前言
绝大部分想从事网络安全工作的年轻小伙伴都会有个疑问,那就是渗透、运维和逆向二进制这三者,选择深耕哪一类才能在未来竞争愈发激烈的行业赛道中脱颖而出,获得高薪并保持竞争力,避免互联网的35岁职场“灰犀牛”。毕竟学习一门学科需要付出大量的时间成本,只有事前对行业进行深入的分析,才能做出相对科学的决策,为自己拟定一个更具优势的职业规划。
要弄清楚这个问题,首先我们要了解网络安全行业发展的主要方向。工信部在2022年1月12日发布了国内最权威的《网络安全产业人才岗位能力要求》标准(以下简称《要求》),文中通过一张网络生命周期表,明确给出了网络安全的从业范围。
【----帮助网安学习,以下所有学习资料文末免费领!----】
如上图所示,安全规划与设计是整个网络安全生命周期的基础环节,安全建设与实施是整个网络安全生命周期的关键环节, 安全运行与维护是整个网络安全生命周期的重要环节,安全应急与防御是整个网络安全生命周期的重要保障,安全合规与管理贯穿整个网络安全生命周期。由此得出,网络安全产业主要涉及图示的“四阶段一整体”5 个方向的主要岗位:安全规划与设计、安全建设与实施、安全运行与维护、安全应急与防御、安全合规与管理。
在给出具体方向后,《要求》列举了38个具体的主要岗位及职责。例如:安全规划与设计方向主要包括:系统安全需求分析师、安全产品分析师、业务安全分析师等5类;安全建设与实施方向主要包括:安全开发工程师、网络安全产品工程师、终端安全产品工程师等6类;安全运行与维护方向主要包括:安全运维工程师、安全运营工程师、数据安全管理工程师4类;安全应急与防御方向主要包括: 网络安全监测工程师、网络安全态势分析工程师、漏洞挖掘工程师等11类;安全合规与管理方向主要包括:安全咨询工程师、安全合规风控咨询师、安全产品售前咨询师等13类。
那么这38个技术岗位的薪资待遇情况如何呢?此处引用2021年最新版《网络安全产业人才发展报告》的数据,如图:
报告中提到,网络安全领域的薪酬近年来稳步增长,2021年上半年,网络安全领域的平均招聘薪酬达到22387元 /月,较去年同期提高了4.85%,其中市场需求量最高的研发技术岗成为含金量最高的岗位,2021年上半年平均月薪24887元/月。相较于全行业的平均工资偏高的主要原因是大部分公司通过社会招聘网站希望招募的人才都是“经验足、技术强”的人才。
那么对于“经验足、技术强”的理解,结合《要求》中提到的38个具体技术岗位能力的解释可知:至少3-5年的信息安全及安全服务作经历,熟悉主要的信息安全和安全攻防技术,孰悉安全管理体系建立和风险管理,了解业务系统的安全控制技术和实现方案。熟悉信息安全评估的理论和方法,熟悉安全加固和安全审计技术,有丰富的实践经验,熟悉漏洞扫描、漏洞处理相关知识,拥有漏洞处理经验。更进一步则包括:能负责客户信息安全体系建设咨询,风险评估、推动整改等、针对客户安全规划咨询需求,独立排写安全规划建设相关方案;梳理各项信息安全的流程管理情况,针对涉及安全的风险进行有效识别、提出优化或管控的建议或方案,并推动整改;参与信息安全、风险管理的项目或建设,并且了解当前的信息安全威胁和趋势,制订安全解决方案并推动落地实施,对信息安全问题导致的紧急与突发事件统筹制定应急预案,做好应急推进工作。
图例:
综上,我们做选择前,主要需了解两个问题。
第一,需要了解目前这三者在市场中的岗位需求状况。
二进制逆向,代码审计的岗位目前供小于求,市场需求量大,工作技术含量高而专业人才稀缺。企业基本都要求具有1年以上的移动安全领域相关的经验,熟悉逆向技术,熟练使用安全分析测试工具和网络安全事件应急响应方法,能够对网络安全事件进行分析,溯源并输出分析报告,具备一定的威胁情报分析和挖掘能力。其次,运维岗需求也很多,入行门槛较低,但在求职平台是个很宽泛的定义,不同公司对招聘运维的要求也不一样。有些公司运维工作是桌面helpdesk ,有些公司是网络管理,各个层次的招聘都会存在,仅有少数公司或者大厂的运维参与开发运维或者自动化运维。再次,目前渗透在市场中属于三者中较难求职的一类,中低水平的人已经比较饱和,企业对求职者的工作和项目经验要求较高,所以求职者通常需要通过三五年的实际工作经验才能达到相应的水平。
第二,我们还需要思考的是学习三者的难易程度以及所需的资金和时间成本,去综合考量。
毫无疑问,二进制的学习难度最大,所需时间最多。不同的机构线下课程价格在2-3万之间。可以说二进制是程序猿水平的分水岭。二进制安全本质上是指在传输数据时,保证二进制数据不被篡改、破译等,保障应用程序运行不被修改,覆盖到信息安全的各方各面。二进制运算也是计算机最底层的运算,如果攻击能在二进制层面及时检测出来,将极大提升效率。在网络安全中,二进制安全占据着至关重要的基石地位,0day漏洞挖掘、漏洞库研发、恶意代码检测、杀软、沙箱、反调试、二进制木马查杀的安全工作都基于这个方向的研究。移动基带、物联网、硬件等新兴领域的安全研究也都离不开二进制安全。
虽然目前尚未有关于前景的专业调研数据,但顶级黑客大都是懂加密、会防护、能挖洞、擅逆向破解的二进制高手。二进制安全大致有以下六个发展方向:网络安全逆向工程师、恶意代码分析工程师、二进制漏洞分析工程师、二进制漏洞挖掘工程师、游戏安全工程师、二进制安全研发工程师。作为极客高阶技能,二进制安全也需要个人投入较多的时间与精力研究技术。
其次是渗透。不同的机构线下课程价格在1-2万之间。初级的渗透岗适合自学,但大多数都只能达到“脚本小子”级别,自学成黑客高手的可能性极低,可谓凤毛麟角。尽管渗透的学习周期比二进制短。但如今,渗透的入行门槛也越来越高,相关技术能力堂握要求越来越高,渗透需要掌握的知识内容比较多,所以需要多花一些时间,它不像软件测试和前端开发,掌握一定的编程能力就可以了,渗透测试掌握代码是基础,其次还需要学习服务器操作系统数据库相关知识、web安全基础、渗透测试基础、漏洞原理和挖掘复现能力,代码审计、攻击和防守等等相关技术。因此如果走这个方向的话需要多花一些时间去系统学习。
最后,运维属于三者中起步低,最容易学习及入行的一类,不同的机构线下课程价格在15000-20000之间。随着中国互联网的高速发展(目前中国网民已跃升为全球第一)、网站规模越来越来大、架构越来越复杂;对专职网站运维工程师、网站架构师的要求会越来越急迫,特别是对有经验的优秀运维人才需求量加大;由于运维岗位所接触的知识面非常广阔,更容易培养或发挥出个人某些方面的特长或爱好,如内核、网络、开发、数据库等方面,可以做得非常深入精通、成为这方面的专家。运维学习需要分为四个阶段,linux初级入门——linux中级进阶——linux高级提升,和资深方向细化。
综上所述,我们大致可以得出以下四个结论:
一、目前网络安全行业,运维安服岗位需求最多,占比80%。少部分安服企业需要渗透的岗位要求较高,必须具备相当充足的技术经验。所以目前,学习安全运维就业机会最多,其实有一点最重要的就是安全运维必须也是懂攻才懂防。
如果善于学习,后期还可以转向系统架构师或者cto,前文提到了运维虽门槛较低,但是很多企业的具体工作可能跟预想的反差较大,选择学习运维,则主要考虑自己的客观条件,未来是否有机会进入一二线城市的大型企业去接触自动化运维,devops,云计算,这样会更利于未来的职业发展。
二、二进制。门槛以及深入学习的成本较高,学习曲线比较陡峭,但是非常适合兴趣导向专心做技术的同学。web渗透可以快速入门进步,但是二进制安全光有兴趣是远远不够的,在做漏洞挖掘,病毒分析,软件逆向前需要补充大量的基础知识,通常这些基础都是挺枯燥的,所以更需要坚持,踏实与耐心。如果你有技术理想,做二进制安全研究是一个很好的选择,当然需要的付出也是巨大的,未来的成长空间广阔。
三、渗透属于信息安全领域专业性较强的工作种类。所以抛开前景,兴趣才是做选择的一个重要出发点。web渗透是网络安全大行业里入门板块,就像10年前的软件开发一样,前景和薪资都非常的诱人,渗透测试对技术的要求性不高,对思维和手段的要求性较高。
四、基于前文中提到的公司多数要求经验足、技术强,那么对于刚毕业的新人来说,并不适合一毕业就考证,证书对于有足够业内经验的人来说才是锦上添花。用人单位HR经验丰富,很清楚新人花钱考的证含金量并不高,所以,建议新入行积累一定经验后再去考认证,更容易寻求到好的就业机会。
下面列出安全运维需要掌握的技能如下参考:
1.对目前现有网络架构有一定的了解,熟悉防火墙,WAF,路由交换,IDS,IPS等等设备以及原理作用,能熟练操作也会让基础更扎实。
2.熟悉OWASP TOP 10 榜单上,常见的应用软件风险,了解产生的原因,以及逻辑,了解常见的处理方式。
3.熟悉常见的各类操作系统的命令(比如需要查询linux日志,以作为被攻击后,能接用日志分析对方进攻思路)熟悉windows各类日志查询及分析。
4.熟悉一套安全\网络响应流程,以便优化本项目\其他安全网络项目。
5.了解红蓝对抗,你需要知道别人怎么进攻,才会知道怎样防御,怎样检查,怎样溯源。
6.具有一定的日志分析基础,可以根据日志分析,找到对方留下的后门或被修改的文件。
7.具有一定的文案能力,需要周期的汇报安全成果。
安全核心是在预防,所以很多时候,这个职位并不是很受别人重视,需要有一定的自驱力,不断去国内外的安全社区学习新的知识,了解新的漏洞,以及可使用的方式或逻辑。
而运维安全,首先是运维。日常工作中与IT、安全和网络部门关系都十分密切,保持与兄弟部门的良好沟通和信息共享非常重要。下面我们探讨一下与他们合作的可能性。与IT部门主要是办公网安全,尤其是网络接入系统,通常是IT维护,但由于历史原因或者技术支持的需求,NAC可能需要运维安全人员提供技术支持,比如前面提到的堡垒机服务。与安全部门运维安全属于安全的一个分支,但是不在安全部门管理之下,但其与安全部门的联系极其密切,可以说无论是业务安全,还是运维安全,都是“站在巨人之上”。
安全部门提供基础设施如DDoS防御系统,包括目前公有云里的高防服务,WAF这些都很重要,和对外统一接口如SRC等安全部门提供SDL支持,运维与产品部门的联系较安全部门更为密切,很多时候需求先到运维,才到安全,所以通过运维安全一起推动安全培训、安全架构设计与落地、渗透测试等工作也不少见。相对应的,运维安全也能根据运维部门和产品具体情况实现精细化的漏洞运营,同时推动漏洞高效修复。与网络部门很多企业的运维和网络很长一段时间都是放在同一个部门之下,即便拆分出来之后,两者合作也是最多。
对于运维安全而言,在访问控制和DDoS防御上非常需要网络部门支持。访问控制如网络隔离和统一出入口访问控制的落地DDoS防御网络打通、流量采集与包括ip资产信息在内的数据共享本文从运维安全的概念入手,强调了运维安全困境导致了我们的重视,也从安全意识和基础架构建设上剖析了导致该困境的原因,然后就事论事,希望通过运维安全意识培养、运维安全规范以及运维安全技术体系的建设,来保障一套完整的运维安全体系的有效运转,为业务发展保驾护航。
安全运维,是企业管理中躲不开的一个环节,有一套良好的安全运维规范,可以帮助企业降低安全隐患。那么到底应该如何做好安全运维?
安全运维包含两层意思,第一层是维护一个组织的信息完全管理体系,比如使用防火墙维护公司的安全域划分;第二层意思是在运维工作中落实安全管理要求,降低运维工作中的安全风险。
由此可见,第二层的意思立足于第一层,安全运维的前提是企业有明确的信息安全管理体系,信息系统有较合理的安全架构。
安全运维的主要工作模式也分为两种。
一种是依靠信息安全管理团队的工作模式,组织建立信息安全管理体系,在信息系统建设时同步建设信息安全技术措施,督促信息系统在建设中同步落实安全管理要求,利用安全产品开展管理与审计监督。
另一种是依靠运维人员的工作模式,把安全赋能给运维人员, 运维人员根据安全要求执行规范的运维规程。安全运维需要将两种模式有机结合,不是信息安全团队或者运维人员的单打独斗,才有起到最好的效果。
以上都是基于本行业目前的实际情况给出的建议,你或许还是感到迷茫,需要一个明确的指引,但是,我们无法给出一个肯定的答案。即使最优秀的经济和社会学家也无法准确的预测某行业的具体发展情况,任何事物的发展都处于不断变化中,任何一个行业的发展都会受到来自于外部经济大环境、技术变革以及行业供需关系的影响。我们每个个体,只能追随时代大潮选择一个相对正确的大方向。人生的两大智慧是:选择和定力。你已然选择了网络安全这个符合时代变迁的朝阳行业,接下来考验的,是你的定力。无论是学渗透、运维还是逆向,坚持下去并成为该领域的专家,才是你最应该努力的方向。
-END-
拿下NISP证书之后,身为普通的你可以:
跨越90%企业的招聘硬门槛
增加70%就业机会
拿下奇安信、腾讯等全国TOP100大厂敲门砖
体系化得到网络安全技术硬实力
IT大佬年薪可达30w+
如何入门学习网络安全【黑客】
【----帮助网安学习,以下所有学习资料文末免费领取!----】
> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集(含答案)
> ⑧ APP客户端安全检测指南(安卓+IOS)
大纲
首先要找一份详细的大纲。
学习教程
第一阶段:零基础入门系列教程
该阶段学完即可年薪15w+
第二阶段:技术入门
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
阶段三:高阶提升
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
CTF比赛视频+题库+答案汇总
实战训练营
面试刷题
最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。
但是,我觉得很多人拿到了却并不会去学习。
大部分人的问题看似是“如何行动”,其实是“无法开始”。
几乎任何一个领域都是这样,所谓“万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。
如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比一切都重要。
资料领取
上述这份完整版的网络安全学习资料已经上传CSDN官方,朋友们如果需要可以微信扫描下方CSDN官方认证二维码 即可领取↓↓↓
或者
【点此链接】领取