Как получить работу в сфере кибербезопасности
5 ноября 2022 г.Эта история является частью компании Hacker Noon. Как устроиться на работу в сфере высоких технологий . Серия предназначена для технических специалистов в любой области, чтобы поделиться своим опытом построения карьеры в области технологий и помочь разрушить распространенные мифы, с которыми сталкиваются начинающие технические специалисты. п
Если вы тоже хотите поделиться своим опытом, это можно сделать здесь.
Какова ваша текущая позиция?
Управляю собственной компанией, немного консультирую, немного обучаю и обучаю, немного говорю, немного пишу, много учусь.
В наши дни трудно определить под одним ярлыком, поскольку это совпадение между тем, что я нахожу интересным, и тем, что представляет ценность для клиентов. Когда меня спрашивают, чем я занимаюсь, это, безусловно, создает проблемы.
Как давно вы работаете в сфере технологий?
Уже более двух десятилетий, так что это было давно. Вплоть до последних нескольких лет я всегда был наемным работником, пока я не стал независимым вскоре после того, как в Великобритании ввели карантин. В качестве примечания: я бы не рекомендовал добровольно оставлять стабильную, надежную и приятную работу в разгар глобального кризиса, чтобы попытаться взять на себя управление собственным бизнесом. Мне это помогло, но я провел много тревожных ночей, думая, что может пойти не так.
За время работы в сфере технологий я занимался технической поддержкой, ремонтом ноутбуков в полевых условиях, разработкой, архитектурой, мониторингом SOC, проектированием, управлением, рисками, соблюдением нормативных требований и рядом других вещей. У меня не было плана карьеры или тщательно продуманного пути, я просто с нетерпением хватался за следующую возможность, когда чувствовал, что пришло время, даже если это означало, что мне нужно было бежать, чтобы наверстать упущенное.
Какое у вас образование и как вы оказались в сфере кибербезопасности?
Первоначально бросил университет, имея небольшое количество A-level. В конце концов, в 2017 году я вернулся в университет, чтобы получить степень магистра, но большую часть своей карьеры мое образование основывалось на профессиональных сертификатах и самообразовании или на поддержке людей, которых я считал наставниками.
О моем пути в сфере безопасности действительно трудно судить. Возможно, я был вовлечен в это еще в начале своей карьеры, управляя школьными сетями вскоре после вступления в силу второго закона Великобритании о защите данных, поэтому информационная безопасность была свежа в умах всех. В то время информационная безопасность была еще модным словом, а киберпространство было далеко за горизонтом.
В настоящее время я обычно говорю, что занимаюсь безопасностью, не сужая ее до конкретной области, такой как информация или кибербезопасность, но еще несколько лет назад я все еще называл себя специалистом по кибербезопасности. Указать конкретный момент, когда это произошло, сложнее.
Одна вещь, которую я настоятельно рекомендую сейчас тем, кто пытается проникнуть в систему безопасности, легче взломать случайно, чем преднамеренно. Если вы занимаетесь чем-то даже периферийным и можете взаимодействовать с командой безопасности в организации, вы можете оказаться в поле еще до того, как осознаете это.
Мы хотели бы узнать немного больше о наставниках, была ли это договоренность о формате?
Очень неформально – лучшие отношения между наставником и подопечным зачастую таковыми не являются.
Однако есть два человека, которых я бы назвал наставниками на протяжении всей своей карьеры, и работа с ними соответствует двум моим самым продолжительным срокам пребывания на этих должностях.
Первый был на одной из моих самых первых должностей, парень, который увидел во мне потенциал, чтобы делать больше, чем сидеть в службе поддержки, и пригласил меня помочь с архитектурой и виртуализацией, что поначалу дало мне огромный импульс.
Второй был намного позже, за несколько лет до обретения независимости, и действительно восполнил недостающие элементы. В то время она проработала с моим работодателем 17 лет, и с тех пор ее советы о том, как действовать через организации, манипулировать политикой и привлекать личные интересы людей там, где это необходимо, были чрезвычайно эффективными.
Какой лучший совет вы получили за свою карьеру?
"Помните, что это всего лишь модель."
Есть разные формы этого, но на протяжении многих лет это было жизненно важно. Слишком часто в этой области мы попадаем в ловушку, думая, что у нас есть ответы, потому что мы решили, что та или иная модель является «истиной». Этот звуковой фрагмент напоминает нам о том, что какую бы модель мы ни использовали, мы не должны слишком привязываться к ней — это всего лишь руководство к размышлению и пониманию, а не свод правил.
Я слишком часто сталкивался с людьми, которые цеплялись за одну идею как за истину и не могли от нее отказаться. Будь то триада ЦРУ, устаревшие советы по паролям, конкретные модели риска, подходы к тестированию или что-то еще, жизненно важно иметь возможность отпустить ситуацию и переосмыслить вещи через другую призму.
Одна вещь, которую я продолжаю повторять своим ученикам, вплоть до того, что это стало шуткой (хотя в наши дни их достаточно, это не столько шутка), сколько правильных ответов, а есть менее неправильный. Это легкомысленно, но в сфере безопасности это правда: нет конечной цели или идеального ответа — мы работаем над сочетанием стремления к достаточно хорошему и постоянного улучшения. Если остановиться и решить, что какой-то один ответ правильный, начинаются проблемы.
Важность самообучения в кибербезопасности
Смешанный. Я прошел профессиональную подготовку, академическую подготовку и много самообучался. Я бы не сказал, что какой-то один из них был более или менее важным, чем другие, это смесь, которая была ценной и привела меня туда, где я есть. Смешивайте и сочетайте, не ограничивайтесь одним способом обучения.
Вы получите много советов о таких платформах, как HacktheBox и TryHackMe< /a>, и они невероятно полезны, если вы хотите заняться тестированием на проникновение. Что здесь идет не так, так это то, что тестирование на проникновение — это крошечное подмножество области кибербезопасности, и это одно из самых конкурентоспособных направлений, поскольку оно считается «привлекательным» путем. Идти по этим путям, исключая все остальное, не поможет вам с GRC (управление, риски и соответствие), архитектурой безопасности, криптографией, архитектурой, криминалистикой или любым из десятков других доступных вам вариантов.
Security Blue Team и Immersive Labs — две организации, которые предоставить ряд материалов для самостоятельного обучения синей команды, а на YouTube доступно множество видеороликов по техническим областям, таким как реагирование на инциденты и судебная экспертиза, которые вы можете найти.
Когда вы выходите за рамки технических аспектов, все может стать сложным, и лучший совет здесь — обратиться к книгам и советам тех, кто уже работает в этой области. Учитывая широкий диапазон, я не буду приводить полный список книг, которые я бы порекомендовал (это было бы слишком длинно, может быть, еще одна статья), но многие из нас в отрасли всегда рады поговорить с теми, кто ищет книги. вломиться и дать некоторые рекомендации. Я приведу несколько, которые я всегда предлагаю. Одно из первых описаний кибершпионажа. Оно отслеживает расследование и иллюстрирует основы современной цифровой криминалистики и расследований.
2. Цель, Элияхо М. Голдратт Хотя в настоящее время проект «Феникс» может быть более известен, «Цель» — это работа, на которой он основан, и есть что-то в гораздо более конкретных примерах производства, что, как мне кажется, делает его более родственным и гроком.
3. Влияние Роберта Чалдини Работу Чалдини, которую часто рекомендуют социальные инженеры, стоит прочесть каждому, так как вы столкнетесь со многими ситуациями в своей карьере, когда она уместна. Кроме того, это отличная работа для выявления принципов, используемых против вас.
4. 7 навыков высокоэффективных людей Стивена Р. Кови «7 привычек» — одна из тех книг, к которым люди могут относиться с некоторым цинизмом. Она стала классикой, и в нее есть что добавить. Определенно стоит прочитать.
5. Теория информации: введение в учебник Джеймса В. Стоуна Хотя все немного разбираются в криптографии, работы Шеннона по теории информации часто упускают из виду. Хотя большинство людей, занимающихся безопасностью, никогда не будут использовать его напрямую, потратив некоторое время на его понимание, вы сможете совершенно по-новому взглянуть на вещи, которые будут иметь значение на протяжении всей вашей карьеры.
Везде, где можно. Сказав это, я все еще говорю, что школы — отличное место для начала — не изучение, а управление системами. Школы часто недофинансируются, в них используется огромный набор технологий, серьезно относятся к безопасности на уровне управления, и это отличный способ погрузиться в глубокую часть и научиться очень быстро.
Сертификаты - сложная тема - вокруг них много маркетинга и змеиного масла, и многие из них в конечном итоге оцениваются только тестами с множественным выбором, что делает их менее чем полезными в качестве способа измерения способностей и слишком легкими для злоупотреблений. . У некоторых есть полезные знания в их учебной программе, но вам не нужен сертификат для этого, поэтому часто лучше рассматривать их как ключи для разблокировки ролей, где они требуются, но не гоняться за учетными данными, если вам не нужно (в идеале один раз вы участвуете, и компания оплачивает ваше обучение и экзамен).
Несколько вещей, которые я бы предложил, — это попытаться научиться отпускать гордость — это заняло у меня несколько хороших лет и стоило мне многого за это время — и всегда оставлять за собой право ошибаться в вещах. Также будьте готовы к неудачам, учитесь и пробуйте что-то новое — не держитесь за неудачные ситуации, совершенно нормально сдаться, когда что-то не работает. Что семейная компания, которой я руководил, все еще набирает силу после двух лет моего руководства. Он даже растет, несмотря на (или, возможно, благодаря) наш довольно уникальный способ работы. Если бы мы продолжали работать, это было бы триумфом, но то, как мы изменились с тех пор, как я пришел к власти, — это то, чем я действительно горжусь. Формы заявлений — это то, что нужно. Хотя сама идея системы ATS, которая просматривает ключевые слова, является чем-то вроде мифа, огромное количество заявок, с которыми вы столкнулись на рекламируемые роли начального уровня, ставит вас в невыгодное положение. Гораздо лучше подключиться к сети и обойти систему, заглянув к кому-нибудь с личным словом. Это довольно эклектично — много инструментального материала, когда я делаю что-то, что требует много размышлений, поскольку я нахожу, что вокал меня отвлекает. В остальном он варьируется от кантри, джаза, транса и всего, что всплывает. Забудьте о своей страсти. Когда большинство людей говорят о следовании своей страсти в карьере, они смотрят на это с обратной стороны. Страсти, которые у вас есть в начале, не будут такими, как в дальнейшем, это изменчивые прихоти, и пытаться строго придерживаться одной - или, что еще хуже, верить, что что-то не так, если у вас ее нет, - это хороший способ убить они мертвы, быстро.
Вместо этого удовлетворите свое любопытство. Следите за тем, что вас интересует, и не связывайте себя этими интересами по мере их изменения.
Настоящая страсть следует за любопытством и усилиями по его удовлетворению, а не наоборот.
Зная, чем вы занимаетесь сейчас, с чего, по вашему мнению, следует начать обучение, если они захотят когда-нибудь работать на вашей должности?
Каким достижением в работе вы больше всего гордитесь?
Какой, по вашему мнению, самый большой миф о начале карьеры в сфере кибербезопасности?
Менее серьезно: что вы слушаете во время работы?
Большое спасибо, что нашли время рассказать нам больше о своей карьере. Какие-нибудь мудрые слова для начинающих технических специалистов?
Оригинал