A diplomás gondolatai: Hogyan kezdjük el az információbiztonságot és a kiberbiztonságot

Az információbiztonság (Infosec) és a kiberbiztonság jelenleg forró téma. Számtalan ember kérdezte tőlem, hogyan kezdjem el, milyen bizonyítványokat kell megszerezni, mit kell tennie, mennyit költenek és így tovább.

Ez a cikk célja, hogy néhány tippet adjon Önnek, amelyek felkészítik magukat az információbiztonsági iparágban való elinduláshoz.

Megjegyzés:

  • Ez egy hosszú cikk. A címcímeket sokszor lefuttathatja, ha akar, de ez órákig tartott, és évekig tartó tanulást igényelt, azt javasolom, hogy 10–15 percet szánjon rá.
  • Az infosec-re hivatkozom, mivel a kiberbiztonság ennek része.
  • Túl régóta nem vagyok az iparban, de számtalan mást segített és vezetett rajta keresztül.
  • Nincs minden válaszom, és továbbra is a saját tanulási utamon tartok.
  • Nem vagyok profi író.
  • Ez a tanács, bárcsak azt mondanám, hogy nekem mondtak volna, de keményen megtanultam.
  • Véleményem a saját véleményem, és nem tükrözik a munkáltatóimat.
  • Kérdeztem másoktól tanácsaikat, amelyek hozzájárultak a cikkhez. Itt láthatja a teljes szálat.
  • Ha bármilyen kérdése van, kérdezze meg nekem a Twitteren.

# 01 - Tényleg nagyon szeretnék

Mutasd meg szenvedélyedet! Mutasd meg, mennyire akarod!

Az Infosec versenyképes terület. A diploma / bizonyítvány kitöltése, vagy csak egy vagy két dolog ismerete nem elegendő. Élsz és lélegzel infosec. Tüzet gyújthat benned, nem akarja elállni róla, és megrémíteni a barátait és a családját.

Munkát keresve az interjút készítő személy egyértelműen látni fogja a szenvedélyt. Ha megpróbál belépni az iparba, mert napvilágra kerül, vagy hallotta, hogy jó pénzt fizet ... rosszul van.

A szenvedély kulcsszerepet játszik az iparban. Nagyszerű, ha zúgolódó kódoló, hacker vagy járó enciklopédia lenni. De ha nincs szenvedélye, hajlandósága és gondolkodásmódja, nehéz lesz munkát találni. A szenvedélye és az ejtőernyős mérnöki gondolkodásmód az, amit a munkáltató keres. Nem érdekli, hogy nem ismeri a 8 nyelvet vagy az AWS minden funkcióját, hanem az, hogy miként kezeli a helyzetet és hogyan alkalmazkodik hozzá.

# 02– Csak kezdje!

Nincs szüksége rack-kiszolgálóra otthon 2TB RAM-mal, vagy a tökéletes laptophoz, vagy ahhoz, hogy mindenkinek van egy matrica, vagy $ 1000 felhőalapú számviteli jóváírásra. Ne tegyen mentség!

  • Nem tudja a tökéletes stratégiát? Csak kezdje kipróbálni! Még ha tévedsz is, megtanulsz a hibáidból.
  • Nem tudja a választ egy kérdésre? Mielőtt másoktól kérne segítséget, kezdje el annak kutatását
  • Ne végezzen hivatkozásokat: Ez az iparág nem működik, bár az első induláskor nagyon csábító.
  • Nincs pénzügye? Jelenleg hatalmas mennyiségű ingyenes forrás áll rendelkezésre. Az alábbiakban felsoroltam néhányat a cikkben.
  • Nincs ideje? Tegye prioritássá, és építse fel az infosec mikro-szokását, még akkor is, ha napi 1 cikket olvas.
Nincs egyetlen módja a macska bőrének bőrének kiszámítására, sem a kezdeti módszernek. A hit ezt alább foglalja össze.

# 03 - Legyen a legbutabb ember a szobában

Mindig arra törekedj, hogy a legbutabb ember legyen a szobában. Amikor elolvastam az Ego az Ellenség elemet, hallottam egy idézetet, amely megváltoztatta a gondolkodásmódomat.

- Tudja az igaz tudós titkát? Minden emberben van valami, amiben megtanulhatok róla; és abban én vagyok a tanulója. ” - Ralph Waldo Emerson

A szobában a legokosabb ember az egyetlen, aki nem képes megtanulni. Valószínűleg azon tűnődsz, hogy mire gondolok? Mindig tanuljon ... soha ne hagyja abba. Elveheti a tudást és a szaktudást mindenkitől, akivel valaha találkozott. Apám annyira büszke volt, hogy diplomát végzett. Az első alkalommal, amikor megmutatta, mondhattam, hogy nagyra becsült birtoklás. Azt mondtam neki: "Mi van, ha valaki ellopja". Azt mondta nekem: „El tudják vinni a darab papírt. Kaphatok egy újat. De soha nem veszik fel itt a tudást * a fejére mutat *.

A szobában a legbutabb ember gyakran keresi a legnagyobb kellemetlenséget. Az emberek nem szeretik a kellemetlenséget. Egyszerűen nem szeretjük a változást. Van egy ritka fajta ember, aki ezt teszi, és ezek a legbutabb emberek a szobában. Jó példa erre az Igen Elmélet, gyakran extravagáns kalandokkal járnak, hogy kellemetlenséget keressenek. A szobában a legbutabb ember választás. A szobában a legbutabb ember rendben van kudarccal. Újra felkelnek, és adnak minden tőle telhetőt. Ez a gondolkodásmód hatalmas előnyöket jelent a személyes növekedése szempontjából. Ha úgy gondolja, hogy te vagy a legokosabb ember a szobában, hogyan fogsz tanulni? Az alábbiakban felsoroltam néhány tippet:

  1. Kérdéseket feltenni:
  • Miért csinálunk valamit ilyen módon?
  • Hogyan lehet ezt eredményesebben elérni?
  • Mi a végső cél / eredmény?

Amikor kérdéseket tesz fel:

  • Tanulja meg új problémák megoldását
  • Tanuljon új készségeket
  • Ön tovább tolja magát
  • Továbbra is részt vesz a beszélgetésben

2. Hallgasson többet, mint beszélsz. A bátyám mindig azt mondta nekem: "Senki sem kérte a véleményét." Hagyja abba a vélemény megadását minden helyzetben. Óvatosan hallgasson és tegyen fel sok kérdést, hogy tovább tájékoztassa magát. Adja meg véleményét, ha erre felszólítás vagy szükség van. Sokan küzdenek ezzel azzal, hogy magamat is belefoglalom. Két füleket és egy száját kaptak neked ... így kellene őket használni.

3. Ha felsőoktatásban részesül (főiskola / egyetem), túllépje a kurzust és tanuljon. Ezeket a tanfolyamokat úgy tervezték meg, hogy neked kezdjenek. Nincs elég idő a világon, hogy betekintést nyújtsunk az ipar minden sarkába. Ezeket úgy tervezték, hogy előnyt nyújtsanak az iparban, és kilépjenek a továbbtanuláshoz. Például. Ha egyetemen tanulsz Python-t, ne csak támaszkodj a tanfolyamra. Menj egy online tanfolyamra, készíts és programozz magadra programokat, automatizáld a feladatot otthon a Python segítségével.

4. Az Ego az Ellenség. Ego vakít. Nem tudja motiválni önmagát, ha úgy gondolja, hogy te vagy a legjobb. Ha úgy gondolja, hogy te vagy a legjobb, akkor már elvesztette a csatát. Legyen őszinte magaddal, ha érdekes eredményeket ér el. Mindenki szakértő valamiben. Finom vonal van a bizalom és az ego között, és ennek a vonalnak a tudása alázatosan fog tartani a tanulásban. Használja ki a lehetőséget, hogy tanuljon és növekedjen tőlük. Valaki, akinek ismerete nincs, 1000-szer esett át, hogy átadja neked egy ezüst tálra.

# 04 - Az információbiztonságnak nincs akadálya

A múltban nehéz volt információt szerezni az infosecről. Az információk szétszórtak és gyakran hiányosak. A közelmúltig ez megváltozott. Jelenleg rengeteg fantasztikus tartalom van, függetlenül attól, hogy melyik mezőbe szeretne belépni. Ez a tartalom nagy része ingyenes vagy viszonylag olcsó a rendelkezésre álló munka minősége szempontjából. Az iparágban már nincs akadály. Ha tesztelő számítógépet szeretne, mostantól indíthat virtuális gépet helyben vagy a felhőben. Ha biztonsági eszközöket szeretne, a FOSS közösségnek alternatívája van a piacon elérhető bármely típusú szoftver számára.

Az alábbiakban felsoroltam néhány kedvenc tartalom alkotóm / tanfolyamomat:

  • PentesterLab (a PentesterLab rendszeresen publikál néhány nagyszerű cikket is)
  • A Cyber ​​Mentor (Udemy kurzusa fantasztikus)
  • HackerSploit

Ez a lista semmilyen átfogó. Később külön listát készítek az érdeklődők számára.

# 05 - Fedezze fel az összes lehetséges utat

A popkultúra és a televíziós műsorok, mint például a Robot és az igazolások dicsőítik a támadó biztonságot. Ne tévessze be, ez jó, de mindenki, aki azt mondja, hogy be akar lépni a mezőre, mondja el, hogy etikus hackerek / penetrációs tesztelők akarnak lenni. Csak azért, mert valaki az infosec mezőben van, ez nem azt jelenti, hogy l33t haX0r vagy, vagy éjszaka böngészik a sötét internetet, csak azért. Rengeteg munka és mező található, kezdve az appsec-től a fenyegető vadászatig és még sok mindenig! Ne félj kipróbálni az információbiztonság különböző területeit. Soha nem tudhatod, mi fog tetszeni, amíg meg nem próbálja! Fedezze fel lehetőségeit, és ne nyúljon bele egy nyúlba sem egy adott területen.

Vannak más munkák, mint a pentetelés

A SheHacksPurple ezt jobban magyarázza, mint amennyire valaha is tudtam. Az alábbiakban összekapcsoltam a cikkét.

# 06 - Keressen gyakorlatot

Ez a pont inkább az egyetemi hallgatók felé irányul. A diplomák befejezéséhez (legalább Ausztráliában) meglehetősen gyakori, hogy egy projektet félév alatt hajtanak végre, vagy pedig egy munka-integrált tanulási (WIL) komponenst fejeznek be. Ez az iparág egyik legjobb módja. Ez nagy időt igényel a tanuláshoz, növekedéshez, kapcsolatok létesítéséhez és magának bizonyításához. Nem ritka, ha ezen a pályán munkát szerez, ha sikeresnek bizonyult (valójában ez az, amiért pontoztam a munkámat).

Ha nem biztos benne, hol kezdje el felkeresni az egyetemet / oktatási intézetet, vagy felvegye a kapcsolatot az iparági emberekkel, és megtudja, hajlandók-e elviselni téged. Figyelemre méltó szempont azonban az, ha ez egy fizetetlen gyakorlat (ami általában is), akkor továbbra is további órákat kell fizetnie fizetett munkában. Ez nem könnyű feladat, de biztosíthatom, hogy 100% -osan megéri, ha el tudja húzni.

# 07— Lehetetlen mindent tudni

Az összes üzlet jackje nincs mesterként. Új felhasználóként azt akarja, hogy a világ osztrigává váljon, és minden lehetséges szempontból teljesen belemerüljön, és mindent tudjon. Bár az ambíció csodálatos, gyakran olyan tapasztalt emberekkel találkozhatunk, akik 5, 10, 20 vagy több éve vannak a területen, akik sokkal többet tudnak, mint te.

Ez egy bizonyos ponton elkerülhetetlenül enyhén érzi magát. Fontos emlékezni, hogy rengeteg tapasztalattal rendelkeznek mögöttük, és ez csak az utazás kezdete. Válasszon valamit, amire szakosodhat, valamit, amiben valóban élvezheti az információbiztonságot.

Kérem, ne légy az a személy, aki csak azt mondja: „Igen, infózisban akarok dolgozni”. Gyakran felteszek számos nyomonkövetési kérdést, többek között: „Mi élvezi a legjobban / mire koncentrál elsősorban?” és gyakran kapok „Ó, igen, tudod… infosec” -et.

Hallottam, hogy barátom, Ricki egyszer értékes tanácsot adott.

Ne csak gondoljon az iparra. Gondoljon a kívánt munkára és az odajutáshoz szükséges készségekre.

# 08 - Hálózat kiépítése, Barátság és hatékony közösségi média használata

A hiedelemmel ellentétben nem kell, hogy a legokosabb ember legyen a szobában. Általános mondás: „Nem az, amit tudsz, hanem ki ismersz”. Amikor elkezdtem a második egyetemi évemet, élénken emlékszem, hogy anyámnak a következőket mondtam:

„Nem vagyok a legokosabb ember az egyetemen. Idén az összes pénzemet költöm, és inkább konferenciákon és hálózaton veszek részt. Nem tudom, hogyan kell csinálni egy csomó dolgot, de tudom, hogyan kell beszélni az emberekkel ”

Abban az időben nem vettem észre, de ez felbecsülhetetlen értékű volt. Az elmúlt 8 évben profi fotós voltam. Ez valóban javította az emberekért való megközelítés és a beszélgetés gyors felépítését kényelmes és kellemetlen helyzetekben.

Őszintén szólva, fogalmam sem volt, hogy mit csinálok. Csak azt tudtam, hogy ezt csinálta mindenki, és értékes hely a tanuláshoz és a légkörbe való befogadáshoz. Barátok és véletlenszerű találkozók útján kezdtem megismerni az embereket. Minél több konferencián vettem részt, annál inkább ugyanazokat az embereket kezdtem látni. Ismerős és véletlenszerű beszélgetések révén ezek az emberek gyorsan barátaim lettek. Ugyanazok a barátok azok, akik a legjobban rám néznek, segítenek javulni és törődnek velem.

Most valószínűleg azt mondod a fejedben, hogy "hogyan kezdjem?"

  1. Menj konferenciákra és találkozókra. Ha az APAC régióban tartózkodsz, megnézheted az APAC konferenciákat és az APAC Meetuppeket.
  2. Készítsen egy Twitter és LinkedIn fiókot, és aktívan vegyen részt a közösségben.

Mindannyian fantasztikus emberekkel találkoztál találkozókon / konferenciákon. Megvan néhány olyan emberrel, akiknek közös érdekeik vannak. Ne veszítse el ezt a kapcsolatot!

  1. Kérdezze meg tőlük, ha van Twitter vagy LinkedIn fiókja, és kövesse őket.
  2. Kezdje el a beszélgetést. Ezeket a platformokat úgy alakították ki, hogy így működjenek.
  3. Kövesse a csodált embereket és témákat.

A közösségi média nagyszerű módja annak, hogy tájékozódjunk az aktuális eseményekről, új eszközöket és technikákat találjunk valami kitöltésére. Nem kell megállnia a Twitter és a LinkedIn oldalán, ha szereti az eszközöket vagy a kódolást, és GitHub fiókot készít, és aktív (a munkaadók ezt szeretik).

A legjobb munkahelyeket soha nem hirdetik. Ezeket általában kapcsolatokra vagy más érdekelt felek áttételére kínálják. Ennek egyetlen módja az, ha kezdetben személyes hálózattal rendelkezik.

# 09— 2020-ra nincs mentség, ha rossz önéletrajz és kísérőlevél van

A rossz önéletrajzok az én kedvencem. Ahelyett, hogy egy bekezdést írnék, felsorolok egy csomó tennivalót

Do

  • Válasszon egy szép sablont (ezeket nem nehéz megtalálni).
  • Vegye fel önéletrajzi tapasztalatait önéletrajzába.
  • Vegye bele a készségeit.
  • Tartalmazza a kísérőlevelet (Még akkor is, ha azt mondják, hogy nem kötelező, a kísérőlevelek kötelezőek!)
  • Tájékoztassa referenciáiról, hogy állásra jelentkezik.
  • Összpontosítson arra, amit kínálhat a szervezet számára.
  • Azonnal vonzza az olvasók figyelmét.
  • Testreszabhatja a kísérőlevelet - próbáljon meg eredeti lenni, és személyes példákat használjon, és ne csak a szójelöket.

nem

  • Vegye fel minden olyan munkáját, amely valaha volt. (A McDonaldsban dolgozó 16 éves korában nem releváns az információbiztonság)
  • Adjon meg egy rosszul formázott 6 oldalas folytatást.
  • Minden munkához ugyanazt a kísérőlevelet használja (Tudják ... és nem fogják elolvasni)
  • Ne mellékeljen egy fényképet (egyébként meg fogják nézni a LinkedIn profilját)
  • Ne adja meg a teljes címét (a külváros / az általános környék rendben van)
  • Adjon meg személyes adatokat, például családi állapotát, születésnapját, útlevélszámát stb. (Különösen a biztonsági iparban).
  • Tegyük fel, hogy megkapja a munkát

# 10 - Hozzájárul a Közösséghez

Az információbiztonsági tér nem létezik közösségi fókusz nélkül. Az infosec tér a körülvevő közösség szeretetére, szenvedélyére és kemény munkájára támaszkodik. Az olyan konferenciák, mint a BSides, amelyek olcsó és magas értéket kínálnak, mind önkéntes alapúak. A nyílt forráskódú szoftverek, mint például a VLC médialejátszó, számtalan személyre támaszkodik, akik költségmentesen jobb élményt nyújtanak Önnek.

Ez egy fantasztikus módja annak, hogy a lábad bejusson az ajtóba, és ezzel egyidejűleg valami jót tegyen. Nem tudja, hogyan tud hozzájárulni?

  • Munka egy személyes projekten: Ez egy nagyszerű módja annak, hogy felkészüljön. Azt gondolhatja, hogy az elvégzett kutatás nem olyan nagy vagy innovatív. Nem számít, lehetővé teszi új területek felfedezését, új készségek megszerzését, és a múltéhoz hasonlóan értelmezheti. Ez lehet valamilyen kód, amelyet a hétvégén írt, vagy egy egyetemen végzett projekt, vagy akár felmerült probléma, és hogyan oldotta meg.
  • Mutassa be személyes projektjét: Komolyan, csak mutassa be. Tudom, hogy félelmetes és nehéz megtenni. Félek a csaló szindrómától, amely azzal jár, hogy me meetup / konferenciára megy. "Ez nem olyan innovatív" "Nem vagyok képzett" "Őszintén szólva nem olyan nagy." Az emberek ezt valójában nem tudják. Mindenkinek hiányzik a tudása, és valószínűleg érdekesnek találja amit elért. A projekt bemutatásával segít nevet adni magának, miközben megmutatja másoknak az elvégzett eredeti kutatásait. A barátok (konkrétan evildaemond) ösztönzése nélkül soha nem mutattam volna be első konferenciabeszélgetésemet a BSides Melbourne-ben.
Hitel: Austin Design Center
  • Hozzájárulj a fórumokhoz: Ha tudsz adni szakértelmüket olyan fórumokon, mint a Slack csatornák, diskurzusok és olyan webhelyek, mint a Reddit, kérjük, tedd. Napi híreim / dolgaim nagy részét gyakran megkapom kipróbálni a fórumokból.
  • Fizessen előre: Lehet, hogy úgy gondolja, hogy nem sokat tud, de ha van valami, akkor segíthet valakinek a tanácsadással / szakértelmével!

# 11 - A puha készségek még fontosabbak, mint a műszaki készségek

Az Infosecnek nehéz technikai vonatkozása van, függetlenül attól, hogy az iparág melyik részében vagy az iparág részében tartózkodik. Ez gyakran azt eredményezi, hogy a legtöbb ember technikai, majd puha készség-orientált. Lehetsz technikai szellem, de ha nem tudsz másokkal kapcsolatba lépni és bizonyos értékeket fenntartani, akkor küzdesz a felvételért. A régi iskolavezetőm ezt mondta:

„Ha két jelentkezőm lenne olyan állásra, ahol az A jelölt kódoló zseni, de nem rendelkezik lágy készségekkel. Vagy a B jelöltnek, aki jó lágy képességekkel rendelkezik és technikailag tisztességes, mindig felveszem a jó lágy képességekkel rendelkezőt. A puha készségeket nem könnyű megtanulni. De jó lágy képességekkel rendelkező embert tudok küldeni egy tanfolyamra 5 ezer dollárért, és mindkettővel vissza fognak térni. ”

Ez igazán húzott egy akkordon, és élénken emlékszem rá a mai napig. A jó lágy készségek gyakran a következőkből állnak:

  • Erős etika és értékek
  • Jó hozzáállás
  • Hatékony kommunikáció
  • Képesség egy csapatban és önmagukban dolgozni, amikor erre szükség van
  • Kritikus gondolkodás
  • Képes kommunikálni az érdekelt felekkel

# 12— Próbáljon megszerezni informatikai élményt az Infosec élménye előtt

Az informatikai tapasztalatok birtoklása nem elengedhetetlen, hanem hatalmas segítség az infosec területén. Személy szerint úgy gondolom, hogy a sikeres infosec szakemberek egyik legjobban meghatározó vonása az, hogy korábbi tapasztalattal rendelkeznek. A biztonság nem egészen a közelmúltban létezett. Ez csak valaki az IT felelőssége. Addig, amíg a legtöbb ember rendszergazda volt, az ügyfélszolgálaton dolgozott, vagy valamilyen más területen.

A korábbi IT tapasztalat (bármilyen formában) felbecsülhetetlen. Ha sikerül olyan informatikai környezetben dolgozni, mint például ügyfélszolgálat vagy építési megoldások. Biztosíthatom, hogy a megszerzett tapasztalatok megalapozzák infosec karrierjét. Ha megérti, hogy valamit építenek / menedzselnek / karbantartanak, akkor megtudhatja, hogyan lehet támadó képességgel megtörni.

# 13 - Keressen egy mentort (nem hivatalosan vagy hivatalosan is)

Nem gondolom, hogy a mentorok alapvető fontosságúak, hanem inkább iránymutatásként szolgálnak. Hivatalos mentort szerezhet, ha barátokat vagy olyan közösségi média csatornákat keres, mint például a Twitter (remek hely ilyen keresésre). Soha nem szerettem az a gondolat, hogy aktívan keressek egy mentort, inkább találkozom velük. Ez lehet a főnöke, barátja, családtagja vagy az infosec közösség tagja. Nem kell rendszeresen egy-egy találkozót tartania minden héten, vagy fizetnie egyet, hanem inkább kell, hogy legyen ez a személy az életedben.

A mentort nem mindig kell megkérdezni, hanem boldogan beszélni fog veled, útmutatást nyújt és segítséget nyújt a szükségletek idején.

A mentor kulcsfontosságú tulajdonságai a következők:

  • Ők inspirálnak!
  • Egyértelművé teszik és fenntartják az elszámoltathatóságot
  • Segítenek konkrét mérhető, elérhető realisztikus és időszerű (SMART) célok kitűzésében
  • Segítik a készségek élesítésében
  • Útmutatást és betekintést nyújtanak a tapasztalatokból, hogy megakadályozzák, hogy tévedjenek valaha