一、安全行业的现状
所有做安全的方案大多会在开始介绍安全的案例,都会列举近期国内外发生的重大安全事件,
基本上都是惨不忍睹,危害巨大。这里就不一一列举了,稍微了解这个行业的人都能看到大量的案例。
但业界又有个很奇怪的现象就是新概念,新词汇层出不穷,暂时把它叫做安全创新吧,比如
HIDS,XDR,PBAC,TBAC,OBAC,BBAC,CBAC,EDR,NDR,TDR,MDR,CBDR,ADR,AIDR,SA,SOAR,CTI,ATT&CK,SIEM,IPS,IDS,WAF,EPP,CWPP,DataDR,
BAS, ASM ,ASPM, SAST ,DAST,IAST, CNAPP, XSPM,
DSPM等等。估计没有几个厂家能全部说的清楚,绝大多数甲方也是看的一头雾水。仔细分析下来,很多时候一个概念就是一个产品,这个概念到底本质是什么,原理是什么,目标是什么,为什么要用新产品,之前的产品优化下不可以吗?也没人能说的清楚。
安全的目标这二十年来没有发生太本质的变化,唯一的变化就是规模和业务复杂度一直在膨
胀,但计算机的理论又很多年没有发生根本变化。编译原理,网络通讯,操作系统原理,数据结构等很多年变化都不大,那安全的创新有多少是安全本身的创新呢,我个人理解安全创新很多都是跟随了基础架构的发展而顺道利用了这些架构带来的创新,比如hadoop,es,
clickhouse等大数据架构的发展,比如html5,http2.0等web的发展,比如spark,flink,
kafka等处理能力的发展。从这个角度看,安全就是一种特殊的业务,和oa,erp本质上没有太大的区别,无非就是需求来源不太一样而已。
从安全投入看,各种市场分析报告的结论都是投入一年比一年高。这就难免让人产生一个巨大问题,安全创新一浪又一浪,安全投入一天天涨,安全问题还是很多,到底哪里出了问题呢?
二、原因分析
罗翔老师说:“人最大的痛苦,就是无法跨越知道和做到的鸿沟。”我认为这个放在安全行业也是非常适合的。安全理念和概念非常好,也很容易理解,但能否落地是个问题。前几天看了15年前的ppt,大概是2006年左右写的,里面的原理,目标,方法放在今天看依然不过时,
那为什么到今天还做不好呢,本质的问题在知易行难,比如SOC中的关键指标关联分析,数据过载,在SOC中没有实现的很好,换个产品态势感知就能实现的好了吗,然后态势感知实现的不好,在换个产品XDR就能解决了吗?如果XDR等能解决这个问题,为什么不优化下算法在SOC中解决呢,计算机的执行都是一行一行代码组成的,所有的产品都是这样的,无非就是性能和功能的平衡,做成一个产品或者多个产品。有些产品拆分是性能问题,有些产品拆分是设计理念冲突问题,但不管怎么冲突也不应该产生这么多分类的产品。
安全没有银弹
《人月神话》书中有个重要的观点,就是软件工程是一个超级复杂的系统,所以断言没有银弹。我认为这句话同样适合安全,安全没有银弹。这本书是最早1975
年编写的,是一本非常经典的软件工程类的书,多次改版,现在看还有很多观点依然适合。
银弹介绍:在欧洲民间传说及19世纪以来哥特小说风潮的影响下,银色zidan往往被描绘成具有驱魔功效的武器,是针对狼人等超自然怪物的特效武器。后来也被比喻为具有极端有效性的解决方法,作为杀手锏、最强杀招、王牌等的代称。
勿在浮沙筑高台
这句话是著名台湾知名电脑技术专栏作家侯捷一本《深入浅出MFC》的一句话,万丈高楼平地起,勿在浮沙筑高台,所谓的基础,就好比是盖房子要打地基一样,没有坚实牢固的地基,
房子就没有稳定性,根基不稳,早晚会造成重大的危害。很多新名词、新技术固然诱人,可是如果自己的基础不扎实,就像是在云里雾里行走一样,只能看到眼前,不能看到更远的地方。这些新鲜的技术掩盖了许多底层的原理,要想真正的做好还是要走下云端,扎扎实实的把基础做好。
三、以安全有效为目标的综合运营
解决安全问题的最根本手段是要打好基础,只有打好基础后才有可能解决更高级的问题,而且很多基础的东西其实并不是不好做,而是数量多,太繁琐,这些繁琐的事情需要耐心。光靠耐心是不够的,所以需要借助一个平台去落地。暂且把这个平台的名称叫运营平台。运营平台的核心是传感器加大脑,说再直白点就是采集加分析。
运营:运营就是对运营过程的计划、组织、实施和控制,是与产品生产和服务创造密切相关的各项管理工作的总称。从定义看运营就是管理和流程,然后用技术落地。综合运营主要包括可采、可知、可查、可视、可感、可控、可验几个核心能力。
有效
安全建设的目标是什么呢,我认为目标应该是在投入和风险接受中取得一个平衡。在进一步说是对安全的指标进行平衡管理。具备包括:杀毒软件安装率,HIDS安装率,病毒查杀率,补丁升级率,漏洞修复率,事故处理及时率,堡垒机使用率,基线检查率等。平衡就是这些指标的高低接受程度和对应的投入。当然总的投入也包括采购设备和人员投入。
可采
信息化主要的基础内容包括物理环境,基础网络系统,服务和终端,应用系统几部分组成。对每一部分都有很多基础指标可以去做。
物理环境部分包括温度、湿度、电流、电压、ups、空调、门禁等信息。 基础网络主要包括设备在线、带宽占用、乱序、超时、重传、漏洞等信息。
服务器和终端包括设备在线、账号、进程、端口服务、网络连接、计划任务、启动项、日志、告警、漏洞等信息。
应用系统包括架构、组件、连接、数据流、部署、日志、告警、漏洞等信息。
可采就是能采集到目标对象上的信息,主要采集指标就看采集协议,正常平台需要支持SYSLOG、SFTP、FTP、JDBC、SNMP、SNMP
Trap、httppost、kafka、nxlog、代理服务器等采集协议。对采集协议支持的越多,可以采集的范围就越广。其次看采集效率,正常情况下现代计算机的处理能力是比较强,只要算法和频率没有太大的问题,一般是没有问题的。这里需要平衡采集频率,比如采集性能指标,理论上越频繁约好,但实际上太频繁对设备会产生影响,采集过来的数据也需要分析和存储,需要一个平衡。
可知
可知主要是要把采集过来的数据进行分析转换成有业务含义的数据,比如防火墙日志中把源ip,目标ip,源端口,目标端口,协议等信息单独分析出来,在很多后续分析的过程中,需要更多的维度信息进行处理,比如人员信息,资产信息等;同时计算机对非结构化数据进行关联分析是比较困难的,所以需要把非结构化数据转换成结构化数据。只有结构化分析出来后才能做进一步的利用,比如后面的关联分析,报表等,不然采集过来的的数据仅仅起到备份的作
用,这样价值就小很多。
由于系统繁多而且经常变化,所以平台需要提供灵活的自定义解析规则,无需编程,如果都通过编程实现,成本太大,时间也比较长。平台需要支持从界面或者配置来进行解析,提高易用性,灵活满足不同厂商不同格式的日志解析需求。只有当平台提供足够丰富的解析能力的上时候,才可以快速的适应不断变化的数据。
可查
可查是指数据在需要的时候能查询出来,它的能力主要是采用的软件架构和部署结构有关系,
好在目前大数据存储平台比较成熟,能力也比较强,比如clickhouse,elasticsearch,
hadoop等都具备非常强悍的存储和查询能力。但是查询的灵活度决定了产品的方便性。业界做的比较好的是splunk提供的SPL搜索语言,它是是Search
Processing Language 的简称,
SPL提供了丰富的语法,提供一百多种命令,可让搜索、关联、分析和可视化数据等变的非常简单。使用SPL语言,能够实现从数据获取、分析、可视化整个过程的分析。其中分析包括常见的统计分析、人工智能算法等。SPL以linux管道形式的表达数据分析的过程,更加简单容易理解,把数据分析拆分成步骤,每一步完成数据相应的处理,最终得到分析结果。如果有条件平台可以支持SPL搜索或者类似比较方便的搜索语言来进行查询。
可视
可视就是界面展示了,采集分析过来的数据都在计算机内部,对人是无感知的,平台需要通过人机交互界面来展示内部的数据。由于不同时间不同场景下需要呈现的数据要求不一样,所以系统需要提供灵活的界面展示能力。现在业界平台有个趋势是低代码开发平台,它是无需编码或通过少量代码就可以快速生成界面的开发平台。客户通过可视化的界面操作进行定制界面的开发,(类似可视编程语言),使具有不同经验水平的开发人员,运维人员或者客户可以通过图形化的用户界面,使用拖拽组件和模型驱动的逻辑来创建丰富的界面和简单的逻辑操作。所以运营平台的发展应该支持部分低代码平台来满足日益复杂的界面需求。
可感
可感就是对事件进行感知的能力,这个能力的核心是分析,当然可以是关联分析也可以是机器学习分析,不过机器学习在安全领域的效果目前还不是太明显,所以在现阶段核心的还是用好关联分析。常用的关联分析如下:
基于规则的关联分析
基于规则的关联分析是指按平台预先内置关联规则,或者用户自定义维护的关联规则对安全事件进行分析。平台接收到经过范式化的安全事件以后,通过事件维度与告警规则进行匹配,一旦匹配到符合条件的规则,规则就会被触发。在规则设定的时间窗口内,平台会将多条成功匹配规则的安全事件进行关联,并按规则设定进行告警。
基于统计的关联分析
基于统计的关联分析在用户行为异常分析中也大量使用,需要通过计算前面的一段时间得到阈值,然后根据阈值进行计算偏离的方法。比如日志量异常模型,很多的客户不一定知道平时的日志量到底是多少才是正常的,这个时候就需要进行动态计算,比如今天9点到10点的日志量比前一周9点到10点日志量的平均值大80%。这个情况就可以理解为日志量异常模型。
基于威胁情报的关联分析
系统支持基于威胁情报关联分析,产生告警后,对于源IP,URL等数据信息通过rest接口查询威胁情报的数据接口,比较是否属于恶意IP等,如果是恶意IP在告警页面的详情页面展示告警源IP相关的威胁情报信息。同时系统内置威胁情报告警规则,一旦原始日志IP命中威胁情报恶意IP则触发展示/威胁情报告警。
还有一些别的关联分析模型就不一一介绍了,详见其他文档。
可控
可控主要是对产生问题后如何进行处理和控制,这块一般都是通过接口实现,目前常用的接口是ssh接口和http
rest接口,这个和具体设备有关系。业界也有个产品SOAR做类似的事情,
但感觉SOAR作为独立产品还是过重,受限于数据和场景的限制,如果能作为运营平台的一部分,就能比较好的发挥价值。当产生告警事故后,经过分析确实是正常的事故,系统可以通过实现定义好的控制接口去下发策略,比如在终端上发现了病毒,可以联动杀毒软件下发杀毒策略或者终端下线策略。比如当发现有高频的密码猜测,可以下发边界防火墙一键封堵攻击者的ip信息。
可控还有个说法叫做策略下发,比如环境中如果有十几台边界防火墙,当做策略管理的时候,
如果一台一台去管理,无疑效率比较低下,如果能通过平台进行批量管理,会极大的提高效率。
可验
可验就是检查验证,主要有漏洞验证和事故处理分析验证,漏洞验证主要是要自动化的去扫描已经修复的设备,检查漏洞是否真的修复完成,这个需要自动化扫描,对比来处理,确定已知漏洞是否修复完成,来提高效率。
事故验证分两种,一种是分析,比如发现了sql注入攻击告警,我能从平台直观的看到攻击者ip信息,payload信息,目标资产信息等,这样比较容易确认事件的准确性,还有种验证是验证处理结果,比如密码猜测攻击封ip,验证是否封ip策略真的下发成功。
以上是运营平台的关键能力,通过以上关键能力然后结合指标来进行运营,可以解决很多问
题,当然还有一些流程的内容,这个和每个客户的管理有关系。最基本还是如何把基本功做
好,就比如如果能了解计算机的每个进程和每个网络连接的含义,安全风险就可以极大的被降低,当然这也运营的目标之一,是比较理想的一种方案。
理想是要有的,万一实现了呢!
些流程的内容,这个和每个客户的管理有关系。最基本还是如何把基本功做
好,就比如如果能了解计算机的每个进程和每个网络连接的含义,安全风险就可以极大的被降低,当然这也运营的目标之一,是比较理想的一种方案。
理想是要有的,万一实现了呢!
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aCBf4C7o-1693096226012)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20230809162658551.png)]
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bPPl4J05-1693096226014)(C:\Users\Administrator\Desktop\网安思维导图\享学首创年薪40W+网络安全工程师 青铜到王者技术成长路线V4.0.png)]
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Brht2hHu-1693096226016)(C:\Users\Administrator\Desktop\网安资料截图\视频课件.jpeg)]
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
422
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
