如何成为网络安全专家
如果您有兴趣从事网络安全事业并且不知道从哪里开始,那么这里是您的薪水,职业市场,技能和该领域常见面试问题的指南。
随着网络犯罪分子的日趋复杂和重大违规消息几乎每天都成为头条新闻,网络安全专业人员的需求量很大:ISC(2)发现,目前全球有近300万个未填补的网络安全工作。
根据IBM Security和Ponemon Institute的数据,承担这些角色的员工在企业中扮演着关键角色,全球数据泄露的平均成本约为362万美元。
受过训练的网络安全专业人员的短缺导致许多组织寻找非传统的候选人来填补这些职位。为了帮助对该领域感兴趣的人更好地了解如何进入网络安全事业,我们收集了最重要的细节和资源。(注意:有关成为网络安全专家的文章可免费下载PDF。)网络安全方面的工作也可以要求很高的薪水:根据美国劳工统计局的数据,美国信息安全分析师的平均工资为98,350美元,在旧金山和纽约等城市,这一数字要高得多。
SEE:The Dark Web:业务专业人员指南(免费PDF)(TechRepublic)
执行摘要
为什么对网络安全专业人员的需求增加?在过去的几年中,网络犯罪激增,主要的勒索软件攻击(如WannaCry和Petya)使企业数据处于危险之中。为了保护自己和客户的信息,各行各业的公司都在寻求网络专业人员来保护其网络。
网络安全工作角色是什么?网络安全事业可以扮演各种角色,包括渗透测试人员,首席信息安全官(CISO),安全工程师,事件响应者,安全软件开发人员,安全审核员或安全顾问。
网络安全需要哪些技能?网络安全所需的技能因职位和公司而异,但通常可能包括渗透测试,风险分析和安全评估。还需要认证,包括风险和信息系统控制认证(CRISC),信息安全管理经理(CISM)和信息系统安全专家(CISSP),可以为您带来更高的薪水。
网络安全工作最热门的市场在哪里?近年来,包括苹果,洛克希德·马丁,通用汽车,Capital One和Cisco在内的顶级公司都在招聘网络安全专业人员。医疗保健,教育和政府等行业最容易遭受网络攻击,这可能导致这些部门的IT安全工作数量增加。
网络安全专业人员的平均工资是多少?网络安全专业人员的平均工资取决于职位。例如,根据美国劳工统计局的数据,信息安全分析师的年薪中位数为98,350美元。同时,根据Salary.com,CISO的平均工资为221,991美元。在某些城市,例如旧金山和纽约,薪水明显更高。
网络安全职业的典型面试问题是什么?根据Forrester分析师Jeff Pollard的说法,问题取决于职位和具体公司的需求。对于入职和早期职业角色,应期望更多技术问题。随着您晋升,问题可能会更多地与领导力,运行程序,解决冲突和预算有关。
在哪里可以找到从事网络安全职业的资源? ISACA,ISC(2),ISSA和SANS研究所是国家和国际组织,您可以在其中查找有关该专业以及认证和培训选项的信息。许多大学和在线课程还提供与网络安全相关的学位,证书和预科课程。
为什么对网络安全专业人员的需求增加?
在过去的几年中,网络犯罪激增,主要的勒索软件攻击(如WannaCry和Petya)使企业数据处于危险之中。物联网(IoT)的兴起也开辟了新的威胁媒介。为了保护自己和客户的信息,各行各业的公司都在寻找网络安全专业人员来保护其网络。
但是,许多企业在填补这些职位方面面临困难:根据ISACA 2017年的一份报告,美国55%的组织报告称开放的网络安全职位至少需要三个月才能填补,而32%的组织表示他们需要六个月或更长时间。27%的公司表示,他们根本无法填补网络安全职位。
网络安全仍是一个相对较新的领域相比其他计算机科学,所以缺乏认识是为人才短缺的原因之一,据劳伦Heyndrickx,首席信息安全官JCPenney的。她补充说,对于网络安全工作实际上需要做什么的误解是很普遍的,并且可能是少数女性和少数族裔进入该领域的原因的一部分。根据ISC(2)的报告,女性现在占网络安全劳动力的24%,而这些女性中的45%是千禧一代,并且随着时间的流逝,这些数字可能还会继续增长。
德雷克塞尔大学计算机科学副教授雷切尔·格林斯塔特(Rachel Greenstadt)表示,过去几年计算机科学课程的注册人数也大大增加,许多学校都在增加网络安全专业和集中度。
其他资源:
您的公司无法聘请网络安全专业人员的5个原因以及解决方案(TechRepublic)
网络安全焦点:严重的劳动力短缺(Tech Pro Research)
报告:57%的企业找不到足够的IT安全专家(TechRepublic)
报告:尽管安全威胁不断增加,但CXO仍在努力寻找网络安全专业人员(TechRepublic)
网上诱骗和鱼叉式钓鱼:IT专业人员指南(免费PDF)(TechRepublic)
网络安全:三分之二的CIO表示威胁不断增加,但勒索软件也在不断增长(TechRepublic)
这些女性想解决网络安全的巨大性别差距(CNET)
国际妇女节:对信息安全社区(ZDNet)的呼吁
性别差距:为什么信息安全需要更多的女性(TechRepublic)
网络犯罪和网络战争:专为寻求帮助的群体提供的检举者指南(ZDNet)
特别报告:物联网和移动世界中的网络安全(免费PDF)(TechRepublic)
IT领导者必读的书籍:10本有关网络安全的书籍(免费PDF)(TechRepublic)
抵御网络战争:网络安全精英如何努力防止数字启示录(免费PDF)(TechRepublic)
网络安全工作角色是什么?
网络安全工作根据职务和个人公司的需求而担负着多种职能,具有各种工作职能。
按需角色包括渗透测试人员,他们可以进入系统或网络,查找漏洞,并向组织报告或自行修补漏洞。网络安全工程师通常来自开发中的技术背景,他们会深入研究代码来确定缺陷以及如何增强组织的安全状况。安全软件开发人员在设计和开发过程中将安全性集成到应用程序软件中。
SEE:网络战争和网络安全的未来(ZDNet特别报告)| 以PDF格式下载报告(TechRepublic)
计算机取证专家进行安全事件调查,访问和分析来自计算机,网络和数据存储设备的证据。安全顾问充当顾问,根据单个公司面临的需求和威胁,设计和实施最强大的安全解决方案。
在这一链的顶端,CISO负责领导公司的网络安全战略,并且必须不断适应最新的威胁。
其他资源:
CISO的兴起:为什么C套件需要安全负责人(TechRepublic)
职位描述:身份访问管理专家(技术专家研究)
职位描述:计算机法证分析师(技术专业研究)
职位描述:信息安全分析师(Tech Pro Research)
职位描述:安全架构师(技术专家研究)
网络安全倦怠:工作中最紧张的10个部分(TechRepublic)
关于网络安全工作的8个硬事实(TechRepublic)
网络安全需要哪些技能?
网络安全工作所需的技能因您所担任的职位和所工作的公司而异。通常,网络安全工作者负责以下任务:渗透测试(测试计算机系统,网络或Web应用程序以发现攻击者可能利用的漏洞的实践),风险分析(定义和分析对网络威胁的过程)业务,并使与技术相关的目标与业务目标保持一致)和安全评估(确定信息系统或组织当前安全状况并提出改进建议的过程)。
请参阅:如何在网络安全方面建立成功的职业(免费PDF)(TechRepublic)
网络安全认证可以教授这些和其他宝贵的工作技能,并且通常会导致该领域的薪资提高。当前对风险和信息系统控制认证(CRISC),信息安全管理经理(CISM)和信息系统安全专家(CISSP)等认证的需求很高。
Pollard说,网络安全工作不一定需要开发人员的技能或学位。“你并不需要学士学位,在一个特定领域的程度是在安全性大,事实上,你并不一定需要[学位]可言,” 据波拉德。“认识到网络安全是一项技能,并向人们传授企业安全专业知识。这意味着将其视为学徒制或培训计划。”
网络安全是一个跨学科领域,需要有关技术,人类行为,财务,风险,法律和法规方面的知识。网络安全工作人员中的许多人都是从其他职业进入该领域的,他们利用了这些技能并将其转化为网络技能。
“如果你有安全技能,有很多可供选择的机会,” 据波拉德。“如果您对安全感兴趣,也许有非传统背景,但愿意学习,那么从这个角度来看,机遇当然也是开放的。”
其他资源:
``偶然的''网络安全专业人员的崛起(TechRepublic)
新的ACS认证计划(ZDNet)抢占了网络安全专业化地位
道德黑客:租用白帽子如何帮助您的组织抵御恶意分子(TechRepublic)
女童军(TechRepublic)正在创建下一代网络安全专业人员
网络安全专业人员必须打破的10个不良习惯(TechRepublic)
加密:商业领袖指南(免费PDF)(TechRepublic)
中间人攻击:内部指南(免费PDF)(TechRepublic)
网络安全工作最热门的市场在哪里?
全球几乎每个行业的高管都希望提高其安全地位,并正在聘请专业人员来帮助他们做到这一点。确实报告显示,对网络安全专业人员的需求持续增长,从2017年到2018年增长了7%。
医疗,教育和政府等行业最有可能遭受网络攻击,尤其是在这些领域中,网络安全工作可能会增加。专家说,对网络安全专业人员的需求只会在未来几年继续增加。
这将会为年轻人在未来几年进入这个领域是特别重要的,根据韦斯利·辛普森,ISC(2)的COO。当前,只有7%的网络安全工作者年龄在29岁以下,而13%的年龄在30至34岁之间。网络专业人员的平均年龄为42岁。
辛普森说:“在未来十年中,我们将有大量的网络专业人员开始退休。” “我们没有一个好的计划来回补大量离开该行业的人们。我们需要能够对网络安全的各个方面进行教育并使人们意识到这一点,并[发送一条消息]无论您是否拥有不论是否具有技术学位,这都是人们进入的一项伟大,多样化,利润丰厚的职业。”
其他资源:
希望提供的帮助:大学将安全性提高一倍,以帮助填补100万个空缺职位(TechRepublic)
招聘网络安全专业人员的十大公司(TechRepublic)
世界需要更多的网络安全专家,但千禧一代对该领域不感兴趣(TechRepublic)
2017年需求最大的3个网络安全工作(TechRepublic)
网络士兵:白帽黑客(CBS新闻)
调查发现(ZDNet)三分之一的网络安全职位空缺
成为道德黑客奖金捆绑包(TechRepublic学院)
网络安全专业人员的平均工资是多少?
网络安全专业人员的平均工资取决于职位和公司。例如,根据美国劳工统计局的数据,信息安全分析师的年薪中位数为98,350美元。同时,根据Salary.com,CISO的平均工资为221,991美元。在某些城市,例如旧金山和纽约,薪水明显更高。
熟练的网络安全专业人才的需求已使场“卖方市场”,据波拉德。熟练的应聘者更能够谈判工资,福利,津贴和诸如比以往远程工作,根据斯蒂芬Zafarino,在招聘公司招聘盟的高级主管。
其他资源:
网络安全收入最高的10个职位(TechRepublic)
薪水最高的10个最佳科技工作(TechRepublic)
为什么女性仍然仅占网络安全专业人员的24%(TechRepublic)
网络安全职业的典型面试问题是什么?
ISC(2)的安全主管Charles Gaughf表示,雇用安全专业人员通常是一项艰巨的任务。“根据您组织的结构,您可能正在寻找非常具体的知识或技能,但是最有可能的是需要一个精通各种技术,干劲十足,好奇心强,诚实的合格专业人员。”说过。“这就是为什么要提出自己的问题以确定这些素质的一个好主意。抛出一些使候选人思考并且知道在面试前还没有练习过的问题也是一个好主意。”
Pollard说,问题取决于职位和具体公司的需求而有所不同。对于入职和早期职业角色,应期望更多技术问题。随着您晋升,问题可能会更多地与领导力,运行程序,解决冲突和预算有关。
SEE:网络安全和网络战争:更多必读的内容(Flipboard上的TechRepublic)
测试候选人当场思考能力的一个开放性问题可能是“您如何构建僵尸网络?” 高夫说,这使他们弄清楚了如何从头开始感染,控制和协调僵尸网络-立即将其置于攻击者的视线内。然后他们可能会被问到“您将如何防御僵尸网络?” 获得其他观点。
Pollard说,在最初的采访中,候选人还可以期待技术问题,例如:
恶意软件可以通过哪些方式逃避防病毒产品的检测?
什么是跨站点脚本(XSS)攻击,它如何起作用?
在XSS之外,还有哪些其他Web应用程序攻击示例?
什么是中间人攻击,如何预防?
TCP和UDP有什么区别?哪种使用案例更适合UDP?
高夫说,候选人还可能期望有问题来确定他们如何跟上行业发展,例如:
您是否属于任何本地安全组?
您如何跟上网络安全新闻?
您收听哪些安全播客?
在初次面试之后,应聘者通常会前进到完成工作的模拟练习,根据角色的不同,练习可能是简单的也可能是复杂的。雇主通常是在寻找能够解释其决策过程的候选人,而不是那些能完美完成任务的候选人。
Pollard说:“我可能会给他们一些日志数据,并询问有关数据内容的问题。我可能会给他们提供来自系统的取证记录,并要求他们进行轻度的调查工作并回答有关攻击者的详细信息。” “如果要成为开发人员,我可能会要求他们编写一些可以通过数据进行解析的代码。如果要成为渗透测试人员,我可能会给他们一个基本的Web应用程序,并要求他们进行攻击。 ”
在那之后,候选人可以进行最后一次面试,以解释他们的解决方案,推理和方法。
“对于双方(公司和候选人)来说,这都是很多工作,”波拉德说。“而且这与传统的面试安排不符,在传统的面试安排中,您需要整理大量的简历,挑选一些人来面试,然后依靠一系列30-45分钟的问题,然后根据各种回答将他们向前推进,本能和情感。”
其他资源:
雇主在雇用网络安全专业人员时应注意的五个特征(TechRepublic)
从事信息安全工作:这些专家分享他们的最佳职业建议(ZDNet)
如何回答艰难的面试问题:8个技巧(TechRepublic)
减少下一次面试的8种方法(TechRepublic)
您可能不会因从事网络安全工作而丧命的10个迹象(TechRepublic)
编码学校的毕业生:他们值得招聘吗?(技术共和国)
Google for Jobs已准备好招募您(TechRepublic)
在哪里可以找到从事网络安全职业的资源?
存在一些针对网络安全专业人员和对该领域感兴趣的人员的国家和国际组织。ISACA,ISC(2),ISSA和SANS研究所提供有关该专业的信息,以及研究和认证以及培训计划的选择。
您可以联系组织中目前负责网络安全的人员,并查看您是否可以掩盖他们或成为受训者。
其他资源:
五本基本的网络安全有声读物(TechRepublic)
针对IT专业人员的五个基本网络安全播客(TechRepublic)
通过这些重要的YouTube视频了解网络安全基础知识(TechRepublic)
基本内容如下:Twitter上的信息安全专家(TechRepublic)
新的培训平台使用实际情况来更快地培训网络安全专家(TechRepublic)
2019年最佳密码管理器(CNET)
评论专区