我从事信息安全(现在很多人称之为网络安全)工作已经有20年了,而且大部分时间我也在写有关信息安全的文章。 所以我收到了大量的邮件询问以下问题:
如何才能进入信息安全行业?
所以这个系列文章就是我对这个问题的回答,我把这个问题的所有方面都集中在文章中。 这个系列文章会给你一些知识,让你从一个完全的新手,到找到你的第一份工作,最终到达行业的顶端。(建议你从第一篇开始阅读)
信息安全行业的门槛有多高?安全行业个人职业发展规划建议(一)
信息安全行业的们康有多高?安全行业个人职业发展规划建议(二)
安全会议
会议是这个行业做一些事情的一种方式:
1.看看有什么正在进行的新研究
2.与住得很远的其他安全同行朋友的联系
3.与其他人分享你的想法和研究成果
第一,你真的没必要去参加会议。 大多数演讲——尤其是那些真正好的演讲——都会在演讲结束后立即发布,所以你可以直接从网站上下载。
不过,这对第二点没有帮助,大多数在信息安全领域工作了10年的资深人士都是去参加会议,看望他们的朋友。 这些会谈基本上是作为这样做的一个背景,而不是中心部分——特别是因为他们可以在网上进行会谈。
但是对于新手来说,实地演讲是了解信息安全文化的一个非常宝贵的途径。 以下是我建议考虑的一些方法:
如果你刚刚开始入行,你绝对应该至少参加一次 DEFCON。
在 DEFCON 之前,每年都是 BlackHat,虽然有点公司化(而且昂贵) ,但是对于新人来说还是不错的。
这个领域的老手们开始越来越多地避免这种情况,取而代之的是一些小型会议,他们有着老式的 DEFCON 的感觉,比如高质量的交流,一个更小的场所,以便于与其他参与者进行更亲密的讨论,以及... ... 嗯,只是人数更少了。
其中包括:
· DerbyCon
· ShmooCon
· ThotCon
· CactusCon
· HouSecCon
还有其他一些。
我最喜欢的会议类型是类似于 TED 的单轨会议,专注于提出想法,而不仅仅是打破常规的新方法。 当然,我们需要突破性的内容,但是我们也需要听到更多关于整体概念的内容,以及如何实际解决问题。
例如,我特别迷恋 ENIGMA。 在我看来,单轨模式是正确的选择。
除了这些传统类型的会议之外,你还应该在本地注册你的 OWASP chapter。 从参加会议开始,把一切都吸收进去,然后主动提出帮忙,然后——当你准备好的时候——要求自己做一个演讲。
你也想在你所在的地区做同样的事情。 在任何特定领域,BSides 基本上是主要会议的替代品。 最大的一个在拉斯维加斯,与 BlackHat/DEFCON 事件相对应。
会议底线:
1.从你所在的地方开始,参与会议,一旦你准备好了,就试着自己去做演讲
2.如果你从来没有参加过会议,那么你应该至少参加一次 DEFCON
3.大多数人认为,像 DerbyCon 和 ShmooCon 这样规模较小但很受欢迎的会议“更好” ,但这是一个基于受欢迎程度和独特性的随时间变化的滑动条
4.记住,这样做的主要好处就是在信息安全环境中建立人际网络和与你的朋友见面
作出贡献
另一个提升你职业生涯的好方法是利用你的技能来帮助各种项目。
这通常是使用你的编程技能来完成的,关键是找到与你的兴趣和工作相匹配的东西。
一个作为开始的好方法就是简单地注意,你所使用和喜欢的工具,如果它们有任何突出的错误或问题。 联系工具的创建者并询问是否可以提供帮助。
Github 非常适合这种类型的交互,因为你可以通过提交代码修复一些东西,如果他们喜欢的话,他们可以把这些东西带到项目中。
嘿,我很喜欢你的这个项目,关于如何解决这个问题我有一个想法。 我可以把我提出的解决方案通过代码实现,然后给你发一个pull request吗??
99% 的项目负责人会全力以赴,很可能在致谢表里会提到你。
· 这对你来说是个很好的练习
· 它有助于改进工具
· 你要帮助项目负责人
· 你会成为一个活跃的程序员
即使你不是以技术的方式来帮助项目,也有各种各样的方法来帮助项目。 你可以帮助组织输入,创建文档,宣传项目等等。 找到你关心的事情,帮助它们变得更好。
不要追求荣誉或认可。让它与结果有关,让其他一切都自然而然地发生。
对 CFP 的反应
与掌握会议现场密切相关的是在那些会议上发言。 为了做到这一点,你必须熟悉议题征集(CFP)的游戏。
如果你访问任何一个会议网站,你可能会看到一个演讲者或 CFP 的链接,在这里你可以找到如何进行提交的说明。 你也可以订阅会议的电子邮件列表,并在CFP打开时得到通知。
基本上,会议是在谈话中进行的。因此,每年,在活动开始前的几个月,会议将开放他们的 CFP,或议题征集,这是人们提交演讲的方式。
之所以称之为议题征集,是因为整个概念来自于学术空间。 在这种情况下,就是一群博士生或研究生向一个专门会议(比如秘鲁蝴蝶交配研讨会)提交实际的学术论文,这些论文高度专业化,充满了引用,不太可能引起他们狭窄领域之外的任何人的兴趣。
信息安全借用了这个概念,但是规则要宽松得多。 首先,在大多数情况下,人们不会提交学术风格的论文。 他们会提交议题、 演示文稿、 幻灯片。
以下是你需要提交的一些东西:
1.一个很不错的标题: 会议有大量的演讲,标题如果一般的话,很难引起人们的注意。 所以你必须有一个精炼的标题。 类似于简明扼要的描述性的东西。 举一个例子,“从WTF到CTF:如何在不到两年的时间里成为一股信息安全的自然力量。” 这可能会让一些人坐到座位上听你讲。
2.正确的摘要: 摘要(同样来自学术界)是你将要谈论的内容的基本概括。 你需要真正做到这一点,因为摘要(结合标题)会决定审查委员是否接受你。 根据会议的具体情况,这个段落应该是1-5个段落。 一定要有以下内容: 对想法或概念的基本描述,将涵盖哪些内容的例子,以及人们将从中得到什么。 请务必提及是否有任何演示或讲义。 会议就喜欢这些。
3.更深入的描述: 有些会议要求你提供更详细的演讲描述。 各个章节是什么。 演示将涵盖的内容。 等等。 如果你要向需要这些内容的会议提交文件,你应该有这些东西,但是在大多数情况下,你可以用一个相对好的描述性的摘要来应付;
4.你的简历: 你总是需要一份简历。 你手边准备好一份。 请参阅下面的章节。 你可能需要提供一些简历。 一个真正正式的,严肃地谈论你自己,大量地提到你的工作。 或许还有一些更有趣、更轻松的东西,可以用于更专业或更黑客式的会议;
5.一个头像: 你经常需要一张你自己的照片来发送演讲稿。 确保有一些不错的照片,这样你就可以根据你要演讲的会议类型定制它。 照片对 RSA 或某些政府会议来说可能与 DEFCON 或 Shmoocon 不同;
演讲者需要准备好的东西
我建议你创建一个文档,包含以下所有内容:
· 个人资料
· 照片
· 演讲(每个人都有这个)
- 标题
- 摘要
- 描述
将这些文件存储在某个地方,以便你可以根据需要快速复制和粘贴到各种会议的 CFP 表单中。 错过 CFP 真的很糟糕,因为你不能很快地把信息组织起来。
把这些东西准备好。 全年都会很多会议举行,这意味着一旦你参加了会议,你可能每个季度至少会提交一些议题。
找到你的第一份工作
正如我在这篇文章中提到的,在信息安全 / 网络安全领域,有一件奇怪的事情正在发生。 招聘的人认为没有合适的候选人,而那些想进入这个领域的人认为没有合适的工作。 他们都是对的。
人们对这个悖论相当困惑,但事实证明,答案非常简单: 没有初级职位,只有中级和高级职位。
入门级的职位在网络安全领域并不存在
为了在团队中发挥作用,你必须在第一天就变得有用,这需要你把以下三点结合起来:
1.计算机科学或信息安全相关专业的学位
2.一套很好的资质认证证书,证明你掌握的知识类似于学位
3.一系列实际的、有形的项目工作,表明你可以真正做到要求你在工作中做的事情
对于大多数阅读这篇文章的人来说,第一条目前对你来说不是一个由你选择的事情(否则你已经有了一个职位)。 所以你很可能需要第二和第三条的组合。
请参阅本文中关于资质证书部分。
对于实际的工作,你需要一个博客、一个 GitHub 帐户、一个 Twitter 帐户,最重要的是,你需要找到或创建你关心的项目,并围绕它们实际生成代码。
这是我的一个项目的例子,有人可以用最低限度的编程技巧实现。
你不必是一个全栈的开发人员,但是你需要能够编程。 你必须有能力创造事物。 也许它是自动化的工作流程。 也许是正在创造一个新的工具。 也许是一个已经过时的工具的更好版本。
无论是什么——只要走出去创造,就对了!
本文翻译自:https://danielmiessler.com/blog/build-successful-infosec-career/如若转载,请注明原文地址