我对网络安全的思考

AabyssZG
2022-12-09 / 4 评论 / 2,414 阅读 / 正在检测是否收录...
温馨提示:
本文最后更新于2023年09月29日,已超过289天没有更新,若内容或图片失效,请留言反馈。

注:本篇文章仅代表个人观点

如有异议,欢迎在文章下方友善回复,谢谢

相遇即是缘分,希望你能仔细看完这篇文章,并能做出自己的思考

每个人的目光都有自己的局限性,理性看待并吸收他人的观点,是常识

网络安全思考-1.png

1# 对于当今网络安全的形势

网络安全(信息安全)到如今,发展也不过十几年,但它的发展速度、更新速度却能算是非常迅速的,以下几点是我的个人看法:

  • 这几年,无数大大小小的安全事件的出现,让企业逐渐重视起网络安全。我一直重复一句话:安全事件永远是网络安全的第一生产力,没有安全事件,企业就很难重视网络安全。
  • 攻防对抗是一个漫长的过程,正是有了攻和防,才会演化出那么多技术、产品,这是无穷无尽的一个过程。单从技术的角度来看,一项最新的攻击技术,有可能过一个月,就会有更新的技术来替代它,也可以刚出现,就被防守方拿来分析,进而抵御、溯源甚至反制攻击者。
  • 计算机网络技术的发展,不管是硬件还是软件,只要连入互联网,都面临着来自互联网面的安全。而随着整个世界步入信息时代,前些年如果你关注科技板块,可以发现“互联网+”是个热词,动不动就说“互联网+”。而各个企业纷纷进行“互联网+”,为解决各种各样的需求,里面衍生出的各种软件(开源框架/企业OA/生产平台)、硬件,从软件、硬件的初始设计中,就没有重视网络安全,为攻击者提供了许许多多的可乘之机。
  • 网络安全确实是计算机领域的一个红利,但远远没有达到营销号所说的那么夸张,我们要理性看待这个红利。
  • 网络安全是技术指向型的产业,最后都会回归到两个字“技术”,如果没有足够的技术储备,那就请做好被淘汰的心理准备吧。

随着信息时代的发展,网络安全也拓展出许许多多的新兴领域,我这里举几个例子:供应链安全,开源软件漏洞挖掘,AI模型攻击与防护(渗透自动化),数据分类分级,数据跨境流动安全,物联网安全,网络协议漏洞挖掘

这些领域是缺少人才的,同时这方面的人才相对来说也是很难培养的

拿物联网来说,物联网安全的细分方向:路由器&物联网设备漏洞挖掘、固件模拟器、物联网设备标签、物联网协议漏洞挖掘、漏洞自动修复、车联网安全、无线电安全

所以,格局要打开,不要局限于目前的形势

2# 对于网络安全的学习

其实每个人,我也一样,大家都是从0开始,大家都有作为菜鸡的一个阶段;但是心态很重要,以下几点我觉得是有必要提的:

  • 要承认自己在技术上面的欠缺
  • 在学习上谦虚上进、在技术上认真钻研、在待人上友善随和
  • 在技术的道路上,持之以恒才能有所收获
  • 网络安全的学习道路,很多时候都是孤身一人,实话说,学习网络安全是很辛苦的,要耐得住寂寞,能深耕于网络安全领域,对技术有自己的独立思考

在我大学的时候,遇到过许许多多的同学,有一位章某某同学,虽然对网络安全(信息安全)有浓厚的兴趣,但却一直呆在舒适区,不愿意下决心认真学习,我个人认为如果他依旧如此,那在专业上必然很难有所建树。希望他有缘能看到这篇文章,冲出舒适区吧。

我虽然混迹网络安全十余载,但我也不敢说自己精通于网络安全,只能说自己略懂略懂。

网络安全的技术更新很频繁,新的技术层出不穷,“逆水行舟、不进则退”,不前行的话,很快你就被行业淘汰了。这一点是值得各位师傅细细品味的。
随着自己的学习,对于网络安全的眼界逐渐扩大的时候,真的会感慨:还有好多东西等着我们去学习、去进取、去突破,自己真的啥也不会。而当你再去潜下心来学习新的技术的时候,不知不觉你就在成长了,当多年后,再转头来看看以前的自己,可能会觉得又好笑又心酸又自豪。

3# 为什么都说网安难入门

我十余载和各种各样的师傅接触,有从双一流到大专、中专的学生,又有从小厂到大厂的在职员工,我认为难以入门有以下几点(个人看法,仅供参考):

  • 目前国内的网络安全(信息安全)相关教育,是缺乏体系化、系统化、科学化的教学,也没有给学生足够的实践空间和机遇
  • 目前学习的相关知识,不符合网络安全相关岗位的需要
  • 国内很多无良的营销号,带偏了很多学生的观点(诸如:学网安必须要英语好,必须要“精通”编程,你放屁)
  • 网络安全相关的学习资料,在互联网上也是呈现碎片化,十分考验信息搜集的能力
  • 国内各种割韭菜的所谓“网络安全培训课”,到头来交了几千块啥也没学会或者只教你一些皮毛(这里点名腾某课堂,上面什么垃圾课程)
  • 网络安全涉及内容颇多,学习难以下手,啥都想学却啥也没学会的大有人在

但我一直奉行着一条观点:我上面算是抱怨,但既然是抱怨,那就要提出解决方法。只抱怨而没有解决方法,是无效的,这样只会增长彼此的怨气罢了。

4# 如何入门网络安全

我这里只提供一个方法论(思路),希望你看完后有自己的思考:

我个人认为,作为攻击者,想要完成一次完整攻击链,大致需要做到以下七步:信息搜集、漏洞利用、建立据点、权限提升、权限维持、横向移动、痕迹清除

而网上有很多课程都教的是Web安全,Web安全正是攻击链的开头呀。现在很多资产都会对外开放Web服务,通过信息搜集找到利用点,再通过Web服务的漏洞拿到Webshell,才能有后面打内网、打域控的内容。
而我们不能止步于Web安全,学完Web安全,就应该学习内网安全、免杀、域渗透的相关版块了。第一,现在会Web安全的人太多了,没有足够的竞争力;第二,只会Web安全,在目前的网络安全岗位需求里,已经很难满足岗位的需要了。

我这里只是提供了一种思路,如果你决意想钻研上面我提供的那些新兴网络安全领域,也是可以的,希望你能有所收获。

这里,推荐一个开源项目,希望各位师傅看看:https://github.com/SecWiki/sec-chart

也推荐我们团队的导航,相信对你的学习有所帮助:https://dh.aabyss.cn

再推荐团队公众号上我写的一篇文章: https://mp.weixin.qq.com/s/r95kz0aRVSkAXzMDeRkcaQ

5# 总结

每个人都有属于自己的道路,学习的路上,希望你能不忘初心、砥砺前行。
没必要追寻他人的脚步,做好自己、把握当下即可。
不过分自卑,也不过分自傲,努力进取,必有所成!

88

评论 (4)

取消
  1. 头像
    彦语
    Windows 10 · Google Chrome

    偶然发现渊龙安全团队,偶然认识曾哥,作为一名磕磕绊绊走到今天的自学者,可以深深感悟到曾哥所说的经验和存在的问题,慢慢学吧,加油表情

    回复
    1. 头像
      AabyssZG 作者
      Windows 10 · Google Chrome
      @ 彦语

      哈哈,感谢师傅的关注和支持~
      互相学习,共同进步!!!表情

      回复
  2. 头像
    leeyper
    Windows 10 · Google Chrome

    也是在不同的群里发现曾哥,虽未加好友,但曾哥是从业者每一个人的朋友。我记得pikachu哪个靶场上有句话很经典,少就多,慢就是快。

    回复
  3. 头像
    AGwuyanzu
    Windows 10 · Google Chrome

    ZG牛逼

    回复