1.2、找一份工作 · CTF 領域指南

## 1.2、找一份工作 **職業列表** [編輯注：這是為pentest.cryptocity.net編寫的一篇較老的文章，我們正在更新過程中。] 以下這些是基于我已有的經驗和你情況的不同而寫的對于信息安全職業生涯的看法。如果你住在紐約市，而且對于應用安全、滲透測試或逆向工程感興趣，剛剛踏入信息安全領域開始你的職業生涯，那么以下信息會對你非常適合。 1. 雇主 2. 角色 3. 書本中學習 4. 課程中學習 5. 大學 6. CTF比賽 7. 溝通 8. 見人 9. 會議 10. 認證 11. 鏈接 12. 指引的朋友 **雇主** 就我可講的而言，在信息安全產業有五類主要的雇主（不計學院派）。 * 政府 * 非技術型財富500強（大多數是金融類） * 大型技術供應商（大多數是在西海岸） * 大型咨詢公司（大多數非技術企業） * 小型咨詢公司（大多數很酷）你所工作的產業決定了你需要解決的主要問題。例如，金融行業重點強調的是對于商業過程將風險降低到最低損失（大規模自動化的原因）。另一方面，咨詢常常意味著向人們銷售想法X，X實際上就是一個漏洞或研究發現新的漏洞。 **角色** 我主要將信息安全職位分離對應到互聯網網絡安全、產品安全和咨詢。進一步我將這些類型的工作分類為以下幾個角色： * 應用安全（代碼審計/應用評估） * 攻擊者（攻擊） * 合規性 * 電子取證 * 事件處理 * 管理者 * 網絡安全工程師 * 滲透測試 * 政策/策略 * 研究員 * 逆向工程師 * 安全架構師以上的每一個角色都要求有不同的、高專業性的知識面。這個站點對于應用安全和滲透測試是一個不錯的資源，但是如果你對其他角色感興趣就需要找其他資源。 **書本中學習** 幸運的是，關于每個信息安全方面的主題都有一打好書。[Dino Dai Zovi](http://www.amazon.com/A-Bug-Hunters-Reading-List/lm/R21POHD6Y2DOLQ)和[Tom Ptacek](http://www.amazon.com/lm/R2EN4JTQOCHNBA/ref=cm_lm_pthnk_view)都有絕佳的讀書列表。我們建議閱讀以下圖書： * [Gray Hat Hacking](http://www.amazon.com/Hacking-Ethical-Hackers-Handbook-Edition/dp/0071832386/) * [The Myths of Security](http://www.amazon.com/Myths-Security-Computer-Industry-Doesnt/dp/0596523025?) * [Hacking: The Next Generation](http://www.amazon.com/Hacking-Next-Generation-Animal-Guide/dp/0596154577) * O'Reilly出版的任何一本你選擇的腳本語言書如果你不知道自己在找什么書，那么可以訪問[O'Reilly](http://shop.oreilly.com/category/browse-subjects/security.do)提供的書單。他們可能是這個產業中最執著和最高質的圖書出版商了。別忘了，單純的讀書不會給予你超越談資之外的任何附加技能，你需要練習或基于你從書本中實際學到和理解的內容創造一些東西。 **課程中學習** 如果你在找一些可以隨手拿來和直接了當的東西，那么有許多在線的大學課程是關于信息安全的。我在下方列出了一些絕佳的課程資源（根據機構名稱排序）。RPI課程是和這些課程最相似的一個，Hovav可以通過最佳學術閱讀列表的內容獲得績點，但是列表中的每個課程都很出色。 [編輯注：表格待添加/之后更新。] **大學** 找到一所有專業安全課程大學的最容易和簡單的辦法是通過[NSA Centers of Academic Execllence](http://www.nsa.gov/ia/academic_outreach/nat_cae/institutions.shtml)（NSA-COE）機構列表。這個資質要求正逐漸放低以至于越來越多的大學已經獲得此資質，它也可以幫助你尋找那些剛剛獲得[COE-CO](http://www.nsa.gov/academia/nat_cae_cyber_ops/nat_cae_co_requirements.shtml)資質的單位。記住，資質僅供參考。你需要深入了解每所大學實際的課程，而不是僅依靠資質做選擇。一旦進入大學，要上那些能夠強迫你編寫大量代碼解決難題的課程。IMHO的課程聚焦于理論或提供有限價值的模擬問題。如果你無法從整個CS課程表中確定哪些是有編程內容的CS課程，那么就向學長征求意見。另一種達成此項目的的方式是報考學校的軟件開發專業而不是計算機科學專業。 **奪旗比賽** 如果你想獲得和學到技能技巧，且想要做地更快，那么應該參加CTF比賽或一頭扎進Wargame。值得注意的一點是許多這種挑戰賽都有附加的會議（各種規模），參加這些比賽就意味著會錯過整個會議。試著不要賽過頭，因為參加會議有參加會議的好處（見下文）。有一些僅做防御的比賽也將自己定位為CTF比賽，主要是高校網絡防御挑戰賽（CCDC）及其地區比賽，我的建議是無視它們。他們的題目是關于系統管理，很少會教你安全相關的內容。盡管他們樂此不疲地將自己看作是紅隊（Red Team）。 **溝通** 在任何角色中，你的時間都主要花費在與其他人的溝通上，主要通過Email和會議，少量是通過電話和即時通訊（IM）。雇主的角色決定了你是否需要和內部安全團隊、非安全技術人員或商業用戶接觸更多。例如，如果你在金融公司做網絡安全工作，那么就需要和內部技術人員溝通更多。在大型組織中做好溝通的建議： * 學習寫簡潔、明了、專業的郵件。 * 學習讓事情有組織地被解決。不要隨心所欲。 * 學習公司或客戶的商業內容。如果你從商業層面考慮，你的選擇就有a）不做任何事 b）解決事情和c）考慮時間和成本更有說服力做事。 * 學習你所在公司或客戶是怎樣工作的，比如關鍵人物、過程或其他能夠讓事情達成的激勵因素。如果你仍然在學校學習CS課程，參加人文類課程會強迫你寫東西。 **見人** 找到并參加你所在城市的安全聚會（[CitySec](http://www.reddit.com/r/netsec/wiki/meetups/citysec)），在大多數城市每個月都會有一次沒有演講的非正式會面。順道提一句，我們參加的是我們本地的[NYSEC](https://twitter.com/nysecsec)。 ISSA和ISC2關注于政策、合規性和其他新興且不確定的話題。類似的，InfraGard主要關注在非技術性法律執行方面的話題。OWASP是由廠商發起形成的活動中最糟糕的例子，與其說它是和技術相關，不如說是和銷售相關。 **會議** 如果你此前從來沒參加過信息安全會議，使用下面的Google日歷可以幫你找到一個低消費的本地會議。我的學生中有人認為參加一場會議是某種測驗，所以盡可能地推脫不去。我保證我不會帶著期末測驗從灌木叢中跳出來，并在事后扣你的分數。 * [信息安全會議日歷](https://www.google.com/calendar/embed?src=pe2ikdbe6b841od6e26ato0asc@group.calendar.google.com) 如果你參加一場會議，不要太看重每個時間段的會談。會談只是吸引所有聰明的黑客在某個周末聚集到一個角落的誘餌：你應該見見其他與會者！如果一個特別的會談非常有意思和有用，那么你應該和演講者進行互動。關于這個主題，Shawn Moyer在Defcon嘉賓角的[這篇文章](https://www.defcon.org/html/links/dc-speakerscorner.html#idols-moyer)中有更多描述。如果你在某個地方工作，并焦慮著如何向公司交代出席會議的事情，那么[Infosec Leaders blog](http://www.infosecleaders.com/2010/03/career-advice-tuesday-making-the-case-for-conference-attendance/)中有一些有用的建議。 **認證** 這個產業需要特別的知識和技巧，為了認證考試而學習不會對你的知識和技能有任何幫助。事實上，在很多情況下它還有壞處，因為你花費時間學習認證考試而導致你分心無法做該手冊中提到的事情。即便如此，有一些便宜的和中立廠商的認證可以在你當前階段幫助你突出你的簡歷，例如[Network+](http://certifications.comptia.org/getCertified/certifications/network.aspx)和[Security+](http://certification.comptia.org/getCertified/certifications/security.aspx)或者甚至一個[NOP](http://www.immunitysec.com/services-cnop.shtml)，但是我認為認證在你找工作或專業發展中起不到什么作用。通常，有兩種原因需要獲得認證： * 你已經支付認證的費用，通過支付培訓和考試或有時候在你獲得認證之后會自動支付費用（通常是政府認證）。 * 你的公司或你的客戶強迫你獲得認證。這通常有助于銷售增長，比如“你應該選擇我們，因為我們所有的員工都有XYZ認證！” 通常，花費時間在參加CTF上更加有產出效率，然后用你的最終排名來證明你的能力。 **鏈接** * 關于該文章的[Reddit](http://www.reddit.com/r/netsec/comments/cc4ye/information_security_careers_cheatsheet)和[Hacker News](https://news.ycombinator.com/item?id=1409735)子內容 * 安全建議 1. [How to Break Into Security, Ptacek Edition](http://krebsonsecurity.com/2012/06/how-to-break-into-security-ptacek-edition/) 2. [VRT: How to Become an Infosec Expert, Part I](http://vrt-blog.snort.org/2013/01/how-to-become-infosec-expert-part-i.html) 3. [Five pieces of advice for those new to the infosec industry](http://www.cgisecurity.com/2012/09/five-pieces-of-advice-for-those-new-to-the-infosec-industry.html) 4. [How to Milk a Computer Science Education for Offensive Security Skills](http://blog.strategiccyber.com/2012/12/26/computer-science-undergrad-to-offensive-security/) 5. [Kill Your Idols](https://www.defcon.org/html/links/dc-speakerscorner.html#idols-moyer), Shawn Moyer's reflections on his first years at Defcon * 認證有感 1. [My Canons of (ISC)2 Ethics](http://www.infosecisland.com/blogview/15450-My-Canons-on-ISC-Ethics-Such-as-They-Are.html) 2. [Not a CISSP](http://www.veracode.com/blog/2008/04/not-a-cissp/) 3. [(ISC)2's Newest Cash Cow](http://www.veracode.com/blog/2008/09/isc2s-newest-cash-cow-csslp/) 4. [Why You Should Not Get a CISSP](http://attrition.org/security/conferences/why_you_should_not_get_a_CISSP-public.pdf) * 常規技術建議 1. [Advice for Computer Science College Students](http://www.joelonsoftware.com/articles/CollegeAdvice.html) 2. [Don't call yourself a programmer, and other career advice](http://www.kalzumeus.com/2011/10/28/dont-call-yourself-a-programmer/) 3. [The answer to "Will you mentor me?" is …. no.](http://pindancing.blogspot.com/2010/12/answer-to-will-you-mentor-me-is.html)