信息安全行业的门槛有多高?安全行业个人职业发展规划建议(二)
作者:互联网
atp7bkil 嘶吼专业版
我从事信息安全(现在很多人称之为网络安全)工作已经有20年了,而且大部分时间我也在写有关信息安全的文章。所以我收到了大量的邮件询问以下问题:
如何才能进入信息安全行业?
所以这个系列文章就是我对这个问题的回答,我把这个问题的所有方面都集中在文章中。这个系列文章会给你一些知识,让你从一个完全的新手,到找到你的第一份工作,最终到达行业的顶端。(建议你从第一篇开始阅读)
信息安全行业的门槛有多高?安全行业个人职业发展规划建议(一)
要有存在感
好了,现在你已经完成了一些项目,是时候让人们通过你的品牌平台了解你。没错,你应该为自己代言。如果你愿意,你也可以低调一些,而且这个行业已经充满了太多的自负,但是你确实需要一个可以传播展示自己的平台。
如果你是一个内向的人,或者你觉得谈论你做过的任何事情都是自吹自擂,那就停止吧。在这个行业,这种心态不会对你有所帮助。为了达到中高层,你需要学习如何推销你自己和你的工作。
内向和(假) 谦虚是行不通的。把工作做好,并且愿意谈论工作。但这样做是从分享和合作的角度出发,而不是从傲慢的立场出发。
网站
首先你需要一个网站。有些人称之为博客,没关系。关键是你需要一个展示自己的地方。你应该有一个“关于”的页面,展现一些好的联系信息、项目列表等等。再说一次,如果你创建了博客网站,那就是你写作的地方。
要知道,你的域名和你的网站是你的身份的中心,所以理想的情况下,你应该选择一个可以用一辈子的好域名。Firstnamelastname.com 可能是理想的选择,但许多人不能这样做,因为他们的名字相当常见。还有其他的选择,但是要仔细想好。你希望这个域名一直保持不变,直到你死去。
所以我想说的是,挑选好这些东西。这是你的品牌,你的品牌很重要。
你应该在你自己的网站上写博客,托管你所有的项目,并在其他地方同步发布。
避免在 Medium 或 Blogger 等其他服务上写太多东西,除了随意的想法或互动,绝对不要在 Facebook 上写任何东西。如果你在不是你自己的域名的平台上创建了任何有趣的东西,把它变成一个完整的部分,并把它带回到你自己的网站。
推特也是一样。要处理好一些东西。理想情况下,昵称应该是 firstnamelastname,但如果你不能做到这一点,请选择一个好的替代品。同样,这是永久性的个人基础设施,所以不要把它设为@l33th4x0rs97。随着你年龄的增长,这会变得越来越没有魅力。
一旦你处理好之后,就可以开始关注一些人。在信息安全中,有很多好的列表供人们关注。使用其中的一个作为开始,然后慢慢调整自己的喜好。
参与谈话。但不要勉强。当你不了解情况的时候,不要过分夸大。但是如果你有什么要补充的,那么请自由贡献。如果你只有3个关注者,而他们有10000个关注者,不必在意,这并不重要。推特是一个精英体制。如果不是,那就假装是。
一个好的开始是转发你喜欢的内容。当你变得更有能力增加自己的价值,你可以开始轮流转发和你自己的原创内容。
不要太认真。许多顶级的安全人员在 Twitter 上90% 的时间都在闲逛。其他人只发布原始的内容。只要做你自己,一切都会过去的。如果不是这样,而且你觉得自己做错了,不要担心。只要坚持以上几点,你就会没事的。
社交媒体
还有很多其他的社交媒体渠道。另一个你应该关心的重要网站是 LinkedIn。建立个人档案、 付出努力、 随时更新、并且只和你认识的人或者至少和你有过接触的人联系。每个人的加入会削弱网络对你和其他人的威力。
人们很容易在社交媒体上做太多的事情。抵制这种想法。关注你的网站和 Twitter,加入一些 LinkedIn。我基本上会把 Facebook 独立开来,但这是我个人的偏好。
记住——一切都从你的网站开始。在那里创建内容,然后通过Twitter、Facebook、LinkedIn和其他任何你使用的渠道发布出来。
关于资质证书
我有很多关于信息安全认证的问题。太多了。它们有两种形式:
1.信息安全认证真的值得吗?
2.我应该拿到哪些证书?
好消息: 我这有答案。
是的,证书很重要。大学文凭也是如此,经验也是如此。
事物具有别人赋予它们的价值。
认证没有任何内在价值。它们的价值正如人们所认为的价值一样。如果雇主在你想要应聘的地方要求你提供这些信息,那证书就很重要。如果你想应聘的地方根本不在乎证书,那就没有价值。就是这么简单。
但是对于初学者来说,证书还是很重要的。
我应该获得哪些证书?
让我们按级别来说:
· 初学者证书
如果你刚刚入行,我建议你获得以下认证:
1.A+
2.Network+
3.Linux+
4.Security+
CompTIA?不,我不为 CompTIA 效力,不过谢谢你的关心。
在这种情况下,我并不是说除了初学者之外,这些证书都有巨大的价值,但在学习方面是有价值的。
就像我在教育部分提到的,证书有很好的学习教材,如果你获得了所有这四个证书,你将对基础有一个相当好的理解。
· 高级证书
我喜欢这样解释信息安全认证: 你需要 CISSP,你应该得到一个审计证书(CISA/CISM) ,你应该得到一个技术证书(SANS)。所以:
1.CISSP 对任何想要在安全领域有所作为的人来说都应该拿到
2.CISA/CISM 面向希望成为管理者的全能型安全人员
3.SANS (GSEC/GPEN/GWAPT) 适用于技术人员
4.OSCP 只用于***测试人员
一旦你有了四年的信息安全经验,你应该有你的 CISSP。这是我们这个行业最接近标准底线的东西。它实际上比许多组织的计算机科学学位要更好(因为很多人在大学里什么也没学到)。
接下来,我会介绍审计空间,这是信息安全的一个关键部分。你需要拿到 CISA 或 CISM。
最后,如果你想要获得一个或多个技术认证。我建议从 GSEC 开始,它非常全面。你可以根据你的喜好选择 GCIA 或 GPEN 或 GWAPT。
OSCP 和 CREST 是核心***测试人员最受尊敬的证书,所以如果你感兴趣的话,一定要开始考虑这些证书。
然后是 CEH。人们有时会提到这个证书,所以你最好还是拥有它。但是不要吹嘘自己拥有它,尤其是在经验丰富的安全人员面前。
与他人建立联系请记住,你可以并行地执行上述许多步骤。
好了,现在我们有了一些教育经历,也有了一个实验室,而且我们正在做一些项目,我们有了我们的网站和 Twitter,所以,我们已经准备好入行了。
现在你需要主动去和一些人交谈。同样,你可以并且应该一直这样做,但是如果你还没有这样做,那么现在绝对是时候这样做了。
看看谁访问了你的网站。查看推特上有趣的互动。接触那些人并开始对话。去他们会去的地方,亲自和他们交流。去拉斯维加斯参加黑帽大会和 DEFCON。那里有很多信息安全行业的人可以一起聊聊天。
找一个良师益友
找一个你喜欢的风格的那种人,让他指导你。给他们发邮件或者给他们打电话。但是我们要事先做好研究。首先确保你已经完成了本文中的内容。
为了从潜在的导师那里得到最好的反馈,在你们的第一次互动中要明确你已经在前期付出了努力。
让他们尽可能容易地帮助到你,这样你就不会被拒绝。我在信息安全行业中看到的一件事是,人们非常愿意帮助那些渴望工作并且刚刚开始工作的人。
提供实习机会
主动提出与某人一起实习并且主动帮他们做一些苦差事。为他们写脚本、编辑他们的博客文章、帮助他们筛选数据。这些事情可以帮助到你,并可能在未来直接给你面试或其他机会。
本文参考自:https://danielmiessler.com/blog/build-successful-infosec-career/
标签:门槛,证书,网站,Twitter,信息安全,如果,应该,行业 来源: https://blog.51cto.com/u_15127538/2702463