信 息 安 全

企业信息安全护航者

Cyber Security

 

  • 回到顶部
  • +86 139 1795 7949
  • QQ客服
  • 微信二维码

殷晓明:悉心指导白帽进阶,助力安全人才培养

Part 1 白帽子进阶之路

 IMG_2986

黑客也有黑白之分。

与研究攻击技术非法获取利益,通常有着黑色产业链的黑帽子不同,白帽子(又叫白帽黑客)描述的是正面的黑客,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是在企业授权的前提下,对计算机系统和互联网进行分析,将漏洞提交给企业进行修改。这样,企业将可以在被其他人(例如黑帽子)利用之前来修补漏洞,减少企业的损失,保护企业及用户的数据安全,维护计算机和互联网安全。更准确地说应该称呼他们为安全从业者。

白帽子”们大多默默无闻地守护在屏幕后面,如果你深入了解他们的工作,就会发现他们执行的每一项操作,正与我们的安全生活发生着千丝万缕的联系一一我们的手机电脑、账户信息等无时无刻不被他们守护着。

在普通人看来,白帽子只有菜鸟与大神;而四爷认为应该细分三个阶段,萌新进阶高级。关键也只有三个字,“、“、“

萌新白帽子需要“,一般萌新偏年轻化,常常凭兴趣学习,这个阶段适合去乙方公司找大佬带,安全行业与其他行业不同,想要快速成长很难。这时候,要保持“玩的心态,尝试多做实际的项目,多参加各种会议、沙龙,认识更多的行业大佬,在合理的时间去请教与复盘,汲取他们的长处来充实自己,当然学习的过程更需要注重实践,从践行中巩固理论知识点。

进阶阶段的白帽子应该更注重精进,多“,选择好的细分方向,做更多的尝试新的挑战,看一些国外的papers,借鉴国内外的优秀思路,跟高阶大佬多交流。沟通结束后进行及时复盘,回顾总结,有问题继续找大佬们讨教。

等到白帽子们能够独当一面,就到了“的阶段,这时候已经可以多做尝试独立的项目,注重自己品牌的成长,或者考虑去甲方做管理层。其中也不乏白帽子创业一族,但是创业比较艰苦没有做好充分准备之前不可轻易涉足。

四爷是安全圈中的武侠迷,他经常说的一句话:

 

降龙十八掌要想打出第十八掌,没几年功夫把前十七掌融会贯通是断然不行的。



事实上,要提高安全技术也确实是这么个道理,苦练七十二变方能笑对八十一难。



 



学习是永无止境的,在这里我们诚邀四爷推
荐了部分国
外的安全研究分享类的博客,供君参考:



https://room362.com/


http://breenmachine.blogspot.hk/


https://blog.netspi.com/


https://www.f
ireeye.com/blog.html


 

Part 2 安全知识回答的初心

IMG_2987

在安全脉搏中,时常有这样的热门问答:



Q: 初入安全领域,能否推荐几本不错的入门安全书籍呀?


A1新手建议先从语言入手,前端语言是基础。再然后才可以有足够的理解能力去了解概念,可以多看前辈文章。

《Rtfm: RedTeam Field manua》

《渗透测试实践指南》


A2:大多数人会推荐刺总的《白帽子讲web安全》吧?我推荐冰的原点的《黑客笔记》,比较老了,不知道现在还有没有卖的。入门挺好的。



A3:



· 《Web攻防之业务安全实战指南》



· 《RootKit隐遁攻击技术及其防范》



· 《Wireshark数据包分析实战详解》



· 《WEB安全攻防:渗透测试实战指南》



· 《网络攻防实战研究:漏洞利用与提权》



· 《加密与解密》(第四版)



· 《无线电安全攻防大揭秘》



· 《深入解析Windows操作系统:第6版》(上册)



· 《深入解析Windows操作系统:第6版》(下册)


--问答引用自安全脉搏

 

新入门的小伙伴,经常会问一些很基础的问题,甚至可能是非技术问题,比如:如何入门安全?需要学习什么知识?该如何学习?

也许是经历过同样的时期,所以更是理解大家的苦恼和诉求,加上目前国内人才培养规模与行业近百万的缺口相差甚远,当时四爷就萌生了做安全问答平台的想法,开发了小程序,免费提供安全技术知识问答服务,希望能给新手提供一个学习平台与沟通渠道,成为他们安全技能成长的孵化器。

脉搏安全问答平台定位在新手入门的安全知识问答,涵盖学习方向、学习路径、成长路线、就业方向、就业选择及更多细分的安全知识领域。发布仅两个月,已有近百支安全团队、近万名白帽子参与安全问答

每个活跃在平台上的白帽,通过定位自己擅长的安全领域,以提问和回答的形式积累经验,实现进阶。平台会记录其成长曲线,见证他们从提问者变成解答者,从萌新到进阶到高级,从菜鸟变成大佬的成长过程,从而培养更多的安全技术人才。

安全问答平台将是安全从业人员从入门到精进的整个安全生命周期中的参考,任何在迷茫之时,不知如何进入安全行业,不知该如何提升技术,不知该如何就业、如何选择工作,不知自己未来要成为什么样人的时候,都通过问答社区寻求集体的力量,这将是安全圈的一大幸事,也是一件非常有意义的事情。

 

 

Part 3 安全视角养成

 IMG_2989

四爷:我个人比较擅长安全视角,安全测试就像行军打战,白帽子应该像一个将军,需要主动探测敌情(多指孤岛系统、测试系统),了解敌方全面的排兵布阵。而收集信息正是其中探测敌情这一重要环节。通过了解邮箱历史信息、历史漏洞库等信息,才能更好地进行安全测试。

而拿到信息以后,对信息进行分析、串联、关联,并且深度地挖掘,在零散之间寻找关联也是另一至关重要的步骤。信息的搜集,整合,分析与结论,在安全测试是一套完整的流程。

同时四爷更呼吁白帽子们千万不要做任何未授权的渗透尝试:一定要先拿到授权才能做,一定要先拿到授权才能做,一定要先拿到授权才能做。重要的事说三遍。

 

四爷:

技术再好,人进去了,就没得玩。


    要学习,也要规避个人的风险,在法律允许的范围内,在兴趣趋势下去追求技术的进步。

    四爷告诉我们,做企业安全项目和企业安全产品,最需要的是对安全的理解和高层次的视角,继而实现统筹思想,规范流程,强化沟通,创新突破。

直到现在,四爷还是保持创业初心,安识科技的官网上最明显的地方,有一句标语——“致力于保障互联网政企安全,共建网络安全大生态,这不仅是安识的业务范围,也是作为安全守护者最深的愿景。

 

四爷:技术使我们有能力去应对各种挑战,责任感使我们能够最大化的满足客户需求。

  通过内部规范化的流程培养、技能锻炼以及外部商务拓展、合作共赢,安识今年的营业额有了数倍的增长,对于安识的未来,四爷和他的团队充满信心。

 

 

 

创业路上,

前方可能遍布荆棘,

但在身后,

每一步都能开出一朵花。

殷晓明没有停下,

他不是单枪匹马,

给力的合伙人,

靠谱的团队,

一群亟待成长的白帽子,

都会与他并肩通行,

等到春天,

这条路,

必然莺歌燕舞,

繁花锦簇。