信息安全初學者容易犯的三個毛病
經常有同學問關于安全如何學習的問題,還有就是學習方向的選擇問題,學哪個不學哪個等等,由于存在以下三個問題,所以經常會感到迷茫,想學習無從下手,信安之路的成長平臺專治迷茫,當你在迷茫之時,前往平臺選一個任務進行學習就好,管他有沒有用,先學起來再說。那么你是否存在以下的問題呢?
1、急功近利
我進入安全行業之處也存在同樣的問題和誘惑,比如當時的烏云排行榜,看著大佬們挖洞那么容易,自己也一定會想,我怎么就可以成為豬豬俠一樣的人物,穩居烏云 rank 排行榜的榜首;比如各大 CTF 的比賽,別人團隊突破那么多題目,我咋只能做個簽到題呢?比如各種黑客大會,大佬們展示自己挖到的 0day 漏洞,什么瀏覽器、什么路由器、什么系統漏洞這些 CVE 編號,我咋不行呢?
安全圈也是個江湖,有江湖的地方就會有排行榜,就會有大佬和菜鳥,每一個菜鳥都想成為大佬,如何成為大佬就是菜鳥們最關注的問題。所以就涌現出好多的安全培訓班,各種吸引人的廣告,比如:一次付費終身學習、什么一個月包就業、什么兩個月月薪達兩萬、什么加入培訓送 0day 之類的,一群不明真相的韭菜紛紛上頭,期望可以通過培訓成為大佬,脫離菜鳥的隊伍。
進入安全行業也快十年了,從來沒有見過因為參加培訓成為大佬的,也沒見過哪個大佬是通過培訓達到現在的成就。不能說培訓無用,培訓和安全數據的作用一樣,能提供的是學習的參考,給你提供學習路徑和方向,并不能直接讓你成為大佬,基礎一定是自己努力后的結果,而非靠別人培訓就可以的。
大家從小就聽過拔苗助長的故事,靠外力去讓你快速成長,只會讓你根基不穩,雖然學了很多花拳繡腿的東西,真正實戰的時候,根本無法解決問題,試用期都過不了就被辭退,培訓機構會為你負責嗎?最后還是靠自己扎實的學習,解決的問題的能力在社會立足。
所以急功近利的心態一定不能有,別人的成功不是一朝一夕的事情,豬豬俠給你上一課,你不可能成為第二個豬豬俠,踏踏實實的學習,安全相關的基礎不能丟,選擇安全培訓要慎重,想清楚自己選擇培訓的目的是啥,先試聽再決定是否加入,畢竟錢難賺,父母的錢更不易,且用且珍惜。
2、眼高手低
安全圈算是互聯網里比較小的一個群里,這個群體在用戶眼里還是很神秘的,比如大家都知道黑客、病毒這類詞語,對于安全從業者的認識也是從新聞中一些 xxx 黑客入侵了 xxx、哪些電腦中了 xxx 病毒,電腦卡、文件被鎖等等,在圈子里,存在一個順口溜:唬得住 50k、唬不住 5k,解釋一下就是在找安全工作的時候,面試好了可以要 50k,面試不好可以要 5k,說明安全行業沒有一個好的標準去評判一個人的能力水平,公司企業懂安全的人也比較少,大量的面試官是沒有能力識別安全人員的水平到底怎么樣的。
為什么會說眼高手低呢?因為面試主要看聊的怎么樣,往往你看的資料多,啥都說一說,就能唬住大量的面試官,不可能讓你實戰去搞一個網站,人都是趨于懶惰的,能不動手盡量不動手,能看懂技術文章就認為自己會了,而不去親自實踐,這也是大量的安全初學者喜歡看視頻學習的原因,講師在視頻里搭建環境,測試教學,學員看完就覺得學會了,自己并不會去實踐,然而這種學習方式是非常不可取的,一方面記憶是個問題,用不了多久就忘了,另一方面在自己解決問題的時候,遇到問題發現一臉懵逼,老師就是這么操作的,為啥我會有問題呢?最后還是要自己去研究原理,或者主動搜索解決辦法,解決前輩的經驗。
技術不是理論,看一看就行,技術對于動手能力的要求是非常關鍵的,理論指導實踐,沒有理論你就沒有方向,沒有技術你沒法解決實際問題,我們作為安全技術的人才,實踐動手能力不可缺,能動手就不要光看,別人說的不一定對,相信自己的操作,一定要實操驗證,不能人云亦云,真理是實踐出來的。
3、三心二意
最近一個小伙伴問題,自己在學 web 安全,看到很多公眾號在發內網滲透的技術和文章,又覺得自己內網方面啥都不會,很焦慮,這就是三心二意惹的禍,吃的碗里看著鍋里,在安全初學的時候一定要專注,先把一個領域研究透了,再去擴展其他方面,由淺入深的學習方法是可以復用的,一個方面學深,另一個方向再去學的時候會事半功倍,很容易做好。
安全行業的細分領域太多,每兩年就會出一個新的概念,從最開始的滲透測試、web 安全,內網滲透到現在的紅藍對抗、威脅情報、移動安全、代碼審計、態勢感知等,對于安全初學者而言,最有吸引力的還是滲透和紅藍對抗,因為這兩個方向是攻擊領域的,也是突破權限最有成就感的事情,研究的技術都是最新最有用的,是走在安全技術的前沿的,也是學習和研究人數最多的。
在初學安全的時候,一定會經受各種各樣的誘惑,時間和精力是有限的,如今的人才標準是 T 字型的人才,在一個方向深扎下去,可以體現自己的能力,然后擴展知識面,可以在多個領域發揮自己的作用,這樣的人才是所有公司都想要的人才。
總結
關于學習這個事兒,每個人都有自己想法,沒有一個通用的學習方法適合所有的人,我們能做的就是分享自己的一些想法和經驗,希望可以幫助一些目前正在面臨一些選擇和迷茫的同學,如今加入信安之路核心群的小伙伴也有八百多位了,這些人有一個共同的特點就是自學能力強,踏實肯學,努力進取,雖然群里沒人說話,但是我相信大家都在努力成長,為安全圈做自己力所能力的事情,成就自己的同時幫助他人。
