信息安全从业者入门(入职)指南

原本以为这辈子我都不会对这个话题进行专门的讨论,因为这个话题实在太无聊了,就好像你小孩问你怎么拿筷子一样。你可能会说还好吧,我对小孩很有耐心,教他也很好玩啊。嗯,是的,如果你有一个两个小孩还好说,如果你有上百个这样的不同小孩每天问你说怎么拿筷子啊,估计你就会跟我一样抓狂了。我们有一个合伙人很厉害,16岁就保送到了北大物理系,从事理论物理的研究,那一天我们几个人聊天聊到了理论物理的话题,比如宇宙的边界和宇宙的生命之类的问题,他迟疑了一下,先进行了“探讨”,然后说“这种问题你问我是可以的,千万别拿这种去问张教授,他涵养好的话会礼貌的笑一笑,骂你也不奇怪,实在太初级了”(备注:张教授是我们的投资方企业的创始人,理论物理的绝对权威,同时也是投资界的传奇人物)。

某一年,某位至今不知道名字的好事之徒整理了一份中国黑客榜的东西,突然就把我的网名带了进去,从那以后各种诱惑人的“合作”邮件和“拜师”邮件就开始了狂轰乱炸。对于“合作”的邮件处理方式,从目前我人穷志短的现状来看,显然我是没有这方面基因的,心理上也坦坦荡荡。但是对于想要入门信息安全领域的爱好者,我通常手足无措。一方面也想给出一些力所能及的帮助,让网络安全事业多一些新鲜血液进来,另一方面又总担心落下好为人师误人子弟的罪名。后来就看心情,有时候心血来潮了有问必答,大部分时间还是充耳不闻,眼不见为净。所以有些人会说我很乐于助人,有些人会说这个人太高傲自以为是。

IT从业者鲜有不对“黑客”技术感兴趣的,这种技术太神奇了,可以在女同学的电脑来去自如完成表白;可以去在学校的网站上肆意涂鸦;可以去打探某位装模作样的领导不为人知的秘密;甚至可以完成类似《惊天魔盗团》的侠义道。尽管绝大部分的“黑客”完成一系列壮举的过程中,衣冠不整满脸胡渣,穿着洗出几个小洞的T恤,轻轻一抓,满头的头皮屑掉进了热气腾腾的泡面里,但是好在绝大部分人无从见其尊颜,所以,小迷妹们脑海里这批人依旧是酷酷的那种帅哥形象,个个都是《黑客帝国》里的基努里维斯,你说不是还不行,得跟你急。

反正关于信息安全的事情都挺逗的,各式各样的人和事情都有,我看到绝大多数的人真的只是图个热闹,增添一些饭后谈资。如果只是这样,倒也就罢了,这里面还真的有小部分人报效无门,空有一番热血和激情,好比一位男青年夜深人静的时候看了一些爱情动作片,充满了想象和欲望,这个时候要是不能很好的“引导”,搞不好他就铤而走险了,多么危险不是?(写着写着怎么感觉有点邪恶……难道真要感谢苍老师?)……敲黑板敲黑板,仔细听讲。霍金的理论研究有多伟大我不知道,完全不懂,但是他的《时间简史》让我对物理产生了兴趣,把我带入了门,让更多物理白痴也能开始去学习和理解跟高层次的知识,这才是我更认可的点。

与其每天被人认为装逼,不如沉下心来,整理一下我认可的技术学习方法,以及我看到的高速发展的安全技术人员的例子。从第一份工作开始,十几年来我就在不断的面试信息安全人员,无论是cocoruder(lihaifei),还是getshell1993,carry_your他们,我看到了很多高潜力的人才,这些人的共性还是非常明显的。信息安全领域高度细分,从最初的网络安全,到系统安全和数据安全,再到后来的移动安全无线安全,甚至是车联网安全人工智能安全,从漏洞研究到系统搭建,从二进制到脚本。最后也有多方位精通集大成者的大神,毕竟是少数,无法复制。这里我只能探讨入门的方法,至于大神之路,我不是也不知道,老祖宗说“修行在个人”。

首先,你要高度热爱信息安全这个领域,这个得扪心自问是不是真正的热爱,可以骗别人不能骗你自己。我见过很多人开口闭口说我很热爱,我问你有做过一些什么东西吗,回答说没有因为事情太多时间不够,又说不知道怎么入门老在外面徘徊。这种一般我是坚决不信的,时间不够的说法简直是最差的借口,你平时加班就不谈恋爱了?为了去跟男女朋友牵个小手,你们做过的事情一定会比翘课翘班更疯狂。君不见那些被打的大老虎们,哪一个不是绕道大半个中国去跟情妇约会的,人家这才叫高度热爱,哪一个不比你忙?所以显然这个是不成立的,中国有嘻哈里面,人家00后的卓卓就唱到“时间改变不了的叫做热爱”。衡量热爱的方法特别特别地简单:看看自己主动花了多少时间在哪些事情方面,必考题划重点:主动 + 时间。两个条件都不能满足的,请自行将自己PASS掉,别浪费时间。

那么,接下来会遇到第二个问题,我只是看了一个《我是谁:没有绝对安全的系统》这样的电影,我爱上了信息安全不行啊?我还没启动呢,但是我有兴趣了可不可以啊?当然可以,应该有一半人是这种情况吧,某件事情突然触动了你,哎哟这个屌,我要去学习。这属于心理还没建设好的,只看到了光鲜,没有看到人家背后辛苦的汗水。如果我告诉你,你的学习过程会很辛苦哦,要持续投入10000个小时哦,而且很可能会被定义为违法哦。“哎呀那不行,我还得陪女朋友去逛街给丈母娘买礼物呢”。你得把心理准备做好了再说。我最初应该是看凯文·米特尼克的《欺骗的艺术》吸引兴趣的(这本书已经没有卖了,你目前能买到的是“反欺骗的艺术”,多么神奇的世界),从入侵北美空中防护指挥系统,到入侵太平洋电话公司,再到后来在五角大楼和联邦调查局来去自如,一直到下村勉牵头把他抓住丢到监狱,整个颠覆了我原有对世界次序的理解,瞠目结舌。现在网络比以前发达太多,通过我给出的几个关键字,估计大家可以轻而易举的找到成批的资料。不凡先了解一下黑客的发展史,看一些书籍,那一批人要么非富即贵,要么遭受牢狱之灾甚至是以生命终结为句点。所以我说的心理建设就是指:你了解未来会面临的诱惑,你愿意为此持续投入时间,你将树立正确的道德观价值观。(是不是有点像结婚或者入党的赶脚,就是这样,痛并爱着……)。选择了做一个好人,就不要羡慕别人赚“快钱”。

接下来,找一个安全技术的切入点,与其临渊羡鱼不如退而结网。学习分为自我驱动和外部驱动两种,在信息安全领域(或者说是所有领域)里面顶尖的大神莫不是从自我驱动开始的。感触最深的是某一年yuange在我面前打开debug工具手动调试满屏汇编代码的时候,我有种强烈地取出他的大脑放到显微镜下分析的感觉。我自问无法沉下心来做这些看似非常枯燥无味的工作,所以,这就是我选择做安全开发的原因吧。如果来一个完全没有基础的新人丢到TK,yuange那里去,我估计壮烈牺牲的可能性很大。一个实际的问题是,上面我提到了信息安全非常细分,每一个领域都可能需要投入足够的时间才能有所小成,你可以兴趣广泛,但是不能滥交,找一个方面作为切入点尤为重要。有人对Web安全入门很感兴趣,因为出成绩快,有人对无线安全很感兴趣,有些人对硬件安全很感兴趣,这都无可厚非,对于天生对汇编有亲切感的,我们除了膜拜什么也做不了。如果你属于那种什么都不懂的,不妨就从Web安全开始入门,研究研究SQL注入啊,命令执行啊之类的漏洞,死不了人,这辈子都用得到。相对简单一点,上手快,成就感强。实在研究不下去了也没事,泡包泡面,拿本《黑客简史》这样的书籍看看(虽然写的很烂,聊胜于无),保持持续的激情和动力。技术方面很多人会让我推荐书籍,比如刺总的《白帽子讲Web安全》,比如杨帅哥的《硬件安全攻防大揭秘》,《无线电安全攻防大揭秘》这之类的都还不错啊,他们都藏私了,没多少干货,不过入门刚刚好,点到为止不至于太难。(这么看来,我们团队也得写本书才行……)

上面那一关过了,我觉得基本上你会有一个面试机会。我面试所有的安全人员,都会问一个问题:在安全领域你觉得谁比较牛,请列举三个。这个答案就多了,比如说 heige,刺,tk,MJ,龚广,redrain,yuange,flashsky,sunwear,sowhat,wushi,mickey,剑心,余弦 的都有,还有好多说这个“少”那个“少”的(一般说到少我头就大了)。有人说我很佩服zwell,我呵呵一笑说我就是,然后他就做惊呼状,让我很享受,后来发现被套路了,此为后话。我问这个问题的目的在于,判断你有没有尝试融入一个技术交流的圈子,因为最好的学习方法不是看,而是实践和交流分享。如果你关注了这些人,你当然会去了解他们的方向和能力,也会跟着他们的方向走,如果你每天看到的都是行业内最顶级的输出,那么你的能力也会得到鞭策。就好像你听惯了艾米纳姆的歌,再去听华晨宇的歌,总感觉差了一大截。光听过还不行,我会问你跟他们交流过吗?你问过他们什么问题?你跟他们分享过什么?如果都没有也没有关系,这个问题价值对应至少5000块的工资差异,我会接着问你觉得他们厉害在哪?如果直接说日娃是中国第一黑客,我一般就放弃了。反过来说,如果你说我觉得TK和heige都是被段子手和安全耽误了的医科圣手,他们不仅精通二进制漏洞的挖掘,还精通Web漏洞研究,其中在ROP绕过技术上研究很深入,其中某一个字节溢出玩出花来了,那么,我会……把你推荐给TK。

上面是实际情况,只是稍微戏剧化了一点,正常情况下我们还是希望看到一些实际的技术产出的,在只有0和1的计算机世界里,这个特别好衡量:你对这个行业贡献了什么?它可以是一段代码,也可以是一个自己挖掘出来的漏洞,也可以是一个开源的安全软件,还可以是一个安全事件的分析报告。只要你去实践了,不管是你提交漏洞到补天漏洞响应平台,还是通过众测的模式提交给了hackerone,哪怕是你发布到了自己的个人博客,我觉得都没有问题。我真遇到有人说,这个世界没有需要我做的了,漏洞我挖不出来,会一点编程,但是感觉每个细分领域都有足够好的安全工具。在这个世界有太多的不完美,所以才有越来越多的人投入进来,开发新的工具,研究新的漏洞。你不应该是一个乖乖仔,“黑客”精神首先要有怀疑一切挑战权威的勇气。但凡你有一丁点的输出,在漏洞方面比如以前在wooyun上刷过几个漏洞,或者现在在补天和先知平台提交了审核过的漏洞,我觉得能够找一份甲方的工作或者到一个乙方公司实习不成问题了,只是待遇是多少的问题。假设你能拿出一个自己在github上star过100的安全工具,简单跟我说两句,我会注意你的眼睛,瞳孔放光了我就给你加2000,如果身体手舞足蹈了,我再给你加3000。你看,乙方安全公司就是这么好骗。这里得补充一句,到这个程度的时候,我相信你肯定持续投入了超过一千个小时。秀肌肉是最好的打动面试官的方法,至于很多人担心沟通能力不好的问题,你大可以放心,为了不放过原本就缺人才的安全行业,面试官基本会把你引到一个舒服的状态上来。

已经入职以后,你有大段的时间开始自己的深入研究工作,这个过程中,我相信你身边已经有很多牛人可以跟你当面讨论了,你就开始了自己的大神锻炼之路。再过一段时间,你再看看那批引路人和领导,就会萌生出一种一览众山小的感觉。我们这批老师傅就差不多可以下岗了,“独坐在路边街角,冷风吹醒……”。

这里我单独拎出一段来讨论一下,也是很多人会问我的一些问题,差不多是FAQ性质的吧:

  • 能不能推荐一些入门书籍推荐?上面已经有答案了,一部分是专业书籍,一部分是八卦类的资讯类书籍。没有标准答案,以你的个人兴趣为主;
  • 安全到底要不要学习编程?如果要的话从哪开始?我只能说不是必备的,有一种渗透测试工程师全部用别人的工具也能玩出花来,渗透有如囊中取物。但是我看那些顶级的大神大多数都会一点编程的,只有这样才能基本理解漏洞和完善自己的武器库;
  • 安全到底需要学习哪些技能?这个就多了,你得会用github找代码吧?你得会用wireshark抓包分析协议吧?你得会用fofa或者shodan做全网应急吧?你得会用正则表达式来做内容提取吧?总之,信息安全是一门超级超级大的综合性学科,多学多用总没错;
  • 要关注哪些人?我得感叹说你们真的生活在一个幸福的年代,我上面列的那些人都还“健在”,都在微博知乎这些据点晃荡,自行关注,以后大家多去骚扰他们;

对了,如果你上面这些都看懂了,但还是不行,那你别怪我,你得认命。确实不是所有人都能成为大神,比如我喜欢篮球,但是今天也没有进NBA,连校队都进不了,站在旁边看他们装逼也是很愉快的事情啊,兴趣就让它永远保持为兴趣吧。

最后,如果你热爱安全,有一定基础(或者完全没有基础),想要在这方面投入时间学习成长,无论你是已经工作了的还是应届的亦或是未毕业的大学生,不妨给我发个邮件,我们给大家准备了一系列的安全岗位和发展机会和挑战。我的邮箱:zhaowu@baimaohui.net

发布于 2018-04-16