0
(Billede: Zack Whittaker/Twitter)
“Hey der! Du har fundet os,” læste de første fem ord i en skjult Apple jobannonce.
Jobbet notering blev sendt på en af virksomhedens offentligt tilgængelige, men skjulte servere, hosting af data om millioner af Apple-kunder i hele den AMERIKANSKE østkyst.
I fairness, Apple er ikke på udkig efter mig, men en person, der er langt klogere og mere kvalificeret, og nogen der har en bedre office-etikette.
Men det fik os til at tænke: Du ved aldrig, hvornår du får brug for arbejde, endsige finde arbejde. Nogle gange er du nødt til at stole på dygtighed, og det andet tilfælde, det er helt ned til tilfældighederne.
Hvordan kan mennesker, der forsøger at komme ind i sikkerhed, plads ved hvor du skal starte?
ZDNet har stillet en række kendte sikkerheds-fagfolk om, hvilke råd de vil give til de unge selv, der starter ud i infosec verden.
KENNETH HVID: SIKKERHEDSEKSPERT
(Billede: Twitter)
“Jeg vil sige en fire-årig college grad hjælper. Det bliver stadig mere populære i nogle infosec cirkler for at nedtone det, men jeg tror, det åbner døre,” siger White. “Også et bredt udvalg til undersøgelse — universitet eller på anden måde-er af afgørende betydning: politik, historie, lingvistik, og, selvfølgelig, computer science.”
“Det er vigtigt at holde sig nysgerrig og følger lidenskaber. I det mindste for mig alligevel, jeg er langt mere produktiv boring i komplekse emner, som virkelig interesserer mig, end dem der ikke ved det,” sagde han.
Han tilføjede, at tidlig eksponering for grundlæggende elektronik er grundlaget blokerer for læring. “Det er forbløffende, hvor mange indsigter, du kan samle op på de resultater, data flow og logik ved at forstå simple (og måske ikke så simple kredsløb,” sagde han. Eller, med andre ord, “at bryde ting, rive dem ned, finde ud af hvordan,” sagde han.
“Mit råd til ældre professionelle er meget det samme som folk, der starter ud: bygge ting, ophold hænder på, lære nye sprog, rammer, gadgets — hvad,” sagde han. “Men holde hacking ting.”
LESLEY CARHART: DIGITAL FORENSICS OG HÆNDELSE RESPONDER
(Billede: Twitter)
“Den første faktor er, at selv-motivation og passion for at lære,” sagde Carhart, i en e-mail.
“I min karriere, og jeg har aldrig set et universitet, teknisk skole, eller certificering program, der fuldt ud vil forberede studerende til at udmærke sig i enten offensive eller defensive sikkerhed. Helt sikkert der er fremragende programmer derude, der underviser i specifikke færdigheder, men tekniske færdigheder er hurtigt forældet og inddrage dybde ud over det materiale, der kan undervises i et semester eller et år,” sagde hun.
“Det, der deler en ‘okay’ informationssikkerhed kandidat fra en stor en er motivationen for at lære mere om området uden arbejde, hver eneste uge,” sagde hun. “Hvad ligner dette afhænger af niche — måske arbejder i et hjem lab, eller læse nye computer lovgivning.”
“Uanset, at folk, der ikke har interesse i området uden for kontortid vil hurtigt finde sig i en ugunstig situation i markedet,” sagde hun.
“Den anden faktor er (human) netværk.” Når Carhart er ikke at gøre hendes dag job i digital forensics og incident response, hun kan normalt findes på en sikkerheds-konference. “Det virker mærkeligt at kalde bløde færdigheder i en meget teknisk område, men det er fællesskabet af den praksis, der er stadig små nok til, at netværk (helst i person), er en stor gren op for jobsøgende,” sagde hun. “Næsten hver informationssikkerhed professionelle, jeg har mødt, som har opnået mindst et job gennem deltagelse i meetups, sociale medier, hacking konferencer, eller forskningssamarbejde. Ofte, at jobbet var deres entry-level overgang til stadig mere konkurrencepræget felt eller deres niche af valg.”
“Mens de kommercielle konferencer som Black Hat kan være uden for rækkevidde for nogle jobsøgende, vi har et meget aktivt community med BSides sikkerhed konferencer i byer i hele verden, og endnu mere ekspansiv netværk af meet-ups,” sagde hun. “Jeg kan varmt anbefale jobsøgende søge dem ud og tage fordel.”
CHRIS VICKERY: DIREKTØR FOR CYBER RISIKO FORSKNING, UPGUARD
(Billede: Twitter)
Vickery, en relativ newcomer til infosec plads, har mange års erfaring under hans bælte, tak til carving ud af sin egen niche for at opdage overtrådt og udsat data i, hvad der er allerede en altid overfyldt.
I en e-mail, Vickery, der tilbydes en liste af punkter, for alle, der ønsker at gøre et navn for sig selv i infosec verden.
“Forstyrre status quo!””Succesfulde mennesker gør fjender.””Tegning mennesker i er mere kraftfuld end at nå frem.””At gøre noget ekstremt godt, er ikke nok, hvis ikke man anerkender, at du er god til det,” sagde han, og tilføjede, at”, ” hvem du kender, er lige så vigtigt som hvad du ved.””Tage en intro til paralegal undersøgelser klasse på en lokal community college. Hvis professoren er anstændigt, vil du få en værdifuld indsigt. (ja, jeg anbefaler dette til infosec crowd).””De fleste af tid, gode gerninger, ikke belønnet. Må ikke forvente, at belønninger. Være taknemmelig, når de kommer.””Hvis du er uundværlig for at en magtfuld person, de ikke vil fortælle dig det.””Gode mennesker er nemme at genkende på efter kort tid. Vær forsigtig, hvis du har nogen tvivl overhovedet om en persons karakter.”
Og, endelig, sagde han: “Solskin er den bedste desinfektionsmiddel,” med henvisning til den berømte Louis Brandeis ordsprog.
DAN TENTLER: GRUNDLÆGGER, PHOBOS-GRUPPEN
(Billede: Twitter)
“Som administrerende DIREKTØR for en lille organisation, jeg endnu ikke har budget eller tid til at ansætte folk, der er nødt til at lære på jobbet-jeg har brug for folk, der kan ramme jorden kører,” sagde Tentler i en e-mail.
“Og nu, kan jeg forstå tingene fra denne side af bordet — når du har brug for nogen til at være funktionel på dag ét, er det ikke ligegyldigt, hvad de ser ud på papiret-det spørgsmål, hvordan de fungerer i “meatspace,” sagde han (med henvisning til den “virkelige verden”.)
“Kan du sætte dem ned foran, siger, Burp Suite, og få dem til at være mindst funktionelle til det punkt, at de kan stille spørgsmål, eller vil de rapporterer, når de går i stå? Eller vil du nødt til at shouldersurf dem på tværs af deres første af flere koncerter, indtil de får hænge af værktøjer?” sagde han.
“Det afhænger af, hvilken type virksomhed er at gøre det leje, og der er en temmelig bred vifte af dem, samt. Nogle virksomheder vil bare en person med nogle alfabet suppe efter deres navn til at ligne de ‘har folk,’ udelukkende som en funktion af ‘at være kompatibel’. Den kolde, hårde sandhed er, at de fleste virksomheder i USA gør kun et absolut minimum for at drive forretning-så de ser på, hvad der overholdelse af lovgivningen rammer, de har til at overholde til lovlig forretning, og kun gøre et absolut minimum for dem. Dette betyder, at mange mennesker i de organisationer, der har titel af “security engineer”, eller på anden måde, er der dybest set udelukkende til at foretage revision nemmere, og tjener intet faktiske sikkerhed funktion overhovedet, bortset fra at bølge på revisorer, når de kommer rundt og siger “hej, jeg er sikkerhed menneske. Jeg gør ting sikkerhed!’.”
“Det er kritisk vigtigt at overveje, når de forsøger at få et job i sikkerhed.”
“Gør du bare ønsker at være en galionsfigur, og få udbetalt blot være “en skydeskive på en plads et eller andet sted’,” sagde han, “eller har du lyst til rent faktisk at udføre arbejde med sikkerhed?”
“De fortæller, er meget klare i mange stillingsopslag. Hvis stillingsannonce, er at bede om masser af certificering og grader, og beskriver viden om overholdelse af rammer, er der en god chance for, at der faktisk ikke er nogen sikkerhed arbejde der-det hele er bare røg og spejle til at gøre compliance-maskinen opererer. Det er en god idé at undersøge disse, for at validere de mistanker, der er legitime sikkerheds-arbejdspladser, der har en vis grad af overensstemmelse, men du er nødt til at gøre det forbi “HR firewall” og tale til den faktiske leje manager at finde ud af. Hvis den første ting, du hører, når du sidder til jobsamtalen, er dybest set ‘papirer venligst, så du bør bekymre dig.”
På den anden side, hvis interview er “fortæl mig om din bedste rød-team story”, så er det sandsynligt, at den organisation, der ikke bekymrer sig om ‘papirer bedes du”, og de ønsker at kende dine strategier for at udføre den egentlige arbejde,” sagde han. “Dette er et godt tegn, hvis du rent faktisk ønsker at gøre arbejde med sikkerhed.”
Tentler bemærket et afgørende punkt: “Den allerførste ting at overveje, er: ‘hvad gør du rent faktisk ønsker at gøre, fordi-som siger,” jeg ønsker at arbejde i sikkerhed “er ligesom at sige,” jeg ønsker at arbejde med dyr’ – det kan gå mange mange forskellige måder.”
“Beslutningen om, hvor du ønsker at lande i sikkerhed er ikke svært. Gå til nogle ulemper, gøre nogle [capture the flag øvelser], kan du prøve nogle Crackme ‘ s, tale med folk på Twitter, og få en fornemmelse for den slags arbejde, du nyder mest,” sagde han.
JAKE WILLIAMS: PRINCIPAL CONSULTANT, OVERFØRSLER INFOSEC
(Billede: Twitter)
“Mine to største stykker af karriere råd er, at sætte nogle alvorlige tid i dit cv og interview færdigheder, og at netværk,” siger Williams.
Netværk kan omfatte faglige møder og på vej til konferencer som tiden og budgettet tillader det, han sagde. “Når du er på en konference, networking betyder mere end at gå rundt og siger ‘jeg er på udkig efter et job” og feste. Slå op samtaler med mennesker. Spørge om, hvor de arbejder, hvad de gør, de udfordringer, de står over for, hvordan de løser problemer, osv. og rent faktisk lytte — du er tilbøjelige til at lære noget.”
“Men hvad vigtigere er, disse mennesker kan lade dig vide, når positioner åbne i deres organisationer, hjælpe dig med at komme i døren for at få et interview, og komme med en anbefaling til leje på dine vegne,” sagde han. “Altid være networking.”
“Hvis din organisation ikke udskrive visitkort for dig, print nogle af dine egne. Det er værd at hver krone,” sagde han.
Networking vil kun få dig så langt. “Dit cv skal være i top, til rent faktisk at få et job,” sagde Williams. “Hvis dit cv ser ud som det kunne have været skrevet med farvekridt, så er du nok ikke få et interview.”
“Infosec kræver gode kommunikationsevner — som mange it-job. Hvis du ikke kan skrive dit cv, er der ringe sandsynlighed for, at du vil være i stand til at kommunikere effektivt, når det drejer sig tid til at skrive en kritisk rapport. Dit cv er det første eksempel af din skriftligt, at en potentiel arbejdsgiver ser,” sagde Williams. “Kommunikation under interviewet, er også vigtig, så børste op på din jobsamtale færdigheder. Gøre nogle mock interviews med venner. Hvis du ikke kan samtale med venner, du er usandsynligt, at gøre sig godt i det egentlige interview.”
“Din evne til at kommunikere klart, trygt og professionelt under interviewet, er faktisk vigtigere end at kende alle svarene på de spørgsmål i et interview,” sagde han.
Kontakt mig sikkert
Zack Whittaker kan nås sikkert på Signal og WhatsApp på 646-755-8849, og hans PGP fingeraftryk til e-mail er: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Læs Mere
ZDNET UNDERSØGELSER
Lækket TSA dokumenter afslører New York airport ‘ s bølge af sikkerhed bortfalder
Den AMERIKANSKE regering skubbet tech firmaer, til at udlevere kildekoden
Ved den AMERIKANSKE grænse: Diskrimineret, tilbageholdt, søgte forhørt
Millioner af Verizon kunde registreringer, der vises i sikkerhed bortfalder
Mød den dunkle tech mæglere at levere dine data til NSA
Inde i den globale terror-overvågningsliste, der hemmeligt skygger millioner
FCC-formand stemte for at sælge dine browserdata — så vi bad om at se hans
Med en enkelt telefonaflytning for de AMERIKANSKE myndigheder lyttede på 3,3 mio telefonopkald
198 millioner Amerikanere er ramt af ” største nogensinde fra vælgerne, registreringer lækage
Storbritannien har bestået den “mest ekstreme overvågning lov, der nogensinde er gået i et demokrati”
Microsoft siger, at “ingen kendte ransomware’ kører på Windows-10 S — så vi har forsøgt at hacke det
Lækket dokument, der afslører BRITISKE planer for større internet-overvågning
0