核心内容摘要
PDF-Extract-Kit-1.0医疗行业应用:病历报告结构化提取方案
对普通人来说网络安全这条路到底该怎么走由于我之前写了不少网络安全技术相关的故事文章不少读者朋友知道我是从事网络安全相关的工作于是经常有人在微信里问我我刚入门网络安全该怎么学要学哪些东西有哪些方向怎么选不同于Java、C/C等后端开发岗位有非常明晰的学习路线网路安全更多是靠自己摸索要学的东西又杂又多难成体系。
老读者们或许已经发现我的文章总是围绕故事展开专注于技术分享而鲜少触及职场攻略、面试技巧等话题。
我始终认为在如今这个高压、快节奏的社会环境中公众号应该成为大家放松身心的港湾因此力求呈现轻松愉快的内容。
然而随着询问职场、面试问题的朋友越来越多我决定今天破例一次专门来聊聊这些大家关心的话题让我们一起探讨探讨。
近年来网络安全作为国家安全战略的重要组成部分其发展势头愈发迅猛。
除了传统安全厂商的持续发力外众多互联网大厂也纷纷加码投入共同推动这一领域的繁荣。
随之而来的是越来越多的新鲜血液不断涌入为网络安全行业带来了新的生机和无限可能。
网络安全分支其实在网络安全这个概念之上还有一个更大的概念信息安全。
本文不去探讨二者在学术划分上的区别如无特殊说明文中将其视为一个概念我们来看下实际工作方向上有哪些细分路线。
在这个圈子技术门类中工作岗位主要有以下三个方向安全研发安全研究二进制方向安全研究网络渗透方向下面逐一说明一下。
安全研发安全行业的研发岗主要有两种分类与安全业务关系不大的研发岗位与安全业务紧密相关的研发岗位网络安全其实可以类比为电商、教育等其他行业每个行业都有其专属的软件研发领域。
网络安全行业同样如此但其独特之处在于其软件研发的核心任务是开发与网络安全业务息息相关的应用旨在维护网络空间的安全与秩序既然网络安全行业与其他行业有共通之处那么其他行业中常见的岗位如前端开发、后端开发、大数据分析等在安全行业也同样存在。
这些岗位属于第一类即与安全业务关联不大的类型。
接下来我们将重点探讨第二类岗位——那些与安全业务紧密相关的研发岗位。
这个分类下面又可以分为两个子类型做安全产品开发做防做安全工具开发做攻安全行业要研发的产品主要但不限于有下面这些防火墙、IDS、IPSWAFWeb网站应用防火墙数据库网关NTA网络流量分析SIEM安全事件分析中心、态势感知大数据安全分析EDR终端设备上的安全软件DLP数据泄漏防护杀毒软件安全检测沙箱
总结一下安全研发的产品大部分都是用于检测发现、抵御安全攻击用的涉及终端侧PC电脑、手机、网络设备等、网络侧。
开发这些产品用到的技术主要以C/C、Java、Python三大技术栈为主也有少部分的GoLang、Rust。
相较于其他两个方向安全研发岗位对网络安全技术的要求相对较低需要注意的是某些产品的研发仍然对安全技能有较高要求。
实际上我遇到过不少公司的研发人员对安全知识几乎一无所知。
因此如果你在具备基本开发能力的基础上还对网络安全技术有所了解那么这无疑将成为你在面试这些岗位时的显著优势。
安全研发岗位除了通用开发技能的要求以外可以重点关注一下下面这些技术上面列举的只是最直接相关的部分还需要有了解更多安全技术才能更好的开发产品继续往下看。
二进制安全二进制安全方向这是安全领域两大技术方向之一。
该方向专注于软件漏洞挖掘、逆向工程、病毒木马分析等任务涉及的技术领域包括操作系统内核分析、调试与反调试、反病毒等。
由于长期与二进制数据打交道这个方向逐渐被赋予了“二进制安全”的统称。
这个方向的特点是需要耐得住寂寞。
相较于安全研发能够产出具体的产品或是网络渗透那种听起来颇具魅力的方向这个领域更多时候是在默默无闻地进行深入分析和研究。
以漏洞挖掘为例仅仅是学习各种复杂的攻击手法就需要投入大量时间。
在这个领域研究一个问题可能需要数月甚至数年的时间这需要极大的耐心和毅力远非普通人所能坚持。
而且成功不仅仅依靠勤奋天赋同样至关重要。
像腾讯几大安全实验室的领军人物如TK教主、吴石等业界知名专家他们已经深刻理解了漏洞挖掘的精髓并能将其运用得出神入化甚至梦中都能灵感迸发创造出新的技巧。
然而这样的天才毕竟是凤毛麟角绝大多数人难以达到他们的高度。
如果说程序员是苦逼的话那二进制安全研究就是苦逼Plus。
如果看了这些你还是有勇气进入这个领域那下面这些东西是你需要学的这个方向比起安全研发不仅技术难度更大提供这些岗位的公司也很少且基本上分布于北上广深几个一线城市。
网络渗透这个方向更贴近大众对“黑客”的普遍印象他们能够入侵手机、电脑、网站、服务器乃至内网似乎无所不能万物皆可成为他们攻击的目标。
与二进制安全方向相比这个方向在初期更容易上手只需掌握一些基本技术利用各种现成的工具便可以开始尝试入侵。
然而要想从一名初出茅庐的脚本小子成长为黑客大神这个方向越往后发展需要学习和掌握的知识和技能就愈发复杂和深入。
网络渗透方向更注重“实战”应用因此对技术广度的要求更为严格。
从业者需要熟悉从网络硬件设备、网络通信协议、各类网络服务如web、邮件、文件、数据库等到操作系统和攻击手法的方方面面。
这一方向更倾向于培养全能型的计算机专家他们能够将各种技术融会贯通灵活应用于实际的渗透测试和攻击场景中。
网络渗透方向的工作有下面几个方向安全服务俗称乙方这是最主要的一个方向为甲方公司提供安全能力支持如渗透测试产品安全检测等。
安全能力建设俗称甲方国内稍微有点规模的公司都有自己的SRC安全应急响应中心也就是有自己的安全团队。
国家队你懂的学习路线上面说完了三个大的技术方向后下面来聊聊该怎么上路呢下面说说我的看法。
首先别想分方向先打好基础第一步计算机基础这第一步实际上与网络安全并无直接关联而是进入IT领域的每个人都必须掌握的基本技能。
以下是五大课程这些是当年大学老师教导我们无论选择哪个技术方向都应认真学习的核心技术。
时至今日这些课程依然具有极高的实用价值计算机网络计算机组成原理操作系统算法与数据结构数据库这些课程每一门都深藏玄机很少能够一次性学透而是需要在整个职业生涯中不断深化理解每个技术阶段都会有新的体会和认识。
具体学习时建议借鉴敏捷开发的方式持续迭代学习从初步了解-深入认识-完全掌握-再到温故而知新。
不必拘泥于学完一门课程后才开启下一门可以边学边进逐步构建和完善自己的知识体系。
第二步编程能力有了上面的一些基本功后这个时候就需要动手来写点代码锤炼一下编程的功底。
下面三项是安全行业的从业者都最好能掌握的语言Shell脚本掌握常用的Linux命令能编写简单的Shell脚本处理一些简单的事务。
C语言C可选C语言没有复杂的特性是现代编程语言的祖师爷适合编写底层软件还能帮助你理解内存、算法、操作系统等计算机知识建议学一下。
PythonC语言帮助你理解底层Python则助你编写网络、爬虫、数据处理、图像处理等功能性的软件。
是程序员尤其是黑客们非常钟爱的编程语言不得不学。
第三步安全初体验在完成了前两步的基础铺垫后现在可以开始接触网络安全技术了。
在这个初始阶段不要局限于只学习某一特定方向的技术。
我的建议是广泛涉猎了解历史。
尝试接触网络协议攻击、Web服务攻击、浏览器安全、漏洞攻击、逆向破解、工具开发等多个领域了解它们各自的功能和作用。
在这个过程中发掘自己的兴趣所在并对网络安全的各个技术领域建立起初步的认识。
第四步分方向在第三步的过程中你将逐渐发现自己的兴趣所在无论是热衷于开发各种工具还是喜欢挑战攻破网站或是沉迷于主机电脑的攻击技巧……此时你可以开始考虑自己未来的发展方向并将精力集中在这个方向上。
借助上述思维导图中的各自方向技术持续深入钻研努力成为该领域的专家。
学习方法上面介绍了技术分类和学习路线这里来谈一下学习方法看书学习这是最最基础的实际动手开发路线需要多写代码阅读优秀开源代码二进制路线多分析样本编写EXP等等渗透测试多拿网站练手合法方式等打CTF多参与一些网络安全比赛接近实战的环境下锻炼动手能力混圈子多混一些安全大牛出没的社群、社区、论坛掌握行业信息了解最新技术变化趋势(高清版思维导图有)关注微信公众号【编程技术宇宙】干货技术有趣故事一网打尽多多分享文章就可以积累经验值哦
总结以上就是我对刚入行网络安全的朋友的一些个人的建议最后有一点需要说明一下上面列举到的不同方向的技术不是严格意义独立的相反很多时候是相辅相成需要结合起来融会贯通。
每个人的认知是有限的我也不例外。
本文只是我的一家之言建议大家多看一些人的
总结和经验横向对比兼听则明偏听则暗。
学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。
**读者福利 |**CSDN大礼包《网络安全入门进阶学习资源包》免费分享**安全链接放心点击**
知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。
广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。
实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。
内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。
通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。