如何成為網路安全架構師?

網路安全架構師負責設計和即時全面的網路安全框架,以保護組織的數位資產安全。他們的工作意義非凡,能夠確保組織在進行數位轉型發展的同時,擁有強大的安全態勢。摩根大通的網路安全營運副總裁、安全架構總監Lester Nichols認為,網路安全架構師將會成為所有現代企業都需要的關鍵性職位。但這不是一份輕鬆的工作,需要多年的技術準備和安全營運經驗支撐。

對於有志成為網路安全架構師的專業人員,透過閱讀由Nichols撰寫的《網路安全架構師手冊》將會充分了解網路安全架構師角色的複雜性以及如何勝任這個角色。 Nichols在書中建議,在成為架構師之前,首先需要在網路運作或安全管理員等早期職位上磨練技能,並熟練以下方面的基本技能和知識:

  • 了解網路。許多網路攻擊都是發生在連接網路的裝置上,因此分析師需要了解有線網路和無線網路以及製定針對性的保護方案;
  • 了解作業系統。幾乎所有作業系統都存在安全隱患,如果非常熟悉MacOS、Windows和Linux及其命令列介面,對勝任網路安全架構師工作將大有助益;
  • 了解程式設計。網路安全架構師的工作並不需要大量編寫程式碼,但是對JavaScript、Python和C/C++等程式語言有一番基本的了解,會使你能夠更好地理解攻擊任務的執行流程,以及該如何擴展系統的功能。

以上方面涵蓋網路安全工作中“80%到90%的髒活和累活”,但是其他高級別網路安全工作都是建立在它們的基礎上。

從初級網路安全職位成長為高階網路安全架構師需要經歷一道道難關。本文摘錄了《網路安全架構師成長手冊》第7章的部分內容,提供了成為網路安全架構師的發展路線圖,包括實現目標的步驟、學習計畫和培訓建議

表一:成為網路安全架構師的成長途徑

對於剛邁入技術職場的安全人員來說,早期角色往往著重於打造核心能力,例如網路、系統管理和基本程式設計。在這個階段,避免過早確定專業化方向,廣泛探索網路安全的周邊領域非常重要。在這個階段,不斷學習新的技術和技能,嘗試網路安全意外的業餘項目,避免自滿是成功的關鍵。 A+、網路+和特定語言程式設計證書之類的認證有助於增強新進業者的行業信譽。

儘早獲得關鍵的認證可以證明核心競爭力。學習指南、練習測驗和線上課程可以為CompTIA A+、網路+和安全+等考試做準備。建議在前兩年每週最早安排10至15小時的學習時間,並實際通過3至4項基礎性的能力認證。學習週邊領域可以培養全方位能力。

由入門級技術角色變成網路安全架構師需要周密規劃、豐富技能,並跟上產業趨勢。雖然這個過程可能從不同的技術領域開始,但最終趨向全面了解網路安全原則。以下深入介紹幾個範例途徑以及量身定制的學習培訓計劃,以便從入門級技術角色開始,發展成為網路安全架構師:

模式一:從甲方安全支援崗位起步

如果是從幫助台支援崗位開啟網路安全職業生涯,您應該先努力成為系統管理員角色,以獲得網路和系統專業知識。空閒時考取網路安全認證,例如安全性+、CISSP和認證道德駭客(CEH)。在此之後的3至5年,可以嘗試改而從事資訊安全分析師工作,並在這個過程中獲得CCSP等專業證書,這樣就有機會負責領導具體的安全工程專案。在經歷7至10年的安全分析師工作後,您就有條件和能力成為網路安全架構師。

自學計劃:

  • 1至2年:重點學習IT基礎概念,並取得A+等證書,避免過早過度專業化。
  • 3至4年:透過網路+等認證深入鑽研網路知識,開始探究網路安全概念。準備並獲得安全+認證。
  • 5至6年:花大量時間研究高階網路安全知識。爭取CISSP和CEH認證。

職位培訓:

  • 參與動手實驗室和實際場景。
  • 加入關注系統管理和網路安全的線上論壇和社群。
  • 參加研討會和會議。

需要注意的陷阱:

  • 局限於非技術支援角色。
  • 沒有及早獲得足夠的實際安全經驗。

模式二:從甲方網路管理工作起步

對於從甲方網路管理崗位工作的人員,應該儘早獲得CCNA等廠商證書,並獲得防火牆配置技能,盡可能多的參與安全方面的活動和政策規劃。工作2至3年後,可申請轉換至安全營運工程師角色。在此階段應該繼續學習考取CCNP安全和CISSP等高階證書,同時找機會獲得雲端和身分管理系統的經驗。經過6年以上的實務技能,你就能初步勝任網路安全架構師的職位。

自學計劃:

  • 1至2年:取得CCNA等基礎網路認證,並學習了解防火牆等常見安全產品的配置和安全協定。
  • 3至4年:加深網路安全知識。取得CCNP安全等認證,加深對雲端安全原理的了解。
  • 5至6年:專注於全面的網路安全原則,爭取CISSP認證。

職位培訓:

  • 參加專門的網路安全培訓課程。
  • 積極爭取參與模擬網路攻防演習。
  • 參加專注於網路安全趨勢和創新的產業會議。

需要注意的陷阱:

  • 長期限於純網路運作方面的角色。
  • 沒有擴展到全面的安全架構和政策制定。

模式三:從安全廠商的軟體程式設計工作起步

如果從安全廠商的軟體程式設計起步,需要在工作中學習累積安全程式設計實務和設計安全架構的經驗。工作之餘可學習系統管理基礎。幾年後,爭取升級為應用軟體安全工程師角色,並獲得CompTIA高級安全從業人員(CASP+)等高級證書,以及獲得審計和滲透測試方面的專業知識。 5年多以後,你可以設計成專注於應用軟體和應用軟體介面(API)安全的首席架構師。

在這個過程中,您需要製定專注於下一個職業階段學習的培訓計劃:旨在成為安全分析師的人可以邊工作邊攻讀中級證書,例如安全+和CISSP。平日晚上學習1至2小時,週末學習4至6小時,這樣可以為6至12個月的認證考試做好充分準備。

自學計劃:

  • 1至2年:在掌握程式設計的同時,開始學習網路安全基礎。攻讀著重於安全程式設計實踐的認證。
  • 3至4年:將重心轉向設計安全架構,深入研究系統管理基礎。獲得CASP+認證。
  • 5至6年:加深應用程式安全方面的專業知識,獲得CISSP等高級認證。

職位培訓:

  • 參加以安全為重點的程式設計培訓班。
  • 參加安全程式設計挑戰賽和奪旗活動。
  • 定期參加有關安全應用軟體設計和開發的工作坊和研討會。

需要注意的陷阱:

  • 沒有在網路或基礎設施方面獲得廣泛的基礎。
  • 任由程式設計技能過時。

結語

無論您進入網路安全領域的技術起點為何,想要成為合格的網路安全架構師都需要多管齊下的學習方法。在過程中,尤其強調持續學習,獲得豐富的技術技能,確保實務經驗,這些都至關重要。如果遵循科學的成長路徑,並避免工作中常見的發展陷阱,專業人員更容易獲得高階網路安全角色,確保在面對架構師崗位工作的挑戰和責任時能夠做好充分準備。成為網路安全架構師的關鍵在於兼顧學習專業證書、動手實驗、相關知識以及前瞻性的新技術,利用所在單位的資源盡可能掌握基礎知識,並避免低階陷阱。

參考連結:https://www.techtarget.com/searchsecurity/feature/How-to-become-a-cybersecurity-architect