[安全]网络安全就业方向

Posted 2021-10-18 醉梦_wy

能够胜任的岗位主要有：渗透测试工程师、大数据安全工程师、信息安全工程师、安全测试工程师、安全服务工程师、安全运维工程师、系统安全工程师、服务器安全工程师、云计算安全工程师、网络安全工程师、安全分析师、渗透讲师等；
说了这么多，可能还是有挺多人不太明白，词汇太过专业，那就来点接地气的说法；
按照web渗透、内网渗透、自动化渗透、代码审计、日志分析、应急响应、安全加固等知识点学完后，上述大部分岗位胜任完全没有问题，前提是实战技术要过硬，工具要使用得溜溜的。
1.专业对口：渗透测试工程师
专业比较对口的工作是渗透测试工程师，主要是在企业中承担找漏洞的角色，找漏的对象主要是企业授权的站或者自己家系统的漏洞；也有定点突破的一些来自GA的网站等；
2.能力提升阶段：安全服务岗位
如果能力处于提升阶段的，从事安全服务岗位是较为合适的，该岗位需要懂Web漏洞的一些原理，能够使用一些渗透工具做Web漏洞扫描或内网扫描 ，针对扫描结果生成渗透测试报告，并能够提出一些整改的建议即可；难度相对要低一些，更多的时候都是采用工具去完成渗透，主要原因也是因为任务较重，一天需要渗透测试的网站较多，需要短时间测试完毕；
3.能力较强：进入企业/实验室跟进产品线
有一些能力强一点的也会选择进入企业或者实验室，跟产品线的，很多时候需要做安全分析，如态势感知的产品，需要懂Web渗透的原理、利用和编写POC或EXP，然后利用wireshark抓包分析，提取漏洞攻击和利用的一些规律，提取对应的规则等；
4.能力强、口才好：渗透讲师岗位
当然如果你的能力和口才不错，也可以选择渗透讲师岗位，不过该岗位对工作经验有一定的要求。

网络安全就业都需要掌握啥技术？

网络安全领域飞速成长，网络安全人才供不应求。这种人才短缺造就了一个高薪且求职者可选择范围很大的行业。但是网络人才的短缺现象是由多种因素造成的，其中就包括雇主对求职者要求掌握的技能太多。

Rook Security 的人才与文化经理 Keri Christman 称：“雇员可能很难具备职位要求的所有技术、经验和某些无形的东西。”

行业和威胁态势变化太快，有天赋的人才都难以跟上新技术和需求的脚步，所以人才缺口越拉越大。当前毫无疑问是求职方市场，但因为应聘要求越来越高，竞争依然激烈。

因此，虽然网络安全领域就业机会大把抓，老板们却为应聘者设置了高准入门槛，没有兼具技术、学历和经验便难以登堂入室。

如果你正考虑从事网络安全工作，你可能会发现自己不知道从哪里开始。首先，你可能会怀疑网络安全领域是否适合自己？老板们最看重哪些技能？你要如何获得在该求职市场中竞争所需的技能？

对于以上问题，浸淫该领域几十年的网络安全专家们最有发言权。

网络安全从业者的顶级技能
1. 批判性思维

SplunkCIRT高级主管 Richard Bejtlich 和 Cheetah Digital 首席安全官 Jill Knesek 都认为，批判性思维是网络安全人员所具备的最重要技能。

Knesek解释道：“批判性思维，或者客观分析问题以形成判断的能力，是网络安全从业者最重要的技能。对我来说，批判性思维就是知其然更知其所以然，这样才能做出明智决策并实现解决方案，搞定根源问题而不仅仅是缓解表面症状。”

网络安全是个不断变化的领域，黑客和攻击方法一直在进化，网络威胁本身也在不断发展，比如恶意软件、勒索软件、特权误用等等。客观分析每个问题，不断深挖问题根源的能力，是在网络安全的世界里获得成功的重要技能。

我的FBI背景我对从事网络安全行业帮助良多。我把每个问题或事件当做一场调查来看待，通过经典的‘人物、事件、地点、时间和方法’问题了解情况，但只有问出‘为什么’这个问题，我才能真正理解该如何预防未来的事件。

Knesek在网络安全领域就职20余年，担任过内部角色和面向客户的角色。她曾是FBI特别探员，供职洛杉矶网络重案组，侦办过数起重大网络犯罪案件，包括对著名顶级黑客 凯文·米特尼克和少年黑客黑手党男孩(Mafiaboy)的调查。如今，Knesek就任 Cheetah Digital 首席安全官，负责领导整个企业的安全工作。

与Knesek观点类似，SplunkCIRT的 Richard Bejtlich 评论道：批判性思维是最重要的网络安全技能。将复杂情况去芜存菁对缓解数字问题至关重要。网络安全人员必须能观察环境，挑战假设，创建行动方案并执行操作。批判性思维是该过程中每一步的驱动力。

自1998年起，Bejtlich就在捍卫西方利益不受高级数字入侵者侵害。他推广网络安全监视解决方案，通过检测并响应数字威胁，帮助全球企业保持业务正常运转。Bejtlich如今是SplunkCIRT的高级主管。

2. 业务分析技能和黑客精神

Privacy PC 编辑，《安全状态》丛集作者 David Balaban 表示：有人觉得信息安全专业人员最有价值的技能归结为能选择正确防护解决方案和最佳工具以建立并实现复杂的安全系统。也有人认为信息安全专家就应该具备黑客精神，像攻击者一样思考，知道怎么实施攻击，这样才能实现有效的防护机制。

但最终，Balaban 认为上述两种技能都是次要的：

IT安全专家最应该成为的是业务分析师。他应对公司业务过程和所有在用的自动化控制系统都烂熟于心。这样他才能把公司基础设施按照安全等级明确划分成各个子系统，专注在对业务工作流影响最大的实体上。

第二重要的技能是与管理层沟通的能力。更进一步，IT安全专家还需要心理学家的技能。这可以使他更好地理解老板的兴趣、重心和痛点。IT安全专家应能说服管理层将资金分配到解决特定安全问题上。这可真正是门艺术。

David Balaban 是在恶意软件分析和防病毒软件评估领域具有15年从业经验的计算机安全研究员。他运营着Privacy-PC.com项目，该项目就当代信息安全问题提出专家意见，包括社会工程、渗透测试、威胁情报、在线隐私和白帽子黑客行为。

3. 服务与保护的真心

Cybersecurity Ventures 主编 Steve Morgan 的观点是：最好的网络安全人员有真切而热诚的服务精神。

Morgan称：“对网络安全人员而言最重要的资产，是服务社会、保家卫国的真心。”

最重要的技能是对猫鼠游戏的热情。我们这行里最棒的人天生喜欢追捕敌人。虽然这种天性无法培训，却能由大学和职场铸就。兼具道德品性和追捕本能的人非常适合从事网络安全行业。

Steve Morgan 是 Cybercrime Magazine 和 Cybersecurity Ventures 的创始人兼主编。他的博客和论文常见诸于CSO、Dark Reading、Entrepreneur、福布斯、IDG和其他主流媒体。

这些网络安全领袖指出的顶级技能中有很多都是可以学习和磨炼的。想要习得这些技能跻身网络安全领域，或者在网络安全职业上更进一步，最好的办法就是通过高等教育。很多情况下，高等教育能提供发展当今主流雇主所要求技能的机会。 参考技术A (1)从白帽工具到熟练使用，利用工具进行手工寻找漏洞
常用工具：burpsuit，hackbar,sqlmap,zmap,nmap,nusses,MSF，等一些工具吧，还有很多内网用的不同公司有不同要求
我们需要会安装，并且使用这些工具，进行漏洞测试，在博客都会有提到

一般来说企业需要招聘的基本人才就是懂并且可以运用ows的top十的漏洞的，当然会得越多越好，漏洞当然不止这些，还有很多不常见漏洞，测试的站点功能越多漏洞越多，组件越老漏洞越多

(2)代码审计和编程技术

一般来说代码审计是必须要会的，代码审计这个东西如果自己单独审计会很头疼，一般来说都是配合代码审计工具进行审计的，审计工具普遍可以找出危险函数并告知，我们再进行审计，关于变量覆盖等一些漏洞在PHP更新5.6-7.x版本之后基本不会出现了，所以看看有没有命令注入，上传文件的有没有做好限制，编辑框有没有过滤，查询数据库的语句是否进行编译

编程技术，基本上需要懂PHP或者JAVA，个人认为PHP更好理解也更好入门更有兴趣一些，这些可以自己慢慢去学习

(3)独立渗透经验和开阔的思维

这个就需要个人去慢慢累积，可以去一些漏洞奖赏平台挖洞，慢慢去寻找，研究，开阔思维，比如在没任何办法的时候，可以去找找框架信息，php信息，asp的IIS信息，看看组件版本会不会有什么大问题，xss绕过，sql注入绕过，文件上传绕过，命令注入这个东西很难去看出来到底有没有，还有文件包含还可以一个个去尝试，SSRF,CSRF都是可以去尝试的

(4)得要有自己自己一个最新的漏洞数据库

漏洞这个东西，越老的越用处不大，如果只是去百度找一些所有人都熟知的漏洞，那必然没用，可以去找一些实时发布漏洞的平台去积累，某一天碰见了就可以一举拿下

(5)建站，mysql的SQL命令防火墙拦截原理很多常见的，木马绕过防火墙，包括检测木马，需要双向研究，不仅仅是渗透测试，要全方位了解原理，比如网站结构，nigx+mysql+php或者阿帕奇+mysql+php或者IIS+asp+sqlsever这些都要一看就明白，很多工具谷歌黑客数据库，查找网站信息子域名，从IP或者子域名入手等，思维要开阔

除了懂漏洞造成的原理，还要会利用，并且进阶绕过拦截进行渗透攻击，渗透测试最后就是给渗透报告，渗透报告这个东西可以在网上找模板或者公司提供模板，按照实际情况写就可以了，并写出修复建议

当然这行学历不是很重要，只要技术到位，学历就并不是问题，没学历就要去漏洞平台挖洞展示实力，如果自己觉得自己可以了，先去尝试找漏洞，尽量别用扫描器，可以手工找一下尝试一下，如果老站找不到可以一步一步去找新站去试试手，当看十个站能找出来2-3个中危漏洞已经算可以了 参考技术B 想要从事网络安全领域工作，需要具备哪些技术呢？
小蜗翻看了招聘网站上的一些求职要求，对比后发现，企业在招聘中普遍要求求职者需要：熟悉主流服务器操作系统、主流数据库系统、网络安全设备、渗透测试、网络通讯设备及网络安全设备调试安装和部署等，熟悉常见的漏洞原理及加固方法等。还需掌握多种渗透测试或者模拟攻击的工具或平台；掌握一定的攻击防御的技能，熟悉其原理、技巧，具备一定程度的漏洞挖掘能力与防御弱点发现能力等；至少熟练掌握一种编程语言，比如Java、Python或者PHP等。
蜗牛学苑网安8.0版本的课程企业所需技术均已全面覆盖，课程分为6个核心大点和无数个完整的细分领域。整套课程在设计上包含了攻防对抗、安全测试、渗透测试、安全运营、系统入侵、安全开发6大核心技术体系。课程共设置了5个阶段，前4个阶段把技术内容进行了详细划分，每个阶段穿插大量的实战项目帮助学员强化综合能力。最后一个阶段为技术巩固练习，以及老师就业辅导。
感兴趣可以到蜗牛学苑官网查看详情~