一、安全细分领域
搞安全起薪没程序员高,相对薪资满意的话,对能力要求比较高。
真心喜欢的话,可以找个自己感兴趣的领域深耕。安全分好多细分领域的。常见的有 web 安全,移动安全,网络安全,反病毒,渗透测试。它们的侧重点都不一样.
web 安全研究的是 SQL 注入,跨站脚本攻击这些。楼主可以看下 OWASP TOP10,这个上面写了 web 安全排行前十的威胁。要做好需要一些代码功底,要能看懂 web 代码,有个岗位叫代码审计,就是专门挖漏洞的,不能挖漏洞的都叫脚本小子(具体含义可以百度)。这个领域的人最多,目前也最火。
移动安全主要是研究的目前市场上移动端的两个主流平台,安卓和 IOS,要做好需要懂一些逆向,要能反编译 APP,从中找到后门,或者是鉴定一个 APP 是不是木马程序。这块不多说,我也不太懂。。
网络安全的话,就是研究一些协议了,常见的是 TCP/IP 协议,像 ARP 欺骗攻击,拒绝服务攻击,中间人这些都是网络安全的范畴。做网络安全,经常跟网络设备打交道,像防火墙,入侵检测系统。想做好也要对底层协议比较精通,要有网络设备的研发能力。例如出现一个新的漏洞,需要写一些检测规则。
反病毒一般是指 PC 端的,就是我们常见的杀毒软件了。像反病毒工程师,就需要有反汇编的能力。要能分析可执行程序,并从中抽取出病毒特征码。
渗透测试的话,要做好就需要你掌握比较全面的知识了,不要求你精通,但什么都要懂一点,基本上是上下通吃了。要能够掌握各种攻击手段和方法,渗透测试的目的就在于模拟黑客的攻击,来评估目标系统的安全性。
国内的环境不好,乌云网也被端了,专门做安全的公司也很少,搬手指头都数的过来。做安全也经常背锅,大家对安全也不重视,对安全从业者的态度普遍是:没出问题,你是多余的。出了问题,要承担责任。
有独立安全部门的公司也很少,原因也跟上面一样,大家对安全都不重视。
另外,安全的水很深,比开发深多了,做开发比做安全更容易取得成绩。
二、大公司一个安全攻城狮的工作体验
作者:Charles Stone
链接:https://www.zhihu.com/question/34043667/answer/57889271
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
做安全工作,普遍情况不好说,个人来说主要感觉还是“紧张,自信,偶尔焦虑,偶尔很有成就感”。花边故事和业内传闻就不讲了,虽然可以吸引很多人来看。
很多同学很好奇“感觉”,其实这要基于安全工程师到底在做什么工作上,下面一一列出。由于公司规模和组织分工的差异,这些答案不能代表整个行业,逻辑性可能也不是很强,请谅解。
1,IT部门
2,产品设计及部署团队(含安全)
3,产品测试与安全测试团队
4,应急响应团队
5,开源和供应商管理团队
6,安全技术团队
7,流程与质量团队
8,法务与PR
9,标准与认证团队
还有些,我就不列了。
在很多公司中,上述角色或不全或合并。
都可以理解,毕竟不同公司的业务范围不同。
———————
IT部门这里特指维护企业IT系统的部门,也是最常见的需要做安全工作的部门,应对来自内外部的安全威胁。
其安全工作包括什么呢?
各种内外网站的安全部署,维护,审计。
各种用户账号和权限管理,信任域隔离。
各种数据和权限管理,加密,隔离,容灾。
各种IT系统的缺陷补丁和攻击测试。
各种接入管理,鉴权,VPN部署等。
EMAIL防护与过滤,防钓鱼。
PROXY访问权限设置与异常记录分析。
针对IT系统本身的应急响应。
安全宣传和答疑等。
这些是比较常见的,也是最普遍的。不仅BAT会做,只要上规模的企业IT都会做。
有些公司还会有防APT措施,内部审计,专职渗透测试等等,不能尽列。
至于查帐号共享啊、查私设VPN啊、查反代、查违规发邮件啊,都是例行工作。
无线电探测器?呵呵,这个预算不常有,但也是有的。
没事就喝茶例行工作,有事连轴转。
————
产品设计开发团队也是要做安全的。
安全威胁和风险分析
安全架构
安全设计和安全组件的使用
各种加密协议,算法,数据库
各种安全日志和告警设计
各种权限,资源,操作的设计
防注入设计
防协议攻击设计
防DDOS/DOS设计
防破解和防木马
可信计算,沙箱
指纹混淆
SOC
太多了不写了
我要狠狠吐槽,很多开源组件的安全做得跟屎一样,是不是故意的?
————
安全测试,呵呵,这个估计是一谈到做安全大家最有兴趣的岗位了
通常所谓白帽子,其中的大部分是做这个岗位的。
大部分安全研究员都会做测试,很多大牛更是如此。
但是这其实是个最枯燥,最苦逼,最容易惹是生非的岗位。
其实际工作内容,也是跟普通人之间的幻想差异最大的岗位。
他们做些什么呢?
安全架构分析,威胁和风险分析和测试
安全组件和开源组件缺陷分析和测试
各种协议缺陷分析,各种系统调用和I/O缺陷分析
各种攻击测试,各种渗透测试。
各种CERT组织的邮件列表时时关注和讨论。
各种安全缺陷库的时时关注。
各种源码白盒审计
各种测试工具和用例构建。
看着工作杂乱无章,其实内含的方法论是一套一套的。这话我还是有资格说的。
对付缺乏安全意识的产品开发和互联网公司时,随便就能找出一堆问题,挺没劲的。也就工具小子们还会激动一下。
对付具有足够安全意识的产品和公司时,难度挺大的,需要消耗几个月在上面,而且不一定有很好的结果,有时候也会有挫败感,搞出几个来还是蛮开心的。
在公司内部搞的时候,各种判定标准和利益撕扯几乎是必然的,千万不要抱着“我就是要搞大”的心态,受人薪水是来发现和解决问题的,次次都只做一半必然周边关系极差。
特别地,对待第三方公司的时候,特别是非甲乙方关系的第三方公司的时候,言谈举止要格外小心,拿捏不准就不要说或者做,否则可能吃官司。不开玩笑,否则我们养一堆法务干啥。
花边1:业界有个特别的词汇“0day”,一说出来光芒四射,吸引一堆人膜拜。
其实这玩意有另外一个朗朗上口的名字:“Bug”,特指可以被恶意利用的安全缺陷,也特指在某些核心系统中被首次发现、尚未公开的安全缺陷。0day其实蛮多的,呵呵,但是良心白帽子一般都会通过CERT机制将其公开,赚个好名声。
至于说某些网站应用构筑上的Bug(乌云上经常报的那些),严格来说叫0day是不合适的,其实都是已知缺陷的各种重复而已。
花边2:今年defcon上说黑掉汽车的那两个大牛,吸引了无数目光。
其实嵌入式软件系统中原本考虑安全的部分就少,其主要设计目标是性能和可靠性,找几个安全缺陷出来不奇怪。至于把人家firmware都换了,后面的确想怎么玩怎么玩。firmware的升级替换防篡改属于可信计算的范畴,有常见的TPM技术可用。
---------
三、开发转安全
最近在忙着部门招聘的事情,由于安全人才稀缺,所以就将范围扩大到了研发领域,可是接触到的很多研发人员都是比较纠结的,他们认为自己不懂安全,换了一个新的行业,怕干不好!有这种想法,都是在情理之中的,我也是从研发转做安全的,我当时也有这种想法,下面就来说说我的转行过程。
在转行之前,首先你要看下这个行业的现状及前景,我是2013年准备转行做安全的,当时由于斯诺登事件刚过,网络安全被炒的很热,我也从多方面了解网络安全行业现状及前景,包括对比相同年限工作经验的研发人员与网络安全人员薪酬情况,工作强度,职业发展路线等,并综合自身的素质(逻辑思维能力比较强,喜欢接受新知识),于是决定转行,刚好当时公司的各个安全部门也在招兵买马,我面试了两个部门,分别是安全的两个方向,SDL和安全运营,经过慎重思考,我选择了安全运营,并不是SDL不好,而是我的前同事在这个安全运营部门,经他这么一忽悠,就过来了^_^。
在做出转行决定之后,我面临的是,我现在安全啥都不懂,到新岗位上如何才能快速胜任新工作,那就只有一条路,学习+实践。理论知识我选择的是一本厚厚的<<CISSP认证考试指南>>(涵盖所有安全内容),实践则选择的也是一本厚厚的<<黑客大曝光第7版>>,于是白天抽空学习,晚上回家实践,那段时间非常充实,整天都能学到新知识,什么DDOS,sql注入,xss,反向代理,http隧道,端口反弹,各种加密算法等等都印入我的脑海,而且各种工具也都玩的熟练起来,端口扫描用nmap,弱口令暴力破解用hydra,web弱口令暴力破解用burp suite;web应用漏洞也用burp suite,sql注入用sqlmap,还要想着绕过waf,那时经常晚上在家搞到十一二点,搞的我老婆怨声载道,做为一名“黑客”我不和她计较,燕雀安知鸿鹄之志哉!当时乌云还没关,我还在乌云上提了几个web站点的漏洞,一个有意思的小插曲,我当时看乌云,经常看到路人甲提各种漏洞,我就纳闷这个路人甲真是有时间,而且是绝对的大牛,各种漏洞一应俱全,直到我匿名提交了一个漏洞后,我也变成了路人甲^_^,就这样自我学习加实践了一个多月,就开始信心爆棚了,就这样走出了转行的困惑期。
参考原文链接:1. http://jiasule.v2ex.com/t/486819
2.https://www.zhihu.com/question/34043667?sort=created
3.http://xinsheng.huawei.com/cn/index.php?app=forum&mod=Detail&act=index&id=3763619