在现场网络世界聊天,专家亚当有个足球雷竞技app·戈登讨论的最佳安全认证,获得真实世界的黑客经验,为什么我们的政府应该有道德黑客的程序获得的棘手问题。戈登是CTO和首席信息安全官的南佛罗里达州的计算机培训公司新地平线CLC。他亲自完成了大部分的主要安全认证的(他有在包括MCSE +安全,CISSP,ISSAP,SCNP,CWSP,CEH和安全+ CompTIA的一打),并已超过20年的IT培训师。以下是聊天的完整记录。主持人 - 朱莉:欢迎并感谢您的到来。
Adam_Gordon:大家好,高兴来到这里,让我们说说话,反正或者聊天。
主持人 - 朱莉:虽然亚当类型了他的答案,他的第一个问题,这里有一个预先提交的一个:我有有限的时间和要更新我的就业市场恢复。这是更好地追求一个特定供应商的安全培训证书(思科,微软)或更一般的一个?
Adam_Gordon:(SANs, CompTIA等)你应该把你的简历看成是一个金字塔。当您添加更多层和复杂性时,底层为您提供了构建的基础。如果你的基础不够广泛和深入,那么你添加的东西就无法生存下去,也无法帮助你在专业领域茁壮成长。添加基本知识以证明您在该领域的愿望和能力,例如Security+和SSCP,然后根据您的专业兴趣领域(如CWSP或CISM)仔细创建附加内容。
Wasup:什么样的需求是存在的雇主为CompTIA的安防+?招聘人员告诉我这是因为它根本没有需求。什么是真理?
Adam_Gordon:雇主将看是“需求”和“定位”与工作场所的当前需要的证书。继续寻找,因为安全+的需求,这是一个良好的基线与表现自己。
史蒂芬:什么是网络安全事业所需的最流行的证书?也可以看看:乔什 - 赖特聊天:通过新的攻击挫败无线安全]
Adam_Gordon:这取决于你所关注的安全领域。如果你想学法医学,那么CISA或CHFI是一个不错的选择。如果你想做无线,CWNA, CWSP很好。总体安全,然后安全+,CEH, SSCP,和MCSE + SEC都很好。(
Nobledc:政府和大型总部位于美国的公司每天面对真正的网络威胁。联邦政府已提议雇请谁不符合政府安全专家模黑客。将这些黑客授课帮助人们成为以对抗黑客黑客?
Adam_Gordon:最好的防御是猛烈的进攻,还有很多很多的冰…让我解释一下。现实世界的经验和知识将会获胜。最好的黑客并不是那些有资质的人,而是那些真正从事黑客活动的人,他们通常不会太频繁地探出头来。要实际,不要被认证。冰是为所有的碰撞和瘀伤,你将在路上。
极端:因此,通过有一个伟大的进攻,你的意思是,政府或企业应鼓励黑客?
Adam_Gordon:我认为,这应该是任何和所有感兴趣的和合法的球员在安全领域的企业追求,鼓励所有人的防守更好的解决方案。让我们面对它,几乎所有其他政府和世界各大企业及军事设施在某些时候已经从事这种行为的,和/或正在积极地这样做了。我们为什么要埋在我们头上的沙,假装它不发生?谷歌TITAN RAIN,还是中国军事/政府与黑客攻击美国政府和看到自己。
主持人 - 朱莉:提交前的问题:你有什么道德黑客的想法?人们是否应该支付查找漏洞?
Adam_Gordon:让我给你一个标准的免责声明,我是CEH,[认证道德黑客]和CEI [欧洲委员会认证讲师]。现在,话虽如此,我认为,道德黑客已经在社会上有价值的地方,一组利用他们的技能为他们服务的社区的福祉专业人才。人们是否应该支付给办呢?如果你能得到报酬做它,你会拒绝这笔钱呢?人们应该支付给他们做什么擅长的,以及他们的雇主雇用他们做的事。它归结为是对自己诚实,你的社区,你的你的技能的雇主和职业发展道路。
极端:你怎么没有得到麻烦与法律真实世界的黑客经验?
Adam_Gordon:非常非常仔细!严肃地说,这是很难的,也是一种挑战。20多年前我刚开始做这个行业的时候,世界完全不同,规则不同,人和时代不同,技术也不一样。今天,如果我必须从头开始,我会把我想要弄明白的技术虚拟化,在那里做我所有的研究和破解。一旦我找到了答案,我就会寻求将这些知识转移到现实世界中,如果可能的话,我会在我的工作岗位上参与进来。如果没有,我会通过用户团体和贸易团体把这些点和其他有相似兴趣的人联系起来,看看你是否能组织一个由赞助和公开的“黑客挑战赛”。
Nobledc:因此,这取缔艺术想要的 - 一个专业的枪手 - 但在这个时代,没有人希望你练习或火车。该公司和政府需要那些奇怪的吸血鬼一样,开始在午夜或垃圾箱潜水的目标或冷拨用于帮助里面的工作人员......但他们没有培养出的意思是“直”人是好还是比幕后的人更好。有没有人在那里提供这种特殊训练?
Adam_Gordon:我不知道任何类中的重点是一个吸血鬼或一个垃圾箱潜水员明确,但我愿意学习的“实用性”方面的一个新的转折。我相信有很多很多的方式来获得技能,培训只是其中的一个。看你自己以外,你会怎么做?什么是你周围的人怎么办?存在于从你的手臂的长度什么资源可以利用?勇于创新,无所畏惧......不要吓倒,也不要一只羊。想一想外面的框。
米歇尔:有渗透测试和开裂之间的细线?如果是这样,什么是一个与其他的合法性?
Adam_Gordon:有两个是大,因为它是广泛而深刻的之间有着明显的,令人难以置信的大和大胆的划定边界。笔测试与网络人许可,并充分认识和接受该计划的执行。破解始终是非法的,任何定义,并秘密进行的,没有事先知晓和同意的。
SteveY19:我是一名刚从大学毕业的计算机科学学士。我在一家大型石油公司做了一年多的系统分析员,同时也做项目管理。我的公司支付培训费用,但我只有一定的时间来完成培训。在您看来,首先应该关注哪两三个证书呢?
Adam_Gordon:网络+,SSCP(ISC 2),和CWNA(如果无线是很重要的),如果没有,那么CEH(EC-委员会)。
主持人 - 朱莉:预提交的问题:什么是的CISSP课程和EC-理事会认证的关键区别?
Adam_Gordon:总之,CISSP是凭证是宽峰(知识的共同体内,即CBK,由10个区域上),并且被聚焦在一个管理层次。EC-委员会认证是深受特定区域,即CEH的道德黑客,并专注于实践的领域的从业人员。
Wasup:安全+被认为是最基本的安全证书?
Adam_Gordon:不是最基本的,但最基本的构建块是正确的方式来看待它。你需要的应用和理论知识的良好基础建设的简历和职业生涯,这是起点,用于最。按照黄砖路!
主持人 - 朱莉:预提交的问题:所有的安全认证,你拥有,你觉得这对开门职业生涯明智的最有价值的?这是在应用意义上的最有价值?
Adam_Gordon:对我的职业生涯最有价值的是我获得的第一个认证,它是非安全认证。实际上,它是我的MCP,因为它给了我一个“bug”,让我对技术感到兴奋,让我尝试不同的东西,因为我试图弄清楚我想要关注什么。从实际意义上说,最有价值的不是一个单一的认证,而是我在职业生涯中所做的经验和工作的累积效应,这些经验和工作的重要性帮助我保持知情,并在客户眼中保持与时俱进。实际经验和动手工作是非常非常重要的。
ED:什么领域的经验可以利用或由证书占?什么证书做到这一点?
Adam_Gordon:CISA(ISACA),CEH和CHFI(EC-COUNCIL)CWNA和CWSP。
ED:你是指什么团体或博客论坛我们获得真实世界的实践经验,如果我们不能在财政承诺一个证书?
Adam_Gordon:I would suggest that you look at what user groups and or organizations are active in your local area based on your interests, I.E., does ISACA have a local chapter, does RACF have a local user group, does Cisco have a local user or technology group that you could associate with? In terms of blogs, this blog is good to read, but will not give you real-world experience, talking to practitioners and field staff will. Check out the URL though:http://www.astalavista.com。
伊薇特:是由企业的最大需求是什么地区的安全吗?
Adam_Gordon:这取决于公司做什么。如果it行业是it行业,或者it服务行业,比如外包解决方案提供商,那么it行业就需要寻找架构师和道德黑客,或者渗透测试人员。如果公司是IT服务和技术的消费者,那么它将需要同样的技能,而且还需要一个取证人员,可能还需要一个优秀的多面手,首先是网络人员,其次是安全人员。永远不要低估一个好的水管工的价值。
主持人 - 朱莉:预先提交的问题:总体而言,未来五年内最热门的五项安全技能是什么?
Adam_Gordon:信封请...我的水晶球说:1,安全架构和设计业务作为一个整体,从整体上;2.无线,无线,无线;3.病毒和恶意软件的设计研究;4.蜜罐和蜜网;5.软件即服务解决方案是由天越来越热,确保他们的将是非常重要的。[也可以看看:尼尔·安德森聊天:五个最热的技能为你的网络生涯]
主持人 - 朱莉:另一个前提交的问题:下面即将推出的安全技术,哪些似乎是最有前途的企业使用,为什么?NAC,CardSpace的,加密的硬盘驱动器,UTM,数据漏电保护器 - 别的东西吗?
Adam_Gordon:我认为它们都将以令人惊讶的方式影响企业。我还认为,如果它们被理解和恰当地运用,它们都能提供巨大的潜在价值。好了,我想我的答案是,如果没有更多的对冲,NAC是最有前途的。这是由于它对周边的全方位接触,以及现在和将来越来越多的这种需求,使得它能够将远程用户安全地集成到我们的日常业务流中。如果你必须在多年的时间里做出选择,从经济角度看,是读工程专业的大学,还是持有最新的认证?
Wasup:
Adam_Gordon:你想有一个需要大学教育事业?或者你想在IT /安全世界为生?当我雇的,我不看大学学位的能力指标,但是话说回来,我把他们看成承诺的指标。花时间获得尽可能多的现实世界,你可以合法化的经验,你做的一切文件。这会给你带来长远来看最富有的投资回报率。
ED:有哪些好的网站可以提供免费的安全材料来学习这些类型的证书?
Adam_Gordon:“一分钱一分货”这句老话在这里也适用。确保如果它对你来说足够重要,你可以花时间在上面,你也准备好花一点钱。话虽如此,请检查以下url:http://www.linuxsecurity.com/和http://www.windowsecurity.com/
主持人 - 朱莉:提交前的问题:什么是您的得到了一些实验时间就便宜实践一些更严厉的安全证书的建议?
Adam_Gordon:虚拟化技术正在开拓各种产品实验室和移动,基于笔记本电脑的解决方案,新的和创新的可能性。此外,检查出是托管解决方案提供了从供应商的网上虚拟实验室,以及与本地用户团体和组织连接起来的可能性,这笔交易的技术,你有兴趣,见他们是否有计划提供服务成员,如果不是,试图通过集中技术和技能,为社会的福祉作为一个整体开始做。
极端:你能举例说明哪些类型的技术需要虚拟化,以及在哪里可以得到它吗?也就是MS虚拟PC?
Adam_Gordon:微软的Virtual PC,或者虚拟服务器是很好,所以是VMware。两个平台都提供有关如何开始免费软件和指导。在什么样的技术来虚拟化方面,任何你能想到的。我使用虚拟机的一切从Windows 95一路攀升到Linux和UNIX的最新版本运行我的盗号类和我的取证班。勇于创新,揣摩出来,那会发生最糟糕的是,它不会工作。
SteveY19:你认为厂商中立的认证,如星球3的CWNA,给予他们应有的尊重?
Adam_Gordon:我认为,这是由持有这些认证,为我做(我是CWNA和CWSP)创建通过自己的行动和他们自己和他们的社区的表示尊重的从业者。供应商有责任宣传和市场证书,而是采用他们通过追求他们的社会是负责任的,如果不是更多的话,他们将如何被感知。
主持人 - 朱莉:预提交问题:我丈夫拥有IT硕士学位和金融学学士学位。在经营了5年餐馆之后,他重新开始工作。他之前在英特尔做过项目经理。他可以通过哪些课程迅速重返工作岗位,尤其是在安全领域?
Adam_Gordon:由于痛苦,因为它是说,我会说,答案将取决于他有多少跟上技术在此期间,因为他是在英特尔。如果他没有和技术多大联系,然后我就开始了与一些CompTIA认证,如A +,网络+,和安全+,请查看网站http://certification.comptia.org/
ED:你真的需要有一个编程背景为了追求安全证书?会不会网络和操作系统的知识就够了吗?
Adam_Gordon:毫无疑问。我正好有三个背景,但它只是取决于你想要做什么,要如何做到这一点。我认为最有资格的人在房间里,实际上,并迅速解决我的问题的人,而不是一个关于它的理论化了一个小时第一。
主持人 - 朱莉:预先提交的问题:你认为成为CISO的好步骤是什么?你推荐MBA或信息系统硕士吗?有什么特殊的认证(除了CISSP)吗?
Adam_Gordon:CISM,以及实际现实世界的经验将是非常有益的。工商管理硕士和MAS在IS是不错,但我认为能够从球队的角度来看,你会管理将是你成功的关键涉及到安全问题。
史蒂芬:我有CCIE R&S,和我想的要更深入的安全性。我应该采取的安全CCIE或CISSP?
Adam_Gordon:都!我会告诉你,思科越来越热的一天,并且是在其食物链的顶端是不是一个坏的地方找到自己。CISSP是安全管理的金标准是有原因的。只要保持你的重点放在什么是核心,你的职业道路,并留在轨道与该行的偏差是好的,如果他们创造感兴趣开放新领域的机会,但要注意不能盲目的小巷和无处可去的黑洞。[也可以看看:思科认证:你需要知道的一切]
主持人 - 朱莉:预提交的问题:是否有正当的理由持有超过一打的安全认证?对于这个问题,有没有正当的理由有超过可用十几安全认证?我抱着一个,CISSP,并有机会加入到这个数字。我为什么要支付证书的身体更多的首字母不提供任何更多的信誉我的简历?显然,在认证一定的差异,即倚更多地转向管理与技术,反之亦然。但是一打或者更多?这是最好的一个筹款活动。
Adam_Gordon:您的意见,像其他人一样的,是一样有效你的视野,使其可以。我明明有更广阔的视野,那么你做的,因为我看到了价值,你看到的美元和营销的阴谋。然而,我觉得有趣的是你持有的CISSP,因而不仅订阅道德ISC代码,而且积累的120 CPE的想法,以保持作为一个CISSP你的状态活跃和良好的信誉,其中不包括继续教育。
Ballayji:我的独特地位,由此我的经理和我的“创造”对我来说是安全的作用。我的问题是关于职称。什么是入门级的安全工作职位?我在想ISO(信息安全官)或ISSO(信息系统安全员)。任何其他常见的使用了吗?
Adam_Gordon:SRE (Secure Relocative Engineer——也就是在垃圾桶里挂着挂锁的看门人)只有一点点幽默。我认为头衔被高估了,也被大肆宣传了,最终,头衔的重要性并不像头衔背后的人那么大。让标题找到你,更担心你会做什么值得信任和信心,你的雇主将放在你的手,帮助您创建业务影响决策的视角,以一种有意义的和集中的方式。
伊薇特:我是一个学区软件培训师。我有我的组织管理程度,我希望留在IT,但我想进入安全分析,安全体系结构,或无线。我怎样才能获得有关这些主题的更多信息?
Adam_Gordon:谷歌他们(顺便说一下,这是保存得最好的秘密……sssshhhhhh…)试试谷歌吧,这样你就会更有创意,可以和同事或朋友聊天。去像Barnes & Noble这样的书店,在网络区逛一会儿,和那些正在浏览书籍的人聊聊他们在做什么。打电话给你当地大学的计算机科学学校,看看他们有什么课程和信息。
主持人 - 朱莉:预先提交的问题:对于it团队中的某人来说,拥有特定的计算机取证知识有多重要?
Adam_Gordon:如果您的IT安全需要涉及取证,那么它是一个绝对的要求。如果您的IT安全需要更多的世俗和磨,病毒的工作站,或受感染的文件或恶意软件的下载上运行,那么你是不是在“必须有”,而是一个“最好有”的技能。[也可以看看:局域网交换机安全:黑客知道你不知道的]
Nobledc:是否有一个全行业公认的安全证书?比如思科的CCNA,微软的MCSE。一些拥有所有出色功能的证书——跨许多供应商的安全证书。
Adam_Gordon:不。但是,如果你将支付来实现它,我承诺,我会为您创建一个。宣称是无所不包的这些东西都是垃圾。你怎么可以跨多个平台,语言和系统架构包罗万象的和足够深,可以提供评估的技能有价值的邮票?围棋广泛和深入,在一个或多个平台,你有兴趣,那就是构建和技术提高的最好方式。[也可以看看:关于微软证书你需要知道的一切(还有一些)]
主持人 - 朱莉:预提交的问题:了解Linux的安全性,我在那里会得到我需要知道它的训练有什么重要?
Adam_Gordon:Linux安全是复杂的,简单到任何其他安全解决方案。什么,你不知道的是在所有的安全解决方案的长期问题。多少经验和知识,你的关键是,你会成功。从哪里获得的知识?我坚信在去源:通过检查出以下网站开始:http://www.linuxsecurity.com/和https://www.redhat.com/training/security/courses/
SteveY19:你对那些一周或更长的新兵训练营的想法?
Adam_Gordon:以满足人民伟大的方式,很多是伟大的垃圾食品。不是非常有成效的,除非你是独特的个体,谁已经拥有所有必要通过你自己的材料来获得知识,你有没有把重点放在GAP的和准备考试。我认为,市场对这些类是合法的,但我也认为是不适合这种模式,很多,很多人都吸了进去没有完全了解潜在的负债。
主持人 - 朱莉:提交预问题:问题的两个部分:1)如果知识的CISSP认证公共机构(CBK)被“现代化?并且,2)是近期(2007年10月)草案信息技术(IT)知识的安全所必需的机构(EBK):为IT安全人力资源开发的能力和功能框架;由国家网络安全司的国土安全部朝着有用的方向前进?
Adam_Gordon:第1部分:CBK是现代化的一个正在进行的审查过程,是对驱动,通过预约到审查委员会,因为所有知识的所有ISC认证目前在市场上的尸体。第2部分:有用的是相对于你在哪里,你做什么,如果它可以帮助你用这些东西与否。我会说,这是一个良好的开端,但它有一些根本性的问题和漏洞,才将有效运行需要解决的问题。
Wasup:什么VoIP安全?是什么,在这方面发生了什么?
Adam_Gordon:许许多多。VoIP正在变得越来越热,由于整个SaaS的概念(软件即服务)和整个云计算的概念。追求这个领域,因为它是一个将成为未来12日益重要 - 36个月。
主持人 - 朱莉:提交前的问题:你觉得(情景)针对内部泄漏已经发挥作用,真正的安全威胁仿真软件?我想特别是如果它由外部/内部审计人员和风险管理人员由公司使用,以评估安全产品,网络,用户行为,安全策略和应用程序。这是否“战争游戏的心态”,以发现在数据泄漏可能通过运行威胁场景实际工作从何而来?
Adam_Gordon:我认为它是“猫和老鼠”的一个有趣的变体,并且我已经成功地为几个客户使用了它,但是我坚信从业者的技能是安全领域所有成功和失败故事中最重要的元素。如果你能把它当作工具来使用,你就会从中受益。如果你认为你是在欺骗你自己和你的客户,那么你将不会从体验中得到任何有价值的东西。[也可以看看:尼克·塞尔比聊天:伪造安全的承诺,以及如何检测它们]
米歇尔:我现在有安全+和作为网络安全管理员现在工作了近一年。会是最好等到我资格CISSP,或获得更多的证书,同时等待?
Adam_Gordon:两者兼顾。你可以成为一个准CISSP(类似于培训中的CISSP),直到你满足了所有的先决条件。也从ISC 2追求SSCP,这是一个很好的下一步作为一个过渡。
Tskimmy:我获得参加CompTIA Network +认证,去年春天。这是我第一次认证,我没有大学学位。我目前组织内部的网络管理员,而只人。你会推荐我追求的A +证书或安全+证书第一?我也想知道,如果你建议通过大学或技术学院服用类?我参加了当地学校的技术来获得网络+认证,但是当我告诉人们,我去学校,我得到的印象是,它不是可敬去那里,因为这将是,如果我去了一所大学。
Adam_Gordon:首先,谁在乎别人说什么。我认为,你去最好的地方是,你感觉很舒服,获得最好的效果,并学习最。其次,A +会给你这将是安全+非常有帮助的背景,但无论哪种方式会工作。抛硬币,然后闭上眼睛。如果你可以在房间里走路没有杀害自己你也许并不需要做的要么,你可以通过使用Force赢得他们。否则,选一,认真,不要回头看,和好运气。
主持人 - 朱莉:退房时间,但我要感谢大家的到来,并感谢亚当戈登是今天我们的客人。请记住我们一起为我们的下一个聊天,所有的人都开始下午2点ET,在m.amiribrahem.com/chat。
- 周二,4月22日,网络事业与未来布拉德•里斯乔纳森·斯特兰
——4月28日,星期一,为什么iPhone(以及类似的设备)会用国际声誉损害互联网
- 周一,5月5日,当谈到网络访问控制,什么是事实,什么是虚构安全大师乔尔·斯奈德
- 周四,5月15日,开源以及与暴风雨彼得斯企业不断变化的作用
Adam_Gordon:谢谢大家对你的问题,你的想法...请随时跟进我ADAM.GORDON@NEWHORIZONS.COM如果您想... :)干杯。