安全杂谈——工具及职业

关于渗透的理解

有一些兄弟咨询我一些工具选择的问题，个人推荐快速熟悉Kali的工具设计思维，便于了解渗透的一个全貌，掌握了渗透思维，再去熟悉工具，熟悉完工具就要学会改进工具，改进工具可以自行修改，也可以自己组建民间纯研究性质团队招收有开发能力的小伙伴，我从来不认为渗透只是一两个工具或者漏洞就能驾驭并轻视一切!

下面是废话阶段，不必深究，任何法律责任，自行担负：

1.信息收集是一个动态提升的能力，不要以为懂得了一些网上所谓信息常见的属性，就以为拥有了信息收集的能力，长期的资源积累利于你的信息收集能力(目标在线主机，域名信息，邮箱地址，常用密码，同网段信息，子域名信息，指纹信息，端口信息),什么各种搜索黑客，在我的认知体系里面都是放到信息收集体系里面的，有的坏人的字典储备已经相当丰富！

2.代码审计与单一的技术能力并不是一个渗透者的核心能力。只能称为一个技击武者，博取众长并且发扬光大才能突破自我，本我，达到超我的状态，才能开山立派。

3.耐心!耐心!还是耐心!除非你能通过大数据或者数据挖掘快速结束战斗，不然的话还是需要足够的耐心，渗透的前提是，你已经能承载一些基本的网络、软件、硬件的自研或者是团队研究能力。团队永远是你最后的支撑，寻求各种特长的人组队！

4.说渗透门槛低的只能是坐井观天。

5.找到你生存的需求点，产业链的上层助你熟悉一个技术的未来趋势，投资一项研究是对自己行业的尊重。

6.学习永无止境！不管深处甲方、乙方还是互联网公司，名气可以带来金钱、美女，也可以把你钉死在信息安全的耻辱柱上！

7.企业级的渗透，很多时候出于核心业务稳定性的考虑，限制了我们的渗透边界，但是可以垂直细分业务，可以获取用户需求，为企业级防护积累自己的需求数据库，掌握了需求才能站在更高层看我们的行业！

关于职业的思考：

"兵无常势，水无常形，因敌变化而取胜者，谓之神"

IT界，迷茫属于每一个人，不论是短期还是远期。信息安全职业规划应该作为一种动态思维的存在，而非限定工作年限、具体专业。个人觉得如果想在信息安全方面有所建树，不应该被各种各样的媒体/名人的观点所左右，应该贴合自身的性格、需求，长期专注下去。不要被信息安全界的各种话语主导权所左右（保持独立思考），大数据安全/物联网安全/移动安全这些都是很宏观的概念，技术/管理，到底喜欢哪个，相信你的内心有答案。生存第一、永恒第二；很多以销售为导向的公司总是重视销售、战略......，但是请记住信息安全是为数不多的战术、战略同等重要的行业，技术代表着公司品牌，天然带来竞争优势。

最近私信爆满，对于很多朋友的私信没有及时回复的，也说声抱歉，关于职业规划并不是三两句话就能说的清楚的，我后期会对同类问题进行详细答复。

个人救赎

安全是否以价值为导向？

如果你的价值观是为企业创造对方想要的价值，建立与维持共生关系，并借助平台实现自身理想，那么就应该通过努力使自己更加贴合该岗位不可或缺的人才的标准，为公司/客户持续创造价值，并让众人耳濡目染你的价值与贡献。

如果你的价值观是为实现自身价值的同时，让自己快乐，那么你就要好好想一下。个人利益与团队利益你是否能气定神闲的处理好？是喜欢一个人独处还是喜欢调动全局，当一个组织者。

职业生涯就是这样一个个人救赎、识别自我的过程……

“雅俗共赏”是雅文化和俗文化的最高境界，有时候对于自身的规划也不需要分的那么清楚，适当的技术思维/技术跨界可以让管理更得心应手、让技术更精进。

思考角度

技术管理与技术者的区别：

技术者——是帮助组织或者客户完成研究或者实施他们所需要东西的过程，技术者需要的是专业性、专注、知识深度的探索。

技术管理——努力在服务需求、质量、项目管理、团队建设种等方面创造优势，并为团队带来一定的组织利益，属于信息安全规划层面的工作。 技术管理是一个体系化的职位，而技术是一种专注的职位。

技术者注重的战术能力，以战术水平为中心，注重技术的技巧和方法，关心的是现有技术的细节和工程目标的实现。

技术管理是一种战略思考，以团队管理和项目管理为中心，注重建立持续的信息安全体系，关心的是业务稳定的需求以及信息安全交付的能力。

人在世上不顺多，当学水之能潜、能涌、能流、能奔、能升能降，适境而生，适境而居。让心永远呈现如“宁静的森林池水”……