这是一个常见的问题,而且很难给出正确的答案。具有讽刺意味的是,简单的答案就是说“是”,然后就这样。虽然不是很正确的答案。
这并不是说它很容易,因为它不是,但它很简单。问题在于它的移动速度也很快而且很大。
我见过很多人说网络安全很难,因为需要技术知识,而其他人会告诉你不需要技术技能,所以很容易。许多人甚至难以将网络安全与信息安全与整体安全分开,这使情况更加混乱。
在本文中,我们将讨论:
我将把痛苦留到以后,所以我们将从开始网络安全职业生涯的方法开始。
要克服的首要挑战之一是确定你想走哪条路——或者至少要瞄准哪条路。网络安全不仅仅是渗透测试(尽管好莱坞会让人们相信)。不同的组织提供不同数量的路径,常见的数量从不到六到几十个不同的选项。
最常见的是红队和蓝队角色、渗透测试或安全运营中心 (SOC) 监控。正因为如此,他们往往是最具竞争力的进入者,具有明确且标志明确的路径,这意味着大多数人都在寻找入门级角色。
为了给自己一个巨大的优势,看看这两个之外。治理、风险和合规 (GRC) 角色提供不足,进入的技术障碍较少,坦率地说,前景更大。对于那些对开发、架构角色、取证、运营、专业领域更感兴趣的人,还有应用程序安全角色——当我写完这篇文章时——可能有几十个以前没有人听说过。
你会听到很多人说要追随你的激情。我反对这个建议——激情可能会转瞬即逝,而且在许多人已经过度工作和资源不足的领域,追求激情会很快导致倦怠。相反,我倾向于建议放纵好奇心。
网络安全方面没有比愿意并且能够快速学习更大的优势,而关注您感兴趣的主题是实现这一目标的好方法。几乎可以保证你必须在任何长度的职业生涯中多次转身,正如谚语所说“我们计划,上帝笑了”。不要对计划过于执着,学会顺其自然,抓住机会。
最大的障碍之一是首先进入一个角色。我有人们发送数百份申请但一无所获的第一手资料。
尽管我讨厌这么说,但这是有原因的。
大多数网络安全角色都不会被宣传。
那些确实有大量的应用程序需要处理。所以,即使有最好的简历,你也面临着糟糕的机会。相反,我从人们身上看到的最大成功是他们走不同的路线。
建立网络并与人联系非常有效。这不仅仅是一个数字游戏 - 拥有 50,000 个连接不会比拥有一些适合您的人更有优势。看看那些你想担任的职位,或为这些职位招聘的人,并征求(真诚地,这很重要)他们的建议。保持联系,让人们知道你想要做什么,你正在听取他们的建议。
网络有一些愤世嫉俗的方法。我不推荐那些。虽然您不应该试图让每一个联系成为一生中最好的朋友,但保持联系并提供帮助(或啤酒/咖啡)远比不断接受要好得多。
遵循此提示可为您提供一个为您寻找机会的人的整个网络,知道您正在建立正确的技能,并且能够在事情发生时代表您发言。请记住,只有当您以这种方式建立的关系是真诚的时,它才有效——不真诚或操纵他人不会长期对任何人有利,但公开和尊重地寻求帮助是可行的方法。
写帖子、文章、博客或任何关于你的旅程和你正在学习的东西是另一种方式,不仅可以建立你的网络,而且可以在专业领域留下印记。更好的办法是在新秀会议上或在已建立的会议上在新秀赛道上进行演示,以获得奖励积分,例如
每当他们出现时,抓住机会展示。这是很棒的体验,也是建立个人资料的好方法。
就您感兴趣的话题进行第一次演讲有助于吸引有兴趣寻找解决方案的人,这正是您希望注意到您的人的类型。大多数人不会在舞台上讲完,即使新秀曲目会在整个过程中提供支持和指导,所以一个简单的演讲真的可以让你成为一个领域的专家。
其中许多活动都是远程的,但是当他们面对面时,您还有另一个机会来建立您的网络以抓住新的机会。
在你找到第一个角色后,你会听到人们说你应该在一个角色上花 x 年或 y 年来证明你是稳定和忠诚的。我的下一条建议并不受欢迎(受雇主欢迎),也不适合所有人。
并不适合所有人。长期担任一个角色并没有错。有些雇主会在担任职务时提供成长和发展的机会。同样,您可能对某个角色感到满意并有其他优先事项。这些都没有错,下一条建议绝不是要暗示有。
睁大眼睛寻找机会。尽管存在关于所谓的网络安全技能差距的争论,但对于那些已经设法闯入的人肯定有需求(困难的部分来自于开始)。值得睁大眼睛和耳朵,并在新机会出现时寻找它们。
对角色的忠诚固然很好,但不应因为错位的忠诚而忽视机会。如果没有成长空间而您想进一步发展,那么在大多数情况下,搬家是最简单的方法。坦率和开放,不要让有限的角色限制你的成长。
你会听到人们原则上反对跳槽,指责任何像每隔几年很少更换角色的人缺乏承诺。我自己的经历是轶事,但在我独立之前的 20 年职业生涯中,我的角色平均任期为 10 个月——这从来没有成为一个问题。我不会说只是为了搬家而搬家,但我强烈建议不要因为害怕被贴上不忠的标签而没有抓住新机会是一个错误。
你会发现很多定义。有些是有用的,大多数是……没有。
例如,
因此,让我们从分解它开始。如果您在美国,您可能会看到网络安全多于网络安全,这只是区域差异。什么是安全?我遇到的对我们有用的最好、最简单的定义是保护资产免受威胁(实际上,资产和威胁最终都是人——即使在网络中——有时他们是同一个人)。太好了,我们已经完成了一半,我们已经定义了我们正在使用的学科。
现在什么是网络?好吧,还有很多定义,但其中大多数归结为它是一个由相互依赖的网络、技术基础设施和存在于它们之上的数据组成的域。更好的是,我们现在已经拥有了我们正在使用的域。
这意味着网络安全正在网络领域内应用安全规则。
这就是为什么人们对什么是网络安全如此困惑,并将其与信息安全和其他安全混为一谈。他们都在应用相同的基本安全原则,相同的学科,只是在不同的领域。
还有很多其他安全领域——我们可以谈论食品安全、生物、金融、经济等等,但我们现在将重点放在下面。该图显示了物理、信息、网络安全以及它们之间的关系。你很快就会明白为什么……
…边界和定义很容易变得模糊。
我会在其中包含信息技术,但这需要我无法以 2D 格式表示的额外维度。 IT、计算、技术或我们想要使用的任何术语都包含与信息相同的网络安全,而与信息安全重叠但不包含它。
当我们开始抛出这个词时,就会出现一个问题,它又回到了定义上(对不起,我知道这正在变成一本字典,但是这些东西对于理解这个问题很重要)。当我们说某事很难时,我们通常的意思是它令人沮丧。虽然网络安全可能(通常是)令人沮丧,但这与它本身很难。
更好的描述是网络安全具有挑战性。它可以学习,可以改进,它需要一定的思维方式、快速研究和学习的能力,以及许多其他技能,具体取决于你所关注的领域。可能有你擅长的领域,可能有你挣扎的领域,找到这些将塑造你的职业生涯的其余部分。
一个更好的说法是实现安全状态是复杂的。涉及很多活动部件,组织或环境越大,它就越复杂。所应用的原则很简单,但它们必须在任何地方彻底应用,不遗漏任何内容,应用于各种各样的技术和系统,所有这些技术和系统都是移动的目标。
最重要的是,您将拥有有限的资源,并且需要在业务的不同领域之间不断进行转换,以便他们不仅了解他们对安全的需求,而且了解这意味着什么。
这听起来像是我在警告你不要从事网络安全或更普遍的安全工作。我绝对不是——很少有领域可以产生如此巨大的积极(或消极)影响,即使它可能是无形的。它可能令人沮丧和疲惫;它也可以令人难以置信的充实。