作者簡(jiǎn)介：

Roger A. Grimes

Roger A. Grimes 持有40多種計(jì)算機(jī)科學(xué)與技術(shù)認(rèn)證，撰寫了10本計(jì)算機(jī)安全圖書。自1987年起，從反匯編早期DOS病毒開始，一直奮戰(zhàn)在抗擊惡意軟件及惡意黑客第一線。他專精主機(jī)防護(hù)，接受財(cái)富100強(qiáng)及中小企業(yè)的安全咨詢。作為行業(yè)演講者和教育者，Roger目前在KnowBe4工作，擔(dān)任數(shù)據(jù)驅(qū)動(dòng)型防御傳道者。

[[261255]]

Roger A. Grimes 自1987年起就從事IT行業(yè)了，剛開始是PC故障診斷員和安全顧問，后來一步步從培訓(xùn)講師、網(wǎng)絡(luò)技術(shù)員、網(wǎng)絡(luò)監(jiān)管員、網(wǎng)絡(luò)及技術(shù)總監(jiān)、IT副總裁、首席安全架構(gòu)師一路走來，最后成為了傳道者。期間他一直在跳槽，但有時(shí)也會(huì)在同一家公司待上十年。他招聘過數(shù)百名員工，看過數(shù)千份簡(jiǎn)歷，也辭退過幾十個(gè)人。在IT職業(yè)道路上，他有很多的感悟。

Roger A. Grimes 在需具備哪些特質(zhì)才能享受輝煌長(zhǎng)青的IT安全職業(yè)生涯方面可算是頗有心得。其中最重要的有以下7個(gè)：

1. 積極主動(dòng)

招聘經(jīng)理對(duì)能進(jìn)入到面試環(huán)節(jié)的應(yīng)聘者所需具備的品質(zhì)有自己的一套最低標(biāo)準(zhǔn)。只要你坐到了面試的位置上，能否被聘用就看你是不是個(gè)有主見，做事主動(dòng)的人了。

所有雇主都希望招聘到的人能夠不用自己操心就會(huì)做好交待下去的事。如果我面試的人讓我覺得他們不僅聰明能干，還能讓我的生活變得更加輕松，那我會(huì)盡我最大的努力讓他們成為我的雇員。這些做事積極的應(yīng)聘者讓我的事業(yè)一帆風(fēng)順，他們不推諉塞責(zé)，而且能夠快馬加鞭地把事情做好。

我經(jīng)常聘用那些不具備所有必備技能和知識(shí)的人，因?yàn)槲抑浪麄兡芎芸爝m應(yīng)，而一旦他們具備了必備的知識(shí)和技能，就會(huì)變得非常優(yōu)秀。雇主最喜歡聘用那些能干而有上進(jìn)心的人。你只要提出要求，他們就知道該怎么樣推進(jìn)這件工作，而不需要你手把手地教導(dǎo)并敦促。

2. 學(xué)習(xí)并展示所知

這條歸結(jié)到學(xué)歷或證書。二者兼而有之更好。雇主想知道自己招聘到的人具備工作所需的知識(shí)，了解自己將要從事的工作。大多數(shù)雇主，在初篩之后都會(huì)想要應(yīng)聘者具備相應(yīng)的知識(shí)和經(jīng)驗(yàn)。沒有哪個(gè)雇主會(huì)僅看中一種學(xué)習(xí)類型。

學(xué)位或證書確實(shí)能說明一些自學(xué)和經(jīng)驗(yàn)所不能說明的東西。一個(gè)學(xué)位或一張證書并不意味著持有者在特定領(lǐng)域更加聰敏，但確實(shí)能反映出目標(biāo)設(shè)置、規(guī)劃管理和成功上的一些傾向。這些品質(zhì)只會(huì)是加分項(xiàng)。

另外，最好的雇員會(huì)結(jié)交所需知識(shí)領(lǐng)域里比自己更強(qiáng)的人。如今這個(gè)互聯(lián)社會(huì)里就更容易做到這一點(diǎn)了。無論你關(guān)注的安全領(lǐng)域是什么，你都可以加入多個(gè)群組，關(guān)注多個(gè)博客、網(wǎng)站，傾聽相關(guān)專業(yè)人士都在討論什么話題。即便你不認(rèn)為他們?cè)谀撤矫娑帽饶愣?，總能學(xué)到點(diǎn)兒什么。想變得更聰明?那就多跟比你聰明的人玩。

3. 每5-10年重塑一遍技能

這是最重要的建議之一。25年前，我很擅長(zhǎng)反匯編DOS計(jì)算機(jī)病毒。1990年代，我成為了宏和電子郵件病毒大師。進(jìn)入新世紀(jì)，我盡我所能地學(xué)習(xí)了有關(guān)Windows病毒的一切。2010年代，我開始關(guān)注高級(jí)持續(xù)性威脅(APT)、犯罪軟件和活動(dòng)目錄(AD)安全，并隨著云技術(shù)的興盛而推進(jìn)到云安全領(lǐng)域。

IT領(lǐng)域每5-10年大變樣。所以你的技術(shù)也應(yīng)該每5-10年翻新一次。這可以確保你總是最新趨勢(shì)的專家。但不是所有一時(shí)的風(fēng)潮都能成為長(zhǎng)期的趨勢(shì)，就像90年代進(jìn)入手機(jī)市場(chǎng)的蘋果和微軟 (還記得蘋果Newton和微軟 Windows CE 掀蓋式手機(jī)嗎?)

其中關(guān)鍵就在于分辨哪種技術(shù)具備持久耐力。我的首要原則就是：如果多家公司傾注巨資(如虛擬化和云技術(shù))，那這股風(fēng)潮很可能就是長(zhǎng)期性的。遵循這條原則或許不能保證100%正確，但絕大多數(shù)時(shí)候都是很管用的。

那么，當(dāng)前有什么新興技術(shù)頗具潛力呢?量子計(jì)算!幾十個(gè)國(guó)家數(shù)百家公司在量子計(jì)算上上百億地砸錢，趨勢(shì)已經(jīng)非常明顯了。還有一個(gè)例子：容器和微服務(wù)。每種新興技術(shù)都會(huì)引入自己的安全問題和挑戰(zhàn)，只要未雨綢繆，你就能成為該技術(shù)的專家——這種專業(yè)技能就是盈利的保障。

4. 磨礪溝通技能

良好的口頭交流與書面表達(dá)能力能令你脫穎而出。股神巴菲特就強(qiáng)烈建議人們都修煉好溝通能力。作為極客，即便溝通能力不佳也能謀得一份工作，但這需要潛在雇主不在意這一點(diǎn)并費(fèi)心發(fā)現(xiàn)你的技術(shù)才能才行。

我已經(jīng)寫了10本關(guān)于計(jì)算機(jī)安全的書了，雜志文章更是發(fā)表了上千篇。最初的時(shí)候，我開始寫作是因?yàn)樽约簩懽魉胶茉愀狻偣ぷ鲿r(shí)就有一位雇主告訴了我這一點(diǎn)。直到現(xiàn)在，我的文章要發(fā)表也需要再做大量編輯工作，電子郵件里面更是經(jīng)常出現(xiàn)拼寫錯(cuò)誤。但不得不寫的過程讓我成為了更好的書面溝通者。而且，一旦開始寫計(jì)算機(jī)安全方面的文章，你就必須去學(xué)習(xí)更多相關(guān)知識(shí)。

5. 理解安全的地位

必須要認(rèn)清計(jì)算機(jī)安全的真正地位。有時(shí)候，在我們那缺乏遠(yuǎn)見的世界觀中，我們能看到的只有不斷上升的風(fēng)險(xiǎn)和人們對(duì)數(shù)據(jù)安全保護(hù)工作的長(zhǎng)期無視。這些人但凡肯多聽取一點(diǎn)計(jì)算機(jī)安全專家的建議，他們的自我防護(hù)都能做得更好。

一旦你認(rèn)識(shí)到計(jì)算機(jī)安全不是大多數(shù)公司企業(yè)或用戶的最主要考慮，你就能理解自己所做任何事背后的機(jī)制。以生活中常見的金融交易為例。用戶不過是掏出信用卡，插入讀卡器，簽個(gè)誰都不會(huì)認(rèn)真核對(duì)的名字，完事兒。這是純粹的安全舞臺(tái)。銀行和幾乎每家金融機(jī)構(gòu)都接受這種只用最起碼的驗(yàn)證就能花錢的卡。大多數(shù)情況下這種機(jī)制是可行的。

當(dāng)然，這些交易還是有很多安全監(jiān)管的。只要信用卡公司發(fā)現(xiàn)可疑交易，交易就會(huì)被暫停，要求更多驗(yàn)證才能繼續(xù)。但相比100%杜絕欺詐交易，銀行更喜歡用戶能長(zhǎng)期持有并使用他們的卡——方便快捷的使用體驗(yàn)才能獲得用戶青睞。

每項(xiàng)生意背后都有其商業(yè)機(jī)制。計(jì)算機(jī)安全固然重要，但并不是商家的頭號(hào)考慮。公司企業(yè)的首要目標(biāo)是盈利，除此以外都是次要考慮，包括計(jì)算機(jī)安全。事實(shí)上，除非吃到苦頭，否則公司企業(yè)才不會(huì)認(rèn)真考慮計(jì)算機(jī)安全的價(jià)值。越早認(rèn)識(shí)到這一點(diǎn)，你的職業(yè)道路能走得越順暢。最好的IT安全人士都知道什么時(shí)候該說，什么時(shí)候該聽。

6. 慎選戰(zhàn)場(chǎng)

做出安全/可用性上的取舍在所難免，很多時(shí)候都會(huì)覺得公司以盈利為名對(duì)安全漠然置之。我都記不清自己有多少次極為反對(duì)公司無視安全風(fēng)險(xiǎn)的商業(yè)決策了。

但這些 “錯(cuò)誤” 的商業(yè)決策很少招致真正的安全事件。安全不是非此即彼的，而是關(guān)于風(fēng)險(xiǎn)的權(quán)衡。如果你堅(jiān)信某種理念，說出來。然后，不要再管自己的看法，遵從公司的商業(yè)決策。只有當(dāng)你絕對(duì)準(zhǔn)備好付出你的政治資本時(shí)(你擁有的政治資本永遠(yuǎn)沒你認(rèn)為的那么多)，再據(jù)理力爭(zhēng)。但即便到了這種時(shí)候，也要學(xué)會(huì)適時(shí)讓步。

我周圍曾有無數(shù)超級(jí)聰明的計(jì)算機(jī)安全專家，他們?yōu)樽约赫J(rèn)為值得的每一件事力爭(zhēng)到底。但無論他們有多睿智，他們的抗?fàn)幫ǔ６贾粫?huì)導(dǎo)致自己失去這份工作——要么被炒，要么辭職。如果你想每幾個(gè)月就換一份工作，盡管去戰(zhàn)斗。否則，慎選戰(zhàn)場(chǎng)，保持事業(yè)長(zhǎng)青。

7. 享受你的事業(yè)

計(jì)算機(jī)安全世界有很多賺錢的途徑。我的首要建議是：選擇你真正喜歡的領(lǐng)域。只有真正喜歡，你才能不僅干得更好，還能在做繁瑣事務(wù)的日子里(文書、預(yù)算、開會(huì)等等)也保持繼續(xù)下去的動(dòng)力。能干自己想干的工作是極其幸運(yùn)的事，世上很少有人能做到(否則職業(yè)足球隊(duì)、籃球聯(lián)賽的規(guī)模會(huì)大上很多倍)，但你可以選擇所從事行業(yè)中自己最喜歡的部分。

我很幸運(yùn)。我遵從，或者說學(xué)會(huì)了這些原則，成就了成功的IT職業(yè)生涯。其中一些原則我是提前學(xué)會(huì)的，另一些則是慘痛的教訓(xùn)教會(huì)我的。如果你走心閱讀這篇文章，相信你會(huì)有一段愉快、成功又持久的職業(yè)生涯。祝你好運(yùn)!