=Start=
缘由:
我是在看到君哥的「我的CISSP之路」之后才了解的CISSP;犹豫了几天之后,在2017年09月11日在线报的名;前两天,也就是2018年07月19日,请了一天假去北京新世纪日航饭店写字楼11层1153室参加的考试,结果还不错,顺利通过。在此记录一下大体的过程以及学习、复习心得,一来是希望能够帮到需要考CISSP证的朋友,二来是对这段过程做个小结,以免时间长了之后就忘了(毕竟准备了不少时间,除了通过认证之外,还是希望能留下些什么)。
正文:
参考解答:
1. 为什么要考CISSP?
在互联网企业里面做安全有几年了,也有幸经历了安全团队从小到大的一个过程——这期间给我的感触挺多的,其中有一点就是,在互联网企业做安全,(对于大部分人来说)安全技术挺重要的,但绝不是全部,特别是在企业已经有了一定的安全基础之后。如果你不是在漏洞挖掘、安全研究(或某一安全能力专项,比如在GDPR开始生效之后,越来越火的数据安全、安全隐私方向)上有长时间专注的实际研究或是一定的天份的话(可能是我了解的不多,这种情况实际中很少出现),「刚性」安全技术能力的提高就会很有限了。但是,「柔性」安全技术能力的提高却还有很大空间(而且职级越往上对这种能力的要求也越高,很大可能性会比「刚性」的比重更大)。废话说了一堆,其实一句话就可以概括——在我的整个职业生涯规划中,我希望能尽早的接触、了解一些这种「柔性」的安全技术能力。大体上就是:
- 艺多不压身;
- 希望通过在准备过程中的系统性学习和考试检验,迫使自己总结提高;
- 尝试利用书中的理论解答我在实际工作中的一些困惑;
2. 是如何准备的?
先介绍一下个人的背景,本科就是信息安全相关专业,可以算是科班出身,毕业后也一直从事的是安全相关工作,勉强可以算是广大安全从业人员中的普通一员。
因为有以上的背景,所以我考CISSP不完全是为着拿证去的,我主要是希望能在备考的过程中系统性的学习、梳理安全知识,所以,我预约的考试时间和报名时间相隔了10个多月,就是希望能多留点时间「翻翻书」,不全为了考点而看书。大体流程是:
- 一章一章地看《CISSP官方学习指南(第7版)》,每看完一章就整理到博客上,可以方便后续快速查找、复习;
- 在每一章的结尾都会有20道习题,看完了章节内容之后都要做一遍,整理记录错题,对错题进行简单的分类,看是因为题意没看清导致的错误,还是确实就是概念不清楚导致的错误,还有一种错误可能就是实际工作中的一些点与书上的理论不一致——这个要好好注意一下!大概率是理论纠偏实操错误,小概率是题目错误、印刷、翻译问题;
- 通过上面的查漏补缺,会有一些知识点差的比较多,这时候就需要专门补一下,比如我就买了「趣谈网络协议」的课程,好好补一下网络协议方面的知识;
- 中间有段时间工作比较忙,完全没有看书和复习;
- 考前1个半月,开始强化突击,买了一本英文版的《Official Practice Tests》进行做题练习,强化较为模糊知识点的记忆;
- 考前几天,拿着在之前做错的题去背概念、强化记忆;
- 考前一天,准备好干粮和饮料,提前查好交通路线,早点睡觉。
3. 考试过程中有哪些心得/技巧?
- 优中选优,因为一般没有明显错误的选项;
- 多用排除法,有些题目可以迅速排除2个选项,剩下的两个自己拿捏一下,往往正确率还可以;
- 不太确定的时候看看题目的英文,因为有些单词在翻译成中文了之后和原来的意思可能有不小的区别;
- 从概念出发,把你放在题目的场景中,想象你该怎么做、你会怎么做?
- 不要急,慢慢来,时间肯定够(争取第一遍就做好,因为考试前期的精力相对于后面来说会更好一点);
- 实在不确定的时候,先标记下来,后面可能会碰到有的题干会提供一些信息的情况;
- 考试过程中太累坚持不下来的时候,想想已经坚持、努力这么久了,想象再坚持一会就能看到写着Congratulations的A4纸通知,再苦再累也就这一下了,否则还要重来,何必呢?
4. 考完之后感觉如何?
- 一刹那的解脱和放松;
- 考试过了,不代表有任何区别,人还是那个人,但考试通过能起码让自己感觉不是太坏;
- 安全是个持续的过程,安全需要你不断的更新你的知识库,并且你不能仅仅从你的角度出发考虑问题,也不能仅仅从技术角度出发解决问题,安全更多时候面临的是复杂环境,如何做好动态平衡需要做安全的人学习的一门艺术;
- 没有绝对的安全,安全是对风险的权衡,需要根据企业自身的实际情况和需求,将风险降低到一个可以接受/可控的程度、范围;
- 加油,一切才刚刚开始。
参考链接:
- 我的CISSP之路
- CISSP考试一次通过指南(文末附福利)
- 通往CISSP成功之路
- 11月CISSP认证考试一次通过(附学习方法)
- 我和CISSP不得不说的故事(二):你所不知道的CIA
- 如何选择CISSP教材?
- 实用帖: 我如何备考通过CISSP
=END=
《 “CISSP认证通过小结” 》 有 8 条评论
The GDPR Checklist
https://gdprchecklist.io/
https://www.eugdpr.org/
小米李昳婧 | GDPR的合规与实践
https://mp.weixin.qq.com/s/Io1A2dlj8FT57sWSHTNvGQ
欧洲最严合规GDPR影响众多企业
https://mp.weixin.qq.com/s/nEMHu33qfO8GvDqStpVVuQ
对于oscp 有兴趣的人可以了解看看
http://dann.com.br/oscp-offensive-security-certification-pwk-course-review/
https://github.com/frizb/OSCP-Survival-Guide
https://github.com/MattBurmanTyco/OSCP-survival-guide
OSCPRepo – 作者所收集对 OSCP 认证的学习材料,包括命令、脚本、资源等
https://github.com/rewardone/OSCPRepo
https://blog.mallardlabs.com/zero-to-oscp-in-292-days-or-how-i-accidentally-the-whole-thing-part-1/
https://blog.mallardlabs.com/zero-to-oscp-in-292-days-or-how-i-accidentally-the-whole-thing-part-2/
信息安全工程
Ross J.Anderson [https://www.cl.cam.ac.uk/~rja14/]
Security Engineering — The Book
https://www.cl.cam.ac.uk/~rja14/book.html
# 第一版的全英文PDF
https://www.cl.cam.ac.uk/~rja14/musicfiles/manuscripts/SEv1.pdf
# 第一版
https://item.jd.com/37644767260.html
https://book.douban.com/subject/1135012/
# 第二版
https://book.douban.com/subject/7517408/
https://www.amazon.cn/dp/B006QQZNV8
安全之甲方与乙方思维
https://mp.weixin.qq.com/s/OXSF9JpqxBgmotm1DSFukQ
安全从业者存在的意义
https://mp.weixin.qq.com/s/lJiBiGI6uoJRG11T-fx7Dw
甲方IT负责人视角看安全
https://mp.weixin.qq.com/s/ac_to2d59lcD7JdyNdmUSg
安全研究的价值思考
https://mp.weixin.qq.com/s/MxPhRecfqtI97LUGH7bckw
`
# 安全研究都干啥
安全研究并不局限于漏洞领域,但它依然是目前最主流的方向,研究范围也可以包括网络安全、反病毒、大数据安全、业务安全等诸多安全领域。这里主要聊下漏洞领域的研究,看看Project Zero的人主要都在干啥:
总结一下就是(主要指漏洞研究领域,估计很多人只干1、3、4的工作):
1、漏洞挖掘与利用
2、方法论建设
3、技术写作
4、行业交流与合作
5、软件工程化建设,可能是指DevSecOps,包括安全防御策略建设、libfuzzer自动化测试等的应用
# 从招聘职责看研究目的
1、挖掘主流系统/软件漏洞;
2、帮助安全产品提升检测能力;
3、为业务提供技术支持。
# 影响力价值
搞安全研究,普遍都是为了影响力公关(PR),国内外均是如此。
# 商业价值
何为商业价值?就是赚钱嘛!通过安全研究落地为产品,然后拿去卖;也可提供技术服务,比如帮助对IoT、车联网产品等新兴行业产品进行安全测试。产品一般比技术服务更值钱,技术服务经常是一波过,产品却是可以长期收费的,比如IDA一年卖几万刀,用户每年都得交钱,而若只是提供逆向服务,费劲且不持久,赚得还少。如果是漏洞交易,高质量的漏洞利用链也是可以获得不菲的利益。
# 个人保值防老
研究本身就是一种学习方式。相信爱学习的人,最终运气都不会太差。尤其是现在鼓吹35岁中年危机的互联网时代,保持学习是最靠谱的个人保值防老方式。如果保持工作内容不变,那么通常头一年所积累的技术与工作方法足够应付绝大部分工作。若再不搞点有挑战的新工作内容,或者业余做点研究,那就要成为拿着一套技术吃N年的”老白兔”了。持续学习,保持或者超越与年龄相符的技术能力才是王道。
`
从研究者视角看漏洞研究之2010年代
https://mp.weixin.qq.com/s/UBZv0pd7Nr-o-NMxjV53RQ
`
随着2019年进入最后一个月,整个2010年代即将成为过往。过去十年漏洞领域的研究发展,可谓波澜壮阔、精彩纷呈。我屡次提笔试图记录这十年的技术发展,最终都因为这个事情的难度远远超出自己的预想而弃笔。不过有些想法不吐不快,索性简单总结些个人观点,抛砖引玉供人讨论、补充和参考。
1、后PC时代,控制流完整性 (Control flow integrity) 成为新的系统安全基础性防护机制
2、令人“惊喜”的硬件安全特性与硬件安全漏洞
3、旧瓶装新酒,移动设备的安全设计实现弯道超车
4、网络入口争夺战愈演愈烈
5、自动化漏洞挖掘和利用仍需提高
6、总结
2020年代迎来了5G,真正的万物互联时代将到来,漏洞的影响范围会因此越来越广。一方面,核心系统的安全防护会继续提升;面对这些最新、最全面的防护机制,攻击研究的难度会越来越大,高价值漏洞和利用技巧将成为稀缺资源。另一方面,安全防护的短板效应会进一步放大。在万物皆可被攻击的环境里,各种薄弱环节将成为攻击者的首选目标。如何从单点防护扩展到系统化全局防护体系建设可能迎来新的机会。
`
https://paper.seebug.org/1098/
OSCP经验
https://xiaix.me/oscpjing-yan/
`
# OSCP介绍
OSCP是kali linux的开发团队Offensive Security的一个渗透测试认证,和其他认证不同,这个系列的相关课程和考试完全没有死板的文笔考试,都是一个个ip对应靶机的全实战。其课程名称也叫PWK (Pentesting with Kali Linux) ,也就是说在这个认证中用到的大都数工具都是kali自带的渗透工具,也可以当作一个熟悉kali操作系统及其工具的课程。
# 一些坑
确定了POC或者EXP却得不到想要的结果
这个在PWK课程中可能经常遇到,这种时候建议:
1.检查下POC/EXP的代码,注释中的前提条件是否都满足
2.检查下目标的环境,是否改了些程序或者配置
3.模拟靶机环境,最耗时的方法,可能也是最有效的方法,比如FreeBSD系统就和linux系统不同,会导致一些payload失效。
4.revert!环境是多人共用的,存在别人破坏了环境的可能,可以通过回滚还原环境。但请不要频繁revert,因为有每天上限和影响别人做题的可能。
# 考试前的准备
这个必须要强调一下,因为考试是5个ip 时限24小时,满足70分(任意4台或者3台高分目标)就能通过的条件,也就是说与时间赛跑,所以把经常用的命令和脚本准备下能节约不少时间
`