都 2022 年了,信息安全怎么样?
前景
先来看看信息安全专业这个前景(大饼)
网络信息威胁已经成为全球性安全风险
近年来,随着云计算、大数据、物联网、人工智能等新技术的成熟与应用,全球正在掀起以数字化转型为目标的第四次工业革命浪潮。
这场让国家、社会、经济、生产和生活更加智能的浪潮,既提升了用户体验、效率,改变了商业模式,同时也消除了物理与现实的界限,新型网络信息威胁的潘多拉魔盒正逐渐打开。
网络信息威胁已经成为全球性的安全风险:从黑客攻击炼油厂、发电厂到利用勒索病毒攻击令医疗系统瘫痪;
从借助互联网舆论引发中东北非地区“颜色革命”到利用 Facebook 等社交媒体操纵选举等重大事件,我们都可以看出网络信息安全面临的威胁和风险日益突出,已成为世界各国面临的共同难题。
国内外很多知名的企业例如 Facebook、华住酒店、万豪集团、京东、圆通、58 同城等都曾经因为受到黑客的攻击而遭受巨大损失。
例如:2018年11月30日,万豪国际集团官方微博发布声明称,喜达屋旗下酒店的客房预订数据库被黑客入侵,在2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息或被泄露。此后该集团股价一度下跌逾5%,并被索赔 125 亿美元。
与此同时,各国政府也陆续出台并依据相应的法律法规加强对网络信息的安全监管。
例如,2018年11月27日,工信部网络安全管理局官网发布消息称,依据《网络安全法》《通信网络安全防护办法》《电信和互联网用户个人信息保护规定》等法律法规对南京途牛、杭州阿里、上海携程等7家企业落实进行了实地检查,针对检查发现的问题,责令相关企业进行整改。
网络信息安全人才需求呈现出井喷趋势
随着网络空间成为第五空间、社会基础产业全面互联网化,网络信息安全面临的威胁越来越大,对网络信息安全人才的需求也呈现出井喷趋势。从总体上来看,呈现出如下特点:
需求稳定增长
近年来,随着全球范围内网络安全事件的日益增加,《网络安全法》、《通信网络安全防护办法》、《电信和互联网用户个人信息保护规定》等一系列配套政策法规的逐步落地实施,国内政企机构对网络安全的重视程度也日益提高,对网络安全人才的需求呈现爆发式增长。
据第十一届网络空间安全学科专业建设与人才培养研讨会(2017年9月由中央网信办、网络安全局、教育部高教司指导,教育部高等学校信息安全专业教学指导委员会主办)报告的数据显示:我国网络空间安全人才年培养规模在 3 万人左右,已培养的信息安全专业人才总量不足 10 万,而市场需求的数量达到了 70 万,缺口相当大。另据智联招聘和 360 互联网安全中心联合调研统计,2018年上半年,网络安全人才需求规模指数较2017年上半年同比增长了 44.9%。
当前,很多大型或超大型企业,已经开始着手逐步建立自己的专业安全团队,以应对企业面临的网络安全日常威胁与突发事件。企业的需求主要集中在安全管理、安全运维、研发与测试、渗透测试与漏洞挖掘、应急响应、首席安全官等岗位。其中,安全管理类岗位需求量最多,占 27.1% ,其次是安全运维类岗位 19.1% ,研发与测试类占 16.2%。
薪酬优势明显
根据中国信息安全测评中心发布《中国信息安全从业人员现状调研报告(2017年度)》显示:信息安全从业人员缺口巨大,供需关系严重失衡推高了整体薪酬水平。国内信息安全从业人员平均薪资水平在 12.2-17.8 万元之间,高于国家专业技术人员及信息技术从业人员年平均工资。2021年9月15日,猎聘发布2021年上半年网络安全行业报告,全国网络安全人才平均年薪 33.77 万元。
可以看出的是,信息安全(网络空间安全)这个就业前景还是相当不错的。诚然,安全这一方面确实也有培训班,但是大部分都是速成的大白菜(如果不跟进,基本上上升有限),想拿到更高的薪资,还是需要自身硬。
怎么开始
不管你怎么开始,你需要的基础知识是一样的,每个方向都要学的内容:
- Linux 基础
- 计算机组成原理
- 操作系统原理
- 计算机网络原理
当然提问的艺术也是必修的,要善于使用搜索引擎,例如 Google,并且必要的上网手段也是要会的,必要的运维知识也是要会的。
国内的安全学习在大学阶段基本上是以 CTF 比赛为导向的,我们一般是研究性学习,然后在比赛中实践。这就说到了 CTF 比赛,那萌新可以直接打 CTF 比赛么?当然是可以的。CTF比赛一般分为传统五大方向和新方向,听容我一一道来:
CTF
Web
Web 方向是 CTF 比赛的传统方向了,也是比较好入门的一个方向,学习曲线平滑,直接面向网站的攻防实践,有一个浏览器基本都可以进行初窥阶段了。但是 Web 方向面临的问题就是内容相对杂乱,有一个大的方向树,但是零散细碎的知识点很多,如果仅仅跟进上层建筑,学习的压力(成本)是比较大的,例如前端的工具已经百花齐放,Node.js 的应用已经大势所趋,如果仅仅跟进上层建筑,你会非常的心累。Web 虽然不需要像二进制方向特别接近底层,但是还是需要接触我们常见的中间件的源码,例如 Nginx 的源码,熟悉并会调试。可以预见的是,Web 的学习不再是特别依赖于工具无脑梭哈,而是基础漏洞的功底。至少 Web 的学习要回归到 C 上。
Crypto
密码学也算是 CTF 的常客了,主要考察各种编码和奇奇怪怪的的加密方式,做的好的话也非常有成就感的,密码里面比较有难度的就是 RSA 了,这个能搞定吃透,相信其他的密码学的题对你们来说不在话下!这一块的内容一般是 Reverse 兼修。
Reverse
逆向,二进制安全的一个分支,这一块主要分为 Windows 逆向和 Android 逆向,当然逆向能干的事情非常多。举个简单的例子,你看着 QQ 的撤回不爽,你可以自己逆向分析撤回函数怎么实现的,怎么执行的,然后修改其执行流,让本地撤回函数失效,以期达到防撤回的效果。当然,逆向分析这一块学习曲线相对比较陡,没有 Web 那么平滑,入门不是太容易,但是与之对应的是较高的待遇。
Pwn
Pwn,二进制安全的一个分支,这一块的学习曲线也是比较陡的,这一块主要是对远程主机的某个进程进行攻击,通常需要在本地调试好如何劫持这个程序的执行流,一般这些程序都有输出和输出,没有输入和输出的 Pwn 题目倒是很少见,此外 Windows Pwn 和 Linux Pwn 几乎不一样,但是使用的手法类似。而且 Windows Pwn 的许多工作和 Windows Reverse 的工作高度重合。一般我们在 C语言中定义了一个 int 类型的变量,但是我们的输入超出了其范围,那会发生什么?很明显,一些必要的输入检查是要有的,不然你的程序天天异常。Pwn 这块需要深入底层,当我们在 C 语言中娴熟的打出了 printf("hello world");一行看似很简单的代码,其实在实现的底层上,编译器预置的头文件 stdio.h 和编译器帮助你做了许多工作,Pwn 就是要深入这一块的底层,没准有的时候一个小小的 printf 语句就能导致整个程序崩盘呢?如果你对这个很感兴趣的话?或许可以试试 Pwn。
Misc
在传统方向上,不归属于上述方向的内容就是 Misc 干的事情了,整体上学习曲线没有二进制方向那么陡,但是内容比较杂。例如隐写术?在一段音频、图片、文本,压缩包里面藏入一段莫名其妙的内容?或者去恢复一个被破坏的虚拟机文件?或者去恢复一个损坏的 PNG 图片?抑或是一个流量的分析,找出攻击流量,等等。比较依赖于工具,这一块的内容一般是 Web 兼修。
AI
AI 不属于传统方向,是新兴方向,一般题目归类在 Misc,有的是单列,可以说是 Misc 出来的一个分支方向,个人不推荐萌新入门就是 AI ,这个学习曲线特别陡,而且很少说能在短时间内做出一定的成绩。还需要一定的硬件支持,至少一块性能不错的独立显卡是必须的吧?
ETH
WIP 新方向。
AWD
WIP,没参加过,有待补充。
一些小经历
国内一般的 CTF 比赛是不适合萌新的,萌新可能参加了好几次比赛,一个都没打出来,这个时候就推荐去国外打比赛了,国外一般能遇到萌新难度的比赛,整体上也好打,不过就是没有奖品罢了(或者拿不到奖品);毕竟国内 CTF 比赛已经形成相关产业链了,打比赛=证书+?奖金(奖品),个人认为这样有悖于 CTF 比赛的初衷,不过也无可奈何。
心态
我们虽然是做安全的,安全也无比重要,但是也请不要目中无人,看不起其他职业。安全只是计算机整个体系中的一个分支,而且安全是一个整体的安全,不是某个部分的安全,安全这一方面当然也是遵从木桶效应的。当然你的 Coding 水平也要跟得上,不然容易被拖累。每个职业都有一定的偏见,这是正常的。就有一个 PM(产品经理),人家就是看不起做安全的,认为招安全岗就是吃白饭的,没有直接产出经济效益。对于存在这种偏见的人、团体、机构,公司,等等;我劝还是离得远远的比较好。毕竟还是本文开头的那句话,安全自在人心!
Why
为啥安全自在人心?就好比这次学习通的大规模数据泄露,实际上这个漏洞早在四年前已经人反馈给超星学习通官方,可是四年后的2022年,这个漏洞依旧没有修复,导致了这次暴雷。如果超星官方重视每次反馈,或许就不会导致这个悲剧的发生。但是平台方并不重视。那你会说,平台方在做什么?平台方在升级自己反作弊的手段(带来的就是个人隐私被侵害)。
某公司漏洞应急响应中心,在接到漏洞报告前,承诺有赏金,接收到漏洞报告后,开始翻脸不认了,各种否认,并狡辩这是正常的业务逻辑;报告者怒火中烧,就把该漏洞发布到了 GitHub 上,结果某公司报案,警方将该报告者抓捕;前面否认这个不是漏洞,那为啥要报案抓人呢?
总结
整体上国家对于信息安全还是比较重视的,但是,但是,国内的部分地区是不重视的,认为安全是可有可无的,我们在实习和就业的时候应该尽量避开某些地区,没有安全生存的土壤,自然也没有重视安全的氛围。笔者写到这里,无比怀念乌云,也许正是乌云那帮人的努力,为后来的信息安全奠定了一个良好的基础吧?虽然某些企业在开倒车,但是不可否认的是,国家在推进信息安全的发展,希望你们到时候有一个更加良好的就业环境。希望吧?