信息安全职业:FAQ(第二部分)
如果您错过了第一部分,可以在这里查看:www.blackhillsinfosec.com/a-career-in-information-security-faq-part-1/
让我们直接跳回问答环节!
4) 您大学时修过哪些对职业生涯有持久影响的课程?
Kent Ickler: 人力资本管理课程对我的职业生涯影响最持久。但在这方面我可能属于少数。人力资本管理涉及人类知识、人力资源以及将薪酬服务与能够完成工作的人匹配。拥有这种背景的安全分析师可以帮助您发现由于知识/技能差距而成为最薄弱环节的漏洞。投资于人力资本管理的企业通常会以某种方式覆盖其IT资产,确保合适的眼睛在合适的时间查看合适的地方,并为这些眼睛疲劳时制定连续性计划。
Beau Bullock: 道德黑客是我大学时修过的主要课程,对我的职业生涯有“持久影响”。我修过的任何编程课程也有影响,但日常工作中,我更多使用从实际经验中学到的东西,而不是大学课程教给我的。就高质量教育课程而言,我强烈推荐SANS课程。我修过的每一门SANS课程都充满了信息,我能够每天利用。
Brian BB King: 哲学105:逻辑与推理。这门课涵盖了形式和非形式逻辑:三段论、谬误等。我选修它是为了好玩,但它让我扎实地理解了如何构建论点以及如何识别认知偏见和有缺陷的推理。当我将重点转向计算机时,我发现布尔逻辑和真值表非常熟悉。
Derrick Rauch: 编程是我最有益的课程之一。不,我不是说只修编程课程(除非那是您想要的领域)。我这么说是因为它教授了应用程序工作原理的基础知识以及设计流程,这有助于关联到可能的漏洞发现,并为系统化故障排除/跳出框框思考提供基础。
Craig Vincent: 我们有一门叫做“计算中的法律与伦理问题”的课程。我几乎每天都在使用那门课的概念和想法。
Kelsey Bellew: 真的没有。我大学时甚至没有修过安全课程。
Ethan Robish: 计算机科学的基础相当普遍,掌握它们很好:离散数学、数据结构、算法。了解几种编程语言很有用。网络知识至关重要,但可以自学,操作系统基础知识有时也很有用。
Jordan Drysdale: 项目管理。Microsoft Office训练营。Java基础。金融,我仍然携带一个能计算时间价值的计算器。市场营销——理解人口统计学。宏观经济学——我现在在每个情况下都采取宏观视角。HTML。西班牙语!!!我无法强调这一点,也没有提到我在HP获得机会的唯一原因是因为我能够用半功能的西班牙语接电话。严肃地说,这门课程以及与墨西哥人的日常建设为我进入IT铺平了道路。不是开玩笑。回顾过去,我会投资更多计算机科学。
5) 您刚开始时不知道或没有考虑的职业生涯方面有哪些?
Kent Ickler: 我的职业生涯是一条曲折的道路,所有行业领域都以某种方式专注于IT。五年前我不知道我现在会做这个,但我享受我做的工作,并且能够(并有动力)回馈社区是惊人的。
Beau Bullock: 刚开始时,我没有真正考虑过会花多少时间做报告。我每周花很多时间打开Microsoft Word为客户写报告。这是最重要的部分,因为它是交付给支付您公司让您工作的人的可交付成果。所以,如果您有兴趣进入渗透测试或红队,请注意这不全是黑客攻击。您将花很多时间打字报告。
Brian BB King: 我以为这是一个纯粹的技术领域。它不是。学会写好。您可以边走边学很多技术技能,但您永远不会像在学校那样有机会学习如何使用语言。抓住每一个机会练习写作。
Derrick Rauch: 我没有考虑过我必须投入这么多时间进行继续教育,然而这对我来说是一把双刃剑,因为我热爱学习!
Craig Vincent: 刚开始时,我没有意识到我的技术工作与我工作的公司和组织的业务/运营方面如此紧密地耦合。我发现从“业务角度”考虑我的角色使我更有价值。它最终也使我的工作更容易和更愉快。
Kelsey Bellew: 我必须经常与人打交道。任何时候我想到技术工作,我以为意味着在某个黑暗的远程洞穴里,如果您与任何人互动,那将是洞穴里的其他人。在安全领域,这完全不真实,我认为无论您进入哪个分支都不重要。本质上,这是一份非常社交的工作。如果您想走得更远,您必须非常擅长清楚地解释事件和您自己的观点。
Ethan Robish: 在与John进行那通关键电话之前,我不知道入侵东西是一份合法的工作。之后,我认为最让我惊讶的是企业文化如何影响整体安全。一般来说,安全最差的地方是那些A)不想要我们在那里 B)被合规、客户或其他部门强迫考虑安全 C)有领地意识,并对我们和公司内其他IT相关部门采取防御或攻击态度的地方。
Jordan Drysdale: 我从未想象过我的生活会是现在这样。不可能有比我每天做的事情与现实世界发生的事情更紧密的联系。SANS SEC504 – 黑客技术与事件处理 – 这门课是我们每天做的事情,也是防御者如今面临的挑战。每天都有违规事件。我们拼命尝试教育、帮助人们、企业和任何愿意倾听的人。但是,尝试退后一步更直接地回答这个问题……我们都期望出去,得到一份很棒的工作,热爱我们的生活。斗争是真实的。在HP的大型企业环境中工作超级艰难,压力越来越大。五年后,我辞职了,右眼抽搐,生活压力大。当然,钱很好,但很难。
6) 我现在应该花时间做什么(校外)来为这个领域的职业生涯做准备?
Kent Ickler: 观看所有BHIS的网络直播,并在Twitter上关注我们的团队!周围有很多IT安全资源。参加夺旗挑战!启动一个本地聚会讨论IT安全、IT问题,或者只是离开学校一小时。网络在IT安全中非常重要,因为领域如此广泛,不可能在所有方面都是专家。
Beau Bullock: 尽可能多地学习网络基础知识。在我看来,在深入安全方面之前对网络有理解非常重要。这是一个来自Microsoft的七小时课程,有八个模块和八个非常短的评估,可能是一个好的起点。https://mva.microsoft.com/en-us/training-courses/networking-fundamentals-8249
学习Linux命令行。它是我们在渗透测试中使用的主要操作系统之一,因此了解它和如何使用命令行将非常有益。我们在安全中做的几乎所有事情都是从命令行驱动的。这里有两个关于Linux和命令行的免费课程。第二个将引导您设置Virtual Box和Linux虚拟机,然后向您展示一些命令行基础。https://www.codecademy.com/learn/learn-the-command-line https://www.udacity.com/course/linux-command-line-basics–ud595
在渗透测试中,我们经常攻击其他计算机系统。一个非常流行的工具叫做Metasploit。有一个来自Offensive Security的免费课程介绍它,叫做Metasploit Unleashed,值得查看 – https://www.offensive-security.com/metasploit-unleashed/。从这里下载易受攻击的虚拟机Metasploitable two:http://downloads.metasploit.com/data/metasploitable/metasploitable-linux-2.0.0.zip 并用Metasploit攻击它。
对于学习Web应用程序安全,首选标准是DVWA(Damn Vulnerable Web App)。设置它并进行一些练习。一个很好的更多易受攻击虚拟机列表可以在这个SANS海报上找到:http://counterhack.net/Poster_PenTest_2015.pdf
最后,我强烈推荐找一些夺旗比赛参加。那些将挑战您所知道的,并迫使您学习新事物。Google有一个现在已经结束但挑战仍然存在的:https://capturetheflag.withgoogle.com。大多数“Security BSides”活动都有它们,我真的很喜欢NYU Poly的CSAW CTF,但还有很多其他。此外,SANS每年都会举办假日黑客挑战,所以您现在可以做前一年的挑战。它们很史诗,很有趣。
Brian BB King: 学习事物如何工作,以及如何修复它们。通过“事物”,我指的是物理物品。更换厨房水龙头。换掉旧的灯具。拆开割草机并重新组装。
培养一个不涉及计算机的爱好或兴趣。演奏音乐。在一个不涉及数字电路的乐器上。参加休闲运动。上烹饪课。建一个书架。找到一些您享受做的事情,使用与计算机不同的部分大脑。寻找一些您不能坐在椅子在桌子上做的事情!培养一项您可以因为自己的原因感到好的技能。
Derrick Rauch: 获得实践经验。在帮助台或计算机销售处找一份工作,或者根据时间做一些按项目计的兼职,以获得人们需求的广泛概述以及这个行业可以覆盖的内容。这也有助于建立社交互动技能以及实践经验。即使您的工作愿望更倾向于编程或安全,这样的良好基础总是有帮助的。
Craig Vincent: 去大会和人交谈。去您当地的聚会和人交谈。听播客。读博客。上Twitter关注那些做您想做的事情的人。在家玩您感兴趣的东西。
Matt Toussain: 为开源项目做贡献,提出并用代码解决挑战,构建和管理大量不同的系统。黑客破坏和制造东西,渗透测试员也这样做。在您能做任一项之前,您需要了解系统/应用程序如何工作。制作一个WordPress博客,使用Drupal,找一个旧的Cisco交换机并玩转它。引用《侏罗纪公园》:“这是一个Unix系统。我知道这个!”。您能说这个的事情越多,您准备得越好。如果您能向雇主展示这一点,您将永远不会找不到工作。
Kelsey Bellew: 如果您还没有,去学习一种编码语言(我推荐Python)。在您的个人计算机上安装并运行WireShark,只是查看不同的连接。在您的浏览器中安装像Wappalyzer这样的东西,以查看不同网站上运行的服务,如果只是为了熟悉术语。
Ethan Robish: 尝试尽可能多的事情,找出您享受什么。但主要的是以有意义的方式为某事做贡献。不要只是不停地阅读而不参与。这里有一些例子:编码黑客马拉松、编码比赛、夺旗比赛、开源开发、Google Summer of Code、漏洞赏金、CCDC、实习。在比赛中排名或做出有意义的编码贡献是简历上的好事,因为它们显示实践经验并且您擅长您做的事情。
Jordan Drysdale: 学习编码,即使是简单的东西 – 查看CodeCademy。他们很棒。您的家人可能需要您的帮助。学习更好的密码、密码管理器、双因素。注意 – 意见在前:学习在线隐私,阅读电子前沿基金会。您的隐私很重要,保护它也很重要。买一本关于技术主题的书,而不是玩视频游戏或滚动 – 每天读它30分钟。找一台旧计算机,学习如何在其上安装Linux(Linux Mint或Ubuntu很棒)。回顾您的个人数字生活,使您的密码更长,您的WiFi密钥可能需要更新。在您能的地方开启双因素。帮助您的家人做同样的事情。
准备好学习更多?
通过Antisyphon的实惠课程提升您的技能!
Pay-Forward-What-You-Can培训
可用现场/虚拟和点播