前言
(0)“识人面相”
明确自身位置、技术能力、以及希望达到的高度。物以类聚,人以群分;选对团队,跟准人,才能在这”恶劣”的环境中生存下去。
这一部分的内容是从黄登老师的自身经历出发,先介绍了他的职业生涯,然后为我们讲解了他在安全一线和安全企业里的经验,我只是个本科生,所以主要的感觉还是听故事多一些。下面几句话比较有趣:
安全工作需要彼此的信任感
未来的饼永远没有现在的饭香
安全行业是很现实的东西。网络安全不是一个人能掌控的,需要团队。
主体
接着来到本次课程的核心部分,四个安全运维的核心技能点介绍:
(1)渗透测试与漏洞挖掘
安全运维工程师有别于运维工程师的最大差别就是拥有攻防技能 而依仗攻防对抗的思维来构建企业安全体系, 也是安全建设中不可或缺的一部分;开头的内容听下来,我大概理解到安全产业大致有甲乙黑三方存在:
黑产=黑客
乙方:安全厂商
甲方:安全运维
“攻击溯源”的能力上乙方比黑客高:因为乙方掌握了几乎所有的攻击点。
渗透分为Web渗透和系统渗透。提高渗透技能的方法有实战、模拟、阅读文章报刊和线上学习。
渗透这一技能除了需要各种编程技能基础外,还需要掌握运维配置、心理学、懂人际交往和逻辑推理等。总之这是一个需要多门技艺综合应用的职业技能,尽管开发能力上相比专业程序员有所不及,运维能力上也不如运维工程师。
渗透学习很痛苦。初期学习途径:论坛,HTML拷贝到软盘里仔细阅读。漏洞那一块涉及到比较多企业中应用的知识,包括建立漏洞库和漏洞反馈机制。印象比较深刻的就是自动化检查漏洞的概念,即通过定制化脚本实现自动化漏洞检查。还有一个比较新颖的思路,是从漏洞重灾区分析漏洞趋势,反推漏洞源头。
(2)安全监控与安全部署
安全监控防御三要术:可知、可控、可信。 安全部署从基线扫描开始,配置安全、Web安全、策略部署、架构风险等。你需要的不仅仅是标准, 还需要实实在在能落地的方法论。
安全监控属于被动式的安全。
(3)应急响应与资产巡检
审计维度包括:服务器审计、代码审计、日志分析和渗透测试。
入侵分析方法是当入侵发生以后,我们需要从现有的情报中分析整理出对当前情形有利的资料。入侵分析需要一定的逻辑推理能力,应急响应需要积累相当程度的经验。
视频里有提到一个应急响应案例,是一个利用数据库漏洞盗刷帐户的案例,从这个案例老师总结出了一个一般的比较典型的审计流程。
应急响应中溯源的技巧:蜜罐、内部大数据、外部威胁情报和渗透团队。
资产巡检属于主动式安全,资产巡检可以自动化,但需要考虑成本,有重点的监控对象:管理入口、数据区、接口、网络边界、DMZ。
监控平台的选择是一个比较现实的问题,分三种选择方案:开源(没钱没人力时)、闭源(有钱没人力开发)、造轮子(有钱有人力/自己开发/可定制)。
(4)职业规划与人生巅峰
安全运维工程师发展路线:甲方->乙方(技术向)、乙方->甲方(管理向,为企业定制安全体系、培养安全人才,相对轻松稳定)、甲乙方创业(综合向,比较自由,利用甲方获取到的人脉、乙方获取到的技术,变现)。在甲方可以获取人脉,做技术在乙方做比较好,只做甲乙某一方面的前途都比较黯淡。
谈了一些安全圈的轶事,对安全圈的理解,什么技术大牛、偶像派、霸道总裁,说了一句我比较认同的话:幸福是一辈子的追求。
最后提了一下,在商业交涉的时候法律武器是重要的依仗。
总结
课程为本科生开了一扇门,让我们看看圈子里的风景,老师的很多企业工作经历和职业生涯经验对我们的未来都很有帮助。
课程链接:
http://edu.aqniu.com/course/354 (原价99元,现限免一周)