我一直在疯狂地寻找一所拥有良好信息安全计划的大学。我遇到的其中一个是威尔明顿大学计算机和网络安全计划。当我看到它时,我有点退出了。学院很近,很便宜,而且有我想要的课程。然后我参加了他们主办的开放日活动。我和一位老师谈过一次(她在技术部门任教,但做更多的网络开发),至少可以说我的梦想有点破灭了。当我进一步向她询问该程序时,她告诉我他们只有一门编程课,那就是python。这杀死了我有两个原因。首先,我喜欢安全的编程方面。第二,因为它是 python。
在尝试进入 IT 安全领域时,人们应该在高等教育计划中寻找什么。我知道这是一个广泛的领域,每种类型之间存在差异,但您怎么看?
既然我知道你们会深入回答你的答案,你能否列出在搜索每个单独部分时应该寻找的不同内容的列表?我知道这是很多工作,但这应该能够帮助人们很长时间。
不得不说,看了节目资料,我并不意外。
正如您所说,IT 安全领域非常广泛——而编程只是其中的一小部分。如果你喜欢编程,并且希望它成为你教育和工作的中心点,那么我会提出你真正想要的是软件安全课程的想法——我还没有看到很多(或任何)以此为中心点的课程。
在寻找高等教育和从事 IT 安全工作时要考虑的事情......
你希望教育为你做什么?
IT 安全仍然是一个如此新的领域,以至于人们需要很长时间才能真正了解“经典”IT 安全专业人员的能力。直到有工作需要 IT 安全学位作为基线,这将是更长的时间。我敢打赌,在接下来的 10 年里,大多数 IT 安全专业人士都不是在任何标题为“安全”的领域都拥有学位或高级学位的人——这个领域仍然太新、太多样化。
所以 - 目标回归存在 - 你想从学位中得到什么?我所看到的当前设计的程序的 IT 安全学位将帮助您了解一些当前的最佳实践和行业中的业务权衡。但是,如果您想成为任何特定学科(编程、网络、计算机操作系统、管理)的技术高手,那么请考虑该学科的程序。
什么是 IT 安全学位?
我希望这个答案在未来几年内会非常过时,但值得一试......
它目前正在将自己与任何有助于 IT 安全的特定学科分开,有利于创建一个跨越这些学科的整体视角,并让学生采取广泛的视角来:
因此,在这些天的任何程序中,我都希望看到一点点:
有了这么多的主题集,我并不奇怪编程(或任何单一学科)只占课程的一小部分。
今天的招聘市场
我跳到这一点主要是因为人们追求教育的第一大原因是找工作。找到工作的关键是拥有人们愿意付钱给你的技能。
由于目前还没有任何先例,因此没有一个工作专门为此类学位招聘。需要大量安全知识的关键领域包括:
目前,这些工作中只有一小部分需要黑客专业知识或严格的编程技能。大多数都需要对关键安全控制有一定深入的了解,并且能够根据黑客的能力学习和审查安全控制。
进化中
与安全相关的课程在很大程度上处于过渡阶段。我现在合作的专业团体正在积极参与修订和完善这些计划——它们是非常新的,并且仍然处于过渡阶段。作为招聘经理,我看到的诀窍是现在有一个艰难的地方——安全领域的关键工作很难填补,需要认真的技术专长、出色的沟通技巧和良好的判断力。现在填补这些角色的方式是由通常在其职业生涯中工作 10 年以上的人组成——他们通过以前的工作在关键领域获得了技术深度,他们在一些严峻的挑战中幸存下来,这给了他们良好的判断力,并且他们已经花了足够的时间进行交流以使其变得更好。
理想情况下,我们这些业内人士会想办法利用新的大学毕业生来完成其中的一些工作,并利用我们经验丰富的人作为指导和导师——就像其他技术学科一样。诀窍是 - 还没有一个适合所有程序的大小。风险、成本、技术和人员的关系——这或多或少是可以转移到工作的。但是每卷所需的细节通常都是公司特定的,很难填写。
计算机和网络安全 - 特别是
这门特定的课程被称为计算机和网络安全,特别是 - IMO - 相当诱人。我看过 IT 安全和网络安全,这些标题的开放式性质总是让我担心。至少计算机和网络安全建议一个以……嗯……计算机和网络为中心的程序!
更详细地了解该程序,然后回到我的主要观点:
如果我正在面试一个候选人并看到这个学位,那么第一步就是做我现在正在做的事情。我也会:
寻找其他毕业生——他们在哪些领域工作?这看起来很重 - 候选人主要从事执法工作吗?
面试内容——当然基础看起来不错——候选人真的可以配置我需要他配置的安全控制吗?这项工作是如何动手进行的(不是编程 - 暂存、修复和安装计算机系统和网络设备)
寻找专注于跨学科合作的项目工作——如果你不能与想法不同的人一起工作,你就不会从事大多数安全工作。
作为一名毕业生——我还有一个问题——你们有多少教授在这个领域工作?该领域正在迅速发展和变化 - 如果您的教授没有参与并亲自动手工作,那么您将接受基于理论的教育,并且您可能不得不忘记在工作时学到的大部分知识. 该领域的真正关键是有机会与具有行业知识并且其理论已在实践中得到证明的人合作。
我不确定我是否可以告诉你哪所学校有一个好的信息安全项目,但我认为你可能应该研究的是好的计算机科学学校。我相信,要成为“黑客”,您必须能够像黑客一样思考。一旦你了解了目标所采用的技术机制,像黑客一样思考是最容易的。学习计算机科学,一些学校有面向网络和网络安全的课程。
另外,我不理解您对学习 Python 的挫败感。您可能可以在家中学习 Python。Python 是一种非常强大的编程语言,它的目的是成为一种易于学习的有趣语言。这就是为什么它在 Monty Python 之后被称为 Python。在 Python 文档中,使用了 Monty Python 引用而不是传统的伪代码变量,如foo、bar和baz。无论如何,Python 在渗透测试世界中使用得相当多,所以也许你可能想重新考虑学习它。Python 非常强大,并且提供了如此快速的开发时间,以至于许多漏洞利用程序都是用 Python 编写的。
无论如何,一些不错的计算机科学学校供您查看:
我希望这不会出错,但这是你擅长或不擅长的事情之一。能够为所有类型的漏洞读取和编写各种编程语言是很好的,例如 C、Python、Ruby、SQL、JavaScript、HTML、C++、PHP、.NET/C#/F#、Java、Assembler 等等等。例如,如果您正在测试网络应用程序,那么您绝对应该学习网络语言。同样,如果您正在测试网络,您应该学习 C、Java、Common Lisp AND/OR Scheme AND/OR Clojure、Python 和 C++。
您当然会想了解很多关于网络本身的知识。学习 OSI 模型,并尽可能多地学习。您将想学习如何创建数据包并注入它们。您还想学习如何使用流行的工具(如 Wireshark、pcap 等)来嗅探数据包。您肯定想学习 Ruby 并学习 Metasploit 框架。而且您肯定想学习如何识别和读取基数 2、基数 8、基数 16 等(二进制、八进制、十六进制……)。
还有很多我没有告诉你的,当然你需要了解诸如缓冲区溢出、堆喷射、SQL 注入等漏洞利用,并且需要了解 shell 代码和汇编。您肯定需要潜伏安全顾问委员会并与其他信息安全专业人员聊天。潜伏在一些 IRC 房间里,蜜罐服务器设置在某个地方,也许在你家,最好不要在像宿舍这样的公共网络上,然后进入匿名频道,或者像2600这样的其他频道在您观看他们试图在您的机器上进行的所有攻击的实时日志时,用您的蜜罐引导并诱饵他们。他们可能正在对您的系统使用公共漏洞以查看其是否已修补,但如果他们有 0day,您现在可以将未修补的漏洞添加到您的武器库中,可能与未通知的供应商一起使用。
你肯定需要掌握社会工程学的艺术。你会想每一次有机会练习这个。起初,说谎和操纵别人可能会觉得有点奇怪,也许有点不对劲。很快你就会明白,你用来利用网络的技术在社会工程中有一些镜像应用。
哦,如果您喜欢硬件黑客,您可能希望将一些工程纳入您的课程。
这听起来像是一个很大的订单。它不会一下子发生。显然,还有很多我什至没有提到与良好的信息安全教育相关的东西。有许多信息安全专业人员没有大学学位,但他们是该领域的领导者。还有一些毕业于麻省理工学院和康奈尔大学等学校的人。 并非所有人都适合从事信息安全职业,有些人应该寻求在其他 IT/CS 领域获得工作。话虽如此,那些以信息安全专业人员的身份获得职业的人通常对计算机科学有非常广泛的了解,并且不仅对信息安全有专门的了解,而且他们也绝对不是脚本小子。
找到真正教你如何破解的那个。许多课程侧重于加密和“安全政策”主题,而不是让人们动手体验。在当前环境下,闯入事物的报酬更高,也更受追捧。
这就是一所大学在澳大利亚所做的事情 - http://www.smh.com.au/it-pro/security-it/how-unsw-creates-the-worlds-best-hackers-20130510-2jdbt.html