作弊小纸条:如何成为一名网络安全专家

如果您有兴趣寻求网络安全方面的职业,却又不知道从哪里开始,这里有一些关于薪资、就业市场、技能和常见面试问题的指导。

由于网络犯罪分子变得越来越老到,几乎每天都会有重大安全事件的消息占据新闻头条,网络安全专业人士的需求量很大:思科发现,目前全球有100万个空缺的网络安全工作职位。根据Center for Cyber Safety and Education and ISC(2)的预测,到2022年,这一数字预计将增至180万个。

IBM Security和安全研究中心Ponemon Institute都表示,担负起这些角色的员工在企业中发挥着重要的作用,因为现在全球数据泄露的平均代价为362万美元。

网络安全工作也可以获得很高的薪水。根据US Bureau of Labor Statistics(美国劳工统计局)的统计,美国的信息安全分析师的年薪中位数为92,600美元,而且在旧金山和纽约等城市的薪酬明显更高一筹。

受过培训的网络专业人才短缺导致许多组织开始寻找非传统的求职者来填补这些空缺。为了帮助对这一领域有兴趣的人更好地了解如何开始网络安全方面的职业生涯,我们将最重要的细节和资源汇集在一起​​。

请参看Tech Pro的研究报告:Research: Defenses, response plans, and greatest concerns about cybersecurity in an IoT and mobile world (物联网和移动世界的网络安全相关研究报告)

内容提要

  • 为什么市场对网络安全专业人士的需求在不断增加?网络犯罪在过去几年中呈现出爆炸的态势,主要是WannaCry和Petya之类的勒索软件攻击使企业的数据面临风险。为了保护他们的信息和他们的客户,各行各业的企业都正在寻找网络专业人士来保护他们的网络。
  • 网络安全相关的各种工作都是什么角色?网络安全工作涵盖了多种不同的角色,包括渗透测试员、首席信息安全官(CISO)、安全工程师、事件响应者、安全软件开发人员、安全审计师或安全顾问。
  • 网络安全方面的工作需要什么技能?网络安全方面的工作所需的技能因职位和公司而异,但通常可能包括渗透测试、风险分析和安全评估。包括Certified
    in Risk and Information Systems Control (CRISC)、Certified Information
    Security Manager (CISM)和Certified Information Systems Security
    Professional (CISSP)等证书也是有需求的,并且可以让你在这个领域获得更高的薪酬。
  • 网络安全工作最热门的市场在哪里?包括苹果、洛克希德.马丁、通用汽车、Capital One和思科在内的顶尖公司都在招募网络安全专业人士。卫生保健、教育和政府等行业最有可能遭受网络攻击,这可能会导致这些行业内IT安全工作岗位的增加。
  • 网络安全专业人士的平均工资是多少?网络安全专业人士的平均工资取决于职位。例如,据美国劳工统计局的统计,信息安全分析师年薪的中位数为92,600美元。同时,根据Salary.com的统计,首席信息安全官的年薪中位数为212,462美元。某些城市的薪酬明显较高,例如旧金山和纽约。
  • 网络安全方面工作典型的面试问题有哪些?根据Forrester分析师Jeff Pollard的说法,问题可能会因求职的具体的公司和职位而异。对于入门阶段和职业生涯比较早期的职位来说,应该会有更多的技术性问题。等到你的职位较高的时候,问题可能会更多地涉及领导力、执行计划、解决冲突和预算。
  • 在哪里可以找到网络安全职业资源?ISACA、ISC(2)、ISSA和The SANS Institute是一些相关的国内及国际组织,您可以在其中查找有关该行业的信息以及认证和培训选项。一些大学和在线课程还提供与网络安全相关的学位、认证和准备课程。

参看:All of TechRepublic's smart person's guides

其他的一些资源:

为什么对网络安全专业人士的需求在增加?

网络犯罪在过去几年中呈现出爆发式增长的态势,WannaCry和Petya之类的勒索软件攻击使企业的数据面临风险。物联网的兴起也带来了新的威胁。为了保护他们的信息和他们的客户,各行各业的企业都正在寻找网络专业人士来保护他们的网络。

然而,许多企业在填补这些职位空缺的时候遇到了困难:根据ISACA的报告,55%的美国组织报告称空缺的网络职位至少需要三个月才能填补,32%的受访者表示需要六个月或更长时间,甚至有27%的公司表示他们根本无法填补空缺的网络安全职位。

JCPenney现在的首席信息安全官Lauren
Heyndrickx表示,网络安全和其他的计算机科学相比,仍然是一个相对比较新的领域,所以缺乏认知是人才短缺的原因之一。她补充表示,对于网络安全工作的实际内容的误解是非常常见的,这可能是比较少有女性及少数群体进入这个领域的原因之一。然而,德雷克塞尔大学(Drexel
University)计算机科学副教授Rachel
Greenstadt表示,过去几年来,计算机科学课程的入学率大幅增加,许多学校都在增加网络安全专业。

其他的一些资源:

网络安全相关的各种工作都是什么角色?

网络安全工作涵盖了多种不同的角色,具有各种工作职能,具体取决于他们的头衔以及每家公司的具体需求。

所需的角色包括渗透测试员,负责进入系统或网络,找到漏洞,并将其报告给组织或自己进行修补;网络安全工程师,通常会是拥有开发技术背景的人担任,负责深入代码并找到缺陷,以及如何加强组织的安全防护;安全软件开发人员负责在设计和开发过程中将安全性集成到应用软件之中。

计算机取证专家从计算机、网络和数据存储设备中进行安全事件调查、访问并分析证据。安全顾问作为顾问,根据每家公司面临的需求和威胁,设计和实施尽可能最强大的安全解决方案。

在这个链条的顶端,首席信息安全官们掌握着公司的网络安全策略,并必须不断适应对最新威胁的战斗。

其他的一些资源:

网络安全方面的工作需要什么技能?

网络安全方面的工作所需的技能因职位和公司而异。一般来说,网络安全工作人员负责进行渗透测试(测试计算机系统、网络或网络应用程序以查找攻击者可能利用的漏洞)、风险分析(定义和分析企业网络威胁的工作,让技术相关的目标与业务目标保持一致)和安全评估(确定信息系统或组织当前安全状态并提供改进建议的工作)。

参看:How to build a successful career in cybersecurity (free PDF)(TechRepublic)

网络安全认证会教授这些内容和其他有价值的工作技能,而且通常会帮助你得到更高的工资。目前,对通过Certified in Risk and
Information Systems Control(CRISC)、Certified Information Security
Manager(CISM)和Certified Information Systems Security
Professional(CISSP)之类认证的人士的需求非常旺盛。

Pollard表示,网络安全工作不一定需要开发技能或学位。Pollard表示:“您不需要在特定领域获得学士学位,才能在安全方面做得很好;实际上,您根本不一定需要(学位)。”他表示,“承认网络安全是一种技能,并教会人们企业安全的工作,这意味着将其视为一种学徒制或培训计划。”

网络安全是一个跨学科的领域,需要技术、人类行为、金融、风险、法律和法规方面的知识。网络安全领域中的很多人都是从其他一些具备这些技能的职业进入该领域的,并将其用于网络之中。

Pollard表示,“如果你有安全技能,你就会有很多的机会。”他表示,“如果你对安全感兴趣,也许只有一个非传统的背景,但是你愿意学习,机会也会从这个角度对你开放。”

其他的一些资源:

网络安全工作最热门的市场在哪里?

世界各地几乎所有行业的高管都在想办法提升自己的安全水平,并聘请专业人士来帮助他们。根据Indeed的报告显示,包括苹果、洛克希德.马丁、通用汽车、Capital
One、思科、英特尔和波音在内的大型企业在2016年10月至2016年12月期间至少招聘了20个网络安全职位。

卫生保健、教育和政府等行业最有可能遭受网络攻击,这些领域也很有可能会增加网络安全的岗位。

专家表示,对网络安全专业人员的需求在未来几年将不断增加。Center for Cyber Safety and Education and ISC(2)表示,到2022年,这个领域将有180万个待招聘岗位,而在2015年的预计是到2020年,待招聘的岗位将为150万个。

ISC(2)的首席运营官Wesley Simpson表示,未来几年对进入这个领域的年轻人来说尤为重要。目前,只有7%的网络安全人员不满29岁,13%处于30至34岁之间。网络专业人员的平均年龄为42岁。

Simpson表示:“在接下来的十年中,我们将有大量的网络专业人士开始退休。”他表示,“我们没有一个好的计划来回填那些大量离开这个行业的人造成的空缺。我们需要能够教育并提高网络安全各个方面的意识,并发出这样一个消息,无论你是否拥有一个技术学位,这是一个值得人们进入的、伟大的、多样化并且非常有利可图的职业。”

其他的一些资源

网络安全专业人士的平均工资是多少?

网络安全专业人员的平均工资取决于职位和公司。例如,据美国劳工统计局的统计,信息安全分析师年薪的中位数为92,600美元。同时,根据Salary.com的统计,首席信息安全官的年薪中位数为212,462美元。某些城市的工资水平明显较高,例如旧金山和纽约。

根据Pollard的说法,对熟练网络安全专业人员的需求使得该领域成为“卖方市场”。职介公司Mondo的高级招聘主管Stephen Zafarino表示,和以往相比,熟练的求职者能够更好地协商薪水、福利以及附带福利,例如远程工作等。

其他的一些资源:

网络安全方面工作典型的面试问题有哪些?

ISC(2)的安全负责人Charles
Gaughf表示,雇用安全专业人员往往是一项艰巨的任务。Gaughf表示,“根据您的组织结构,您可能要寻找一种非常具体的知识或技能,但最有可能需要的是能够熟练掌握各种技术的、能干的专业人员,他应该动力十足,具有旺盛的好奇心并非常诚实。”

Gaughf表示,“这就是为什么说抛出一些能够确定这些特质的问题是个好主意。抛出一些能够让求职者思考的问题也是个好主意,你知道这些问题在面试之前没有被练习过。”

问题可能会因求职的具体的公司和职位而异。对于入门阶段和职业生涯比较早期的职位来说,应该会有更多的技术性问题。等到你的职位较高的时候,问题可能会更多地涉及领导力、执行计划、解决冲突和预算。

测试求职者现场思考能力的开放性问题可能会是“你如何构建僵尸网络?”Gaughf表示,这会让他们制定出如何从头开始感染、控制和协调僵尸网络——立刻让他们站在攻击者的角度。然后他们可能被问及“你如何防御僵尸网络?”,获得另一个角度的观点。

Pollard表示,在最初的面试中,求职者也可以想到会遇到一些技术问题,例如:

  • 恶意软件可以躲避防病毒产品检测的一些方法是什么?
  • 什么是跨站点脚本(XSS)攻击,它是如何工作的?
  • 除了XSS之外,还有哪些网络应用程序攻击的例子?
  • 什么是中间人攻击,可以如何进行防范?
  • TCP和UDP有什么区别?什么样的用例更适合UDP?

Gaughf说,求职者也应该预料到可能会被问到确定他们是否能够跟上行业发展的问题,例如:

  • 你是否属于任何本地安全组?
  • 你如何跟踪网络安全新闻?
  • 你听什么安全播客?

在初次面试之后,求职者经常要进行完成工作的模拟练习,可能很简单也可能比较复杂,这取决于要扮演的角色。相比于能够完美完成任务的求职者,雇主通常要寻找是可以解释其决策过程的人。

Pollard表示,“我可能会提供一些日志数据,并提出有关数据内容的问题,我可能会从系统中提取捕捉到的取证信息,要求他们完成一点的调查工作并回答关于攻击者详细信息的问题。”Pollard表示,“如果这个人应聘的是开发人员,我可能会要求他们编写一些可以通过数据解析的代码。如果这个人要成为一名渗透测试者,我可能会给他们一个基本的网络应用程序,并要求他们进行攻击。”

在此之后,求职者可能会进入最后面试来解释他们的解决方案、推理和方法。

Pollard表示,“对于双方来说——企业和求职者——这是都是很多的工作。”他表示,“这不符合传统的面试安排,您可以通过一堆简历挑选一些人来面试,然后依靠30-45分钟内回答的一系列问题,根据答案、本能和情感的综合衡量决定让一些人进入下一轮。”

其他的一些资源:

在哪里可以找到网络安全职业资源?

存在着一些针对网络安全专业人士以及对这个领域感兴趣的人的国内和国际组织。ISACAISC(2)ISSAThe SANS Institute都提供行业相关的信息,以及研究和认证培训计划选项。

你可以联系你所在组织中目前负责网络安全的人,看看是否可以跟随他们或者成为他们的徒弟。

一些大学和在线课程也提供与网络安全相关的学位和认证。

其他的一些资源


原文发布时间为: 2017年9月28日

本文作者:杨昀煦

本文来自合作伙伴至顶网,了解相关信息可以关注至顶网。

时间: 2024-11-16 15:00:13

作弊小纸条:如何成为一名网络安全专家的相关文章

勒索病毒与中国有关?网络安全专家:无稽之谈,不靠谱!

上个月,一款名为"WannaCry"的勒索病毒肆虐全球.有报道称,美国一家网络安全公司发现,病毒软件由中文的南方方言编写,病毒来自中国南方.香港.台湾或者新加坡.一些外媒将此冠以"勒索病毒与中国有关"等标题大肆报道.6月10日,网络安全专家在接受央视网记者采访时表示,这一说法毫无根据,分析极不专业,不靠谱. 据香港<南华早报>报道,美国网络安全技术公司Flashpoint的专家确信,勒索病毒(WannaCry)制造者来自中国南方.香港.台湾或者新加坡,理

网络安全专家如何跻身董事会决策层

"到我60岁的时候,还想过朝九晚五回家都电话不断的生活吗?"发出这个疑问的,是多年从事CISO类似工作的网络安全专家加斯帕·奥森塔克. 在信息安全界从业多年,奥森塔克自然具备相当的网络安全技术和专业技能,他希望能在董事会上分享他的知识,或者作为顾问角色跻身董事会. 只有一件事,横亘在他达成愿望的路上--他需要进入那些掌握推荐权的关键高管的视野.目前为止,还没人给出关于如何引起关键人物注意的指南. 斯科特·古德曼也在寻求被董事会注意到.他是关键应用安全短信提供商TextPower的CEO

贵州大数据及网络安全专家委员会成立

6月15日,贵州大数据及网络安全专家委员会成立暨聘请仪式在京举行.中国工程院院士沈昌祥等22位专家受聘成为委员会委员. 省大数据安全领导小组副组长.省公安厅副厅长王瑛玮主持仪式并为专家颁发聘书,省大数据安全领导小组成员.副市长徐昊宣读<关于成立贵州大数据及网络安全专家委员会的决定>和<关于聘请沈昌祥等22名专家为贵州大数据及网络安全专家委员会成员的决定>. 此次受聘的专家共22位,包括中国工程院院士,国家部委.省.市相关部门负责人,高校相关专业教授,相关企业负责人等,专家聘期为三年

网络安全专家建议相关企业高度重视百度推广账号安全

本报讯(记者 马亚宁)上百度看到"特价机票.打折机票"被吸引,点开链接后被骗.受害者损失少则数百元,多则数万元.http://www.aliyun.com/zixun/aggregation/744.html">金山毒霸安全中心最近发现若干个专门盗取百度推广账号的钓鱼网站,网络骗子利用假冒百度推广中心系统升级的钓鱼邮件欺骗广告主,诱骗这些广告主提交自己的百度推广账号.网络骗子在偷到百度推广账号之后,登录百度推广系统后台,修改关键字,将热门关键字指向钓鱼网站,造成大量网民

网络安全专家称FaceID并非完满无瑕 肯定能被攻破

据外媒报道,一位网络安全专家周五警告说,像苹果新旗舰iPhone X所用的FaceID这样的面部识别技术确实比其他认证系统更安全,但并不完美,能够且肯定会被攻破. 生物识别公司Daon的首席执行官汤姆-格里森(Tom Grissen)表示:"这些系统没有一个是完美无瑕的,苹果的FaceID也不例外,它们都会被打败."USAA保险公司和万事达卡都是这家公司的客户. 格里森在接收媒体采访时表示:"科技公司正在努力争取做到完美,所有这些系统都在提高安全性,但是它们永远也解决不了这个

一分钟了解阿里云产品:网络安全专家服务

概述   阿里云发布了各种各样的产品,今天让我们一起来了解下网络安全专家服务吧.     什么是网络安全专家服务呢?   网络安全专家服务是云盾DDoS高防IP服务的基础上,推出的安全代维托管服务.该服务由阿里云云盾的DDoS专家团队,为企业客户提供私家定制的DDoS防护策略优化.重大活动保障.人工值守等服务,让企业客户在日益严重的DDoS攻击下高枕无忧.     那么,网络安全专家有什么优势呢?   网络安全专家服务团队有处理全球互联网最大DDoS攻击的经验,网络安全专家每天为阿里云客户处理上

网络安全专家出任美“网络沙皇”

新华社华盛顿12月22日电(记者任海军)美国白宫22日宣布,奥巴马总统任命网络安全专家霍华德·施密特担任美国政府网络安全协调员.这一职务也被媒体称为"网络沙皇". 奥巴马的国土安全和反恐事务助理约翰·布伦南当天发表声明说,保护互联网对美国的国家安全.公共安全.个人隐私等至关重要,施密特将成为他领导的国家安全团队的重要成员. 据介绍,施密特将领导白宫网络安全办公室,向美国国家安全委员会和国家经济委员会汇报工作,并协调美国联邦政府的军事和民事部门网络安全政策. 施密特曾担任过"电

网络安全专家呼吁特朗普政府建立民用网络DARPA

特朗普当选美国总统,网络安全界十分关注美国网络安全的走向.专家呼吁,特朗普政府应建立网络安全版的美国国防高级研究计划局(Defense Advanced Research Projects Agency,DARPA). 加州大学伯克利分校的Steven Weber和Betsy Cooper周五在两党政策研究中心表示,建立民用DARPA-只关注已露端倪的网络研究-这是新任政府提升美国长期网络安全的四大任务之一. Cooper是加州大学伯克利分校长期网络安全中心的执行主任,Weber是该中心的学术主

网络安全专家竞猜FBI解密手段

美国联邦调查局(FBI)3月底宣布,他们在第三方的帮助下,成功破解了圣伯纳迪诺枪击案凶手赛义德·法鲁克的iPhone 5C手机密码.虽然尚不清楚是否找到了对调查有用的信息,但至少让苹果和FBI在加密与个人隐私权方面的公开战斗暂时平息. FBI没有透露破解者的名字及如何得到了iPhone内容.美国电气电子工程师协会(IEEE)<光谱>杂志咨询了9位计算机安全专家和手机取证专家,探讨了这次颇具争议的破解背后有哪些技术上的可能. 最简单方法 也许最简单的破解方法是利用法鲁克手机操作系统iOS 9的弱