前面提到我面臨職業生涯的重要決定,當時我仔細考慮,下定決心接受挑戰轉職後,有了更大膽的想法:與其做助理協助別人,為什麼不投資自己,成為老闆渴求的專家呢?
於是我更積極地吸收研究所的知識,常常向教授挖寶學習,也善用半個學生的身分參加學校資安社團,享受學生優惠價參與一些資安活動,在一些Meetup和活動中看資安廠商介紹他們的產品和技術,有一次Arbor的SE在台上對DDoS Attack做很詳細的介紹,比教授介紹的還仔細!以往主管時不時來關心大家,問起我的學業,總是以「不錯,可以準時畢業」簡單帶過;現在既然決定投入資安領域,主管的經驗與想法也很有參考價值。例如有ㄧ次主管問起,我順勢問道:「最近在學網站伺服器安全…請問我們公司有架設那些網站?是用什麼工具保護呢?」主管不單回答問題,也和我針對web server做了ㄧ些討論,最後總結:「你提的東西大方向很好,但那些是學校教的工具,不一定適合企業環境,在企業環境裡需要的是… 這部份你有興趣了解,可以請CISO做細部解釋」。如此討論,就好像主管在幫我(免費)上課,真是賺到啦!
至於怎麼培養專業,怎麼爭取認同呢?常常聽到「證照無用論」,其實單純背背題庫考過,真的用途不大。但是以證照測驗內容為方向,穩紮穩打的學習,確實遠比盲目自修有效率。當時我比較幾個不同的資安證照,擬定準備考取ㄧ張初階證照(不需要太多資安經驗),兼具一定的深度與廣度,但偏重廣度而非單一技術性(讓我能對資訊安全有全面的了解),廠商中立性質(Vendor Neutral),偏向管理和技能,熱門且接受度高的證照,所以首先排除CISSP, CISM, CISA等需要幾年相關經驗的中級證照,較注重單一技術層面的CEH,OSCP等也不太適合,考慮SANS的證照考試費用較高(美金$729),更新費用也不斐(美金$429),便選擇以CompTIA Security + 為目標。Security+ 符合ISO-17024國際標準認證;符合美國國防部DoD 8570.1命令的要求;符合FISMA(美國聯邦資訊安全管理法案)的要求,並且被美國國家標準協會(ANSI)官方認可,接受度非常廣,費用也相對較低廉,經過一段時間學習後,覺得內容也很契合我的要求。以往無論是在學校上課、參加研討會、活動等等學到的知識和技術多半是片面、零碎的,之前工作時學到的東西也覺得不相關。Security+ 證照的學習過程中讓我有系統地學習資訊安全的全貌,感覺就像是打下正宗基礎內功底子,融合之前工作經驗,接下來無論在研討會聽到什麼新技術都能快速掌握,在研究所選課也不會有「這堂課到底和資訊安全有什麼關聯」的疑問。
經過這段時間充分學習後,我面帶微笑步出考場。某天主管再找我進辦公室談話時,我默默把手機上CompTIA Security+ 的證書照片給他看,走出辦公室時,勇者鬥惡龍的升級音效在背後響起,正式成為資安分析師Security Analyst啦!
*考過就可以使用這個帥氣的認證標籤
「可惜我來來去去就只會這一招,養兵千日,用在一朝。」荀彧《火鳳燎原》
你有資訊安全的證照嗎?你的第一張證照是什麼?明天將會介紹資安證照,第四天將會正式分享工作上遇到的挑戰。
以下連結提供參考: 這五張都是非常熱門的資安證照
Best InfoSec Certifications (Top 5)
http://www.tomsitpro.com/articles/information-security-certifications,2-205.html
目前我比較想入手的是CEH跟ISO27001(台灣限定)
目前有要規劃念研究所,順便運用一下學校的資源
所以會有考量證照一些入手的困難度
CISSP是以後的目標
CEH這次鐵人賽虎虎有介紹,可以參考。
台灣好像很喜歡考ISO 27001,很好奇為什麼?
因為公單位很喜歡導ISMS...
虎虎的哪個我知道謝謝