FBI推薦使用的密碼長啥樣？

資訊安全行業的門檻有多高？安全行業個人職業發展規劃建議（二）

原創 atp7bkil 嘶吼專業版 2020-02-26

圖檔

我從事資訊安全(現在很多人稱之為網絡安全)工作已經有20年了，而且大部分時間我也在寫有關資訊安全的文章。是以我收到了大量的郵件詢問以下問題:

如何才能進入資訊安全行業？

是以這個系列文章就是我對這個問題的回答，我把這個問題的所有方面都集中在文章中。這個系列文章會給你一些知識，讓你從一個完全的新手，到找到你的第一份工作，最終到達行業的頂端。（建議你從第一篇開始閱讀）

資訊安全行業的門檻有多高？安全行業個人職業發展規劃建議（一）

圖檔 要有存在感

好了，現在你已經完成了一些項目，是時候讓人們通過你的品牌平台了解你。沒錯，你應該為自己代言。如果你願意，你也可以低調一些，而且這個行業已經充滿了太多的自負，但是你确實需要一個可以傳播展示自己的平台。

如果你是一個内向的人，或者你覺得談論你做過的任何事情都是自吹自擂，那就停止吧。在這個行業，這種心态不會對你有所幫助。為了達到中高層，你需要學習如何推銷你自己和你的工作。

内向和(假) 謙虛是行不通的。把工作做好，并且願意談論工作。但這樣做是從分享和合作的角度出發，而不是從傲慢的立場出發。

圖檔 網站

首先你需要一個網站。有些人稱之為部落格，沒關系。關鍵是你需要一個展示自己的地方。你應該有一個“關于”的頁面，展現一些好的聯系資訊、項目清單等等。再說一次，如果你建立了部落格網站，那就是你寫作的地方。

要知道，你的域名和你的網站是你的身份的中心，是以理想的情況下，你應該選擇一個可以用一輩子的好域名。Firstnamelastname.com 可能是理想的選擇，但許多人不能這樣做，因為他們的名字相當常見。還有其他的選擇，但是要仔細想好。你希望這個域名一直保持不變，直到你死去。

是以我想說的是，挑選好這些東西。這是你的品牌，你的品牌很重要。

你應該在你自己的網站上寫部落格，托管你所有的項目，并在其他地方同步釋出。

避免在 Medium 或 Blogger 等其他服務上寫太多東西，除了随意的想法或互動，絕對不要在 Facebook 上寫任何東西。如果你在不是你自己的域名的平台上建立了任何有趣的東西，把它變成一個完整的部分，并把它帶回到你自己的網站。

圖檔 Twitter

推特也是一樣。要處理好一些東西。理想情況下，昵稱應該是 firstnamelastname，但如果你不能做到這一點，請選擇一個好的替代品。同樣，這是永久性的個人基礎設施，是以不要把它設為@l33th4x0rs97。随着你年齡的增長，這會變得越來越沒有魅力。

一旦你處理好之後，就可以開始關注一些人。在資訊安全中，有很多好的清單供人們關注。使用其中的一個作為開始，然後慢慢調整自己的喜好。

參與談話。但不要勉強。當你不了解情況的時候，不要過分誇大。但是如果你有什麼要補充的，那麼請自由貢獻。如果你隻有3個關注者，而他們有10000個關注者，不必在意，這并不重要。推特是一個精英體制。如果不是，那就假裝是。

一個好的開始是轉發你喜歡的内容。當你變得更有能力增加自己的價值，你可以開始輪流轉發和你自己的原創内容。

不要太認真。許多頂級的安全人員在 Twitter 上90% 的時間都在閑逛。其他人隻釋出原始的内容。隻要做你自己，一切都會過去的。如果不是這樣，而且你覺得自己做錯了，不要擔心。隻要堅持以上幾點，你就會沒事的。

圖檔 社交媒體

還有很多其他的社交媒體管道。另一個你應該關心的重要網站是 LinkedIn。建立個人檔案、 付出努力、 随時更新、并且隻和你認識的人或者至少和你有過接觸的人聯系。每個人的加入會削弱網絡對你和其他人的威力。

人們很容易在社交媒體上做太多的事情。抵制這種想法。關注你的網站和 Twitter，加入一些 LinkedIn。我基本上會把 Facebook 獨立開來，但這是我個人的偏好。

記住——一切都從你的網站開始。在那裡建立内容，然後通過Twitter、Facebook、LinkedIn和其他任何你使用的管道釋出出來。

圖檔 關于資質證書

我有很多關于資訊安全認證的問題。太多了。它們有兩種形式:

1.資訊安全認證真的值得嗎？

2.我應該拿到哪些證書？

好消息: 我這有答案。

是的，證書很重要。大學文憑也是如此，經驗也是如此。

事物具有别人賦予它們的價值。

認證沒有任何内在價值。它們的價值正如人們所認為的價值一樣。如果雇主在你想要應聘的地方要求你提供這些資訊，那證書就很重要。如果你想應聘的地方根本不在乎證書，那就沒有價值。就是這麼簡單。

但是對于初學者來說，證書還是很重要的。

我應該獲得哪些證書？

讓我們按級别來說:

· 初學者證書

如果你剛剛入行，我建議你獲得以下認證:

1.A+

2.Network+

3.Linux+

4.Security+

CompTIA？不，我不為 CompTIA 效力，不過謝謝你的關心。

在這種情況下，我并不是說除了初學者之外，這些證書都有巨大的價值，但在學習方面是有價值的。

就像我在教育部分提到的，證書有很好的學習教材，如果你獲得了所有這四個證書，你将對基礎有一個相當好的了解。

· 進階證書

我喜歡這樣解釋資訊安全認證: 你需要 CISSP，你應該得到一個審計證書(CISA/CISM) ，你應該得到一個技術證書(SANS)。是以:

1.CISSP 對任何想要在安全領域有所作為的人來說都應該拿到

2.CISA/CISM 面向希望成為管理者的全能型安全人員

3.SANS (GSEC/GPEN/GWAPT) 适用于技術人員

4.OSCP 隻用于滲透測試人員

一旦你有了四年的資訊安全經驗，你應該有你的 CISSP。這是我們這個行業最接近标準底線的東西。它實際上比許多組織的計算機科學學位要更好(因為很多人在大學裡什麼也沒學到)。

接下來，我會介紹審計空間，這是資訊安全的一個關鍵部分。你需要拿到 CISA 或 CISM。

最後，如果你想要獲得一個或多個技術認證。我建議從 GSEC 開始，它非常全面。你可以根據你的喜好選擇 GCIA 或 GPEN 或 GWAPT。

OSCP 和 CREST 是核心滲透測試人員最受尊敬的證書，是以如果你感興趣的話，一定要開始考慮這些證書。

然後是 CEH。人們有時會提到這個證書，是以你最好還是擁有它。但是不要吹噓自己擁有它，尤其是在經驗豐富的安全人員面前。

圖檔與他人建立聯系

請記住，你可以并行地執行上述許多步驟。

好了，現在我們有了一些教育經曆，也有了一個實驗室，而且我們正在做一些項目，我們有了我們的網站和 Twitter，是以，我們已經準備好入行了。

現在你需要主動去和一些人交談。同樣，你可以并且應該一直這樣做，但是如果你還沒有這樣做，那麼現在絕對是時候這樣做了。

看看誰通路了你的網站。檢視推特上有趣的互動。接觸那些人并開始對話。去他們會去的地方，親自和他們交流。去拉斯維加斯參加黑帽大會和 DEFCON。那裡有很多資訊安全行業的人可以一起聊聊天。

找一個良師益友

找一個你喜歡的風格的那種人，讓他指導你。給他們發郵件或者給他們打電話。但是我們要事先做好研究。首先確定你已經完成了本文中的内容。

為了從潛在的導師那裡得到最好的回報，在你們的第一次互動中要明确你已經在前期付出了努力。

讓他們盡可能容易地幫助到你，這樣你就不會被拒絕。我在資訊安全行業中看到的一件事是，人們非常願意幫助那些渴望工作并且剛剛開始工作的人。

提供實習機會

主動提出與某人一起實習并且主動幫他們做一些苦差事。為他們寫腳本、編輯他們的部落格文章、幫助他們篩選資料。這些事情可以幫助到你，并可能在未來直接給你面試或其他機會。

本文參考自：https://danielmiessler.com/blog/build-successful-infosec-career/