如何在网络安全领域找到工作

这个故事是 Hacker Noon 的 ** How to get a job in tech ** 计划的一部分。该系列旨在供任何领域的技术专业人士分享他们在技术领域建立职业的经验，并帮助打破初学者技术人员面临的常见神话。

如果你也想分享你的经验，你可以在这里.

你现在的职位是什么？

经营我自己的公司，做一些咨询，一些培训和教学，一些口语，一些写作，大量的学习。

如今，很难在一个标签下定义，因为它是我觉得有趣的东西和为客户提供价值的东西之间的重叠。当人们问我做什么时，它肯定会带来挑战。

你在科技行业工作多久了？

现在已经二十多年了，已经有一段时间了。直到最近几年，它一直是一名员工，直到我在英国实施封锁后不久明智地独立了。顺便说一句，我不建议在全球危机中自愿离开稳定、安全和愉快的工作岗位，尝试接管和经营自己的企业。它对我有用，但我有很多焦虑的夜晚，想着会出什么问题。

在我从事技术工作的这段时间里，我做过技术支持、现场笔记本电脑维修、开发、架构、SOC 监控、工程、管理、风险、合规性以及许多其他工作。没有职业规划或精心规划的道路，只是在我觉得时机成熟时急切地抓住下一个机会——即使这意味着我必须冲刺才能赶上。

您的教育背景是什么？您是如何进入网络安全领域的？

最初是大学辍学生，只有少量的 A-levels。我确实最终在 2017 年回到大学攻读硕士学位，但在我职业生涯的大部分时间里，我的教育更多地基于专业证书和自我教育——或者我认为是导师的人的支持。

我的安全之旅真的很难判断。可以说，我在职业生涯之初就参与其中，在第二部英国数据保护法生效后不久管理学校网络——因此每个人都对信息安全感到新鲜。那时，信息安全仍然是新的流行语，而网络则遥遥无期。

现在我通常说我在安全领域，而不是将其缩小到信息或网络等特定领域，但直到几年前，我仍然将自己描述为网络安全领域。指出发生这种情况的特定点更具挑战性。

这是我现在强烈建议那些试图进入安全的人的一件事，意外闯入比故意闯入更容易。如果您从事的工作甚至与外围相关，并且可以参与组织中的安全团队，那么您甚至可以在不知不觉中发现自己在该领域。

我们很想了解更多关于导师的信息，这是一种格式安排吗？

非常不正式——最好的导师/学员关系通常不是。

不过，在我的整个职业生涯中，有两个人是我的导师，与他们一起工作相当于我在职位上最长的两个任期。

第一个角色是我最早的角色之一，他看到我有潜力做的不仅仅是坐在帮助台上，并带我来帮助架构和虚拟化，这在开始时给了我巨大的推动力。

第二次要晚得多，在独立前几年，确实填补了缺失的部分。当时她已经在我的雇主那里工作了 17 年，她对如何通过组织运作、应对政治以及在需要的地方参与人们的自身利益的指导从那时起就非常有效。

在你的职业生涯中，你得到的最好的建议是什么？

“记住这只是一个模型。”

这有多种形式，但多年来一直至关重要。在这个领域，我们经常陷入认为我们有答案的陷阱，因为我们已经确定一个模型或另一个模型是“真相”。这段录音提醒我们，无论我们使用什么模型，我们都不应该太执着——它只是思考和理解的指南，而不是规则手册。

我经常遇到一些人，他们把一个想法当作真理，却不能放手。无论是 CIA 三合会、过时的密码建议、特定的风险模型、测试方法还是其他任何东西，能够放手并通过不同的视角重新思考事情都是至关重要的。

我一直告诉我自己的学生的一件事，到了它成为一个笑话的地步（虽然现在有足够多的，但实际上并不是一个笑话）是没有正确的答案，只有更少的答案错误的。这很轻率，但在安全方面确实如此，没有最终目标或完美答案 - 我们致力于将目标足够好和持续改进相结合。停下来决定任何一个答案都是正确的，这就是问题的开始。

自学在网络安全中的重要性

混合。我经历过专业训练、学术训练和大量的自学。我不会说其中任何一个比其他任何一个或多或少重要，它是有价值的混合物，让我走到了现在。混搭，不要只专注于一种学习方式。

你会得到很多关于HacktheBox和TryHackMe等平台的建议，如果你想进入渗透测试，它们会非常有用。问题出在哪里，渗透测试只是网络安全领域的一小部分，它是最具竞争力的领域之一，因为它被视为“性感”的途径。沿着这些路径排除所有其他因素不会帮助您解决 GRC（治理、风险和合规性）、安全架构、密码学、架构、取证或其他任何可用的选项。

Security Blue Team和Immersive Labs是两个提供蓝队自我培训材料的组织，您可以找到大量有关事件响应和取证等技术领域的 YouTube 视频。

当您跳出技术领域时，事情就会变得具有挑战性，这里最好的建议是求助于已经在该领域的人的书籍和建议。鉴于范围广泛，我不会提供我推荐的书籍的完整列表（它会太长，可能是另一篇文章），但我们行业中的许多人总是很乐意与那些想要了解的人交谈闯入并提供一些建议。我会提供一些我一直建议的。

1. Cliff Stoll的布谷鸟蛋

   这是网络间谍活动最早的叙述之一，它跟踪调查并说明了现代数字取证和调查的基础。

2. Eliyaho M. Goldratt的目标

   虽然现在凤凰计划可能更广为人知，但目标是它所基于的工作，而且我发现有一些关于制造的更具体的例子使它更具相关性和怪诞性。

3. 罗伯特·恰尔蒂尼的影响

   经常被社会工程师推荐，Cialdini 的作品值得每个人阅读，因为你会在职业生涯中遇到许多与之相关的情况——这也是识别被用来对付你的原则的好作品。

4. 高效能人士的 7 个习惯斯蒂芬·R·柯维 (Stephen R. Covey)

   作为人们可能会有点愤世嫉俗的书之一，《7 个习惯》之所以成为经典是有原因的，而且还有很多要补充的地方。绝对值得一读。

5. 信息论：James V Stone 的教程介绍

   虽然每个人都对密码学略知一二，但香农在信息论方面的工作却经常被忽视。虽然大多数安全领域的人永远不会直接使用它，但花一些时间来理解它可以让你对会在你的职业生涯中产生影响的事情有完全不同的看法。

知道你现在做什么，你认为如果有一天他们想在你的位置上工作，应该从哪里开始学习？

哪里都可以。话虽如此，我仍然说学校是一个很好的起点——不是学习，而是管理系统。学校通常资金不足，拥有大量技术，在管理层认真对待安全性，并且是深入研究和快速学习的绝妙方式。

证书是一个困难的话题——它们周围有很多营销和蛇油，而且许多最终只能通过多项选择测试来评估，这使得它们作为衡量能力的一种方式不太有用，而且太容易被人们滥用.有些人在他们的课程中拥有有用的知识，但您不需要证书，因此通常最好将它们视为解锁所需角色的钥匙 - 但除非您必须（最好是一次），否则不要去追求证书你在，一家公司正在为你的培训和考试付费）。

我建议的一些事情是试着学会放下骄傲——这花了我好几年的时间，在那段时间里让我付出了很多代价——并且始终保留对事情完全错误的权利。还要准备好并愿意失败、学习并尝试不同的事情——不要坚持失败的情况，当某些事情不起作用时放弃是完全可以的。

你最引以为豪的与工作相关的成就是什么？

我接手的家族企业在经营两年后仍在不断发展壮大。尽管（或可能由于）我们相当独特的工作方式，它甚至还在增长。保持下去就已经是一种胜利，但是自从我接手以来我们的发展方式是我真正引以为豪的事情。

您认为开始从事网络安全职业的最大神话是什么？

申请表是要走的路。虽然查看关键字的 ATS 系统的整个想法有点神话，但您为宣传的入门级角色所针对的应用程序数量之多让您陷入困境。最好是通过对某人说个人话来建立网络并绕过系统。

不那么严肃的一点：你在工作时听什么？

这是相当不拘一格的——当我做任何需要大量思考的事情时，我发现人声分散了我的注意力。否则，它的范围包括乡村、爵士乐、恍惚，以及其他任何出现的东西。

非常感谢您花时间告诉我们更多关于您的职业道路的信息。对于有抱负的技术人员有什么智慧的话吗？

忘记追随你的激情。当大多数人谈论在职业中追随你的热情时，他们是在向后看。一开始的激情与后来的激情不同，它们是多变的突发奇想，试图严格遵守一个 - 或者更糟糕的是，如果你没有激情就认为有问题 - 是一种很好的杀戮方式他们死了，快。

相反，放纵你的好奇心。追随你感兴趣的事情，当这些兴趣发生变化时，不要让自己受制于这些兴趣。

真正的激情伴随着好奇心和满足它的努力，而不是相反。