Hallo allemaal,
Ik heb door ongeveer 100 cv’s heen gekeken die ik via Reddit heb ontvangen van mensen die proberen in InfoSec te komen. Ik wilde de gemeenschap wat feedback geven en laten zien hoe je je kansen kunt verbeteren om door te breken in de industrie. Dit zijn niet mijn persoonlijke opvattingen, maar ik ken de industrie goed en heb veel vrienden die ook hiring managers zijn. Dit zijn punten om je kansen te maximaliseren.
1: BESTURINGSENGINES (Je moet er op een matig niveau van detail begrip van hebben)
Veel van de cv’s en kandidaat-gegevens die ik heb bekeken, hebben geen goed begrip van Linux EN (niet of) Windows-besturingssystemen, vooral hoe Windows-domeinen werken. Ik zou gokken, tenzij je een onderzoeker bent die zich richt op IoT, dat 99,99% van de apparaten waarmee je werkt Windows of Linux draaien. Zelfs als je een pentest-expert bent, ga je naar Windows-domeinen.
zet een paar servers op AWS, Azure of GCP, wat je ook maar wilt. Zet een Windows-server op en draai hem, promoot hem tot domeincontroller, voeg een tweede domeincontroller toe, voeg een lidserver en een werkstation toe. Begrijp hoe groepsbeleid, OUs en andere basisfuncties van Windows-omgevingen werken.
Voor Linux, ik moet eerlijk zijn, dit is een slechte situatie omdat de Linux+ certificering niet echt waardevol is voor mensen in InfoSec. Niemand geeft om of je harddisks handmatig partitioneert, maar dat soort dingen en andere niet-essentiële items staan op de certificering. Maar je kunt veel leren, door te begrijpen hoe services werken, je eigen aangepaste services toe te voegen, configuratiebestanden op het bestandssysteem te beheren, te begrijpen waar je logs naartoe gaan, dat soort dingen zijn allemaal cruciaal.
Besteed tijd aan het bekijken van de CIS-hardeningstandaarden voor besturingssystemen en probeer deze te implementeren, je zult er VEEL van leren en je kunt proberen te achterhalen hoe je die hardening-standaarden kunt omzeilen.
2: LEER SCRIPTS SCHRIJVEN / CODEREN (Python of PowerShell)
De InfoSec-industrie beweegt richting automatisering. Mensen, hoe geweldig ze ook zijn, zijn traag vergeleken met computers voor herhaalbare taken, en foutgevoelig bij het beoordelen van grote dataverzamelingen. We hebben net een groot project afgerond voor een ziekenhuis dat probeerde menselijke risico-rangschikking te laten doen over 30 miljoen kwetsbaarheden. Ze gingen miljoenen dollars uitgeven aan aannemers, en wij losten hun probleem op in 6 maanden met Splunk, veel Python en industriestandaard CVSS-omgevingsscoringsalgoritmes. Vind je het leuk of niet, binnen 5 jaar, als je geen code kunt schrijven, zul je waarschijnlijk niet meer in de branche zijn.
3: WEES OPEN (InfoSec is een brede ruimte)
Ik heb hier een heel apart bericht over gemaakt dat goed werd ontvangen (zie hieronder), maar het verbaast me dat mensen bij het denken aan InfoSec 95% van de tijd denken aan twee functies:
- Penetratietester
- SoC-ingenieur
Holy crap, mensen, InfoSec is ZO VEEL GROTER dan die twee functies. We doen veel systeemimplementatiewerk voor mensen. We doen veel met Splunk en Secret Server, maar er is ZO VEEL KANSEN voor mensen met vaardigheden in platformimplementatie. Als je bij een bedrijf kunt komen waar je kunt blijven leren hoe deze platforms werken, dan zet dat je op de lange termijn op het gebied van architectuurposities.
https://www.reddit.com/r/cybersecurity/comments/sxfivm/how_to_make_money_en_get_into_cyber_security/
4: HEB EEN PASSIEPROJECT (Je zult zonder passie niet slagen)
Ik moet eerlijk zijn, als je in InfoSec bent gekomen voor het geld, zul je het waarschijnlijk niet redden. Er is zoveel te leren en de industrie verandert te snel. Ik werk al meer dan 20 jaar in de industrie en MOET nog steeds mijn vaardigheden bijhouden. Ten tweede, InfoSec vanuit een puur klinisch perspectief is een rotbaan. Niemand geeft een hoid als je je werk goed doet, mensen komen alleen langs je straat als er iets door de mand valt. Ik heb een vriend die CISO is bij een Fortune 100-bedrijf, en we hingen rond op een security-conferentie in NC. Een jonge kerel kwam naar hem toe en vroeg:
“Hoe word ik een CISO?”
Brian antwoordde: “Plaats een doelwit op je rug”. Als je geen passie hebt voor deze ruimte, veel geluk.
Mensen zullen zeggen “Oh maar waarom zou ik aan zijprojecten werken, X, Y of Z niet-beroep hoeft dat niet”. Het kan mij niet schelen, hetzelfde geldt voor andere hiring managers. Boekhouding is waarschijnlijk niet veranderd in de laatste 100 jaar, InfoSec verandert elke 100 seconden, en als je niet bijhoudt, wordt je elke week minder waardevol voor mij of welke organisatie dan ook. Ik weet dat velen van jullie dat niet leuk zullen vinden, maar dat is de realiteit.
5: BEKEN EEN PRODUCT (Ik haat dit persoonlijk)
Ik ga zeggen dat ik persoonlijk VERAFSCHUWK hoe “productgericht” onze industrie is, dat maakt me serieus ziek, maar het is de industrie. Als je je kansen op een baan wilt vergroten, duik dan dieper in een product, Splunk, Palo Alto, CrowStrike, Duo, wat dan ook. Dat stelt een bedrijf in staat om je in een positie te plaatsen en je kunt meteen bijdragen.
In mijn bedrijf doen we VEEL training, mensen krijgen waarschijnlijk voor 10.000 dollar aan training voordat ze überhaupt aan een project met een klant beginnen. Helaas is de meeste industrie niet zo. Ik praat met mijn collega’s over mijn Reddit-rekrutering en ik denk dat het idee begint door te dringen, maar helaas hebben de meest bedrijven vrij zieke opleidingsbudgetten. Als je een product kunt leren, heb je jezelf een stevige voorsprong gegeven.
6: DENK OP DE LANGE TERMijn (Vermijd doodlopende banen)
Ik hoor zoveel mensen praten over hoe ze direct na de universiteit zes cijfers kunnen verdienen. Dit is ZEER zeldzaam, je moet in de top 5% van de nieuwe sollicitanten zitten. Mensen hebben de neiging om kortzichtig te zijn. Als je twee baanaanbiedingen hebt:
- $70.000 salaris zonder opleidingsbudget
- $50.000 salaris en $10.000 opleidingsbudget
Neem optie 2, allereerst betaal je belastingen over de extra 20k, en ten tweede, als je dat budget verstandig gebruikt voor dingen als SANS-certificeringen en platformtraining, kun je binnen 3 jaar 100k verdienen.
7: LEER VORSTELLEN en presenteer jezelf (Poets je haar…)
Als je op een sollicitatie komt, zet je camera aan, kam je haar, draag een nette overhemd, presenteer jezelf goed. Ik denk dat er een mindset in InfoSec is dat je een vreemde eend kunt zijn en het toch goed doet. Misschien bij sommige bedrijven, maar ik heb waarschijnlijk gewerkt en geadviseerd voor 100 van de top 500 bedrijven in de VS, en weet je hoeveel mensen met blauw haar of mohawks ik heb gezien? Nul…
Wat je krijgt betaald, is sterk gerelateerd aan hoe waardevol de systemen zijn die je beschermt. De meeste hiring managers beoordelen je op hoe je jezelf presenteert tijdens een sollicitatie. Ik heb de afgelopen 3-4 weken ongeveer 30 interviews gedaan met mensen op Reddit, en het is verbazingwekkend dat wanneer ik mijn camera aan zet, anderen dat niet doen.
Ik huur wel van Reddit, ik heb al één teamlid die ik hier heb aangenomen, en ik zal waarschijnlijk 2 meer aannemen binnen de volgende 2-4 weken. Ik hoop dat dit jullie allemaal helpt die geïnteresseerd zijn in het veld.
Beste wensen en succes toegewenst aan jullie allemaal.