我从事信息安全(通常也被称为网络安全)工作将近 20 年了。其中的大部分时间,我也一直在撰写关于信息安全的文章。所以,我收到一大批邮件询问:
我要怎么做才能入门信息安全领域?
本文,就是我对这个问题的回答,涉及的方方面面,都会在本文作解答。我将带领你从一个信息安全领域的新手,到找到你的第一份安全行业工作,直至到达行业的巅峰。
这也是我一路来的亲身经历。
一起来吧!
1 教育
信息安全是一门高级学科,意味着入行之前,你最好有一定的技术基础。这并不是必须的,但这是很普遍、合理的条件。信息安全行业的从业人员主要来自这 3 个领域:
- 系统管理
- 网络通信行业
- 编程开发
上面列出的 3 点,只是转行从事信息安全行业的最大的几个输出行业领域,并不是最佳。最佳选择,第一是,开发;其次,系统管理;接着是网络通信。
不过,我们假设,你没有丝毫这几个行业从业背景,你完全是从 0 开始。
你需要从头学起,主要有三种途径:
- 大学教育
- 职业技术学校
- 认证培训
最佳选择,是接受正规大学 4 年的计算机科学/计算机信息系统/计算机技术专业教育。不过,在读大学的这几年里,本文提到的其他事情也要同时进行。
在大学里,你需要学习什么内容,很大程度上取决于课程内容以及你与其他人的互动。
多折腾,和一群志同道合的人一起倒腾,是大学真正的价值。
当然,也有许多去大学学 CS(计算机科学) 或信息安全专业的,但是却在工作中了无成就;另外有些人,没在大学专业学习过,却达到了业界顶尖水平。大学不是万能的。
如果你没法去大学,那么你需要换一种方式。例如,技术学校或者认证培训。
所有这些,都是为了培养你的好奇心和自我约束力,能达到行业入门水平。
无论是通过大学教育,技术学校学习还是自学、认证培训,这些基础知识,你都必须掌握:
- 网络(TCP/IP、交换、路由、其他网络协议等等)
- 系统(Windows、Linux、AD活动目录、安全加固等等)
- 编程(程序设计、脚本、面向对象基础)
数据库技术——系统与编程的交叉学科,也包含在内。
如果你在上述三个领域的基础都欠佳,没有一些擅长的技术,那么,要度过信息安全职业的前期阶段将会很困难。这里的关键点在于,在游戏中不要有大的失误操作,也即这三个领域,哪个方面的技术都不能太差。关于认证培训学习,我在后面会详细讨论。我在上文提到认证培训,主要原因就一个——你可以用认证学习的书籍作为你的学习辅导书。这些培训材料,通常都很注重基础知识。这是一些例子:
- A+
- Security+
- Linux+
- CCNA
这些认证培训,提供了很好的书籍资料(只需 Google 一下就就能找到最好的),能够让你对基础知识点有一个快速的认识。这是一个快速构建知识体系的好方法。
1.1 编程
编程,实在很有必要单独拿出来谈谈。
如果你不好好培养,那么你的编程能力将严重限制你的职业成长。
你可以获得一份无需编程的工作,甚至还是一份相当不错的工作。而且,你还可能提拔成为为管理层。但是,如果你不能自己编写网页,工具,PoC 等等,那么你将永远无法跻身信息安全的顶尖行列。
如果你不会编码,你将永远依赖于那些会的人。
学会编码!
1.2 输入源
对信息安全专业人士来说,最重要的事情之一是,有一系列资讯、文章、工具等获取渠道。
传统的方法是,根据安全从业者者的细分行业,如网络安全,应用安全,OPSE,OSINT,政府安全等等,收集这个行业的重点资讯。
随着网络的发展,Twitter 逐渐取代传统的资讯网站。主要原因在于数据的新鲜度。Twitter 是实时的,这是它相对于传统媒体的优势。Twitter 允许你创建(和订阅)列表。因此,如果你的用户名为 @daniemiessler,你可以在后面追加 /list/listname 。这样,你就可以接收到这个列表中用户的推文。
我建议可以用这两个渠道获取资讯:
- RSS 订阅
关注 Twitter 上那些可以使你接触到新的想法,新的学习方法,以及新知识的人。同时,找到他们其他的信息发布源,在 RSS 中订阅。RSS 订阅器推荐 Feedly for RSS 。
2 拥有自己的实验室
实验环境是必不可少的。在招聘面试中,这通常是我问的第一件事情。我通常问他们的实验环境或是他们实验的网络环境。如果他们回答说没有实验环境,我只能感谢他花费时间前来面试。
实验环境是学习的重要场所,是运行你的项目的地方,也是技术成长的地方。
实验环境的配置有以下几种:
- 安装 VMware(或其他类似软件)的笔记本电脑或台式机
- 安装 VMware(或其他类似软件)的专用笔记本电脑或台式机
- 装有 VMware (或其他类似软件)的真正服务器
- 在线 VPS (EC2,Linode,Digital Ocean,LightSail 等等)
我建议,如果资金充裕,可以 #3 和 #4 搭配使用,优先配备 #3 。在这种实验条件下,你可以做这些事情:
- 构建活动目录资源林。
- 从活动目录运行你自己的 DNS。
- 从活动目录运行你自己的 DHCP。
- 划分不同的网络区域,包括 DMZ 区(如果服务器需向外部提供服务)。
- 尽快配备防火墙。我推荐使用 Sophos 的防火墙,因为我从一开始就使用他们的产品。不过,也有其他基于 iptables 和包过滤的产品。配置这些要求你学会路由和 NAT 以及所有相关的基础知识,这些都将是你技术成长的关键。
- 用 Windows/IIS 搭建网站。
- 用 Linux/PHP 搭建网站。
- 用 Linux/Wordpress 搭建博客。
- 安装好随时能使用的 Kali linux 系统。
- 构建 OpenBSD 盒子以及用 DJDNS 创建 DNS 服务器。
- 搭建代理服务器。
- 在 VPS 上部署自用 VPN
- 用Postfix,Qmail 或是 Sendmail(推荐 Postfix )构建部署可向互联网发送邮件的邮件服务器
这几点中的一些专业名词你可能需要去网上搜索一下。就当作是个简单的练习吧!
上述这些仅仅是基础。这些年来,绝大多数信安领域的发烧友,对列表中的操作重复了几十乃至几百次。
实验环境的优势是,你有地方可以进行试验。你从你的获取的资讯中听到了一些新的东西,你可以马上在你的实验环境里,验证一下。这是培养安全思维的无价之宝。
现在,列表中的服务都部署运行起来了,你可以开始专注于你自己的项目。
3 打造你自己的项目
这里,是书本知识止步之处,也是创新开始之处。
你应该一直忙于项目中。作为一个初学者,或即使是高级从业人员,当别人问起你“你现在在做什么项目?”而你只能回答“没有项目”,这是非常不应该的。除非你正好是在项目间隙的休息阶段。
同时,当你在学习过程中,不用担心别人早已做出了一些成果。创造是一件很有趣的事情,你想适应从概念到用代码编程实现给兴奋激动。你应该培养的关键技能是,定位问题的能力。
然后:
- 1)提出解决方法;
- 2)创建解决问题的工具。
项目展示出来的是你能真正应用知识解决问题,而不是仅仅知道知识。
不要关注你拥有的项目数量多少,项目数量没什么实际意义。反过来,你应该紧紧盯着有趣的安全问题,想法和项目自然而然随之而来。
在写作领域,有句话常常听到“展现出来,而不是讲出来”。项目就是展示你的能力,掌握知识只是说说而已。
4 赏金项目练手
现在,你有了实验环境,掌握了一些牢靠的技能,以及在做一些项目。你可能想实打实地干一场,不妨试试“漏洞赏金”项目。
这么做的原因,可以总结为:快速获取实际经验。这往往也是招聘要求中首要的一条。因此,除了编码经验(你自己的项目),通过漏洞赏金项目,你还将获得测试的经验。
有两个主要的漏洞赏金平台:BugCrowd 和 HackerOne 。相较于其他平台,这两个无论是项目数量还是平台成熟度,都远远优于其他。
参与流程为:在网站注册账号,寻找你感兴趣的漏洞项目,然后投入进去挖洞。有一些东西必须牢记于心:
- 仔细阅读每个项目的规则和限制。避免与平台或是金主产生冲突。
- 赏金项目类型各异。一些付费项目需要详细地审查、分析。其他的更多的是一些荣誉项目,对初学者来说,这些才是更好的练习项目。
- 我强烈推荐 Jason Haddix 的 Web 漏洞挖掘课程。学会他的挖洞手法,是最快开始挖洞的路径。
我们是世界是如此的差异万千,有着一系列的规则和一些独一无二的规定你必须学。因此,对规则保持敬畏之心,你将更高效同时少犯错。
对于在 GitHub 编码和参与漏洞赏金项目,都是为了帮助你获得一份工作或获得一份你感兴趣领域的工作,增长专业经验。这是展示能力的实际行动,而非口头空谈。
保持 GitHub 活跃,赏金平台个人页面扼要介绍你发现的硬核漏洞,将会把你和那些纯理论的人,远远地区分开。也将助力你轻松地获得你第一个位置或者在你尚未涉足的领域获得新位置。
5 展示自我
到目前为止,你已经完成了不少项目;是时候让人们通过你的品牌平台了解你做的一切。是的,你应该打造一个自己的品牌。如果你想,保持低调也是可以的,只是业界已然满是自负之徒,你确实需要一个平台来展示自己。
如果你是一个内向的人,或者觉得讨论自己完成的工作纯粹是自吹自擂,停止这种想法。这并不是一个崇尚谦逊品格的行业。为了达到行业的中等水平,你要学会如何推销自己以及自己的工作。
内向和(虚假的)谦逊是没用的。把工作做好,同时也要乐于讨论所做的工作。不过,注意是以分享合作的角度而不是傲慢炫耀的角度与别人探讨。
5.1 网站
首先,你需要一个网站。一些人称为 博客 的网站,就很好。关键在于,你需要一个展示你自己的地方。你需要有 about 页面,联系信息,列出你的项目等等。另外,如果你写博客,那么发布到这里就对了。
你要清楚,你的域名和网站就是你的个人中心,因此理想条件下你需要一个可以持续使用的好的域名。firstnamelastname.com 或许很不错,不过很多人都没法这样做,因为他们的名字相当的常见。还有其他选择,不过一定要仔细考虑。这个域名或许会伴随你一生。正如我前面说的,一定要选择一个好的,这是你的品牌,至关重要。
你应该把博客和你所有的项目放置在你的个人网站上,然后从这里分发出去。
应该尽量避免在其他媒体平台(如 Medium ,Blogger )写太多内容。当然,避免在 Facebook 发布内容,除了随想或是互动。如果你在个人网站外的其他平台上创造了一些有意思的东西,把它做成完整的内容,放到你的个人网站上。
5.2 Twitter
Twitter 同样如此,需要好好处理。理想情况下, firstnamelastname ,如果没法这样,那就选一个好的替代昵称。同样的,这也是永久的个人基础设施,因此不要把它设置为 @L33tH4x0rs97 .这会越来越缺乏吸引力。
一旦你准备好后 ,那么你就可以开始跟踪一些话题。在信息安全领域,有许多优秀的列表,可供大家关注 。选一个列表开始关注,后续逐渐调整。
积极参加对话讨论。别强迫自己。对于知识能力范围之外的,不要过分扩展。不过,你认为有需要补充的,那么自信地说出来便是。无需在意你只有 3 个关注者,而别人有 10000 个。Twitter 上能力最重要。
开始玩推特最好的方式是,对别人推文中你喜欢的能容回推。当你的越来越能增加价值,你可以开始替换回推推文为你自己的原创内容。
别把推特上的内容当真。twitter 上许多 top 话题 90% 以上的时间都是在闲聊。
其他的只是发布一些原始消息。做好你自己就行,慢慢来。
5.3 社交媒体
对于其他数不清的社交媒体,一个最大的你应该关注的就是 Linkedln 。注册一个账号,维护好个人信息,保持更新。只是用这个平台来与那些你认识的人或是你有过一些互动的人保持连接。随意添加好友只会稀释人际网络的效力,不仅仅对于你,对方也是如此。
往往很容易就在社交媒体上花费太多精力。保持克制。专注于你的网站和 Twitter ,偶尔逛一下 Linkedln 就行了。
同时记住——所有东西都应该起始于你的个人网站。创作你的内容,通过 Twitter,Facebook,Linkedln 以及你在使用的其他平台分发出去。所有这些其他平台,都只应该是你的分发渠道。
6 认证
我收到了众多关于信息安全认证的问题,主要有两种:
- 信息安全认证真的有价值吗 ?
- 我应该考哪一个认证 ?
对于这个问题,我要给大家一个好消息:我有答案!
是的,认证很重要。跟大学学位一样,跟经验一样,跟所有人们认为重要的东西一样重要。
事物的价值在于,人们赋予它的价值。
认证本身并没有实际价值。它的确切价值在于人们认可的价值。如果雇主在一份你想获取的工作面试中要求认证资质,那么认证就很重要了。如果你想去的工作对丝毫不关心认证资质,那么认证便没有价值。就是这么简单的道理。
但是对于初学者来说,认证的确很重要。
6.1 考哪个认证 ?
我们按照能力水平分下类:
初级认证:
如果你刚刚入门,我推荐你考虑下面这些认证:
- A+
- Network+
- Linux+
- Security+
在这种情况下,除了对刚入门的初学者,我并不是说这些认证有多么大的价值,他们真正的价值在于学习。
正如我在前面教育章节提到的,认证培训往往会提供许多优秀的学习资料。因此,如果你获取了上面 4 门的认证,那么你已经有了相当的基础理解。
高级认证:
我喜欢这样描述信息安全认证:你需要 CISSP ,你需要审计证书(CISA/CISM),你还需要一个技术证书(SANs)等等:
- CISSP ,任何想从事安全行业的人员
- CISA/CISM ,任何与安全相关的管理者
- SANS (GSEC/GPEN/GWAPT),安全技术岗位人员
- OSCP,渗透测试从业人员
一旦你在信息安全行业从业达到 4 年,你就应该取得 CISSP 认证。这是这个行业的不成文标准基线。在许多组织机构中,这个证书的含金量远远超过计算机科学学位的含金量(因为很多人在大学什么都没有学到)。
下一步,你可能想涉足安全审计——信息安全中极其重要的一部分。你需要取得 CISA 或 CISM 证书。最后,你想获取一个或多个更技术性的认证。我建议从 GSEC 开始,这一个相当技术相当全面的认证。以这为基础,你可以根据个人喜好,进入GCIA 或 GPEN 或是GWAPT 。
OSCP 和 CREST 是渗透测试者中最受尊敬的认证,因此,如果你对渗透感兴趣,不妨从这些认证入手。
最后是 CEH 认证。这只是有时候人们问到的认证,因此,最好把它拿到手。只是千万别随便吹嘘,尤其是在那些富有经验的安全人员面前。
7 网上互动
不要忘了,你是可以并行地做这些不同的事情的。
好吧!到目前为止,我们已经接受教育,我们有自己的实验环境,我们也在进行自己的项目,我们正在运营自己的网站和 Twitter ,我们正蓄势待发。
Cool!
现在,你需要走出去,参与到一些话题的探讨中。再次说明,你可以也应用从一开始就这么做;不过,你之前没有这么干,现在就应该开始这么做。
观察访问你博客的人,观察 Twitter 寻找有趣的互动。接近这些人。不妨与他们聊聊,去他们将出现的地方,与他们一对一交流。去 Vegas (拉斯维加斯)参加 Blackhat 和 DEFCON 周。与参加活动的众多安全从业者讨论。
7.1 寻找导师
这个话题,几乎应该单独写一章,但是我只是在这里简单说下。找一个行为、处事风格你喜欢/佩服的人,请求他来指导你。给他发邮件,给他打电话。不过在这之前,你必须做好功课,好好研究研究这个人。
为了你将来的导师能给你一个最好的响应,最好清楚的展示,你已经做了大量前期功课。
让他们尽可能容易地帮你,这样你也更不容易被拒绝。在信息安全行业,我见到的事情是,人们极其愿意帮助那些迫切渴望成长的初入行的人。
7.2 充当助手
主动承担他们的脏活累活。编写脚本,编辑博客文章,帮助筛选数据等等。这些事情多少都会有点帮助,无论是帮助你直接进入面试或是与你将来的工作产生某种联结。
8 研讨会
研讨会是业界常见的活动:
- 展示最新在进行的研究
- 与那些住得很远的信息安全领域朋友同步进度
- 向别人展示你自己的想法,主意和研究
对于第一点,你完全没必要去会议现场。大多数讨论,尤其是那些优秀的话题,往往即可就在网上公开了,所以关注他们网站的更新就好了。
对于第二点,网络就无能为力了。尽管,对于大多数从业超过 10 年的资深安全人员来说,他们参加大会往往是去见他们的老朋友。会议上探讨的话题基本上只是顺路听听而已,而非核心——尤其是他们可以线上观看相关讨论。
不过对于新手来说,这种业界举行的大会将会是学习安全文化的非常宝贵的途径。以下是我的一些个人建议:
如果你只是刚开始走出去,你应该至少去一次 DEFCON 。
在 DEFCON 之前,是一年一度的 Blackhat ,一个更加合作化的大会(更贵),不过依然有相当多的人参会。
只是越来越多业内的资深人士开始退出这些会议,取而代之的是参加小型的研讨会——更像以前的 DEFCON ,例如,更高质量的探讨,更小的会场,允许与参会人员更密切的交流……等等。总之,就是人少。
列举一些:
- DerbyCon
- ShmooCon
- ThotCon
- CactusCon
- HouSecCon
……以及其他一些。
我新的最喜爱的研讨形式是 TED 类似的单线讨论——专注于展示想法,而不是新的破坏事物是方法。可以肯定的是,我们的确需要那些如何攻击的内容,但是我们同样也需要倾听更全面、更完整的内容以及如何去修复这些问题。
我尤其迷恋上了 ENIGMA。 除了这些传统的讨论形式,你应该注册本地的 OWASP 分会 。从参加会议开始,深入参与其中,然后提供志愿服务来帮助别人。之后,当你准备好了后,可以请求给你一个发起讨论的机会。
研讨会的底线:
- 从本地开始,从参与开始,一旦准备好,就试着你自己做演讲。
- 如果此前你从未参加过研讨会,你应该最好去参加一次 DEFCON 。
- 当前,小型但受欢迎的会议如 DerbyCon ,ShmooCon 通常被认为更好的。不过,随着时间的推移,是否还能保持之前的受欢迎度和独特性就很难说了。
- 不要忘记了,参加会议活动的主要出发点还是在于与信安圈子的朋友见面。
9 做出贡献
另外一个好的增强你职业生涯的途径是,用你的技能为众多项目提供帮助。
这通常通过你的编程技能树来实现,关键在于找到与你兴趣和工作相关的事物。你不应该强迫自己进入这一阶段。做那些自然而然到来的。
一个好的开头是,只需稍稍注意,你日常使用的工具,如果它们有一些显著的 bug 或问题。向工具的创造者指出来,同时询问是否可以向他们提供帮助。
GitHub 的 pull request 功能,让人可以很轻易地进行这种互动。
Hey there, I love the project and I have an idea how to fix this issue. Could I code up my proposed solution and send you a pull request?
99% 的项目 leader 会很欣喜地接受你的 PR ,很有可能会把你加入贡献者名单里面。
- 对你来说,这是一次非常好的练习。
- 改进了工具质量。
- 帮助了项目 leader 解决问题。
- 你成为活跃开发者,名字留存在于项目中。
尽管你不是提供技术层面的帮助,还有许多其他途径可以为项目做贡献。你可以帮助组织输入,创建文档,发布关于项目的消息等等。找到你关心的事情,帮助把他们做得更好。
不要报着 credit 或者博取别人认可的心态去。关注你的产出,所有其他的一切都顺其自然。
10 响应 CFP
与会议活动最相关,莫过于在大会上做演讲了。因此,为了达到这个目的,你必须熟悉 CFP(Call For Papers) 。
当你访问任意一个会议网站,你基本上都会看到一个演讲者的链接,或者是 CFP 。这是你可以找到如何提交论文的地方。你也可以订阅大会的邮件列表,以便在 CFP 开放的第一时间得到通知。
基本上来说,大会集中在演讲上。优秀的演讲内容,优秀的演讲者。这是任何大型活动的命脉。因此,每年,大会开始前的几个月,会议主办方会开放他们的 CFP 入口或者公开征集 paper——人们提交的关于演讲的想法。
被称为“call for papers”,是因为它整个的内容都是来源于学术领域。在学术界,它的含义是一群 Ph.D. 或研究生向某个特定的学术会议(例如,Peruvian Butterfly Mating Symposium)提交学术报告。这是相当专业,包括各种引用文献,这个狭窄领域之外的任何人都不会对这些有兴趣。
信息安全界借用了这个概念,不过规则宽松得多了。首先,绝大多数情况下人们并不是提交学术样式的论文。他们提交的是演讲,渗透测试,幻灯片。
下面是提交必备的条件:
- 出色的标题。会议往往会进行成千上万场演讲,要吸引观众的注意力很难。因此,你需要一个精炼的标题,简略而概括。举个例子,“From WTF to CTF: How to Become an InfoSec Force of Nature in Less Than 2 Years.”这个标题很有可能会打动座位上的一些人。
- 高度抽象。抽象(又一个源自学术界的名词),即对你将演讲的内容做一个基本的概括。你需要真正掌握这点,因为这是(以及前述的标题)是大会复核委员会判断是否接受你的演讲的重要依据。根据大会的不同,通常这个概括应该在 1 -5 小段内。确认包含以下要素:对你的想法/内容的做一个基本概括,列举将讲述的内容,人们将从本次讲演中收获的东西。如果有 demo 或讲义,一定记得要提出来,参会人员喜欢这些。
- 深度描述:有些大会要求你提供演讲的更详细的描述。各个小节的内容,demo 的覆盖范围等等。如果给需要这些材料的大会提交申请,你得确保有这些材料。不过,大多数情况下,通过一个相当描述性的抽象就可以搞定。
- 你的个人简介。你经常会用到个人简介,你应该随时都能拿得出。参见 下文。你可能有各种经历。一份真实、正式的简历应当是关于你自己的严肃的介绍,与你工作高度关联的。或许,可以适当增加一些有趣的、轻松的内容,而不是技术性的或hackerish 。
- 你的头像。你经常需要给演讲大会寄一张你自己的照片。确保你有不止一张照片,这样针对不同类型的大会,你可以定制化以便契合你的演讲主题。显然,RSA 大会的头像与一些政府组织的大会不同,与 DEFCON 或 Shmoocon 又不一样。
10.1 演讲者必备
我建议你准备一个包含下述内容的演讲者头衔:
- 个人简历
- 头像
- 演讲
- 标题
- 摘要
- 概述
把这个保存到你随时可以复制粘贴到许多大会要求的 CFP 表格中。如果只是因为材料准备的不够快而错过 CFP ,那是相当令人咋舌的。保存好材料开始吧。大会全年都有,意味着一旦你开始,每季度你可以申请好几个 conference 。
11 你的第一份工作
正如我在 这篇文章中说的,在信息安全/网络安全行业,有一个很奇怪的现象。雇主认为没有一个候选人合适;但那些想进入这个领域的人却觉得没有合适工作。从他们自身的角度来看,也都合理。
对这一矛盾,人们常常感到相当困惑。不过,这却揭示出了一个极其简单的道理:信息安全行业没有初级,除了中级就是高级水平。
入门级水平位置,在信息安全领域是不存在的。
为了能在团队中发挥作用,你必须从第一天起就能干活——这意味着你必须具备以下几点:
- CS(计算机科学)学位或与信息安全相关的学位。
- 与学位相关的知识认证。
- 一批实际的、真实的项目工作,证实你能胜任当前的工作
对于大多数读到文章这个位置的读者,第一项显然无需再操心。因此,你最需要考虑的是如何融合第二点和第三点。
对于资质认证这一块,可以参考本文 认证 这一节。
对于实际工作,你需要一个博客,一个 GitHub 账号,twitter 账号。最重要的是,你需要找到或创建你感兴趣的项目,实实在在地写代码。
举我自己的项目来说,只要最少的编程技能就能实现。
并不要求你成为一个全栈开发者,但是你必须会编程。你必须有能力创造一些东西。或许是一个自动化流程,或许是开发一个新的工具,或许是为过时的工具开发更新版本。
一句话,动起手来,作出点成果。
11.1 认识你的工作
接下来你需要做的是,体现你对即将安排的工作的技术熟练度。基于我 20 余年的从业经验,我把一些工作列一下:
- 安全管理。你需要做的第一件事是,管理一套安全设备或系统,例如防火墙,IPS 等等。掌握这些设备/系统是怎么工作的。学会如何配置(可能需要阅读操作手册和观看视频)。开启日志记录,定时输出报告,以便观察设备的防护效果和价值。
- 安全咨询响应。这是每个安全团队必须做的事情。这也是一件脏活,需要足够的技术能力,经验,其他能力……还有创造力。如果你能在这个层面为团队提供一些帮助,那么,你将在团队中占有一席之地。
- 产品评估。管理部门经常要求安全团队实现某种保护,无论是终端防护,云 WAF,欺骗技术,AI SOC 扩张等等。你应该有能力筛选出最优秀的产品,从构建评分体系,进行评估,基于你的研究向管理部门输出你的建议和评估。
对于该项能力,更详细的内容可参考另一篇文章。
- 快速编写脚本。在团队中,经常需要你从别处采集数据,分析处理,输出结果。数据通常需要经过采集,清洗分类,展示。掌握了这项能力,将会是你的一大优势。
- 安全审计。由于种种原因,你将会经常为要求评估一个网站,一家公司的安全水平。你需要以一个非专家角色,粗略地看一下所有东西,然后迅速作出评估。
这只是一个简短的列表,当我想到了其他更多的我会持续添加进来。不过,我发现这个列表的有趣之处在于,它很好地解释了为什么没有初级信息安全从业人员的位置。所有这些工作,都需要良好地教育,训练,经验,智力亦或是这几项的结合。
如果在面试中,你展示出你可以做这些,那么你被雇佣的可能性将大大提高。
所有以上这些都需要一个共同的技能——良好的写作能力。
12 专业素质
好了,现在我们到了高级阶段。这一阶段,将带你从中级技术区域到专家级。
专业素质是你展示你自己的包装。
把你的专业能力包装展示出来,便是专业素质。如果不懂得这些,即使你的有世界级的内容,也会直接忽视。
- 可靠。别轻易做出无法兑现的承诺。不要开会迟到,提前到,而不是晚点到。别错过项目的最后期限。少承诺,多兑现。
- 衣柜。在你的衣柜上投入相当的资源。T-shirt,运动鞋,这些都该丢了。购置一些质量好的 jeans (深色)和鞋子。购置一些套装,确保合适得体。多买几件夹克,搭配你的 jeans 。最后,确保在需要的情况下至少有一套合适的套装。
- 言简意赅。说话清晰,利落。别几点内容杂糅在一起。把要点分开来陈述,以便别人回复。
- 加强写作能力。参考这里。
- 学会展示自己。公开演讲是大多数人的拦路虎。但是,如果你不能展示自己,你将严重地被你进步的程度所限制。
这些技巧将放大其他你所做的一切,同时,你周围也将存在众多始终不具备这一项/几项技能的人。成为在这些方面都极其优秀的人,那么在任何场合下你都将游刃有余。
13 理解业务
这是许多(大多数?)技术人员所缺乏的一个发展方面,它严重限制了他们参加一定水平以上对话的能力。
这是基本规则:对于商业来说,所有事情都是围绕金钱,收入,支出。因此,你全部的工作是:与存在风险的应用程序,漏洞扫描或是新的 0-day 漏洞利用。所有这些,都离不开业务本身。
业务要求量化风险,以便决定如何折中(付出多大的代价,修复漏洞)。你应该评估风险将造成的损失,缓解风险所需付出的代价,以及残留的风险。
这相当难处理,你不愿意以错误,伪科学的方式评估。同时你也要清醒地认识到,每个安全决策最终也是商业决策。这是信息安全人员成熟的标志。
一些人接受了这一观点,不断提升。其他人彻底地反对这一观点,把他们剩余的职业生涯都花费到牌桌上了。
总之,可能的话,尽量对每件事心里有底。试着从安全风险和商业这两个对立的角度思考。
14 激情
到现在为止,我们已经讨论了这些实实在在的。现在我们来谈点别的——最有争议的地方—— top 级选手与半道退出的人的区别。
好奇心,兴趣,热情。
90% 的成功的人,只是 100000 次尝试后的结果。一次次地展示,一次次地在 VM 调试,一次次的 PoC,一篇篇的博客,数年间持续不间断地积累。
你可以以下面两种方式做:
- 极其的自律,使得你去做
- 发自内在的激情,驱使你去做
没有多少人可以长时间保持第一个条件。 它是空心的,空虚的。 自我约束力是有限的,但它们通常会耗尽并转移到其他对象上。高级人士往往是靠激情驱动。
那些在安全行业待了很多年的资深人士,获得成功是因为发自内心深处的力量。即便退休了,他们也不会停止研究安全。
他们熬夜写工具或博客文章,不是因为时间计划,仅仅是因为除了这个时间段,他们已无空闲。
理想条件下,想要在信息安全领域取得一定成就,必须要有一定的自律。这很重要,值得尊敬。你也需要保证一定程度的自律。
但是,你真的想要得到茁壮成长,必须要有足够的激情。你应该是发自内心的激情驱动,而不是自律。
15 成为专家
OK,到现在为止,你已完成所有的内容。你学到了许许多多的经验,你也从三十几,到四十几,五十几,一切顺利。最顶尖的安全水平是怎么样的 ?有什么是顶尖安全专家能做而其他人做不了的 ?
首先,他们拥有所有我们前面谈到的特质。不过,另外一些方面使他们与众不同:
- 财务知识。处理预算,理解 startup financing (创始资金期),制定采购决定的能力。
- 管理经验。项目管理与人员管理是完全不同的两个事。处于这个级别的人这两项管理都十分擅长。
- 广泛的人际网络。许多处于这一级别的安全专家与安全界和商业界的 major player 的都熟识。
- 着装/礼仪。这个级别的专家衣着、行为举止、礼仪都相当有范,也更倾向于高端休闲活动,例如,高尔夫,滑冰,划船等等。
- 高等教育。拥有硕士学历会很不错。这并不是必须的,但是很多高级等级确实对要求大学学位有要求。
- 懂得媒体。对媒体的各种议题应对自如。
- 技术/商务融合。这个级别的专家,既能指导技术工作,又能协调商务事宜。理解不同的客户以及每位客户的需求是关键。
- 创造力。对于常规的问题,要能提出新的想法和解决方式。不能是仅仅能执行已经提供的解决办法,还要创新。
反向应聘
在业界待过一段时间,做了相当多事情后,顶尖的安全人员往往会开始思考其他问题:
他们开始更多地思考他们可以如何改造世界,而忽视公司可以给他们带来什么。
因此,他们不是要求 401k,度假,或是薪水,而是,他们在组织里面做他认为需要做的事情能得到多大的支持。或者,他们选择去那些能够以实际方式,直接影响行业的地方工作。
对于他们来说,这已然不是雇主面试他们了。
大体上来说,有了一定水平的经验和成功,一小部分安全专家觉得原来令人倾心的公司已没有什么值得留在那儿工作。因此,他们只会选择他们觉得能产生实际影响的工作。
并不是每个人在他的职业生涯中都能达到这个阶段,也并不是每个人都需要到达这种水平。但是,这是一个很重要的区别:他们是为了从工作的公司获得更多?还是他们转变为更多地关心他们对行业的影响 ?
————————————————————————————–
欢迎关注小号:闲话操作系统
来源:freebuf.com 2020-09-17 20:25:59 by: S2ealea
请登录后发表评论
注册