作为一个没有技术背景的局外人加入网络安全领域对我来说是一次变革的旅程。这个行业立即让我着迷的是它不懈的步伐和不断提出的令人兴奋的挑战。在与该领域的专业人士互动时,他们对真正表现出学习意愿的新人的大力支持令我感到鼓舞。然而,我很快发现了一种普遍的观点:人们普遍期望新人能够独立自学。这可能是一个令人畏惧的期望,特别是考虑到许多潜在的网络安全初学者并不是天生的自学者。虽然天生的好奇心无疑是一种宝贵的特质,但必须认识到,许多人,即使是那些具有巨大潜力的人,也需要一个结构化的框架来将他们的第一步迈入这个广阔的领域。
近年来,在填补行业人才缺口方面取得了重大进展。然而,根据ISC2网络安全劳动力研究,截至2023年,全球网络安全领域新增了44万个就业岗位(同比增长8.7%),但仍有惊人的400万个职位空缺(同比增长12.6%) 。这种巨大的差距是由于雇主对有经验的专业人员的需求与现实世界中此类专业知识的短缺之间的脱节造成的
解决人才短缺的办法在于关注潜在网络安全专业人员职业生涯的早期阶段,特别是年轻学生。作为一个社区,我们必须为年轻人提供他们所需的工具,以探索网络安全作为可行的职业选择。关键是提供结构化、实用且易于理解的学习路径。以下是有关如何执行此操作的一些步骤和示例。
NIST-NICE 框架将网络安全工作分为七个高级类别:分析、收集和操作、调查、操作和维护、监督和治理、保护和防御以及安全提供。每个类别进一步分为专业领域和工作角色,为职业发展提供全面的路线图。
表 1:NICE 框架工作角色类别
类别 | 描述 | 工作角色数量 |
---|---|---|
安全配置 (SP) | 构思、设计、采购和/或构建安全 IT 系统。负责系统和/或网络开发的各个方面。 | 11 |
操作和维护 (OM) | 提供必要的支持、管理和维护,以确保有效且高效的 IT 系统性能和安全性。 | 7 |
监督和治理 (OV) | 提供领导、管理、指导或发展和宣传,以便组织可以有效地开展网络安全工作。 | 14 |
保护和捍卫(PR) | 识别、分析和减轻对内部 IT 系统和/或网络的威胁。 | 4 |
调查(IN) | 调查与 IT 系统、网络和数字证据相关的网络安全事件或犯罪。 | 3 |
分析(AN) | 对传入的网络安全信息进行高度专业化的审查和评估,以确定其对情报的有用性。 | 7 |
收集和运营 (CO) | 提供专门的拒绝和欺骗操作以及可用于开发情报的网络安全信息的收集。 | 6 |
该表展示了网络安全领域的广泛角色。通过了解这些类别,初学者可以更好地定位自己,以获得更量身定制和更明智的职业轨迹。
要全面了解 NIST-NICE 框架并访问为初学者量身定制的大量资源,可以访问
目标是探索网络安全的各个方面,并确定热情与熟练程度的交叉点。由于网络安全是一个动态领域,个人总是有调整、学习和发展的空间。
网络安全社区非常支持新人。即使是经验丰富的专业人士也常常愿意分享技巧和建议,并且对于初学者来说非常容易理解。结识这些人的秘诀是参加现场活动。
现场活动中的实时互动提供了自发的问题、讨论和更深入理解的可能性。这不仅仅是沉浸在知识中;这也与网络有关。这些场所是建立有意义的联系的绝佳机会,有可能带来指导、工作安排,甚至合作项目。此外,许多此类聚会都有现场挑战或实践研讨会,与会者通常可以在专家的指导下将理论付诸实践。
这就是为什么参加现场活动对网络安全爱好者如此有益:
说到场地,一些平台和组织脱颖而出:
当计划参加时,这里有一些提示:
因此,如果您的目标是加深网络安全知识和网络,参加此类活动可能会成为您通向下一个重大机会的垫脚石。
夺旗 (CTF) 挑战赛是参与者解决从密码学到 Web 应用程序漏洞等网络安全难题的竞赛。这些挑战为初学者提供了解决现实世界网络安全问题的实用经验。例如,DEF CON CTF 活动每年都会吸引全球观众,并提供适合所有技能水平的谜题。
参与 CTF 挑战与 NIST-NICE 框架中概述的几个领域直接相关:
分析 (AN):破译 CTF 中的密码难题可以提高与分析类别相关的技能,在分析类别中,人们可以评估传入的网络安全信息。
保护和防御 (PR):在 CTF 期间解决漏洞可增强参与者识别、分析和减轻 IT 系统威胁的能力,与保护和防御类别密切相关。
调查 (IN):一些 CTF 涉及取证挑战,与调查类别一致,即检查与 IT 系统相关的网络安全事件或犯罪。
安全配置 (SP):解决参与者必须保护或强化系统的挑战,这反映了安全配置类别,强调安全 IT 系统的设计和创建。
通过沉浸在 CTF 中,初学者不仅可以获得宝贵的实践经验,还可以根据 NICE 框架更好地了解他们可能感兴趣的不同角色和领域。它提供了一种切实有效的方式来探索和深化特定的网络安全能力。
在漏洞赏金活动中,公司激励道德黑客发现并报告其系统中的漏洞。这种做法在领先的技术公司中越来越普遍,实现了全球独立安全研究人员库的价值。例如,谷歌、Facebook、苹果、微软和 Twitter 等科技巨头都推出了自己的漏洞赏金计划,鼓励道德黑客识别并负责任地披露其平台中的潜在安全缺陷。通过提供这些活动,这些组织不仅增强了其系统的安全性,而且还与网络安全社区建立了共生关系。例如:
Bugcrowd、Hackerone 和 Intigrity 等平台也简化了流程,充当道德黑客与组织(包括那些可能没有 Google 或 Apple 等独立程序的组织)之间的中介。一旦发现漏洞并通过这些平台或直接向拥有既定计划的公司报告,就会经历验证过程。如果得到验证,研究人员可以获得经济奖励、认可或两者兼而有之。
对于初学者,有基于网络浏览器的实验室。这些实验室允许用户直接在浏览器中在受控环境中进行练习。虽然方便且易于访问,但这些平台可能无法完全复制现实世界系统的复杂性和复杂性。它们是很好的入门工具,但随着用户在网络安全之旅中取得进展,他们可能会发现它们的挑战性较小。
另一方面,存在需要 VPN 访问的虚拟化环境。这些平台提供的环境与实际公司基础设施几乎相同。虚拟化场景经过精心设计,可以模拟现实世界的网络、服务器和工作站。当用户通过 VPN 连接时,他们感觉自己仿佛真正处于运营网络中,从而提供了基于 Web 浏览器的实验室可能缺乏的真实性。这种类型的环境允许对工具、策略和程序进行更深入的探索,有效地培训参与者应对真正的网络安全威胁。这些环境中的严格培训可确保参与者做好工作准备,并充分准备好应对他们在网络安全职业生涯中可能面临的多方面挑战。
通过体验这两种类型的培训,考生可以了解网络安全挑战的复杂性,并更好地磨练自己的技能,成为高效的专业人士。
以下是针对初学者的免费或负担得起的实用网络安全培训资源列表:
上述资源只是网络安全社区中受到关注和赞赏的许多工具和平台的一个快照。网络安全培训的领域非常广泛,有价值的资源列表远远超出了此处提供的范围。此外,还有许多在线可用的开源项目和其他内容,有助于增强个人的学习之旅。
我将在下一段中详细介绍专门的论坛和网站,它们对于发现其他社区成员的评论或反馈非常宝贵。这种反馈可以让我们深入了解不断发布的新资源的质量。
在广阔的网络安全领域,经验丰富的人的指导可以发挥重要作用。像 LinkedIn 这样的平台尤其有益,不仅对于建立人际网络,而且对于寻找潜在的导师也非常有用。通过仔细查看个人资料、加入相关团体并积极参与讨论,您可以展示您的渴望并吸引愿意指导新人的经验丰富的专业人士的注意。
Discord 是一个最初为游戏玩家创建的平台,现已发展成为各种专业社区的中心。
专业论坛和网站进一步扩大了机会:
Reddit 的网络安全社区:诸如此类的平台
Wilders 安全论坛:深入讨论有关在线隐私、安全和数据保护的讨论
MalwareTips 和 Antionline 论坛:类似网站
Bleeping Computer 和 Spiceworks 社区:诸如此类的论坛
Hacklido:一个独特的平台,
通过积极参与这些论坛和社区,人们不仅可以扩展知识,还可以建立有意义的联系。当您参与并做出贡献时,遇到认可您的热情和奉献精神的潜在导师的机会就会大大增加。请记住,网络安全指导不仅仅是学习诀窍;还包括学习技巧。它涉及指导、反馈和理解快速发展的数字保护世界的细微差别。
当您踏上网络安全之旅时,熟悉大量可用的免费工具至关重要。这些工具得到了该领域专业人士的广泛认可和使用,可以显着增强您的学习体验:
线鲨:
OWASP ZAP(Zed 攻击代理):
Metasploit 社区版:
哼哼:
OpenVAS(开放漏洞评估系统):
卡利Linux:
利用这些工具的功能不仅可以让初学者对各种网络安全领域有实际的了解,还可以提供对抗潜在威胁的实践方法。请记住探索每个工具的相关文档和教程,因为它们通常拥有丰富的知识和最佳实践。
虽然有些自学者能够自己将各个点连接起来,但大量崭露头角的人才尚未成为网络安全生态系统的一部分,主要是因为他们缺乏初步指导。通过提供有针对性和实用的指导,我们可以帮助新一代网络安全专业人员铺平道路,准备好迎接这个快速发展的领域所提供的挑战和机遇。
结构化学习可以通过多种方式实现,本指南旨在提供一种替代视角,该视角来自非传统网络安全专业人士,他们有独特的机会向真正的黑客学习。