网络安全初学者指南-全-

网络安全初学者指南（全）

原文：annas-archive.org/md5/c75a6452851bfd3df5256efcaba9bbe7

译者：飞龙

协议：CC BY-NC-SA 4.0

序言

有两种类型的组织：一种是知道自己已经遭到攻击的，另一种是不知道自己已经被攻击的。几乎每天都有关于某家公司被攻击的新闻，无论它们的规模如何。

另一方面，独立的研究机构，如 Gartner；财富公司，如微软和思科；受人尊敬的杂志，如《福布斯》；全球非营利组织，如 ISACA；政府机构；以及招聘人员，今天都在谈论网络安全技能短缺问题，他们估计人才差距已经达到了数百万。许多组织和个人都热衷于弥补这一差距。虽然资源非常碎片化，但互联网上可能有无尽的资源。你会发现许多书籍和视频提供了开始学习网络安全所需的基本要点，但没有一个能从 A 到 Z 提供关于初学者需要了解的内容、需要关注的核心技术、为什么需要有导师、如何建立人脉、可以参加哪些认证考试、如何找到所需资源以及最后如何找到工作的全面指导。

再次强调，没有任何资源能提供业内知名专家或招聘经理关于初学者应做什么的建议和建议。

本初学者指南探讨了与网络安全相关的深度技术内容；然而，它也提供了如何成为网络安全专家的实际指导。

尽管本书被称为初学者指南，但它也为那些希望转行进入网络安全领域的专业人士提供了大量信息。

本书适用对象

本书面向任何希望进入网络安全领域并探索其各种细节的人。通过来自行业的实际建议，本书对从初学者到职业转换者的每个人都有益处。

本书内容简介

第一章，网络安全的重要性，重点讲解了网络安全的重要性，并帮助任何想成为网络安全专业人士的人理解他们需要具备的能力。

第二章，安全演变——从传统到先进，再到机器学习和人工智能，讨论了网络安全的演变以及网络安全与机器学习和人工智能的融合未来。

第三章，学习网络安全技术，介绍了你需要学习的内容，以成为网络安全专业人士，并列出了当前就业市场中所有可行的路径。

第四章，我们为网络安全职业所需的技能，研究了就业市场，找出了组织所招聘的网络安全职位以及你可以学习的、帮助你转行或在网络安全领域发展职业的热门技能。

第五章，攻击者思维，探索了攻击者的特征以及他们的思维方式，揭示了是什么驱动黑客。

第六章，理解反应性、主动性和运营安全，介绍了什么是反应性、主动性和运营网络防御，安全的支柱是什么，以及如何为自己和公司选择最佳技能。

第七章，网络、导师与影子学习，讨论了这三项对你职业生涯至关重要的要素。

第八章，网络安全实验室，介绍了自我评估和学习技能、帮助你快速提升技能的方法，以及一些帮助你搭建自己实践实验室的关键资源。

第九章，知识检查与认证，讨论了为什么需要认证，以及如何根据作者和本书贡献专家的真实经验，选择合适的地方和认证进行学习，因为有太多的选择。

第十章，安全情报资源，重点介绍了现有的安全情报资源，这些资源可以公开和商业化地使用，以帮助组织提高安全标准。作为网络安全领域的初学者，这些信息将从加速学习的角度来看非常有用。

第十一章，关于如何入门网络安全的专家意见，汇集了来自牛津大学、查尔斯·斯图尔特大学等学术机构的贡献，以及来自微软、FireEye、SAP、Keepnet Labs 等领域专家的意见，还有罗切斯特理工学院等培训机构的分享，以及私营企业 Cqure 和 Dimension Data 的专家。在这一章中，他们分享了自己进入网络安全领域的历程、所采取的步骤、接受的培训以及如何保持技能敏锐的建议。此外，他们中的一些人还分享了在招聘人才时，自己看重的技能。

第十二章，如何在网络安全领域找到工作，无论你的背景如何，介绍了如何在网络安全领域找到工作的技巧和窍门。这包括面试技巧、招聘人员的工作方式以及财富 500 强公司如何招聘。这一章将理论与实践结合了起来。

从本书中获取最大收益

仔细阅读，决定你要选择的路径，并参考专家的建议。无论你是网络行业的新手，还是已有一定 IT 经验，本书都提供了你在网络安全行业取得成功所需的一切。

下载彩色图片

我们还提供了一份 PDF 文件，其中包含本书中使用的截图/图表的彩色图片。您可以在这里下载：www.packtpub.com/sites/default/files/downloads/9781789616194_ColorImages.pdf。

使用的约定

本书中使用了若干文本约定。

CodeInText：表示文本中的代码词汇、数据库表名、文件夹名称、文件名、文件扩展名、路径名、虚拟 URL、用户输入和 Twitter 用户名。例如：“为了计算您的x位数据是多少 MB，您需要使用四个基本操作，而在对日志数据进行分类时，您可以使用判别函数。”

粗体：表示一个新术语、重要词汇，或是您在屏幕上看到的词汇。例如，菜单或对话框中的文字会以这样的方式显示。举个例子：“您可以点击 Start SSL test 按钮来开始测试。”

警告或重要提示会以这样的方式出现。

提示和技巧会以这样的方式出现。

联系我们

我们始终欢迎读者的反馈。

一般反馈：如果您对本书的任何内容有疑问，请在邮件主题中提到书名，并通过 customercare@packtpub.com 与我们联系。

勘误表：尽管我们已经尽力确保内容的准确性，但错误仍然有可能发生。如果您在本书中发现错误，我们将非常感激您能向我们报告。请访问 www.packt.com/submit-errata，选择您的书籍，点击“勘误提交表单”链接，并填写相关细节。

盗版：如果您在互联网上遇到我们作品的任何非法复制版本，感谢您能提供该内容的地址或网站名称。请通过 copyright@packt.com 联系我们，并提供相关链接。

如果您有兴趣成为作者：如果您在某个领域有专业知识，并且有兴趣撰写或参与编写书籍，请访问 authors.packtpub.com。

评论

请留下评论。一旦您阅读并使用了本书，为什么不在购买的站点上留下评论呢？潜在读者可以通过您的公正意见来做出购买决定，我们 Packt 可以了解您对我们产品的看法，作者也能看到您对其书籍的反馈。谢谢！

获取更多关于 Packt 的信息，请访问 packt.com。

免责声明

本书中的信息仅供道德使用。如果您没有设备所有者的书面许可，请勿使用书中的任何信息。如果您进行非法行为，可能会被逮捕并依法起诉。如果您滥用本书中的任何信息，Packt Publishing 不承担任何责任。这里的信息必须在获得适当责任人书面授权的测试环境中使用。

第一章：网络安全的重要性

在这个快节奏的行业中，数字化和保持连接扮演着至关重要的角色。这一趋势与基于云的技术和移动技术的迅猛发展相辅相成。“为什么关注安全？”这一问题已经从仅仅是安全团队的讨论，转变为董事会会议的议题，且不仅仅止于此。这已经成为今天行业中的热门话题。我们周围的每个人，无论是在工作场所还是其他地方，都在以某种方式谈论安全问题。安全不再仅仅是 IT 管理员或 IT 组织中安全管理员的需求，而是所有与任何类型数据有某种联系的实体的需求。

网络安全的重要性，顾名思义，将是本章讨论的核心，我们将重点关注以下内容：

• 泄露历史

• 保护网络和应用程序的重要性

• 威胁环境

• 安全如何帮助

数据泄露的历史

关于黑客攻击的普遍看法是，它始于几十年前。然而，实际上，黑客行为早在那之前就已经存在，追溯到 1834 年，几乎有两个世纪的历史。从历史上看，黑客行为在 1836 年曝光，当时两名参与此行为的人被抓获。在 1700 年代末期，法国实施了其国家数据网络，用于在巴黎和波尔多之间传输数据，当时这是独一无二的。该网络基于机械电报系统，构建了一个由物理塔楼组成的网络，每个塔楼顶部配备了一套独特的可动臂系统。

塔楼操作员会使用这些臂的不同组合形成可以通过望远镜从远处塔楼读取的数字和字符。数字和字符的组合会从塔楼传递到塔楼，直到传达到远端。因此，政府实现了一种更高效的数据传输机制，从而节省了大量时间。有趣的是，所有这些都发生在公开的场合。尽管这些组合经过加密，并且需要经验丰富的电报操作员才能解码最终传递的消息，但风险始终潜伏在周围。以下图片展示的就是其中一座塔楼：

图 1：克劳德·夏佩（Claude Chappe）光学电报的复制品，位于德国纳尔巴赫附近的利特蒙特（Litermont）（照片由 Lokilech CC BY-SA 3.0 提供）

这一操作被两位银行家观察到，分别是弗朗索瓦·布朗和约瑟夫·布朗。他们曾在波尔多的交易所进行政府债券交易，正是他们想出了一种黑客手段，通过贿赂几名电报操作员来污染数据传输，在其中加入当前市场状况的指示。通常，债券表现相关的信息需要几天才能通过正常邮件到达波尔多，但由于这次黑客攻击，他们能够提前收到同样的信息，而比波尔多交易所接收到的时间要早得多。在正常的传输过程中，操作员会加入一个回退符号，表示需要避免上一个字符并将其视为错误。银行家们支付给其中一名操作员，让他故意加入一个预定字符，表示前一天的交易表现，以便他们能够根据市场的变动做出买卖债券的决策。这个额外的字符并没有影响政府发送的原始信息，因为它本应被远端电报操作员忽略。但这个额外的字符会被另一位曾是电报操作员的人注意到，这位操作员由银行家支付，通过望远镜观察并解码它。此外，布朗兄弟并不关心整个消息，他们所需要的只是与市场变动相关的信息，而这正是通过这段额外的无效信息获得的。布朗兄弟凭借市场变动的优势，继续实施这一行为长达两年，直到 1836 年他们的黑客行为被发现并被捕。你可以在www.thevintagenews.com/2018/08/26/cyberattacks-in-the-1830s/了解更多此类攻击的信息。

这种攻击的现代等价物可能是数据污染、中间人攻击、网络滥用、攻击或社交工程。然而，最显著的相似之处在于，这些攻击常常在被发现之前，长时间甚至数年内无人察觉。这在当时是如此，今天依然如此。不幸的是，布朗兄弟未能被定罪，因为当时并没有相关法律可以起诉他们。

也许与今天的网络攻击相比，布朗兄弟的黑客行为并不那么创新，但它确实表明了数据始终处于风险之中。而随着数据在各种形式、操作和传输机制（网络）中的数字化，攻击面现在已经非常庞大。现在，保护数据、网络和计算机基础设施的安全，已经成为组织和个人的责任。

让我们再快进 150 年，来到 20 世纪 80 年代末。这时，世界见证了第一个计算机病毒——Morris 蠕虫。尽管蠕虫的创始人 Robert Tappan Morris 否认它是有意造成计算机伤害的，但它确实影响了数百万台计算机。Tappan 编写了一个自我复制的实验性程序，旨在衡量网络世界的广度，该程序会自动从一台计算机跳到另一台计算机。

这个病毒是由 Morris 注入互联网的，但令他惊讶的是，这个所谓的蠕虫传播的速度远超他预期。很快，在接下来的 24 小时内，至少有 10%的联网机器受到影响。此后，病毒被目标指向了 ARPANET，一些报告表明，当时联网的计算机大约有 60,000 台。这个蠕虫利用了 Unix 邮件程序sendmail中的一个漏洞，sendmail通常等待其他系统连接邮件程序并发送邮件，还利用了fingerd守护进程中的一个漏洞。该蠕虫感染了许多站点，包括大学、军方和其他研究设施。来自多所美国大学的程序员团队不间断地工作了数小时才找到修复办法。又过了几天，才恢复到正常状态。几年后，在 1990 年，Morris 因违反计算机欺诈与滥用法案被法院定罪；与 Blanc 兄弟事件时没有法律可供起诉不同，这次有了相关法律。

快进到 2010 年，再过二十年，世界见证了一个曾经无法想象的事件：一个高度协调的努力，旨在创造一款专门为攻击伊朗核设施而设计的软件，Yes Software。它是专门为工业控制系统（ICS）设计的，目标是西门子生产的某种特定品牌和型号的 ICS，这种设备用于核设施中控制离心机的速度。据信该软件是为了现场交付而设计的，因为目标伊朗设施是隔离的（air-gapped）。这是一起前所未有的工业网络间谍行为。恶意软件被特别设计为不会离开核电站设施。然而，不知怎么的，它还是通过某种方式进入了互联网，至今仍然有人对其传播方式存在猜测。研究人员在发现该恶意软件后花了数月时间才弄清楚其工作原理。据推测，它至少需要几年时间才能开发成一个完全可用的工作模型。继 Stuxnet 之后，我们见证了许多类似的攻击模式，如 Duqu 和 Flame，一些领域专家认为，这些类似的恶意软件至今仍然活跃。

目前，我们看到有极为新型的攻击变种，它们有着新的作案手法。这些攻击方式通过使用勒索软件来赚取资金，或是窃取数据然后试图出售或销毁数据。或者，他们利用受害者的基础设施运行加密货币矿工恶意软件来挖掘加密货币。今天，安全问题已经成为焦点，这不仅仅是因为每个实体的攻击面都在增加，或者成功的高调大规模攻击已成为常态，更因为我们每个人都意识到无论你是否是目标，保护数据的重要性是至关重要的。

安全场景

为了让它更加直观和简单，我们将在接下来的章节中讨论一些场景，来阐述安全性需求：

• 场景（一般组织）：试着想象一个拥有标准数字化和 IT 功能的组织，以满足其业务需求。作为一个组织，确保你所使用的数字化和 IT 基础设施始终运行并保持在线是非常重要的。同时，组织有责任保障你所涉及的身份、数据、网络、设备和产品的安全。数字化如今已经成为所有企业和组织的常态。数字化带来了连接性以及各种不同技术的混合，这些技术共同工作以实现组织设定的业务目标。随着数字化程度的提高，连接性的水平也在增加，无论是在组织的边界内还是边界外。这种连接性同样对组织的安全性构成了风险（我们将在后续章节进一步讨论这一点）。

数字化和连接性大致可分为三个宏观方面，即：身份（我们通过它允许用户进行互动）、数据（个人、业务、个人或系统数据）和网络（连接部分）。此外，我们还不能忘记将这些要素整合在一起的因素，即：设备、解决方案以及各种业务流程和应用程序。今天，任何组织都需要通过身份来控制查看、修改或处理数据，或访问业务应用程序/系统所需的访问级别。组织必须保护这些身份，这已成为事实上的要求。你还需要采取适当的措施来保护你所处理的数据，无论是静态数据、传输中的数据，还是计算中的数据。而且，网络边界，无论是物理的还是云端的，都必须通过适当的措施和控制来确保安全。这个场景是为了设定上下文；我们将在接下来的章节中进一步讨论这些方面。

• 场景（万物皆向云端迁移）：随着大多数组织快速向云迁移，对更高处理能力和更低运营成本的需求不断增加。云作为一种技术，在需要时为企业提供了更多的可扩展性。而且，随着每个企业的全球影响力不断扩大，协作需求变得更为重要，而云使得这一点成为可能。如今，员工更倾向于远程工作，从而消除了对办公基础设施的需求。云计算的另一个重要好处是，它减轻了 IT 部门的负担，不必时刻跟踪软件和硬件组件的新更新和升级。

但是，尽管技术进步确实带来了更多的控制、速度、能力、准确性、弹性和可用性，它们也带来了安全隐患和风险。云计算在安全问题上也不例外，如果没有正确实施或使用，可能会暴露出风险。云的最大优势是，组织能够享受到不拥有任何基础设施或运营的好处。然而，这个优势也带来了安全风险和隐患，例如谁能访问存储在云中的数据，如何维持和管理安全监管要求，以及如何遵守 GDPR 等合规性规定？云计算还使得每个组织的灾难恢复（DR）场景变得更加复杂，因为它取决于服务提供商的条款和条件以及他们围绕数据恢复的商业模式。此外，组织无法控制云服务提供商会在哪里建立数据中心并运营，这引发了数据主权的问题。云端运营面临许多其他挑战和风险，这些将在本书的相关章节中讨论。

理解攻击面

我相信，到现在为止，你已经在某种程度上掌握了安全性及其重要性。那么，让我们来看看什么是攻击面，以及我们如何定义它，因为理解攻击面对于我们制定安全计划至关重要。简单来说，攻击面是所有潜在漏洞的集合，这些漏洞如果被利用，可能会允许未经授权的访问系统、数据或网络。这些漏洞通常也被称为攻击向量，它们可以跨越软件、硬件、网络以及用户（即人为因素）。被攻击或遭到破坏的风险与攻击面暴露的程度成正比。攻击向量的数量越多，攻击面越大，受到攻击的风险也越高。因此，为了降低攻击风险，必须通过减少攻击向量的数量来减少攻击面。

我们时常看到攻击针对应用程序、网络基础设施，甚至个人。为了让你了解攻击面和暴露的程度，首先来看一下常见漏洞和暴露（CVE）数据库（cve.mitre.org/cve/）。该数据库包含 108,915 条 CVE 条目（截至写本章时），这些条目都是过去几十年中已识别的漏洞。虽然其中很多漏洞现在已被修复，但也有一些可能仍然存在。这个庞大的数字表明了暴露风险有多大。

任何在系统中运行的软件都可能通过软件漏洞被远程或本地利用。这一点尤其适用于面向 Web 的软件，因为它暴露在外，攻击面更大。通常，这些易受攻击的应用程序和软件可能导致整个网络的安全性受到威胁，并对其管理的数据构成风险。除此之外，还有一个风险是这些应用程序或软件始终面临的：内部威胁，任何经过认证的用户都可以访问由于访问控制实施不当而未被保护的数据。

另一方面，暴露网络攻击的攻击面可以是被动的也可以是主动的。这些攻击面可能导致网络服务崩溃、暂时无法使用、允许未经授权的数据访问等问题。

在被动攻击的情况下，网络可以被攻击者监控，以捕获密码或获取敏感信息。在被动攻击中，攻击者可以利用网络流量截取敏感系统之间的通信并窃取信息，且用户往往毫无察觉。与此相对，在主动攻击中，攻击者会尝试通过使用恶意软件或其他形式的网络漏洞绕过防护系统，入侵网络资产；主动攻击可能导致数据和敏感文件暴露，甚至可能导致拒绝服务攻击。常见的攻击向量类型包括：

• 社会工程学、诈骗等

• 自动下载

• 恶意网址和脚本

• 基于浏览器的攻击

• 供应链攻击（这一威胁日益增加）

• 基于网络的攻击向量

威胁格局

攻击面还引入了另一个术语——威胁景观。我们在网络安全社区中每天都会讨论这个话题。威胁景观可以定义为已观察到的威胁集合、威胁源的信息以及当前的威胁趋势。每一位安全专业人士都应当时刻关注威胁景观。通常，许多不同的机构和安全厂商会发布此类威胁景观报告，例如ENISA（欧洲网络与信息安全局）和NIST（美国国家标准与技术研究院），以及一些大型安全公司。

此外，威胁景观是一个极其动态的领域，它变化非常频繁，受多种因素驱动，比如利用漏洞的工具的可用性、可利用资源和漏洞的知识库，以及发起攻击所需的技能要求。（由于互联网上自由可用的工具，这变得越来越容易。）在本书的后续章节中，我们将进一步讨论威胁景观资源。以下是 2016-2017 年间不同威胁及其相对排名的列表：

图 2：ENISA 2017 年威胁景观报告

上述图片展示的是基于 ENISA 报告的 2017 年威胁景观。这引出了一个重要的话题，我们需要了解一些常见的攻击类型：

• 非结构化攻击：这类攻击的特点是攻击者对他们发起攻击的环境没有任何事先的了解。通常，在这种情况下，他们依赖所有可以自由使用的工具。非结构化攻击通常是大规模的，基于任何常见漏洞和现有的利用方式进行的。

• 结构化攻击：与非结构化攻击不同，在结构化攻击中，攻击者的准备更加充分，计划也更为周密。在大多数结构化攻击的案例中，我们注意到攻击者展示了他们在编程方面的高超技能，以及对他们攻击的 IT 系统和应用程序的深入了解。这些攻击通常非常有组织，且大多是针对单个实体或行业垂直领域的。

• 社交工程（钓鱼攻击、矛鱼攻击等）：这种攻击针对的是人类这一最脆弱的环节。在这种攻击中，用户通过各种方式被利用。这些攻击往往因为缺乏知识或无知而成功。攻击者通过各种手段欺骗用户，从用户那里提取信息。最常见的方式是钓鱼攻击和矛鱼攻击。在钓鱼和矛鱼攻击中，攻击者通过冒充看似真实的身份来提取数据，比如冒充管理员帮助用户重置密码和其他账户详情，通过网络门户进行。这些门户专门设计以达到提取数据的目的，攻击者希望收集这些数据。用户容易成为这些攻击的受害者，进而泄露敏感信息。

• 窃听：这种攻击通过未经授权的访问网络并监听网络通信来进行。通常，所有未加密的流量都容易成为攻击者的目标。

• 拒绝服务攻击（DoS 和 DDoS）：这是一种最古老的基于网络的攻击形式，攻击者通过发送大量的数据流，试图超载应用程序或设备的处理或计算能力，使其无法处理，从而干扰系统的正常运行。另一方面，分布式拒绝服务攻击（DDoS）是通过多个来源对单一受害者应用程序或系统发动的大规模攻击，数据量超过系统可以处理的范围。这种攻击如果没有适当的技术手段，是最难以缓解的。

• 中间人攻击（MITM）：在这种攻击形式中，攻击者通过操控服务器和客户端之间的通信，劫持会话或网络，充当代理服务器，通常在受害者不知情的情况下进行。

• 恶意软件：恶意软件可以定义为破坏性软件，旨在通过其创建者的恶意意图对系统造成损害或实现其他目的。大多数情况下，攻击者通过利用计算机系统的安全漏洞或任何弱点，借助恶意软件来获得访问权限。蠕虫和木马是恶意软件的不同形式，它们具有从一台计算机传播到另一台计算机并自我复制的能力。恶意软件可以造成数据盗窃、大规模破坏计算机系统、干扰网络活动，还可以协助企业间谍活动。最新的恶意软件通常具有独特的隐藏能力，能够极其巧妙地避开安全系统和检测机制，并保持活跃状态数周到数年。

• 僵尸网络：当计算机系统感染恶意软件或其他恶意远程工具，并且这些被感染的计算机系统被攻击者远程控制时，这些计算机就被称为僵尸。进一步地，当有许多计算机被这种恶意软件感染并被攻击者控制时，这个由受感染计算机组成的网络或集合就被称为僵尸网络。这种远程机制和控制方法通常被称为"命令与控制"。僵尸网络可以被对手用于各种不同的目的，为了实现这些目的，僵尸网络的主控者会不断更新恶意程序的二进制文件。僵尸网络过去通常只专注于单一任务。然而，近年来，它们已经变成了多用途的恶意应用程序。

• 跨站脚本攻击：跨站脚本攻击，通常被称为XSS攻击，是一种利用网页应用程序漏洞的攻击方式，它允许攻击者注入恶意的客户端脚本，并在大多数情况下在用户不知情的情况下危害用户。通常，这些漏洞是由于网页应用程序对输入验证不严格所致。一旦 XSS 脚本被发送给用户，浏览器就会处理它，因为浏览器没有机制来防止 XSS 类型的攻击。XSS 攻击有多种形式。存储型和反射型XSS 攻击非常常见。存储型 XSS 攻击允许攻击者在受害者的服务器上留下永久性的恶意脚本，而反射型 XSS 攻击通常发生在攻击者向用户发送包含恶意查询的特制链接时，用户点击该链接后，会被引导到一个恶意网站，从而捕获用户的敏感数据，并将其发送给攻击者。反射型 XSS 攻击仅在用户点击链接时才会发生。另一种方式是攻击者诱使用户点击该链接。

• 驱动下载攻击：这种攻击形式在互联网中非常常见，并且在过去几年里一直是主要威胁之一。实际上，攻击者会入侵一个知名的无害网站，并通过嵌入恶意链接来托管他们的恶意软件。一旦用户访问这些毫不知情的网站，就会通过自动重定向到恶意软件下载位置而被感染。通常，受感染网站的链接会通过垃圾邮件或钓鱼邮件传播，用户可能出于好奇或不知情点击链接，从而将恶意软件下载到系统中。

• SQL 注入攻击：SQL 注入攻击通常是针对通过网络暴露的数据库。攻击者会通过配置不当的 Web 应用程序执行恶意查询，通常是在数据输入机制中运行 SQL 命令。如果攻击成功，攻击者可以访问数据库、操控敏感数据，或者有时修改数据。SQL 注入还可以允许任意命令远程管理操作系统。这个漏洞之所以成功，主要是因为 Web 应用程序的输入清理不到位，而不是数据库端的原因，因为数据库是按照收到的查询执行并返回结果的。因此，开发人员必须注意输入清理，只接受符合要求的数据输入，并在将其发送到数据库执行查询之前，检查是否有恶意输入。

• 高级持续性威胁（APT）：这种攻击已经存在多年，并且在不断增加。这些攻击的作案手法通常是针对特定的个人、组织、行业领域，甚至国家发起高度定向的攻击。这些威胁被称为“高级持续性”，因为攻击者或攻击团队将使用许多先进且隐蔽的技术，以便在很长一段时间内不被发现。通常，攻击和持续的方法是专门为特定攻击设计的，并且从未用于其他攻击。基于 APT 的攻击通常资金雄厚，且大多是由团队推动的活动。APT 攻击的目标通常是知识产权、任何形式的敏感信息、破坏性活动，甚至是企业间谍活动，或者是数据破坏和/或基础设施破坏。APT 攻击与其他形式的攻击完全不同；对手/对手们采取非常有组织的方式来了解他们的目标和他们想要达成的任务，并且他们不会急于发动攻击。攻击基础设施有时非常复杂。攻击者/攻击者的主要目标是尽可能长时间地待在被攻破的网络中，并避免被安全检测发现。APT 的一个显著特点是，它只能影响网络中的某些部分、公司中的某些人，或者网络中仅有几个是重点关注的系统。因此，这使得安全监控系统更难检测到 APT 活动。

• 基于网络的攻击：如其名所示，这些攻击的目标系统主要是那些面向互联网的设备、应用、服务等。实际上，我们可以说，大多数互联网应用都暴露在网络攻击之下。这些攻击不仅仅是通过应用程序中的漏洞和弱点进行的，还可能通过我们访问这些应用程序的媒介进行，比如网页浏览器。多年来，网页浏览器的漏洞利用呈上升趋势。网页服务器一直是对手的一个非常有利可图的目标。常见的攻击形式包括驱动下载或水坑攻击（其中，攻击者通过入侵一个目标/被攻击组织使用的合法网页应用程序，然后等待员工/用户访问该网站，从而使其受到感染）。

• 内部攻击：内部攻击是网络安全中的人类因素，极其脆弱且非常难以追踪、监控和缓解。这个威胁表明，拥有授权访问信息资产的用户会对实体/企业或组织造成伤害。这种攻击有时是无意中发生的，成为攻击的受害者，或者，有时他们就是实施攻击的人。通常，无法主动检测或监控内部威胁；大多数情况下只有在损害已经发生后才能发现。随着高级攻击者尝试利用内部人员获取对组织或企业的访问权限，这一威胁在多年间呈上升趋势。它已经成为政府面临的重大威胁，而且这一趋势日益增长。即使组织拥有一个防弹的网络环境，并且有强大的周界防御，内部攻击仍然被认为是最有效的。缓解内部威胁不仅仅是技术上的实现，组织还需要将社会文化和用户教育纳入其中，教导用户如何处理安全问题并保持警惕。

• 勒索病毒：勒索病毒最近造成了大量损害，成为了一个突出的威胁。勒索病毒的作案手法主要是通过将用户的数据/系统锁定为无法使用，来获得金钱利益。通过利用系统中的现有漏洞和弱点，攻击者入侵系统，然后加密用户系统中的数据。一旦加密，攻击者会要求支付赎金来交换解密密钥。以下截图展示了勒索病毒信息的一个示例：

图 3：勒索病毒信息示例，https://digitalguardian.com/sites/default/files/zdnet.jpg

勒索软件攻击非常危险，因为其机制的特殊性。任何具有一点知识并能使用公开的攻击工具的人，都可以利用这些工具获取访问权限并加密数据。这通常是在大规模上进行的，以通过数量获取更多的利润，而且整个过程是完全自动化的。还有一些暗网组织创建了勒索软件即服务（RaaS），提供生成此类攻击所需的基础设施和工具。如今，勒索软件攻击的目标更多地是组织，比如银行和其他金融机构，以通过破坏其业务并要求支付赎金来获取巨额利润。WannaCry和NotPetya是我们近期看到的两个最具破坏性的勒索软件案例。

其中一个臭名昭著的勒索软件案例甚至采取了使系统无法使用的操作模式，这意味着它不仅加密了系统中的数据，还覆盖了主引导记录（MBR），使得计算机在重启后无法使用。勒索软件对基础设施的攻击影响不可想象，尤其是针对航空公司、医院、政府和紧急服务等领域。

• 间谍活动：这是自人类战争开始以来就一直存在的一个严重问题。如今，这种活动发生在企业、政府和其他各种实体之间，战场已经转移到网络空间。从某种意义上说，这是有利的，因为没有人会直接出现在前方执行间谍活动；他们都藏在隐秘的网络空间中，攻击者可以保持匿名。过去几年里，我们已经在新闻中看到某些政府如何通过网络间谍活动，破坏或干扰其他国家，通过泄露敏感信息来制造混乱和破坏。即使是企业也不甘落后，它们通过这种方式获取对方的知识产权，以保持竞争优势。从这个网络安全的角度来看，网络空间变得更加有趣和危险。

保障网络和应用程序安全的重要性

随着每一天的过去，连接设备的网络正在不断增加，尽管这种连接性增长不断扩大，但暴露的风险也在增加。此外，攻击不再取决于企业的规模大小。在当今的网络空间中，很难确定任何网络或应用程序是否不容易受到攻击，但建立一个可持续、可靠、高效的网络系统以及应用程序变得极为重要。正确配置的系统和应用程序将有助于减少攻击风险，但它可能永远无法完全消除攻击的风险。

现代 IT 安全系统是一个分层系统，因为单一层次的安全防护已不足以应对如今的威胁。在网络安全事件发生时，受害者可能会遭受巨大冲击，包括财务损失、运营中断和信任度下降等因素。近期，安全漏洞的数量因各种原因有所增加。这些漏洞的攻击路径可能有很多种，例如病毒、木马、针对性攻击的定制恶意软件、零日漏洞攻击，甚至是内部威胁。下表展示了 21 世纪最大的数据泄露事件：

图 4：https://images.idgesg.net/images/article/2017/10/biggest-data-breaches-by-year-and-accounts-compromised-1-100738435-large.jpg

举个例子，2013 年 12 月，Target 商店发生了当时最大的之一的数据泄露事件。该事件发生在感恩节假期期间，组织直到事件发生几周后才发现此事。攻击是通过一套联网的空调系统开始的，随后进入了销售点系统。最终，这次攻击导致大约 1.1 亿美元的信用卡和借记卡数据被窃取。此次攻击的后果导致当时的 Target CEO 辞职，且对 Target 的财务影响大约为 1.62 亿美元。（读者可在此查看更详细的报告：www.csoonline.com/article/2134248/data-protection/target-customers--39--card-data-said-to-be-at-risk-after-store-thefts.html）

数据泄露的历史

如今我们看到的计算机攻击，可能在攻击技巧和复杂性上有所发展，但不变的是，攻击的根本原因——数据。数据一直是所有黑客关注的焦点，无论是过去还是现在。

1984 年 – TRW 数据泄露事件

回顾过去的数据泄露事件，我们不得不提 1984 年的一次重大事件，当时大约 9000 万用户的个人和财务信息被曝光。TRW（如今的 Experian）当时托管着全球最大规模的保密记录数据库之一，包含 9000 万用户及其信用历史。TRW 负责向银行、商店等远程位置的许多订阅者提供用户的信用历史、就业信息、银行和贷款信息，以及最重要的社会保障号码。这些信息通过电话线传输给他们的多个订阅者。以下截图显示了该事件所获得的部分在线新闻报道：

图 5：1984 年事件的《华盛顿邮报》和《纽约时报》报道

很有趣的是，这些数据库的访问并没有得到严格的保护，订阅者可以根据需要登录到 TRW 数据库，查询用户的相关信息。这些细节是机密的，应该只有银行官员或百货商店运营商才能访问。尽管访问的数据是只读的，任何人都无法更改数据，但仍然可以泄露并被滥用，这正是发生的情况。密码和操作 TRW 系统以及访问数据库的手册从某个地点的百货商店泄露出去，一旦对手获得了登录和访问信息，他们将其发布在公告板上（相当于今天的社交媒体）。现在，攻击者不仅拥有了登录信息，还有一个完整的用户档案，包括那些已连接并访问过公告板的人。

令人惊讶的是，这起事件直到几个月后（具体时间不清楚）才被 TRW 官员发现。该漏洞是由外部人员报告给 TRW 的。根据当时的调查报告，据信是通过商店线路访问了数据库，而 TRW 并不知道该数据库被访问了多少次。专家表示，在那个时候，如果有合适的监控和检测，应该能够标记出这一活动（请注意，这在今天的环境中仍然是成立的）。当时的调查人员还建议，如果 TRW 实施了一个系统，通过请求访问的电话号码进行回拨并在信息传输前进行验证（今天我们可以将其与双重身份验证进行比较），并频繁更换用户密码，同时配合其他一些方法，攻击本可以被避免。

我们需要关注的 1984 年事件的要点，并与今天的攻击场景进行比较，是攻击向量、方法和本可以避免的缓解措施，几乎没有改变。首先，攻击者使用某种社交工程手段获取登录凭证，这在今天仍然是一种非常常见的方法。其次，他们通过获取手册完全了解 TRW 系统，这可能帮助他们长时间保持未被发现。第三，他们针对的是用户数据，而不是损害或玷污公司。今天也是如此，攻击者通过各种手段悄无声息地访问系统，尽量保持不被发现，利用被窃取的数据。

1990 年代 – 计算机病毒和蠕虫的起源

在 20 世纪最后十年的开始，世界见证了一个新的挑战性问题的开始——计算机病毒和蠕虫。这改变了未来几年计算机安全的方向。1989 年，罗伯特·莫里斯创建了一个程序，用来通过计算连接设备的数量来衡量互联网的规模。他开发了一个程序，利用漏洞自我传播（我们在本章开始时讨论过这个问题）。但是这个事件并没有就此修复或阻止，更多的情况接踵而来。90 年代初，另一个病毒崛起，被称为“Michelangelo 病毒”，它旨在攻击当时的 DOS 系统，并修改磁盘的引导扇区以保持存在。这个病毒会感染当时连接到计算机的任何媒介，如硬盘或软盘。Michelangelo 病毒设计为一直保持休眠状态，只有在特定日期——3 月 6 日，它才会被激活并发挥作用。（之所以是这一天，研究人员认为这是著名文艺复兴艺术家米开朗基罗的生日，但这只是一个巧合。）

正是在这些年里，我们也看到了 antivirus 公司崛起的过程。病毒和蠕虫催生了一个全新的行业，这个行业在随后的几年里成为了计算机安全领域的主流业务。20 世纪最后十年继续见证了更多病毒和蠕虫的出现，这些病毒和蠕虫进入了新千年，并且变得更加复杂。

2000-2010 年

这是一个见证计算机攻击复杂化的十年，而且这些攻击更加有针对性，围绕其动机和任务展开。

在 2000 年代初，世界被一种新型病毒及其传播方式所震惊。这种病毒被称为“ILOVEYOU”病毒，它感染了数百万台计算机，导致全球的电子邮件系统崩溃。病毒通过带有 VBScript 代码的电子邮件附件开始传播。任何打开该文件的人都会执行 VBScript。VBScript 被设计为下载另一个负载程序，这个程序通过在注册表中加入条目创建了多种持久性方法，并在系统重启时自动启动恶意软件。这个可执行文件还安装了其他恶意软件来窃取密码，并在后期将所有捕获的密码通过电子邮件发送给攻击者。

恶意软件中的另一个子程序帮助它传播到世界各地，设计方式是，当恶意软件被执行时，它会捕获邮件客户端地址簿中的所有电子邮件地址，并以ILOVEYOU这样的主题从用户的地址发送一份自身的副本作为附件。所有毫无防备的用户认为邮件来自已知的来源，因此犯了同样的错误，试图打开附件，重复整个过程。在接下来的日子里，出现了许多类似操作方式的变种。

这个十年也见证了蠕虫、病毒的崛起，以及通过利用软件、操作系统和其他系统漏洞发起的攻击。其中一个著名的蠕虫是SQL Slammer，它最终成为当时传播最快的蠕虫；它活跃了多年，造成了大规模的互联网中断。这个蠕虫利用了微软 SQL Server 中的一个漏洞。这个蠕虫传播速度极快，在感染后的第一个小时内，传播到了接近 10 万个主机（甚至可能更多；具体数字无法确认）。它利用了SQL Server 和桌面引擎（MSDE）产品中的一个缓冲区溢出漏洞。这个蠕虫生成了随机的 IP 地址，然后尝试通过目标端口UDP/1434（SQL 端口）与这些 IP 进行通信。

一旦找到目标主机，它就会利用脆弱的 SQL 服务器或 MSDE，并将自身的副本发送到同一主机，从而感染该主机。这个新感染的主机会重复同样的过程。尽管微软在攻击发生前六个月就发布了这个漏洞的修复补丁，但互联网上大多数系统并未及时打上补丁。这表明，保持系统更新并及时安装最新的补丁是多么重要。

2008 年 11 月，我们又目睹了另一场大规模攻击，这次由一种蠕虫发动，目标是 Windows 系统（从 Win 2000 到 Win 7）。这只蠕虫最终影响了全球 190 多个国家的 1000 万至 1500 万台服务器。该蠕虫影响了政府、军事基地和舰队、企业和家庭用户，实际上，几乎所有受到其影响的对象都受到了波及。在 2008 年 11 月到 2009 年 4 月之间，发现了五个变种，分别是Conficker A、B、C、D和E。这只蠕虫不仅造成了全球范围的大规模感染，而且还创建了那个时代最大的僵尸网络之一。或许这只蠕虫的动机是为了建立一个大型的僵尸网络，以执行更严重的攻击，但关于这一规模的攻击的实际动机并没有得出结论。此蠕虫还使用了许多此前未曾使用过的新技术，包括阻止清除感染的方法、通过感染 USB 和其他可移动设备来进一步传播的手段，以及其他传播方法，如文件共享和管理员共享。最具创新性的是通过基于随机域名生成算法的通信框架，“回家”到僵尸网络控制器的方法，这种方法后来被称为 DGA（随机域名生成算法），并且成为了其他恶意软件感染和僵尸网络指挥与控制基础设施的标准。这种方法使得蠕虫能够每天通过预定的算法和种子值（通常是日期和时间）生成成百上千个随机域名。攻击者主动使用同样的算法每天从随机域名列表中注册一个或几个域名，并在特定的那一天，恶意软件会使用这些域名进行命令与控制活动。

到本世纪十年代末，业界震惊于发现了一项重大的间谍活动，该活动通过一个精心制作的恶意软件Stuxnet进行。这款恶意软件特别针对伊朗的一座核电厂，唯一目的是破坏该国的核计划。在很大程度上，这一尝试成功地破坏了目标核计划。这款恶意软件引发了安全界内关于操作技术安全的严重问题和担忧，尤其是涉及控制工业系统（如 SCADA 系统）和其他类似系统的安全性。

在未来的日子里，攻击的复杂性不仅会增加，还将变得高度针对性，正如我们在孟加拉国银行盗窃案中所见，约 8100 万美元被通过一场极其精心协调和计划的活动从银行 siphoned（窃取）出去。

安全如何帮助建立信任

随着技术的崛起，大多数企业和公司正在不断适应更新的技术，以保持在竞争中的领先地位，并增强客户体验。这也带来了潜在的网络安全风险。

客户将他们的数据信任交给公司和企业。确保数据安全是公司、政府和企业的唯一责任。如果数据遭到泄露，企业将失去客户的信任，最终失去业务和品牌价值。

对于面向客户的企业来说，维持信任并向数字化迈进是确保业务顺利运行的极其重要的因素。正如当前移动优先和物联网方法的场景中，连接性对于保持业务并为客户提供更丰富的体验至关重要。唯一的约束因素就是信任。而信任只能通过确保数据安全、避免安全漏洞的发生，以及在发生安全漏洞时尽可能快速地恢复，避免对客户及其数据造成太大影响来实现。换句话说，就是：尽量减少影响。

企业必须从一开始就将安全性融入到他们的产品和服务中。这将减少被攻破或发生任何安全漏洞的风险，从而增强信任度。由于如今没有任何企业可以独立运作，他们必须与第三方合作。确保消费者数据和知识产权的安全是公司和第三方共同的责任。因此，随着技术的提升对企业盈利和可持续增长至关重要，建立以安全为先的文化同样对于维持消费者信任至关重要。

总结

本章中，我们探讨了互联网的各个方面，以及数字化如何带来了一个新的网络犯罪和攻击时代。我们还了解了网络攻击的历史，这打破了我们通常认为网络犯罪始于几十年前的看法。在此过程中，我们了解了云计算的各个方面，以及它如何使数据面临威胁。

阅读本章后，您将清楚地理解当前技术环境中安全性的重要性，了解网络安全的整体状况，以及组织和个人如何保护数据免受盗窃。这些知识有助于识别潜在的威胁区域，并设计出防御性应对策略。

在继续讨论的过程中，我们将探讨从传统系统到机器学习、人工智能以及其他交钥匙技术的安全演变。这将帮助我们深入了解网络安全的过去、现在和未来。

第二章：安全演变 — 从传统到先进，再到机器学习与人工智能

安全性在过去几十年中不断发展。从最初的防病毒系统开始，这些系统曾长期被认为是终极的网络安全工具。后来，这些系统又加入了其他各种工具。

在 1971 年之前，网络安全并不存在。这并不令人惊讶，因为当时计算机仍在开发中，黑客也难以负担，且只有少数人知道如何编写代码以进行基本的输入/输出功能。一位名为 Bob Thomas 的研究员发现，实际上可以创建一种恶意程序，这个程序能够从一台计算机传播到另一台计算机，并留下一个恼人的信息。随后，另一位研究员对该程序进行了修改，使其能够自我复制。实际上，他创造了世界上第一个计算机蠕虫。之后，他决定编写另一个程序，用来捕捉并删除恶意程序，从而阻止其复制和进一步传播。这是世界上第一个防病毒软件。

然而，自 1970 年代以来，网络安全领域发生了剧烈变化。威胁变得更加复杂，这就迫使开发出更为复杂的安全系统。技术的进步为黑客提供了更多的工具和技术，用以制造威胁。除此之外，安全系统还必须覆盖那些在没有考虑安全性的情况下构建的技术。比如，互联网就是一个依赖于数十亿人使用的技术。因此，网络安全不仅需要演变以应对网络威胁的变化；它还需要预见并为未来做好防范，以保护系统、用户和网络免受攻击。本章讨论了网络安全的演变以及网络安全与机器学习和人工智能融合的未来，并将涵盖以下内容：

• 传统的网络安全系统

• 网络安全的变革

• 安全技术的进步与未来

• 机器学习（ML）和人工智能（AI）如何在网络安全中扮演越来越重要的角色

传统的网络安全系统

正如我们在讨论第一个蠕虫和第一个防病毒软件时所提到的，网络安全最初是为了应对网络威胁而设计的。传统系统是为了保护组织免受已知威胁的侵害。在发现网络威胁之后，安全专家会分析其独特的执行或编码模式。这些信息会用于让安全系统检测并阻止已识别的网络威胁。这个传统一直延续至今。现如今，有一个著名的数据库叫做公共漏洞和暴露（CVE），它记录了所有已发现的威胁，并为其分配一个唯一的识别编号。

基于特征的安全系统

在传统安全系统的时代，安全工具是基于已发现的各种威胁的攻击签名构建的。由于创建新型恶意软件的技术仅限于少数人，这种安全方法最初是有效的。个人和组织被认为只需要在计算机上安装一个安全系统就足够了。后来，这些安全系统被改进，以接收数据库的更新，新恶意软件的签名会被加入其中。因此，用户可以在一定时间后或当安全公司提供更新时，获取新的更新。

基于签名的网络安全产品创建已应用于一整套防御系统，这些系统主要是杀毒系统。因此，所有这些系统都有一个单点故障：依赖于签名数据库。这使得组织容易受到使用未被其安全系统识别的恶意软件或攻击技术的攻击。此外，安全系统大多设计用于防止恶意软件攻击。因此，覆盖的威胁主要是病毒和蠕虫。黑客们决定抓住这个机会，发起了几次值得注意的攻击。

网络网络攻击

到 1970 年代末，16 岁的凯文·米特尼克学会了如何未经授权访问网络。他利用这项知识入侵了数字设备公司（Digital Equipment Corp.）的网络。他的目标是复制其操作系统，并且在网络中成功完成了这一目标。后来他被捕，并被关进了单独监禁，因为当局试图理解他是如何获得数字设备公司计算机的访问权限的。以下是凯文·米特尼克相关文章中的一张照片：

若想了解凯文·米特尼克现在在做什么以及了解他的过去，你可以阅读这篇文章：www.mitnicksecurity.com/site/news_item/hacker-the-first-the-best-and-the-most-feared-hackers-of-all-time。

在 1990 年代，一个名叫加里·麦金农（Gary McKinnon）的技术高手发动了对美国军方和 NASA 的最大黑客攻击。他据称远程入侵了 97 台计算机。然后他删除了这些计算机的关键文件和操作系统，使其无法使用。这些计算机极其重要，这次攻击导致了军方网络的瘫痪，黑客攻击的损失达到了毁灭性的 70 万美元。以下是加里·麦金农维基百科页面摘要的截图：

你可以在维基百科上阅读更多关于加里·麦金农（Gary McKinnon）的信息，链接：en.wikipedia.org/wiki/Gary_McKinnon。

许多其他黑客也在不断提升和完善他们的技能。更糟的是，发现了一些新工具，可以让非专业的黑客使用。它们被称为漏洞利用工具包，黑客可以购买或租用这些工具包来攻击目标。这给网络安全行业带来了巨大的压力，迫使其发展演变。显然，最初基于攻击特征来检测恶意软件的工具设计并未预见到许多黑客会想出新的方法来突破这些安全系统。随着能够生成恶意软件并通过改变攻击模式来避免被检测的漏洞利用工具的出现，网络安全行业显然已被黑客击败。此外，黑客还利用网络中的弱点，远程访问计算机并进行恶意操作。

网络安全工具

由于网络上漏洞的增加，网络安全行业最终响应并推出了更多专业化的工具，以防止来自网络的攻击。因此，他们提出了入侵检测和防御系统，并对原有的基础防火墙进行了重大改进。然而，这些系统仍然是基于特征的。最初，它们在阻止网络入侵方面是有效的，因为黑客还没有发现很多绕过方法。它们能够阻止恶意流量，并使黑客无法在网络上进行恶意活动。然而，黑客很快就发现了绕过网络安全工具的方法。因此，网络入侵重新出现，而这些防止入侵的工具无法跟上新的攻击技术。这促使网络安全行业在 2000 年代做出了更多的反应，增加了更多的网络安全措施。

网络安全的转变

2000 年代初，黑客开始尝试许多安全规避策略，以击败现有的安全工具。他们已经想出了在网络上规避安全工具的技术。他们还提出了一种新的攻击方法，叫做缓冲区溢出。缓冲区溢出通常在客户端/服务器应用程序中进行，其中有效载荷是通过数据传递的，目的是填充并写入超出内存缓冲区的区域。例如，黑客会向客户端应用程序的登录输入字段提供脚本，这会导致服务器导入文件。由于服务器只期望输入字段中有少量字符，超出的数据就会导致缓冲区溢出，使服务器失败或发生错误操作。攻击工具包也开始被修改，加入了安全规避策略。

分层安全

由于仅仅拥有防病毒或防火墙程序无法提供足够的安全性，网络安全行业发生了转变，组织被建议实施分层安全。因此，他们必须扩大预算，购买不同类型威胁的网络安全工具，以应对不同的攻击场景。这一举措旨在为组织创建一个强化的安全防护盾。这个策略被称为深度防御。至少，组织必须配备防火墙、防病毒程序、入侵检测系统、强身份验证登录平台和数据加密。该策略对抗单一向量攻击非常有效。购买了漏洞利用工具包的黑客会失败，无法突破所有的保护层，进而破坏组织的安全。而那些依赖网络漏洞进行攻击的黑客则发现自己遇到了额外的安全层，无法突破。

分层安全的难点在于成本；它太昂贵了。网络安全成为了许多组织的重要开支。公司高层很难批准 IT 部门在工具上的大量支出。尽管如此，分层安全策略也迫使黑客重新回去并想出更好的突破组织安全防御的方法。以下图表展示了不同安全层级及其组成部分：

新的安全威胁

到 2010 年，一种新的网络犯罪活动模式已被发现。攻击者能够突破网络并在网络中长期保持隐蔽，无法被检测到。这种类型的攻击被称为高级持续性威胁。黑客已经成为一种职业，网络犯罪分子花时间研究目标系统并获取攻击所需的工具。一旦攻击成功，攻击者会维持对系统的访问，同时窃取或篡改数据。这些事件中的一个是针对伊朗核燃料浓缩设施的 Stuxnet 攻击。据信，攻击者是国家支持的，突破了该设施的安全系统，并在网络中保持了长期的隐蔽。恶意软件收集了足够的信息，确定了如何执行攻击，从而摧毁了该设施。这次攻击最具意义的是它利用了零日漏洞，并且被攻击的计算机甚至没有连接到互联网。

除了高级持续性攻击外，网络钓鱼攻击也卷土重来。网络钓鱼最初在公众刚刚开始接触计算机和互联网时变得流行。然而，当时的网络钓鱼攻击相当原始。最常见的一种叫做尼日利亚王子骗局。这是一封发送给许多人的电子邮件，讲述了一位自称是尼日利亚王子的人的困境，试图获取遗产钱，但需要一些帮助才能做到。通常，目标是被要求寄钱以帮助清除这笔资金。这个骗局很快传播开来，但在公开曝光后效果逐渐减弱。然而，2011 年出现了新一波更加复杂的网络钓鱼攻击。这些攻击不再仅仅试图欺骗互联网用户寄送小额资金。黑客开始克隆合法公司的官方网站和电子邮件模板，并通知用户其在这些公司创建的账户出现问题。用户被要求通过点击提供的链接登录并解决问题。在这些克隆网站上，用户会输入自己的真实凭证，黑客则利用这些凭证窃取数据或资金，甚至访问敏感系统。

此后，拒绝服务攻击（DoS）也成为了关注的焦点。互联网中大量缺乏足够安全系统的个人计算机成为了黑客的“福音”。他们会在这些计算机中安装恶意软件，将其招募成僵尸计算机网络，称为僵尸网络（botnet）。这些僵尸计算机会按照黑客的指令向指定目标发送非法流量，从而引发 DoS 和 DDoS 攻击。

对新威胁的应对

行业内逐渐认识到，仅仅阻止已知的攻击已不够。黑客们越来越擅长击败依赖签名的安全工具来阻止攻击。与其突破多层安全防护，他们开始直接针对用户，并且他们也开发出了像拒绝服务攻击（DoS）这样的攻击手段，难以防范。针对这些新情况，行业有了两种回应：网络韧性和用户培训。网络韧性旨在确保在网络攻击期间及攻击后仍能保持业务运作。安全目标不再只是保护组织免受攻击，而是确保攻击不会严重中断业务功能。企业更加重视准备好备份、备用热备站点以在网络攻击期间接管运营，以及更快速的事件响应措施，以确保组织能够更快地缓解和恢复攻击带来的损失。

其次，组织开始更加重视对用户进行网络安全威胁的培训。这是因为员工已成为网络犯罪分子的更容易攻击目标。社会工程学已成为突破许多组织防线的更有效方式。这一现象持续了多年。反钓鱼工作组在 2016 年提供的统计数据显示，在所有记录的恶意软件感染中，95%是由人为因素引起的。报告显示，针对软件技术漏洞的攻击不到 5%。大多数攻击都是针对员工的。

因此，组织将员工纳入网络安全链条，并更加注重教育他们如何识别钓鱼攻击和其他常见的网络安全威胁。所获得的知识旨在帮助他们避免陷入诸如提供登录凭据或点击恶意链接等陷阱。

安全技术的进步：安全 2.0

网络安全行业面临着巨大的压力，迫使其从基于签名的检测技术转向其他更高效的替代方案。过去强化组织安全基础设施的方法日益失败。尽管有多层安全防护，组织仍然遭到入侵。零日漏洞和社会工程学是这些攻击的主要因素。网络攻击的成本也在增加。2018 年，IBM 发布报告称，全球网络攻击的平均成本为 386 万美元。这一成本包括了诉讼和客户流失等开销。

基于异常的安全系统

最终，网络安全工具得到了重大更新，使它们能够对流量和程序执行进行主动扫描，并检测与正常模式的任何偏差。网络安全从基于签名的检测转向了基于异常的检测。例如，防火墙被设计用来检测服务器是否在接受来自新客户端的多个外部连接，并且连接速率高于正常水平。这将是一个信号，表明这些连接不合法，并且来自一个僵尸网络。因此，这些连接将被丢弃。许多网络安全供应商推出了可以让组织进行实时威胁分析的工具，从而防止来自未知攻击向量的攻击。

基于异常的安全工具还解决了网络安全行业面临的一个重大问题，即误报问题。最初，网络安全工具只是被设计得更彻底，以检查恶意程序和活动。结果，工具变得过于彻底，甚至将无害的程序和活动误报为安全威胁。这在网络安全工具中尤为常见，这些工具在区分真实威胁和与威胁有些许相似之处的活动时变得非常低效。误报使得安全工具变得不可靠。网络和安全管理员不得不忽略许多潜在威胁，有时甚至会在此过程中忽略真正的威胁。基于异常的安全工具的引入，确保了检测到的威胁是真正的威胁，且需要被阻止。

基于异常的安全系统也使得检测变得更加容易。最初，网络安全工具必须通过多个签名进行检查，这降低了网络和系统的性能。基于异常的工具不需要参考签名数据库，而是进行实时分析，检查流量或应用程序是否存在异常行为。最后，基于异常的威胁有效地应对了许多社会工程学攻击。在网络中，这些工具会捕获数据包头部，以读取源和目的 IP 地址，从而允许来自已知来源的流量。来自未知来源的流量则会经过彻底检查，以发现更多细节，例如源是否被列入黑名单，或是否被其他安全工具报告为恶意。

基于异常的检测方法的主要局限性在于必须由人工参与做出关键决策。因此，具备这些功能的工具更多是需要人工操作的，而不是自动化的。企业没有足够的员工来处理这些系统发送的所有警报，这些警报需要人工干预。因此，网络安全行业决定进一步改进这些解决方案，使其更加精准和自动化。大量的研究工作集中在机器学习（ML）和人工智能（AI）上。如今，越来越多的网络安全公司正在考虑将机器学习和人工智能集成到其网络安全产品中。未来，预计这类产品将主导市场。

机器学习和人工智能将在网络安全中发挥更大作用

AI 和 ML 为网络安全行业带来了新的曙光。AI 对于计算机科学并不是一个新概念。它在 1956 年被定义为计算机执行具有人的智能特征的任务的能力。这些任务包括学习、决策、解决问题、理解和识别语音。ML 是一个广泛的术语，指计算机在无需人工干预的情况下获取新知识的能力。ML 是 AI 的一个子集，可以采取许多形式，如深度学习、强化学习和贝叶斯网络。AI 有望通过多种方式颠覆网络安全领域，这可能是网络安全行业在对抗网络犯罪分子方面的最终胜利。

AI/ML 在网络安全中的应用涉及部署能够自动检测、阻止或预防威胁的自给自足工具，无需人工干预。威胁检测是基于安全工具中算法自我进行的训练，以及开发者已提供的数据。因此，在整个生命周期中，AI 驱动的安全工具会在威胁检测方面变得越来越好。开发者提供的原始威胁数据集将提供参考基础，供其识别什么是正常的，什么是恶意的。然后，安全工具将在最终部署之前，暴露于不安全的环境中。在充满威胁的环境中，系统将根据其检测或阻止的威胁持续学习。黑客攻击也会指向它。这些攻击将涉及黑客入侵或通过大量恶意流量压垮其处理能力。该工具将学习最常用的黑客技术，用于突破系统或网络。例如，它将检测到在无线网络上使用Aircrack-ng这样的密码破解工具。类似地，它将检测到对登录界面的暴力破解攻击。网络安全中人类的主要作用将是通过更新 AI 工具的算法来增强其功能。

AI 安全系统可能包含所有威胁。传统的安全系统通常无法检测利用零日漏洞的威胁。使用 AI 后，即使在攻击模式不断进化和适应的新情况下，恶意软件也无法渗透 AI 系统。系统将检查恶意软件运行的代码，并预测结果。被判定为有害的结果将导致 AI 系统阻止该程序执行。即使恶意软件混淆其代码，AI 系统也会持续监控执行模式。一旦恶意软件试图执行诸如修改敏感数据或操作系统等恶意功能，系统就会阻止该程序执行。

目前已有预测，AI 将超越人类智力。因此，未来某个可预见的时刻，所有的网络安全角色将从人类转移到 AI 系统中。这既有利也有弊。如今，当 AI 系统出现故障时，结果通常是可以容忍的。这是因为 AI 系统的操作范围仍然有限。然而，当 AI 最终超越人类智力时，系统故障的后果可能是无法容忍的。由于安全系统将比人类更强大，它们可能会拒绝接受人类的输入。因此，出现故障的系统可能会在没有任何干预的情况下继续运行。AI 的完美主义特性将既是优点也是缺点。目前的安全系统旨在减少能够成功攻击系统的攻击次数。然而，AI 系统的目标是消除所有威胁。因此，误报可能不会被视为误报；它们可能会被当作有效检测并因此导致受到影响的无害系统无法执行。

最后，人们担心将机器学习和 AI 集成到网络安全中可能会带来更多的危害而非好处。正如多年来所观察到的那样，攻击者具有很强的适应性。他们总是会尝试寻找方法来突破网络安全系统。常规的网络安全工具被比这些工具了解的更复杂的方法所击败。然而，击败 AI 的唯一方法就是混淆它。因此，威胁行为者可能会渗透到 AI 训练系统中并提供不良数据集，从而影响 AI 支持的安全系统所获取的知识。这些行为者还可能创建自己的对抗性 AI 系统，以达到平衡。这将导致 AI 与 AI 的对决。

最后，黑客仍然可能使用绕过 AI 安全系统的方法。社交工程仍然可以通过实际手段进行。在这种情况下，AI 系统将无法帮助目标。肩窥——即在他人输入关键细节时简单地从旁边看一眼——也是不需要使用黑客工具的。这同样绕过了安全系统。因此，AI 和机器学习可能不是打击网络犯罪的最终解决方案。

总结

本章回顾了网络安全从传统到先进，再到未来技术（如人工智能和机器学习）的演变。文中解释了第一个网络安全系统是为了阻止第一个蠕虫病毒而创建的防病毒系统。网络安全随后遵循这一模式，创建安全工具作为对抗威胁的响应。传统的安全系统采用了基于签名的检测方法。这种方法通过加载常见恶意软件的签名，并利用这些知识库来检测并阻止与签名匹配的程序。然而，安全系统侧重于恶意软件，因此黑客开始通过网络入侵组织。1970 年，一家操作系统公司通过其网络被入侵，并且操作系统的副本被盗取。1990 年，美国军方遭遇了类似的攻击，一名黑客侵入了 97 台计算机并进行了破坏。因此，网络安全行业开发了更强大的网络安全工具。然而，这些工具仍然使用基于签名的方法，因此无法完全防止所有攻击。

在 2000 年代，网络安全行业提出了一个新的安全概念，建议组织实施分层安全。因此，他们需要为网络、计算机和数据设置安全系统。然而，分层安全非常昂贵，但仍有一些威胁向量渗透到计算机和网络中。到 2010 年，网络犯罪分子开始使用一种被称为高级持续性威胁的攻击方式。攻击者不再进行突然袭击式攻击；他们渗透到网络中，并在网络中保持隐蔽，同时执行恶意活动。除此之外，网络钓鱼得到了革新，并变得更加有效。最后，攻击者开始使用拒绝服务（DoS）攻击来压垮服务器和防火墙的能力。由于这些攻击导致许多公司被迫退出市场，网络安全行业发展了一种新的安全方法，被称为网络韧性。这种方法不再专注于如何在攻击中保护组织，而是确保组织能够在攻击中生存下来。除此之外，用户开始更加参与到网络安全中，组织开始专注于培训员工避免常见的威胁。这标志着安全 1.0 的结束。

随后，网络安全行业进入了当前的 “安全 2.0” 阶段，在这一阶段，终于创造出了替代基于签名的安全系统的方法。基于异常的安全系统被引入，并且它们比基于签名的系统具有更高的效率和更多的功能。基于异常的系统通过检查正常模式或行为与异常的偏差来检测攻击。符合正常模式和行为的应用程序和流量可以执行或通过，而不符合的则会被阻止。虽然基于异常的工具有效，但它们仍然依赖于人工决策。因此，很多工作仍然落回 IT 安全管理员手中。对此的解决方案是利用 AI，希望这些安全系统能够变得自给自足。

人工智能看起来很有前景，尽管它也面临许多质疑。AI 和机器学习（ML）安全工具将通过检测异常并做出明智的决策来应对威胁。这些 AI 安全工具将拥有一个学习模块，确保它们随着时间的推移不断提升。在部署之前，这些系统将通过使用包含真实威胁的数据集和真实环境进行广泛训练。一旦学习模块能够提供足够的信息来保护组织免受常见威胁，它将被部署。AI 安全系统的主要优势之一是它们将随威胁的发展而演化。任何新的威胁将会被研究并加以阻止。尽管 AI 驱动的安全系统具有优势，但仍有人担心它们最终可能会变得有害。随着人工智能超越人类智能，可能会有一个时刻，这些工具不再接受任何人工输入。也有担心攻击者可能会毒化算法，使其变得有害。因此，人工智能在网络安全中的未来难以预测，但应该有两种主要结果：要么 AI 支持的安全系统最终将遏制网络犯罪，要么 AI 系统将变得失控，或者被迫失控，成为网络威胁。

进一步阅读

以下是可以用来深入了解本章所涉及主题的资源：

• 网络钓鱼的演变: www.tripwire.com/state-of-security/featured/evolution-phishing/

• 社会工程学：一个注定会恶化的 IT 安全问题: medium.com/our-insights/social-engineering-an-it-security-problem-doomed-to-get-worst-c9429ccf3330

• 数据泄露成本研究: www.ibm.com/security/data-breach

• 网络威胁与防御的演变: www.infosecurityeurope.com/__novadocuments/96072?v=635742858995000000

• 隐藏在背后的威胁：遗留系统中的网络安全风险：businesslawtoday.org/2018/03/whats-lurking-back-there-cybersecurity-risks-in-legacy-systems/

• 遗留的网络安全产品未能保护 97%的组织：www.helpnetsecurity.com/2014/05/21/legacy-cybersecurity-products-failed-to-protect-97-of-organizations/

• 基于签名或基于异常的入侵检测：实践与陷阱：www.scmagazine.com/home/security-news/features/signature-based-or-anomaly-based-intrusion-detection-the-practice-and-pitfalls/

• 网络安全演变的五个问题：www2.deloitte.com/content/dam/Deloitte/global/Documents/Governance-Risk-Compliance/gx_grc_Deloitte%20Risk%20Angles-Evolution%20of%20cyber%20security.pdf

第三章：学习网络安全技术

在全球就业市场中，出现了一种独特的趋势。虽然不同行业的工作总数在增加，但技术行业的工作增长率是最高的之一。在一些国家，预计到 2020 年，IT 职位的数量将超过具备相关技能的人员数量。显然，世界正日益倾向于技术，这为那些掌握不同技术的人打开了机会。因此，今天投入时间学习 IT 技能的人，未来将有更光明的前景。

在 IT 职业生涯中，有不同的道路可以选择。虽然大多数 IT 职业都是不错的，但也有一些职业受限，或者可能在不久的将来面临突然消失的风险。因此，选择正确的技术行业路径时必须小心谨慎。

其中最令人安心的路径之一是选择网络安全职业。对网络安全专业人士的需求只会增加。根据以前的报告和未来的预测，网络攻击正在增加，网络攻击造成的损失每年都在扩大。大多数组织正在规划如何保护他们的系统、网络和数据免受网络攻击，因此他们为网络安全专业人士创造了需求。

网络安全正成为一个有回报的职业，尤其是对那些掌握保护组织免受网络攻击所需技能的专业人士。网络安全也是一个广泛的职业领域，涉及许多技术，所有技术都建立在不同的系统上，网络安全专业人士需要了解这些内容。

本章将带领你了解启动网络安全职业生涯时需要掌握的最关键的安全技术。我们将涵盖以下主题：

• 移动安全

• 高级数据安全

• 云安全

• 现代法规

• 事件响应与取证

• 大规模企业安全

• 渗透测试

• DevSecOps

• 物联网安全

• 用户行为分析

• 终端检测与响应 (EDR)

移动安全

移动安全是一个涉及保护便携计算设备免受威胁和漏洞的网络安全领域。在这一部分中，我们将探讨移动计算设备通常更容易暴露于哪些风险。

丢失或盗窃

设备如手机和笔记本电脑很容易在公共场所、出租车和办公室等地方丢失或被盗。从网络安全的角度来看，更令人担忧的是从丢失或被盗的设备中可以恢复出大量敏感数据。用户往往将大量个人信息保存在移动设备中。密码、银行信息、社会保障号码，甚至是公司机密信息都可能从这些设备中被盗。除此之外，移动设备通常会登录多个电子邮件账户、社交媒体账户和敏感系统。当设备被未经授权的人访问时，敏感数据可能被盗取，已登录的账户可能被用于盗窃、勒索或社会工程攻击。

以下是一些近期的报纸文章，突显了丢失手机的危险性。根据 Kensington 的统计，丢失或被盗的移动设备的平均损失费用可能超过 49,000 美元。

在你丢失移动设备之前，你应该应用的技巧：

• 打开远程追踪：

  • 在 iOS 中：查找我的 iPhone

  • 在 Android 中：查找我的设备

  • 在 Windows 中：使用你的 Microsoft 账户登录account.microsoft.com/devices，然后按照“丢失我的设备”中的步骤注册你的笔记本电脑

与软件相关的安全问题

大多数智能手机操作系统使用基于权限的系统，允许应用执行某些功能或访问手机中的某些数据。然而，这并不能保证应用不会请求过多的权限。批准的部分仍然掌握在用户手中，但并非所有用户都有足够的技术知识，能够识别应用请求不必要权限的情况。根据 Appthority Inc.的报告，许多免费应用与广告网络有合作关系。因此，这些应用会收集如联系人、浏览记录和位置信息等数据，并将其分享给广告商。

通过使用 Appthority 平台™，Appthority 的安全团队分析了苹果 App Store 和谷歌 Play Store 中排名前 50 的免费应用，评估其风险行为。研究结果记录在App 声誉报告中。你可以在www.appthority.com/company/press/press-releases/appthority-reveals-security-risks-of-free-mobile-apps/ 阅读App 声誉报告。

恶意软件攻击也越来越成为移动安全的一个问题。跨多个操作系统，针对手机的威胁数量有所增加。这是一个大问题，因为许多用户并未在手机上安装杀毒软件。

威胁和漏洞的数量持续增加，这为移动安全专业人员开辟了职业道路。那些希望拥有全方位安全保障的个人和企业，渴望找寻能够保护移动设备的专业人员，以确保在移动过程中设备不易受到攻击。此外，随着智能手机取证专家需求的增加，这些专家能够追踪移动安全攻击的根源，找到并解决问题。因此，学习移动安全技术和移动取证技术可能会为你打开一条在网络安全领域的长期职业道路。

高级数据安全

数据已成为网络攻击的主要目标，因此，个人和企业正在选择投入更多资源来保护他们的机密数据。已有许多关于数据泄露的报道，其中用户数据被黑客窃取，商业机密被竞争对手盗走，敌对国家互相窃取军事记录，敏感产品的原型被持续盗窃。

围绕数据的威胁形势持续变化。为了防止攻击并遵守所有数据安全法规，组织将需要寻找专家来提供高级数据安全服务。这将有效防止数据泄露，确保敏感数据不被未经授权的人访问，并防止导致不合规事件的发生。因此，高级数据安全领域的网络安全职业可以保证你未来有源源不断的职业机会。作为这一领域的专家，你将主要负责安装数据安全产品、以最安全的方式配置现有安全软件，并制定安全政策以确保组织中的数据保护。

有几个提供数据安全培训课程的电子学习网站。其中之一是 Udemy，它提供数据安全的入门课程，然后允许学习者选择许多高级数据安全课程之一进行深度学习。入门课程为你打下了坚实的基础，之后你可以进阶到数据安全的具体领域。数据安全中的一些进阶选项包括云数据安全和加密。参加这些课程可以让你在数据安全领域建立职业生涯，或是在特定领域，如云存储的数据，进行专门化学习。

请在 Google 中搜索advanced data security，阅读微软、IBM 和 Oracle 的推荐，了解这些科技巨头在高级数据安全方面提供的服务。

云安全

云技术为许多组织带来了有价值的好处。如今，组织不再需要拥有计算资源来部署软件和系统。云计算带来的成本优势使得许多组织纷纷采用这一技术。然而，关于这项技术的种种顾虑，可能阻碍了部分组织的全面采用。组织们并不完全信任第三方云服务商来处理敏感数据。那些将数据上传至云端的组织希望确保数据的安全，避免未经授权的第三方访问这些数据，包括云平台供应商本身。

许多已经采用或正在考虑采用云技术的组织，毫无疑问需要一位网络安全专家来为其指引方向。作为云安全专家，你将具备确保云平台上的数据和系统安全的能力。你会确保从云端运行的应用程序不能被第三方操控。你还会确保存储在云上的数据安全，避免未经授权的访问。你会确保数据库和系统的身份验证与授权严格，从而防止被窃取的凭证被用来访问。最后，你还需要设计方法，防止云平台所有者或供应商访问云中的数据。随着越来越多的组织最终采用云技术，这一领域的职位机会将逐步增加。

云安全的学习选项有很多，因为大多数电子学习学院都提供相关课程。你可以通过像 Coursera 和 edX 这样的一些受信平台学习此类内容。尤其是 edX 提供了一个云安全的微硕士项目，深入探讨了云技术、相关的安全挑战以及如何解决这些问题。在课程结束时，学生将能够处理几乎所有影响云平台的安全挑战。

我们将在第九章，知识检测与认证中进一步讨论此内容。

来自 Microsoft Learn 网站的一个关于免费云安全培训的例子

如果你想了解更多关于亚马逊云安全的内容，可以访问这个网站：aws.amazon.com/security/security-resources/。

若要查看 IBM 云安全资源，请访问此网站：www.ibm.com/security/solutions/secure-hybrid-cloud。

如果你想学习中立的云安全知识，可以查看 SANS 网站：www.sans.org/reading-room/whitepapers/cloud/。

你可以在 SANS 阅读室找到最新的免费白皮书。当然，你也可以在www.cisco.com/c/en_sg/solutions/cloud/overview.html找到关于云的资源。

现代的监管

严格的法规已经出台，惩罚未能保护用户数据的公司。最近涉及这一问题的法规是通用数据保护条例（GDPR），对于那些希望完全符合其要求的组织来说，它非常严格。不遵守 GDPR 的后果是，相关的组织将面临巨额罚款。GDPR 只是网络空间中许多旨在保护隐私并确保安全的法规之一。还有许多适用于不同司法管辖区的其他法规。在美国，有HIPAA 法案、格拉姆-李奇-布莱利法案和联邦信息安全法，这些法规规范了医疗、金融和联邦机构中的数据收集、使用和保护。像美国这样的国家还出台了更多的法律，许多法案仍在排队等待成为未来的法律。

因此，监管环境可能在几个月内发生剧烈变化。组织并不总是拥有足够的资源来跟上监管变化的步伐。数据的问题在于它可以跨多个地区流动，并受到不同的监管要求。例如，虽然 GDPR 仅影响属于欧盟公民的数据，但全球的组织都必须遵守它，因为他们无法预见何时会接触到欧盟公民的数据。许多数据法规无论在哪个地理区域通过，都必须遵守。

组织研究他们应该遵守的所有法规将需要大量资源，这也是他们大多外包此职能的原因。你可以通过成为数据法规的顾问来开创一份职业。你必须熟悉所有适用于公司数据的法规，并帮助公司遵守这些法规。你还需要时刻保持对这些法规变化的更新，并在法规发生变化时相应地向组织提供建议。网络空间很快将面临重大监管合规挑战。据估计，全球每年平均会有 200 项监管变化。虽然这些变化目前不会直接影响网络安全行业，但很快会影响。因此，最好今天就开始学习，成为组织的合规顾问。

事件响应和取证

每年来自可信来源的统计数据显示了一个令人震惊的事实：网络安全事件正以惊人的速度增加。2018 年 7 月，Positive Technologies 发布的一份报告显示，2018 年第一季度的网络攻击比上一年同期增加了 32%。仅恶意软件攻击自 2017 年以来就增加了 75%，并且攻击对象包括个人、政府机构和企业。

你可以在www.ptsecurity.com/ww-en/about/news/293941/阅读更多内容。

在许多网络安全事件中，常见的情况是受害方会尽力回应，以最小化影响，然后进行彻底的调查以找出事件的根本原因。然而，能够胜任这一工作的专业人员并不多。随着攻击频率的上升，组织开始意识到需要雇佣有能力应对并减轻网络安全事件影响的人员。那些已经遭受网络攻击的个人和组织将会寻找能够追溯攻击源头的专业人员，以防止未来发生类似的攻击。

问题在于，网络安全行业正在跟网络犯罪分子赛跑，因为如今的攻击者变得越来越复杂。组织在拥有能够及时应对攻击并减少影响的专业人员方面看到了希望。如果你接受培训成为一名事件响应专家，鉴于当前网络安全行业的趋势，你几乎没有空闲时间。与此同时，数字取证也开始发挥作用。

一些因网络攻击而遭受经济损失的组织，通过数字取证技术找回了部分资金。例如，Ubiquiti Networks 公司因网络攻击损失了 4400 万美元，但在数字取证专家的努力下，随后追回了 800 万美元。因此，你也会发现数字取证领域的工作市场需求。事件响应和数字取证是相辅相成的，最好同时学习这两者。如果你选择这两个领域，你将首先学习在不同阶段应对网络安全事件的技术。你还将学习在数字取证调查中使用的工具和技术。一旦掌握了这些技能，你将为进入网络安全行业的有前景的职业生涯做好准备。

大规模企业安全

安全已经成为企业面临的一个广泛且具有挑战性的问题。它涵盖了确保系统和网络的安全、理解攻击者的动机、理解不同类型的攻击、了解用户和目标，并且还包括如何应对攻击的规划。随着组织采用新技术、部署新系统或引入新人员，安全的范围不断扩大。内部 IT 部门的员工往往无法全面梳理这些广泛的内容，确保组织的安全。这也是企业安全专家需求增加的原因。

要从事这一职业，您需要有丰富的 IT 经验。这是因为客户会期望您在 IT 基础设施的七个领域中都具备知识。您还需要掌握最新的网络攻击信息，并了解如何防止或减轻这些攻击的影响。您可能还需要一些软技能，因为您将被期望培训用户了解安全威胁，并教他们如何减少暴露风险或在攻击发生时如何应对。

许多知名机构提供了与此职业相关的多门课程。微软提供了 39 门关于企业安全的课程，涵盖了当今 IT 基础设施的各个方面。其中一门是微软网络安全专业课程，该课程全面涵盖了成为使用微软操作系统的企业安全专家所需了解的所有知识。参加此类课程是一项投资，因为目前已有很多工作机会，未来也将不断涌现。此外，由于这一行业需要经过长期培训并且熟悉所有企业安全需求的专家，因此在这一领域的竞争较少。

渗透测试

大多数组织选择聘请白帽黑客来寻找不同系统、网络甚至用户中的漏洞，识别可以被用来攻击的薄弱环节。渗透测试包括合法尝试攻击组织，目的是发现真实黑客在攻击过程中可能利用的所有漏洞。学习成为渗透测试员，实际上是学习黑帽黑客所使用的黑客概念。黑帽黑客将这些技能用于恶意目的，而白帽黑客则利用这些技能帮助组织保护自己。在渗透测试课程中，将教授在真实攻击中使用的工具和技术。这确保了白帽黑客在技能和技术方面与黑帽黑客保持同步。

领先的大学和在线学习平台已经开始热衷于教授这门课程。关于这门课程涵盖内容的详细大纲可以从 SANS 获得，具体包括以下内容：

初级培训通常会介绍网络安全和伦理黑客的基础知识。学习者随后会进阶，学习在黑客攻击中使用的学习工具、技术和漏洞的分类。真正的伦理黑客训练开始后，学习者将学习如何使用黑客依赖的工具和技术进行基于 Web 的系统渗透测试。接下来，学习者会从 Web 应用程序学到网络渗透，了解可以危及网络及其连接设备的各种工具。在这一阶段，学习者能够侦测网络、窃取网络密码、观察网络中的流量，并针对网络中的设备发起攻击。

渗透测试的阶段包括学习可以用来攻击用户的社会工程技术。用户常常被称为网络安全链中的“最弱环节”，因为他们容易受到操控。白帽黑客会学习如何使用工具和技术挖掘用户的背景信息，针对用户进行社会工程攻击，并在用户成为攻击的受害者时加以利用。通常，社会工程攻击让黑客能够窃取高度安全系统的登录凭证，或直接通过指令让用户进行未经授权的交易，窃取数据和资金。最后，渗透测试课程还会教授学生如何从移动设备上窃取数据。看似该课程可能培养更多的恶意黑客，但实际上，它培养的是保护组织免受黑帽攻击的白帽黑客。渗透测试课程结构合理，旨在推动 IT 行业的伦理价值。

学习渗透测试将带你进入一个有利可图的职业生涯，成为漏洞评估顾问或渗透测试员。随着恶意行为者数量的不断增加，组织将需要能够在黑客攻击之前找到系统漏洞的专家。统计数据显示，组织正在持续增加在网络安全上的 IT 支出，雇佣渗透测试员是他们能做出的最好的投资之一。因此，学习渗透测试是值得的，它能保证你在网络安全行业中获得一个稳定且高薪的职业。

如果你不想参加全球标准化的课程，并且希望直接向全球知名专家学习，像 TrueSec、Cqure 这样的公司也可以帮助你。

TruSec 培训

TruSec 培训的官方网站可以在www.truesec.com/training/找到。

我强烈推荐 Marcus Murray 和 Hasain Alshakarti 的培训：

CQURE Academy

TruSec 同样优秀，提供许多定制化的网络安全培训选项。你可以在cqureacademy.com/找到他们的官方网站。

与 Troy Hunt 的培训

Troy Hunt 是一位澳大利亚的网络安全专家，以在各种安全话题上的公共教育和推广而闻名。他创建了 Have I Been Pwned?，这是一个数据泄露查询网站，允许非技术用户查看他们的个人信息是否已被泄露。该网站于 2013 年底上线。你可以通过这个链接访问他的研讨会：www.troyhunt.com/workshops/。

Have I Been Pwned?

由 Troy Hunt 创建的这个网站，允许你查看你的个人数据或密码是否已被泄露。该服务完全免费，强烈建议你访问该网站并订阅，以便在被黑客攻击时收到警报。你可以在 haveibeenpwned.com/ 找到这个网站。

DevSecOps

学习机构不断培养出开发人员进入社会。然而，这些机构大多数只关注教授开发人员如何实现应用系统中的功能。很少有开发人员在进入市场时会关注开发中的安全性。随着 IT 环境变得越来越不安全且更不可预测，开发应用和系统时需要一种新的方法。

DevSecOps 是一个前提，声明任何参与软件开发的人都有责任将开发与安全结合起来。最初，安全通常是事后考虑的事情。开发团队会先构建软件，然后再将安全性集成进去。

DevSecOps 不鼓励这种做法，而是强制推行一种新的开发方法，在这种方法中，安全性与所有其他软件开发阶段紧密结合。因此，安全性被嵌入到所有开发过程中，而不是在开发项目结束时作为附加部分加入。

DevSecOps 确保安全的责任在软件开发项目中得到平等分担，并且安全性从开始到结束始终得到集成。通过集成方法，安全性不是围绕系统的边界构建的——它是在系统的每个部分内构建的。这使得恶意人士难以入侵系统。在软件开发过程中，开发人员时刻考虑安全，并不断分享他们对安全威胁的见解以及如何让他们的软件抵抗这些威胁。例如，如果已知的威胁利用了一次性认证过程，开发人员可以在每个软件模块中实施认证，从而使未经授权的人无法在系统中执行任何重要操作，即使他们绕过了初始认证过程。

在学习 DevSecOps 时，你将发展出一种全新的开发视角。这不仅仅是关于功能的实现，还包括软件的安全性。你将学习如何确定软件的风险容忍度，并如何提升它。你还将学习如何进行风险/收益分析。有时，过度的安全性可能会妨碍一些基本服务，或者使软件变得不必要地缓慢。因此，DevSecOps 确保安全性不偏向任何一方，以免由于过多的安全控制使软件变得无法使用，或由于缺乏足够的安全控制而使软件变得不安全。DevSecOps 正在迅速获得市场的认可，组织正在寻找采用这种构建软件方法的系统开发人员。DevSecOps 的好处如下：

• 速度与敏捷性：软件开发以小规模的迭代方式进行，在每次迭代中都会不断增加安全性。此外，安全团队不需要等到软件完成后再集成安全控制。

• 应对变化：IT 环境中会发生许多变化，这些变化有时会影响安全性如何集成到软件中。例如，新的威胁可能会在软件开发过程中出现，开发人员必须通过使系统能够抵御这些威胁来做出反应。例如，旧系统被设计用来检查登录凭据是否与数据库中的匹配。然而，当黑客开始使用密码字典时，软件开发人员通过增加一个计数器来回应，防止超出一定的登录尝试次数。DevSecOps 使开发人员能够以这种方式进行响应。

• 质量保证测试：采用 DevSecOps 方法构建的系统更容易进行测试，因为所有组件都紧密耦合。安全性不是一个模块；而是被集成到软件中，可以在测试软件的其他功能时，进行彻底的测试。

• 早期识别漏洞：通过 DevSecOps，软件不必等到交给漏洞测试人员才能发现漏洞。所有开发人员都有确保系统安全的心态，因此他们总是保持警惕，寻找可能被利用的漏洞。由于许多人在审查代码时专门查找漏洞，几乎所有可能的漏洞都会在开发过程中被识别并解决。

DevSecOps 培训专注于技术转变，教你如何在开发过程中优先考虑安全性。你还将学习如何与其他开发者或安全团队合作，确保最终交付的产品具有高度安全性。DevSecOps 还专注于敏捷性和对变化的快速响应。在培训过程中，你将主要学习代码分析、变更管理、合规监控、威胁调查和漏洞评估等内容。未来，其他软件开发方法将逐渐被淘汰，公司将寻找精通 DevSecOps 的开发者。因此，今天就参加这个课程，为自己在未来的就业市场中占有一席之地。

IoT 安全

在 2018 年上半年，IoT 设备以空前的速度增长，总数达到了 70 亿个。预计到 2020 年，全球活跃使用的 IoT 设备可能达到 208 亿个。

你可以在iot-analytics.com/state-of-the-iot-update-q1-q2-2018-number-of-iot-devices-now-7b/找到更多相关信息。

根据 2018 年上半年两个季度的数字，IoT 设备数量将迅速增长。然而，IoT 设备在安全性方面面临重大挑战。这些设备由不同制造商推出，但普遍缺乏最低的安全要求。因此，许多僵尸网络正在利用这些设备形成。

僵尸网络是由互联网连接设备组成的恶意网络，用于执行拒绝服务攻击或垃圾邮件攻击。如今最强大的僵尸网络之一是 Mirai，它完全由 IoT 设备组成。这些都是由于使用大量不安全设备而带来的后果。

IoT 设备正成为黑客的攻击目标，并被用作进入组织或家庭的切入点。由于这些设备通常连接到网络，黑客通过攻破设备并在网络中进行导航，从而攻击其他设备。

例如，黑客可能突破一个 IoT 设备，进入网络后将恶意软件传播到与该设备共享同一网络的所有计算机。此类攻击已经发生，未来也必然会有更多类似的攻击发生。

由于许多组织正在优先考虑其安全性，它们将寻找专家来保护其 IoT 设备，避免这些设备被黑客操控。除了组织之外，使用 IoT 设备实施智能电网等系统的政府，也将寻找专家来保护这些系统免受攻击。因此，这为 IoT 安全专家提供了机会。

物联网安全是一个快速发展的领域，旨在为物联网技术增添一层可靠的安全性。它旨在消除物联网技术中目前存在的安全漏洞，以使其能够更好地抵御网络攻击。物联网安全由四个步骤组成：

1. 理解物联网流程：物联网设备扮演不同的角色，如收集数据或在系统中实现某些功能。你需要学习如何识别需要保护的流程。某些流程比其他流程更为敏感，物联网控制生命关键系统就是一个很好的例子。

2. 理解产品的工程设计：物联网设备制造商众多，并且由于缺乏行业标准，各自的设备设计方式有所不同。从安全角度来看，了解一些访问控制措施（如登录）是如何实施的至关重要。同时，识别后门和其他不良安全做法也非常重要，这些可能导致设备被攻破。

3. 保护设备：通过对物联网设备工程的深入理解，你可以做出适当的调整以确保设备安全。这些更改涉及实施安全最佳实践，确保设备安全。默认密码可以被更改，后门可以被移除，可以启用加密技术，设备可以被重置以摆脱任何僵尸网络，所有物联网设备可以连接到一个隔离且高度安全的网络。这些更改需要经过深思熟虑，以防止对物联网设备本身造成潜在的损害或服务中断。

4. 实施安全政策：为了确保所有物联网设备的标准化安全，必须设立安全政策，确保在所有涉及物联网设备的地方都能遵循这些政策。由于这些设备具有互联互通的特性，一旦某个不安全的物联网设备被攻破，就可能危及整个组织。因此，必须严格遵守安全政策。

目前已预计市场上将会有更多的物联网设备，因此问题不在于是否会有物联网安全职位，而是如何应对这一趋势。随着物联网设备的快速普及和网络攻击的增多，许多组织将寻求物联网安全服务。因此，这是一个今天就可以开始的安全职业道路。

你可以通过加利福尼亚大学在线免费获取物联网培训，网址为www.classcentral.com/tag/internet-of-things。

用户行为分析（UBA）

用户曾导致世界上一些最严重的网络攻击。例如，Yahoo（一家电子邮件服务提供商）遭遇的最严重攻击，仅仅是因为一个用户的点击。联邦调查局（FBI）调查了导致数百万用户账户泄露的原因，发现有针对特定 Yahoo 员工的网络钓鱼邮件。有人说其中一名目标员工点击了一个恶意链接，导致黑客入侵该员工的计算机并利用其访问网络。

一旦进入网络，黑客安装了一个后门，允许他们连接并窃取 Yahoo 的用户数据库。调查发现，负责这些操作的黑客将被盗的数据库交给了其他商业黑客。很快，黑客们开始入侵个人账户，直到 Yahoo 公开了这次攻击的消息。

因此，黑客攻击可以追溯到一个没有遵守安全政策并点击了恶意链接的单一用户。网络中可能有难以突破的防御措施，但一旦登录用户被攻破，黑客就容易完成他们的任务。这种情况可能发生在任何组织。用户的粗心大意以及他们的错误可能导致灾难性的网络攻击。

网络犯罪分子将利用被入侵的计算机来实现某些功能。例如，他们可以利用财务部门员工的被入侵计算机发起财务交易。

UBA 是一项旨在避免用户遭到入侵时发生灾难的新技术。通过 UBA，大数据分析用于绘制正常用户行为模式。例如，财务部门的员工可能会记录在特定日期向特定账户转账某些金额。当某个用户表现出异常行为时，系统会触发警报。例如，如果一名财务部门员工的账户进行异常大额交易或在异常时间进行交易，UBA 将发出警报并阻止交易进行。这样就能防止攻击的实现。

UBA（用户行为分析）已经被无法承受巨大损失的大型组织采纳。例如，全球银行使用的 SWIFT 全球支付网络就采用了这种系统。2016 年，孟加拉国中央银行发生了黑客攻击，黑客发起了大额交易，其中一些交易被 SWIFT 拒绝。

黑客通过发送欺诈性消息和恶意软件窃取了 8100 万美元，这使得他们能够入侵银行的SWIFT（环球银行金融电信协会），看似是从孟加拉国达卡的中央银行发出的。尽管大部分转账被阻止，但约 8100 万美元仍然被转账至菲律宾的一家银行。此后，这笔钱被转移到赌场和赌场代理商，并且大部分至今仍然下落不明。

根据 SWIFT 的说法，黑客获取了银行员工的有效凭证，然后使用这些凭证发起资金转账，仿佛他们是合法的银行员工。

随着人工智能和大数据分析的进步，UBA（用户行为分析）正在变得越来越好。未来，许多组织将采用这样的 UBA 系统。因此，针对这项技术的咨询服务潜力巨大。现在有一些在线学习平台提供多个 UBA 课程的培训，旨在帮助对抗网络攻击。此类课程会教你如何在组织中安装和配置 UBA 系统，收集正常的用户数据，并在检测到威胁时定义应采取的措施。由于大多数操作由 UBA 系统自动执行，因此大多数工作都集中在安装、配置和学习过程中。凭借这些信息，你可以成为一名知名的 UBA 系统安装、用户培训和故障排除的咨询顾问。由于许多组织将部署这些系统以帮助应对黑客攻击、垃圾邮件、恶意软件传播以及员工泄漏等问题，任何经过 UBA 培训的专业人士在未来都能找到大量的工作机会。

学习凭证是如何工作的，Pass the Hash（PtH）是什么。截至 2019 年 4 月，这类攻击依然非常活跃和有效。

PtH 是一种攻击技术，攻击者捕获密码或哈希值后，直接使用这些密码或哈希进行身份验证。

2019 年 4 月，微软确认他们的免费电子邮件服务（Outlook/Hotmail /MSN）已遭到入侵。支持人员的凭证被窃取，黑客通过这些凭证未经授权访问某些账户，查看账户的电子邮件地址、文件夹名称及部分电子邮件。

你可以通过微软发布的白皮书学习如何减轻 PtH 攻击和其他凭证盗窃攻击。你可以从以下网址下载并阅读白皮书：www.microsoft.com/en-us/download/details.aspx?id=36036

同时，拥有特权访问工作站（PAWs）可以帮助你最小化潜在的网络攻击和威胁向量。你可以在这里了解更多关于 PAW 的信息：docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/privileged-access-workstations

若要了解更多关于网络安全攻击与防御策略的内容，您可以阅读一本由 Packt 出版、Yuri Diogenes 和我共同编写的书籍：

端点检测与响应（EDR）

EDR 已被预测为未来的事件响应技术。普通的事件响应团队并不总是对攻击有足够的了解，无法迅速识别攻击原因，减轻其不良影响并恢复情况。即使攻击已经结束，普通的事件响应人员也不能确保能够防止未来类似攻击的发生。EDR 是一个用于检测和调查终端设备上事件的工具组合的术语。

这项新兴技术通过提供更可靠、及时的事件响应，重新定义了事件响应的含义。EDR 不仅仅是一个工具——它由不同的工具组成，这些工具持续监控终端、网络和用户，并集中存储所有重要信息。

EDR 由强大的分析系统提供支持，这些系统从中心点运行，以识别由在不同系统中运行的监控代理记录的任何异常数据。当安全事件即将发生时，EDR 会向系统和网络管理员发出潜在攻击的早期警告。例如，EDR 可能会检测到某个服务器的内部防火墙不断阻止来自某一来源的可疑流量。EDR 将警告该服务器即将遭受攻击，以便采取预防措施。有些 EDR 可以与其他安全软件（如防病毒程序）集成，在检测到恶意软件已传递到终端时，进行干预。

EDR 技术将在不久的将来被希望进行持续监控以威慑攻击并协助事件响应的组织广泛采用。这项技术已被视为当今网络安全基础设施的核心组成部分。由于攻击将持续增加，组织将需要一个工具来帮助事件响应团队在攻击发生时迅速识别原因并加以缓解。因此，他们将寻求能够将 EDR 部署到其 IT 基础设施中的专业人员。此外，掌握 EDR 技术将为您在 IT 职位上带来优势。因此，学习这项技术是非常值得的。

摘要

今天，网络空间发生了不可避免的变化。网络攻击正在增加，且变得越来越复杂。这些变化也正在塑造网络安全领域的职业发展。传统的网络安全方法正在慢慢被淘汰，新技术正在被采纳。未来网络安全行业的就业市场将受到这些技术的显著影响。

本章介绍了一些目前最有前景的学习技术。对这些技术的分析是依据其适用性和未来就业前景进行的。我们讨论的技术将会在不久的将来成为网络安全领域的主流。掌握这些技术，将有助于你在 IT 行业，尤其是网络安全行业从事不同的职业。如果你选择进入普通的 IT 职业领域，这些技术也将为你提供额外的优势。

深入阅读

以下是一些可以用来深入了解本章内容的资源：

• 渗透测试：www.sans.org/curricula/penetration-testing

• 什么是 DevSecOps？开发更安全的应用程序：www.csoonline.com/article/3245748/devops/what-is-devsecops-developing-more-secure-applications.html

• 什么是 DevSecOps？：www.redhat.com/en/topics/devops/what-is-devsecops

• 物联网现状 2018：物联网设备数量已达 70 亿—市场加速发展：iot-analytics.com/state-of-the-iot-update-q1-q2-2018-number-of-iot-devices-now-7b/

• 物联网安全（Internet of Things 安全）：internetofthingsagenda.techtarget.com/definition/IoT-security-Internet-of-Things-security

• 5 项新兴安全技术有望改变战局：techbeacon.com/5-emerging-security-technologies-set-level-battlefield

第四章：网络安全职业所需的技能

对网络犯罪的关注日益增加，为网络安全行业带来了稳定的职业机会。与十年前不同，现在的组织不再依赖网络管理员或 IT 管理员来承担网络安全的重担。相反，他们已经引入了精通各种攻击或威胁的专家，来改善组织的安全架构。本章将探讨就业市场，帮助我们找到组织正在招聘的网络安全岗位，以及你可以学习的需求技能，帮助你转行、转职或在网络安全领域建立职业生涯。

本章将涵盖以下主题：

• 一般的网络安全岗位

• 网络安全需要掌握的技能

• 根据当前的职业经验和技能选择要学习的技能

一般的网络安全岗位

目前，网络安全行业正在迅速增长，职位需求量大。据报道，现有人员数量不足以填补所有网络安全岗位。以下小节将介绍一些组织正在招聘的主要岗位。

渗透测试员和漏洞测试员

保护组织免受黑客攻击的一种方式是，在黑客出现之前，先识别并修复其漏洞。渗透测试员本质上是白帽黑客，他们按照系统所有者的要求，入侵或尝试入侵系统。在安全职业中，渗透测试在就业市场中的重要性日益增长。由于组织无法 100% 确定他们已经实施的安全工具足够保护自己，因此他们始终在寻找能够突破这些防护的人。渗透测试职业涉及使用常见的侦察或黑客工具，如 Metasploit 或 Wireshark，来测试组织的安全状态。它还包括审查用于创建组织运营系统的代码。对于许多喜欢这项工作的人来说，这个岗位唯一不那么令人兴奋的任务是编写关于漏洞发现和所需修复的冗长详细报告。

网络安全顾问

虽然组织专注于提升其安全水平，但他们也在考虑降低执行这一目标的财务负担。单独雇佣全职员工来评估组织的安全性被视为对组织的一项额外开支。与其他 IT 角色（如帮助台支持）不同，一些网络安全角色并非日常性任务，因此可以每月进行一次或两次。此外，网络安全领域的人才短缺。因此，具备这些技能的员工更频繁地更换工作岗位，因为他们能够获得更好的薪酬待遇。因此，组织越来越多地需要雇佣第三方专家来评估其威胁环境和暴露情况。网络安全咨询角色对初学者来说非常有利，因为它们是获得实际工作经验的途径，这些经验以后可能会在固定岗位上派上用场。网络安全顾问通常专注于特定角色，因此任何追求这一职位的人都应确定自己擅长的领域。

网络安全经理

预计现有的系统和网络管理员无法承担网络安全的重任。他们可能缺乏专业知识，或被网络犯罪的趋势所甩在后面。这就是为什么组织正在设立网络安全经理职位，以监督网络和系统上的所有网络安全计划。这些经理所承担的角色如下：监控政策的合规性，确保进行 IT 安全审计，跟踪修补程序或威胁缓解工作，并管理任何网络安全事件。网络安全经理是组织网络安全工作的支柱，因此被期望在这一领域拥有广泛的知识。

网络安全分析师

他们是组织中网络安全的新前线。由于公司面临许多网络安全事件——其中一些最终成为成功的攻击，而其他则被挫败——因此需要专家来进行调查。网络安全分析师分析所有安全事件，以获取可能用于防止未来攻击的信息。例如，他们可能会追踪黑客可能采取的路径，以便获得对敏感文件的访问权限。可能是系统管理员使用了默认密码，或者其中一位管理员落入了社交工程骗局并泄露了密码。网络安全分析师确保提供足够的信息，以防止类似的攻击再次发生。

网络安全工程师

这是网络安全领域中的一个中级职位，组织始终在寻找人才来填补该职位。这个职位在组织的安全体系中发挥着重要作用，因为工程师需要设计一个可靠的安全基础设施。这包括制定全面的安全政策、创新的威胁预防方法、威胁缓解或响应计划，以及其他许多安全措施。网络安全工程师还需要确保系统和网络无法被突破。因此，所有实施的审计、渗透测试或安全工具都依赖于这些输入。最后，工程师还需要确保从公司高层获得对所需安全工具采购的支持。

首席信息安全官（CISO）

在许多案例中，担任网络安全关键职位的初级员工未能说服高层批准采购安全工具或进行全公司员工的安全培训。CISO 职位的设立是为了让 IT 部门在公司高层管理中拥有直接代表。CISO 负责整个组织的安全事务，负责指导运营并为网络安全职能争取资金分配。他们还确保安全政策从上至下的合规性。CISO 的职位通常由那些具备技术和管理技能的高学历人才担任。

首席安全官（CSO）

这是另一个在组织中担任高级职位的角色，负责向高层提供所有安全职能的代表。CSO 扮演着确保组织拥有的物理和数字资产安全的最重要角色。担任此职位的人确保安全投资能为企业增值。他们通过采取措施保护业务流程，确保这些流程不被或极少受到众多网络犯罪攻击的干扰，从而实现这一目标。CSO 确保组织拥有有效的业务连续性计划，以防止网络攻击导致企业停滞不前的局面。他们还确保已经实施了足够的安全工具和技术，防止网络攻击可能带来的数据、财务和声誉损失。CSO 职位通常只会分配给那些拥有丰富 IT 工作经验和充分网络安全培训的合格人员。

计算机系统管理员

这不是市场上的新角色——它已经存在很长时间了。然而，市场对能够填补这一角色的技能需求正在增加。系统管理员通常负责管理系统组件，确保它们按预期工作。由于网络安全威胁的存在，这个职位的职责有所增加。职责包括确保系统以安全的方式构建、能抵御常见的安全威胁、在发生数据泄露时保障敏感数据的安全，并能在遭受攻击时继续运行。系统管理员大多拥有信息技术、计算机工程或计算机科学的学位。

密码学家

组织意识到通过加密保护传输和存储中的数据的重要性。这确保了即使黑客能够突破系统或拦截流量，他们窃取的信息也无法发挥作用。互联网最初并未为安全设计，因此对于组织来说，确保与客户交换的信息端到端加密已成为一项负担。除此之外，黑客在渗透组织和窃取数据方面变得更加高效。他们已经能够突破那些被认为是高度安全的组织。一旦数据被窃取，只有加密才能使其无法使用。这就是为什么组织聘用能够可靠加密数据、电子邮件和互联网连接的专家。密码学家提供这些服务，使用最实用的加密算法来实现每种功能。密码学家通常拥有计算机科学学位，并获得密码学领域的附加认证。

计算机取证专家

计算机取证专家，和其他取证专家一样，被召集来调查网络犯罪事件。他们可以识别事件的原因、收集可以在法庭上使用的证据，或恢复被黑客窃取的信息。计算机取证包括大量可能脆弱的数字数据，特别是当这些数据计划用于法庭时。因此，这些专家有时与法律专业人士合作。取证专家可以可靠地追踪被窃取的数据或资金流向，并启动恢复工作。他们甚至已知会通过多个黑市的商品列表，伪装成盗版数据的买家，作为恢复数据的一部分努力。除了在企业工作外，计算机取证专家还可以在刑事案件中作为顾问，检查数字犯罪现场。典型的计算机取证专家通常会修读取证学位课程，并获得公认机构的认证。

网络安全工程师

网络安全工程师专门为网络提供安全解决方案。因此，他们的工作围绕着广域网（WAN）、局域网（LAN）和服务器展开。他们负责实施多个网络工具，如防火墙和入侵预防系统。他们致力于确保组织拥有足够的边界安全系统，以防止攻击。他们还管理网络中的关键硬件，如路由器和交换机，以确保它们不被攻击，并在任何时候都提供可靠的服务。大多数网络安全工程师将具备网络方面的教育背景，并获得网络安全认证。

信息保障技术员

在数字世界中，信息至关重要。然而，它也越来越成为网络犯罪分子的目标。网络安全的重点是保护信息的 CIA 三元组。这个三元组由机密性、完整性和可用性组成。信息保障技术员的工作重点与此相同。他们通过建立信息风险管理措施，确保信息在需要时随时可用。信息风险管理涉及与信息的使用、处理、存储和传输相关的所有风险向量。

数据安全分析师

数据安全分析师职位是一个入门级职位，但在组织中扮演着一些敏感角色。由于网络犯罪的威胁，许多组织会雇佣顾问来查找它们的漏洞或审计它们的安全系统，并提出发现的结果。需要有专家将多个评估报告协调成可执行的计划，确保网络、系统和数据的安全。此外，组织还需要有人持续监控系统的安全事件，并在必要时做出响应。敏感数据需要额外的保护，并且其可用性也应该得到保证。因此，应该有专人保护数据，使其在间谍攻击期间依然安全。如果一些用于日常操作的数据的可用性受到影响，还需要有人提供多个冗余。数据安全分析师扮演着这些角色，以及许多其他角色。他们将是应对网络攻击的不可或缺的响应者，以确保组织的数据安全。

IT 安全合规分析师

网络犯罪事件对组织造成的损失是昂贵的，不仅仅因为它们涉及现金盗窃。网络安全漏洞通常伴随着一些不幸的后果，例如因未能保护个人信息或未遵守有关数据安全和向用户披露攻击的规定而被罚款。公司因此被罚款数百万美元。监管机构也在不断推出更为严格的政策，组织必须遵守这些政策。最后，组织通常会非常重视制定旨在减少威胁暴露并帮助响应和恢复过程的安全政策。然而，很少有关注点放在对这些政策的遵守上。IT 安全合规分析师提供必要的帮助，以确保遵守内外部安全政策。在内部，他们确保员工遵守安全政策。他们可能会制定措施来追踪并奖励合规或不合规的行为。

在组织外部，这些专家确保组织满足规定的监管要求。IT 安全合规分析师通常熟悉许多用于制定安全政策的框架。这些框架包括 NIST 和 ISO 27001 等。他们也熟悉组织必须使用的安全控制措施，以保护其系统和网络。他们利用这些知识确保用户遵守所有适用的安全政策。例如，他们可能会审查系统中用户的密码强度，并通知密码较弱的用户更改密码。最后，他们了解所有影响组织的适用法规，包括本地和国际法规。

系统安全专家

系统安全专家是精通计算机硬件和软件、专注于网络安全的专家。他们在组织中扮演着多种角色，以确保安全。值得注意的是，安全涵盖了物理和数字威胁。因此，服务器的物理盗窃今天与拒绝服务攻击一样，也是网络威胁之一。系统安全专家确保组织中的数字资产（如服务器和工作站）的物理安全。他们还会测试已部署的安全措施，例如火灾探测器、服务器的门禁卡系统等。此类专家还会实施安全补丁并测试软件，确保它们不受已知威胁的影响。他们还会独立评估计算机及其系统面临的漏洞，因此可以使用常用工具来识别系统中的漏洞。系统安全专家还确保关键系统具有冗余设计，这些冗余可以在遭受攻击时启动，以确保业务运营不会停滞。他们与其他 IT 人员合作，实施连续性和灾难恢复计划以及缓解方案。由于职责广泛，这些专家对 ISO 模型中的七个层级的安全知识了如指掌。

网络安全领域需要掌握的技能

网络安全是就业市场上最具动态性的职业之一。尽管它提供了相当多的职业选择，但你需要掌握的技能却不断变化。这主要是因为网络安全需要对网络犯罪领域的变化作出反应。因此，当网络犯罪分子改变战术时，网络安全专业人士也需要进行调整。例如，十年前，恶意软件清除是市场上非常抢手的技能。然而，由于自动化的进步，安全工具现在可以完成这一任务，因此这一技能逐渐失去了相关性。同样，新的攻击方式也会强调某些技能，而削弱其他技能的关注度。例如，2016 年 WannaCry 和 NotPetya 攻击事件引起了对加密技术技能的关注。对于网络安全行业的初学者或希望拓展自己技能的专家来说，有许多技能是值得掌握的。

人力资源部门正在面临市场上网络安全技能短缺的问题。虽然这对招聘人员来说是个坏消息，但对于那些掌握了基本网络安全技能的人来说却是好消息。许多缓解因素使得网络安全专业人士迅速被市场接受，包括以下几点：

• 许多求职者偏好大公司：由于网络安全与普通的 IT 资格相契合，行业专家更倾向于在知名公司获得职位。这使得小型公司和非科技公司申请者较少。因此，有策略地瞄准小公司职位的求职者更有可能获得工作机会。

• 技能差距的扩大：网络安全领域的专家与初学者之间存在技能差距。人力资源经理在招聘高级安全职位时面临着巨大的挑战。有时候，网络安全职位的空缺可能会几个月都找不到合适的候选人。然而，一些方法，例如在公司内部进行所需职位的培训，未必足以满足所有的组织网络安全需求。

• 网络安全岗位的高流动率：这是那些人才稀缺岗位的普遍问题。组织迫切需要聘用合适的人才，因此他们最终会从其他公司挖角，并提供其他公司难以超越的薪酬待遇。

网络安全领域的所有这些挑战应该足以让你考虑获得一些技能，从而使你成为被高度需求的人才。让我们在接下来的子章节中详细讨论这些技能。

基础技能

这些技能为网络安全专业人员提供了基本的素质要求。它们是每个行业从业者理想中应具备的基础技能。

风险管理

风险是推动网络安全的动力。因此，网络安全专业人员应该熟悉风险管理方面的信息。当他们担任一些典型的网络安全角色时，他们将应对某种形式的风险。此外，还有一些角色要求专业人员向企业高层展示系统和网络中存在的风险，并用他们能够理解的语言进行说明。

网络

网络犯罪分子主要攻击的攻击面之一是网络。网络在组织中起着关键作用，因为它们连接计算基础设施，并允许大多数数据交换服务得以进行。因此，显然，网络安全专业人员必须具备足够的网络知识。有多个认可的机构提供网络学习和认证培训。

情境意识

攻击者在攻击方式和使用的工具方面正在不断发展。这意味着网络安全专业人员必须了解网络犯罪的变化。他们应该掌握最新的攻击趋势以及如何进行缓解。情境意识使得网络安全专业人员能够根据当时的主要威胁理解如何最佳地保护组织。

工具包

与电影中通常呈现的情况不同，黑客攻击是一个缓慢的过程，并且高度自动化。因此，黑客会使用一些工具包来执行操作。在网络安全领域，专业人员也使用一些工具包来扫描威胁或阻止正在进行的攻击。网络安全专业人员需要知道如何使用这些工具包或他们所在组织提供的任何其他专用工具。

安全分析师技能

网络安全中的许多角色要求你熟悉分析网络和计算环境，以便检测威胁和漏洞。以下是你应具备的一些分析技能。

威胁评估

威胁评估在网络安全职业中至关重要，因为组织安全的本质是保护其免受威胁。因此，你需要了解不同类型的威胁及其特点。专家应该了解这些威胁的传播途径以及它们可能造成的影响或损害。威胁评估技能最好通过实践演练获得，这些演练能使你接触到这些威胁。你应该在进入职场之前掌握这一技能，因为它至关重要。

漏洞评估

与威胁评估密切相关的是漏洞评估技能。漏洞评估是任何网络安全人员工作基本定义的一部分。该技能用于主动寻找计算机系统和网络中可能存在的威胁。网络安全专家需要了解如何识别漏洞并确定其被利用的可能性。有多种工具和技术可以用来检测漏洞。希望从事该领域工作的人员应学习如何使用这些工具，并了解如何实施一些技术。一个常用的漏洞评估工具是 Nmap，它可以扫描网络以识别连接的设备，并扫描这些设备以识别可能被利用的开放端口。然而，Nmap 使用命令行界面，因此你需要学习如何通过命令行发出不同的扫描命令。代码审查是一种常见的识别漏洞的技术，专家可以判断系统中使用的代码是否容易受到攻击。例如，网络安全专业人员应该能够判断登录页面的代码是否容易受到 SQL 注入或跨站脚本攻击。他们可以通过验证所有输入在处理之前是否已进行验证来做到这一点。

日志收集与分析

网络安全专家需要能够找到历史数据，以帮助揭示更多关于网络安全事件（如黑客攻击）的信息。此外，他们还需要能够在必要时收集计算机、网络或系统的操作信息，例如，如果系统上有可疑行为，且所有者希望了解其原因。日志收集涉及设置自动化数据收集系统，记录系统或网络上的活动时间戳。一些系统自带内置日志模块，而另一些系统则需要第三方应用程序来实现这一功能。网络安全专业人员应该了解可以用于日志数据收集和分析的工具。例如，Wireshark 是一个用于网络连接的良好日志工具。它还可以用来分析收集到的日志。你可以查看所有设备的 IP 地址，它们在网络中进行通信的端口，以及通信的来源和目的地等信息。

主动分析

网络安全专业人员应该能够进行主动分析，而不依赖于数据日志或任何辅助工具。有些攻击，例如社交工程，可能很难通过软件工具进行分析。网络安全专业人员需要知道应该提问什么问题或调查哪些系统。如果发生了社交工程攻击，很可能攻击者通过电子邮件或社交媒体与目标建立了联系。因此，可以要求受害者分享可疑的电子邮件或社交媒体互动。如果工作站被黑客攻击，用户可以被要求诚实地告诉他们访问过的网站或点击过的链接。网络安全专家的直觉可以帮助收集许多工具无法获取的信息。

事件响应

网络安全专业人员需要随时准备应对诸如入侵或可疑网络活动等事件。在应对事件时，他们应该专注于阻止威胁、减轻影响并恢复受影响的系统。在这种情况下，他们的另一个重要角色是安抚整个组织。接下来，我们将介绍他们需要具备的一些技能，以便能够做到这一点。

灾难恢复

组织应当制定灾难恢复计划，以便在发生安全灾难时使用。这些计划需要经常审查和更新。此外，在实际灾难发生时，还需正确实施这些计划。网络安全专业人士应具备执行这些任务的技能。灾难恢复有助于组织在遭受攻击后保持稳定，因此备受关注。为了确保灾难不会影响业务运营，专业人员通常采取一些常见的灾难恢复技术，如启用备用站点和从备份中恢复数据。因此，网络安全专业人士应至少能在必要时执行这些功能。

取证

网络攻击留下了许多线索，可以用来恢复被盗的物品或将罪犯绳之以法。虽然有专门的网络取证专家，但从事此类工作的其他专业人士也应该具备一定的取证知识。学习在攻击发生后如何保存数字数据至关重要，以免丢失一些证据。其他员工可能不了解这一点，因此网络安全工作人员在攻击发生后有责任指导他们，告诉他们可以做什么或不能做什么。例如，如果员工未被告知，他们可能会删除包含入侵证据的程序，或篡改一些本可以用于调查的记录。

渗透测试技能

对于那些在获得正式职位之前仍想获得短期合同的人来说，渗透测试是一项网络安全专家会觉得有价值的技能。由于它是网络安全行业中的一个细分领域，渗透测试得到了高度认可，因此可以轻松帮助你找到工作。渗透测试课程教授专业人士如何使用恶意黑客采用的相同工具和技术，找到计算机系统中的弱点和漏洞。这也符合那句俗话，“捉贼先想贼心”。渗透测试能培养你具备黑客思维，使你能够在计算环境和网络中搜寻任何可以被利用的漏洞。让我们来看看网络安全专家需要具备的一些基本渗透测试技能。

情报收集

侦察是任何攻击中的关键部分。黑客花费大量时间寻找能够帮助或引导他们进行攻击的信息。网络安全专业人士应该具备同样的心态，收集可以最终用于攻击组织 IT 基础设施的数据。这些情报收集技术包括端口扫描、操作系统指纹识别、数据挖掘、检查员工的社交媒体帖子以及垃圾桶翻找。情报收集会产生可以用于保护所使用系统的情报，或者警告用户他们通过发布某些信息而暴露自己所面临的危险。例如，网络安全专业人员可能会通过垃圾桶翻找来寻找用户不当丢弃的敏感数据。他或她可能会发现印刷版的电子邮件通信、写在便签上的密码，或某个系统的用户名列表。这些敏感信息每天都会被丢弃到垃圾桶中，而这些信息并没有以安全的方式被处理。黑客可以轻松地找到这些信息，而无需突破组织的防线，并利用它们进行攻击。

事件报告

网络安全职业中不太光鲜的一部分是编写关于攻击事件或扫描结果的详细报告，这些扫描或事件已经在组织中进行。你必须学会如何向非技术性观众正确且清晰地呈现发现的结果。这并不是一项难以掌握的技能，但从事这一职业的人应该具备它。

克制

渗透测试员和恶意黑客之间唯一的区别是他们站在哪一方的法律之下。渗透测试员可能会变成恶意黑客。例如，一位受银行雇佣的渗透测试员可能会发现一个漏洞，通过该漏洞他们可以进行资金转账而不会触发警报。滥用这一权力和知识的诱惑是巨大的。然而，你需要在使用你的特权访问权限或强大工具时保持克制。如果没有克制，你将会追逐利用给定访问权限进行网络攻击并删除证据的短期利益。最终被发现只是时间问题。

安全架构技能

网络安全不仅仅关注威胁、漏洞和攻击——它还包括构建能够防止攻击发生的强大系统。网络安全的最终目标应该是可持续的解决方案，这些解决方案能始终为合法用户提供服务。许多系统的安全架构侧重于强有力的安全控制，旨在防止攻击，或增加黑客的额外负担，从而降低他们进行攻击的效果。我们来看看一些网络安全专家应该具备的安全架构技能。

身份与访问管理

身份和访问管理是计算机系统每天都会执行的常规任务。用户必须进行身份验证才能访问其计算机、网络、ERP 系统和应用程序。这些系统和网络具有身份验证模块，若被篡改，可能会使恶意人员获得访问权限。此外，某些情况下，系统可能配置不当，导致用户拥有过多权限。最后，一些设置可能会允许使用访客帐户来执行敏感操作。网络安全的部分工作就是确保身份和访问管理正确执行，避免将组织暴露于更多的威胁之下。网络安全专家需要掌握多种身份和访问管理系统。例如，许多组织有管理连接到特定域的计算机的域控制器。网络安全专家应该知道如何访问域控制器并执行一些操作，如添加或删除用户权限。

网络配置

网络在组织中是不可或缺的，每当提到安全问题时，它们总是会成为焦点。网络安全专家应当熟悉诸如子网划分、网络分段和隔离等网络技能。此外，他们还应该知道如何设置防火墙和入侵检测系统。理想情况下，他们应能够进行网络中的基本设置和维护任务。他们还应该熟悉组织网络的布局，并能在必要时对其进行修改。

系统强化

主机、服务器和应用程序不应成为攻击者轻易妥协的“活靶子”。它们应该经过强化，以抵御黑客攻击，使得黑客在突破组织安全之前受到很大的阻碍。强化可以通过多种方式进行，网络安全专家需要了解其中的大部分方法。这包括应用多个安全层来防止黑客获取访问权限。

例如，一个组织可能会使用 ERP 系统来处理日常任务，并保护敏感的用户信息。这个 ERP 系统可能运行在本地服务器上。为了入侵这个应用程序，黑客可能会采取多条路径，其中之一是通过攻击服务器。网络安全专业人士可以安装入侵防御系统和防火墙来防止这种情况发生。黑客也可能选择通过暴力破解攻击应用程序的登录界面来入侵。网络安全专业人士可以实施机制，防止在短时间内进行多次登录尝试。最后，黑客可能会尝试使用社交工程手段，试图让使用 ERP 系统的员工提供密码。网络安全专业人士可以实施双重身份验证，并对员工进行钓鱼攻击的培训。通过这些手段，ERP 系统将得到加固，因此被黑客攻击的可能性非常小。网络安全职业包括许多类似的功能，因此该领域的专家需要了解如何加固不同的系统。

根据当前的职业经验和技能选择要学习的技能

网络安全常常受到技能短缺的影响，因此组织通常会寻找初学者和专家来填补安全职位。对于那些已经从事其他职业的人来说，他们所拥有的一些技能和经验可能在网络安全的某些细分领域中派上用场。对于那些刚开始从事网络安全职业的人来说，有一些技能能够推动他们的职业发展。对于初学者来说，职业的起步应该集中在获取那些能够迅速让你找到工作的技能。幸运的是，网络安全行业充满了许多入门级职位，组织正在寻找行业中的初学者来填补这些职位。该行业也对来自其他领域的经验丰富的专业人士非常友好。招聘人员难以找到高度经验丰富的专业人士的一个主要原因是，因为他们几乎总是在市场上出现时立即被雇佣。因此，开始你的职业生涯并加入这个备受追捧的群体永远不会太晚。本节帮助求职者根据他们当前的职业技能和经验确定应该掌握哪些技能。以下是一些技能的细分，按它们对初学者或经验丰富的专业人士进入职场的友好度和易用性进行分类。

道德黑客技能

也被称为渗透测试，道德黑客为学习者提供了市场需求强烈的技能，这些技能总是受到人力资源经理的青睐。此课程最吸引那些刚入职的初学者。培训内容以实践为主，对于那些有较强技术背景的学习者来说可能更容易掌握。所学的技能内容广泛，能够在职业生涯中给予你巨大的推动。虽然一些有经验的人也可能觉得这个课程有吸引力，但它可能不是最好的选择，因为它将你置于网络安全职业领域的入门级岗位。然而，已经在 IT 领域的专业人士，如 IT 人员，参加此课程后将获得很多优势。他们有机会在其他组织中获得晋升或更高薪资的职位。

应用安全技能

应用安全意味着所有过程和检查都到位，以确保应用程序的安全性。由于 ERP 系统和其他定制业务解决方案的广泛应用，应用安全正变得越来越重要。应用安全技能培训通常适用于初学者和 IT 行业的入门级员工。在参加此课程之前，初学者需要熟悉应用程序开发。已经在就业市场上的入门级员工应积极参与应用程序开发。学习应用安全可以显著提高你在网络安全行业获得更高薪资职位的机会。经验丰富的专业人士可能不会认为此课程有利，因为它会将他们降级到入门级职位，并且对于非技术学习者来说可能是一项艰难的学习挑战。

云安全技能

云技术并非过时的技术，因此它已经吸引了具备正确网络安全思维的员工。由于云操作具有技术性，领域内大多数经验丰富的人员都非常精通技术。因此，云安全技能最吸引的是已经在云计算行业的专业人士，包括云架构师和云应用开发人员。经验丰富的人员将能够在自己的工作领域获得更高级的技能，从而在需求和薪酬方面具有一些优势。尽管初学者可能仍然希望通过这个课程进入网络安全领域，但他们将面临陡峭的学习曲线，且仅凭一张云安全认证可能无法获得长期工作。

DevSecOps 技能

DevOps 是一个软件开发术语，指的是开发与 IT 运维的整合。它旨在确保组织中的业务单元作为一个团队运作，打破部门作为独立单位的个人主义观点。DevOps 的目标是让各部门协同运行，这通常涉及一些业务操作的整合和数据共享。然而，DevOps 也给组织带来了更多的风险，因为一个部门的风险会传播到整个组织中。DevSecOps 确保在开发过程中能够缓解诸如应用程序漏洞等风险。因此，企业级应用的安全控制会在开发阶段就得到实施。DevSecOps 主要适用于经验丰富的 DevOps 专业人员。接受必要的培训可以提升专业人员的职业生涯，使他们能够晋升到更高的职位，例如项目经理。

威胁和漏洞评估技能

威胁和漏洞评估技能用于识别组织中的威胁和弱点，并提出解决方法。威胁和漏洞评估技能既适用于市场中的初学者，也适用于专业人士，但仅限于技术领域。通过参加必要的课程，初学者可以进入网络安全行业，找到稳定的工作。对于专业人士来说，这些技能将大大推动他们的职业发展。越来越多的组织正在为掌握网络安全知识的人设立高层职位，这些职位包括首席信息安全官（CISO）和首席技术官（CTO）。拥有威胁和漏洞评估技能使你更接近这些职位，甚至可能被任命为这些职位。

信息安全管理技能

信息安全管理技能专注于对涉及信息收集、处理和存储过程的顶层管理，以确保信息得到充分的安全保障。通过这样的课程获得的技能对于已经从事 IT 领域工作的你来说，将有助于你职业生涯的发展。不幸的是，初学者可能不会从这类课程中受益，因为他们不太可能被赋予管理职位。而有经验的专业人员，如果花时间获取信息安全管理（ISM）所需的培训和认证，将更有可能获得与安全相关的高级管理职位。这些职位包括首席信息安全官（CISO）和首席技术官（CTO）。

网络安全诉讼支持技能

为了帮助组织在遭遇诉讼或提起诉讼时采取法律行动，法律职业已成为组织中必不可少的部分。然而，普通律师可能缺乏足够的网络安全知识，因此他们可能需要进行一些培训，才能具备处理网络安全案件的必要技能。这些技能对于现有法律领域的专业人士最为有益，尤其是那些希望拓展能代表的客户类型的人。对于初学者来说，这门课程并不友好，因为他们缺乏必要的法律和网络安全基础知识。

法规合规与审计技能

各种国家和地区已通过多项法律和法规来治理网络空间。有时，组织很难判断自己是否符合所有相关法规。例如，美国有一项 COPTA 法案，禁止组织收集 13 岁以下用户的信息。欧盟通过的 GDPR 规定要求组织告知用户其收集、处理、共享和存储个人数据的方式。此外，还有许多其他的法规。如果不遵守这些法规，会产生一系列后果。因此，网络安全行业对那些熟悉合规规则的审计员非常欢迎，以确保组织完全符合所有适用的法规。法规合规与审计培训通常针对已有审计经验的专业人士，也可能吸引那些已经参加过审计课程的网络安全初学者。

总结

本章广泛讨论了在网络安全领域建立强大职业的议题。它首先介绍了当今就业市场中的一般网络安全职位。所列出的职位虽然不全面，但包括渗透测试员、网络安全顾问、网络安全经理、网络安全分析师、网络安全工程师、首席信息安全官（CISO）、首席安全官（CSO）、计算机系统管理员、密码学家、计算机取证专家、网络安全工程师、信息保障技术员、数据安全分析员、IT 安全合规分析员和系统安全专家。这些职位在就业市场中需求量大，且随着其他许多网络安全职位的需求增加而越来越受到青睐。

接着我们讨论了你可以选择学习的技能，以便能被考虑担任任何列出的网络安全职位。值得注意的是，掌握这些技能几乎能确保你找到工作，因为市场上缺乏网络安全专业人员。造成这种短缺的原因包括求职者偏向于大公司、技能差距的扩大，以及许多组织中这些职位的高人员流动率。尽管这些因素让人力资源经理在填补这些职位时头疼不已，但它们也足以激励人们去学习网络安全技能。我们列出了你应该学习的推荐网络安全技能。这些包括风险管理、网络、情境意识和工具包等基础技能。接下来的类别是安全分析师技能，包括威胁评估、漏洞评估、日志收集与分析、主动分析、事件响应、灾难恢复和取证。接下来，我们讨论了你可以获得的渗透测试技能，包括情报收集、事件报告和克制。最后，推荐的安全架构技能包括身份和访问管理、网络配置和系统加固。

本章的最后一部分讨论了个人根据其专业经验和技能可以选择的最可行技能。由于有许多技能可以考虑，因此列出的技能反映了撰写本书时的市场需求。我们看到的一些推荐技能包括道德黑客，它适合网络安全初学者，因为它的学习曲线较陡，而且提供入门级职位；应用安全，同样适合初学者，因为它的学习曲线和职位仅限于入门级薪资；云安全，适合初学者以及 IT 领域的现有专业人员；DevSecOps，适合现有的 DevOps 专业人员；威胁/漏洞评估，被认为适合 IT 领域的初学者和专业人员；信息安全管理和网络安全诉讼支持，分别被认为适合 IT 和法律领域的现有专业人员；以及合规性和审计，被认为对现有审计领域的专业人员最具吸引力。

因此，本章为你提供了足够的指导，帮助你选择一个适合你的网络安全职位。在下一章中，我们将分析不同类型的黑客，以及他们的思维方式和社交技能。

深入阅读

以下资源可以帮助你深入了解本章所涉及的内容：

• 网络安全职位、角色与要求：www.charteroak.edu/cybersecurity/cybersecurity-jobs-roles-requirements.php

• insights.dice.com/cybersecurity-skills/

• IT 团队需要的 10 项关键安全技能：www.cio.com/article/3228965/10-critical-security-skills-every-it-team-needs.html

• 必须学习的 5 个网络安全课程和认证：www.cbronline.com/opinion/top-5-cybersecurity-courses

• 2019 年最受欢迎的 8 项网络安全技能：techgenix.com/in-demand-cybersecurity-skills/

• 2017 年最受欢迎的网络安全技能：techspective.net/2017/02/28/demand-cyber-security-skills-2017/

• 最火热的 20 项安全技能与能力：www.bankinfosecurity.com/20-hottest-security-skills-competencies-a-2024

第五章：攻击者心态

在过去的十年里，网络犯罪有了加速增长。与网络安全和网络攻击相关的成本也急剧增加，组织必须支付更多的费用来确保其基础设施的安全。领先的网络安全公司 McAfee 报告称，2017 年网络犯罪的成本达到了 6000 亿美元。单次攻击的估计成本为 500 万美元，同年因停机和生产力损失而损失了 275 万美元。2016 年，保护组织的成本估计为 810 亿美元。随着网络安全解决方案成本的增加，保护组织的总成本也在上升。因此，全球经济正在因网络犯罪而损失大量资金。这些资金本可以用于更具生产力的用途，但它们要么落入网络犯罪分子之手，要么被用于网络安全解决方案的支出。

因此，从心理学角度看待黑客是至关重要的，这样才能理解是什么驱使他们，并思考可以采取什么措施来阻止他们。本章将探讨黑客的分类、特征及其思维方式。最终，我们将揭示黑客的驱动力，以下主题将会在本章中讨论：

• 黑客的分类

• 黑客的特征

• 黑客的思维方式

• 可以学到什么

黑客的分类

要想深入理解为什么网络犯罪案件如此之多，以及为什么它们可能会持续增加，理解犯罪者的心理至关重要。网络犯罪分子具备技术能力，能够渗透系统和网络，窃取数据、资金，或破坏系统的完整性。以下是主要的黑客分类：

• 黑帽黑客：这些是恶意黑客，他们有目的地渗透系统和网络，进行财务或个人利益的犯罪行为。

• 白帽黑客：他们是义务黑客，试图发现漏洞，以防止黑帽黑客利用这些漏洞攻击系统，从而采取相应的防护措施。

• 灰帽黑客：他们是曾经是黑帽黑客但已经改过自新，转行成为安全顾问的黑客。

• 黑客行动主义者：这些是一些合作的黑客团体，通常进行黑客攻击，以表达政治立场，推动社会变革，比如争取言论自由。

• 网络恐怖分子：这些是使用黑客技能，进行针对生命损失、破坏关键基础设施、造成重大身体伤害以及散播恐吓手段以威胁群体的黑客。

可以假设，灰帽和白帽黑客不会使用他们的技能来实施网络攻击；如果他们真的这么做了，攻击的目的是帮助受害者了解漏洞并采取措施来缓解这些漏洞。黑帽黑客会针对个人和组织，如果他们认为可以从中获得经济利益的话。黑客活动分子（黑客激进分子）则可能会攻击政府机构或具有重大社会影响的企业，以传达某种信息。网络恐怖分子则会攻击关键基础设施，如核能设施。

黑客的特征

要理解驱使黑客进行几乎不可能完成的犯罪的心理，了解他们的特征至关重要。大多数黑客的特征相似；然而，这不应成为自满的原因。组织必须致力于探索新的使用场景，并找出是否存在更多的潜在风险。大多数网络犯罪分子共同的特征将在接下来的部分中列出。

他们很有耐心

黑客攻击是一个过程，而不仅仅是一次性的行为。已知黑客会花时间先研究他们的目标。他们会观察目标系统的运行方式、安全性、使用者以及活跃时间。一旦完成侦查，他们会扫描系统，识别其技术规格，并查找可能存在的漏洞。只有在确认存在漏洞后，黑客才会尝试突破系统，盗取数据和金钱，或对其进行破坏。这些阶段可以在其他目标上复制，比如网络或用户。显然，每个阶段都需要时间，这也是为什么黑客必须保持耐心。如果在不了解现有安全系统的情况下进行攻击，攻击可能会失败，且组织可能会进一步加强系统安全。此外，黑客在学习如何入侵时也表现出耐心。资深黑客通常会研究编程语言，以便能够阅读代码或反向工程程序，找出漏洞所在。要成为能够分析不同语言编写的代码的专家，必须花费大量时间学习编程。黑客将时间投入在这方面，以为他们的网络犯罪活动做准备。

他们很坚定

目前，网络犯罪是一场追赶游戏，网络犯罪分子似乎总是占据上风。由于网络安全工具的复杂性，许多旧有的黑客技术和工具今天已不再有效。几年前可以通过 SQL 注入等漏洞利用的系统，现已被修复并完全安全。然而，黑客攻击依然在上升，这意味着黑客们不断创造新的技术和工具，而网络安全公司并未意识到这些变化。他们还在积极寻找新的漏洞加以利用。这充分证明了黑客的决心。黑客们也开始攻击那些预计拥有最先进安全防护的大公司。然而，正如过去的事件所表明的，这还不足以阻止黑客。举例来说，Facebook 在 2018 年被黑客入侵，50 万用户的个人数据被盗。对于很多人来说，Facebook 拥有如此多的安全特性，尝试攻击它似乎是浪费时间。但黑客们已经证明了他们的决心，目标无论多么庞大，他们都会付诸行动。

他们冷血无情

黑客从事犯罪活动，完全不关心受害者。例如，2016 年的 WannaCry 勒索病毒攻击导致医院内许多病人死亡，因为支撑关键流程和服务的计算机被加密。对于黑客而言，这根本不是问题，尽管 WannaCry 有一个杀毒开关，但他们决定让勒索病毒继续加密更多的计算机，哪怕这些计算机是用于生命维持的设备。另一群黑客则通过语音钓鱼攻击老年人，拨打电话进行诈骗，其中包括：

• 假冒孙子孙女急需用钱

• 假冒执法人员，告诉老年人他们因犯罪被通缉，然后威胁如果不支付罚款就逮捕他们

• 假冒银行要求提供如 ATM 密码等凭证

• 假冒美国国税局要求支付款项

在所有这些事件中，老年人被迫配合并将钱汇给黑客。黑客通过电话去窃取脆弱且年迈的人的财物，展现了他们的冷酷无情。黑客往往在得到他们想要的东西之前，对目标毫不手软。

他们是冒险者

打击网络犯罪的力度不断加大，黑客一旦被抓住，面临的将是多年监禁。然而，黑客攻击依然在进行。一些网络犯罪分子以化名为人所知，并且经常在他们进行的黑客攻击后留下自己的签名。一个很好的例子是黑客 Higinio Ochoa，他在 2012 年被联邦调查局（FBI）逮捕，因为他在黑客攻击后留下了一条笨拙的消息。像每次攻击后一样，Ochoa 通过一条消息将其签名贴在女朋友的腹部，并将其上传到 Twitter 上。然而，Ochoa 忘记从图像中删除元信息，FBI 利用这些信息追踪并逮捕了他。Ochoa 曾盗取 FBI 的数据，但仍然胆敢挑衅这个以追踪所有类型犯罪并且成功率极高的机构。这一事件显示了黑客的冒险精神。他们不怕违法，甚至会向执法人员表明自己就是犯罪的元凶。

网络犯罪中日益增长的趋势是社会工程学，在这种方式下，用户被诱骗提供敏感信息，甚至将钱转给黑客。随着组织增加网络安全预算以购买更有效的工具和安全服务，直接攻击系统和网络的渠道在减少。然而，黑客正在利用其他途径进入高度安全的组织，他们通过社会工程学手段进行攻击。已有多起黑客事件报道，黑客仅仅通过胁迫用户向他们汇款或提供密码。一种越来越常见的技术是商业电子邮件欺骗，黑客伪造高层员工的电子邮件，指示初级员工将钱或密码发送到指定的账户或电子邮件地址。胁迫手段之所以如此有效，是因为黑客正在利用组织内部通讯渠道的漏洞。高层员工指挥初级员工并打破协议已经变得司空见惯。因此，当初级员工收到伪造的电子邮件，要求将钱汇到海外账户时，他们会屈服，因为这正是高层员工平时的做法。黑客在胁迫技巧上也达到了极致，以至于目标很难说“不”。黑客会在发送消息之前完善他们将告诉目标的故事。如果是电话，他们会根据目标的反应知道该说什么。有些社会工程师甚至会在目标面前亲自现身，以此来赢得他们的信任。因此，胁迫仅仅是黑客所掌握的众多重要技巧之一。他们非常具有胁迫性。

他们非常小心

网络犯罪分子的痕迹几乎从不被追踪到。他们也几乎从不被逮捕或定罪。网络犯罪网络很少被摧毁。所有这些都因为网络犯罪分子在进行恶意活动时非常谨慎。从攻击的规划阶段开始，网络犯罪分子就会开始采取谨慎措施，使用使得消息难以追踪的通讯工具和技术。加密、自毁邮件、伪造邮件和暗网通讯工具是常用的手段。在攻击过程中，黑客还会掩盖他们的痕迹。他们会使用通过其他 VPN 和代理路由的 VPN 的 IP 地址。数据流动的方式使得追踪黑客的来源和被窃取的数据流向变得非常困难。此外，黑客会有条不紊地操作，每个人都知道该做什么和什么时候做。从目标直接窃取的资金不会直接存入黑客的银行账户，因为这会让他们容易被追踪。相反，他们会使用在海外银行开设的幽灵账户，这些银行的限制较少。或者，通过洗钱计划，将从网络犯罪中获得的资金洗净，直到无法追溯到犯罪事件。随着隐私控制和匿名交易功能的加密货币的出现，黑客通过将资金转化为加密货币并随后提取，或利用加密货币购买资产并随后变现，使得洗钱变得更加容易。

FBI 成功抓捕了一些网络犯罪分子，但仅仅是那些在不幸情况下被抓到的小部分。例如，FBI 据说曾在这些网站上列出自己伪造的恶意软件，只为了逮捕那些购买恶意软件的人。对此，市场中的买家和卖家在交易时变得更加谨慎。即使黑客被捕，执法机构很难逮捕另一个黑客，因为他们并不使用真实姓名，而且如果他们怀疑有人泄密，就会迅速切断通讯。目前，网络犯罪作为一个地下经济体正在蓬勃发展，经济体中的参与者已经采取了适当的措施来保护其存在。因此，网络犯罪分子将继续以极高的谨慎行事，以保护自己和他人。由于黑客采取了高度的保密措施，黑客网络很难被打破。例如，已知有一些暗网网站可以购买高效的恶意软件。然而，并不是所有人都能购买。大多数这些市场采用邀请制，即使是这样，市场中的黑客也不敢透露任何可能被用来捣毁他们的信息。

他们是偏离常规的

网络犯罪分子参与反社会行为，这些行为违法并导致他人痛苦。例如，通过获取老年人银行账户的凭证，盗取他们所有的退休储蓄，并将所有款项取出。没有任何社会会期望自己的成员做出这种行为。网络犯罪分子还藐视法律。他们会参与欺诈、盗窃、资源破坏和身份盗窃等犯罪。无论如何，网络犯罪分子都不是典型人群。他们已经麻木，毫不留情地偷窃，毫无惧怕地破坏规则。因此，黑客往往会偏离常规，尽管知道这样做是错误的，他们仍然会准备进行恶意行为。

黑客的社交特征

在了解了黑客的心理结构后，接下来可以看看他们的特征。这些特征有助于解释是什么影响了他们的犯罪心理，使他们以这样的方式行事。黑客的社交特征如下：

缺乏社交技能

黑客通常比较孤僻和内向。他们的社交生活几乎完全围绕着黑客活动，这也解释了他们为什么无足轻重且容易冒险。如果黑客有一个稳定的家庭和几个需要抚养的依赖人，他们就不太可能参与网络犯罪，因为他们会害怕被捕后让家人失去养家糊口的人。缺乏社交技能也带来了另一个问题，黑客在攻击时没有灵魂，因此更加无情。他们不会考虑攻击目标的另一面，比如那些依赖于他们试图攻击的组织的人。他们会毫无感情地做出这些事情。

他们有自卑情结

在许多类型的犯罪中，一些肇事者是具有自卑情结的人，因此通过伤害他人或损坏资产来补偿这一情况。自卑情结是指个体缺乏自尊心，怀疑自己的能力，并觉得自己不符合某些标准。这样的人会感到软弱，因此为了补偿这一点，他们会试图做些事情来证明自己是强大的。一些黑客具有这些社会特征，这使得他们非常危险。如果黑客觉得世界把他或她视为软弱者，他就会准备通过黑客攻击来证明自己并不是。有时这种感觉会影响到组织中的员工，最终他们会成为内部威胁。例如，一个经常受到老板持续压力和高度批评的员工，因为从不交付或者表现不好，可能会被逼到极限，并决定反击，以证明自己是强大的。有自卑情结的黑客倾向于进行可能造成严重损害的网络攻击，因为他们试图向他人展示自己的力量。这些黑客也不担心他们行动的后果，因为他们的主要目标是向那些曾经对他们不敬或看不起他们能力的人传达一个信息。

他们是激进的

这主要适用于网络恐怖分子和网络活动人士。网络活动人士是激进的，会竭尽所能地改革他们不喜欢的事物。例如，网络活动人士可能会反对因存在限制言论自由的法律而逮捕有影响力的记者。他们可能会准备通过对政府机构和高级政府官员发动一系列攻击来迫使这些法律废除。网络恐怖分子借鉴于他们所属恐怖组织的理念，大多数理念都来自激进的观点。例如，来自基地组织等组织的网络恐怖分子可能反对西方人干涉地方战争，并最终破坏西方国家的基础设施，以宣扬他们不受欢迎且必须离开的信息。其他网络犯罪分子将根据自己的激进观点采取行动。激进主义帮助网络犯罪分子逃避他们所做事情的负面影响的内疚感。例如，如果网络恐怖主义导致核能发电厂的破坏，进而导致这种工厂的工人死亡，肇事者将被他们的激进信仰所保护，从而逃避杀害无辜人员的内疚感。

他们是叛逆的

犯罪本身就是对法律和社会伦理的反叛。因此，网络犯罪是这种反叛的延伸，只不过犯罪是通过计算机网络或计算设备进行的。网络犯罪分子大胆地挑战法律，并且在这样做时往往形成团体。他们可能会组成有组织的黑客团体或网络犯罪支持结构。这些团体或结构将志同道合的人聚集在一起，并且可能非常有效，因为所有成员都已经不顾法律、道德和伦理。他们还拥有可以用来对抗他们所反抗的个人、机构或组织的工具、技术和技能。反叛有多种原因，但在技术高超的人转向黑客行为和网络犯罪的情况下，主要原因是经济需求。在某种程度上，社会存在不平衡，财富集中在少数人手中。一些人通过反叛，希望他们的行为能够促使财富重新分配，打破少数人掌握财富的局面。在其他情况下，人们出于贫困和压迫而转向网络犯罪，作为一种反叛。有些国家的公民生活在压迫政府之下，反抗这些政府的唯一方式就是反叛。人们可能会选择加入已经反叛的人群，贡献力量反对压迫，通过黑客攻击压迫政府中的人物，并摧毁一些对政府有利的重要基础设施。例如，黑客可能会进行黑客活动，导致该国的经济破坏，从而迫使压迫政府下台。因此，有时候黑客是由极端环境所造就的，这些环境迫使他们反叛，希望能够有所改变。然而，他们希望看到的改变的实现方式，最终模糊了他们想要实现的好与为了实现这一目标不得不做的坏之间的界限。

他们缺乏社交支持

有人指出，网络犯罪分子缺乏社交技巧。因此，他们无法与能为他们提供社交支持的人建立联系。黑客往往倾向于孤僻，独自行动。当他们经历困难时，没有人可以求助。相反，他们会选择将愤怒或沮丧发泄到他人身上，通过黑客攻击来报复。在这种低谷时期，黑客对他们的目标缺乏任何悔意。如果他们抢夺老年人辛辛苦苦储存的所有积蓄，他们也不会感到任何愧疚。如果黑客破坏价值数十亿美元的基础设施，他们依旧毫无触动。因此，社交支持的缺乏，有时是极端网络犯罪案件的根源，很多人因此遭受攻击，甚至丧命，或者最脆弱的人群遭受攻击。

值得注意的是，所讨论的社交特征在黑客之间可能会有所不同。例如，某些人可能有社交生活，但由于受到压迫，他们可能决定加入黑客主义团体，以支持反抗压迫者的起义。在了解了影响黑客决策并塑造他们思维的社交倾向后，我们现在可以探讨他们是如何思考的。

黑客是如何思考的（动机）

现在我们已经了解了黑客的特征和社交技巧，让我们来谈谈眼下的重点——黑客的心理，或者更准确地说，黑客是如何思考的。以下是一些黑客的思维，这些思维促使普通人走向网络犯罪的道路：

赚钱（经济利益）

随着组织对单次网络犯罪攻击的成本越来越关注，网络犯罪分子正处于职业生涯的高峰期，他们赚的钱比以往任何时候都要多。黑客显然是有利可图的，黑客事件也证明了这一点。商业内幕杂志在 2015 年声称，黑客的平均月收入为 80,000 美元。黑客像做生意一样，有供应商和客户与卖方互动，而卖方在这种情况下就是黑客。黑客不必直接参与黑客攻击就能赚钱，因为在这个行业中有很多其他方式可以获得可持续的收入。首先，他们可以制作并销售漏洞给其他黑客。有些漏洞工具包是出租的，其他黑客可以在约定的时间段内使用。某些黑客拥有僵尸网络。僵尸网络是由许多被恶意软件感染的计算机组成的网络，这些计算机可以被用来强制参与攻击。僵尸网络用于 DDoS 攻击，通过发送超过目标所能承受的流量，使目标无法处理所有合法请求。随着物联网（IoT）的到来，许多连接到互联网的小型设备发现缺乏基本的安全功能，因此它们不断被恶意软件感染，变成了僵尸网络，其中一些被用来攻击知名目标。拥有这种恶意软件的黑客会接到其他黑客的租用请求，租期到期后工具会收费。

最后，黑客还通过网络攻击赚钱。网络攻击的种类繁多，每种攻击为黑客带来的收益方式也各不相同。勒索病毒攻击通过受害者支付解密费用为黑客带来收益。钓鱼攻击为了从用户那里获取凭证，只有在黑客窃取了数据或资金后，才会为黑客带来收益。个人数据正被特别针对，因为它在地下网络犯罪市场上能带来更多的收益。曾有公开的帖子列出了被盗的个人数据。一位黑客发布了以下内容：

• 莫泽里州一家医疗组织的 48,000 条记录，售价 10 万美元

• 美国中西部的一家医疗组织的 210,000 条记录，售价为$200,000。

• 佐治亚州一家医院的 397,000 条记录，售价为$400,000。

媒体机构随后与黑客跟进，黑客并未透露医疗组织的名称，但声称他们已被提供购买窃取数据的机会，而不是让其泄露出去，但他们拒绝了这个机会。黑客称已经有一条记录被购买。据称，这些记录包含曾访问过医院的患者的姓名、社会安全号码、出生日期、实际地址和保险信息。

因此，销售窃取的数据是另一种获取收入的方式。根据黑客的说法，勒索被入侵公司以购买回被窃取的记录似乎也是另一种收入来源。

另一种黑客赚钱的方法是向其他黑客提供混淆服务。恶意软件作者可以编写高效的恶意软件，但可能会被杀毒软件扫描器检测到。有专业的恶意软件作者熟悉杀毒软件程序，因此被雇佣来混淆这些程序，以免被检测到。这些专家按照每位寻求服务的恶意软件作者支付一定金额。最后，黑客向其他黑客提供他们的黑客服务，并从黑客攻击的收益中获取佣金。

贪婪

网络犯罪提供快速的回报，因为黑客可以从一次攻击中赚取数百万美元。在几天内赚取数百万的诱惑吸引了更多人，包括高智商的专业人士，投身网络犯罪。这与今天的黑客无需知道如何编码有关，因为他们可以租用黑客工具。正如之前提到的，有专家黑客租赁利用套件。还有其他人租赁僵尸网络用于发动分布式拒绝服务（DDoS）攻击。因此，新手黑客认为由于现成的工具，今天开始起步会很容易。现有的黑客已经在赚钱，并且出于贪婪不愿停止。由于贪婪，黑客将继续开发新的黑客工具以维持他们的收入来源。贪婪也激励他们继续寻找系统中可以利用的漏洞。黑客知道，对他人未知的新漏洞可能很快转化为数百万美元，因此他们准备在多个组织使用的系统中进行扫描，以找到有漏洞的系统。贪婪也是网络钓鱼的动机，黑客会制作权威公司的克隆，编写与权威公司完全相同的网络钓鱼邮件，或使用公司高管的假电子邮件地址用于黑客攻击。黑客贪婪于金钱，愿意采取一切手段创建成功的网络攻击工具或技术。

政治权力

有一些基于政治信仰的网络犯罪，一些黑客希望反对或推动这些信仰。多个国家曾有报道称存在由国家支持的黑客组织。这些国家为黑客组织提供执行攻击所需的一切资源。这些攻击旨在传递一个信息，即某一国在网络空间中的优越性。例如，针对美国的黑客事件就多次被归咎于某些亚洲国家的国家支持的黑客组织。美国的许多公司都成为了这些攻击者的受害者。据说，某个国家特别针对这些公司进行黑客攻击，目的是窃取它们的机密资料。这样，这些公司生产的产品就能被轻易复制，如果它们用于通信目的，黑客也会知道如何破解这些产品。那些出于政治动机发起网络攻击的黑客对目标来说可能是巨大的威胁，因为这些黑客获得了来自高层政治人物的支持。在国家支持的黑客组织中，攻击者通常被训练成像军队一样的行为模式，并且会接受高层指挥的攻击命令。这类黑客的动机并不主要是贪婪或金钱，而是出于对自己国家的虚幻的爱国主义情感。

除了国家支持的黑客组织，还有黑客激进分子（hacktivists），他们是一些希望推动某种社会或政治变革的黑客。黑客激进分子通常会攻击政府或特定的组织。当黑客激进分子反对政府时，他们的行动确实具有政治性质，黑客们会努力让他们的声音被听到。

宗教极端主义

然而，有人声称这些文本背后并不是 ISIS，而是另一个国家。然而，这并不能否认一个外部实体已经获得了美国军官家庭成员的联系方式，并继续向他们发送威胁性消息的事实。宗教极端主义是网络攻击的一个动机，恐怖组织一直在激化加入这些组织的人员，利用各种手段攻击特定的人或国家。宗教极端组织因其技术进步和在网络空间中的存在而成为新闻焦点。诸如 ISIS 之类的组织通过互联网宣传其理念并招募新成员。这些恐怖组织的领导人在暗网上进行秘密通信。最后，恐怖组织一直在转向网络攻击。尽管恐怖组织中的步兵进行身体上的攻击以推广他们对自己宗教激进解释的理解，但现在恐怖分子已经有其他团队进行网络攻击。这可能源于一些组织（例如 ISIS）向所有人开放大门，称任何人都有机会支持该组织的理想。2017 年，支持 ISIS 的黑客黑进了 800 个学校网站。当访问者尝试加载这些页面时，他们将被重定向到包含 ISIS 宣传内容的视频。调查显示，这些学校网站是由一个名为 SchoolDesk 的公司开发的，该公司可能遭到了攻击，并推送更新到学校网站的代码，以将用户重定向到 ISIS 宣传视频。2018 年 5 月，据称的 ISIS 黑客开始向美国军事人员的妻子发送威胁他们生命及其孩子生命的短信。

好奇心

有些聪明人偶尔想试试看某些代码到底能做什么。尽管这不是他们的动机，他们最终无意中侵入了组织。例如，计算机科学学生可能会被教授 SQL 注入的知识。一个好奇的学生可能想尝试一下他们学到的东西。尽管许多当前的网站已经考虑到安全因素以防止这类攻击，但是没有维护的旧网站可能就没有那么受保护。因此，学生可以尝试黑进一个旧网站，并最终利用 SQL 注入语句来破坏它。这些黑客可能是无辜的，但他们仍然可能造成损害。更危险的是，好奇心可能导致一个人在发现可以侵入安全较差的基于 Web 的系统后成为网络犯罪分子。

从黑客心理学中可以学到什么？

从上述讨论来看，黑客行为可以从心理学角度更好地理解。文中所展示的黑客特征表明，保持健康的社交生活有助于减少网络犯罪。那些缺乏社交生活或喜欢过孤立生活的人，可以进行定期检查，以确保他们不会陷入网络犯罪。有人说，黑客既有耐心又有决心。这两个特征对组织的网络安全策略有着深远的影响。由于黑客不会轻易放弃，他们也会花时间在组织中寻找漏洞，因此，组织采用网络韧性而非网络防御是明智之举。与网络防御不同，网络韧性确保组织能有效抵御攻击者的侵害，并且即使发生攻击，业务流程也不会受到不利影响。还讨论到黑客具有强迫性，这意味着员工容易成为攻击目标。因此，组织必须投资于培训项目，教员工如何保护自己免受黑客侵害。同时，组织必须制定清晰的流程，规范凭证的共享方式，以及资金转移的授权方式。黑客在攻击时往往非常小心，这也影响了组织应该如何监控其系统和网络。网络中任何异常活动的小细节都不应忽视，因为黑客可能正在行动。此外，组织还应投资入侵防御系统，以防止一些可能被攻击者用来进行扫描等活动。根据攻击者的思维方式，可以得出结论，他们的主要动机是金钱，因此所有可以被窃取并转化为金钱的资源应该得到高度保护。存储个人数据的组织应采取额外的安全措施，例如加密其数据库。此外，由于一些黑客事件具有政治动机，其他国家的政府必须主动跟踪攻击者，并寻求外交解决办法。

总结

本章重点讨论了黑客的驱动力，并探讨了他们的心理构成和思维模式。在心理构成部分，我们分析了定义大多数黑客的特征。这些特征包括耐心、决心、麻木、冒险精神、胁迫、小心谨慎、蔑视、缺乏社交技巧、激进主义和叛逆等。大多数这些特征有助于描述攻击者的特征，并可用于为组织应对黑客事件做好准备。耐心和决心表明黑客愿意为达成目的付出多大的努力。麻木性排除了将宽恕作为应对黑客事件的对策。冒险精神表明黑客不惧怕法律追捕，因为他们几乎总能逃脱。胁迫和小心谨慎表明黑客在攻击时的精心策划，能够在目标察觉到之前，充分掌握攻击的主动权。这些特征也表明，黑客攻击后恢复已被窃取的内容可能非常困难，因此应更加关注如何从一开始就保护组织免受攻击。激进主义和叛逆也有助于理解黑客作为缺乏悔意且内心驱动进行攻击的人。接下来，本章探讨了黑客的思维方式，并指出他们的动机包括财务收益、贪婪、政治、宗教极端主义和好奇心。最后，本章讨论了从黑客心理学中可以获得的启示。

展望未来，我们将在下一章讨论安全的三大支柱。这将帮助你了解如何提升组织的安全基础设施，从而避免数据泄露事件的发生。

深入阅读

以下是可以用来深入了解本章内容的资源：

• blog.wallix.com/the-psychology-of-the-cyber-criminal

• www.ripublication.com/irph/ijict_spl/ijictv4n3spl_06.pdf

• blog.avast.com/psychology-of-cybercrime

• pdfs.semanticscholar.org/3302/e173939ae434ad30f91d4c60d69f5e4a05e3.pdf

• www.donau-uni.ac.at/de/department/gpa/informatik/DanubeUniversityHackersStudy.pdf

• www.sans.org/reading-room/whitepapers/incident/paper/36077

第六章：理解反应性、主动性和操作性安全

随着网络攻击次数的增加以及受害者报告的巨大损失，网络安全正变得越来越重要。然而，在许多组织中，网络安全的实施往往是因应威胁或攻击而采取的措施。组织可以根据财务能力和面临的威胁程度选择采取反应性、主动性和操作性网络防御，或是这三者的组合。本章将介绍这三种网络安全实施方式，帮助你选择最适合公司的一种。

在本章中，我们将涵盖以下主题：

• 主动网络防御

• 反应性网络安全

• 操作性安全

• 安全三大支柱的重要性

主动网络防御

主动网络防御侧重于预见攻击，并在攻击发起时主动保护目标（计算机、系统和网络）。其目的是通过攻击向量的威胁干扰攻击或攻击准备工作，从而使攻击向量的效果减弱，甚至轻松击退攻击。主动网络防御可以说是网络安全实施的最佳方式，尽管许多组织并未给予足够关注。这种方式预见到即将到来的攻击，并准备好一系列防御系统和策略来干扰这些攻击或使其无效。因此，公司资产很少面临风险，因为威胁没有接触到它们。尽管如此，许多组织仍然选择保持反应性或采用操作性网络安全，原因有很多，接下来我们将详细说明。

中小型企业

中小型企业（SMEs）在财务方面通常资源有限，因此不容易采纳主动安全防护，因为其维护成本较高。可以理解的是，它们不希望分配资源以至于影响到其他业务的运作。

中小型企业也倾向于为了业务运作而推迟某些网络安全措施的实施。由于主动网络安全防护涉及的内容较为复杂，且常常需要立即采取行动以防止可能的攻击，因此中小型企业可能会觉得它麻烦且不方便。它们希望网络安全策略能够适应自己的时间表，而不是反过来。

中小型企业也以寻求专业网络安全帮助较慢而著称。如果它们能找到评价较好的现成安全系统，通常会优先采用这些系统。然而，在不断变化的网络安全形势中，像 Facebook 这样的科技巨头也成为了受害者，仅仅部署安全系统而不理解威胁形势及其需要覆盖的范围已经不再安全。

最后，中小企业长期以来对网络攻击采取反应性措施，因此会回避主动安全策略。只有在他们成为攻击的受害者之后，他们才会加强自己的安全防范。

大型组织

大型公司通常认为自己太大，无法通过主动安全策略有效管理。由于主动安全覆盖整个组织，因此有许多领域是无法涵盖的。例如，在某些攻击发生之前，所有员工可能并未接受相应的培训。

此外，大型公司通常会关注自己的声誉。主动安全增加了额外的监视手段，可能最终揭示组织面临的威胁。此外，一些措施，例如要求所有员工参加某种培训的紧急通知，可能会以负面形式呈现，表明公司正受到攻击。

令人担忧的攻击趋势

赛门铁克（Symantec），一家领先的网络安全产品公司，发布了一份报告，介绍了对目标效果最为显著的先进网络攻击技术。具体如下：

• 在被攻击的计算机上部署合法软件：为了避免被杀毒程序发现并依然能够监控被攻击的计算机，网络攻击者会安装看似合法的软件。在攻击所造成的恶意软件被移除后，杀毒工具通常不会删除这些合法软件，从而让攻击者继续掌控该计算机。

• 利用公司资源转移被盗资产：为了在攻击后继续存在，网络犯罪分子会利用公司资源在不引起怀疑的情况下转移任何被盗的知识产权。因此，他们不会直接将信息资产上传到自己的服务器，而是通过伪造的通信将数据发送到他们控制的被入侵的电子邮件。

• 在受害者的网络或服务器中构建更多攻击工具：一些网络攻击者不使用预包装的攻击工具，而是在受害者的网络中自行组装攻击工具。对于那些具有防火墙的组织，这种方法特别有效，因为防火墙能够阻止恶意软件工具进入组织网络。

• 使用公司账户进行定向钓鱼攻击员工：另一个被发现的战术是，黑客使用被入侵的公司电子邮件来攻击其他员工。这比伪造的电子邮件攻击成功率更高。

这些战术只是众多无法轻易被反应性或运营性安全措施阻止的攻击方式中的一部分。这些攻击是专门设计来打破这两种传统安全策略的。主动安全能够识别这些以及许多其他杰出的攻击，并致力于使它们对组织无效或降低其效果。以下是主动安全重点关注的几个关键领域：

• 资产管理：在这种安全方法中，必须了解组织中的所有设备。因此，应有一份更新的设备登记册，列出所有连接到网络的设备，并提供足够的细节，以确定它们的用户或功能。

• 软件清单：为了防止恶意或不需要的程序被安装，主动安全措施包括对用户可以在其计算机和移动设备上运行的软件进行清单管理，以及对服务器中的软件进行清单管理。

• 硬件和软件配置：设备和软件的配置应经过验证，并根据需要更新，以确保不会使公司面临威胁。

• 漏洞评估：应了解组织面临的威胁。此外，还需要确定这些威胁的风险和影响。

• 恶意软件安全：应有能够提供病毒防护的工具，以保护组织免受恶意软件的侵害。

• 员工培训：由于攻击者通过网络钓鱼和社交工程攻击员工，主动防御包括培训员工识别常见的网络钓鱼或社交工程攻击，以及如何防御网络攻击。

实施主动安全

如你所见，尽管主动安全是一个有效的方法，但对于许多组织来说，它可能不是首选。然而，随着网络攻击动态的变化，主动安全或许将在未来几年成为首选方法。在本节中，我们将深入探讨实施主动安全的各个方面。以下是制定主动安全策略时需要考虑的一些因素。

漏洞评估

这包括扫描组织的网络、设备和系统，发现其漏洞。这些扫描最好同时在组织的外部和内部网络中进行，以便提供全面的报告。然后必须采取措施解决已识别的威胁，防止可能的利用。

渗透测试

这包括授权对公司内部和外部 IT 基础设施进行渗透测试，进一步识别黑客可能利用的漏洞来攻击公司。渗透测试采取实际攻击的形式，因此可以视为黑客尝试突破组织的方式，从而可以识别如何防止他们成功。渗透测试通常包括以下内容：

• 网络侦察：检测指定范围内的所有计算机，确定这些计算机的操作系统和服务。此外，还需要获取 DNS 记录，进一步识别网络上运行的系统。

• 枚举：下一步是确定每台计算机的操作系统和服务版本。服务也可以进行探测，以帮助确定其配置。

• 利用：识别网络上运行的服务中的任何缺陷和漏洞。随后，使用利用工具和技术攻击这些服务。例如，防火墙可能正在运行一个无法处理超过某个限制的流量的服务。因此，可能会使用一个僵尸网络通过超出其限制的流量淹没防火墙。

• 验证：在成功利用漏洞后，漏洞会被验证并优先考虑减轻措施。

社会工程学评估

这旨在确保员工准备好应对社会工程学攻击，不会屈服于网络犯罪分子使用的把戏和伎俩。

Web 应用程序安全评估

这个评估侧重于应用程序中通常被黑客利用的漏洞。组织必须测试网络应用程序的威胁以及成功入侵后的影响。在发现威胁后，应修补应用程序或将其下线，以防止黑客将其作为攻击面。此外，还应确定成功入侵的影响，帮助组织进一步增强其安全层。例如，成功突破登录界面后的影响可以通过仅暴露不太重要的数据来减轻。敏感数据可以通过加密等技术移到一个更高安全级别的层级中。

总结来说，主动安全包括所有可以防止攻击首先发生的技术。这种方法由那些预见到潜在负面情况且无法冒险损害声誉的公司采用。

反应性网络安全

可能并不总是能够预见即将到来的攻击。此外，对于一些公司来说，如果组织很少遭到攻击，保持如此多的威胁监控工具运行可能会很昂贵。反应性安全是一种方法，它不是预见网络安全事件，而是在这些事件发生后对过去或当前的威胁做出反应。因此，只有当一个组织被黑客攻击并遭到入侵时，反应性安全才会启动。采用这种方法时，受害组织会评估威胁及网络攻击所带来的影响。通过这些信息，安全措施会被安装，以防止未来类似的攻击。

反应式安全策略对许多商业高管来说具有财务和商业意义，这也是为什么许多组织仍然困于此策略的原因。高管们通常专注于减少开支和最大化利润。此外，商业需求、威胁以及许多其他因素在不断变化。因此，部署基于未来可能发生的威胁假设的主动安全措施变得相当昂贵。现实是，威胁会变化，商业也会发生变化。例如，依赖本地托管网站进行销售的企业可能会选择采用云应用。云端的安全由服务提供商提供，因此公司几乎无需关注安全问题。如果他们有一个主动安全策略，可能会感到困惑，因为为了预测和保护网站所购买的昂贵工具或服务将不再需要。采用反应式安全策略时，企业不会感到困扰，因为该策略能够适应这些变化。

为了实现资源的最小浪费，许多组织考虑采用这一安全策略。由于它通常是在网络安全事件发生后再进行处理，因此更为传统。业务处于主导地位，决定安全基础设施的部署。由于 IT 领导者通常难以计算网络安全投资的回报，这一策略为管理层提供了更清晰的支出图景。所需金额是根据组织所面临的攻击来确定的。该策略对管理层来说也较为简单易懂。它具有因果关系。发生网络安全事件就需要投入 IT 安全资金。这比主动策略更容易为商业高管理解，因为主动策略是在看不见的、可能永远不会发生的攻击上进行投资。

实施反应式安全策略

由于该策略是基于发生攻击后才会启动响应，因此必须有一个高效的监控系统。此外，由于攻击的发生可能导致服务中断，因此该策略还必须具备高效的备份和灾难恢复功能。为了防止类似攻击的再次发生，组织需要了解造成之前攻击的原因。因此，这一策略必须包括取证调查。以下是这些组件如何在组织中实施的过程。

监控

与其采用主动防御来防止攻击发生，组织通常会使用高效的监控工具，时刻关注计算机、系统和网络上的可疑活动。当检测到可疑行为或攻击时，系统会发出警报，以便采取适当的响应措施。例如，组织可能会在其网络上安装入侵检测系统，监控侦察扫描、非法流量、恶意软件以及其他类型的威胁。当系统检测到威胁时，可能会通知 IT 部门或集成的安全工具来应对这些威胁。

响应

响应的类型取决于威胁和攻击的程度。如果攻击仍在进行中，响应将专注于停止攻击。例如，如果大量非法流量正指向某个服务器，IT 部门可能会选择将该服务器下线或重新配置其 IP 地址，从而避免攻击到达。如果攻击已经入侵系统，IT 团队可能会更改访问凭据并终止所有会话，从而将攻击者驱逐出系统。对于已发生的攻击，响应将采取不同的方式。IT 团队必须防止重复攻击或恶意软件在受害者系统中的蔓延。因此，如果某个服务器成为目标，可能会将其从网络中断开并进行物理隔离。如果系统遭遇了暴力破解攻击且登录系统被破坏，登录模块可能会被暂时移除，以防止进一步的攻击。采取的响应措施会影响攻击的后果。然而，组织仍然需要确保其客户不受不良影响，因此会采取以下措施。

灾难恢复

被动安全策略在很大程度上依赖于组织在攻击后恢复的能力。因此，灾难恢复计划是该策略的关键组成部分。灾难恢复的优先级可能会根据组织和攻击类型的不同而有所不同。灾难恢复中有五个主要的关注点：计算机、硬件、网络、软件和数据。它们在这里进行了详细说明：

• 计算机指的是网络中的工作站和服务器。在发生攻击后，需要对其进行检查，以确定是否受到影响。企业防病毒系统可以用于发起同时扫描，帮助完成这项工作。硬件指的是组织中任何计算硬件，例如网络路由器、桌面、消防墙和计算机外设。网络安全事件仍然包括这些硬件的物理盗窃或破坏。因此，如果发生了物理攻击，就需要确定所有硬件是否仍然完好，并更换任何已被破坏或盗窃的敏感硬件。例如，如果路由器被盗或毁坏，应安装替换设备。类似地，如果承载敏感系统的服务器被破坏或盗窃，也应进行替换。

• 网络包括网络中的所有连接方式。例如，如果无线网络被攻破，最好更改其 SSID 或密码，从而迫使黑客退出。如果与服务提供商的连接遭到破坏，应启用备用服务提供商。这将确保组织不会一直处于离线状态。

• 软件包括操作系统和通常在组织中运行的应用程序。一些攻击者可能拥有可以攻击特定版本软件的工具。因此，当发生攻击时，组织应考虑更新到最新的操作系统版本。这些版本将包含补丁，防止类似的攻击再次发生。此外，一些黑客可能会错误配置某些软件。例如，他们可能重新配置路由器来破坏通信。因此，在这种情况下，软件需要配置为正确的设置。在攻击软件感染恶意软件的情况下，IT 团队可以卸载它并提供替代方案，以确保组织的正常运行。

• 数据可以说是最重要的数字资产，因此应在灾难恢复中优先考虑。如果关键任务数据被修改或盗窃，IT 团队应恢复最新的备份，以回滚所做的更改或使需要数据的用户能够访问。由于数据的脆弱性，IT 团队还必须确保在恢复之前，相关系统不含恶意软件或后门，防止攻击者通过这些手段获取未经授权的数据访问权限。

法医调查

反应性安全策略旨在确保攻击不会重复发生。因此，必须充分了解其原因，并识别任何促成攻击成功的因素。例如，系统泄露可能仅仅是因为系统管理员使用了默认密码。法医调查将揭示该攻击是突破了登录控制并且是由于使用了默认凭证而发生的。组织将获得完整的情况，并实施更好的安全控制措施，以防止同样的攻击再次发生。例如，在这种情况下，组织可能会选择实施双因素认证，并制定禁止系统管理员使用默认密码的安全政策。在法医调查结束时，组织应当了解它必须采取的所有缓解措施来保障自身安全。

在某些情况下，法医调查与追索工作相结合。例如，如果钱款被盗，法医工作可能包括追踪资金流向，找出钱款的去向。实际上曾有一些真实案例中，网络犯罪分子盗取了资金，而法医调查员则成功追踪并追回了被盗的款项。Ubiquity Networks 就是其中一个例子，40,000,000 美元通过社会工程学手段被盗取，而法医调查员成功追踪并追回了 8,000,000 美元。除了资金，法医调查还可以恢复数据。大部分被盗的数据最终会出现在暗网市场上。法医调查员可以在暗网市场上搜寻某些类型数据的新列表。然后，他们可以伪装成买家，从黑客手中将数据取回，避免数据被卖给其他人。

总结来说，组织实施主动安全并不总是经济上可行的。大多数组织由于其简便性并且对企业高管有吸引力，采用的是反应性网络安全策略。反应性方法仅在发现重大威胁或发生攻击时采取行动。该方法旨在阻止攻击并防止公司资产遭受过度损失。该策略涵盖计算机、硬件、软件、网络和数据。其四个关键步骤为：监控、响应、灾难恢复和法医调查。这些步骤协同工作，确保组织能够在网络攻击中以最小的业务影响生还，并识别并缓解安全攻击的原因，以防止未来的攻击。

操作安全概述

操作安全通常被视为操作风险与网络安全的汇聚点。它是主动安全和被动安全之间的中间地带。这种网络安全方法解决了组织通常面临的业务和安全需求的冲突。商业高管希望从上至下管理网络安全，以便它与其他业务流程保持一致。然而，他们缺乏将网络安全与业务流程连接起来的技术知识。例如，他们可能了解防火墙和防病毒程序的基础知识，但他们无法了解这些工具如何与他们的业务流程和员工相连接。对于高管来说，这只是一个拥有网络安全工具的问题。

然而，现实情况要复杂得多。网络安全不仅仅是拥有两三种安全工具，而是保护数据的机密性、完整性和可用性。商业高管显然缺乏所有必要的安全工具或措施的知识，以保护信息的 CIA 三要素。他们只知道一些自己熟悉的工具，并认为网络安全的投入仅仅围绕这些工具展开。

网络安全是复杂且高度技术性的，因为它必须涉及整个组织。它包括组织内部的人员、流程、设备和服务；所有的商业操作都是网络安全的一部分。

运维安全方法将组织的流程与网络安全结合在一起。因此，这种方法可以防范可能威胁企业的操作风险。组织每天面临许多操作性网络安全风险。例如，传统的 IT 风险，包括未经授权的数据访问、拒绝服务攻击和社会工程学攻击。此外，法律风险来自于围绕 IT 操作的法规，如数据的收集、存储和共享。第三，来自供应商和供应商的第三方风险。这些只是组织面临的众多操作风险中的一部分，必须加以处理，以防止数据丢失、诉讼和声誉风险。操作安全策略通过巧妙的实施计划涵盖所有这些风险，接下来我们将讨论这一点。

实施操作安全

操作安全分为三道防线：风险管理、网络安全管理和审计：

• 防御的第一道防线是风险管理。 在这一环节中，处理影响企业运营的各种风险。在这一层次，关键关注点是风险分析和管理。必须识别企业各个领域的不同风险。对于这些风险，每个风险的关键风险指标都必须确立。然后，必须确定每个风险发生的概率。接下来是评估每个风险发生的严重性。利用这些信息，可以将运营风险按优先级排序或在矩阵中列出，以确定解决它们的优先顺序。

• 防御的第二道防线是网络安全管理。 这包括所有涉及保护组织免受第一道防线所识别的运营风险的过程。第二道防线从安全政策开始。这些政策有助于减少将风险引入企业的可能性。接下来是关键风险指标的定义。这些定义帮助 IT 团队在风险事件发生时进行警报。定义关键风险指标后，接下来是网络安全标准。这些标准概述了执行不同网络安全策略，以减轻或防止已定义的风险发生。第二道防线以网络安全管理工具结束，这些工具用于查看组织的网络安全状况。

• 操作安全的最后一道防线是审计。 审计有两种类型：内部审计和外部审计。这道防线确保所有其他防线已正确实施。它还帮助识别安全策略中的薄弱环节。

三大安全支柱的意义

各组织有不同的需求、风险暴露和资源获取能力。然而，网络安全是一个跨领域的问题，任何组织都可能成为目标或受害者。本章讨论了组织可以在其内部部署的三种安全策略。虽然这些策略可以独立运作，但当它们交织在一起时，效果最佳。它们本质上是互补的，可以为组织提供来自多个方面的保护。

主动安全策略确保极少有攻击能够成功侵入组织。它专注于预测并中和威胁，强化攻击面，以便攻击者很难渗透进组织的网络或系统。反应性安全策略与主动安全相对。反应性安全仅在威胁发生时做出响应。因此，相比于网络安全，更多的时间和资源会投入到核心业务目标中。反应性安全确保无论何时发生攻击，组织都能够恢复，并识别根本原因，封堵漏洞以防止未来的攻击。此外，反应性安全还包括可能对被盗资产进行追踪和恢复。运营安全策略与人员和流程协作。它识别在业务运营过程中可能遇到的风险，并制定安全解决方案以防止这些风险带来不利影响。此外，它还确保组织定期进行审计，以发现安全策略中的任何弱点。

当这三种安全策略结合在一起时，它们就像支柱一样，形成强大的防御力抵御攻击。它们还提供多层次的安全防护，其中主动安全防御能够防止大多数攻击的发生，运营安全保障业务运作不受攻击干扰，而反应性安全确保企业足够有韧性以应对攻击并建立未来防御措施。考虑安全策略时，企业的需求、对网络安全威胁的暴露程度以及可用资源是重要的因素。根据这三项因素，每种策略的适用性在不同组织中会有所不同。

安全操作与持续监控

安全监控是网络安全中的一个重要过程。安全监控为任何组织提供了从企业网络、应用程序、终端设备和用户活动中检测和分析事件的能力。通常，安全操作与持续监控（SOC）包括三个要素：人员、流程和技术。

技术帮助驱动资产的监控，如网络、应用程序、终端设备、服务器、Web 应用程序，并通过自动关联和分析生成警报：

来自微软 SOC 的照片

人员组成部分在 SOC 中侧重于手动验证这些警报并进行分类。

流程组成部分主要负责分析警报/日志，识别威胁并向修复团队提供详细信息，或将其标记为假阳性：

SOC 还必须将其目标与组织的业务目标和愿景对齐。SOC 需要建立其监控策略以满足业务需求。通常，SOC 是一个全天候、七天运营的系统，这是有意设计的，目的是让 SOC 分析员、适当的流程和检测技术能够通过处理来自内部公司资源的数据，并将其与来自各种外部来源的已知威胁信息进行关联，缩短从检测到攻击发生之间的时间差。通过丰富且可操作的威胁情报、先进的分析能力、数据背景化处理和正确的技能，SOC 还可以主动采取措施来阻止和遏制攻击。SOC 始终依赖于情报，例如恶意软件数据、妥协指标、攻击信息以及安全供应商和应用程序供应商提供的威胁与漏洞报告。现代 SOC 需要拥抱安全自动化和机器学习，以达到最高的成熟度。除了 SIEM 的核心技术、威胁情报馈送和各种数据馈送外，SOC 还可以利用入侵检测工具、杀毒集成、DLP 馈送、工作流和报告工具等技术。SOC 可以通过三种不同的方式实现：自有 SOC 或自管理 SOC、共同管理 SOC 以及由第三方完全管理的 SOC。

自有 SOC（自管理 SOC）

自有 SOC 是由公司内部管理的安全监控，使用公司自身的专业人才或经过培训的资源。自有 SOC 在完全由组织控制的场所或设施中运行。在这种情况下，组织完全承担选择自己的 SIEM 工具、管理该工具和运行操作的责任，同时也负责培训分析员，确保其保持最新的技术和知识。

共同管理 SOC

当你无法拥有一个自主管理的 SOC 时，第二个选择是拥有一个共同管理的 SOC。在共同管理 SOC 模型的场景中，你将与另一个服务提供商合作，分担工作量、技术或运营负担。在这种模型中，你可以通过将部分责任交给 SOC 服务供应商来优化运营，例如你可以选择监控白班，并让供应商管理夜班，或者你可以让供应商拥有 SIEM 并由你方资源管理运营，或者你可以拥有 SIEM 并将运营外包给供应商。在共同管理 SOC 的方式下，你有机会通过对供应商应用服务水平协议来实现更高的灵活性，并在比完全拥有 SOC 所需的时间更短的时间内启动 SOC；你几乎可以直接进入成熟的 SOC 运营模式。另一个对你有利的因素是，如果你失去了自己的资源，或者在供应商管理的分析师的情况下，你永远不必担心失去人才，因为他们会保持人才池。如果你选择一个拥有训练有素且经验丰富的分析师池的服务供应商，这将自动有利于你的安全运营。另一方面，如果你选择共同管理 SIEM，你可以共同分担许可、维护和运营的费用。这在一定程度上减轻了你的业务负担，但并非完全解除，因为你可能仍然需要负责事件响应和分析，与供应商之间共享资源，管理你方的治理，负责你方业务的风险管理，监控与供应商的 SLA，以及监控供应商的服务质量，以确保检测和运营质量不受影响。以下图表展示了共同管理 SOC 的层次结构：

完全管理的 SOC

完全托管的 SOC 已成为业内几年来的热门话题。该运营模式使您能够将整个 SOC 过程外包或转交给第三方供应商，您可以全面访问其经过培训的资源、SIEM 和检测技术以及成熟的流程。您的 SOC 能够迅速从零提升到一百。组织通常会将所有遥测数据、可视化数据和日志发送到供应商管理的 SOC 数据中心，在那里，托管安全服务提供商（MSSP）将分析这些数据，找出安全事件/事件。与其他两种模型相比，MSSP 的好处更大，因为作为组织，您几乎可以立即获得一个成熟的 SOC。可以预期从 MSSP 获得基于结果的结果，提供高度准确的检测和响应，采用先进的检测和响应技术。MSSP 拥有一支经验丰富且技术娴熟的团队，负责监控、分析和调查。完全托管的 SOC 还带来了可扩展性和危机管理的好处，您无需担心是否需要因任何原因监控更多设备或应用程序，或是否发生重大事件，可能需要额外的资源来帮助应对这种情况。MSSP 通常与提供高度丰富且可操作的威胁数据的机构和供应商建立了合作关系，这些数据与您的业务相关，对高级检测能力至关重要。拥有完全托管的 SOC 的另一个好处是行业级别的可见性和威胁数据共享；如果另一个客户出现类似类型的攻击，攻击信息和威胁情报几乎可以立即作为建议提供给您，并在检测基础设施中使用。总体而言，MSSP 供应商将拥有访问大型数据中心的权限，您可以利用这些数据中心进行存储和保留。唯一您可能仍需拥有的部分是您的 SOC 管理和在发生攻击时的威胁修复。目前，MSSP 模式是最受欢迎的 SOC 模式。

要了解 Microsoft 如何操作 SOC，请查看 www.microsoft.com/security/blog/2019/02/21/lessons-learned-from-the-microsoft-soc-part-1-organization/。要了解 Google 如何操作 SOC，请访问 medium.com/google-cloud/google-cloud-platform-security-operations-center-soc-data-lake-4b31e011f622。要了解 FireEye 如何帮助构建 SOC，请访问 www.fireeye.com/services/mandiant-cyber-defense-center-development.html。

主动与被动安全

网络攻击的范围和复杂性今天正在不断上升。最近的所有攻击都成功绕过了现有的安全解决方案，无论是传统的还是先进的。这些攻击之所以成功，是因为它们能够隐藏在我们网络和基础设施的合法领域中。我们当前的安全解决方案是基于扫描已知问题、过滤或丢弃坏信息，甚至尝试监控身份和用户习惯来检测的，但这些方法无法有效阻止攻击。主要原因是这些解决方案仍然侧重于响应安全事件，处理发生的安全问题，并规划如何从中恢复。换句话说：一种反应式的安全响应。反应式响应虽然有效，但并不能在足够的层面上应对如今的高级攻击。我们需要将重点转向一种主动的安全响应。行业已经从反应式安全响应转向主动安全响应。这是安全框架和方法论的范式转变，涉及我们如何预测、分析和应对威胁。与反应式安全响应不同，主动方法提供了对攻击基础设施更全面、更深入的可见性。简单来说，主动方法从攻击者的视角审视攻击面，尝试预测攻击并采取适当的措施加以防范。

按照逻辑，反应式安全响应模型的思维方式是，“如果发生攻击，系统和安全分析人员会做出响应。” 它是通过已知的攻击参数和方法设置一个陷阱，等待监控和检测系统对此做出反应。在反应式方式中，重点始终放在形成强大的外围防御，阻止那些试图突破网络的攻击。这种安全方式是局部的，面向特定的业务单元及其活动；它没有利用其他企业或行业垂直领域中类似性质的攻击。反应式安全无法提供威胁格局的 360 度视角，但反应式安全操作的方式总是更简单、反应更快，且运营成本较低。通过从杀毒检测系统、漏洞扫描器和数据泄露防护（DLP）系统获取的数据流，反应式安全的监控可以进一步增强。此模型的缺点是，它总是在漏洞或妥协发生后才对安全检测做出反应。

在这里，主动的安全监控和响应方式占据了主导地位。这是一种以情报驱动的模型，系统通过来自多个内部和外部源的可操作情报数据进行丰富，并与现有的实时监控系统相配合。这种主动的方法能够洞察整个威胁领域及网络攻击链的所有阶段，而不仅仅是集中在攻击链的一个或部分阶段。主动安全的一个关键方面是威胁狩猎，它通过寻找网络行为中的异常或任何异常模式、系统中的已知恶意文件，或者可以从已知攻击中找到的注册表项，帮助分析师获得更多关于网络和系统的洞察。作为分析师，你还可以在网络中查找已知的妥协指标（IOCs），以发现任何妥协的迹象。威胁狩猎是一个持续的过程，始终会根据从威胁情报来源获得的新信息进行调整。威胁狩猎还可以通过自动化方式进行，通过观察网络行为、系统异常、某些事件的时间线分析，以及网络和系统一段时间内的基准数据来进行。

威胁情报系统及其重要性

每个组织都非常担心自己所持有的数据以及如何确保其安全。数据敏感性已达历史新高。在我们努力保护数据安全并积极检测任何威胁时，必须具备适当且有效的威胁情报。威胁情报可以通过获取关于各种系统、流程、网络、应用程序、外围防御机制及其他 IT 资产的特定威胁信息（情报）来实现。这些数据随后会被收集、分析和丰富，以提供积极的、可操作的威胁情报。威胁情报如此重要的原因之一是，因为当前一代的威胁极为复杂，且难以被检测到。我们必须获取非常具体的信息，并从任何威胁情报源中进行搜索，寻找可能的妥协迹象，并获得可操作的内容。为了走在先进威胁的前面，确保我们的分析和关联系统能够获取适当的威胁数据至关重要。

任何有效且成熟的威胁情报系统必须能够实时收集和分类威胁信息，以便为 SIEM（安全信息和事件管理）和事件响应系统提供可操作的威胁情报，帮助它们分析并关联收集的威胁信息与它们正在监控的安全警报和事件。这些来自威胁情报系统的威胁警报还将帮助 SOC（安全运营中心）专业人员创建自定义签名以进一步检测。威胁情报系统收集与事件、日志、安全漏洞以及近期和历史攻击数据相关的各种信息。这包括来自组织的安全设备和网络设备的检测数据，以及来自外部威胁源的情报。你还可以设置蜜罐系统来收集攻击信息并将其作为威胁数据使用。数据收集需要专注且有意义，适用于打算使用这些数据的组织，因为每个业务都有不同的需求和基础设施类型。威胁情报的收集和馈送需要适应每个业务。无关的情报数据将导致错误的假设，因此漏掉攻击或泄露的风险更大。为了使威胁情报有效，情报数据的收集必须以集中方式进行，因为系统从多个位置和设备收集威胁和漏洞信息，以便关联数据。你必须从内部和外部来源收集数据，因为它们结合起来将提供关于你所在行业或组织的威胁和攻击向量的更详细信息。同时，也要关注收集有关任何正在进行的全球性攻击及其攻击向量、相关的缓解指令和检测参数的信息，这些信息可以来自政府 CERT、NIST、ENISA 等机构，以及行业来源，如 Cisco、Symantec、McAfee、Microsoft 和 RSA。你还可以关注开源威胁情报，如 OSINT、SANS 互联网风暴中心和开放威胁交换（Open Threat Exchange）。所有这些收集到的威胁信息需要根据威胁类型、对业务实体和职能的重要性进行适当分类和分隔。例如，可以根据业务单元的地理位置、使用的业务应用程序和 IT 基础设施来分类。地理位置对于确定威胁的来源至关重要，这样你可以优先关注那些可能受到影响的业务地点；这也有助于判断是否是针对你组织的定向攻击，或者可能是针对某个国家的攻击。这种情况可以帮助你定位受影响最严重的业务功能、应用程序或单元，并为提前或及时修复提供空间，以免为时已晚。它还将帮助你定义适当的缓解和检测策略，使你能够专注于有效利用资源，因为无论组织的规模如何，资源总是有限的。

一个成功且成熟的威胁情报系统必须能够生成并分发关于所有发现及相关调查的报告，帮助其他参与安全保护、调查和监控过程的人员，在各级操作、工程和战略决策过程中开展必要的工作。这些报告可以通过实时方法生成，或通过发布在线建议书的方式。安全威胁情报建议书还可能通过威胁交换机制，如 STIX 或 Traffic Light Protocol，与同行业的其他组织共享，让每个人都能利用这些信息，提前应对攻击。

数字取证与实时事件响应与 SIEM 的结合

正如我们在过去几年目睹的网络攻击激增，我们深信预防和监控只是应对网络安全攻击的初步步骤。我们应该做的是发展更多的能力，向威胁狩猎、内部威胁情报以及强有力的数字取证调查支持的事件响应能力迈进。

目前，行业中的大多数组织已经将 SIEM 作为其主要的中央监控平台。传统上，我们一直将 SIEM 用作接收来自网络其他部分的信息的平台，如本章前面所提到的，以便进行关联分析并识别威胁和安全事件。实质上，SIEM 一直像一个只听不说的设备。在今天的网络安全情境下，SIEM 应在整个过程中扮演更大的角色，发声并协同采取行动。SIEM 可以承担的一个突出任务是与数字取证平台集成，实时接收更丰富和更战术性的信息。数字证据极为易变，这加快了任何安全事件的响应时间。数字证据在网络安全事件中的脆弱和关键特性迫使我们以完全自动化的方式处理问题。响应事件时，传统的证据获取方法，如克隆磁盘，已不再有效，无法跟上攻击所需的时间；攻击在你意识到之前就已成功。

这就要求我们以自动化的方式从可疑设备收集数字证据，并且应当在为时已晚之前完成。我们需要将这些遥测数据与 SIEM 集成，以触发对终端的证据收集，就像安防摄像头在运动传感器的帮助下开始录像一样。这为我们提供了关于发生事件的详细信息，并且收集的证据更加准确，且是在正确的时间收集的：事件发生的时间，而不是事后。捕捉到一个受损机器在黑客获得外壳访问权限后立刻的状态——提供初步分析并为深入调查做好准备——将帮助我们扭转局面，打败坏人。事实上，这仅仅是开始，我们还应该开发能够自动分析收集到的证据并用威胁情报进行丰富的系统/平台，使其变得更快、更准确。

开始了解安全自动化和编排

让我们从为什么需要安全自动化与编排（SA&O）开始。随着单点安全解决方案的迅速增长，大多数 IT 团队发现自己陷入困境，因为这导致了对安全环境的监控效果不佳，以及事件响应管理不力。应对那些未能协同工作的众多解决方案不仅浪费了时间和资源，而且还给组织的预算带来了沉重压力。在这种情况下，SA&O 扮演了救援角色，它通过使点对点解决方案协同工作，节省了组织宝贵的时间，从而为事件响应行动的集中编排铺平了道路。说实话，这一领域存在着巨大的技能短缺，因此这一部分成为了书中的重点内容。在我们继续了解需要学习的内容之前，了解这些术语的含义也是非常重要的。

安全编排是一种连接和整合不同安全系统和流程的方法。编排作为安全操作的连接层，帮助节省了在不同工具之间跳转以拼凑信息的时间，从而实现更快速、更高效和更准确的响应。

安全自动化是指在信息或网络安全系统中自动化处理任务。你可以在单一产品或系统中自动化多个任务，但为了在其他产品、工具或系统之间自动化许多任务或安全流程，就需要安全编排。

安全自动化自动处理最繁琐和耗时的任务，一旦你将工具进行编排，你可以利用精简的操作手册或工作流来自动化整个过程。这意味着，安全问题一旦出现，你的工作流就会立即启动，工具之间的数据相关性、深入调查、警报升级、响应支持等工作也会同步进行，正如下图所示：

自动化和编排可以使安全团队优先处理和管理效率，同时应对从检测工具和 SIEM 工具中传来的耗时的警报响应。学习如何使用自动化编排非常重要，特别是在调查和修复事件时。我们见过 CISO 到一级安全分析师都认为一切都可以自动化，这种想法虽然有道理，但他们也认为所有工作可以一次性完成！如果没有适当的文档支持，自动化和编排的好处将大打折扣。即使是最雄心勃勃的专家，自动化每一个事件以及你事件响应工作流中的每个步骤，也如同试图煮沸大海一样不现实。在你成为企业安全团队的一部分时，尤其如此，因为通常涉及多个跨职能团队，涉及多种不同的技术，最有效的方式是先走路再跑。

在过去的几年里，安全自动化和编排已成为网络安全行业的热门话题。所以在这一部分，我们将分享一些技巧，帮助你迈出利用自动化和编排的第一步。

自动化并不像听起来那么简单，你需要知道何时使用它，以及如何遵循工作流，才能取得成功。

一旦你确定了安全自动化和编排的安全用例，你就可以产生可衡量的影响。以下是三个帮助你识别安全自动化和编排的优秀用例的建议。

步骤 1——从小做起

拥有一个较小的任务或操作手册将有助于你学习 SA&O。拥有一个小型的操作手册/演示实验室，并设置有限的自动化任务，通常能提供一条很好的学习路径。一个例子是检查 IP 在多个声誉服务中的评分，并计算加权声誉分数。另一个例子可能是创建或更新一个票务系统。这里的关键概念是自动化更大工作流中的关键部分，从而提高工作效率，避免上下文切换，以及避免在多个界面之间复制粘贴。

为了帮助你入门，你可以问自己以下问题，你的答案将形成一张地图，基本上就是在告诉你“从这里开始”：

• 你的主要商业驱动因素和优先事项是什么？

• 现在驱动你战略的是什么？是风险管理的需求、整体增长、更强的投资回报率，还是遵守 GDPR 等监管问题？

• 哪些指标是重要的？例如，是否是调查的事件数量增加？响应时间和 MTTR 改善？成本管理？

第 2 步 – 学习分析（事件）

一旦你熟悉了 SA&O，你就可以进入下一步。检查工作流的操作计划将帮助你掌握更复杂的场景。

这是一个例子。由于钓鱼攻击仍然是许多网络攻击的首要入侵点，学习如何检查可疑的钓鱼邮件将非常有用。你可以通过自动化重复的操作，例如从威胁情报服务获取声誉数据并丰富事件，然后将工作人员插入工作流中，以便他们可以做出关闭或升级的决策，而不是一次又一次重复相同的步骤。

随着时间的推移，越是从小处着手，逐步推进到更复杂的自动化，你将学会完全自动化这个过程。这种方法的好处在于，它允许你将始终处于高需求状态的分析人员集中于更复杂的问题。

作为初学者，学习常见的事件总是很好的。尝试掌握前五个事件，熟悉相关厂商并进行分析。找出这些事件是否需要从威胁情报源、火墙、邮件服务器和网络设备的集中凭证存储中收集信息并采取措施。更复杂的用例将涉及更多的系统以及更多的团队，这将引导我们进入下一步。

第 3 步 – 学会明智地监控

你投入时间学习分析的越多，越能快速达到最后一步，在这一阶段，你需要找出如何将这些分析步骤自动化。接下来，定义一组可以用于衡量这些步骤的指标也非常重要，这些指标有助于在 SOC 内构建报告。一种常见的指标是平均修复时间（MTTR），它是桌面支持的服务级别指标，衡量从报告事件到事件解决所经历的平均时间。通过安全自动化和编排获得的效率提高，应该使该指标下降。

当然，持续改进将为你的技能集增值。如果自动化意味着在几分钟而非几小时或几天内调查事件，你可以快速计算这些成本，甚至评估分析人员将额外时间集中在其他可能需要自动化或无法自动化的更关键工作的好处。很快，你将能够在整个组织中应用你的新最佳实践和流程，获得最终的编排和自动化效益。

三种常见的安全编排、自动化和响应用例

精通用例将帮助你积累大量经验，因此这里有三个关键用例供你关注。

钓鱼邮件

钓鱼邮件已经成为近年来组织面临的最关键问题之一。一些最近的高调数据泄露事件就是由于精心设计的钓鱼邮件所导致的。安全编排、自动化和响应非常适合通过提取邮件中的文物，然后对这些文物进行额外增强，如果必要的话，隔离恶意邮件及其任何恶意负载，来自动化地处理和检查可疑的钓鱼邮件。

恶意网络流量

关于恶意流量的警报可以直接接收，或通过 SIEM 转发。无论哪种方式，如果你学会如何自动化和编排与这些类型事件相关的行动，你可以节省大量时间。

一旦日志被接收，分析员会使用数据增强工具，如威胁情报、声誉服务和 IT 资产清单，以及工具如nslookup和whois。分析员随后判断这些指标是否显得具有恶意，如果是，则开始隔离并进一步调查。如果使用自动化和编排，这个过程将自动完成。使用相同的自动化手段，搜索整个组织内相同指标的其他实例，然后警报分析员任何新增的发现也会变得更加容易。自动化或半自动化的隔离也是可能的；例如，通过防火墙或代理阻止 IP 地址或 URL，或在进一步调查之前将主机隔离，如下所示：

图 1：whois 搜索的示例结果

接下来，我们将探讨漏洞管理以及它如何增强监控工作。

漏洞管理

安全编排自动化并不打算作为漏洞管理平台，并且永远不会取代今天强大的漏洞管理系统，但有些方面可以帮助我们。它们可以用来确保安全团队了解任何新的漏洞。自动化可以用来查询漏洞数据库，获取有关漏洞的更多信息，查询 Active Directory 或 CMDB 以获取资产信息，或查询 SIEM 或 EDR 以获取事件信息。根据漏洞、主机或事件信息，案件可以自动升级或重新分配，或者主机甚至可以在执行适当的缓解任务之前暂时隔离。

总结

本章内容讲解了为什么你需要学习操作安全。我们涵盖了主动安全、被动安全和操作安全的含义，这些支柱的意义，以及什么是安全运营中心，为什么你需要理解它。

本章主要聚焦于网络安全的操作和技术层面，下一章将阐述人类因素的重要性，比如如果你想选择任何职业，如何在你的领域选择导师。我们将探讨人际网络的作用，因为安全从来不是单靠个人实现的，你将需要信息和人脉来获取重要的资讯、指导，甚至是找到工作。

进一步阅读

查阅以下资源，了解本章所涉及的更多内容：

• www.symantec.com/connect/blogs/top-5-priorities-proactive-cybersecurity

• www.fortynorthsecurity.com/

• www.stickman.com.au/reactive-cyber-security-approach-put-business/

• www.netfortris.com/blog/proactive-vs.-reactive-whats-your-network-security-strategy

• www.openaccessgovernment.org/reactive-mentality-on-cybersecurity/60036/

• www.ready.gov/business/implementation/IT

• www.disasterrecovery.org/

• www.accenture.com/t20170803T055319Z__w__/us-en/_acnmedia/PDF-7/Accenture-Cyber-Risk-Convergence-Of-Operational-Risk-And-Cyber-Security.pdf

第七章：建立人脉、导师指导与跟随学习

为了确保你在职业生涯中顺利起步并不断进步，有三个关键的流程是你可以遵循的。它们分别是导师指导、跟随学习和建立人脉。导师指导是一种一对一的关系，导师是经验丰富的专业人士，可以为你提供及时的建议、激励和方向。跟随学习指的是以专业的态度进入工作场所，观察导师的工作。这让你通过亲眼看到正常工作日中实际发生的情况，深入了解你打算从事的职业。最后，建立人脉是指与行业内外的其他人建立职业联系。建立人脉可以帮助你在发展职业或从一个职业转向另一个职业时，获得他人的信息、指导和支持。本章将通过以下主题讨论这三项要素在职业生涯中的重要性：

• 导师指导

• 建立人脉

• 跟随学习

导师指导

导师指导在你的教育和职业生涯中都非常重要。独自完成一件事情总是让人兴奋，这样你可以将所有的成功归功于自己。单独找到一份工作是一个重要的成就，单独规划自己的职业发展也看似是一个重要的成就。然而，现实往往与预期有所不同。你可能拥有最好的想法，但却不知道如何付诸实践。你在职业发展的计划可能并不完全如你所愿地实现。你可能认为只要花几小时在招聘网站上申请自己符合条件的职位，就能顺利找到工作，但事实却并非如此。这就是为什么你需要导师来为你提供指导，并监督你所采取的每一步。导师指导是一种一对一的关系，你寻求更有经验的专业人士的持续支持和建议，帮助你度过职业发展的任何阶段。以下是导师在职业生活中必不可少的原因的详细列表：

他们提供知识和智慧

如本章后续所述，最好的导师通常是那些在自己领域有着丰富经验的专业人士。他们通常拥有大量的知识，刚刚开始职业生涯的人会从中受益。例如，一位导师可以告诉你该学习哪些编程语言和框架。对于初学者来说，最好的编程语言和框架是那些在市场上能赚最多钱的。但在该领域工作多年的程序员知道，市场上被炒得火热的语言和框架往往并不是最可靠的。因此，他们可能会建议你关注其他的语言和框架。其他许多职业也是如此。除此之外，你还可以利用他们的知识财富。当你面临困境或需要做出艰难选择时，可以向导师请教，他们将帮助你做出最佳决策。

他们会给出关于你应该改进的地方的见解

导师擅长识别你可能忽视的缺点。这些缺点可能出现在你的项目、决策、执行或计划中。你可能会低估这些缺点，认为它们对个人或职业发展不会产生重大影响。导师会直言不讳地告诉你，必须改正那些存在缺陷的地方。这就是你如何得到提升的方式。导师的建设性批评通常帮助人们实现大多数目标，因为他们已经消除了那些阻碍他们成功的缺点。如果没有导师，你只能依赖自我批评，而有时自我批评是具有误导性的，它让你觉得自己比实际情况要好或更差。导师会给你真实的自我反馈，并告诉你如何改进。

他们会给予鼓励

你的职业道路可能不会像你想象的或计划的那样顺利。有时候你会面临挑战，甚至处于想要放弃的边缘。在没有任何动力的情况下，你可能会决定放弃，休息一下，或放弃成功。导师会给予鼓励，帮助你继续前行。励志企业家奥普拉·温弗瑞曾定义导师为“让你看到自己内心希望的人。”导师在你职业生涯中的主要关注点是确保你达成目标，当你快要放弃时，他们会帮助你重新振作。因此，导师几乎不会让你停下来，当你面临最具挑战的障碍时，他们会鼓励你继续前行，并指导你该如何做到这一点。

导师设定界限并确保纪律

掌控自己的人生或职业是一项巨大的责任，你必须全力以赴。然而，你自然会试图给自己一个休息的机会，或者选择一条最不费力的成功道路。你还会遇到许多干扰。这些干扰、过度休息或寻找捷径，可能会延误你的成功。这就是为什么导师有着严格的纪律性，并设立界限，明确你可以做什么和不能做什么。这些规则有助于培养坚实的职业道德、毫不动摇的专注力，并帮助你正确地设定优先事项。

导师提供不加过滤的意见

你会有很多想法，这些想法在你和他人看来都非常可行。然而，导师从不同的角度来看待这些想法。根据他们从不同角度的观察，导师能给出关于你的想法可行性的诚实意见。导师可以帮助你识别具有长期潜力的想法，以便你采取行动。例如，如果你因为有一些薪资吸引的职位空缺而想学习一个成本较高的新框架，导师可能会建议你是否应该承诺学习这种语言。这可能只是一个短暂的趋势，学习了一年的框架后，可能会有新的框架发布，导致你失业。这些见解可能在你的决策中缺失，因此，在做出决定之前，你应该咨询导师。

他们是值得信赖的顾问

在处理敏感项目时，特别是那些涉及专有信息的项目，很难信任除了自己以外的任何人。将这种信息，甚至是想法，分享给错误的人可能导致你计划制作的产品被复制。因此，当你不得不请求另一方为你提供新想法或对你正在做的工作提出新见解时，会面临一些挑战。导师作为第三方，不涉及你的想法，他们会乐于分享关于敏感项目的建议。然而，你仍然需要谨慎，避免向他人泄露过多。导师几乎不会出卖你的想法，也不会偷窃你与他们保密分享的专有信息。

他们可以成为优秀的连接者

正如本章稍后将讨论的，职业关系具有巨大的价值。导师通常愿意为你提供与行业专业人士的联系，这些人可以为你正在做的事情或你希望实现的目标提供支持。导师可以带你参加活动，介绍机会，或将你与一些知名的专业人士联系起来，否则你可能永远也无法见到他们。

他们拥有丰富的经验，你可以从中学习

导师通常拥有大量经验，你可以从中学习。他们曾经历过与你相同的境地，他们做过明智的决定，他们犯过错误，并从经验中汲取教训。有了导师，你不必经历他们曾经经历过的挑战，或犯他们曾经犯过的错误。他们会与你分享他们的故事和错误，帮助你避免重蹈覆辙。他们还会与你分享他们做出的明智决策或牺牲，以实现一些重要目标。

导师会因你的成功而感到满意

导师与许多其他专业人士不同，他们并不仅仅为了丰富自己而进入您的生活。 导师是自由的； 因此，他们不受您的财务收益的驱动。 导师从看到您成功中获得满足感。 因此，他们将愿意支持您并将您与您行业的专业人士联系起来。 一些在几次尝试后最终成功的人希望通过指导来帮助他人成功。

拥有导师带来的好处列表很长。 您可能拥有最好的想法或计划，但在执行过程中，您可能需要有人曾经做过类似事情以给您提供关于避免错误和在每个阶段做出决策的见解。 您可能因为没有其他人指导而在每个想法或项目上遇到困难。 在看过拥有导师的重要性后，您应该了解如何选择一个，并且以下部分提供了如何做到这一点的建议。

如何选择导师

导师是许多人成功背后的原因。 但是，并非每位导师都会带领您走向成功，这就是为什么在接近他们之前，您应该考虑一些事情。 以下是您应该寻找的内容：

兼容性

您应该寻找一位您可以舒适地合作而无需劳累的导师。 您与潜在导师的最初几次互动应该被用作衡量您是否与他们兼容的机会。 如果存在不适感或理念冲突，则最好不要进一步发展导师关系。 如果导师是由公司分配的，您可以要求更换他们。

要评估您与导师的兼容性，您应该查看他们的世界观、理念和哲学。 他们的观点或理念可能与您的不同，但应该是合理的。 您应该避免那些在观点上表现出极端主义迹象的人，因为他们可能最终会奴役您的个性以追随一条严格的道路。 您还应该避免与您有明显差异可能妨碍您两人合作的导师。 您不应该试图强行推动导师关系：跟随您的直觉。 当您觉得可能会与导师陷入长期冲突时，最好与他们断绝联系。

导师的优点和缺点

你将会寻找值得效仿的人，这就是为什么你应该关注他们的优点和缺点。导师如果有太多缺点，可能会对你产生负面影响。花费过多精力去适应导师的缺点从来都不是一件好事。然而，你也应该考虑到没有人是完美的，几个缺点是可以接受的。在评估导师时，你应该关注一些重要的品质，比如他们的同理心、诚实、守时、敬业以及倾听能力。尤其是倾听能力非常重要，因为你与导师互动的大部分时间将是你向他们呈现挑战。如果导师从不倾听，最好能向他们指出这一点，或者与他们断绝导师关系。

对比

之前我们提到过，你应该寻找一个与你兼容的导师。然而，你应该明白，你需要一个能让你走出舒适区的导师。你的导师不应该仅仅是基于你最好的朋友的特质。你需要一个与你有所不同的人，这样才能鼓励你走出舒适区。例如，如果你不擅长守时，你需要一个对时间非常严格的导师，因为这样会促使你开始尝试守时。因此，你应该开放心态，愿意接受一个思维或行为方式不同的导师，只要他们的特质能够帮助你走出舒适区。你也应该愿意接受来自不同行业的导师。如果你是一个网页开发者，一个足球教练依然可以成为你的导师。这样的人与行业内的人有着不同的人生观，他们会从不同的角度看待你的挑战，而不是另一个程序员。

专业知识

在导师关系中，头衔或工作经验并不重要，专业知识才是关键。最好的导师是那些经历过不同挑战，或有过你可以从中学习的多次经验的人。你不能仅仅因为某人拥有一个高职位，就认为他们会是一个优秀的导师。他们可能是在没有经历重大困难的情况下，或者是被有影响力的人提拔上来的。你会更好地从一位退伍军人或者克服了许多生活挑战、才能走到今天的人的经验中受益。这些经验对你来说会非常有帮助，你将从中学习。

信任

我们曾提到导师是值得信赖的，能够保守机密，但你也需要做好自己的部分，寻找一个值得信赖的导师。大多数情况下，你会和导师分享一些机密信息。因此，如果你能信任他们，那将是最好的。信任必须是双向的，你应该像导师信任你一样信任他们。为了避免陷入将敏感信息透露给错误的人这种不希望发生的情况，最好慢慢建立与你导师的关系。你应该花时间制定一些与导师互动的基本规则，经过几次交流后，你会了解到导师是否值得信赖。导师也会发现你足够值得信赖，从而愿意与您分享他们个人的隐私信息。

在寻找导师时需要考虑的这些因素，将帮助你找到一个值得信赖、可靠，并且最适合帮助你成长的人。一旦你和导师建立了良好的关系，你必须充分利用这一机会，推动自己的职业发展，或者更接近实现人生目标。当你找到一个好导师后，你应该保持好奇心，准备走出舒适区；你应该诚实，欣赏反馈或建设性的批评，并确保你们之间有相互尊重。下一部分将探讨你职业生涯中另一个重要的方面：人际网络建设。

人际网络建设

人际网络是建立关系的过程，帮助你在职业生涯中获得信息、指导和支持。人际网络已被证明有助于加速职业发展的进程，帮助你为自己的技能争取更好的薪酬，发展职业流动性，并从工作生活中获得更多满足感。人际网络可以看作是社会资本。你在网络中的联系人越多，你拥有的社会资本就越多。这些资本可以用来获取信息、机会、曝光、更多的人际网络以及职业生涯中的长期支持。拥有社会资本，你也能更快速地推进和发展职业生涯。有效的人际网络必须考虑到一些因素，以确保你能够从中获得最大化的社会资本。两个最重要的因素是网络规模和组成。网络规模涉及你拥有的联系人数量，这些联系人决定了你从网络中能够接触到的机会。然而，单纯的网络规模不足以为你提供足够的社会资本来发展职业，因为你可能拥有很多低层次的联系人。这就是为什么网络组成是你网络中最重要的因素。网络组成指的是构成你网络的人的类型。确保你的网络有来自不同社交环境、不同人口群体和不同组织职位的联系人非常重要。社交环境或背景包括工作中的同事、家庭成员和社区等。建立一个由不同社交环境混合组成的网络是一个好选择，这能提高你获得机会并与他们共享机会的几率。拥有来自不同人口群体的联系人对你开辟远方的职业机会也起着重要作用。你所在的地方可能有很多具备与你相同技能的人，但在海外，可能急需拥有这类技能的人。一个多元化的人口群体网络有助于你获得这类机会，从而加速你的职业发展。最后，拥有不同组织职位的联系人对你的人际网络也很重要。如果你只有拥有高层管理职位的联系人，你可以获得晋升或高薪工作的机会。如果你有一些低层次职位的联系人，你可以获得很多转交给你的机会并申请。拥有初级、中级和高级职位的联系人也有其好处。

人际网络对你的职业成长至关重要，确保你在一段时间内建立起声誉良好的关系。以下是人际网络的一些好处：

工作机会

网络中的联系人有助于启动或发展你的职业生涯。这些联系人可能是人力资源人员、在有职位空缺的组织中工作的人，或是组织中的高层管理人员。这些联系人可以帮助你更容易地找到工作，减少竞争。根据一项统计，80%的工作岗位并没有在招聘网站上发布。因此，仅仅依赖于像Indeed这样的网站申请工作，远不如拥有能在职位空缺时通知你的联系人有效。当其他求职者在争夺招聘网站上发布的 20%岗位时，你通过在相关组织工作的联系人获得的职位会让你有更大的成功机会。网络也可以帮助你获得那些不在你所在地区的工作。如前所述，某些地方可能会缺乏某种技能的人才，因此他们愿意雇佣并给予来自海外的人员更多的报酬。例如，可能有一个非营利组织在非洲的偏远地区工作，找不到一名擅长某个框架的可靠本地开发人员。如果你在该国有联系人，他们可能会为你提供这份工作，并附带一些福利。最后，网络中的联系人还可以在你获得该组织面试机会时，作为良好的推荐人。这显著提高了你被录用的机会。

职业建议和支持

在特定行业有多年经验的网络联系人，是你获得宝贵职业建议和支持的来源。他们可以在你职业生涯的各个阶段给你建议，并在你成长时支持你。如果没有这些建议，你可能会走上一条潜在的危险职业道路，这条路可能不会带给你更好的机会。例如，由于没有来自经验人士的建议，你可能犯错，继续呆在一家公司里，该公司不断压榨你，且没有公平的薪酬，直到你意识到自己需要更换雇主。你还可能呆在一个成长有限的行业，而一位有类似经历的联系人能够提供是否应尝试职业转换的建议。在没有人提供意见的情况下，很容易陷入没有前景的职业生涯，而错过其他机会。你的专业网络可以通过明智的职业建议和支持，帮助避免这种情况的发生。

建立信心

扩展你的网络需要认识新的人并与他们进行交流，从而建立专业关系。每次你接触一个新人，建立一条新的联系时，你都会走出自己的舒适区。这有助于你获得信心，并发展对你生活有益的重要社交技能。你越多地参加活动或去其他地方认识专业人士，建立你的网络，你的信心就会越强。最终，你会变得毫不费力地接触任何人，并与他们建立起专业关系。

建立个人关系

一些最强大且持久的关系正是源于你的职业联系人。建立网络的主要目的是找到能帮助你职业成长的专业人士。然而，有时这些职业关系会发展成更深的关系。这是因为不可避免地，你会遇到一个和你有相同目标并且几乎有相同思维模式的联系人，这会让原本的职业关系转变为个人关系。这样的关系通常会维持很长一段时间。

资源获取

你的社交网络可以作为许多职业资源的来源。每一个联系人，如果充分利用，都可能提供一些有价值的信息。有些联系人掌握着你申请的公司的内部信息，另一些则能帮助你润色简历。还有一些是人力资源或高管，他们可以提供公司内的机会。最后，还有些联系人会定期向你发送与你资历匹配的职位空缺信息，甚至可能将你与能帮助你找到工作的专业人士联系起来。简而言之，你的网络可以提供大量资源，这些资源可以帮助你职业发展和成功。

探索

你可能因为没有探索某些路径而限制了自己的潜力。然而，很多人没有发挥出自己全部潜力，是因为他们没有发现自己能擅长的事物。通过一个职业网络，你能接触到不同类型的人，这些人能开阔你的思维，帮助你发现那些你最初没有考虑过的职业选项。例如，一个在某公司做 9-5 工作的网页开发者，可能会发现自己能作为自由职业者接一些项目，获得额外收入，甚至可以接到两份工作，最终辞掉 9-5 的工作。因此，职业网络作为一个免费的思想交流平台，能让你发现并探索新点子。如果没有这个网络，你或许永远不会了解到这些想法。

建立职业网络的建议

在了解了职业网络的好处之后，接下来需要讨论如何建立一个能够带来这些好处的职业网络。并非每一个职业网络都会具备这些优势，特别是如果它不是经过深思熟虑地建立的。值得注意的是，能够结识新专业人士的社交活动有很多种方式。这些方式包括面对面见面、参加行业活动、通过社交媒体网络如 LinkedIn 建立联系，或者在公共场所遇见。这些只是你可以与他人作为专业人士互动并将他们加入你的网络的一些地方。以下是建立网络时应遵循的一些建议。

建立真实的人际关系

强大的专业网络是建立在真实关系基础上的。网络建立并非仅仅是接近陌生人，进行简短对话，并告诉他们你想将他们加入到你的专业网络中。这很可能会导致一个表面的网络，无法带来任何成果。当你处于希望拓展网络的场景时，你必须首先与目标对象建立真正的关系。你应该倾听他们的言论，参与他们的讨论，回应他们的分享，了解他们的兴趣和目标。最好把自己当作是在建立一段终身的友谊，而不仅仅是通过利用陌生人来积累社会资本。你可以邀请与你互动的人参加其他活动，或提出展示与你的产品匹配的东西。如果他们与你的联系不是表面的，他们更有可能对你开放，提供建议、支持、资源和链接，从而加强你们的职业关系。

提供帮助

你应该建立一种关系，使你不被视为一个只想获得而不愿意付出的人。向你希望建立联系的其他人展示支持和慷慨是很重要的。你可以向陌生人询问他们正在从事的项目，如果你有相关的技能可以帮助他们，你应该提出提供帮助。即使你没有相关技能，你也可以推荐一个能帮忙的人。因此，准备好向他人提供帮助，就像你准备好向他人请求帮助一样。在请求帮助或提供帮助的过程中，你可以建立起有意义的专业关系。

多样化你的活动

事件提供了与分享相同兴趣的新朋友建立联系的最佳场所之一。例如，参加开发者活动将帮助你与其他开发者建立联系。你也可以尝试参加一些来自其他领域的专业人士聚集的活动。此外，你还可以通过争取成为讲者，而非仅仅是参与者，来增加认识更多人的机会。例如，如果你掌握了一些开发者可能受益的信息，你可以提出在开发者会议的开始或结束时做一个简短的演讲。作为讲者出现在活动中，能提升你在他人面前的可信度，并让更多人认识你。这将有助于你在活动结束后与他人开始对话，他们可能会成为你网络中的联系人。如果其他与会者喜欢你的演讲，他们可能还会主动邀请你加入他们的网络。总之，尝试参加你之前没有考虑过的活动，并争取在活动中成为讲者之一。

保持联系

沟通是任何关系中的关键。因此，你应该记得不时与网络中的联系人保持联系。这对于增强你的人际关系，甚至可能扩展你的人脉非常重要。你可以定期向他们问好，并在他们愿意参加时，提议在即将举行的活动中与他们聚会。社交媒体也是保持联系的另一种方式。你应该尽量将联系人添加为 LinkedIn 上的连接。在 LinkedIn 上，你可以定期给他们发消息、点赞他们的帖子，或者认可他们的技能。这能让你对他们保持相关性，并且他们也会记住你，以防有机会能对你有所帮助。

跟随学习

当你从校园直接开始职业生涯时，你可以选择不等到正式入职，而是选择跟随学习。然而，跟随学习并不限于加入职场的人。那些已经有了职业生涯的人也可以进行跟随学习，可能是为了了解更多关于一个组织的信息，或者获取关于他们想转行的职业的见解。跟随学习让已经从事职业的人在做出大胆的职业转变前，能够测试另一个职业选择是否适合自己。跟随学习是一个职业发展过程，在这个过程中，你会跟随一位专业人士到工作场所，并观察他们的工作内容。

对于刚进入市场、还未加入职场的求职者，跟随学习让他们能够更多了解潜在的公司。通过跟随学习，能了解很多关于公司的信息。例如，当你在某个公司的场所时，你可以了解这个组织的文化。你能看到员工是如何被对待的、每个员工的专注程度、员工之间的关系，以及整个组织的工作氛围。通过观察一个组织中的文化差异，你对自己希望进入的职场环境有了更多了解。例如，通过跟随学习，你能够观察到穿着随意的员工与那些在严格要求穿着西装打领带的公司中的员工之间的区别。以下是不同类型的跟随学习的详细介绍：

定期简报

这是一种旨在帮助你更好了解员工执行特定任务的跟踪方式。因此，你只有在员工执行特定活动时才会进行跟踪。例如，一名刚刚毕业的工程学学生可以去工地，只在进行重要任务时进行观察。定期简报能帮助你更好地理解这些行业中重要角色的职责。与其他类型的跟踪不同，定期简报需要大量的计划和时机，以确保主持人在正确的时间和地点让你观察到正在执行的特定任务。

观察

这种跟踪方式仅仅是观察主持人或其他员工在正常工作日的工作内容。这种职业跟踪是被动的，你通常不能尝试执行你所观察到的任务。观察可以通过参加会议，或者简单地观察主持人和其他员工的工作来进行。观察很简单，可以让你了解组织的文化、工作伦理和工作氛围。

实践操作

在这种情况下，你会在实际工作场所执行一些任务。这包括观察然后进行实践操作。例如，你可以观察某个组织如何清洁电脑，然后拿起吹风机，重复清洁的过程。实践操作的职业跟踪风险较大，因为没有经验的人在执行任务时可能会犯错，这些错误可能会对组织造成财务影响。因此，能够提供这种机会的组织并不多。大多数组织会有严格的规定，以确保当你被允许执行任务时，万一发生意外，财务影响不会很大。

准备职业跟踪

职业跟踪提供了一种学习经验，你应该好好利用。以下是一些你应该为职业跟踪活动做准备的方法。

提前准备问题

职业跟踪让你与那些你未来可能从事的职业领域中的人互动。因此，提前准备一些问题是很重要的，这些问题有助于更好地了解主持人或其他员工的工作内容，同时也能帮助你发现一些在进入职场之前需要培养的技能。

记笔记

从职业跟踪活动中可以学到很多东西，而且很难记住所有内容。因此，带上一个笔记本来记录工作场所中说过或做过的重要事项是很有用的。

选择合适的时间

如上所述，一种类型的工作影随包括定期的简报，在特定的时间和地点观察某个特定任务。因此，选择合适的时间进行这种工作影随活动是至关重要的。还有一些组织是季节性的，因此，您还应确保在最合适的时间进行，既可以选择工作量较少、员工能够更自由互动的时候，也可以选择工作量较大的时候，这样您可以看到员工们在高峰状态下工作的表现。

感恩

在参加完工作影随活动后，向组织和接待人表示感恩是非常重要的。因此，建议在参观结束时写一张感谢信，感谢提供了了解该组织某一领域工作的机会。信中还可以提到未来通过实习等机会加入该组织的前景。

总结

本章介绍了职业成长与发展的三个重要过程。导师制度作为一种建立在人与行业内具有丰富经验的专业人士之间的关系，已被详细讨论，这些导师能够提供职业成长和发展的指导。本章探讨了导师在个人生活中的重要性。列出的几个原因包括导师是知识来源、提供改进建议、给予鼓励、培养生活中的纪律性、提供意见和建议。本章还探讨了选择导师的最佳方式，强调应关注兼容性、优缺点、对比、专业知识和信任。

网络建设也被作为一种建立关系的方式，帮助你获取信息、指导和支持。它被描述为获取社会资本的一种途径，这些资本可以用来发展你的职业生涯。网络建设的好处包括获取工作机会、获得职业建议和支持、提升自信、发展个人关系、获取资源以及发现新的发展路径。本章提供了一些网络建设的建议，其中包括建立真诚的关系、主动提供帮助、参加多种活动以及与网络保持联系。

最后，本章介绍了影随，这是通过跟随一位专业人士到工作场所，观察其工作内容，从而发展职业生涯的一种方法。强调的几种影随类型包括定期简报、观察和实际操作体验。为了最大化工作影随的收获，您可以采取一些方法，例如准备提问、做笔记、选择最合适的时间以及表达感恩之情。

接下来，我们将在下一章讨论如何设置实验室环境并进行渗透测试。这将为你提供网络安全实验室搭建的实操经验，并通过了解与该领域相关的各种技术来进行自我评估。

深入阅读

以下是可以用来进一步了解本章内容的资源：

1. career.oregonstate.edu/students/networking

2. www.elmhurst.edu/academics/career-education/mentoring-and-shadowing/

3. www.inc.com/john-rampton/10-reasons-why-a-mentor-is-a-must.html

4. www.td.org/insights/understanding-the-value-of-networking-for-job-and-career-development

5. www.topresume.com/career-advice/importance-of-networking-for-career-success

6. www.summitsearchgroup.com/why-having-a-mentor-is-so-important-for-your-career/

7. www.unl.edu/mentoring/why-mentoring-important

8. www.thebalancecareers.com/what-is-job-shadowing-2062024

9. www.livecareer.com/career/advice/jobs/job-shadowing

10. www.businessinsider.com/7-career-benefits-of-a-strong-network-2013-2?IR=T

11. www.thebalancecareers.com/job-shadowing-is-effective-on-the-job-training-1919285

第八章：网络安全实验室

传统的教学方法已被观察到对网络安全培训效果不佳。理论方法仅提供了网络安全的某些方面的细节，但很少能让学习者掌握实际技能。因此，必须通过实践经验，帮助学员将所学的原则应用于实际环境中。实践培训能够更高效地学习技能，让学员更好地理解所有细节的重要性。例如，防火墙配置中的一个漏洞可能会导致网络安全漏洞。

IT 行业快速发展，要求人们迅速获取新知识。在你的网络安全职业生涯中，你很可能会不断学习新技能，以适应市场新趋势。因此，了解获取新技能或提升现有技能的途径至关重要。网络安全培训的一个优势是，你不必进入大学就能学习。互联网上有多个平台，提供免费的学习机会或仅需支付少量费用。

然而，在线培训也有一些需要注意的事项。其中之一就是，你的选择将极大地影响最终结果。因此，选择错误的学习平台会对你不利。此外，你对学习的投入也会影响你掌握新技能的速度和效果。如果你专注且勤奋，你将迅速获取新知识和技能。因此，如果你发现自己难以长时间集中注意力，选择导师主导的培训会更为合适。本章将概述三种受欢迎的培训选项，你可以根据个人偏好和能力进行选择。

• 导师主导培训（ILT）

• 虚拟导师主导培训（VILT）

• 自学

ILT

ILT 通常被称为传统的学习方法。这种方法要求导师亲自出席，并与学员互动，目的是教授学员新技能或提升导师已经具备的技能。技术的发展使得 ILT 变得非常便捷。ILT 适用于那些涉及复杂主题、需要专家亲身经验的培训。

在 ILT 中，培训通过培训小组的形式进行。学员们可以在同一物理空间内共同工作，并且互相帮助解决问题。学生之间的合作往往在这种培训方法的成功中起到关键作用。学员可以通过分享挑战、经验、技巧和窍门进行互动，从而让培训过程更轻松或更有趣。最终效果是，由于学生之间的协作，复杂的主题变得更容易理解。

这种类型的培训的缺点包括可访问性有限，因为学生通常必须出门到达培训地点。此外，他们必须以相同的步调进行。这种方法也很昂贵，大部分费用无法避免。这种培训的覆盖范围也有限，因为教练和学生必须亲自见面。但是，机构也提供短期集训课程，这些课程是可以定期在不同地点轮换的较短培训活动。这提高了培训项目的覆盖范围和可访问性。

VILT

这是通过互联网提供的 ILT 的延伸。在 VILT 中，有在线虚拟教师主导的课程。学生和教师都不必前往参加课程，因为他们可以在任何地方参与，只要他们有稳定的互联网连接。提供这种培训的机构有不租用学生学习的房间的优势。这种学习模式更加灵活，因为学生可以在课前和课后进行其他任务。课程的时间安排也更加高效，并且将在预定的时间开始和结束。培训的质量也可以很高，因为机构可以从任何地方雇佣有资格的人员，只要他们有可靠的互联网连接。

然而，VILT 也带来了一系列挑战。首先，它是虚拟的，因此对学习者有自律要求。学生在进行培训时必须避免手机等干扰。对于学生来说，没有实际监督，他们在培训过程中很容易被环境中的其他事物分散注意力。一些估计显示，VILT 的注意力持续时间为 25%。这意味着许多学生在培训期间会分神。与教师互动的空间也有限。每个会话中学生数量较多，减少了每个学生发表意见或向教师提问的机会。教师也无法与学生建立联系。因为教师了解学生是否理解所教内容的方式之一是观察他们的身体语言。VILT 不能为教师观察学生的非语言沟通提供最佳媒介。最后，这种培训的实用性也有局限性。学生通过 PDF、视频剪辑或手册收到资源。然而，这些资源并不总是针对不同屏幕尺寸进行优化，对一些学生来说实际跟进培训可能会感到不舒服。

自学

这是学习者跟随基于文本或视频的培训模块并按照自己的节奏学习的地方。这需要学习者在时间管理和完成课程中的挑战方面具备自律精神。

这种学习方式的好处有很多，既包括灵活性，也包括成本效益。在这种培训方式下，学生不必跟随其他学生或培训师的进度。学习较快的学生能够快速完成，而学习较慢的学生可以有机会将学习时间拉长，从而充分掌握所教的内容。这种学习方式还具有成本效益。提供自学模块的机构通常会以较低的价格甚至免费的方式提供这些模块。例如，你可以通过观看并使用免费的 YouTube 教程来学习很多技能。一门可能需要花费数千美元在大学里上学的课程，可能在这里只需不到 1,000 美元。

自学和评估模块由于能够让人们根据自己的节奏和方便性进行学习，越来越受到欢迎。由于这些学习平台，网络安全领域的专家人数也在增加。行业对专业人才短缺的反应非常迅速。预测显示，2020 年将缺少 150 万网络安全人员，但这种缺口可能会得到缓解。

进行自学和评估的最佳方法之一是通过在线网络安全实验室。这些实验室让你接触到你必须应对的真实世界威胁。互联网提供了广泛的实验室供你进行。然而，其中一些实验室是收费的。

本章重点介绍了便宜的替代方案，你可以在这些方案中设置并免费使用安全实验室。它探索了旨在提升你掌握不同类型威胁及其解决方案的实验室。

自学网络安全实验室

我们将讨论几个网络安全专业人士可以用来学习的在线平台。将介绍的部分工具是实时的，使用时需要目标网站的授权。因此，务必小心，避免在高度敏感或严密防护的网站上进行测试。最终目标是学习更多的网络安全知识，因此要关注每个练习结束时给出的结果或报告。

跨站脚本（XSS）实验室

首先，一个你可以进行的简单安全实验是 XSS 攻击，可以在pentest-tools.com/website-vulnerability-scanning/xss-scanner-online找到：

图 1：XSS 扫描器的登陆页面

XSS 在线扫描器是一个免费的在线工具，用于检测网站上的 XSS 攻击和漏洞。在 XSS 攻击中，黑客将恶意的 JavaScript 代码注入到可信的网站中。该脚本可以用来以多种方式危害受影响的网站及其访问者，例如读取敏感页面内容、注入恶意脚本、窃取 Cookies 以及篡改网站内容。

安全实验室非常简单，因为你只需要提供一个待扫描的网站 URL。扫描器将通过提供的网站，尝试识别所有可能存在 XSS 攻击漏洞的页面，比如联系表单和搜索框。然后，工具会对每个潜在易受攻击的页面进行 XSS 攻击。扫描器会根据发现的 XSS 漏洞提供网站整个范围的报告。

XSS 扫描器支持轻度扫描和全面扫描。轻度扫描不太全面，最多可扫描 20 个 URL，且最大扫描时间为两分钟。全面扫描更为彻底，最多可支持 500 个 URL，扫描时间为 30 分钟。

执行扫描时，用户需要提供三个参数：

• 待扫描的 web 应用程序的 URL

• 扫描类型

• 确认他们有授权扫描目标应用程序

需要注意的是，扫描器会生成 HTTP 请求，这些请求可能会被服务器端标记为攻击，尽管它们并不具有危害性。这也是为什么你应该主要在授权目标上使用 XSS 扫描器，以避免因安全违规而遭到起诉。该工具会提供一份详细的报告，列出已识别的 XSS 漏洞或攻击。然后，这些报告可以用于在攻击者利用漏洞之前修复它们。

安全套接字层（SSL）配置实验室

这是 Wormly 提供的一个网络安全实验室，你可以通过www.wormly.com/test_ssl进行访问。它允许你对 web 服务器的 SSL 配置进行深入分析。这是一个重要的测试，因为配置错误的 SSL 可能会引入安全漏洞，黑客可以利用这些漏洞窃取存储、发送或接收的服务器数据，或用于执行拒绝服务（DoS）攻击。此外，配置错误的 SSL web 服务器可能会导致网站速度变慢，从而影响用户体验。

在这个实验室中，网络安全专家可以识别 web 服务器中的安全配置弱点或错误。需要注意的是，SSL 证书对于确保 web 客户端和 web 服务器之间的通信安全至关重要。SSL 证书确保通过加密，所有在 web 服务器和浏览器之间交换的数据都能够保持私密和安全：

图 2：Wormly SSL 服务器测试工具用户界面

Wormly 提供了一个简化的界面，你可以在其中输入需要扫描 SSL 服务器的 web 应用程序的 URL 或公网 IP 地址。然后，你可以点击“开始 SSL 测试”按钮来启动测试。

该工具提供了关于正在使用的 SSL 证书的重要信息，例如有效期和信任等级。报告还包括安全信息，如当前使用的加密算法是否强大、公共密钥大小、使用的安全协议及其版本、性能信息（如 SSL 握手大小、TLS 无状态恢复、SSL 会话缓存等）。这些信息使你能够识别 SSL 配置中的任何弱点，以便在犯罪分子利用这些漏洞之前采取适当措施进行修复。网络安全专家将轻松解读并修复该工具所标出的错误。

Acunetix 漏洞扫描器

这是一款安全审计工具，可以在www.acunetix.com/vulnerability-scanner找到。它被网络安全专家用于识别托管在云端的 Web 应用程序中的漏洞。过去十年中，Web 应用程序的使用量大幅增加。同时，犯罪分子正在利用互联网协议中的漏洞进行破坏，并通过盗取机密信息在黑市上获利。因此，这款工具为网站管理员或网络安全专家提供了一个免费的基于云的系统，用户可以用它来检测 Web 应用程序中最常见的两种漏洞。该工具的免费版本功能有限，较付费版本有所欠缺，但仍能提供有价值的信息，用于加固 Web 应用程序。

该工具提供了一个带控制面板的界面，用户可以选择扫描类型、扫描的漏洞、报告、设置和目标系统。在用户提供所需信息后，系统将进行扫描并生成详细的报告，列出检测到的漏洞。该安全工具还会建议用户可以采取的适当行动来修补这些漏洞。

Acunetix 是一款有用的安全工具，可以检测超过 4,500 个 Web 应用程序漏洞。此外，它还可以扫描开源和定制构建的应用程序，发现可能被利用的安全漏洞，从而危及 Web 应用程序的安全性。Acunetix 在线扫描器还可以扫描外围服务器的弱点，并提供适当的改进措施建议，以修复这些漏洞。因此，这款安全工具是检测和修复 Web 应用程序安全漏洞的有效工具。

Sucuri

Sucuri 是另一个免费的在线恶意软件扫描工具，可以在sitecheck.sucuri.net/查看。它是一个安全扫描器，网络安全专业人员可以用来查找网站中的漏洞。该系统提供了一个界面，用户可以在其中输入要扫描的网站的 URL。然后，安全工具会扫描这些网站，查找已知的恶意软件、黑名单状态、错误和过时的软件。

Sucuri 系统还可以用于确保给定的 Web 应用程序是干净的、快速的且受保护的。如果检测到恶意软件，相关的安全专家将能够删除它，从而确保应用程序的性能和安全性不受影响。该安全工具还可以检测到过时的软件，如内容管理系统，这些系统通常是安全漏洞的来源。因此，可以更新软件到安全版本，以减少暴露于安全风险中的可能性。

Valhalla

Valhalla 是一个综合性的在线网络安全实验室。您可以访问其网站：halls-of-valhalla.org/beta/challenges。该网站允许用户参与各种与安全相关的挑战以获得积分。网站提供的挑战包括 SQL 注入、调试、加密、XSS 和侦察。在侦察中，用户需要收集有关给定目标的情报。侦察在渗透测试中扮演着重要角色，而渗透测试是网络安全职业的核心部分。

渗透测试的目标是发现给定系统中的安全漏洞，以便进行修复，从而减少暴露于安全风险中的可能性。为了使这一过程成功，您必须对目标有足够的情报。因此，情报收集是渗透测试中的一个重要步骤，Valhalla 安全实验室将提供多种服务，让您在情报收集方面获得实践经验。侦察挑战有三项任务供您完成，并检查您的答案是否正确。其他网络安全实验室也有类似的三项实验室布局。在所有的挑战中，网站提供了提示和支持，用户可以利用这些资源完成任务。用户还可以访问已成功完成的解决方案，从中学习。以下截图显示了 Valhalla 的用户界面：

图 3：Valhalla 用户界面

用户需要访问 Valhalla 网站并选择他们想要挑战的类别。接着，用户会选择挑战的难度级别并开始进行挑战。例如，用户可能需要收集适当的情报，以便找出系统中某个账户的登录凭证。通过这些信息，用户将获得系统访问权限，并继续收集更多情报，从而获得访问机密信息的权限。

F-Secure 路由器检查器

这是一个网络安全实验室，帮助你检查路由器是否被网络犯罪分子劫持。它可以在www.f-secure.com/en/web/home_global/router-checker找到。今天常见的威胁之一是 DNS 劫持；其中一种实施方式是通过未经授权的路由器配置修改，使得第三方能够监控、控制或重定向通过路由器传输的流量。这个安全实验室教你如何轻松检查路由器是否已成为 DNS 劫持的受害者。这些知识可以帮助受害者在任何重大损害发生之前，及时制止攻击。例如，在路由器的 DNS 被劫持的情况下，使用该工具进行快速测试可以检测到攻击，并建议适当的应对措施。这可以防止用户被重定向到假冒的真实网站，如在线银行，在那里他们的记录或登录凭证可能被窃取并用于访问他们的银行账户。该工具还很重要，因为它能够检测到路由器中的漏洞或配置错误，这些问题可能被犯罪分子利用来危害用户。

F-Secure 路由器检查器提供如下截图所示的界面，允许用户分析路由器设置中的漏洞。因此，用户需要访问 F-Secure 网站，然后选择“在线工具”，将被引导到路由器检查工具页面。只要他们连接到互联网，就只需要点击“检查您的路由器”按钮开始分析。几分钟后，将显示一份报告，报告中包含有关路由器健康状况的相关信息，并给出适当的修复建议。该工具还提供其他设备的更多测试，但这些需要订阅费用，因此可能不适合用于学习目的。

图 4：F-Secure 路由器检查器工具

现在，让我们在下一节中探索 Hacking-Lab，以进一步强化我们的知识基础。

Hacking-Lab

Hacking-Lab 可以通过 www.hacking-lab.com/Remote_Sec_Lab/ 访问。Hacking-Lab 是一个免费的在线道德黑客实验室，提供一个虚拟平台，您可以在上面进行渗透测试。该工具还包括多个计算机网络和安全挑战，您可以尝试这些挑战，从而在各种网络和安全方面积累实际经验。Hacking-Lab 的目标是提高信息安全领域的伦理意识。通过网络安全竞赛来实现这一目标，竞赛测试网络安全的关键方面，如取证、密码学、逆向工程和网络防御。该工具免费提供，旨在创造一个通过为网络安全专业人员提供相关知识和技能来增强网络保护的环境。该工具还被全球多个大学授权用于教育目的，目的是培养能够满足当前商业环境需求的年轻网络人才，并鼓励学习者从事网络安全职业。

以下截图显示了 Hacking-Lab 的仪表板；还可以看到一个“安全事件”部分，列出了您可以参加的事件，如免费黑客挑战。大多数这些事件是在线进行的，因此您无需任何特殊软件即可进行网络安全挑战。要使用实验室，您只需注册 Hacking-Lab 帐户，然后注册正在进行的免费黑客挑战活动。通过这些挑战，您可以学到很多东西，因为它们模拟了犯罪分子如何利用应用程序中的漏洞来破坏其安全性。因此，您可以获得如何识别应用程序中安全漏洞的实际经验，并了解可以采取的措施，如系统加固，以最小化暴露于各种安全风险的可能性：

图 5：Hacking-Lab 控制面板

现在您已经了解了 Hacking-Lab，让我们将重点转向 Root Me 密码生成器。

Root Me 密码生成器

Root Me 密码生成器可以访问 www.root-me.org/spip.php?page=outils&inc=password&lang=en。到目前为止，弱密码仍然是组织数据和系统安全的主要威胁。Root Me 密码生成器是一种安全工具，用于生成用户密码，用户可以使用这些密码访问他们的账户。以下截图展示了密码生成器的用户界面。用户需要输入多个字段，例如密码长度和附加字符，然后点击“生成密码”按钮。该工具将使用暴力破解尝试猜测给定用户账户的正确密码。这个工具非常重要，因为在进行渗透测试时，通常会尝试访问使用弱密码的账户。因此，该工具将用于识别弱密码并制定有效的密码策略，以确保用户选择无法通过常见密码破解工具破解的密码：

图 6：Root Me 密码生成器用户界面

在接下来的部分，我们将探讨 CTF365 的要点。

CTF365

CTF365 可以访问 ctf365.com/。CTF365 是一个网络安全培训的游戏化工具，提供了众多现实生活中的游戏，玩家需要为他们的系统（例如虚拟专用服务器）构建防御，以防止攻击。同时，玩家还尝试攻击网络中其他人开发的系统。这个工具非常有用，因为它模拟了现实生活中网络安全的情形。安全专业人员需要构建并保护那些不断受到犯罪分子攻击的计算机系统，这些攻击者试图破坏、修改或窃取系统中的数据。CTF365 采用了一种有趣、富有挑战性且社区驱动的方法，帮助安全专业人员掌握他们在当前信息安全领域中所需的技能。

根据该安全培训工具的开发者所述，最佳的学习方式是通过实际应用。游戏化在这方面表现优异，它通过增加学习者的参与度、提高记忆率和加快学习曲线速度来增强学习效果。该工具对非盈利的信息安全会议免费开放。个人使用和培训也可享受 30 天的试用期。要参与其中，所需的仅仅是安装 OpenVPN 来使用该安全工具。此外，你还需要两个重要文件：你的 VPN 用户名和密码文件以及配置文件。将这两个文件复制到以下位置：C:\Program files\OpenVPN\config\。然后，在 Windows 中搜索 OpenVPN GUI，右键点击它并选择以管理员身份运行。工具启动后，你应该右键点击 OpenVPN GUI 图标并选择连接。这将允许你连接到 CTF365，构建必要的系统及其防御进行实践，同时尝试攻击社区中其他人开发的系统。

Mozilla Observatory

你可以访问 Mozilla Observatory 网站：observatory.mozilla.org/。Mozilla Observatory 是一个免费的开源网站安全扫描器，基于 Python 代码库开发。Mozilla 声称该工具已经帮助超过 125,000 名安全专业人士以安全的方式配置他们的网站。因此，这对于网络安全爱好者来说是一个很好的学习途径。要使用该工具，你只需将网站的 URL 或域名复制并粘贴到 Observatory 中，然后点击“Scan Me”按钮。扫描将开始，网站的安全报告将随之呈现。报告包括诸如 OWASP 头部安全性和 TSL 最佳实践等重要安全元素。该工具还能够执行来自 SSL Labs、High-Tech Bridge 和 HSTS preload 的第三方测试。此外，该安全工具还提供了指向优质资源的链接，这些资源可以用于修复识别出的安全问题。

该报告对网页开发者和安全管理员非常有用，因为它能够帮助他们识别网站中的漏洞，从而提高网站的安全性。该工具的一个大优点是，用户还可以在一定时间间隔后安排自动安全扫描。这有助于网站的监控，因为如果网站出现新的安全问题，用户会收到通知。

免费在线培训提供者

网络安全是一个小众领域，且可用资源有限，这一点是可以理解的。因此，找到适合有兴趣进入该领域的新人才的培训课程非常困难。然而，确实有一些培训机构提供免费的网络安全培训，面向年轻而充满热情的思维。我们将在接下来的章节中讨论这些培训提供者。

IT 硕士学位和查尔斯·斯图尔特大学

考虑免费的大学短期课程：如果您考虑注册硕士学位，为什么不在“注册前试用”？注册这些基于网络短期课程，比如在 Charles Sturt University (CSU) 提供的课程，可以让您了解 IT 硕士学位如何创建一个协作学习环境，还有机会与其他学生互动和建立网络。通过课程考试将获得成就证书，并且可能还能获得硕士学位的学分。

Erdal Ozkaya 博士也是 CSU 的讲师，已经提供了许多免费短期课程。网站上总有新的课程可供查看，请自行访问网站。您可以访问 CSU 网站 www.itmasters.edu.au/about-it-masters/free-short-courses/：

图 7：Charles Sturt University 网站的登陆页面

这个免费短期课程通常为期四周，基于在线进行，您将每周进行评估。在此结束时，您将进行一次最终在线考试，如果通过考试，将获得证书：

图 8：授予 Charles Sturt University 学生的成就证书示例

Microsoft Learn

要在职业生涯中进步并获得您的顶级位置所需的技能并不容易。现在有一种更具回报的实践学习方法，可以帮助您更快实现目标。您可以赚取积分、等级并取得更多成就！您可以在 docs.microsoft.com/en-us/learn/ 找到更多信息：

图 9：在 Microsoft Learn 上关于 Windows 安全与取证的讲座截图

edX

在 edX，您可以找到人文领域的在线课程，包括古典文化、语言和文学的研究。这些课程来自世界各地的主要大学，并且是免费提供的；您只需选择要注册的课程。您可以在 www.edx.org 找到 edX：

图 10：edX 的登陆页面截图

Khan Academy

Khan Academy 提供练习题、教学视频和个性化学习仪表板，使学习者能够在课堂内外以自己的步调学习。他们提供数学、科学、计算机编程、历史、艺术史、经济学等课程。您可以在 www.khanacademy.org/ 找到 Khan Academy：

图 11：在 Khan Academy 上的网络安全 101 课程的截图

网络安全：攻击与防御策略

这是 Packt Publishing 的一本书样本，可以帮助您进入网络安全的下一个级别：

图 12：Packt Publishing 出版的《网络安全：攻击与防御策略》封面

本书使用网络安全攻击链的实践方法，解释攻击的不同阶段，包括每个阶段背后的理论，并通过情景和示例将理论付诸实践。

构建自己的测试实验室

一切从拥有合适的硬件开始，至少要支持虚拟化。如果你有 Windows 8 或 10 专业版，那么你可以直接使用内置的 Hyper-V。为此，你需要学习如何安装虚拟机（VM）和虚拟机管理程序，通常是在 Microsoft Hyper-V、Oracle VirtualBox 或 VMware（Fusion 和 Workstation 不是免费的）中完成：

• 如何在 Windows 10 中安装 Hyper-V：blogs.technet.microsoft.com/canitpro/2015/09/08/step-by-step-enabling-hyper-v-for-use-on-windows-10/

• 如何安装 Oracle VirtualBox：docs.oracle.com/cd/E26217_01/E26796/html/qs-create-vm.html

完成这些操作后，你需要开始设置网络。以下链接将帮助你入门。

上述链接也可以帮助你设置网络。对于攻击机器，你可以设置一个 Kali 盒子，或从 OffensiveSecurity 下载一个预构建的镜像，下载链接为www.offensive-security.com/kali-linux-vmware-virtualbox-image-download/。

要了解更多关于防火墙的信息，请访问 pfSense 官网，pfsense.org/download/。此外，你还可以参考互联网上的指南，或一些书籍，它们将帮助你安装其他机器，从而扩展你的实验室环境（Packt Publishing 出版了许多有关此主题的优秀书籍）。

例如，你可以安装一个 Ubuntu 虚拟机，并将其设置为 DNS 服务器。之后，你可以安装一个 CentOS 虚拟机，并将其用作 Web 服务器，安装合适的 Apache（或 Nginx）、MySQL 和 PHP/Perl/Python（LAMP 堆栈）软件。你也可以选择使用网站上列出的预构建镜像，或者在新部署的虚拟机上安装一些应用程序。以下链接将为你提供可以在实验室中部署的即用型虚拟机镜像：

• Metasploitable3：一个基于 Windows 的易受攻击环境，带有 CTF 风格的标志；可以在github.com/rapid7/metasploitable3找到。

• Metasploitable2：一个基于 Linux 的易受攻击环境；可以在community.rapid7.com/docs/DOC-1875找到。

• PentesterLab 练习：PentesterLab 提供预配置的虚拟机镜像和课程，教你如何进行漏洞利用。有免费和付费的练习；可以在pentesterlab.com/exercises/找到。

• Kioptrix 虚拟机：这些是脆弱的、即开即用的虚拟机；可以在www.kioptrix.com/blog/test-page/找到。

• Vulnhub：这些是脆弱的、即开即用的虚拟机；可以在www.vulnhub.com/找到。

• OWASP Multillidae：一个脆弱的 web 应用程序；可以在www.owasp.org/index.php/OWASP_Mutillidae_2_Project找到。

• OWASP WebGoat：一个脆弱的 web 应用程序；可以在www.owasp.org/index.php/Category:OWASP_WebGoat_Project找到。

• OWASP SecurityShepherd：一个用于练习 web 和移动应用安全的培训环境；可以在github.com/OWASP/SecurityShepherd找到。

• OWASP GoatDroid：该项目提供 Android 安全开发培训；可以在github.com/jackMannino/OWASP-GoatDroid-Project找到。

• SuperSecureBank：一个代表虚构银行的脆弱 web 应用程序；可以在github.com/SecurityInnovation/SuperSecureBank找到。

摘要

本章介绍了通过网络安全实验室进行培训的途径。首先，我们对在线学习方法进行了交叉检验，讨论了 ILT、VILT 和自学。接着，我们探索了自学的好处，并分析了它为何在网络安全行业中获得广泛接受。这种学习方法也有助于解决网络安全领域技术人才短缺的问题。此外，网上有许多可用的网络安全实验室，包括免费和付费的，但本章重点讨论了任何人都可以免费进行的实验室。第一个实验是 XSS 演练，用于检查一个网站是否存在容易受到 XSS 攻击的组件。接下来的实验是 SSL 测试，用于检查网站是否在 SSL 配置错误的服务器上运行。第三个测试是基于云的漏洞扫描，可以用于检测超过 4500 个 web 应用程序中的漏洞。

第四个实验室是一个恶意软件扫描工具，用于检测网站是否存在已知恶意软件、过时的软件或其他安全问题。第五个工具更加全面，它提供一个平台，用户可以尝试解决一系列网络安全挑战。第六个实验室是一个网络安全工具，网络安全专业人员可以用它来检查路由器是否成为 DNS 劫持的受害者。第七个实验室是另一个全面的实验室，用户可以从攻击者的角度参与一系列挑战，利用虚拟目标的漏洞。第八个实验室专注于密码安全，并让学习者有机会尝试生成用户可能在系统中创建和使用的密码。在这里，你可以检查多个参数并提供密码中可能包含的某些字符，工具会生成高度可能的密码。

第九个实验室是一个游戏化的网络安全培训平台，用户可以在其中创建系统并防御攻击。同时，他们也可以攻击其他用户在平台上创建的系统。最后一个实验室是 Mozilla 的一个工具，叫做 Mozilla Observatory。该工具是一个网站安全扫描器，可以生成关于网站漏洞的详细报告。这些实验室是网络安全爱好者继续学习并评估自己技能的可靠途径。有些实验室可能不会太吸引人，因为它们主要包含自动化测试。然而，生成的报告非常重要。你应该尝试了解实验室报告中包含的细节如何影响网站。

最后，还有许多其他的网络安全培训平台，你可以使用它们来提升自己的知识。有些最好的平台收取高额费用，允许你进行模拟测试，但尝试这些收费平台可能是值得的。不过，你至少应该考虑做一些免费的实验室，以预览这些收费工具可能带来的体验。网络安全是一个非常复杂的领域，在这个领域的职业生涯总是充满了新的学习机会。因此，你应该积极主动地尝试任何你遇到的安全实验室。

在下一章中，我们将详细探讨一些知识检查和认证，它们对于启动网络安全职业生涯至关重要。

进一步阅读

以下资源列表可以用来深入了解本章的主题：

• security.stackexchange.com/questions/147337/are-there-free-online-penetration-testing-labs-that-i-can-safely-hack-with-my-co.

• www.fraunhofer.de/en/research/fields-of-research/communication-knowledge/it-security/cybersecurity-training-labs.html。

• www.tripwire.com/state-of-security/security-data-protection/cyber-security/cybersecurity-skills-training-medium-best-instructor-led-training-king/。

• www.cybintsolutions.com/hands-on-skills-in-cyber-security-education/。

• www.researchgate.net/publication/254034726_Online_assessment_for_hands-on_cyber_security_training_in_a_virtual_lab。

• 通过战争游戏学习安全概念：overthewire.org/wargames。

• 由社区贡献者创建的 Hack.me 迷你挑战：hack.me/explore/。

• 运行你自己的 CTF：github.com/facebook/fbctf/blob/master/README.md。

• Hack This Site，提供 Web 应用程序培训：www.hackthissite.org。

第九章：知识检查与认证

随着电子学习（eLearning）逐渐超过传统课堂教学，许多人不需要进入教室就能获得重要技能。一些组织选择提供免费培训课程，特别是在网络安全领域，以增加能够可靠应对网络犯罪的专业人士数量。此外，许多威胁专门针对组织中的用户。组织通过将员工注册到在线课程中，而不是传统的研讨会，来教授基本概念，从而应对这些网络犯罪。在线学习网络安全技能非常方便，尤其是对于那些有志于进入该领域的人。电子学习平台充满了令人惊叹的知识来源。虽然有一些人担心这些平台提供的培训质量不高，或者某些平台没有涵盖某些课程的所有要求，但也有一些受许可的学习平台可以提供培训，并且能够颁发认证证书，证明学习者通过了一个公认的平台，并且满足了所有评估要求，最终获得了证书。本章将探讨获取认证的必要性，以及如何选择适合的学习平台和认证课程。它将讨论以下内容：

• 获取认证的需求

• 选择认证和认证机构

• 认证，展示你的知识

获取认证的需求

在当前的市场环境中，无论你是受雇于公司还是作为自由职业者，认证都可能对你的职业生涯产生影响。以下是你应该努力获得认证的一些原因。

它们向雇主展示你具有主动性

在就业市场上，拥有大学学位已经成为常态。大多数学位课程并不会完全专注于某一领域。然而，参加网络安全认证课程可以让你在人群中脱颖而出。尽管完成学位课程依然有其价值，但拥有某一特定领域的认证将让你具备额外的优势。认证通常提供与特定职位高度相关的技能。例如，如果你参加了渗透测试课程，你将获得对所有安全分析师职位都非常相关的技能。因此，拥有认证是非常有价值的。这向雇主展示了你主动提升特定领域技能的能力，从而让你更具竞争力，适合你申请的职位。

他们反映了你在特定领域的能力

在就业市场上，人们对招聘那些在纸面上有高资格但实际技能较差的候选人感到担忧。学位往往具有误导性，因为学生可能通过了那些较为简单、与工作关系不大的课程，但在最重要的课程上失败。此外，学位课程中的评估往往不够全面。它们没有让学习者面临挑战性情境，也没有充分考察他们的能力。学位证书并不能反映候选人的强项或弱点。相反，认证课程往往更为严格，学习者必须通过多个评估来证明自己具备该课程所要求的技能。一些认证课程还会提供有关学习者在特定模块中表现的详细信息。它们向雇主保证所教授的技能已经过全面评估，你在所有领域都表现出色。因此，雇主在录用你时会有更少的顾虑。

它们为你提供了特定工作所需的知识

网络安全领域对变化反应非常迅速。新的威胁会带来新的技能需求，公司也会开始寻找具备这些技能的专家。学位课程往往改变缓慢，因此大学很难仅因为出现新的威胁而调整课程。幸运的是，认证课程相对灵活，许多供应商会根据市场需求评估技能要求，并相应调整他们的培训内容。尽早获得一些认证，你就能在需求量大的岗位上找到工作，并获得不错的薪水。学位课程并不旨在为学习者提供如此快速的培训，以利用市场上出现的技能空缺。

它们可以帮助你启动网络安全职业生涯

认证课程的优势在于它们不依赖于你的本科学位。虽然拥有相关的 IT 学位是有益的，但并不总是那么重要，也不是限制那些可以参加认证课程的人的条件。因此，如果你想完全转行，参加认证课程会更有利。它们可以节省你重返大学、花四年时间获得学位的成本和时间。

它们能增强客户的信心

这同样适用于那些在正式公司之外工作的专业人士，例如提供咨询或审计服务的独立承包人。客户可以理解地不愿意将敏感数据和系统交给这些人。成为你领域的认证专家能让客户对你的能力充满信心。他们相信你是专业的，因此可以信任你处理所有必要的数据和系统。

它们能帮助你进行市场推广

认证证明你在某一领域拥有比一般学位持有者更多的技能。在职场中，认证可以促使人力资源考虑你晋升到更高的职位，或者提高你的薪酬水平以匹配市场工资。对于那些在正式雇主之外工作的自由职业者或临时工来说，认证也会对你有利，因为它显示了你比其他自由职业者或临时工更有技能。你获得认证的知名机构名称也可能成为你的优势。如果雇主发现你在多个领域拥有认证，他们可能会忽视其他申请者。

选择认证和供应商

在决定参加某个认证课程并选择供应商之前，有一些因素是你需要考虑的，我们现在来看看这些因素。

供应商的声誉

在电子学习领域有一定时间历史的供应商，往往受到许多组织的认可。相反，初创公司通常会受到质疑。因此，选择那些知名或已经提供培训多年供应商的认证会更为明智。

课程的时长

认证是在成功完成课程后颁发的。大多数课程持续几个月，通常是三到四个月。然而，一些供应商将课程时长延长，学员的学习周期可能长达六个月，而其他供应商则将其限制在四个月内。评估课程时长非常重要，以确保你不会被那些收费较高、课程时长过长的课程所利用。

来自前学员的反馈

一些供应商拥有完善的反馈机制，学员可以在其中留下关于教师和课程整体质量的反馈。有些教师的水平确实不高，而有些课程的深度也不足。花时间查看学员在网站、Google 评论和社交媒体页面上的反馈，可能会为你节省一些以后可能遇到的烦恼。

学员支持

一些在线学习平台结构较差，学习者只是被提供材料，并在一定时间后进行自动化测试。因此，在选择课程时，了解学习者获得支持的程度非常重要。

认证的可信度

认证应该由有资质的教育机构提供。然而，一些网站提供自己的认证，这些认证在任何地方都不被认可。因此，在注册课程之前，检查提供课程的公司是否有相关资质是非常重要的。

就业市场的需求

就业市场决定了你应该具备的技能。理想情况下，学习者应选择能够通向需求较大的职业的课程。例如，网络攻击的增加使得市场对渗透测试人员的需求大增。获得渗透测试认证能让你在就业市场中占据先机。

有效的网络安全需要全员参与

问一个路人什么是网络安全，你可能会得到一个与最近的大数据泄露相关的回答。很难忽视主流新闻媒体不断告诉我们，私人信息中的“私人”只是个笑话，任何一个曾经在网上表单中输入过自己最喜欢颜色的人都无法免受黑市商人、不道德政府、网络激进分子和你能想象到的其他威胁的侵害。再深问一步，你的随机路人可能会告诉你他们为保持在线安全所做的一切——以及他们没有做的一切。至少，你可能会得出这样的结论：公众对网络安全问题的意识已大幅提升。意识，毫无疑问，是加强安全的重要一步，无论是在企业环境中，还是在个人环境中。但仅有意识是不够的。

作为数字化、联网社会的成员，我们不应该只是意识到自己的问题。相反，我们应该去解决它们。然而，我们往往没有这样做，而是选择接受不好的结果，而不是解决其根本原因。

当你考虑到安全问题常常看起来难以克服时，这完全可以理解。即使只是为了保护我们自己的个人信息，我们作为个体能做些什么呢？失败的点太多，许多因素超出了一个人的控制。

所以，与其单打独斗地使用基础工具并依赖他人的有限帮助，最合乎逻辑的选择是转移我们的注意力，拥抱一种新的标准：网络安全文化。换句话说，我们需要集体努力，分享有价值的安全知识、策略、最佳实践等，和其他数字公民共同努力。如果我们想要有效的网络安全，每个人都必须参与其中。

这对我有什么好处？

说懒惰是人类天性的一个关键因素有一定道理，但这个借口过于简单和武断。问题不是我们不愿意履行应有的谨慎，而是我们没有得到足够的动机。“这对我有什么好处？” 是网络安全的一个基本无声问题——这是我们必须关注的问题。

当我们指责普通用户没有定期更改他们在众多网站和系统上的多个密码时，我们似乎没有去理解他们为什么没有做到这一点。只有当为时已晚，当用户的身份被盗时，他们才会意识到这种安全行为的重要性。

那么，为什么他们没有更早地采取这种做法呢？很多时候，他们仅仅是被告知该做什么，而没有真正理解为什么需要这样做。也许他们在网上阅读过一篇简短的《十大用户安全指南》文章，或者同事在午餐休息时匆匆提到了一些个人安全提示。也许他们的雇主发了一封关于安全的邮件，但用户并没有认真对待。虽然这些行为提供了一个不错的开端，但它们并不充分。单纯的表面评论并不能培养足够或全面的网络安全文化。

那么，培养这种文化的关键就在于实质性内容。激发他人主动参与的最实质性方式之一就是让他们与这种情况产生共鸣。人们常常陷入思维陷阱，过于抽象地看待自己的计算机使用，就好像他们在线上的行为与实际的现实世界后果毫无关系。为了让他们理解自己数字行为的严重性，我们需要让他们摆脱这种过时的思维模式。

当普通的计算机用户离开家去上班时，他们会锁好前门。那么，当他们离开办公桌去吃午餐时呢？他们是否会将工作站留 unlocked 以便任何路过的人都能使用？就像物理门一样，我们随时都在打开网络门——而当这些门通向个人或敏感信息时，我们必须在背后锁上它们，以确保这些信息的安全。

网络世界中的并非所有事物都有现实世界的对应物，这给培养安全意识氛围带来了独特的挑战。回到密码的例子，普通的房主可能不会每个月去找锁匠更换前门的锁。

然而，如果你能够向用户传达这样一个观点：时间是任何黑客进行暴力破解密码尝试的关键因素，定期更改密码的重要性就变得更加明显。在这种情况下，“对我有什么好处？”的答案很简单：你始终领先于那些不断完善攻击方法的攻击者，你的关键信息也会保持安全。

持续监控的文化

有效的网络安全文化有许多维度，但其中最重要的一项就是持续监控。对于我们所有用户来说，能够监控自己的在线行为是否被滥用至关重要。不幸的是，很多人容易觉得自己的在线足迹过于广泛，而且其中许多是无法控制的。这就是为什么保持网站账户、密码和电子邮件地址清单会很有帮助。

像KeePass和LastPass这样的密码管理器使这一过程变得更加轻松，同时使用加密技术保持清单的机密性。你还可以将电子邮件作为所有其他账户活动的中心。许多网站和服务提供在关键账户配置更改时发送电子邮件提醒的选项。你越快获得这些变化的信息，就能越快确认——或者否认——其有效性并采取适当的行动。

这可能意味着能够立刻发现黑客已经更改了你的在线银行账户密码，而不是等到下次登录时才发现——那时账户已经被大额提款。

需要为强大的网络安全文化作出贡献的不仅仅是终端用户——企业也有很多跟进的工作。就像用户一样，持续监控至关重要。无论数据是在传输过程中还是处于静态状态，关注数据的安全是一种积极的安全方法，而这种方法在企业界通常严重不足。

我们听说的许多数据泄露事件直到数月甚至数年后才被发现。攻击者早已从服务器上窃取数据，以至于很难确切知道究竟盗取了什么。这是你绝对不希望你的企业处于的状况，因此拥有像安全信息与事件管理（SIEM）这样的解决方案至关重要，能够让你的网络安全人员及时了解任何可疑活动的发生。毕竟，是组织中的人传播并维护你的文化，而不是自动化的机器和软件。没有比通过培训和认证更好的方式来确保强大安全文化的增长与发展。参加大师级课程并获得认证，如 CertNexsus（Logical Operations）提供的CyberSec First Responder: 威胁检测与响应证书，将使你的团队准备好应对任何威胁。

不要再等一周或一个月才开始改变你周围的文化。今天就采取行动，无论是追求证书、升级安全软件和工具，还是仅仅改变那些长期未更改的密码。每个人在创造网络安全文化上投入的努力越多，我们共同的数字未来就会越光明。

大多数人对网络安全的常见认知围绕着数据泄露。然而，大多数人未能理解这些泄露为何会发生。虽然在影响了近 50,000,000 名用户的 Facebook 数据泄露事件中，所有网民都愤怒不已，但没有人愿意深入探讨这些攻击的根本原因。这一知识空白成为网络犯罪分子滋生的温床。因此，从整体上弥补这一空白，才能有效应对网络安全挑战。

在下一部分，我们将讨论网络安全专业人员需要的各种认证，以提高技能并保持领先地位。

CompTIA Security+

这项由 CompTIA 提供的认证实际上是安全专业人员的一个良好起点。它为个人提供了一个机会，深入了解安全基础设施、身份管理、风险评估与缓解，同时也包含了相当数量的加密知识。对于从事系统管理员和 IT 基础设施服务的人员来说，这可能是一个不错的起步。它可能为你从现有角色过渡到更专注于安全的角色提供了重叠的技能。该认证的一个最佳特点是它是厂商中立的，这意味着它涵盖了通用安全概念的技能，而不专注于任何特定产品。许多人将其视为入门级认证，但如果你至少有几年 IT 经验，它也同样有用。CompTIA Security+认证也已通过美国国防部指令 8140/8570.01-M 的要求。有很多选择可以完成这个认证，但你也可以选择自学完成，然后参加考试。

CompTIA PenTest+

这项来自 CompTIA 的认证提供了实践、基于表现的以及选择题的测试，确保每位考生具备在系统上执行任务所需的技能、知识和能力。PenTest+考试还包括用于计划、界定范围和管理弱点的管理技能，而不仅仅是利用这些弱点。你将获得渗透测试、漏洞评估和管理技能；该考试符合 ISO17024 标准，并获得 ANSI 认证。

CompTIA 网络安全分析师（CySA+）

这是 CompTIA 提供的另一项认证，旨在帮助个人获得网络和设备行为分析的技能，以便他们能够预防和检测网络安全威胁。CySA+被认为是中级网络安全分析师认证。此认证专注于教授你入侵检测与响应技能，并覆盖一些高级持久性威胁的内容。你将能够获得关于如何对来自不同来源的威胁数据进行数据分析，并解读分析结果以识别你的业务和组织中的威胁、风险和漏洞的技能。在完成培训后，你还将掌握使用各种威胁检测工具的技能。此认证同样符合美国国防部指令 8570.01-M 的要求。

CompTIA 高级安全专家（CASP+）

CASP+是希望继续深入技术领域而非单纯管理的技术专业人员的理想认证。CASP+验证了在风险管理、企业安全操作与架构、研究与协作以及企业安全整合等方面的高级能力。

欲了解更多详情，请访问：certification.comptia.org/certifications/comptia-advanced-security-practitioner。

这里是 CompTIA 网络安全职业路径：

EC-Council，认证道德黑客（CEH）

这是过去十年间网络安全领域中少数非常受欢迎的认证之一。我从未看到任何想要进入网络安全领域的专业人士，或只是想理解攻击者视角的人，对此认证的热情有所下降。该认证由 EC-Council 提供，他们还提供一系列其他安全专业人员的认证。此认证专注于“白帽黑客”——这一概念定义了你如何使用与坏人相同的技术，主动发现并防止攻击。它教你如何像攻击者一样思考，了解实际攻击是如何执行的，以及使用了什么手段。此认证还让你了解黑客技术，包括足迹跟踪、侦察、扫描网络漏洞、枚举以及了解特洛伊木马、蠕虫和病毒的内部工作机制。它还教你如何使用嗅探器，如何进行 DoS 和 DDoS 攻击，以及在进行威胁评估时如何使用社会工程学。除了专注于基于网络的和社会工程学攻击外，CEH 还引入了 Web 黑客攻击的概念，如何攻击 Web 服务器以及在防止此类攻击时你可能会遇到什么问题，SQL 注入攻击，以及如何对企业应用程序执行这些攻击，主动查找漏洞。最后但同样重要的是，这还包括如何避开 IDS、防火墙和蜜罐。要最好地获得此认证，建议参加为期五天的培训课程，并强烈推荐采用课堂教学模式，以便你能够通过团队合作获得更多经验，并有机会使用培训师设置的实验室，获得第一手的实践经验。

EC-Council，计算机黑客取证调查员（CHFI）

EC-Council 还为希望从事数字取证领域职业的个人提供了另一项认证：计算机黑客取证调查员，通常被称为CHFI。随着网络攻击的增加，数字取证调查员的需求处于高峰期，这项认证使你能够迅速成为帮助行业在数据泄露后场景中寻找证据的数字取证调查员之一。正如我们在前面章节中提到的，数字取证调查是识别证据并对其进行分析的过程，以创建报告，使得这些发现能够支持法律程序起诉犯罪分子，同时你也可以利用这些信息来防止未来的攻击。CHFI 认证将使你接触到计算机调查和分析技术的概念和流程，以确定相关的法律证据。这些证据可能是与广泛的计算机犯罪或其他形式的数字滥用有关的，包括商业机密盗窃、知识产权盗窃或破坏，以及欺诈行为。在 CHFI 认证和培训过程中，你将学习使用各种方法从涉及数字犯罪的计算机系统中发现数据，或者在某些情况下恢复已删除、加密或损坏的文件。

EC-Council 网络安全职业路径

以下是 EC-Council 推荐的职业路径：

若想了解更多关于 EC-Council 认证的完整列表，请访问其官网：www.eccouncil.org/。

注册信息系统安全专家（CISSP）

注册信息系统安全专家，简称CISSP，是由国际信息系统安全认证联盟（(ISC)²）授予的认证。这是专业人士必须拥有的认证之一，并且在安全领域中备受推崇。CISSP 涉及与信息安全相关的各种主题。作为这项认证过程的一部分，你需要学习八个安全领域：

• 安全与风险管理

• 资产安全

• 安全架构与工程

• 通信与网络安全

• 身份与访问管理（IAM）

• 安全评估与测试

• 安全操作

• 软件开发安全

与其他认证不同的是，CISSP 要求考生在其八个领域中的两个或更多领域具有至少五年的全职工作经验，而其他认证可能无需此类安全经验。但如果考生拥有四年制大学学位或硕士学位，他们可以获得一年经验的豁免。这是否意味着没有所需经验的考生无法获得此认证？并非如此，即便没有经验，他们也可以参加此认证考试，但通过 CISSP 考试后，他们将获得（ISC）²的助理认证，并且该认证有效期最长为六年。在这六年内，考生需要积累所需的经验，并将其提交给（ISC）²进行认证，最终获得 CISSP 认证。一旦（ISC）²接受了专业经验要求，认证将转为 CISSP 资格。你可以通过附近的培训机构、在线提供商或独立学习来备考，阅读市场上各种书籍。

认证云安全专业人员（CCSP）

如果你已经在从事云技术工作，并且希望从云安全的角度提升你的职业生涯，那么这项认证就是你应该开始的认证。它是由（ISC）²和云安全联盟（CSA）联合设计的，旨在通过提供所需的知识和技能，帮助云安全专业人士提升技能，涵盖云安全设计、实施、架构、运营、控制和合规性等话题。这个专业认证将帮助考生学习以下六个领域，重点关注云安全：

• 架构概念和设计要求

• 云数据安全

• 云平台和基础设施安全

• 云应用安全

• 运营

• 法律和合规性

你需要具备一定的基础经验：至少五年的信息技术工作经验，其中三年必须在信息安全领域，且至少一年在 CCSP 的六个领域之一。没有足够经验的考生，可以通过成功通过 CCSP 考试成为（ISC）²的助理。

（ISC）²的助理将在六年内积累五年的所需经验。或者，你也可以没有任何经验地参加认证考试，但通过 CCSP 考试后，你将获得（ISC）²的助理认证，该认证有效期最长为六年。五年后，获得经验，你可以申请 CCSP 认证：

信息系统审计师认证（CISA）

注册信息系统审计师（CISA）是由信息系统审计与控制协会（ISACA）提供的 IT 认证，这是一家知名机构。如果你想将 IT 审计作为职业发展方向，CISA 是你应该努力争取的认证。CISA 将教你审计、安全和信息系统控制领域的技能。这个认证在全球范围内被广泛接受，已经成为安全审计认证的事实标准。如果你已经从事信息系统审计工作，拥有安全领域的经验，或者担任 IT 顾问、隐私官或信息安全官，这个认证对你的经验和技能非常有价值。要获得该认证，必须具备至少五年的信息安全工作经验，其中至少三年是从事信息安全管理工作的经验。这个证书将帮助你了解五个领域，并获得全面深入的知识：

• 领域 1：信息系统审计过程

• 领域 2：IT 治理与管理

• 领域 3：信息系统获取、开发与实施

• 领域 4：信息系统运营、维护与服务管理

• 领域 5：信息资产保护

注册信息安全经理（CISM）

注册信息安全经理也是由 ISACA 提供的认证。这项认证主要面向负责管理和治理组织信息安全系统的 IT 专业人员。此认证将帮助你掌握管理安全风险、安全项目开发以及如何管理安全治理、事件管理和响应相关活动所需的技能。与 CISA 类似，CISM 也要求至少五年的安全工作经验，其中三年必须是在信息安全管理方面的经验。你还可以在考试通过后，在五年内提供相关证据。CISM 的重点是以下五个领域：

• 领域 1：信息安全治理

• 领域 2：信息风险管理

• 领域 3：信息安全项目开发

• 领域 4：信息安全项目管理

• 领域 5：事件管理与响应

哪个(ISC)²认证最适合你？

你随时可以访问(ISC)²官网获取最新信息：www.isc2.org/certifications/ultimate-guides

全球信息保障认证（GIAC）认证

GIAC 是全球最大的认证机构之一，提供许多备受推崇且深具技术性的网络安全认证。GIAC 主要由 SANS 研究所成立，旨在为全球专业人士提供高质量的安全培训。GIAC 下有许多旗舰认证，以下列举了一些（你可以在 www.giac.org/certifications/categories 查找其余认证）：

GIAC 信息安全基础（GISF）

GISF 将为你提供机会，学习并展示关键的信息安全概念，理解信息和信息资产面临的威胁与风险。此认证还将帮助你学习如何识别可用于保护信息和信息资产的最佳实践。该认证可视为 GIAC 的入门级认证。你需要学习以下主题：

• AAA 与访问控制

• 应用安全

• 计算机数学

• 密码学算法与攻击

• 密码学基础

• 密码学历史

• 网络寻址与协议

• 网络攻击

• 网络通信基础

• 网络安全技术

• 风险管理原则与安全政策

• 系统安全

GIAC 安全基础认证（GSEC）

GSEC 是一项入门级认证，它将使你能够在网络安全的基本概念和术语之外，发展更多技能。你需要学习以下主题以获得 GSEC 认证：

• 访问控制与密码管理

• 主动防御

• 应急计划

• 关键控制

• 密码学

• 密码学算法与部署

• 密码学应用

• 深度防御

• 可防御的网络架构

• 端点安全

• 强制执行 Windows 安全政策

• 事件处理与响应

• IT 风险管理

• Linux 安全：结构、权限与访问

• Linux 服务：加固与安全

• Linux：监控与攻击检测

• Linux：安全工具

• 日志管理与 SIEM

• 恶意代码与漏洞缓解

• 网络设备安全

• 网络安全设备

• 网络与协议

• 保护 Windows 网络服务

• 安全政策

• 威胁狩猎

• 虚拟化与云安全

• 漏洞扫描与渗透测试

• 网络通信安全

• Windows 访问控制

• Windows 作为服务

• Windows 自动化、审计和取证

• Windows 安全基础设施

• 无线网络安全

GIAC 认证的周界保护分析师（GPPA）

GPPA 为你提供了一个机会，学习保护现代边界所需的技能，现代边界不仅仅是公司防火墙和外围设备，因为现在有云资产，移动设备的使用也带来了挑战。这个认证解决了这些挑战，同时仍然让你学习传统的保护方法，你将获得设计、配置和监控路由器、防火墙以及其他外围防御系统的能力。该认证将覆盖以下主题：

• 高级边界保护

• 云安全

• 创建与审计规则库

• 主机级检测和数据丢失防护（DLP）

• IPv6 和 ICMPv6

• 日志收集与分析

• 基于网络的入侵检测与防御 (NIPS/NIDS)

• 数据包分片

• 边界概念和 IP 基础

• 路由器安全和网络访问控制

• 主机和服务的安全

• 静态和有状态数据包过滤

• TCP/IP 协议

• VPN 基础及实现

• 漏洞评估和审计

• 无线设计与安全

GIAC 认证入侵分析师（GCIA）

GCIA 是最受推崇和认可的安全专业人员认证之一，适合那些希望继续在安全事件处理领域发展的人员。对于有经验的网络安全专家，这项认证同样非常有价值。尝试 GCIA 认证将要求你了解安全事件及如何在网络攻击发生时或发生后处理这些事件。为了参加认证考试，你需要掌握以下主题：

• 高级分析和网络取证

• 高级 IDS 概念

• 应用协议

• TCP/IP 和链路层概念

• DNS、IP 头和分片、IPv6、TCP、UDP 和 ICMP 的概念

• IDS 基础和网络架构

• IDS 规则

• 网络流量分析

• 数据包工程

• SiLK 及其他流量分析工具

• Wireshark 基础

SANS 认证

SANS 是全球最大的资讯安全培训来源之一。它通过多种方式提供培训：现场和虚拟课堂、在线自学、带直播讲解的网络课程、与本地导师的指导学习，或是通过 Simulcast 让你最远的同事也能参与的私人企业培训。

由于 SANS 有许多培训选项，我建议你访问他们的网站，找到适合你需求的课程：www.sans.org/courses/：

为了让你的工作更轻松，SANS 创建了一份路线图，你可以在www.sans.org/cyber-security-skills-roadmap找到它：

思科认证

思科提供业界顶尖的认证，它也是启动你安全职业生涯的绝佳途径，尤其是如果你希望专注于网络安全领域的话。思科认证主要分为四个大类，第一个是入门级认证，即CCENT，第二个是助理级认证，包括CCNA和CCDA系列认证，第三个是专业级认证，涵盖CCNP和CCDP系列，最后是专家级认证，涵盖CCIE和CCDE系列。对于那些希望深入了解网络设计、架构和安全的更专业的从业者，思科认证还提供了CCAr（认证架构师）级别的认证。思科认证的最大优势在于，他们将每个级别分成了九个不同的类别，这使得你能够轻松选择适合你职业生涯和具体技术领域的路径：路由与交换、设计、工业网络、网络安全、服务提供商、服务提供商操作、存储网络、语音、数据中心和无线。这样的划分也很有道理，因为网络这一学科非常庞大，你无法在一项认证中学习所有内容。当然，如果你有足够的时间和资源（我知道现实中很少有人拥有一系列这些认证），你也可以选择在所有九个类别中都获得认证，只是你必须逐一通过它们，并在其中积累专业知识。我们来看看这些认证中的一些（其他的可以在www.cisco.com/c/en/us/training-events/training-certifications/certifications.html上找到）。

思科认证入门网络技术员（CCENT）

这是一个入门级的基础认证。通过这个认证，你将学习网络的基本概念，如何执行网络支持等工作，以及如何实施、操作和故障排除一个小型企业或分支网络。你还将学习网络安全的基础知识。这个认证无疑为你打开了网络领域的职业大门，如果你正在寻找相关职业的话。这也是其他思科认证的基础，例如 CCNA。因为这是一个非常基础的认证类型，我认为任何在 IT 领域的人都可以尝试：

• 服务质量（QoS）的基本理解。

• 一个关于虚拟化和云服务的模块。

• 接触与 WAN、接入层和核心层相关的网络可编程性。

• 学习网络层 1-3 的基础元素。理解这些层次对核心路由和交换非常重要。

• 了解防火墙、无线控制器和接入点的基本原理。

• 学习 IPv6 和基础网络安全。

• 可以访问实验室，在实验课程期间提供使用案例的配置命令。

CCNA 路由与交换

CCNA 路由与交换是 IT 网络世界中另一个备受推崇的认证，几乎所有网络工程师在其网络职业生涯的起步阶段都拥有此认证。如果您计划成为其中之一，您可以期望学习如何实施、操作和配置企业网络，了解 IPv4 和 IPv6 网络以及 LAN 交换机和 IP 路由器的工作原理和配置方法。您还将了解有关广域网和网络安全威胁的知识。最后但同样重要的是，它还教授您如何排除网络故障以及与路由和交换相关的网络设备。除了您可能已经作为 CCENT 的一部分涵盖的主题外，您还将学习一些额外的技能：

• 您将能够管理具有多个交换机、VLAN、干线和生成树的中型局域网

• 掌握故障排除 IP 连接

• 与配置和故障排除增强内部网关路由协议（EIGRP）、开放最短路径优先（OSPF）在 IPv4 和 IPv6 环境中相关的技能

• 您将能够通过定义其特性、功能和组件来构建广域网

Offensive Security 认证专业人士（OSCP）/ Offensive Security's Penetration Testing with Kali Linux（PwK）

这是您可以参加的最佳网络安全培训课程之一。 Offensive Security 的培训课程侧重于攻击性安全，特别是渗透测试领域。由于信息安全领域的专业化非常多，最适合您的课程取决于您的兴趣所在。

Offensive Security 的Kali Linux 渗透测试（PwK）课程侧重于全球渗透测试人员使用的现代技术，因此对您来说是一个很好的起点。

突破周界（CTP）专注于利用开发、Web 应用程序和广域网攻击，这对于渗透测试人员也非常有用；然而，PwK 教授您成为优秀渗透测试人员所需的核心技能。 CTP 还要求具有不同进攻技术的高级知识，因此不建议初学者。如果您认为自己具备所需知识，请随时尝试以下 CTP 课程注册挑战：www.fc4.me/。

除了 PwK 和 CTP 外，他们还有一门专门针对无线渗透测试的课程，名为 Offensive Security Wireless Attacks（WiFu）。

在注册课程之前，我们建议您浏览每个课程大纲，选择符合您兴趣的课程。每门课程都提供在线的大纲，您可以查看涵盖的主题：www.offensive-security.com/information-security-certifications/oscp-offensive-security-certified-professional/。以下截图展示了部分可用课程：

Offensive Security 的 Kali Linux 渗透测试（PwK）

OSCP 是信息安全专业人员最受认可和尊敬的认证之一。要获得认证，您必须完成 Offensive Security 的 PwK 课程，并通过 24 小时的实操考试。为了获得实操经验，每位学员都会获得访问虚拟渗透测试实验室的权限，在实验室中可以练习课程中学到的技巧。OSCP 考试包括一个包含不同配置和操作系统的虚拟网络。考试开始时，学员将收到关于隔离考试网络的考试和连接指示，而他们对该网络没有任何先前的了解或接触。

CertNexus 网络安全应急响应员（CFR）

通过一种理解攻击结构的方式，网络安全应急响应员（CFR）网络安全认证确保个人掌握在攻击发生前、过程中和之后，能够为组织提供所需的高风险技能。

网络安全应急响应员是抵御网络攻击的第一道防线，网络攻击可能会给组织带来宝贵的时间和金钱损失。网络安全应急响应员培训和认证项目将帮助安全专业人员成为应对网络攻击的第一响应者，教学内容包括分析威胁、设计安全的计算和网络环境、主动防御网络以及应对/调查网络安全事件：

要了解更多关于认证的信息，请访问certnexus.com/cybersec-first-responder-cfr-continuing-education-program/。

还有一个名为 CyberSafe 的终端用户培训课程。但这个课程更多面向终端用户。

NIST 网络安全框架

美国商务部的国家标准与技术研究院（NIST）响应总统行政命令《改善关键基础设施网络安全》，创建了 NIST 网络安全框架。该框架是在与行业合作的基础上制定的，为组织提供更好管理和降低网络安全风险的指导。NIST 网络安全框架核心部分提出了行业认为对管理网络安全风险有帮助的关键网络安全成果。核心部分包含四个元素：功能、类别、子类别和信息参考。下图展示了 NIST 网络安全框架的五个阶段：

NIST 网络安全框架

识别

识别功能中的活动是有效利用框架的基础。了解业务背景、支持关键功能的资源以及相关的网络安全风险，使组织能够集中精力并优先考虑其工作，与其风险管理策略和业务需求保持一致。

结果类别如下：

• 资产管理

• 业务环境

• 治理

• 风险评估

• 风险管理策略

以下是一些相关的网络安全课程：

• EC-Council 认证道德黑客

• CompTIA 网络安全分析师

• 注册信息系统审计师

• 注册信息安全经理

• 注册信息系统安全专业人员

保护

保护功能支持限制或减少潜在网络安全事件的影响。

结果类别如下：

• 访问控制

• 意识与培训

• 数据安全

• 信息保护过程和程序

• 维护

• 保护技术

以下是一些相关的网络安全课程：

• CompTIA 安全+

• CompTIA 高级安全从业者

• CompTIA 网络安全分析师

• 思科安全

• EC-Council 认证安全分析师

检测

检测功能支持及时发现网络安全事件。

结果类别如下：

• 异常与事件

• 安全持续监控

• 检测过程

以下是一些相关的网络安全课程：

• CompTIA 网络安全分析师

• 思科安全课程

响应

响应功能支持应对潜在网络安全事件的能力，以减少其影响。

结果类别如下：

• 恢复规划

• 改进

• 通讯

以下是一些相关的网络安全课程：

• EC-Council 计算机黑客取证调查员

• 网络安全首次响应者：威胁检测与响应

• 思科安全

恢复

恢复功能支持及时恢复正常操作，以减少网络安全事件的影响。

结果类别如下：

• 恢复规划

• 改进

• 通讯

以下是一些相关的网络安全课程：

• 注册信息安全经理

• 注册信息系统安全专业人员

• CompTIA 高级安全从业者

总结

本章重点讨论了知识检查，特别是与认证相关的内容。现在有许多开放的电子学习平台，所有平台都提供具有竞争力的课程，并在每个课程成功完成后颁发认证。

认证将为学习者提供在就业市场上的一些优势，而仅拥有学位的申请者则无法获得这些优势。认证向雇主展示你具备主动性，证明你在某个特定领域具有高超的技能，帮助你掌握市场需求技能，推销你的技能，并为那些没有 IT 学位的人开启网络安全职业生涯。选择认证和认证提供商时，必须谨慎。在选择课程之前，你应该评估提供商的声誉、认证的可信度、课程的时长、以前学习者的反馈、学习者所获得的支持程度以及市场需求。

在下一章中，我们将探讨可以公开和商业化消费的各种安全情报资源，以增强组织的安全性。

进一步阅读

查看以下资源，了解本章所涉及的更多信息：

• www.trushieldinc.com/top-3-reasons-you-need-cyber-security-awareness-training/

• altimetersolutions.com/importance-of-cybersecurity-certifications/

• hirevergence.com/importance-of-cybersecurity-certifications/

• www.whitedust.net/the-importance-of-cybersecurity-certification-training/

第十章：安全情报资源

网络安全现在是一个流行词。虽然它可能被认为是一项高阶的、技术性强且复杂的任务，但实际上，它只是一些每个组织中的每个人都可以采取的预防措施，以保持安全。确保所有人员、设备、网络和系统安全并非 IT 部门的唯一责任。大多数攻击甚至不是直接针对网络、设备或系统的攻击。人类是网络安全链中的最弱环节，采取一些额外的安全预防措施可以保护公司免受损失。本章将提供一些组织中的用户可以利用的资源，帮助他们实现这一目标。这将对所有类型的用户（无论是技术人员还是非技术人员）都有帮助。它将告知普通非技术用户应该采取哪些安全预防措施，以避免暴露于安全威胁。同时，它也为技术 IT 用户提供了一个参考点，检查他们组织的安全性，或者学习他们需要实施的解决方案，以为用户和组织拥有的数字资产提供更多的安全保障。

本章将讨论以下主题：

• 清单资源

• 网络安全建议和可靠的信息来源

• 网络安全课程

• 网络安全威胁情报资源

清单资源

网络安全清单网站旨在为用户提供一个快速的概览，帮助他们检查是否暴露于威胁中。它们还引导用户采取进一步的步骤来保护自己。本章已确定以下综合清单资源。

安全清单

安全清单 (securitycheckli.st/) 是一个在线平台，所有用户都可以参考，它提供了一个全面的清单，列出了减少遭受攻击风险所需做的所有事项。该平台专注于保护隐私，防止暴露于恶意软件和钓鱼攻击。安全清单包含以下项目：

• 密码管理器：为你所拥有的所有服务创建独特密码是一个大问题。大多数用户会重复使用相同的密码，这使他们暴露于更多的威胁中；一旦一个账户被入侵，黑客就能访问你的其他账户。许多涉及凭证盗窃的攻击已导致这些文件在黑市上出售。买家会尝试使用这些凭证访问与用户名相关联的其他账户。这个网站提供了多个密码管理器选项，用户可以在 Windows、macOS、iOS、Android 和 Linux 上下载并安装。它还提供了关于密码管理器的阅读资源，帮助用户了解它们的功能。

• 创建强密码：清单中的下一项是使用强密码。本网站提供了有关密码最小长度和组成的指南。它还告诉用户在旅行时禁用 TouchID 和 FaceID。它引导用户访问几个网站，详细了解密码是如何被破解的，如何在 iOS 和 Android 上更改密码，以及如何禁用 TouchID 和 FaceID。

• 双因素认证 (2FA)：列表中的第三项是双因素认证 (2FA)，其重点是在常规登录凭据上添加另一层安全性。简要讨论了 2FA，并给出了设置指南。

• 加密：清单中以加密作为一种安全技术，帮助您保持安全。简要讨论了加密，资源解释了如果有小偷偷走了您的计算机或手机，加密可以防止数据被读取。提供了可以用来学习如何加密 iOS、Android、Windows 和 macOS 设备的资源链接。

• 冻结信用记录：由于许多安全漏洞导致数十亿用户的数据丢失，包括各种公司，该网站提醒您应该假设黑客已经知道您的社保号、信用报告和其他个人详细信息。为了防止黑客使用这些信息开立新的信用额度，该网站鼓励用户（在美国）在所有信用局上启用信用报告查询冻结。

• 将 DNS 更改为 1.1.1.1：许多用户并不知道，他们在互联网上访问的大部分内容都是通过 DNS 提供支持的，DNS 的作用是将域名转换为 IP 地址。但是，DNS 非常不安全，已经确认服务提供商会记录并出售通过其传输的数据。您可以切换到专注于安全和隐私的 DNS 工具。Cloudflare 提供了 1.1.1.1 DNS 地址，仍然提供域名解析，但比服务提供商提供的普通 DNS 更快、更安全。该网站提供了有关切换到安全 DNS 的更多信息的链接。

• VPN：互联网连接并非始终安全，容易受到中间人攻击。此外，协议分析器（如 Ethereal 或 Wireshark）可用于捕获网络中流动的流量并识别正在访问的站点。VPN 解决了这个问题，提供了加密的安全互联网连接，使您发送或接收的所有数据都无法被窥探网络的人读取。该资源提供了六个值得信赖的 VPN 提供商：IVPN、Encrypt.me、ExpressVPN、NordVPN、ProtonVPN 和 Private Internet Access。这些大多数在所有操作系统上都可用。

• 摄像头保护盖和隐私屏幕：有些网站包含恶意脚本，能够在未经授权的情况下开启你的摄像头并拍照或录视频。也有可能关闭摄像头正在工作的指示灯。此外，在公共场所上网还会暴露你面临旁窥风险，即恶意人士通过观察你输入的信息，窃取敏感数据。该网站提出了两种解决方案：摄像头保护盖和笔记本隐私屏幕。摄像头保护盖能够阻止黑客在劫持摄像头时看到任何内容，而隐私屏幕则是一个过滤器，能够阻挡超过 60 度角度之外的屏幕视线。

• 隐私优先的电子邮件、浏览器和搜索引擎：该网站警告说，许多服务提供商会追踪和指纹识别设备，以进行广告投放。他们提供了以下替代方案：

  • 浏览器：Brave、Safari 和 Firefox

  • 搜索引擎：duckduckgo.com

  • 电子邮件提供商：ProtonMail、FastMail 和 Tutanota

• 审查应用权限：有越来越多的应用请求过多的权限，访问那些与其主要功能无关的敏感数据。其他应用则被授予权限，允许它们作为间谍工具运行。最常被滥用的权限包括位置、麦克风、摄像头、联系人和消息。除了应用程序，某些服务也会请求访问社交媒体账户，但获取的数据与它们提供的功能无关。例如，一个 Twitter 粉丝数服务可能会获得读取你收件箱消息的权限。部分安全检查清单提醒用户撤销应用和服务的过度权限。清单提供了资源，指导 Android、iOS、Windows 和 macOS 用户管理他们授予应用的权限。此外，清单还提供了可以选择退出访问社交媒体账户数据的服务的资源。

• 社交媒体隐私设置：在社交媒体网络上，可以轻松获取大量个人信息。黑客通常会通过侦察，收集尽可能多的信息来对特定目标发起攻击。社交媒体平台充斥着过多的个人信息，如出生日期、住址和家庭成员姓名等。社交媒体平台通常有隐私控制选项，但大多数用户要么忽略它们，要么根本不去查看。

• 安全检查清单：提供了一些资源，解释如何更改不同社交媒体平台上的多个隐私设置。

• 关于钓鱼攻击的教育：黑客并不仅仅依靠利用漏洞工具和高级软件来入侵账户。有时，他们只是通过虚假借口请求用户的访问权限。许多钓鱼攻击是通过电子邮件进行的，用户被诱骗与自称来自合法公司的人员分享敏感凭证。在许多情况下，受害者会收到恶意链接，这些链接是一些常用网站登录页面的完全复制品。一旦用户输入了他们的详细信息，黑客就会使用这些信息在正确的网站上进行操作，盗取资金或数据。

• 保持设备更新：清单中的最后一项提醒用户，必须保持软件和应用程序的最新版本。虽然了解应用程序或计算机是否有更新可能很容易，但对于其他设备，如路由器，更新是否可用就不那么明显了。此外，用户并不总是会在更新发布时主动安装补丁。该清单提供了链接，指向权威网站，解释了用户为何、何时以及如何安装更新。

网络安全建议和可靠的信息来源

网络安全情报的另一个重要类别是获取有关新攻击的可信警报，以及如何防范成为网络犯罪分子的受害者的建议。以下是提供这些信息的一些网站：

• Krebs on Security (krebsonsecurity.com/)：提供有关网络安全新闻和网络犯罪及相关事件的调查详细信息。该网站提供大量关于网络安全领域发生事件的更新信息。例如，在写这篇文章时，网站的热门帖子解释了谷歌如何在 2017 年停止所有针对员工的钓鱼攻击。正如帖子中详细说明的那样，谷歌通过淘汰密码，而是为员工提供了物理安全密钥和一次性访问码来解决这个问题。该帖子的相关性在于，谷歌计划通过允许 Android 手机作为物理安全密钥来将这一解决方案公开。然而，实施仅限于谷歌关联的服务。另一个相关的帖子是关于一家意大利公司在发生数据泄露事件两年后才承认其遭到黑客入侵。此次入侵涉及超过 200 万个客户的个人数据被盗。被入侵的公司 Buca di Beppo 在两年内淡化了这些指控。然而，该公司后来承认自己确实遭到黑客攻击。遗憾的是，客户的数据已经在黑市上被发布并售卖。

该网站适合那些想要阅读最新网络安全新闻，并了解公司发布的新安全工具的人。所有帖子都经过彻底的研究和信息采集。网络安全专家可以利用这些信息进一步保护他们的组织，而普通用户则可以了解更多关于网络犯罪的动态以及采取适当网络安全措施的重要性。

• Naked Security (nakedsecurity.sophos.com)：该网站由领先的网络安全公司 Sophos 拥有，Sophos 提供多种安全产品和服务。该网站提供详细的网络安全新闻，重点告知读者有关新网络安全工具的信息以及如何实现这些工具。它还提醒用户关于新出现的网络犯罪事件，以及如何防止自己成为受害者。在撰写本文时，最新的帖子详细介绍了酒店房间内间谍摄像头的隐私侵犯技术。帖子解释了如何在酒店中发现间谍摄像头，以及如何扫描酒店网络以查找间谍摄像头。间谍设备的名称通常与普通设备不同。帖子表示，利用可疑设备的 IP 地址，可以扫描开放端口，检查是否有rtsp（实时流媒体协议）或rtmp（实时消息协议）服务在运行。然而，作者提醒读者，单靠这一方法并不足以可靠地发现网络中的间谍摄像头。该网站内容非常详细，用户可以从每一篇帖子中学到新的网络安全知识。

• Dark reading (www.darkreading.com)：这是一个面向技术读者的新闻与咨询网站。该网站发布与网络安全相关的故事，告知读者在实施网络安全解决方案时应具备的技能或应该关注的趋势。在撰写本文时，网站的一个热门帖子详细介绍了网络安全专家应具备的基本技能。帖子通常内容详尽，但分为多个页面。不过，该网站为网络安全的初学者和专家提供了有价值的建议，是一个宝贵的信息资源。

网络安全课程

由于网络犯罪的动态变化，网络安全专业人员或有志于从事此职业的人必须跟上市场上所需的技能。此外，他们还必须拓宽知识面，熟悉多种威胁和安全解决方案。现在有一些网站为那些愿意深入学习网络安全的人提供免费培训，我们将一一介绍。

SlashNext

这个网络安全情报资源专注于今天组织面临的最大挑战之一：网络钓鱼。即使公司投入大量金钱和其他资源建立了多层安全防护，仍然会通过员工的疏忽被网络犯罪分子攻破。网络钓鱼已经成为一种噩梦，并且已经导致了许多受害者。

例如，攻击雅虎导致其 20 亿用户敏感信息被窃取的事件，就被归因于网络钓鱼。许多其他公司也成为了网络钓鱼攻击的受害者，员工仅仅是交出了登录凭据、汇款或点击了恶意链接，导致他们的设备被感染。SlashNext 表示，网络钓鱼可以通过电子邮件、网络上的免费软件、浏览器插件、在线聊天论坛、社交媒体、消息和浏览器中的弹窗发起。在与目标进行初步接触后，黑客会使用一切可用的技术来赢得信任，从而攻击目标。SlashNext 提供了一场 30 分钟的信息性网络研讨会，介绍了新型网络钓鱼攻击、现有解决方案为何无法应对这一威胁，以及组织如何利用实时威胁情报在员工受到攻击之前阻止网络钓鱼尝试。

Springboard

Springboard 提供了一门网络安全基础课程，旨在帮助那些希望复习或开始学习网络安全的人。学习者将接受一个 38 小时的培训课程，课程分为九个模块。通过这门课程，你将获得网络安全的基础理解，并可以通过专注于某些领域进一步发展你的技能。

Cybrary

自 2015 年以来，Cybrary 一直提供免费的网络安全培训。培训分为多个课程，你可以将其视为微学位。该网站的优势在于为学习者提供工具包、实训实验室和实际测试。它非常适合网络安全领域的初学者、中级者和专家。

美国国土安全部

这是一个相当值得注意的免费培训资源补充。美国是网络攻击的首要目标，而大多数美国公民对网络安全的基本知识并不知晓。该网站向所有渴望了解更多关于网络犯罪和网络安全的人提供免费培训。由于针对美国公司的许多攻击是工业间谍行为，因此该部门培训网站提供的课程聚焦于工业环境。该课程是为网络安全初学者设计的，但专家也可以通过它专注于防止对工业系统的威胁。学员完成课程后将获得认证。

还有许多其他网站提供网络安全培训。然而，许多免费的学院并未提供优质的教学材料，也没有颁发认证证书。这里列出的三个网站提供认证证书，并且它们都有高质量的信息。因此，它们是无价的网络安全情报来源。

网络安全威胁情报资源

到现在为止，你已经阅读并学习了如何提升自己在网络安全方面的能力。现在让我们探讨各种威胁情报资源，以进一步扩展我们的知识库。本节将带你了解结构化威胁信息表达（STIX）、可信自动化情报交换（TAXII）、Oasis 开放命令与控制（OpenC2）、交通信号灯协议（TLP）和MITRE 的网络分析库（CAR）。掌握上述资源的知识后，你将更好地识别威胁和漏洞。

结构化威胁信息表达（STIX）

结构化威胁信息表达，通常称为 STIX，是一种用于交换与网络攻击相关的威胁情报的特殊语言格式。STIX 是开源的，任何人都可以免费使用。STIX 使我们能够从任何角度共享威胁情报，如怀疑或妥协的信息（IoC）。它还允许我们通过对象和它们之间的详细关系清晰地表示威胁信息。STIX 通常以 JSON 格式共享，但也可以以可视化的方式呈现，供任何分析师利用这些信息。共享的信息可以轻松与安全分析工具集成。STIX 有 12 个领域对象，用来定义威胁元素（更多信息可以在oasis-open.github.io/cti-documentation/stix/intro找到）：

• 攻击模式：允许我们描述威胁行为者如何通过提供关于战术、技术和程序（TTP）的信息来试图妥协任何目标。

• 攻击活动：描述在一段时间内，针对特定目标群体的特定恶意活动和攻击行为的分组。

• 行动方案：定义为了防止或应对攻击需要采取的措施。

• 身份：该对象有助于定义个人、组织或团体，以及个人、组织或团体的类别。

• 指标：它可以包含一个威胁信息的模式，用于检测可疑或恶意的网络活动。

• 入侵集合：描述攻击者或对手行为和资源的组合，通常认为这些行为由某个单一的威胁行为者进行协调。

• 恶意软件：有关恶意代码和恶意软件的信息，这些恶意软件可用于危害受害者数据或系统的机密性、完整性或可用性。

• 观察数据：包含在系统或网络中观察到的信息（例如，源 IP 地址或目的 IP 地址）。

• 报告：此对象可能包含与威胁行为者、恶意软件、攻击技术或上下文数据描述相关的威胁信息。

• 威胁行为者：此对象可以包含关于任何被认为有恶意意图的个人、团体或组织的信息。

• 工具：有关软件包的任何信息，这些软件包可被对手用于执行攻击。

• 漏洞：软件中的漏洞或错误信息，黑客可以直接利用它来危害系统或网络。

这是 STIX 的示例 JSON 结构：

{
"type": "<any ond the 12 objects>",
"id": "object--xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"created": "yyyy-mm-ddThh:mm:00.000Z",
"name": "<Attacker group name and target>",
"description": "<Description of the campagin can be given here>"
}

可信自动化情报交换（TAXII）

可信自动化指标信息交换（TAXII）是一种标准的消息交换方式，提供不同组织和产品/服务边界之间可操作的网络威胁信息共享机制。TAXII 定义了概念、协议和消息交换，用于交换网络威胁信息，帮助检测、预防和减轻网络威胁。广义上讲，TAXII 覆盖了两种主要的共享模型服务：

• 集合：这是一个接口，用于访问由TAXII 服务器提供的网络威胁情报（CTI）对象库，进一步允许生产者托管一组 CTI 数据，TAXII 客户端和服务器可以请求这些数据，以请求-响应模型交换信息（更多信息请参考oasis-open.github.io/cti-documentation/taxii/intro），如下所示：

• 通道：由 TAXII 服务器维护。通道允许 CTI 生产者将数据推送到多个消费者，并允许消费者从多个生产者接收数据。TAXII 客户端通常会与其他 TAXII 客户端以发布-订阅模型交换信息，如下所示：

OASIS 开放指挥与控制（OpenC2）

OASIS 开放指挥与控制（OpenC2）是一个技术委员会，致力于生成由 OpenC2 社区论坛产生的成果。OpenC2 技术委员会的任务是起草文档、规范或其他成果，以行业标准的方式支持网络安全指挥与控制的需求。该技术委员会还在很大程度上利用现有的标准，并实际识别与提供或支持网络防御技术的指挥与控制相关的空白 (www.oasis-open.org)。

流量灯协议（TLP）

交通灯协议（TLP）的创建是为了促进信息共享。TLP 是一套设计标识符，用于确保敏感信息与适当的受众共享。它使用四种颜色来指示接收方应采取的共享边界，以及根据接收方需要应用的不同敏感性和相应的共享考虑。TLP 只有四种颜色；任何不在此标准中的标识符都不被 FIRST 视为有效。

TLP 是一种简单直观的模式，用于指示何时以及如何共享某些敏感信息，以便进行更高效、重复性的协作，但另一方面，TLP 不应被视为 “控制标记” 或分类。TLP 优化了易于采用、易于理解、点对点共享的信息传递方式；它也可以在自动化共享中使用。共享威胁信息的来源方负责确保接收方完全理解 TLP 信息共享的指导方针。如果接收方希望进一步共享该信息，他们必须获得信息所有者的明确许可。以下是可以用于标记信息的 TLP 定义（详细用法请访问 www.us-cert.gov/tlp）：

MITRE 的网络分析库（CAR）

网络分析库（CAR）是一个基于 对手战术、技术和常见知识（ATT&CK）威胁模型分析的库，该模型由 MITRE 开发。存储在 CAR 中的分析信息包括诸如主题分析思路的解释、主要领域信息（例如，主机、网络、进程、外部）、与 ATT&CK（attack.mitre.org/ ）技术相关的参考资料，以及可以用于实现和测试分析的伪代码和单元测试。你可以在 car.mitre.org/ 查找更多详细信息，供进一步研究和阅读。

ENISA 的 IntelMQ

IntelMQ 是一个为任何 CERT、CSIRT 或其他安全团队提供的平台。这个平台是 ENISA、CNCS（葡萄牙国家网络安全中心）、CERT.AT、CERT-EU 和 CERT.BE 的事故处理自动化项目发起的社区驱动的倡议，旨在通过利用消息队列协议来收集和处理安全数据流。IntelMQ 专注于减少系统管理的复杂性，为新的数据流编写新模块，使用 JSON 共享的通用格式，集成常见的现有工具，提供将信息存储在流行日志收集器（如 Elasticsearch 和 Splunk）中的灵活性。该平台还提供灵活性，可以为自己的使用创建自定义黑名单，并通过 HTTP RESTFUL API 共享威胁情报。有关其使用的完整详情和实现指南，请访问github.com/certtools/intelmq。

Recorded Future

Recorded Future (www.recordedfuture.com/) 是一款基于 SaaS 的高级产品。该平台将来自开源、暗网和其他技术来源的威胁情报的自动收集与分析整合到一个单一解决方案中。Recorded Future 使用先进的技术，如自然语言处理（NLP）和机器学习，来实时处理、丰富并提供威胁情报。该平台能够将威胁情报情境化，提供主动的威胁信息，以帮助制定安全策略。通过机器学习处理和分析大量威胁情报数据的能力，帮助分析师缩短得出结论的时间。你可以通过他们的基于 Web 的平台访问 Recorded Future 的威胁情报数据，该平台还可以与多种网络安全解决方案集成。它将帮助你广泛了解你所处的威胁环境，并丰富安全团队的警报。Recorded Future 还提供与多个深度分析产品、事件响应工具、情报平台、网络检测产品、SIEM、SOAR、威胁狩猎、漏洞管理工具和工单系统的集成。

Anomali STAXX

Anomali STAXX (www.anomali.com/community/staxx) 是一款通过连接到 STIX/TAXII 服务器分享威胁情报的工具；它让你能够根据具体需求搜索和配置自己的威胁数据源。它还允许你将威胁情报数据导入 Anomali STAXX，然后将选定的情报数据上传到其他 STIX/TAXII 服务器。该平台提供了一个非常简单和互动的界面，可以快速浏览与威胁相关的信息。Anomali 平台帮助你收集来自 OSINT 和 ISACs 的威胁情报。

由于从多个来源收集的威胁情报量庞大，STAXX 平台为分析师提供了一个标准化且丰富的威胁背景，供安全操作和事件响应使用。该工具还通过应用自己的评分方法来帮助识别对你的组织最具威胁的情报，并为你提供该威胁的历史背景。Anomali STAXX 具备与现有 SIEM 和 EDR 解决方案的出色整合能力，帮助你进行安全操作。

网络威胁情报流

正如你现在所知道的，网络威胁情报侧重于提供关于对手的可操作信息，以建立适当的网络防御来应对攻击。

知道正确的资源将帮助你加速研究，并获得行业内的正确建议。以下是这些资源（按字母顺序排列）：

• AlienVault.com: 来自多个来源的情报，包括大型蜜罐网络，能对对手进行分析。

• Cyveilance.com: 提供关于威胁行为者和犯罪意图指示的独特情报流。

• EmergingThreats.net: 提供多种情报源。

• FireEye.com: 动态威胁情报 (DTI) 服务。

• Hacksurfer.com (SurfWatch)：为你的业务量身定制的洞察。

• InternetIdentity.com: 来自其大数据解决方案 ActiveTrust 的威胁数据流。

• RecordedFuture.com: 来自网络的实时威胁情报。

• 通过智能安全图进行高级安全防护 (www.microsoft.com/en-us/security/operations/intelligence): 通过先进的分析技术将大量的威胁情报和安全数据关联起来，为你提供无与伦比的威胁防护和检测。

• Secureworks.com: 提供情报流并对网络进行监控。

• Symantec.com: DeepInsight 提供关于多种话题的情报，包括声誉。

• Spytales.com：关于间谍的过去、现在和未来的一切知识。

• Team-Cymru.com：威胁情报以及 bogon 列表。

• TheCyberThreat：我们的 Twitter 账号，内容高层次但全面且经过精心策划。

• ThingsCyber.com：关于网络冲突和网络安全的最关键课程，与你今天的防御息息相关。

• ThreatConnect.com：由 Cyber Squared 创建，专注于信息共享。

• ThreatGrid.com：统一的恶意软件分析工具，现在是思科的一部分。

• ThreatIntelligenceReview.com：定期更新的威胁情报来源评审。

• ThreatSTOP.com：通过 IP 声誉屏蔽僵尸网络。

• ThreatStream.com：著名团队，多个来源的互操作平台。

• ThreatTrack.com：恶意网址、IP 和与恶意软件/钓鱼攻击相关的数据流。

• Verisigninc.com：iDefense 提供的信息源，受到一些关键机构的高度评价。

摘要

本章重点介绍了安全情报的宝贵资源。我们研究了三大类资源：安全检查清单、新闻或咨询网站以及网络安全培训网站。所讨论的安全检查清单内容全面，带领用户从 A 到 Z 完整地走过安全防护过程，旨在确保用户及其设备免受黑客、间谍、诈骗和隐私侵犯的威胁。该检查清单已明确指出用户需要拥有的安全工具，以确保设备的安全。它还强调了用户在社交媒体上暴露个人信息时应采取的一些安全措施。本章还介绍了值得信赖的新闻来源，这些来源同时充当网络安全顾问。所评审的网站提供了关于网络安全事件的深入研究信息，详细分析了事件发生的原因及其防止措施。例如，某网站介绍了酒店房间中存在间谍摄像头的隐私问题，并解释了一种相对简单的方式，技术精通的人可以通过网络和端口扫描追踪这些间谍摄像头。最后，本章介绍了网络安全培训资源，并重点介绍了四个资源，第一个提供钓鱼攻击的培训，其他则提供更广泛的课程并附有证书。所有讨论的资源对于任何有意从事网络安全工作的人，或为了自我保护免受攻击的人来说，都是无价的。

进一步阅读

查阅以下资源，获取有关本章所涵盖主题的更多信息：

• slashnext.com/

• www.nativeintelligence.com/resources/links

• www.intelligence101.com/99-of-the-best-intelligence-resources-some-youve-probably-never-heard-of/

• www.microsoft.com/zh-cn/security/operations/security-intelligence-report

• www.liferaftinc.com/resources/

第十一章：关于如何开始网络安全的专家意见

为了让这本书更具价值，并帮助你在网络安全的旅程中脱颖而出，我联系了一些行业专家，询问他们是如何开始自己的网络安全职业生涯的，并向他们请教，能给你什么建议，帮助你提升自己。

我与来自微软、渣打银行、SAP、FireEye 等财富 500 强公司的行业专家，以及来自牛津大学、查尔斯·斯图尔特大学的专家、退役军人、现役网络安全顾问、架构师、招聘经理、黑帽大会及其他顶级安全会议的演讲者、网络安全公司老板和执法专业人士进行了交流。希望本章内容能对你的职业生涯有所帮助。

安·约翰逊

微软公司副总裁

“我们的团队必须与我们要解决的问题一样多样化。”

上述陈述不是空洞的口号，也不应被轻视或过度炒作。我们正面临一场网络犯罪的斗争，它影响着我们生活的各个方面，包括政府、金融系统、粮食供应、水资源供应、关键基础设施和医疗保健。近年来发生的大规模网络事件威胁着我们的生活方式。因此，问题变成了，我们是如何走到今天的？更重要的是，我们从这里该如何前进？作为一名候选人，你能做些什么来追求网络安全的职业？

为了说明这一点，让我带你回顾一下我的个人职业历程。我大学毕业时主修政治学和传播学，并有志于上法学院。我被法学院录取并获得了学费和费用的奖学金，但我由于本科时的经济负担，且对食物、住房、医疗等方面感到担忧，最终决定放弃法学院，选择追求一份职业。1980 年代末，北犹他州对没有直接应用专业（如会计或医学）学位的毕业生而言，工作机会十分稀缺，我最终搬到了洛杉矶地区。我曾在一家医疗公司做过一段时间的行政助理，随后找到了我在科技领域的真正兴趣。

我的职业起点来自一则报纸广告，广告内容是招聘一名地面销售员，年薪为 17,000 美元。我对计算机略知一二——能使用计算机——而且我知道自己能与人沟通，因此我的职业生涯由此开始。我参加了所有可用的供应商培训，并且在学习和发展我的技能方面非常勤奋。我很幸运有两位早期的职业导师，他们鼓励我的成功，并教会我他们所知道的一切。我承担了与运营、销售、网络架构与安装、计算机维修、存储、合作伙伴关系、客户关系等相关的任务。我学到了很多，吸收了所有能学到的东西。当时，大型主机和小型计算机主导了行业，个人计算机和客户端-服务器系统开始崭露头角。存储系统是庞大的近线设备，首席信息官最关心的是数据中心中的一条恶意电话线。正式的 CISO 职位很少，安全人员通常分为两类：调查员和网络专业人员。我有些偶然地进入了安全领域，但这其实是有计划的。

1999 年，我在芝加哥担任 Data General 的医疗保健专家。Data General 被 EMC 公司收购。我在收购后探索了自己的选择，并决定做出改变。这一改变的灵感来自于我携带的硬件令牌用于身份验证。我对这项技术感到非常着迷，因此我开始关注一家公司——RSA Security，并最终被聘为 PKI 专家。我不仅需要查找这个术语的定义，还需要学习并理解 PKI，这我做到了。于是，在 2000 年，一个新的职业生涯开始了——我依然在技术领域，但转向了一个高度专业化但非常初创的领域——网络安全（当时称为信息安全）。到那时，CISO 职位已经存在——在一些大型组织中——而双因素认证（2FA）仅被大约 20%的企业员工使用（是的，就只有这么多）。

自 2000 年以来，我再次致力于自学、学习和成长——深入理解网络安全的基础技术以及威胁行为者的方法、模式和动机。我还认识到，网络安全岗位的人实在太少了。我们曾经开玩笑说，大约在 2000 年，人们在年度咖啡预算上的开支比 IT 安全预算还要多。如果他们有防火墙、路由器、杀毒软件，并且高价值用户使用了双因素认证，就认为一切都已覆盖，对于大多数组织来说，这就足够了。他们没有为随时随地连接设备的快速增长、与传统服务器一样强大的移动设备的爆发、基于云的技术、国家资助的威胁行为者的爆发，或者恶意软件和网络犯罪作为一个行业的爆发做好准备或足够的预算。大学和学院在提供网络安全课程上有所延迟，依赖许多基于网络的课程来覆盖这一主题。网络安全专业人员大多来自网络或调查背景，而整个行业正因过多的离散工具和过多的单一解决方案而陷入崩溃。

按任何标准，目前全球约有 100 万个空缺的网络安全岗位，所有岗位的要求几乎都类似于“必须有 10 年经验，STEM 学位....”。作为一个行业，我们正在成为自我实现的预言。我们声称想要多样化的背景和技能，并且有太多职位空缺；我们想要减少复杂性，但我们继续招聘相同的职位档案，抱怨人才的匮乏，并选择一个单一解决方案加入我们不断扩展的解决方案清单，因为它能解决一个特定的问题。

这种群体思维，作为一种行业，限制了我们在招聘多样化人才和部署解决问题所需的解决方案与技术的选择。例如，研究表明，多样化的团队在 78%的情况下能够做出更好、更快速的决策。然而，出于快速填补职位空缺的需要，以及由于急于保护我们的基础设施而缺乏培养下一代网络安全专业人才的根本愿望，我们忽视了这一点。

作为一名自学成才的基础设施专业人士，同时通过供应商和行业培训的沉浸式学习自学网络安全，我强烈支持引入来自各行各业、拥有不同视角的新声音，推动行业的有意义变革，并始终保持领先一步，超越不法分子。此外，我们的工具必须现代化。我们必须充分发挥如机器学习等工具的能力，来应对我们每天所面临的数万亿的威胁。我们还必须与公共组织、私营公司、同行和竞争对手建立合作关系。我们必须像一个社区一样行动；像一个行业一样运作。我们还必须考虑到作为防守者的压力，尤其是在人员短缺的环境中，往往需要工作异常长的时间。

那么，这一切最终会把我们带到哪里呢？它让我们看到一个仍有改进空间的行业。我们拥有工具，拥有技术，拥有可用的人才池，但我们必须有决心。我们必须有冒险的决心；我们必须接受变革是必要的。我们必须有决心雇佣来自不同教育和社会背景的各类人才。我们必须建立一个关爱成员并赋能每个人发挥最佳水平的社区。我们实际上没有选择；网络犯罪已然存在并将持续下去。现在需要的是一个网络安全行业，它作为一个社区，聚集最好的工具、人才和合作伙伴，形成一个强有力的解决方案。我们可以通过从小学到高中各个层级的教育项目投资，通过资助奖学金和为多元化人群提供导师计划的组织投资，通过支持帮助退役军人转型和再培训失业工人的项目来实现这一目标。我们可以通过简化行业术语、降低其威胁感来将网络安全带给更广泛的民众。我们可以广泛地进行指导，且频繁地公开发声，呼吁变革并落实所需的步骤。

鉴于行业发展的需要，作为候选人，你能做些什么？我在这里描述我的经历，是为了鼓励你在整个职业生涯中保持创造性并自我学习。作为候选人，你需要努力以一种方式描述你的技能，使它们能够适应网络安全领域。你是一位经验丰富的教师吗？我们需要学习材料来用更简单的术语解释复杂的概念。你学的是心理学吗？我们需要理解攻击者的动机。你在执法部门工作吗？我们需要完成调查。你是商业分析师吗？我们需要理解海量数据。如果你是程序员、网络工程师或数据库架构师，安全领域为你提供了一个自然的位置——利用你现有的技能并学习新技能。敢于冒险，成为网络安全实现全球企业和政府安全使命变革的一部分。寻找导师并向他们学习。现在就行动，加入一个快速成长、充满激情的行业。

安·约翰逊是谁？

作为微软网络安全解决方案集团的企业副总裁，安·约翰逊负责监督微软这一全球最大科技公司之一的网络安全解决方案的市场战略。在这一职责下，她领导并推动微软短期和长期安全解决方案路线图的演变与实施，并确保市场、工程和产品团队的协调一致。

在加入微软之前，她曾担任多家公司的高管领导角色，包括 Boundless Spatial 的首席执行官、漏洞管理先驱 Qualys Inc.的总裁兼首席运营官，以及 EMC 公司旗下 RSA Security 的全球身份与欺诈销售副总裁。

埃姆雷·埃伦·科尔克马兹博士

牛津大学

大众在新技术革命中的角色是什么？

人工智能（AI）的快速技术进步即将改变现有的商业模式。公司们开始使用 AI 来帮助管理员工、吸引客户的忠诚度并促进客户的增长，同时增加供应链的透明度。公司们还在利用 AI 来自动化关于员工、客户和供应商的决策过程。

这一过程始于企业利用大数据分析提高供应链的透明度，随后企业通过基于云的系统和人工智能处理全球从成千上万个工作场所收集的大量数据。旨在通过开发人工智能和区块链技术（blog.sweetbridge.com/managing-supply-chains-on-the-blockchain-a-primer-1f7dc293e3d9?gi=8bee415e5b5a）来改善供应链可追溯性的努力仍然相当新颖，至今的重点主要局限于确保产品能够从供应链的低层级追溯到超市货架。专注于可持续性的倡议更少（deepmind.com/blog/deepmind-ai-reduces-google-data-centre-cooling-bill-40/），而这些倡议大多集中在环境可持续性方面（www.eli.org/vibrant-environment-blog/environmentalism-next-machine-age）；到目前为止，人工智能在解决劳动和人权问题方面的潜力几乎没有受到关注。然而，显而易见的是，人工智能将在这些领域产生真正的影响，并将直接影响公司、供应商、工人和客户之间的现有关系。

因此，人工智能可以非常迅速地分析大量数据，并提供可以用于决策的信息总结（link.springer.com/article/10.1007/s13347-017-0263-5）。然而，在这一背景下，主要的担忧是人工智能分析在多大程度上能够被依赖，以得出不只是简单地再现和合法化现有歧视或不平等的客观判断（link.springer.com/article/10.1007/s13347-017-0285-z）（www.telegraph.co.uk/technology/2017/08/01/algorithms-future-must-not-allow-become-shield-injustice/）。这一担忧促使了关于算法问责制和透明度的讨论。人们也开始努力理解如何减轻算法在生活中各个重要领域（例如申请银行贷款或寻求司法公正）可能产生的歧视性和不公正的决定。

企业的革命？

企业越来越多地借助数字化专业知识来管理其全球生产，通过实时追踪供应链中的每个动作。企业将人工智能应用于运营能够提供更好的可见性和可预测性；然而，这些努力目前还没有将人权纳入其设计中。

随着涉足人工智能开发的科技公司将全球企业作为他们的客户，他们并不一定关注工人或当地企业的利益和期望。利用人工智能监控生产可能会极大地增强企业在与供应商和工人之间的权力对比，导致雇主可能对工人进行监控。全球工会联合会（UNI Global Union）的“未来工作世界”计划提供了关于伦理人工智能的 10 项原则（www.thefutureworldofwork.org/docs/10-principles-for-ethical-artificial-intelligence/），并告知人工智能设计师和公司，工人参与的重要性，旨在保障工人利益并保持工作场所中的权力平衡。

此外，如果算法（基于实时信息，从全球多个国家的数千个工作场所获取信息，重点关注可见性和可追溯性）开始在日益竞争激烈的市场中管理供应商，不同国家和工作场所之间为了提高利润进行的不断比较，可能会加大对价格、交货时间和生产力的压力。这将为这些供应商带来巨大的压力和脆弱性。当地企业（供应商）将把所有这些压力转嫁到工人身上，工人将成为这个过程的真正输家。

目前的主流商业模式是，公司为了保持竞争力，哪怕不惜一切代价降低价格，这导致了供应商（通常位于全球南方）在生产力提升和工资下降的过程中，出现了“恶性竞争”。这一模式（www.ethicaltrade.org/blog/modern-slavery-and-child-labour-its-all-about-choice）加剧了通过童工劳动对儿童的剥削，催生了现代奴隶制的情况，并削弱了健康和安全条件。

因此，工会和非政府组织采取了许多措施，支持可持续和公平的商业，并增强供应链中的人权尊重。联合国《商业与人权指导原则》（www.unglobalcompact.org/library/2）推动的人权尽职调查是公司履行尊重人权责任的一项期望。这种方法使所有利益相关者能够合作，以确定在工作场所或行业内损害员工的实际和潜在风险。不同于单方面的决策过程，这种方法注重行动，并呼吁各方进行谈判，以解决和减轻潜在及实际风险所造成的损害。

这些模型为利用人工智能管理与供应商和员工关系的公司提供了重要的教训。如果开发算法和训练机器的科技公司忽视该领域所有的积累经验，它们可能会破坏全球企业、供应商和工人之间现有的关系，并通过向企业提供难以想象的权力来抹去人权。

技术进步的预期结果取决于用户的方式，使用人工智能管理供应链可能产生积极影响。重要的是，企业和公民社会应考虑两个问题：

• 我们如何向机器教授人权和劳动权利？(www.siia.net/Press/SIIA-Releases-Ethical-Principles-for-Artificial-Intelligence-and-Data-Analytics-with-Support-from-the-Future-of-Privacy-Forum-and-the-Information-Accountability-Foundation.)

• 供应商和工人/工会如何影响机器学习过程？(www.thefutureworldofwork.org/docs/10-principles-for-ethical-artificial-intelligence/.)

这两个问题的答案将决定“设计即伦理”的内容。如果人工智能能内化有关商业和人权的积累知识，并允许工人和地方企业追踪其决策过程，那么它可能有助于促进劳动权利 (www.bsr.org/our-insights/blog-view/remedy-against-the-machine-tech-and-human-rights)。

例如，UNI 全球联盟的一个要求是，工人必须拥有访问、影响、编辑和删除他们在工作过程中收集到的数据的权利。此外，全球工会和企业应当将人工智能的角色纳入合作领域。另外，由全球企业、工会和非政府组织组成的多方利益相关者联盟应当率先推动这一进程，充当人工智能实践的监督者 (www.theguardian.com/technology/2017/jan/27/ai-artificial-intelligence-watchdog-needed-to-prevent-discriminatory-automated-decisions)。

最近，英国上议院发布的一份报告名为英国的人工智能：准备好、愿意且有能力？ (publications.parliament.uk/pa/ld201719/ldselect/ldai/100/100.pdf，第二章，第 58 页) 说明了以下内容：

“公众应当意识到人工智能在何时何地被用来做出关于他们的决策，以及这将对他们个人产生何种影响。”

政府的情况如何？

在过去的两年里，许多国家发布了关于人工智能的官方战略（policyatmanchester.shorthandstories.com/on_ai_and_robotics/index.html）。这一趋势始于 2016 年美国，随后是英国、德国、法国、欧盟、俄罗斯、日本、中国和阿联酋。

这些官方战略有许多共同的问题（assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/652097/Growing_the_artificial_intelligence_industry_in_the_UK.pdf）。然而，它们也基于各自的比较优势，集中在技术革命的特定方面（ec.europa.eu/growth/tools-databases/dem/monitor/sites/default/files/6%252520Overview%252520of%252520current%252520action%252520Grow.pdf）。例如，美国更重视数据驱动的创新；英国则专注于金融部门和健康服务；德国关注制造业，包括智能工厂和自动驾驶汽车（也称为工业 4.0）；日本致力于提升机器人技术；阿联酋则处理公共部门的人工智能问题。俄罗斯和中国更注重国内监控和加强军事能力。

这些官方文件的一个共同关注点是错失良机的担忧，因为技术进步带来的社会迅速变化可能直接影响全球力量平衡、军事力量、经济财富和社会结构（researchbriefings.parliament.uk/ResearchBriefing/Summary/POST-PB-0027）。

例如，在英国官方战略的审查中（assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/652097/Growing_the_artificial_intelligence_industry_in_the_UK.pdf），Wendy Hall 和 Jérôme Pesenti 从不被其他国家主导的角度定义了这一问题。该解决方案还提出了通过利用新技术革命中的领导地位来主导其他国家的愿望，而这种方法并未包含任何关于人权和劳动权的规定或参考。

因此，所有这些全球大国都专注于它们具有比较优势的领域，以免失去其优势，或允许其他国家在这些领域超越它们——几乎不考虑这些行动对人权的风险。

这些策略的共同特点 (royalsociety.org/~/media/policy/projects/data-governance/data-management-governance.pdf) 表明国家、产业和学术界之间的紧密合作。例如，各国已承诺未来在人工智能领域投资数十亿美元并开展研究项目，并为全球企业和初创公司提供了大量激励，以吸引它们在本国投资。各国还鼓励大学开设新系部和研究中心，处理技术革命的各个方面，并创造新的博士后和博士职位，以吸引世界顶尖人才。

此外，当局承诺采取必要措施，以使劳动力适应不断变化的条件，提升技能，并为学生制定课程，以帮助他们为劳动市场的剧变做好准备。多方利益相关者的人工智能委员会 (assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/702810/180425_BEIS_AI_Sector_Deal__4_.pdf) 被成立以审计和监督这一过程，并处理利益相关者的日常期望。由于数据对算法的开发和训练至关重要，国家数据中心/信托机构 (assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/702810/180425_BEIS_AI_Sector_Deal__4_.pdf) 正在组建中，以验证并与利益相关者共享数据，并防止竞争国访问和操控这一过程。

这些战略文件最薄弱的一面是未能为社会的不同群体，特别是工人和中小型企业，提出任何明确的应对方式。这些策略包含了一些关于伦理问题的简短章节，但它们通常是抽象的，重复类似的概念，如问责制、透明度和遵守伦理规则。但官方的战略应当超越这些愿望。

与不同利益相关者合作的明确方法至关重要，因为各国政府正在投入数百万美元用于推动人工智能系统，而计划中的行动将通过企业、大学和国家之间的密切合作进行，但没有任何明确的、具有法律约束力的伦理和社会原则。例如，企业要获得政府资金开发人工智能系统，必须满足哪些社会和伦理前提条件以及审查流程？如果没有明确提及访问资金和审计流程的法律要求，诸如以人为本和以工人为友好的技术进步等术语将仍然是空想。

此外，虽然这些策略触及到人工智能系统促进经济增长和财富的潜力，但并未提到公平的收入分配。这些文件中的一些强调了中小企业将能够访问优质数据，并通过大学的服务和研究成果推动其业务发展，并且将采取必要的措施通过职业支持和技能培训来避免失业，帮助那些从事有风险工作的人员（assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/702810/180425_BEIS_AI_Sector_Deal__4_.pdf）。找到工作以避免失业很重要，但并未提到劳动权益或体面的工作条件。将促进何种类型的就业（theconversation.com/automation-robots-and-the-end-of-work-myth-89619）（arxiv.org/pdf/1802.07228.pdf）：短期的、自由职业的、不稳定的工作条件，还是具有生计工资、结社自由和集体谈判权的体面工作条件？

因此，这些关于员工和中小企业的战略文件和指导方针的常见做法可以定义为等待观察。显然，技术革命的后果（www.brookings.edu/blog/brookings-now/2018/05/23/artificial-intelligence-will-disrupt-the-future-of-work-are-we-ready/)目前无法完全确定甚至无法想象，因此这可能意味着我们只能停留在一些笼统的概念和愿望中。另一方面，政策制定者可以制定出更清晰、更详细的方法。关于零工经济、人工智能伦理（www.openglobalrights.org/as-artificial-intelligence-progresses-what-does-real-responsibility-look-like/）以及有关如何保护人们免受算法在招聘中的歧视性决策（www.openglobalrights.org/artificial-intelligence-can-be-a-boon-for-businesses-but-can-it-protect-workers/）、供应链管理、司法和警察等领域的讨论已经有了大量文献。这不仅是关于未来工作和社会的辩论；它是我们已经在经历的一个过程，因而迫切需要考虑新的和持续的辩论、关切和需求。

这些政府战略阐明了大公司的期望和利益（theconversation.com/automation-robots-and-the-end-of-work-myth-89619），并反映了各国的政治、经济和军事战略。然而，人工智能战略不仅应反映现有的竞争、敌对和未来企业及国家的战略。更广泛的社会成员应当有发言权，表达他们希望生活在何种未来，并希望如何从技术革命中受益。

因此，在一场即将彻底改变全球供应链管理的新技术革命的曙光下，我们应当及时展开关于人工智能在工业关系中的角色的讨论。这不仅仅是为了坚守“设计伦理”（www.bsr.org/our-insights/blog-view/human-rights-by-design）这一信条，更是创新的要求。辩论将帮助我们评估并完善现有的做法，如联合国《商业与人权指导原则》所倡导的人权尽职调查，从而使我们能够在这一领域继续取得进展。通过这种方式，所有社会伙伴——包括雇主、工人以及其他相关实体，如非政府组织或国家当局——将有更广阔的合作空间，共同评估和应对工作场所内现有及潜在的员工风险，并采取措施加以缓解。

Emre Eren Korkmaz 是谁？

作为牛津大学的一名学者，我的研究和咨询领域涵盖新技术（人工智能和区块链）以及国际发展，重点关注全球供应链中的可持续性与人权尽职调查、企业与人权、现代奴隶制与强迫劳动，以及移民和难民的体面就业。

我曾为多家企业和非政府组织提供咨询服务，并参与过“道德贸易倡议”“商业与人权资源中心”“公平劳穿基金会”“Amfori”和“国际反奴隶制组织”等项目，致力于难民和移民的体面就业（特别是在土耳其服装供应链中，针对全球企业的叙利亚难民问题）以及现代奴隶制问题。

我曾受邀参加多个行业利益相关者和组织的活动，如经济合作与发展组织（OECD）、国际劳工组织（ILO）、欧盟（EU）、BSR 和 Amfori 等，并在这些场合发表过主题演讲和培训。

罗宾·赖特

首席架构师，网络安全，微软

在转行进入网络安全之前，你的职业是什么？

我的职业生涯始终与某种形式的安全相关，并随着行业的演变而不断发展。我在 IT 安全领域的职业生涯已持续 34 年，这也顺应了我对该领域的自然兴趣和热情。

请讲讲你从主职到网络安全职业转型的过程。

我非常幸运，能够从事我充满热情的职业。我从南非空军（SAAF）的物理安全电子战开始，随后进入商业 IT 领域，担任了多个职位。我对计算机及其运作的自然兴趣和好奇心始终与安全息息相关，并促使我保持领先，始终走在攻击者之前。

为什么选择了网络安全作为职业？

作为一个行业（更具体地说，作为微软公司的一员），我们看到了网络攻击的增加以及趋势的变化。就我个人而言，我有兴趣磨练一项专业技能，并认为网络安全既是商业机会，也是个人投资和成长的领域。

当你选择网络安全作为职业时，你与同行们做了哪些不同的事情？

我和同行们的不同之处在于我对安全的兴趣。我一直在不断阅读相关资料，并通过完成 ISC ISSP 认证来扩展我的知识。作为一名企业安全架构师，我将这些学习融入到我的工作中。

你能分享一下你对那些想加入网络安全行业的人的看法和思考吗？

网络安全行业对通用技能和专业技能的需求不断增加。如今，所追求的不是某个供应商/产品特定的技能，而是更广泛的理解和知识体系。网络安全的格局不断变化，吸引了那些能够解决问题并将所学应用于新挑战的人。

在你看来，你过去的职业如何帮助或影响了你在网络安全道路上的发展？

随着行业的变化，我也在不断进步——我一直都在从事安全和网络安全工作。

你有什么建议给那些想进入网络安全行业的读者？他们应该如何入门？

我的建议是建立一个坚实的基础，这样你就能在这个多样化的环境中拓展自己的知识。首先，探索——阅读安全博客，关注行业专家，跟踪供应商特定的网站，然后确定你想要专注的方向。做一些你感兴趣的事情，并激发你的热情，也是至关重要的。

你认为某人应该成为网络安全某一垂直领域的专家，还是应该在每个领域都成为专家？从行业角度看，你的意见是什么？

每个人都应该具备一定的共同知识体系。我一直推荐 ISC ISSP 认证。选择一个垂直领域，并采用 T 型方法，随着你职业的进展，T 型的顶部会逐渐变宽，而你在垂直领域/专业（T 型底部）获得更深的知识。

网络安全的形势变化多端，极为动态，你是如何保持自己与时俱进的？你对我们的读者有什么建议？

为了保持自己的知识更新，我做了几件事。每天，我会查看不同的博客、Twitter 动态和用户小组。我还订阅了 RSS 源，参加了许多会议和网络研讨会。以下是几个关键链接：

• www.darkreading.com/Default.asp

• thehackernews.com/

• azure.microsoft.com/en-us/blog/topics/security/

• www.microsoft.com/en-us/security/operations/security-intelligence-report

在您看来，更重要的是拥有安全认证、接受相关安全培训，还是通过工作获得实践经验？

三者的结合。需要保持平衡。认证能为你带来信誉，但你显然需要通过工作和培训获得的实践经验。你应该通过工具培训来精通自己的领域，并继续发展自己的技能。另一个至关重要的领域是网络情报和威胁的共享。

我们都同意，网络安全是当今行业中不可谈判的因素。作为行业领导者，您认为未来网络安全将需要在哪些新兴领域得到应用？

展望未来，有两个关键方面。今天，我们看到许多组织还没有做到基础工作到位，这使得它们成为网络攻击的软目标。其次，组织需要关注安全卫生——现代化 IT 基础设施、特权访问管理与特权身份管理、补丁管理以及减少攻击面。随着未来的到来，我们将看到更多的多渠道攻击，这将变得更加难以防御。我们还将看到 AI 和云安全服务的采用增加，并逐步从外挂安全转向内建安全。传统的安全控制将面临挑战，难以应对基于云的安全和零信任安全的发展。

Robin Wright 是谁？

Robin 目前是微软全球服务部门的网络安全首席架构师。他拥有超过 34 年的 IT 安全和网络安全经验，其中 17 年在微软服务部门工作。作为首席架构师，他负责微软服务部门的技术与能力战略，并确保与微软产品组和网络安全解决方案组的对接与一致性。

在担任首席架构师之前，Robin 曾在 5 年间担任 EMEA（欧洲、中东和非洲）及 APJ（亚太区）时区的网络安全全球服务业务实践负责人。他负责建立微软服务在 EMEA 和 APJ 地区的网络安全业务，并为微软企业客户在网络安全领域提供支持。

2000 年，Robin 加入了微软南非服务部门，担任安全顾问。在南非子公司期间，他主要与客户和合作伙伴合作，努力确保他们能够从微软的基础设施和安全解决方案以及技术中获得价值。在加入微软之前，Robin 曾在军队和商业领域担任多个职位，从技术员到公司董事，经历非常丰富。

Ozan Ucar 和 Dr. Orhan Sari

Keepnet Labs 的创始人兼首席技术专家/内容开发者

在转行进入网络安全之前，您的职业是什么？请告诉我们您从原职业到网络安全的过渡经历。

从高中开始，我们就被告知要将网络安全作为职业，但作为学生，我们不知道从哪里开始。我们阅读了许多相关的资料并咨询了一些熟人，收集了关于网络安全职业的信息，还从学校辅导员那里获得了一些标准的建议。然而，在那些年里，发展网络安全职业非常复杂，因为没有很多可信的来源可以获取建议。网络安全领域的缺乏清晰性、指导性以及真正的兴趣依然存在。因此，我们没有立即选择作为网络安全专家开始我们的职业生涯。Ozan 专注于学习数学并获得学术学位，而 Orhan 则走上了成为社会科学教授的道路。然而，我们意识到自己对网络安全有兴趣，并展现出潜力技能。因此，我们调整了自己的方向，决定发展网络安全职业，在此过程中，我们成功地探索、学习并获得了正式的资格认证和学位，最终在网络安全领域获得了职位。

我们选择网络安全作为职业的主要原因，是因为企业中缺乏网络安全专家，而且这一领域正在快速增长。网络安全对任何现代企业的框架至关重要。如今，每个组织都需要网络安全专业人士。由于网络安全中涉及许多组成部分和角色，我们特别关注电子邮件安全，因为我们意识到大多数泄露事件都是从一封电子邮件开始的。

在 Keepnet 参与此过程之前，我们经历了其他一些过程。特别是 Keepnet 的创始人兼首席执行官 Ozan，通过大量的实践经验以及在塑造 Keepnet 项目方面的背景，充分利用了这些经验。在 Keepnet 成立之前，Ozan 与他共同创办的第一家公司 Coslat Security Systems 一起开发了新一代的安全墙。该公司专注于检测和预防基于网络的攻击。在 Coslat 工作了两年并获得了专业知识后，Ozan 将他的股份转让出去，开始了新的创业，Coslat 仍在运营，拥有超过 2,000 名客户。Ozan 继续在 BGA 信息安全学院担任经理，在那里他负责了 39 个独特的网络安全项目，主要涉及渗透测试、取证和事件响应。凭借在网络安全行业和市场中的经验与成功，他有机会严格跟踪趋势，并轻松地为网络安全应用合适的解决方案，从而能够预见信息安全中的风险。他启动了 Keepnet Labs 项目，提供防止基于电子邮件的网络攻击的解决方案。

然后，在 Keepnet 团队的帮助下，我们合作开发了一套解决方案，防止电子邮件相关的网络攻击，如钓鱼、欺诈、恶意内容和附件，这些解决方案至今仍保持着安全。

为什么选择网络安全作为职业？

我们选择了网络安全作为职业，因为网络安全市场是一个蓬勃发展的行业，商业机会迅速增长，因为技术在不断进步，网络安全威胁导致了对合格人才的需求。我们清楚地知道，世界将面临网络安全专家的短缺，更不用说薪资也在上涨。

即使在今天，企业仍然需要熟练的网络安全员工。根据 ICS 的研究，47%的人表示他们在寻找合格的网络安全人才方面遇到了困难。企业表示，网络安全专业人才的短缺对其客户产生了重大影响，45%的人表示这导致了更多的网络安全漏洞。

使用数字技术的公司使自己面临网络攻击的风险。为了降低风险和漏洞，许多组织寻求网络安全专家来保护他们的组织免受复杂的网络攻击。此外，当你关注新闻时，网络安全专家的短缺也变得显而易见。每天都会有新的数据泄露和黑客事件发生，大多数组织明白，他们需要做更多的工作来防范网络攻击。

此外，网络安全工作的高薪和奖金对我们具有吸引力；然而，吸引我们进入这个领域的，正是对技术的热爱：这个领域对我们来说充满了兴奋、娱乐、趣味、挑战、相关性和意义。

此外，随着网络安全的范围和领域不断扩展，它为我们的职业发展和学习机会提供了成长潜力。我们知道，我们将不断学习新的知识。我们将与令人兴奋的全新技术合作。这些正是促使我们选择进入网络安全领域的因素。

随着技术及其组成部分的发展，你开始看到网络安全专家可以控制的各种问题模型。因此，我们希望通过识别、识别和理解这些问题来挑战这些问题并解决它们。没有哪种工作能像利用最新技术、应对快速变化、看到多方面的创造力，以及参与永无止境的善与恶之间的斗争那样，提供这种经验。这是我们选择网络安全职业的另一个原因。

我们知道，我们可以帮助让这个世界变得更好。因为网络安全专家所做的一切，旨在为世界带来善意，保护人们免受那些试图伤害他们的坏人的侵害。

在选择网络安全作为职业时，你与同行有何不同的做法？

网络安全就是确保信息的完整性、机密性和可用性（ICA）。它是抵御事故和犯罪分子攻击的能力。保护信息对任何企业都是至关重要的。我们想要选择一个总是对企业来说最重要的领域作为职业。

此外，随着技术的不断发展，网络安全也在不断演进。因此，与大多数在传统职业上建立事业的同行不同，我们选择了网络安全作为职业，因为技术从未停止发展；它在动态变化。

分享你对那些想要进入网络安全行业的人的看法和想法。

网络安全的核心是保护计算机、网络和数据免受非法或未经授权的访问。由于每个机构——如政府、企业，甚至个人——如今都在使用网络空间存储或处理数据，网络安全变得更加重要。然而，数据泄露几乎每周都会发生。组织现在更加意识到潜在威胁，并为那些有助于降低风险的服务分配更多资源。

由于这里提到的风险，网络安全市场是商业领域增长最快的市场之一，并且具有巨大的经济机会，因为必须采取措施以防止组织每天遇到的网络犯罪数量激增。

显然，世界变得越来越互联。数十亿的智能机器和工具正在生成海量数据，这为组织提供了在一个既创造重要机会又带来重大障碍的数字环境中优化运营的关键机会；换句话说，数字化也为组织带来了潜在风险。主要是由于物联网（IoT）设备的发展和依赖数字化的新商业模式，以及更加复杂的系统和设备与信息的互联互通，网络攻击的易受攻击性变得更加广泛，而组织的安全系统也存在漏洞。

随着网络威胁的增长，网络安全意识培训和防御平台的支出也在增加。目前，全球的安全意识培训市场年收入已超过 10 亿美元，并且每年增长约 13%。根据 Gartner 报告，相关供应商的年收入约为 6.5 亿美元。预计到 2027 年，市场规模将达到每年 100 亿美元。此外，推动该市场的主要因素包括政府对数据隐私的严格监管和网络威胁的增加。诸如 GDPR、PCI DSS、ISO/IEC 27001 和 27002、联邦信息安全管理法（FISMA）、格拉姆-利奇-布莱利法案、健康保险流通与责任法案（HIPAA）、红旗规则、NERC CIP、CobiT、美国州隐私法、澳大利亚政府信息安全手册、PAS555 网络安全风险：治理与管理以及土耳其政府关于个人数据保护的第 6698 号法律等法规和标准都要求开展安全意识项目。这一局面也为网络安全初创企业提供了市场机会，正如网络安全市场报告所示，预计网络安全市场将从 2017 年的 1378.5 亿美元增长到 2022 年的 2319.4 亿美元，年复合增长率（CAGR）为 11.0%。

员工的安全意识培训是网络安全行业中最被低估的领域。然而，91%的安全漏洞都是由定向钓鱼攻击引发的。因此，到 2021 年，安全意识领域将成为财富 500 强和全球 2000 大企业网络防御战略的基础，小型企业也将在此之后紧跟其后。

你会对想要开始网络安全职业生涯的读者有什么建议，他们该如何开始呢？

要开始从事网络安全事业，你并不需要相关背景。然而，许多从事网络安全事业的人都是从相关领域转行的，比如系统或信息管理。

有很多职位空缺，比如初级渗透测试员，他们工作经验较少，但可以在工作中获得知识并学习。尽管如此，经验仍然是一个重要的优势，即使你可能没有足够的技能。因此，要开始网络安全职业生涯，进行实习或为某个组织做志愿者是必要的。

除此之外，你应该尽可能多地阅读关于网络安全趋势的博客，了解行业中最新的发展，保持对最新网络安全技巧的跟进，同时在社交平台如 Twitter 和 Facebook 上关注网络安全行业的专业人士，因为他们很多都会通过讨论和回答问题，在社交媒体上发布有用的技巧和观点。与人互动并建立关系是进入行业的好方法。因此，尽可能参加面对面的会议，或者使用 LinkedIn 进行网络交流。此外，参加会议也很重要，因为它们是建立关系的好地方。

为了在网络安全职业中获得优势，你还需要获得相应的资质，这将取决于你的职业路径。你可能需要专注于以下认证：

• Network+ 认证

• Security+认证

• 注册道德黑客认证

• 注册信息系统安全专家 (CISSP)

• 授权渗透测试员 (LPT)

你是否建议某人专精于网络安全的某一垂直领域，还是应该在所有领域都成为专家？从行业的角度来看，你有什么意见？

由于网络安全是一个广泛的领域，你可以根据自己的兴趣选择职业发展路径，因为专注于某一领域会激发你更深入的兴趣并在方法上变得更加专业。例如，在 Keepnet Labs，我们专注于通过电子邮件攻击生命周期来保护企业。专注于防御电子邮件攻击使我们创造出了市场上独特的解决方案。那些想在网络安全领域建立职业的人可以专注于以下领域：

• 应用安全

• 取证与事件响应

• 信息安全

• 灾难恢复

• 操作系统安全

• 系统安全（用户级别）

• 系统安全（内核级别）

• 明确加密

• 明确解密

• Web 安全

• 浏览器安全

• 恶意软件分析（静态/动态）

• 网络安全

• 无线安全

• Android 安全

• 物联网安全

• 终端安全

网络安全领域瞬息万变，极其动态；你是如何保持自己更新的？你对我们的读者有哪些建议？

忽视网络安全的进展、趋势和报告可能会让你错过一些影响你网络安全职业发展的重大更新。此外，今天数据泄露事件更为普遍，保持领先于网络犯罪分子最好的方法是了解最新的诈骗手段及其防范方法。

为了保持信息的更新，你应该每天阅读关于数据泄露和网络安全趋势的新闻和博客。有很多平台提供关于网络安全的信息。只需要进行一次 Google 搜索即可找到它们。例如，Keepnet Labs 每周都会发布网络安全简报，向用户提供网络安全新闻和发展动态，并给出如何保护自己免受网络攻击的建议。通过订阅 Keepnet 的新闻简报平台，可以自动获得这些简报。

此外，重要的是要关注社交网络网站上的专家，如 Twitter、LinkedIn 等，并定期检查有关数据安全的新闻和报告。

在你看来，哪个更重要：拥有安全认证、接受相关的安全培训，还是通过工作获得实践经验？

许多选择网络安全职业的年轻人是网络工程师或网络管理员。然而，要成为网络安全专家，你不必拥有这些背景；任何拥有技能和经验的人都可以在网络安全领域建立职业生涯。例如，要开始网络安全职业生涯，你不必拥有计算机编程学位。然而，你需要经验和认证才能从事商业职业。企业在招聘时意识到需要有技术熟练的员工，因此他们非常重视网络安全认证，作为挑选候选人的一个标准。

要开始网络安全职业生涯，我们一致认为个人需要具备基本的认证。然而，通过工作获得实际经验更为重要，因为人们可以在实践中体验理论假设，这将比认证带来更多的洞察力。因此，正如我之前提到的，要开始网络安全职业生涯，参加实习或为某个组织志愿服务是必要的。

我们都同意网络安全是当今行业中一个不可妥协的因素。作为行业领导者，在你看来，未来网络安全将在哪些新领域变得更加重要？

网络安全与信息技术的命运、网络空间的进展以及世界的数字化紧密相连。考虑到今天网络空间的演变，显而易见，该行业将在我们个人和商业生活中变得越来越重要。

随着物联网设备和其他技术的发展，许多关键系统如今已经互联，并由不同的机器运行。这种情况将继续增长，设备之间的联系将更加紧密，解决方案将更加计算化和自动化。特别是物联网设备将成为我们生活的几乎每个方面的一部分。

然而，这些机器和系统的复杂性以及相互连接性影响了它们的易受攻击程度。当我们从大局来看，大型金融组织和政府机构可能成为黑客的目标，尽管它们将继续开发防御网络攻击的方法。大型金融组织之所以成为目标，是因为它们可以从全球任何地方访问，而具有财务获利动机的攻击者可以远程发起攻击。此外，政府也面临来自敌对国家的风险，敌对国家可能匿名发起网络攻击，攻击目标国家的机构，从而渗透整个网络或系统，以达到不同的目的。

由于技术的进步，黑客激进分子、恐怖组织和活跃在网络空间的国家可能对网络安全生态系统构成威胁，动机各异。网络安全防御系统将需要变得更加智能和复杂，以应对每天出现的新威胁途径。

在 Keepnet Labs，您在决定是否雇佣人才之前，会看重哪些标准？

网络安全岗位需求量大，挑选出最有能力的候选人可能成为一个难关。一旦收到申请，我们会在选择人才时考虑一些重要因素。

经验是我们考虑网络安全人才的主要决定因素。如果申请人在相关领域具有专业知识，他们将在我们公司内有合理的成功机会，因为他们已经证明自己曾经成功过。我们在选择申请人时，决定是否要优先考虑有经验的申请人而非没有经验的人，是至关重要的。

然而，我们知道经验、实践和知识并非一切。那些展示潜力的候选人，有时比那些在纸面上经验丰富的人更有价值。因此，在面试候选人时，我们可能会遇到一些看起来有潜力，但没有经验的人。他们可能是刚毕业的大学生，或者是从相关领域的认证大学中以优异成绩毕业的人。这些候选人尚未在工作中证明自己，但他们具有很高的潜力。

我们看重的另一个标准是申请人的技能基础。因为如果申请人没有适当的能力，他们就需要接受岗位培训。例如，我们可能要求一些证书，如 CEH、CRISC、CISM 或 CISSP。

除了基本技能外，我们还看重一些软技能，如沟通能力、工作伦理以及团队合作精神。

在招聘新人才时，我们还会评估他们在网络安全职业发展的投入程度。我们寻找那些忠诚于我们公司的员工，他们会把这份工作视为一个发展职业生涯的机会，并且同时成为 Keepnet 的宝贵资产。

此外，招聘实习生是获取最佳人才的一种非常有效的方法，因为我们可以跟踪他们的进展和技能，比在任何面试中都能更好地了解他们。

为什么人们应该加入 Keepnet？你们提供哪些职业发展机会？

我们开发了独特的、全新一代的技术，保护企业免受基于电子邮件的网络攻击的全生命周期威胁。我们开发了一整套网络安全防护、威胁监控、安全管理和用户意识产品，采用全面的方式涵盖人员、流程和技术，从而减少各个领域的网络风险威胁。

我们致力于持续创新并扩展我们的安全产品系列，以满足动态发展、迅速增长的网络人口在不断变化的网络威胁环境中的需求。因此，这是一个非常适合那些希望在电子邮件安全领域发展事业的人的大好机会。

我们的网络防御战略采用三大整体要素：人员、流程和技术：

• 人员：我们专注于人的因素，利用富有吸引力的结构化内容提升网络意识并培养积极的防御行为。

• 过程：我们支持用户安全意识计划的制定和管理，监控用户合规性和关键绩效指标，并将网络安全嵌入企业文化的内在部分。

• 技术：我们扫描并隔离恶意附件和电子邮件内容，为系统管理员提供一键式管理功能，覆盖整个企业。

我们的内部公司战略创造了一个充满刺激和创新的环境，在这里，Keepnet 团队有机会不断提高自己的技能和创造力，同时为公司增长做出贡献。

Keepnet Labs 的解决方案通过以下方式提供全面的防钓鱼风险缓解策略：

• 使用 AI 和第三方集成分析钓鱼攻击，用于识别、通知和删除可疑电子邮件。

• 使用广泛的现实世界模型安全模拟钓鱼攻击。

• 通过一键删除自动化管理恶意电子邮件。

• 提供与第三方培训平台集成的教育模块。

• 支持用户培训并记录培训成果和合规性。

• 提供集成的网络情报报告。

• 云端和本地实施选项。

我们灵活的技术实施模型意味着，我们可以从最小的中小企业扩展到最大的企业组织，采用云端和本地实施两种方式。

即服务模式对没有内部安全能力的小型组织尤其有吸引力，因为 Keepnet Labs 提供了平台以及警报管理、用户培训管理、钓鱼模拟和安全报告的运营管理。

对于选择本地部署的大型组织，我们提供全面的支持能力，包括基于启发式和威胁情报的更新，以反映威胁边界的动态变化。

Keepnet Labs 通过以下方式提高整体组织安全态势并减少网络风险：

• 实时分析和管理电子邮件传播的威胁

• 设计用于测试组织安全性的威胁模拟

• 通过现实但安全的钓鱼模拟提供及时的威胁情报

• 支持安全意识培训项目

独特的专利待批技术

Keepnet Labs 有两项专利正在申请中，其与其他解决方案的区别在于以下几点：

• 其独特的威胁模拟模型，允许组织安全地测试其电子邮件技术安全边界

• 其用户发起的分析、自动化调查和事件响应

• 自动化移除所有用户收件箱中的危险电子邮件

• 集成用户培训

• 符合模拟钓鱼攻击和培训材料的要求

Keepnet Labs 的竞争对手并未为每个阶段的电子邮件攻击提供集成解决方案，这意味着组织需要实施多个技术平台来应对这些要素。

Keepnet 覆盖了电子邮件威胁的所有阶段，提供为每个特定阶段量身定制的独特解决方案，因此可以在电子邮件攻击传播之前阻止电子邮件攻击。

以下图展示了多层次方法：

这种多层次的方式是 Keepnet Labs 与市场上其他竞争对手之间的创新性差异。

电子邮件威胁模拟器和事件响应者功能正在申请专利。

Keepnet Labs 拥有五个平台模块密切协作，提供市场领先的整体解决方案。这些模块包括钓鱼模拟器、意识教育者、电子邮件威胁模拟器、威胁情报和事件响应者：

• 事件响应者：

  • 允许用户通过我们的 Outlook 插件一键报告可疑电子邮件

  • 将电子邮件内容发送到我们的可疑电子邮件分析器进行头部、正文和附件分析

  • 为警报生成或阻止活动安全设备创建多种攻击签名

  • 集成的第三方服务许可证——VirusTotal、Zemana Anti-Malware、Trapmine 和 Roksit DNS 防火墙、Carbon Black、FireEye、Splunk、QRadar、ArcSight 等

  • 自动化的事件调查，分析客户端的收件箱并进行积极响应

• 电子邮件威胁模拟器：

  • 定期通过模拟逻辑测试您的技术投资（如防火墙、防垃圾邮件和防病毒软件），模拟针对像您这样的组织的攻击向量，重点通过电子邮件服务进行模拟

  • 技术包括电子邮件收集、域名抢注、漏洞扫描器、客户端攻击、恶意附件、勒索软件样本、配置错误、浏览器漏洞和文件格式漏洞

• 网络威胁情报：

  • 扫描网络，搜索可能代表数据安全漏洞的信号和数据，从而对你的业务构成威胁

  • 威胁情报模块提供的持续警惕缩短了潜在数据泄露和防御响应之间的时间

• 网络钓鱼模拟器：

  • 在一个无害的环境中模拟网络钓鱼攻击

  • 跟踪用户响应和报告

  • 量化漏洞

  • 促进主动响应

  • 可定制、定时和自助服务

• 意识教育者：

  • 按需提供网络安全意识培训

  • 针对失败的网络钓鱼模拟进行自动响应

  • 覆盖所有当前威胁类型和学习方式的综合培训内容

  • 严肃游戏集成

  • 提供详细报告，确保全面的可视性

Ozan Ucar 是谁？

Ozan 是 Keepnet Labs 的创始人和首席技术官。他住在伦敦。

自 2006 年以来，他一直在网络安全领域进行创新，2008 年共同创办了 Coslat Security Systems，推出了一种新一代防火墙技术，用于检测和防止基于网络的攻击。

2010 年，他共同创办了 BGA Security，提供一系列更广泛的网络安全服务，主要面向他故乡土耳其的大型企业客户，包括网络安全培训、渗透测试、取证和事件响应。该公司已经发展为一支 40 人的团队，是土耳其最受尊敬的网络安全公司之一。2017 年，Ozan 离开了 BGA Security 的管理合伙人职位，专注于 Keepnet Labs 网络安全产品的开发。

Ozan 拥有国际认证，包括认证道德黑客（CEH）、认证安全分析师（ECSA）、认证渗透测试员（LPT）（硕士）和土耳其标准化机构（TSE）的渗透测试大师。他在行业内备受尊敬，曾作为演讲嘉宾参加超过 60 个国内外会议。他参与了两本关于网络安全的书籍的编写，并定期撰写博客并评论行业主题。

Chaim Sanders

ZeroFOX 的安全负责人

在转向网络安全之前，你的职业是什么？

与许多当前行业的专业人士不同，我的职业生涯始于网络安全行业。

请告诉我们你从主职转向网络安全的经历。

到了高中毕业时，我已经确定了自己在计算机领域，尤其是安全方面的天赋。像许多处于类似情况的学生一样，我被建议去攻读计算机科学学位。到大学后，我惊讶地发现，正好在那一年，他们开始提供专门的计算机安全学位课程。鉴于我对这个话题的热情，我选择了这个新课程，毕业后这也为我的网络安全职业生涯奠定了基础。

为什么选择网络安全作为你的职业？

简单来说，是因为热情。在意识到它可以成为一个有利可图的职业之前，我一直对这个话题感兴趣并加以实践。

分享一下你对那些想加入网络安全行业的人的看法和想法。

这个行业不是为意志薄弱的人准备的。作为一名教授，我偶尔会遇到一些学生或家长，他们主要讨论薪酬的机会。虽然这个领域确实有钱可赚，但重要的是要记住，网络安全是一个不断发展的行业，需要付出巨大努力才能掌握，并且不断保持最新的知识。没有这种时间和精力的投入，失败——或者至少无法进步——是很有可能发生的。

你会给那些想进入网络安全行业的读者什么建议，他们该如何开始？

网络安全是一个极其有趣且充满娱乐性的领域，现在才开始逐渐成熟。与其他职业不同，它相对年轻，这意味着总是有很多东西可以学习，而且新的工具和技术每天都会公开发布。我的建议是加入网络安全社区。与大多数行业相比，安全行业提供了一个开放而充满支持的社区，既能教你，也能在你成长的过程中赋予你力量。

你认为一个人应该在网络安全的某一垂直领域成为专家，还是应该在网络安全的所有领域都成为专家？从行业角度看，你有什么意见？

成为某一领域的专家是常见的现象；然而，最成功的安全从业者通常具备扎实的原则基础，并能够讨论并在需要时转向行业中的其他领域。更普遍地说，我发现大多数成功的行业成员通常有几个不专注的领域，而不是仅仅局限于一个垂直领域。

网络安全的格局不断变化，极具动态性，你是如何保持自己更新的？你对我们的读者有什么建议？

紧跟时代潮流应该是你对这个话题的热爱所带来的结果。这可以包括阅读新闻、书籍、参加会议、培训等等。我发现，你与社区的互动越多，保持对最新发展的了解就越容易。

从你的角度来看，哪一个更重要：获得安全认证、接受相关安全培训，还是通过工作获得实际经验？

毫无疑问，实践经验是从事任何工作时最有价值的背景。把安全当作开车来想。虽然参加驾驶课程并获得驾驶执照是其中的一部分，它们仅仅表明你具备了驾驶汽车的最低能力要求。真正能让你成为一个好（或坏）司机的是多年的实践和经验。

我们都同意网络安全是当今各行各业无法妥协的因素。作为行业领导者，您认为在不久的将来，网络安全将在那些新的领域中发挥作用？

我认为传统的攻防安全工程职位仍然会继续存在。然而，作为一个行业，我们在一些领域表现不佳。数据分析和开发是两个最薄弱的领域。这两者通常是并行的，要么是致力于自动化复杂问题，要么是开发新产品。可以确定的是，对这些技能的需求和增长将持续增加。另一个正在逐渐成型的领域是技术安全人员在法律和政策事务中的角色。这一趋势既受到近期隐私相关法规（如 GDPR）的推动，也受到第三方的推动，后者要求基本的技术安全控制和审计，例如通过 SOC2 认证。

Chaim Sanders 是谁？

Chaim Sanders 是一位专业的安全研究员、讲师，也是一个身材高大的男性。当他不忙于对计算机安全现状表现出过度的讽刺时，他会在罗切斯特理工学院的计算机安全系教授课程。他的兴趣领域包括吃涂满黄油的食物和网络安全。最近，他的研究集中在防御性网络技术上。Chaim 的讽刺驱动型安全方法提供了一个独特的视角，帮助他参与多个开源项目，包括 ModSecurity 和 OWASP 核心规则集，在这些项目中他担任项目负责人。你可以访问他个人网站：www.chaimsanders.com/。

Yuri Diogenes

微软网络安全工程部高级项目经理，云计算与人工智能部门

网络安全之旅——我从哪里开始？

如果过去进入信息安全领域（当时它并没有被称为网络安全）的困难是由于信息匮乏，那么今天我们正面临着完全相反的情况：信息的洪流。过去，你几乎找不到任何有用的资料；它几乎像一个黑市，现在它已完全成为主流。我相信，从自学的角度来看，今天的情况要好得多，因为如今你可以轻松地创建实验环境，在自己的机器上或在云端环境中模拟攻击。书籍广泛可得，免费的在线资料通常质量很好，而且有更多的目标安全认证。那么，如果一切看起来如此美好，为什么在这个领域起步仍然如此困难？我可以给出许多原因，但我将从两个主要原因开始：竞争的激烈程度和（臭名昭著的）工作经验要求。让我们看看如何克服这些问题。

信息安全职业有很多分支，从非常专业的渗透测试员到需要了解多种安全话题的安全分析员。这意味着你应该采取的第一步是进行自我评估，决定你想要在职业生涯中走向何方。你喜欢做什么？如何在该领域进步？这是一个重要的问题，因为很多时候，专业人士根据市场需求来决定自己将从事的工作。盲目地追随这种逻辑是危险的，因为你可能最终会在一个你不喜欢的领域工作，这将对你在岗位上的成长产生负面影响。结果是，你将无法进步，迟早会开始寻找另一份工作。不论薪水如何，你必须对下一个职业选择充满热情。一些安全专业人士已经处于这种境地，不得不在自己不感兴趣的领域工作；原因相同：通过做自我评估找到下一个职业转折点，发现是什么激励着你。如今，大家都在谈论黑客、伦理黑客、网络安全等术语。不要让这些热门词汇分散你的注意力；深入了解自己真正想做的事，并选择正确的路径，迈向下一个职业阶段。

一旦你决定了将要走的道路，就评估你目前所能提供的资源。一般来说，你必须评估三个核心要素，这些要素与即将从事的领域密切相关：

• 经验：你在该领域有足够的经验吗？

• 专业认证：你是否拥有该职位所需的专业认证？

• 学位：你是否拥有对该领域有帮助的学位？

这项自我评估对于让您了解自己的优缺点非常重要。目标是确保一旦您发现自己的弱点，便开始制定计划来弥补这些空白。如果这项自我评估的结果显示您需要某个特定的认证来提升竞争力，那么您已经知道该怎么做了：学习并获得认证。

2014 年由 SANS 进行的一项调查显示，经验是信息安全领域更高薪资的关键因素。该调查还透露，认证是信息安全行业职业成功的一个关键组成部分。那么我们应该从中得出什么结论呢？拥有两者是安全专业人士的最佳状态。虽然经验大部分与您在该领域的工作经历直接相关，但您也可以通过参加培训会议和帮助社区来获得经验。像 Security BSides 这样的倡议在世界各地都有提供。您可以为他们的某次会议提议一个演讲，或者您也可以志愿参加他们的会议工作。通过参与这样的社区，您将获得知识，同时扩展您的网络。

自 2015 年以来，我一直在 EC-Council 大学教授网络安全学士学位和网络安全硕士学位课程，每年我都有一批既有经验的学生，也有一些全新的学生。他们的共同点是都在追求该领域的大学学位。我真的相信，要通过学习建立基础知识，并通过获得证书来验证自己的技能；在这个市场上，证书将是最有用的。请记住，通过认证或学位获得的证书并不能保证您会快速得到晋升（如果您已经在该领域）或在该领域找到工作。您需要理解并专注于的是，有些事情是您能掌控的（例如追求更好的教育），而有些事情是您无法控制的（例如找工作）。通过做好准备，您会增加成功的可能性，所以一定要做好功课！

现在您已经理解了应该走哪条道路、如何选择它以及通才/专家的困境，接下来，建立您的安全基础是非常重要的。如果您是该领域的新手，想要了解应该学习哪些安全知识，最好的建议是获得一个厂商中立的认证，例如 CompTIA Security+。当前的考试（SY0-501）涵盖面非常广泛，因为它涉及到 BYOD、SCADA、事件响应等主题，这些都是任何想要开始从事安全工作或通过获得厂商中立认证来提升自己安全职业生涯的人都需要了解的内容。

在信息安全领域获得广泛认证的一个优势是，你可以决定在专注于某个领域之前想要专攻哪个领域；例如，在获得该认证之后，你可能会得出结论，想要投入更多时间和精力成为计算机取证分析师。如果这是你的选择，你可以从GIAC 认证取证分析师（GCFA）或 EC-Council 的计算机黑客取证调查员（C|HFI）开始。导致你选择一种认证而不是另一种认证的原因可能各不相同；可能是工作要求、财务限制等等。重要的是要进行研究并验证哪种认证不仅会增加你的简历价值，还会增加你自己的知识。在准备阶段学到的东西至关重要，因为如果你要花数小时来准备考试，最好是喜欢这个学科并对即将迎接的内容充满激情。

如果 IT 已经是一个非常动态的领域，信息安全则更具挑战性，因为它每天都在变化，一次变化可能会在不同领域造成附带损害。要意识到这些挑战可能会令人不知所措，但它们也充满了展示你工作质量的机会。与生活中的任何事情一样，如果你对事业有激情、自我驱动并具备追求愿景的纪律性，那么在这个领域取得进展将变得更加容易。确保参与并与其他专业人士建立联系，因为这将帮助你确定可以进一步探索的领域，并提供你在独自工作时可能无法接触到的现实场景。

最后但同样重要的是，遵循这简单的建议，保持对知识的渴望：

"我学到的越多，我就越意识到自己还有多少不知道的。"

• 阿尔伯特·爱因斯坦

尤里·迪奥真尼斯是谁？

Yuri Diogenes 是微软 C+AI 安全 CxE 团队的高级项目经理，与 Azure 安全中心和 Azure Sentinel 合作。他还是 EC-Council 大学的教授，负责其网络安全硕士和网络安全学士课程。

在加入微软团队之前，他曾担任 Azure 安全中心的高级内容开发人员。他于 2011 年加入内容团队，最初在 Windows 安全团队担任技术撰稿人。在加入微软这个组织之前，他曾是 CSS 安全前端团队的高级支持升级工程师。

他拥有来自 UTICA 大学的网络安全情报与取证科学硕士学位，FGF 巴西的 MBA 学位，以及 UGF 巴西的研究生学位。目前他持有的一些 IT 行业认证包括 CISSP、E|CND、E|CEH、E|CSA、E|CHFI、CompTIA Security+、CompTIA Cloud Essentials Certified、CompTIA Network+、CyberSec First Responder、CompTIA Mobility+、CompTIA CySa+、CASP、MCSE、MCTS 和 MCT。他还是 Fort Worth 分会的 ISSA 高级会员，并为 ISSA Journal 撰稿。

伊维察·西蒙诺夫斯基博士

圣基里尔与圣美多狄乌斯大学

在转向网络安全之前，你的职业是什么？

与今天的网络青少年一代相比，我的童年时光是在每天计算飞越巴尔干天空的战斗机和战斧导弹时度过的，祈祷所给定的坐标准确无误，指导战斧导弹打击正确目标。我在马其顿斯科普里军校米哈伊洛·阿波斯托尔斯基将军军事学院踏入安全领域，学习航空。作为第一代按照北约标准接受训练和教育的学员，幸运并未垂青我们。由于军队和安全结构的转型，我们这一代刚毕业的中尉们从军队转向了民间生活。我在斯科普里的圣基里尔与圣美多狄乌斯大学法学院伊斯图尼亚努斯·普里穆斯法学部开始了政治学的学习，并在 2011 年成功辩护了关于政治与安全领域的博士论文。更早之前的 2008 年，我在金融情报办公室开始了作为独立情报官员的职业生涯，这一职位至今仍在从事。我的主要职责是分析与洗钱和恐怖主义融资相关的可疑交易，以及实施国际制裁措施。在我的工作范围内，我是北马其顿共和国反对暴力极端主义和反恐委员会成员，参与《第二十四章 - 司法、自由与安全》工作组，负责将国内立法与欧洲立法对接。

请告诉我们你从主业转向网络安全的经历。

“物种的存续并非由最强者决定，也不是由最聪明者决定，而是由最能适应变化者决定。”

• 查尔斯·达尔文

了解并发现犯罪分子如何利用网络空间产生犯罪收益，已成为研究的必要条件。只有通过这种方式，才能理解犯罪分子的心理、他们为什么以及出于什么目的使用网络空间，他们使用什么攻击方法，以及如何选择目标。自然而然，我通过独立学习立法、研究规范和标准，调查网络犯罪案件，开始了这方面的探索。我不得不承认，互联网在其中发挥了重要作用。此后，和我尊敬的朋友、合作者以及同事们一起，我们在斯科普里成立了网络安全企业安全与危机管理倡议（C3I），通过这一平台，我们完成了多个关于建设网络韧性社会的项目。C3I 开始与私营机构，尤其是金融机构合作，通过教育和印制面向客户的指导材料，帮助他们了解网络犯罪的风险和威胁，以及如何保护自己。有句话说，如果你不能把自己的知识分享给外界，那么你也无法在家里分享。我被选为土耳其伊斯坦布尔非盈利组织网络安全研究中心——全球的荣誉会员，这是一个专注于网络安全威胁对社会影响的独特研究中心。四年来，我一直是银行与信息技术学院的讲师，在这里，金融从业者接受教育，其中之一就是网络犯罪和安全。

为什么选择网络安全这个职业？

互联网技术不断发展，犯罪分子也在不断利用这些技术进行非法活动。在这些技术中，数字货币正在改变犯罪地下世界。它们也是犯罪分子和恐怖分子资助者用来转换、汇款和隐匿非法资金的强大工具，能够避免执法机关的追踪。数字货币对洗钱和恐怖主义融资构成了明显威胁，已有少数案件显示执法机关，洗钱和恐怖主义融资很容易在虚拟环境中发生，因为这些环境提供了高度的匿名性和低检测性，消除了许多与现实世界洗钱和恐怖融资活动相关的风险。另一方面，新的产品引入并分发到银行系统是一个开放领域，犯罪分子在这里找到了犯罪活动和滥用的解决方案。

对于提供电子银行服务的金融机构以及电子银行服务的用户来说，最常见的风险包括互联网诈骗、有害软件、高级持续性威胁（APT）、支付卡欺诈以及对关键金融信息基础设施的 DDoS 攻击。这些行为代表了犯罪分子可能获得非法利润的犯罪行为。为了掩盖非法财产的来源（通常是现金形式），犯罪分子将现金投入金融系统并追求洗钱的过程。公共与私人部门的合作，即私营部门与执法部门之间的合作，在早期发现偏离日常操作的可疑人员或交易方面具有重要意义。公私合作伙伴关系必须设下埋伏，等待恐怖分子及其支持者犯下最小的错误，以揭示他们的身份和目的。我们总是需要运气才能避免被黑客攻击，但黑客只需要一次机会就能突破系统。

我的首要任务是通过建立标准和法律框架来预防网络犯罪，从而建立一个抗击网络犯罪的社会。我的第二个任务是检测、识别并领导与网络犯罪、洗钱和恐怖主义融资相关的调查。

在选择网络安全作为职业时，你与同行有什么不同之处？

如我所说，我并没有完全转行，而是对我的职业进行了一次更新。我从未停止过学业和研究。研究一个未知领域（网络安全）需要投入、热爱和对新事物的探索欲望。通过这样做，你可以获得新知识，使自己在就业市场上更具知名度和竞争力。

你能分享一下你对于那些想进入网络安全行业的人的看法和想法吗？

无论我们愿不愿意，环境本身都迫使我们跟上技术发展的步伐，因此也迫使我们关注网络安全。网络安全是一个广泛的领域。根据你的背景，当然你需要确定自己将研究网络安全的哪个领域。为了更成功，专注于那些能帮助你提升职业发展的领域。

在你看来，旧职业是如何帮助或影响你在网络安全领域的发展的？

正如我所描述的，试图理解犯罪分子的心理，以便发现他们为何以及出于什么目的使用网络空间，并基于此构建网络安全，迫使我们对其产生需求。我再一次强调，这里没有所谓的旧职业或新职业，而是我旧职业的升级。从实际的角度来看，作为一名金融分析师，你永远不会找到通过网络犯罪获得收益的犯罪分子，这些犯罪分子使用虚拟钱包、货币以及转移犯罪所得的渠道。

你会给那些想要从事网络安全职业的读者什么建议？他们应该如何做？

他们需要做的第一件事是探索网络安全，并专注于他们认为能帮助自己职业发展的领域。当然，进一步的教育应当系统地进行，从学习规范和标准，到探索实际功能和工作方式。我从识别网络空间中发生的金融犯罪的角度来讲，正如所有调查所显示的，这在网络犯罪分子中非常普遍。当然，主要的方面是发现互联网和技术产品的弱点，例如智能手机、平板电脑、计算机、POS 终端、ATM 机、电子银行等。当然，所有这些产品和服务都是由人们使用的。这些产品是否提供了对用户个人信息的完全保护？个人信息如何被盗取和滥用（身份盗窃、网络钓鱼、药剂攻击等）？

你建议某人应该在网络安全的一个垂直领域成为专家，还是应该在网络安全的各个领域都成为专家？从行业角度来看，你的看法是什么？

我已经提到过，网络安全是一个广泛的领域。无法同时在金融和军事领域成为网络专家，这两个领域是不同的。或许升级平台是常见的，但他们最终会转向他们认为最适合自己的领域，也就是在这个领域中，他们可以作为网络专家建立自己的职业。网络安全的发展如此动态，以至于几乎不可能同时探索这两个领域。或者，简而言之，在技术发展和由此带来的机遇方面，明天将使今天的过去显得遥远。

网络安全的格局变化莫测且极为动态；你如何保持自己与时俱进？你对我们的读者有什么建议？

网络安全领域是一个不断发展的领域，这引发了一个问题：是否“无限”才是其极限？它需要不断阅读和研究，跟随新的趋势和实践。这将使你能够观察并发现网络空间的弱点，而这些弱点可能被犯罪分子利用来达到他们的目的。如果条件允许，有必要参加以网络安全为主题的研讨会、会议、工作坊和论坛。

在你看来，获得网络安全认证、接受相关的安全培训，还是通过工作获得实践经验，哪一个更为重要？

你能在没有驾驶执照的情况下开车吗？如果有人教你开车，是的。但你能认出交通标志吗？你能学会驾驶礼仪吗？不能，因为你需要通过考试。网络安全也是如此。没有实践的理论是无法运作的，没有理论的实践则没有创新。这意味着，两者结合才能构成完整。我总是对我的学生说，今天非正式教育和正式大学教育一样重要。正式教育会为你打下基础，但实践与非正式教育相结合，会引导你在网络安全的某个领域发展。

你能举个需要比其他组织更加强烈依赖网络安全的例子吗？

当然是的！我将从金融行业的角度来谈，因为这是最容易被犯罪分子利用来获取收益的行业。虚拟货币进一步减缓了检测、监控、冻结和没收的过程。因此，金融行业的网络安全重点便集中在这些方面。像Carbanak、Mariposa等著名案例，其中银行及其客户直接受到威胁，仅仅强调了该行业需要加强网络安全的必要性。另一个问题是对网络空间风险的认知不足。尤其是对那些以出口和进口为导向的公司来说，经过调查，他们是当前受影响最严重的群体。他们与外国合作伙伴的通信常常被犯罪分子拦截并篡改，造成经济损失。

伊维察·西蒙诺夫斯基是谁？

西蒙诺夫斯基博士是北马其顿共和国圣基里尔和梅托迪乌斯大学法学院的政治学博士，拥有近 12 年金融情报单位的独立情报官员经验。他还是斯科普里银行与信息技术学院的讲师。

他是网络安全、企业安全和危机管理倡议的共同创始人——斯科普里，北马其顿共和国，同时也是网络安全研究中心和土耳其伊斯坦布尔网络安全研究中心的荣誉会员。

西蒙诺夫斯基博士广泛撰写和简报这些主题。他是多篇在国内外科学期刊上发表的论文的作者和合著者。他还是由瑞士彼得·朗出版社出版的《反恐融资在国际社会中的应对》的合著者。

在他的职业生涯中，他曾在土耳其安卡拉的北约反恐卓越中心和德国加尔米施-帕滕基兴的乔治·C·马歇尔欧洲安全研究中心担任讲师。

迈克·扬科夫斯基-洛雷克博士

数据库和机器学习专家

给网络安全初学者的建议

每年，关于数据泄露、网络攻击、企业间谍活动、黑客行动或网络恐怖主义等威胁全球组织的新闻故事数量不断增加。这些新闻不仅在专门的 IT 相关网站、新闻频道、播客或数字报纸中传播，而且还进入了大众媒体，使得网络安全成为了全民热议的话题。因此，越来越多的年轻学生以及职员希望从事网络安全职业也就不足为奇了。

IT 行业的员工已经处于高需求状态——而将安全元素加入其中，使他们变得更加抢手。根据 ISACA（一家非营利的信息安全倡导组织）的数据，到 2019 年，全球已经短缺 200 万名网络安全专业人员。再加上美国劳工统计局的预测，信息安全岗位的增长率将比其他岗位的平均增长率高出 37%，因此，选择这一职业道路的人几乎可以享有零失业率！

在 CQURE，作为 IT 基础设施安全、业务应用以及咨询和顾问服务的领先提供商之一，我们拥有超过 10 年的经验。几年前，我们注意到这一趋势，并创办了 CQURE 学院，通过一系列自创的培训课程，将新的学员培养成安全专家。

此外，作为一个负责任的组织，我们汇聚了一群充满热情和魅力的专家，在全球最重要的会议上分享我们的安全知识、工具、案例、经验和乐趣。正是在这些活动中，我们多次被问及如何开始进入充满激情的网络安全世界。如何推动你的职业生涯？如何跟上趋势，了解新的威胁并学习如何应对？

为了回答这些问题，你需要问问自己目前的知识和专业技能的状态。你是一个没有计算机科学基础的新手，还是正在 IT 领域工作？重要的是要认识到，学术背景不一定非得与工程或信息技术相关，尽管在大多数情况下，学术背景有助于理解技术的应用，并且能更好地看待组织中的数字化转型过程。

那么，成功进入网络安全领域需要具备什么条件呢？关键在于拥有正确的心态、技能和知识。

首先是心态。小时候，你是否曾经好奇过玩具是怎么工作的，试图把它们拆开，或者尝试做些改动让它们跑得更快，或者做些制造商没有设计的特技？是的，这可能是我们每个人都做过的事情；然而，有些人很幸运，能够在工作中继续做这些事情。每当我们得到一款新软件，或者进入一个新环境，别人试图说服我们它是安全的，或者它是如何工作的，我们根本不会轻信！我们绝不会错过任何一个窥探幕后真相的机会：查看源代码、测试不同的载荷，或者嗅探网络流量。如果你问某人“这能做吗，能被黑客攻击吗，或者能被绕过吗？”，千万不要接受“不行”作为答案。

总的来说，这种心态会引导你穿越这些新的网络安全领域，它总是存在于我们内心深处，当我们想要攻破某些东西时，我们总是希望能跟上最新动态。这两点几乎每天都驱动着我们去发现新事物。

如果你是那种喜欢关注新闻，喜欢每天了解更多信息的人，而且当有新事物出现时，你会像“哦，我不知道这个；让我深入了解一下，”那么，这肯定是一个合适的心态。而且，不要担心——这不是只有天生具备的能力；显然，这是你需要努力培养的东西。

你还必须关注细节，并且要有系统性和坚持不懈的态度。要在网络安全领域取得进步，需要大量的时间、学习和实践，因为这个领域需要来自多个不同领域的知识。

这引出了第二和第三个要求，那就是技能和知识。在追求网络安全职业生涯的过程中，你应该熟悉多个领域：

• 硬件和软件架构

• 编程语言

• 密码学

• 网络

• 操作系统

当然，这只是你应该为进一步发展奠定的坚实基础的一瞥；也是作为一名安全分析师、架构师、渗透测试员、审计员、安全软件开发人员等可能的多个专业方向的一瞥。

我自己是从软件开发者开始职业生涯的，后来成为了系统和数据库管理员，最后转向了安全领域。每次转变工作角色时，我都会想到，这个职位要求我获得比之前更多领域的广泛知识；直到我发现自己身处安全领域，现在我相信，安全领域没有你不能学习和受益的主题的限制。

记住，刚开始时，你不需要在任何领域成为专家，你也可能永远不会成为一名密码学家或硬件设计师，但对于每一个安全专业人士来说，理解并连接基础设施和计算机科学中许多完全不同的部分是至关重要的。

根据我们的经验，我们发现最大的安全漏洞和成功的攻击通常是多种错误配置、失误和事件的组合，这些单独看并不会构成巨大威胁。就像飞机坠毁一样——单一故障不会使飞机坠毁，但许多不可预见的因素的组合可能会导致灾难性的后果。作为安全专家，我们的目标是跳出框框，先于他人将许多点连接起来。

CQURE 专注于以 Windows 为导向的环境，因此我们一直在思考在这个环境中工作的安全专家应具备哪些必要的硬技能。我们总结出了 10 个技能组：

• Windows 内部结构

• 管理 Windows 系统中的身份和访问

• 管理基础设施服务

• 保护 Windows 网络

• 应用程序白名单

• 实用的密码学

• 高可用性

• 脚本编写与自动化

• 监控和故障排除 Windows 系统

• 渗透测试

在了解 Windows 安全性时，你应该从基础和核心信息开始，以便理解你的操作系统是如何运作的，了解线程、进程和服务、内存管理以及代码的执行方式。接下来，转向安全性的关键领域之一——身份和访问管理，以深入了解权限、访问控制、对象保护和系统特权。

在此之后，你将准备好了解 Windows 核心基础设施服务，包括 DNS、DHCP、Active Directory 域服务、内部公钥基础设施，甚至是流行的数据库服务器 Microsoft SQL Server。你应该了解每个服务的目的，以及与之相关的关键安全概念，了解管理员常犯的错误，以及在进行审计或渗透测试时要注意的事项。这些也是攻击者会寻找的内容。

网络安全以及理解 Windows 网络和常见服务中使用的最重要协议是你下一个需要达成的目标。专注于用于数据传输的协议，如 TDS、SMB 和 FTP，以及与名称解析和远程身份验证相关的协议。

当你已经知道如何操作 Windows Server 及其核心服务时，就该开始专注于加固工作站，因为大多数常见的攻击链都是通过破坏用户的工作站开始的。了解恶意软件如何避开检测、传播并控制你的系统将对你至关重要。你还需要知道如何通过实施成功的应用程序白名单和代码执行预防技术来阻止恶意软件的启动。你将需要一些实际的密码学知识，并了解如何通过 BitLocker 驱动器加密保护你的宝贵数据。此外，了解 Windows 如何通过 DPAPI 保护你的机密、密码和其他内容。在这一领域，我们是真正的专家，因为 CQURE 团队是第一个完全逆向工程 Windows 数据保护 API 的团队，我们还发现了一些令人惊讶的成果！

你应该已经知道如何确保你的数据和系统的机密性与完整性，但仍然有更多内容需要学习，因为安全的最后一个组成部分是可用性：如何确保你的系统在遭受攻击时或攻击后仍然能够正常工作。你应该能够理解虚拟化、故障转移集群和其他相关技术。此时，不要忘记灾难恢复以及如何为最坏的情况做准备。

技能集的下一部分是让你的日常工作变得更加轻松。你需要知道如何成为一名真正的脚本编写和自动化高手。这将减少你犯错的次数，并为你提供更多时间学习新知识。你必须了解如何使用 PowerShell，编写自己的脚本，使用足够的管理权限进行委派，并通过期望状态配置和组策略对象自动化一切。

最后，我们要谈的是基础设施的监控与故障排除。适当的监控和从基础设施中获取准确的信息而不产生不必要的噪声，将确保能迅速检测到入侵者并轻松阻止，或者在最坏的情况下，入侵发生后你将知道它是如何发生的，这样下次你会更加准备充分。

此外，我们希望将渗透测试作为一个必要的技能群体，补充进来，它不仅仅与 Windows 相关。它代表了对操作系统内部结构的了解，并结合各种工具来利用系统服务、漏洞和配置错误。

在与客户合作并提供其他专注于单一主题的专项大师班的过程中，我们意识到有必要定义这样一种快速路径，以帮助新的从业者进入迅速扩展的网络安全行业，这一扩展受到企业对安全需求增长的推动。我们创建了一个为期 30 天的在线密集课程，旨在为所有上述技能组提供一套非常好的理念、洞察力和核心知识。到目前为止，这已经取得了很大的成功，我们很自豪地看到我们的许多学员已经开始了成功的职业生涯，并在网络安全领域不断进步。

所以，你现在已经知道应该如何框定自己的思维，以及应该学习和实践哪些内容。接下来，就是如何做到这一点的问题。首先，找到最适合你的学习方式。是在线培训、由讲师主导的现场课程，还是阅读书籍和观看视频教程？这取决于你，但记住：你必须进行充分的实践。建立你的测试环境或在云中租用一个，亲自进行实验室操作。

了解最新技术或威胁的一个好方法是，在 Twitter、LinkedIn、Facebook 和 YouTube 上关注多个安全研究人员、专家和公司。CQURE 及我们的团队成员正在通过所有社交媒体为网络安全社区做出贡献，持续分享我们直接来自对抗网络攻击的“战场”上的知识。

如果你想了解一些有用的书籍，我推荐 Mark Russinovich 的《Windows Internals》，因为这是一本描述内部原理的书籍，每个网络安全专业人士都应该了解。虽然一开始你可能会觉得跟不上内容，但慢慢地阅读这本书并学习所有必要的知识，你将能够完全理解它，并指引你走向网络安全的精通之路。

最终，这是一项艰苦的工作，且没有尽头。然而，采用正确的以好奇心驱动的方法将帮助你获得正确的技能，因为在网络安全知识领域，天空才是极限。保持 CQURE！

谁是 Dr. Mike Jankowski-Lorek？

Mike 设计并实施数据库、网络和管理领域的解决方案，主要面向 Microsoft 平台。至于他的日常工作，他作为解决方案架构师，设计并规划与数据库相关的解决方案和软件。

他对大数据、高可用性和实时分析感兴趣，尤其是当这些与机器学习、人工智能或自然语言处理结合时。他目前正在完成博士论文。

Judd Wybourn

网络安全顾问，Microsoft

通往网络安全的道路

就像谚语说的“通向地狱的路是用善意铺成的”，一个初涉网络安全专业道路的人也可能会经历类似的旅程。适应不同环境和情况的能力对于希望走上网络安全专业道路的任何人都至关重要。在我职业生涯中最大的学习因素是，安全往往会被业务迫切需求所取代！对于那些热衷于保护企业安全的个人来说，这通常是一个巨大的打击，只能在下次会议、项目审查、开发讨论或者简单的走廊交流中，因为许多不同的因素而受挫。

当我开始我的职业生涯时，我必须学习许多东西，并且不断地进行二次甚至三次检查，以确保我做得正确。这个行业已经从一个不关心业务到一个让我们让它工作，但是安全地关心业务的转变。无论你在与技术人员、架构师、经理、主管甚至最终用户交流，这些人都不会完全理解你热衷于确保产品或环境尽可能安全的激情，直到灾难来临或者潜在威胁即将到来。

了解极限

我的第一条建议是要了解自己，并了解自己的极限。网络安全行业中有很多个体，我还没有遇到一个人是什么都懂的。这个领域非常广阔而深刻，这完全取决于你选择的道路。如果你知道自己喜欢什么以及什么能够使你坚持下去，这个行业的许多方面都可能非常有益。谜题、挑战、神秘感、兴奋感，甚至浪漫，这些在这个领域都是可以预期的，尽管有时候看起来像是小说或电影中的陈词滥调，但这些体验都可能发生在一瞬间或者在一段时间内。

取证、合规、侵入、测试、分析，甚至设计，这些都是构成网络安全这一广阔主题的重要组成部分。当人们听到我从事这个领域时，最常问的问题是：“我该怎么进入这个领域？”或者“我应该学习什么来从事安全工作？”很多时候，我都不得不仔细思考如何给出正确的答案，只能回顾我自己走向这个职业道路的经历。这可能是一场几分钟甚至几个小时的讨论，我坐下来描述网络安全提供的所有令人兴奋的选项，试图为你指引正确的方向。有时候，问题很简单，你更喜欢阅读还是看电影？而且，在这两者之中，你最喜欢的是哪个类型？

这是一个关于你在网络安全领域可能发展方向的一般指南。以下是一些令人兴奋的角色及简要描述，仅列举几个：

• 应用安全： 这是一个持续发展的领域，充满了激动人心的挑战和巨大的严格要求。这可能会让你思考软件集成、开发生命周期、漏洞管理，或者仅仅是安全如何在应用程序中体现。随着世界的变化，你学习和适应这些变化的能力将使个人在这一领域中脱颖而出。

• 云安全： 随着一切都迁移到云端，呼吁在这方面加强控制和安全性也将越来越高。这不再是空想，确保满足不同框架、法律和客户要求的能力至关重要。物联网将是你最好的朋友，并且一定会给你带来挑战。

• 密码学： 你的思维是否飞快？你能快速创造或破译秘密语言吗？那么这里就是你想去的地方。在一个你的 PlayStation 3 可以被集群用来破解加密的世界里（Dumitrescu，2009），对更好加密技术和方法的需求始终存在。这个职业道路可能让你在最高机密的组织或国防合同中工作。

• 法医： 典型的谁做的情景或谋杀谜团。无论是进入企业领域还是执法部门，你解决难题的能力都至关重要。有时，这可能就像在雪地里找到一个孤立的沃尔多一样简单，或者像在圣诞老人大会中寻找他一样困难。你以方法性和尽职尽责的态度处理事情的能力将是你的一大资产，因为你可能会被要求作为证人作证。

• 信息安全： 在静止或传输过程中保护信息，在许多方面都有需求，无论是 2014 年雅虎的 30 亿账户数据泄露事件（Armerding，2018），还是某个地方小型医疗诊所的数据库。信息对某些人来说是神圣的，若落入不正当之手，可能会造成严重后果。各个行业在保护信息方面有不同的标准。无论是金融信息、个人信息，还是商业机密，都可能由你来确保其安全，不被泄露。这甚至可能意味着你需要部署技术以防止来自组织内部的泄漏。

• 移动安全： 几乎在每个企业环境中，每个人都有一部移动设备。这些设备是强大的手持计算机，可以用来窃取信息、渗透会议，或仅仅是对最终用户造成恶意伤害。公司要求员工在移动中保持高效，但这不能以牺牲信息或访问权限为代价。在英国，仅在出租车中遗失的移动设备数量令人震惊（Peyer，2014），这些设备中包含公司数据的可能性非常高。你需要了解如何在单个设备上保护并隔离公司数据与个人数据，并准备在可能的情况下远程清除设备。

• 网络安全： 你在这一行业的起步可能会比较缓慢，因为很多人不会让新人直接进入他们的生产环境。在这一领域，随着不同厂商的出现，你会有多个选择，但当你技术上掌握了这一领域的知识后，你的专业技能将会被寻求并用于设计和安全考虑。你可以控制深度数据包检查、防火墙、直接访问、虚拟专用网络（VPN）、甚至数据的检测与防御机制，管理网络中进出和流动的数据。如果你愿意，你可以充当信息交通警察的角色。

• 渗透测试： 你知道我们试图保护系统免受的那些坏人吗？好吧，你的角色就是在已知或未知的环境中模拟这些人，尝试确定系统是否存在可能被利用的已知弱点。你需要迅速反应，尝试突破系统，获取数据或尽可能获得最高权限。你可以运用你的聪明才智编写一个漏洞利用程序，或者仅凭你的魅力进入系统。不管你怎么做，都由你决定，但目标就是获取访问权限！作为一名渗透测试员，你将帮助发现系统中已建立安全措施的漏洞，并将这些漏洞告知组织或其他安全人员，以便在系统上线之前能够进行缓解。

• 风险管理： 这项工作涉及记录和跟踪组织已知的所有安全风险。尽管听起来可能不太刺激，但理解由于开放风险可能发生的潜在威胁或损失至关重要。这种事件发生的可能性有多大？这里的研究和行业知识将非常关键。这个角色与业务连续性和大多数安全事件的咨询密切相关。

• 安全分析员： 在这里，你将面临漏洞、误报、事件以及大量数据。例如，尝试确定恶意软件的来源、它是由谁编写的，还是仅仅一个恶作剧。作为一名分析员，你可能会加入安全运营中心（SOC）或事件响应团队。通过理解数据流、攻击手段或辨别异常，你深入的知识将引导你发现潜在的或已经存在的威胁。这在某种程度上是一个侦探角色，像个“牛仔”一样从源头制止坏人。

• 安全审计与合规性：你是那种喜欢遵守规则，并且享受确保他人也遵守规则的人吗？那么，这个角色将非常适合你。大多数行业和组织都需要遵循不同的框架、法规和标准。比如，涉及信用卡或借记卡的支付卡行业（Payment Card Industry），VISA、MasterCard 和 Amex 等公司将遵循这些标准，并要求所有发卡机构也遵循这些标准。你将确保这些框架被遵循，确保这些标准、框架或法规所设定的最低安全要求在组织内部得以实施。当规则没有被遵守时，审计工作就会介入并将这一问题提请董事们关注。审计员可以进行手动或自动检查，以帮助发现这些不一致之处。

• 安全运营：这是你“战斗在第一线”的角色。你可能需要实施修复措施来缓解渗透测试人员发现的问题，弥补由于不合规性而被审计员发现的漏洞，或寻找解决方案来减少一直困扰风险管理团队的风险。欢迎加入灭火小组。这个角色将让你忙得不可开交，你的学习曲线将是指数级增长，并且充满回报。虽然你可能永远不会成为某个特定领域的专家，但你肯定可以在其他方面表现出色。像身份管理、技术控制、集中管理和部署技术等领域，都能为你的职业道路打下坚实的基础。最终，你将会在一定程度上接触到所有网络安全角色。你广泛的知识将让你在应对物理安全问题时也能游刃有余。

列出的角色展示了你可能需要的技能或心态，以便履行这些角色。请记住，这些角色可能是流动的、不断变化的，会随着时代和你所处的情况而调整。记得我在本章开头说的：要具备适应能力。考虑到这一点，行业中有很多认证可以帮助有志于从事网络安全的专业人士。问题是，应该选择哪些认证，它们将如何帮助你呢？这是大多数网络安全专业人士会被问到的另一个问题，而且关于这个问题可能有很多不同的意见。我也知道很多人并没有获得任何知名认证，但他们在自己擅长的领域依然非常有知识。

我建议，根据你对行业的知识水平、在行业中的工作年限、学习年限，当然，还有你对某一职位的适应性，你可以调查一些知名的认证机构，看看他们从初级到专家级别提供哪些认证。看看哪些认证对你有吸引力，或者你希望集中在哪个方面。同时，也可以查看招聘网站，了解你所寻求的职位以及是否有认证要求。某些认证有实际操作要求，要求你在标准测试之外的模拟环境中展示你所学到的知识。如果可能的话，可以与有相同兴趣的朋友或家人一起搭建实验室并学习；你会惊讶于，经过第十次因为不正确的安全设置或失败的模拟而重新构建实验室后，你会学到多少东西。

就我而言，在我对网络安全产生兴趣之前，我已经在信息通信技术（ICT）行业工作了 10 年。尽管安全问题一直在我的脑海中存在，但当威胁开始导致深夜工作和预计的待命工作时，安全问题变得更加紧迫。像 2000 年的 ILOVEYOU 病毒，它使电子邮件系统瘫痪，或者 2008 年的 Conficker 蠕虫和 2010 年的 Stuxnet，它们确实考验了网络安全团队的决心。

正是通过像这样的恐吓事件以及我当时所在组织的需求，促使我开始关注业内的知名人物并遵循原则。在处理任何与身份相关的安全问题时，我总是将最小权限原则作为起点，随后是职责分离。拥有军事背景在这种思维方式上确实有很大的帮助；然而，这种思维方式并不总是能很好地适应每个组织。尽管如此，这也重申了我之前的观点，那就是灵活性是关键。

框架在构建我对安全理解的基础方面帮助很大，每个框架都可能有所不同。刚开始时，我直接选择了美国国家标准与技术研究院（NIST），这为我提供了广泛的知识深度，随后我了解到更多行业特定的框架。这包括像 PCI DSS（适用于所有支付卡处理）、HIPPA（美国医疗保健和信息处理）以及 PIPA（南非个人信息处理）等框架。就像房子的基础一样，框架可以为你提供一些基础。然而，这些仅仅是基础；某些方面可能因为各种原因而有所不同。

下一步是关注行业中的大佬们。布鲁斯·施奈尔是我找到的第一个非常有用的人，尤其是在密码学相关话题方面。然后，许多其他人物也会浮出水面，你很快会发现自己喜欢哪些人的写作风格和见解。如果有条件，尽量在社交媒体上关注这些人，访问他们的博客和网站。话虽如此，互联网充满了信息和有用的网站。可以加入一些与你兴趣相关的论坛，了解全球的动态。但要小心——你很快就会被信息淹没，不知道该读什么。坚守可信的来源，确保它与你的需求相关。

了解你的威胁有助于更好地集中精力保护系统。因此，从这个角度来看，当我被指派负责公司某些业务时，我会将全部注意力集中在软件交付的方式、它所运行的硬件以及访问这些系统的方法上。为了更好地理解攻击向量，我学会了像攻击者一样思考，开始学习黑客技术。我获得了认证的道德黑客证书（EC-Council，2019），这是我的第一个网络安全证书。接下来的目标是取得 CISSP（ISC2，2019），因为这是业内公认的旗舰证书。当时取得这个证书非常令人振奋，因为我已经积累了大量的实践经验。我还完成了计算机安全的硕士学位，以进一步提升我的教育背景。这个领域的学习之路总是广阔且充满挑战，永远不会感到无聊。总是有新的发现，哪怕最终发现这可能是你并不喜欢的学科。

我在不同的组织和不同的职位上应用了我的技能，每一个职位都非常独特且充实。我不断学习，直到今天，仍然对网络安全充满热情。我始终有动力保护那些无辜的人免受互联网黑暗面影响，因为许多人可能是天真的。在可能的情况下，我喜欢将我的知识分享给这些人，帮助他们理解网络安全的作用。我喜欢与家长们交谈，帮助他们保护自己的孩子。全球信息网就像现实世界一样，里面有一些可怕的地方，我常说它让最古老的犯罪有了最现代的方式；也就是说，你可以在世界的另一端不离开舒适的座椅就抢劫银行。

最后，如果问我是否会再做一次，我的回答是肯定的，千百次都愿意，因为我非常热爱这个工作。这是一个非常棒的职业，并且随着世界的不断发展进步，这个职业将一直是必需的，因为总有一些时候，信息对某些人来说是至关重要的。

Judd Wybourn 是谁？

Judd 是一位拥有超过 20 年 ICT 行业经验的网络安全专家。他拥有计算机安全硕士学位，并持有多个行业认证。目前，他在微软担任网络安全顾问，为客户提供解决方案。Judd 对保护儿童上网安全充满热情，每当有机会，他都会与儿童、家长和专业人士分享这一话题。

Onur Ceran

土耳其国家警察网络犯罪总督（博士候选人）

在转行做网络安全之前，你的职业是什么？

我的职业生涯始于警察工作，这也是我今天所在的地方。事实上，由于我的学术背景和个人研究，我被分配到网络犯罪部门，但这并不是我个人的选择。

请讲讲你从原来的职业转型到网络安全的过程。

我曾在土耳其加济大学（Gazi University）的警察学院和计算机教育与教学技术系同时学习。我的职业生涯从 2006 年开始，在土耳其国家警察的 IT 部门工作。我在那里担任办公室主管，负责管理所有的基础设施，包括活动目录、网络、防火墙等。此外，我还作为讲师为警察提供基础计算机技能课程。那时，我意识到各种犯罪开始与信息技术密切相关。例如，当时宾果游戏的流行程度与赌博相当，且在正式作为娱乐场所经营的场所内进行。赌博者的问题是，一旦发生警方突袭，他们很难清除所有证据，因为那些材料十分沉重。后来，他们开始使用信息技术，通过在远程计算机上运行应用程序，使用数字并将其反射到墙上。这使得清除所有可以称作证据的物品变得更加容易。

纯粹的网络犯罪（例如黑客攻击）和网络增强型犯罪（例如在线恋爱）这一术语逐渐出现。作为警察，我们首先被告知的是“预防犯罪比事后调查更为重要。” 我意识到，网络安全不仅仅是技术问题；它是一个跨学科的领域。人类因素、意识、经济学和管理学都与之相关。因此，我获得了信息系统的硕士学位（在土耳其中东技术大学）。随后，我被分配到网络犯罪科，开始进行调查。2015 年，我被分配到土耳其国家警察总局的网络犯罪预防处。我开始参加有关如何实现网络安全的会议和课程。那时，我在土耳其阿纳多卢大学的国际关系系获得了另一份学士学位，意识到建立国际间良好关系对于网络安全信息交换的重要性。现在，我是博士候选人，正在完成关于网络安全意识的论文。总结来说，我的职业生涯和开始时差不多，但经过多年的发展，已经演变成了网络安全领域。

您为什么选择了网络安全作为职业？

如我所提到的，网络安全是一个跨学科的领域。您在从事这一工作时，应该考虑许多问题。它与技术的演进平行发展。技术的迅速发展导致了网络安全的变化。我的意思是，您对某个主题的了解会很快过时，所以您必须不断阅读和实践。这也防止了工作变得单调。我喜欢这种类型的挑战。

当您选择网络安全作为职业时，您与同行有何不同的做法？

我不仅仅专注于技术本身，还注重安全。安全是针对不同生活领域的攻击进行管理的。攻击的原因也各不相同。有时，目标是政府系统，出于国际争斗；有时，目标是金融部门，出于金钱目的；有时，目标只是无辜的人，仅仅是为了“娱乐。” 没有一剂灵丹妙药能够完全防止网络攻击，比如防火墙、密码策略等等。因此，我正在研究所有相关的课题。

您会向那些想进入网络安全领域的读者建议些什么？他们应该如何入手？

我想详细解释一下。我已经学习弹奏巴格拉玛（一种外形像吉他的土耳其传统乐器）近 20 年了。我父母为我大哥买了一把巴格拉玛，目的是让我的叔叔教他弹奏这把乐器。他并不愿意学弹奏这把乐器，而我却愿意学弹奏。于是，我开始模仿叔叔的手指动作来学习弹奏。我只是在跟着他按弦的顺序进行练习。我学会了几首歌并扩大了我的曲目。对巴格拉玛的热爱和每天的练习让我弹得越来越好。但有一个问题。为了学一首新歌，我依赖于我的叔叔。因为如果我想学他弹奏的某首新歌，我就必须模仿他的手指动作。之后，我开始注意到乐谱。我母亲的一位朋友，音乐老师，教我如何读乐谱并将其应用于巴格拉玛。这样，我就不再依赖叔叔了。我可以通过看乐谱来弹奏新歌。经过更多时间的练习，我能够为自己听到并演奏的歌曲写下乐谱。几年后，我学习了短颈巴格拉玛。我学会弹奏的是长颈巴格拉玛。长颈巴格拉玛有 23 个品位；而短颈巴格拉玛只有 19 个品位。和弦布局也不同。起初，我想，我用我的乐器能弹奏所有歌曲，那为什么还需要另一个呢？ 但是在听了使用短颈巴格拉玛演奏的表演者后，我意识到在需要快速移动手指的歌曲中，短颈巴格拉玛的演奏更容易。我改变了想法，买了一把短颈巴格拉玛。虽然音符的位置不同，但它仍然包含相同的音符。两种乐器的数学结构是一样的。我需要做的唯一事情就是练习。虽然第一次演奏一首歌并不容易，但通过应用乐谱并做一些练习，现在我已经可以专业地弹奏巴格拉玛了。现在，我快 35 岁了，我也能弹吉他、乌德琴、小提琴、侧笛以及一些打击乐器。但我不是专业演奏者。（对于那些不相信我的读者，请访问我的 YouTube 频道，别忘了订阅并点击喜欢的视频点赞按钮。）

我学习巴格拉玛的时间几乎与学习任何其他课题相同——我想我们每个人都有类似的经历。在成为一名优秀的巴格拉玛演奏者和成为一名优秀的网络安全专家之间有一定的相似性。但当它们进行比较时，成为一名网络安全专家就像是成为一个乐团本身。依我看（文献中可能有不同的观点），网络安全专家是一个顶级领导者。

举个简单的例子：如果你查看大公司的招聘广告，你会看到职位名称有漏洞研究员、恶意软件分析师、安全工程师、渗透测试员等，大约还有 30 个职位。 我认为这些职位名称就像是一个乐团中的每一件乐器。作为一名网络犯罪调查员，并且出于学术目的学习网络安全，我能够确定必要的主题：

• 学习欲望：一个想从事网络安全领域工作的人应该是终身学习者，即使他们已经获得了该领域的所有证书。信息技术发展迅速，昨天刚学到的某项技术，可能明天就过时了。从 50 万人人家中拥有收音机花了近 38 年，但 Facebook 仅用了 9 个月就达到了 1 亿用户。根据 2018 年最后一个季度的统计数据，Facebook 有 23.2 亿订阅者，考虑到 Facebook 用户界面和基础设施的多次变更、功能添加以及新平台的推出，很容易看出，我们面对的挑战以及我们应该学习的网络安全知识没有界限。

一个想从事网络安全工作的人，应该不断阅读与此领域相关的学术论文、书籍和期刊；从论坛上的文章和社交媒体账户、个人网站上那些在该领域有显著成就的人的作品（这个清单可以继续扩展）。这将使你不仅能够保持更新，还能通过熟悉新的技术术语和行话，帮助你搜索正确的关键词。

另一个重要的话题是学习为什么做而不是如何做。任何人都可以通过模仿管理员来学习如何配置路由器。但是，如果是关于用户界面的更新（我不是说更换路由器本身），你就无法处理如何做配置。如果你学会了为什么要那样配置，你就能轻松适应，即使路由器发生了变化。

如果你失去了学习的欲望，试图学习如何做而不是为什么做，你将无法从长颈巴格拉马切换到短颈巴格拉马。你会觉得弹奏同样的歌曲很无聊，最终会对乐器产生厌烦情绪。

• 英文：这个话题非常清晰，完全不需要解释。在写下这些观点时，我在谷歌学术中用关键词cybersecurity进行搜索，结果显示自 2015 年到当前日期，共有 22,700 个相关结果。但当我用相同的关键词在土耳其语中重复搜索时，同一时段内仅返回了 323 个结果。

  英语就像是音乐符号，让你能够演奏你听到的任何歌曲。如果你不知道如何读音符，你将永远依赖别人告诉你如何弹奏一首新歌。

• 计算机科学： 正如我尝试提到的，网络安全是一个至关重要的优先事项，当有人说“我是一名网络安全专家”时，我觉得这并不恰当，因为你不可能在所有网络安全的子领域都成为专家。但是，会有一些话题是某人非常擅长的，而在一些领域中，这个人可能不熟悉网络安全的某个子领域。对于初学者，我的建议如下：

  • 数据管理和文件结构： 无论我们选择在网络安全领域成为哪个子领域的专家，我们总是需要处理某种数据。我们应该能够回答的基本问题是：系统如何定义数据，如何计算数据，在哪里以及如何存储数据，如何在需要时找到数据，如何在不需要时销毁数据。我们将在网络安全的每个子领域面临这些问题。

  • 算法和编程： 我们可以从两个不同的角度来审视这个问题。首先，创造：通过运行在编程软件中的算法，数据处理和交换成为可能。了解算法和编程在寻找信息系统、网络或软件本身的漏洞中的重要性是显而易见的。其次，你将使用一些专门针对网络安全子领域的软件。有时候，你会遇到软件不足以满足你的需求的情况，或者根本没有适合你正在从事的工作的软件。例如，你可能会遇到需要为非技术背景的人可视化数据的情况，或者你正在使用的软件（现在很多软件允许你运行自己的代码）无法完全满足你的需求。因此，即使有限，能够编写自己的代码也能让你更进一步。

  • 数据通信和网络： 互联网是如何运作的？哪些协议提供安全性？理解网络是网络安全的核心方面。举个例子，物联网（IoT）非常流行，它定义了一个由设备（如车辆和家用电器）组成的网络，这些设备可以互相连接、互动并交换数据。如果你不理解网络的基础知识，怎么分析从你的物联网设备发送的数据？你怎么能在不知道协议如何运作的情况下保障正确的协议？我们也将在网络安全的每个子领域面临这些问题。

  • 数学和统计学： 你会听到任何对信息技术感兴趣的人都说“计算机只处理一和零”。我说的方式是“像世界上所有的系统一样，信息技术是用数学来运作的。” 在网络安全中，你可以将四个基本运算应用于积分计算。为了计算你的x位数据有多少 MB，你需要使用四个基本运算，而为了对你的日志数据进行分类，你可以使用判别函数。

如果你学会了演奏的基础，你可以成为一名职业音乐家。然后，你还可以演奏其他乐器，或者加入一个交响乐团，在其中和其他乐器和谐演奏。

• 实践操作：要学习任何网络安全子领域，单纯看书或视频是不够的，必须进行实践操作。网络上有成千上万的 YouTube 视频或免费 PDF 书籍可以学习这些知识，但你不应仅限于观看或阅读。你可以轻松找到免费的工具，或者搭建自己的实验室进行实践。如果你想学习网页编程，那么只需安装一个 Web 服务器，一个数据库和一个编辑器，通过写<?php，迈出第一步。如果你想学习网络技术，那么就安装仿真软件，开始将计算机、路由器和网络电缆拖拽到舞台上。如果你只想计算x位数据是多少 MB，那就拿起纸和笔，开始写四则运算。不要害怕。

  如果你不拿起拨片并弹奏弦乐，即使你看了成千上万的视频学习如何演奏，依然无法发出声音。

你能分享一下你对那些想要进入网络安全行业的人的看法和建议吗？

事实上，我可以分享一些关于正在或将要从事网络安全行业的人们的经验：

• 如果你遇到网络安全问题，不要总是认为那是一个技术问题，必须通过技术手段来解决。有些（可能是许多）问题其实与人类因素相关。我们可以从两个不同的角度来审视这个问题：

  • 攻击者想要未经授权访问、破坏或摧毁系统时，会利用人类这一系统中最薄弱的环节来实现目标。研究表明，90%的网络攻击都源于欺诈性钓鱼尝试，因为人类防火墙存在许多漏洞。信息系统中的人类行为受到年龄、性格等因素的影响，攻击者正是通过这些特征来接触到系统。这使得通过利用人类而非技术手段来访问系统变得更加容易，这也凸显了网络安全中提高意识的重要性。

  • 如果系统出现错误，不要慌张，认为系统受到了攻击。我曾遇到过一个局域网的中断问题，原因只是清洁人员看到地面上有一个连接器（它连接着一根网络面板的电缆）。他们在清洁时拔掉了它，并试图通过将它插入墙上的一个空闲网络面板插座来修复，结果导致了网络中的回路。

• 永远不要忘记，我们这些从事网络安全领域工作的人需要始终走在攻击者前面。无论你设计什么或应用什么政策，认为自己已经考虑到了所有因素，但你总是会遗漏某些东西。我们会创造系统，而有人会故意或偶然地破坏它。如果系统能够像创建时那样稳定运行，那么就不需要任何杀毒软件更新了。

• 你将面临抵制你安全政策的日子。举个简单的例子，你会遇到一个员工或经理，他不想使用一个至少包含一个大写字母、一个小写字母、一个数字、一个特殊字符，长度至少为八个字符，并且每 6 个月必须更换一次、且不得与之前的密码相同的密码。有时候，你会拒绝改变政策，但不幸的是，有时你不会。无论你做什么，一定要记录下来。否则，当事情变糟时，第一个被指责的人将是你。

Onur Ceran 是谁？

Onur 在土耳其国家警察局担任网络犯罪部门的首席督察。他通过作为讲师参加网络安全意识培训项目，努力提高人们的安全意识，同时在网络空间与坏人作斗争。他拥有以下学位：警察学院（学士）、计算机教育与教学技术（学士）、国际关系（学士）、信息系统（硕士）。他还即将完成其网络安全意识领域的哲学博士（PhD）。他的研究领域包括网络安全、网络安全意识、信息技术、系统、数据挖掘、适应性学习、协作学习、电子学习和移动学习。他在国内外的期刊和书籍上发表了多篇文章。

他曾作为讲者参加了许多研讨会、会议、座谈会和小组讨论，讨论网络安全问题。他还参加了许多课程，培训执法人员，并代表自己的国家参与网络犯罪和调查项目及会议。

他娶了全国最美丽的女孩，并且有一个可爱的儿子。

尼尔·雷鲁普

企业网络解决方案架构师首席架构师

在转行进入网络安全之前，你的职业是什么？

在成为安全架构师之前，我是一名专注于 IT 解决方案的技术销售工程师。我在 1988 年到 2000 年期间从事该领域工作，正是在这个角色中，我第一次接触到 IT。我的第一家公司决定开始销售网络测试设备，而我被分配负责理解这些工具。但在完全不理解什么是网络数据包的情况下，这很困难。所以，我开始学习网络协议，我的 IT 职业生涯也因此起飞。我一直在学习新的 IT 技术，因此，我始终处于行业的前沿。

告诉我们你从主要职业转向网络安全的历程。

我从 1988 年开始从事 IT 工作，那时网络刚刚起步，但互联网还没有出现。那时候，我们用的是路由器而不是防火墙，防火墙当时也只是专用的路由器。我第一次接触 IT 安全，是在 Checkpoint 推出了它的 7 层防火墙时，这款防火墙引入了追踪数据包通信来源的概念。

我在 2000 年成为了一名安全架构师，当时 EDS 任命我为加拿大的首位安全专家。因此，我参与了加拿大几乎所有重大项目，并且还参与了许多美国的项目。

你为什么选择了网络安全作为职业？

其实，是 IT 安全选择了我。当时，我是 EDS 的高级 NOC 分析员，负责支持 BC 省的省级学习网络（PLNet），这是北美最大的公共网络。但我的职位描述中有一句话是“…并负责安全。”当时，EDS 的 CEO 是 Dick Brown，他有一个习惯，经常发邮件告诉大家他所在的各个地方的团队表现如何。

我们的另一个项目的客户经理曾找我做他们服务器的安全评估，我回答说“没问题。”由于我之前从未做过类似工作，我便在 EDS 的世界里寻找做安全评估的正确方法。那时，Dick Brown 正好发了一封邮件，我决定开玩笑回复一下。我写道：“谢谢，Dick，感谢你的邮件。顺便问一下，在哪里可以学到如何做安全评估？”我没想到会收到任何回应，但生活总是让人意外。Dick 将我的邮件转发给了那位刚刚在弗吉尼亚州赫恩登设立 IT 安全团队，负责支持 NSA、CIA 以及另外三个美国政府的缩写机构的副总裁。那位副总裁飞到了温哥华与我会面，结果出乎意料，我成为了 EDS 在加拿大的首位安全专家（甚至在那个职位得到高层支持之前）。

你在选择网络安全作为职业时，与同行做了哪些不同的事情？

成为 EDS 在加拿大的首位安全专家意味着我被派往了 EDS 的每一个重大项目。我为加拿大银行的债券销售外包项目做了安全设计。我为丰业银行（ScotiaBank）的 HR 外包项目做了安全保障。我为卡尔加里市的网络门户设计了安全方案，那时网络门户刚刚兴起。那么，我和同行们做了哪些不同的事情呢？嗯，几乎所有事情。

我参与了通用汽车（GM）首次联邦解决方案的实施。我曾是温哥华冬奥会的安全架构师。我参与了不列颠哥伦比亚省智能电表基础设施的安全工作，并与 NIST 的 NCCoE 合作，为公用事业领域创建参考架构。简而言之，我去过的地方，极少有安全架构师曾到过。

我通过专注于安全架构的架构部分来做到这一点。绝大多数安全架构师是从事架构工作的安全人员，而我是专注于安全的架构师。因此，我比大多数人更加灵活多变。

你能分享一下你对那些想进入网络安全行业的人的看法和建议吗？

嗯，基本上，我认为现在的安全人员已经忘记了他们存在的意义。他们认为自己是所在组织的守门人，因此会为大多数项目设置障碍。他们已经忘记了自己并不是组织的核心业务，因此，通常会被视为必须避免的人，尽可能地避免与他们打交道。他们告诉别人为什么不能做某事，而不是提供解决方案让他们能够继续前进。

如果你想进入网络安全行业，记住，尽管你可能会发现别人做的事情存在问题，但提供一个合适的行动方案比单纯说“不行”要好得多。

在你看来，你的旧职业是如何帮助你或对你的网络安全之路产生影响的？

多年来，我培养了大量的安全架构师，我发现，不管他们来自哪个领域，最优秀的架构师通常都来自销售领域。原因很简单，他们知道在提出解决方案之前要先问问题。而那些来自技术领域的人往往在没有询问问题和理解需求之前就急于提出解决方案。所以，回顾我的旧职业，我感谢自己学会了如何提问。

你会给那些想开始网络安全职业生涯的读者什么建议，他们该如何做呢？

我最重要的建议是，在做出结论或提出解决方案之前，要多了解一下发生了什么。我记得第一次在运营中心工作时，我看到一个我认为是黑客攻击的尝试。我很兴奋，并且跳到了各种结论，但这些结论最终都不是真的。花些时间了解发生了什么，不要让情绪影响你的判断。

你建议某人应该在网络安全的一个领域成为专家，还是应该在网络安全的所有领域成为专家？从行业的角度看，你有什么看法？

专注于纵向发展还是横向发展，完全取决于你对职业的规划。记住，往上走，你的专长会逐渐成为商业和技术的结合。你越往上走，你会越关注商业方面，而不是技术方面。如果你想在某一特定领域成为专家，那也没问题。只是要记住你最终想达到的目标。

哦，这并不意味着你必须努力向上爬升职阶。我有一个曾在 EDS 时合作过的朋友，他教会我，并不是每个人都想要往上爬。我永远做不到他热爱的工作——一级帮助台。但那正是适合他的工作。要明白你想做什么、喜欢做什么，然后从这里出发。不要假设你想要的就是别人想要的。

网络安全的格局是不断变化的，且极其动态；您如何保持自己不断更新？对我们的读者，您有哪些建议？

我的工作性质随着时间的推移发生了变化，这仅仅是因为安全的性质发生了改变。最初，它被称为 IT 安全，然后变成了信息安全；现在，大家都称之为网络安全，这仅仅是因为随着技术的拓展，安全的广度也发生了变化。

我所学到的是，你不应该专注于技术。技术不断变化，而且没有人能在所有技术领域都永远保持专家的身份。但如果你能发现做事的模式，就要把它们记录下来并遵循它们。例如，设计的创建过程是相同的，不管所涉及的技术是什么。因此，尽量在遵循已有的流程上变得非常熟练。记住，每个解决方案都是人、流程、和 技术的结合，而不仅仅是技术。如果你记住这一点，一切就会变得容易。

在您看来，哪一项更重要：拥有安全认证、获得相关安全培训，还是通过工作积累实践经验？

这是个鸡和蛋的问题。当你刚进入这个领域时，每个 HR 都会要求你的证书。但几年后，你的简历会比任何证书更具分量。你刚进入一个领域时需要证书，但随着经验的积累，正是这些经验推动你向前发展。

当我在 2000 年首次进入安全领域时，我获得了 CISSP 证书（我大概是第 2410 号，这说明我们那时从业的人非常少）。接着我又获得了 CCNA（思科）、CNA（诺瓦尔）、MCSE 和 CCSA（Checkpoint）证书。但到 2005 年，我让它们过期了，因为我的简历已经变得远远更强大。从那时起，我再也没有获得过任何证书。但如果没有这些证书，我不可能会有今天的起点。

我们都同意，网络安全是当今行业不可妥协的因素。作为行业领袖，您认为在不久的将来，网络安全将在哪些新领域发挥作用？

我认为现在有一些技术目前还没有网络连接，但将来会有。我们通常把它称为物联网（IoT）。随着技术越来越互联互通，网络安全的需求将与日俱增。但这只是其中的一部分原因。

请记住，每个解决方案都有三个组成部分（人员、流程、技术）。仅仅讨论技术变革会错过即将到来的绝大多数变化。每个角色都将开始将网络安全嵌入其中。请记住，安全并不是任何一个人或团队的责任，它是所有个人的责任。确保个人理解安全将会迅速发展壮大。

从流程的角度来看，确实需要确保安全被集成到所有流程中，以便在加速流程的同时，确保安全成为我们做事方式的一部分。因此，网络安全的审计和运营方面将会增长。

但是，有一个领域是人们常常忽视的，那就是治理。我认为，所有解决方案中都有一个第四个组成部分，那就是治理。我相信，未来会有一些网络产品必须满足某种行业标准。不是 ISO 27001，而是其他标准（可能是 ISA99——谁知道呢？）。但是，如果你看看任何电气产品，它们必须符合 CSA 和 UL 的安全标准。我认为网络安全领域也会出现类似的情况。

尼尔·瑞鲁普是谁？

我领导一家提供建筑服务（企业和解决方案架构）给北美企业的架构公司。我个人是来自网络安全领域的企业架构师。我曾为全球企业参与多个项目，涉及多个架构领域，包括安全、网络和应用程序。

我的客户涵盖了多个市场领域，包括但不限于公用事业、政府、金融、林业、汽车、特殊事件和零售。我曾作为企业架构师（提供战略创建服务和架构领导）为解决方案架构师提供支持（创建解决方案并进行架构评估）。

我的公司专注于提供固定费用的安全架构即服务。我们正将客户从基于时间和材料的商业模式转向一个新模式，即客户通过使用我们的标准化模板和流程购买安全架构交付成果。

吉拉尔·穆萨

总监，SAP

在转向网络安全之前，你从事的是什么职业？

我的第一份工作是大学毕业后做网络工程师，为客户安装交换机和路由器。我当时所在的公司也在销售 Check Point 防火墙，没多久我就被吸引进入了安全领域！所以，实际上，我很幸运能够在 2000 年就进入网络安全领域，远在网络安全这个词被广泛使用之前！

为什么选择网络安全这个职业？

网络安全非常迷人；就像是加入超级英雄团队与反派作斗争！它不断变化，永远不会无聊。它横跨整个 IT 领域，最近在董事会层面和全球的 CxO 中都有讨论。如果你是一个喜欢学习和发展的人的话，那么网络安全领域绝对值得考虑。

在选择网络安全作为职业时，您与同行相比做了哪些不同的选择？

我最初是在网络领域起步的，建立了坚实的路由和交换基础，这对转型进入安全技术岗位非常有帮助，因为它为你提供了强大的基础，使你更容易理解各种网络安全解决方案，并更好地排查任何问题。我还在最初几年就努力获得认证。我从技术角度专注于 Cisco 和 Checkpoint 认证，并且关注 CISSP 认证，这样可以为我提供更多的知识，从而与 CISO 进行更好的讨论。在 2003 年，我是我所在地区最早的 CISSP 之一，这为我的职业生涯提供了强大的推动。当然，这一切并不仅仅是关于认证和知识。你还需要通过实际操作和实践来增强它们。由于我在一家系统集成商工作，每天都在安装和配置防火墙以及其他安全解决方案。

有很多自学的过程。我记得曾经熬夜阅读关于 Linux 和 Solaris 的资料，因为我需要配置服务器并加固它们，以便安装 Checkpoint 防火墙。我在学习和认证上投入了大量的时间和精力。直到今天，我依然热爱学习新知识，尽管我现在不再从事技术性工作，而是转到了销售领域。我喜欢与聪明的技术人员坐下来讨论，要求他们将一些概念讲解到一个我能理解的层次——为“菜鸟”解读网络安全。

您能否分享一下对于那些想要进入网络安全行业的人的看法和建议？

如果你正在阅读这篇文章，那么你可能对网络安全感兴趣。这个领域既迷人又神秘。告诉别人你在做网络安全工作，他们的眼睛会亮起来，开始问你一些“是真的吗…”的问题，比如“我们手机制造商可以通过我们的摄像头监视我们吗？”或“黑客能在几秒钟内破解我的 Facebook 密码吗？”等等。不管你和谁交谈，他们都会对你说的内容感兴趣。作为一份职业，它永远会让你想要不断探索更多。我已经在网络安全领域从事了 19 年，虽然中间有过间歇，但我依然热爱其中的每一部分。我参与的讨论也随着时间的推移发生了很大变化，从保护组织的外围到保护用户、数据和移动设备——而且这只是开始。如果你选择从事网络安全职业，肯定不会有一天是无聊的。

在你看来，你之前的职业经历是如何帮助或影响你在网络安全领域的发展的？

我从网络领域起步，迅速转向了网络安全，之后在一个专注于网络安全的岗位上工作了 6 年。然后我转到一个销售岗位，虽然这个岗位较少关注网络安全，但在经历了 8 年的空档期后，我又回到了一个专注于网络安全的销售岗位。然而，在这 8 年间，我始终对网络安全充满热情，甚至在为思科和谷歌工作时，我也总是关注与网络安全相关的解决方案，并与客户进行关于这些解决方案的讨论。我在这个领域积累了丰富的知识和经验，这为我赢得了很多客户的信任和信誉，尽管我本质上是个销售人员！这 8 年在网络安全之外的经历帮助我更好地理解了安全性。即使我在谷歌销售云应用时，第一个问题总是：“云端安全吗？”当我试图在思科销售一个大型端到端网络时，客户最常问的也是：“我们如何确保它的安全？”所以，无论我们在 IT 世界中担任什么角色，网络安全都会是左右为难的核心话题。我的非网络安全领域的经历让我更加珍视网络安全，并让我更清楚客户在提到安全时的真正需求。有些客户关注隐私，有些则更关心信息安全和治理，甚至有些人关心的是物理安全，比如保镖和闭路电视！

你会对那些想要从事网络安全职业的读者有什么建议，他们应该如何开始呢？

现在，你很幸运能够接触到大量的资源、课程以及官方的大学网络安全课程。所以，这一切取决于你在职业生涯的哪个阶段，以及你未来想做什么。你需要决定自己是否想从事技术工作、售前工作、治理工作，或许甚至像我一样从事网络安全的销售工作。然后，你可以深入到每个领域。听说 CISSP 仍然是一个非常好的认证，另外肯定还有很多其他认证。找到一个适合你的认证并为之努力吧。

你认为某个人应该在网络安全的某一垂直领域成为专家，还是应该在网络安全的各个领域都成为专家？从行业的角度来看，你有什么看法？

什么都懂，但什么都不精！这永远都不是一件好事，除非你只是一个业余爱好者。如果你想以某件事为职业，你需要专注。如今，网络安全无疑是一个非常广泛的领域。我强烈建议你先全面了解各个领域，虽然不需要非常深入，然后选择一个领域专注并深入研究。你选择的领域可能与你现在从事的解决方案相关，或者是你未来想从事的领域。但你永远不能孤立地学习一个领域。如果你想专注于物联网网络安全举个例子，你不能只学习物联网网络安全，仅此而已。你需要先对网络安全有高层次的了解，在某些领域甚至需要深入了解，才能应对物联网问题。而学习的美妙之处在于，你不需要就此停止——你可以学习更多内容，学习不同的东西。所以，在物联网网络安全领域几年后，你可能会决定接下来几年从事道德黑客工作。戴上你的学习帽子，利用迄今为止学到的一切，并在此基础上继续深造。

网络安全领域正在不断变化，极具动态性；你是如何保持更新的？你对我们的读者有什么建议吗？

如果你已经读过我之前的回答，你会注意到我一直强调学习。保持更新就是另一种形式的学习。幸运的是，今天，不管你喜欢以什么方式获取关于网络安全的知识，外面有着源源不断的资源，从网站到播客、视频，以及来自网络安全供应商的大量内容，比如 Palo Alto Networks 的Cybersecurity for Dummies免费 PDF。你可以订阅新闻通讯，阅读网站如darkreading.com，在上班途中收听播客。对我来说，另一种最喜欢的学习方式就是和我在网络安全领域的同事和朋友们交流，询问他们最新的动态、他们正在做的工作等等。从与他人交谈中，你能学到很多东西。

我在和客户交流时也是如此；他们每天都在和数十个供应商对话，所以我总是很感兴趣他们从中听到的最新趋势，然后再回去在线上查找相关资料。参加会议和展会也很有价值，只要你花时间和别人交谈，了解他们在做什么，以及他们的解决方案为什么很重要。始终保持好奇 (ABC)，无论是通过阅读更多内容，还是多向身边的人请教。

在你看来，哪项更重要：拥有安全认证、接受相关的安全培训，还是通过工作获得实践经验？

说实话，三个都需要！即使我们很忙，手头有更多的时间也能兼顾这三项。安全认证就像一门课程：你需要经过一段时间的学习，最终获得认证。所以，这会让你忙上好几天、几周或几个月，但之后就结束了，而这些时间和精力是值得投入的。至于安全培训，通常是非常昂贵的，所以如果你有机会参加公司赞助的培训，一定要去。即使你觉得自己不会学到很多新东西，你也只需要学到一些新东西。如果你参加了课程后，能比以前多了解 10%的内容，那真的是很棒！4 到 5 天时间，能多学 10%！然而，如果你是技术人员，或者正在为成为网络安全技术领域的一员而培训，那就没有什么比工作中的实践经验更有价值了。如果你是学生，可以免费提供服务，只为了学习。当我在大学时——很久以前——我在一家电脑店免费工作，只是为了学习如何拆开电脑、重新组装，再设置好。我在工作的最初几周学到的东西，比我过去 5 年读的所有书还要多！

我们都同意，网络安全是当今行业中不可妥协的因素。作为行业领导者，在你看来，未来哪些新的领域将需要网络安全保障？

网络安全已经融入了我们作为个人和组织的一切活动中。无论你是在使用面部识别解锁手机，还是在给经理发送电子邮件，都有多层网络安全措施在保障每一次互动的安全。如我们所知，各种设备都在与互联网连接，设备之间以及设备与我们人类之间已经开始互相沟通。我们生活的方方面面正在被自动化，或转变为按需服务，无论是乘坐优步去上班、给车加油、看电视节目，还是走进自己的家里。这些服务都需要被保障安全，攻击者总会试图非法访问这些服务、设备和信息。我们的孩子需要接受网络安全教育，我们的父母和祖父母也同样需要。

网络安全将与未来的任何技术并行发展，无论是量子计算、虚拟现实，还是飞往月球。所以，网络安全的发展没有限制，但我可以保证这一点：如果你选择了网络安全作为职业，你一定会很享受，而且你的技能将始终需求不断，即使人工智能试图接管世界，我们依然需要网络安全专家来保护我们免受 AI 的威胁！

吉拉尔·穆萨是谁？

作为一名经验丰富的 IT 专业人士，我帮助公司在中东和土耳其地区执行商业目标，并实现收入的指数级增长。

我有超过 19 年的 IT 行业经验，并成功为大型跨国公司在该地区创办和运营初创企业，包括微软、思科、谷歌和 Splunk。

我的重点和承诺是利用我的销售和领导技能，帮助我们的客户实现他们的目标，同时确保我的组织实现指数级增长。

Kaushal K Chaudhary

IT 和信息安全执行董事

在转向网络安全之前，你的职业是什么？

在转向网络安全之前，我曾在印度海军负责一个 IT 项目。

谈谈你从主要职业转型到网络安全的历程。

在东部海军指挥部的海军网络上发布应用程序时，挑战是保护信息不被未经授权的访问。充分了解任何漏洞的影响后，我决定在寻求外部帮助之前，首先自己教育和测试网络。因此，我学习了伦理黑客技术，并通过了 EC 委员会的认证。然后，我培训了我的团队并确保了网络安全，才发布了应用程序。我发现这个职业既充满挑战，又非常满足。由于我是为数不多的认证伦理黑客之一，我得到了指挥部的支持，开展了许多单位的安全审计。这为我从海军服役后进入企业界的网络安全职业奠定了坚实的基础。

为什么选择网络安全作为职业？

这是从手工工作文化向自动化工作文化过渡的阶段。数字化进程加快，许多沟通渠道也在不断开启。数据和通信的安全性是这些产品成功的首要挑战。我发现网络安全领域既充满挑战，又令人满足。

在选择网络安全作为职业时，你与同行做了哪些不同的事情？

在寻求外部供应商帮助我保护应用程序和网络之前，我决定先全面了解风险和缓解控制。这让我对挑战有了完整的理解，并帮助我从外部供应商和专家那里获得了最大的帮助。我自愿参与了许多网络安全所需的倡议。在这方面，我关于本土防火墙的论文得到了 DRDO 的高度评价。该项目在我的指导下完成，并获得了 DRDO 的赞赏，这使我获得了更多在网络安全职业生涯中脱颖而出的机会。

分享一下你对那些想进入网络安全行业的人的看法和想法。

随着数字化进程的快速推进和数据盗窃或破坏的威胁成正比，网络安全行业的吸引力已经超越了其他行业。以前，安全开支被认为是可以避免的成本，而现在它已成为任何数字化项目中的关键要素。因此，网络安全行业迎来了范式转变。

在你看来，你过去的职业如何帮助或影响你在网络安全道路上的发展？

对于任何职业生涯的成功来说，基础知识和动手实践是不可或缺的要素。我的过去的职业给了我建立这一基础的机会。

你会给那些想在网络安全领域开启职业生涯的读者什么建议，他们应该怎么做？

思考网络安全是第一步。然后，无论他们以何种方式参与数字化进程，都应该理解其底层技术以及可能存在的漏洞。下一步的大门将会自动开启。

你建议有人应该成为网络安全某一领域的专家，还是应该成为网络安全各个领域的专家？从行业角度来看，你有什么看法？

在获得网络和终端安全的理解与专业知识后，他们应该寻求在某一特定领域的纵深经验，如物联网、云安全或应用安全等。从求职的角度来看，这将是更受青睐的选择。

网络安全的格局瞬息万变，极具动态性；你是如何保持自己与时俱进的？你对我们的读者有什么建议？

有很多方法可以保持更新。我参与了很多与网络安全相关的活跃小组和论坛，我会在这些论坛上发言，并聆听其他专家的意见。在专家和爱好者的论坛上发言给了我更多学习该话题的动力，而听取专家的观点也激发了我更多的思考。讨论小组是了解网络安全最新信息的一个很好的途径。

你应该加入或组建这样的兴趣小组，并开始参加关于网络安全的研讨会，以保持更新。

在您看来，什么更为重要：拥有安全认证、接受相关的安全培训，还是通过工作获得实践经验？

认证为您提供了工作的资质，而培训和实践经验则能提升自信心。因此，这两者对网络安全职业发展都至关重要。

我们都一致认为，网络安全是当今行业中不可妥协的因素。作为行业领导者，在您看来，网络安全在不久的将来将需要在哪些新兴领域中发挥作用？

网络安全现在已成为日常生活的一部分，因此没有哪个领域能够被排除在外。由于生活各方面的快速自动化，无论是在健康行业、交通运输还是一般治理领域，连接设备的数量将呈指数级增长。这些设备的安全性正成为网络安全领域中的一大挑战。

Kaushal K. Chaudhary 是谁？

他拥有超过 25 年的经验，为组织制定 IT 和信息系统蓝图，涵盖短期和长期战略，符合业务目标，涉及 IT 运营、ERP 实施、帮助台支持、网络与通信基础设施管理、供应商和服务提供商管理、风险管理、业务连续性与灾难恢复规划，以及 ISO 27001、PCI DSS、SAS70、HIPAA、SOX 等合规审计。他是一位战略家、规划者和领导者，具备通过建立有效客户关系、与职能领导协调合作和指导团队来创造价值的独特能力。

他是兰科集团 IT 和信息系统团队的负责人。拥有 M.Tech.(CS-IIT)、MBA、CISSP、CISA、ISO 27001 LA、ITIL、ISO 20000 LI、网络法学文凭等证书，并多次获得客户、雇主和行业的高度评价，曾获得“印度最伟大企业领袖奖-2013”、CIO100 奖-2013、Top 100 CISO 奖-2011 及 2013 等荣誉。他曾在CIO杂志（2013 年 9 月）和InfoSecurity杂志（2013 年 8 月）获得封面报道。

Will Kepel

威胁情报分析师，FireEye 公司

为什么选择进入网络安全行业？

毕业于 CSU，获得犯罪情报研究生证书后，我在新南威尔士警察局的儿童剥削互联网单位担任情报分析师。我对犯罪分子与警方之间技术策略的“猫捉老鼠”游戏产生了浓厚的兴趣。这与黑客与保护计算资源的人之间的动态非常相似。此外，情报周期本身也类似于网络攻击的侦察阶段。在离开这个职位后不久，我开始在 CSU 攻读信息系统安全硕士学位（MISS）。

在进入网络安全领域之前，您做了什么？

在新南威尔士州警察局担任情报分析员之后，我开始在电子安全专员办公室担任内容分析员，负责在线儿童性虐待材料的删除工作。这项工作需要追踪内容到托管服务器，并检查内容中的数字痕迹，供警方保护受害者并抓捕犯罪者使用。正是在这个岗位上，我开始并完成了我的 MISS（Master of Information Security Studies）。

你是通过什么过程（包括时间线）转型进入网络安全领域的？

在开始 MISS 之前，我于 2008 年完成了 CSU 的犯罪情报研究生证书课程，并在 2013 年完成了公共安全（警察情报实践）文凭课程。这些学习为我通过远程学习方式攻读 MISS 打下了基础，而我在 2013 年开始了 MISS 的学习。

我在全职工作的同时，花了大约 5 年时间才完成我的 MISS。之所以花这么长时间，是因为我每学期只修一门课程，并且还曾休学一学期。这种缓慢的进度对我来说是必要的，因为我没有技术背景，所以每次评估任务我都需要做更多的阅读和准备，这需要大量的时间。休学一学期是为了避免过度疲劳。作为我学习的结论，我开始申请网络安全领域的初级职位。我非常幸运得到了 CSU 的 IT 硕士们的帮助，他们在一封邮件中宣布了我凭借最高的毕业平均绩点获得 MISS 奖项，这一消息传达给了众多潜在的雇主。在这封邮件发布后不久，我收到了多份面试邀请。很快，我接受了作为安全顾问进行渗透测试的职位。

是什么帮助了你的转型？

在我的硕士课程中表现出色对获得职位至关重要。此外，能够展示自己在分析学科方面的工作背景，也帮助我克服了缺乏技术职位经验的困难。我的强大学术背景帮助我在 MISS 课程中表现出色，因此我的先前学业也非常重要。

是什么阻碍了你的转型？

我进入网络安全领域的最大障碍是缺乏计算机本科学位和技术职位的经验。几乎每个雇主似乎都要求有安全经验，或者至少有 IT 经验。

在一个陌生领域完成硕士级别的学习同样面临不少挑战。全职工作同时以远程学习的方式进行学习非常辛苦。我第一次见到我的同学是在毕业典礼上，考试时甚至没见过任何同班同学。这意味着我没有同学可以交换想法。同时，我不在 IT 领域工作，也没有工作中可以寻求指导的人。

你能描述一下你现在的角色吗？

我目前在一家跨国安全公司担任网络威胁分析师。在这个角色中，我为公共和私营部门客户提供分析，关于各种威胁行为者带来的威胁。我提供关于不同威胁行为者的战术、技术和程序（TTP）、攻击模式、偏好恶意软件等情报，帮助客户将资源集中于最可能的攻击来源和形式。我可以选择在家工作或在办公室工作。

回顾过去，您是否为自己决定进入网络安全行业而感到满意？

自从进入网络安全行业后，我从未后悔。作为一个不断发展的行业，我的机会只会增加，除非我选择离开，否则不太可能失业。我现在可以在家工作，并且接送孩子上下学。我从未有过如此的灵活性。如果我愿意，我也有机会在其他国家工作。唯一让我烦恼的是行业中缺乏性别多样性。大学和雇主需要更具创造性，激励女性考虑从事该行业的职业。

您建议某人应该在网络安全的某个垂直领域成为专家，还是应该尽力成为网络安全的各个领域的专家？

尽管我在这个行业还是新手，但我认为不可能成为所有网络安全领域的专家。你可以在一两个领域成为专家，甚至三个（如果你没有生活的话），但我不认为所有领域的知识都能满足雇主的需求。职位角色越来越专业化，因为积累技能和知识到达熟练程度甚至精通的时间成本很高。

在您看来，什么更重要：拥有安全认证、接受相关安全培训，还是通过工作获得实际经验？

雇主似乎更看重那些有实际操作部分的认证。选择题形式的认证常常受到嘲笑，我发现，简历中列出没有认证的情况可能比列出这些类型的认证更好。动手操作的技能非常重要，应该通过任何可能的方法来获得。大学可以做更多的事情，将实践评估任务纳入课程，并将其推销给雇主群体。我知道有雇主更倾向于青睐能够展示实际操作技能的潜在员工的博客，而不是单纯的资格证书。他们想要看到你能展示技能，而不是描述原理（除非你想从事销售工作）。

如果学生没有做过系统管理员或网络支持角色的工作，进入网络安全行业是否可行？

这是可行的，但仅适用于那些特别有动力的人。如果你生活在“P's get degrees”的格言下，没有系统管理员或网络支持经验，预计会失望。我没有系统管理员或网络支持经验，但我证明了通过大量努力，仍然可以掌握一门知识体系。此外，在评估中展示良好的写作技能也很重要。实际上，由于缺乏工作经验，我被要求提供我的 MISS 评估样本。根据我的经验，如果没有工作经验，通过学习展示掌握知识的能力是下一个最佳选择。

谁是 Will Keppel？

我最近加入了 FireEye，担任威胁情报分析师。我在州和联邦政府机构从事在线调查和情报分析工作已有 7 年的经验。

我还具有为公共和私营部门客户进行渗透测试、漏洞评估以及物理安全审计的经验。

能力：情报分析、渗透测试、漏洞评估以及网络犯罪调查。

Martin Hale

IT Masters 首席执行官，查尔斯·斯图尔特大学讲师

背景

2002 年，微软和来自行业教育公司 IT Masters 的 Martin Hale 与查尔斯·斯图尔特大学（CSU）合作，提出了建设一个与行业相关的硕士学位的概念。该硕士学位的目标受众是那些可以在全职工作的同时在线学习该学位的行业专业人士，并且最新的行业认证将是该硕士学位的重要组成部分。

网络与系统管理硕士学位于 2003 年推出，2006 年推出了首个网络安全硕士学位。2007 年，查尔斯·斯图尔特大学（CSU）成为澳大利亚为 IT 专业人士提供硕士学位的最大院校，最新的入学数据表明，CSU 的招生人数比第二大大学多了 115%。

如何在网络安全行业找到工作

直到大约 5 年前，我会将网络安全专家（CSS）归类为其他专业 IT 角色，如信息架构师或数据架构师，我给没有经验的申请者的建议基本上是“祝好运”。这是因为雇主只会考虑有经验的申请者，而潜在职位的数量非常有限。

然而，过去 5 年中，CSS 角色激增，导致经验丰富的人要么不再可用，要么因被其他公司挖走而离开。这种短缺迫使公司雇佣经验不足和部分合格的申请者。

进入网络安全行业的过程和时间表

首先要理解的是，CSS 岗位是高端岗位，涉及复杂的多个平台、技术和威胁环境的组合。即使 CSS 岗位不复杂，CSS 的一个错误也可能导致公司垮台，因此雇主一定只会考虑那些具备正确背景和基础知识的应聘者。关键的基础知识是了解计算机网络的结构，因此对于那些希望进入网络安全行业的人来说，我的时间表如下：

• 现在： 进入 IT 支持工作。L1 IT 支持岗位不仅是学习技术的好平台，还能帮助你与用户和管理层打交道。L1 支持岗位也是进入其他 IT 行业的主要途径，且由于这些岗位的人员流动率较高，因此有大量的入门级职位可供选择。

• 12 个月后： 晋升到网络支持、系统管理员岗位。专注于中小型企业（SME）的职位，因为这些职位通常比大型 IT 支持团队更具多样性，能够帮助你学习、拓宽视野，并且有机会接触到安全工作。如果你进入的是大型 IT 部门，请确保能够接触到广泛的技术，而不是仅仅支持狭窄的技术领域。

• 18 个月后： 开始一个全面的教育或发展项目，涵盖网络安全的所有主要领域。如前所述，CSS 岗位本身就很复杂，你需要确保你的课程包括由领先的网络安全行业机构——国际信息系统安全认证联盟（ISC2）——定义的所有八大领域：

  • 安全与风险管理

  • 资产安全

  • 安全工程

  • 通信与网络安全

  • 身份和访问管理

  • 安全评估与测试

  • 安全操作

  • 软件开发安全

在选择网络安全教育项目时，我应该关注什么？

你选择的教育项目极为重要。你在做出选择之前应该研究的几个因素如下：

• • 话题有多相关？ 雇主只会对与 CSS 相关的内容感兴趣，因此请确保你选择的课程大部分内容都专注于网络安全。

  • 内容有多新？ 网络安全行业发展迅速，确保课程内容能融入最新的行业动态至关重要。

  • 是否包括网络安全行业认证的准备？ 这不是必须的，但你可以通过添加一些较为简单的行业认证，如 CompTIA 的 Security+ 和 EC Council 的认证道德黑客，来让你的简历更具竞争力。

附件 A 介绍了查尔斯·斯图尔特大学的网络安全硕士课程如何满足上述标准。

• 在 24 个月内： 在开始开发程序后 6 个月开始申请网络安全职位。由于技能短缺，我们已经看到很多例子，学生在学位还未完成时就已被雇佣。

附件 A：查尔斯·斯图尔特大学网络安全硕士学位

有多少内容是相关的？

根据你选择的选修课，可能会在查尔斯·斯图尔特大学的网络安全硕士学位中学习 100%的网络安全课程：

• ITI581 网络安全基础 (www.csu.edu.au/handbook/handbook19/subjects/ITI581.html)

• ITC578 暗网 (www.csu.edu.au/handbook/handbook19/subjects/ITC578.html)

• ITE534 网络战与恐怖主义 (www.csu.edu.au/handbook/handbook19/subjects/ITE534.html)

• ITC597 数字取证 (www.csu.edu.au/handbook/handbook19/subjects/ITC597.html)

• ITE516 黑客防御措施 (www.csu.edu.au/handbook/handbook19/subjects/ITE516.html)

• ITE514 专业系统安全 (www.csu.edu.au/handbook/handbook19/subjects/ITE514.html)

• ITC595 信息安全 (www.csu.edu.au/handbook/handbook19/subjects/ITC595.html)

• ITC571 新兴技术与创新（网络安全研究项目）(www.csu.edu.au/handbook/handbook19/subjects/ITC571.html)

• ITE512 事件响应 (www.csu.edu.au/handbook/handbook19/subjects/ITE512.html)

• ITE513 取证调查 (www.csu.edu.au/handbook/handbook19/subjects/ITE513.html)

• ITE533 网络安全管理 (www.csu.edu.au/handbook/handbook19/subjects/ITE533.html)

• ITC593 网络安全与密码学 (www.csu.edu.au/handbook/handbook19/subjects/ITC593.html)

• ITC568 云隐私与安全 (www.csu.edu.au/handbook/handbook19/subjects/ITC568.html)

在硕士学位结束时，你将完成 1200 至 1500 小时的学习，涵盖网络安全的所有主要领域，但不包括如何开发安全代码。

当前内容有多新？

该硕士学位的 50%内容由在行业中日常工作的行业网络安全专家开发，另外 50%的课程由大学杰出的网络安全研究人员授课。

是否包括网络安全行业认证的准备？

以下认证的准备已包括在内：

• ITI581 网络安全基础 - Security+ (www.csu.edu.au/handbook/handbook19/subjects/ITI581.html)

• ITE516 黑客反制措施 - 认证道德黑客 (www.csu.edu.au/handbook/handbook19/subjects/ITE516.html)

• ITE514 专业系统安全 - 认证信息系统安全专家 (www.csu.edu.au/handbook/handbook19/subjects/ITE514.html)

• ITE512 事件响应 - 认证事件处理专家 (www.csu.edu.au/handbook/handbook19/subjects/ITE512.html)

• ITE513 法医调查 - 认证黑客法医调查 (www.csu.edu.au/handbook/handbook19/subjects/ITE513.html)

• ITE533 网络安全管理 - 认证信息安全经理 (www.csu.edu.au/handbook/handbook19/subjects/ITE533.html)

在澳大利亚查尔斯·斯图尔特大学学习网络安全

谁可以从事网络安全职业？

在过去的几年里，我们看到来自各种背景的学生成功地转型进入了网络安全行业。这些学生几乎都有一个共同点，那就是他们对计算机网络和安全有着长期的"兴趣"或"热情"。

从原职业转向网络安全是否有年龄限制？

我们的学生年龄从 20 多岁到 50 岁不等。

为什么网络安全应该作为职业选择？

显而易见的原因是高薪和职位安全，但我认为这将是一个令人着迷的职业，因为每天都会面临新的挑战。网络安全日益重要，这意味着你有机会与高级管理层合作。

ITM/CSU 在网络空间提供了什么，是否帮助学生找工作？

我们提供两个硕士学位：网络安全硕士（futurestudents.csu.edu.au/courses/police-security-emergency/master-cyber-security）和信息系统安全硕士（futurestudents.csu.edu.au/courses/technology-computing-maths/master-information-systems-security）。

网络安全硕士课程是为网络安全专家设计的，而信息系统安全硕士课程则是为那些将安全作为工作一部分的通才设计的（例如系统管理员、IT 经理等）。

然而，如果我们协助挖走客户的员工，客户是不会高兴的，因此此服务仅限于那些尚未在网络安全行业工作的学生。

分享你对那些希望进入网络安全行业的人的看法和想法。

这是一个迷人的行业，正处于成为 IT 行业主要领域之一的边缘。随着攻击的复杂化及其对任何公司的巨大破坏性，网络安全专家将成为公司中最重要和最受重视的员工之一。

ITM CSU 如何影响其学生的网络安全旅程？

查尔斯·斯图尔特大学（CSU）在澳大利亚的 IT 注册人数最多，而网络安全无疑是我们最大的 IT 研究领域。所有攻读我们 IT 博士学位的学生都在进行应用研究，旨在为国际知识库做出贡献。

你会向那些希望在网络安全领域开启职业生涯的读者提出什么建议？他们应该如何做到呢？

请参见本文开头的推荐路径。

你建议某人在网络安全的一个垂直领域成为专家，还是应该在每个领域都成为专家？从行业角度来看，你的意见是什么？

学生应该集中精力专注于某个垂直领域，因为网络安全的范围太广，无法成为每个领域的专家。然而，他们应该设立一个发展路径，接触所有垂直领域，以便能够高效工作，并且在不同领域之间转换。

网络安全领域不断变化，极具动态性，那么你是如何保持学生更新的呢？你对我们的读者有什么建议？

• 获得行业认证，如 CISSP、CEH 和 Security+，并随着时间的推移及时更新这些认证。

• 参与网络安全行业协会

在你看来，哪个更重要：拥有安全认证、接受相关的安全培训，还是通过工作获得实践经验？

没有什么能比得上在实际工作中获得的实践经验。然而，如果没有实际工作经验，下一步最好的选择就是一个全面的教育课程，课程内容应包括实践操作。

我们都同意网络安全是当今行业中不可妥协的因素。作为行业领导者，您认为在不久的将来，网络安全将在哪些新领域中变得尤为重要？

我认为我不够资格回答这个问题。

我的工作日程非常紧张，无法亲自参加课堂。你们有解决方案吗？

这两个硕士课程仅提供在线学习，所有目前注册的学生都是在全职工作的同时进行兼职学习。

硕士课程的费用是多少，澳大利亚学生和国际学生的费用有什么区别？是否有免费的课程？

国内学生每门课程的费用为 3,250 澳元，海外学生每门课程的费用为 3,350 澳元。根据你能获得的学分（www.itmasters.edu.au/am-i-eligible/），最多可以选择 12 门课程。

我们提供 10 门免费的网络安全在线课程（www.itmasters.edu.au/about-it-masters/free-short-courses/），这些课程涵盖我们其中一门课程的前四周内容。通过课程考试将获得证书，成功通过三门考试可以获得网络安全硕士学位的学分。

请参见www.itmasters.edu.au/和www.csu.edu.au获取更多信息。

Ahmed Nabil Mahmoud

CISO，PGESCo

一个人如何成为一名优秀的信息安全专业人士？

如今，组织在寻找优秀的安全专业人士，尤其是在向云技术的激烈转型和全方位依赖技术的背景下。

根据我的经验，我强烈建议任何加入信息安全领域的人具备以下条件：

• 扎实的基础知识：永远记住，知识就是力量。扎实的基础知识是必不可少的。网络技能对于任何信息安全专业人士都是必须具备的。这些知识包括 TCP/IP、子网、DNS、DHCP、路由器、交换机以及其他网络基础概念。完成 CompTIA Network+和 CompTIA Security+认证后，继续攻读 CISCO CCNA 认证（CISCO 认证网络管理员）或等同的知识，强烈推荐。

下一步是学习基本的网页安全和渗透测试技术及生命周期，这能为你增加更多价值。我建议此时可以选择 eLearnsecurity JPT（初级渗透测试）。这是一个结合实践经验和在线实验室的在线认证课程，适合初级和刚入行的信息安全候选人。

• 软技能：技术知识并不是唯一的前提条件，软技能和个人技能在信息安全领域的成功同样至关重要。你将经常遇到复杂的情况或未知的问题，这些问题需要真正的问题管理和强大的故障排除能力。这将需要耐心和全身心的投入，直到问题解决或得到解决。其他情况下，还需要询问和采访关键人员，这要求专业人士具备高度的分析能力和组织能力。有许多关于小组思维和决策技巧的工作坊，以及专业的技术写作和演讲技能培训。

• 专注于某一特定领域（你的强项）：信息安全涵盖了多个领域，如网络、云计算、身份认证、移动设备、网页、应用程序、分析、黑客攻击等。职业导向的专业人士需要选择一到两个他们能够轻松掌握的领域，并专注于此。没有人能够在所有领域都具备同样深度的专业知识。最大化自身优势至关重要。时刻记住：样样通，样样松。

• Linux 与 Windows 知识：任何安全专业人士都需要具备基本的 Linux 知识。大多数可用的黑客攻击和渗透测试工具都是基于 Linux 发行版的，如 Offensive Security 的 Kali Linux。没有人能在没有学习 Linux 并理解其主要命令的情况下，成为一名优秀的安全专业人士。建议下载一个 Linux 发行版到虚拟机中并开始使用，或者可以和 Windows 操作系统一起安装（双启动），也可以直接从 Live CD 运行。互联网上有很多资源和用户论坛，可以帮助你提升 Linux 的知识。至于基础 Linux 课程，强烈建议从 CompTIA Linux+课程开始。

• 编程与脚本：与 Linux 知识类似，所有安全专业人士都需要具备基本的编程和脚本技能。时不时地，某种形式的编写代码是必需的。对于任何安全专业人士来说，Python 是一个非常好的起点。它是一种非常强大的工具，文档齐全，并且有许多网站和免费的资源可供学习。当你更加深入地涉及软件安全、数据库和网页漏洞时，你可能需要考虑学习其他更深入的编程语言。

此外，如果你想编写小脚本和函数来管理系统并自动化多个任务，PowerShell 是一个很好的起点。网上有许多免费的在线课程可供学习。

• 专业课程：上述所有步骤将为你的职业生涯打下坚实的基础。要进入下一步，需要深入的专业信息安全课程。我强烈推荐选择 ISC2 的 CISSP 认证课程；这是一门内容非常深入、涵盖大多数信息安全领域的课程，同时，它也是一项对简历非常有价值的认证。

另一个被认为是实用专业黑客课程的不同方向是进攻性安全 OSCP（使用 Kali Linux 进行渗透测试）。这是一门在线课程，学生可以自主学习并在进攻性安全实验室进行在线实践。为了获得这个证书，必须在特定时间内攻破一定数量的系统。

• 自己动手实践：必须投入时间和精力才能获得经验。这完全取决于你愿意花多少时间学习和探索新的工具与技巧。虚拟化让这一切变得简单。现在，可以创建几台机器，并用不同的操作系统模拟并攻击一个目标，开始在目标虚拟机上应用攻击和渗透测试工具。随时可以恢复虚拟机的旧快照，黑客可以重新开始。

我的网络安全之旅

25 年以上前，我曾梦想学习计算机科学和信息技术；也许是因为我是家里的游戏专家，或者是那个能够神奇地组装计算机、格式化并从零开始构建计算机的“计算机极客”。但我父亲有不同的看法，他认为计算机和技术仍处于初期阶段，最好学习一门传统的工程学位，以更好地保障我的职业生涯。因此，我选择了电气和电子工程，这是最接近技术的领域，如果这个新兴领域变得有前景，我以后可以转行。

我进入大学后，在电气工程领域表现出色。我的成绩位于班级前列，我试图将所有事物与计算机相关联，选择了大多数需要编程的项目，或者那些涉及计算机仿真和分析的项目，当然，这些都需要通过计算机来完成。

在大学的第四年，我接触到了信息技术证书的世界和所有的缩写，而微软 MCSE（微软认证系统工程师）是我的梦想，也是一种通行证，可以打开任何关上的门。我买了第一本书（我现在还保留着，它在我的图书馆里某个地方），并开始迈出获得 MCSE（微软认证系统工程师）证书的第一步，学习网络基础。在那时，你不会直接学习 Windows 服务器和网络/基础设施配置，而是首先学习网络基础和底层知识，一直到物理层，包括所有的电缆和连接。

我在 2000 年毕业，荣誉毕业，并在我目前的组织中被聘为电气工程师。尽管我在工作中进展顺利，但我从未真正觉得自己处在合适的位置，能够识别和发挥自己的全部能力。因此，我决定继续学习并追寻我的梦想。所以，在我职业生涯的第一年，我在周末（周五和周六）工作，学习并参加 CISCO 和微软的 IT 课程，不论是在家里还是在办公室，甚至在下班后和周末也参加课程。通过这种方式，我接触到了一些具有挑战性且有趣的技术。我通过了所有必要的考试，最终获得了 MCSE 认证。那是一个我永远不会忘记的时刻，尤其是当我收到由比尔·盖茨签署的证书时！

辛勤的努力得到了回报，幸运的是，我们公司 IT 组的两名成员离职，他们正在寻找替代人选，而我的直接经理叫我去开会并问我是否有兴趣。这是我的机会；我立即接受了这个提议，并在那天就转行进入了 IT 领域。这是我永远不会后悔的决定；它激发了我的热情和能量，直到现在，我依然庆幸自己听从了直觉。

我在所有 IT 职位和技术中逐步进步：从服务台；到网络；到系统和应用管理，包括当时作为系统管理一部分的安全。如果你在管理自己的域名、网络和基础设施，那么你通常也需要处理防火墙和端点保护。直到计算机攻击和黑客行为开始影响全球企业，IT 与信息安全之间才开始出现明显的界限。我仍然记得 2003 年大规模的分布式拒绝服务（DDoS）攻击，那时大多数域名遭受攻击，世界开始意识到互联网攻击所带来的威胁以及可能与外界断开连接的风险。

所有组织，尤其是那些依赖沟通与协作的组织，开始在安全方面进行投资。那是防火墙以及 DMZ 和端点保护/管理等概念的高峰时期，而我也很幸运能够站在这些努力的最前线，管理、维护并接受最新技术的培训，以保护和保障我们的数据和应用。

黑客攻击、互联网攻击、病毒和更复杂的攻击方法不断演变，特别是在在线交易和网上商业网站的普及之后，公司开始更多地投资于网页过滤器和高级防火墙。我参加了我的第一个黑客/安全课程——CEH（EC-Council），这为我打开了另一个安全与黑客环境的大门。CEH 为你提供了不同伦理黑客领域的基础知识，是一个不错的起点。

我参加了所有 EC-Council 的课程，涵盖了取证和渗透测试，然后我转向了著名的精英信息安全认证 CISSP，这同样为我提供了信息安全各个领域的广泛覆盖。

在 2012/2013 年期间，随着大量新法规、法律和治理项目的出台，以及新的数字化转型举措的推行，组织开始设立专门的首席信息安全官（CISO），有时这甚至是强制性的，尤其是在涉及公共部门的组织中。基于我之前的经验和认证，我是负责处理和管理信息安全工作及数字化转型举措的完美人选。

我从未想过自己会对这样的职业和领域产生兴趣。这个领域充满挑战、动态变化，同时也非常有回报。感受到人们信任你来确保他们的数据和主要资产在你的看管下得到保护和安全，这是最好的回报。不断接触到最新的安全趋势和技术，总是能让你保持挑战。如果要总结我到目前为止的经历，我会简单地说“跟随你的热情。”

谁是 Ahmed Nabil Mahmoud？

Ahmed Nabil 在信息技术、基础设施、系统管理/工程、安全系统和 IT 管理领域拥有超过 20 年的经验，并持有 Microsoft、Cisco、PMI、CWNP 和 EC-Council 等多个专业 IT 认证。

Ahmed Nabil 于 2000 年毕业于埃及阿拉伯科技学院，获得电气与控制工程学士学位。他完成了研究生教育，并于 2007 年在英国米德尔塞克斯大学计算机科学学院获得了商业信息技术硕士学位，并于 2016 年在丹麦斯堪的纳维亚国际商学院获得 MBA 学位。

Ahmed 真正的热情是基础设施、云计算和安全。Ahmed 目前担任 PGESCoas 的 CISO。

Deepayan Chanda

网络安全架构师，微软

过去，现在和未来

信息安全的概念可以追溯到控制信息的历史，因为这一点一直至关重要。这无需举例。从计算机诞生的早期开始，保护它们管理的信息的需求就被提了出来，并在我们保护信息的方式和处理信息的机制中经历了一个演变过程。我们可以看到的最古老的例子之一是罗马独裁者尤利乌斯·凯撒如何确保其信息传输的安全。他使用了一种加密信息传递方式，将信息传输给战场上的将领，这种信息在当时敌人无法解码。这种方法后来被称为凯撒密码，可能是已知最古老的密码形式。这是一种替代密码。

在二十世纪，科技以空前的速度诞生。即使在二十世纪初，世界已经被历史上最重要的发明——电话和无线电——的使用所淹没；这两项技术将在接下来的几十年里改变整个世界。突然间，所有人都希望利用这些新技术，包括普通市民、政府、企业，尤其是军方。电报/电话和无线电证明是军方自那时以来最有价值的设备。尽管这些系统解决了人际沟通中的一个重大空白，它们的设计却有一个严重的缺陷：电报和电话的通信线路，以及无线电通信，可能被窃听，信息可能被拦截。这就促使了加密通信线路和无线电通信的需求，尤其是在军事领域。

在第二次世界大战期间，军事部门使用的方法类似于替换密码，并且容易被密码分析师破解。当时迫切需要一种强大的机制来保护数据在传输前、传输中和传输后的安全，以确保即使无线电信号被拦截——这是敌方常做的事情——也无法被解密。正是这种迫切需求促使了最复杂的数据安全方法的诞生，借助当时战争期间可用的技术。这台机器被称为恩尼格玛。

恩尼格玛是一台物理机器，在输入消息时进行数据加密，并使用机电旋转机制在传输前后加密和解密消息；最初，这些设备是银行用于安全转移金融数据的工具，但德国人开始将其用于所有战时通讯，以向前线的部队发送加密消息。为了给你一个概念，恩尼格玛的可能组合约有 150 万亿种，采用的是多字母替换密码，即一个字母会经过多次替换，最终得到一个替代字母，并且必须将这个过程反向操作才能恢复原始字母。这项技术确实给盟军带来了很多麻烦，使得他们在战争中很难追赶上敌人，他们迫切需要破解恩尼格玛密码。当时曾有多次尝试和研究来破译密码。但最终，艾伦·图灵在 1941 年成功破解了恩尼格玛密码，缩短了战争的时长两年。艾伦·图灵也被称为人工智能之父。

在 20 世纪最后一个季度，许多新技术应运而生，安全问题也随之而来；那时的安全主要集中在物理系统上，确保没有未经授权的人员能够接触到这些系统。基本上，锁定物理设备和系统，只允许某些授权人员物理接触它们更为重要。但随着技术格局的变化，这一局面很快发生了改变。我们早期的计算机是单用户系统，后来，计算机变成了可以远程访问的多用户系统，这使得安全专家重新思考如何整体保障应用程序和网络的访问安全。这催生了认证的概念——根据用户和需求来访问文件。这个概念促成了共享系统的可能性。但这一概念有一个缺陷，因为它需要正确配置，才能确保将正确的权限赋予正确的人，否则就会发生信息泄露。

随着个人计算机技术的进一步发展，这一局面变得更加严重。随着传输控制协议 (TCP) 和 互联网协议 (IP) 的引入，整个技术格局发生了革命性变化，计算机行业达到了一个新的高度。由于 TCP/IP 和其他新型客户端-服务器模型的存在，这些系统显然开始通过电话网络互联。这种互联需求是 1973 年 ARPANET（我们早期的互联网）诞生的主要原因之一。尽管最初它只连接了少数几所大学，但它最终发展成了今天的互联网。为了在网络间共享数据而需要的这种互联互通，催生了许多新应用。

随着技术以前所未有的速度不断进步，它也催生了两个重要的创新，超文本传输协议 (HTTP) 和 万维网 (WWW)。此后，出现了大量新的创新事物。互联网成为了每个企业信息共享的必要工具。人们通过互联网进行买卖，还进行银行业务和其他商业操作。甚至政府也开始通过这一网络进行沟通，因为它变得十分便捷。你可以分享的内容和数量几乎没有限制，但有一件事始终未变：数据的共享和处理——在这段时间里发生变化的是数据和信息的种类。人们开始分享音频、视频和图像，而这些已经成为我们二十一世纪生活的一部分。这构成了新时代的数据，也成为了网络犯罪分子的“口粮”。

二十世纪后期和二十一世纪初是一个充满变革的时期。在那段时间里，每天都有新事物被推出。虽然快速的节奏很有趣，但它也带来了安全问题，安全领域在努力跟上变化的速度。应用程序和系统的出现速度如此之快，以至于开发人员和工程师有时忽视，或者可能低估了从一开始就构建安全系统的必要性。一个全新的群体开始出现，他们有着不同的意图——既有正当的，也有不正当的，他们开始破解应用程序和系统，寻找其中的漏洞或缺陷，有时是为了证明应用程序的脆弱性，有时则是为了通过滥用系统或捕获的数据来获取个人经济利益。政府也在二十世纪后期意识到信息系统安全的重要性，开始制定与计算机欺诈和犯罪相关的法律和法规。

1983 年，ARPANET 开始向公众开放且没有任何限制，并且迁移到了如 TCP/IP 这样的新协议，它带来了技术变革的浪潮，促使了新架构的出现。但这也带来了自身的边界安全挑战。突然间，安全架构存在的漏洞变得显而易见，信息可能会被暴露。再次，军事概念提供了帮助，利用一组内嵌于系统中的规则构建虚拟边界，决定允许哪些人进入，哪些不允许。基本上，重点是将一个守门员定位在公司网络的边界，并通过这个守门员与外部组织进行交互。这被称为防火墙。这些设备是简单的数据包过滤设备。最早的防火墙，通常被称为第一代防火墙，通常会通过检查 TCP/IP 数据包，基于防火墙上定义的过滤规则来阻止或允许流量。

这些过滤规则可以通过多种方式应用，例如筛选源和目标 IP 地址、协议类型，甚至基于源和目标端口号；也可以是这些条件的组合。随着时间的推移，防火墙逐渐进步，一代代发展。后来的防火墙引入了诸如应用层过滤等功能；应用级防火墙通常会检查数据流，而不仅仅是 TCP/IP 数据包。这些功能使得在数据包通过这些设备时，可以做出更高级的决策来处理它们。由于第一代防火墙从未检查应用层的数据流，它们容易受到某些攻击和后门的威胁。现在，应用防火墙可以配置为检查一些已知的漏洞并加以阻止。

随着计算机和网络系统的进步，基于身份的访问需求也随之增加。因为越来越多的基于 Web 的应用程序开始涌现，这引发了对身份和访问管理系统的不断需求，以便通过互联网访问应用程序。早期的 IAM 系统非常复杂、昂贵且维护困难。2000 年代初期，随着对在线系统安全性的需求上升，这要求 IAM 系统成为计算机安全的一部分。IAM 框架逐渐开始改进；任何 IAM 系统的期望是提供对任何身份的保证，确保其能够合法访问资源、应用程序和网络。总体而言，所有传统和现代 IAM 系统都依赖于某些政策和原则：

• 你如何识别资源

• 你为资源分配的角色

• 用户管理

• IAM 如何控制安全性以及数据、应用程序和位置特定访问的权限

• 一个 IAM 系统应能够强制执行用户权限和访问权限

• 必须能够跟踪用户活动

• 用户活动日志记录功能，用于审计目的，涵盖实时和历史数据

随着网络系统和应用程序在互联网上的广泛连接，攻击面也随之增大。外围安全设备和机制已不再足够。行业现在需要一个能够实时、主动保护系统、应用程序和网络的系统。我们需要监控系统来关注针对我们基础设施的攻击。实施监控系统可能相当复杂，因为我们需要知道究竟应该监控什么、监控哪里、以及哪些应用程序日志需要用于正确监控异常行为，并通过日志分析或关联技术与已知的恶劣因素进行对比。

我们所知的安全监控是整个网络安全故事中不可或缺的过程之一。安全监控为任何组织提供了检测和分析来自企业网络、应用程序、终端、以及用户活动事件的能力。这个能力是安全操作中心（SOC）的核心。通常，SOC 包含三个要素：人员、流程和技术。技术帮助监控资产，如网络、应用程序、终端、服务器、Web 应用程序及其他各类系统，并通过自动关联和分析生成警报，而 SOC 中的人员则专注于手动验证这些警报，并尝试理解它们，进而开展响应流程，识别威胁并为修复团队提供详细信息。如今，所有现代 SOC 还倾向于集成数字取证过程和恶意软件逆向工程。任何 SOC 都会有经验丰富的安全分析师作为其重要资产之一。

网络攻击的范围和复杂度如今正在上升。所有近期的攻击都成功绕过了现有的安全解决方案，无论是传统的还是先进的。这些攻击之所以成功，是因为它们能够隐藏在我们网络和基础设施的合法领域中。我们当前的安全解决方案旨在通过扫描已知问题、过滤或阻止恶意行为者，甚至试图监控身份和用户习惯等方式来检测威胁，但这些方式无法有效阻止攻击。主要原因是，这些方法仍然集中在对安全事件作出反应、响应已发生的安全事件的发现，最后计划如何从中恢复。换句话说，它是反应式安全响应。反应式响应是好的，但在面对今天复杂的高级攻击时，无法与之竞争。我们需要将重点转向主动安全响应，而如今行业正从反应式向主动安全响应转变。这是安全框架和方法论的范式转变，涉及到我们如何预测、分析和应对威胁。与反应式安全响应不同，主动方法提供了对攻击基础设施的更深入视角。简而言之，主动方法是从攻击者的视角审视攻击面，尝试提前预测攻击并采取适当的措施。

根据逻辑，反应式安全响应模型是一种“如果发生攻击， 系统和安全分析师将作出响应。” 的思维方式。它是通过已知的攻击参数和方法设下陷阱，等待监控和检测系统做出反应。在反应式模式下，重点总是放在建立强大的外围防御上，以阻止试图渗透网络的攻击。这种安全形式非常依赖于业务单元及其活动，并且不会利用类似性质的攻击对另一个业务或行业领域进行防范。反应式安全无法提供威胁景观的 360°视图，而实现安全操作的反应式方式总是更简单、更快速并且具有较低的运营成本。反应式安全监控可以通过来自防病毒检测系统、漏洞扫描器、甚至有时的数据丢失防护（DLP）系统的数据流进一步增强。然而，这种模型的反面是，它总是在安全检测后才对已经发生的泄露或安全事件作出反应。

但主动安全监控和响应可以在这种情况下取胜。这是一种基于智能的模型，系统通过多种内部和外部来源的可操作智能数据来增强，与现有的实时监控系统协同工作。这种主动方法可以全面监控整个威胁环境和网络攻击链的所有阶段，而不仅仅是集中在攻击链的某一部分或几个阶段。主动安全的关键之一是威胁狩猎，它允许分析师通过寻找任何异常、网络行为的异常变化、系统中已知恶意文件的存在，或者可能找到之前已知攻击的注册表项，从而深入了解网络和系统。作为分析师，你还可以在网络中寻找已知的妥协指标（IOCs）。威胁狩猎是一个持续的过程，始终涉及根据来自威胁情报来源的新信息进行搜索。威胁狩猎也可以通过自动化的方式进行，比如通过分析网络行为、系统异常、某些事件的时间线分析、查看网络和系统在一段时间内的基线数据等。

如今，每个组织都非常担心其持有的数据以及如何确保数据安全。对数据的敏感性达到了前所未有的高度。在我们努力保持数据安全并主动检测任何潜在威胁时，必须具备适当且有效的威胁情报。威胁情报可以通过获取关于各种系统、流程、网络、应用程序、外围防御机制和其他 IT 资产的特定威胁信息（情报）来实现。然后，这些数据会被收集、分析和丰富，以提供主动且可操作的威胁情报。威胁情报如此重要的原因之一是当前的威胁非常复杂且难以检测。我们必须获取非常具体的信息，并从任何威胁情报来源中搜索带有可操作内容的妥协迹象。为了领先于高级威胁，至关重要的是，我们需要为我们的分析和关联系统提供适当的威胁数据。

任何有效且成熟的威胁情报系统必须能够实时收集和分类威胁信息，以生成可供 SIEM 和事件响应系统分析的可操作威胁情报，并将收集到的威胁信息与它所监控的安全警报和事件进行关联。这些来自威胁情报系统的威胁警报还将使 SOC 专业人员能够创建自定义签名以进一步进行检测。威胁情报系统收集与事件、日志、安全漏洞、已知的近期和过去的攻击数据、来自组织安全和网络设备的检测数据以及来自外部威胁源的信息相关的各种信息。你还可以设置蜜罐系统来收集攻击信息，并将其用作威胁数据。所有数据收集都需要针对使用这些数据的组织进行集中且有意义的收集，因为每个企业都是不同的，具有独特的需求和基础设施类型。为了让威胁情报有效，情报数据的收集必须集中进行，因为系统会从各个位置和设备收集威胁和漏洞信息以进行数据关联。你必须从内部和外部来源收集数据，因为两者结合将提供更多关于威胁和攻击向量的详细信息，特别是针对你的行业或组织。此外，还需要关注收集有关任何正在进行的全球攻击及其攻击向量、相关的缓解指令和检测参数的信息，这些信息来自政府 CERT、NIST、ENISA 等机构，以及行业来源，如思科、赛门铁克、麦咖啡、微软、RSA 等主要厂商。你还可以关注开放源威胁情报，如 OSINT、SANS 互联网风暴中心和开放威胁交换平台。所有这些收集到的威胁信息需要根据威胁类型及其对业务实体和功能的重要性进行适当的分类和分隔；例如，可以根据业务单元的地理位置、使用的业务应用程序和 IT 基础设施来分类。地理位置从确定威胁实际来源的角度非常重要，这样你可以更专注于那些可能受到影响的优先业务位置；这也有助于确定这是否是针对你组织或某个国家的定向攻击。这个情景可以帮助你精准定位最受影响的业务功能、应用程序或单元，并为提前或至少及时进行补救提供空间，避免事态进一步恶化。它还将帮助定义适当的缓解和检测策略，以便更好地利用资源，因为无论组织的规模如何，资源始终是有限的。

一个成功的威胁情报系统必须能够生成并分发关于所有发现和相关调查的报告，帮助参与安全保护、调查和监控过程的其他人员，在各级操作、工程和治理机构的战略决策过程中执行必要的工作。报告可以通过任何实时方式或发布在线建议的形式进行。安全威胁情报建议还可以通过 STIX 或交通信号协议等威胁交换机制在同行业之间共享，供每个人利用，以便在任何攻击发生之前保持领先。

由于我们在过去几年中见证了网络攻击的增加，我们都深信预防和监控只是应对任何网络安全攻击的初步步骤。我们应该做的是发展更多的威胁狩猎能力和内部威胁情报，并通过数字取证调查增强强有力的事件响应能力。

当今行业中，大多数组织已经将 SIEM 作为其主要和中心监控平台。传统上，我们一直将 SIEM 用作从网络的其余部分接收信息的平台，正如本章前面提到的那样，以协调和识别威胁和安全事件。从本质上讲，SIEM 一直像一个倾听但不开口的设备。然而，随着今天的网络安全情景，SIEM 更应参与整个过程，表态并协作采取行动是明智的。SIEM 可以负责的一个显著活动是与数字取证平台集成，实时接收更丰富和战术信息。数字证据本质上非常不稳定，这也推动了对任何安全事件响应时间的要求。数字证据在任何网络安全事件中的脆弱和关键性质迫使我们以完全自动化的方式解决问题。这需要一种自动化的方式从涉嫌设备收集数字证据，并在时机成熟时与 SIEM 集成，以触发对终端的证据收集，就像安全摄像机在运动传感器的帮助下开始记录罪犯的行动一样。这反过来为我们提供了关于发生事件的详细信息，并提供了更准确的证据，这些证据是在正确的时间收集的——事件发生时而非以后。在网络犯罪分子提供 shell 访问后立即捕获被入侵机器的状态，对收集的证据进行初步分析，并准备进行深入调查，将帮助我们扭转局面。实际上，这只是开始；我们还应该开发系统/平台，自动分析收集的证据，并与威胁情报进行丰富，以提高速度和准确性。

在当前情况下，网络安全比我们曾经想象的更加重要，因为对我们的信息技术资产的威胁和攻击不断增加。行业的这种突然变化引发了另一个重要问题和关注：我们的员工队伍是否足够有能力应对这场战斗？我们是否拥有足够的人才来帮助保护我们的网络、应用程序、基础设施，尤其是我们的业务和个人数据？人才缺口日益扩大，根据许多分析公司的研究，这一缺口可能高达一百万以上。

今天，事实是，这种短缺不再只是一个统计数据，而是一个现实。正因为如此，弥补这一差距，提升网络安全技能，以在一段时间内填补这一巨大差距，已成为我们的责任。这使我们不禁要问，开始从事网络安全或从现有职业转向网络安全职业需要哪些技能？雇主在招聘网络安全人才时关注的是什么？但这种技能、人才和经验丰富的候选人短缺并没有让网络犯罪分子退缩；事实上，他们知道大多数组织可能没有足够的劳动力来防御攻击。从某种意义上说，这反而对他们有利。

在某种程度上，我们在信息技术领域的快速发展和创新也在推动这一差距的日益扩大。今天，如果我回顾过去，技术并不像现在这样多样化，也没有如此快速地变化。那时候，解决安全问题很容易，因为技术都很稳定。但在当前的情况中，技术发展比以往任何时候都要快，我们的安全行业总是在追赶。在我们赶上最新技术并理解如何保护它时，技术又已经发生了变化。这个情况不会改变；相反，它将成为未来的常态。在某种程度上，很多追踪行业变化的专家和分析师认为，网络安全领域的性别差距也是造成这一差距的原因。据估计，网络安全行业中男性和女性劳动力的比例可能是 8.5:1.5。填补性别差距无疑能帮助满足当下的需求，但这并不是唯一能够解决这一问题的领域。我们还需要更多地吸纳退伍军人。退伍军人不需要被教导安全的本质和重要性；这些已经深深地植入他们的设计中，且网络安全的概念仍然以军事术语和最佳实践为驱动。此外，这个差距还可以通过对来自非 IT 领域的专业人士进行再培训来在某种程度上得到弥补。

每个希望在网络安全领域入门的人都需要具备一些基本的信息技术技能，了解 Web 的工作原理，应用程序的运行方式，系统管理的方法，以及管理安全政策的安全标准（在非常基础的水平上）。我经常听说，如果有人想在网络安全领域入门，那么他们需要在某些领域具有非常强的技术能力，但考虑到当前的技能和人才缺口，我认为只注重某些技能的提升是不合理的。安全工作不仅仅是一个人或一组安全专家的工作；每个人都需要了解网络安全，并以自己的方式做出贡献。因此，网络安全所需的技能可以在一段时间内逐步建立。我并不是说某人可以在几周或几个月内成为专家，但如果有人选择在这个领域工作或将其作为职业，那么他们可以从当前的水平开始，并逐步成长。随着时间的推移，他们将逐步成为专家。

您可能认为网络安全非常技术化，但情况并非总是如此；任何希望在该领域工作的人也应具备或发展一些软技能和其他非技术技能，例如非常注重规划与设计安全基础设施相关活动的细节。要深入思考和行动；考虑确保系统、数据或基础设施安全的所有可能方法；了解您所在的业务；并恰当地制定策略以确保业务不受影响，因为您只是想要实施非常强大的安全措施。您还需要发展强大的分析能力，以便找到实际的根本原因，而不仅仅是肤浅地得出结论。以下是当前行业最受欢迎的一些技能：

• 网络安全： 作为一名网络安全工程师，您需要开发或拥有如何维护和设计局域网（LAN）、广域网（WAN）和复杂网络架构的技能。具备脚本语言的知识以及如何开发用于自动化特定网络级任务的自定义脚本将是一个额外的优势，因为当今的网络庞大而复杂，如果能自动化重复且耗时的任务，将是一个巨大的优势。如果您计划成为网络工程师并来自不同的领域，那么具有关于网络协议及其工作原理的额外知识将是有帮助且有优势的。网络安全专业人员还需要了解法规规范、政策和控制措施，这将有助于他们维护 IT 安全合规性和法律方面的要求。您可以专注于以下提到的知识和技能，来增强网络安全工程师的个人资料：

  • 防火墙和交换机

  • 路由器和广域网设备

  • 熟悉子网划分、DNS、VPN 和 VLAN 等知识

  • 对网络和 Web 相关协议的理解

  • 加密技术

  • 网络设计的威胁建模

  • 在当今云计算环境中，虚拟化经验将是一个额外的优势

  • 脚本语言的熟练掌握

  • 解决复杂问题的能力

  • 网络设计与架构相关的技能和技术

  • 理解安全法规和合规性

  • 对抗病毒系统的知识

• 应用安全： 随着申请者需求的激增，行业对应用安全工程师的需求比以往任何时候都要大。这是因为如今各个行业都在推动数字化转型。应用安全工程师和架构师对任何应用开发团队和组织都至关重要。成为一名应用安全工程师的进程也是一个漫长的过程。因为那些想从事此领域的人，需要深入了解任何软件应用的工作原理，以及如何设计更好、更高效的应用程序。事实上，那些已经花费大量时间开发应用程序的工程师，在适当的规划下，通过时间的积累，能够顺利过渡为应用安全工程师，掌握所需的额外技能。此外，还有许多培训和其他认证可以加速这一过程；我们将在第九章，“知识检查与认证”中讨论这些。从技能发展的角度来看，您可以规划在以下领域获取经验：

  • 对安全开发生命周期（SDLC）方法的深刻理解

  • 应用威胁建模

  • 熟练掌握 API 及其功能

  • 与 Web 服务器和数据库相关的技能

  • 对应用协议的深刻理解

  • 加密技术及其在确保应用程序和数据处理中的使用方法

  • 安全编码方法

  • 执行安全代码审查的能力（自动化和手动）

  • 认证/授权机制及相关技术的标准和能力

  • 对 Web 服务的深入理解

  • 对软件威胁和漏洞的了解，以及它们如何被利用

  • 关于软件安全标准和控制的知识

  • 应用渗透测试技能

  • 安全架构技能及其如何开发

  • 与安全软件设计和框架相关的技能

• 漏洞评估与渗透测试：漏洞评估与渗透测试，业内称为 VA/PT，是网络安全生态系统中重要的核心领域之一。VA/PT 的过程能确保组织和安全研究人员他们的信息系统是最新的，且没有暴露于任何关键的安全风险。VA/PT 还帮助你在攻击者发现之前主动找到安全威胁和风险。VA/PT 领域非常激动人心，且是一个高度实践性的领域。除了安全咨询公司和大型企业外，目前许多产品开发组织也有自己的 VA/PT 团队，作为其产品安全团队的一部分。VA/PT 研究人员使用各种扫描工具对网络、应用程序和/或其他 IT 资产（例如服务器）进行扫描，并尽量找出攻击者可能利用的漏洞。在这个过程中，脚本编写知识会非常有用，因为作为研究人员，你可以编写自定义脚本来测试信息技术资产。

如果你来自软件开发和质量保证背景，那么 VA/PT 将是一个合乎逻辑的选择。你对软件功能的深入理解对理解为什么某些漏洞存在非常有帮助。类似地，如果某人有网络背景，他们的网络知识和经验对理解网络相关漏洞至关重要。从某种意义上讲，几乎所有有信息技术实操经验的人都可以选择这一领域作为他们的下一步职业发展方向。如今，VA/PT 本身非常受欢迎。如果你选择这一领域作为下一步职业发展，你可以依赖的或计划学习的一些技能如下：

• • 网络、应用程序和其他 IT 资产的静态分析、模糊测试、手动和自动化测试。

  • SAST：静态应用程序安全测试。

  • DAST：动态应用程序安全测试。

  • 黑盒、灰盒和白盒测试，以进行 VA 和 PT。

  • 足够的安全风险和暴露度测量知识。

  • 了解安全法规和法律（如 PHI、PII、SOX、PCI、HIPAA、ISO、GDPR 等）。当你为客户或自己的组织进行 VA/PT 时，这一点非常重要。

  • 深入了解安全协议和网络协议（TCP/IP、HTTP、HTTPS、IPSEC、VPN 等）。

  • 学习网络设备（如防火墙、IDS、IPS、交换机和路由器）如何工作。这将在执行网络相关的 VA/PT 时有所帮助。

  • 学习 Python、Ruby、PowerShell、Perl、JavaScript 和 Bash 等脚本语言。

  • 学习流行的 VA/PT 工具，如 Metasploit、Nessus、Kali Linux、Burp Suite、OpenVAS、Qualys Guard、Core Impact、Acunetix、AppScan、Nmap 和 PSTools。

  • 跟踪 SANS Top 20 和 OWASP Top 10。

  • 学习技术，如 SQL 注入、XSS、远程文件包含、PHP/ASP 和代码注入。

  • 扎实的操作系统知识将是一个加分项。

• 安全操作和事件响应：所有组织都需要安全监控和事件响应能力。SOC 或 CSIRT 中的安全分析师的工作是分析和调查所有针对组织的威胁。他们还需要为事件提供详细的响应，尽量减少损害，同时提供足够的威胁情报，以确保类似的威胁和问题在未来不再发生。SOC 将拥有 安全信息与事件管理（SIEM）软件，用于检测、调查和响应任何安全警报/事件及恶意活动。SIEM 通过关联日志、警报、安全事件日志及来自各种系统和网络设备的其他遥测数据来生成警报。SIEM 是安全分析师在 SOC 中使用的最重要工具。

各组织始终在寻找熟练且经验丰富的分析师和事件响应人员来进行安全监控工作。来自网络运营、系统管理员以及其他安全服务领域的专业人员可以期待成为安全分析师或事件响应人员，这是一个非常技术性和实践性强的角色，分析师需要了解常见及高级的攻击者技术，如何检测各种事件，如何识别这些事件中的关键信息，以及如何分析它们。同时，他们还需要在处理 SOC 中的任何安全事件和事件响应时，了解安全规定、法律、政策和协议。这两个角色——SOC 和 IR——在今天的工作方式上已经发生了彻底的转变。

现在，它涉及多种技能，如与分析师的协作、日志分析技能、数字取证方面的专业知识、恶意软件分析或深入了解任何恶意软件的工作机制、非常敏锐的洞察力来发现和定位网络通信、应用程序和用户行为中的异常，以及了解某些服务器和安全设备的工作原理。如今的 SOC 正在发展成 CDOC，或者是集中的安全中心，具备各类能力，如治理、法律、信息安全、事件响应、数字取证、安全工程和安全 QA，除了传统的安全分析师，且它将继续进一步转型。如果你计划将 SOC 和/或 IR 作为你下一步的职业发展方向，那么你需要关注的第一件事是如何严谨地对待工作、工作内容、任务执行、沟通方式，及更重要的是与谁合作。接下来，我们来讨论你需要的技能列表：

• 沟通技能：在 SOC/CDOC/IR 工作中，了解如何有效沟通至关重要。你必须能够直奔主题，找到尽可能多的细节，并将其纳入你的沟通中。更重要的是，知道与谁交谈、讨论什么内容，并能够控制信息的流动和内容，这些都是关键因素。SOC/CDOC/IR 中的沟通包括你对电子邮件的回复，确保准确性并不泄露任何不必要的信息，事件和相关技术细节的文档化，通过适当的渠道通知相关团队或个人，学习如何与外部人员（如执法机构或法律实体）沟通等。你还必须对你的升级树和升级协议有深入了解。保持最新的事件列表也至关重要。

• 遵循标准：你必须专注于获得有关你所工作的组织或行业标准最佳实践的政策和程序知识。在 SOC 和 IR 环境中，遵守政策和程序对工作的开展至关重要。程序和政策还确保了对事件响应或事件分析的一致性。

• 完整性：这是你在安全操作中需要培养的另一个关键技能。这是因为你将始终处理敏感信息。任何不及时的信息泄露或发布都可能对组织造成严重且昂贵的损害。你需要在处理和传达信息与事件时保持高度的谨慎。

• 学习安全原则，如认证、访问控制和不可否认性，这些都非常有用。

• 了解系统、应用程序、网络资源、终端和操作系统的安全漏洞和风险。

• 学习协议及相关缺陷，这些缺陷可能被恶意利用，如欺骗攻击、DOS 攻击、溢出攻击、洪水攻击等。

• 如果你来自 IT 和网络管理员背景，那么你关于配置的知识可能非常有用，因为你或许能够利用你的经验发现配置缺陷和弱点。对于其他新手，你可能需要花时间学习这方面的内容。

• 所有 SOC 人员必须具备评估和分析安全风险的强大能力。

• 你还必须专注于积累一些经验或技能，理解网络设备及其工作原理，至少要达到中等水平，因为你必须了解非军事区（DMZs）。

• 了解路由器如何保障网络安全，以及数据包过滤和数据包监控设备/应用程序是如何工作的。

• 获取有关防火墙及其如何保护网络的知识。

• 对端点和操作系统级安全风险和问题有深入了解：了解硬化技术如何运作、系统如何被攻破、需要查看哪些系统日志以及如何使用各种技术保持系统和端点中的数据安全。

• 最关键的技能之一是理解恶意代码、病毒、木马和高级恶意软件。你必须提升你的技能，了解它们如何工作、它们的行为特征，以及如何检测这些活动。任何具有恶意软件逆向工程背景的人都能在 SOC 和 IR 工作中更好地利用他们的技能。

• 具备编程技能或具有编程背景的人会非常有用。他们可以帮助 SOC 团队开发定制的工具和脚本来检测威胁。另一方面，他们对软件漏洞有非常深入的了解，这在防范威胁时无疑会派上用场。

• 培养事件分析思维，这样你就能通过分析事实来快速分析事件，例如：为什么事件发生，谁是或可能是相关人员，时间线分析，以及哪些系统/应用可能导致了事件发生。

• 恶意软件分析与逆向工程：恶意软件分析是网络安全中的一项高度技术性的工作，需要完全动手操作。逆向工程在分解恶意软件、病毒、木马以及其他软件包方面发挥着重要作用，目的是了解其内部机制。逆向工程，通常被称为 RE，可以揭示关于任何恶意软件包的大量信息——它是何时创建的，使用了什么代码来实现特定目标，影响了哪些系统、进程或应用，调用了哪些其他文件或进程以保持隐蔽或完成其目的。逆向恶意软件工程师使用多种工具来解包和拆解恶意软件文件。他们还需要熟悉文件如何被打包和压缩，了解与文件系统相关的加密、压缩等技术。工程师们将使用如反汇编器、调试器、网络流量分析器、文件行为分析器、日志监控、沙箱技术以及其他工具。作为恶意软件分析员，你还需要处理组织从事件响应或其他安全流程中检测到的潜在样本。你需要评估恶意软件对业务或组织可能造成的影响。在进行恶意软件分析时，你还需要解决入侵指示（IOC）相关信息的查找问题。与 IOC 相关的威胁情报对于创建对未来攻击的主动防御至关重要。

如果你计划加入这个高度敏捷、动态且富有挑战性的职业，那么你可能需要关注这里描述的一些技能：

• 首先，重要的是成为一个快速学习者，具备敏锐的观察能力、关注细节的能力，以及遵循组织定义的正确流程的能力。

• 与其他安全领域不同，对于这一领域，你还需要具备对操作系统概念的深入理解。

• 学习一些低级语言，例如汇编语言。你可以先从基础开始，而不是一开始就试图成为该领域的专家。你将在一段时间内积累专业知识。

• 掌握 Perl、Python、Shell、PowerShell、Bash、Java 等脚本语言的技能。

• 学习应用安全性和网络安全性概念。

• 学习如何使用工具，如 OllyDbg、WinDbg、IDAPro、进程监视器、进程资源管理器、Wireshark、PEID、PE Explorer，以及其他与逆向工程相关的商业工具和开源工具。

• 学习恶意软件、病毒、木马、APT 及其工作原理。

• 学习如何识别漏洞和利用策略。

• 学习 PE 文件格式以及解包后分析文件的方法。

• 数字取证（DF）是一个非常有趣且引人入胜的网络安全领域；如果你计划开始从事数字取证工作，我相信你不会失望。数字取证的核心是恢复丢失的数据、调查以及收集在数字设备上找到的证据和材料。数字取证通常在涉及计算机犯罪的案件中进行，你必须证明犯罪或盗窃。数字取证可以在任何计算机资产上进行，例如工作站、服务器、移动设备和网络设备。在进行数字取证时，你需要非常小心，因为你不仅要找到证据，还必须确保其保存、完整性和敏感性，因为这些证据可能会被适当的机构或法律团队用于法庭审理。当前行业标准是拥有专门的数字取证团队或分析师。在进行数字取证时，必须遵循适当的指示或命令来获取来自计算机或云端的证据。如果你计划成为数字世界的取证调查员，其中一项你必须关注的技能是收集到证据后转移和保存物品的过程。维持证据链至关重要，以确保证据不被篡改，否则它在法庭上将毫无用处。你可以依赖的一些技能，帮助你成为一名数字取证调查员，列在下面：

• 学习如何想象目标系统，这将使你能够在不影响原始数字媒体的情况下分析它。

• 加密学和加密技术的技能无疑会为数字取证增添价值，因为你常常会发现数据被加密，你可能需要解密它以进行调查。

• 查找和恢复已删除的文件

• 了解文件的元数据以及如何提取这些信息进行调查。

• 对国际及本地的网络犯罪和刑事法律有敏锐的理解，尤其是你将要工作所在地区的法律，因为每个国家都有自己的特定法律，此外还有国际法律。

• 对网络安全和攻击方法的深入了解始终是你进行调查和分析的关键。

• 对操作系统和网络技术有非常好的理解。

• 注重细节和表达能力。

• 熟悉 EnCase、FTK、Cellebrite 和 Volatility 等取证工具和软件。

• 熟悉虚拟化技术也会派上用场。

Deepayan Chanda 是谁？

Deepayan Chanda 拥有信息技术 MBA 学位，是 GIAC 认证入侵分析师、计算机黑客取证调查员和认证道德黑客，拥有超过 23 年的 IT 和国防部门（印度空军）经验，其中 18 年专注于计算机安全和软件开发。他在与安全运营中心、反恶意软件操作、渗透测试、漏洞评估、网络应用安全、网络流量分析、安全事件响应、安全事件分析和日志分析等相关技术方面积累了丰富的经验和技能。他还是一名有效的沟通者，具备强大的人员管理技能、分析能力和关系管理能力，能够协调和执行大规模安全信息与事件管理（SIEM）解决方案的设计与实施、安全流程自动化、安全架构规划、网络漏洞测试、网络应用漏洞测试、网络安全项目管理、安全方法论、渗透测试方法论以及安全运营自动化。

Gary Duffield

联盟总监

踏上网络安全阶梯

二十年前，如果你说你想从事安全工作，你会得到一部对讲机、一顶帽子和自己巡逻的商场。如果你说你想从事网络安全工作，你可能会得到一个微笑和话题的转移。从那时起，时代发生了很大的变化；那些负责“前台”安全工作的人，实际上是由从事网络安全工作的人在“后台”隐形支持。这确保了商店和服务在防范普通扒手的同时，也能防范专业的网络犯罪分子。2013 年零售商 Target 遭遇黑客攻击的臭名昭著案例导致了 1.48 亿美元的损失，这与它对公司声誉造成的损害相比，简直不值一提。

想象一下，如果是你的工作让雇主损失了 1.48 亿美元。假设 Target 在这次事件后迅速重新评估了他们的网络安全团队、政策和流程。通过快速查看 LinkedIn，你会发现 Target 的信息安全高级副总裁在这起事件发生后不久加入了公司（www.linkedin.com/in/rich-agostino/）。

在你本地的报纸的“招聘”栏目里，你通常不会看到太多高级副总裁职位的空缺。然而，这种职位处在一个庞大的网络安全机会金字塔的顶端，为那些对网络安全充满热情的人提供了巨大的机会。

屋子里的大象

如果你正在阅读这本书，你可能对开始从事网络安全工作感兴趣。然而，也许你对自己的能力或天赋感到不安。或许你认为成功需要成为一个热衷于《星际迷航》的天才数学家。诚然，这些特质有所帮助，但许多技术和合规技能是可以学习的。或许你应该问自己的问题不是我是否拥有或能获得所需的技能？，而是我是否具备相应的天赋？

问问自己：我是否能够像潜在的黑客一样思考；我是否理解社会工程学？我是否能够将我的天赋和技能投入到一个高速行驶的列车面前，列车上载满了专业和业余黑客，他们的目标是篡改公共网站或盗取银行账户？通过这样做，我是否还能帮助同事避免钓鱼攻击，防止网站被篡改或银行账户被清空？我所描绘的画面是，一个人不仅需要具备技术能力，还需要有街头智慧、灵活性、变革管理能力，甚至是商业分析能力。屋子里的大象是什么？没有一种单一的路径能够带来启蒙。参加认证黑客课程并不能让你拥有超能力。要有更宏大的计划*。

黑客很简单

我们在电视或电影中都见过这样的场景：超级恶棍黑客——他们有着一排排设备、闪烁的灯光和网络电缆——插入一个 USB 闪存盘。一些命令窗口弹出，随机的技术词汇出现，同时还有一个进度条。与此同时，在被黑的组织内部，受害者转向前面提到的“螺旋桨头”，他或她穿上自己选择的背心，打开一台马上可以投入使用的笔记本电脑……屏幕上可能有一个地图，黑客进程不断推进，地图的不同区域开始变红。镜头切换到进度条：回到白骑士，也就是防御黑客。他们随机敲击键盘，直到地图重新变绿。核武器被解除，驻外的英国特工名单被删除，或者被网络犯罪集团 Fin7 附带的 5 百万名 5 大道纽约零售商客户的个人信息——这些信息再也不被危及。不幸的是，对于 Target 而言，5 百万人的信息必须被联系并告知他们的信息已经外泄（mashable.com/2018/04/04/every-store-retailer-hacked/#T_rdfTf4fPqT）。

你还想从事网络安全工作吗？

为澳大利亚最大的技术培训提供商 DDLS 工作，让我对澳大利亚企业为其员工提供的培训有了很多宝贵的见解。你不会感到惊讶，像 EC Council 认证的道德黑客课程是最受欢迎的课程之一。我们稍后会回到具体的课程和认证内容。

谁知道这本书的读者群体会是什么样的呢？从我在澳大利亚儿童慈善组织 Smith Family 的辅导工作中，我知道准备职业生涯应该尽早开始。如果你现在还在读书，或者是家长在考虑如何支持你儿女毕业后的旅程，那就去和当地的大学和学院谈谈你的职业抱负吧。他们已经意识到网络安全技能的巨大需求和盈利空间，他们可能会为你提供网络安全的文凭和学位。全球的大学已经开始提供网络安全硕士学位课程。

角色中的角色

没有一种“适合所有人”的职位头衔，也没有一套固定的技能，我认为，也没有一种技能组合能够构成网络安全职位。在澳大利亚的一个流行招聘网站 Seek 上快速浏览发现，前几页列出了 15 种不同的安全职位头衔，其中分析员和专家尤其受欢迎。这些职位需要的技能包括“在银行内提供防御性的网络安全服务，并通过最新的安全技术提供安全洞察和专业知识。” 这样就很明确了：换锁就完成了。一个政府部门的网络安全分析员岗位要求指出“此职位要求您识别和评估关键的网络安全威胁和趋势。请告诉我们一个您识别出问题的例子。”

我对以上标准招聘的职位能否迅速解除核武器的担忧并不十分有信心。

我确实看到了两类网络安全机会。我将其描述为实践和非实践。

在实践层面，我认为网络安全不仅限于网络安全产品，它更是每个组织构建技术的核心基础。DDLS 是 Microsoft、Google Cloud、AWS 和 Red Hat 的培训合作伙伴；这些供应商都打造了极为出色且安全的产品，而这些产品需要有人设计、部署并安全地管理。这里的重点是，网络安全并不是与业务分离的，它就是业务的一部分。

一个 Azure 管理员将负责为其业务提供安全的云服务。深入开发安全代码的内容超出了本节的范围，但显然没有人希望自己的应用程序容易受到攻击。当然，实践层面还包括安全设备，如 Checkpoint、防病毒软件，如 Trend，以及内置于 Cisco 产品中的网络安全。只有在我们充分考虑了管理安全的适当机会之后，我们才能开始考虑更为通用的网络安全培训，例如 EC Council 的道德黑客项目。

我刚才提到过一些不涉及直接技术操作的角色，这些角色与大括号联系较少。例如，事件经理是当公司数据库被暴露到互联网上时，公司首先需要寻找的人。我将这些角色视为不参与实施网络安全技术的角色。可以把它们看作是分析师角色，可能负责分析和评估基础设施中的漏洞。这包括研究工具和对策以修复已发现的漏洞，并推荐解决方案和最佳实践。它们还会测试是否符合安全政策和程序。这种基础设施包括软件、硬件、网络和人员。因此，很容易看出，要在每个学科领域拥有领域级的专长是很困难的。你需要有人在 Cisco 或 AWS 方面有实践经验的支持。希望你能明白，在网络安全这个“动物园”中，提供一个具体的角色划分是不现实的。因此，这里有些作业要给你：使用 LinkedIn 等工具和你喜欢的求职网站，了解像安全分析师、安全工程师、安全架构师、安全软件开发人员、首席信息安全官、安全专家、渗透测试员、法医调查员、灾难恢复分析师等角色。

顶级建议：如果你目前没有从事网络安全工作，建议在投资培训之前研究你的角色，因为每个角色需要掌握的培训路径都不同。

获取成为网络安全专家所需的技能是一个充满风险的过程。如果你只是想管理一个安全的混合云环境，网络安全硕士学位是不错的选择，但它并不会帮你完成日常工作。实际上，你更应该关注 AWS、Google Cloud、Microsoft Azure 或你选择的云平台的厂商认证。遵循这个建议将为你节省四年时间和大约 7 万美元的学生债务。

上面的例子展示了一个有趣的视角。在一个安全的世界中，有许多与产品相关的培训课程和认证。如果你支持 Checkpoint 设备，那么 Checkpoint 安全认证非常有价值；同样的规则也适用于云平台和网络硬件。你可以依赖 Cisco，因为它非常主导，但如果你的梦想工作是在一个将其网络建立在华为硬件之上的组织里，Cisco 技能突然间就不那么相关了。然而，它们仍然是可用的，且相关的概念通常不会改变，只是技术处理方式有所不同。当然，还有一些非特定厂商的培训课程和认证。这些课程通常更加通用。无论你选择哪个 IT 厂商，拒绝服务攻击的概念都是一样的。

对我来说，直接列出你必须参加的课程以成为一名安全专业人员是错误的，因为我不知道你想成为什么样的安全专业人员，或者最终会成为什么样的安全专家。 然而，我可以与你分享一些在这一领域的市场领导者。通过掌握这些供应商提供的相关技能，将帮助你在职业阶梯上迈出稳固的第一步，帮助你在职业生涯中迈出下一步，或者更重要的是，帮助你的雇主晚上睡得更安稳，知道你可能已经领先于黑客一步。

从这里开始

如果你还在接受教育，考虑查看当地大学和学院提供的课程。与他们讨论完成课程的学生都取得了哪些职位。

如果你现在不是从事 IT 工作，或者可能是第一线支持并且希望获得广泛的网络安全知识，可以看看 CompTIA 的安全课程。他们的 Security+认证“验证了你执行核心安全职能并追求 IT 安全职业所需的基本技能。”这是一个理想的起点。

想成为一名安全地管理复杂基础设施的 IT 人员？看看你选择的平台供应商认证。目前有很多选择，从思科的 CCNA 安全认证到供应商的架构师级别认证。

浏览选项本身就是一种咨询式的练习。与学习合作伙伴合作，比如澳大利亚的 DDLS，可以帮助你浏览课程和认证，获取市场特定的数据——如果 CompTIA 在你的市场中并不流行，那就不要参加它。

已经有 IT 背景并且想专注于安全吗？

有三个供应商立刻浮现在脑海中：EC Council、ISC2 和 ISACA。还有其他供应商，所有的供应商都有自己的粉丝和反对者。我希望你从这篇文章中得到的一部分指导是，找到正确的内容不仅是从知识角度出发，还要从地理或组织的角度出发。写这篇文章时，在澳大利亚，通过快速查看 CEH、CISSP 和 CISM 的网络安全工作，发现这些职位的空缺数量相似。CISSP 作为理想认证的职位大约多了 50 个；比 CISM 多，且比 CEH 多了 70 个。这个平衡稍微偏向 CISSP。

显然，网络安全涉及许多缩写，包括 CEH、CISSP、ISACA 和 ISC2。 但是这些到底意味着什么呢？让我们试着弄明白这一点：

• CEH – 注册伦理黑客：一个备受推崇的认证，这是一个中级认证，属于 EC Council 的一系列认证之一。它非常适合那些刚从 IT 领域转入网络安全的人；预期的经验比 CISM 或 CISSP 要少。引用厂商的话，CEH 持证人具备在足迹分析与侦察、网络扫描、枚举、系统黑客、木马、蠕虫和病毒、嗅探器、拒绝服务攻击、社会工程学、会话劫持、黑客网页服务器、无线网络和 Web 应用、SQL 注入、密码学、渗透测试、规避入侵检测系统（IDS）、防火墙和蜜罐等领域的黑客技术和知识。CEH 是一个厂商中立的认证。

• CISM – 注册信息安全经理：这也是一个备受推崇的认证。它是一个高级认证，属于 ISACA 的一系列认证之一。ISACA 专注于治理。CISM 要求至少 5 年工作经验，因此不适合那些希望转行进入网络安全领域的人。持证人具备安全风险管理、项目开发与管理、治理、事件管理与响应方面的高级且经过验证的技能。

• CISSP - 注册信息系统安全专家：在我的市场中，这目前是需求最大的认证。它是一个高级认证，同样假设有大约 5 年的经验。CISSP 是 ISC2（读作ISC 平方）一系列课程的一部分。引用厂商的话，CISSP 持证人是决策者，具备必要的专家知识和技术技能，能够在组织内开发、指导并管理安全标准、政策和程序。

许多网络安全认证需要定期更新才能保持有效性。这并不令人感到意外，因为黑客会学习新的漏洞，因此那些负责保持领先的人必须不断提升自己的技能。

那么你刚才告诉我什么？

网络安全是一个非常有回报的职业，无论是从财务还是智力上来说。它有多个入门途径。全新接触网络安全？可以看看 CompTIA 认证。已经从事二线或三线支持工作？考虑注册伦理黑客认证（CEH）。热爱治理和审计？可以研究 ISACA 认证。准备成为你所在企业的决策者？那就看一下 CISSP 认证。所有提到的厂商都有可信赖的高质量解决方案，并且保持诚信。与当地学习合作伙伴一起工作，肯定是根据你的需求、当前背景和市场情况获得相关课程的可靠方式。这些厂商都有一系列的安全产品，其中一些是竞争关系。随着你在职业阶梯上的上升，培训选项会逐步变化，但这是下本书的内容。

谁是 Gary Duffield?

我意识到学习和发展有改变人生的力量的那一天，是我 18 岁还没有资格证书时被麦当劳解雇的那一天。学习成为电视工程师帮助我爱上了学习。电视工程师变成了微型计算机工程师；PC 工程师变成了培训师。命运已定，我成了学习与发展专业人士。

2009 年，我决定要打破自己的生活。我想离开在全球最大的培训公司之一——QA Training 工作了 25 年的完美工作，搬到澳大利亚。我的妻子并不热衷于这个想法，于是她定下了规则：必须去珀斯。澳大利亚政府定下了规则：如果我超过 45 岁就无法入境，门就关上了。

我制定了一个计划，在曼彻斯特城市大学完成学位以帮助获得签证（但并没有帮助），我询问了关键的供应商，应该为谁工作。他们给了我一个名字：DDLS。我花了一年时间尝试联系他们，在全球会议上跟踪他们，建立与他们的员工、供应商和客户的关系。

我已经搬到了澳大利亚——尽管是持有临时签证——并且搞得一团糟。我一无所售。因此，我与老板进行了那种典型的谈话。我意识到我的方法是错的。我意识到我了解供应商领域。我永远感激微软的 Alan Watts 和 Data3 的 Sally Adams，他们都花时间帮助我融入这个环境。我没有回头看。14 个月的销售经验后，他们让一个来自曼彻斯特的男孩在珀斯领导微软业务。一年后，我加入了高级领导团队。

现在，我正在帮助 DDLS 通过数字化转型，我们正在接入新的供应商，建立新的合作伙伴关系，并力求更好地服务客户的需求。

我积极地为“史密斯家庭”组织指导贫困儿童，并且是 IT 行业女性与领导力的热情倡导者。毕竟，我是一个有女儿的父亲，而她现在是一个充满热情的澳大利亚人。如果没有学习和认证，我会在哪里呢？

Dr. Erdal Ozkaya

信息与网络安全负责人，标准 Chartered 银行董事总经理

网络安全：初学者指南——一份全面的指南，帮助你入门网络安全。

我已经习惯了听到如下问题：

“我该如何开始我的网络安全职业？”

“我该如何转行做网络安全？”

“你有什么建议能帮助我们成功？”

每天至少几次，我都会被问到这些问题。无论我是在澳大利亚、亚洲、非洲、美国——你说得出任何地方——我都会一遍又一遍地收到相同的问题。我在 LinkedIn 和www.erdalozkaya.com/上写了一些关于这个话题的博客文章，但它们没有足够的细节来帮助初学者或转行者，因为它们没有提供深入的帮助。

这不是秘密；每个人都在谈论网络安全行业中巨大的人才缺口：福布斯杂志、Tech Republic、CSO 在线、DarkReading、SC 杂志等媒体，以及像 Satya Nadella、McAfee 的首席执行官 Chris Young、Cisco 的首席信息官 Colin Seward 等财富 500 强公司 CEO。

诸如 ISSA 等组织以及像 Gartner 这样的研究公司也在讨论这个问题。因此，几乎每个人都在谈论这个话题。

与微软网络安全解决方案集团的企业副总裁 Ann Johnson 紧密合作，了解她对于与网络安全人才密切合作并缩小多样性差距的热情，一直鼓励着我。通过她的推文、演讲、我们的一对一交流以及她的公开演讲，她影响了我在这个领域做出更多努力。

最后，当我在印度为一组 IT 专家讲授网络安全研讨会时，收到了他们关于如何成为网络安全和人工智能领域专家的类似问题时，我意识到该做点什么了；在与 Deepayan 聊天时，他也是同一研讨会的讲师，他与我分享了自己在这个话题上的经验。

现在互联网上可能有无尽的资源和信息，讲述了如何在某个特定领域开始从事网络安全工作。即便如此，如果很多人都在向行业人士提出相同的问题，寻求有关如何启动安全职业的基本指导，那么这必然是一个普遍问题，而且可能是一个很简单就能解决的问题。通过分析这个案例，我发现互联网上的信息要么对某人来说太复杂，无法处理，要么信息过于零散，因此人们无法从整体上了解网络安全的全貌，也无法从中选择适合自己的方向。

最后推动力来自课程参与者和 Deepayan，我决定联系 Packt 出版公司的采购编辑（AE）Heramb，并分享了我的想法。当然，Packt 也意识到了这个问题。

最后，这本书完成了；完成后，我们联系了一些在网络安全领域工作多年的亲密朋友，邀请他们与你，我们的读者，分享他们的经验。

我希望这能帮助许多人和组织。

参考文献：

• 网络安全人才缺口是行业危机：www.forbes.com/sites/forbestechcouncil/2018/08/09/the-cybersecurity-talent-gap-is-an-industry-crisis/#3dbc6a0ca6b3

• 网络安全技能短缺：www.csoonline.com/article/3258994/cybersecurity-skills-shortage.html

• McAfee CEO 呼吁重新思考网络安全人才短缺问题：www.scmagazineuk.com/mcafee-ceo-calls-rethink-cyber-security-talent-shortage/article/1473725

• 如何应对网络安全人才短缺：www.verizon.com/about/our-company/fourth-industrial-revolution/how-fight-cybersecurity-talent-shortage

• 应对网络安全人才短缺，（Gartner）：www.gartner.com/smarterwithgartner/solve-the-cybersecurity-talent-shortage/

• 网络安全人才缺口：www.pwc.com/us/en/services/consulting/cybersecurity/library/broader-perspectives/cybersecurity-talent-gap.html

• 填补网络安全人才缺口：www.darkreading.com/careers-and-people/bridging-the-cybersecurity-talent-gap/a/d-id/1331858

• 在网络安全技能缺口时代的招聘：需要克服的挑战：www.information-age.com/recruiting-in-the-age-of-the-cyber-security-skills-gap-123476988/

• 微软的 Ann Johnson 希望弥合网络安全人才缺口：www.cnbc.com/2019/03/12/microsofts-ann-johnson-wants-to-close-cybersecuritys-talent-gap.html

• Satya Nadella，微软 CEO 的推文：twitter.com/satyanadella/status/1105558119961133056

• 信息图：如何解决组织中的网络安全人才缺口：www.techrepublic.com/article/infographic-how-to-solve-the-cybersecurity-talent-gap-in-your-organization/

• 人才招聘的未来是关于领导力的吗？ www.cisco.com/c/en_uk/solutions/executive-perspectives/skills-gap/future-of-skills-and-talent.html

我如何参与信息安全的？

我的第一次黑客经历（！）发生在我 9 岁时。我的哥哥收到了一款詹姆斯·邦德风格的三位数密码手提包作为生日礼物。他曾将自己的秘密物品藏在包里，直到有一天我意识到包里有一些非常有趣的东西，我想要获得访问权限。当然，我的哥哥并不热衷于让我接触他的包。所以，简而言之，经过一段时间的手动密码攻击——当然，由于我必须把每一个组合都记下来，这花了我不少时间——几周后，我终于能够打开他的包。我得到的奖励是他的杂志；作为一个九岁的男孩，能够接触到这些杂志让我成为了小学里最受欢迎的男孩。

我的职业生涯从网络管理员开始，随后转向基础设施工程，每完成一个项目，我发现的安全漏洞总是让我感到沮丧，我会研究每一个遇到的问题，阅读互联网上许多员工评论，做很多实际操作练习。接着，我进入了 IT 咨询行业，与来自各行各业的客户分享我的见解，这让我看到了 IT 部门中最大的漏洞。于是，我决定转向信息安全领域，并在这个领域提升自己的技能和知识，以便能将这些传授给我周围的每一个人。

很久以前，当我还是德国的一名青少年时，我曾在一家小型计算机商店做兼职，教顾客如何修复一些小问题。在那个时代，计算机并不是每家每户都有，我曾教过朋友们如何使用它们。后来，在大学时，我完成了我的副学位——一门教育学位。

当我搬到澳大利亚时，我从车库里开始了我的兼职副业，出售计算机并提供网络、实施和安全服务。与此同时，我仍在学习网络工程，并获得微软认证。

我的 MCT 培训生涯始于 2002 年；我获得了多个 MCP/MCSE 证书，那时 IT 行业正经历着一次巨大的繁荣。我变得异常忙碌，作为兼职导师在培训中心之间奔波，教授许多微软和安全课程。这也让我开设了自己的培训公司，当时我只有一间教室，同时我仍在其他地方做全职 IT 专业人员。最终，在 2006 年，我辞去了全职工作，开始了自己的事业，并将公司发展成了一个多分支的培训公司。在短短几年内，这个企业从一个只有一间教室的培训中心，发展成为了一个遍布澳大利亚的、价值数百万美元的公司。

ATBC 在澳大利亚将我的个人资料分享给了他们的会员

2012 年，我公司成功的业务引起了另一家公司关注，他们提出收购我的公司，这个提议我无法拒绝。业务交接用了整整一年时间；在这期间，我继续提供安全评估和安全/道德黑客课程。

PenTest Magazine 第 1 期（2012）对我的采访

与此同时，我依然在朝着我的目标和梦想努力，即“让 网络空间更加安全；**”我的贡献引起了微软的注意，并且我获得了微软最有价值专家奖（从 2008 年到 2016 年 1 月我加入微软之前，我一直获得此奖项）：

微软最有价值奖项的企业副总裁致信

同时，我还在西悉尼大学完成了 IT 学士学位，并且作为主题专家在许多会议上发表过演讲。在 2008 年，我被选为微软 TechEd（现在叫做 Microsoft Ignite）年度演讲者。我还被选为澳大利亚最佳微软认证培训师，并因其在道德黑客、取证和渗透测试课程中的优异反馈，获得了 EC-Council 全球年度讲师奖：

2008 年微软 TechEd，黄金海岸澳大利亚，年度演讲者

这个奖项帮助我在更大的会议上发言，参会人数达几千人。随着我不断投入时间来提升自己，并分享我的经验与社区，遇到了许多人，这也让我获得了大量的国际曝光。这就是我在第七章中尝试向你解释的内容，网络、指导与影子学习。建立网络、寻找导师以及找到合适的教练，能够帮助你在职业生涯中脱颖而出：

Hacker Halted Miami 2011 年，年度全球讲师奖得主，与 EC-Council 首席执行官 Jay Bavisi 一起

Microsoft Ignite 北美，超过 2,000 名与会者正在聆听

2012 年，当我在其中一场会议上交接我的业务时，我遇到了 IT Masters 的首席执行官 Martin Hale（正如你在专家建议部分中阅读到的）。让我们从 Martin 的故事继续阅读：

“我第一次遇到 Erdal 是在 2012 年，当时他是名为 Fastlane 的 IT 基础设施设计公司的首席技术官。Erdal 的热情与活力富有感染力，我忍不住建议他将这种能量投入到研究生学习中。Erdal 很快就报名参加了我们的网络安全硕士课程，之后教授了一些课程，出版了几本网络安全畅销书，去年还获得了我们的 IT 博士学位。今天，Erdal 环游世界，帮助那些遭到黑客攻击的公司，以及即将遭遇黑客攻击的公司。”

这个例子也是我们在第七章中提到的网络建设、指导和影子学习的一个很好的参考，所以请确保建立好人脉，正如在第四章中提到的我们需要的网络安全职业技能，一旦你选择了自己的道路，确保获得正确的技能，另外，正如在第九章中提到的知识检查和认证，知道自己在做什么，获得正确的认证，并始终尽力而为，都会让你不断前进：

当我开始攻读硕士学位时，我也收到了来自 IT Masters 和查尔斯·斯图尔特大学的邀请，邀请我与他们的学生分享我的经验。从那时起，我便在查尔斯·斯图尔特大学讲课：

2013 年，我加入了 Kemp Technologies，担任区域总监两年。我帮助 Kemp 在澳大利亚和亚洲发展业务。在 Kemp 工作期间，我仍然是社区的一部分，任何能找到的空闲时间我都投入到建立网络安全意识的活动中，提升对黑客的安全防护：

Kemp Technologies 网站，宣布我获得奖项（2013 年）

我的全职工作从未阻碍我追求梦想。我辛勤的工作也引起了报纸的关注。以下是一些来自这些新闻文章的截图：

Entrepreneur Magazine, 菲律宾 2012 年

下面是一张 2014 年我在澳大利亚悉尼领奖时的感谢演讲照片，获评“年度职业人物”：

随后，我收到了 EMT Holdings 的一个非常好的职位邀请。公司为我提供了中东和非洲地区 CISO 职位，以及副总裁的职位，工作地点设在迪拜：

迪拜，阿联酋对我来说是一个全新的市场；是的，我出生在德国，曾在土耳其、澳大利亚生活，也在亚洲各地旅行过，但这些地方都无法与中东相比。我不得不从头开始，因为我认识的人不多，所以我遵循了我对你们提出的所有建议。

我和家人于 2014 年 12 月搬到了迪拜，一年内，我凭借在帮助社区提高网络安全意识方面的贡献，在Channel MEA杂志中排名中东地区前 50 名安全专家第二：

《Channel Middle East Magazine》，《Channel Champions》(2015) 安全领域

2015 年：美国《Modern Trader Magazine》

我从零开始，重复我知道会奏效的做法，结果确实奏效了。活动开始引起该地区记者们的关注。以下是来自巴林一家报纸的例子：

这引起了微软的注意，我发现自己加入了微软，成为负责欧洲、中东和非洲地区的网络安全架构师。在接下来的三年半里，我与全球客户保持联系。

不仅是在我们的客户那里，我在公司内部也主动为 CxP 级别的人员提供高级网络安全课程以及其他网络课程。我被授予了微软白金俱乐部会员资格，这是微软员工能够获得的最高荣誉：

2017 年微软卓越圆桌白金俱乐部奖，微软 CEO 萨蒂亚·纳德拉，微软高管及其他获奖者。

来自南非、尼日利亚、土耳其和海湾地区的一些报纸例子

所有这一切都没有消减我对学习的渴望；在 2018 年，我通过远程方式完成了澳大利亚查尔斯·斯图尔特大学的博士学位：

我非常喜欢在微软的工作，但我出差实在是太多了，于是 2019 年初，我决定加入另一家全球知名公司——渣打银行，担任信息与网络安全负责人（常务董事）。

你会给考虑从事 IT 职业的人什么建议？他们如何入门？

正如我在本书中所解释的，任何从事 IT 行业的人都必须牢记一件事：学习曲线永远不会结束，所以你必须热爱学习、研究并保持与时俱进。IT 行业不会看重过去；保持当前状态，并借助过去的经验为未来做好准备，这是我能给你的最好建议。

技术发展得如此迅速，保持与时俱进变得越来越困难，因此，如果你不喜欢阅读和学习，你的知识很快就会过时。我们正处于一个知识获取比 20 年前更加容易的时代；那时，为了学习，我们必须去图书馆借书（如果我们幸运的话，因为图书馆里的 IT 书籍并不多），但今天，博客、计算机培训、YouTube 和课堂培训变得更加容易接触，也更实惠。因此，简单来说，即使你无法参加会议，今天大多数会议都可以直播，所以一定要观看；在 Twitter 上关注技术领袖；订阅几个有价值的邮件列表；并阅读、学习，当然，还要实践。

回顾我的职业生涯，从小企业主到百万美元公司，然后加入 Kemp Technologies、Secunia（EMT Holdings）和微软，在金融和医疗领域与许多政府和财富 100 强公司合作：

一个来自北约反恐中心的奖项

销售硬件和实施服务可能会显得重复，但作为一名信任的安全顾问处理一线安全问题是独特的。你可能会访问一家遭遇 30,000 台计算机被清空的组织。在危机时刻能够与客户合作是非常特别的。能够帮助他们尽快恢复服务对我来说是无法言喻的。

同时，当我教授研讨会或在会议上演讲时，分享我在实地获得的真实经验，帮助学生/参会者变得更好让我感到开心，看到我的客户能够抵抗复杂的攻击让我感到自豪。通过电子邮件或其他方式收到的反馈让我感觉最棒；任务完成——直到下一个可能在下一个小时内到来的挑战。

获取反馈，听取反馈并不断提升自己

在完成两个硕士学位和两个大学学位后获得博士学位可能听起来像是顶峰，但事实并非如此。我知道我现在依然如同职业生涯的第一天。我的最大使命是为每个人的网络空间安全增添保障。拥有博士学位或在 C 级职位工作对我的使命没有直接影响。我可能仍然会抽出时间写书，在免费活动和网络研讨会上发言，以及参加一线会议，分享我的经验、发现和建议，尽可能多地与人们分享。了解人类以及我们脆弱的一面，有着帮助每个人和每个组织更加意识到网络威胁的使命并不是一件容易的事情。

作为我最后的一句话，我想与您分享我博士毕业典礼上的演讲。如果我能做到，你也可以，请不要忘记，我职业生涯的亮点发生在我二十多岁时，那时我已经结婚并有了孩子：

"我有一个梦想，一个不容易实现的梦想；我计划了。

为了实现我的目标，我必须采取必要的步骤；我行动了。

曾经有过我感到孤独的时候，我以为我永远也无法克服；我需要应对一些负面反馈；也有过我跌倒的时候。

我从这些经历中学到了前进，从我的错误中学习了。

最后，我成为了一名医生；我成功了。

如今，回顾过去，我知道没有梦想、没有迈出第一步、没有检查进展并从错误中学习什么也不会发生。

今天，听完我的演讲，如果你想带走一个思考，我会说“永不放弃，”无论你多么疲惫，或经历了多少次失败. 坚持 你的 抱负， 坚持 你的 目标， 并且 实现 它们。我知道你能做到，因为我刚刚做到了，我刚才分享了我的“秘密配方。”

祝你好运！

埃尔达尔·奥兹卡亚博士

第十二章：如何进入网络安全领域，无论你的背景如何

本章将介绍进入网络安全领域的技巧，并帮助你找到合适的工作，同时根据工作技能提供常见的面试问题。

请记住，无论你有多少认证，或者大学里获得了多少荣誉学位，你都很可能从底层开始你的新工作，需要逐步努力向上晋升。没有捷径。选择任何职业的第一步必须是识别你的核心优势。如果你不是开发者，也不喜欢编程，比如说，不要强迫自己成为一名开发者。本章将为你提供如何从零开始获得网络安全工作的一体化概览。你将掌握如何进行求职的知识。

本章将带你了解启动网络安全职业所需的各种技能。为此，以下主题将被涵盖：

• 网络安全人才缺口

• 你可以从事的网络安全职位

• 从技术背景转向网络安全

• 从非技术背景入门网络安全

• 从你当前的技术角色过渡

• 从第一次接触到工作第一天的旅程

以下来自 ISACA 的图表展示了网络安全技能缺口的统计数据和事实：

ISACA 网络安全技能缺口 (www.isaca.org/)

从技术背景转向网络安全

在尝试进入网络安全领域时，拥有先前的 IT 知识和技能将始终是一个加分项。如果你能编写代码、反向工程一段软件，或者至少了解网络基础、OSI 层等内容，这无疑是一个优势。

拥有技术背景并不意味着你必须拥有官方的学位或认证，而是意味着你通过兴趣爱好获得了一些基本技能。

如果你现在还没有这些技能，你至少应该知道如何获取这些技能，因为你已经阅读了本书的每一章。

目标网络安全职位

技术性的网络安全职位需要较为详细的计算机知识；然而，这里有一个好消息：你做的大部分工作都会在工作中学习到。因此，不要因为职位描述中提到的某项技能要求而阻止自己申请某些职位。正如你稍后会看到的，必备技能和期望技能之间是有区别的。

就像非技术性的网络安全职位一样，也有各种不同的技术性网络安全职位。一些职位名称包括以下内容：

• 首席信息安全官（CISO）：CISO 负责一系列职能，从招聘 IT 专家支持他们的工作，到为那些技能较低的员工提供领导力和培训。他们还将管理团队，确保团队成员在正确的时间专注于正确的战略领域。

• 安全工程师：在这个角色中，你将测试网络的漏洞，监控安全漏洞，并制定安全计划和政策。你还将负责在发生安全漏洞时进行事件响应。

• 事件响应员：事件响应员的工作要求他们立即对任何新的安全威胁、入侵或漏洞作出反应。工作的一部分还可能涉及变更管理的控制，确保在软件或硬件修复、升级和补丁过程中有序过渡。

• 密码学家：作为一名密码学家，你将分析、破译，甚至可能开发加密算法。这些加密算法的目标是保护数据。其理念是，即使黑客窃取了数据，由于加密锁的存在，他们也无法读取数据。

• 计算机取证分析员：这个角色的人结合了计算机科学背景和取证技能，来从计算机和存储设备中恢复信息。分析员的责任是协助执法人员处理网络犯罪，并检索证据。

• 恶意软件分析师：在这个职位上，你需要时刻跟进最新的病毒信息。你的工作还包括帮助开发能够对抗或防御这些新病毒的软件。

• 渗透测试员：如果你将网络安全与黑客行为联系在一起，那么这就是终极的安全职位。作为一名渗透测试员，你将成为一名黑客；然而，你将是一个道德黑客，必须遵循由你的公司与客户公司之间协议所规定的严格规则。你执行的每一项操作都需要被记录。公司雇佣渗透测试员是为了确保恶意黑客无法利用他们的网络漏洞。

• 安全顾问：安全顾问负责识别、开发和实施安全解决方案，以满足客户的需求。

• 安全架构师：安全架构师负责通过确定安全需求来保护企业信息；规划、实施和测试安全系统；制定安全标准、政策和程序；并指导团队成员。

• 信息安全官：此职位的人员负责建立和维护整个公司的信息安全管理程序，确保信息资产得到充分保护。他们的职责包括开发、实施和监控战略性、全面的企业信息安全和 IT 风险管理计划。

• 计算机安全专家：这类专业人员的职责包括设计和实施安全措施与控制，监控网络活动以识别脆弱点，并对隐私泄露和恶意软件威胁采取行动。

• 风险经理：风险经理为组织设计并实施整体的风险管理流程，其中包括分析风险发生时对公司财务的影响。

硬技能与软技能

无论你在哪个行业工作，你都需要一些基本的软技能和硬技能。

硬技能是你简历中的内容；如果你有技术背景，并且是程序员，那么你可能知道如何使用 C++进行渗透测试以及使用 Kali Linux。如果你是一个网页开发者，你可能已经知道如何防御 SQL 注入攻击，这对于网络安全开发者来说是必不可少的技能。

另一方面，软技能通常是无形的，难以量化的。正如我们在第七章中讲到的，人际关系、指导和跟随，能够与人建立联系或将技术话题传达给非技术人员，都可以被归类为软技能。

作为求职者，我相信你已经在关注 LinkedIn 或其他全球求职网站了。一旦你找到一份你认为会喜欢的工作，就申请它；或者如果你认为自己缺少一些技能，通过这本书，你现在知道如何去获得它们。无论如何，尽量去见一见招聘经理或猎头。即使他们在第一次面试中没有录用你，他们也许能指导你走向正确的方向。付出努力并主动联系他们，已经向他们证明你渴望学习新技能；正如我们稍后会在面试技巧中提到的，你可能会找到一个共同的联系点并成功入职。

你可以在这里阅读更多关于福布斯推荐的网络安全职业入门建议：www.forbes.com/sites/laurencebradford/2017/02/27/how-to-start-a-lucrative-career-in-cybersecurity/#5896cca71066。

从非技术背景开始进入网络安全领域

如果你有非技术背景，不必担心。如果你想从事这个行业，你甚至不需要找到一个技术职位。拥有非技术背景意味着你可能没有编码和开发技能；然而，某些编码或开发技能可能并不必要，甚至不需要这些技能也能获得工作。

网络风险分析师和技术写作人员只是非技术性网络安全工作的两个例子。这些职位可能是你已经具备的技能所能胜任的。例如，本科学位可能是入门级政策分析师职位的唯一要求。如果你是一个热衷写作且精通语法的人，作为技术写作人员开始工作并不是一个坏主意，它能为你打开一扇门。

如第九章中所述，知识检查与认证，获得如 Logical Operations 的 CFR 认证或 EC Council 的 CEH 认证，可以让你更快地进入技术网络安全职位。这些认证的获得速度远快于大学学位。

一旦你迈入这个行业，你将开始积累工作经验，如果你花时间通过自我培训提高自己，你可以更快地达到理想职位。你应该热衷于学习、阅读和研究。这个行业存在巨大的人才短缺，学得越多，你将越受欢迎。

从当前技术职位转型

如果你目前从事的是比如微软交换管理员的工作，专注于邮件安全可能是你网络安全职业生涯的良好起点。或者如果你是一名系统管理员并且熟悉操作系统，那么数字取证可能会成为你的下一份工作，当然，前提是你需要先掌握必要的技能。

根据 LinkedIn 的数据显示，89%的受访专业人士有兴趣听取招聘人员的意见，因此，从你当前的角色转型应该不会太困难。再次根据 LinkedIn 的数据，美国大约有 50 万个网络安全职位空缺，预计到 2022 年，需要额外 180 万名网络安全专业人员来填补这一劳动力缺口。

当我们看看亚太地区时，缺口为 214 万人，而欧洲、中东和非洲则缺少 14 万个技术工人，预计到 2022 年这一缺口将达到数百万。

在你申请之前，先展示你的价值

不要忘记，很可能你不会是唯一申请这个职位的人。虽然有很多职位空缺面向合格的候选人，但求职者仍然需要证明自己不仅符合要求，还能成为该职位的最佳人选。展示自己的价值应该从填写工作申请表之前的几年就开始。了解自己的专业，规划下一步，区分自己与他人。不要忘记，拥有技能固然重要，但更重要的是拥有奉献精神。如果以下条件适用，你就是值得被聘用的人：

• 你渴望知识

• 你愿意提问并学习

• 你从错误中学习

• 你享受你的工作

• 你能够富有同理心地沟通

• 你知道如何说不

• 你有帮助他人的愿望

在学习了如何确保网络安全职位之后，让我们进一步探索，看看如何扩展你的知识库。正如下图所示，学习成为一名网络安全专业人员所需的知识、应用你的知识并制定行动计划帮助你前进是非常重要的：

在接下来的部分，我们将讨论如何培养你的网络安全知识和技能。

阅读、听、看和交流

尽可能多地阅读。Packt Publishing 出版社有许多关于网络安全的优秀书籍，并提供多种订阅选项。关注安全网站和博客。跟随行业领导者在 Twitter/LinkedIn 上并围绕自己建立网络安全专家圈子，正如第七章《网络、指导和影子学习》中所讨论的那样。社区聚会对于加速你网络安全知识的积累也非常有帮助。

简历中应该包含哪些内容？

求职的第一步是准备你的简历，在探索网络安全的道路时，你需要一份具有竞争力的简历。在本节中，我们将逐步讲解简历制作的各个方面，并找出简历中必须具备的元素：

• 教育背景：虽然不是百分之百必要，但拥有扎实的教育背景可以证明你是一个优秀的学习者。学校/大学教给你重要的沟通、写作、商业和项目管理技能。大学学历会让你更容易获得管理职位。一些雇主现在要求在考虑候选人之前提供学士学位的证明。

• 相关工作经验：列出任何之前的 IT 职位以及任何与 IT 安全相关的其他工作。这也可以包括志愿者工作、实习和学徒。对于政府职位，招聘委员会会对任何军事或执法经验感兴趣。

• 硬性 IT 技能：在你构建网络安全简历的同时，努力发展一些硬性 IT 技能，如以下列出的技能。这些技能通常是雇主急需的：

  • 操作系统和数据库管理：根据你申请的职位，展示你在 Windows 或 macOS 上的技能有助于提升你的简历：

    • Windows、UNIX 和 Linux 操作系统

    • MySQL/SQLite 环境

  • 编程和编码：如果你是程序员，一定要列出你掌握的技能和你参与的项目。如果这是你作为程序员的第一份工作，你选择的职业路径也能为你加分：

    • C、C++、C# 和 Java

    • Python, Ruby, PHP, Perl 和/或 Shell

    • 汇编语言和反汇编工具

    • 正则表达式（regex）技能

    • Linux/macOS Bash 脚本

  • 网络：你想做网络工程师吗？那就展示你在网络方面的技能；以下是一些示例：

    • 系统/网络配置

    • TCP/IP、计算机网络、路由和交换

    • 网络协议和数据包分析工具

    • 防火墙和入侵检测/预防协议

    • 包络整形器、负载均衡器和代理服务器知识

    • VPN

  • 专业化：由于工作性质和行业原因，安全专家通常会在以下某一领域进行专业化：

    • 思科网络

    • 云计算

    • 微软技术

    • 无线网络

    • 数据库建模

    • 开源应用程序

    • 密码学

还有其他的。为了在这些领域获得更多经验，你可以在工作中主动承担任务、与导师合作、以及/或投资于自学和指导培训。

• • 认证： 行业认证通常是展示你所知道内容的最佳方式。因此，以下是一些你可能想要考虑的认证。如果你不确定要考取哪种认证，请参考第九章，知识检查和认证：

    • 非安全类认证：

      • 思科 CCNA

      • CompTIA A+、Server +、Network + 等等

      • ITIL、COBIT 等

      • 微软认证

      • VMware 认证

    • 安全类认证：

      • SANS

      • 逻辑操作

      • OWASP

      • EC-Council 等

不要忘记，认证通常是证明你所掌握的知识的最佳方式，并且在筛选过程中可能非常重要。

简历内容清单

简而言之，你的简历必须能够从众多简历中脱颖而出。为此，你可以参考之前讨论的建议，并将这些关键因素融入到你的简历中。我们用一份清单来结束这一部分，它将帮助你有效地构建简历：

• 脱颖而出。你的简历应当展示出你独特的技能和经验的融合。

• 保持简历简洁

• 检查简历是否有任何错误，确保没有任何失误。

• 保持简历更新

• 保持简历真实

• 定制化并使其看起来美观

从第一次接触到正式工作的第一天的历程

候选人开始思考自己未来的职业方向或其他职业选择。为此，与家人、朋友和熟人的讨论非常重要。候选人会通过网络、职业博览会、公司介绍会或其他信息日来搜索关于职业机会和潜在雇主的信息。这只是整个求职旅程的开始。在求职过程中，候选人可以跨越许多里程碑，整个过程需要大量的工作和毅力。下面的图表很好地展示了 Kinesis 提供的求职历程：

该图提供了从第一天开始到新工作第一天的全景图，感谢 Kinesis Inc. 提供的支持。你可以免费从其网站下载海报版本：www.kinesisinc.com/talent/。

现在，让我们把焦点转向网络安全领域中的面试类型。

面试类型

工作面试是一次正式的会议，在会议中，面试官会询问申请者一些问题，以确定其是否适合某个特定的工作。工作面试可以面对面进行，也可以通过电话或视频进行，可能是单对单的，也可能是小组面试或面板面试。但无论形式如何，每场工作面试都可以分为三种不同的结构方式。

结构化面试

在结构化面试中，问题会提前规划和设计，这意味着所有候选人都会按照相同的顺序被问相同的问题。这将使招聘人员更容易比较候选人的答案，并聘用合适的人才。

这就是结构化面试的内容：

• 问题集

• 一个量表

• 对比人才与其他候选人的评分和比较

结构化面试的示例 Excel 工作表

非结构化面试

这是一种面试类型，面试官会问一些未提前准备的问题。这种类型的面试也被称为非正式或随意面试：

• 非结构化面试更具个性化

• 非结构化面试是一种自由对话，有助于展示你的隐藏技能

这就是非结构化面试中会涉及的内容：

• 招聘人员将关注你日常的互动，这也是展示你的软技能的绝佳机会

• 招聘人员将观察你是否能够保持专注，以及你是否足够灵活，可以谈论任何话题

• 你的肢体语言也会被考虑在内

半结构化面试

半结构化面试是一种面试类型，面试官只会问一些预定的问题，而其他问题则不会提前安排。这是一种混合型面试风格。

这就是半结构化面试中会涉及的内容：

• 招聘人员会根据你的回答来设计他们的问题

• 招聘人员将观察你是否能够跟随自然的对话流程

常见的网络安全面试问题

面试过程对候选人来说非常艰难，对面试官来说也是如此。之所以艰难，是因为精心培养的人才通常不会轻易离开他们的公司。请记住，人们会去他们受邀的地方，但只有在被欢迎的地方才会留下。而且，雇用技术熟练的专业人员是需要成本的。

一般面试过程

以下要点总结了一个一般面试过程所涉及的内容：

• 简历筛选

• 基本人力资源面试（外部招聘）

• 技术面试

• 人力资源面试和工作邀请（希望如此）

常见的网络安全面试问题

这些只是一些示例问题，问题会根据不同的角色有所不同。

以下是一些针对入门级职位的示例问题：

• 解释风险、脆弱性和威胁之间的区别？

对于这个问题，最好通过一个易于理解的例子来支持你的回答。

• 非对称加密和对称加密有什么区别，哪种更好？

请保持答案简洁，因为这是一个广泛的话题。

• 什么是 IPS，它与 IDS 有什么区别？

• 什么是防火墙？

请简洁地回答，因为这个问题可能会变得复杂并引发循环提问。

• 您如何保持自己了解最新的信息安全新闻？

万一您没有关注过任何相关资讯，以下是一些简短的列表：Hacker News、Threatpost 和 Pentestmag。

• 什么是 CIA？

CIA 是网络安全存在的主要原因。

以下是一些适用于初级岗位的示例问题：

• 什么是端口扫描？

• 什么是合规？

• 网络应用的各种响应代码有哪些？

• 解释基本 Web 架构中的对象。

不同的组织遵循不同的模型和网络，请用通用的方式回答。

• 何时使用tracert/traceroute？

• VA 和 PT 有什么区别？

以下是一些适用于经验丰富的专业人士的示例问题：

• 政策、流程和指南之间有什么区别？

• 什么是pass the hash？

• 什么是数据泄露？您将如何检测和防止数据泄露？

• 解释最小权限原则。

• 请提供一些防止横向移动的缓解措施示例。

• 您对特权提升的理解是什么？

以下是一些适用于高级岗位的示例问题：

• 数据分类的不同级别有哪些，为什么需要这些级别？

• 员工如何了解信息安全政策和程序的不同方式？

• 从安全的角度来看，CEO 层级报告应该包括哪些内容？

• 针对 CSFR 的防御措施有哪些？

• 逆向工程此代码

• 您如何看待安全融合及其对我们公司的影响？

个人问题

以下问题涉及您的个人抱负、目标以及对自己的看法，并不仅限于网络安全职位：

• 为什么您在寻找新职位？

• 请告诉我们您的个人成就或认证。

• 您最强的优势和成就是什么？

• 您最大的弱点是什么？

• 您如何设想自己上任后的前三个月？

• 您如何看待自己五年后的发展？

• 为什么您要从当前岗位转向网络安全领域？（如果您目前在其他岗位的话。）

沟通技巧

以下问题旨在考察您的沟通技巧以及您传达思维的能力：

• 请告诉我们一个您发现与客户或同事沟通困难的情景。您是如何解决的？

• 请告诉我们您至今最喜欢的经理或同事是谁。是什么让他们与您合作时如此出色？

• 您感恩的是什么？

• 您认为同事更欣赏您的直接，还是您平衡事物的能力？

问题解决和判断能力

以下问题考察的是判断力以及您处理问题的方法：

• 告诉我们一次事情没有按你预期的方式进行的经历。下次你会怎么做不同的事情？

• 你如何衡量工作的成功？

• 当你回顾至今的工作经历时，什么让你最为自豪？

• 告诉我们一次你面对一个没有政策或手册答案的情况时，你是如何应对的。你做了什么？

动机和激情

以下问题评估你工作的动机：

• 是什么激励你每天都来工作？

• 为什么你想成为我们公司的一部分？

• 告诉我们一次你为客户付出了超出预期的努力。

• 告诉我们一些你在工作之外充满激情的事情。

常见建议

以下是在面试时需要记住的一些提示：

• 言之精确，倾听仔细，回答前思考。

• 保持你的回答简洁（除非需要详细说明）。如果被要求，提供细节。

• 自信一点（尽可能地）。

• 关注安全新闻。

• 了解公司，检查他们是否有过任何事件。

• 保持积极的态度。

• 做一个团队成员。不要认为自己比别人更重要。

• 如果你犯了错，要负责——没有借口！

• 与公司共同成长并不断学习，否则会被落下。

在接受工作前考虑这些因素

如果你已经拿到了工作邀请，并在考虑是否接受，以下几点需要注意：

• 福利和待遇：务必询问具体细节。

• 工作/生活平衡：如果你是一个喜欢在工作和个人生活之间保持平衡的人，这应该是你考虑的因素之一。

• 学习和成长的机会：这将展示公司是否准备好投资于你。

• 一个关注你成长的经理：在选择新工作时，你还应该评估你将要为之工作的经理/领导是否会帮助你在职业上成长。一个糟糕的经理会让你非常不开心；无论你在公司多么成功，他们都有可能逼迫你离开。

• 薪资透明度。

从招聘经理或招聘者的视角看待问题

到目前为止，我已经讲解了如何提高你获得工作的机会。为了使本章更具价值，我还想添加招聘者对人才的看法。你还可以查看第十一章，关于入门网络安全的专家意见，我们在那里提了一些问题，可以帮助你向一些业内知名专家学习。作为一名招聘者，可能看起来很容易，但他们有很多任务要做，比如在短时间内寻找像你这样的人才，而市场上却存在严重的技能短缺：

如你所见，他们有一个预先定义的评分卡，因此请确保仔细阅读职位描述，并尝试与之找到共同点，证明自己是合适的候选人。

根据麦肯锡全球调查，82%的财富 500 强高管认为他们的公司没有招聘到最优秀的人才。如果你遵循正确的建议，你可以训练自己成为合适的人才，签下你梦寐以求的工作合同：

一些招聘人员使用一些附加工具，如我的梦想员工，帮助他们识别出卓越的员工：

在前面的截图中，你可以看到《我的梦想员工》工作表的样式，它应该能帮助你为面试制定正确的策略。

招聘人员的招聘流程是什么？

如果你想了解招聘流程是如何运作的，请仔细查看以下图示；它应该能帮助你了解招聘人员在幕后做了什么，也许能解释为什么这个过程比你预期的要花更多的时间：

如何在微软获得工作机会

微软职业网站提供了非常好的资源和帮助，都是免费的。我强烈推荐你浏览一下。在第十一章，关于网络安全入门的专家意见，你将阅读到微软员工的故事和建议：

微软建议任何想为他们工作的人应做以下事情：

• 申请你感兴趣的职位

• 了解职位要求和微软的商业背景

• 了解他们的职业发展路径以及他们想要如何成长

• 了解如何与他人合作

• 展示学习的愿望、对技术的热情以及努力工作的意愿

• 为解决与工作相关的特定问题做好准备

更多信息，请访问微软职业网站：careers.microsoft.com/us/en/interviewtips。

如何在思科获得工作机会

思科建议想为他们工作的人参考以下提示：

• 做好准备。独特。做自己。

• 了解业务。

• 了解工作要求。

• 反思自己的优势和成长领域。

• 思考你的技能和成就。

• 保持冷静，给自己足够的时间。

• 保持好奇心并提出问题。

请记住，思科有三种面试类型：电话面试、能力面试和小组面试。招聘人员应该告诉你应该期待什么。

更多信息，请查看以下链接：www.cisco.com/c/en/us/about/careers/working-at-cisco/students-and-new-graduate-programs/interview-tips.html。

如何在谷歌获得工作机会

谷歌有两轮面试，每轮面试之间会收集反馈，并决定下一步行动。

谷歌通过电话、Google Hangouts 或现场面试进行面试，并推荐以下方法：

• 做好准备

• 能够预测未来（是的，你没看错）

• 制定计划

• 数据驱动，尽量通过讲述故事来展示你的知识，回答每一个问题

• 实践操作

想了解更多关于如何进入谷歌的信息，请查看以下链接：careers.google.com/how-we-hire/interview/#interviews-for-all-roles。

谷歌首席执行官在 2004 年首次面试时是如何应对的！

谷歌有限公司的首席执行官桑达尔·皮查伊在访问一所大学时说了以下话：

“我记得在面试时，大家一直问我‘你觉得 Gmail 怎么样？’但我当时没有机会使用它。我以为那是愚人节的玩笑。所以，在我的前三次面试中，我回答得不好，因为我没有使用过这个产品。直到第四次面试时，有人问我：‘你看过 Gmail 吗？’我说‘没有。’他实际上向我展示了它。然后第五位面试官问我‘你觉得 Gmail 怎么样？’我才开始能够回答这个问题。在接下来的四场面试中，我实际上告诉了他们我对 Gmail 的看法以及如何改进 Gmail。这就是我的面试经历。”

根据 CNBC 的报道，桑达尔·皮查伊能够在面试中成功，是因为他展示了知识的谦逊，给出了有故事背景的理由，并能够引导对话。你可以在这里阅读更多关于这个故事的内容：www.cnbc.com/2019/02/01/how-google-ceos-brilliant-answer-in-a-job-interview-helped-him-get-hired.html。

如何进入埃克森美孚

埃克森美孚是世界上最大的公司之一，位列财富排行榜。该公司根据背景和地点招聘人才。像其他财富 500 强公司一样，它的职业网站提供了如何塑造简历的示例。如果职位需要评估，公司会提供相关要求的信息。网站上还提供了关于面试和录用通知的预期信息。所以，请浏览其网站，找到适合你的职位。

关于埃克森美孚招聘的更多信息，请点击此链接：careers.exxonmobil.com/en/how-we-hire/our-hiring-process。

你应该知道的热门求职网站

由于我不能列出所有财富 500 强公司的职业网站，我强烈建议你密切关注你想要工作的公司。如果该公司有关于新职位空缺的通知，记得注册。如果你不确定自己想为哪家公司工作，可以关注以下网站：

• Glassdoor: www.glassdoor.ie/index.htm

• LinkedIn: www.linkedin.com

• CareerBuilder: www.careerbuilder.com

总结来说，要找到一份工作，你必须去寻找，或者你需要有一个推荐人/引荐人，他会将你推荐给招聘经理或人力资源。如果你按照本书中的建议，接受我们专家的正确指导，你很快就能找到一份新工作。

祝你好运！

总结

网络安全就业市场存在巨大的人才缺口。招聘人员在寻找合适的人才时遇到困难，而这个人才缺口为任何希望成为网络安全专业人士的人打开了新机会，无论他们的背景如何。

本章讨论了行业的当前需求；它涵盖了人们在寻找理想工作的过程中需要做的事情。本章还从招聘者的角度出发，讲述了招聘人才时他们的做法，并提供了如何获得工作的一些建议，从撰写最佳简历到通过面试。最后，讨论了如何在一些顶级公司找到工作。