一个安全工程师的心路历程

Posted mike-mei

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了一个安全工程师的心路历程相关的知识,希望对你有一定的参考价值。

2016年08月23日 10:31:01

嗯,错别字很多,但是还算有趣。。有些链接还是打不开。

NORSE 的网站简直帅的飞起

-------------------------------------------------------------------------------------------------

内容摘要

一、自我介绍

    1.为什么做了安全

    2.工作的一天

    二、黑客一角

    1.黑客不止于黑

    2.黑客对互联网

    3.黑客也有排行榜

    三、现实VS电影

    1.现实中的黑客

    2.电影中的黑客

    3.黑客们的经典形象

    4.我们选择相信谁

    四、白帽子和黑帽子

    1.正义的存在

    2.邪恶的诱惑

    3.一个黑客的职业操守

    五、走进安全

    1.安全的未来在哪里?

    2.安全行业不完全手册

    3.一个安全工程师的成长

技术分享图片

         第一部分:自我介绍

1、为什么做了安全

 

 

在我印象中,8岁那年看了一部关于黑客的电视剧,当时就觉得黑客是一个特别酷的词,做黑客的人也已定很酷。后来9岁学校开了计算机课程, 觉得计算机非常有趣。直到后来,我读初中时因为经常去网吧,但是又没有钱,偶然间在书店中看到了一本书《网吧黑客宝典》,我当时翻开看了,并记下了书中免费上网的方法,到网吧去尝试,结果成功了。当时非常的激动加兴奋,同时自己又想一件做错事的孩子,内心中也有一丝害怕。从那以后,我就渐渐的爱上了黑客技术,并且开始不断深入的学习。10年毕业,刚开始在沈阳我并没有从事安全相关工作,而是跟计算机相关的,当然这其中对黑客技术的学习从未停止。直到我2014年来北京之后,选择来到360开始了我的安全工作。我主要做的工作就是保护网站服务器方面的工作。防御为主。

 

2、工作的一天

 

安全从业者的每天工作都会有不同,我说下我的工作一天。我每天早上来到公司后,首先会列出今天要重要的事。然后开始按照列表去完成目标。每天我都会关注国内外的关于安全方面的i信息,比如最新发布的漏洞,对于影响大的漏洞,我会去进行漏洞分析,分析后会去进行全球范围的扫描,确定影响范围,最后通报给相应的厂商。还会关注最新的黑客技术,最新的威胁信息。包括数据泄漏的消息。现在每天都会写一些文档,发送给客户的,还有对外宣传的技术文档。然后输出给PR.

目前我的工作一部分是做技术研究,一部分是做预警,还有一部分是安全技术支持,对外给客户去进行技术沟通,技术讲解。我目前做技术研究多一些。相对于去进行实际的入侵攻击则较少。

这里说一下其他黑客的一些情况,现在互联网中存在很大一部分的从业者,每天的工作内容就是挖掘漏洞,去入侵网站,去入侵服务器。他们会把发现的安全问题去提交给第三方平台(例如补天漏洞响应平台)。平台会把相应的厂商漏洞去通报给这些厂商。厂商会给黑客发送奖励。这类黑客,我们称之为白帽子黑客,也就是不做坏事的黑客。

 

         第二部分:黑客一角

1、黑客不止于黑

 

这里我想问大家一个问题,大家对于黑客的第一印象是什么呢?是盗号?是黑别人的网站?还是盗取信息?

其实黑客从最原始的意思来说,黑客一词是外来词,英文为hacker,hacker的意思意为砍,披的意思。愿意为指热衷于计算机与网络技术的人。 那么从广义上来将就是在某个领域勇于挑战,突破的人,从狭义的角度来看,是指在互联网中精通网络攻击与防御的人。

那么,大家眼中或者说认识的黑客当中是什么样子的呢?他们能做什么呢?

这里我给大家举一两个人物事迹:

案例一

被誉为头号世界黑客的凯文米特尼克,(Kevin David Mitnick,1964年美国洛杉矶出生),是世界上“头号电脑骇客”。他是第一个被美国联邦调查局通缉的黑客,走出牢狱之后,他马上又想插手电脑和互联网。有了他,世界又不平静了。凯文·米特尼克也许可以算得上迄今为止世界上最厉害的黑客。现职业是网络安全咨询师,出版过《反欺骗的艺术》、《反入侵的艺术》、《线上幽灵:世界头号黑客米特尼克自传》。

详细介绍可以看百度百科:

http://baike.baidu.com/view/165032.htm?fromtitle=%E5%87%AF%E6%96%87%E7%B1%B3%E7%89%B9%E5%B0%BC%E5%85%8B

案例二

随着互联网技术的发展,在这个大家越来越依赖的互联网络世界来说,只要接入网络的设备都有可能被黑客入侵。那么,网络安全就变的尤为重要,也就是老周提到的未来的物联网安全。也就是说的互联网+概念。通过以上的案例,我们可以知道,一名黑客侵入系统,如果这个系统时国防部的核武器发射系统,那么将是怎样的场景呢?当然这个对我们来说毕竟很遥远。

那么我在来说一下涉及到我们身边相关的。例如,我可以获取你的账号密码,那么我可以登陆你的社交账号,去骗你的朋友亲戚,也可以拿这个密码去试你的银行卡密码(支付宝),那么我就可以进行转账。当然,如果一名黑客,可以获取你所有的账号密码,那么就可以掌握你的任何事情。例如滴滴暴露你的出行(行程),大众等团购会暴露你在哪里吃饭,活着你去酒店开房,黑客也可以查到。那么你的隐私将不在叫做隐私了。

这里提一下,大家有时间可以看一下道哥黑板报里的《中国黑客传说》系列。「中国黑客传说」系列不是小说,而是根据道哥的亲身经历、亲眼见闻、亲自访谈而写成,没有杜撰的情节,也没有集多人的事迹于一人身。

更多参考:

https://zhuanlan.zhihu.com/p/19585817

https://zhuanlan.zhihu.com/p/19585902

https://zhuanlan.zhihu.com/p/19586431

 

2、黑客对互联网

 

黑客可以以一人之力,对抗一个互联网公司。央视播出的互联网时代第八集。

播放地址:

http://www.le.com/ptv/vplay/20544193.html

 

3、黑客也有排行榜

 

其实对于黑客的排行,没有一个确切的数据,我们只是通过一些互联网中的一些平台来进行统计。同时,因为很多做黑产的在暗处,没有办法进行排名。因为法律原因,他们根本不回曝光在出来。主要以下几个可以供一个参考数据。

中国地区:

http://www.cn-hack.cn 

黑客榜中榜:

http://finance.china.com/fin/kj/201508/07/8722829.html

http://www.wooyun.org/top/

补天白帽子的排行:

http://butian.360.cn/history

 

4、黑客攻击实时图

 

互联网黑客实时的统计效果:

-http://map.ipviking.com/

全球攻击可视化:

-http://map.norsecorp.com

技术分享图片

 

 

          第三部分:现实VS电影

1、现实中的黑客

 

现实中的黑客,你看上去他们跟常人无异,他们也可能会长的很帅气,当时他们可能会很害羞,也可能比较活跃。但是,他们会痴迷于漏洞挖掘,平时在网络上与很多人聊天,侃侃大山扯扯淡。

现实中的黑客,他们都一个共同的特点,就是专注。他们会为了去搞一个目标而花很多时间,直到搞定为止。黑客的一个特点,就是思路独特,有的可以甚至说是猥琐。所以在圈子里,会有一些猥琐流黑客,只因为它们的思路很猥琐。不过这也是黑客的特点,不惜一切手段去达到目的。也正是这个,才会有不断打破一些我们所忽略的弱点。这群人也对网络安全做出了卓越的贡献。在360里有很多这样的黑客,如果不是认识他们,就算在食堂吃饭,也不会想到身边有着这样一位技术大牛。

在安全圈,有很多出名的会议,比如每年8月在美国拉斯维加斯举办的blackhat和defcon黑客大会。会聚集全球的黑客到场。在国内有老牌的xcon(已举办10多年),还有最近几年360主办的isc(今年的8月15-17号),syscan360。还有搞的好一些的kcon.

 

2、电影里的黑客

 

这里介绍一些影视作品里的黑客,以及里面有一些不错的黑客角色的。

《幽灵》 韩剧

《通天神偷》

《异次元骇客》

《黑客帝国》

《黑客军团》

《防火墙》

《纸牌屋》 第二季和第三季

《网络末日战》

《第五阶层》

有些比较贴近现实,而且这其中是用了现实中的一些黑客工具,手法,原理。在电影中的黑客大多数已英雄的身份出现,并且是酷酷的。看了之后有一种让人热血沸腾,有一种想要做一名黑客的冲动。自己也想成为一名网络中的侠客。《幽灵》韩剧我觉得非常不错,使用了大量的黑客技术在里面。推荐大家看看~这里透露一下,该剧的男主角,前几年在他的手机里翻出来过他来中国时的色情视频。以及还挖出过女主角整容的信息。

 

3、黑客们的经典形象

 

凯文米特尼克,unix创始人,黑客罗宾汉的阿桑奇。巴纳拜·杰克,2010年在blackhat中。中国圈子里的,早期比较出名的有晓榕,黑客老鹰,袁哥等。

 

4、我们选择相信谁?

 

圈子大了,什么人都有,我们也不能说百分之百该相信谁,在从事安全行业里的人也可能存在搞黑色产业的人。但是大部分人都是以善意的去发现漏洞,帮助厂商修复漏洞。他们只是为了成就感,或者只是为了单单的好玩。处在黑色产业中的人,他们一般都恨低调,高调的一般也都进去了。

如果说信任谁,不能说的太绝对,要根据情况来进行实际的判断,对于企业来说,要保证尽量减少企业的损失。一切都要以证据说话,对于圈内,也有厂商报警去抓捕白帽子的。比如前段时间世纪佳缘就报警抓了乌云的白帽子。站的角度和立场不同,所以,谁对谁错还是要看所在的位置了。

 

          第四部分:白帽子和黑帽子

1、正义的存在-白帽子黑客

 

现在在互联网中,活跃着这样的一群人,你们喜欢挖掘漏洞,以挖掘漏洞作为乐趣,同时他们会把漏洞提交一些可以通过厂商来获取名气或者是金钱回报。他们执着与技术。他们一半不做恶,他们是觉得有趣。大多数的人就职于各大互联网公司的安全部分中,他们经常活跃在wooyun与补天这类平台中。当然也有一批早期的去开始了创业。

 

2、邪恶的诱惑-黑帽子黑客

 

黑帽黑客主要是通过黑客技术来进行谋取利益,而在这个产业里,分了很多种不同的层次,从而形成了一个生态圈。而他们做的都是采用擦边球的打法,而他们合作的一些对象,也是做非法产业的。例如赌博、色情。当然还有一类黑帽黑客以帮助行业的不正当的竞争去窃取信息来获取利益的。也有做的早的,赚了很多开始洗白的,比如说圈内出名的教主。在国内,湖北和福建地区搞黑色产业的黑客居多。

现在的世界互联网中有一个匿名者组织,他们分布在世界各地,是现今最大的,最复杂的黑客组织。他们以国家为目标,攻击各国政府,金融,教育网站。他们主要采取的手段就是ddos,导致这些机构不能够正常提供服务。

在战斗民族的国家,他们有很多出名的黑客攻击工具包,专门销售给从事企业间谍,黑色产业,抑或者军事间谍的活动。

朝鲜也有培训黑客军团,他们有一部分潜伏在中国的东北,从事对外的间谍行动。朝鲜还有针对日本建立了很多色青网站。

美国一直在针对中东地区,还有中国进行长时间的渗透活动,比如最出名的一个病毒就是振网病毒,该病毒攻击伊朗工控系统。

还有一群早期的黑客,在360杀毒以前,病毒的制造者也算一批黑客,例如早期的灰鸽子远控,熊猫烧香病毒,尼姆达,cih病毒等。

这里我也分享给大家一个链接,是互联网地下世界的冰山一角。

更多参考:

http://www.huxiu.com/article/15022/1.html

 

3、一个黑客的职业操守

 

作为一名电脑黑客,应该以发现别人的漏洞,帮助企业或者他们修复安全问题的目的去做。而不是以窃取数据,破坏系统为目的。保护网络的安全,建设更加安全的互联网为目标。去做自己喜欢做的事情,去打破看似不可能的事情。

 

          第五部分:走进安全

1、安全的未来在哪里?

 

习大大说过,网络安全等于国家安全。安全的未来范围会越来越广泛,包括现在提的很火的互联网+时代。

安全在物联网时代尤为重要,因为物联网的安全问题,很有可能给我们带来生命的危害,以及给我们的生活带来许多的麻烦。巴纳拜·杰克让atm机自动吐钱之后,后来他又研究出让心脏起搏器停止跳动的研究。不过在2013年的blackhat大会之前死在美国旧金山。所以,物联网安全在未来是一个趋势。也会成为必然。

手机安全,在未来,万物互联的时代,那么一切的控制将会是我们随身携带的手机。控制了手机,也就相当于我们可以控制其他很多设备。轻者对我们的生活带来影响,重则危及我们的人身安全。所以,手机安全的研究也是一个很重要的方向。当然,以后的手机也可能是被智能手表,智能眼镜等设备取代。

当然,以后的手机也可能是被智能手表,智能眼镜等设备取代。

 

2、安全行业不完全指南

 

安全的职位有很多,从就职的公司类型来说主要分为两类,一类是甲方,一类是乙方。

甲方就是在某个公司做安全,做的工作主要是针对自己的企业业务上的安全工作,其实也就是在公司建立一个网络安全部门。典型的甲方比如国内的bat3都有自己的信息安全部门。还有各大的互联网公司也都有自己的企业安全部门。

乙方则是专门做安全的公司,面向企业提供安全防护的服务,技术支持,研发安全产品买给甲方公司。国内早期的有绿盟,启明星辰,还有我们公司(北京白帽汇)、知道创宇,360企业安全等都是乙方的安全公司。

技术分享图片

更多参考:

http://www.zhihu.com/question/21434826 

对于甲方和乙方的优劣可以看知乎的讨论。大家根据自己的实际情况来分析。

web安全工程师,一名刚刚毕业的大学生,薪资大概可以达到6-8k起步,大多数的安全工程师薪资在12-20k之间。一些经验丰富的,技术比较厉害的,可以拿到25k以上。一般做的不错的,好一些,两年工作经验可以拿到20k以上。 这里特例就不说了。做到真正的行业顶尖,大牛,薪资绝对不是按月薪来算,而是按照年薪和股票来算了。

 

3、一个安全工程师的成长

 

1)入门阶段

入门阶段主要是对技术进行了解,并学会使用工具,这个阶段大多数为脚本小子。学习使用各种工具去实施入侵。该阶段是了解入侵的流程,方法。

2)进阶

当入门后,学会了使用工具,下面就是对漏洞原理以及工具的原理去进行学习研究。这段时间内会学习编程知识,并且开始打造属于自己的专属武器。这阶段主要是去深入了解漏洞原理。

3)高级

高级就是在了解了原理之后,经过不断的探索钻研,自己去研究发现漏洞,同时灵活的去运用之前所学的技术,或者进行创新。

4)自学方式

这里介绍一下大概的基本技能(详情请见)

https://www.sec-wiki.com/skill/1

上面的熟悉了,就需要对漏洞原理进行了解,研究利用并去进行大量的实践。逐渐掌握技能。

对于一名没有任何基础的人来说,3个月完全可以入门。入门后的发展因人而异。

另外这里我推荐几本书《白帽子讲web安全》《黑客攻防技术宝典之web篇》、《Web前端黑客技术揭秘》。

一些电子书资源下载地址:

https://www.sec-wiki.com/topic/16

在互联网上,还有专门的视频教学,大家可以看视频去进行学习。

5)培训机构

目前有i春秋有和神话专门做安全培训的机构。

 安全工程师职业规划之一(一个例子)

现在做安全工程师,常规路线,一般我们主要是从事安全互联网的公司的安全防护人员。在一些互联网企业安全部分担任工作,随着企业的发展,以及业务需要,根据情况,部门扩充,开发出自己的产品或者工具。担任安全部门技术负责人。有了积累之后跳槽或者创业。(web安全工程师成长路线)

Windows黑客学习路线图

技术分享图片

 

 

本文转载自 吴明

链接:https://blog.csdn.net/sakaison/article/details/52288685

以上是关于一个安全工程师的心路历程的主要内容,如果未能解决你的问题,请参考以下文章

一位前端专家构建GraphQL工程的心路历程

字节跳动年仅28岁郭宇退休有感——软件测试工程师心路历程

维护一个大型开源项目是怎样的体验?AutoKeras作者亲述心路历程

2016我的心路历程:从 Vue 到 Webpack 到 iView

作为NLP算法,最近被ChatGPT刷屏后的心路历程

分享一下我做软件测试这些年的心路历程