渗透测试职业转型指南:从入门到精通

本文详细介绍了如何成功转型为渗透测试工程师的三个关键阶段,包括技能准备、求职执行和入职生存,为有志于进入网络安全领域的人士提供实用指导。

获得立足点:转型渗透测试职业生涯

渗透测试是一个令人兴奋的职业领域,具有众多预期的增长机会。然而,转型进入这个领域可能会令人生畏——特别是当你之前的技能和能力与具体的职位描述不完全匹配时。但通过适当的准备和规划,成功转型为渗透测试员是可能的。

这篇博客文章将职业转型过程分解为3个阶段:准备申请、进行转变,以及获得就业后的前6个月生存指南。我将在整个过程中提供技巧、建议和推荐。

第一阶段 – 准备(> 3个月)

第一阶段从你决定成为渗透测试员开始,这个阶段的长度可能会有很大差异。这是因为你之前的工作经验、技术能力以及可用于准备活动的时间都会影响完成这个阶段目标所需的时间。虽然你可能希望尽早开始,但我建议你最迟在打算开始申请渗透测试职位前3个月开始这个阶段。

创建技能清单

在这个阶段,你应该完成3个关键目标。第一个是完成技能清单。简单来说,这是一份专业经验、教育和技能的列表。这个技能清单是确定你应该集中精力在哪些方面获得成为渗透测试员所需技能和知识的重要步骤。你可以通过3个步骤完成技能清单:

  1. 确定渗透测试所需的技能和知识。你可以从职位发布、导师推荐或互联网研究中找到这些信息。下面的图1和图2改编自Phillip L. Wylie和Kim Crawley的《The Pentester BluePrint: Starting a Career as an Ethical Hacker》,这是我在转型为渗透测试员时参考的书籍。

  2. 对你当前的技能和知识进行自我评估。一旦你编制了在渗透测试中取得成功所需的技术和软技能列表,请给自己在每个技能上的表现打分。评分系统可以简单(即基础、中级和高级)或复杂,取决于你的偏好。最重要的是设计一个你能理解的评分系统。

  3. 确定你的优势和需要改进的领域。完成自我评估将使你很好地了解需要发展的技能,但也应该提供你在以前的工作或经验中发展的优势的见解。记下这些优势,并将你的笔记保存到第二阶段。

图1:示例技术技能清单

图2:示例软技能清单

认证和技能培训

完成技能清单并了解自己的技能和知识差距后,你就可以着手准备阶段的第二个目标——发展你所缺乏的任何技能。渗透测试员的培训资源已经变得更加广泛。无论你喜欢书籍、YouTube视频还是正式培训课程,都有多种选择可帮助你发展必要的技能。我编制了一份由我和我的同事使用的推荐资源列表,以帮助你入门。

在你的学习过程中的某个时刻,你应该参加一门课程以追求渗透测试认证。雇主通常重视拥有认证的申请人。这是因为与许多其他IT认证不同,渗透测试认证通常包括实际的动手组件,以验证你能否成功枚举和攻击易受攻击的主机。根据你的个人偏好和职业目标,你可以追求任何常见且被接受的认证。

为了发展你所缺乏的任何技能,你还应该积累一些使用你在理论和实践中学到的工具、技术和程序(TTPs)的经验。这些知识将帮助向潜在雇主证明,你不仅学习了对手“做什么”的必要材料,而且还对攻击方法和对手“如何”追求其目标有了更深入的理解。许多培训平台举办“夺旗”练习,用户可以在其中安全地攻击易受攻击的机器以发展技能和积累经验。这些平台中的大多数都有免费和付费层级,并提供灵活的学习选项。我建议订阅一个或多个培训平台,并完成各种挑战类型,以广泛了解对手和渗透测试员利用的各种攻击方法和技术。记录在每个平台上解决的挑战数量,因为这将在第二阶段有所帮助。

品牌发展

准备阶段的最终目标是完善你的个人品牌。如果你是从非IT职业领域转型,那么你的个人品牌和社交媒体形象可能适合你当前的职业领域。为了协助转型,塑造你的品牌以展示你对网络安全的兴趣并在该领域建立网络联系非常重要。

完善你的个人品牌需要努力,但你可以通过关注3个方面来实现这一点。首先,你需要扩展你当前的专业网络,以包括网络安全专业人员和渗透测试员。建立网络可能会让人感到害怕。但幸运的是,我们许多在渗透测试领域的人都曾处于这种转型位置,并渴望帮助他人开辟道路。如果你表明你的意图,很多人会非常愿意联系并协助你的旅程。有意义地扩展你的网络的一些好方法包括参加行业会议、加入在线群组和留言板,以及在社交媒体上与个人联系。理想情况下,你可以与渗透测试员发展导师关系,并至少有一个值得信赖的顾问来讨论你的培训和认证计划。

最后,你将想要精心设计你的个人叙事。这包括创建和练习你的“电梯演讲”,以及从你以前的工作经验中发展2-3个故事,你可以用这些故事来展示你对该领域的兴趣。这些故事不必过于复杂。但它们可以帮助你策划社交媒体信息,并在扩展专业网络时创建破冰讨论。

第二阶段 – 执行(约3个月到接受录用)

执行阶段大约在你期望的开始日期前3个月开始,并持续到你接受雇佣录用为止。这个阶段的主要活动包括重塑你的简历、申请职位以及与潜在雇主进行面试。

简历修订

第一步是重新构建你的简历以吸引潜在雇主。如果你正在追求职业转型,那么你可能已经有一份适合你当前领域的强大简历。你的目标是双重的。首先,突出你在技能清单中确定的你已经具备的渗透测试所需技能。对我来说,这主要包括我在以前的职业道路上发展的软技能,如沟通、协作和时间管理。这些技能是你对潜在雇主的价值主张,它们将使你与尚未有机会发展和完善这些技能的应届大学毕业生区分开来。其次,提供你在第一阶段进行的培训、认证和经验积累的详细信息。一旦你觉得你的简历准备好了,将其发送给一位导师——最好是在网络安全领域——以获得反馈。这将有助于确保你准确传达了上述项目,捕捉到任何错误,并深入了解潜在的招聘经理将如何解读你的简历。

工作申请

准备好简历后,你就可以申请职位了。你应该在期望的开始日期前大约8周开始申请。这降低了招聘经理因为你可用日期太远而忽略你的可能性,并为招聘过程的展开留出充足时间。为你提交的每个申请定制你的简历非常重要。首先仔细审查职位列表——识别特定的关键词、技术和所需技能。然后你可以修改你的简历,以突出你与每个特定角色最相关的技能和经验。这将帮助你的申请在申请跟踪系统中脱颖而出,并增加你被邀请面试的机会。

面试

第二阶段的最后一项活动是面试期望的职位。作为具有重要以前工作经验的人,这是你将自己与入门级申请人区分开来的机会。面试时,你应该诚实而谦逊地对待你的技术能力。务必讨论可转移的技能,以及你以前的工作和生活经验将如何证明对你申请的职位有益。面试是分享你在完善个人品牌时发展的故事的好时机。最后,在每次面试前花些时间准备。大多数技术工作将需要几轮面试。你应该知道谁将面试你,并相应准备。提前计划对常见面试问题的回答也很重要。

第三阶段 - 生存(作为渗透测试员的前6个月)

你向渗透测试的转型并不止于你在这个领域开始第一份工作。要确保你作为渗透测试员的成功,需要大量的自我反思、改变和成长。以下是你前6个月应该做和避免的建议:

应该做

  • 从你的领导那里获得关于工作期望的明确指导
  • 为你自己的专业发展设定目标
  • 利用从以前经验中获得的优势
  • 分享你的经验(当受欢迎时!)
  • 学习,学习,再学习
  • 寻找填补连接差距的方法

不应该做

  • 不要活在过去——你的经验很有价值,但你的角色已经改变
  • 不要期望特殊待遇
  • 不要轻视你可以学习新事物的内容或来源
  • 不要默默承受痛苦
  • 不要设定不切实际的期望,无论是为你自己还是为晋升

转型到新的职业是一段需要奉献和毅力的旅程。渗透测试是一个动态且回报丰厚的领域,具有重要的职业机会,使其成为第二职业的绝佳选择。通过遵循本文概述的3个阶段,你可以为成功和有益的渗透测试员职业铺平道路。祝(符合道德的!)黑客愉快!

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次