安全杂谈——工具及职业

关于渗透的理解

有一些兄弟咨询我一些工具选择的问题,个人推荐快速熟悉Kali的工具设计思维,便于了解渗透的一个全貌,掌握了渗透思维,再去熟悉工具,熟悉完工具就要学会改进工具,改进工具可以自行修改,也可以自己组建民间纯研究性质团队招收有开发能力的小伙伴,我从来不认为渗透只是一两个工具或者漏洞就能驾驭并轻视一切!

下面是废话阶段,不必深究,任何法律责任,自行担负:

1.信息收集是一个动态提升的能力,不要以为懂得了一些网上所谓信息常见的属性,就以为拥有了信息收集的能力,长期的资源积累利于你的信息收集能力(目标在线主机,域名信息,邮箱地址,常用密码,同网段信息,子域名信息,指纹信息,端口信息),什么各种搜索黑客,在我的认知体系里面都是放到信息收集体系里面的,有的坏人的字典储备已经相当丰富!

2.代码审计与单一的技术能力并不是一个渗透者的核心能力。只能称为一个技击武者,博取众长并且发扬光大才能突破自我,本我,达到超我的状态,才能开山立派。

3.耐心!耐心!还是耐心!除非你能通过大数据或者数据挖掘快速结束战斗,不然的话还是需要足够的耐心,渗透的前提是,你已经能承载一些基本的网络、软件、硬件的自研或者是团队研究能力。团队永远是你最后的支撑,寻求各种特长的人组队!

4.说渗透门槛低的只能是坐井观天。

5.找到你生存的需求点,产业链的上层助你熟悉一个技术的未来趋势,投资一项研究是对自己行业的尊重。

6.学习永无止境!不管深处甲方、乙方还是互联网公司,名气可以带来金钱、美女,也可以把你钉死在信息安全的耻辱柱上!

7.企业级的渗透,很多时候出于核心业务稳定性的考虑,限制了我们的渗透边界,但是可以垂直细分业务,可以获取用户需求,为企业级防护积累自己的需求数据库,掌握了需求才能站在更高层看我们的行业!

关于职业的思考:

"兵无常势,水无常形,因敌变化而取胜者,谓之神"

IT界,迷茫属于每一个人,不论是短期还是远期。信息安全职业规划应该作为一种动态思维的存在,而非限定工作年限、具体专业。个人觉得如果想在信息安全方面有所建树,不应该被各种各样的媒体/名人的观点所左右,应该贴合自身的性格、需求,长期专注下去。不要被信息安全界的各种话语主导权所左右(保持独立思考),大数据安全/物联网安全/移动安全这些都是很宏观的概念,技术/管理,到底喜欢哪个,相信你的内心有答案。生存第一、永恒第二;很多以销售为导向的公司总是重视销售、战略......,但是请记住信息安全是为数不多的战术、战略同等重要的行业,技术代表着公司品牌,天然带来竞争优势。

最近私信爆满,对于很多朋友的私信没有及时回复的,也说声抱歉,关于职业规划并不是三两句话就能说的清楚的,我后期会对同类问题进行详细答复。

个人救赎

安全是否以价值为导向?

如果你的价值观是为企业创造对方想要的价值,建立与维持共生关系,并借助平台实现自身理想,那么就应该通过努力使自己更加贴合该岗位不可或缺的人才的标准,为公司/客户持续创造价值,并让众人耳濡目染你的价值与贡献。

如果你的价值观是为实现自身价值的同时,让自己快乐,那么你就要好好想一下。个人利益与团队利益你是否能气定神闲的处理好?是喜欢一个人独处还是喜欢调动全局,当一个组织者。

职业生涯就是这样一个个人救赎、识别自我的过程……

“雅俗共赏”是雅文化和俗文化的最高境界,有时候对于自身的规划也不需要分的那么清楚,适当的技术思维/技术跨界可以让管理更得心应手、让技术更精进。

思考角度

技术管理与技术者的区别:

技术者——是帮助组织或者客户完成研究或者实施他们所需要东西的过程,技术者需要的是专业性、专注、知识深度的探索。

技术管理——努力在服务需求、质量、项目管理、团队建设种等方面创造优势,并为团队带来一定的组织利益,属于信息安全规划层面的工作。 技术管理是一个体系化的职位,而技术是一种专注的职位。

技术者注重的战术能力,以战术水平为中心,注重技术的技巧和方法,关心的是现有技术的细节和工程目标的实现。

技术管理是一种战略思考,以团队管理和项目管理为中心,注重建立持续的信息安全体系,关心的是业务稳定的需求以及信息安全交付的能力。

人在世上不顺多,当学水之能潜、能涌、能流、能奔、能升能降,适境而生,适境而居。让心永远呈现如“宁静的森林池水”……

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180513G0957A00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券