信息安全行业的门槛有多高?安全行业个人职业发展规划建议(四) - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

信息安全行业的门槛有多高?安全行业个人职业发展规划建议(四)

atp7bkil 资讯 2020-03-06 09:50:00
收藏

导语:我从事信息安全(现在很多人称之为网络安全)工作已经有20年了,而且大部分时间我也在写有关信息安全的文章。 所以我收到了大量的邮件询问以下问题。

我从事信息安全(现在很多人称之为网络安全)工作已经有20年了,而且大部分时间我也在写有关信息安全的文章。 所以我收到了大量的邮件询问以下问题:

如何才能进入信息安全行业?

所以这个系列文章就是我对这个问题的回答,我把这个问题的所有方面都集中在文章中。 这个系列文章会给你一些知识,让你从一个完全的新手,到找到你的第一份工作,最终到达行业的顶端。(建议你从第一篇开始阅读)

信息安全行业的门槛有多高?安全行业个人职业发展规划建议(一)

信息安全行业的们康有多高?安全行业个人职业发展规划建议(二)

信息安全行业的门槛有多高?安全行业个人职业发展规划建议(三)

了解工作

接下来你需要做的事情就是展示你确实能够胜任那些你可能会被要求去做的任务。 基于近20年的行业经验,我在这里列出了一些你可能需要完成的工作任务。

· 管理安全设备 / 服务: 首先需要做的事情之一是管理安全设备 / 云服务,如防火墙、 IPS 等。 了解这些设备的作用。 知道如何配置设备(你必须阅读说明书并观看视频教程)。 这些设备它集中记录日志,配置报表。

· 回答安全问卷: 这是每个安全团队都必须做的事情,而且这通常是一项苦差事,需要大量的技术知识、经验以及... 嗯... 创造性的能力。 如果你能够帮助团队,你已经在团队中占有一席之地了;

· 做产品评估: 管理层经常要求团队实施 X 类保护,无论是端点防御、云 WAF、欺骗技术、人工智能 SOC 增强等等。 你需要能够找到顶级供应商,创建一个评级系统,执行评估,然后根据你的研究和评估结果为管理层写出一份推荐信

有关这一关键技能的更多细节,请参阅这篇文章

· 编写简短的脚本: 在团队中有通常会有很多机会做这件事情,当你需要从某个地方提取数据,利用数据做一些事情,并得到结果进行叙述。 数据需要不断地被提取、修改和呈现。 拥有这种技能会给你带来巨大的优势

· 执行安全审计: 出于各种原因,你经常会被要求评估一个网站、一家我们即将收购的公司或其他任何东西的安全性。 你需要能够——作为一个非专家——粗略地看一看,然后迅速做出评估

这是一个简短的列表,如果我想到了更多的工作,我会继续添加到这个列表中。 但我觉得有趣的是,这个列表说明了为什么没有初级网络安全职位。 所有这些都需要重要的教育、培训、经验、智力,或者它们的某种结合。

如果你作为一个求职者能够在面试中证明你能够做到这些,你就更有可能被录用。

他们几乎都有一个共同点,那就是很强的写作技巧

掌握专业精神

好了,现在我们进入高级艺术领域。 这些东西将带你离开中等技术领域,进入领导者的层面。

专业精神就是你用来展示自己的包装。 在这方面的失败意味着你会被忽视。 以下是一些基本要素:

1.可靠性。不要做出你没有遵守的承诺。 不要错过会议。 早点来,不要迟到。 不要错过项目的截止日期。 承诺不足,兑现过度。

2.衣柜。为自己打造一个像样的衣橱。 把 T 恤扔了。 脱掉运动鞋。 给自己买一些高质量的牛仔裤(深色)和高质量的鞋子。 买一些体面的衬衫。 确保每件衣服都合身。 买几件夹克衫和你的牛仔裤搭配; 穿着带来的感受是指数级的,而不是乘数。 最后,在需要的时候至少要有一套好的西装。

3.说话简明扼要。语言沟通要清晰明了。 不要在某个点上停留太久。干净利落地把你想说的说完,这样对方就可以回复了

4.加强你的写作。学习并执行我在这篇文章里提到的。

5.学会表达。对很多人来说,公开演讲是一项艰巨的任务,但是如果你不能做演讲,你的进步就会受到严重的限制。 我向在这方面有任何有比较严重问题的人推荐参加 Toastmasters 演讲俱乐部,希望你能够走到人们面前

这些技能会放大你做的其他任何事情,你周围的人在任何时候都可悲地在这些领域中的一个或多个一窍不通。 做一个在所有这些方面都很强的人,你会在大多数情况下表现得很好。

了解业务

image.png

这是许多(大多数)技术人员所缺乏的一个发展面 ,这严重限制了他们参与一定水平以上对话的能力。

这里有一条基本规则: 对于企业来说,一切都归结为金钱。 钱进,钱出。 因此,你所做的所有风险程序、漏洞扫描、或新的0 day漏洞利用的工作——其价值都远远低于业务的重点领域。

企业希望量化风险,这样他们就可以决定应该花多少钱来降低风险。 你至少应该准备好考虑存在多少风险(以美元计) ,以各种方式减轻这种风险需要多少资金,以及仍然存在多少剩余风险(如果有的话)。

这是非常难做到的,而且你不想用一种错误的、伪科学的方式去做。 但是你需要认识到,每一个安全决策最终都是一个业务决策(因此也是金钱决策)。 这是信息安全人员的成熟标志。

有些人在某种程度上接受了这一点,并继续前进,而另一些人则完全拒绝这一点,并在余下的职业生涯中不断“搬工位”。

简而言之,尽可能地为事情准备数据,并且试着从风险和业务影响的角度考虑,而不是从具体的漏洞和其他细节的角度考虑。

有激情

到目前为止,我们一直在讨论切实可行的方案。 现在让我们来谈谈另外一个因素—— 也可以说是最重要的因素—— 一个人在这场游戏中处于顶峰,而另一个人在中间却逐渐淡出。

好奇心、兴趣和激情。

90% 的成功仅仅是获得10万次机会。 你只有表现出来才有机会。 通过启动那个虚拟机、 通过写出某个PoC、 通过写某篇博文、 而且你必须连续几年坚持这样做。

你可以用两种不同的方式来做这件事:

1.超乎人类的自律使你能够坚持下去

2.一种深深的、与生俱来的激情迫使你这样做

没有多少人能把第一条保持很长时间。 

大多数在信息安全部门工作多年的人,那些成功的人,之所以能够取得成功,是因为他们的动力来自于内心的强大动力。 因为他们一旦尝试去做安全,就不会停止工作。

他们深夜还在写一个工具或者一个博客文章,不是因为这是计划行事,而是因为他们身体上不能做其他的事情。

理想情况下,希望在信息安全领域获得成功的人应该有很强的自律能力。 这很重要。 这是值得尊敬的。

但是,如果你真的想要茁壮成长,并且不想怀着一颗冰冷的心,你应该被激情所牵引,而不是被自律所推动。

成为大师

image.png 

好了,现在你已经完成了这一切。 你有大量的经验,你已经30多岁,40多岁,或者50多岁,一切看起来都很好。 最高层是什么样子的? 哪些顶级信息安全人员能够做到而其他人做不到?

首先,他们通常有我们已经讨论过的所有东西。 但是有其他的维度使这些人与众不同。 包括:

1.金融知识。能够处理预算,了解创业融资,做出购买决策等等。

2.管理经验。管理项目和管理人员是两件截然不同的事情,这一层的人都擅长这两件事。

3.一个广泛的人脉网络。在信息安全和业务领域中,在这一层次的许多人都明白这一点。

4.着装,礼仪。这张桌子上的玩家在着装、礼仪方面都有了很大的提升,他们可以享受到更精致的休闲活动,比如高尔夫、滑雪、划船等。

高等教育。拥有这一层次的硕士学位是一个好主意。 这并不重要,但许多顶级职位的确将大学学位视为一个复选框资格。

6.精通媒体。受过培训,能够与媒体就各种话题进行交流。

7.技术&商业两不误。这个级别的人可以走进开发人员的房间,帮助他们,也可以与财富50强的客户打电话聊聊,向董事会更新关键问题,然后接收一个媒体采访。 了解不同的受众和他们每个人的需求是关键。

8.创造力。那些走到这一步的人被期望以一种有规律的节奏提出新的想法和解决问题的方法。 在这个层次上,仅仅执行给定的内容是不够的。你必须有创新的能力。

扭转面试

高级安全人员在看到和做了很多行业内的事情之后,还经常会做一些其他的事情:

他们开始更多地考虑如何改变世界,而不是公司给予他们什么。

所以,他们不会问401K 计划,或者假期,或者薪水,他们更倾向于问在组织中他们能得到多少支持来做他们认为需要做的事情。 或者,他们将开始只接受那些他们认为可以直接以有形的方式影响安全的工作。

最优秀的招聘候选人正在进行对话,而不是准备各种面试。

基本上,在一定程度的经验和成功之后,一小部分安全专业人士会认为(几乎)没有什么能让他们愿意在一家摧毁灵魂的公司工作。 到那个时候,他们只会选择那些他们认为能带来实际变化的工作。

不是每个人都能在他们的职业生涯中达到这一点,也不是每个人都应该这样做。 但这是一个重要的区别: 他们是否仍在努力从他们效力的公司获得更多,或者他们已经转变为更关心他们对行业的影响?

总结

我希望这个资源能够帮助人们进入或通过网络/信息安全职业的各个层次。

这确实算得上是一段旅程,但很值得。

其他说明

1.一定要看看莱斯利·卡哈特lesley carhart (@hacks4pancakes)写的与本文内容相关文章。她给出了一些指导,在信息安全领域,你可以选择不同的职业道路。强烈推荐!

2.如果你有任何关于改进我在本文的观点的反馈,请让我知道,在 Twitter 联系我或在文章下面直接评论,如果你有任何关于如何通过“职业迷宫”的具体问题,请随时直接与我联系

3.记住,你在职业生涯中走得越远,任何教育或证书就越不重要。 一切都变成了你已经做了什么,这就是它应该是什么样子

4.感谢我的朋友 jason haddix 阅读了本文的这个最新版本。

5.专注于自己对行业的影响的能力也需要一定程度的自信和影响力,而这种自信和影响力很少有人具备,反之这个人只会感觉自己像一个不可能影响改变的小齿轮。 这是只有有经验和成功的人才会做出这种转变的另一个原因:他们是唯一相信自己可以做出改变的人。

关于作者

丹尼尔 · 米斯勒(Daniel Miessler)是一位网络安全专家,著有《真正的物联网》一书,在加利福尼亚州旧金山工作。 他专长于 RECON/OSINT,应用和物联网安全,以及安全程序设计,他有20年的经验帮助公司从早期创业到成为全球100。 丹尼尔目前在湾区一家领先的科技公司工作,领导 OWASP 物联网安全项目可以找到关于安全、技术和人类的交叉作品。 他还是非监督学习播客和时事通讯的创始人和主持人。

本文翻译自:https://danielmiessler.com/blog/build-successful-infosec-career/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论