信息安全行业的们康有多高?安全行业个人职业发展规划建议(二)
2020-02-26 12:10:00 Author: www.4hou.com(查看原文) 阅读量:253 收藏

我从事信息安全(现在很多人称之为网络安全)工作已经有20年了,而且大部分时间我也在写有关信息安全的文章。 所以我收到了大量的邮件询问以下问题:

如何才能进入信息安全行业?

所以这个系列文章就是我对这个问题的回答,我把这个问题的所有方面都集中在文章中。 这个系列文章会给你一些知识,让你从一个完全的新手,到找到你的第一份工作,最终到达行业的顶端。(建议你从第一篇开始阅读)

信息安全行业的门槛有多高?安全行业个人职业发展规划建议(一)

要有存在感

好了,现在你已经完成了一些项目,是时候让人们通过你的品牌平台了解你。 没错,你应该为自己代言。 如果你愿意,你也可以低调一些,而且这个行业已经充满了太多的自负,但是你确实需要一个可以传播展示自己的平台。

如果你是一个内向的人,或者你觉得谈论你做过的任何事情都是自吹自擂,那就停止吧。 在这个行业,这种心态不会对你有所帮助。 为了达到中高层,你需要学习如何推销你自己和你的工作。

内向和(假) 谦虚是行不通的。 把工作做好,并且愿意谈论工作。 但这样做是从分享和合作的角度出发,而不是从傲慢的立场出发。

网站

首先你需要一个网站。 有些人称之为博客,没关系。 关键是你需要一个展示自己的地方。 你应该有一个“关于”的页面,展现一些好的联系信息、项目列表等等。 再说一次,如果你创建了博客网站,那就是你写作的地方。

要知道,你的域名和你的网站是你的身份的中心,所以理想的情况下,你应该选择一个可以用一辈子的好域名。 Firstnamelastname.com 可能是理想的选择,但许多人不能这样做,因为他们的名字相当常见。 还有其他的选择,但是要仔细想好。 你希望这个域名一直保持不变,直到你死去。

所以我想说的是,挑选好这些东西。 这是你的品牌,你的品牌很重要。

你应该在你自己的网站上写博客,托管你所有的项目,并在其他地方同步发布。

避免在 Medium 或 Blogger 等其他服务上写太多东西,除了随意的想法或互动,绝对不要在 Facebook 上写任何东西。 如果你在不是你自己的域名的平台上创建了任何有趣的东西,把它变成一个完整的部分,并把它带回到你自己的网站。

Twitter

推特也是一样。要处理好一些东西。 理想情况下,昵称应该是 firstnamelastname,但如果你不能做到这一点,请选择一个好的替代品。 同样,这是永久性的个人基础设施,所以不要把它设为@l33th4x0rs97。 随着你年龄的增长,这会变得越来越没有魅力。

一旦你处理好之后,就可以开始关注一些人。 在信息安全中,有很多好的列表供人们关注。 使用其中的一个作为开始,然后慢慢调整自己的喜好。

image.png

参与谈话。 但不要勉强。 当你不了解情况的时候,不要过分夸大。 但是如果你有什么要补充的,那么请自由贡献。 如果你只有3个关注者,而他们有10000个关注者,不必在意,这并不重要。 推特是一个精英体制。 如果不是,那就假装是。

一个好的开始是转发你喜欢的内容。 当你变得更有能力增加自己的价值,你可以开始轮流转发和你自己的原创内容。

不要太认真。 许多顶级的安全人员在 Twitter 上90% 的时间都在闲逛。 其他人只发布原始的内容。 只要做你自己,一切都会过去的。 如果不是这样,而且你觉得自己做错了,不要担心。 只要坚持以上几点,你就会没事的。

社交媒体

还有很多其他的社交媒体渠道。 另一个你应该关心的重要网站是 LinkedIn。 建立个人档案、 付出努力、 随时更新、并且只和你认识的人或者至少和你有过接触的人联系。每个人的加入会削弱网络对你和其他人的威力。

人们很容易在社交媒体上做太多的事情。 抵制这种想法。 关注你的网站和 Twitter,加入一些 LinkedIn。 我基本上会把 Facebook 独立开来,但这是我个人的偏好。

记住——一切都从你的网站开始。在那里创建内容,然后通过Twitter、Facebook、LinkedIn和其他任何你使用的渠道发布出来。

关于资质证书

我有很多关于信息安全认证的问题。 太多了。 它们有两种形式:

1.信息安全认证真的值得吗?

2.我应该拿到哪些证书?

好消息: 我这有答案。

是的,证书很重要。 大学文凭也是如此,经验也是如此。 

事物具有别人赋予它们的价值。

认证没有任何内在价值。 它们的价值正如人们所认为的价值一样。 如果雇主在你想要应聘的地方要求你提供这些信息,那证书就很重要。 如果你想应聘的地方根本不在乎证书,那就没有价值。 就是这么简单。

但是对于初学者来说,证书还是很重要的。

我应该获得哪些证书?

让我们按级别来说:

· 初学者证书

如果你刚刚入行,我建议你获得以下认证:

1.A+

2.Network+

3.Linux+

4.Security+

CompTIA?不,我不为 CompTIA 效力,不过谢谢你的关心。

在这种情况下,我并不是说除了初学者之外,这些证书都有巨大的价值,但在学习方面是有价值的。

就像我在教育部分提到的,证书有很好的学习教材,如果你获得了所有这四个证书,你将对基础有一个相当好的理解。

· 高级证书

我喜欢这样解释信息安全认证: 你需要 CISSP,你应该得到一个审计证书(CISA/CISM) ,你应该得到一个技术证书(SANS)。 所以:

1.CISSP 对任何想要在安全领域有所作为的人来说都应该拿到

2.CISA/CISM 面向希望成为管理者的全能型安全人员

3.SANS (GSEC/GPEN/GWAPT) 适用于技术人员

4.OSCP 只用于渗透测试人员

一旦你有了四年的信息安全经验,你应该有你的 CISSP。 这是我们这个行业最接近标准底线的东西。 它实际上比许多组织的计算机科学学位要更好(因为很多人在大学里什么也没学到)。

接下来,我会介绍审计空间,这是信息安全的一个关键部分。 你需要拿到 CISA 或 CISM。

最后,如果你想要获得一个或多个技术认证。 我建议从 GSEC 开始,它非常全面。 你可以根据你的喜好选择 GCIA 或 GPEN 或 GWAPT。

OSCP 和 CREST 是核心渗透测试人员最受尊敬的证书,所以如果你感兴趣的话,一定要开始考虑这些证书。

然后是 CEH。人们有时会提到这个证书,所以你最好还是拥有它。 但是不要吹嘘自己拥有它,尤其是在经验丰富的安全人员面前。

与他人建立联系

请记住,你可以并行地执行上述许多步骤。

好了,现在我们有了一些教育经历,也有了一个实验室,而且我们正在做一些项目,我们有了我们的网站和 Twitter,所以,我们已经准备好入行了。

现在你需要主动去和一些人交谈。 同样,你可以并且应该一直这样做,但是如果你还没有这样做,那么现在绝对是时候这样做了。

看看谁访问了你的网站。 查看推特上有趣的互动。 接触那些人并开始对话。 去他们会去的地方,亲自和他们交流。 去拉斯维加斯参加黑帽大会和 DEFCON。 那里有很多信息安全行业的人可以一起聊聊天。

找一个良师益友

找一个你喜欢的风格的那种人,让他指导你。 给他们发邮件或者给他们打电话。 但是我们要事先做好研究。 首先确保你已经完成了本文中的内容。

为了从潜在的导师那里得到最好的反馈,在你们的第一次互动中要明确你已经在前期付出了努力。

让他们尽可能容易地帮助到你,这样你就不会被拒绝。 我在信息安全行业中看到的一件事是,人们非常愿意帮助那些渴望工作并且刚刚开始工作的人。

提供实习机会

主动提出与某人一起实习并且主动帮他们做一些苦差事。 为他们写脚本、编辑他们的博客文章、帮助他们筛选数据。 这些事情可以帮助到你,并可能在未来直接给你面试或其他机会。

本文翻译自:https://danielmiessler.com/blog/build-successful-infosec-career/如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/E65W
如有侵权请联系:admin#unsafe.sh