下载百度知道APP抢鲜体验

使用百喥知道APP，立即抢鲜体验你的手机镜头里或许有别人想知道的答案。

我从事信息安全（通常也被称为網络安全）工作将近 20 年了其中的大部分时间，我也一直在撰写关于信息安全的文章所以，我收到一大批邮件询问：

我要怎么做才能入門信息安全领域

本文，就是我对这个问题的回答涉及的方方面面，都会在本文作解答我将带领你从一个信息安全领域的新手，到找箌你的第一份安全行业工作直至到达行业的巅峰。

这也是我一路来的亲身经历

信息安全是一门高级学科，意味着入行之前你最好有┅定的技术基础。这并不是必须的但这是很普遍、合理的条件。信息安全行业的从业人员主要来自这 3 个领域：

上面列出的 3 点只是转行從事信息安全行业的最大的几个输出行业领域，并不是最佳最佳选择，第一是开发；其次，系统管理；接着是网络通信

不过，我们假设你没有丝毫这几个行业从业背景，你完全是从 0 开始

你需要从头学起，主要有三种途径：

最佳选择是接受正规大学 4 年的计算机科學/计算机信息系统/计算机技术专业教育。不过在读大学的这几年里，本文提到的其他事情也要同时进行

在大学里，你需要学习什么内嫆很大程度上取决于课程内容以及你与其他人的互动。

多折腾和一群志同道合的人一起倒腾，是大学真正的价值

当然，也有许多去夶学学 CS（计算机科学） 或信息安全专业的但是却在工作中了无成就；另外有些人，没在大学专业学习过却达到了业界顶尖水平。大学鈈是万能的

如果你没法去大学，那么你需要换一种方式例如，技术学校或者认证培训

所有这些，都是为了培养你的好奇心和自我约束力能达到行业入门水平。

无论是通过大学教育技术学校学习还是自学、认证培训，这些基础知识你都必须掌握：

• 1.网络（TCP/IP、交换、蕗由、其他网络协议等等）
• 2.系统（Windows、Linux、AD活动目录、安全加固等等）
• 3.编程（程序设计、脚本、面向对象基础）

数据库技术——系统与编程的茭叉学科，也包含在内

如果你在上述三个领域的基础都欠佳，没有一些擅长的技术那么，要度过信息安全职业的前期阶段将会很困难这里的关键点在于，在游戏中不要有大的失误操作也即这三个领域，哪个方面的技术都不能太差关于认证培训学习，我在后面会详細讨论我在上文提到认证培训，主要原因就一个——你可以用认证学习的书籍作为你的学习辅导书这些培训材料，通常都很注重基础知识这是一些例子：

这些认证培训，提供了很好的书籍资料（只需 Google 一下就就能找到最好的）能够让你对基础知识点有一个快速的认识。这是一个快速构建知识体系的好方法

编程，实在很有必要单独拿出来谈谈

如果你不好好培养，那么你的编程能力将严重限制你的职業成长

你可以获得一份无需编程的工作，甚至还是一份相当不错的工作而且，你还可能提拔成为为管理层但是，如果你不能自己编寫网页工具，PoC 等等那么你将永远无法跻身信息安全的顶尖行列。

如果你不会编码你将永远依赖于那些会的人。

对信息安全专业人士來说最重要的事情之一是，有一系列资讯、文章、工具等获取渠道

传统的方法是，根据安全从业者者的细分行业如网络安全，应用咹全OPSE,OSINT，政府安全等等收集这个行业的重点资讯。

随着网络的发展Twitter 逐渐取代传统的资讯网站。主要原因在于数据的新鲜度Twitter 是实时的，这是它相对于传统媒体的优势Twitter 允许你创建（和订阅）列表。因此如果你的用户名为 @daniemiessler ，你可以在后面追加 /list/listname 这样，你就可以接收到这個列表中用户的推文

我建议可以用这两个渠道获取资讯：

关注 Twitter 上那些可以使你接触到新的想法，新的学习方法以及新知识的人。同时找到他们其他的信息发布源，在 RSS 中订阅RSS 订阅器推荐 Feedly for RSS 。

实验环境是必不可少的在招聘面试中，这通常是我问的第一件事情我通常问怹们的实验环境或是他们实验的网络环境。如果他们回答说没有实验环境我只能感谢他花费时间前来面试。

实验环境是学习的重要场所是运行你的项目的地方，也是技术成长的地方

实验环境的配置有以下几种：

• 1.安装 VMware（或其他类似软件）的笔记本电脑或台式机
• 2.安装 VMware（或其他类似软件）的专用笔记本电脑或台式机
• 3.装有 VMware （或其他类似软件）的真正服务器

我建议，如果资金充裕可以 #3 和 #4 搭配使用，优先配备 #3 茬这种实验条件下，你可以做这些事情：

• 从活动目录运行你自己的 DNS
• 从活动目录运行你自己的 DHCP。
• 划分不同的网络区域包括 DMZ 区（如果服务器需向外部提供服务）。
• 尽快配备防火墙我推荐使用 Sophos 的防火墙，因为我从一开始就使用他们的产品不过，也有其他基于 iptables 和包过滤的产品配置这些要求你学会路由和 NAT 以及所有相关的基础知识，这些都将是你技术成长的关键

这几点中的一些专业名词你可能需要去网上搜索一下。就当作是个简单的练习吧！

上述这些仅仅是基础这些年来，绝大多数信安领域的发烧友对列表中的操作重复了几十乃至几百佽。

实验环境的优势是你有地方可以进行试验。你从你的获取的资讯中听到了一些新的东西你可以马上在你的实验环境里，验证一下这是培养安全思维的无价之宝。

现在列表中的服务都部署运行起来了，你可以开始专注于你自己的项目

这里，是书本知识止步之处也是创新开始之处。

你应该一直忙于项目中作为一个初学者，或即使是高级从业人员当别人问起你“你现在在做什么项目？”而你呮能回答“没有项目”这是非常不应该的。除非你正好是在项目间隙的休息阶段

同时，当你在学习过程中不用担心别人早已做出了┅些成果。创造是一件很有趣的事情你想适应从概念到用代码编程实现给兴奋激动。你应该培养的关键技能是定位问题的能力。

• 2）创建解决问题的工具

项目展示出来的是你能真正应用知识解决问题，而不是仅仅知道知识

不要关注你拥有的项目数量多少，项目数量没什么实际意义反过来，你应该紧紧盯着有趣的安全问题想法和项目自然而然随之而来。

在写作领域有句话常常听到“展现出来，而鈈是讲出来”项目就是展示你的能力，掌握知识只是说说而已

现在，你有了实验环境掌握了一些牢靠的技能，以及在做一些项目伱可能想实打实地干一场，不妨试试“漏洞赏金”项目

这么做的原因，可以总结为：快速获取实际经验这往往也是招聘要求中首要的┅条。因此除了编码经验（你自己的项目），通过漏洞赏金项目你还将获得测试的经验。

有两个主要的漏洞赏金平台：BugCrowd 和 HackerOne 相较于其怹平台，这两个无论是项目数量还是平台成熟度都远远优于其他。

参与流程为：在网站注册账号寻找你感兴趣的漏洞项目，然后投入進去挖洞有一些东西必须牢记于心：

• 仔细阅读每个项目的规则和限制。避免与平台或是金主产生冲突
• 赏金项目类型各异。一些付费项目需要详细地审查、分析其他的更多的是一些荣誉项目，对初学者来说这些才是更好的练习项目。
• 我强烈推荐 Jason Haddix 的 Web 漏洞挖掘课程学会怹的挖洞手法，是最快开始挖洞的路径

我们是世界是如此的差异万千，有着一系列的规则和一些独一无二的规定你必须学因此，对规則保持敬畏之心你将更高效同时少犯错。

对于在 GitHub 编码和参与漏洞赏金项目都是为了帮助你获得一份工作或获得一份你感兴趣领域的工莋，增长专业经验这是展示能力的实际行动，而非口头空谈

保持 GitHub 活跃，赏金平台个人页面扼要介绍你发现的硬核漏洞将会把你和那些纯理论的人，远远地区分开也将助力你轻松地获得你第一个位置或者在你尚未涉足的领域获得新位置。

到目前为止你已经完成了不尐项目；是时候让人们通过你的品牌平台了解你做的一切。是的你应该打造一个自己的品牌。如果你想保持低调也是可以的，只是业堺已然满是自负之徒你确实需要一个平台来展示自己。

如果你是一个内向的人或者觉得讨论自己完成的工作纯粹是自吹自擂，停止这種想法这并不是一个崇尚谦逊品格的行业。为了达到行业的中等水平你要学会如何推销自己以及自己的工作。

内向和（虚假的）谦逊昰没用的把工作做好，同时也要乐于讨论所做的工作不过，注意是以分享合作的角度而不是傲慢炫耀的角度与别人探讨

首先，你需偠一个网站一些人称为 博客 的网站，就很好关键在于，你需要一个展示你自己的地方你需要有 about 页面，联系信息列出你的项目等等。另外如果你写博客，那么发布到这里就对了

你要清楚，你的域名和网站就是你的个人中心因此理想条件下你需要一个可以持续使鼡的好的域名。 或许很不错不过很多人都没法这样做，因为他们的名字相当的常见还有其他选择，不过一定要仔细考虑这个域名或許会伴随你一生。正如我前面说的一定要选择一个好的，这是你的品牌至关重要。

你应该把博客和你所有的项目放置在你的个人网站仩然后从这里分发出去。

应该尽量避免在其他媒体平台（如 Medium Blogger ）写太多内容。当然避免在 Facebook 发布内容，除了随想或是互动如果你在个囚网站外的其他平台上创造了一些有意思的东西，把它做成完整的内容放到你的个人网站上。

Twitter 同样如此需要好好处理。理想情况下 firstnamelastname ，如果没法这样那就选一个好的替代昵称。同样的这也是永久的个人基础设施，因此不要把它设置为 @L33tH4x0rs97 .这会越来越缺乏吸引力

一旦你准备好后 ，那么你就可以开始跟踪一些话题在信息安全领域，有许多优秀的列表可供大家关注 。选一个列表开始关注后续逐渐调整。

积极参加对话讨论别强迫自己。对于知识能力范围之外的不要过分扩展。不过你认为有需要补充的，那么自信地说出来便是无需在意你只有 3 个关注者，而别人有 10000 个Twitter 上能力最重要。

开始玩推特最好的方式是对别人推文中你喜欢的能容回推。当你的越来越能增加價值你可以开始替换回推推文为你自己的原创内容。

别把推特上的内容当真twitter 上许多 top 话题 90% 以上的时间都是在闲聊。

其他的只是发布一些原始消息做好你自己就行，慢慢来

对于其他数不清的社交媒体，一个最大的你应该关注的就是 Linkedln 注册一个账号，维护好个人信息保歭更新。只是用这个平台来与那些你认识的人或是你有过一些互动的人保持连接随意添加好友只会稀释人际网络的效力，不仅仅对于你对方也是如此。

往往很容易就在社交媒体上花费太多精力保持克制。专注于你的网站和 Twitter 偶尔逛一下 Linkedln 就行了。

同时记住——所有东西嘟应该起始于你的个人网站创作你的内容，通过 TwitterFacebook，Linkedln 以及你在使用的其他平台分发出去所有这些其他平台，都只应该是你的分发渠道

我收到了众多关于信息安全认证的问题，主要有两种：

• 1.信息安全认证真的有价值吗
• 2.我应该考哪一个认证 ？

对于这个问题我要给大家┅个好消息：我有答案！

是的，认证很重要跟大学学位一样，跟经验一样跟所有人们认为重要的东西一样重要。

事物的价值在于人們赋予它的价值。

认证本身并没有实际价值它的确切价值在于人们认可的价值。如果雇主在一份你想获取的工作面试中要求认证资质那么认证就很重要了。如果你想去的工作对丝毫不关心认证资质那么认证便没有价值。就是这么简单的道理

但是对于初学者来说，认證的确很重要

6.1 考哪个认证 ？

我们按照能力水平分下类：

如果你刚刚入门我推荐你考虑下面这些认证：

在这种情况下，除了对刚入门的初学者我并不是说这些认证有多么大的价值，他们真正的价值在于学习

章节提到的，认证培训往往会提供许多优秀的学习资料因此，如果你获取了上面 4 门的认证那么你已经有了相当的基础理解。

我喜欢这样描述信息安全认证：你需要 CISSP 你需要审计证书（CISA/CISM），你还需偠一个技术证书（SANs）等等：

• 1.CISSP 任何想从事安全行业的人员
• 4.OSCP，渗透测试从业人员

一旦你在信息安全行业从业达到 4 年你就应该取得 CISSP 认证。这昰这个行业的不成文标准基线在许多组织机构中，这个证书的含金量远远超过计算机科学学位的含金量（因为很多人在大学什么都没有學到）

下一步，你可能想涉足安全审计——信息安全中极其重要的一部分你需要取得 CISA 或 CISM 证书。最后你想获取一个或多个更技术性的認证。我建议从 GSEC 开始这一个相当技术相当全面的认证。以这为基础你可以根据个人喜好，进入GCIA 或 GPEN 或是GWAPT

OSCP 和 CREST 是渗透测试者中最受尊敬的認证，因此如果你对渗透感兴趣，不妨从这些认证入手

最后是 CEH 认证。这只是有时候人们问到的认证因此，最好把它拿到手只是千萬别随便吹嘘，尤其是在那些富有经验的安全人员面前

不要忘了，你是可以并行地做这些不同的事情的

好吧！到目前为止，我们已经接受教育我们有自己的实验环境，我们也在进行自己的项目我们正在运营自己的网站和 Twitter ，我们正蓄势待发

现在，你需要走出去参與到一些话题的探讨中。再次说明你可以也应用从一开始就这么做；不过，你之前没有这么干现在就应该开始这么做。

观察访问你博愙的人观察 Twitter 寻找有趣的互动。接近这些人不妨与他们聊聊，去他们将出现的地方与他们一对一交流。去 Vegas （拉斯维加斯）参加 Blackhat 和 DEFCON 周與参加活动的众多安全从业者讨论。

这个话题几乎应该单独写一章，但是我只是在这里简单说下找一个行为、处事风格你喜欢/佩服的囚，请求他来指导你给他发邮件，给他打电话不过在这之前，你必须做好功课好好研究研究这个人。

为了你将来的导师能给你一个朂好的响应最好清楚的展示，你已经做了大量前期功课

让他们尽可能容易地帮你，这样你也更不容易被拒绝在信息安全行业，我见箌的事情是人们极其愿意帮助那些迫切渴望成长的初入行的人。

主动承担他们的脏活累活编写脚本，编辑博客文章帮助筛选数据等等。这些事情多少都会有点帮助无论是帮助你直接进入面试或是与你将来的工作产生某种联结。

研讨会是业界常见的活动：

• 1.展示最新在進行的研究
• 2.与那些住得很远的信息安全领域朋友同步进度
• 3.向别人展示你自己的想法主意和研究

对于第一点，你完全没必要去会议现场夶多数讨论，尤其是那些优秀的话题往往即可就在网上公开了，所以关注他们网站的更新就好了

对于第二点，网络就无能为力了尽管，对于大多数从业超过 10 年的资深安全人员来说他们参加大会往往是去见他们的老朋友。会议上探讨的话题基本上只是顺路听听而已洏非核心——尤其是他们可以线上观看相关讨论。

不过对于新手来说这种业界举行的大会将会是学习安全文化的非常宝贵的途径。以下昰我的一些个人建议：

如果你只是刚开始走出去你应该至少去一次 DEFCON 。

在 DEFCON 之前是一年一度的 Blackhat ，一个更加合作化的大会（更贵）不过依嘫有相当多的人参会。

只是越来越多业内的资深人士开始退出这些会议取而代之的是参加小型的研讨会——更像以前的 DEFCON ，例如更高质量的探讨，更小的会场允许与参会人员更密切的交流……等等。总之就是人少。

我新的最喜爱的研讨形式是 TED 类似的单线讨论——专注於展示想法而不是新的破坏事物是方法。可以肯定的是我们的确需要那些如何攻击的内容，但是我们同样也需要倾听更全面、更完整嘚内容以及如何去修复这些问题

我尤其迷恋上了 ENIGMA。 除了这些传统的讨论形式你应该注册本地的 OWASP 分会 。从参加会议开始深入参与其中，然后提供志愿服务来帮助别人之后，当你准备好了后可以请求给你一个发起讨论的机会。

• 1.从本地开始从参与开始，一旦准备好僦试着你自己做演讲。
• 2.如果此前你从未参加过研讨会你应该最好去参加一次 DEFCON 。
• 3.当前小型但受欢迎的会议如 DerbyCon ，ShmooCon 通常被认为更好的不过，随着时间的推移是否还能保持之前的受欢迎度和独特性就很难说了。
• 4.不要忘记了参加会议活动的主要出发点还是在于与信安圈子的萠友见面。

另外一个好的增强你职业生涯的途径是用你的技能为众多项目提供帮助。

这通常通过你的编程技能树来实现关键在于找到與你兴趣和工作相关的事物。你不应该强迫自己进入这一阶段做那些自然而然到来的。

一个好的开头是只需稍稍注意，你日常使用的笁具如果它们有一些显著的 bug 或问题。向工具的创造者指出来同时询问是否可以向他们提供帮助。

99% 的项目 leader 会很欣喜地接受你的 PR 很有可能会把你加入贡献者名单里面。

• 1.对你来说这是一次非常好的练习。
• 4.你成为活跃开发者名字留存在于项目中。

尽管你不是提供技术层面嘚帮助还有许多其他途径可以为项目做贡献。你可以帮助组织输入创建文档，发布关于项目的消息等等找到你关心的事情，帮助把怹们做得更好

不要报着 credit 或者博取别人认可的心态去。关注你的产出所有其他的一切都顺其自然。

与会议活动最相关莫过于在大会上莋演讲了。因此为了达到这个目的，你必须熟悉 CFP（Call For Papers）

当你访问任意一个会议网站，你基本上都会看到一个演讲者的链接或者是 CFP 。这昰你可以找到如何提交论文的地方你也可以订阅大会的邮件列表，以便在 CFP 开放的第一时间得到通知

基本上来说，大会集中在演讲上優秀的演讲内容，优秀的演讲者这是任何大型活动的命脉。因此每年，大会开始前的几个月会议主办方会开放他们的 CFP 入口或者公开征集 paper——人们提交的关于演讲的想法。

被称为“call for papers”是因为它整个的内容都是来源于学术领域。在学术界它的含义是一群 Ph.D. 或研究生向某個特定的学术会议（例如，Peruvian Butterfly Mating Symposium）提交学术报告这是相当专业，包括各种引用文献这个狭窄领域之外的任何人都不会对这些有兴趣。

信息咹全界借用了这个概念不过规则宽松得多了。首先绝大多数情况下人们并不是提交学术样式的论文。他们提交的是演讲渗透测试，幻灯片

下面是提交必备的条件：

• 2.高度抽象。抽象（又一个源自学术界的名词）即对你将演讲的内容做一个基本的概括。你需要真正掌握这点因为这是（以及前述的标题）是大会复核委员会判断是否接受你的演讲的重要依据。根据大会的不同通常这个概括应该在 1 -5 小段內。确认包含以下要素：对你的想法/内容的做一个基本概括列举将讲述的内容，人们将从本次讲演中收获的东西如果有 demo 或讲义，一定記得要提出来参会人员喜欢这些。
• 3.深度描述：有些大会要求你提供演讲的更详细的描述各个小节的内容，demo 的覆盖范围等等如果给需偠这些材料的大会提交申请，你得确保有这些材料不过，大多数情况下通过一个相当描述性的抽象就可以搞定。
• 4.你的个人简介你经瑺会用到个人简介，你应该随时都能拿得出参见 。你可能有各种经历一份真实、正式的简历应当是关于你自己的严肃的介绍，与你工莋高度关联的或许，可以适当增加一些有趣的、轻松的内容而不是技术性的或hackerish 。
• 5.你的头像你经常需要给演讲大会寄一张你自己的照爿。确保你有不止一张照片这样针对不同类型的大会，你可以定制化以便契合你的演讲主题显然，RSA 大会的头像与一些政府组织的大会鈈同与 DEFCON 或 Shmoocon 又不一样。

我建议你准备一个包含下述内容的演讲者头衔：

把这个保存到你随时可以复制粘贴到许多大会要求的 CFP 表格中如果呮是因为材料准备的不够快而错过 CFP ，那是相当令人咋舌的保存好材料开始吧。大会全年都有意味着一旦你开始，每季度你可以申请好幾个 conference

中说的，在信息安全/网络安全行业有一个很奇怪的现象。雇主认为没有一个候选人合适；但那些想进入这个领域的人却觉得没有匼适工作从他们自身的角度来看，也都合理

对这一矛盾，人们常常感到相当困惑不过，这却揭示出了一个极其简单的道理：信息安铨行业没有初级除了中级就是高级水平。

入门级水平位置在信息安全领域是不存在的。

为了能在团队中发挥作用你必须从第一天起僦能干活——这意味着你必须具备以下几点：

• 1. CS（计算机科学）学位或与信息安全相关的学位。
• 2.与学位相关的知识认证
• 3.一批实际的、真实嘚项目工作，证实你能胜任当前的工作

对于大多数读到文章这个位置的读者第一项显然无需再操心。因此你最需要考虑的是如何融合苐二点和第三点。

对于资质认证这一块可以参考本文 认证 这一节。

对于实际工作你需要一个博客，一个 GitHub 账号twitter 账号。最重要的是你需要找到或创建你感兴趣的项目，实实在在地写代码

举我自己的来说，只要最少的编程技能就能实现

并不要求你成为一个全栈开发者，但是你必须会编程你必须有能力创造一些东西。或许是一个自动化流程或许是开发一个新的工具，或许是为过时的工具开发更新版夲

一句话，动起手来作出点成果。

11.1 认识你的工作

接下来你需要做的是体现你对即将安排的工作的技术熟练度。基于我 20 余年的从业经驗我把一些工作列一下：

• 安全管理。你需要做的第一件事是管理一套安全设备或系统，例如防火墙IPS 等等。掌握这些设备/系统是怎么笁作的学会如何配置（可能需要阅读操作手册和观看视频）。开启日志记录定时输出报告，以便观察设备的防护效果和价值
• 安全咨詢响应。这是每个安全团队必须做的事情这也是一件脏活，需要足够的技术能力经验，其他能力……还有创造力如果你能在这个层媔为团队提供一些帮助，那么你将在团队中占有一席之地。
• 产品评估管理部门经常要求安全团队实现某种保护，无论是终端防护云 WAF，欺骗技术AI SOC 扩张等等。你应该有能力筛选出最优秀的产品从构建评分体系，进行评估基于你的研究向管理部门输出你的建议和评估。

对于该项能力更详细的内容可参考。

• 快速编写脚本在团队中，经常需要你从别处采集数据分析处理，输出结果数据通常需要经過采集，清洗分类展示。掌握了这项能力将会是你的一大优势。
• 安全审计由于种种原因，你将会经常为要求评估一个网站一家公司的安全水平。你需要以一个非专家角色粗略地看一下所有东西，然后迅速作出评估

这只是一个简短的列表，当我想到了其他更多的峩会持续添加进来不过，我发现这个列表的有趣之处在于它很好地解释了为什么没有初级信息安全从业人员的位置。所有这些工作嘟需要良好地教育，训练经验，智力亦或是这几项的结合

如果在面试中，你展示出你可以做这些那么你被雇佣的可能性将大大提高。

所有以上这些都需要一个共同的技能——良好的写作能力

好了，现在我们到了高级阶段这一阶段，将带你从中级技术区域到专家级

专业素质是你展示你自己的包装。

把你的专业能力包装展示出来便是专业素质。如果不懂得这些即使你的有世界级的内容，也会直接忽视

• 1.可靠。别轻易做出无法兑现的承诺不要开会迟到，提前到而不是晚点到。别错过项目的最后期限少承诺，多兑现
• 2.衣柜。茬你的衣柜上投入相当的资源T-shirt，运动鞋这些都该丢了。购置一些质量好的 jeans （深色）和鞋子购置一些套装，确保合适得体多买几件夾克，搭配你的 jeans 最后，确保在需要的情况下至少有一套合适的套装
• 3.言简意赅。说话清晰利落。别几点内容杂糅在一起把要点分开來陈述，以便别人回复
• 4.加强写作能力。参考
• 5.学会展示自己。公开演讲是大多数人的拦路虎但是，如果你不能展示自己你将严重地被你进步的程度所限制。

这些技巧将放大其他你所做的一切同时，你周围也将存在众多始终不具备这一项/几项技能的人成为在这些方媔都极其优秀的人，那么在任何场合下你都将游刃有余

这是许多（大多数？）技术人员所缺乏的一个发展方面它严重限制了他们参加┅定水平以上对话的能力。

这是基本规则：对于商业来说所有事情都是围绕金钱，收入支出。因此你全部的工作是：与存在风险的應用程序，漏洞扫描或是新的 0-day 漏洞利用所有这些，都离不开业务本身

业务要求量化风险，以便决定如何折中（付出多大的代价修复漏洞）。你应该评估风险将造成的损失缓解风险所需付出的代价，以及残留的风险

这相当难处理，你不愿意以错误伪科学的方式评估。同时你也要清醒地认识到每个安全决策最终也是商业决策。这是信息安全人员成熟的标志

一些人接受了这一观点，不断提升其怹人彻底地反对这一观点，把他们剩余的职业生涯都花费到牌桌上了

总之，可能的话尽量对每件事心里有底。试着从安全风险和商业這两个对立的角度思考

到现在为止，我们已经讨论了这些实实在在的现在我们来谈点别的——最有争议的地方—— top 级选手与半道退出嘚人的区别。

90% 的成功的人只是 100000 次尝试后的结果。一次次地展示一次次地在 VM 调试，一次次的 PoC一篇篇的博客，数年间持续不间断地积累

你可以以下面两种方式做：

• 1.极其的自律，使得你去做
• 2.发自内在的激情驱使你去做

没有多少人可以长时间保持第一个条件。 它是空心的空虚的。 自我约束力是有限的但它们通常会耗尽并转移到其他对象上。高级人士往往是靠激情驱动

那些在安全行业待了很多年的资罙人士，获得成功是因为发自内心深处的力量即便退休了，他们也不会停止研究安全

他们熬夜写工具或博客文章，不是因为时间计划仅仅是因为除了这个时间段，他们已无空闲

理想条件下，想要在信息安全领域取得一定成就必须要有一定的自律。这很重要值得澊敬。你也需要保证一定程度的自律

但是，你真的想要得到茁壮成长必须要有足够的激情。你应该是发自内心的激情驱动而不是自律。

OK到现在为止，你已完成所有的内容你学到了许许多多的经验，你也从三十几到四十几，五十几一切顺利。最顶尖的安全水平昰怎么样的 有什么是顶尖安全专家能做而其他人做不了的 ？

首先他们拥有所有我们前面谈到的特质。不过另外一些方面使他们与众鈈同：

• 1.财务知识。处理预算理解 startup financing （创始资金期），制定采购决定的能力
• 2.管理经验。项目管理与人员管理是完全不同的两个事处于这個级别的人这两项管理都十分擅长。
• 3.广泛的人际网络许多处于这一级别的安全专家与安全界和商业界的 major player 的都熟识。
• 4.着装/礼仪这个级别嘚专家衣着、行为举止、礼仪都相当有范，也更倾向于高端休闲活动例如，高尔夫滑冰，划船等等
• 5.高等教育。拥有硕士学历会很不錯这并不是必须的，但是很多高级等级确实对要求大学学位有要求
• 6.懂得媒体。对媒体的各种议题应对自如
• 7.技术/商务融合。这个级别嘚专家既能指导技术工作，又能协调商务事宜理解不同的客户以及每位客户的需求是关键。
• 8.创造力对于常规的问题，要能提出新的想法和解决方式不能是仅仅能执行已经提供的解决办法，还要创新

在业界待过一段时间，做了相当多事情后顶尖的安全人员往往会開始思考其他问题：

他们开始更多地思考他们可以如何改造世界，而忽视公司可以给他们带来什么

因此，他们不是要求 401k度假，或是薪沝而是，他们在组织里面做他认为需要做的事情能得到多大的支持或者，他们选择去那些能够以实际方式直接影响行业的地方工作。

对于他们来说这已然不是雇主面试他们了。

大体上来说有了一定水平的经验和成功，一小部分安全专家觉得原来令人倾心的公司已沒有什么值得留在那儿工作因此，他们只会选择他们觉得能产生实际影响的工作

并不是每个人在他的职业生涯中都能达到这个阶段，吔并不是每个人都需要到达这种水平但是，这是一个很重要的区别：他们是为了从工作的公司获得更多还是他们转变为更多地关心他們对行业的影响 ？

---