如何进入信息安全领域
亲爱的BHIS:
我是你们的忠实粉丝!我学习了John的SANS504 OnDemand课程后豁然开朗。现在该怎么办?我想进入安全领域(或许是因为我想折磨自己),但该如何迈出下一步?如何进入信息安全行业?另外,你们在招聘吗?
——受折磨的人
亲爱的受折磨者:
抱歉,我们目前没有招聘计划,但让我们回到你问题的核心。
信息安全是一个相对较新的领域,我们都在不断探索——这简直就是狂野西部,充满可能性、危险和疯狂!但你的方向是对的,请继续自我教育。学位和认证固然重要,但这个行业有大量免费且易获取的教育资源。
如果你非常认真想进入信息安全领域,去找一份蓝队(防御团队)的工作。尝试加入小型公司,这样你可能获得更多实践机会和发言权。(1)为小型企业做IT工作可能看似倒退,但这里的安全最薄弱,你可能会发现自己懂的东西比想象中多。没有什么比有一个试验场更能让你将理论付诸实践,并理解需要修复的问题。如果在大型机构,你可能无法进入决策角色。这段经历会为你积累宝贵知识。如果你职业生涯中某天成为渗透测试员,蓝队经验对你(和雇主)将是无价之宝。这里可能是学习“网络技术”的好地方——所有通信的基础,如果不理解TCP/IP/UDP以及交换、路由、ACL和套接字的基础,就无法进行黑客攻击。学习蓝队时,要弄清楚如何破坏自己的工作,然后再修复它。
以下是我们认为有用的一些博客和其他资源:
- John的经典文章《信息安全基础与基本原理》www.blackhillsinfosec.com/?p=4663
- Derek讨论的一些通用理念《发展黑客功夫(或如何进入信息安全)》www.blackhillsinfosec.com/?p=4655
这里有一整套信息安全入门博客文章列表:room362.com/start/
如果更喜欢视频,我们网站有大量我们完成的网络研讨会和会议演讲。观看它们并注册我们的网络研讨会。
偷听John与人交谈时,他的要点是:“学习用Python编码,在某个地方使用Linux,摆弄sed和awk。”
到处都有BSides会议!这些是更小型、亲密的场所,可以听到并结识志同道合的信息安全人士。如果有时间,去做志愿者。你会觉得自己像个菜鸟,每个人都是这样。参加几次后,提交一个演讲,然后再提交另一个。
你也可以开一个Twitter账号并积极参与。Twitter是你塑造的平台。如果明确为了学习更多信息安全知识而建立,保持专注,不要陷入其他兴趣。关注安全行业的人,注意动态。这是构建自己威胁情报源最好且最便宜的方式。(2)找一个你喜欢的人,查看他们的列表,这是开始了解信息安全领域人物和事件的好方法。看看Ethan Robish的列表。
我们生活在一个人们可以实际参与并从事他们所说想做的职业行为的时代。你想进入信息安全?不要等待别人雇佣你,或为你实现梦想——开始自己构建它们。
随时告诉我们进展,祝你在所有未来努力中好运!
致以爱意,
黑山信息安全
我们在写这份回复时看到了这条推文,完全同意!twitter.com/highmeh/sta… 谢谢,@highmeh
是的!@0daySimpson
Steve Campbell 评论(2017年7月26日下午2:46):
好建议!我想补充一点,一个不错的家庭实验室和博客很重要。当我从系统管理员/工程师转型到信息安全时,每次面试都被问及家庭实验室,每次被雇佣时,他们都提到我的博客很好地展示了我工作中或家庭实验室所做的工作。我坐在面试桌两边,每次面试入门级信息安全职位时,我们会偏爱那些能谈论他们在家庭实验室做的信息安全相关事情并展现热情的人。如果你在博客中讨论家庭实验室练习,那就更好了。
BHIS 回复(2017年7月31日上午10:27):
好建议!展现热情和个人投入的人有很大优势!
