paint-brush
你不是一个人学习:网络安全初学者的结构化指南经过@davidecarmeci
13,619 讀數
13,619 讀數

你不是一个人学习:网络安全初学者的结构化指南

经过 Davide Carmeci12m2023/11/11
Read on Terminal Reader

太長; 讀書

深入了解全面的网络安全指南,涵盖适合初学者的实践培训、指导的重要性以及免费工具列表。无论您是新手还是正在进步,本指南都可确保您为不断发展的数字安全环境做好准备。
featured image - 你不是一个人学习:网络安全初学者的结构化指南
Davide Carmeci HackerNoon profile picture
0-item



作为一个没有技术背景的局外人加入网络安全领域对我来说是一次变革的旅程。这个行业立即让我着迷的是它不懈的步伐和不断提出的令人兴奋的挑战。在与该领域的专业人士互动时,他们对真正表现出学习意愿的新人的大力支持令我感到鼓舞。然而,我很快发现了一种普遍的观点:人们普遍期望新人能够独立自学。这可能是一个令人畏惧的期望,特别是考虑到许多潜在的网络安全初学者并不是天生的自学者。虽然天生的好奇心无疑是一种宝贵的特质,但必须认识到,许多人,即使是那些具有巨大潜力的人,也需要一个结构化的框架来将他们的第一步迈入这个广阔的领域。


近年来,在填补行业人才缺口方面取得了重大进展。然而,根据ISC2网络安全劳动力研究,截至2023年,全球网络安全领域新增了44万个就业岗位(同比增长8.7%),但仍有惊人的400万个职位空缺(同比增长12.6%) 。这种巨大的差距是由于雇主对有经验的专业人员的需求与现实世界中此类专业知识的短缺之间的脱节造成的


解决人才短缺的办法在于关注潜在网络安全专业人员职业生涯的早期阶段,特别是年轻学生。作为一个社区,我们必须为年轻人提供他们所需的工具,以探索网络安全作为可行的职业选择。关键是提供结构化、实用且易于理解的学习路径。以下是有关如何执行此操作的一些步骤和示例。


NIST-NICE 等研究框架

NIST-NICE 框架将网络安全工作分为七个高级类别:分析、收集和操作、调查、操作和维护、监督和治理、保护和防御以及安全提供。每个类别进一步分为专业领域和工作角色,为职业发展提供全面的路线图。

表 1:NICE 框架工作角色类别

类别

描述

工作角色数量

安全配置 (SP)

构思、设计、采购和/或构建安全 IT 系统。负责系统和/或网络开发的各个方面。

11

操作和维护 (OM)

提供必要的支持、管理和维护,以确保有效且高效的 IT 系统性能和安全性。

7

监督和治理 (OV)

提供领导、管理、指导或发展和宣传,以便组织可以有效地开展网络安全工作。

14

保护和捍卫(PR)

识别、分析和减轻对内部 IT 系统和/或网络的威胁。

4

调查(IN)

调查与 IT 系统、网络和数字证据相关的网络安全事件或犯罪。

3

分析(AN)

对传入的网络安全信息进行高度专业化的审查和评估,以确定其对情报的有用性。

7

收集和运营 (CO)

提供专门的拒绝和欺骗操作以及可用于开发情报的网络安全信息的收集。

6


该表展示了网络安全领域的广泛角色。通过了解这些类别,初学者可以更好地定位自己,以获得更量身定制和更明智的职业轨迹。

要全面了解 NIST-NICE 框架并访问为初学者量身定制的大量资源,可以访问 NICE 的入门资源中心

目标是探索网络安全的各个方面,并确定热情与熟练程度的交叉点。由于网络安全是一个动态领域,个人总是有调整、学习和发展的空间。


与真正的黑客成为朋友

网络安全社区非常支持新人。即使是经验丰富的专业人士也常常愿意分享技巧和建议,并且对于初学者来说非常容易理解。结识这些人的秘诀是参加现场活动。


现场活动中的实时互动提供了自发的问题、讨论和更深入理解的可能性。这不仅仅是沉浸在知识中;这也与网络有关。这些场所是建立有意义的联系的绝佳机会,有可能带来指导、工作安排,甚至合作项目。此外,许多此类聚会都有现场挑战或实践研讨会,与会者通常可以在专家的指导下将理论付诸实践。


这就是为什么参加现场活动对网络安全爱好者如此有益:


  • 技能演示:直接参与挑战或研讨会,实时磨练技能。
  • 保持更新:网络安全不断发展。参与可能尚未影响到更广泛的在线社区的新鲜、前沿的讨论。
  • 道义支持:与同行分享经验和挑战。知道其他人面临类似的挑战是令人欣慰和激励的。


说到场地,一些平台和组织脱颖而出:


  • OWASP (开放 Web 应用程序安全项目):以其对 Web 漏洞的洞察而闻名,其全球分会定期举办会议和研讨会。
  • BSides :这些社区驱动的活动为讨论和学习提供了更舒适、更亲密的环境。
  • DEF CON :黑客大会之一,对于热衷于深入研究黑客和网络安全的人来说,这是一个绝佳的场所。

当计划参加时,这里有一些提示:


  • 积极参与:不要只是被动的参与者。参与、询问、讨论!
  • 准备:仔细查看活动日程,记下感兴趣的会议,并研究演讲者。
  • 追问:你和一些有趣的人有联系吗?在活动结束后给他们写一封感谢信或一条简单的消息。这可能是一段宝贵关系的开始。

因此,如果您的目标是加深网络安全知识和网络,参加此类活动可能会成为您通向下一个重大机会的垫脚石。


参加 CTF 挑战赛和黑客马拉松

夺旗 (CTF) 挑战赛是参与者解决从密码学到 Web 应用程序漏洞等网络安全难题的竞赛。这些挑战为初学者提供了解决现实世界网络安全问题的实用经验。例如,DEF CON CTF 活动每年都会吸引全球观众,并提供适合所有技能水平的谜题。

参与 CTF 挑战与 NIST-NICE 框架中概述的几个领域直接相关:


  • 分析 (AN):破译 CTF 中的密码难题可以提高与分析类别相关的技能,在分析类别中,人们可以评估传入的网络安全信息。

  • 保护和防御 (PR):在 CTF 期间解决漏洞可增强参与者识别、分析和减轻 IT 系统威胁的能力,与保护和防御类别密切相关。

  • 调查 (IN):一些 CTF 涉及取证挑战,与调查类别一致,即检查与 IT 系统相关的网络安全事件或犯罪。

  • 安全配置 (SP):解决参与者必须保护或强化系统的挑战,这反映了安全配置类别,强调安全 IT 系统的设计和创建。


通过沉浸在 CTF 中,初学者不仅可以获得宝贵的实践经验,还可以根据 NICE 框架更好地了解他们可能感兴趣的不同角色和领域。它提供了一种切实有效的方式来探索和深化特定的网络安全能力。


加入错误赏金活动

在漏洞赏金活动中,公司激励道德黑客发现并报告其系统中的漏洞。这种做法在领先的技术公司中越来越普遍,实现了全球独立安全研究人员库的价值。例如,谷歌、Facebook、苹果、微软和 Twitter 等科技巨头都推出了自己的漏洞赏金计划,鼓励道德黑客识别并负责任地披露其平台中的潜在安全缺陷。通过提供这些活动,这些组织不仅增强了其系统的安全性,而且还与网络安全社区建立了共生关系。例如:


  • Google 的漏洞奖励计划 (VRP) 奖励发现 Google 产品和服务中的安全漏洞的研究人员。他们的奖励金额从 100 美元到超过 30,000 美元不等,具体取决于缺陷的严重程度和受影响的产品。在一些特殊情况下,甚至会给予更高的奖励。 Google 的 VRP 在确保 Google Chrome、Android 和 Google Cloud Platform 等产品的安全方面发挥了重要作用。
  • Apple 的安全赏金计划邀请安全研究人员寻找 iOS、macOS 和其他 Apple 软件中的漏洞。奖励金额可能相当可观,最关键问题的奖励高达 100 万美元。这体现了苹果对用户隐私和安全的承诺。

Bugcrowd、Hackerone 和 Intigrity 等平台也简化了流程,充当道德黑客与组织(包括那些可能没有 Google 或 Apple 等独立程序的组织)之间的中介。一旦发现漏洞并通过这些平台或直接向拥有既定计划的公司报告,就会经历验证过程。如果得到验证,研究人员可以获得经济奖励、认可或两者兼而有之。


注重以实践为主导的培训

对于初学者,有基于网络浏览器的实验室。这些实验室允许用户直接在浏览器中在受控环境中进行练习。虽然方便且易于访问,但这些平台可能无法完全复制现实世界系统的复杂性和复杂性。它们是很好的入门工具,但随着用户在网络安全之旅中取得进展,他们可能会发现它们的挑战性较小。


另一方面,存在需要 VPN 访问的虚拟化环境。这些平台提供的环境与实际公司基础设施几乎相同。虚拟化场景经过精心设计,可以模拟现实世界的网络、服务器和工作站。当用户通过 VPN 连接时,他们感觉自己仿佛真正处于运营网络中,从而提供了基于 Web 浏览器的实验室可能缺乏的真实性。这种类型的环境允许对工具、策略和程序进行更深入的探索,有效地培训参与者应对真正的网络安全威胁。这些环境中的严格培训可确保参与者做好工作准备,并充分准备好应对他们在网络安全职业生涯中可能面临的多方面挑战。


通过体验这两种类型的培训,考生可以了解网络安全挑战的复杂性,并更好地磨练自己的技能,成为高效的专业人士。

以下是针对初学者的免费或负担得起的实用网络安全培训资源列表:


  • 线上:提供一系列战争游戏,旨在教授从基础知识到高级概念的安全原理。对于想要学习 Linux 命令和简单渗透测试技术的初学者来说,这是一个很好的起点。


  • 扎根我:该平台提供超过 300 个跨不同领域的挑战,帮助用户提高黑客技能。它提供了一种学习网络安全、Web 应用程序安全等知识的实践方法。


  • 斯威格港学院:该学院由 Burp Suite 的创建者开发,提供免费的 Web 安全实践培训。它涵盖了从基本到高级 Web 漏洞的广泛主题。


  • PWNX.io :提供适合初学者的课程,搭配基于 VPN 的真实培训体验,模拟真实的网络安全场景。


  • PWN学院:主要为学生学习网络安全而设计的平台。它提供适合不同技能水平的教育模块。


  • 尝试破解我:一个在线平台,通过实践虚拟实验室帮助学习网络安全。它的游戏化挑战范围从最基础的到更高级的,适合所有技能水平的用户。


  • 破解盒子:提供各种网络安全实验室和挑战的平台。虽然它确实满足了所有技能水平的用户的需求,但有些挑战可能非常高级,这对于那些希望超越基础知识的人来说是理想的选择。


  • 中医安全: TCM Security 提供自定进度的网络安全课程,涵盖渗透测试、安全培训和合规性等主题。此外,他们提供的认证在行业中越来越享有盛誉。


上述资源只是网络安全社区中受到关注和赞赏的许多工具和平台的一个快照。网络安全培训的领域非常广泛,有价值的资源列表远远超出了此处提供的范围。此外,还有许多在线可用的开源项目和其他内容,有助于增强个人的学习之旅。


我将在下一段中详细介绍专门的论坛和网站,它们对于发现其他社区成员的评论或反馈非常宝贵。这种反馈可以让我们深入了解不断发布的新资源的质量。


利用社交媒体和论坛寻找导师

在广阔的网络安全领域,经验丰富的人的指导可以发挥重要作用。像 LinkedIn 这样的平台尤其有益,不仅对于建立人际网络,而且对于寻找潜在的导师也非常有用。通过仔细查看个人资料、加入相关团体并积极参与讨论,您可以展示您的渴望并吸引愿意指导新人的经验丰富的专业人士的注意。


Discord 是一个最初为游戏玩家创建的平台,现已发展成为各种专业社区的中心。


专业论坛和网站进一步扩大了机会:


  • Reddit 的网络安全社区:诸如此类的平台 Reddit 的网络安全 网络安全Reddit 子版块里挤满了专业人士和爱好者,讨论最新的安全趋势、挑战和解决方案。这 网科学生subreddit 专为学生和初学者设计,为查询和指导提供了一个培育空间。

  • Wilders 安全论坛:深入讨论有关在线隐私、安全和数据保护的讨论 维尔德斯安全论坛。大量的主题和帖子意味着一个专门的社区,使其成为所有网络安全相关主题的宝贵资源。

  • MalwareTips 和 Antionline 论坛:类似网站 恶意软件提示 安网是充满活力的社区,人们可以在其中深入讨论安全的各个方面,从恶意软件威胁到网络安全。

  • Bleeping Computer 和 Spiceworks 社区:诸如此类的论坛 电脑发出蜂鸣声 Spiceworks 安全论坛致力于全面的安全相关讨论,从防火墙和 VPN 到密码管理器和恶意软件攻击。

  • Hacklido:一个独特的平台, 哈克利多是最聪明的黑客聚集在一起分享知识、经验和指导的地方。它是实践见解和现实世界示例的丰富来源。


通过积极参与这些论坛和社区,人们不仅可以扩展知识,还可以建立有意义的联系。当您参与并做出贡献时,遇到认可您的热情和奉献精神的潜在导师的机会就会大大增加。请记住,网络安全指导不仅仅是学习诀窍;还包括学习技巧。它涉及指导、反馈和理解快速发展的数字保护世界的细微差别。


利用免费工具

当您踏上网络安全之旅时,熟悉大量可用的免费工具至关重要。这些工具得到了该领域专业人士的广泛认可和使用,可以显着增强您的学习体验:


  • 线鲨:

    • 描述: Wireshark 是一款开源数据包分析器,允许用户在微观层面查看网络上发生的情况。它广泛用于网络故障排除、分析、软件和通信协议开发以及教育。
    • 资源:该工具附带一系列 官方文档和指南帮助新手掌握其功能。
  • OWASP ZAP(Zed 攻击代理):

    • 描述: ZAP 由 OWASP(开放 Web 应用程序安全项目)开发,是一款免费、开源的 Web 应用程序安全扫描器。它有助于在开发和测试 Web 应用程序时发现 Web 应用程序中的安全漏洞。
    • 资源:新用户可以从该工具中受益 官方文档以及各种社区贡献的指南。
  • Metasploit 社区版:

    • 描述:该版本是 Metasploit 项目的一部分,是一个免费的渗透测试工具,可帮助验证漏洞和管理安全评估。它有助于发现、分析和利用漏洞。
    • 资源: Metasploit 提供了大量 教程和用户指南用于各种功能。
  • 哼哼:

    • 描述:作为开源网络入侵防御系统(NIPS)和入侵检测系统(IDS),Snort 擅长执行实时流量分析和数据包记录。
    • 资源:初学者可以在以下位置找到大量文档和用户社区 斯诺特官方网站
  • OpenVAS(开放漏洞评估系统):

    • 描述: OpenVAS 是一款功能齐全的漏洞扫描程序,附带大量测试并提供最新漏洞的更新。它有助于识别系统和应用程序中的问题。
    • 资源: OpenVAS 社区提供了 一套全面的文档支持新用户理解并最大限度地发挥该工具的功能。
  • 卡利Linux:

    • 描述: Kali Linux 是一个基于 Debian 的 Linux 发行版,面向高级渗透测试和安全审计。它预装了数百个集成安全工具,使其成为网络安全社区的主要产品。
    • 资源:对于 Kali 新手来说, 官方文档提供全面的指导,从安装到使用其大量工具。


利用这些工具的功能不仅可以让初学者对各种网络安全领域有实际的了解,还可以提供对抗潜在威胁的实践方法。请记住探索每个工具的相关文档和教程,因为它们通常拥有丰富的知识和最佳实践。


未开发的潜力和指导的需要

虽然有些自学者能够自己将各个点连接起来,但大量崭露头角的人才尚未成为网络安全生态系统的一部分,主要是因为他们缺乏初步指导。通过提供有针对性和实用的指导,我们可以帮助新一代网络安全专业人员铺平道路,准备好迎接这个快速发展的领域所提供的挑战和机遇。


结构化学习可以通过多种方式实现,本指南旨在提供一种替代视角,该视角来自非传统网络安全专业人士,他们有独特的机会向真正的黑客学习。