在网络世界的现场聊天中,专家有个足球雷竞技app亚当·戈登讨论了最好的安全认证,获得真实世界黑客经验的棘手方面,以及为什么我们的政府应该进行道德黑客项目。戈登是南佛罗里达州计算机培训公司New Horizons CLC的首席技术官和首席技术官。他亲自完成了大部分主要的安全认证(他获得了包括MCSE + security、CISSP、ISSAP、SCNP、CWSP、CEH和security + CompTIA在内的十多个认证),并担任IT培训师超过20年。以下是这次谈话的完整记录。主持人 - 朱莉:欢迎并感谢您的来。
adam_gordon:大家好,很高兴来到这里,让我们做一些说话,或无论如何聊天。
主持人 - 朱莉:虽然亚当在他的第一个问题上进行了答案,但这是一个预先提交的一个:我有限的时间,并希望更新我的工作市场的简历。这更好地追求特定于供应商的安全培训证书(思科那微软)或更一般的?
adam_gordon:你应该把你的简历看成一个金字塔。当您添加更多的层和复杂性时,基础内容为您提供了构建的基础。如果你的基础不够广泛和深入,那么你的补充将无法生存,也无法帮助你在专业上茁壮成长。添加基础知识以证明您在该领域的愿望和能力,例如Security+和SSCP,然后根据您的专业兴趣领域(如CWSP或CISM)仔细创建附加内容。
wasup:雇主为Comptia的安全+有什么样的需求?招聘人员告诉我,根本没有要求。真相是什么?
adam_gordon:雇主将看待“需求”的证书,并“对齐”,随着工作场所的当前需求。继续寻找,因为安全+是需求,它是一个很好的基准,以呈现自己。
史蒂文:网络安全职业所需的最受欢迎的证书是什么?也可以看看:Josh Wright Chat:无线安全被新的漏洞挫败]
Adam_Gordon:这取决于你关注的安全领域。如果你想进入法医学领域,那么CISA或CHFI是一个不错的选择。如果你想做无线,那么CWNA, CWSP是不错的选择。总体安全,然后安全+,CEH, SSCP,和MCSE + SEC都很好。[
Noblecc:政府和大型美国公司每天都面临真正的网络疗效。联邦政府提议聘请不适合政府安全模具的专家黑客。这些黑客教授的课程帮助一个人成为黑客,以便打击黑客?
adam_gordon:最好的防守是一个伟大的罪行,很多很多冰...让我解释一下。真实的世界经验和知识就是将携带一天的经验和知识。最好的黑客不是认证的,而是那些是真实的,通常不会经常戳他们的脑袋。实用,未经认证。冰是为了所有的颠簸和瘀伤,你会沿途。
极端:那么,你的意思是政府或企业应该鼓励黑客攻击吗?
adam_gordon:我认为应该是安全领域的任何和所有感兴趣的和合法球员的业务,以追求鼓励所有人的解决方案。让我们面对它,几乎所有其他政府和世界各地的企业和军事安装都在某些时候从事这种行为,和/或现在正在积极地这样做。我们为什么要把我们的头埋在沙子上并假装它没有发生?谷歌泰坦雨,或中国军事/政府黑客与美国政府,并为自己看。
主持人 - 朱莉:预先提交的问题:您对道德黑客攻击的想法是什么?人们是否应该支付寻找漏洞?
adam_gordon:让我给你标准免责声明,这是我是一个ceh,[认证道德黑客]以及CEI [认证的EC理事会讲师]。现在,已经说过,我相信道德黑客在社区中拥有一个有价值的地方,为一系列专业人士使用他们的技能来改善他们所服务的社区。人们应该付钱吗?如果你能得到报酬,你会拒绝这笔钱吗?人们应该付出代价,以做他们擅长的东西,以及他们的雇主雇用他们做的事情。它归结为诚实对自己,社区和雇主有关您的技能和您的职业道路。
极端:如果没有陷入困境,你如何获得真正的世界黑客体验?
adam_gordon:非常仔细!虽然,它可能很难,是一项挑战。当我在20年前开始在这项业务时,它是一个完整的世界,规则不同,人民和时代是不同的,技术也是如此。今天,如果我不得不从头开始做到这一点,我会虚拟化我想要弄清楚的技术,并做我所有的研究和那里的攻击。一旦我想出来,我会试图通过在我的就业地点进行接触来将这一知识转移到现实世界中。如果没有,我会寻求与通过用户组和交易团体具有相似兴趣的其他人连接点,看看您是否可以将某种赞助和公众的某种分类的“黑客挑战”。
Noblecc:所以这种禁止的艺术是想要的 - 一个专业的Gunslinger - 但在这个时代,没有人想要你练习或训练。公司和政府需要那些像奇怪的吸血鬼一样的人,这些人在午夜或垃圾箱潜水的目标或冷呼叫中的内心帮助......但他们没有培训“直”人民的手段和比后面的人更好。有人在那里提供这种特殊培训吗?
adam_gordon:我不知道任何专注于作为吸血鬼或垃圾箱潜水员的课程,但我对学习“实际”方面的新扭曲。我相信有很多,有很多方法可以获得技能,培训只是一个。在自己之外看,你做了什么?你周围的人做了什么?你可以利用的手臂长度存在哪些资源?是创造力的,无所畏惧......不要畏惧,不要羊。在盒子外面思考。
米歇尔:穿透测试和开裂之间是否有细线?如果是这样,一个与另一个对方的合法性?
adam_gordon:两者之间有一个明确且令人难以置信的大而粗体划分的边界,它与广泛和深层一样大。用网络所有者的许可以及他们的全面知识和接受计划进行笔测试。任何定义,裂缝总是非法的,并且在没有先验知识和同意的情况下进行秘密。
Stevey19:我是一名刚毕业的计算机科学学士。我在一家大型石油公司做了一年多的系统分析师,同时也做项目管理。我的公司支付培训费用,但我只有一定的时间来完成培训。在你看来,最开始的两到三个证书应该关注什么?
adam_gordon:Network +, SSCP (ISC 2),和CWNA(如果无线是重要的),如果不重要,则是CEH (EC-Council)。
主持人 - 朱莉:预提交的问题:CISSP课程和EC-Council认证的主要区别是什么?
adam_gordon:简而言之,CISSP是一个广泛的证书(公共知识体系,即CBK,由10个领域组成),并集中于管理级别。EC-Council认证涉及特定领域,例如Ethical Hacking的CEH,专注于该领域的实践从业者。
wasup:Security+被认为是最基本的安全证书吗?
adam_gordon:不是最基本的,但最基本的构建块将是看它的正确方法。您需要应用和理论知识的良好基础,以建造简历和职业生涯,这是大多数人的起点。跟着黄砖路!
主持人 - 朱莉:预先提交的问题:您拥有的所有安全认证,您认为哪个是最有价值的门,开放的门职业生涯?哪个是应用意义上最有价值的?
adam_gordon:对我的职业生涯最有价值的是我获得的第一个认证,这是一个非安全认证。实际上是我的MCP,因为它给了我一个“漏洞”,让我对技术感到兴奋,让我尝试不同的东西,试图弄清楚我想专注于什么。从应用的意义上说,最有价值的不是一个单一的认证,而是经验的累积效应和我在职业生涯中所做的工作的分量,这些工作帮助我在客户的眼中保持信息和最新状态。实践经验和实际工作是非常非常重要的。
艾德:什么样的现场经验可以被证书所利用或反映?这是什么保证?
adam_gordon:CISA(ISACA),CEH和CHFI(EC-议会),CWNA和CWSP。
艾德:如果我们不能在经济上承诺证书,您会引用哪些组或博客论坛,以获得真实的实践经验?
adam_gordon:我建议你看看用户组或组织活跃在你当地根据你的兴趣,例如,ISACA有当地一章,RACF有本地用户组,思科有当地用户或技术组,你可以联系吗?就博客而言,这个博客很适合阅读,但不会给你真实世界的经验,与从业者和现场工作人员交谈会。查看网址:http://www.astalavista.com。
Yvette:公司的最大要求是哪些安全性?
adam_gordon:取决于公司的工作。如果它在其中,或IT服务,如外包解决方案提供商,那么它将正在寻找建筑师和道德黑客或穿透测试仪。如果公司是IT服务和技术的消费者,那么它需要相同的技能,而且还需要一名取证人,可能是一个良好的通用主义者,谁是一个网络人,而且是安全人士。永远不要低估好水管工的价值。
主持人 - 朱莉:预提交的问题:总的来说,未来五年最热门的五项安全技能是什么?
adam_gordon:信封上请…我的水晶球说:1。整体业务的安全架构和设计;2.无线,无线,无线;3.病毒与恶意软件设计研究;4.honeypot和蜜网;5. Software as a Service solutions are getting hotter by the day, securing them will be important.[也可以看看:Neil Anderson Chat:您的网络职业生涯的五个最热门技能]
主持人 - 朱莉:另一个预先提交的问题:以下即将到来的安全技术,哪些似乎对企业使用最有前途,为什么?NAC,Cardspace,加密硬盘,UTM,数据泄漏保护 - 别的东西?
adam_gordon:我认为他们都将以令人惊讶的方式影响企业。我还认为,如果能够恰当地理解和部署它们,它们都会提供巨大的潜在价值。好的,我想我的答案是NAC是最有希望的。这是由于其在周边的全方位接触,以及今天越来越多的需求,以及未来,它能够安全地将远程用户集成到我们的日常业务流程中。如果你必须选择,从长远来看,上大学攻读工程学学位,还是保持现有的证书,在经济上更有意义?
wasup:
adam_gordon:你想拥有需要大学教育的职业吗?或者你想成为IT /安全世界的生活吗?当我雇用时,我不会像能力的指标一样看大学学位,然而,我这样说,我确实将它们视为承诺的指标。花时间得到尽可能多的现实世界和合法的经验,并记录你所做的一切。从长远来看,这将为您带来最富有的ROI。
艾德:一些好网站提供免费安全材料用于学习这些类型的证书吗?
adam_gordon:俗话说得好,一分钱一分货。如果这件事对你来说很重要,你需要花时间去做,那么你也要准备好花点钱。说到这里,看看下面的网址:http://www.linuxsecurity.com/和http://www.windowsecurity.com/
主持人 - 朱莉:预先提交的问题:您在为某些更加艰难的安全证书练习廉价的实验时间是什么建议?
adam_gordon:虚拟化技术正在为家庭实验室和移动,基于笔记本电脑的解决方案开辟各种新的和创新的可能性。此外,请签署从供应商的互联网上托管虚拟实验室的解决方案提供的可能性,以及与您感兴趣的技术处理的本地用户组和组织联系起来。看看他们是否有计划提供服务对于成员而言,如果没有,请尝试通过汇集技术和技能来提高整个社区的技术和技能。
极端:您能否举例说明需要虚拟化的技术类型,以及从哪里获得这些技术?即微软虚拟电脑?
adam_gordon:Microsoft Virtual PC或Virtual Server是好的,因此VMware是好的。两个平台都提供免费软件和关于如何开始的指导。就虚拟化的技术而言,您可以想到的任何东西。我使用VM从Windows 95到最新版本的Linux和UNIX的所有方式运行我的黑客类和我的取证类。是创意并试图弄清楚,最糟糕的情况是它不起作用。
Stevey19:您是否认为供应商中立的认证,例如Planet 3的CWNA,被赋予他们应得的尊重?
adam_gordon:我认为这取决于持有这些认证的从业者,正如我所做的那样(我是一个cwna和一个cwsp),以通过他们的行为和他们的社区和社区的行为创造尊重。供应商有责任宣传和推动市场证书,但通过追求它们的社区是负责任的,如果不是更多的话,他们将如何被察觉。
主持人 - 朱莉:预先提交的问题:我的丈夫有一个硕士学位和一个学士学位的财务。经过五年拥有一家餐馆,他正在重新进入劳动力。他之前在英特尔担任英特尔。他可以快速回到劳动力的哪些课程,特别是在安全领域?
adam_gordon:就像在说的那样痛苦,我会说答案取决于他在英特尔境内临时临时的技术。如果他与技术没有太多接触,那么我将从一些Comptia认证开始,例如A +,Network +和Security +,查看网站http://certimed.comptia.org/
艾德:你真的需要有一个编程背景才能追求安全证书吗?不会网络和操作系统知识足够吗?
adam_gordon:毫无疑问。我碰巧在这三方面都有背景,但这取决于你想做什么以及你想怎么做。我认为这个房间里最有资格的人应该是能够实际而迅速地解决我的问题的人,而不是一个先花一个小时理论化解决问题的人。
主持人 - 朱莉:预先提交的问题:您认为如何成为一个CISO的好步骤?您是否推荐MBA或信息系统硕士?任何特定的认证(CISSP除外)?
adam_gordon:CISM,以及实际的现实世界的经验将非常有帮助。IS的mba和硕士学位很好,但我认为能够从你将要管理的团队的角度来考虑安全问题将是你成功的关键。
史蒂文:我有CCIE R&S,我正在考虑更深入安全。我应该接受CCIE安全还是CISSP?
adam_gordon:两个!我可以告诉你,思科现在越来越火了,身处其食物链的顶端对你来说是个不错的选择。CISSP是安全管理的黄金标准是有原因的。只要把你的注意力集中在你职业道路的核心,并保持在这条线上,如果能创造出打开新的兴趣领域的机会,偏差是好的,但要警惕没有出路的死胡同和黑洞。[也可以看看:思科认证:你需要知道的一切]
主持人 - 朱莉:预先提交的问题:持有十多个安全认证是否有合法的理由?在这个问题上,有超过12个安全认证可用的合法理由吗?我有一个,CISSP,并且有机会增加这个数字。为什么我要付钱给一个认证机构,以获得更多的首字母,而这些首字母不能给我的简历提供更多的可信度?很明显,认证有一些不同,即更倾向于管理和技术或签证相反。但一打或更多?这充其量只是一项筹款活动。
adam_gordon:你的观点,就像其他人的观点一样,在你的视野允许的范围内是有效的。我显然比你有更广阔的视野,因为我在你看到金钱和营销阴谋的地方看到了价值。然而,我发现很有趣的是,你持有CISSP,因此不仅支持ISC的道德规范,而且还支持积累120个CPE的想法,以保持你作为CISSP积极和良好的地位,其中包括继续教育。
Ballayji:我在独特的位置,我的经理和我“为我创造了一个安全角色。我的问题是关于职称。什么是入门级安全职称?我在想ISO(信息安全官)或ISSO(信息系统保安人员)。那里的任何其他常见的常见常见者?
adam_gordon:SRE(安全搬迁工程师,即在垃圾桶里有一个挂锁的看门人)只是一点点幽默。我认为头衔被高估了,而且在一天结束的时候,头衔背后的人并不重要。让标题找到你,更担心你会做什么值得信任和信心,你的雇主将放在你的手,帮助您创建业务影响决策的视角,以一种有意义的和集中的方式。
Yvette:我是学区的软件培训师。我在组织管理学位,我希望留在它内,但我想进入安全取证,安全架构或无线。如何获得有关这些主题的更多信息?
adam_gordon:谷歌他们(这是最好的秘密,就...... Sssshhhhhh ......)尝试谷歌,从有创意,与同事或朋友谈谈。前往Barnes&Noble等书店,并围绕网络部分闲逛一会儿,与正在浏览书籍的人交谈,了解他们所做的事情。致电您当地的学院的计算机科学学校,看看他们提供了什么样的课程和信息。
主持人 - 朱莉:预先提交的问题:IT团队中的某人有多么重要,以具体的计算机取证知识?
adam_gordon:如果您的IT安全需求涉及取证,那么它是绝对的要求。如果您的IT安全性需要更平凡,并且在工作站上运行,或者在工作站上的病毒或恶意软件下载,那么您并不看“必须有”,而是一个“很高兴有”技能集。[也可以看看:LAN开关安全:黑客知道你没有的东西]
Noblecc:是否有全行业普遍认可的全能安全证书?比如思科的CCNA,微软的MCSE。某些证书具有所有精彩的功能——跨许多供应商的安全全能证书。
adam_gordon:不。但是,如果您将支付达到它,我保证会为您创建一个。这些声称所有包容的东西都是垃圾。您如何涵盖多个平台,语言和系统架构,并且足够深,以提供评估的有价值的技能印章?宽泛,深入,跨越一个或多个平台,因为您有兴趣,这是建立和技能的最佳方式。[也可以看看:关于Microsoft Certs所需的一切(然后有些)]
主持人 - 朱莉:预先提交的问题:了解Linux安全性的重要事项以及我将在哪里获得我需要知道的培训?
adam_gordon:Linux安全性与任何其他安全解决方案一样复杂。您不知道的是所有安全解决方案中的多年生问题。你有多少经验和知识是你将成功的关键。在哪里得到知识?我是一个坚定的信徒进入来源:首先签出以下网站:http://www.linuxsecurity.com/和https://www.redhat.com/training/security/courses/
Stevey19:你对那些周长或更长的训练营有什么想法?
adam_gordon:认识人的好方法,还有很多垃圾食品。除非你是独一无二的人,你已经有了所有必要的知识,自己通过材料,你在那里专注于GAP和准备考试。我认为,这些课程的市场是合法的,但我也认为,许多不适合这个模式的人,在没有充分了解潜在负债的情况下,就被卷入了这个市场。
主持人 - 朱莉:预先提交的问题:两个部分问题:1)如果CISSP认证的常见知识(CBK)是“现代化?”而且,2)是近期(2007年10月)草案信息技术(IT)安全必不可少的知识(EBK):IT安全劳动力发展的能力和功能框架;由国家网络安全部门的家乡安全部门掌握有用的方向?
adam_gordon:第1部分:CBK在持续的审查过程中,通过预约审查委员会作为目前市场上目前所有ISC认证的所有知识机构的所有核查委员会的现代化。第2部分:有用的是相对于你所做的地方,你做了什么,如果它帮助你或没有。我会说这是一个很好的开始,但它有一些基本的问题和漏洞,需要在运作有效之前。
wasup:VoIP安全怎么样?那个地区发生了什么事吗?
adam_gordon:许许多多。由于整个SaaS概念(作为服务软件)和整个云计算概念,VoIP正在变热。追求这一领域,因为它是在未来12 - 36个月内变得越来越重要的。
主持人 - 朱莉:预先提交的问题:您认为真正的安全威胁模拟软件(基于方案)针对内部泄漏有一个角色播放吗?如果外部/内部审计员和风险管理人员使用本公司以评估安全产品,网络,用户行为,安全策略和应用程序,则尤其考虑。这个“战争游戏心态”是否可以通过运行威胁方案实际工作来发现数据泄漏的位置?
adam_gordon:我认为这是一个有趣的变体,即“猫和老鼠”,我已经成功地使用了几个客户,但我坚信,从业者的技能是所有成功和安全故事中最重要的因素。如果您足以将其用作工具,您将受益于它。如果你认为你是真的在欺骗自己和你的客户,那么你就不会出于经验的任何价值。[也可以看看:尼克塞尔比聊天:虚假安全承诺以及如何检测它们]
米歇尔:我目前拥有安全+并将其作为网络安全管理员工作近一年。是否建议等到我有资格获得CISSP,或在等待时获得更多证据?
adam_gordon:兼顾。在您获得所有先决条件之前,您可以成为一个关联的CISSP(有点像CISSP)。还从ISC 2追求SSCP,这是一个很好的下一步,因为你是一个临时。
Tskimmy:我去年春天获得了Comptia网络+认证。这是我的第一个认证,我没有大学学位。我目前是网络管理员,只有组织内的人。您是否建议我先追求A + Cert或安全+证书?我还想知道您是否建议通过大学或技术学校接受课程?我参加了一所当地科技学院获取网络+认证,但是当我告诉别人上学的人时,我会得到印象,即在那里去那里并不像我去大学一样。
adam_gordon:首先,谁关心别人说的话。我认为,你去的最佳地点是你感到舒适的地方,获得最佳结果,并学到最多。其次,A +将为您提供对安全+非常有帮助的背景,但无论哪种方式都会起作用。翻转硬币,然后闭上眼睛。如果你可以在没有杀害自己的情况下走过房间,你可能不需要做,因为你可以通过使用力量来获得它们。否则,选择一个,变得严肃,不要回头看,祝你好运。
主持人 - 朱莉:出现了,但我要感谢你们一切来,感谢亚当戈登今天是我们的客人。请记得加入我们的下一个聊天,所有这些都在下午2点开始。et,at.m.amiribrahem.com/chat。
- 4月28日星期一,为什么iPhone(和小工具)危害国际知名的互联网
- 5月5日星期一,谈到网络访问控制,真理以及安全大师乔尔斯奈德的小说
- 5月15日,5月15日,开放的资源及其在具有暴风雨宠物的企业中的变化作用
adam_gordon:谢谢你们所有问题和你的想法......请随时跟进我ADAM.GORDON@NEWHORIZONS.COM如果你想... :)欢呼。