如何讓大家加入安全行業?
最近有個想法,在我們這個信息安全的圈子裡,滲透測試僅僅是安全中的一個很小的分支,雖說這個圈子的缺口很大,但是為什麼一直補不上這個缺口呢?原因可能有兩點,一個是高校每年培養的安全人才很少不到一萬,其中走滲透測試的更少了,還有一點就是大家對這個圈子不熟悉,想了解沒有門路,想學習無從下手,我在想,我們是不是有必要擴大我們這個圈子,讓更多的人加入我們這個圈子,這樣對我們這個圈子的良性循環有更好的幫助呢?所以現在首先應該解決的問題是,別人為什麼加入這個圈子,加入圈子有什麼好處?
由於網路空間安全這個領域忽然有錢了(原諒我說的略直白),從學校的角度來說會有很多招人的缺口,有些是來自安全方向畢業的博士,有些是來自其他方向轉行來的。美國高校還有很多從工業界跳槽到學術圈的,cyber security這種偏嚮應用的更是如此,國內感覺少一些。
安全領域範圍很大的,而且技能需求很雜,甚至分支方向之間的技能不重合。我們在說安全的時候每種安全方法都要對應攻擊模型的,滲透測試也是歸納到其中是一個分支。
至於如何加入,聽從市場調節咯(科研領域是經費),最近不止一個跟我打聽情況要轉到安全方向來的。其實並不難做到,計算機這麼多層,供應鏈又這麼長,隨便哪個環節都有可以攻擊的地方,再隨便哪幾個環節湊到一起就會出現一些令人新奇的攻擊方式。根據攻擊方式可以進一步的提安全策略。比如做天線往測信道轉,做通信的往協議安全轉,總有一款適合你。我7月份的時候邀請Yongdae Kim(今年asiaccs的pc chair)來我交給報告,Yongdae說了一句話還是挺有道理的:security很難誕生Unicorn(獨角獸),但是security永遠餓不死。
我深以為然首先吧,我支持你的想法。安全圈現在缺人缺的跟脫了韁的野狗一樣……
我一直覺得學安全比打LOL容易,畢竟LOL那麼多英雄,那麼多技能……
但是面臨的問題有很多,大概分幾類:1 好人難當:我出過幾十個G的免費視頻,喜歡的會吐槽我是替代了蒼老師成為他硬碟里容量最大的人。但是依舊會遇到很多兔崽子過來問我收不收徒……2 安全面大:安全涉及的東西太多,任何一個面擴展出來就是一個單獨的職業…所以培養一個安全的人難度很大。
3 到底教不教某些技能:為了不惹麻煩,我從來不談提權 黑夜 菠菜等東西,怕的是把人引導到一條錯誤的道路上。
應該還有很多,不過問題雖多,培養更多的安全人才方向上是雙手支持的。我本人是信息安全科班出身,但是我們班做這個的當前就我一個人,他們其他人大多去做開發和產品了。說這個我只是想表達下其實信息安全和開發有很大的不一樣。需要自己有足夠強的興趣,並且去勇於實踐。也就是說想入門的已經入了,不想入的,我們班其他人即使上了那麼多信息安全課……仍然搞別的去了。
此外有一點,其實感覺目前沒有一份好的安全入門課程。這個好不是教你用各個工具,教你懟天懟地懟空氣……而是能深入到安全之中去。講到安全背後的方法,核心,思想以及本質。
當然,目前我倒是有意去做這樣一件事,希望幫助到更多想要入門的人。
其實安全不是你會用幾個工具就是入門了,工具只是表象。什麼時候認識到這點,我感覺才算入門,那時候很多事情也會變得比較有意思!
—————————————————————————
更新分割線前幾天隨手寫了這個答案,現在看到,感覺並沒有回答到點上,再補充下。對於專業為信息安全大學生來說,如果致力於進安全這個行業,那麼第一個是打好基礎,就是那些專業課,包括開發都要熟悉,我秋招求職時候就拿了好幾個開發的offer。但是這才是第一步,第二步是要自學(或者找人帶你學,學長學姐之類的多問問),如果靠學校講課,你是進不了這個行業的,我認識的安全行業大佬,大部分靠自學。
另外大把的時間,多搭建下環境,每一步多想想。先把安全整個大面能走通。然後再去看一些漏洞什麼的,多想背後的原理和本質,想想工具替你做了什麼。
最後嘗試把學習的實踐下,挖下國內外src漏洞什麼的。
最後的最後,從我個人角度來說,安全這個行業我是建議有人帶,進步會很快。不過別找我,我太菜!!!
就這樣,有問題可以評論問,這樣大家都能看到,避免重複。沒人邀我來強答一波,現在也不算安全行業吧,臨時工23333333
從16年5月份開始連html標籤都看不懂到現在,變成一個腳本小子感覺夢幻一樣的感覺
首先呢安全行業說大不大但是領域細分的也挺複雜的。
有web的,有二進位的,而細分下來二進位又有神馬linux,ios,windos各種生態
然後方向又有什麼安全開發,運維,滲透balabala
複雜到一個人要學好多好多東西,曾經以為一個注入要掌握各種資料庫的特性,但殊不知還要了解waf的特性,人寫代碼過濾的特性。
學習呢還是自學吧==
就直說web這塊
從百度搜索到烏雲知識庫,夠看好久的了,學會用工具 burp sqlmap msf感覺我好想就會用這兩個==
然後是要了解漏洞原理,這個就有些困難了,個人覺得沒寫過一個網站啥的是不能真正了解web層面的安全隱患的。
當然我也只是拿django寫過點東西,但是其中涉及到的知識會讓你覺得曾經遇到的好多東西都有種恍然大悟的感覺(好像忘得差不多了)
說白了就web這塊就是request和response這回事
各種get post參數的問題啊
什麼命令執行傳參到某個危險函數執行了
什麼注入參數帶入到查詢語句了
什麼xss傳參response反回了
等原理了解了 下一步就是猥瑣姿勢了
姿勢越多腦洞越大,其實通向出口的路有好多隻不過我們不知道哪條路到出口所以要不斷的嘗試
唔每當我覺得能勝任一份工作的時候才發現要學的還很多
不過這一年有些夢幻般的感覺
需要的更多是努力
謝邀,其實作為一名網路安全專業的在校生,除了在一些廠里有實習經驗認識不少安全同僚以外,私以為自己目前也並不算是加入了安全行業……
所以這裡以一名科班學生目前看到的現狀說一些吧。
1.安全涉及的範圍太廣了,入門難度高。
就我看到的情況,即便是我們這麼注重實踐的學校,雖然有請一些乙方廠商來給同學們上企業培訓,還有各種專業課實驗課實戰,但培訓內容太基礎,想要光是憑藉課程教授的內容就進入安全行業明顯不現實。
而且這類偏實戰的課程開展時間是大三上(大一大二主要是密碼學一類的理論專業課,當然這個也很重要),而大三下我們就面臨著半年實習的要求。
(其他學校,我覺得可能更不好說……)
2. 自己想徒手上手難度很大
我自己想轉安全的時候,花費了大概一個寒假不分晝夜地研究滲透相關入門但依然和無頭蒼蠅一樣碰了滿頭包無從入門……而那個時候我還算是有一定開發基礎的……emmm我承認自己其實很多時候都真的很沒有天賦你們可以隨意吐槽……當然後來加入了我們學院的安全工作室,跟著大家一起學一些東西虛心請教了很多所以進步啦!
不過我現在已經轉向偏安全的演算法方向了,這純粹是因為個人更喜歡演算法的一些思維習慣而已。
不可否認的是,在我身邊很多安全專業的同學,都是因為這個理由而中道崩殂的。這裡可以說一個比例,全學院安全專業大概100多個人,做安全相關的我這級沒有超過15人,絕大多數都是滲透,搞二進位系統安全的大概就2~3個人,而軟體學院總共700~800多號人,其他方向轉做安全的更少之又少,可能是大環境渲染的原因吧,大部分同學都選擇了開發,可以說能在安全這條路走下來的同學,真的非常勇敢和可敬。
當然題主這裡問的是如何加入,我作為一個半吊子就在這裡拋磚引玉吧。
本身就在校園裡的同學們,建議趁你們對安全還熱情似火的時候,趕快加入一個學校里還不錯的安全工作室,然後死皮賴臉地拖住學長學姐瘋狂請教問題,有不懂的就問,當然最好是思路上的請教而不是伸手黨……然後從CTF開始打起,就算一道題都做不出來,也多去嘗試,國內比較簡單的CTF平台萌新用來練手刷題也還是很不錯的,多總結思路,多圍觀學長學姐日站和打比賽,一定要定期做漏洞復現,最後,千萬不要在感覺自己堅持了一個學期還一事無成的狀態下放棄(前提是你在這一個學期里真的做到了我前面說的這些而不是那種熬了一個晚上夜就被自己感動哭了……),相信我,再堅持一下,再堅持一下,一定馬上,就可以日下自己的第一個站了。
最後,題主還說要介紹一下這個圈子的好處以期吸引到更多的人。
我個人的感覺就是,安全圈子特別小,所以大多數前輩們、學長學姐們,對學弟學妹真的很好,會願意和你一個小白講很多東西,這是我在其他開發圈子、演算法圈子裡沒見到的。
而且機會也真的很多,因為科班培養出來的人其實很少的原因,所以很多時候找工作的壓力不會太大。我覺得只要你努力,上升空間也不會有很大的擔憂。
然後我作為一個在搞安全這塊的演算法的奇怪人物,雖然有時候會感覺在安全圈子和演算法圈子裡里外不是人(糟糕的比喻……),但總之,一路走來也承蒙了很多大家的照顧,得到了很多想也想不到的機會,所以真的非常感激~同時也希望能在這條路上一路走到底。
薪水方面,因為我自己大學生活比較豐富,所以從這段時間的面試經歷來看,就業和薪資都沒有很大的問題……(這麼說是不是會被打啊)純滲透的話,可能底薪稍微低一點,但是巨巨們挖一個洞就是幾千塊的外塊我覺得也真的沒法比啊(QAQ淚目)
啊對普遍安全圈的小夥伴中二氣息會更足一點,這個屬性在我看來真的非常非常可愛吸引人加分~
以上。
謝邀。
首先,小編認為這是個偽命題。每個技術分支都缺乏人才,至少高級人才是缺乏的。
安全圈子的難處,是現在攻擊門檻和攻擊成本都比較低,而防禦系統涉及到的技術很複雜,安全人要求高責任重壓力大回報少,且圈子相對封閉。這是一個產業的事情,不是一家公司、一個人能改變的。現在好做的事情,大抵這麼兩個。
1、好故事,跟上人工智慧的風口。
最近的世界互聯網大會上,某大佬給另外一個大佬支招:用人工智慧來包裝自己,估值立馬就不一樣。當然,咱們做安全的,還是應該耐得住寂寞的,否則對行業發展並不好,最終還是害了自己。所以包裝是要有實質的。
好在安全已經搭上人工智慧的車了。在網路安全層面,已經有安全團隊已經採用人工智慧技術來識別惡意流量(識別發送的協議)。在內容安全上,網易雲等團隊已經採用圖像識別、語音識別、自然語言處理等人工智慧技術打造一個覆蓋廣告過濾、智能鑒黃、暴恐識別、涉政檢測的內容安全(反垃圾)系統。
2、好課程,好回報。
比如:上Web安全微專業,跟大牛學3個月,做牛X的人,從此錢多事少離家近,贏娶白富美,當人生贏家。
希望對你有幫助。
二本大三計算機相關專業回答一波,因興趣在自學滲透相關知識,畢業後想從事相關工作。
我想說的是要入門 滲透是真的難,不是不想加入圈子,是我連圈子在哪都不知道。
知乎大佬們說《白帽子講web安全》這本書好,嗯 是挺好,可我看不懂啊(」゜ロ゜)」我也很絕望啊!去某雲吧 關了… 去其它論壇吧 不怕你們笑話 我是真的看的一知無解,因為我對這些東西連概念都不清楚。
某天看到某平台有web安全相關課程腦袋一熱和家裡要了點錢報名了,沒錯我報培訓班了。(貌似聽說很多企業不喜歡招報了培訓班的實習生…?)
我覺得可能是各位前輩們高估類似我這種想入門的人的實際水平了,所以網上很難找到類似0基礎這樣的分享資源,這東西不像java Python這種語言類一找琳琅滿目。我倒是希望有更多前輩們分享一些偏於基礎的內容,無論是xss 文件包含 sql注入 這種偏於技術性的東西 還是挖洞的思路 步驟 這種經驗之談,都會對類似於我這種小小白有很大的幫助。
現在我一直在跟培訓班學,我覺得這可能會帶我找到門在哪,不再是盲人抓瞎。就算目前我還是沒有挖出來過有用的漏洞,水平也僅限於玩玩黑客小遊戲(就是找到key過關的那種,過關真的好有成就感!)我感覺我距離能實習找工作的水平真的還有一大段路要走,但我也會堅持走下去。
一個小白的自述產業導致的,國內的信息安全乃至網路安全產業還是太小了,相比整個IT產業,還是個位數的百分比,平時需求方項目採購,很少有單獨採購安全的,大多是系統集成裡面捎帶一點兒安全,這上游的水就很小,產業鏈下游就更小了
安全行業的成長,還是需要加快互聯網+的建設,大環境成長了,安全行業自然成長,這個方面單靠喊狼來了,是不管用的。
另外一方面,從現有各行業中的安全人才需求來說,這個缺口又很大,1用人成本高,安全行業也就10年時間,自己就沒有一個成熟的體系,就說滲透這個領域,每個大牛、每個大公司都獨樹一幟;2行業特殊性,每個行業的業務特殊性決定了對口人才就少,那懂滲透又懂業務的就更少了,這種情況與安全外的行業需求矛盾是一樣的
小結一下,導致出現上面的種種矛盾出現的原因,或者說沒有形成良性循環的原因,還是整個產業還在成長期,並沒有成熟,還在快速變化。就看 互聯網+的大運作能走到什麼程度了
這邊有個公益個人ctf月度比賽,非常適合初學者,當成練習
不吹不黑,直接上鏈接
http://mp.weixin.qq.com/s/InNLFJT6_la2qqQ55ATXqQ目前信息安全這個行業缺口還是挺大的, 一個所謂新的事物讓大家從了解到認知再到熟悉還是一個挺漫長的過程,離不開高校的教育以及社會的普及。進入安全圈也有很多的偶然性和必然性。很多白帽子大牛們,從小開始接觸電腦,偷著去網吧上網,各種奇形怪狀的經歷造就了現在的一身絕技,現在的網路環境也比以前好了不少,學習的平台和機會也多了,只要你對安全感興趣,你總能找到適合自己的方式進入這個圈子。安全行業其實也是挺考驗人性的,你挖到漏洞是為了威脅別人呢,還是為了讓企業提高他們的安全意識?你用自己的技術來實現正常的財富自由呢,還是做一些違規違法的事情暴富呢?depends on you
撤掉網路安全法,讓大家體驗日站的樂趣~
信息安全專業的比畢業生也基本轉去開發或者演算法了。開發好入門,掙的還多。剩下不多搞安全的,都是憑著一腔熱血和興趣吧。
學的東西多,給的錢少,也就我這種傻逼才.....
除非強制,類比保險,例如車險。
只有餅足夠大了,才會有更多的人參與進來都是高考報名的時候一腔熱血高中就是學計算機的內個時候就喜歡黑客呀,入侵什麼的憑著熱愛選擇了信息安全這個專業現在也是很懵學了一年多還沒摸到道道靠的都是一口仙氣兒撐著的
安全這塊,範圍很廣,我大學時候學的軟體工程,很差很差的那種,只有一點基礎,能看懂代碼而已,類啊,方法啊,介面啊,之類的,於是畢業之後果斷轉行網路安全,雖然我知道開發人員工資高,但是我真的坐不住啊,一坐一天的那種,轉行剛開始挺難的,一開始就是運維,強行運維,哈哈,因為不太懂,只能慢慢熟悉,這裡推薦大家剛開始如果去某個廠商,就會顯得局限,不過會很精通,我去的是集成商,了解一套安全產品,再慢慢琢磨,熟悉ids.ips.sas.waf.防火牆,殺毒軟體,堡壘機,vpn,等等,先把設備玩轉了,有一點忘了說…如果沒有網路知識很難,好在我大學對tcpip比較感興趣,網路基礎簡單的都會,路由交換很了解,可能真正涉及到isp那塊的就陌生了,因為沒有練手的機會。建議大家報個班,如果你以後是在公司上班,建議考個證hcnahcnp之類的。如果你在大單位上班,建議考軟考。對以後的升職加薪不錯。現在我已經不光運維這麼簡單了,當你熟悉這些產品後,攻滲透迎刃而解。暫時說這麼多吧,以上都是我的工作經歷,第一次回答,可能說的有點亂,希望能幫助到那些,計算機專業學的不好的人,或者現在迷茫的人。
謝邀,是的,我贊成你的想法。如今的計算機網路,安全佔一個非常重要的地位,可是對於願意學習安全的人有很少,通俗來說原因就是:1 人們對於玩計算機的人都認為是程序員,程序員是最棒的!等等類似的看法,他們的看法僅僅停留在表層階段。這也就使得軟體程序員越來越多,其他領域的人相對較少。2 對於信息安全,就是想學不知從何下手。怎麼學?該學什麼?專有名詞聽不懂,等等一系列問題,以及學習過程中碰到的問題無處解決,這是初學安全的人常會碰到的。在初學階段,由於沒有合適的引導,很多人就放棄了這一行業。以前還是初中生的我,自己學習的時候就碰到了這樣的困難,中資料不完善,學習資源少。3 比賽機制來說,基本上只有大學生的ctf聯賽還算不錯,可是對於中學生呢?沒有相應的學習、比賽地點與輔導資源。這使得計算機安全方面的人較為稀少,年輕人對此沒有概念。4 就信息安全這一行業而言,對於各類計算機知識都需要了解一些,因此很多人也被它的知識概括含量所嚇住。作為一個高中生,我個人認為,這四點是這一問題的主要原因,所以我還是挺希望信息安全的圈子能夠進一步擴大。所以最好的方法就是從底層,從人才來源的方向開始宣傳,利用合適的方法宣傳,通過大型的信息安全活動來吸引更多的人,以及對萌新更需要細心的引導,建立相關網站,匯聚各類信息安全教程。給出題目,也要給出答案與解析,讓每一個人都能明白。處女答 如有語言不當之處,歡迎大家批評指正。
推薦閱讀:
※勒索病毒是網路安全的轉折點還是360的事件營銷?
※經過網易郵箱信息泄露一事對網易失望,你們還用過什麼比較好的郵箱?
※作為一個初學者,如何聯繫上大牛並讓大牛給你指點迷津?
※跟網路安全相關的資訊來源有哪些推薦?
TAG:網路安全 | 黑客Hacker | 信息安全 | 信息安全和密碼學 | 白帽黑客WhiteHat |