Мисли на завършил: Как да започнем в информационната сигурност и киберсигурността

Информационната сигурност (Infosec) и киберсигурността в момента са гореща тема. Бях безброй хора да ме питат как да започна, какви сертификати трябва да получат, какво трябва да правят, колко харчат и т.н.

Целта на тази статия е да ви предостави редица съвети, за да се оборудвате, за да започнете работа в индустрията за информационна сигурност.

Забележки:

  • Това е дълга статия. Можете да прескачате заглавните точки, ако искате, но това ми отне часове писане и години на обучение, препоръчвам ви да отделите 10–15 минути, за да го прочета.
  • Ще визирам инфосек, тъй като киберсигурността е компонент от него.
  • Не бях в индустрията твърде дълго, но помогнах и напътствах безброй други чрез нея.
  • Нямам всички отговори и все още съм на собствено учебно пътуване.
  • Не съм професионален писател.
  • Това е съветът, който бих искал да ми бъде казан, но научих по трудния начин.
  • Моите възгледи са мои собствени и не отразяват моите работодатели.
  • Попитах други за техните съвети, които са допринесли за тази статия. Можете да видите пълната тема тук.
  • Ако имате въпроси, не се колебайте да ме попитате в Twitter.

# 01 - Всъщност трябва да го искате

Покажете своята страст! Покажете колко искате!

Infosec е конкурентно поле. Завършването на степен / сертификат или просто познаването на нещо или две не е достатъчно. Живеете и дишате инфосек. Той трябва да запали огън в теб, не искаш да млъкваш за това и да вбесяваш приятелите и семейството си по това.

Когато търсите работа, човекът, който ви интервюира, ясно ще види страстта във вас. Ако се опитвате да влезете в индустрията, защото е в светлината на прожекторите или сте чули, че плаща добри пари ... вие сте на неправилното място.

Страстта играе ключова роля в индустрията. Това, че е енциклопедия за свирещ взрив, хакер или ходеща енциклопедия. Но ако не притежавате страст, шофиране и мислене, трудно ще се намери работа. Вашата страст и парашутно инженерно мислене са това, което работодателят търси. Не ги интересува, че не знаеш 8 езика или всяка функция на AWS, а по-скоро как се справяш със ситуация и как се адаптираш към нея.

# 02 - Просто започнете!

Не се нуждаете от стелажен сървър у дома с 2TB RAM или перфектният лаптоп или този стикер, който всеки има, или 1000 долара кредит в облачни изчисления. Не се оправдавайте!

  • Не знаете идеалната стратегия? Просто започнете да опитвате! Дори да грешите, ще се поучите от грешките си.
  • Не знаете отговора на въпрос? Започнете да изследвате за него, преди да потърсите помощ от други
  • Не вземайте преки пътища: Това не работи в тази индустрия, макар и много примамливо при първото стартиране.
  • Нямате финанси? В момента има огромно количество безплатни ресурси. Изброих няколко по-долу в статията.
  • Нямате време? Направете го приоритет и изградете микро навик на инфосек, дори и да четете 1 статия на ден.
Няма един начин да се кожи котка и няма начин да започне. Вяра обобщава това доста по-долу.

# 03 - Бъдете най-глупавия човек в стаята

Винаги се стремете да бъдете най-глупавия човек в стаята. Когато прочетох „Егото е врагът“, чух цитат, който промени начина, по който мисля.

- Знаеш ли тайната на истинския учен? Във всеки мъж има нещо, в което мога да науча за него; и в това съм негов ученик. ” - Ралф Уолдо Емерсън

Най-умният човек в стаята е единственият в него, неспособен да учи. Вероятно се чудите какво искам да кажа с това Винаги се учете ... никога не спирайте. Можете да отнемете знания и опит от всички, които някога сте срещали. Баща ми беше толкова горд, че завършва университет. Първият път, когато ми показа, че можех да кажа, че е ценено притежание. Казах му „Ами ако някой го открадне“. Той ми каза „Те могат да вземат листа хартия. Мога да взема друг. Но те никога няма да вземат знанията тук * сочи към главата му * ”.

Най-глупавият човек в стаята често търси най-много дискомфорт. Хората не харесват да търсят дискомфорт. Ние просто не обичаме промяната. Има рядка порода хора, които правят и това са най-тъпите хора в стаята. Добър пример е „Да Теория“, те често ходят на екстравагантни приключения, за да търсят дискомфорт. Да си най-глупавият човек в стаята е избор. Най-глупавият човек в стаята е наред с провал. Те ще станат отново и ще дадат всичко възможно. Притежавайки този начин на мислене, той носи огромни предимства за вашето лично израстване. Ако мислите, че сте най-умният човек в стаята, как ще научите? Посочих няколко съвета по-долу:

  1. Задайте въпроси:
  • Защо правим нещо по този начин?
  • Как можем да постигнем това по-ефективно?
  • Каква е крайната цел / резултат?

Когато задавате въпроси, ще:

  • Научете се да решавате проблеми по нови начини
  • Научете нови умения
  • Ще се напънете по-нататък
  • Ще останете ангажирани в разговора

2. Слушайте повече, отколкото говорите. Брат ми винаги ми казваше: „Никой не е поискал вашето мнение.“ Спрете да предоставяте мнението си във всяка ситуация. Внимателно слушайте и задавайте много въпроси, за да се информирате допълнително. Предоставете своето мнение, ако бъдете подканени или необходими. Това е нещо, с което много хора се борят, включително и аз. Бяха ви дадени две уши и една уста ... трябва да ги използвате по този начин.

3. Ако се занимавате с висше образование (колеж / университет), надхвърлете курса и се учете. Тези курсове са предназначени да ви дадат начало. Няма достатъчно време в света, за да ви даде представа за всяко кътче на индустрията. Те са предназначени да ви дадат начален старт в индустрията и да продължите да учите. Например. ако изучавате Python в университета, не разчитайте само на курса. Отидете да вземете онлайн курс, създайте и отстранете грешки за себе си, автоматизирайте задача у дома, използвайки Python.

4. Егото е врагът. Его те заслепява. Не можете да се мотивирате, ако вече мислите, че сте най-добрият. Ако мислите, че сте най-доброто, вече сте загубили битката. Бъдете честни със себе си, когато получите интересни резултати. Всеки е експерт в нещо. Има фина граница между увереност и его и знанието, че тази линия ще ви държи смирени в ученето. Възползвайте се от възможността да се научите и да растете от тях. Някой със знания, който нямате, е паднал 1000 пъти, за да ви го предаде на сребърна чиния.

# 04 - Няма пречки за сигурността на информацията

В миналото беше трудно да се получи информация относно инфосек. Информацията беше разпръсната и често неясна. Доскоро това се промени. Сега има много фантастично съдържание, независимо в коя част от полето искате да въведете. Голяма част от това съдържание е безплатно или сравнително евтино за наличното качество на работа. Вече няма бариери в индустрията. Ако искате тестов компютър, сега можете да стартирате VM локално или в облака. Ако искате инструменти за сигурност, FOSS общността има алтернатива за всеки тип софтуер, наличен на пазара.

По-долу са изброени няколко от любимите ми създатели на съдържание / курсове:

  • PentesterLab (PentesterLab също публикува редовно някои страхотни статии)
  • Кибер менторът (курсът му по Удеми е фантастичен)
  • HackerSploit

Този списък изобщо не е изчерпателен. По-късно ще създам отделен списък за тези, които се интересуват.

# 05 - Разгледайте всички възможни налични пътища

Поп културата и телевизионните предавания като г-н Робот и сертификатите прославят обидната сигурност. Не ме разбирайте погрешно, че е готино, но всеки човек, който ми каже, че иска да влезе в терена, ми казва, че иска да бъде етичен хакер / тестер за проникване. Само защото някой е в полето на infosec, това не означава, че е l33t haX0r или преглежда тъмната мрежа през нощта, просто защото. Има много работни места и полета, вариращи от апсек до лов на заплахи и много други! Не се страхувайте да изпробвате различни области на информационната сигурност. Никога не знаеш какво ще ти хареса, докато не го опиташ! Разгледайте възможностите си и не забивайте дупка в една конкретна област.

Има други работни места освен пенисиране

SheHacksPurple обяснява това по-добре, отколкото някога бих могъл. Свързах статията й по-долу.

# 06 - Намерете стаж

Този момент е насочен повече към студентите. За завършване на степени (поне в Австралия) е доста често срещано изпълнение на проект през семестър или завършване на компонент WIL (Work Integrated Learning). Това е ръцете надолу един от най-добрите начини за навлизане в индустрията. Това ви дава голям къс време да се научите, да растете, да правите връзки и да се доказвате. Не е необичайно да получите работа през тази алея, ако сте се доказали успешно (Всъщност по този начин аз си вкарах работата).

Ако не сте сигурни откъде да започнете да се свързвате с вашия университет / образователен институт или да се свържете с хората от бранша и да видите дали желаят да ви заведат. Забележителен момент обаче е, че ако става дума за неплатен стаж (Което обикновено е), все пак ще трябва да работите допълнителни часове на платена работа. Това не е лесна задача, но ви уверявам, че си струва 100%, ако можете да я извадите.

# 07 - Невъзможно е да се знае всичко

Джак на всички сделки е майстор на никой. Като новодошъл, вие искате да направите света своя стрида и абсолютно да се потопите във всеки възможен аспект и да знаете всяко малко за всичко. Въпреки че амбицията е възхитителна, често ще се натъкнете на опитни хора, които са били в тази област от 5, 10, 20+ години, които знаят много повече от вас.

Това неизбежно в един момент ще ви остави да се почувствате малко по-надолу. Важно е да запомните, че имат много опит зад гърба си и това е само началото на вашето пътуване. Изберете нещо, за което да се специализирате, нещо, което наистина се радвате в информационната сигурност.

Моля, не бъдете този човек, който просто казва: „Да, искам да работя в infosec“. Често ще задавам голям брой последващи въпроси, включително „Какво ви харесва най-много / На какво основно искате да се съсредоточите?“ и често получавам „О, да знаете… infosec“.

Чух веднъж моят приятел Рики да даде ценен съвет.

Не мислете само за индустрията. Помислете за работата, която искате и уменията, които са ви необходими, за да стигнете до там.

# 08 - Изградете мрежа, създайте приятели и използвайте социалните медии ефективно

Противно на вярването, не е нужно да сте най-умният човек в стаята. Често срещана поговорка е „Не е това, което знаеш, а кой знаеш“. Когато започвах втората си година в университета, си спомням, че казах на майка си следното:

„Не съм най-умният човек в университета… Ще изразходвам всичките си пари тази година и вместо това ще ходя на конференции и в мрежа. Не знам как да правя много неща, но знам как да говоря с хората ”

Тогава не осъзнавах, но това беше безценно. През последните 8 години съм професионален фотограф. Наистина подобри способността ми да се приближавам до хората и бързо да започна разговор в удобни и неудобни ситуации.

Честно казано, нямах представа какво правя. Всичко, което знаех, е, че това правеха всички и ценно място за учене и заемане в атмосферата. Започнах да се срещам с хора чрез приятели и случайни срещи. Колкото повече конференции посещавах, толкова повече започнах да виждам същите хора. Чрез познанства и случайни разговори тези хора бързо станаха мои приятели. Същите приятели са хората, които се грижат най-много за мен, помагат ми да се подобря и се грижат за мен.

Вероятно в момента си казвате в главата „Ами как да започна?“

  1. Отидете на конференции и срещи. Ако сте в региона на APAC, можете да проверите APAC конференции и APAC Meetups.
  2. Направете Twitter и LinkedIn акаунт и активно ангажирайте с общността.

Срещали сте се с всички тези фантастични хора на срещи / конференции. Разбрахте се с няколко души, които споделят взаимни интереси. Не губете тази връзка!

  1. Попитайте ги дали имат акаунт в Twitter или LinkedIn и ги следвайте.
  2. Започнете да се включвате в дискусия. Тези платформи са направени да бъдат ангажирани по този начин.
  3. Следете хората и теми, на които се възхищавате.

Социалните медии са чудесен начин да бъдете информирани за текущите събития, да намерите нови инструменти и техники за завършване на нещо. Не е нужно да се спирате на Twitter и LinkedIn, ако се наслаждавате на инструменти или кодиране, направете акаунт в GitHub и бъдете активни (Работодателите обичат това).

Най-добрите работни места никога не се обявяват. Те обикновено се предлагат на връзки или реферали от други заинтересовани страни. Единственият начин да се постигне това е чрез лична мрежа, за начало.

# 09 - 2020 г. Нямате извинение да имате лошо резюме и мотивационно писмо

Лошите автобиографии са мои любимци. Вместо да напиша абзац, ще изброя куп от Do's and Don'ts

Do

  • Изберете хубав шаблон (не е трудно да ги намерите).
  • Включете доброволческия си опит в автобиографията си.
  • Включете своя набор от умения
  • Включете мотивационно писмо (Дори да кажат, че не е задължително, мотивационните писма са задължителни!)
  • Информирайте своите референции, които кандидатствате за работа.
  • Съсредоточете се върху това, което имате да предложите на организацията.
  • Привлечете вниманието на читателите веднага.
  • Персонализирайте мотивационното си писмо - опитайте се да бъдете оригинални и използвайте лични примери, а не само модни думи.

не

  • Включете всяка работа, която някога сте имали. (Работата в McDonalds на 16 не е от значение за сигурността на информацията)
  • Осигурете лошо форматирано възобновяване на 6 страници.
  • Използвайте едно и също мотивационно писмо за всяка работа (Те знаят ... и няма да я прочетат)
  • Не включвайте снимка (те така или иначе ще гледат вашия профил в LinkedIn)
  • Не включвайте пълния си адрес (Предградие / общата околност е добре)
  • Включете лична информация като вашето семейно положение, рожден ден, номер на паспорт и др. (Особено в сектора на сигурността).
  • Да приемем, че ще получите работата

# 10 - Дайте своя принос за Общността

Пространството за информационна сигурност не съществува без фокус на общността. Инфосек пространството разчита на любов, страст и упорит труд на общността, която го заобикаля. Конференции като BSides, които предлагат ниска цена с висока стойност, са базирани на доброволци. Софтуерът с отворен код като VLC медиен плейър разчита на безброй лица, предоставящи по-добро изживяване за вас без никаква цена.

Това е фантастичен начин да вкарате крака си във вратата и да направите едновременно добро. Не сте сигурни как да допринесете?

  • Работете по личен проект: Това е чудесен начин да надградите себе си. Може би смятате, че изследването, което сте направили, не е толкова голямо или иновативно. Това няма значение, че ви позволява да изследвате нови области, да придобиете нови умения и можете да го интерпретирате различно с тези в миналото. Това може да е някакъв код, който сте написали през уикенда или проект, който сте направили в университета, или дори проблем, който сте срещнали и как сте го решили.
  • Представете личния си проект: Сериозно, просто го представете. Знам, че е страшно и трудно да се направи. Страхувате се от синдрома на imposter, който върви заедно с него на среща / конференция. „Това не е толкова иновативно“ „Под умение съм“ „Честно казано не е толкова голямо.“ Хората всъщност не знаят това. Всеки има пропуски в знанието и може да намери това, което сте постигнали очарователно. Представяйки вашия проект, той ще ви помогне да направите име за себе си, докато покажете на другите някои оригинални изследвания, които сте направили. Без окуражаване на приятели (по-конкретно злодемонд) никога не бих представил първата си конференция в BSides Мелбърн.
Кредит: Център за дизайн на Остин
  • Допринасяйте за форуми: Ако можете да предоставите своя опит във форуми като Slack канали, раздори и уебсайтове като Reddit, моля, направете. Често получавам голяма част от ежедневните си новини / неща, които да пробвам от форумите.
  • Платете напред: Може да мислите, че не знаете много, но ако има нещо, можете да помогнете на някого с предлагането на вашите съвети / експертиза!

# 11 - Меките умения са дори по-важни от техническите умения

Infosec има тежък технически аспект, независимо в коя роля или част от индустрията се намирате. Това често води до това, че повечето хора са по-технически, а не меки умения. Можете да бъдете технически продан, но ако не можете да общувате с други хора и да поддържате определени ценности, ще се мъчите да се наемете. Стария ми началник на училище ми казваше:

„Ако имах двама кандидати за работа, където кандидат А е кодиращ гений, но няма меки умения. Или кандидат Б, който има добри меки умения и е приличен технически, винаги ще наема този с добри меки умения. Меките умения не са лесни за научаване. Но мога да изпратя човека с добри меки умения на курс за $ 5 000 и той ще се върне и с двете ".

Това наистина удари акорд с мен и го помня ярко и до днес. Добрите меки умения често се състоят от следното:

  • Силна етика и ценности
  • Добро отношение
  • Ефективна комуникация
  • Възможност за работа в екип и работа самостоятелно, когато възникне нужда
  • Критично мислене
  • Способност за комуникация със заинтересованите страни

# 12 - Опитайте се да спечелите IT опит преди Infosec опит

Притежаването на ИТ опит не е от съществено значение, но масивна помощ в областта на инфосек. Лично аз вярвам, че една от най-успешните дефиниращи черти на успешните професионалисти в инфосекцията е, защото те имат предишен опит. Сигурността наистина не съществуваше доскоро, тя беше само малка отговорност на някой в ​​ИТ. Дотогава повечето хора бяха системни администратори, работещи в сервизната служба или в някаква друга област.

Предишният ИТ опит (под каквато и да е форма) е безценен. Ако можете да успеете да работите в ИТ среда като сервизна служба или строителни решения. Уверявам ви, че опитът, който натрупвате, ще изгради основите на вашата кариера в infosec. Разбирайки как нещо е изградено / управлявано / поддържано, вие от своя страна ще знаете как да го разбиете в обиден капацитет.

# 13 - Намерете ментор (неофициално или официално)

Не виждам менторите като съществени, а по-скоро водеща светлина. Можете да спечелите наставник официално, като потърсите такъв чрез приятели или социални медийни канали като Twitter (чудесно място за търсене на такъв). Въпреки това, никога не съм харесвала идеята активно да търся наставник, а по-скоро да се натъкна на тях. Това може да бъде вашият шеф, приятел, член на семейството или член на общността инфосек. Не е необходимо да провеждате редовни такива на една среща всяка седмица или да плащате такава, а по-скоро да имате този човек в живота си.

Наставникът не винаги трябва да бъде питан, но с радост ще говори с вас, ще ви напътства и ще ви помогне в моменти на нужда.

Основните качества на ментора включват:

  • Те ви вдъхновяват!
  • Те осигуряват яснота и поддържат отчетност
  • Те ви помагат да поставите конкретни измерими постижими реалистични времеви цели (SMART)
  • Те ви помагат да изострите уменията си
  • Те ви предлагат насоки и поглед от опита, за да не ви позволяват да правите грешки, които някога са правили