=Start=
缘由:
身为信息安全行业从业人员,多了解了解前辈的指导性总结肯定是没错的。每天少看点和工作/专业不相关的内容和网站,多琢磨琢磨文章中提到的内容对自己的成长会更有实际意义些。
正文:
为了减少篇幅有些东西就略过不写了,可以参考我以前写的《信息安全从业参考》《信息安全的职业生涯》《CSO的生存艺术》等老文章,或者我记得在安言的论坛上有人对我写的话题展开和补充并重新成文,具体记不太清了,但应该也是可以参考的。
我个人没有能力去预言安全产业的发展,但职业毕竟是个跟产业相关性比较大的话题,所以也适当援引一些个人观点吧。从甲乙方说起,乙方分为2B和2C两类,这里主要说2B的部分,因为2C中的大部分更适合归入互联网行业。IDC的报告称2018年中国企业安全市场约200亿RMB,相对于互联网,游戏等其他领域而言显然是个很小的市场,所以安全公司不会像互联网领域的创业公司一样遍地开花,会受到整个市场容量的限制,对于乙方如果不是360,那就是启明绿盟天融信这类公司了(名字太多不一一列举,如果你所在公司营业额很高而未出现在此列请不要生气,这里并无意去关注具体的公司)。有人会说以后乙方可能还会有BAT诸如阿里云这些,没错,但从做的事情而言,即便阿里云成了乙方,阿里云安全成了乙方安全,但实际上做的事情对于从业者而言还是甲方做的那些事情,因此在这里就不把他们归入乙方了。对于乙方做的事情,从厂商角度看可能会有一系列的产品和服务的创新,但对于从业者而言其实跟以前差不太多,至少在可见的时期内还是以前文章里写的那些,还看到不到质的变化。如果你一定要在乙方寻求点不同的体验,那就去所谓的互联网安全公司的非传统安全业务或者去传统安全公司的互联网业务线。撇开乙方看甲方,应该是比较乐观的,这是一个跟企业安全市场盘子无关的领域,随着企业开始重视安全,甲方会有更多的安全职位,并且安全职位会多样化,这里应该是一个比较广阔的空间。甲方乙方之外是学术研究领域,对那片土地不是很了解,本文就仅限于工业界吧。欢迎学术界和高校院墙之内的同学们补充。(至于黑产和国家队,本文就不打算写了,毕竟大部分人不会走这条路,我只知道那也是一个很神奇又有点奇葩的世界,如果你有潜质,仅这一句话就能把你引向那里)
先退几步,如果你尚在考虑要不要进入这个行业,我可以提供几点参考。据我和朋友们观察,10多年以来在同一个公司同一个级别上的工程师,大多是安全比运维和开发的工资高,但CTO大多来自运维和开发,鲜有从安全晋升来的。原因不难理解,安全在不少场合都不是必需品。好或者不好因人而异,事实上身边还是有很多安全技能很高的人表示如果再给一次选择的机会,可能不会选择安全,这其中包括你们耳熟能详的大牛们。有一个方法可以自测一下,如果你内心深处都没有偶尔想入侵一下,黑一下,一探安全究竟的时候,我建议你还是考虑其他安全以外的行业,你在这个行业能发力的可能性不大。
从从业者的构成看,我认为可以分为黑客圈,安全圈和安全圈的外围。黑客圈无论你喜欢叫他白帽子还是什么总之就是以攻防技能为主线并以此出卖自己知识的人,安全圈跟黑客圈交集很大,也包括那些在安全行业的主要力量但却不是白帽子或黑帽子出身的人,这两者构成了安全行业的核心,即本质上安全行业是由理解网络攻防的人为核心构成的,外围是什么呢,随着安全需求的多样化,安全会引入大量跟攻防不直接相关的人,比如做业务安全数据分析,运维hadoop集群或做BI的开发,或者做安全产品开发,这些人本质上不是跟安全行业强绑定的,例如有的人做安全产品的UI开发,换做去其他行业也一样做UI,做业务安全数据分析的去非安全的业务部门一样做数据分析,不是严格意义上安全行业的人。只有以攻防为主线,和以安全咨询体系为主线的人才是跟安全行业绑定的,这些人需要考虑终生投产比和基因决定理论的影响,其他的外围看官们理论上跨行业更容易些。在当前时间点看,安全圈是一个很小的圈子,不是远小于,是远远小于运维和开发圈,江湖味道更浓,有时候也颇具文人相轻的味道,不过好的一面是互联网公司之间安全团队的交流越来越平,除了直接敌对公司外,大部分人都朝着更加开放的互联网沟通和分享文化迈进。说了这么多,如果你想进入安全行业,并且成为中流砥柱,那么知识结构和背景技能应该和攻防技术强相关,这条线不保证你容易成为高管,但从统计学角度能保证你不偏离行业的核心。
插几句谈一下安全管理的趋势,因为这个会影响从业者的价值观和学习方向。我个人认为的几个趋势:
1.企业安全管理最终都会向互联网公司学习–未来大多数公司都会复制自己业务到互联网,也就是大多数企业都会拥有互联网的属性。从现在看,互联网公司的安全管理方法论是领先传统公司整整一个时代的,完全不在一个量级上。你还在做传统的安全吗?夸张一点说你就快不属于这个行业了
2.向云迁移–云是一种趋势,虽然我不认为短期内马上会有非常多的公司将自己的业务迁移到公有云上,或者从头打造私有云。但是云计算折射出的IT管理方式,技术架构却会越来越成为安全管理的风向标,例如分布式IDC管理,虚拟化,SDN,海量运维生态,业务伸缩,大数据,高度自动化,敏捷发布……等很多带着时代标签的东西,安全管理体系的设计和产品化落地需要越来越多的围绕这些特性标签展开工作,如果你没有这方面的经验,也会逐渐out
3.倾向于以技术和产品(工具自动化)解决问题,而不再是以前宣扬的七分管理三分技术。看近些年的IT技术发展,本质上由Google、Facebook为代表的这些互联网公司带动,除了技术架构,像运维管理、研发生命周期管理、安全管理都在成为其他公司的教科书,安全的最高境界是让你身处于保护之中而不感觉那些繁琐措施和流程的存在,以技术、自动化、机器学习、人工智能为导向解决问题的价值观已超越流程制度的落后方式,也是过去那些理论标准越来越显得发虚的原因。
从这些趋势看,如果你是体系架构型,技术复合型(俗称全栈工程师),特定技术方向专攻型以后会受市场青睐,而“务虚型“的市场价值可能不太乐观。随着2000年后安氏把基于资产威胁脆弱性风险评估方法论带入中国,精通各类安全标准的顾问身价一度比会安全技术的工程师高,但现在这些东西包括IT治理的理论已经远不如以前风光,你说你会ISO27001,随便找个聪明点的刚毕业的本科生,做一年也就会了。但如果你说”我有10万台服务器的安全管理经验“,对方可能会表示”小伙子,来我们这上班吧!“。让会攻防的人学习ISO27001、20000之类的东西,跟让务虚型学习技术,前者的成功率会比较高,而后者的成功率会很低,这就是可替代性。很多同学看到这些也许会觉得哀怨,甚至咨询圈的老人会列举一大堆”价值“和”空间“,是的我相信Accenture、Thoughtworks他们有很多我没提到的前景,我说这些并非因为我呆过360,出身绿盟,我也不是唯技术论者,就像浪潮之巅所说的,这些都是时代的趋势,不是以个人意志为转移的,哪怕是公司想拒绝他都如同螳臂挡车。为什么在互联网公司技术专家的报酬可以比管理人员高,取决于你解决问题所对应的价值层次,实际上也是时代演进的产物,也许现在更缺能解决实际问题的人。从就业的角度讲,这种趋势为技术从业者提供了更广阔的前景和空间。
对于乙方,比较有价值的地方是研究部门、安全服务、攻防强相关产品研发。对于甲方,除了大互联网(门户、搜索、广告、电商、网游、社交、支付、移动APP……)、金融、电信行业之外,其他就目前来讲可能不是甲方安全从业的好的选择,毕竟形式上重视安全和本质上重视安全还是两回事。现实生活中的人员分布也可以佐证这一点,国内比较懂安全的人绝大部分都在互联网公司,第一梯队3BAT、第二梯队BAT之外的知名互联网公司(有些兄弟单拉出来绝不比BAT的差,这里主要是笼统的比较),第三梯队可能在金融和电信业有一些,再剩下来可能没有太懂安全的人了,因为懂安全的早就被上述挖光了……(当然,如果看官您恰巧是某个大牛,又恰好很例外不在上述行业中请勿生气,我会尽可能在该文的下一修订版本中注明”xxx是个例外,目前在yyy就职”)。甲方安全建设的多样性也使得分工越来越细:网络与基础架构安全,业务与应用安全,风控……,例如SRC运营就是一个相当垂直的细分职能,尽管在互联网公司做安全你可能会有优越感,但如果长时间做很细的一块儿也可能导致没有成为领域专家却“偏科”的很厉害。T字形人才通常比较受欢迎,最好是甲方乙方都呆过,那样所有的套路你都会了,无死角。
价值一方面跟人才市场的供求关系有关,一方面也跟学习成本高低、获取技能的难易度有关,例如你会一种web开发语言,javascript,http协议,常用的SQL DML语句就能开始玩web安全了,但如果你想玩溢出,相比之下还是需要花更多的时间学习更多东西才能越过这个门槛,而读懂ISO27001则容易的多(这里无意于表达web和二进制谁更牛叉谁更值钱这样的无聊问题,只是举个抽象的例子),如果你觉得因为钱多而把自己的目标设定为要走袁哥的路,而忽视了自己的兴趣,fail的可能性比较大。另外,技巧永远不能代替技术,过分迷恋于技巧对长足的发展没有好处。
第一代安全从业者的技能基本以OS和网络安全为主,1.5到第二代以广义的web service等应用安全为主,如果一定要说第三代,移动安全可能还算是当下比较热门,关注者比较多,相对前沿的领域,而从VC的角度看移动互联网可能都不再是热点,早已开始布局更下一代的东西了,也许是类似于人工智能这样的领域。PC端和web安全虽然研究者众多,议题众多,方法论很多,大多数行业内的从业者每天围绕这些工作,但这些应该即将归入红海,不再属于前沿的、时代浪潮之上的东西,反过来说一个蓝筹但不再新兴的市场,其对安全的需求还是有一个很高的保有量,所以有很多事情可以长期做但也许之后就不在是什么有新鲜感的东西了。第一代的人起步的时候,那时候IT基础设置和应用复杂度都远不如现在,所以那时候都是把安全建设放在网络和系统层面的,而后来随着IT在社会生活中实用化的程度越来越高,业务越来越多的依赖于IT,I的多样性和T的复杂度成倍提升,使得安全的需求也越来越广,单个从业者的技能不太可能通吃全部,大一点的机构开始把业务安全独立出来,分工越来越细,人研究的内容则越来越专,安全团队中开始加入开发和运维,甚至还涉及到硬件领域,也许以后的安全团队就是一个什么人都有的兵器库。对个人来说一方面你到底需要多前沿的铺垫才能不out,另一方面则要考虑将自身定位收缩于哪些点才可能挖到最深,视野一定是尽可能的宽泛,是一个“放”字,但落到实践一定是个“收”字,以如今的技术复杂度你不可能样样都精通,只能挑几个。
对于从业者的前景,其实在过去相当长的时间里,由于乙方公司的净利润很低以及甲方安全不是产生收入的部门,所以从业者的前景一度比较暗淡,直到后来有了360这样的公司,有了BAT的崛起,才使得技术从业者的待遇得到了极大的改善。斯诺登曝光之后,国家层面开始重视信息安全,以华为这样的企业建立安全能力中心为代表,今年安全人才需求开始井喷,供求比大幅失衡,国内资深从业者的工资已经赶超了美国的工程师,在当下看是一片利好,但有时候也说不清这到底是价值回归还是有点泡沫成分,没人能说得准,但短期内一定是人才供不应求,但是不是长期供不应求也很难说,因为现在越来越多的高校也开始培养安全方向的人,供给量会变大,安全会从小众变成大众学科,当然,无论什么时候这个行业的精英一定是跟兴趣和天赋挂钩的,有时候确实需要一点“歪门邪道”的天赋。
关于创业,如果你原先是做安全产品研发,能带一支完整的团队出来,做的产品属于下一代类型或者干脆就是市场空白,不妨尝试一下,其他的类型我认为创业的成功率应该比较低。
最后,如果你有条件的话,多接触技术大牛和视野型的资深从业者,适当关注一下安全以外的新技术趋势。通篇下来可能会有聪明的同学提问说的这些是不是可以概括为最优解应该是去互联网公司做安全?其实不然,甲方乙方,身处不同的阶段有不同的需求,没有哪里一定最好之说,哪怕是3BAT对有些人来说也是瓶颈之地,所以还是看具体场景。
关于作者
赵彦,ID:ayazero,weibo.com/ayaz3ro
前奇虎360企业安全技术总监、久游网安全总监、绿盟科技资深安全专家、聚位网络CTO
任何问题可以Mailto:ayaz3ro#qq.com
原文链接:
更多参考链接:
=END=
《 “[collect]信息安全行业从业指南2.0” 》 有 49 条评论
中国网络安全行业全景图(2016下半年)
http://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA==&mid=2651069947&idx=1&sn=69c8ce4de5c73946fc128a7395f114b4&scene=0#rd
国内首个网络安全行业全景图重磅推出
http://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA==&mid=2651068704&idx=1&sn=c377853c4ab2f029f254f39644144fef&scene=21#wechat_redirect
`
自动化资产发现和管理是确保操作连续性、可靠性和安全性的第一步。缺了这一步,就不可能知道存在哪些设备,在什么时候设备做了哪些变更,以及怎样将设备重置回“已知安全”状态。规划维护项目、部署防御机制和进行有效事件响应与缓解工作,同样需要自动化资产发现的有力支持。
`
资产管理在工控网络中的角色定位
http://www.aqniu.com/learn/22032.html
Google 基础技术安全设计总览
https://cloud.google.com/security/security-design/
http://mp.weixin.qq.com/s?__biz=MzI4NjYwMjcxOQ==&mid=2247483720&idx=1&sn=1ef57e5ae8b4f2af05d9a31467703934&scene=0#wechat_redirect
终端管理(Endpoint Management)和终端防护(Endpoint Protection)软件应该具备的功能和特性
http://www.tomsitpro.com/articles/endpoint-management-solutions,2-873.html
http://www.tomsitpro.com/articles/endpoint-management-solutions,2-873-2.html
ESET(NOD32)市场同类产品对比
http://www.eset.com.cn/business/whyeset-compare/
Symantec产品列表
https://www.symantec.com/zh/cn/products-solutions/products/
阿里根据截图查到泄露者,这样的技术是如何做到的?
http://blog.jobbole.com/105968/
https://www.zhihu.com/question/50735753
软件定义安全白皮书2016·绿盟科技
http://blog.nsfocus.net/software-defined-security-whitepaper-2/
软件定义安全白皮书PPT解读·绿盟科技
http://blog.nsfocus.net/software-definition-security-white-paper-ppt/
一名优秀的安全主管需要“见人说人话,见鬼说鬼话”
http://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA==&mid=2651070887&idx=4&sn=1b460568ae6147cf401bc33e8af16d16
我的泪水你不懂:企业安全工作落地的一些经验
http://www.freebuf.com/articles/es/130984.html
`
说白了这种公司你就是个吉祥物,你牛不牛和你能干什么根本不重要,领导和研发想的是反正被黑的几率还是蛮低的嘛,如果被操翻了,你就要出来背锅,这才是你存在的意义
`
企业安全漏洞通告引擎
http://www.freebuf.com/sectool/130605.html
https://github.com/TC130/RedAlert
金融企业安全建设探索之四个安全建设问题
http://mp.weixin.qq.com/s/-tVQSJ1dyHleBAj9YFE_Xw
`微信号: jungedetili`
信息安全实习和校招的面经、真题和资讯
https://github.com/SecYouth/all-about-security-jobs
有哪些可以深入学习信息安全、网络安全的地方?
https://www.zhihu.com/question/19742570
Flashsky:我的安全之路
http://im1gd.me/im1gd.me/im1gd.me/2017/01/30/Flashsky-%E6%88%91%E7%9A%84%E5%AE%89%E5%85%A8%E4%B9%8B%E8%B7%AF/
Flashsky:我的安全之路(1-5)
http://chuansong.me/n/1620876
Flashsky:我的安全之路(6-14)
http://chuansong.me/n/1620877
http://chuansong.me/account/WulujiaNews
各种安全相关思维导图整理收集
https://www.leavesongs.com/
https://github.com/phith0n/Mind-Map
http://www.srxh1314.com/mind-map.html
`
运维安全
渗透的艺术
渗透测试
浏览器安全思维导图
情报收集脑图
密码找回逻辑漏洞
安全运维脑图
企业安全防御思维导图
代码审计的溢出脑图
业务安全top10
xss virus 1.0
XSS脑图
XSS2
XML安全汇总
Web应用安全
SSRF脑图
SQLmap脑图
PHP代码审计脑图
Nmap 思维导图
Linux Security Coaching
入门二进制漏洞分析脑图
nmap渗透测试指南
Meterpreter Cheat Sheet
JavaWeb应用安全
金融安全脑图
GIT学习脑图
入侵感知体系
Python代码审计脑图
WIKI渗透测试流程图
互联网企业安全建设
`
安全技能树简版
http://evilcos.me/security_skill_tree_basic/
中小企业网络安全建设指引
https://security.tencent.com/index.php/blog/msg/113
捻乱止于河防——浅谈企业入侵防御体系建设
https://security.tencent.com/index.php/blog/msg/68
Google基础设施安全设计概述翻译和导读
https://security.tencent.com/index.php/blog/msg/114
甲乙方安全需求与痛点讨论
https://threathunter.org/topic/5951c37647796d2341e03e08
信息安全新手入门的资源集合(Collection of resources on how to start in InfoSec)
https://gist.githubusercontent.com/mubix/5737a066c8845d25721ec4bf3139fd31/raw/f710217ce2d6ca40145c0b78ba2e957b6ce94c8f/infosec_newbie.md
https://github.com/Hack-with-Github/Awesome-Security-Gists
Starting in InfoSec – 101
http://blog.mazinahmed.net/2017/08/starting-in-infosec-101.html
`
1- Start on the base of programming (开始基础的编程学习)
2- Have a good knowledge in Linux/Unix (对Linux/Unix有一定了解)
3- Understand networking basics (理解网络基础相关知识)
4- Basic knowledge of System Administration (具备系统管理员的基础知识)
5- Learning common web-application security vulnerabilities (学习常见的Web应用安全漏洞的知识)
6- Practice, Practice, and Practice (实践、实践、实践)
7- English is world’s language of communication. Learn it to learn to read resources. (学会用英语进行沟通、交流、阅读资料)
8- Read, Read, and Read (不断阅读)
9- There is no Bullet-Proof Resource or Advise that will make you a good hacker (在成为一名优秀黑客的道路上没有银弹)
10- Practice in CTFs and Bug Bounty Programs (在CTF和Bug赏金计划中进行实践)
`
甲方工作杂谈
https://mp.weixin.qq.com/s/k5-0tpRps8HFJCdOxtRygg
`
安全资产清理
漏洞扫描
漏洞推修
安全审计
安全规范
安全建设
应急止血
红蓝对抗
人才招聘
`
叶蓬:全方位态势感知才是真正的态势感知
https://mp.weixin.qq.com/s/36-gXMrPiIiFuUdKpCPrQg
新态势感知系列(1):从态势感知到全方位态势感知
http://yepeng.blog.51cto.com/3101105/1966070
我理解的态势感知
http://www.jianshu.com/p/8f7d8ae7bade
【读者投稿】几年安全学习经验杂谈
https://mp.weixin.qq.com/s/HoyR38s8SO7mbsfnh_NGeA
爱奇艺业务安全风控体系的建设实践
https://mp.weixin.qq.com/s/2gcNY0LmgxpYT1K6uDaWtg
`
以下总结了各种业务会遇到的风险:
01.会员:撞库盗号,账号分享,批量注册
02.视频:盗播盗看,广告屏蔽,刷量作弊
03.活动:薅羊毛
04.直播:挂站人气,恶意图文
05.电商:恶意下单,订单欺诈
06.支付:盗号盗卡,洗钱,恶意下单,恶意提现
07.其他:钓鱼邮件,恶意爆破,短信轰炸
`
你尽力了吗?——2000年安全圈大牛所写
http://www.bowu8.com/archives/261/
http://www.chinaunix.net/old_jh/29/16031.html
http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=16031
http://tieba.baidu.com/p/212142987
为什么机器学习在安全、风控领域频频遇冷?
http://www.36dsj.com/archives/78658
https://mp.weixin.qq.com/s/i-6OmjDJZiZ1tPocjJIhPg
https://github.com/faizann24/Machine-Learning-based-Password-Strength-Classification/blob/master/script.py
基于机器学习的密码强度分类
https://octfive.cn/?p=213
搭建风控系统道路上踩过的坑(1)- 信息采集
https://www.secpulse.com/archives/65859.html
搭建风控系统道路上踩过的坑(2)-风险分析
https://www.secpulse.com/archives/65901.html
搭建风控系统道路上踩过的坑(3)-阻断风险
https://www.secpulse.com/archives/65916.html
`
业务风控主要做四件事:
1、拿到足够多的数据
2、做足够灵活的分析平台去分析数据
3、产出风险事件进行阻拦风险
4、量化风险拦截的价值和不断分析案例进行策略优化
`
机器学习和web安全交叉的一些脑洞
https://zhuanlan.zhihu.com/p/31963829
如何寻找信息安全相关工作
https://mp.weixin.qq.com/s/ZdZsQZ-kPxBRv1fReeTDdA
`
渗透测试工程师
安全开发工程师
安全运维工程师
安全研究员
· 基本要求
· 基本职责
· 如何做到
`
行业风口上的安全人员职业规划
https://mp.weixin.qq.com/s/icRTSbxjT-1Jf216u6F_pg
`
形势1:大公司分工越来越细,除了安全负责人以外不需要面面俱到,而是需要在某个领域深挖的人,市场上的高P职位除了安全负责人自己是外行需要一个内行做贴身顾问外,绝大多数职位都是细分领域专家,要求你什么都懂的基本都是安全负责人职位,当然你也可以从这里倒推招聘者是安全专家,还是资源分配者,还是一个彻彻底底的外行。
形势2:什么都懂一点的人会是中小企业的需求。
大厂的模式也不是十全十美的,这种模式下往往会培养出拧螺丝钉的人,譬如某厂的安全人员的特点是除了自己负责的领域外基本什么都不懂,想培养成为Leader都很吃力。以前还有过一出喜剧:某大厂领导看到某厂人员在安全大会演讲,以为是个高P,欲挖角,结果简历拿回来一看居然只是个低级别的工程师,遂罢。其实这跟某厂的培养模式是相关的,只培养极细分领域,由于某些领域不太被关注,所以深挖很容易博得眼球,但是毕竟价值有限,所以也不会给高职级和高待遇。
应聘者需要做的只是厚积薄发,迎合市场需求。
`
不是吐槽!阿里安全资深专家杭特辣评国内安全圈6大“怪现状”
https://mp.weixin.qq.com/s/eayCCAnfBW8LNEhDn5A0nw
`
重视“攻”, 轻视“防”
重视“攻防”, 轻视“数据”
重视“单点、破坏”, 轻视“体系、建设”
重视“技术”, 轻视“业务”
重视“反向能力”, 轻视“正向能力”
重视“人肉”, 轻视“自动化”
总结
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
`
Google Project Zero 成员教你如何入门搞安全
https://zhuanlan.zhihu.com/p/33678187
https://ifsec.blogspot.jp/2018/02/so-you-want-to-work-in-security-and-for.html
#2018年信息安全从业者书单推荐#
https://m.weibo.cn/status/4219964099264239
https://github.com/riusksk/secbook
这两年经常有人问类似“做安全研究挖不到漏洞怎么办”这样的问题,这里统一答复一下。
https://m.weibo.cn/status/4226250534965659
`
早年没有信息安全专业,搞漏洞研究的全都是因为爱好这个,自己主动来搞的。不适合干这个,搞不出来的,自然也就还干本行去了。所以早年没有人抱怨为什么研究不出东西。
现在信息安全专业开设的越来越多,有些同学看别人搞漏洞研究,自己也想搞。搞不出来,就四处找人问为什么自己搞不出来,怎么才能搞出来。
首先,必须要先泼一瓢冷水:由于性格、能力等多方面原因,无论是不是学信息安全专业的,世界上大部分人都不适合做漏洞研究,就像大部分人都不适合做职业运动员一样。
你们琢磨一下漏洞是什么?漏洞是程序员犯的错误。那些著名大公司软件的漏洞是什么?是一些面试好多轮才能入职的名校毕业的程序员犯的错误。而且这些公司里还有很多面试好多轮才能入职的名校毕业的人在做安全。他们都没查出来,才能留下来让你去发现。
我曾给微软中国的 QA 做过培训,和他们连续接触了数天。这些人体现出来的平均水平肯定在国内安全行业(不特指漏洞研究)之上,其中有几个还相当出色。
所以,挖不到漏洞是正常的,挖到才不正常。信息安全工作有很多方向,学信息安全,不一定非要都做漏洞研究。
==
对研究对象的整体架构和实现细节充分理解后,挖洞才是水到渠成的事情。如果在不理解实现细节一开始就奔着漏洞去,最后都会碰壁而产生挫败感。个人认为研究清楚软件的整体架构和实现细节远比挖几个洞有成就感,对个人的技能提升也更有帮助,漏洞应该是软件实现架构有充分理解后的副产品。
`
安全圈乱象杂谈
http://riusksk.me/2018/04/30/%E5%AE%89%E5%85%A8%E5%9C%88%E4%B9%B1%E8%B1%A1%E6%9D%82%E8%B0%88/
`
玩名词概念
会议式社交
炒作营销
快餐式的付费知识
对于技术而言,那都是常年积累的过程,非一两小时言语所有传授;
对于知识而言,个人思考所得的才叫知识,而非单纯地从别人口中得到;
对于学习而言,学以致用才是目的,而非纯理论学习。
我不反对知识付费,但是系统性学习比碎片化学习更重要!
我不反对碎片化学习,但别妄想能靠它实现知识速成!
`
CISO元素周期表
https://mp.weixin.qq.com/s/N2sK4DbeC8lxX5daNJqtIQ
`
一、业务基础
二、IT基础
三、安全项目基础
四、高级安全项目
五、前瞻技术
六、威胁因素
七、CISO约束
`
CISO/cybersecurity job Mindmap (CISO/网络安全岗位 思维导图)
http://rafeeqrehman.com/wp-content/uploads/2018/05/CISO_MindMap_2018.png
如何在网络安全领域获得职业的成功:信息安全入门,学习,练习和成长指南,来自 Daniel Miessler
https://danielmiessler.com/blog/build-successful-infosec-career/
重要、危险、现实,安全如何缔造价值
https://www.sec-un.org/%E9%87%8D%E8%A6%81%E3%80%81%E5%8D%B1%E9%99%A9%E3%80%81%E7%8E%B0%E5%AE%9E%EF%BC%8C%E5%AE%89%E5%85%A8%E5%A6%82%E4%BD%95%E7%BC%94%E9%80%A0%E4%BB%B7%E5%80%BC/
`
Gartner分析师们以一向擅长的分析模型,展开了这次讨论,企业安全问题需求被划分成了三个大类:
什么是重要的?
什么是危险的?
什么是真实的?
与需求相对应的,是解决问题的语境,又被拆分成三大类:
创造价值
应急事件
技术转型
由此,形成了以下3×3的待填空表格:对于安全赋能的过程来说,待办事项是什么?
安全人员常自嘲“背锅侠”角色,工作做的好看不出,出问题立刻被发现。因此,做好安全工作,绝对不仅仅是技术牛优先,不仅是能挖掘漏洞、修复漏洞、了解技术架构是否扎实、代码是否存在问题……更多的,应该要关心“粮食和蔬菜”,如何和业务、运营部门打交道,以更优化的沟通技巧,求同存异,以业务驱动危险,为企业创造价值为先,大到思考安全策略的制定,小到一个账户创建流程的优化,这才是企业做好安全的前提。
`
金融企业安全从业者的未来
https://mp.weixin.qq.com/s/1Gpt5mRMEOkxXvd3ciHuqA
浅谈互联网安全从业者的自我保护
https://mp.weixin.qq.com/s/r1aM_fKXiumDrcm1rt5Bsw
`
试问:每个人工作和生活过程中接触安全行业相关联的东西是否合法合规?安全从业者如何保护自己?是否真正实现了自我安全?回顾到这些年安全领域发生的大大小小的各类事件,想必大家已经见怪不怪了,但是为什么还会持续有类似的问题出现?核心的问题是什么?很少看到有人公开讨论这个话题,希望本文的一些思考能对信息安全从业者给出一些参考的建议。
没有网络安全就没有国家安全,安全人才的价值体现更应该在合理、合法,满足法律合规的情况下进行的。
1、没有授权的前提下,不要触碰各类网站(包含企业网站),特别是国家事务、国防建设、尖端科学,政府相关网站,不要触碰ZF与国家背景企业的网站。
2、不要在不明确业务边界和责任边界的前提下,突破原有的系统权限和数据权限。
3、不要持有公民信息,不要搭建社工库,云盘、电脑、手机不要存储公民信息数据。
4、项目授权范围内做的相关工作,获取到的项目文件、商业文件、公民数据、“shell”等结果及时删除和清除。
5、写技术文章的过程中,不要过于披露涉及漏洞与通用型问题细节,不要提供工具!!文章内容该模糊化的地方,要做二次处理避免被二次利用。
6、不要做漏洞、数据交易,不要在不了解对方背景情况下给“犯罪分子”提供技术思路。
7、多学习法律、不要过度炫技,低调求发展。
`
从杀软之殇谈产品
https://mp.weixin.qq.com/s/nNTWukfJTfRo9lrCeWI1xg
`
凡是面向系统的产品,自系统厂商打算自己做时,就没你啥事了,无论是现今的PC,还是未来的移动端,均是如此。
凡是面向业务的产品,自业务打算自己做时,就没你啥事了。
面向人的产品,产品要解决的需求形态可能长期存在,但产品终会被更高效、更低成本的产品替代。
安全人员的生存之道——居安思危!!!
聚焦自己的核心能力,不做/少做没有强技术壁垒的工作/任务。
`
安全学术研究者群体分析
https://mp.weixin.qq.com/s/TkFFORXP3H7IubOfyTrRDQ
`
安全领域中牛人都刷顶会,而统计近年来在四大顶会(CCS/S&P/Usenix Sec./NDSS)中论文作者和所属机构可以说是评价“一流专业”最直接的量化指标,毕竟在全球安全研究人员的眼里,顶会的质量和论文水平都得到了一致认可,国内外很多研究者都在统计和分析这个数字和分布,其中有两个较好的统计网站:
http://csrankings.org/#/index?sec&world
http://s3.eurecom.fr/~balzarot/notes/top4_2018/graphs.html
关于为什么分享这两个网站,主要有如下几方面原因:
如何找到一位好导师(本科生找导师)?好团队?
研究最新的研究热点、高质量论文;
寻找同研究方向的大牛;
`
安全招聘
https://feei.cn/security-recruit
`
1 安全招聘现状
1.1 薪酬最高
1.2 良莠不齐
1.3 圈子文化
2 安全从业人员的必要素质
2.1 攻防渗透和软件开发
2.2 兴趣驱动
2.3 适应能力
3 安全面试和笔试
3.1 面试流程
3.2 面试题目
3.3 笔试题目
4 招聘渠道
4.1 公司内部推荐
4.2 安全行业招聘网站
5 好的简历
一切的前提是有真才实干。
整体要简洁明了,逻辑结构清晰。要能体现出知识、技能、经历、天赋、人脉。
`
大型公司安全技术岗位面试杂谈
https://mp.weixin.qq.com/s/3PLHMxcgGwdaOjj6Y_s00A
`
为啥要写这篇文章
去年和今年过了几个大厂 offer,感觉面试还是非常有规律可循的。其次我有幸在现在公司担任的几次面试官,我发现很多候选人在写简历和面试的时候不知道面试官想考察啥。所以写一片文章说说自己的看法。
大厂安全技术岗位的结构化面试思路
1、简历初筛:
2、面试流程:
1、高效淘汰多余候选人的方法(出现在 1 轮面试居多):
2、做过的项目细节(可能出现在 1 轮,也可能出现在 2 轮)
3、挑战性问题的处理思路(一般出现在 2-3 轮面试中):
4、行业深度认知和个人规划(一般会出现在部门经理面或者总监面)
5、职业稳定性,基本信息确认(一般会出现在 HR 面):
一、非双非背景(985、211)的同学的解决方案:
核心解决问题的方法论:
1、在原有工作中优秀脱颖而出,尽可能的快速学习,把每份工作做到工作要求的百分之 150%。
2、积累人脉,提升认知差距,大厂是怎么做的,我的技术方案放在海量环境中会有怎样的问题,怎么解决。
3、选择知名度最高的公司接受自己,尽可能冲淡学历和背景带给自己的不利优势,同时在能选择内推的条件下不要去投简历,否则极有可能挂在简历初筛。
二、进不了顶级互联网大厂的理想部门怎么办?
提升软硬实力而非工资本身。
1、硬实力包括:技术深度、技术选型,开发能力等书本和技术上能学到的知识,多跟大厂在职人员沟通多参加行业峰会,修正自己的技能树。
2、提升软实力:认知能力,总结能力,沟通能力。
`
渗透测试、CTF 相关的资料整理(Tools for pentesting, CTFs & wargames.)
https://github.com/bt3gl/Pentesting-Toolkit
谈谈信息安全入门这事儿
https://mp.weixin.qq.com/s/34hHV_uDapF7GE5ODPbf9w
`
1.信息安全包括什么
2.什么才算入门
3.你要如何学习
举例1:渗透技术学习
首先是工具使用学习,以及渗透技术的知识点,这些大多来源于博客文章、书籍。
其次就是环境搭建,请大家牢记未经授权对系统进行扫描、测试、攻击都是违法行为。如果你想要学习,自己搭建一个虚拟机环境吧,不要怕麻烦,你在搭建整个环境的过程中,你也能得到技能上的提升。
然后就是进行渗透测试,忘记你搭建过程中的那些东⻄,模拟黑客进行攻击。攻击的时候一定不要局限自己的思路(做渗透很多时候思路就是要猥琐多变)。
最后就是写文章:一是记录这次你的环境搭建过程,二是记录这次你的渗透过程,你使用了哪些技术进行渗透、是否渗透成功、如果成功了你使用的是什么方法,没有成功需要反思为什么?
举例2:甲方安全防护
明白目标:明白你到底要保护的是什么?是数据、业务系统、主机还是其他。
进行调研:了解你所需要使用的技术、工具、系统、策略等。
模拟测试:对你了解到的技术等进行模拟,如果公司有测试环境给你折腾可以在边缘业务的局部中进行测试,如果没有还是可以自己弄个环境。
测试报告:本次测试使用的手段、达到的效果、是否可以优化、存在的⻛险等问题都是需要考虑的。
生产推动:如果你的测试报告在各方评估之下允许在生产推动,那么此时你就可以开始推广了,记住推广策略:”农村包围城市、星星之火可以燎原”。
最后结一下尾:信息安全自最近10年来越发被重视,很多高校也开展了相关的专业、课程。不论你是科班出身、还是非科班转行。记住一个点:学而不思则罔,思而不学则殆。
不要怕困难,学习是一个快乐的过程,如果不快乐也不能把学习变成快乐,放弃吧安全不适合你。
不要怕麻烦,坚持不断学习,克服一个困难总会有下一个困难等着你的。
整就牛–来自我的学⻓。
`
1. 黑客如何学起?
https://www.zhihu.com/question/20607351/answer/275661602
2. 如何学习网络安全?
https://www.zhihu.com/question/23636333/answer/25347723
3. 谁能给个网络安全的学习路线啊?
https://www.zhihu.com/question/67598183/answer/342185737
4.挣钱多不多,我想转行?
https://www.zhihu.com/question/24781420/answer/36325633
以安全规划助力CISO建设新安全体系
https://mp.weixin.qq.com/s/qe38QhsNJwc7m93yZpTzvg
`
一、数字化转型期的安全变革
二、企业CISO将面临网络安全的新挑战
1. 网络安全进入新阶段
2. 网络安全面临的“四化”挑战
对手组织化:对手从普通的网络犯罪变成了组织化的攻击,攻击方式从通用攻击转向了专门定向攻击,边界防御思想已经被完全打破,难以应对,体系化防御势在必行。
环境“云化”:新一代信息技术的全面应用,带来了信息化和信息系统的“云化”,典型特征是终端智能、应用系统、IT设施的全面云化,集中化的IT系统对攻击者具有更大的吸引力。
目标数据化:新一代信息化建设以数据共享为基础,“数据”在经济社会中的价值越来越高,数据和业务应用成为网络攻击的重要目标。
战法实战化:面对新的安全形势和安全环境,安全防护体系建设从合规导向转向能力导向,网络安全防护和监管都转向关注实战化,实网攻防演习成为常态化手段。
3. 碎片化防御难以应对新威胁
勒索攻击呈现出多样化、复杂化。勒索软件的质量和数量不断攀升,免杀技术使用越来越多,自我传播能力将越来越强,攻击的操作系统类型将越来越多,定向攻击能力也更加突出。
APT攻击愈演愈烈。APT攻击使用的技术更加复杂、利用多种攻击技术、攻击手段,同时结合社会工程学的知识实施的复杂的、持续的、目标明确的网络攻击。
数据集中成为核心目标。云计算与大数据的应用使企业的应用系统和数据高度集中,数据巨大的价值吸引了更多的攻击者以数据为核心目标发起攻击。
内部威胁防不胜防。在以往传统安全观念下,内部被认为是安全的,内部威胁往往容易被忽略,但事实上内部人员恶意或无意导致的安全事故的比例在众多攻击类型当中高居榜首。
4. 资源不足是CISO开展工作的最大制约
在当前网络安全形势下,企业CISO开展安全安全工作的最大制约是:安全技术缺乏体系化、安全预算偏低、安全岗位编制不足。首先,网络安全体系建设缺乏顶层设计,无全景作战图,看不清网络安全全貌。其次,网络安全预算比例相比美国等国家较低,工程建设资源保障严重不足,安全技术防护体系严重缺失却无法修复。再次,网络安全专业人员不足,只能在有限的人力资源下选择性开展工作,长期处于救火状态。而解决这些关键制约的途径就是加强网络安全顶层设计,重构企业级安全架构,开展网络安全体系规划,明确网络安全演进路线,加大安全资源投入,真正落实网络安全与信息化的“一体两翼”战略定位。
三、以安全规划助力新安全体系的落地
1. 坚持“关口前移”思想,构建企业级内生安全体系
2. 重构企业安全架构,促进安全工作在各层次快速达成共识
3. 绘制安全体系建设蓝图,勾勒网络安全演进路线
4. 采用能力导向的网络安全规划方法构建新体系
5. 应对网络安全动态风险,实现实战化闭环运行
6. 建立协作、制衡的安全组织,发挥人的关键作用
`
从乙方到甲方 | 我所亲历的信息安全建设之变迁【1】
https://mp.weixin.qq.com/s/mJNcCZfElyCAbq1aSHHTDw
`
【关于我】
2000年初的学生时代,作为《黑客防线》论坛版主四处流窜,也是《黑客X档案》的特约编辑群、还是《黑客手册》创刊的首批团伙之一。
2004年工作开始,在三家安全厂商干了12年,做过产品、写过代码、扛过设备、撸过方案、参与过GB/T的撰写和推广落地,也有过不少行标的经验。个人感觉相对擅长应急和分析,也做过挺长时间的渗透。在17799到27000的那些年里也跟过咨询团队看过安全咨询及安全合规项目的样子,几乎所有PowerPoint和Word 的深层功法都是在那期间练成的。
2016年开始进入甲方,有幸一步进入当时最火热的威胁情报领域,从眼前的小小办公网做到了全球范围的对抗。后来趁着风走进了区块链安全,又开始了一段神奇的旅程。
【关于这个系列】
这个系列会分成多少篇,我并没有计划,只是今天堵在路上想起了自己的号已经停更很久,需要一些内容来填充。
我会从刚开始工作的那个年代我所看到的写起,有些回忆已经不那么清晰了,但还好我有保留文档和工作记录的习惯,我会一边翻出那些老文档、一边记录我的这个过程。
因为是随着时间的变化而进化,可能会有混乱、但我尽量将这些整理的更成体系一些,我也尽量客观但也不可能完全抛弃主观。
我并不期望能给人以指导,只希望能给自己以宽慰。
2020.8.17
【0】我们都是黑客 ?
【1】那个年代的方案
[1.1] 办公网安全
[1.2] 线上安全
【2】堪称先烈级的SOC产品
【3】大集成时代的到来
`
《网络安全产业人才岗位能力要求》标准正式发布
http://www.miitxxzx.org.cn/art/2022/1/14/art_33_1801.html
`
前 言
引 言
1 范围
2 规范性引用文件
3 术语和定义
4 网络安全主要方向及岗位
4.1 主要方向
4.2 主要岗位及职责 (*)
5 网络安全产业人才岗位能力要素 (*)
6 网络安全产业人才岗位能力要求 (*)
6.1 网络安全规划与设计岗位能力要求
6.2 网络安全建设与实施岗位能力要求
6.3 网络安全运行与维护岗位能力要求
6.4 网络安全应急与防御岗位能力要求
6.5 网络安全合规与管理岗位能力要求
附 录 A (资料性附录) 网络安全产业人才岗位能力提升
附 录 B (资料性附录) 网络安全产业人才岗位能力评价
网络安全产业人才岗位能力评价等级可以分为初、中、高级三级,能力分为9等。
a)初级(1—3级):在他人指导下完成所承担的工作,并具有一定独立工作能力,具有一定实践经历;
b)中级(4—6级):独立完成较为复杂的工作,具备指导他人工作的能力,具有一定工作经验;
c)高级(7—9级):独立完成高度复杂的工作,精通关键专业技能,引领革新,具有资深经验。
`
17年网安职业生涯中的25个深刻教训
https://mp.weixin.qq.com/s/_f3OELkhcMI65acFR0FtbQ
`
在我写这篇文章时,我已经有17年的经验,以从从业者的角度看待了网络安全领域的方方面面。简而言之,这是一次过山车般的经历。
因此,我决定整理出25个深刻的教训,这些教训可能会重新塑造你对待自己的职业和这个领域的方式。
1.**网络安全预算比任何合规性检查表更好地反映了公司的风险承受度。**
2.**如果你不知道公司如何盈利,你就不知道如何真正保护它。**
3.**大多数公司不是为了安全而支付费用,他们是为了避免罚款。**
4.**在商业舞台中,网络安全只是一个配角,而非主角。**
5.**尽管人们可能对管理、风险和合规性(GRC)职能不满,但它们是网络安全交响乐团的指挥者。**
6.**并没有人才短缺,招聘方缺乏想象力。**
7.**网络安全的10%是技术,90%是外交。**
8.网络安全容易做不好,也很难做好。参考上面内容。
9.你需要一份工作来积累经验,但你需要经验来找到工作。欢迎来到网络安全领域。
10.**这个行业因零日漏洞而失眠,但它其实应该因忽略补丁和基本的响应流程而寝食难安。**
11.**关键不在于你知道什么,而在于谁知道你以及你能为他们做什么。**
12.证书可以帮助你通过人力资源部门,而经验可以帮助你度过一生。将两者结合起来,使其成为你的优势。
13.网络安全学位并没有消失;它们只是在不断发展,招聘经理也在不断进步。
14.没有经验的证书就像一把没有刃口的刀子。
15.网络安全领域的精英主义只是一种戴着不同面具的不安全感。
16.爬升职业梯子的最快方式是从一家公司跳到另一家公司的不同职位。
17.网络安全会议更适合与同事交流和结交新朋友,而不是采购新技术。
18.在你的计划中有太多网络安全供应商可能就像吃太多快餐——在短期内方便,但长期缺乏营养价值。
19.**安全意识培训就像系上安全带一样——它不能防止所有事故,但在事故中显著提高了你的生存机率。**
20.网络安全领域的工作稳定性与你要应对的威胁一样不稳定。
21.作为安全专业人员说“不”很容易;将安全与业务支持对齐很难。
22.回声壁是真实存在的;批判性思维是你唯一的防御。
23.一个安全产品中的流行词越多,解决你问题的可能性就越小。
24.**网络安全不是IT问题;它是一个假装是IT问题的业务问题。**
25.最好的风险评估工具是对话,而不是电子表格。
# 要点总结
你的网络安全预算和对业务模型的理解,是真正衡量风险和影响的标志。
在网络安全领域的职业发展是一种复杂的舞蹈,涉及到社交网络、真实世界的经验和正式的证书。
这个行业的文化、态度和亚文化往往是一把双刃剑,既能促进也能限制。
希望这对你在网络安全领域探索的过程中有所帮助。
`