如何在没有经验的情况下进入网络安全领域

2024-07-26 08:00:00 · 飞浪 · 约翰·埃利奥特

网络安全专家和 PCI 安全标准顾问 John Elliott 分享作为该领域新人如何成功进入该行业。

John Elliott 是一位资深的网络安全和数据保护专家、作家和顾问。他曾代表 Visa Europe 和 Mastercard 加入 PCI 安全标准委员会，并为包括 PCI DSS 在内的许多 PCI 标准做出了贡献。他是国家网络安全联盟的讲师、JScrambler 的安全顾问和 Pluralsight 的作者。

所以，你正在考虑开始从事网络安全事业。这是一个非常美好且回报丰厚的领域，这也是我在这个领域工作近二十年的原因。我有时会被问到的一个问题是，你如何才能真正开始这个职业生涯。

在本文中，我将分享一些对我和其他人有用的建议，以便您可以开始从事该领域。

1. 获得一些公认的网络安全认证

当谈到进入网络安全领域时，你首先会听到的一句话就是“你需要去获得一些认证”。这是合理的建议，原因如下：

它能让你充分体验网络安全的滋味，这样你就可以在投入更多时间追求它之前决定它是否适合你
你可以尝试网络安全的所有领域，你会找到让你感兴趣的领域
学习行业认证可以让你掌握基础知识（这显然是你在工作中取得成功所必需的）
它向潜在雇主表明你已经不遗余力地学习基础知识

如果您对网络安全完全陌生，我建议您参加 CompTIA Security+。Pluralsight 提供了由 Christopher Rees 编写的出色学习途径，为该领域提供了很好的介绍。

2. 开始在日常生活中思考网络安全

你应该开始积极地对网络安全产生好奇心，事实上，你应该对所有形式的安全产生好奇心。如果你要去某个场所，开始看看安全摄像头在哪里，以及保安人员的位置——只是不要太明显！经常问问自己“我该如何破解它？”或“它如何有效地失效？”你可以在任何地方这样做，例如在你的工作或家庭系统中。如果某个网站要求你设置一个身份验证器应用程序以及你的密码，请查看它是如何做的以及它使用的语言。它对你有用吗？如果没有用，为什么？

这听起来可能有点搞笑，但实际上这是像网络安全专家一样思考的第一步，因为你在脑海中玩“红队与蓝队”的游戏。我可以向你保证，坏人也在做同样的事情，我们的工作通常是站在他们的立场上，在他们利用弱点之前制定防御策略。

3. 不要担心自己不知道所有事情

在我的整个网络安全职业生涯中，我学到的最棒的一句话就是“对不起，我不知道”。为什么？当你说出这句话时，会发生两种情况之一。要么有人会告诉你答案——你会因此变得更聪明——要么你会意识到你需要离开才能找到答案。

过去，每当我招聘网络安全人员时，面试时我都想听到这五个词。那些能够认识到自己不知道什么、承认它并寻求答案的人——好奇、终身学习的人——是网络安全领域蓬勃发展的人才。

4. 寻找一位导师来帮助你

秉承不断学习的主题，找到一位导师会很有帮助，他可以帮你进入安全领域，你可以向他提出很多问题，比如“有人这么说，但我不明白。”有很多人，特别是在行业协会，比如你当地的 ISSA 或 ISC2 分会，他们有很多时间来帮助你发展你的职业和技能。

5. 开始在网上挖掘网络安全知识

只需谷歌搜索，你就能获得大量知识。例如，你无需环游世界参加 RSAC 这样的大型网络安全会议——许多主题演讲以及去年的内容都在网上。你可以免费学习很多东西。

此外，由于网络安全是一个非常广泛的话题，你会找到一些让你真正兴奋的东西。它可能是威胁搜寻、渗透测试、道德黑客、编写安全系统或安全治理。找到真正激发你兴趣的网络安全领域并看看这个兔子洞通向何方会有所帮助。

6. 如果你刚刚入行，可以考虑在服务台工作

我的职业生涯始于 IT 服务台，在那里我发现了自己对使用电脑的热爱。安全团队通常会从服务台内部招聘。著名网络安全博主 Kevin Beaumont 主张从服务台开始，因为很多网络安全工作都需要了解 Active Directory、创建用户帐户和常规用户行为等内容。当然，通常人们在服务台工作一两年后就会离开，因为这是一个繁重的工作环境。

我必须强调，从普通用户的角度看待技术将如何培养你作为安全团队一员的同理心，以“是的，我们如何确保这一点？”而不是可怕的“不”来处理员工的请求。

6. 如果你正处于职业生涯中期，尝试将网络安全纳入你的工作岗位

如果你正处于职业生涯的中期，那么进入服务台的初级职位只是为了进入网络安全领域并不是那么有吸引力。也许你的软技能很棒，或者你所在的领域已经与网络安全打交道——比如开发人员或其他商业环境。在这种情况下，你可以不走服务台路线而直接进入其他领域。

一种方法是向网络安全团队表明您对网络安全感兴趣。如果您是开发人员，请开始询问如何编写安全代码，并向团队表明您有兴趣与他们合作。看看您是否可以围绕安全编码实践开展一些开发人员培训。将安全性纳入您现有的角色，并建立这些桥梁。

一个好的横向角色是担任业务信息安全官，你仍在业务中，但要考虑安全问题。这有点像同时戴两顶帽子，保持你现有的角色作为两者中较大的一个，这样你仍然专注于组织想要实现的目标，同时也为你未来的职业生涯积累经验。

说实话，从一家公司横向调动到另一家公司、从非网络角色转到网络角色很难。你最好尝试在自己的组织内横向调动。

7.加入网络安全会员协会

在大多数地区，你都会有一个网络安全协会的分支机构，例如 ISSA（信息系统安全协会）。ISSA 不隶属于任何认证机构，它是一个非营利组织。他们组织会议，人们喜欢在会上谈论安全问题，并邀请嘉宾发言。

加入这些组织是建立人脉网络的绝佳方式。如果你去开会时说“我是一名高级项目经理，一直在从事安全工作，想在该领域获得更多经验”，人们会很乐意与你交谈。你可以通过这种方式建立人脉网络，迟早会有人说“嘿，我们的项目管理安全团队有一个空缺，你有兴趣吗？”

建立人脉网络的重要性怎么强调都不为过。我通过认识的人找到了机会，有人说：“约翰做这种事，让我把你介绍给他。”

不确定如何建立人际网络？请查看此文章：“如何在科技领域建立人际网络并获得工作（内向者友好指南） ” 。

结论：没有万灵药可以让你进入

最好尝试很多不同的事情来尝试进入这个行业，所有这些都会让你在过程中变得更好。无论您在网络职业生涯中处于什么位置，这些建议中的很多都是有用的——获得认证、加入协会、建立人际网络。

再次强调，不要被所有你不知道的事情吓倒。从事网络安全就像从消防水管中取水，所以无论你在这个领域工作了多少年，你都会不断学习。

我最好的建议是找到一个你真正感兴趣的领域。如果你真的对某个领域感兴趣，那么这种兴趣会体现在你所有的互动中。网络安全是一个如此广泛的学科，必然有一个方面能真正让你动起来，不要理会那些说“你必须曾经是一名开发人员”或“你需要了解网络”的人——当然，广泛的 IT 知识基础是有帮助的，但这个领域如此广泛，你可以找到自己的专长。

其他值得阅读的文章

想要了解更多有关如何开始从事网络安全工作的建议？我们建议您查看“网络安全入门：关于如何获得第一份工作的常见问题解答”，该文章由 Pluralsight 高级网络安全作者兼研究员 Matthew Lloyd Davies 博士撰写，他曾帮助确保英国核工业的安全。此外，以下文章还提供了有关进一步发展您的技术职业生涯的一些很好的总体建议。