随着年轻有为的人们希望进入网络安全领域,我经常受到他们的咨询。有些人正在大学学习网络安全,有些人想从IT岗位转行,还有些人相信这一领域与他们在执法或军队的经验有协同效应。
尽管网络安全行业存在且常常被夸大的技能短缺,但新人们在寻找入门级职位时却面临很大困难。根据ISC2 2024年报告,全球需要近四百万名网络安全专业人才,这一需求创下历史新高。不幸的是,大多数招聘的职位要求至少三到五年的经验。在网络安全老兵的市场上,入门级职位则变得异常艰难。那么,入门级候选人该如何行动呢?而可能的导师又该如何建议他们探讨这一领域的可能性呢?
我通常会参考网络安全专业社区的建议,并建议他们利用生成性人工智能来增强求职能力。
在我的前雇主Enterprise Strategy Group和信息系统安全协会ISSA的2024年研究项目中,有369名网络安全专业人士被问到:“如果你要为想进入网络安全领域的人提供建议,你会给他们什么主要建议?”
以下是前三名回复注:2024年完整电子书《网络安全专业人员的生活与时代》可在这里免费下载:
建议说明寻求实习或导师大约三分之一32的受访者建议求职者寻找实习、学徒或导师,以帮助他们在实践中发展技能和职业计划。获取基础认证超过四分之一26的人推荐获取基础网络安全认证,如CompTIA Security,GIAC 信息安全基础。建立网络十二的专家建议通过在线平台、行业活动如RSAC或Black Hat或专业组织如ISACA或ISSA来扩展网络,参加地方分会活动。注意到,最常见的建议是获取实践经验这是合理的指导,但通常难以实现。除了这一点,我还建议使用生成性人工智能进行尽可能多的模拟真实世界的培训。
我强调的是模拟真实世界的培训,而不仅仅是寻找信息。例如,我可以要求ChatGPT告诉我关于医疗保健行业的网络威胁,或者可以创建更个人化的和现实的提示,如:“我是波士顿地区一家200床位社区医院的网络威胁情报分析师。我应该最关注哪些网络威胁?”如果你以这种方式明确提示,结果将会有所不同。
在这个特定的查询中,ChatGPT给出了一个全面的列表,尽管有点常见,包括勒索软件、内部威胁、医疗设备的威胁等等。然后我询问了哪些威胁行为者的团体我应该关注,它返回了一个包括Conti、LockBit、Charming Kitten等团体的列表。
在我的练习中,我不断询问ChatGPT以获取更多细节,模拟威胁情报分析师的行为。例如,我询问ChatGPT将这些威胁行为者映射到MITRE ATTampCK框架。我还询问了哪些CVE最有可能被利用,最后,我要求它告知
白鲸加速器30天试用
