对新毕业的学生来说，尤其是没有任何IT工作经验的人，想要在网络安全领域找到第一份工作并非易事，因为比起IT其它领域，网络安全，即使是初级职位，对于候选人的知识掌握程度要求都是极高的。一个熟悉网络基础知识的毕业生可以轻松获得一份初级网络工程师的职位，但是想要在网安领域获得成功，不仅需要网络安全专有的基础知识，还需要对ICT环境中几乎所有设施和技术有基本的理解，毕竟，一个对人假如无法理解这些ICT设施和技术的工作方式，那么保护它们的安全也就无从谈起了。这篇博客主要分享一些我个人的见解，为打算从事网安工作的初学者和爱好者提供一些建议，以帮助他们在这个行业有机会获得自己的第一份工作。网络安全分析师常常是网络安全职场发展的起点，因此我们就围绕这个职位的需求来谈。

壹. 具备基础知识和技能

知识和技能永远是获得技术型工作的基石，无论是通过大学学位还是专业培训，进入网络安全行业都需要向雇主证明自己具备充分的知识以胜任组织对该职位的需求。在这里我总结了一些满足网络安全分析师的基本知识和技能。

a. ICT基础知识

正如前文所说，网络安全的基本内容是保护组织的ICT资产安全不受破坏，因此理解和熟悉IT基础设施是完成这一目标的前提，这些知识包括操作系统、网络、AD域、云（AWS/Azure）、虚拟化等。理解它们的工作方式，更容易理解针对这些技术的攻击和保护措施，并在工作中及时发现其中的“反常”行为，从而能够探测到可疑行为，并采取妥善的措施来应对攻击。值得一提的是，由于大部分时候安全分析师是通过日志来了解环境中发生的事件，因此除了理解这些技术的原理和工作方式，可以理解分析它们的日志显然也是很重要的，尤其是与安全有关的日志（例如Windows的Security日志和Sysmon日志）。另外，由于在工作中有时候也需要编写一些脚本完成自动化，以提高工作效率和重复性工作给分析师带来的痛苦，因此，可以用bash、Python、powershell这样的简单的语言编写脚本程序也是不可或缺的。

b. 安全控制基本知识

安全控制泛指组织采取的所有用来保护ICT资产的保护措施，不管是技术性的（如防火墙、组策略、DLP、EDR等）还是非技术性的（如流程、安全审计），不管是物理性的（如围墙边界、CCTV）还是非物理性的，全部都包括在其中。理解安全控制的工作原理、能够防御的威胁类型、部署和维护方式，以及配置策略和日志都是非常重要。

c. 任务流程和工具

分析师需要在SOC中完成特定的任务，因此了解这些任务的基本目标、工作流程、与其他角色或团队的合作方式、使用的工具和技术方法也是必要的。关于SOC中的不同职能和工作内容，之后我会单独写一篇文章来讲；而技术工具基本离不开基本的ICT工具和各类安全控制。

d. 理解攻击和对手

如果想要防御真正的威胁对手，仅仅知道理论知识是不够的，只有对他们真正使用的 TTPs （tactics，techniques, procedures）有基本的了解，才能知道在事件发生前该如何制定策略防范它们以及在事件发生后该如何对安全事件进行具体的处理和响应。threat profile、threat modeling 以及掌握基本的hacking技术对安全分析师也是必要的。

e. Soft Skills

由于安全分析师常常需要与网安部门内部的其他人员协同工作（如其他职能的人）也需要与外部人员协同工作进行交流（如用户、IT部门、管理层），因此，在技术知识和技能以外，团队协作和交流能力（书面和口头）都是非常重要的，尤其是在和不同专业背景的人合作时，往往交流会更容易出现障碍，因此选择恰当的表达方式和技巧在这个行业也是必不可缺的技能。

贰. 形成事件调查方法

对ICT环境中的威胁进行监控和调查是安全分析师最主要的日常工作内容之一，当遇到一个警报时，有明确的思路能知道如何开始调查、检查哪些日志和信息、在哪里和如何获取调查所需要的基本信息、以及如何根据已知的信息快速进行准确高效的判断，这对于能否胜任安全分析师的工作起到决定性的作用。理解威胁攻击方式和原理、理解Cyber Kill Chain的步骤、熟悉ATT&CK框架和常见的TTPs、熟悉ICT环境和网络安全控制工具、熟悉ISO27001框架和组织的安全策略等内容对于事件调查都有不小的帮助。

叁. 找到自己擅长的领域

尽管网络安全分析师基础性的工作是一样的，但是由于每个人的专业背景、行业经历以及个人兴趣不同，在具体任务中的擅长领域和未来职业发展方向是不一样的。例如，具备云背景的分析师对云的底层工作原理理解更深，在工作时针对云环境中发生的事件具备更好的能力进行相应，也可以协助设计和制定关于云安全更合理的安全控制策略、工作流程、IR playbook等其他内容。根据自己的背景和喜好找到自己擅长的领域加以发展，不仅在找工作时能获得加分，在后续的职业发展也会很有帮助。

肆. 获取证书和实践机会

在第一个部分我们列举了一些网络安全分析师必备的知识和技能，显而易见的事，不管是大学还是任何一个单一的培训机构，都很难提供一个初学者所需的所有必备技能（如果有人宣称可以一次性教给你所有你工作需要的全部技能，快逃！这家伙一定是个骗子）。因此，对自己的知识和技能范围有一个清晰的认知，可以在此基础上通过其他方式来弥补不足。我比较推荐两种方式：行业证书和实践机会。

先说行业证书。我个人是非常喜欢通过考行业证书来进行学习的，即使不打算考它们，我也会利用他们的课程结构和材料进行学习，因为这些证书的学习内容往往更具结构性、内容安排更合理，并且它们会随着技术和知识的发展来更新它们的学习材料，对于学习者来说是一种方便且高效的学习方式。对于有一定IT知识背景的基础、想通过证书积累知识的初学者，我有两个建议：第一在时间充裕的情况下尽量放弃中国传统的应试教育的学习模式，要对学习的知识内容建立起稳固的理解（我非常推荐使用mind map和略写的笔记来帮助学习和记忆）。第二个证书的选择上，个人建议采用1+2+1模式，即一个核心厂商中立证书、两个个 厂商证书和一个安全特殊领域证书。核心证书可以根据自己的知识水平选择Security+（初级）或者CySA+（中级）或者其它同类型证书；厂商证书建议选择市场占有率高的厂商（如CiscO、Microsoft、Splunk、Amazon等）同时这类证书的选择要考虑自己focus的领域，如网络、云等；特殊领域证书是在投递analyst职位时展现的额外优势以及未来方向，例如渗透测试、安全事件响应、电子取证等。

再来说实践机会。实践机会包含的范围比较广，包括实习、网络安全项目以及CTF竞赛等。tryhackme和hackthebox等一系列线上网站对初学者比较友好，是很好的通过实践上手提升技能的方式。同时，由于大量开源系统、程序和工具的存在，在家自己搭建一个home lab则是更具挑战也更复杂、有趣的方式之一，在自己的lab里你几乎可以以任何你喜欢的方式去部署一个系统，并且尝试利用其中的安全漏洞来做你喜欢的事，几乎没有限制。而对于找工作最有效的，莫过于获得实习经验，因为它可以让你有机会在真实的企业环境中处理实际发生的工作内容，同时也是建立人脉的好方法。

伍. 社交

以我个人和身边人找工作的经验来看，找工作内推的成功率会比投简历高很多，因此和行业内的人建立起networking是非常有必要的，不管是加入行业协会/组织（澳大利亚首先推荐AISA）、参加行业event、和老师打好关系、亦或是和实习同事建立良好持续的关系，都很有帮助。这些大佬不仅可以给你带来更多的工作和实习机会，也可以分享知识和技能、理解当下行业的发展趋势或者答疑解惑，从他们身上学到很多学校学不到的东西。