我在多种平台/技术/协议上使用各种编程语言已经编程超过10年了.
我想改变我的职业生涯,成为一名安全领域的专家.我该如何开始?我将不胜感激任何有助于我获得安全领域知识的教程,书籍和博客.
我想专注于无线安全领域.
Rob*_*ier 13
安全专业知识有很多领域,因此它在很大程度上取决于您希望自己的职业发展方向.在位和字节端有渗透测试和"安全研究"(通常与实际研究一样多的"编程错误编目").在更具战略性的一端,存在"风险管理",其通常将大部分时间花在非技术考虑因素上,如适当的预算,教育和响应.
Blah,等等,等等,但是你怎么开始吧?也许关于" 全局 "安全主题的最佳作家是布鲁斯施奈尔.他是一名密码学家,但他专注于安全心理学,社会攻击以及如何真正考虑安全性等问题.Crypto-Gram是如何在这个空间中正确思考的必读书.
在位和字节区域,您可能想要找出您最感兴趣的区域(Windows,无线,Web,物理,iPhone,列表一直在继续).但是,如果我不得不选择一篇论文,那么我将从Smashing The Stack For Fun和Profit开始.这些年后,它仍然是对一类关键攻击以及技术攻击如何发挥作用的最佳介绍.如果这些类型的攻击真的让你感兴趣,我最喜欢的关于这个主题的书是Shellcoder的手册.它的攻击很老; 他们中的许多人甚至不再工作了.但它们是今天仍有多少次攻击的基础.
如果您想将"价值链"升级为"以业务为中心的安全性"(并学会使用不带引号的短语),那么您应该开始使用CISSP.人们可以辩论,直到他们看到CISSP是否真的意味着任何东西.答案是:它意味着在CISSP成为要求时获得工作.我对CISSP的感受?任何真正的安全专业人员都应该能够通过它.因此,对于您是否是真正的安全专业人员来说,这是一个很好的基线认证,这就是它的意义)它教授在安全领域长大的常用术语,并且学习术语是专业人士的一部分(就像从法律到工程的任何其他职业一样).CISSP非常广泛,即使您没有参加考试,也可以通过学习来更好地了解您感兴趣的领域.CISSP上有大量书籍; 一体机很好.阅读本书并不会使您成为安全专家,但它会向您介绍安全专业人员所知道的内容.
我的背景是风险评估.多年来,我前往公司,评估他们的环境,并告诉他们要修复什么,以保护他们最敏感的信息.可能最有用的培训是IAM(NSA的Infosec评估方法).它现在正在改进新的ISAM.它侧重于弄清楚基础设施的哪些部分实际上很重要,然后保护它们.我使用的最重要的安全工具:Powerpoint,制作漂亮的幻灯片,让客户清楚了解他们需要理解和实施的内容.和一套体面的西装.理解这些东西是一回事.你需要非常强大的技术技能; 那是给定的.但实际上做一个差异需要大量的人际沟通技巧,演讲技巧,项目管理和后续通过.这就是'l33t与专业人士的区别.
黑客不学习,他们玩.
相同的答案以不同的方式适用.除非你玩得开心,否则你不能成为专家.尝试制作一个基本安全的简单网站.然后尝试破解它.试图破解网站会比任何一本书都更多地告诉你安全性.
| 归档时间: |
|
| 查看次数: |
4985 次 |
| 最近记录: |