一个信息安全从业人员的自我修养——我的安全技术栈
Oct 7, 2019
0x00 前言
曾经很长一段时间一直被一件事情困扰着,就是学过的新技术被闲置一段时间之后,当再捡起来时有种无从下手的感觉。很多技术点都被遗忘了,虽然自己一直有整理笔记的习惯,但奈何越来越多琐碎的一坨坨知识点放在云笔记上再去检索也是一个难题。并且有的笔记没有发出来就有一种懈怠的感觉,随随便便写下,当再次翻看的时候又无从下手了。
基于以上的问题,既然遗忘是无法避免的,倒不如把之前研究的东西、学习资料以及未来想学习的东西分享出来,形成一个近似标准化的文档,一来是避免遗忘,形成真正有价值的『学习笔记』,当自己真正需要一些东西的时候,方便快速定位到具体目标。二来是也算是分享一下目前的状态,如果能遇到同类,那还是极好的。
当然,文档中的内容只是我的一家之言,如果你有任何不同的观点也欢迎讨论。
0x01 我的信息安全学习之路
踏入安全行业,我是从渗透测试开始的,更准确的说是从『工具小子』开始。
- 08年第一次接触信息安全,使用的第一个安全工具是『啊D注入工具』,百度搜索
asp?id=``、SQL注入、
xp_cmdshel、
net user`
加账号、3389上去一把梭,好不快活。而后接触了越来越多Windows下各类图形化的安全工具(信息收集、端口扫描、SSQL注入、打包好的exploit工具、提权、权限维持、端口转发等等),接触了Linux,学习Linux上头的各种命令行工具。整体的学习方式都是需求驱动的野路子,比如说我SQL注入拿了一个站,登上去发现 ipconfig 不好使了,我才知道这个世界上除了Windows还有Linux这种操作系统的存在。当然这个阶段也是野蛮生长的阶段,加了各种安全团队QQ群,各种安全社区林立(还有很多用屏幕共享专家录的视频教程,我就是看的这些视频入门的,啊哈哈哈。当然至于在08年还在读初中的我是怎么接触这个圈子的,那就是另外一个故事了。) - 时间久了,靠着别人写的工具抓鸡拿站也没啥意思。那会好多论坛里也在讨论一个观点就是说『一个不懂编程的人是永远不可能成为一个好黑客的』,asp再那段时间逐渐开始谢幕,越来越多的站点都开始使用LAMP这种解决方案,充其量再来个站库分离,内网是没有ACL划分的,没有现在这种安全产品(firewall、IDS那些就是个摆设,当然现在很多企业买来了设备之后也都是处于吃灰的状态,不过至少大环境跟以前是完全不一样的。)拿到了webshell基本上内网就都是你的了。也是在这个时候开始接触了PHP,能不能代码审计出SQL注入,就看研发有没有用intval()了,框架级、体系化的代码审计漏洞挖掘是不存在的,基本就是看别人怎么挖,我也就跟着怎么挖的状态。
- 时间来到了2014年,习大大第一次提出了“没有网络安全就没有国家安全,没有信息化就没有现代化。”大型互联网公司的信息安全团队愈发壮大,政府机构开始对信息安全愈发的重视,也提出了更高的要求。而我也正式步入大学的校园,开始我的大学生活。系统的学习计算机基础知识算是这4年的主旋律。
- 当然野路子出身的我肯定是不能满足这种两点一线按部就班的生存状态的,2015年来到北京开始了我的第一份实习工作——在永信的技术研究实验室做『渗透』,也是这份工作让我真正的见识到了一个优秀的渗透团队是如何协作的,每一个真正的渗透师是如何各种手段完成自己的工作。这段时间的成长对我来说是飞快地,技术、眼界,也是这一次的实习让我真正的踏入了信息安全行业。至于说具体做了哪些工作,那是绝对不能讲的,总之和那种搞等保拿扫描器扫扫出报告是不一样的。
- 后来我就去了360,前后经历了攻防实验室、信息安全部。攻防实验室那会做国内外安全研究paper的监控、安全事件安全漏洞预警,让我见识到了安全领域不仅仅是渗透测试,Web安全、移动安全、社会工程、系统安全、网络安全、AI安全(后面会重点说)、安全开发、威胁情报、甲方企业安全建设、安全运营、红蓝对抗、各类企业级的安全产品甚至安全合规等等,只能说国内外工业界各类前沿的安全技术在这里是都有机会接触到的(说来惭愧,没能在一个方向上做到dive deep),也是这段工作经历让我有机会接触到了各类的信息安全从业人员,让我对信息安全行业全局观有了一定的了解。信息安全部(Okee Team)做的是甲方企业企业安全建设以及对外输出安全能力,这段工作经历让我有机会接触到了大型互联网企业是如何做安全的,各种安全技术、安全产品是如何落地安全建设,也是这段工作经历让我真正懂得了『纵深防御』、『木桶原理』,没有漏洞,不会被黑客入侵是可望不可及的终极目标。尽可能的减少高中危漏洞、安全事件异常行为监控告警、安全事件的及时响应、事后复盘优化流程才是甲方安全建设的主旋律。
- 现在我在做云安全,同时也在探索机器学习算法为安全建设做一些锦上添花的小事。
0x02 安全技术栈
啰嗦了这么多,接下来才是本文的重点,我会在这一节,把我学过的东西、准备学的东西、自己输出的学习笔记、整理的学习资料做一个分享。一共分为以下几个部分:
- Penetration test
- Data-driven Security
- Cloud Security
- Security R&D
- 计算机基础
Penetration test
安全工具
sqlmap、msf这些就先不往上写了,之后可能会加进来。
- xray 安全评估工具:被动扫描刷SRC神器
- Goby:Attack surface mapping
OSCP
国外很多企业招渗透测试工程师都很看重这个认证,国内也越来越重视了。考试费用800+,除了可以在lab上练习之外,报名前可以在下面的平台上练手。
- HacktheBox
Data-driven Security
Blog
书
- 《机器学习》
- 《机器学习实战》
- 《动手深度学习》
- 《深度学习》
视频
- 公众号【深度之眼】:会发一些上面经典机器学习教材方面的视频教程(很便宜,其实想学习的话获取各类知识真的是很廉价的啊)
- 吴恩达机器学习:网易课堂上有中文字幕的版本
- 沐神的《动手深度学习》:mxnet为基础录得一套视频
- 伯克利有一套深度学习的课在youtube上可以翻到(拿《动手深度学习》这本书做教材)
- 台大李宏毅的机器学习
Cloud Security
Paper
文档
- AWS 安全产品文档及白皮书(IAM/KMS/Security Hub/GuardDuty等等)
视频
会议
Security R&D
书
- 《Go语言实战》
视频教程
计算机基础
书
- 《深入理解计算机系统》
科普
0X03 安全站点收集
把我经常逛的站点分享一下,还有很多RSS源一些国内外安全研究人员、安全公司、安全媒体一类的,等之后整理一下再传上来。
国内
国外
公众号
- 安全学术圈
0x04 结语
上述为本人一之言,欢迎讨论,如果你有更好的想法、资源,也欢迎贡献。
0x05 Timeline
- 2019.10.07 写了这篇文章,并初步分享一些资料,之后整理了还会逐渐再发上来。
- 2019.10.08 增加SecWiki、安全学术圈,以及部分计算机基础相关的资源
- 2019.10.10 把cdxy老哥的blog加进来了,做智能安全算法的大佬