security - 如何成为安全领域专家？

Question

关闭。这个问题需要更多 focused .它目前不接受答案。












想改进这个问题？更新问题，使其仅关注一个问题 editing this post .

5年前关闭。




Improve this question




我已经在多个平台/技术/协议(protocol)上使用各种编程语言进行编程超过 10 年。

我正在考虑转行，成为一名安全领域专家。我该如何开始？我将不胜感激任何可以帮助我获得安全领域知识的教程、书籍、博客。

我想专注于无线安全领域。

Answer 1

安全专业知识有很多领域，因此这在很大程度上取决于您希望自己的职业道路是什么样的。在位和字节端有渗透测试和“安全研究”(这通常与实际研究一样多的“编程错误编目”)。在更具战略意义的一端是“风险管理”，它通常将大部分时间花在非技术性考虑上，例如适当的预算、教育和响应。

废话，废话，废话，但是你如何开始，对吧？也许关于“大局”安全主题的最佳作家是Bruce Schneier .他是一名密码学家，但他专注于安全心理学、社会攻击以及如何真正思考安全等问题。 Crypto-Gram 是如何在这个领域正确思考的必读内容。

在位和字节领域，您可能想弄清楚您最感兴趣的领域是什么(Windows、无线、网络、物理、iPhone，不胜枚举)。不过，如果我必须选择一篇论文，我会从 Smashing The Stack For Fun And Profit 开始。 .这么多年过去了，它仍然是对关键攻击类别以及一般技术攻击如何运作的最佳介绍。如果这些攻击是你真正感兴趣的，我最喜欢的关于这个主题的书是 Shellcoder's Handbook .它的攻击是古老的；他们中的许多人甚至不再按原样工作。但它们是今天仍有多少攻击的基础。

如果您想将“值(value)链”向上移动到“以业务为中心的安全”(并学习使用不带引号的短语)，您应该开始研究 CISSP .人们可以一直争论 CISSP 是否真的意味着什么。答案是:这意味着当需要 CISSP 时得到这份工作。我对 CISSP 的感受？任何真正的安全专家都应该能够通过它。因此，对于您是否是真正的安全专业人员来说，这是一个很好的基准认证，这就是它的本意)它教授在安全世界中成长起来的常用术语，学习术语是成为专业人士的一部分(就像从法律到工程的任何其他职业一样)。 CISSP 范围很广，即使您从未参加过考试，学习它也能让您更好地了解您感兴趣的领域。有大量关于 CISSP 的书籍； All-in-One很好。阅读这本书不会使您成为安全专家，但它会向您介绍安全专家所知道的知识。

我的背景是风险评估。多年来，我走遍了公司，评估了他们的环境，并告诉他们要修复什么以保护他们最敏感的信息。可能对我最有用的培训是 IAM (美国国家安全局的信息安全评估方法)。它现在正在被改造成新的 ISAM。它侧重于找出基础设施的哪些部分真正重要，然后保护这些部分。我使用的最重要的安全工具:Powerpoint，制作漂亮的幻灯片，让客户清楚地了解他们需要理解和实现什么。还有一套体面的西装。了解这些东西是一回事。你需要有很强的技术能力；这是给定的。但要真正发挥作用，需要大量的人际交往能力、演讲技巧、项目管理和跟进。这就是'l33t 与专业人士的区别。