比如,安全媒体平台上的文章质量也在提高。那些对自己多少有要求的人来说,还是会长点心积累自己的。
计算机安全应该算计算机科学与技术的一个分支,安全领域有着自己独特的业务, 对比非CS专业人员,安全行业从业者,一种是纯信安专业毕业,一种是其他行业转到信息安全,这两种人才, 在知识结构和传统CS软件开发从业者相比,有差异性。
安全领域的人专注于自己的业务,知识结构方面其实是有欠缺的,特别是一些开发知识经验、项目、底层知识、体系结构的知识储备少一些。
如果都是面对某一些层级的安全问题,比如Web安全,如果因为知识结构欠缺的问题,安全技术发展到一定程度会被限制住。知识结构的不足,会缺少从底层出发形成创造性发现漏洞的视角,看问题、解决问题,停留在问题的表面,不能从底层进行举一反三创造性的发掘安全问题,只能跟着别人的节奏走。
Web安全作为安全领域的一个分支,安全从业人员喜闻乐见。Web安全容易入门,同时也存在知识脱节的问题。例如一个学生,看了一本Web安全的书,很多时候Web安全的书,大的篇幅,都在讲漏洞的原理、漏洞的复现与利用。长此以往,从业人员在Web安全领域原地转圈。
要想发现更深入的Web安全问题,安全从业人员,特别是刚毕业的从事人员,要补充学习学校科本里没有教的知识,这些知识学校的书本没有教,在企业中确实在的被生产使用中。
网络、LVS、CDN等知识,是纯安全业务以外的内容,在企业当中如何应用的,如何在网络环境中部署一个蜜罐系统。如何用神经网络算法发现URI攻击威胁。WAF除了使用正则表达式,这种最纯朴的策略描述之外,使用的基于语义分析威胁方法算法原理是什么?Web框架的原理是什么,路由分发的原理?如何绕过WAF系统的拦截。
Web漏洞的样式在不断的更新,防御的手段也在提高,安全从业人员,面对的不再是简单的Web漏洞,而对的Web系统背后,有着复杂的体系结构,需要不断丰富对新生Web系统的新认识,注意体系结构知识的积累。
浮躁是不行的,而对新形式,还是要抓紧时间学习。建立起丰富,完善的知识体系结构。跳出Web漏洞看Web系统。世面上讲Web漏洞原理的书很多,但是讲Web体系结构的书相对比较少。《墨守之道-Web服务安全架构与实践》这本书,跳出Web漏洞讲Web安全,从企业实际情况出发,讲解Web安全原理的同时,讲解Web体系原理,从攻击与防御两个方向讲解了Web安全知识。
对于在校的学生,没有进入企业之前,可以通过这本书来了解,企业生产中, Web安全的渗透测试与攻击防御的知识内容,更新自己的知识库。
对于安全从业人员,不要再单一的认为WAF就是正则表达式,更多的角度了解新的Web防御手段语义分析技术、神经网络算法、生产环境中的蜜罐等相关技术内容。