想成為一個安全專家嗎?-2012-07-15
我定期收到有人寄信給我,希望我給予建議如何學習更多有關電腦安全的知識,不論是作為大學課堂上的學習或是作為一個IT人員的職業選擇考量。
首先,要知道電腦安全下有許多分類。你可以成為一個使系統不被入侵的專家或是建造一個無法入侵軟體的專家。你可以是一個從軟體或網路中發現安全問題的專家,也可以是病毒、安全政策或是密碼學的專家,對於不同技術會有許多許多的選擇,你不需要為了成為一個安全專家搞得自己好像一個編碼器。
話雖如此,但一般來說我還是有三則建議給想學電腦安全的人。
*學習* 學習可以採取很多種形式,它可以是上課,不論是在大學或者是在培訓會議,如SANS以及Offensive Security。(這些都是給自發性學習者的一些良好資源)。 它可以是閱讀的方式,有很多很棒的書籍以及部落格是教授不同主題的電腦安全,也不要將自己局限於電腦科學的領域,你也可以研讀其他安全領域如軟體科學、經濟、心理學與社會學並從中學到許多。
*做* 電腦安全基本上是專業人員的藝術,而那需要練習。這指的是去使用那些你學習過的東西來配置安全的系統、設計新的安全系統以及破解現有的安全系統。這也是為什麼有許多課程有扎實的上機訓練,想多學點的話就絕對不能少了”做”的功夫。
*展現* 若你能妥善展現你的所知所能給想要僱用你的人知道,這不僅在面試上是加分的,同時也能對你在部落格評價上有正面的效果。你可以藉由製作音訊或影片廣播和撰寫自己的部落格來顯示你的專業。你也可以在小型群組研討會上開講座教學,更可以撰寫論文投稿至會議或出書。
我不僅是一個安全認證的愛好者,同時也能將這些安全驗證的知識透過簡單快速的方式展現給潛在的僱用者。
我對於這是否同樣適用於其他許多領域持保留態度,但我覺得要在安全這領域成功這是必要的一個思維。我不確定這個思維是否可以被教導,但是它確實值得被鼓勵。
這種想法對大多數人來說是不自然的,它對工程師來說也是不自然的。好的工程師所思考的是要怎麼讓東西可以運作;而安全的思維則還要考慮怎麼讓東西失敗。這種思維比較像是一個攻擊者、敵人或者是罪犯。你並不需要去利用你找到的弱點,但如果你沒有看到這一面的話,你就不會去注意到更多的安全問題。”
本文為【網路管理實驗室】協助翻譯
原文網址:http://www.schneier.com/blog/archives/2012/01/going_dark_vs_a.html
當你想要去設計一套安全的系統而不單單只是實作它們時,這點尤其重要。記住Schneier的法則:任何人都可以開發一套安全系統讓別人沒辦法想到如何去破解它。但只有一種方法使你的設計是可以被採信的,也就是你已經從打破別人的系統成名。
最後一點,關於密碼學。我認為現代密碼學特別難學。除了上述的每一件事之外,它需要碩士程度的數學知識。而且一般在電腦安全領域,你的本事就是藉由你可以破解什麼來展現。自從10多年前我寫了引導別人如何成為一個密碼學者和自我學習密碼分析課程之後,電腦安全領域進步很多,但不是往不好的方向發展。
這篇文章原本出現在"Krebs on Security"一系列問題中的第二個答案。
Leave a Reply