信息安全职业发展:常见问题解答(第二部分)
如果您错过了第一部分,可以在这里补上:www.blackhillsinfosec.com/a-career-in-information-security-faq-part-1/
让我们直接进入问答环节!
4) 您大学期间修读的哪些课程对您的职业生涯产生了持久影响?
Kent Ickler: 人力资源管理课程对我的职业生涯影响最为持久。但这可能只是少数人的情况。人力资源管理涉及人类知识、人力资源以及将薪酬服务与能够胜任工作的人匹配。具备这种背景的安全分析师能够发现由于知识/技能差距而成为最薄弱环节的漏洞。投资于人力资源管理的企业通常以某种方式覆盖其IT资产,确保合适的眼睛在合适的时间关注合适的地方,并为这些眼睛疲劳时制定连续性计划。
Beau Bullock: 道德黑客是我大学期间修读的对职业生涯产生“持久影响”的主要课程。我修读的任何编程课程也都有影响,但日常工作中,我更多使用从实际经验中学到的东西,而不是大学课程所教的内容。就高质量教育课程而言,我强烈推荐SANS课程。我修读的每一门SANS课程都充满了信息,我能够每天利用这些信息。
Brian BB King: 哲学105:逻辑与推理。这门课程涵盖了形式和非形式逻辑:三段论、谬误等。我选修这门课是为了好玩,但它让我对如何构建论证以及如何识别认知偏见和有缺陷的推理有了扎实的理解。当我将重点转向计算机时,我发现布尔逻辑和真值表既熟悉又友好。
Derrick Rauch: 编程无疑是我最有益的课程之一。我并不是说只修编程课程(除非那是您想要的领域)。我这么说是因为它教授了应用程序工作原理的基础知识以及设计流程,这有助于关联到可能的漏洞发现,并为系统化故障排除/跳出框框思考提供基础。
Craig Vincent: 我们有一门叫做“计算中的法律与伦理问题”的课程。我几乎每天都在使用那门课的概念和想法。
Kelsey Bellew: 真的没有。我大学甚至没有修过安全课程。
Ethan Robish: 计算机科学的基础相当通用,掌握它们很有好处:离散数学、数据结构、算法。了解几种编程语言很有用。网络知识至关重要,但可以自学,操作系统基础知识有时也很有用。
Jordan Drysdale: 项目管理。Microsoft Office 训练营。Java 基础。金融,我仍然携带一个能计算时间价值的计算器。市场营销——理解人口统计学。宏观经济学——我现在在每种情况下都采取宏观视角。HTML。西班牙语!!!我无法强调这一点,而且没有提到我在HP获得机会的唯一原因是因为我能够用半生不熟的西班牙语接电话。严肃地说,这门课程以及与墨西哥人的日常建设为我的IT之路铺平了道路。不开玩笑。回顾过去,我会投资更多计算机科学。
5) 在您刚开始时,有哪些关于您职业生涯的方面是您不知道或没有考虑到的?
Kent Ickler: 我的职业生涯是一条曲折的道路,涉及多个行业领域,但都以某种方式专注于IT。五年前,我不知道我现在会做这个,但我享受我所做的工作,并且能够(并有动力)回馈社区是惊人的。
Beau Bullock: 刚开始时,我没有真正考虑过会花多少时间做报告。我每周花很多时间打开Microsoft Word为客户写报告。这是最重要的部分,因为它是交付给支付您公司让您工作的人的可交付成果。所以,如果您有兴趣进入渗透测试或红队,请注意这不全是黑客攻击。您将花很多时间打字写报告。
Brian BB King: 我以为这是一个纯粹的技术领域。它不是。学会写好。您可以在过程中学习很多技术技能,但您永远不会像在学校那样有那么多机会学习如何使用语言。抓住每一个机会练习写作。
Derrick Rauch: 我没有考虑到我必须投入这么多时间进行继续教育,然而这对我来说是一把双刃剑,因为我热爱学习!
Craig Vincent: 刚开始时,我没有意识到我的技术工作与我工作的公司和组织的业务/运营方面如此紧密地耦合。我发现从“业务角度”考虑我的角色使我更有价值。它最终也使我的工作更容易、更愉快。
Kelsey Bellew: 我必须经常与人打交道。任何时候我想到技术工作,我都以为意味着在某个黑暗的偏远洞穴里,如果您与任何人互动,那将是洞穴里的其他人。在安全领域,这完全不真实,而且我认为无论您进入哪个分支都无关紧要。本质上,这是一份非常社交的工作。如果您想走得更远,您必须非常擅长清晰地解释事件和您自己的观点。
Ethan Robish: 在与John进行那通关键电话之前,我不知道入侵东西是一份合法的工作。之后,我认为最让我惊讶的是企业文化如何影响整体安全。一般来说,安全最差的地方是那些A)不想要我们在那里B)被迫通过合规、客户或其他部门考虑安全C)对领地有领土意识,并对我们和他们公司其他IT相关部门采取防御或攻击态度。
Jordan Drysdale: 我从未想象过我的生活会是现在这样。不可能有比我每天所做的事情与现实世界中正在发生的事情更紧密的联系。SANS SEC504——黑客技术与事件处理——这门课程是我们每天所做的事情,也是防御者如今所面临的。每天都有违规事件发生。我们拼命地试图教育、帮助人们、企业和任何愿意倾听的人。但是,试图退后一步更直接地回答这个问题……我们都只是期望走出去,得到一份很棒的工作,并热爱我们的生活。斗争是真实的。在HP这样的大公司环境中工作非常艰难,压力越来越大。五年后,我右眼抽搐,生活压力大,我辞职了。当然,钱很好,但很难。
6) 我现在(校外)应该花时间做些什么来为这个领域的职业生涯做准备?
Kent Ickler: 观看所有BHIS的网络直播,并在Twitter上关注我们的团队!周围有很多IT安全资源。参与夺旗挑战!启动一个本地聚会讨论IT安全、IT问题,或者只是远离学校一小时。网络在IT安全中非常重要,因为该领域如此广泛,不可能在所有方面都成为专家。
Beau Bullock: 尽可能多地学习网络基础知识。在我看来,在深入安全方面之前,对网络有理解非常重要。这是一个来自微软的七小时课程,有八个模块和八个非常短的评估,可能是一个好的起点。https://mva.microsoft.com/en-us/training-courses/networking-fundamentals-8249
学习Linux命令行。它是我们在渗透测试中使用的主要操作系统之一,因此了解它以及如何使用命令行将非常有益。我们在安全方面做的几乎所有事情都是从命令行驱动的。这里有两个关于Linux和命令行的免费课程。第二个将引导您设置Virtual Box和Linux虚拟机,然后向您展示一些命令行基础知识。https://www.codecademy.com/learn/learn-the-command-line https://www.udacity.com/course/linux-command-line-basics–ud595
在渗透测试中,我们经常攻击其他计算机系统。一个非常流行的工具叫做Metasploit。有一个来自Offensive Security的免费课程介绍它,叫做Metasploit Unleashed,值得一看——https://www.offensive-security.com/metasploit-unleashed/。从这里下载易受攻击的虚拟机Metasploitable two:http://downloads.metasploit.com/data/metasploitable/metasploitable-linux-2.0.0.zip 并努力用Metasploit攻击它。
对于学习Web应用程序安全,首选标准是DVWA(Damn Vulnerable Web App)。设置它并进行一些练习。一个很好的易受攻击虚拟机列表可以在这个SANS海报上找到:http://counterhack.net/Poster_PenTest_2015.pdf
最后,我强烈推荐找一些夺旗比赛参加。这些将挑战您所知道的,并迫使您学习新事物。Google有一个现在已经结束但挑战仍然存在的:https://capturetheflag.withgoogle.com。大多数“Security BSides”活动都有它们,我真的很喜欢NYU Poly的CSAW CTF,但还有很多其他活动。此外,SANS每年都会举办假日黑客挑战,所以您现在可以去完成前一年的挑战。它们很史诗,也很有趣。
Brian BB King: 学习事物如何工作,以及如何修复它们。通过“事物”,我指的是物理物品。更换厨房水龙头。换掉旧的灯具。拆开割草机并重新组装。
培养一个不涉及计算机的爱好或兴趣。演奏音乐。在一个不涉及数字电路的乐器上。参加休闲运动。上烹饪课。建造一个书架。找到某件您喜欢做的事情,使用与计算不同的大脑部分。寻找一些您不能坐在椅子桌边做的事情!培养一项您可以因为自己的原因感到自豪的技能。
Derrick Rauch: 获得实践经验。在帮助台或计算机销售处找一份工作,或者根据您的时间做一些按项目计费的兼职,以广泛了解人们的需求以及这个行业可以覆盖的内容。这也有助于建立社交互动技能以及实践经验。即使您的工作愿望更倾向于编程或安全,像这样的良好基础总是有帮助的。
Craig Vincent: 去大会和人交谈。去您当地的聚会和人交谈。听播客。读博客。上Twitter关注那些在做您想做的事情的人。在家玩您感兴趣的东西。
Matt Toussain: 为开源项目做贡献,想出并用代码解决挑战,构建和管理大量不同的系统。黑客破坏和制造东西,渗透测试员也这样做。在您能做其中任何一件事之前,您需要了解系统/应用程序如何工作。制作一个WordPress博客,使用Drupal,找到一个旧的Cisco交换机并玩转它。引用《侏罗纪公园》:“这是一个Unix系统。我知道这个!”。您能说这句话的事情越多,您准备得就越好。如果您能向雇主展示这一点,您将永远不会找不到工作。
Kelsey Bellew: 如果您还没有,去学习一门编码语言(我推荐Python)。在您的个人计算机上安装并运行WireShark,只是查看正在建立的不同连接。在您的浏览器中安装像Wappalyzer这样的东西,看看不同网站上运行着什么服务,即使只是为了熟悉术语。
Ethan Robish: 尝试尽可能多的事情,找出您喜欢什么。但主要的是以有意义的方式为某事做贡献。不要只是不停地阅读而从不参与。以下是一些例子:编码黑客马拉松、编码比赛、夺旗比赛、开源开发、Google Summer of Code、漏洞赏金、CCDC、实习。在比赛中排名或做出有意义的编码贡献是简历上的好事情,因为它们展示了实践经验并且您擅长您所做的事情。
Jordan Drysdale: 学习编码,即使是简单的东西——查看CodeCademy。他们很棒。您的家人可能需要您的帮助。了解更好的密码、密码管理器、双因素认证。注意——意见来了:了解在线隐私,阅读电子前沿基金会。您的隐私很重要,保护它也很重要。买一本关于技术主题的书,而不是玩电子游戏或滚动——每天读30分钟。找一台旧电脑,学习如何在其上安装Linux(Linux Mint或Ubuntu很棒)。回顾您的个人数字生活,使您的密码更长,您的WiFi密钥可能需要更新。在您能的地方开启双因素认证。帮助您的家人做同样的事情。
准备好了解更多吗? 通过Antisyphon的实惠课程提升您的技能! 随付随付培训 提供直播/虚拟和点播选项