我对网络安全的思考

AabyssZG
2022-12-09 / 20 评论 / 4,337 阅读 / 正在检测是否收录...
温馨提示:
本文最后更新于2023年09月29日,已超过581天没有更新,若内容或图片失效,请留言反馈。

注:本篇文章仅代表个人观点

如有异议,欢迎在文章下方友善回复,谢谢

相遇即是缘分,希望你能仔细看完这篇文章,并能做出自己的思考

每个人的目光都有自己的局限性,理性看待并吸收他人的观点,是常识

网络安全思考-1.png

1# 对于当今网络安全的形势

网络安全(信息安全)到如今,发展也不过十几年,但它的发展速度、更新速度却能算是非常迅速的,以下几点是我的个人看法:

  • 这几年,无数大大小小的安全事件的出现,让企业逐渐重视起网络安全。我一直重复一句话:安全事件永远是网络安全的第一生产力,没有安全事件,企业就很难重视网络安全。
  • 攻防对抗是一个漫长的过程,正是有了攻和防,才会演化出那么多技术、产品,这是无穷无尽的一个过程。单从技术的角度来看,一项最新的攻击技术,有可能过一个月,就会有更新的技术来替代它,也可以刚出现,就被防守方拿来分析,进而抵御、溯源甚至反制攻击者。
  • 计算机网络技术的发展,不管是硬件还是软件,只要连入互联网,都面临着来自互联网面的安全。而随着整个世界步入信息时代,前些年如果你关注科技板块,可以发现“互联网+”是个热词,动不动就说“互联网+”。而各个企业纷纷进行“互联网+”,为解决各种各样的需求,里面衍生出的各种软件(开源框架/企业OA/生产平台)、硬件,从软件、硬件的初始设计中,就没有重视网络安全,为攻击者提供了许许多多的可乘之机。
  • 网络安全确实是计算机领域的一个红利,但远远没有达到营销号所说的那么夸张,我们要理性看待这个红利。
  • 网络安全是技术指向型的产业,最后都会回归到两个字“技术”,如果没有足够的技术储备,那就请做好被淘汰的心理准备吧。

随着信息时代的发展,网络安全也拓展出许许多多的新兴领域,我这里举几个例子:供应链安全,开源软件漏洞挖掘,AI模型攻击与防护(渗透自动化),数据分类分级,数据跨境流动安全,物联网安全,网络协议漏洞挖掘

这些领域是缺少人才的,同时这方面的人才相对来说也是很难培养的

拿物联网来说,物联网安全的细分方向:路由器&物联网设备漏洞挖掘、固件模拟器、物联网设备标签、物联网协议漏洞挖掘、漏洞自动修复、车联网安全、无线电安全

所以,格局要打开,不要局限于目前的形势

2# 对于网络安全的学习

其实每个人,我也一样,大家都是从0开始,大家都有作为菜鸡的一个阶段;但是心态很重要,以下几点我觉得是有必要提的:

  • 要承认自己在技术上面的欠缺
  • 在学习上谦虚上进、在技术上认真钻研、在待人上友善随和
  • 在技术的道路上,持之以恒才能有所收获
  • 网络安全的学习道路,很多时候都是孤身一人,实话说,学习网络安全是很辛苦的,要耐得住寂寞,能深耕于网络安全领域,对技术有自己的独立思考

在我大学的时候,遇到过许许多多的同学,有一位章某某同学,虽然对网络安全(信息安全)有浓厚的兴趣,但却一直呆在舒适区,不愿意下决心认真学习,我个人认为如果他依旧如此,那在专业上必然很难有所建树。希望他有缘能看到这篇文章,冲出舒适区吧。

我虽然混迹网络安全十余载,但我也不敢说自己精通于网络安全,只能说自己略懂略懂。

网络安全的技术更新很频繁,新的技术层出不穷,“逆水行舟、不进则退”,不前行的话,很快你就被行业淘汰了。这一点是值得各位师傅细细品味的。
随着自己的学习,对于网络安全的眼界逐渐扩大的时候,真的会感慨:还有好多东西等着我们去学习、去进取、去突破,自己真的啥也不会。而当你再去潜下心来学习新的技术的时候,不知不觉你就在成长了,当多年后,再转头来看看以前的自己,可能会觉得又好笑又心酸又自豪。

3# 为什么都说网安难入门

我十余载和各种各样的师傅接触,有从双一流到大专、中专的学生,又有从小厂到大厂的在职员工,我认为难以入门有以下几点(个人看法,仅供参考):

  • 目前国内的网络安全(信息安全)相关教育,是缺乏体系化、系统化、科学化的教学,也没有给学生足够的实践空间和机遇
  • 目前学习的相关知识,不符合网络安全相关岗位的需要
  • 国内很多无良的营销号,带偏了很多学生的观点(诸如:学网安必须要英语好,必须要“精通”编程,你放屁)
  • 网络安全相关的学习资料,在互联网上也是呈现碎片化,十分考验信息搜集的能力
  • 国内各种割韭菜的所谓“网络安全培训课”,到头来交了几千块啥也没学会或者只教你一些皮毛(这里点名腾某课堂,上面什么垃圾课程)
  • 网络安全涉及内容颇多,学习难以下手,啥都想学却啥也没学会的大有人在

但我一直奉行着一条观点:我上面算是抱怨,但既然是抱怨,那就要提出解决方法。只抱怨而没有解决方法,是无效的,这样只会增长彼此的怨气罢了。

4# 如何入门网络安全

我这里只提供一个方法论(思路),希望你看完后有自己的思考:

我个人认为,作为攻击者,想要完成一次完整攻击链,大致需要做到以下七步:信息搜集、漏洞利用、建立据点、权限提升、权限维持、横向移动、痕迹清除

而网上有很多课程都教的是Web安全,Web安全正是攻击链的开头呀。现在很多资产都会对外开放Web服务,通过信息搜集找到利用点,再通过Web服务的漏洞拿到Webshell,才能有后面打内网、打域控的内容。
而我们不能止步于Web安全,学完Web安全,就应该学习内网安全、免杀、域渗透的相关版块了。第一,现在会Web安全的人太多了,没有足够的竞争力;第二,只会Web安全,在目前的网络安全岗位需求里,已经很难满足岗位的需要了。

我这里只是提供了一种思路,如果你决意想钻研上面我提供的那些新兴网络安全领域,也是可以的,希望你能有所收获。

这里,推荐一个开源项目,希望各位师傅看看:https://github.com/SecWiki/sec-chart

也推荐我们团队的导航,相信对你的学习有所帮助:https://dh.aabyss.cn

再推荐团队公众号上我写的一篇文章: https://mp.weixin.qq.com/s/r95kz0aRVSkAXzMDeRkcaQ

5# 总结

每个人都有属于自己的道路,学习的路上,希望你能不忘初心、砥砺前行。
没必要追寻他人的脚步,做好自己、把握当下即可。
不过分自卑,也不过分自傲,努力进取,必有所成!

126

评论 (20)

取消
  1. 头像
    彦语
    Windows 10 · Google Chrome

    偶然发现渊龙安全团队,偶然认识曾哥,作为一名磕磕绊绊走到今天的自学者,可以深深感悟到曾哥所说的经验和存在的问题,慢慢学吧,加油表情

    回复
    1. 头像
      AabyssZG 作者
      Windows 10 · Google Chrome
      @ 彦语

      哈哈,感谢师傅的关注和支持~
      互相学习,共同进步!!!表情

      回复
  2. 头像
    leeyper
    Windows 10 · Google Chrome

    也是在不同的群里发现曾哥,虽未加好友,但曾哥是从业者每一个人的朋友。我记得pikachu哪个靶场上有句话很经典,少就多,慢就是快。

    回复
  3. 头像
    AGwuyanzu
    Windows 10 · Google Chrome

    ZG牛逼

    回复
  4. 头像
    叶子青
    Windows 10 · FireFox

    刚毕业进入安全行业,真的感觉到自己技术好差,希望我不要因为挫折而感到气馁,坚持向前进!表情

    回复
  5. 头像
    xxe
    Windows 10 · Google Chrome

    学网安要会编程和英语我靠!我最开始入门就是被某些屁都不懂的营销号骗的

    回复
    1. 头像
      g3ntl3m@n
      Linux · Google Chrome
      @ xxe

      “学网安必须要英语好,必须要‘精通’编程” 有点极端。改成“有一定基础” 感觉比较合理。

      贝多芬双耳要是没有失聪,音乐成就可能会更高。另外世界上只有一个贝多芬。--引用自安全行业某二十多年从业者

      回复
  6. 头像
    g3ntl3m@n
    Linux · Google Chrome

    你好,曾哥。请问平时在实际评估中,遇到getshell的情况多不多,复杂域环境多不多。

    回复
    1. 头像
      AabyssZG 作者
      Windows 10 · Google Chrome
      @ g3ntl3m@n

      按照我目前的工作实际情况来看,遇到getshell和复杂域环境的情况都挺多的

      回复
      1. 头像
        g3ntl3m@n
        Linux · Google Chrome
        @ AabyssZG

        表情表情表情

        回复
  7. 头像
    g3ntl3m@n
    Linux · Google Chrome

    现在的网络攻击者主要分为两者,一个是勒索组织,一个是国家级APT。
    Web漏洞主要用于获取立足点(初始访问)。
    奇怪的是,我看了这么多新闻资讯,几乎没有看到这两者的攻击用到Web漏洞获取立足点的,我就疑惑,当下的web安全研究,是不是有点多余了,算是内卷吗?
    还是说,新闻资讯只是实际攻击的表象?

    回复
    1. 头像
      AabyssZG 作者
      Windows 10 · Google Chrome
      @ g3ntl3m@n

      新闻资讯更重要的是宣传造成的损失,并不负责去输出攻击路径,比如“xxx集团因网络攻击造成xxx文件泄露,造成损失x亿”
      如果想要深入学习,更应该去看攻击事件的详细分析报告,而不是去看这些新闻资讯,一笔带过的攻击并不能让你学到什么,可以多去找找海内外的详细攻击分析报告
      当下的Web安全研究依然重要,取决于你能不能有能力挖出具有影响力的0day,而不是只会打nday和漏洞扫描器
      目前Web渗透在整个复杂攻击链路当中,一直是重要的后勤能力,攻击面决定了对目标的打击深度和广度
      一方面是企业资产暴露面,一方面就是网络边界的突破,其中很重要的就是Web攻击武器化,而且挖出来了一个0day去利用,如果没有详细分析攻击流量上下游,很难去找到入口点在哪,怎么突破的,人家也不会把0day公之于众

      回复
      1. 头像
        g3ntl3m@n
        Linux · Google Chrome
        @ AabyssZG

        嗯,看来我对web认识还太有限。这几天思考并研究了web具体危害情况。

        以前总觉得只能窃取下数据,窃取会话盗取账户,完全忽略了大量影响广泛危害的的漏洞都是web,都是可以直接代码执行,并获取立足点的,有的甚至直接就是高权限。

        总之,受教了。

        回复
        1. 头像
          AabyssZG 作者
          Windows 10 · Google Chrome
          @ g3ntl3m@n

          不,还有一点你忘记了,不仅仅是窃取数据,而是内网渗透的前提条件
          在大型企业架构中,通过Web渗透建立入口点,进而进行内网渗透获得核心数据或者敏感机器的案例,都比比皆是
          Web渗透更重要的是为后续的内网渗透建立稳定的入口点,并获取到相应的密码本,从而更好的为后续内网展开更深入的渗透

          回复
      2. 头像
        g3ntl3m@n
        Linux · Google Chrome
        @ AabyssZG

        关于0day,我觉得让渗透测试工程师和大多数红队去挖0day有点不现实。

        一个原因是时间窗口要求
        渗透和红队这两者是具体的项目实施者,实战者。渗透测试通常时间很短,红队评估通常更长一点。
        挖掘0day,如果是web方面的,要经过大量的代码审计和调试,非常费时间,肯定过了时间窗口了。如果是软件或者协议的, 就更复杂了,时间更长了。所以就有了专门的安全研究员。
        可矛盾的是,要是专门从事安全研究,通常是专精,那么他所对应的具体实际场景攻击能力肯定不如渗透测试和红队,这是理所当然的。因为有数十种安全产品,AV, EDR, WAF......,和数百中业务类型场景。

        第二各原因是,我看过一些分析,实际攻击者勒索组织很少使用0day,都是利用已知未修补的漏洞,因为0day费时,还不经济。他们只是为了快速完成任务达成手段,结果最重要。这正好对应了渗透和红队。
        APT我不太懂,只知道,他们由国家支持,时间充足,可以为了研究一个0day耗费时间多久都没关系,而且研究资金根本不愁。

        回复
        1. 头像
          AabyssZG 作者
          Windows 10 · Google Chrome
          @ g3ntl3m@n

          第一点、不拿别的攻击行为来说,就拿国内的HW演练行动来说。你不管问参加HW的哪一位师傅,就问HW期间有没有爆出一堆0day,他绝对和你说有而且很多。实际上,国内红队和实验室从HW行动结束后,就开始研究并储备新的相关系统0day,用于下一年的省级、国家级的HW行动。并不是不现实,而是你不知道而已,在你留言中,我觉得你提到的职位更像是安全服务工程师,而不是红队。
          第二个,APT这三个英文字母的缩写是高级持续性威胁(Advanced Persistent Threat,APT),往往是国家级力量在背后支撑,针对的是重要的经济、外交、国防、能源行业,这些行业背后是多少技术的支撑和心血?特别是重点领域的漏洞,就问你在国内安全行业了解,有多少人真正通过nday或者1day挖掘到国防行业的高危漏洞?你说勒索组织用nday打,那我认为绝对没问题,人家就走量,碰到耗子碰到猫全凭缘分,而且大部分都是企业的资产。但你说APT组织没用0day,要给人笑掉大牙咯,特别是很多重点行业都在用自研自DevSecOps的私有系统,就问你用nday怎么打?
          总结,Web渗透中,如果要有重大进展,不管是国内还是放眼全球,0day都是重要的组成部分,并不是0day不现实,是你目前的层级还没接触到。

          回复
          1. 头像
            g3ntl3m@n
            Linux · Google Chrome
            @ AabyssZG

            我懂了,我得调整自己的观念。
            *我提问是不怕暴露自己观念浅薄的*,只要能学到东西就好。
            我这下有方向了,知道该怎么努力了。
            总之,感谢耐心回复。多学习多学习...

            回复
  8. 头像
    g3ntl3m@n
    Linux · Google Chrome

    我的观察可能有问题,哈哈

    回复
  9. 头像
    g3ntl3m@n
    Linux · Google Chrome

    "CVE-2025-31324"
    我错了,见识有限。
    学习学习

    回复
    1. 头像
      AabyssZG 作者
      Windows 10 · Google Chrome
      @ g3ntl3m@n

      我觉得没啥问题啊,都是在向前不断学习和成长的过程,何错之有?

      回复