Təsəvvür edim. Gənc yaşlarından casus filmləri ilə maraqlanırdın. Tamamilə məktəb fənləri ilə maraqlanmayan, amma yəqin ki, hər halda yaxşı işləyən birisən. Başqalarına nisbətən anlayışları tez və asanlıqla öyrənirsiniz. Gənc yaşda kompüterlərə qarşı təbii bir yaxınlığınız var idi. Sizinlə əlaqəli bir şey təxribatçı qaradərili hack cəmiyyətindən həyəcanlanır, ancaq əslində insanların həyatını məhv etməkdən və ya həyatınızı mənəvi cəhətdən şübhə doğuran dostum "Stiv" lə çəkilməklə keçirməkdən zövq almayan yaxşı bir insansınız. sərt bir həbsxana etmək.

Çözüm nədir? Etik bir hacker olun ki, bu qanunsuz şeyləri həbsxanada olma riski olmadan edə bilərsiniz və bunun üçün pul alasınız!

Bir imtina ilə başlamalıyam - mütəxəssis deyiləm. İndiyə qədər yalnız bir hack işim var - və hətta burada çox olmamışam! Ancaq BT-nin digər sahələrində çox vaxt sərf etmişəm və təhlükəsizlik istəmişəm. Nəticədə çox şey oxudum və çox insanla danışdım. Əsasən hər şey aşağı düşür:

İlk Infosec rolunuzu almaq üçün hər şeyə uyğun bir yanaşma yoxdur. Bu yaxınlarda, bir sıra Infosec mütəxəssislərinin sonrakı Infosec roluna getdikləri yolları ortaya qoyduğu #MyWeirdPathToInfosec adlı bir Twitter hashtagı var idi. Onlar çox fərqli idilər, bəziləri federal həbsxanada vaxt keçirtdi (tövsiyə edilmir), bəziləri musiqiçi idi, bəziləri Infosec rollarını kollecdən dərhal sonra aldı, bəziləri bir şirkəti qanunsuz olaraq sındırdıqdan sonra şirkətə necə etdiklərini izah etdikdən sonra işə düzəldilər. etmişdi (tövsiyə edilmir). Bu texnika 90-cı illərdə bəzi insanlar üçün işləmiş ola bilər, indi həbsxanada qalacaqsınız.

Məsələ burasındadır ki, tunel görmə qabiliyyətiniz yoxdur. Karyera imkanları tez-tez gözləmədiyiniz yerdə yaranır.

Infosec-ə aparacağım yol haqqında bir az

"Hack" ilə ilk təcrübələrimi xatırlayıram. Təxminən 10 yaşındaydım və veb səhifələri yerli səviyyədə saxlama qabiliyyətini kəşf etdim. Doğrudan google-a keçdim, ana səhifəni yüklədim və notepad.exe-də yerli nüsxəmi düzəltdim, “Luke was ere! “Daxildir. İşlənmiş səhifəyə baxanda mədəm sallandı. Google-ı qarışdırdığımı düşünürdüm. FTB-nin qapımı təpikləməsi nə qədər vaxt aparacaq? Valideynlərim bunları öyrənməmişdən əvvəl deyimmi?

Myyy daaaay-da geri qayıdış meydançaları yox idi. Əslində ən azı tapa biləcəyim az məlumat var idi. Mənim ilk qaynağım Carolyn Meinelin "Zərərsiz Hacking Bələdçiləri" adlı bir veb sayt idi. Kılavuzlar Comic Sans-da yazılmışdır, bu pis dizayn janrının işarəsi şrifti yalnız '90'lar və 00'ların əvvəllərində tapıldı. Bu dərsliklərə Telnet: Bir nömrəli Hacking Tool və Windows XP ilə Hack necə edilir? I kimi hisslər daxil edilmişdir: Magic Of DOS. Onları hələ də burada tapa bilərsiniz.

Məktəbi bitirdikdən sonra İT sahəsində ilk işimi başladım və az qala bitirdiyim, buraxdığım, işdən çıxardığım, evdən uzaqlaşdığım, Musiqi Bakalavrına sahib olduğum, əyani musiqiçi olduğum və bir neçə ili səhnədə keçirdiyim bir kompüter elmi dərəcəsinə başladım. Kruiz yollarında həyat yoldaşımla tanış oldum, İngiltərədə yaşadım, evləndim, yenidən Avstraliyaya köçdüm və tam zamanlı bir veb geliştirici olaraq işə başladım.

Hack etmək ehtirasım heç vaxt əsla səngimədi və bunu inkişaf etdirməyi heç sevmədim. Möhtəşəm insanlarla gözəl bir işim var idi, amma işimin həqiqi tapşırıqlarından həyəcanlandım. E-ticarət və həssas məlumatları əhatə edən bir layihədə olduğumu aşkarladı və rəhbərim mənə təhlükəsizlik kursuna getməyimi təklif etdi. Yerli bir nüfuz test şirkətinin baş direktoruna ən yaxşı təhlükəsizlik kursunun nə olduğunu soruşdum və OSCP-ni tövsiyə etdim. Mən bunu etdim!

OSCP-ni tamamlamaq mənim üçün dönüş nöqtəsi oldu. Bu 60 günün hər sərbəst anını, hack bacarığını mümkün qədər çox öyrənməyə sərf etdim. Yorğun olsam da, yuxumda çətinlik çəkirdim, çünki beynim laboratoriyalardakı çətinliklər qutuları barədə düşünməyi dayandırmadı. Beləliklə, yorulduğum bir inkişafdan çox, bəlkə də mənim işim olduğunu bilirdim. (İstəsəniz OSCP-də üç hissəli bir blog seriyası yazdım.)

OSCP-dən məzun olduqdan cəmi bir-iki ay sonra, internetə göndərilən bir hack problemini həll etdikdən sonra ilk nüfuz test işimi böyük bir Infosec işəgötürənlə tapdım. Bu hekayə haqqında daha çox məlumatı burada oxuya bilərsiniz.

Mənim haqqımda kifayətdir! Nəhayət, hamınızın oxumağa gəldiyiniz yerə gəldik. Hacker olaraq ilk işinizi necə əldə edə biləcəyinizə dair bəzi hərəkətli məsləhətlər:

Ağ papaq cəmiyyətində aktiv olun

Açıq mənbə alətlərinə öz töhfənizi verin, öz blogunuzu yazın, podcast açın, hack çatışmazlıqlarına gedin, Twitter-dəki insanlarla əlaqə qurun. Çox şey öyrənəcək və sizə kömək edə biləcək sevimli bir insan şəbəkəsi ilə tanış olacaqsınız. Bütün Infosec cəmiyyəti mehriban, yaxın, ağıllı, ehtiraslı bir qrupdur. Bunu oxuyursan, özünü evdə tapmağın böyük bir şansı var.

Hörmət etdiyiniz insanlara e-poçt göndərin

Orada xəyal etdiyiniz rolda insanlar var? Onlara bir e-poçt göndərin və karyera yolunuzu soruşun. Baş verəcək ən pis şey cavab verməməkdir. Baş verə biləcək ən yaxşısı sizə bir mentor və həyat dəyişən bir tövsiyə verilməsidir.

Etibarlı olun

Günəşin altında hər hansı bir hack sertifikatı ala bilərsiniz, ancaq müsahibəyə girsəniz və etdiyiniz qeyri-qanuni bir dələduzluqdan zövq alsanız, heç kim sizi işə götürmək riskini almayacaq. Ağ papaq cəmiyyəti tez-tez olduqca həssas məlumatlarla məşğul olur - işəgötürəniniz və müştəriləriniz sizə etibar edə bilməlidirlər.

Bunu nəzərə alaraq, bir müsahibədə olsanız və bir texniki sualın cavabını bilmirsinizsə, “Bağışlayın, bilmirəm, amma buna daha sonra baxacağam!” Demək daha yaxşıdır. Bluffa cavab. Müsahibə apardığınız insan sizə xəbər verə biləcək və yəqin ki, düz olmaqdansa, dürüst və səmimi olmağınız daha çox maraqlıdır. Zamanın bu nöqtəsində təcrübəli təhlükəsizlik mütəxəssisləri nadir hallarda olur. Nəticədə, bir çox şirkət daha az təcrübəli, düzgün düşüncə tərzi və münasibəti olan insanları işə götürür və sonra texniki bacarıqları öyrənmək üçün onları öyrədir.

Sertifikatlar alın

Ədalət naminə, bu sahədəki bir çox sertifikat insanın texniki qabiliyyətinin yaxşı göstəricisi deyil. Deyilənə görə, biriniz varsa, iş tapmaq ehtimalı daha yüksəkdir. Sənətə sərmayə qoyduğunuzu, vaxt / pul sərf etdiyinizi və maraqlandığınızı göstərir. Bəzi əla sertifikatlar var, bəziləri o qədər də yaxşı deyil. Bunlardan hansının yaxşı olduğundan əmin deyilsinizsə, bilən birisindən soruşun!

Bug Bounties, CTFs və Challenge Saytları

Bir HackerOne / BugCrowd Şöhrət Salonunda olmusunuz? Bir səhv lütfündə bir RCE tapdınız? Bir CTF-də bir hack konfransında yaxşı etdinizmi? Hackthebox.eu saytında yüksək sıradasınız? CV-lərinizə qoyun! Bu şeylər oyun kimi görünə bilər, eyni zamanda sənətə həvəsli olduğunuza və bir sıra bacarıqlara sahib olduğunuza sübutdur.

İşə götürənlərdən qorxmayın

İşəgötürənlər sizi yorulmadan axtardığına və doğru əlaqələri tapmaq üçün şübhəli taktikalardan istifadə etdiyinə görə pis bir rap alır, lakin hamı bunu etmir. Yaxşı əlaqələri olan ixtisaslı bir işəgötürən tapmaq bütün fərqləri yarada bilər. Hacking konserti üçün işəgötürən axtarırsınızsa, Infosec-də ixtisaslaşmış birini tapın. Standart bir İT işə götürən, yəqin ki, lazımi insanları bilmir.

Hazırkı rolunuzu təhlükəsizlik roluna çevirin

İnkişaf etdiricisiniz? İnkişaf etdirdiyiniz tətbiqdə bir səhv taparsanız, bunu menecerinizə göstərin və daha dərin təhlükəsizlik testləri aparmaq üçün icazə istəyin. Sen sysadminsen Şəbəkənizdə bir zəiflik tapın (yəqin hara baxacağınızı artıq bilirsiniz), riski müdirinizə bildirin və əlavə testlər aparmaq üçün icazə istəyin. Hansı rolda olmağınızdan asılı olmayaraq, daxili təhlükəsizlik mütəxəssisi kimi ad çıxarmaq üçün yaxşı bir şans var.

İndi InfoSec reportajınızda / tərcümeyi-halınızda rəsmi adınızın sadəcə "geliştirici" olmasına baxmayaraq daxili təhlükəsizlik mütəxəssisi olduğunuzu söyləyə bilərsiniz. Rolunuzun məsuliyyət hissəsini təhlükəsizliklə bağlı bəzi tapşırıqlarla da doldura bilərsiniz.

Daha çox məsləhət istərdinizmi?

Məni Twitter-də izləyin!