即便一个人对网络安全事业充满了热情,但想要成功进入该领域依然是一项艰巨的任务。尽管教育市场充斥无数着学位、证书和培训项目,但与此同时,专业人士却无情嘲笑着这些从培训结构出来的“脚本小子”。
接触过很多安全教育和培训机构,也见过无数试图挣扎着从学校或其他行业过渡到信息安全领域的人,看着这些人迷茫无助,听从错误的建议全力以赴,却与真正的网络信息安全事业背道而驰甚至渐行渐远,我不禁痛心疾首。谨以本篇文章溯本清源,以正视听:
本篇将分别从以下几个部分介绍网络安全事业,希望可以作为部分或整体帮助大家,希望您在我们的领域取得成功
第 1 部分:基本原理
第一个方面,很不幸的说,即便面对互联网上无止境的黑客工具教程和安全书籍,许多信息安全求职者还没有掌握两个基本概念:
1.要破解某些东西(或保护它免受黑客攻击),您必须对该事物的工作原理有充分的了解。
2.网络安全不是像医生、老师、公务员那种铁饭碗,也不是一个一劳永逸,一成不变的工作,不是一个可以在您下班或放学回家后放在盒子里的职业。您必须对该领域充满热情,才能不断学习并了解瞬息万变的行业动态时事。如果您想要一份在下午 5:00 回家后就可以忘记的职业,网络安全可能不是正确的选择。
总的来说,关于**“网络安全”和“黑客攻击”的真正有趣之处正在于如何从各种 IT 学科的知识中大量汲取知识**。如果不深入了解网络端口、协议和架构,就很难理解攻击、恶意软件流量或入侵。同样,如果不深入了解操作系统架构、硬盘结构或编程基础知识,就很难理解恶意软件或识别系统危害。
人们有一种误解,认为老练的攻击者会使用大量恶意软件和漏洞,而事实并非如此。越是优秀的黑客,就越善于利用现有的软件和工具在任何可能的情况下破坏网络。 恶意软件只会带来更多的检测和取证的风险。
如果您正在考虑从事网络安全方面的职业,请评估您对基本计算机科学和网络概念的了解程度。如果您在其中一个方面较弱,请考虑在B站上看一些名校的公开课。仅仅看什么 Metasploit 或 kali linux 教程不会教你如何成为一名优秀的黑客。
这些教程最终也只能让你了解Metasploit模块和通信的工作原理,或者Windows密码是如何存储和传递的。在所有情况下,一个熟悉数据结构的求职者比能执行msf控制台的求职者更有价值
像计算机组成原理,计算机网络,操作系统,数据结构,底层编程语言这些都是基础,大学打的是基础,这也是很多培训机构无法覆盖到的。基础学会之后,学习其他语言就只是语法问题,一上来就学 Python,学半天都搞不懂什么内存,指针,搞不懂什么叫面向对象,也没有触类旁通的能力。
第二个方面,程序员不一定是黑客,但黑客肯定是程序员。虽然有些黑客编程能力差,但也只能说明代码组织能力比较弱。而计算机相关的基础知识必须的是实打实的和广泛涉猎的,所以一些基础弱爆导致写代码一塌糊涂的CURD码农就别整体意淫自己虽然代码写的烂也能成为碉堡的黑客了。
第三个方面,信息安全工作被宣传为高薪和前沿,因此每年的毕业生和报专业的人激增。不幸的是,对于任何培训机构或学校来说,成为一名优秀的安全专业人员都是非常困难的。如果没有自己本身对学习更多、提高技能和不断研究新技术的兴趣,一个好的学习圈子和氛围,也仅仅只能使你在门槛的边缘不断徘徊。
第 2 部分:教育和认证
关于安全行业中学历重不重要,证书重不重要的争论是一场持续而激烈的争论,并且可能仍旧会持续相当长的一段时间。我经常被问到是否需要获得xxxx…学位、xxxxx…证书才能进入信息安全领域。就目前为止,答案通常是否定的。面试官_通常_在面试一些初级人员时会将动机、批判性思维和自学能力放在首位,而一份简历中所包含的与该领域相关的个人项目、比赛经历、有没有在一些平台发表过原创文章,这通常是比学位更好的对话启动器。
话虽如此,但也有一些值得注意的例外。政府机构和大公司仍然倾向于高度重视学位,甚至可能拒绝放弃学位作为其招聘机构的要求。因此,如果没有学位,简历可能会被强制性的计算机化人力资源筛选简单地忽略。
其次,在这些类型的组织中,薪酬等级或晋升可能取决于是否拥有学位,因此没有学位的人可能不得不考虑去其他地方就业。这就需要您去了解您正在寻找工作的地方的要求。
就个人而言,在能力范围允许的情况下,获得好的学位当然会为你增加筹码,但专门获得信息安全学位并没有多大价值。
第 3 部分:信息安全领域的划分
闻道有先后,术业有专攻。
在 19 世纪的某个时期, “科学家”通常意味着通才——受人尊敬的科学家需要具有数学、生物学、物理学和化学知识。随着这些领域的复杂性增加,一个人越来越难以掌握所有涉及的所有研究和知识。而在今天,我们看到,即使是专门从事非常基础领域的科学家,每个人也都各自有自己的研究方向。安全行业与之非常相似。虽然在 1980 年代,一名安全专家可以进行渗透测试、配置防火墙和事件响应等行为,但如今这种情况已凤毛麟角。许多不同的领域构成了信息安全,对于任何一个从事信息安全专业人士来说,最重要的决定莫过于找到这些领域中的最合适自己的一个。
我们首先要了解的是“红队”和“蓝队”之间的区别,虽然信息安全工作角色经常有一些重叠,但我们通常将它们分为两大阵营——进攻(红队)和防守(蓝队)。
对组织进行专业渗透测试以生成有关其缺陷的报告的人员,以及对漏洞进行研究的人员,被称为“红队”。
对信息系统进行分析以确保安全、识别安全漏洞、验证每项安全措施的有效性并确保所有安全措施在实施后继续有效,保护组织的系统和资产免受真实和模拟攻击的人员,被称为“蓝队”。
虽然成为蓝队信息安全专业人士的途径通常与红队专业人士的途径有所不同。但是说两个阵营并非毫无瓜葛,分开来单独学习不是非常明智的。如果没有对防守实践的一般知识,就很难进行良好的进攻,反之亦然。
我们将在接下来的文章中讨论具体的红队和蓝队角色。
**为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!**
题外话
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图 
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
