在一次网络世界直播聊天中,专有个足球雷竞技app家亚当·戈登讨论了最好的安全认证,获得真实世界黑客经验的棘手方面,以及为什么我们的政府应该与道德黑客项目。戈登是南佛罗里达州新视野计算机培训公司的首席技术官和首席技术官。他亲自完成了大部分主要的安全认证(他获得了超过12个认证,包括MCSE + security、CISSP、ISSAP、SCNP、CWSP、CEH和security + CompTIA),并担任IT培训师超过20年。以下是这次谈话的完整记录。Moderator-Julie:欢迎并感谢您的光临。
Adam_Gordon:大家好,很高兴来到这里,让我们聊一聊吧。
Moderator-Julie:虽然亚当类型了他的答案,他的第一个问题,这里有一个预先提交的一个:我有有限的时间和要更新我的就业市场恢复。这是更好地追求一个特定供应商的安全培训证书(思科,微软还是更一般的?
Adam_Gordon:(SAN的,CompTIA的等),应查看你的简历作为一个金字塔。什么是在该基地为您提供了建立在你添加更多的图层和复杂性的基础。如果你的基础是不宽且深,那么你的增加将无法生存,并帮助您专业茁壮成长。添加的基础,以证明你的愿望,并在现场,安全+和SSCP例如能力,然后根据你的职业兴趣,如CWSP,或CISM的区域精心打造增加。
Wasup:什么样的需求是存在的雇主为CompTIA的安防+?招聘人员告诉我这是因为它根本没有需求。什么是真理?
Adam_Gordon:雇主将看是“需求”和“定位”与工作场所的当前需要的证书。继续寻找,因为安全+的需求,这是一个良好的基线与表现自己。
史蒂芬:什么是网络安全事业所需的最流行的证书?也可以看看:乔什 - 赖特聊天:通过新的攻击挫败无线安全]
Adam_Gordon:取决于你正在寻找专注于安全的区域。如果您正在寻找在取证,然后CISA,或CHFI是一个不错的选择。如果你想要做无线,然后CWNA,CWSP都不错。整体安全性,那么安全+,CEH,SSCP和MCSE + SEC都一样好。[
Nobledc:政府和大型总部位于美国的公司每天面对真正的网络威胁。联邦政府已提议雇请谁不符合政府安全专家模黑客。将这些黑客授课帮助人们成为以对抗黑客黑客?
Adam_Gordon:最好的防御是一个伟大的进攻,和很多很多的冰...让我解释一下。现实世界的经验和知识是什么将进行一天。最好的黑客是不认证的,但是这样做是为了真实,通常不捅抬起头来过于频繁的人。实用,没有经过认证。冰是所有的碰伤和擦伤,你将沿途得到。
极端:那么,你说的大攻势是指政府或企业应该鼓励黑客攻击吗?
Adam_Gordon:我认为,安全领域中任何有关的和合法的参与者都应该致力于寻求促进各方更好的防御性解决方案的解决办法。让我们面对现实吧,世界上几乎所有其他政府、主要企业和军事机构都曾在某个时间点参与过这种行为,而且/或者正在积极地这样做。我们为什么要把头埋在沙子里,假装事情没有发生呢?谷歌泰坦雨,或者中国军方/政府对美国政府的黑客攻击,你自己看吧。
Moderator-Julie:预先提交的问题:你对道德黑客有什么看法?人们应该为发现漏洞而付费吗?
Adam_Gordon:让我给你的标准的免责声明,这是我一个CEH,[认证的道德黑客]还有一个CEI [认证EC-委员会讲师]。现在,话虽如此,我认为,道德黑客已经在社会上有价值的地方,一组利用他们的技能为他们服务的社区的福祉专业人才。人们是否应该支付给办呢?如果你能得到报酬做它,你会拒绝这笔钱呢?人们应该支付给他们做什么擅长的,以及他们的雇主雇用他们做的事。它归结为是对自己诚实,你的社区,你的你的技能的雇主和职业发展道路。
极端:你怎么没有得到麻烦与法律真实世界的黑客经验?
Adam_Gordon:非常,非常小心!虽然严重,可能很难,是一个挑战。当我在这个行业20年前开始了,这是一个完全不同的世界,规则是不同的,对人民,时代不同了,等于是技术。今天,如果我不得不从头做到这一点,我将虚拟化技术,我想弄清楚,做我的研究和黑客那里。有一次,我想通了,我会再求知识,通过参与在我工作的地方转移到现实世界中,如果这是可能的。如果没有,我会努力的点与其他人不得不通过用户组和贸易团体相似的兴趣连接,看看你能不能把一些那种被赞助和公众的“黑客挑战”。
Nobledc:所以这种非法的艺术被通缉——职业枪手——但在这个时代没有人希望你去练习或训练。公司和政府需要那些奇怪的像吸血鬼一样的人,他们在午夜开始工作,或者在垃圾箱里寻找目标,或者主动打电话寻求内部帮助……但是他们没有办法把“直男”训练得和“幕后”一样好,甚至更好。有人提供这种特殊培训吗?
Adam_Gordon:我不知道任何类中的重点是一个吸血鬼或一个垃圾箱潜水员明确,但我愿意学习的“实用性”方面的一个新的转折。我相信有很多很多的方式来获得技能,培训只是其中的一个。看你自己以外,你会怎么做?什么是你周围的人怎么办?存在于从你的手臂的长度什么资源可以利用?勇于创新,无所畏惧......不要吓倒,也不要一只羊。想一想外面的框。
米歇尔:有渗透测试和开裂之间的细线?如果是这样,什么是一个与其他的合法性?
Adam_Gordon:有两个是大,因为它是广泛而深刻的之间有着明显的,令人难以置信的大和大胆的划定边界。笔测试与网络人许可,并充分认识和接受该计划的执行。破解始终是非法的,任何定义,并秘密进行的,没有事先知晓和同意的。
SteveY19:我刚刚从大学毕业有学士学位在计算机科学。我一直在努力仅仅过了一年,一家大型石油公司作为系统分析员,也做项目管理。我公司支付的培训,但是我只得到了一定的时间来完成训练。在您看来,这将是前两个或三个证书集中?
Adam_Gordon:网络+,SSCP (isc2)和CWNA(如果无线很重要),如果不重要,那么CEH (EC-Council)。
Moderator-Julie:预提交问题:CISSP课程和EC-Council认证的主要区别是什么?
Adam_Gordon:简而言之,CISSP是一种广泛的证书(公共知识体系,即CBK,由10个领域组成),并且侧重于管理级别。EC-Council认证是针对特定领域的,比如CEH(道德黑客),并且专注于该领域的实践实践者。
Wasup:为安全考虑+最基本的安全证书吗?
Adam_Gordon:不是最基本的,但最基本的构建块是正确的方式来看待它。你需要的应用和理论知识的良好基础建设的简历和职业生涯,这是起点,用于最。按照黄砖路!
Moderator-Julie:预先提交的问题:在你拥有的所有安全证书中,你认为哪一个对开启职业生涯的大门最有价值?从实际意义上说,哪一个最有价值?
Adam_Gordon:我的职业生涯最宝贵的将是第一个证明,我曾经得到了,这将是一个非安全认证。其实这是我的MCP,因为它给了我,让我感到兴奋的技术,并尝试不同的事情,我试图找出我希望把重点放在了“错误”。最可贵的是在应用的意义上不会是一个单一的认证,而是经验的累积效应,而我已经做了我的职业生涯帮助我工作的重量,以便随时和目前在我的客户的目光。在工作实践经验和手是非常非常重要的。
ED:哪些领域的经验可以被一个证书利用或解释?这肯定是什么?
Adam_Gordon:CISA(ISACA),CEH和CHFI(EC-COUNCIL)CWNA和CWSP。
ED:你是指什么团体或博客论坛我们获得真实世界的实践经验,如果我们不能在财政承诺一个证书?
Adam_Gordon:我建议你根据自己的兴趣,看看你所在地区活跃的用户群体或组织,does ISACA have a local chapter, does RACF have a local user group, does Cisco have a local user or technology group that you could associate with? In terms of blogs, this blog is good to read, but will not give you real-world experience, talking to practitioners and field staff will. Check out the URL though:http://www.astalavista.com。
伊薇特:是由企业的最大需求是什么地区的安全吗?
Adam_Gordon:取决于公司做什么。如果是在IT,或者作为外包解决方案提供商,IT服务等,那么它会寻找建筑师和道德的黑客,或者渗透测试人员。如果公司的IT服务和技术的消费者,那么它将需要同样的技能,也是一个取证的人,可能是一个很好的通才谁是网络第一人,和安全的人第二。永远不要低估一个良好的水管工的价值。
Moderator-Julie:提交前的问题:总体而言,将五个最热的安全技能是在未来五年有什么?
Adam_Gordon:信封上请…我的水晶球说:1。整体地、整体地为业务设计安全架构;2.无线,无线,无线;3.病毒和恶意软件设计研究;4.honeypot和蜜网;5. Software as a Service solutions are getting hotter by the day, securing them will be important.[也可以看看:尼尔·安德森聊天:五个最热的技能为你的网络生涯]
Moderator-Julie:另一个预先提交的问题:在下列即将到来的安全技术中,哪些看起来最有希望用于企业,为什么?NAC, CardSpace,加密硬盘,UTM,数据泄漏保护,还有别的吗?
Adam_Gordon:我认为他们都将在令人惊讶的方式影响了企业。我还认为,如果他们的理解和适当地部署它们都提供了巨大的潜在价值。好了,所以我想我的回答没有任何更多的对冲将是南汽最有前途的。这是由于其在周边全方位的触感,并且需要越来越多的今天,并展望未来,其向远程用户安全地整合到我们的日常业务流程的能力。如果你有选择,在多年从长远来看,这更有意义财政,参加与认证的工程学位或保持当前的大学?
Wasup:
Adam_Gordon:你想从事需要大学教育的职业吗?还是你想在IT/安全领域谋生?当我在招聘时,我并不把大学学位视为能力的指标,但话虽如此,我确实把它们视为承诺的指标。花时间尽可能多地获得真实世界和合法的经验,并记录下你所做的一切。从长远来看,这将为你带来最丰厚的投资回报。
ED:什么是提供免费的安全材料的使用,以防止该类证书的学习一些好的网站?
Adam_Gordon:关于得到你所支付的一句古老的谚语在这里也适用。确保它是否对你很重要足够你花的时间就可以了,你准备花的钱一点点为好。说了这么多,请查看以下网址:http://www.linuxsecurity.com/和http://www.windowsecurity.com/
Moderator-Julie:预先提交的问题:对于获得一些廉价的实验时间来练习一些更严格的安全证书,你有什么建议?
Adam_Gordon:虚拟化技术正在开拓各种产品实验室和移动,基于笔记本电脑的解决方案,新的和创新的可能性。此外,检查出是托管解决方案提供了从供应商的网上虚拟实验室,以及与本地用户团体和组织连接起来的可能性,这笔交易的技术,你有兴趣,见他们是否有计划提供服务成员,如果不是,试图通过集中技术和技能,为社会的福祉作为一个整体开始做。
极端:你能给什么类型的技术的虚拟化和在哪里得到它的一些例子。即MS虚拟PC?
Adam_Gordon:微软的Virtual PC,或者虚拟服务器是很好,所以是VMware。两个平台都提供有关如何开始免费软件和指导。在什么样的技术来虚拟化方面,任何你能想到的。我使用虚拟机的一切从Windows 95一路攀升到Linux和UNIX的最新版本运行我的盗号类和我的取证班。勇于创新,揣摩出来,那会发生最糟糕的是,它不会工作。
SteveY19:你认为厂商中立的认证,如星球3的CWNA,给予他们应有的尊重?
Adam_Gordon:我认为,这是由持有这些认证,为我做(我是CWNA和CWSP)创建通过自己的行动和他们自己和他们的社区的表示尊重的从业者。供应商有责任宣传和市场证书,而是采用他们通过追求他们的社会是负责任的,如果不是更多的话,他们将如何被感知。
Moderator-Julie:预提交的问题:我的丈夫有硕士学位的IT和学士学位的融资。他是五年后拥有一个餐厅的重新进入劳动力市场。他之前曾在英特尔担任项目经理。他可以采取什么样的课程,迅速得到回的劳动力,特别是在安全领域?
Adam_Gordon:由于痛苦,因为它是说,我会说,答案将取决于他有多少跟上技术在此期间,因为他是在英特尔。如果他没有和技术多大联系,然后我就开始了与一些CompTIA认证,如A +,网络+,和安全+,请查看网站http://certification.comptia.org/
ED:你真的需要有一个编程背景为了追求安全证书?会不会网络和操作系统的知识就够了吗?
Adam_Gordon:毫无疑问。我恰好有这三个方面的背景,但这取决于你想做什么和你想怎么做。我认为这个房间里最有资格的人是能够切实、迅速地解决我的问题的人,而不是那个先理论化一个小时的人。
Moderator-Julie:预提交的问题:你认为什么是好的要采取的步骤朝着成为一个CISO?你建议信息系统的MBA或硕士学位?任何特定的认证(CISSP比其他)?
Adam_Gordon:CISM,以及实际的现实世界的经验将是非常有用的。在IS获得mba和硕士学位是很好的,但我认为,能够从你所管理的团队的角度来处理安全问题,将对你的成功至关重要。
史蒂芬:我有CCIE R&S,我正在考虑深入研究安全性。我应该考CCIE Security还是CISSP?
Adam_Gordon:两个!我可以告诉你,思科正变得越来越热,在它的食物链顶端找到自己是个不错的位置。CISSP是安全管理的黄金标准是有原因的。只要把你的注意力集中在你职业道路的核心,并保持在这条线的轨道上,偏离是好的,如果他们创造机会打开新的兴趣领域,但要小心死胡同和黑洞去哪里。[也可以看看:思科认证:所有你需要知道的]
Moderator-Julie:预提交问题:持有十多个安全证书是否有合法理由?对于这个问题,是否有一个合法的理由有超过一打安全认证可用?我持有一个,CISSP,并且有机会增加这个数字。为什么我要为那些不能给我的简历带来更多可信度的首字母付费呢?很明显,认证也有一些不同,比如更倾向于管理和技术,或者更倾向于签证。但一打或更多?这充其量只是一项筹款活动。
Adam_Gordon:你的观点和其他人的一样,在你的视野允许的范围内是有效的。很明显,我的视野比你更开阔,因为我看到的价值,你看到的是美元和营销的共谋。然而,我发现你持有CISSP很有趣,因此你不仅同意ISC的道德规范,而且还同意积累120个CPE来保持你作为一个CISSP的活跃和良好的地位,这包括继续教育。
Ballayji:我的独特地位,由此我的经理和我的“创造”对我来说是安全的作用。我的问题是关于职称。什么是入门级的安全工作职位?我在想ISO(信息安全官)或ISSO(信息系统安全员)。任何其他常见的使用了吗?
Adam_Gordon:SRE(安全Relocative工程师 - 即看门人在垃圾桶挂锁)就幽默一点点。我觉得标题是高估和夸大,并在这一天结束并不重要不亚于他们身后做的人。让标题找到你,更担心你会做的是值得信任和信心,你的雇主是关于通过帮助您以一种有意义的建立在业务影响决策的有利位置就摆在你的手是什么和集中的方式。
伊薇特:我是一个学区软件培训师。我有我的组织管理程度,我希望留在IT,但我想进入安全分析,安全体系结构,或无线。我怎样才能获得有关这些主题的更多信息?
Adam_Gordon:谷歌他们(即由方式它最好的秘密...... sssshhhhhh ...)尝试谷歌,并从那里有创意,再跟同事或朋友。去书店,如巴诺和挂在网络部分了一小会儿,跟我们正在对他们做什么浏览书籍的人。致电当地的大学的计算机科学学校见到什么样的课程和信息,他们必须提供。
Moderator-Julie:提交前的问题:如何重要的是它的人的IT团队有特定的计算机取证的知识?
Adam_Gordon:如果您的IT安全需要涉及取证,那么它是一个绝对的要求。如果您的IT安全需要更多的世俗和磨,病毒的工作站,或受感染的文件或恶意软件的下载上运行,那么你是不是在“必须有”,而是一个“最好有”的技能。[也可以看看:局域网交换机的安全性:什么黑客知道你不]
Nobledc:是否有全方位安全全行业普遍公认的证书?像CCNA思科,MCSE微软。有些证书拥有所有美妙的功能 - 在安全在许多厂商的一个包罗万象的证书。
Adam_Gordon:不。但是,如果你将支付来实现它,我承诺,我会为您创建一个。宣称是无所不包的这些东西都是垃圾。你怎么可以跨多个平台,语言和系统架构包罗万象的和足够深,可以提供评估的技能有价值的邮票?围棋广泛和深入,在一个或多个平台,你有兴趣,那就是构建和技术提高的最好方式。[也可以看看:一切你需要了解微软证书(然后一些)]
Moderator-Julie:预先提交的问题:关于Linux安全,了解什么是重要的,以及我从哪里得到我需要的培训来了解它?
Adam_Gordon:Linux安全与任何其他安全解决方案一样复杂和简单。您不知道的是所有安全解决方案中长期存在的问题。你有多少经验和知识是你成功的关键。从哪里获得知识?我是一个坚定的信徒去寻找来源:开始检查以下网站:http://www.linuxsecurity.com/和https://www.redhat.com/training/security/courses/
SteveY19:你对那些一周或更长的新兵训练营的想法?
Adam_Gordon:认识人的好方法,还有很多垃圾食品。除非你是一个独特的人,你已经掌握了所有必要的知识,能够独立完成学习,并且专注于学业差距,准备考试,否则你的学习效率不会很高。我认为,这些类别的市场是合法的,但我也认为,很多不适合这种模式的人,在没有充分了解潜在的责任之前,就被卷入其中。
Moderator-Julie:提交预问题:问题的两个部分:1)如果知识的CISSP认证公共机构(CBK)被“现代化?并且,2)是近期(2007年10月)草案信息技术(IT)知识的安全所必需的机构(EBK):一个能力和IT安全的劳动力发展功能框架;国土安全部的国家网络安全部门在一个有用的方向前进?
Adam_Gordon:第1部分:CBK是由评审委员会任命的同行驱动的正在进行的评审过程中的现代化,因为目前市场上所有ISC认证的知识体系。第2部分:有用是关于你在哪里,你做什么,以及它是否对你有帮助。我想说,这是一个良好的开端,但它有一些根本性的问题和漏洞需要解决,才能使它在操作上有效。
Wasup:什么VoIP安全?是什么,在这方面发生了什么?
Adam_Gordon:许许多多。VoIP正在变得越来越热,由于整个SaaS的概念(软件即服务)和整个云计算的概念。追求这个领域,因为它是一个将成为未来12日益重要 - 36个月。
Moderator-Julie:提交前的问题:你觉得(情景)针对内部泄漏已经发挥作用,真正的安全威胁仿真软件?我想特别是如果它由外部/内部审计人员和风险管理人员由公司使用,以评估安全产品,网络,用户行为,安全策略和应用程序。这是否“战争游戏的心态”,以发现在数据泄漏可能通过运行威胁场景实际工作从何而来?
Adam_Gordon:我认为,这是“猫捉老鼠”一个有趣的变种,我已经成功地使用它为多个客户端,但我坚信,从业者的技能是在安全的所有成功和失败案例的最重要因素。如果你足够好,使用它作为一个工具,你会从中受益。如果你认为你是可是真的是愚弄自己和您的客户,那么你不会得到任何有价值的东西出来的经验。[也可以看看:尼克·塞尔比聊天:虚假的安全承诺以及如何检测它们]
米歇尔:我目前有安全+和工作作为一个网络安全管理员近一年了。是否可以等到我有资格申请CISSP,或者在等待的过程中获得更多证书?
Adam_Gordon:两者都做。你可以成为一名助理CISSP(有点像在训练中CISSP),直到你得到所有的先决条件。还追从ISC 2,这是你作为一个临时的好下一步SSCP。
Tskimmy:我在去年春天获得了CompTia Network+认证。这是我的第一个证书,我没有大学学位。我目前是网络管理员和唯一的IT人员在组织内。你会建议我先申请A+ cert还是Security+ cert ?我还想知道你是否推荐在大学或技术学校上这门课?我上了当地的一所技术学校,获得了网络+认证,但当我告诉人们我上的是哪所学校时,我觉得去那里读书不如去上大学受人尊敬。
Adam_Gordon:首先,谁在乎别人说什么。我认为,你去最好的地方是,你感觉很舒服,获得最好的效果,并学习最。其次,A +会给你这将是安全+非常有帮助的背景,但无论哪种方式会工作。抛硬币,然后闭上眼睛。如果你可以在房间里走路没有杀害自己你也许并不需要做的要么,你可以通过使用Force赢得他们。否则,选一,认真,不要回头看,和好运气。
Moderator-Julie:退房时间,但我要感谢大家的到来,并感谢亚当戈登是今天我们的客人。请记住我们一起为我们的下一个聊天,所有的人都开始下午2点ET,在m.amiribrahem.com/chat。
——4月22日,星期二,网络职业的未来布拉德·里斯乔纳森·吉特仁
- 周一,4月28日,为什么iPhone(和喜欢它的小工具)与国际知名损害互联网
- 周一,5月5日,当谈到网络访问控制,什么是事实,什么是虚构安全大师乔尔·斯奈德
- 周四,5月15日,开源以及与暴风雨彼得斯企业不断变化的作用
Adam_Gordon:谢谢大家对你的问题,你的想法...请随时跟进我ADAM.GORDON@NEWHORIZONS.COM如果您想... :)干杯。