0
(Afbeelding: Zack Whittaker/Twitter)
“Hey daar! U vond ons op” lees de eerste vijf woorden van een verborgen Apple een vacature.
De vacature is geplaatst op één van de vennootschap openbaar toegankelijk is, maar verborgen servers, hosting van gegevens van miljoenen klanten van Apple over de AMERIKAANSE oostkust.
In alle eerlijkheid, Apple is niet op zoek naar mij, maar iemand die veel slimmer en beter gekwalificeerd is, en iemand die heeft een betere office etiquette.
Maar het deed ons denken: Je weet nooit wanneer je moet werken, laat staan het vinden van werk. Soms moet je vertrouwen op vakmanschap, en andere gevallen, het is helemaal beneden aan het toeval over.
Hoe doen mensen proberen te krijgen in de beveiliging van de ruimte weten waar te beginnen?
ZDNet vroeg een aantal bekende security professionals op wat voor advies ze zouden geven aan hun jongere zelf begint in de infosec wereld.
KENNETH WHITE: SECURITY-ONDERZOEKER
(Foto: Twitter)
“Ik zou zeggen een vier-jarige hbo-opleiding helpt. Het is steeds populairder in sommige infosec kringen te bagatelliseren, maar ik denk dat het deuren opent,” zei White. “Ook een brede waaier aan studie-university of anders — is het van cruciaal belang: de politiek, de geschiedenis, de taalkunde, en, natuurlijk, de wetenschap van de computer.”
“Het is belangrijk om te blijven nieuwsgierig en volgen passies. Althans voor mij toch, ik ben veel productiever boren in complexe onderwerpen die mij echt interesseren dan die dat niet doen,” zei hij.
Hij voegde eraan toe dat vroege blootstelling aan basic electronics zijn de basis bouwstenen van het leren. “Het is verbazingwekkend hoe veel inzichten je pick-up op de performance van de gegevensstroom en de logica door het begrijpen van eenvoudige (en misschien niet zo eenvoudig) circuits,” zei hij. Of, in andere woorden, “dingen breken, scheuren ze naar beneden, figuur uit de ‘hoe’, zei hij.
“Mijn advies voor oudere profs is veel hetzelfde als mensen beginnen: het bouwen van dingen, blijven de handen op, het leren van nieuwe talen, kaders, gadgets — wat,” zei hij. “Maar houd het hacken van dingen.”
LESLEY CARHART: DIGITAAL FORENSISCH ONDERZOEK EN INCIDENT RESPONDER
(Foto: Twitter)
“De eerste factor is de zelf-motivatie en passie om te leren,” zei Carhart, in een e-mail.
“In mijn carrière heb ik nog nooit een universiteit, technische school, of certification-programma die volledig voor te bereiden van een student om uit te blinken in zowel offensieve of defensieve zekerheid. Zeker, er zijn uitstekende programma ‘ s die er te leren van specifieke vaardigheden, maar de technische vaardigheden zijn snel verouderd en te betrekken diepte dan het materiaal dat geleerd kan worden in een semester of een jaar,” zei ze.
“Wat verdeelt een ‘goed’ information security kandidaat uit een grote is de motivatie om meer te leren over het gebied buiten het werk, elke week,” zei ze. “Hoe dat eruit ziet, hangt af van de door niche-misschien werken in een eigen lab, of het lezen van nieuwe computer-wetgeving.”
“Hoe dan ook, mensen die geen interesse hebben in het veld buiten kantooruren zal het snel vinden van zichzelf in een nadelige positie in de markt,” zei ze.
“De tweede factor is de (menselijke) netwerken.” Wanneer Carhart niet doet haar baan van digitaal forensisch onderzoek en incident response, ze kunnen meestal worden gevonden op een beveiliging conferentie. “Het lijkt vreemd om het gesprek uit de soft skills in een zeer technisch gebied, maar de community of practice is nog steeds klein genoeg dat het netwerk (bij voorkeur in persoon) is een groot been voor werkzoekenden,” zei ze. “Bijna elke information security professional die ik heb ontmoet heeft verkregen ten minste één baan door het deelnemen in, meetups, sociale media, het hacken van conferenties, of gezamenlijk onderzoek. Vaak is dat job hun instap overgang naar de steeds meer concurrerende veld of hun niche van de keuze.”
“Terwijl de commerciële conferenties zoals de Black Hat kan zijn voor sommige werkzoekenden, hebben we een zeer actieve gemeenschap met BSides security conferenties in steden over de hele wereld en zelfs meer uitgebreide netwerken van meet-ups,” zei ze. “Ik beveel werkzoekenden zoek ze op en neem voordeel.”
CHRIS VICKERY: DIRECTEUR VAN DE CYBER RISICO ONDERZOEK, UPGUARD
(Foto: Twitter)
Vickery, een relatieve nieuwkomer op het infosec ruimte, heeft jarenlange ervaring met het onder zijn riem, dankzij houtsnijwerk uit zijn eigen niche te ontdekken geschonden en blootgesteld gegevens in op wat al ooit een overvolle beveiliging ruimte.
In een e-mail, Vickery aangeboden een lijst van punten voor iedereen die te maken een naam voor zichzelf in de infosec wereld.
“Het verstoren van de status quo!””Succesvolle mensen vijanden maken.””Het tekenen van mensen is krachtiger dan het bereiken van uit.””Het doen van iets wat zeer goed is niet genoeg als niemand herkent u goed in bent,” zei hij, eraan toevoegend dat “wie je kent is net zo belangrijk als wat je weet.””Neem een intro te paralegal studies klasse op een lokale community college. Als de professor is fatsoenlijk, krijgt u een aantal waardevolle inzichten. (ja, ik ben de aanbeveling deze aan de infosec publiek).””De meeste van de tijd, goede daden worden niet beloond. Verwacht geen beloning. Dankbaar zijn als ze komen.””Als u zijn onmisbaar voor een krachtige persoon, zullen ze je niet vertellen.””Goede mensen zijn makkelijk te herkennen na een korte tijd. Wees op uw hoede als u twijfels hebt helemaal van iemands karakter.”
En, ten slotte, zei hij: “de Zon is het beste ontsmettingsmiddel,” verwijzend naar de beroemde Louis Brandeis adagium.
DAN TENTLER: OPRICHTER, PHOBOS GROEP
(Foto: Twitter)
“Als directeur van een kleine organisatie heb ik nog niet over het budget of tijd om mensen in te huren die zich op de werkplek te leren — ik mensen nodig die de grond raken draait,” zei Tentler in een e-mail.
“En nu, ik kan begrijpen dingen aan deze kant van de tafel — wanneer je iemand nodig hebt om functioneel te zijn op dag één, het maakt niet uit hoe ze eruit zien op papier, het is belangrijk hoe ze functioneren in ‘meatspace’, zei hij (een verwijzing naar de “echte wereld”.)
“Kan je ze naar beneden in de voorkant van, zeg, Burp Suite, en zijn ze op zijn minst functioneel tot het punt dat ze vragen stellen, of hebben ze het melden als ze vast komen te zitten? Of je moet het shouldersurf hen over hun eerste optredens tot ze het onder de knie krijgen van de tools?” zei hij.
“Het hangt af van wat voor soort bedrijf is het doen van de huren, en er is een vrij breed scala van mensen. Sommige bedrijven willen gewoon iemand die met een ander alfabet soep na hun naam om te kijken als ze ‘mensen,’ louter als een functie van ‘compliant’ is. De koude, harde waarheid is dat de meeste bedrijven in de VS alleen doen, het absolute minimum is om zaken te doen-dus ze kijken naar wat regulatory compliance frameworks ze hebben zich te houden aan wettelijk business, en doe alleen het absolute minimum voor hen. Dit betekent dat veel mensen in die organisaties die de titel van “security engineer”, of anders, zijn in principe is er puur om audits makkelijker, en dienen geen werkelijke zekerheid functie dan ook, behalve te zwaaien op de accountants als ze langs komen en zeggen: “hallo, ik ben security mens. Ik doe beveiliging dingen!’.”
“Dit is van essentieel belang om te overwegen wanneer het proberen te krijgen van een baan in de beveiliging.”
“Wilt u gewoon een boegbeeld, en krijgt betaald gewoon ‘een kont op een stoel ergens,” zei hij, “of wil je daadwerkelijk gedrag de veiligheid in zijn werk?”
“Het vertelt heel duidelijk in veel vacatures. Als de vacature vraagt om veel van certificaten en diploma ‘ s, en beschrijft de kennis van compliance frameworks is er een goede kans dat er in feite geen enkele zekerheid er werken — het is allemaal net rook en spiegels om de overeenstemming van de machine te bedienen. Het is een goed idee om te onderzoeken of deze te valideren die verdenkingen, er zijn legitieme veiligheidsbelangen van opdrachten die een zekere mate van naleving, maar je moet het verleden “de HR-firewall” en praat met de werkelijke personeelsmanager te vinden. Als het eerste wat je hoort na je gaat zitten voor het interview is in principe ‘papieren alstublieft,’ dan moet je zorgen te maken.”
Aan de andere kant, als het interview is: “vertel mij je beste rood-team verhaal”, dan is het waarschijnlijk dat de organisatie niet de zorg over ‘papieren alstublieft,’ en ze wilt weten wat uw strategieën voor het uitvoeren van het eigenlijke werk,” zei hij. “Dit is een goed teken, als je eigenlijk wilt doen beveiliging werken.”
Tentler opgemerkt is een belangrijk punt: “Het eerste ding om te overwegen is: ‘wat wil je eigenlijk om te doen,’ omdat het zeggen: ‘ik wil werken in de beveiliging’ is als zeggen: ‘ik wil werken met dieren’ — het kan gaan op vele verschillende manieren.”
“Beslissen waar je wilt landen in de beveiliging is niet moeilijk. Ga naar een aantal nadelen, sommige [capture the flag oefeningen], proberen sommige Crackme ‘ s, praten met mensen op Twitter, en krijg een gevoel voor het soort werk dat u het meeste van geniet,” zei hij.
JAKE WILLIAMS: PRINCIPAL CONSULTANT, DE WEERGAVE INFOSEC
(Foto: Twitter)
“Mijn twee grootste stukken van carrière-advies om er serieus de tijd in je cv en het interviewen van vaardigheden, en om te netwerken,” aldus Williams.
Netwerken kunnen ook professionele vergaderingen en op weg naar conferenties als tijd en budget toe, zei hij. “Als je op een conferentie, netwerken betekent meer dan rond te lopen en te zeggen ‘ik ben op zoek naar een baan en feesten. Een gesprek te hebben met mensen. Vragen waar ze werken, wat ze doen, de uitdagingen waar zij voor staan, hoe ze problemen op te lossen, enz. en eigenlijk luisteren, dan zul je waarschijnlijk iets te leren.”
“Maar belangrijker nog, deze mensen kunnen u laten weten wanneer posities open te stellen in hun organisaties, in de deur te krijgen voor een interview, en een aanbeveling te huren op uw naam,” zei hij. “Altijd networking.”
“Als uw organisatie niet afdrukken van visitekaartjes voor u, het afdrukken van bepaalde van uw eigen. Het is elke cent waard,” zei hij.
Networking zal alleen krijg je zo ver. “Je cv moet top-notch om daadwerkelijk een baan te krijgen,” zegt Williams. “Als je cv er uitziet zoals het zou kunnen zijn geschreven in potlood, dan bent u waarschijnlijk niet krijgen van een interview.”
“Infosec vereist een goede communicatie vaardigheden-zoals vele andere-tech banen. Als je niet kunt schrijven van je cv, is er weinig kans dat u zult in staat zijn om effectief te kunnen communiceren wanneer het gaat om het schrijven van een kritisch rapport. Uw cv is het eerste voorbeeld van uw schrijven dat een potentiële werkgever ziet,” zei Williams. “De communicatie tijdens het interview is ook belangrijk, dus poets je gespreksvaardigheden. Doe wat mock interviews met vrienden. Als je niet kunt interview met vrienden, bent u waarschijnlijk goed doen in het eigenlijke interview.”
“Uw vermogen om duidelijk te communiceren, vertrouwen en professioneel tijdens het interview is eigenlijk belangrijker dan het kennen van de antwoorden op vragen tijdens een sollicitatiegesprek,” zei hij.
Neem Contact met mij goed
Zack Whittaker kan worden bereikt stevig Signaal en WhatsApp op 646-755-8849, en zijn PGP vingerafdruk voor e-mail is: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Lees Meer
ZDNET ONDERZOEKEN
Gelekt TSA documenten onthullen in New York airport golf van gebrekkige beveiliging
AMERIKAANSE regering geduwd tech bedrijven om de hand over de source code
Bij de AMERIKAANSE grens: Gediscrimineerd, vastgehouden, gezocht, ondervroeg
Miljoenen klant van Verizon records blootgesteld in veiligheid te vervallen
Aan de schimmige tech makelaars dat levert de data voor de NSA
Binnen de wereldwijde terreur watchlist dat in het geheim schaduwen miljoenen
FCC-voorzitter gestemd voor het verkopen van uw browsegeschiedenis, dus hebben we gevraagd te zien zijn
Met een enkele aftappen om de AMERIKAANSE autoriteiten luisterden in op 3,3 miljoen telefoongesprekken
198 miljoen Amerikanen getroffen door de grootste ooit’ kiezer records lek
Groot-brittannië heeft doorgegeven ‘de meest extreme toezicht wet ooit voorbij in een democratie’
Microsoft zegt ‘geen bekende ransomware’ draait op Windows, 10 S, dus hebben we geprobeerd om te hacken
Uitgelekt document onthult de BRITSE plannen voor een bredere internet surveillance
0