信息安全如何入⻔"这个问题我觉得需要拆成3个部分来回答:信息安全包括什么?什么算入⻔?你要如何学习?
☞备注:本文中的信息安全没有特意区分cyber security、data security等。
No.1
信息安全包括什么
我个人觉得我是回答不完全这个问题的,只能尽我所能来回答。首先我们来看看知乎上,关于"信息安全如何入⻔"的相关问题都有哪些?
1. 黑客如何学起?
https://www.zhihu.com/question/20607351/answer/275661602
2. 如何学习网络安全?
https://www.zhihu.com/question/23636333/answer/25347723
3. 谁能给个网络安全的学习路线啊?
https://www.zhihu.com/question/67598183/answer/342185737
4.挣钱多不多,我想转行?
https://www.zhihu.com/question/24781420/answer/36325633
因为篇幅原因,大家可以自己去搜索查看(看完请会心一笑),然后我们再来看看经常在QQ被问的问题:
师傅,我想学挖洞,可以带带我嘛?其实在面对这类型问题的时候,我很想说一句:"我带你",可是真相是我自己都胖的⻜不起来,如何带你。
表哥,我想改教务系统的成绩 or 我想把xxx网站黑下来?你们知道这是犯法的嘛?没事多去看看 网络安全法好么?
老同学,帮我盗个QQ好么?盗不下来啊!你不是搞信息安全的嘛?我是啊!那你还盗不下来? 我..................
当然了还有最过分的就是:你帮我修个电脑吧,我电脑卡的不行,一定是中毒了。看了一下,大姐不带这么玩的,10年前的电脑我们换一下好吗?
到正题,信息安全是一个范围极广的学科,本质上当代的信息安全问题大多是由于信息化时代衍生出来的,着重体现在计算机领域。我们先来看几个案例:
例1:你想成为一个"黑客",真的不需要你一定会计算机领域的知识。比如:速度与激情5中,盖尔加朵获取黑老大的指纹,如果你貌美如花,你也可以的。
再举几个例子:2014年12306用户数据泄露事件、2014年苹果艳照⻔事件、2017年京东数据泄露事件等等。
再来看计算机领域的安全,这部分我通过目前安全就业的方向来分析,
包含了信息安全在计算机领域的大致内容。如果你要去走向这条路,你可以了解这些岗位具体的职责。
当然了现在很多公司招聘都是抄袭Job Describtion,甚至不知道自己到底需要一个什么样的安全工程师,如果你遇到了这样的企业,那么就不要去了吧!
推荐一些靠谱的JD查询网站(按字母排序):
阿里招聘官网
https://job.alibaba.com/zhaopin/positionList.htm?keyWord=JXU1Qjg5JXU1MTY4
美团招聘官网
https://zhaopin.meituan.com/job-list?keywords=%E5%AE%89%E5%85%A8&pageNo=1
腾讯招聘官网
https://careers.tencent.com/search.html?keyword=%E5%AE%89%E5%85%A8
了解完这些岗位的需求,你也算是认识到了信息安全的一⻆。
No.2
什么才算入门
技能成熟度模型:掌握 --> 熟练 --> 精通 --> 分享。从事任何一份工作基本要求是掌握,前几天听到了一 个不像段子的段子:"大学毕业我的简历上还能写熟练,越到了后期就会发现我只能写掌握",这个段子反馈给我们另外一个东⻄:"持续学习"。
那么对于信息安全,你怎么样才算是入了⻔,举几个例子:
对于安全测试:
你要熟练使用不同类型(Web、API、APP、小程序、公众号等)的安全测试工具,比如: BurpSuite、Drozer、SQLMap、Astra等。
你要了解OWASP Top 10的漏洞、业务逻辑漏洞等。
你要有一套完整的渗透测试方法论: 包括应对不同系统时,你的测试点包括什么、侧重什么。
有足够的思考,如何将自己熟练的技能自动化。
......
一句话总结入⻔: 对于你学习或专攻的这个方向,有了自己的认识与思考就算是入⻔了(是不是对入⻔要求太高了)。
No.3
你要如何学习学习信息安全最好的工具是搜索引擎。
3.1 看书:万丈高楼平地起
第一类书(基础书籍): 计算机操作系统(至少你要熟悉Linux)、计算机网络、编程语言(选择你喜欢的)。推荐:"计算机与网络安全系列书单推荐"
第二类书(专业书籍): 选择你的方向,根据方向来找书。
第三类书(技术博文): 当你有了专业方向,需要在专业方向上深入的时候,你就不光要看书了,还需要结合一些技术博客、官网文档甚至一些论文中去学习。
关于看书我这里有一些建议:首先是查看整本书的章节目录,通过章节目录获取大概信息,找到自己感兴趣的或者所急需的章节进行深入阅读(这种方式适用于前后章节关联性不强,或对部分章节已经熟知的情况)。
3.2 实践:纸上得来终觉浅当你实践足够多的时候你就会发现自己的技能在⻜速提升。实践请谨记《网络安全法》。
如何实践:
搭建各种漏洞学习项目(DVWA、OWASP系列、PentesterLab、vulhub);
搭建各种CMS环境进行安全测试和代码审计;
搭建内网环境进行模拟渗透过程(诸葛建伟老师的Metasploit魔⻤训练营附带了渗透靶场);
SRC与众测平台:可以去挖掘SRC与众测平台,可能需要一定的基础,但是多看看网上的文章会得 到一些思路。我这里放几篇(挖掘SRC或在众测平台挖掘漏洞请遵循《网络安全法》)
小白如何学习挖掘漏洞
https://www.secpulse.com/archives/55634.html
SRC漏洞挖掘小⻅解
http://www.mottoin.com/detail/864.html
从哪里开始SRC之旅
https://security.ele.me/blog-detail.html?id=1
SRC漏洞挖掘的使用技巧
https://xz.aliyun.com/t/6155
综合【收集到的一些SRC挖掘技巧】
https://www.ctolib.com/Wh0ale-SRC-experience.ht ml
进入企业进行实践:企业中只要你愿意学习,我相信能提供给你实践的场景还是多的。
3.3 总结:提炼过程与结果不论是看书,还是实践,你都需要总结,看书的总结会帮助你提炼书本中的知识点;实践的总结会帮助你在以后的路上可以不断去回顾与少踩坑。
总结最好的两个方式是:
画思维导图:思维导图更适合梳理自己的思路点。
写总结文档:比较完整的记录,可以是思维导图的延伸、是记录你渗透或推动项目的整个过程、也可以是你自己的一些感悟等。文档也可以用来后续的分享。
3.4 分享:认知自我真实水平在你写分享之前,一定要做好心理准备:因为当关注度达到一定程度时,大家对于你的分享可能出现褒贬不一的时候,我也遇到过。一定要记住:写文章是给别人喷的,没人喷说明写的不够好,所以被喷了又如何呢?从中提取别人喷你的关键点,验证是否自己没有做好,来提升自己。如果是那种纯粹的喷子,狗咬你,你要咬狗吗?
把你的思路分享出来,不论是博客、公众号还是其他的形式。这不光是对你技术上的提升,也是对你自身的综合提升,同时还能帮你认清自我掌握的程度。
举例1:渗透技术学习
首先是工具使用学习,以及渗透技术的知识点,这些大多来源于博客文章、书籍。
其次就是环境搭建,请大家牢记未经授权对系统进行扫描、测试、攻击都是违法行为。如果你想要学习,自己搭建一个虚拟机环境吧,不要怕麻烦,你在搭建整个环境的过程中,你也能得到技能上的提升。
然后就是进行渗透测试,忘记你搭建过程中的那些东⻄,模拟黑客进行攻击。攻击的时候一定不要局限自己的思路(做渗透很多时候思路就是要猥琐多变)。
最后就是写文章:一是记录这次你的环境搭建过程,二是记录这次你的渗透过程,你使用了哪些技术进行渗透、是否渗透成功、如果成功了你使用的是什么方法,没有成功需要反思为什么?
举例2:甲方安全防护
明白目标:明白你到底要保护的是什么?是数据、业务系统、主机还是其他。
进行调研:了解你所需要使用的技术、工具、系统、策略等。
模拟测试:对你了解到的技术等进行模拟,如果公司有测试环境给你折腾可以在边缘业务的局部中进行测试,如果没有还是可以自己弄个环境。
测试报告:本次测试使用的手段、达到的效果、是否可以优化、存在的⻛险等问题都是需要考虑的。
生产推动:如果你的测试报告在各方评估之下允许在生产推动,那么此时你就可以开始推广了,记住推广策略:"农村包围城市、星星之火可以燎原"。
最后结一下尾:信息安全自最近10年来越发被重视,很多高校也开展了相关的专业、课程。不论你是科班出身、还是非科班转行。记住一个点:学而不思则罔,思而不学则殆。
不要怕困难,学习是一个快乐的过程,如果不快乐也不能把学习变成快乐,放弃吧安全不适合你。
不要怕麻烦,坚持不断学习,克服一个困难总会有下一个困难等着你的。
整就牛--来自我的学⻓。