约翰·斯特兰德的计算机安全入门五阶段计划
本文最初发表于PROMPT#杂志的SOC专刊(可此处免费阅读),内容改编自2018年网络研讨会《约翰·斯特兰德的信息安全五年计划,第二部分》(文末附链接)。部分信息或资源可能已过时。
第一阶段
学习核心操作系统。搭建实验环境。开始学习一门编程语言。掌握基本安全原理。
从软技能开始你的教育。理解技术:这些机器在商业中如何被使用?人们用它们做什么?你可以像任何人一样技术娴熟,但如果不理解你尝试做的事情的应用场景,无法用商业语言沟通,你将难以取得进展。
- Windows:前往Windows评估中心。安装微软的软件。这个过程可能会很痛苦。有些东西容易安装,比如Active Directory;有些则非常困难,比如SCCM或配置管理。但这些是你作为安全专业人员必须学习的重要课程。搭建那些你将不断防御(或不断攻击)的系统。
- Linux:从头开始安装所有东西。不知道怎么做?访问搜索引擎,输入你的问题,点击搜索按钮。不要因为困难就放弃。安全不是走捷径——它关乎持续学习,即使在异常困难的情况下。变得优秀的唯一途径就是挣扎。如果需要,移除你的退路,卸载Windows。同时学习Bash脚本(还有其他shell,但Bash是你最终会最常使用的)。
- 网络:搭建一个网络实验室。首先,让你家里的设备启动并运行,确保你知道它在做什么。然后,获取一些模拟器(https://www.brianlinkletter.com/open-source-network-simulators/)。买一些设备。你可以在eBay上便宜地买到旧设备。拆开它们,弄清楚它们如何工作。买两三个同样的东西……你最终会弄坏几个。
- 编程:学习编码。Python是最好的起点(尽管其他语言也很重要)。在线学习,Code Academy、Code Warrior和Pluralsight等都是极好的资源。
- 安全标准:学习18项CIS关键安全控制。了解这些对你的简历大有裨益。它是战略性的、高层次的。学会它。
第二阶段
开始做项目的时候到了!(你可能已经开始了……那很好!)
从消费者转变为创造者。
你应该:
- 创建一个安全小组(团队合作是重要经验)
- 在工作场所
- 在学校
- 学习PowerShell(……这需要一段时间)
- 保持对安全新闻的关注
- 消除阻碍你的干扰因素
第三阶段
这是Web应用的时代——你必须了解这些。
从PHP和ASP.NET开始(暂时不要分心于其他东西)。
随意扩展到网络化的iOS和Android应用。
学习编码(即使编码得很糟糕)。
开发点什么。
敢于在某件事上表现糟糕。拥抱糟糕。没关系。
——约翰·斯特兰德
第四阶段
开始黑客行为的时候到了!
学习IDA和Immunity Debugger。
选择一个协议并理解该协议。
挑战在线题目。
(你一直在玩Metasploit,对吧?)
从OWASP下载ZAP。
使用并学习所有这些:
- Windows ATT&CK for Enterprise Matrix
- SANS Ultimate Pentest Poster
第五阶段
演讲!
在任何地方做演讲。
就你刚刚学到的东西进行演讲!
利用会议/活动/网络研讨会作为演讲者,并且……
把自己推出去。
结束语
随意:
- 沉溺于干扰
- 坚持这个计划
- 忽略这个计划
- 制定你自己的计划
- 只精通一件事
- 获得学位
- 不获得学位
- 获得认证
- 不获得认证
不要做以下事情:
- 沉溺于视频游戏
- 浪费时间琢磨魔方
- 在Netflix上狂看节目
- 使用Bing做任何事
- 仅仅为了 impress 别人而勉强学习Metasploit
- 花更多时间在黑客“外观”上而不是学习
- 生气
- 责怪他人
在此处查看约翰谈论他的计划的完整视频:[视频链接]
阅读我们“信息安全初学者”博客系列的更多内容:
- 如何获得网络安全工作
- 约翰·斯特兰德的计算机安全入门五阶段计划
- 从高中到网络忍者——几乎免费!
- 蓝队、红队和紫队:概述
- 渗透测试、威胁狩猎和SOC:概述
- 什么是渗透测试?
- 如何执行和对抗社会工程
- 网络安全中的人为因素:理解信任和社会工程
- 搭建家庭实验室:设备、工具和技巧
- 初学者威胁猎人的问题
- Shenetworks推荐:9个必看的BHIS YouTube视频
- 心理健康——信息安全的挑战
想提升技能并从约翰本人那里学习更多?你可以在下面查看他的课程!
- SOC核心技能
- 主动防御与网络欺骗
- 与BHIS和MITRE ATT&CK一起开始安全之旅
- 渗透测试入门
提供实时/虚拟和点播形式。