统。黑客破坏和制造东西，渗透测试员也这样做。在您能做其中任何一个之前，您需要了解系统/应用程序如何工作。制作一个WordPress博客，使用Drupal，找到一个旧的Cisco交换机并玩转它。引用《侏罗纪公园》：“这是一个Unix系统。我知道这个！”。您能说这个的事情越多，您准备得越好。如果您能向雇主展示这一点，您将永远不会找不到工作。——Matt Toussain

如果您还没有，去学习一种编码语言（我推荐Python）。在您的个人计算机上安装并运行WireShark，只是查看正在进行的各种连接。在您的浏览器中安装像Wappalyzer这样的东西，以查看不同网站上运行的服务，即使只是为了熟悉术语。——Kelsey Bellew

尝试尽可能多的事情，找出您喜欢什么。但主要的是以有意义的方式为某事做贡献。不要只是不停地阅读而从不参与。这里有一些例子：编码黑客马拉松、编码比赛、夺旗比赛、开源开发、Google Summer of Code、漏洞赏金、CCDC、实习。在比赛中排名或做出有意义的编码贡献是简历上的好事情，因为它们显示实践经验并且您擅长您所做的事情。——Ethan Robish

学习编码，即使是简单的东西——查看CodeCademy。他们很棒。您的家人可能需要您的帮助。学习更好的密码、密码管理器、双因素。注意——意见来了：学习在线隐私，阅读电子前沿基金会。您的隐私很重要，保护它也很重要。买一本关于技术主题的书，而不是玩电子游戏或滚动——每天读它30分钟。找一台旧计算机，学习如何在其上安装Linux（Linux Mint或Ubuntu很棒）。回顾您的个人数字生活，使您的密码更长，您的WiFi密钥可能需要更新。在您能的地方开启双因素。帮助您的家人做同样的事情。——Jordan Drysdale

准备好学习更多吗？
通过Antisyphon的实惠课程提升您的技能！
Pay-Forward-What-You-Can培训
提供直播/虚拟和点播