我对网络安全的思考 注：本篇文章仅代表个人观点如有异议，欢迎在文章下方友善回复，谢谢相遇即是缘分，希望你能仔细看完这篇文章，并能做出自己的思考每个人的目光都有自己的局限性，理性看待并吸收他人的观点，是常识1# 对于当今网络安全的形势网络安全（信息安全）到如今，发展也不过十几年，但它的发展速度、更新速度却能算是非常迅速的，以下几点是我的个人看法：这几年，无数大大小小的安全事件的出现，让企业逐渐重视起网络安全。我一直重复一句话：安全事件永远是网络安全的第一生产力，没有安全事件，企业就很难重视网络安全。攻防对抗是一个漫长的过程，正是有了攻和防，才会演化出那么多技术、产品，这是无穷无尽的一个过程。单从技术的角度来看，一项最新的攻击技术，有可能过一个月，就会有更新的技术来替代它，也可以刚出现，就被防守方拿来分析，进而抵御、溯源甚至反制攻击者。计算机网络技术的发展，不管是硬件还是软件，只要连入互联网，都面临着来自互联网面的安全。而随着整个世界步入信息时代，前些年如果你关注科技板块，可以发现“互联网+”是个热词，动不动就说“互联网+”。而各个企业纷纷进行“互联网+”，为解决各种各样的需求，里面衍生出的各种软件（开源框架/企业OA/生产平台）、硬件，从软件、硬件的初始设计中，就没有重视网络安全，为攻击者提供了许许多多的可乘之机。网络安全确实是计算机领域的一个红利，但远远没有达到营销号所说的那么夸张，我们要理性看待这个红利。网络安全是技术指向型的产业，最后都会回归到两个字“技术”，如果没有足够的技术储备，那就请做好被淘汰的心理准备吧。随着信息时代的发展，网络安全也拓展出许许多多的新兴领域，我这里举几个例子：供应链安全，开源软件漏洞挖掘，AI模型攻击与防护（渗透自动化），数据分类分级，数据跨境流动安全，物联网安全，网络协议漏洞挖掘这些领域是缺少人才的，同时这方面的人才相对来说也是很难培养的拿物联网来说，物联网安全的细分方向：路由器&物联网设备漏洞挖掘、固件模拟器、物联网设备标签、物联网协议漏洞挖掘、漏洞自动修复、车联网安全、无线电安全所以，格局要打开，不要局限于目前的形势2# 对于网络安全的学习其实每个人，我也一样，大家都是从0开始，大家都有作为菜鸡的一个阶段；但是心态很重要，以下几点我觉得是有必要提的：要承认自己在技术上面的欠缺在学习上谦虚上进、在技术上认真钻研、在待人上友善随和在技术的道路上，持之以恒才能有所收获网络安全的学习道路，很多时候都是孤身一人，实话说，学习网络安全是很辛苦的，要耐得住寂寞，能深耕于网络安全领域，对技术有自己的独立思考在我大学的时候，遇到过许许多多的同学，有一位章某某同学，虽然对网络安全（信息安全）有浓厚的兴趣，但却一直呆在舒适区，不愿意下决心认真学习，我个人认为如果他依旧如此，那在专业上必然很难有所建树。希望他有缘能看到这篇文章，冲出舒适区吧。我虽然混迹网络安全十余载，但我也不敢说自己精通于网络安全，只能说自己略懂略懂。网络安全的技术更新很频繁，新的技术层出不穷，“逆水行舟、不进则退”，不前行的话，很快你就被行业淘汰了。这一点是值得各位师傅细细品味的。随着自己的学习，对于网络安全的眼界逐渐扩大的时候，真的会感慨：还有好多东西等着我们去学习、去进取、去突破，自己真的啥也不会。而当你再去潜下心来学习新的技术的时候，不知不觉你就在成长了，当多年后，再转头来看看以前的自己，可能会觉得又好笑又心酸又自豪。3# 为什么都说网安难入门我十余载和各种各样的师傅接触，有从双一流到大专、中专的学生，又有从小厂到大厂的在职员工，我认为难以入门有以下几点（个人看法，仅供参考）：目前国内的网络安全（信息安全）相关教育，是缺乏体系化、系统化、科学化的教学，也没有给学生足够的实践空间和机遇目前学习的相关知识，不符合网络安全相关岗位的需要国内很多无良的营销号，带偏了很多学生的观点（诸如：学网安必须要英语好，必须要“精通”编程，你放屁）网络安全相关的学习资料，在互联网上也是呈现碎片化，十分考验信息搜集的能力国内各种割韭菜的所谓“网络安全培训课”，到头来交了几千块啥也没学会或者只教你一些皮毛（这里点名腾某课堂，上面什么垃圾课程）网络安全涉及内容颇多，学习难以下手，啥都想学却啥也没学会的大有人在但我一直奉行着一条观点：我上面算是抱怨，但既然是抱怨，那就要提出解决方法。只抱怨而没有解决方法，是无效的，这样只会增长彼此的怨气罢了。4# 如何入门网络安全我这里只提供一个方法论（思路），希望你看完后有自己的思考：我个人认为，作为攻击者，想要完成一次完整攻击链，大致需要做到以下七步：信息搜集、漏洞利用、建立据点、权限提升、权限维持、横向移动、痕迹清除而网上有很多课程都教的是Web安全，Web安全正是攻击链的开头呀。现在很多资产都会对外开放Web服务，通过信息搜集找到利用点，再通过Web服务的漏洞拿到Webshell，才能有后面打内网、打域控的内容。而我们不能止步于Web安全，学完Web安全，就应该学习内网安全、免杀、域渗透的相关版块了。第一，现在会Web安全的人太多了，没有足够的竞争力；第二，只会Web安全，在目前的网络安全岗位需求里，已经很难满足岗位的需要了。我这里只是提供了一种思路，如果你决意想钻研上面我提供的那些新兴网络安全领域，也是可以的，希望你能有所收获。这里，推荐一个开源项目，希望各位师傅看看：https://github.com/SecWiki/sec-chart 也推荐我们团队的导航，相信对你的学习有所帮助：https://dh.aabyss.cn 再推荐团队公众号上我写的一篇文章： https://mp.weixin.qq.com/s/r95kz0aRVSkAXzMDeRkcaQ 5# 总结每个人都有属于自己的道路，学习的路上，希望你能不忘初心、砥砺前行。没必要追寻他人的脚步，做好自己、把握当下即可。不过分自卑，也不过分自傲，努力进取，必有所成！