Làm thế nào để có được một công việc trong an ninh mạng

Câu chuyện này là một phần trong sáng kiến ** Cách kiếm việc làm trong lĩnh vực công nghệ ** của Hacker Noon. Loạt bài này dành cho các chuyên gia công nghệ trong bất kỳ lĩnh vực nào để chia sẻ kinh nghiệm của họ trong việc xây dựng sự nghiệp trong lĩnh vực công nghệ và giúp phá vỡ những lầm tưởng phổ biến mà giới công nghệ mới bắt đầu đang gặp phải.

Nếu bạn cũng muốn chia sẻ kinh nghiệm của mình, Bạn có thể làm như vậy ở đây .

Vị trí hiện tại của bạn là gì?

Điều hành công ty của riêng tôi, làm công việc tư vấn, đào tạo và giảng dạy, nói, viết, học rất nhiều.

Ngày nay, thật khó để định nghĩa dưới một nhãn hiệu vì đó là sự trùng lặp giữa bất kỳ thứ gì tôi thấy thú vị và bất kỳ thứ gì cung cấp giá trị cho khách hàng. Nó chắc chắn mang đến những thách thức khi mọi người hỏi tôi rằng tôi đang làm gì.

Bạn đã làm việc trong lĩnh vực công nghệ bao lâu rồi?

Hơn hai thập kỷ nay, vậy là đã được một thời gian. Cho đến vài năm gần đây, nó vẫn luôn là một nhân viên, cho đến khi tôi trở nên độc lập một cách hợp lý ngay sau khi khóa chuyển đến Anh. Cũng như một lưu ý, tôi không khuyên bạn nên tự nguyện rời bỏ công việc ổn định, an toàn và thú vị giữa cuộc khủng hoảng toàn cầu để thử tiếp quản và điều hành công việc kinh doanh của riêng bạn. Nó có hiệu quả với tôi, nhưng tôi đã có nhiều đêm lo lắng nghĩ rằng điều gì có thể xảy ra.

Trong suốt thời gian làm việc trong lĩnh vực công nghệ, tôi đã thực hiện hỗ trợ công nghệ, sửa chữa máy tính xách tay hiện trường, phát triển, kiến trúc, giám sát SOC, kỹ thuật, quản lý, rủi ro, tuân thủ và một số thứ khác. Không có kế hoạch nghề nghiệp hay con đường được vạch sẵn cẩn thận, chỉ đơn giản là háo hức nắm bắt cơ hội tiếp theo khi tôi cảm thấy thời điểm thích hợp - ngay cả khi điều đó có nghĩa là tôi phải chạy nước rút để bắt kịp.

Nền tảng giáo dục của bạn là gì và kết quả của bạn trong lĩnh vực an ninh mạng như thế nào?

Ban đầu, học sinh bỏ học đại học, với điểm A-level lẹt đẹt. Cuối cùng, tôi đã quay lại trường đại học để lấy bằng thạc sĩ vào năm 2017, nhưng đối với hầu hết sự nghiệp của tôi, việc học của tôi chủ yếu dựa vào các chứng chỉ chuyên môn và tự giáo dục - hoặc hỗ trợ từ những người mà tôi coi là người cố vấn.

Hành trình của tôi vào lĩnh vực an ninh thực sự rất khó để đánh giá. Có thể cho rằng tôi đã tham gia vào công việc này từ khi bắt đầu sự nghiệp của mình, quản lý mạng trường học ngay sau khi Đạo luật Bảo vệ Dữ liệu thứ hai của Vương quốc Anh có hiệu lực - vì vậy, bảo mật thông tin luôn mới mẻ trong tâm trí mọi người. Vào thời điểm đó, bảo mật thông tin vẫn là một từ thông dụng mới và không gian mạng là một chặng đường dài phía trước.

Ngày nay, tôi thường nói rằng tôi đang làm trong lĩnh vực bảo mật, không phải thu hẹp nó trong một lĩnh vực cụ thể như thông tin hoặc mạng, nhưng cho đến vài năm trước, tôi vẫn tự mô tả mình là trong lĩnh vực an ninh mạng. Chỉ ra một điểm cụ thể nơi điều đó đã xảy ra là một thách thức nhiều hơn.

Có một điều tôi đặc biệt đề nghị với những ai đang cố gắng xâm nhập vào khu vực an ninh, việc đột nhập tình cờ sẽ dễ dàng hơn là cố ý. Nếu bạn đang ở trong một lĩnh vực nào đó thậm chí có liên quan đến ngoại vi và có thể tham gia vào đội bảo mật trong một tổ chức, bạn có thể tìm thấy chính mình trong lĩnh vực này trước khi bạn biết điều đó.

Chúng tôi muốn biết thêm một chút về những người cố vấn, đó có phải là một sự sắp xếp định dạng không?

Rất không chính thức - các mối quan hệ cố vấn / người cố vấn tốt nhất thường không như vậy.

Tuy nhiên, có hai người mà tôi muốn chỉ đến với tư cách là người cố vấn trong suốt sự nghiệp của mình và làm việc với họ tương ứng với hai nhiệm kỳ dài nhất của tôi trong các vai trò.

Đầu tiên là trong một trong những vai diễn đầu tiên của tôi, một anh chàng nhìn thấy tiềm năng ở tôi để làm nhiều việc hơn là ngồi trên quầy trợ giúp và đưa tôi đến để trợ giúp về kiến trúc và ảo hóa, điều này đã tạo cho tôi một sự thúc đẩy rất lớn ngay từ đầu.

Lần thứ hai muộn hơn nhiều, một vài năm trước khi độc lập, và thực sự lấp đầy những phần còn thiếu. Cô ấy đã làm việc với chủ của tôi vào thời điểm đó được 17 năm, và sự hướng dẫn của cô ấy về cách hoạt động thông qua các tổ chức, tung hứng với chính trị và thu hút lợi ích của mọi người khi cần thiết đã vô cùng hiệu quả kể từ đó.

Lời khuyên tốt nhất mà bạn nhận được trong suốt sự nghiệp của mình là gì?

“Hãy nhớ rằng nó chỉ là một mô hình."

Có nhiều dạng khác nhau của việc này, nhưng nó vẫn quan trọng trong suốt nhiều năm. Trong lĩnh vực này, chúng ta thường mắc vào bẫy khi nghĩ rằng chúng ta đã có câu trả lời bởi vì chúng ta đã quyết định mô hình này hay mô hình khác là 'sự thật'. Soundbite này là một lời nhắc nhở rằng bất kể chúng ta đang sử dụng mô hình nào, chúng ta không nên quá gắn bó - nó chỉ là một hướng dẫn để suy nghĩ và hiểu biết, không phải là một cuốn sách quy tắc.

Tôi đã gặp những người quá thường xuyên đã bám chặt lấy một ý tưởng là chân lý và không thể từ bỏ nó. Cho dù đó là bộ ba của CIA, lời khuyên về mật khẩu lỗi thời, các mô hình rủi ro cụ thể, cách tiếp cận để kiểm tra hay bất kỳ điều gì khác thì điều tối quan trọng là có thể buông bỏ và suy nghĩ lại mọi thứ qua một lăng kính khác.

Một điều tôi luôn nói với các sinh viên của mình, đến mức nó trở thành một trò đùa (mặc dù ngày nay có đủ số chúng nhưng thực sự không quá chỉ là một trò đùa) là không có câu trả lời đúng, chỉ là những câu ít hơn. Sai lầm. Đó là điều dễ hiểu, nhưng về mặt bảo mật, đó là sự thật, không có mục tiêu cuối cùng hay câu trả lời hoàn hảo - chúng tôi làm việc kết hợp giữa việc hướng tới mục tiêu đủ tốt và cải tiến liên tục. Dừng lại và quyết định bất kỳ một câu trả lời nào là đúng cũng là lúc vấn đề bắt đầu.

Tầm quan trọng của việc tự học trong an ninh mạng

Trộn. Tôi đã trải qua quá trình đào tạo chuyên nghiệp, đào tạo học thuật và tự học hỏi rất nhiều. Tôi sẽ không nói rằng bất kỳ cái nào trong số đó quan trọng hơn hoặc ít hơn những cái khác, đó là sự pha trộn có giá trị và đưa tôi đến vị trí của mình. Trộn và kết hợp, đừng cống hiến hết mình cho một cách học.

Bạn sẽ nhận được rất nhiều lời khuyên về các nền tảng như HacktheBox và TryHackMe , và chúng cực kỳ hữu ích nếu bạn muốn tham gia thử nghiệm thâm nhập . Điều này sai ở chỗ thử nghiệm thâm nhập là một tập hợp con nhỏ của lĩnh vực an ninh mạng và nó là một trong những lĩnh vực cạnh tranh nhất để tham gia vì nó được coi là con đường 'sexy'. Đi xuống những con đường đó để loại trừ tất cả những thứ khác sẽ không giúp bạn với GRC (Quản trị, Rủi ro và Tuân thủ), kiến trúc bảo mật, mật mã, kiến trúc, pháp y hoặc bất kỳ hàng tá tùy chọn nào khác có sẵn cho bạn.

Security Blue Team và Immersive Labs là hai tổ chức cung cấp thước đo tài liệu tự đào tạo của nhóm blue và có rất nhiều video trên YouTube về các lĩnh vực kỹ thuật như ứng phó sự cố và pháp y mà bạn có thể tìm thấy.

Đó là khi bạn bước ra ngoài kỹ thuật, mọi thứ có thể trở nên thách thức, và lời khuyên tốt nhất ở đây là hãy tìm đến sách và lời khuyên từ những người đã có trong lĩnh vực này. Với phạm vi rộng lớn, tôi sẽ không cung cấp danh sách đầy đủ các cuốn sách mà tôi muốn giới thiệu (sẽ quá dài, có thể là một bài báo khác), nhưng nhiều người trong chúng tôi trong ngành luôn sẵn lòng nói chuyện với những người đang muốn đột nhập và cung cấp một số khuyến nghị. Tôi sẽ cung cấp một số mà tôi luôn đề xuất.

1. The Cuckoo's Egg của Cliff Stoll

   Một trong những bản tường thuật sớm nhất về gián điệp mạng, cuốn này theo dõi một cuộc điều tra và minh họa nền tảng của các cuộc điều tra và pháp y kỹ thuật số hiện đại.

2. Bàn thắng của Eliyaho M. Goldratt

   Mặc dù ngày nay Dự án Phượng hoàng có thể được biết đến nhiều hơn, nhưng Mục tiêu là công việc dựa trên nó và có điều gì đó về những ví dụ cụ thể hơn về sản xuất mà tôi thấy làm cho nó trở nên dễ hiểu và thú vị hơn.

3. Ảnh hưởng của Robert Cialdini

   Thường được giới thiệu bởi các kỹ sư xã hội, tác phẩm của Cialdini rất đáng đọc cho mọi người vì bạn sẽ gặp nhiều tình huống trong nghề nghiệp của mình khi nó có liên quan - nó cũng là một tác phẩm tuyệt vời để nhận ra các nguyên tắc đang được sử dụng chống lại bạn.

4. 7 thói quen của những người hiệu quả cao của Stephen R. Covey

   Một trong những cuốn sách mà mọi người có thể hơi hoài nghi, 7 thói quen là một tác phẩm kinh điển có lý do và vẫn còn rất nhiều điều để bổ sung. Chắc chắn đáng để đọc.

5. Lý thuyết thông tin: Giới thiệu hướng dẫn của James V Stone

   Trong khi mọi người đều biết một chút về mật mã, công việc của Shannon về lý thuyết thông tin thường bị bỏ qua. Mặc dù hầu hết mọi người trong lĩnh vực bảo mật sẽ không bao giờ trực tiếp sử dụng nó, nhưng dành một chút thời gian để hiểu nó có thể mang lại cho bạn một cái nhìn hoàn toàn khác về những thứ sẽ tạo ra sự khác biệt trong suốt sự nghiệp của bạn.

Biết bạn làm gì bây giờ, bạn nghĩ người ta nên bắt đầu học từ đâu nếu một ngày nào đó họ muốn làm việc ở vị trí của bạn?

Bất cứ nơi nào bạn có thể. Nói như vậy, tôi vẫn nói rằng trường học là một nơi tuyệt vời để bắt đầu - không phải nghiên cứu, mà là quản lý hệ thống. Các trường học thường được cấp vốn thấp, có nhiều công nghệ, coi trọng vấn đề bảo mật ở cấp quản lý và là một cách tuyệt vời để đi sâu vào tìm hiểu sâu và học hỏi thực sự nhanh chóng.

Chứng chỉ là một chủ đề khó - có rất nhiều hoạt động tiếp thị và dầu rắn xung quanh chúng, và nhiều giấy chứng nhận cuối cùng chỉ được đánh giá bằng các bài kiểm tra trắc nghiệm, điều này khiến chúng không hữu ích như một cách đo lường khả năng và quá dễ dàng để mọi người lạm dụng . Một số có kiến thức hữu ích trong chương trình giảng dạy của họ, nhưng bạn không cần chứng chỉ cho điều đó, vì vậy, tốt nhất bạn nên coi chúng như chìa khóa để mở khóa các vai trò mà chúng yêu cầu - nhưng không theo đuổi thông tin đăng nhập trừ khi bạn phải làm như vậy (lý tưởng là một lần bạn đang tham gia và một công ty đang trả tiền cho khóa đào tạo và bài kiểm tra của bạn).

Một vài điều tôi đề nghị là cố gắng học cách từ bỏ sự kiêu ngạo - điều đó đã khiến tôi mất vài năm và khiến tôi tốn rất nhiều thời gian - và luôn bảo lưu quyền được sai hoàn toàn về mọi thứ. Ngoài ra, hãy sẵn sàng và sẵn sàng thất bại, học hỏi và thử một điều gì đó khác biệt - đừng cố chấp với những tình huống thất bại, bạn hoàn toàn có thể từ bỏ khi điều gì đó không hiệu quả.

Thành tích liên quan đến công việc mà bạn tự hào nhất là gì?

Công ty gia đình mà tôi tiếp quản vẫn đang phát triển mạnh mẽ sau hai năm tôi điều hành nó. Nó thậm chí đang phát triển, mặc dù (hoặc có thể do) cách làm việc khá độc đáo của chúng tôi. Chỉ cần giữ cho nó tiếp tục sẽ là một chiến thắng, nhưng cách chúng tôi đã phát triển kể từ khi tôi tiếp quản là điều tôi thực sự tự hào.

Bạn nghĩ điều gì là hoang đường lớn nhất về việc bắt đầu sự nghiệp trong lĩnh vực an ninh mạng?

Đó là cách để đi. Mặc dù toàn bộ ý tưởng về hệ thống ATS xem xét từ khóa là một chút hoang đường, nhưng số lượng ứng dụng tuyệt đối mà bạn đang áp dụng cho các vai trò cấp đầu vào được quảng cáo khiến bạn gặp khó khăn. Tốt hơn hết là kết nối mạng và vượt qua hệ thống bằng cách sử dụng một lời nói cá nhân dành cho ai đó.

Một lưu ý ít nghiêm trọng hơn: Bạn nghe gì khi làm việc?

Nó khá chiết trung - rất nhiều nhạc cụ khi tôi làm bất cứ điều gì đòi hỏi nhiều suy nghĩ vì tôi thấy rằng giọng hát khiến tôi phân tâm. Nếu không, nó bao gồm đồng quê, jazz, trance, và bất cứ thứ gì khác bật lên.

Cảm ơn rất nhiều vì đã dành thời gian để cho chúng tôi biết thêm về con đường sự nghiệp của bạn. Có lời nào khôn ngoan dành cho giới công nghệ đầy tham vọng không?

Quên đi theo đam mê của bạn. Khi hầu hết mọi người nói về việc theo đuổi đam mê của bạn trong sự nghiệp, họ đang nhìn ngược lại. Những niềm đam mê bạn có khi bắt đầu sẽ không giống như sau này, chúng là những ý tưởng hay thay đổi và cố gắng tuân thủ nghiêm ngặt một điều - hoặc tệ hơn, tin rằng có điều gì đó không ổn nếu bạn không có - là một cách tốt để giết chết chúng chết, nhanh chóng.

Thay vào đó, hãy khơi gợi trí tò mò của bạn. Hãy theo đuổi những gì bạn quan tâm, và đừng ràng buộc bản thân vào những sở thích đó khi chúng thay đổi.

Niềm đam mê thực sự kéo theo sự tò mò và nỗ lực để thỏa mãn nó chứ không phải ngược lại.