其实小弟觉得这是一个十分值得思考的问题。
背景:随着开发的规范企业的安全建设越来越成熟以及 影响规模大的漏洞(例如 ms17-010 )出现的越来越少。
以往的 hvv 都是漏洞满天飞,今年五月的 hvv 攻击队好像没有什么动作。
1.在这种背景下 渗透测试工程师和甲方的安全人员的价值何在?
信息安全的航道十分多,二进制安全,web 安全,iot 安全,数据安全,区块链安全
小弟之前学习二进制安全就已深知这块水深并且工作不好找所以跑路到 web 安全,众所周知 web 安全已然是红海,无数脚本小子,野路子,吹牛逼的可谓 鱼龙混杂。
2 、如何选择一个航道的问题,是否应该在一个航道当中死磕?
小弟提这个问题是源于深深的危机感,源于 “即使你是塞班大神,也抵挡不了 nokia 没落”。也源于第一个问题的引申,有那么一天,企业安全建设足够了,就算有大杀器漏洞出现也不会出现什么大的问题的时候。你的价值何在?
或者是否是 传说中的 不管是什么安全,之间都是相通的,举个例子 你之前做二进制安全,后面对做 web 安全也有帮助(个人觉得帮助很小)
希望论坛里面前辈回答讨论,表达观点无论对错,不甚感谢!
1
echo1937 2021-05-09 23:30:42 +08:00
我其实非常好奇,现在国内的安全企业(乙方),一般是怎么交付的;
1 、做咨询 2 、做成品(卖软硬件) 3 、做服务(卖软硬件的后续服务) 4 、待补充... |
2
melsp 2021-05-10 00:01:10 +08:00 via Android 1
只会和其他 cs 方向一样越来越卡学历
|
3
e583409 2021-05-10 07:44:02 +08:00
我理解的企业安全现状 很严峻 很多企业没有安全团队 或舍不得在安全上投入 (优先发展业务去了 生存是第一要务)
未来业务的安全 我感觉可能会依赖 to b 的安全服务 比如 青藤云这样的公司 航道的问题 我不了解 web 可能热一点 |
4
yEhwG10ZJa83067x 2021-05-10 08:59:11 +08:00
现在这个社会不就是活到老学到老么
|
5
bug403 2021-05-10 10:06:41 +08:00
拼多多 flanker
|
6
User9901 2021-05-10 10:55:54 +08:00 6
会绕 WAF:
五年前=大神 这年头=面试门槛 会免杀: 五年前=大牛 这年头=面试门槛 有 CISP/PTE 等 五年前=巨佬 这年头=面试门槛 一个普通安服都要求有红队思维、精通外部打点、web 撕口、横向移动、防溯源;可见有多卷。 卷起来是上面有指标、有要求。 前几年一盘散沙是因为客户都是肥头大耳的暴发户不懂安全只需要安全感。 如今国内的安全不是安全,是贩卖恐惧,一个漏洞能变十几个标题和衍生案例铺天盖地的公众号新闻板块推送最后反手一贴 "***安全产品已经能够识别并且防御此类威胁,深耕行业潜心研究多年,您值得信赖!“ 殊不知只是把国外某巨佬丢到 github 的 poc 随便改改+注释+打包成 exe<**漏洞专版检测工具 v1.0 内部版.exe>+复现文章内部先走一遍流程,没问题后公众号开始刷屏转发其他小弟弟开始白嫖工具,然后批量提取规则打包到安全产品更新包里。拼的不是技术,是手速。 安全产品逐步趋向于互相“借鉴学习”,其实撕破脸皮都是 github 复制粘贴居多。Gov 政策红利、等保硬指标都在推动这个行业加速成熟。大胆预测行业红利期已经到了后期,5 年左右还能挣到钱。之后就是无限竞争无限拔高门槛。最后形成两派割据的局势。企业派(启明、天融信、360 等等等)开源派(独立研究员博客、github 不多逼逼亮代码巨佬、qq 群分享+撕逼的娱乐圈黑阔小学生等等等等) 其实卷起来是好事儿,最好门槛条件卡死。因为这个行业浑水摸鱼的垃圾也越来越多,拧干点儿水份也好。 |
7
User9901 2021-05-10 11:13:26 +08:00 1
类论基础:
TCP/IP 学透 HTML+JavaScript+php+java+python 读得懂、改的动 B/S 架构+C/S 架构整明白 经验积累: 大量阅读漏洞复现文章、跟着动手本地做复现 大量阅读代码审计文章、记住重点自己尝试审计 大量阅读 hackerone 挖掘 SRC 公开案例、记住重点自己尝试挖掘 大量实战(SRC 挖掘(学习还能赚钱)、CTF(玩玩就好))+笔记(好记性不如烂笔头) 安全分支这么多,想集中精力在一个点上并且精准输出高质量成果以达到最大化效益的目的? 学代码审计、做代码审计。其他都是弟弟。 毕竟安全的饭,就是开发的锅。 |
8
rationa1cuzz 2021-05-10 13:48:54 +08:00
@User9901 太现实了,之前公司的安服就是这么干的
|
9
eviladan0s 2021-05-10 13:54:43 +08:00
很明显,现在安全行业也开始卷了,卡学历的时期马上也要来临。
传统的渗透测试越来越吃不开,各种设备一上,想打进去基本上靠 0day 和钓鱼。 所以肯定要考虑自己的知识面,不能局限于渗透测试那几步,更应该聚焦于安全“内功”,说白了就是各种基础。 现在只会一个方向很难吃得开,Web 狗也得学二进制,做渗透的也得会逆向,唯有各种基础是不变的。 |
10
macha 2021-05-10 15:13:57 +08:00
我擦,连安全这个每年没多少钱的行业也要开始卷了么。
|
11
SlipStupig 2021-05-10 18:20:05 +08:00
渗透工程师和甲方价值其实取决于具体企业价值值多少,安全是小众行业,真能打的干嘛要去上班,一个人一台电脑就可以去“创业”了,根本不用担心,至于漏洞多少,不一定是安全提升了,担心这些虚无的东西时候,塞班倒闭之后,产生了 ios 和安卓,市场变得更广阔了,技术在进步你在进步吗?
|
12
echome OP @SlipStupig 那如果早早选择了一个有前景的方向和 苦练塞班,塞班岗位没了再入门 Android 比更好吗。
|
15
SlipStupig 2021-05-11 10:23:50 +08:00
@echome 你有预测未来的能力吗?你如何得知你选的一定是有前景的方向?想着这些有的没的,不如看看你自己到底会什么
|
16
RedFlag2233 2021-05-11 14:26:04 +08:00
各行各业都卷,在现在这个大趋势下,要不提升自己水平,增强自己的竞争力。
要不就躺平,无欲则刚。 |
17
wangkai0351 2021-05-14 10:10:59 +08:00
开发技术确实在不断进步,比如现在的桌面客户端应用是 ELECTRON 的天下了。做安全的也要积极拥抱变化。话说,二十年前能搞懂微软 COM/OLE 的人,现在看 ELECTRON 也轻轻松松吧。而且安全的步伐天生滞后于开发(建设),倒也不必那么焦虑。
|
18
jobs0 2021-07-11 13:10:33 +08:00
个人感觉有几个方向:代码审计、安全测试、安全管理;
|