安全职业生涯进阶:92 个简单步骤 "破解" 安全行业
作者:Karl Levinson,CISSP,Looking Glass Systems
请参阅其他每月安全 MVP 文章专栏。
这么说您想要获得一份信息安全工作?或者您已经在从事信息安全工作 (infosec),但想要进一步提高或转到其他信息安全领域?
下面是我所知道的有关在信息安全方面自我提高的常见问题的答案。我在自己的职业生涯的各个阶段运用这些信息成功地实现了学习和提高。我唯一的遗憾是没有人早点向我提示这些信息,否则的话我现在也许已经功成身退,正在某个小岛上悠哉游哉,而不用在这里写文章教您如何抢走我的饭碗!现在言归正传。
认证
您花费时间和金钱取得某些安全认证后,将来的回报是更高的薪水和更好的就业机会。但是,取得认证并不意味着万事大吉。有了认证可以帮助您获得求职面试的机会,但不能保证您获得工作。您还必须在面试中证明自己有实际知识和经验,而这些并不能通过认证来获得。
CISSP 认证
最有价值的安全认证之一仍然是国际信息系统安全认证联合会 (ISC)2 提供的 CISSP 认证。我建议大多数安全专业人员在取得其他类似证书之前,先考虑获取 CISSP 认证。CISSP 认证与其他认证不同,它只需要您通过一次考试。承担不起昂贵培训费用的人可以使用随处可以买到的各种廉价 CISSP 教材。您也可以询问现在的雇主是否可以为您承担费用。
为获得 CISSP 认证,必须有一位现任或前任经理愿意证明您在安全工作方面有四年专职工作经验。(如果您持有批准的认证(比如 Microsoft 认证系统管理员 (MCSA) 或 CompTIA Security+),则可以减去一年。如果您有信息安全方面的大学学位,也可以减去一年。)由于这一要求,CISSP 不会为您获得第一份安全方面的工作,但却可以帮助您获得第二份或第三份工作。(ISC)2 提供了一些不太知名的入门级认证,比如只需要具有一年经验的系统安全认证从业者 (SSCP),和不需要经验的“(ISC)2 准成员”。这些认证不如 CISSP 那样出名,因此对您的职业生涯不会有同样大的帮助。我建议在可能的情况下直接获取 CISSP。
CISSP 考试费用为 499 到 599 美元,并且通常必须提前一个月甚至更长时间进行安排。您可能需要预测什么时候可以准备好参加考试,然后确保在该日期做好准备。换句话说,不要仓促应考,必须做好准备,然后安排在下一次考试日期参加考试。考试仅在相对较少的几个地点进行,通常是在大城市中。您可能需要旅行一段距离,甚至需要在外住宿,因为考试总是在上午 8:00 准时进行。
在考试过程中,您最多有 6 个小时的时间来解答 250 道多项选择题,其中有些题在措词上可能易于造成混淆。据说考试会根据正态分布曲线进行评分,因此及格分数会有所变化。及格与否的通知会在大约五周后邮寄给您。不会通知您准确的分数。
如果您通过阅读一本 400 页的教材来准备 250 道题的考试,您应阅读并理解每一页,否则就会有答错的风险。我建议您至少要阅读一本学习指南,同时还要阅读 CCCure.org 网站上提供的免费材料。然后应通过 CCCure.org 上提供的测验来测试您是否已做好考试准备。您还应查看免费的 (ISC)2 Candidate Information Bulletin(英文),其中包括考试中可能涉及的主题的列表。在看完这些材料后,如果您觉得对列表中的一项或多项准备不充分,您可以阅读有关这些主题的更多资料。
SANS GIAC 认证
SANS Institute 的 GIAC 系列安全认证也很有价值。SANS 提供的大多数认证和培训均面向有实际经验的计算机安全技术专业人员,这些人员已决定专门从事入侵检测和事件响应等工作。GIAC 提供的部分认证和培训面向审计人员或经理。
SANS 提供的认证培训可以使您增长见识,并可作为工作培训使您获益多多。同时其价格也非常昂贵,为 2,000 到 3,500 美元甚至更高(即使您选择 SANS 自学)。大多数考试都没有廉价的第三方教材,因此,SANS 即使不是唯一的 GIAC 培训来源,也是主要来源。
GIAC 认证分为“白银级”和“黄金级”。黄金级认证要求您在通过考试后撰写并提交一篇论文。如果您以捆绑形式同时购买 GIAC 培训和考试,您必须在完成培训后四个月之内安排进行考试。
如果资金紧张,您可以通过自学来获得 GIAC 认证:研读几本适合的书籍后,参加一次 50 美元的 GIAC 在线实践测试以增强您的信心,然后参加一项认证考试。即便如此,不参加培训的 GIAC 考试也会花费您 800 美元(即使考试未通过)。您可以考虑通过参加 100 美元的考试来获得一个级别较低的 GIAC“证书”。
您还可以从 SANS 技术学院获得理学硕士学位。要获得此学位,您必须通过八次 GIAC 认证考试,为获得“黄金级”认证提交数篇论文,完成分配给您的三个需要在现场住宿完成的“社区项目”,并在毕业时具有三年的工作经验。估计总学费为 29,000 美元左右,与从您所在地区其他学校获得信息安全硕士学位所需的费用相近。理学硕士学位最短可在两年内获得。SANS 有资格授予学位,但尚未经过鉴定。
其他认证
对于大多数技术安全领域而言,虽然 CISSP 和 GIAC 是两种最有价值的认证,但以下一些与安全有关的其他认证也可能有帮助。
某些供应商提供与其产品安全有关的认证,比如与安全有关的 Microsoft 认证专家 (MCP) 考试、安全专业 Microsoft 认证系统工程师 (MCSE) 和 Cisco 的 CCSP(Cisco 认证安全专家)认证。如果您想要或预期在以后使用、管理或设计这些产品,则这些认证对您会有价值。如果您不想或预期不会在以后使用 Cisco 设备,则获得 Cisco 认证对您价值不大。
有时可能需要处于某些职位的安全专业人员了解并支持来自多个供应商的产品。如果您就是这样的专业人员之一,您最好首先获得一个“不特定于供应商”的认证(比如 CISSP),而不要从任何单一供应商获得过多的认证。除非您已经对专门研究某一领域感兴趣,否则建议您对两种或两种以上的操作系统或设备达到半熟练的程度,而不要把时间仅仅用在对一种操作系统或设备获得很高程度的认证。
如果您在简历中列出四种或四种以上的认证,则有些雇主可能会怀疑您将所有时间都花费在了应付认证考试中,他们会怀疑您的真才实学。获得三个以上不同认证当然没什么问题,但建议在您的名下一次不要列出三个以上的认证。
请考虑从您的简历中去除与目标工作不相关的任何认证,或去除您认为自己最不擅长的领域的那些认证。还应考虑去除不太需要的认证。例如,如果您已获得 MCSE 认证,则建议您从简历中去除 MCP。如果您正在积极获取某一认证,则您应在简历中列出这一事实。
CompTIA 至少提供两种可能有价值的入门级认证(Linux+ 和 Security+),这两种认证特别适合于无法获得 (ISC)2 认证的情况。CompTIA A+ 认证与安全不相关,建议在申请与安全有关的职位时将其去除。
书籍
不管您是否对认证感兴趣,总有各种各样的方式可用来提高您的技能和经验。如果您囊中羞涩,无法参加昂贵的培训,自学也是一条出路。各种揭露黑客的书籍是一系列领域的极佳的入门教材。我也参与编写了以下书籍:《Incident Response and Computer Forensics, Second Edition》(英文);《Writing Secure Code, Second Edition》(英文)和《TCP/IP Illustrated, Volume 1》(英文)。如果企业防火墙是您所要面对的问题,请阅读《Building Internet Firewalls, Second Edition》(英文)。关于网络入侵检测监控,请试试《Network Intrusion Detection, Third Edition》(英文)。(ISC)2 提供了一个最佳安全书籍列表,该列表也与 CISSP 学习相关。
对于资金紧张的人,其中许多书籍(包括 CISSP 学习指南)都可以在 Amazon 以低价购到八、九成新的二手货。您当地的图书馆可能会有一些相关的书籍,或者您可以在 NetLibrary 或从下节引用的网站上查找免费的电子书籍。
网站
Microsoft TechNet 安全中心网站具有 Microsoft 免费提供的大量安全培训和参考信息。该网站还为喜欢听而不喜欢读的人提供了免费的网络广播。例如,请务必请查看《Security Guidance》(英文)、《Learning Paths for Security》(英文)、《Threats and Countermeasures》(英文)、《Understanding Security》(英文)、《IT Pro Security Community》(英文)、《Small Business Security》(英文)和《Security MVP Article of the Month》(英文)。可以说琳琅满目,应有尽有。
美国国家标准技术研究所 (NIST) 出版的《Special Publications》(英文)类似于介绍各种主题的免费培训书籍,其最显著之处在于介绍了现实中的大型企业是如何实现安全性的。您还可以在 SANS Reading Room 中阅读有关安全的短文(由 GIAC 认证应试者编著)。美国国土安全部的 BuildSecurityIn 网站上有一些有关 Web 和编程安全的优秀文章,Open Web Application Security Project (OWASP) 网站也有。另请查看 CERT/CC 的 论文和演示文稿。我自己的 SecurityAdmin.Info FAQ 网站上除了提供本文未列出的其他有用文章、网站和工具链接的长长列表外,也提供了大量安全信息。
技术支持论坛
在网站上的 Internet 支持论坛和在 Usenet 新闻组中发布内容,是获得实际经验的相对简单的途径。尽管这项工作没有报酬,但它却可以展示您在安全方面的天份和奉献精神、您的职业道德和您的写作技能。这也是新手了解最常见的实际问题(及这些问题的解决方法)的绝佳途径。这些信息可帮助您在求职面试中聪明地回答问题。仅仅通过认证往往并不能确切地告诉您如何解决当今最常见的问题。
找到一个与您感兴趣的 IT 安全领域相关的技术支持论坛。首先不要张贴帖子。“潜伏”下来,阅读问题和建议。但要保持开放心态。对有关安全方面的“总是”和“从不”这样的露骨说法要抱怀疑态度。一段时间以后,您可能就会了解并记住您以前所不知道的答案。之后,您即可以开始权威性地解答越来越多的问题。
在论坛中出名后再深入一步。一遍又一遍地回答同一个问题对任何人都不是一件有乐趣的事。如果论坛设有“常见问题”网站,则您可以主动帮助维护该页面。如果没有“常见问题”,您可以自己编写一个并将其发布到 Usenet,或建立您自己的有关该主题的常见问题网站。(FAQ on my site 只是众多常见问题示例网站中的一个。)您还可以向您的网站中添加博客,然后添加有关当前事件、新热点主题等的评论和文章。不管最终结果如何,请务必在简历和求职面试中提及您的成果。
下面是几个流行的安全支持论坛:
• Microsoft Newsgroups
• SecurityFocus
• Google Groups
• Insecure.org
• CastleCops Forums
• Broadband Reports
• Gibson Research Corporation (GRC)
• Firewall-Wizards
• Total Virus Defense Users Group
某些基于 Web 的论坛还可以通过电子邮件或 Usenet 新闻组进行访问。在通过后者进行访问的情况下,您会发现使用新闻阅读器软件(比如 Microsoft Outlook Express 或 Forte Free Agent)直接访问 news:// 服务器,要比使用网页来阅读发布内容更容易一些。
Microsoft MVP 奖
作为一种附加的鼓励机制,如果您经常性地向免费的 Microsoft 技术支持论坛发布可靠的建议,您可能有机会被提名获得 Microsoft MVP(最有价值专家)奖。这无疑会给您的简历增光添彩。Microsoft MVP 奖的其他好处包括教育机会、与 Microsoft 内部和外部的安全专业人员建立沟通的机会以及一些有趣的礼品。Microsoft MVP 还有机会撰写并发表文章供成千上万的人阅读(比如您正在阅读的这篇文章就是)。
MS MVP 奖用于奖励过去的成就,并以此来支持用户社区。Microsoft 通过这个项目来鼓励用户社区中的人坚持不懈地勤奋工作。不要担心,MVP 获奖之后并不需要在言行方面与以往不同。不会要求 MS MVP 成为推行 Microsoft 产品的布道者 — 即使成为布道者也不会有助于您获得 MVP 提名。(如果您不相信,请阅读下一节,我在其中包括了指向 Linux 启动 CD 的链接。)
在 Microsoft 新闻组中发布内容并不是唯一一种赢取 MS MVP 奖提名的方式。人们有时也会因为对其他非 Microsoft 社区(比如我在上文中提及的社区)做出了切实的贡献,或因为其自己的网站或软件,而获得 MS MVP 提名。除 Microsoft 外,其他供应商也可能设有类似的奖励项目。
软件工具
在许多技术安全领域,对 TCP/IP 和至少一种(两种更好)操作系统(比如 Microsoft Windows、Linux、BSD 或 Sun Microsystems 的 Solaris)有渊博的知识,可以使您获得极佳的优势。使用 Wireshark [Ethereal] 嗅探程序、Nessus 漏洞扫描程序、Snort 入侵检测系统 (IDS) 软件或者其他网络安全工具 75 强中的一种或多种工具,是一个良好的开端。使用其中的某些工具可能会违反您的雇主或 Internet 服务提供商的规定,并可能导致被解雇或断线,因此请小心从事,先得到同意。掌握至少一种编程或脚本编写语言(比如 C、C++、汇编语言、Perl、VBScript、JavaScript 和/或 HTML)会有帮助,但并非绝对必需。
如果您仅熟悉 Windows,则熟悉其他操作系统和 Windows 以外的安全工具的有效方法,是使用免费的 Linux 实时启动 CD。下载、刻录然后插入启动 CD,您的计算机很快就会运行 Linux 以及所有相关的实用程序,无需您安装任何内容或进行任何故障排除。Helix 和 Knoppix-STD 是流行的两种与安全相关的实时 CD,其他实时 CD 列于 Darknet 和 KNOPPIX 网站上。其中的某些光盘甚至专门适合于进行渗入测试或论证。其他 Linux 光盘可以使速度缓慢的老式备用计算机成为防火墙。如果您不具备快速访问 Internet 连接的能力,则可以通过邮购方式购买这些 CD。另外还有可放在启动软盘中的较小的 Linux 分发版本。
实时启动盘的优势在于,您可以随身携带这些光盘,并可以在几乎任何计算机上运行这些光盘,而基本上不会出现问题。但除非您受过专门训练并已认真完成过许多任务,否则您会发现仅仅使用一个启动 CD 很难超越“摸索练习”阶段。如果您每天都要支持或使用该软件,您可能需要了解更多信息。在家里通过 IDS 软件对入侵作出响应或监视网络通信量,与在工作中通过实时系统和数据执行此类操作完全不同。
专业化
您可能会考虑专门担任某一特定的安全职位。安全专业职位多种多样,您不可能成为所有职位的专家。
某些领域可能易于让新手进入。例如,IDS 监控是一个安全领域,它需要使用入门级的人员来提供 24 小时监控,以便将监控成本控制在可承受的范围内。专业从事 IDS 监控的信息安全领域新手可以籍此进入该领域(假定您所在地区有从事 IDS 监控的公司)。如果愿意从事一段时间的夜班工作,则将有助于您迈出走向成功的第一步,虽然在日班以外的时间进行学习和提高会更难。
专业从事计算机论证可能会有所帮助,因为对具有论证技能的人才似乎求大于供。不过,此类工作可能并不总是像在电视上看到的那样有趣。
您不太可能找到渗入测试或系统破解方面的实习职位。这些工作很难找到。您可能会找到一些涉及漏洞评估扫描的入门级认证与鉴定 (C&A) 工作,特别是当您住在从事此项工作的联邦政府或其他实体附近时。
求职
某些工作的招聘启事并不会随处张贴,而只在雇主的网站上发布。若要找到安全方面的工作,您可能必须找出并访问您所在地区从事安全工作的雇主的网站。它们往往是大型组织(比如商务公司及联邦和州政府实体),以及为这些大型组织从事安全工作的承包公司(比如我所供职的公司 Looking Glass Systems)。像联邦承包商 100 强名单中前 25 家这样的大型组织往往拥有更多的入门级安全职位,而且以后提高的机会也更多。另外,许多雇主还重视在大型环境中从事安全工作的经验。
您也许还想在有安全职位的公司中担任非安全方面的职位。许多雇主都不愿意冒险聘用他们不了解的人员和没有专职安全工作经验的人员。不过,在对您的工作进行一年的考察后,这些雇主可能会很愿意将您这位爱好安全工作的优秀员工从服务台或服务器团队调到安全工作岗位上。但要当心:如果您在一家新公司的求职面试中声称您想从事安全工作,您往往不会获得这份工作。
面试
为进入 IT 安全领域而需要了解的知识中,有许多都与 IT 或安全无关。求职面试考官不仅会评判您的知识和想法,还会评判您表达思想的方式,以确定您的个性是否适合他们的团队。
和生活中的许多其他事情一样,求职面试也是一种游戏。您必须知道如何玩好这个游戏,这意味着您需要学习和锻炼。可到您当地的图书馆中借阅一两本有关简历和求职面试的书籍。您每发出 100 份简历,不要指望答复您的公司会超过 4 家,最初的几次面试也要做好惨痛失败的准备。如果您担心这些事情,请发出更多的简历,并与有见识且可以给您提供反馈意见的人进行面试演练。
在面试中,夸夸其谈和沉默寡言都不足取。务必要诚实,但要知道什么事该说,什么事不该说。承认不知道答案胜于信口开河和胡编乱造。可以对您过去的经历稍加润色,但如果您凭空说谎,多数人都会识破您的谎言,而不能识破谎言的雇主往往不适合从事严肃的安全工作。如果您加入了这样的一个团队,您会发现团队中可能还会雇用其他不合格的人员,最终您将不得不代劳他们的份内工作,或者所学甚少,甚或在公司面临倒闭时遭到解雇。
把您要问的有关工作、团队和公司的问题列成一个清单。知道何时和如何提到钱的事,并避免先提出金额。在我面试的人当中,我很惊讶地发现似乎许多人都不知道这些原则。
感到困惑吗?好的。由于篇幅有限,我不可能对您需要了解的事宜面面俱到。我希望至少已经让您明白此处所讨论的问题确实存在,并让您产生了探寻更多细节的兴趣。
和大多数其他技能一样,信息安全工作并非只有少数高人才会的秘籍。如果您阅读安全方面的书籍、从事安全方面的工作并乐此不疲,您就会成为行家里手,并可以将此一技之长变为职业生涯。
顺便说一句,阅读本文仅为第 1 步,是否要了解其余的 91 步取决于您了!