职位描述:
  1. 负责安全服务项目中的实施部分,包括:漏洞扫描、渗透测试、安全基线检查、代码审计、应急响应等;
  2. 爆发高危漏洞后时行漏洞的分析应急;
  3. 对公司安全产品的后端支持;
  4. 掌握专业文档编写技巧;
  5. 关注行业态势和热点。
  6. write by:sec_qiaoy
 
职位要求:
  1. 有较强学习能力,能快速学习新的技术;
  2. 熟悉风险评估、应急响应、渗透测试、安全加固等安全服务;
  3. 熟悉常见黑客攻防方法;
  4. 掌握一门编程语言;
  5. 具有良好的语言表达能力、文档组织能力。
  6. write by:sec_qiaoy
 
学习路线:
  • 3周
    
    安全概念和资讯
    前期安全知识的补充学习。
    熟悉基本的安全术语和概念(SQL注入、上传漏洞、XSS、CSRF、一句话木马、渗透测试、应急响应、风险评估、等级保护等);
    阅读OWASP TOP 10 从漏洞分类和漏洞成因寻找安全漏洞的切入点 Link ;
    阅读经典的网络安全相关书籍 Link ;
    安全资讯来源:Secwiki、Reddit、Twitter、Weibo、Wooyun、Freebuf、91ri等。
    write by:sec_qiaoy

     

  • 2周
    
    安全工具使用
    熟悉常用的安全测试工具和自家的产品。
    综合漏洞扫描工具的安装使用:Nessus、X-scan、Nexpose等;
    Web漏洞扫描的工具的安装使用和漏洞验证:AppScan、AWVS、WebInspect等;
    辅助工具的安装和使用:Nmap、Burp Suite、Sqlmap、wireshark、iptables等;
    辅助脚本的收集和修改:各种漏洞利用的Exploit、定制化高的扫描脚本、字典等;
    自家安全设备策略部署和使用。

     

  • 3周
    
    渗透测试
    熟悉渗透测试报告的格式和内容。
    渗透测试流程:《渗透测试授权书》规定渗透时间和范围、《渗透测试免责书》描述渗透测试可能带来的危害、规定时间实施渗透测试,输出《渗透测试报告》,指导甲方进行漏洞修复;
    大多数情况下,渗透测试质量中技术能力占40%,报告书写占60%,必须熟练掌握各种word、exel基本功能;
    具体的技术细节、工具使用可参考老美的PTES渗透测试指南 Link。

     

  • 3周
    
    安全基线检查
    学习安全业务与系统操作。
    不同的客户,不同的业务系统,有不同的安全基线文档,大致分类无外乎几种:从账户、授权、补丁、日志、冗余端口和服务等层面对主机系统、中间件和数据库进行配置[检查];
    阅读外网流出的各家厂商的安全基线检查内容,如:运营商-移动 Link ;
    掌握不同版本的配置方法和配置项,可自行安装系统、中间件、数据库进行实操。

     

  • 5周
    
    应急响应
    学习渗透实战,并了解应急响应流程。
    应急响应流程可分为两类:实时性应急响应和入侵后应急响应;
    实时性应急响应:大多为DDOS攻击,首要进行流量分析,若流量打满,能做的就是反查攻击IP,逆向渗透;若网络设备会话数被打满或者主机系统的CPU、内存、会话数被打满,可通过交换机做端口镜像,使用wireshark、tcpdump进行抓包,分析流量特征,确认攻击类型,在网络设备或安全设备上做相应阻断策略;
    攻击后应急响应:通过分析恶意文件和日志,查找入侵来源IP和入侵者所利用的漏洞,提出漏洞修补方案,并逆向追踪入侵者;
    应急响应对工程师的要求较为复杂,需多熟悉不同操作系统、应用、中间件、数据库特性,且能熟练使用编程语言或者vim等编辑器对较大的日志进行数据整理,还需要日常多多积累各种攻击特征和防护策略;
    多阅读网上已有的应急响应的文档,学习逆向分析思路。

     

  • 5周
    
    代码审计
    学习代码审计流程和实战。
    熟悉代码审计工具的安装使用,可参考SecWiki上的文章 Link ;
    根据工具报告验证问题是否为误报,并跟踪分析;
    参看各大资讯平台、论坛、旧杂志的文章,学习白盒分析思路;
    Exploit编写。

     

  • 3周
    
    安全边界建设
    学习安全边界检查工作的流程和内容。
    安全边界检查的工作重点可总结为:根据是各个信息区域否需要外网接入、是否需要访问内部核心网络等行为特点,将信息安全系统划分为边界接入域、网络基础设施域、计算机安全域、运维管理域,并对现有网络是否有按照该标准做相应的安全域划分,或判断其划分是否合理;
    可参考规范:IATF Link。

     

  • 3周
    
    安全规范
    学习国标和行业规范。
    除去技术细节了,尚有不少风险评估和等级保护测评的工作,直接读规范有助对项目全局的把控;
    国标规范有: 
    《信息系统安全等级保护基本要求》;
    《信息安全风险评估规范》;
    行业规范有: 
    《网银121号文》 ;
    《中国银联移动支付技术规范》等等;