定义一个新域
Jon Kuiperij - 2022年5月19日
确保未来:谢里丹校友如何使网络世界变得更美好
约书亚麦克杜格尔
(2008级应用信息科学学士学位)
Slow Ninja Inc.总裁
约书亚·麦克杜格尔(Joshua McDougall)第一次听说加密货币时,他的怀疑态度再强烈不过了。
麦克杜格尔说:“我想,如果我能复制mp3,我就能复制任何比特币。”他回忆起谢里丹应用信息科学学士学位的创始人维克多·拉列维奇博士在他的一次密密学课程上讨论数字货币的潜力,比特币于2009年诞生。
但麦克杜格尔没过多久就意识到,加密货币不仅比音频文件复杂得多,而且还使用了他在谢里丹大学已经掌握的许多相同的安全概念。麦克杜格尔说:“我们的学校教育并没有专门为我们准备数字货币,但它给了我们关于突然组合在一起创造数字货币的所有不同部分的基础知识。”“这让我们能够尝试破解加密货币,也明白了为什么我们做不到。”
“我们的教育……让我们了解了所有不同元素的基础知识,这些元素突然组合在一起,创造了数字货币。这让我们能够尝试破解加密货币,也明白了为什么我们做不到。”
-约书亚·麦克杜格尔
虽然麦克杜格尔职业生涯的前十年主要专注于数字取证和调查,但他也将对数字货币的迷恋运用到几个重要的副业项目中。2014年,他和谢里丹大学的毕业生迈克尔·柏克林(Michael Perklin)创立了加密货币认证联盟(C4)是一家非营利性组织,为执行加密货币相关服务的专业人员提供认证。麦克杜格尔解释说:“在C4之前,招聘经理和职业介绍公司无法像验证网络、安全和会计等其他知识一样,验证候选人是否具备比特币知识加密货币安全标准这已经成为全球加密货币系统使用的安全技术和方法的基准。
麦克杜格尔的另一个兼职加密货币项目最终成为了他的全职工作。McDougall最近辞去了他在Kroll长期担任的网络风险管理职位,以便专注于《Slow Ninja》,这是一家游戏工作室,致力于基于技能的游戏,利用区块链技术奖励玩家。
“我们创造了一个将游戏传说和游戏操作结合在一起的环境。换句话说,玩家社区在运行着游戏。”“游戏也是吸引新用户的好方法,这一直是加密货币领域的一个挑战。人们可以从游戏开始,建立自己的游戏内资产,然后把它们带到交易所购买比特币。这是通往新数字经济的一条轻松的新途径。”
理查德Reinders
(2008级应用信息科学学士学位)
重力支付的安全主管
1997年,14岁的理查德·莱因斯在他荷兰高中的图书馆里,一个朋友问他是否听说过黑客破坏了美国国家航空航天局网站的主页。
“亚历克斯说,‘我想知道他们是怎么做到的’,我无法放下这个问题。我必须弄清楚有人是如何闯入NASA的,”Reinders说。“所以我开始一件又一件地学习如何入侵东西,最终我觉得我也可以在NASA的公共基础设施中找到漏洞。”
Reinders从未验证过这一理论。但几年后,他和应用信息科学学士一年级的同学乔舒亚·麦克杜格尔发现了如何用明文查看学院所有的无线通信,并控制学校发放的笔记本电脑后,他找到了进入另一个主要私人网络——谢里丹网络的方法。
“我们本可以删除那些笔记本电脑上的所有文件,查看教师电脑上的测试,或者像关闭学校的勒索软件一样,”赖得斯回忆道,“但这从来都不是为了赚钱或造成破坏。”相反,Reinders和McDougall立即向他们的教授报告了网络的漏洞,导致了与谢里登大学信息技术(IT)部门的一次会议,Reinders作为IT学生研究顾问的兼职工作,并为谢里登大学的每个人提供了一个更安全的网络。
像这样的双赢一直是赖因斯整个职业生涯的目标,无论是为全球媒体还是科技公司雅虎!,business intelligence software and big data analytics platforms Looker and Sisu, or credit card processing and financial services company Gravity Payments. As a Track, Search and Rescue team leader at Yahoo!, he spearheaded a cultural change in how the company — still reeling after suffering历史上最大的两起数据泄露事件几年前-处理漏洞,导致逾期或未解决的问题在短短一个季度内减少了90%。在lookker,他提出了一个正在申请专利的想法,以提高大数据泄露的调查效率。在Sisu,他通过让第三方机构审查安全措施,帮助公司留住了更多客户。
“让专注于学术的教授和活跃于行业的教授做他们所教的东西……这真是一个很好的组合。”
——Richard Reinders
自2021年成为Gravity Payments的安全主管以来,Reinders已经实施了一种自动化合规性的工具,通过愉快的审计人员提供的折扣,为员工节省时间,为公司节省金钱。
“企业只是希望能够安全地开展业务,不希望出现大的漏洞,所以你需要弄清楚是什么在驱动你的公司,并提出与之一致的建议,”莱因斯说。“太多人忽视了这样一个事实,即你可以通过安全措施让别人的生活更轻松,而不是让他们的生活更艰难。如果我能说服网络安全人员做一件事,那就是弄清楚业务成功需要什么,然后弄清楚如何在获得安全收益的同时支持这些业务。”
阿拉娜Staszczyszyn
(应用信息科学学士19)
量子计算安全研究员
在Security Compass担任渗透测试员的四年时间里,Alana Staszczyszyn发现了无数问题,如果传统的计算机系统没有建立安全漏洞,这些问题本来是可以避免的。现在,由于量子计算机能够快速解决复杂问题,包括有可能破解目前使用的大多数类型的加密越来越接近主流市场在美国,她决心帮助确保历史不再重演。
Staszczyszyn最近开始了一个独立的研究项目,探索网络和设备中过去的漏洞,以及它们如何与支持量子计算的五种新兴技术有关:5G、云计算、物联网(IoT)、人工智能(AI)和区块链。她说:“如果架构中存在固有的缺陷,那么随着架构的成熟,这些缺陷只会蔓延成更多的问题。”“我现在想帮助解决这个问题,这样我们的行业就不会在未来不得不解决问题。”
Staszczyszyn说,建立一个安全的量子计算基础设施需要全员出动。她说:“众所周知,在网络安全行业,私营部门和公共部门之间存在着巨大的差距,这主要是因为私营部门在投资研究方面不受限制。”“我想把每个人的努力结合起来,并把任何已经在更细粒度或技术层面上研究这些问题的学术倡议纳入进来。”
入职不到五年,斯塔兹奇辛就被《环球邮报》(The Globe and Mail)和加拿大广播公司(CBC)等多家主要媒体报道为领先的网络安全专家,以及在传统上由男性主导的堡垒中工作的女性。“如果我必须告诉(对网络安全感兴趣的女性)什么的话,”这位怡陶璧谷艺术学院(Etobicoke School of the Arts)高中毕业生说他在2019年告诉加拿大广播公司,“而是这个行业有每个人才的空间。”
“谢里丹的学位让我们对网络安全有了高层次的理论认识,把它当成一门艺术,而不是只关注实际实施。”
——阿兰娜·斯塔兹辛恩
尤其是如果你能像Staszczyszyn那样,从对经典软件的渗透测试,迅速转向研究量子计算中潜在的安全问题,她将这种能力归功于谢里丹的多面手方法。Staszczyszyn说:“谢里丹的学位让我们对网络安全有了高层次的理论认识,把它当成一门艺术,而不是只关注实际实施。”她在新兴量子计算技术方面的专业知识主要来自她在谷歌和YouTube上自学的内容。“量子使用了一种不同于经典的数学类型——即线性代数而不是二进制逻辑——但它与我们在谢里丹项目中学到的东西相差不远。如果你对物理和数学有敏锐的悟性,它实际上是非常容易获得的。”
杰西Mukundi
(2008级应用信息科学学士学位)
Interactive Brokers高级网络安全工程师
杰西·穆昆迪(Jesse Mukundi)上学时曾是安大略省水务局和黑莓的程序员,毕业后立即被黑莓全职雇佣,现在是一家国际投资公司的高级网络安全工程师。
对于网络安全领域的任何人来说,这都是一份令人印象深刻的简历。但当你知道他在2004年从肯尼亚来到谢里丹之前几乎没有使用过电脑时,你会觉得更不寻常。
“我在图书馆读过编程语言,但我不知道它的语法是什么样的。我唯一一次真正使用电脑的经历是在我叔叔的Windows 95电脑上使用Word、Excel和PowerPoint,”穆昆迪说。他在肯尼亚的一个农村地区长大,那里没有电、自来水和铺路,更不用说互联网了。“当我来到加拿大时,我甚至没有听说过JavaScript。”
尽管如此,Mukundi在Sheridan的计算机科学文凭课程上只花了一天时间,然后在Sheridan的学术副总裁Maureen Callahan和应用计算与信息管理学院副院长Lenore Edmunds的建议下转入新的应用信息科学学士学位(BAISc)——两人都认为学位将为他提供更好的职业机会。
对一些人来说,要赶上已经熟练掌握BASIC语言和Linux的同龄人可能令人望而生畏,但对一个上幼儿园时步行5公里上学的人来说就不是这样了。穆昆迪花了无数个小时在课外学习,师从网络学教授法迪·沙拉比和一位导师,他通过了第一年的每门课程,甚至第二次选修Java编程课程——推迟了暑假回肯尼亚的旅行——目的是把自己的成绩从D提高到a。“他鼓舞了其他学生,”埃德蒙兹回忆道。“他有时会挣扎,但他从未说过‘我不干了’。’他只是更努力了。”
“拥有谢里丹强大的安全背景帮助我与许多不同的团队合作。我一直都知道人们在谈论什么,以及涉及的不同方法。”
——杰西·穆昆迪
第二年夏天,穆昆迪在安大略省电力局(Ontario Power Authority)做了三个月的Java软件开发员,这段经历最终帮助他在大学三年级毕业后在黑莓(BlackBerry)获得了八个月的实习机会。穆昆迪说:“他们让我做什么,我都准备好了。”他实习期间的大部分时间都在对新技术进行安全测试。黑莓同意了,在穆昆迪在谢里丹大学的最后一年为他提供兼职工作,并在他毕业后立即全职聘用他。
穆昆迪将在黑莓工作14年,其中大部分时间是高级网络安全专家。今年早些时候,他接受了总部位于康涅狄格州的金融服务公司Interactive Brokers的高级网络安全工程师职位。他说:“拥有谢里丹强大的安全背景帮助我与许多不同的团队合作。”“无论是风险评估、合规、治理还是网络取证,我一直都知道人们在谈论什么,以及涉及的不同方法。”
乔尔·鲍尔斯
(2008级应用信息科学学士学位)
Kroll Cyber Security, Inc.加拿大董事总经理
当乔尔·鲍尔斯(Joel Bowers)在2004年转入谢里丹大学的应用信息科学学士学位时,他从未想过自己有一天会管理一家全球网络安全公司的加拿大业务。
鲍尔斯说:“我在计算机科学技术文凭课程中没有学到任何新东西,我认为如果我成为一名系统管理员,获得一个以安全为重点的学士学位可能会帮助我保持服务器更安全。”
当鲍尔斯发现数字取证时,他的职业规划迅速改变。数字取证是当时新兴的一个领域,涉及对计算机进行梳理,以寻找可用于民事和刑事调查的证据。“在我来谢里丹之前,我从来没有听说过计算机取证,”鲍尔斯谈到由前长期皮尔地区警察调查员约瑟夫·科尔森(Joseph Coltson)建立和教授的二年级课程,“现在我每天都在这门课上工作了15年。”
鲍尔斯在该领域的第一份工作也是在科尔森手下,先是在毕马威(KPMG)——他和同学尼克·约翰斯顿(Nick Johnston)和约书亚·麦克杜格尔(Joshua McDougall)一起做实习生,然后被聘为全职员工——然后在奥克维尔的Harvester Forensics工作。2012年,当Duff & Phelps收购Harvester时,鲍尔斯负责其全国法医技术业务,负责监督一个由大约20名员工和300名承包商组成的团队,他们提供数字取证和诉讼支持服务。鲍尔斯说:“我在当地的团队几乎所有人都是谢里丹大学的毕业生。“凭借他们在谢里丹学位中学到的所有一般技能,我知道他们将带着一些想法准备好应对任何情况。”
“谢里丹的课程绝对领先于当时的时代。这是一群人试图弄清楚这个行业,这个项目的结构为我们提供了一个很好的样本,让我们可以进入各个领域。”
——乔尔·鲍尔斯
鲍尔斯职业生涯的亮点之一出现在2013年,当时他的专家证词帮助一家大型好莱坞电影公司从一家网站获得了1000万美元的反盗版和解协议,该网站根据一个流行的电视节目播放剧集并销售盗版商品。鲍尔斯搜查并扣押了疑似运营商的住所,然后进行了法医技术分析,发现了证明该工作室说法的关键证据,从而做出了加拿大历史上最大的反盗版判决之一。
“我一直很喜欢这份工作中解决问题的部分。你永远不知道自己会遇到什么情况。”鲍尔斯说。2018年,《个人信息保护和电子文件法案》通过,要求企业向联邦政府和所有受影响的个人报告涉及个人信息的安全漏洞,他的主要工作重点转向了数据泄露审查。“如今,勒索软件是一个大问题,在此之前,商业电子邮件是一个大问题。我们不知道接下来会发生什么,但总会有另一个网络威胁给人们带来问题。”
Preeti Dhawan
(应用信息科学学士15)
管理,风险和合规(GRC)经理,支付加拿大
早在普里蒂·达万(Preeti Dhawan)考虑从事网络安全行业之前,她就意识到公开太多个人信息的风险。
达万回忆说:“九年级的时候,我和一位同学随意交谈,当我提到一些我知道的关于他私生活的事情时,他变得警觉起来。”“我告诉他,‘我不知道你为什么这么沮丧。在之前的对话中,你已经和我分享了各种各样的信息。我只是把拼图拼在一起,现在我把它呈现给你。’”
作为一名网络安全和隐私专业人士,达万在她的职业生涯中保护了一些非常重要的拼图。在2022年春天成为加拿大支付的GRC(治理、风险和合规)经理之前,她花了两年时间为加拿大政府保护受保护的资产和信息,担任贝尔的安全和隐私官。Dhawan还曾在加拿大出口发展公司工作,她为该公司定义和开发了各种网络安全标准,并为eHealth Ontario工作,在那里她将400多家医疗保健机构纳入省级电子健康记录(EHR)系统,并确保遵守安全法规。
信息隐私(个人保护个人数据的权利)和网络安全(如何保护数字数据)的逐渐融合,使达万能够在一个传统上只有律师才能从事的领域工作。达万说:“我们开始看到越来越多的隐私工作岗位要求有网络安全背景,或者至少了解网络安全标准。”达万同时也是渥太华分会主席,也是世界上最大的信息隐私社区——国际隐私专家协会(International Association of privacy Professionals)培训咨询委员会的成员。“到目前为止,拥有隐私背景和网络安全背景对我的职业生涯帮助很大。”
“当我开始学习风险评估、审计和取证等课程时,我就知道自己想要做什么。我很感激有(杰出的)教授……他们是我的支持系统和导师。”
- Preeti Dhawan
对于一个18岁加入谢里丹网络安全学院时没有任何计算机编程经验的人来说,这是一个了不起的提升。达万说:“我一直以为自己会成为一名医生、精神科医生或律师,但在高中最后一年我有点迷失,决定我可能想成为一名黑客。”达万第一次去谢里丹上课时没有带笔记本电脑,因为她不知道应该买哪一种。“当我开始学习风险评估、审计和取证等课程时,我就知道自己想要做什么。我非常感激像已故的维克多·拉列维奇博士和尼克·约翰斯顿这样的教授,他们是我的支持体系和导师。有很多挑战,但如果我有机会再做一次,我绝对会这么做。”
约翰·辛普森
(应用信息科学学士15)
Veracode的高级安全研究员
约翰·辛普森(John Simpson)年轻时的大部分时间都在冰上度过,训练成为一名全国排名的花样滑冰运动员。但当辛普森没有在做他的提升、拉拽和窗帘时,你经常会发现他坐在电脑前,试图让软件以开发人员意想不到的方式运行。
“我基本上是在互联网的肮脏地带长大的,”辛普森说。“我被黑客文化所吸引,不是因为我想对别人做坏事,而是因为我着迷于人们如何让计算机做一些本不应该做的事情。”
辛普森花了一段时间才意识到,他可以把这种魅力转化为一份有价值的职业。花滑的要求使他在高中毕业时无法继续接受高等教育,在放弃了他的竞技冰鞋后,他在零售业度过了十年的不愉快工作,直到看到谢里丹应用信息科学学士学位的广告。
如今,辛普森是Veracode的高级安全研究员,Veracode是一家应用安全公司,为全球2500多家客户提供服务。他没有设计针对软件漏洞和缺陷的防御措施,而是帮助Veracode构建工具,从一开始就防止开发人员编写易受攻击的代码。辛普森说:“我们已经从所有这些阻止黑客的防火墙和检测应用程序转变为,‘好吧,如果我们安全地编写软件,很多事情就没有必要了’。”“许多黑客攻击的根本原因是代码编写不当,这听起来可能是一个简单的解决方案,但这是一个巨大的问题。说到底,软件是人写的,人也会犯错。”
“我由衷地感谢谢里丹的项目帮助我获得了这个职业生涯。这真的改变了我的生活。”
——约翰·辛普森
具有讽刺意味的是,正是辛普森想要找到方法来利用这些错误——而不是阻止它们——才把他吸引到网络安全领域。“从第一天开始,我就想成为一名有道德的黑客,但渗透测试最终并没有满足我解决技术难题的渴望。我想要一个更大的挑战,”他说,他认为谢里丹学位的多面手方法让他看到了该领域的许多其他职业机会。
辛普森每年作为该项目大型学生俱乐部ISSessions的客座演讲者向谢里丹学生提供的建议是保持开放的心态。“不要害怕频繁改变,尤其是在你职业生涯的早期,”该俱乐部的前联合主持人说。“在不同的网络安全领域工作将帮助你了解你喜欢什么,不喜欢什么,这就是你如何决定你在这个行业中的位置。”