即使一个人意识到他或她对信息安全有热情,在该领域工作也可能是一项艰巨的任务。教育市场充斥着学位、证书和培训项目。与此同时,许多知名黑客公开嘲笑这些程序。虽然我已经谈了很多安全教育和培训,但我一直被要求为那些试图从学校或其他领域过渡到信息安全角色的人提供资源。我们的就业市场很健康,我们确实需要合格且积极的申请人。这些工作确实存在,但我们一再看到应聘者得到错误的建议。
在我的许多同事和朋友的大力帮助下,我努力编写了一个关于开始InfoSec职业生涯的综合博客。这是一个很长的博客,分为几个部分,可以作为部分或整体帮助人们。我们希望你在我们的领域取得成功。一如既往,请随时提问或留下评论/抱怨/建议。
第1章:基本原理
不幸的是,尽管互联网上到处都是没完没了的黑客工具教程和安全指南,但许多InfoSec求职者还没有掌握两个基本概念:
- 要破解某个东西(或防止它被破解),您必须对该东西的工作原理有一个坚实的理解。
而且,
- InfoSec不是一个一旦你下班或放学回家就可以放在盒子里的职业。你必须对这个领域有足够的热情,才能不断学习并意识到时事瞬息万变。如果你想在下午5:00回家后忘掉一份职业,InfoSec可能不是一个正确的选择。
InfoSec和黑客的真正有趣之处在于,他们是如何从各种IT主题的知识中汲取大量知识的。如果没有对网络端口、协议和体系结构的深入了解,很难理解攻击、恶意软件流量或入侵。同样,如果没有对操作系统体系结构、硬盘结构或编程基础的牢固理解,很难理解恶意软件或识别系统危害。
有一种误解,认为复杂的攻击者会使用大量的恶意软件和漏洞。事实并非如此。黑客越优秀,就越有可能利用现有的软件和工具来破坏网络。恶意软件带来了更多的检测和取证风险。使用对命令行和远程执行的良好理解在网络上横向移动是一个明智的选择。
如果你正在考虑在InfoSec工作,请根据你对计算机科学和网络概念的基本知识进行评估。如果你在其中一个方面很薄弱,考虑一些外部研究。仅仅遵循Metasploit或Ophcrack教程并不能教会你如何成为一名优秀的黑客。最终可能会了解Metasploit模块和通信的工作方式,或者Windows密码的存储和传递方式。(几乎所有人都认为,能够阅读pcap的候选人比能够执行msf控制台的候选人更有价值。)
关于第二个概念,在某些方面,作为一个领域,我们是自己成功的受害者。InfoSec的工作被宣传为高薪和前沿,因此毕业生和申请人数量激增。不幸的是,作为一名好的对于任何培训项目或学校来说,安全专业人员都是极其困难的。没有外界对学习更多、提高技能和研究时事的兴趣,入门级候选人往往技能极其薄弱。
我经常根据过去3-5年中常见(和记录在案)的恶意软件和技术,筛选出一些相对简单的问题,因为这往往比大学课程更新。简单地询问应聘者在自己的时间里在做什么来提高他们的安全知识也很受欢迎。通常,这个问题会导致沉默(考虑到可用的大量免费资源是一个致命的赠品,这个人可能不会成功)。稍后,我们将在本博客中讨论一些在家中提高InfoSec知识的廉价方法。
第二章:选择教育和认证
关于InfoSec中(昂贵的)大学学位价值的争论是一场持续而激烈的争论,而且可能会持续一段时间。我经常被问到,获得(助理、学士或硕士)学位是否有必要进入InfoSec。在美国,答案通常是否定的。正如我之前所讨论的,InfoSec采访者通常在选择入门级候选人时,最看重动机、批判性思维和自学。写一份简历是很有可能的,其中包括志愿工作、演讲和与该领域相关的个人项目,这些通常比学位更好地开始对话。
尽管如此,也有一些显著的例外。政府机构和大公司仍然倾向于高度重视学位,甚至可能拒绝放弃学位,将其作为招聘机构的一项要求。因此,如果没有学位,简历可能会被强制性的计算机化人力资源筛选所忽视。
其次,在这些类型的组织中,薪酬等级或晋升可能取决于是否有学位,因此,没有学位的入门级人员可能不得不去其他地方晋升。了解你求职地点的要求。
就我个人而言,当学位在经济上可行时,我通常会看好它。他们对一项任务表现出两年或两年以上的奉献精神,并对某一主题感兴趣。我还相信可信的大学会教学生阅读、展示和撰写报告等一般商业技能(所有这些技能都未得到重视,但在安全方面很有价值)。到目前为止,我还没有看到获得InfoSec学位有多大价值——我希望在一所可信的大学里,在历史课程中教授这些通用技能,比在营利性学位工厂或技术学校的InfoSec课程中教得更好。此外,正如我之前提到的,已经建立的IT项目,如计算机科学、计算机工程和网络工程,可以在通用技术方面带来很多好处。
认证是一个更棘手的问题,因为有太多的认证,根据申请人希望进入的利基领域,认证有不同的用途。我认为证书对于入门级候选人来说“很好拥有”——他们不太可能在招聘决策中打破平衡,但他们通常不要受伤。(有一个例外:由于就业要求和认证目的,我发现当没有经验的入门级申请人[以某种方式]获得了ISC2 CISSP®时,这是不合适的。该认证是为已经在该领域工作了若干年的人员而制定的,因此看起来有点欺骗性。)
更适合入门级候选人的是CompTIA Security+。它很便宜,而且有两个用途。首先是演示一些基本的安全术语和概念知识。更重要的是,它使候选人有资格表现8570以下政府承包工程要求。CompTIA Network+也是一个安全的选择,因为它显示了我们一直在讨论的一些基本网络知识。这两种认证都没有显示出对他们学科的深入了解,但它们是一个很好的入门选择。
我过去推荐过SANS/GIAC系列认证,因为我认为他们的培训和测试是最合法的。他们的证书是技术简历上最受尊重的证书之一。然而,他们的证书也极其昂贵,课程和书籍的费用高达数千美元,考试费用高达数百美元。有一些选项可以降低成本,比如社区产品或勤工俭学计划,但对于入门级的人来说,它们可能仍然遥不可及。如果你能很容易地负担得起SANS课程和GIAC认证,那么绝对要选择一个适用于你所在领域的课程(最好的一般选择是GSEC或GCIH)。如果你做不到,不要把它放在心上——等到雇主给你经济上的便利。
Offisive-Security提供OSCP认证和课程,这是InfoSec申请人的绝佳选择,他们希望走一条基于冒犯的道路(或者实际上,向InfoSec中的任何人暴露这些技术)。这是一个真实的实验室。课程和认证在大约1000美元,但可能比SANS课程的成本更现实。
我个人目前不建议入门级候选人获得EC-Council认证,除非他们对某个职位有特殊要求。
在我们稍后讨论具体角色时,我将建议一些具体的培训和认证。
第3章:InfoSec领域和利基
19年有一段时间第个在这个世纪里,“科学家”往往意味着通才&一个受人尊敬的科学家可能拥有生物、物理和化学方面的知识。随着这些领域变得越来越复杂,一个人越来越难以掌握一个广泛领域的所有研究和知识。今天,我们看到科学家专门从事非常利基的领域,每个领域都有自己丰富的研究。InfoSec非常相似。虽然在20世纪80年代,只有一名安全专家可以进行渗透测试、配置防火墙并调查违规行为,但现在这种情况要少见得多。有许多不同的领域构成了信息安全,对于任何InfoSec专业人员来说,一个重要的决定就是找出那些利基市场中的哪一个最适合。
我们首先要了解的是“红队”和“蓝队”之间的区别。虽然InfoSec的工作角色经常有一些重叠,但我们通常将其分为两大阵营——进攻(红色团队)和防守(蓝色团队)。你可能想知道为什么合法的“白帽”黑客需要攻击。考虑对组织进行专业渗透测试以生成其缺陷报告的人员,以及对漏洞进行研究的人员。这些都是“红队”的工作。
成为Blue Team InfoSec专业人士的道路通常与Red Team专业人士的路径有所不同。这并不是说这两个阵营进行交叉训练并不明智。如果不了解防务实践,很难实施良好的进攻,反之亦然。我们将在接下来的两章中讨论具体的红队和蓝队角色。
1基本原理
>2教育和认证
>3领域和利基
4个深蓝色团队职业
深入5个红队职业
6个自学选项
7达成工作]
[我强烈建议访问Daniel Miessler关于同一主题的博客,位于:https://danielmiessler.com/blog/build-successful-infosec-career/]