CISSP认证通过小结


=Start=

缘由:

我是在看到君哥的「我的CISSP之路」之后才了解的CISSP;犹豫了几天之后,在2017年09月11日在线报的名;前两天,也就是2018年07月19日,请了一天假去北京新世纪日航饭店写字楼11层1153室参加的考试,结果还不错,顺利通过。在此记录一下大体的过程以及学习、复习心得,一来是希望能够帮到需要考CISSP证的朋友,二来是对这段过程做个小结,以免时间长了之后就忘了(毕竟准备了不少时间,除了通过认证之外,还是希望能留下些什么)。

正文:

参考解答:

1. 为什么要考CISSP?

在互联网企业里面做安全有几年了,也有幸经历了安全团队从小到大的一个过程——这期间给我的感触挺多的,其中有一点就是,在互联网企业做安全,(对于大部分人来说)安全技术挺重要的,但绝不是全部,特别是在企业已经有了一定的安全基础之后。如果你不是在漏洞挖掘、安全研究(或某一安全能力专项,比如在GDPR开始生效之后,越来越火的数据安全、安全隐私方向)上有长时间专注的实际研究或是一定的天份的话(可能是我了解的不多,这种情况实际中很少出现),「刚性」安全技术能力的提高就会很有限了。但是,「柔性」安全技术能力的提高却还有很大空间(而且职级越往上对这种能力的要求也越高,很大可能性会比「刚性」的比重更大)。废话说了一堆,其实一句话就可以概括——在我的整个职业生涯规划中,我希望能尽早的接触、了解一些这种「柔性」的安全技术能力。大体上就是:

  • 艺多不压身;
  • 希望通过在准备过程中的系统性学习和考试检验,迫使自己总结提高;
  • 尝试利用书中的理论解答我在实际工作中的一些困惑;

2. 是如何准备的?

先介绍一下个人的背景,本科就是信息安全相关专业,可以算是科班出身,毕业后也一直从事的是安全相关工作,勉强可以算是广大安全从业人员中的普通一员。

因为有以上的背景,所以我考CISSP不完全是为着拿证去的,我主要是希望能在备考的过程中系统性的学习、梳理安全知识,所以,我预约的考试时间和报名时间相隔了10个多月,就是希望能多留点时间「翻翻书」,不全为了考点而看书。大体流程是:

  1. 一章一章地看《CISSP官方学习指南(第7版)》,每看完一章就整理到博客上,可以方便后续快速查找、复习;
  2. 在每一章的结尾都会有20道习题,看完了章节内容之后都要做一遍,整理记录错题,对错题进行简单的分类,看是因为题意没看清导致的错误,还是确实就是概念不清楚导致的错误,还有一种错误可能就是实际工作中的一些点与书上的理论不一致——这个要好好注意一下!大概率是理论纠偏实操错误,小概率是题目错误、印刷、翻译问题;
  3. 通过上面的查漏补缺,会有一些知识点差的比较多,这时候就需要专门补一下,比如我就买了「趣谈网络协议」的课程,好好补一下网络协议方面的知识;
  4. 中间有段时间工作比较忙,完全没有看书和复习;
  5. 考前1个半月,开始强化突击,买了一本英文版的《Official Practice Tests》进行做题练习,强化较为模糊知识点的记忆;
  6. 考前几天,拿着在之前做错的题去背概念、强化记忆;
  7. 考前一天,准备好干粮和饮料,提前查好交通路线,早点睡觉。

3. 考试过程中有哪些心得/技巧?

  1. 优中选优,因为一般没有明显错误的选项;
  2. 多用排除法,有些题目可以迅速排除2个选项,剩下的两个自己拿捏一下,往往正确率还可以;
  3. 不太确定的时候看看题目的英文,因为有些单词在翻译成中文了之后和原来的意思可能有不小的区别;
  4. 从概念出发,把你放在题目的场景中,想象你该怎么做、你会怎么做?
  5. 不要急,慢慢来,时间肯定够(争取第一遍就做好,因为考试前期的精力相对于后面来说会更好一点)
  6. 实在不确定的时候,先标记下来,后面可能会碰到有的题干会提供一些信息的情况;
  7. 考试过程中太累坚持不下来的时候,想想已经坚持、努力这么久了,想象再坚持一会就能看到写着Congratulations的A4纸通知,再苦再累也就这一下了,否则还要重来,何必呢?

4. 考完之后感觉如何?

  • 一刹那的解脱和放松;
  • 考试过了,不代表有任何区别,人还是那个人,但考试通过能起码让自己感觉不是太坏;
  • 安全是个持续的过程,安全需要你不断的更新你的知识库,并且你不能仅仅从你的角度出发考虑问题,也不能仅仅从技术角度出发解决问题,安全更多时候面临的是复杂环境,如何做好动态平衡需要做安全的人学习的一门艺术;
  • 没有绝对的安全,安全是对风险的权衡,需要根据企业自身的实际情况和需求,将风险降低到一个可以接受/可控的程度、范围;
  • 加油,一切才刚刚开始。

 

参考链接:

=END=

,

《“CISSP认证通过小结”》 有 8 条评论

  1. 安全研究的价值思考
    https://mp.weixin.qq.com/s/MxPhRecfqtI97LUGH7bckw
    `
    # 安全研究都干啥
    安全研究并不局限于漏洞领域,但它依然是目前最主流的方向,研究范围也可以包括网络安全、反病毒、大数据安全、业务安全等诸多安全领域。这里主要聊下漏洞领域的研究,看看Project Zero的人主要都在干啥:
    总结一下就是(主要指漏洞研究领域,估计很多人只干1、3、4的工作):
    1、漏洞挖掘与利用
    2、方法论建设
    3、技术写作
    4、行业交流与合作
    5、软件工程化建设,可能是指DevSecOps,包括安全防御策略建设、libfuzzer自动化测试等的应用

    # 从招聘职责看研究目的
    1、挖掘主流系统/软件漏洞;
    2、帮助安全产品提升检测能力;
    3、为业务提供技术支持。

    # 影响力价值
    搞安全研究,普遍都是为了影响力公关(PR),国内外均是如此。

    # 商业价值
    何为商业价值?就是赚钱嘛!通过安全研究落地为产品,然后拿去卖;也可提供技术服务,比如帮助对IoT、车联网产品等新兴行业产品进行安全测试。产品一般比技术服务更值钱,技术服务经常是一波过,产品却是可以长期收费的,比如IDA一年卖几万刀,用户每年都得交钱,而若只是提供逆向服务,费劲且不持久,赚得还少。如果是漏洞交易,高质量的漏洞利用链也是可以获得不菲的利益。

    # 个人保值防老
    研究本身就是一种学习方式。相信爱学习的人,最终运气都不会太差。尤其是现在鼓吹35岁中年危机的互联网时代,保持学习是最靠谱的个人保值防老方式。如果保持工作内容不变,那么通常头一年所积累的技术与工作方法足够应付绝大部分工作。若再不搞点有挑战的新工作内容,或者业余做点研究,那就要成为拿着一套技术吃N年的”老白兔”了。持续学习,保持或者超越与年龄相符的技术能力才是王道。
    `

  2. 从研究者视角看漏洞研究之2010年代
    https://mp.weixin.qq.com/s/UBZv0pd7Nr-o-NMxjV53RQ
    `
    随着2019年进入最后一个月,整个2010年代即将成为过往。过去十年漏洞领域的研究发展,可谓波澜壮阔、精彩纷呈。我屡次提笔试图记录这十年的技术发展,最终都因为这个事情的难度远远超出自己的预想而弃笔。不过有些想法不吐不快,索性简单总结些个人观点,抛砖引玉供人讨论、补充和参考。

    1、后PC时代,控制流完整性 (Control flow integrity) 成为新的系统安全基础性防护机制
    2、令人“惊喜”的硬件安全特性与硬件安全漏洞
    3、旧瓶装新酒,移动设备的安全设计实现弯道超车
    4、网络入口争夺战愈演愈烈
    5、自动化漏洞挖掘和利用仍需提高

    6、总结
    2020年代迎来了5G,真正的万物互联时代将到来,漏洞的影响范围会因此越来越广。一方面,核心系统的安全防护会继续提升;面对这些最新、最全面的防护机制,攻击研究的难度会越来越大,高价值漏洞和利用技巧将成为稀缺资源。另一方面,安全防护的短板效应会进一步放大。在万物皆可被攻击的环境里,各种薄弱环节将成为攻击者的首选目标。如何从单点防护扩展到系统化全局防护体系建设可能迎来新的机会。
    `
    https://paper.seebug.org/1098/

  3. OSCP经验
    https://xiaix.me/oscpjing-yan/
    `
    # OSCP介绍
    OSCP是kali linux的开发团队Offensive Security的一个渗透测试认证,和其他认证不同,这个系列的相关课程和考试完全没有死板的文笔考试,都是一个个ip对应靶机的全实战。其课程名称也叫PWK (Pentesting with Kali Linux) ,也就是说在这个认证中用到的大都数工具都是kali自带的渗透工具,也可以当作一个熟悉kali操作系统及其工具的课程。

    # 一些坑
    确定了POC或者EXP却得不到想要的结果
    这个在PWK课程中可能经常遇到,这种时候建议:
    1.检查下POC/EXP的代码,注释中的前提条件是否都满足
    2.检查下目标的环境,是否改了些程序或者配置
    3.模拟靶机环境,最耗时的方法,可能也是最有效的方法,比如FreeBSD系统就和linux系统不同,会导致一些payload失效。
    4.revert!环境是多人共用的,存在别人破坏了环境的可能,可以通过回滚还原环境。但请不要频繁revert,因为有每天上限和影响别人做题的可能。

    # 考试前的准备
    这个必须要强调一下,因为考试是5个ip 时限24小时,满足70分(任意4台或者3台高分目标)就能通过的条件,也就是说与时间赛跑,所以把经常用的命令和脚本准备下能节约不少时间
    `

回复 hi 取消回复

您的电子邮箱地址不会被公开。 必填项已用*标注