Jedes Jahr absolvieren Tausende von Absolventen der Informationssicherheit oder der Informatik Hochschulen und Universitäten, die auf echte Arbeit völlig unvorbereitet sind. Hier werfen wir einen Blick auf die Ergebnisse einer kürzlich durchgeführten Umfrage, in der die größten Qualifikationslücken für Alumni aufgezeigt wurden und wie sich Bewerber von der Masse abheben.
Fast jede Woche erhalte ich mindestens einen Brief von einem Leser, der um Rat fragt, wie man eine Karriere in der Informationssicherheit beginnen kann. In den meisten Fällen fragen Antragsteller, welche Zertifizierungen sie erwerben sollen oder welche Spezialisierung die beste Zukunft hat.
Es wird selten gefragt, welche praktischen Fähigkeiten Sie beherrschen müssen, um ein attraktiverer Kandidat zu werden. Ich warne Sie immer, dass ich selbst keine Zertifikate oder Diplome besitze, aber ich spreche regelmäßig mit Leitern der Informationssicherheitsabteilungen und Personalvermittlern - und frage oft nach Eindrücken moderner Kandidaten.
Die typische Antwort ist, dass so vielen Kandidaten einfach die Erfahrung mit praktischen Problemen fehlt.
Natürlich fehlt den meisten Absolventen praktische Erfahrung. Glücklicherweise ist ein einzigartiger Aspekt der Informationssicherheit, dass Erfahrung und grundlegendes Wissen durch die gute alte Methode des Versuchs und Irrtums gewonnen werden können.
Einer der wichtigsten Tipps ist das Erlernen der Grundlagen der Interaktion zwischen Computern und anderen Geräten. Ich sage das, weil Networking eine grundlegende Fähigkeit ist, auf der viele andere Lernbereiche aufbauen. Einen Job in der Sicherheit zu bekommen, ohne ein tiefes Verständnis für die Funktionsweise von Datenpaketen zu haben, ist ein bisschen wie der Versuch, Chemieingenieur zu werden, ohne vorher das Periodensystem zu studieren.
Bitte nimm mein Wort nicht dafür. Das SANS Research Institute hat kürzlich über 500 Praktiker der Cybersicherheit in 284 verschiedenen Unternehmen befragt, um herauszufinden, welche Fähigkeiten für Bewerber am nützlichsten sind und welche am häufigsten fehlen.
Im Verlauf der Umfrage wurden die Befragten gebeten, verschiedene Fähigkeiten von „kritisch“ bis „optional“ einzustufen. Satte 85% gaben Netzwerkwissen als kritische oder "sehr wichtige" Fähigkeit an, gefolgt von Linux (77%), Windows (73%), gängigen Exploit-Techniken (73%), Computerarchitektur und Virtualisierung (67%). Datenverarbeitung und Kryptographie (58%). Es ist überraschend, dass nur 39% das Programmieren als eine kritische oder sehr wichtige Fähigkeit bezeichneten (wir werden gleich darauf zurückkommen).
Wie haben Cybersecurity-Experten potenzielle Bewerber hinsichtlich dieser kritischen und sehr wichtigen Fähigkeiten bewertet? Die Ergebnisse scheinen überwältigend:
| Kompetenzen | Wie viele Kandidaten konnten nicht einmal grundlegende Probleme lösen | Wie viele Kandidaten haben ihre Fähigkeiten unter Beweis gestellt? |
|---|---|---|
| Allgemeine Hacking-Techniken | 66% | 4,5% |
| 47% | 12,5% | |
| 46% | 4% | |
| Linux | 40% | 14% |
| 32% | 11,5% | |
| 30% | 2% |
„Arbeitgeber berichten, dass das Cybersicherheitstraining für Studenten weitgehend unzureichend und frustriert ist, dass sie monatelang suchen müssen, bevor sie qualifizierte Einsteiger finden, wenn überhaupt“, sagt Alan Paller, Forschungsdirektor am Institut. SANS. "Wir haben vorgeschlagen, dass wir, um diese Herausforderungen anzugehen und die Lücke zu schließen, die Fähigkeiten artikulieren müssen, die Arbeitgeber erwarten, aber bei Absolventen nicht finden."
Die Wahrheit ist, dass einige der klügsten, klügsten und talentiertesten Computer-Sicherheitsexperten, die ich kenne, keine Zertifizierungen oder Abschlüsse in Informatik oder Informatik haben. Tatsächlich haben viele von ihnen nie ein College besucht oder die Universität abgeschlossen.
Sie gerieten vielmehr in Sicherheit, weil sie sich leidenschaftlich und intensiv für das Thema interessierten, und diese Neugier zwang sie, so viel wie möglich zu lernen - hauptsächlich durch Lesen, Ausprobieren und Fehler machen (viele Fehler).
Ich entmutige die Leser nicht, in diesem Bereich eine Hochschulausbildung oder Zertifizierung zu absolvieren (was in vielen Unternehmen eine Grundvoraussetzung sein kann), sondern nur, damit sie dies nicht als Garantie für eine stabile und hochbezahlte Arbeit sehen.
Ohne eine oder mehrere dieser Fähigkeiten zu beherrschen, werden Sie einfach nicht als sehr attraktiver oder herausragender Kandidat angesehen.
Aber wie?
Wo kann man sich konzentrieren und wo kann man am besten anfangen? Erstens: Während es nahezu unendlich viele Möglichkeiten gibt, Wissen zu erlangen, und die Tiefen, die Sie erkunden können, praktisch unbegrenzt sind, besteht der schnellste Weg zum Lernen darin, sich die Hände schmutzig zu machen.
Ich spreche nicht davon, jemandes Netzwerk oder eine schlechte Seite zu hacken. Bitte tun Sie dies nicht ohne Erlaubnis. Wenn Sie Dienste und Websites von Drittanbietern beschädigen, wählen Sie diejenigen aus, die Belohnungen durch Bug-Bounty-Programme anbieten , und befolgen Sie dann die Regeln dieser Programme.
Aber fast alles kann lokal gespielt werden. Möchten Sie allgemeine Techniken zum Hacken und Ausnutzen von Schwachstellen beherrschen? Es stehen unzählige kostenlose Ressourcen zur Verfügung ;; speziell entwickelte Tools wie Metasploit und WebGoat sowie Linux-Distributionen wie Kali Linux mit vielen Tutorials und Online-Tutorials. Darüber hinaus gibt es eine Reihe kostenloser Penetrationstests und Tools zur Erkennung von Sicherheitslücken wie Nmap , Nessus , OpenVAS und Nikto . Dies ist keine vollständige Liste.
Organisieren Sie Ihr eigenes Hackerlabor. Sie können dies auf einem Ersatzcomputer oder -server oder auf einem alten PC tun, der bei eBay oder Craigslist reichlich günstig verkauft wird. Kostenlose Virtualisierungstools wie VirtualBoxVereinfachen Sie die Arbeit mit verschiedenen Betriebssystemen, ohne dass zusätzliche Geräte installiert werden müssen.
Oder zahlen Sie jemanden, der einen virtuellen Server einrichtet, mit dem Sie experimentieren können. Amazon EC2 ist eine gute kostengünstige Option. Wenn Sie Webanwendungen testen möchten, können Sie eine beliebige Anzahl von Webdiensten auf Computern in Ihrem eigenen lokalen Netzwerk installieren, z. B. alte Versionen von WordPress, Joomla oder Online-Shop-Engines wie Magento.
Möchten Sie Netzwerke erkunden? Beginnen Sie mit einem anständigen Buch über TCP / IP , erhalten Sie ein gutes Verständnis des Netzwerkstapels und der Interaktion aller Ebenen miteinander .
Während Sie diese Informationen verarbeiten, lernen Sie, einige der Tools zu verwenden, mit denen Sie Ihr Wissen in die Praxis umsetzen können. Schauen Sie sich beispielsweise Wireshark und Tcpdump an , praktische Tools, die von Netzwerkadministratoren verwendet werden, um Netzwerk- und Sicherheitsprobleme zu beheben und um zu verstehen, wie Netzwerkanwendungen funktionieren (oder nicht). Überprüfen Sie zunächst Ihren eigenen Netzwerkverkehr, das Surfen im Internet und die tägliche Computernutzung. Versuchen Sie zu verstehen, was Anwendungen auf Ihrem Computer tun, indem Sie sich ansehen, welche Daten sie wie und wo senden und empfangen.
Über die Programmierung
Arbeitgeber benötigen möglicherweise Programmierkenntnisse in Sprachen wie Go , Java , Perl , Python , C oder Ruby . Unabhängig davon machen Sie Kenntnisse in einer oder mehreren Sprachen nicht nur zu einem attraktiveren Kandidaten, sondern erleichtern Ihnen auch das weitere Studium und den Aufstieg zu höheren Kenntnissen.
Abhängig von der Spezialisierung können Sie irgendwann feststellen, dass die Möglichkeiten zur Weiterbildung gerade durch das Verständnis der Programmierung begrenzt sind.
Wenn Sie von der Idee des Sprachenlernens eingeschüchtert sind, beginnen Sie mit den grundlegenden Linux-Befehlszeilentools. Das Erlernen des Schreibens grundlegender Skripte zur Automatisierung von Routineaufgaben ist bereits ein großer Schritt nach vorne. Darüber hinaus zahlt sich die Beherrschung von Shell-Skripten während Ihrer gesamten Karriere in praktisch jeder technischen Rolle im Zusammenhang mit Computern aus (unabhängig davon, ob Sie eine bestimmte Programmiersprache lernen oder nicht).
Hilfe bekommen
Machen Sie keinen Fehler: Wie das Erlernen eines Musikinstruments oder einer neuen Sprache ist der Erwerb von Cybersicherheitsfähigkeiten zeitaufwändig und stressig. Aber lassen Sie sich nicht entmutigen, wenn Sie von der gesamten Informationsmenge überwältigt und überwältigt werden. Nehmen Sie sich Zeit und gehen Sie weiter.
Deshalb helfen Selbsthilfegruppen. Ernsthaft. In der Informationssicherheitsbranche besteht die menschliche Seite des Netzwerks aus Konferenzen und lokalen Meetings. Es ist schwer zu übertreiben, wie wichtig es für Ihre Gesundheit und Karriere ist, regelmäßig mit Gleichgesinnten in Kontakt zu treten.
Viele dieser Veranstaltungen sind kostenlos, einschließlich BSides Meetings , DEFCON Groups und OWASP Meetings... Und da die Tech-Branche weiterhin überwiegend männlich ist, gibt es eine Reihe von Cybersicherheitstreffen und frauenorientierten Gruppen wie die Cyberjutsu Sorority und andere, die hier aufgeführt sind .
Wenn Sie nicht in der Wildnis leben, gibt es wahrscheinlich mehrere Informationssicherheitskonferenzen und -meetings in Ihrer Nähe. Aber selbst wenn Sie abseits der ausgetretenen Pfade sind, finden viele dieser Treffen aufgrund der COVID-19-Pandemie praktisch statt.
Kurz gesagt, erwarten Sie nicht, dass ein Diplom oder Zertifikat Ihnen die Fähigkeiten vermittelt, die Arbeitgeber verständlicherweise von Ihnen erwarten. Dies mag fair sein oder auch nicht, aber Sie müssen Fähigkeiten entwickeln und verbessern, die den zukünftigen Arbeitgebern und Beschäftigungsmöglichkeiten in diesem Bereich dienen.
Ich bin sicher, die Leser haben ihre eigenen Ideen, worauf sie sich für Anfänger und Studenten konzentrieren sollen. Bitte zögern Sie nicht, in den Kommentaren zu sprechen.
Siehe auch: