网络安全初学者指南（一）

原文：annas-archive.org/md5/c75a6452851bfd3df5256efcaba9bbe7

译者：飞龙

协议：CC BY-NC-SA 4.0

序言

有两种类型的组织：一种是知道自己已经遭到攻击的，另一种是不知道自己已经被攻击的。几乎每天都有关于某家公司被攻击的新闻，无论它们的规模如何。

另一方面，独立的研究机构，如 Gartner；财富公司，如微软和思科；受人尊敬的杂志，如《福布斯》；全球非营利组织，如 ISACA；政府机构；以及招聘人员，今天都在谈论网络安全技能短缺问题，他们估计人才差距已经达到了数百万。许多组织和个人都热衷于弥补这一差距。虽然资源非常碎片化，但互联网上可能有无尽的资源。你会发现许多书籍和视频提供了开始学习网络安全所需的基本要点，但没有一个能从 A 到 Z 提供关于初学者需要了解的内容、需要关注的核心技术、为什么需要有导师、如何建立人脉、可以参加哪些认证考试、如何找到所需资源以及最后如何找到工作的全面指导。

再次强调，没有任何资源能提供业内知名专家或招聘经理关于初学者应做什么的建议和建议。

本初学者指南探讨了与网络安全相关的深度技术内容；然而，它也提供了如何成为网络安全专家的实际指导。

尽管本书被称为初学者指南，但它也为那些希望转行进入网络安全领域的专业人士提供了大量信息。

本书适用对象

本书面向任何希望进入网络安全领域并探索其各种细节的人。通过来自行业的实际建议，本书对从初学者到职业转换者的每个人都有益处。

本书内容简介

第一章，网络安全的重要性，重点讲解了网络安全的重要性，并帮助任何想成为网络安全专业人士的人理解他们需要具备的能力。

第二章，安全演变——从传统到先进，再到机器学习和人工智能，讨论了网络安全的演变以及网络安全与机器学习和人工智能的融合未来。

第三章，学习网络安全技术，介绍了你需要学习的内容，以成为网络安全专业人士，并列出了当前就业市场中所有可行的路径。

第四章，我们为网络安全职业所需的技能，研究了就业市场，找出了组织所招聘的网络安全职位以及你可以学习的、帮助你转行或在网络安全领域发展职业的热门技能。

第五章，攻击者思维，探索了攻击者的特征以及他们的思维方式，揭示了是什么驱动黑客。

第六章，理解反应性、主动性和运营安全，介绍了什么是反应性、主动性和运营网络防御，安全的支柱是什么，以及如何为自己和公司选择最佳技能。

第七章，网络、导师与影子学习，讨论了这三项对你职业生涯至关重要的要素。

第八章，网络安全实验室，介绍了自我评估和学习技能、帮助你快速提升技能的方法，以及一些帮助你搭建自己实践实验室的关键资源。

第九章，知识检查与认证，讨论了为什么需要认证，以及如何根据作者和本书贡献专家的真实经验，选择合适的地方和认证进行学习，因为有太多的选择。

第十章，安全情报资源，重点介绍了现有的安全情报资源，这些资源可以公开和商业化地使用，以帮助组织提高安全标准。作为网络安全领域的初学者，这些信息将从加速学习的角度来看非常有用。

第十一章，关于如何入门网络安全的专家意见，汇集了来自牛津大学、查尔斯·斯图尔特大学等学术机构的贡献，以及来自微软、FireEye、SAP、Keepnet Labs 等领域专家的意见，还有罗切斯特理工学院等培训机构的分享，以及私营企业 Cqure 和 Dimension Data 的专家。在这一章中，他们分享了自己进入网络安全领域的历程、所采取的步骤、接受的培训以及如何保持技能敏锐的建议。此外，他们中的一些人还分享了在招聘人才时，自己看重的技能。

第十二章，如何在网络安全领域找到工作，无论你的背景如何，介绍了如何在网络安全领域找到工作的技巧和窍门。这包括面试技巧、招聘人员的工作方式以及财富 500 强公司如何招聘。这一章将理论与实践结合了起来。

从本书中获取最大收益

仔细阅读，决定你要选择的路径，并参考专家的建议。无论你是网络行业的新手，还是已有一定 IT 经验，本书都提供了你在网络安全行业取得成功所需的一切。

下载彩色图片

我们还提供了一份 PDF 文件，其中包含本书中使用的截图/图表的彩色图片。您可以在这里下载：www.packtpub.com/sites/default/files/downloads/9781789616194_ColorImages.pdf。

使用的约定

本书中使用了若干文本约定。

CodeInText：表示文本中的代码词汇、数据库表名、文件夹名称、文件名、文件扩展名、路径名、虚拟 URL、用户输入和 Twitter 用户名。例如：“为了计算您的x位数据是多少 MB，您需要使用四个基本操作，而在对日志数据进行分类时，您可以使用判别函数。”

粗体：表示一个新术语、重要词汇，或是您在屏幕上看到的词汇。例如，菜单或对话框中的文字会以这样的方式显示。举个例子：“您可以点击 Start SSL test 按钮来开始测试。”

警告或重要提示会以这样的方式出现。

提示和技巧会以这样的方式出现。

联系我们

我们始终欢迎读者的反馈。

一般反馈：如果您对本书的任何内容有疑问，请在邮件主题中提到书名，并通过 customercare@packtpub.com 与我们联系。

勘误表：尽管我们已经尽力确保内容的准确性，但错误仍然有可能发生。如果您在本书中发现错误，我们将非常感激您能向我们报告。请访问 www.packt.com/submit-errata，选择您的书籍，点击“勘误提交表单”链接，并填写相关细节。

盗版：如果您在互联网上遇到我们作品的任何非法复制版本，感谢您能提供该内容的地址或网站名称。请通过 copyright@packt.com 联系我们，并提供相关链接。

如果您有兴趣成为作者：如果您在某个领域有专业知识，并且有兴趣撰写或参与编写书籍，请访问 authors.packtpub.com。

评论

请留下评论。一旦您阅读并使用了本书，为什么不在购买的站点上留下评论呢？潜在读者可以通过您的公正意见来做出购买决定，我们 Packt 可以了解您对我们产品的看法，作者也能看到您对其书籍的反馈。谢谢！

获取更多关于 Packt 的信息，请访问 packt.com。

免责声明

本书中的信息仅供道德使用。如果您没有设备所有者的书面许可，请勿使用书中的任何信息。如果您进行非法行为，可能会被逮捕并依法起诉。如果您滥用本书中的任何信息，Packt Publishing 不承担任何责任。这里的信息必须在获得适当责任人书面授权的测试环境中使用。

第一章：网络安全的重要性

在这个快节奏的行业中，数字化和保持连接扮演着至关重要的角色。这一趋势与基于云的技术和移动技术的迅猛发展相辅相成。“为什么关注安全？”这一问题已经从仅仅是安全团队的讨论，转变为董事会会议的议题，且不仅仅止于此。这已经成为今天行业中的热门话题。我们周围的每个人，无论是在工作场所还是其他地方，都在以某种方式谈论安全问题。安全不再仅仅是 IT 管理员或 IT 组织中安全管理员的需求，而是所有与任何类型数据有某种联系的实体的需求。

网络安全的重要性，顾名思义，将是本章讨论的核心，我们将重点关注以下内容：

• 泄露历史

• 保护网络和应用程序的重要性

• 威胁环境

• 安全如何帮助

数据泄露的历史

关于黑客攻击的普遍看法是，它始于几十年前。然而，实际上，黑客行为早在那之前就已经存在，追溯到 1834 年，几乎有两个世纪的历史。从历史上看，黑客行为在 1836 年曝光，当时两名参与此行为的人被抓获。在 1700 年代末期，法国实施了其国家数据网络，用于在巴黎和波尔多之间传输数据，当时这是独一无二的。该网络基于机械电报系统，构建了一个由物理塔楼组成的网络，每个塔楼顶部配备了一套独特的可动臂系统。

塔楼操作员会使用这些臂的不同组合形成可以通过望远镜从远处塔楼读取的数字和字符。数字和字符的组合会从塔楼传递到塔楼，直到传达到远端。因此，政府实现了一种更高效的数据传输机制，从而节省了大量时间。有趣的是，所有这些都发生在公开的场合。尽管这些组合经过加密，并且需要经验丰富的电报操作员才能解码最终传递的消息，但风险始终潜伏在周围。以下图片展示的就是其中一座塔楼：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/c9fb95ce-68fb-436f-96ff-46acf72078ac.png

图 1：克劳德·夏佩（Claude Chappe）光学电报的复制品，位于德国纳尔巴赫附近的利特蒙特（Litermont）（照片由 Lokilech CC BY-SA 3.0 提供）

这一操作被两位银行家观察到，分别是弗朗索瓦·布朗和约瑟夫·布朗。他们曾在波尔多的交易所进行政府债券交易，正是他们想出了一种黑客手段，通过贿赂几名电报操作员来污染数据传输，在其中加入当前市场状况的指示。通常，债券表现相关的信息需要几天才能通过正常邮件到达波尔多，但由于这次黑客攻击，他们能够提前收到同样的信息，而比波尔多交易所接收到的时间要早得多。在正常的传输过程中，操作员会加入一个回退符号，表示需要避免上一个字符并将其视为错误。银行家们支付给其中一名操作员，让他故意加入一个预定字符，表示前一天的交易表现，以便他们能够根据市场的变动做出买卖债券的决策。这个额外的字符并没有影响政府发送的原始信息，因为它本应被远端电报操作员忽略。但这个额外的字符会被另一位曾是电报操作员的人注意到，这位操作员由银行家支付，通过望远镜观察并解码它。此外，布朗兄弟并不关心整个消息，他们所需要的只是与市场变动相关的信息，而这正是通过这段额外的无效信息获得的。布朗兄弟凭借市场变动的优势，继续实施这一行为长达两年，直到 1836 年他们的黑客行为被发现并被捕。你可以在www.thevintagenews.com/2018/08/26/cyberattacks-in-the-1830s/了解更多此类攻击的信息。

这种攻击的现代等价物可能是数据污染、中间人攻击、网络滥用、攻击或社交工程。然而，最显著的相似之处在于，这些攻击常常在被发现之前，长时间甚至数年内无人察觉。这在当时是如此，今天依然如此。不幸的是，布朗兄弟未能被定罪，因为当时并没有相关法律可以起诉他们。

也许与今天的网络攻击相比，布朗兄弟的黑客行为并不那么创新，但它确实表明了数据始终处于风险之中。而随着数据在各种形式、操作和传输机制（网络）中的数字化，攻击面现在已经非常庞大。现在，保护数据、网络和计算机基础设施的安全，已经成为组织和个人的责任。

让我们再快进 150 年，来到 20 世纪 80 年代末。这时，世界见证了第一个计算机病毒——Morris 蠕虫。尽管蠕虫的创始人 Robert Tappan Morris 否认它是有意造成计算机伤害的，但它确实影响了数百万台计算机。Tappan 编写了一个自我复制的实验性程序，旨在衡量网络世界的广度，该程序会自动从一台计算机跳到另一台计算机。

这个病毒是由 Morris 注入互联网的，但令他惊讶的是，这个所谓的蠕虫传播的速度远超他预期。很快，在接下来的 24 小时内，至少有 10%的联网机器受到影响。此后，病毒被目标指向了 ARPANET，一些报告表明，当时联网的计算机大约有 60,000 台。这个蠕虫利用了 Unix 邮件程序sendmail中的一个漏洞，sendmail通常等待其他系统连接邮件程序并发送邮件，还利用了fingerd守护进程中的一个漏洞。该蠕虫感染了许多站点，包括大学、军方和其他研究设施。来自多所美国大学的程序员团队不间断地工作了数小时才找到修复办法。又过了几天，才恢复到正常状态。几年后，在 1990 年，Morris 因违反计算机欺诈与滥用法案被法院定罪；与 Blanc 兄弟事件时没有法律可供起诉不同，这次有了相关法律。

快进到 2010 年，再过二十年，世界见证了一个曾经无法想象的事件：一个高度协调的努力，旨在创造一款专门为攻击伊朗核设施而设计的软件，Yes Software。它是专门为工业控制系统（ICS）设计的，目标是西门子生产的某种特定品牌和型号的 ICS，这种设备用于核设施中控制离心机的速度。据信该软件是为了现场交付而设计的，因为目标伊朗设施是隔离的（air-gapped）。这是一起前所未有的工业网络间谍行为。恶意软件被特别设计为不会离开核电站设施。然而，不知怎么的，它还是通过某种方式进入了互联网，至今仍然有人对其传播方式存在猜测。研究人员在发现该恶意软件后花了数月时间才弄清楚其工作原理。据推测，它至少需要几年时间才能开发成一个完全可用的工作模型。继 Stuxnet 之后，我们见证了许多类似的攻击模式，如 Duqu 和 Flame，一些领域专家认为，这些类似的恶意软件至今仍然活跃。

目前，我们看到有极为新型的攻击变种，它们有着新的作案手法。这些攻击方式通过使用勒索软件来赚取资金，或是窃取数据然后试图出售或销毁数据。或者，他们利用受害者的基础设施运行加密货币矿工恶意软件来挖掘加密货币。今天，安全问题已经成为焦点，这不仅仅是因为每个实体的攻击面都在增加，或者成功的高调大规模攻击已成为常态，更因为我们每个人都意识到无论你是否是目标，保护数据的重要性是至关重要的。

安全场景

为了让它更加直观和简单，我们将在接下来的章节中讨论一些场景，来阐述安全性需求：

• 场景（一般组织）：试着想象一个拥有标准数字化和 IT 功能的组织，以满足其业务需求。作为一个组织，确保你所使用的数字化和 IT 基础设施始终运行并保持在线是非常重要的。同时，组织有责任保障你所涉及的身份、数据、网络、设备和产品的安全。数字化如今已经成为所有企业和组织的常态。数字化带来了连接性以及各种不同技术的混合，这些技术共同工作以实现组织设定的业务目标。随着数字化程度的提高，连接性的水平也在增加，无论是在组织的边界内还是边界外。这种连接性同样对组织的安全性构成了风险（我们将在后续章节进一步讨论这一点）。

数字化和连接性大致可分为三个宏观方面，即：身份（我们通过它允许用户进行互动）、数据（个人、业务、个人或系统数据）和网络（连接部分）。此外，我们还不能忘记将这些要素整合在一起的因素，即：设备、解决方案以及各种业务流程和应用程序。今天，任何组织都需要通过身份来控制查看、修改或处理数据，或访问业务应用程序/系统所需的访问级别。组织必须保护这些身份，这已成为事实上的要求。你还需要采取适当的措施来保护你所处理的数据，无论是静态数据、传输中的数据，还是计算中的数据。而且，网络边界，无论是物理的还是云端的，都必须通过适当的措施和控制来确保安全。这个场景是为了设定上下文；我们将在接下来的章节中进一步讨论这些方面。

• 场景（万物皆向云端迁移）：随着大多数组织快速向云迁移，对更高处理能力和更低运营成本的需求不断增加。云作为一种技术，在需要时为企业提供了更多的可扩展性。而且，随着每个企业的全球影响力不断扩大，协作需求变得更为重要，而云使得这一点成为可能。如今，员工更倾向于远程工作，从而消除了对办公基础设施的需求。云计算的另一个重要好处是，它减轻了 IT 部门的负担，不必时刻跟踪软件和硬件组件的新更新和升级。

但是，尽管技术进步确实带来了更多的控制、速度、能力、准确性、弹性和可用性，它们也带来了安全隐患和风险。云计算在安全问题上也不例外，如果没有正确实施或使用，可能会暴露出风险。云的最大优势是，组织能够享受到不拥有任何基础设施或运营的好处。然而，这个优势也带来了安全风险和隐患，例如谁能访问存储在云中的数据，如何维持和管理安全监管要求，以及如何遵守 GDPR 等合规性规定？云计算还使得每个组织的灾难恢复（DR）场景变得更加复杂，因为它取决于服务提供商的条款和条件以及他们围绕数据恢复的商业模式。此外，组织无法控制云服务提供商会在哪里建立数据中心并运营，这引发了数据主权的问题。云端运营面临许多其他挑战和风险，这些将在本书的相关章节中讨论。

理解攻击面

我相信，到现在为止，你已经在某种程度上掌握了安全性及其重要性。那么，让我们来看看什么是攻击面，以及我们如何定义它，因为理解攻击面对于我们制定安全计划至关重要。简单来说，攻击面是所有潜在漏洞的集合，这些漏洞如果被利用，可能会允许未经授权的访问系统、数据或网络。这些漏洞通常也被称为攻击向量，它们可以跨越软件、硬件、网络以及用户（即人为因素）。被攻击或遭到破坏的风险与攻击面暴露的程度成正比。攻击向量的数量越多，攻击面越大，受到攻击的风险也越高。因此，为了降低攻击风险，必须通过减少攻击向量的数量来减少攻击面。

我们时常看到攻击针对应用程序、网络基础设施，甚至个人。为了让你了解攻击面和暴露的程度，首先来看一下常见漏洞和暴露（CVE）数据库（cve.mitre.org/cve/）。该数据库包含 108,915 条 CVE 条目（截至写本章时），这些条目都是过去几十年中已识别的漏洞。虽然其中很多漏洞现在已被修复，但也有一些可能仍然存在。这个庞大的数字表明了暴露风险有多大。

任何在系统中运行的软件都可能通过软件漏洞被远程或本地利用。这一点尤其适用于面向 Web 的软件，因为它暴露在外，攻击面更大。通常，这些易受攻击的应用程序和软件可能导致整个网络的安全性受到威胁，并对其管理的数据构成风险。除此之外，还有一个风险是这些应用程序或软件始终面临的：内部威胁，任何经过认证的用户都可以访问由于访问控制实施不当而未被保护的数据。

另一方面，暴露网络攻击的攻击面可以是被动的也可以是主动的。这些攻击面可能导致网络服务崩溃、暂时无法使用、允许未经授权的数据访问等问题。

在被动攻击的情况下，网络可以被攻击者监控，以捕获密码或获取敏感信息。在被动攻击中，攻击者可以利用网络流量截取敏感系统之间的通信并窃取信息，且用户往往毫无察觉。与此相对，在主动攻击中，攻击者会尝试通过使用恶意软件或其他形式的网络漏洞绕过防护系统，入侵网络资产；主动攻击可能导致数据和敏感文件暴露，甚至可能导致拒绝服务攻击。常见的攻击向量类型包括：

• 社会工程学、诈骗等

• 自动下载

• 恶意网址和脚本

• 基于浏览器的攻击

• 供应链攻击（这一威胁日益增加）

• 基于网络的攻击向量

威胁格局

攻击面还引入了另一个术语——威胁景观。我们在网络安全社区中每天都会讨论这个话题。威胁景观可以定义为已观察到的威胁集合、威胁源的信息以及当前的威胁趋势。每一位安全专业人士都应当时刻关注威胁景观。通常，许多不同的机构和安全厂商会发布此类威胁景观报告，例如ENISA（欧洲网络与信息安全局）和NIST（美国国家标准与技术研究院），以及一些大型安全公司。

此外，威胁景观是一个极其动态的领域，它变化非常频繁，受多种因素驱动，比如利用漏洞的工具的可用性、可利用资源和漏洞的知识库，以及发起攻击所需的技能要求。（由于互联网上自由可用的工具，这变得越来越容易。）在本书的后续章节中，我们将进一步讨论威胁景观资源。以下是 2016-2017 年间不同威胁及其相对排名的列表：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/c7713d6b-f4e1-47c0-8826-e43961297304.png

图 2：ENISA 2017 年威胁景观报告

上述图片展示的是基于 ENISA 报告的 2017 年威胁景观。这引出了一个重要的话题，我们需要了解一些常见的攻击类型：

• 非结构化攻击：这类攻击的特点是攻击者对他们发起攻击的环境没有任何事先的了解。通常，在这种情况下，他们依赖所有可以自由使用的工具。非结构化攻击通常是大规模的，基于任何常见漏洞和现有的利用方式进行的。

• 结构化攻击：与非结构化攻击不同，在结构化攻击中，攻击者的准备更加充分，计划也更为周密。在大多数结构化攻击的案例中，我们注意到攻击者展示了他们在编程方面的高超技能，以及对他们攻击的 IT 系统和应用程序的深入了解。这些攻击通常非常有组织，且大多是针对单个实体或行业垂直领域的。

• 社交工程（钓鱼攻击、矛鱼攻击等）：这种攻击针对的是人类这一最脆弱的环节。在这种攻击中，用户通过各种方式被利用。这些攻击往往因为缺乏知识或无知而成功。攻击者通过各种手段欺骗用户，从用户那里提取信息。最常见的方式是钓鱼攻击和矛鱼攻击。在钓鱼和矛鱼攻击中，攻击者通过冒充看似真实的身份来提取数据，比如冒充管理员帮助用户重置密码和其他账户详情，通过网络门户进行。这些门户专门设计以达到提取数据的目的，攻击者希望收集这些数据。用户容易成为这些攻击的受害者，进而泄露敏感信息。

• 窃听：这种攻击通过未经授权的访问网络并监听网络通信来进行。通常，所有未加密的流量都容易成为攻击者的目标。

• 拒绝服务攻击（DoS 和 DDoS）：这是一种最古老的基于网络的攻击形式，攻击者通过发送大量的数据流，试图超载应用程序或设备的处理或计算能力，使其无法处理，从而干扰系统的正常运行。另一方面，分布式拒绝服务攻击（DDoS）是通过多个来源对单一受害者应用程序或系统发动的大规模攻击，数据量超过系统可以处理的范围。这种攻击如果没有适当的技术手段，是最难以缓解的。

• 中间人攻击（MITM）：在这种攻击形式中，攻击者通过操控服务器和客户端之间的通信，劫持会话或网络，充当代理服务器，通常在受害者不知情的情况下进行。

• 恶意软件：恶意软件可以定义为破坏性软件，旨在通过其创建者的恶意意图对系统造成损害或实现其他目的。大多数情况下，攻击者通过利用计算机系统的安全漏洞或任何弱点，借助恶意软件来获得访问权限。蠕虫和木马是恶意软件的不同形式，它们具有从一台计算机传播到另一台计算机并自我复制的能力。恶意软件可以造成数据盗窃、大规模破坏计算机系统、干扰网络活动，还可以协助企业间谍活动。最新的恶意软件通常具有独特的隐藏能力，能够极其巧妙地避开安全系统和检测机制，并保持活跃状态数周到数年。

• 僵尸网络：当计算机系统感染恶意软件或其他恶意远程工具，并且这些被感染的计算机系统被攻击者远程控制时，这些计算机就被称为僵尸。进一步地，当有许多计算机被这种恶意软件感染并被攻击者控制时，这个由受感染计算机组成的网络或集合就被称为僵尸网络。这种远程机制和控制方法通常被称为*“命令与控制”*。僵尸网络可以被对手用于各种不同的目的，为了实现这些目的，僵尸网络的主控者会不断更新恶意程序的二进制文件。僵尸网络过去通常只专注于单一任务。然而，近年来，它们已经变成了多用途的恶意应用程序。

• 跨站脚本攻击：跨站脚本攻击，通常被称为XSS攻击，是一种利用网页应用程序漏洞的攻击方式，它允许攻击者注入恶意的客户端脚本，并在大多数情况下在用户不知情的情况下危害用户。通常，这些漏洞是由于网页应用程序对输入验证不严格所致。一旦 XSS 脚本被发送给用户，浏览器就会处理它，因为浏览器没有机制来防止 XSS 类型的攻击。XSS 攻击有多种形式。存储型和反射型XSS 攻击非常常见。存储型 XSS 攻击允许攻击者在受害者的服务器上留下永久性的恶意脚本，而反射型 XSS 攻击通常发生在攻击者向用户发送包含恶意查询的特制链接时，用户点击该链接后，会被引导到一个恶意网站，从而捕获用户的敏感数据，并将其发送给攻击者。反射型 XSS 攻击仅在用户点击链接时才会发生。另一种方式是攻击者诱使用户点击该链接。

• 驱动下载攻击：这种攻击形式在互联网中非常常见，并且在过去几年里一直是主要威胁之一。实际上，攻击者会入侵一个知名的无害网站，并通过嵌入恶意链接来托管他们的恶意软件。一旦用户访问这些毫不知情的网站，就会通过自动重定向到恶意软件下载位置而被感染。通常，受感染网站的链接会通过垃圾邮件或钓鱼邮件传播，用户可能出于好奇或不知情点击链接，从而将恶意软件下载到系统中。

• SQL 注入攻击：SQL 注入攻击通常是针对通过网络暴露的数据库。攻击者会通过配置不当的 Web 应用程序执行恶意查询，通常是在数据输入机制中运行 SQL 命令。如果攻击成功，攻击者可以访问数据库、操控敏感数据，或者有时修改数据。SQL 注入还可以允许任意命令远程管理操作系统。这个漏洞之所以成功，主要是因为 Web 应用程序的输入清理不到位，而不是数据库端的原因，因为数据库是按照收到的查询执行并返回结果的。因此，开发人员必须注意输入清理，只接受符合要求的数据输入，并在将其发送到数据库执行查询之前，检查是否有恶意输入。

• 高级持续性威胁（APT）：这种攻击已经存在多年，并且在不断增加。这些攻击的作案手法通常是针对特定的个人、组织、行业领域，甚至国家发起高度定向的攻击。这些威胁被称为*“高级持续性”*，因为攻击者或攻击团队将使用许多先进且隐蔽的技术，以便在很长一段时间内不被发现。通常，攻击和持续的方法是专门为特定攻击设计的，并且从未用于其他攻击。基于 APT 的攻击通常资金雄厚，且大多是由团队推动的活动。APT 攻击的目标通常是知识产权、任何形式的敏感信息、破坏性活动，甚至是企业间谍活动，或者是数据破坏和/或基础设施破坏。APT 攻击与其他形式的攻击完全不同；对手/对手们采取非常有组织的方式来了解他们的目标和他们想要达成的任务，并且他们不会急于发动攻击。攻击基础设施有时非常复杂。攻击者/攻击者的主要目标是尽可能长时间地待在被攻破的网络中，并避免被安全检测发现。APT 的一个显著特点是，它只能影响网络中的某些部分、公司中的某些人，或者网络中仅有几个是重点关注的系统。因此，这使得安全监控系统更难检测到 APT 活动。

• 基于网络的攻击：如其名所示，这些攻击的目标系统主要是那些面向互联网的设备、应用、服务等。实际上，我们可以说，大多数互联网应用都暴露在网络攻击之下。这些攻击不仅仅是通过应用程序中的漏洞和弱点进行的，还可能通过我们访问这些应用程序的媒介进行，比如网页浏览器。多年来，网页浏览器的漏洞利用呈上升趋势。网页服务器一直是对手的一个非常有利可图的目标。常见的攻击形式包括驱动下载或水坑攻击（其中，攻击者通过入侵一个目标/被攻击组织使用的合法网页应用程序，然后等待员工/用户访问该网站，从而使其受到感染）。

• 内部攻击：内部攻击是网络安全中的人类因素，极其脆弱且非常难以追踪、监控和缓解。这个威胁表明，拥有授权访问信息资产的用户会对实体/企业或组织造成伤害。这种攻击有时是无意中发生的，成为攻击的受害者，或者，有时他们就是实施攻击的人。通常，无法主动检测或监控内部威胁；大多数情况下只有在损害已经发生后才能发现。随着高级攻击者尝试利用内部人员获取对组织或企业的访问权限，这一威胁在多年间呈上升趋势。它已经成为政府面临的重大威胁，而且这一趋势日益增长。即使组织拥有一个防弹的网络环境，并且有强大的周界防御，内部攻击仍然被认为是最有效的。缓解内部威胁不仅仅是技术上的实现，组织还需要将社会文化和用户教育纳入其中，教导用户如何处理安全问题并保持警惕。

• 勒索病毒：勒索病毒最近造成了大量损害，成为了一个突出的威胁。勒索病毒的作案手法主要是通过将用户的数据/系统锁定为无法使用，来获得金钱利益。通过利用系统中的现有漏洞和弱点，攻击者入侵系统，然后加密用户系统中的数据。一旦加密，攻击者会要求支付赎金来交换解密密钥。以下截图展示了勒索病毒信息的一个示例：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/34d682b4-34c6-42ef-878f-86f12b95c3a8.png

图 3：勒索病毒信息示例，https://digitalguardian.com/sites/default/files/zdnet.jpg

勒索软件攻击非常危险，因为其机制的特殊性。任何具有一点知识并能使用公开的攻击工具的人，都可以利用这些工具获取访问权限并加密数据。这通常是在大规模上进行的，以通过数量获取更多的利润，而且整个过程是完全自动化的。还有一些暗网组织创建了勒索软件即服务（RaaS），提供生成此类攻击所需的基础设施和工具。如今，勒索软件攻击的目标更多地是组织，比如银行和其他金融机构，以通过破坏其业务并要求支付赎金来获取巨额利润。WannaCry和NotPetya是我们近期看到的两个最具破坏性的勒索软件案例。

其中一个臭名昭著的勒索软件案例甚至采取了使系统无法使用的操作模式，这意味着它不仅加密了系统中的数据，还覆盖了主引导记录（MBR），使得计算机在重启后无法使用。勒索软件对基础设施的攻击影响不可想象，尤其是针对航空公司、医院、政府和紧急服务等领域。

• 间谍活动：这是自人类战争开始以来就一直存在的一个严重问题。如今，这种活动发生在企业、政府和其他各种实体之间，战场已经转移到网络空间。从某种意义上说，这是有利的，因为没有人会直接出现在前方执行间谍活动；他们都藏在隐秘的网络空间中，攻击者可以保持匿名。过去几年里，我们已经在新闻中看到某些政府如何通过网络间谍活动，破坏或干扰其他国家，通过泄露敏感信息来制造混乱和破坏。即使是企业也不甘落后，它们通过这种方式获取对方的知识产权，以保持竞争优势。从这个网络安全的角度来看，网络空间变得更加有趣和危险。

保障网络和应用程序安全的重要性

随着每一天的过去，连接设备的网络正在不断增加，尽管这种连接性增长不断扩大，但暴露的风险也在增加。此外，攻击不再取决于企业的规模大小。在当今的网络空间中，很难确定任何网络或应用程序是否不容易受到攻击，但建立一个可持续、可靠、高效的网络系统以及应用程序变得极为重要。正确配置的系统和应用程序将有助于减少攻击风险，但它可能永远无法完全消除攻击的风险。

现代 IT 安全系统是一个分层系统，因为单一层次的安全防护已不足以应对如今的威胁。在网络安全事件发生时，受害者可能会遭受巨大冲击，包括财务损失、运营中断和信任度下降等因素。近期，安全漏洞的数量因各种原因有所增加。这些漏洞的攻击路径可能有很多种，例如病毒、木马、针对性攻击的定制恶意软件、零日漏洞攻击，甚至是内部威胁。下表展示了 21 世纪最大的数据泄露事件：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/5cfed44a-4e2a-4b3f-925e-a55860454900.png

图 4：https://images.idgesg.net/images/article/2017/10/biggest-data-breaches-by-year-and-accounts-compromised-1-100738435-large.jpg

举个例子，2013 年 12 月，Target 商店发生了当时最大的之一的数据泄露事件。该事件发生在感恩节假期期间，组织直到事件发生几周后才发现此事。攻击是通过一套联网的空调系统开始的，随后进入了销售点系统。最终，这次攻击导致大约 1.1 亿美元的信用卡和借记卡数据被窃取。此次攻击的后果导致当时的 Target CEO 辞职，且对 Target 的财务影响大约为 1.62 亿美元。（读者可在此查看更详细的报告：www.csoonline.com/article/2134248/data-protection/target-customers--39--card-data-said-to-be-at-risk-after-store-thefts.html）

数据泄露的历史

如今我们看到的计算机攻击，可能在攻击技巧和复杂性上有所发展，但不变的是，攻击的根本原因——数据。数据一直是所有黑客关注的焦点，无论是过去还是现在。

1984 年 – TRW 数据泄露事件

回顾过去的数据泄露事件，我们不得不提 1984 年的一次重大事件，当时大约 9000 万用户的个人和财务信息被曝光。TRW（如今的 Experian）当时托管着全球最大规模的保密记录数据库之一，包含 9000 万用户及其信用历史。TRW 负责向银行、商店等远程位置的许多订阅者提供用户的信用历史、就业信息、银行和贷款信息，以及最重要的社会保障号码。这些信息通过电话线传输给他们的多个订阅者。以下截图显示了该事件所获得的部分在线新闻报道：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/f979bfd8-6b37-46e5-a442-fc3a1bf49001.png

图 5：1984 年事件的《华盛顿邮报》和《纽约时报》报道

很有趣的是，这些数据库的访问并没有得到严格的保护，订阅者可以根据需要登录到 TRW 数据库，查询用户的相关信息。这些细节是机密的，应该只有银行官员或百货商店运营商才能访问。尽管访问的数据是只读的，任何人都无法更改数据，但仍然可以泄露并被滥用，这正是发生的情况。密码和操作 TRW 系统以及访问数据库的手册从某个地点的百货商店泄露出去，一旦对手获得了登录和访问信息，他们将其发布在公告板上（相当于今天的社交媒体）。现在，攻击者不仅拥有了登录信息，还有一个完整的用户档案，包括那些已连接并访问过公告板的人。

令人惊讶的是，这起事件直到几个月后（具体时间不清楚）才被 TRW 官员发现。该漏洞是由外部人员报告给 TRW 的。根据当时的调查报告，据信是通过商店线路访问了数据库，而 TRW 并不知道该数据库被访问了多少次。专家表示，在那个时候，如果有合适的监控和检测，应该能够标记出这一活动（请注意，这在今天的环境中仍然是成立的）。当时的调查人员还建议，如果 TRW 实施了一个系统，通过请求访问的电话号码进行回拨并在信息传输前进行验证（今天我们可以将其与双重身份验证进行比较），并频繁更换用户密码，同时配合其他一些方法，攻击本可以被避免。

我们需要关注的 1984 年事件的要点，并与今天的攻击场景进行比较，是攻击向量、方法和本可以避免的缓解措施，几乎没有改变。首先，攻击者使用某种社交工程手段获取登录凭证，这在今天仍然是一种非常常见的方法。其次，他们通过获取手册完全了解 TRW 系统，这可能帮助他们长时间保持未被发现。第三，他们针对的是用户数据，而不是损害或玷污公司。今天也是如此，攻击者通过各种手段悄无声息地访问系统，尽量保持不被发现，利用被窃取的数据。

1990 年代 – 计算机病毒和蠕虫的起源

在 20 世纪最后十年的开始，世界见证了一个新的挑战性问题的开始——计算机病毒和蠕虫。这改变了未来几年计算机安全的方向。1989 年，罗伯特·莫里斯创建了一个程序，用来通过计算连接设备的数量来衡量互联网的规模。他开发了一个程序，利用漏洞自我传播（我们在本章开始时讨论过这个问题）。但是这个事件并没有就此修复或阻止，更多的情况接踵而来。90 年代初，另一个病毒崛起，被称为*“Michelangelo 病毒”*，它旨在攻击当时的 DOS 系统，并修改磁盘的引导扇区以保持存在。这个病毒会感染当时连接到计算机的任何媒介，如硬盘或软盘。Michelangelo 病毒设计为一直保持休眠状态，只有在特定日期——3 月 6 日，它才会被激活并发挥作用。（之所以是这一天，研究人员认为这是著名文艺复兴艺术家米开朗基罗的生日，但这只是一个巧合。）

正是在这些年里，我们也看到了 antivirus 公司崛起的过程。病毒和蠕虫催生了一个全新的行业，这个行业在随后的几年里成为了计算机安全领域的主流业务。20 世纪最后十年继续见证了更多病毒和蠕虫的出现，这些病毒和蠕虫进入了新千年，并且变得更加复杂。

2000-2010 年

这是一个见证计算机攻击复杂化的十年，而且这些攻击更加有针对性，围绕其动机和任务展开。

在 2000 年代初，世界被一种新型病毒及其传播方式所震惊。这种病毒被称为*“ILOVEYOU”*病毒，它感染了数百万台计算机，导致全球的电子邮件系统崩溃。病毒通过带有 VBScript 代码的电子邮件附件开始传播。任何打开该文件的人都会执行 VBScript。VBScript 被设计为下载另一个负载程序，这个程序通过在注册表中加入条目创建了多种持久性方法，并在系统重启时自动启动恶意软件。这个可执行文件还安装了其他恶意软件来窃取密码，并在后期将所有捕获的密码通过电子邮件发送给攻击者。

恶意软件中的另一个子程序帮助它传播到世界各地，设计方式是，当恶意软件被执行时，它会捕获邮件客户端地址簿中的所有电子邮件地址，并以ILOVEYOU这样的主题从用户的地址发送一份自身的副本作为附件。所有毫无防备的用户认为邮件来自已知的来源，因此犯了同样的错误，试图打开附件，重复整个过程。在接下来的日子里，出现了许多类似操作方式的变种。

这个十年也见证了蠕虫、病毒的崛起，以及通过利用软件、操作系统和其他系统漏洞发起的攻击。其中一个著名的蠕虫是SQL Slammer，它最终成为当时传播最快的蠕虫；它活跃了多年，造成了大规模的互联网中断。这个蠕虫利用了微软 SQL Server 中的一个漏洞。这个蠕虫传播速度极快，在感染后的第一个小时内，传播到了接近 10 万个主机（甚至可能更多；具体数字无法确认）。它利用了SQL Server 和桌面引擎（MSDE）产品中的一个缓冲区溢出漏洞。这个蠕虫生成了随机的 IP 地址，然后尝试通过目标端口UDP/1434（SQL 端口）与这些 IP 进行通信。

一旦找到目标主机，它就会利用脆弱的 SQL 服务器或 MSDE，并将自身的副本发送到同一主机，从而感染该主机。这个新感染的主机会重复同样的过程。尽管微软在攻击发生前六个月就发布了这个漏洞的修复补丁，但互联网上大多数系统并未及时打上补丁。这表明，保持系统更新并及时安装最新的补丁是多么重要。

2008 年 11 月，我们又目睹了另一场大规模攻击，这次由一种蠕虫发动，目标是 Windows 系统（从 Win 2000 到 Win 7）。这只蠕虫最终影响了全球 190 多个国家的 1000 万至 1500 万台服务器。该蠕虫影响了政府、军事基地和舰队、企业和家庭用户，实际上，几乎所有受到其影响的对象都受到了波及。在 2008 年 11 月到 2009 年 4 月之间，发现了五个变种，分别是Conficker A、B、C、D和E。这只蠕虫不仅造成了全球范围的大规模感染，而且还创建了那个时代最大的僵尸网络之一。或许这只蠕虫的动机是为了建立一个大型的僵尸网络，以执行更严重的攻击，但关于这一规模的攻击的实际动机并没有得出结论。此蠕虫还使用了许多此前未曾使用过的新技术，包括阻止清除感染的方法、通过感染 USB 和其他可移动设备来进一步传播的手段，以及其他传播方法，如文件共享和管理员共享。最具创新性的是通过基于随机域名生成算法的通信框架，*“回家”*到僵尸网络控制器的方法，这种方法后来被称为 DGA（随机域名生成算法），并且成为了其他恶意软件感染和僵尸网络指挥与控制基础设施的标准。这种方法使得蠕虫能够每天通过预定的算法和种子值（通常是日期和时间）生成成百上千个随机域名。攻击者主动使用同样的算法每天从随机域名列表中注册一个或几个域名，并在特定的那一天，恶意软件会使用这些域名进行命令与控制活动。

到本世纪十年代末，业界震惊于发现了一项重大的间谍活动，该活动通过一个精心制作的恶意软件Stuxnet进行。这款恶意软件特别针对伊朗的一座核电厂，唯一目的是破坏该国的核计划。在很大程度上，这一尝试成功地破坏了目标核计划。这款恶意软件引发了安全界内关于操作技术安全的严重问题和担忧，尤其是涉及控制工业系统（如 SCADA 系统）和其他类似系统的安全性。

在未来的日子里，攻击的复杂性不仅会增加，还将变得高度针对性，正如我们在孟加拉国银行盗窃案中所见，约 8100 万美元被通过一场极其精心协调和计划的活动从银行 siphoned（窃取）出去。

安全如何帮助建立信任

随着技术的崛起，大多数企业和公司正在不断适应更新的技术，以保持在竞争中的领先地位，并增强客户体验。这也带来了潜在的网络安全风险。

客户将他们的数据信任交给公司和企业。确保数据安全是公司、政府和企业的唯一责任。如果数据遭到泄露，企业将失去客户的信任，最终失去业务和品牌价值。

对于面向客户的企业来说，维持信任并向数字化迈进是确保业务顺利运行的极其重要的因素。正如当前移动优先和物联网方法的场景中，连接性对于保持业务并为客户提供更丰富的体验至关重要。唯一的约束因素就是信任。而信任只能通过确保数据安全、避免安全漏洞的发生，以及在发生安全漏洞时尽可能快速地恢复，避免对客户及其数据造成太大影响来实现。换句话说，就是：尽量减少影响。

企业必须从一开始就将安全性融入到他们的产品和服务中。这将减少被攻破或发生任何安全漏洞的风险，从而增强信任度。由于如今没有任何企业可以独立运作，他们必须与第三方合作。确保消费者数据和知识产权的安全是公司和第三方共同的责任。因此，随着技术的提升对企业盈利和可持续增长至关重要，建立以安全为先的文化同样对于维持消费者信任至关重要。

总结

本章中，我们探讨了互联网的各个方面，以及数字化如何带来了一个新的网络犯罪和攻击时代。我们还了解了网络攻击的历史，这打破了我们通常认为网络犯罪始于几十年前的看法。在此过程中，我们了解了云计算的各个方面，以及它如何使数据面临威胁。

阅读本章后，您将清楚地理解当前技术环境中安全性的重要性，了解网络安全的整体状况，以及组织和个人如何保护数据免受盗窃。这些知识有助于识别潜在的威胁区域，并设计出防御性应对策略。

在继续讨论的过程中，我们将探讨从传统系统到机器学习、人工智能以及其他交钥匙技术的安全演变。这将帮助我们深入了解网络安全的过去、现在和未来。

第二章：安全演变 — 从传统到先进，再到机器学习与人工智能

安全性在过去几十年中不断发展。从最初的防病毒系统开始，这些系统曾长期被认为是终极的网络安全工具。后来，这些系统又加入了其他各种工具。

在 1971 年之前，网络安全并不存在。这并不令人惊讶，因为当时计算机仍在开发中，黑客也难以负担，且只有少数人知道如何编写代码以进行基本的输入/输出功能。一位名为 Bob Thomas 的研究员发现，实际上可以创建一种恶意程序，这个程序能够从一台计算机传播到另一台计算机，并留下一个恼人的信息。随后，另一位研究员对该程序进行了修改，使其能够自我复制。实际上，他创造了世界上第一个计算机蠕虫。之后，他决定编写另一个程序，用来捕捉并删除恶意程序，从而阻止其复制和进一步传播。这是世界上第一个防病毒软件。

然而，自 1970 年代以来，网络安全领域发生了剧烈变化。威胁变得更加复杂，这就迫使开发出更为复杂的安全系统。技术的进步为黑客提供了更多的工具和技术，用以制造威胁。除此之外，安全系统还必须覆盖那些在没有考虑安全性的情况下构建的技术。比如，互联网就是一个依赖于数十亿人使用的技术。因此，网络安全不仅需要演变以应对网络威胁的变化；它还需要预见并为未来做好防范，以保护系统、用户和网络免受攻击。本章讨论了网络安全的演变以及网络安全与机器学习和人工智能融合的未来，并将涵盖以下内容：

• 传统的网络安全系统

• 网络安全的变革

• 安全技术的进步与未来

• 机器学习（ML）和人工智能（AI）如何在网络安全中扮演越来越重要的角色

传统的网络安全系统

正如我们在讨论第一个蠕虫和第一个防病毒软件时所提到的，网络安全最初是为了应对网络威胁而设计的。传统系统是为了保护组织免受已知威胁的侵害。在发现网络威胁之后，安全专家会分析其独特的执行或编码模式。这些信息会用于让安全系统检测并阻止已识别的网络威胁。这个传统一直延续至今。现如今，有一个著名的数据库叫做公共漏洞和暴露（CVE），它记录了所有已发现的威胁，并为其分配一个唯一的识别编号。

基于特征的安全系统

在传统安全系统的时代，安全工具是基于已发现的各种威胁的攻击签名构建的。由于创建新型恶意软件的技术仅限于少数人，这种安全方法最初是有效的。个人和组织被认为只需要在计算机上安装一个安全系统就足够了。后来，这些安全系统被改进，以接收数据库的更新，新恶意软件的签名会被加入其中。因此，用户可以在一定时间后或当安全公司提供更新时，获取新的更新。

基于签名的网络安全产品创建已应用于一整套防御系统，这些系统主要是杀毒系统。因此，所有这些系统都有一个单点故障：依赖于签名数据库。这使得组织容易受到使用未被其安全系统识别的恶意软件或攻击技术的攻击。此外，安全系统大多设计用于防止恶意软件攻击。因此，覆盖的威胁主要是病毒和蠕虫。黑客们决定抓住这个机会，发起了几次值得注意的攻击。

网络网络攻击

到 1970 年代末，16 岁的凯文·米特尼克学会了如何未经授权访问网络。他利用这项知识入侵了数字设备公司（Digital Equipment Corp.）的网络。他的目标是复制其操作系统，并且在网络中成功完成了这一目标。后来他被捕，并被关进了单独监禁，因为当局试图理解他是如何获得数字设备公司计算机的访问权限的。以下是凯文·米特尼克相关文章中的一张照片：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/048ec22a-edb8-452c-8572-850ad26c32f4.png

若想了解凯文·米特尼克现在在做什么以及了解他的过去，你可以阅读这篇文章：www.mitnicksecurity.com/site/news_item/hacker-the-first-the-best-and-the-most-feared-hackers-of-all-time。

在 1990 年代，一个名叫加里·麦金农（Gary McKinnon）的技术高手发动了对美国军方和 NASA 的最大黑客攻击。他据称远程入侵了 97 台计算机。然后他删除了这些计算机的关键文件和操作系统，使其无法使用。这些计算机极其重要，这次攻击导致了军方网络的瘫痪，黑客攻击的损失达到了毁灭性的 70 万美元。以下是加里·麦金农维基百科页面摘要的截图：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/f0d24b2b-c26c-419f-bf59-9d103327cad9.png

你可以在维基百科上阅读更多关于加里·麦金农（Gary McKinnon）的信息，链接：en.wikipedia.org/wiki/Gary_McKinnon。

许多其他黑客也在不断提升和完善他们的技能。更糟的是，发现了一些新工具，可以让非专业的黑客使用。它们被称为漏洞利用工具包，黑客可以购买或租用这些工具包来攻击目标。这给网络安全行业带来了巨大的压力，迫使其发展演变。显然，最初基于攻击特征来检测恶意软件的工具设计并未预见到许多黑客会想出新的方法来突破这些安全系统。随着能够生成恶意软件并通过改变攻击模式来避免被检测的漏洞利用工具的出现，网络安全行业显然已被黑客击败。此外，黑客还利用网络中的弱点，远程访问计算机并进行恶意操作。

网络安全工具

由于网络上漏洞的增加，网络安全行业最终响应并推出了更多专业化的工具，以防止来自网络的攻击。因此，他们提出了入侵检测和防御系统，并对原有的基础防火墙进行了重大改进。然而，这些系统仍然是基于特征的。最初，它们在阻止网络入侵方面是有效的，因为黑客还没有发现很多绕过方法。它们能够阻止恶意流量，并使黑客无法在网络上进行恶意活动。然而，黑客很快就发现了绕过网络安全工具的方法。因此，网络入侵重新出现，而这些防止入侵的工具无法跟上新的攻击技术。这促使网络安全行业在 2000 年代做出了更多的反应，增加了更多的网络安全措施。

网络安全的转变

2000 年代初，黑客开始尝试许多安全规避策略，以击败现有的安全工具。他们已经想出了在网络上规避安全工具的技术。他们还提出了一种新的攻击方法，叫做缓冲区溢出。缓冲区溢出通常在客户端/服务器应用程序中进行，其中有效载荷是通过数据传递的，目的是填充并写入超出内存缓冲区的区域。例如，黑客会向客户端应用程序的登录输入字段提供脚本，这会导致服务器导入文件。由于服务器只期望输入字段中有少量字符，超出的数据就会导致缓冲区溢出，使服务器失败或发生错误操作。攻击工具包也开始被修改，加入了安全规避策略。

分层安全

由于仅仅拥有防病毒或防火墙程序无法提供足够的安全性，网络安全行业发生了转变，组织被建议实施分层安全。因此，他们必须扩大预算，购买不同类型威胁的网络安全工具，以应对不同的攻击场景。这一举措旨在为组织创建一个强化的安全防护盾。这个策略被称为深度防御。至少，组织必须配备防火墙、防病毒程序、入侵检测系统、强身份验证登录平台和数据加密。该策略对抗单一向量攻击非常有效。购买了漏洞利用工具包的黑客会失败，无法突破所有的保护层，进而破坏组织的安全。而那些依赖网络漏洞进行攻击的黑客则发现自己遇到了额外的安全层，无法突破。

分层安全的难点在于成本；它太昂贵了。网络安全成为了许多组织的重要开支。公司高层很难批准 IT 部门在工具上的大量支出。尽管如此，分层安全策略也迫使黑客重新回去并想出更好的突破组织安全防御的方法。以下图表展示了不同安全层级及其组成部分：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/7a6cdc5f-2ef5-4c19-aee7-406ab56c31f8.png

新的安全威胁

到 2010 年，一种新的网络犯罪活动模式已被发现。攻击者能够突破网络并在网络中长期保持隐蔽，无法被检测到。这种类型的攻击被称为高级持续性威胁。黑客已经成为一种职业，网络犯罪分子花时间研究目标系统并获取攻击所需的工具。一旦攻击成功，攻击者会维持对系统的访问，同时窃取或篡改数据。这些事件中的一个是针对伊朗核燃料浓缩设施的 Stuxnet 攻击。据信，攻击者是国家支持的，突破了该设施的安全系统，并在网络中保持了长期的隐蔽。恶意软件收集了足够的信息，确定了如何执行攻击，从而摧毁了该设施。这次攻击最具意义的是它利用了零日漏洞，并且被攻击的计算机甚至没有连接到互联网。

除了高级持续性攻击外，网络钓鱼攻击也卷土重来。网络钓鱼最初在公众刚刚开始接触计算机和互联网时变得流行。然而，当时的网络钓鱼攻击相当原始。最常见的一种叫做尼日利亚王子骗局。这是一封发送给许多人的电子邮件，讲述了一位自称是尼日利亚王子的人的困境，试图获取遗产钱，但需要一些帮助才能做到。通常，目标是被要求寄钱以帮助清除这笔资金。这个骗局很快传播开来，但在公开曝光后效果逐渐减弱。然而，2011 年出现了新一波更加复杂的网络钓鱼攻击。这些攻击不再仅仅试图欺骗互联网用户寄送小额资金。黑客开始克隆合法公司的官方网站和电子邮件模板，并通知用户其在这些公司创建的账户出现问题。用户被要求通过点击提供的链接登录并解决问题。在这些克隆网站上，用户会输入自己的真实凭证，黑客则利用这些凭证窃取数据或资金，甚至访问敏感系统。

此后，拒绝服务攻击（DoS）也成为了关注的焦点。互联网中大量缺乏足够安全系统的个人计算机成为了黑客的“福音”。他们会在这些计算机中安装恶意软件，将其招募成僵尸计算机网络，称为僵尸网络（botnet）。这些僵尸计算机会按照黑客的指令向指定目标发送非法流量，从而引发 DoS 和 DDoS 攻击。

对新威胁的应对

行业内逐渐认识到，仅仅阻止已知的攻击已不够。黑客们越来越擅长击败依赖签名的安全工具来阻止攻击。与其突破多层安全防护，他们开始直接针对用户，并且他们也开发出了像拒绝服务攻击（DoS）这样的攻击手段，难以防范。针对这些新情况，行业有了两种回应：网络韧性和用户培训。网络韧性旨在确保在网络攻击期间及攻击后仍能保持业务运作。安全目标不再只是保护组织免受攻击，而是确保攻击不会严重中断业务功能。企业更加重视准备好备份、备用热备站点以在网络攻击期间接管运营，以及更快速的事件响应措施，以确保组织能够更快地缓解和恢复攻击带来的损失。

其次，组织开始更加重视对用户进行网络安全威胁的培训。这是因为员工已成为网络犯罪分子的更容易攻击目标。社会工程学已成为突破许多组织防线的更有效方式。这一现象持续了多年。反钓鱼工作组在 2016 年提供的统计数据显示，在所有记录的恶意软件感染中，95%是由人为因素引起的。报告显示，针对软件技术漏洞的攻击不到 5%。大多数攻击都是针对员工的。

因此，组织将员工纳入网络安全链条，并更加注重教育他们如何识别钓鱼攻击和其他常见的网络安全威胁。所获得的知识旨在帮助他们避免陷入诸如提供登录凭据或点击恶意链接等陷阱。

安全技术的进步：安全 2.0

网络安全行业面临着巨大的压力，迫使其从基于签名的检测技术转向其他更高效的替代方案。过去强化组织安全基础设施的方法日益失败。尽管有多层安全防护，组织仍然遭到入侵。零日漏洞和社会工程学是这些攻击的主要因素。网络攻击的成本也在增加。2018 年，IBM 发布报告称，全球网络攻击的平均成本为 386 万美元。这一成本包括了诉讼和客户流失等开销。

基于异常的安全系统

最终，网络安全工具得到了重大更新，使它们能够对流量和程序执行进行主动扫描，并检测与正常模式的任何偏差。网络安全从基于签名的检测转向了基于异常的检测。例如，防火墙被设计用来检测服务器是否在接受来自新客户端的多个外部连接，并且连接速率高于正常水平。这将是一个信号，表明这些连接不合法，并且来自一个僵尸网络。因此，这些连接将被丢弃。许多网络安全供应商推出了可以让组织进行实时威胁分析的工具，从而防止来自未知攻击向量的攻击。

基于异常的安全工具还解决了网络安全行业面临的一个重大问题，即误报问题。最初，网络安全工具只是被设计得更彻底，以检查恶意程序和活动。结果，工具变得过于彻底，甚至将无害的程序和活动误报为安全威胁。这在网络安全工具中尤为常见，这些工具在区分真实威胁和与威胁有些许相似之处的活动时变得非常低效。误报使得安全工具变得不可靠。网络和安全管理员不得不忽略许多潜在威胁，有时甚至会在此过程中忽略真正的威胁。基于异常的安全工具的引入，确保了检测到的威胁是真正的威胁，且需要被阻止。

基于异常的安全系统也使得检测变得更加容易。最初，网络安全工具必须通过多个签名进行检查，这降低了网络和系统的性能。基于异常的工具不需要参考签名数据库，而是进行实时分析，检查流量或应用程序是否存在异常行为。最后，基于异常的威胁有效地应对了许多社会工程学攻击。在网络中，这些工具会捕获数据包头部，以读取源和目的 IP 地址，从而允许来自已知来源的流量。来自未知来源的流量则会经过彻底检查，以发现更多细节，例如源是否被列入黑名单，或是否被其他安全工具报告为恶意。

基于异常的检测方法的主要局限性在于必须由人工参与做出关键决策。因此，具备这些功能的工具更多是需要人工操作的，而不是自动化的。企业没有足够的员工来处理这些系统发送的所有警报，这些警报需要人工干预。因此，网络安全行业决定进一步改进这些解决方案，使其更加精准和自动化。大量的研究工作集中在机器学习（ML）和人工智能（AI）上。如今，越来越多的网络安全公司正在考虑将机器学习和人工智能集成到其网络安全产品中。未来，预计这类产品将主导市场。

机器学习和人工智能将在网络安全中发挥更大作用

AI 和 ML 为网络安全行业带来了新的曙光。AI 对于计算机科学并不是一个新概念。它在 1956 年被定义为计算机执行具有人的智能特征的任务的能力。这些任务包括学习、决策、解决问题、理解和识别语音。ML 是一个广泛的术语，指计算机在无需人工干预的情况下获取新知识的能力。ML 是 AI 的一个子集，可以采取许多形式，如深度学习、强化学习和贝叶斯网络。AI 有望通过多种方式颠覆网络安全领域，这可能是网络安全行业在对抗网络犯罪分子方面的最终胜利。

AI/ML 在网络安全中的应用涉及部署能够自动检测、阻止或预防威胁的自给自足工具，无需人工干预。威胁检测是基于安全工具中算法自我进行的训练，以及开发者已提供的数据。因此，在整个生命周期中，AI 驱动的安全工具会在威胁检测方面变得越来越好。开发者提供的原始威胁数据集将提供参考基础，供其识别什么是正常的，什么是恶意的。然后，安全工具将在最终部署之前，暴露于不安全的环境中。在充满威胁的环境中，系统将根据其检测或阻止的威胁持续学习。黑客攻击也会指向它。这些攻击将涉及黑客入侵或通过大量恶意流量压垮其处理能力。该工具将学习最常用的黑客技术，用于突破系统或网络。例如，它将检测到在无线网络上使用Aircrack-ng这样的密码破解工具。类似地，它将检测到对登录界面的暴力破解攻击。网络安全中人类的主要作用将是通过更新 AI 工具的算法来增强其功能。

AI 安全系统可能包含所有威胁。传统的安全系统通常无法检测利用零日漏洞的威胁。使用 AI 后，即使在攻击模式不断进化和适应的新情况下，恶意软件也无法渗透 AI 系统。系统将检查恶意软件运行的代码，并预测结果。被判定为有害的结果将导致 AI 系统阻止该程序执行。即使恶意软件混淆其代码，AI 系统也会持续监控执行模式。一旦恶意软件试图执行诸如修改敏感数据或操作系统等恶意功能，系统就会阻止该程序执行。

目前已有预测，AI 将超越人类智力。因此，未来某个可预见的时刻，所有的网络安全角色将从人类转移到 AI 系统中。这既有利也有弊。如今，当 AI 系统出现故障时，结果通常是可以容忍的。这是因为 AI 系统的操作范围仍然有限。然而，当 AI 最终超越人类智力时，系统故障的后果可能是无法容忍的。由于安全系统将比人类更强大，它们可能会拒绝接受人类的输入。因此，出现故障的系统可能会在没有任何干预的情况下继续运行。AI 的完美主义特性将既是优点也是缺点。目前的安全系统旨在减少能够成功攻击系统的攻击次数。然而，AI 系统的目标是消除所有威胁。因此，误报可能不会被视为误报；它们可能会被当作有效检测并因此导致受到影响的无害系统无法执行。

最后，人们担心将机器学习和 AI 集成到网络安全中可能会带来更多的危害而非好处。正如多年来所观察到的那样，攻击者具有很强的适应性。他们总是会尝试寻找方法来突破网络安全系统。常规的网络安全工具被比这些工具了解的更复杂的方法所击败。然而，击败 AI 的唯一方法就是混淆它。因此，威胁行为者可能会渗透到 AI 训练系统中并提供不良数据集，从而影响 AI 支持的安全系统所获取的知识。这些行为者还可能创建自己的对抗性 AI 系统，以达到平衡。这将导致 AI 与 AI 的对决。

最后，黑客仍然可能使用绕过 AI 安全系统的方法。社交工程仍然可以通过实际手段进行。在这种情况下，AI 系统将无法帮助目标。肩窥——即在他人输入关键细节时简单地从旁边看一眼——也是不需要使用黑客工具的。这同样绕过了安全系统。因此，AI 和机器学习可能不是打击网络犯罪的最终解决方案。

总结

本章回顾了网络安全从传统到先进，再到未来技术（如人工智能和机器学习）的演变。文中解释了第一个网络安全系统是为了阻止第一个蠕虫病毒而创建的防病毒系统。网络安全随后遵循这一模式，创建安全工具作为对抗威胁的响应。传统的安全系统采用了基于签名的检测方法。这种方法通过加载常见恶意软件的签名，并利用这些知识库来检测并阻止与签名匹配的程序。然而，安全系统侧重于恶意软件，因此黑客开始通过网络入侵组织。1970 年，一家操作系统公司通过其网络被入侵，并且操作系统的副本被盗取。1990 年，美国军方遭遇了类似的攻击，一名黑客侵入了 97 台计算机并进行了破坏。因此，网络安全行业开发了更强大的网络安全工具。然而，这些工具仍然使用基于签名的方法，因此无法完全防止所有攻击。

在 2000 年代，网络安全行业提出了一个新的安全概念，建议组织实施分层安全。因此，他们需要为网络、计算机和数据设置安全系统。然而，分层安全非常昂贵，但仍有一些威胁向量渗透到计算机和网络中。到 2010 年，网络犯罪分子开始使用一种被称为高级持续性威胁的攻击方式。攻击者不再进行突然袭击式攻击；他们渗透到网络中，并在网络中保持隐蔽，同时执行恶意活动。除此之外，网络钓鱼得到了革新，并变得更加有效。最后，攻击者开始使用拒绝服务（DoS）攻击来压垮服务器和防火墙的能力。由于这些攻击导致许多公司被迫退出市场，网络安全行业发展了一种新的安全方法，被称为网络韧性。这种方法不再专注于如何在攻击中保护组织，而是确保组织能够在攻击中生存下来。除此之外，用户开始更加参与到网络安全中，组织开始专注于培训员工避免常见的威胁。这标志着安全 1.0 的结束。

随后，网络安全行业进入了当前的 “安全 2.0” 阶段，在这一阶段，终于创造出了替代基于签名的安全系统的方法。基于异常的安全系统被引入，并且它们比基于签名的系统具有更高的效率和更多的功能。基于异常的系统通过检查正常模式或行为与异常的偏差来检测攻击。符合正常模式和行为的应用程序和流量可以执行或通过，而不符合的则会被阻止。虽然基于异常的工具有效，但它们仍然依赖于人工决策。因此，很多工作仍然落回 IT 安全管理员手中。对此的解决方案是利用 AI，希望这些安全系统能够变得自给自足。

人工智能看起来很有前景，尽管它也面临许多质疑。AI 和机器学习（ML）安全工具将通过检测异常并做出明智的决策来应对威胁。这些 AI 安全工具将拥有一个学习模块，确保它们随着时间的推移不断提升。在部署之前，这些系统将通过使用包含真实威胁的数据集和真实环境进行广泛训练。一旦学习模块能够提供足够的信息来保护组织免受常见威胁，它将被部署。AI 安全系统的主要优势之一是它们将随威胁的发展而演化。任何新的威胁将会被研究并加以阻止。尽管 AI 驱动的安全系统具有优势，但仍有人担心它们最终可能会变得有害。随着人工智能超越人类智能，可能会有一个时刻，这些工具不再接受任何人工输入。也有担心攻击者可能会毒化算法，使其变得有害。因此，人工智能在网络安全中的未来难以预测，但应该有两种主要结果：要么 AI 支持的安全系统最终将遏制网络犯罪，要么 AI 系统将变得失控，或者被迫失控，成为网络威胁。

进一步阅读

以下是可以用来深入了解本章所涉及主题的资源：

• 网络钓鱼的演变: www.tripwire.com/state-of-security/featured/evolution-phishing/

• 社会工程学：一个注定会恶化的 IT 安全问题: medium.com/our-insights/social-engineering-an-it-security-problem-doomed-to-get-worst-c9429ccf3330

• 数据泄露成本研究: www.ibm.com/security/data-breach

• 网络威胁与防御的演变: www.infosecurityeurope.com/__novadocuments/96072?v=635742858995000000

• 隐藏在背后的威胁：遗留系统中的网络安全风险：businesslawtoday.org/2018/03/whats-lurking-back-there-cybersecurity-risks-in-legacy-systems/

• 遗留的网络安全产品未能保护 97%的组织：www.helpnetsecurity.com/2014/05/21/legacy-cybersecurity-products-failed-to-protect-97-of-organizations/

• 基于签名或基于异常的入侵检测：实践与陷阱：www.scmagazine.com/home/security-news/features/signature-based-or-anomaly-based-intrusion-detection-the-practice-and-pitfalls/

• 网络安全演变的五个问题：www2.deloitte.com/content/dam/Deloitte/global/Documents/Governance-Risk-Compliance/gx_grc_Deloitte%20Risk%20Angles-Evolution%20of%20cyber%20security.pdf

第三章：学习网络安全技术

在全球就业市场中，出现了一种独特的趋势。虽然不同行业的工作总数在增加，但技术行业的工作增长率是最高的之一。在一些国家，预计到 2020 年，IT 职位的数量将超过具备相关技能的人员数量。显然，世界正日益倾向于技术，这为那些掌握不同技术的人打开了机会。因此，今天投入时间学习 IT 技能的人，未来将有更光明的前景。

在 IT 职业生涯中，有不同的道路可以选择。虽然大多数 IT 职业都是不错的，但也有一些职业受限，或者可能在不久的将来面临突然消失的风险。因此，选择正确的技术行业路径时必须小心谨慎。

其中最令人安心的路径之一是选择网络安全职业。对网络安全专业人士的需求只会增加。根据以前的报告和未来的预测，网络攻击正在增加，网络攻击造成的损失每年都在扩大。大多数组织正在规划如何保护他们的系统、网络和数据免受网络攻击，因此他们为网络安全专业人士创造了需求。

网络安全正成为一个有回报的职业，尤其是对那些掌握保护组织免受网络攻击所需技能的专业人士。网络安全也是一个广泛的职业领域，涉及许多技术，所有技术都建立在不同的系统上，网络安全专业人士需要了解这些内容。

本章将带领你了解启动网络安全职业生涯时需要掌握的最关键的安全技术。我们将涵盖以下主题：

• 移动安全

• 高级数据安全

• 云安全

• 现代法规

• 事件响应与取证

• 大规模企业安全

• 渗透测试

• DevSecOps

• 物联网安全

• 用户行为分析

• 终端检测与响应 (EDR)

移动安全

移动安全是一个涉及保护便携计算设备免受威胁和漏洞的网络安全领域。在这一部分中，我们将探讨移动计算设备通常更容易暴露于哪些风险。

丢失或盗窃

设备如手机和笔记本电脑很容易在公共场所、出租车和办公室等地方丢失或被盗。从网络安全的角度来看，更令人担忧的是从丢失或被盗的设备中可以恢复出大量敏感数据。用户往往将大量个人信息保存在移动设备中。密码、银行信息、社会保障号码，甚至是公司机密信息都可能从这些设备中被盗。除此之外，移动设备通常会登录多个电子邮件账户、社交媒体账户和敏感系统。当设备被未经授权的人访问时，敏感数据可能被盗取，已登录的账户可能被用于盗窃、勒索或社会工程攻击。

以下是一些近期的报纸文章，突显了丢失手机的危险性。根据 Kensington 的统计，丢失或被盗的移动设备的平均损失费用可能超过 49,000 美元。

在你丢失移动设备之前，你应该应用的技巧：

• 打开远程追踪：

  • 在 iOS 中：查找我的 iPhone

  • 在 Android 中：查找我的设备

  • 在 Windows 中：使用你的 Microsoft 账户登录account.microsoft.com/devices，然后按照“丢失我的设备”中的步骤注册你的笔记本电脑

与软件相关的安全问题

大多数智能手机操作系统使用基于权限的系统，允许应用执行某些功能或访问手机中的某些数据。然而，这并不能保证应用不会请求过多的权限。批准的部分仍然掌握在用户手中，但并非所有用户都有足够的技术知识，能够识别应用请求不必要权限的情况。根据 Appthority Inc.的报告，许多免费应用与广告网络有合作关系。因此，这些应用会收集如联系人、浏览记录和位置信息等数据，并将其分享给广告商。

通过使用 Appthority 平台™，Appthority 的安全团队分析了苹果 App Store 和谷歌 Play Store 中排名前 50 的免费应用，评估其风险行为。研究结果记录在App 声誉报告中。你可以在www.appthority.com/company/press/press-releases/appthority-reveals-security-risks-of-free-mobile-apps/ 阅读App 声誉报告。

恶意软件攻击也越来越成为移动安全的一个问题。跨多个操作系统，针对手机的威胁数量有所增加。这是一个大问题，因为许多用户并未在手机上安装杀毒软件。

威胁和漏洞的数量持续增加，这为移动安全专业人员开辟了职业道路。那些希望拥有全方位安全保障的个人和企业，渴望找寻能够保护移动设备的专业人员，以确保在移动过程中设备不易受到攻击。此外，随着智能手机取证专家需求的增加，这些专家能够追踪移动安全攻击的根源，找到并解决问题。因此，学习移动安全技术和移动取证技术可能会为你打开一条在网络安全领域的长期职业道路。

高级数据安全

数据已成为网络攻击的主要目标，因此，个人和企业正在选择投入更多资源来保护他们的机密数据。已有许多关于数据泄露的报道，其中用户数据被黑客窃取，商业机密被竞争对手盗走，敌对国家互相窃取军事记录，敏感产品的原型被持续盗窃。

围绕数据的威胁形势持续变化。为了防止攻击并遵守所有数据安全法规，组织将需要寻找专家来提供高级数据安全服务。这将有效防止数据泄露，确保敏感数据不被未经授权的人访问，并防止导致不合规事件的发生。因此，高级数据安全领域的网络安全职业可以保证你未来有源源不断的职业机会。作为这一领域的专家，你将主要负责安装数据安全产品、以最安全的方式配置现有安全软件，并制定安全政策以确保组织中的数据保护。

有几个提供数据安全培训课程的电子学习网站。其中之一是 Udemy，它提供数据安全的入门课程，然后允许学习者选择许多高级数据安全课程之一进行深度学习。入门课程为你打下了坚实的基础，之后你可以进阶到数据安全的具体领域。数据安全中的一些进阶选项包括云数据安全和加密。参加这些课程可以让你在数据安全领域建立职业生涯，或是在特定领域，如云存储的数据，进行专门化学习。

请在 Google 中搜索advanced data security，阅读微软、IBM 和 Oracle 的推荐，了解这些科技巨头在高级数据安全方面提供的服务。

云安全

云技术为许多组织带来了有价值的好处。如今，组织不再需要拥有计算资源来部署软件和系统。云计算带来的成本优势使得许多组织纷纷采用这一技术。然而，关于这项技术的种种顾虑，可能阻碍了部分组织的全面采用。组织们并不完全信任第三方云服务商来处理敏感数据。那些将数据上传至云端的组织希望确保数据的安全，避免未经授权的第三方访问这些数据，包括云平台供应商本身。

许多已经采用或正在考虑采用云技术的组织，毫无疑问需要一位网络安全专家来为其指引方向。作为云安全专家，你将具备确保云平台上的数据和系统安全的能力。你会确保从云端运行的应用程序不能被第三方操控。你还会确保存储在云上的数据安全，避免未经授权的访问。你会确保数据库和系统的身份验证与授权严格，从而防止被窃取的凭证被用来访问。最后，你还需要设计方法，防止云平台所有者或供应商访问云中的数据。随着越来越多的组织最终采用云技术，这一领域的职位机会将逐步增加。

云安全的学习选项有很多，因为大多数电子学习学院都提供相关课程。你可以通过像 Coursera 和 edX 这样的一些受信平台学习此类内容。尤其是 edX 提供了一个云安全的微硕士项目，深入探讨了云技术、相关的安全挑战以及如何解决这些问题。在课程结束时，学生将能够处理几乎所有影响云平台的安全挑战。

我们将在第九章，知识检测与认证中进一步讨论此内容。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/fefb774d-f910-4d04-9bce-1fe61bb11f64.png

来自 Microsoft Learn 网站的一个关于免费云安全培训的例子

如果你想了解更多关于亚马逊云安全的内容，可以访问这个网站：aws.amazon.com/security/security-resources/。

若要查看 IBM 云安全资源，请访问此网站：www.ibm.com/security/solutions/secure-hybrid-cloud。

如果你想学习中立的云安全知识，可以查看 SANS 网站：www.sans.org/reading-room/whitepapers/cloud/。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/7dacfb2e-5980-4b3c-aab7-4cc98748c33e.png

你可以在 SANS 阅读室找到最新的免费白皮书。当然，你也可以在www.cisco.com/c/en_sg/solutions/cloud/overview.html找到关于云的资源。

现代的监管

严格的法规已经出台，惩罚未能保护用户数据的公司。最近涉及这一问题的法规是通用数据保护条例（GDPR），对于那些希望完全符合其要求的组织来说，它非常严格。不遵守 GDPR 的后果是，相关的组织将面临巨额罚款。GDPR 只是网络空间中许多旨在保护隐私并确保安全的法规之一。还有许多适用于不同司法管辖区的其他法规。在美国，有HIPAA 法案、格拉姆-李奇-布莱利法案和联邦信息安全法，这些法规规范了医疗、金融和联邦机构中的数据收集、使用和保护。像美国这样的国家还出台了更多的法律，许多法案仍在排队等待成为未来的法律。

因此，监管环境可能在几个月内发生剧烈变化。组织并不总是拥有足够的资源来跟上监管变化的步伐。数据的问题在于它可以跨多个地区流动，并受到不同的监管要求。例如，虽然 GDPR 仅影响属于欧盟公民的数据，但全球的组织都必须遵守它，因为他们无法预见何时会接触到欧盟公民的数据。许多数据法规无论在哪个地理区域通过，都必须遵守。

组织研究他们应该遵守的所有法规将需要大量资源，这也是他们大多外包此职能的原因。你可以通过成为数据法规的顾问来开创一份职业。你必须熟悉所有适用于公司数据的法规，并帮助公司遵守这些法规。你还需要时刻保持对这些法规变化的更新，并在法规发生变化时相应地向组织提供建议。网络空间很快将面临重大监管合规挑战。据估计，全球每年平均会有 200 项监管变化。虽然这些变化目前不会直接影响网络安全行业，但很快会影响。因此，最好今天就开始学习，成为组织的合规顾问。

事件响应和取证

每年来自可信来源的统计数据显示了一个令人震惊的事实：网络安全事件正以惊人的速度增加。2018 年 7 月，Positive Technologies 发布的一份报告显示，2018 年第一季度的网络攻击比上一年同期增加了 32%。仅恶意软件攻击自 2017 年以来就增加了 75%，并且攻击对象包括个人、政府机构和企业。

你可以在www.ptsecurity.com/ww-en/about/news/293941/阅读更多内容。

在许多网络安全事件中，常见的情况是受害方会尽力回应，以最小化影响，然后进行彻底的调查以找出事件的根本原因。然而，能够胜任这一工作的专业人员并不多。随着攻击频率的上升，组织开始意识到需要雇佣有能力应对并减轻网络安全事件影响的人员。那些已经遭受网络攻击的个人和组织将会寻找能够追溯攻击源头的专业人员，以防止未来发生类似的攻击。

问题在于，网络安全行业正在跟网络犯罪分子赛跑，因为如今的攻击者变得越来越复杂。组织在拥有能够及时应对攻击并减少影响的专业人员方面看到了希望。如果你接受培训成为一名事件响应专家，鉴于当前网络安全行业的趋势，你几乎没有空闲时间。与此同时，数字取证也开始发挥作用。

一些因网络攻击而遭受经济损失的组织，通过数字取证技术找回了部分资金。例如，Ubiquiti Networks 公司因网络攻击损失了 4400 万美元，但在数字取证专家的努力下，随后追回了 800 万美元。因此，你也会发现数字取证领域的工作市场需求。事件响应和数字取证是相辅相成的，最好同时学习这两者。如果你选择这两个领域，你将首先学习在不同阶段应对网络安全事件的技术。你还将学习在数字取证调查中使用的工具和技术。一旦掌握了这些技能，你将为进入网络安全行业的有前景的职业生涯做好准备。

大规模企业安全

安全已经成为企业面临的一个广泛且具有挑战性的问题。它涵盖了确保系统和网络的安全、理解攻击者的动机、理解不同类型的攻击、了解用户和目标，并且还包括如何应对攻击的规划。随着组织采用新技术、部署新系统或引入新人员，安全的范围不断扩大。内部 IT 部门的员工往往无法全面梳理这些广泛的内容，确保组织的安全。这也是企业安全专家需求增加的原因。

要从事这一职业，您需要有丰富的 IT 经验。这是因为客户会期望您在 IT 基础设施的七个领域中都具备知识。您还需要掌握最新的网络攻击信息，并了解如何防止或减轻这些攻击的影响。您可能还需要一些软技能，因为您将被期望培训用户了解安全威胁，并教他们如何减少暴露风险或在攻击发生时如何应对。

许多知名机构提供了与此职业相关的多门课程。微软提供了 39 门关于企业安全的课程，涵盖了当今 IT 基础设施的各个方面。其中一门是微软网络安全专业课程，该课程全面涵盖了成为使用微软操作系统的企业安全专家所需了解的所有知识。参加此类课程是一项投资，因为目前已有很多工作机会，未来也将不断涌现。此外，由于这一行业需要经过长期培训并且熟悉所有企业安全需求的专家，因此在这一领域的竞争较少。

渗透测试

大多数组织选择聘请白帽黑客来寻找不同系统、网络甚至用户中的漏洞，识别可以被用来攻击的薄弱环节。渗透测试包括合法尝试攻击组织，目的是发现真实黑客在攻击过程中可能利用的所有漏洞。学习成为渗透测试员，实际上是学习黑帽黑客所使用的黑客概念。黑帽黑客将这些技能用于恶意目的，而白帽黑客则利用这些技能帮助组织保护自己。在渗透测试课程中，将教授在真实攻击中使用的工具和技术。这确保了白帽黑客在技能和技术方面与黑帽黑客保持同步。

领先的大学和在线学习平台已经开始热衷于教授这门课程。关于这门课程涵盖内容的详细大纲可以从 SANS 获得，具体包括以下内容：

初级培训通常会介绍网络安全和伦理黑客的基础知识。学习者随后会进阶，学习在黑客攻击中使用的学习工具、技术和漏洞的分类。真正的伦理黑客训练开始后，学习者将学习如何使用黑客依赖的工具和技术进行基于 Web 的系统渗透测试。接下来，学习者会从 Web 应用程序学到网络渗透，了解可以危及网络及其连接设备的各种工具。在这一阶段，学习者能够侦测网络、窃取网络密码、观察网络中的流量，并针对网络中的设备发起攻击。

渗透测试的阶段包括学习可以用来攻击用户的社会工程技术。用户常常被称为网络安全链中的“最弱环节”，因为他们容易受到操控。白帽黑客会学习如何使用工具和技术挖掘用户的背景信息，针对用户进行社会工程攻击，并在用户成为攻击的受害者时加以利用。通常，社会工程攻击让黑客能够窃取高度安全系统的登录凭证，或直接通过指令让用户进行未经授权的交易，窃取数据和资金。最后，渗透测试课程还会教授学生如何从移动设备上窃取数据。看似该课程可能培养更多的恶意黑客，但实际上，它培养的是保护组织免受黑帽攻击的白帽黑客。渗透测试课程结构合理，旨在推动 IT 行业的伦理价值。

学习渗透测试将带你进入一个有利可图的职业生涯，成为漏洞评估顾问或渗透测试员。随着恶意行为者数量的不断增加，组织将需要能够在黑客攻击之前找到系统漏洞的专家。统计数据显示，组织正在持续增加在网络安全上的 IT 支出，雇佣渗透测试员是他们能做出的最好的投资之一。因此，学习渗透测试是值得的，它能保证你在网络安全行业中获得一个稳定且高薪的职业。

如果你不想参加全球标准化的课程，并且希望直接向全球知名专家学习，像 TrueSec、Cqure 这样的公司也可以帮助你。

TruSec 培训

TruSec 培训的官方网站可以在www.truesec.com/training/找到。

我强烈推荐 Marcus Murray 和 Hasain Alshakarti 的培训：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/94bb2f2a-fb60-41bf-a2c1-0a24a66eb505.png

CQURE Academy

TruSec 同样优秀，提供许多定制化的网络安全培训选项。你可以在cqureacademy.com/找到他们的官方网站。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/552514d8-4201-4882-80ca-a69bf083740d.png

与 Troy Hunt 的培训

Troy Hunt 是一位澳大利亚的网络安全专家，以在各种安全话题上的公共教育和推广而闻名。他创建了 Have I Been Pwned?，这是一个数据泄露查询网站，允许非技术用户查看他们的个人信息是否已被泄露。该网站于 2013 年底上线。你可以通过这个链接访问他的研讨会：www.troyhunt.com/workshops/。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/3328dc37-e14d-408c-8ac6-76bea34d340d.png

Have I Been Pwned?

由 Troy Hunt 创建的这个网站，允许你查看你的个人数据或密码是否已被泄露。该服务完全免费，强烈建议你访问该网站并订阅，以便在被黑客攻击时收到警报。你可以在 haveibeenpwned.com/ 找到这个网站。

DevSecOps

学习机构不断培养出开发人员进入社会。然而，这些机构大多数只关注教授开发人员如何实现应用系统中的功能。很少有开发人员在进入市场时会关注开发中的安全性。随着 IT 环境变得越来越不安全且更不可预测，开发应用和系统时需要一种新的方法。

DevSecOps 是一个前提，声明任何参与软件开发的人都有责任将开发与安全结合起来。最初，安全通常是事后考虑的事情。开发团队会先构建软件，然后再将安全性集成进去。

DevSecOps 不鼓励这种做法，而是强制推行一种新的开发方法，在这种方法中，安全性与所有其他软件开发阶段紧密结合。因此，安全性被嵌入到所有开发过程中，而不是在开发项目结束时作为附加部分加入。

DevSecOps 确保安全的责任在软件开发项目中得到平等分担，并且安全性从开始到结束始终得到集成。通过集成方法，安全性不是围绕系统的边界构建的——它是在系统的每个部分内构建的。这使得恶意人士难以入侵系统。在软件开发过程中，开发人员时刻考虑安全，并不断分享他们对安全威胁的见解以及如何让他们的软件抵抗这些威胁。例如，如果已知的威胁利用了一次性认证过程，开发人员可以在每个软件模块中实施认证，从而使未经授权的人无法在系统中执行任何重要操作，即使他们绕过了初始认证过程。

在学习 DevSecOps 时，你将发展出一种全新的开发视角。这不仅仅是关于功能的实现，还包括软件的安全性。你将学习如何确定软件的风险容忍度，并如何提升它。你还将学习如何进行风险/收益分析。有时，过度的安全性可能会妨碍一些基本服务，或者使软件变得不必要地缓慢。因此，DevSecOps 确保安全性不偏向任何一方，以免由于过多的安全控制使软件变得无法使用，或由于缺乏足够的安全控制而使软件变得不安全。DevSecOps 正在迅速获得市场的认可，组织正在寻找采用这种构建软件方法的系统开发人员。DevSecOps 的好处如下：

• 速度与敏捷性：软件开发以小规模的迭代方式进行，在每次迭代中都会不断增加安全性。此外，安全团队不需要等到软件完成后再集成安全控制。

• 应对变化：IT 环境中会发生许多变化，这些变化有时会影响安全性如何集成到软件中。例如，新的威胁可能会在软件开发过程中出现，开发人员必须通过使系统能够抵御这些威胁来做出反应。例如，旧系统被设计用来检查登录凭据是否与数据库中的匹配。然而，当黑客开始使用密码字典时，软件开发人员通过增加一个计数器来回应，防止超出一定的登录尝试次数。DevSecOps 使开发人员能够以这种方式进行响应。

• 质量保证测试：采用 DevSecOps 方法构建的系统更容易进行测试，因为所有组件都紧密耦合。安全性不是一个模块；而是被集成到软件中，可以在测试软件的其他功能时，进行彻底的测试。

• 早期识别漏洞：通过 DevSecOps，软件不必等到交给漏洞测试人员才能发现漏洞。所有开发人员都有确保系统安全的心态，因此他们总是保持警惕，寻找可能被利用的漏洞。由于许多人在审查代码时专门查找漏洞，几乎所有可能的漏洞都会在开发过程中被识别并解决。

DevSecOps 培训专注于技术转变，教你如何在开发过程中优先考虑安全性。你还将学习如何与其他开发者或安全团队合作，确保最终交付的产品具有高度安全性。DevSecOps 还专注于敏捷性和对变化的快速响应。在培训过程中，你将主要学习代码分析、变更管理、合规监控、威胁调查和漏洞评估等内容。未来，其他软件开发方法将逐渐被淘汰，公司将寻找精通 DevSecOps 的开发者。因此，今天就参加这个课程，为自己在未来的就业市场中占有一席之地。

IoT 安全

在 2018 年上半年，IoT 设备以空前的速度增长，总数达到了 70 亿个。预计到 2020 年，全球活跃使用的 IoT 设备可能达到 208 亿个。

你可以在iot-analytics.com/state-of-the-iot-update-q1-q2-2018-number-of-iot-devices-now-7b/找到更多相关信息。

根据 2018 年上半年两个季度的数字，IoT 设备数量将迅速增长。然而，IoT 设备在安全性方面面临重大挑战。这些设备由不同制造商推出，但普遍缺乏最低的安全要求。因此，许多僵尸网络正在利用这些设备形成。

僵尸网络是由互联网连接设备组成的恶意网络，用于执行拒绝服务攻击或垃圾邮件攻击。如今最强大的僵尸网络之一是 Mirai，它完全由 IoT 设备组成。这些都是由于使用大量不安全设备而带来的后果。

IoT 设备正成为黑客的攻击目标，并被用作进入组织或家庭的切入点。由于这些设备通常连接到网络，黑客通过攻破设备并在网络中进行导航，从而攻击其他设备。

例如，黑客可能突破一个 IoT 设备，进入网络后将恶意软件传播到与该设备共享同一网络的所有计算机。此类攻击已经发生，未来也必然会有更多类似的攻击发生。

由于许多组织正在优先考虑其安全性，它们将寻找专家来保护其 IoT 设备，避免这些设备被黑客操控。除了组织之外，使用 IoT 设备实施智能电网等系统的政府，也将寻找专家来保护这些系统免受攻击。因此，这为 IoT 安全专家提供了机会。

物联网安全是一个快速发展的领域，旨在为物联网技术增添一层可靠的安全性。它旨在消除物联网技术中目前存在的安全漏洞，以使其能够更好地抵御网络攻击。物联网安全由四个步骤组成：

1. 理解物联网流程：物联网设备扮演不同的角色，如收集数据或在系统中实现某些功能。你需要学习如何识别需要保护的流程。某些流程比其他流程更为敏感，物联网控制生命关键系统就是一个很好的例子。

2. 理解产品的工程设计：物联网设备制造商众多，并且由于缺乏行业标准，各自的设备设计方式有所不同。从安全角度来看，了解一些访问控制措施（如登录）是如何实施的至关重要。同时，识别后门和其他不良安全做法也非常重要，这些可能导致设备被攻破。

3. 保护设备：通过对物联网设备工程的深入理解，你可以做出适当的调整以确保设备安全。这些更改涉及实施安全最佳实践，确保设备安全。默认密码可以被更改，后门可以被移除，可以启用加密技术，设备可以被重置以摆脱任何僵尸网络，所有物联网设备可以连接到一个隔离且高度安全的网络。这些更改需要经过深思熟虑，以防止对物联网设备本身造成潜在的损害或服务中断。

4. 实施安全政策：为了确保所有物联网设备的标准化安全，必须设立安全政策，确保在所有涉及物联网设备的地方都能遵循这些政策。由于这些设备具有互联互通的特性，一旦某个不安全的物联网设备被攻破，就可能危及整个组织。因此，必须严格遵守安全政策。

目前已预计市场上将会有更多的物联网设备，因此问题不在于是否会有物联网安全职位，而是如何应对这一趋势。随着物联网设备的快速普及和网络攻击的增多，许多组织将寻求物联网安全服务。因此，这是一个今天就可以开始的安全职业道路。

你可以通过加利福尼亚大学在线免费获取物联网培训，网址为www.classcentral.com/tag/internet-of-things。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/fbd19175-e290-45a7-9094-0aa72e468cf1.png

用户行为分析（UBA）

用户曾导致世界上一些最严重的网络攻击。例如，Yahoo（一家电子邮件服务提供商）遭遇的最严重攻击，仅仅是因为一个用户的点击。联邦调查局（FBI）调查了导致数百万用户账户泄露的原因，发现有针对特定 Yahoo 员工的网络钓鱼邮件。有人说其中一名目标员工点击了一个恶意链接，导致黑客入侵该员工的计算机并利用其访问网络。

一旦进入网络，黑客安装了一个后门，允许他们连接并窃取 Yahoo 的用户数据库。调查发现，负责这些操作的黑客将被盗的数据库交给了其他商业黑客。很快，黑客们开始入侵个人账户，直到 Yahoo 公开了这次攻击的消息。

因此，黑客攻击可以追溯到一个没有遵守安全政策并点击了恶意链接的单一用户。网络中可能有难以突破的防御措施，但一旦登录用户被攻破，黑客就容易完成他们的任务。这种情况可能发生在任何组织。用户的粗心大意以及他们的错误可能导致灾难性的网络攻击。

网络犯罪分子将利用被入侵的计算机来实现某些功能。例如，他们可以利用财务部门员工的被入侵计算机发起财务交易。

UBA 是一项旨在避免用户遭到入侵时发生灾难的新技术。通过 UBA，大数据分析用于绘制正常用户行为模式。例如，财务部门的员工可能会记录在特定日期向特定账户转账某些金额。当某个用户表现出异常行为时，系统会触发警报。例如，如果一名财务部门员工的账户进行异常大额交易或在异常时间进行交易，UBA 将发出警报并阻止交易进行。这样就能防止攻击的实现。

UBA（用户行为分析）已经被无法承受巨大损失的大型组织采纳。例如，全球银行使用的 SWIFT 全球支付网络就采用了这种系统。2016 年，孟加拉国中央银行发生了黑客攻击，黑客发起了大额交易，其中一些交易被 SWIFT 拒绝。

黑客通过发送欺诈性消息和恶意软件窃取了 8100 万美元，这使得他们能够入侵银行的SWIFT（环球银行金融电信协会），看似是从孟加拉国达卡的中央银行发出的。尽管大部分转账被阻止，但约 8100 万美元仍然被转账至菲律宾的一家银行。此后，这笔钱被转移到赌场和赌场代理商，并且大部分至今仍然下落不明。

根据 SWIFT 的说法，黑客获取了银行员工的有效凭证，然后使用这些凭证发起资金转账，仿佛他们是合法的银行员工。

随着人工智能和大数据分析的进步，UBA（用户行为分析）正在变得越来越好。未来，许多组织将采用这样的 UBA 系统。因此，针对这项技术的咨询服务潜力巨大。现在有一些在线学习平台提供多个 UBA 课程的培训，旨在帮助对抗网络攻击。此类课程会教你如何在组织中安装和配置 UBA 系统，收集正常的用户数据，并在检测到威胁时定义应采取的措施。由于大多数操作由 UBA 系统自动执行，因此大多数工作都集中在安装、配置和学习过程中。凭借这些信息，你可以成为一名知名的 UBA 系统安装、用户培训和故障排除的咨询顾问。由于许多组织将部署这些系统以帮助应对黑客攻击、垃圾邮件、恶意软件传播以及员工泄漏等问题，任何经过 UBA 培训的专业人士在未来都能找到大量的工作机会。

学习凭证是如何工作的，Pass the Hash（PtH）是什么。截至 2019 年 4 月，这类攻击依然非常活跃和有效。

PtH 是一种攻击技术，攻击者捕获密码或哈希值后，直接使用这些密码或哈希进行身份验证。

2019 年 4 月，微软确认他们的免费电子邮件服务（Outlook/Hotmail /MSN）已遭到入侵。支持人员的凭证被窃取，黑客通过这些凭证未经授权访问某些账户，查看账户的电子邮件地址、文件夹名称及部分电子邮件。

你可以通过微软发布的白皮书学习如何减轻 PtH 攻击和其他凭证盗窃攻击。你可以从以下网址下载并阅读白皮书：www.microsoft.com/en-us/download/details.aspx?id=36036

同时，拥有特权访问工作站（PAWs）可以帮助你最小化潜在的网络攻击和威胁向量。你可以在这里了解更多关于 PAW 的信息：docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/privileged-access-workstations

若要了解更多关于网络安全攻击与防御策略的内容，您可以阅读一本由 Packt 出版、Yuri Diogenes 和我共同编写的书籍：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/d7395734-1c9f-413f-b8eb-2c81119bf0af.jpg

端点检测与响应（EDR）

EDR 已被预测为未来的事件响应技术。普通的事件响应团队并不总是对攻击有足够的了解，无法迅速识别攻击原因，减轻其不良影响并恢复情况。即使攻击已经结束，普通的事件响应人员也不能确保能够防止未来类似攻击的发生。EDR 是一个用于检测和调查终端设备上事件的工具组合的术语。

这项新兴技术通过提供更可靠、及时的事件响应，重新定义了事件响应的含义。EDR 不仅仅是一个工具——它由不同的工具组成，这些工具持续监控终端、网络和用户，并集中存储所有重要信息。

EDR 由强大的分析系统提供支持，这些系统从中心点运行，以识别由在不同系统中运行的监控代理记录的任何异常数据。当安全事件即将发生时，EDR 会向系统和网络管理员发出潜在攻击的早期警告。例如，EDR 可能会检测到某个服务器的内部防火墙不断阻止来自某一来源的可疑流量。EDR 将警告该服务器即将遭受攻击，以便采取预防措施。有些 EDR 可以与其他安全软件（如防病毒程序）集成，在检测到恶意软件已传递到终端时，进行干预。

EDR 技术将在不久的将来被希望进行持续监控以威慑攻击并协助事件响应的组织广泛采用。这项技术已被视为当今网络安全基础设施的核心组成部分。由于攻击将持续增加，组织将需要一个工具来帮助事件响应团队在攻击发生时迅速识别原因并加以缓解。因此，他们将寻求能够将 EDR 部署到其 IT 基础设施中的专业人员。此外，掌握 EDR 技术将为您在 IT 职位上带来优势。因此，学习这项技术是非常值得的。

摘要

今天，网络空间发生了不可避免的变化。网络攻击正在增加，且变得越来越复杂。这些变化也正在塑造网络安全领域的职业发展。传统的网络安全方法正在慢慢被淘汰，新技术正在被采纳。未来网络安全行业的就业市场将受到这些技术的显著影响。

本章介绍了一些目前最有前景的学习技术。对这些技术的分析是依据其适用性和未来就业前景进行的。我们讨论的技术将会在不久的将来成为网络安全领域的主流。掌握这些技术，将有助于你在 IT 行业，尤其是网络安全行业从事不同的职业。如果你选择进入普通的 IT 职业领域，这些技术也将为你提供额外的优势。

深入阅读

以下是一些可以用来深入了解本章内容的资源：

• 渗透测试：www.sans.org/curricula/penetration-testing

• 什么是 DevSecOps？开发更安全的应用程序：www.csoonline.com/article/3245748/devops/what-is-devsecops-developing-more-secure-applications.html

• 什么是 DevSecOps？：www.redhat.com/en/topics/devops/what-is-devsecops

• 物联网现状 2018：物联网设备数量已达 70 亿—市场加速发展：iot-analytics.com/state-of-the-iot-update-q1-q2-2018-number-of-iot-devices-now-7b/

• 物联网安全（Internet of Things 安全）：internetofthingsagenda.techtarget.com/definition/IoT-security-Internet-of-Things-security

• 5 项新兴安全技术有望改变战局：techbeacon.com/5-emerging-security-technologies-set-level-battlefield

第四章：网络安全职业所需的技能

对网络犯罪的关注日益增加，为网络安全行业带来了稳定的职业机会。与十年前不同，现在的组织不再依赖网络管理员或 IT 管理员来承担网络安全的重担。相反，他们已经引入了精通各种攻击或威胁的专家，来改善组织的安全架构。本章将探讨就业市场，帮助我们找到组织正在招聘的网络安全岗位，以及你可以学习的需求技能，帮助你转行、转职或在网络安全领域建立职业生涯。

本章将涵盖以下主题：

• 一般的网络安全岗位

• 网络安全需要掌握的技能

• 根据当前的职业经验和技能选择要学习的技能

一般的网络安全岗位

目前，网络安全行业正在迅速增长，职位需求量大。据报道，现有人员数量不足以填补所有网络安全岗位。以下小节将介绍一些组织正在招聘的主要岗位。

渗透测试员和漏洞测试员

保护组织免受黑客攻击的一种方式是，在黑客出现之前，先识别并修复其漏洞。渗透测试员本质上是白帽黑客，他们按照系统所有者的要求，入侵或尝试入侵系统。在安全职业中，渗透测试在就业市场中的重要性日益增长。由于组织无法 100% 确定他们已经实施的安全工具足够保护自己，因此他们始终在寻找能够突破这些防护的人。渗透测试职业涉及使用常见的侦察或黑客工具，如 Metasploit 或 Wireshark，来测试组织的安全状态。它还包括审查用于创建组织运营系统的代码。对于许多喜欢这项工作的人来说，这个岗位唯一不那么令人兴奋的任务是编写关于漏洞发现和所需修复的冗长详细报告。

网络安全顾问

虽然组织专注于提升其安全水平，但他们也在考虑降低执行这一目标的财务负担。单独雇佣全职员工来评估组织的安全性被视为对组织的一项额外开支。与其他 IT 角色（如帮助台支持）不同，一些网络安全角色并非日常性任务，因此可以每月进行一次或两次。此外，网络安全领域的人才短缺。因此，具备这些技能的员工更频繁地更换工作岗位，因为他们能够获得更好的薪酬待遇。因此，组织越来越多地需要雇佣第三方专家来评估其威胁环境和暴露情况。网络安全咨询角色对初学者来说非常有利，因为它们是获得实际工作经验的途径，这些经验以后可能会在固定岗位上派上用场。网络安全顾问通常专注于特定角色，因此任何追求这一职位的人都应确定自己擅长的领域。

网络安全经理

预计现有的系统和网络管理员无法承担网络安全的重任。他们可能缺乏专业知识，或被网络犯罪的趋势所甩在后面。这就是为什么组织正在设立网络安全经理职位，以监督网络和系统上的所有网络安全计划。这些经理所承担的角色如下：监控政策的合规性，确保进行 IT 安全审计，跟踪修补程序或威胁缓解工作，并管理任何网络安全事件。网络安全经理是组织网络安全工作的支柱，因此被期望在这一领域拥有广泛的知识。

网络安全分析师

他们是组织中网络安全的新前线。由于公司面临许多网络安全事件——其中一些最终成为成功的攻击，而其他则被挫败——因此需要专家来进行调查。网络安全分析师分析所有安全事件，以获取可能用于防止未来攻击的信息。例如，他们可能会追踪黑客可能采取的路径，以便获得对敏感文件的访问权限。可能是系统管理员使用了默认密码，或者其中一位管理员落入了社交工程骗局并泄露了密码。网络安全分析师确保提供足够的信息，以防止类似的攻击再次发生。

网络安全工程师

这是网络安全领域中的一个中级职位，组织始终在寻找人才来填补该职位。这个职位在组织的安全体系中发挥着重要作用，因为工程师需要设计一个可靠的安全基础设施。这包括制定全面的安全政策、创新的威胁预防方法、威胁缓解或响应计划，以及其他许多安全措施。网络安全工程师还需要确保系统和网络无法被突破。因此，所有实施的审计、渗透测试或安全工具都依赖于这些输入。最后，工程师还需要确保从公司高层获得对所需安全工具采购的支持。

首席信息安全官（CISO）

在许多案例中，担任网络安全关键职位的初级员工未能说服高层批准采购安全工具或进行全公司员工的安全培训。CISO 职位的设立是为了让 IT 部门在公司高层管理中拥有直接代表。CISO 负责整个组织的安全事务，负责指导运营并为网络安全职能争取资金分配。他们还确保安全政策从上至下的合规性。CISO 的职位通常由那些具备技术和管理技能的高学历人才担任。

首席安全官（CSO）

这是另一个在组织中担任高级职位的角色，负责向高层提供所有安全职能的代表。CSO 扮演着确保组织拥有的物理和数字资产安全的最重要角色。担任此职位的人确保安全投资能为企业增值。他们通过采取措施保护业务流程，确保这些流程不被或极少受到众多网络犯罪攻击的干扰，从而实现这一目标。CSO 确保组织拥有有效的业务连续性计划，以防止网络攻击导致企业停滞不前的局面。他们还确保已经实施了足够的安全工具和技术，防止网络攻击可能带来的数据、财务和声誉损失。CSO 职位通常只会分配给那些拥有丰富 IT 工作经验和充分网络安全培训的合格人员。

计算机系统管理员

这不是市场上的新角色——它已经存在很长时间了。然而，市场对能够填补这一角色的技能需求正在增加。系统管理员通常负责管理系统组件，确保它们按预期工作。由于网络安全威胁的存在，这个职位的职责有所增加。职责包括确保系统以安全的方式构建、能抵御常见的安全威胁、在发生数据泄露时保障敏感数据的安全，并能在遭受攻击时继续运行。系统管理员大多拥有信息技术、计算机工程或计算机科学的学位。

密码学家

组织意识到通过加密保护传输和存储中的数据的重要性。这确保了即使黑客能够突破系统或拦截流量，他们窃取的信息也无法发挥作用。互联网最初并未为安全设计，因此对于组织来说，确保与客户交换的信息端到端加密已成为一项负担。除此之外，黑客在渗透组织和窃取数据方面变得更加高效。他们已经能够突破那些被认为是高度安全的组织。一旦数据被窃取，只有加密才能使其无法使用。这就是为什么组织聘用能够可靠加密数据、电子邮件和互联网连接的专家。密码学家提供这些服务，使用最实用的加密算法来实现每种功能。密码学家通常拥有计算机科学学位，并获得密码学领域的附加认证。

计算机取证专家

计算机取证专家，和其他取证专家一样，被召集来调查网络犯罪事件。他们可以识别事件的原因、收集可以在法庭上使用的证据，或恢复被黑客窃取的信息。计算机取证包括大量可能脆弱的数字数据，特别是当这些数据计划用于法庭时。因此，这些专家有时与法律专业人士合作。取证专家可以可靠地追踪被窃取的数据或资金流向，并启动恢复工作。他们甚至已知会通过多个黑市的商品列表，伪装成盗版数据的买家，作为恢复数据的一部分努力。除了在企业工作外，计算机取证专家还可以在刑事案件中作为顾问，检查数字犯罪现场。典型的计算机取证专家通常会修读取证学位课程，并获得公认机构的认证。

网络安全工程师

网络安全工程师专门为网络提供安全解决方案。因此，他们的工作围绕着广域网（WAN）、局域网（LAN）和服务器展开。他们负责实施多个网络工具，如防火墙和入侵预防系统。他们致力于确保组织拥有足够的边界安全系统，以防止攻击。他们还管理网络中的关键硬件，如路由器和交换机，以确保它们不被攻击，并在任何时候都提供可靠的服务。大多数网络安全工程师将具备网络方面的教育背景，并获得网络安全认证。

信息保障技术员

在数字世界中，信息至关重要。然而，它也越来越成为网络犯罪分子的目标。网络安全的重点是保护信息的 CIA 三元组。这个三元组由机密性、完整性和可用性组成。信息保障技术员的工作重点与此相同。他们通过建立信息风险管理措施，确保信息在需要时随时可用。信息风险管理涉及与信息的使用、处理、存储和传输相关的所有风险向量。

数据安全分析师

数据安全分析师职位是一个入门级职位，但在组织中扮演着一些敏感角色。由于网络犯罪的威胁，许多组织会雇佣顾问来查找它们的漏洞或审计它们的安全系统，并提出发现的结果。需要有专家将多个评估报告协调成可执行的计划，确保网络、系统和数据的安全。此外，组织还需要有人持续监控系统的安全事件，并在必要时做出响应。敏感数据需要额外的保护，并且其可用性也应该得到保证。因此，应该有专人保护数据，使其在间谍攻击期间依然安全。如果一些用于日常操作的数据的可用性受到影响，还需要有人提供多个冗余。数据安全分析师扮演着这些角色，以及许多其他角色。他们将是应对网络攻击的不可或缺的响应者，以确保组织的数据安全。

IT 安全合规分析师

网络犯罪事件对组织造成的损失是昂贵的，不仅仅因为它们涉及现金盗窃。网络安全漏洞通常伴随着一些不幸的后果，例如因未能保护个人信息或未遵守有关数据安全和向用户披露攻击的规定而被罚款。公司因此被罚款数百万美元。监管机构也在不断推出更为严格的政策，组织必须遵守这些政策。最后，组织通常会非常重视制定旨在减少威胁暴露并帮助响应和恢复过程的安全政策。然而，很少有关注点放在对这些政策的遵守上。IT 安全合规分析师提供必要的帮助，以确保遵守内外部安全政策。在内部，他们确保员工遵守安全政策。他们可能会制定措施来追踪并奖励合规或不合规的行为。

在组织外部，这些专家确保组织满足规定的监管要求。IT 安全合规分析师通常熟悉许多用于制定安全政策的框架。这些框架包括 NIST 和 ISO 27001 等。他们也熟悉组织必须使用的安全控制措施，以保护其系统和网络。他们利用这些知识确保用户遵守所有适用的安全政策。例如，他们可能会审查系统中用户的密码强度，并通知密码较弱的用户更改密码。最后，他们了解所有影响组织的适用法规，包括本地和国际法规。

系统安全专家

系统安全专家是精通计算机硬件和软件、专注于网络安全的专家。他们在组织中扮演着多种角色，以确保安全。值得注意的是，安全涵盖了物理和数字威胁。因此，服务器的物理盗窃今天与拒绝服务攻击一样，也是网络威胁之一。系统安全专家确保组织中的数字资产（如服务器和工作站）的物理安全。他们还会测试已部署的安全措施，例如火灾探测器、服务器的门禁卡系统等。此类专家还会实施安全补丁并测试软件，确保它们不受已知威胁的影响。他们还会独立评估计算机及其系统面临的漏洞，因此可以使用常用工具来识别系统中的漏洞。系统安全专家还确保关键系统具有冗余设计，这些冗余可以在遭受攻击时启动，以确保业务运营不会停滞。他们与其他 IT 人员合作，实施连续性和灾难恢复计划以及缓解方案。由于职责广泛，这些专家对 ISO 模型中的七个层级的安全知识了如指掌。

网络安全领域需要掌握的技能

网络安全是就业市场上最具动态性的职业之一。尽管它提供了相当多的职业选择，但你需要掌握的技能却不断变化。这主要是因为网络安全需要对网络犯罪领域的变化作出反应。因此，当网络犯罪分子改变战术时，网络安全专业人士也需要进行调整。例如，十年前，恶意软件清除是市场上非常抢手的技能。然而，由于自动化的进步，安全工具现在可以完成这一任务，因此这一技能逐渐失去了相关性。同样，新的攻击方式也会强调某些技能，而削弱其他技能的关注度。例如，2016 年 WannaCry 和 NotPetya 攻击事件引起了对加密技术技能的关注。对于网络安全行业的初学者或希望拓展自己技能的专家来说，有许多技能是值得掌握的。

人力资源部门正在面临市场上网络安全技能短缺的问题。虽然这对招聘人员来说是个坏消息，但对于那些掌握了基本网络安全技能的人来说却是好消息。许多缓解因素使得网络安全专业人士迅速被市场接受，包括以下几点：

• 许多求职者偏好大公司：由于网络安全与普通的 IT 资格相契合，行业专家更倾向于在知名公司获得职位。这使得小型公司和非科技公司申请者较少。因此，有策略地瞄准小公司职位的求职者更有可能获得工作机会。

• 技能差距的扩大：网络安全领域的专家与初学者之间存在技能差距。人力资源经理在招聘高级安全职位时面临着巨大的挑战。有时候，网络安全职位的空缺可能会几个月都找不到合适的候选人。然而，一些方法，例如在公司内部进行所需职位的培训，未必足以满足所有的组织网络安全需求。

• 网络安全岗位的高流动率：这是那些人才稀缺岗位的普遍问题。组织迫切需要聘用合适的人才，因此他们最终会从其他公司挖角，并提供其他公司难以超越的薪酬待遇。

网络安全领域的所有这些挑战应该足以让你考虑获得一些技能，从而使你成为被高度需求的人才。让我们在接下来的子章节中详细讨论这些技能。

基础技能

这些技能为网络安全专业人员提供了基本的素质要求。它们是每个行业从业者理想中应具备的基础技能。

风险管理

风险是推动网络安全的动力。因此，网络安全专业人员应该熟悉风险管理方面的信息。当他们担任一些典型的网络安全角色时，他们将应对某种形式的风险。此外，还有一些角色要求专业人员向企业高层展示系统和网络中存在的风险，并用他们能够理解的语言进行说明。

网络

网络犯罪分子主要攻击的攻击面之一是网络。网络在组织中起着关键作用，因为它们连接计算基础设施，并允许大多数数据交换服务得以进行。因此，显然，网络安全专业人员必须具备足够的网络知识。有多个认可的机构提供网络学习和认证培训。

情境意识

攻击者在攻击方式和使用的工具方面正在不断发展。这意味着网络安全专业人员必须了解网络犯罪的变化。他们应该掌握最新的攻击趋势以及如何进行缓解。情境意识使得网络安全专业人员能够根据当时的主要威胁理解如何最佳地保护组织。

工具包

与电影中通常呈现的情况不同，黑客攻击是一个缓慢的过程，并且高度自动化。因此，黑客会使用一些工具包来执行操作。在网络安全领域，专业人员也使用一些工具包来扫描威胁或阻止正在进行的攻击。网络安全专业人员需要知道如何使用这些工具包或他们所在组织提供的任何其他专用工具。

安全分析师技能

网络安全中的许多角色要求你熟悉分析网络和计算环境，以便检测威胁和漏洞。以下是你应具备的一些分析技能。

威胁评估

威胁评估在网络安全职业中至关重要，因为组织安全的本质是保护其免受威胁。因此，你需要了解不同类型的威胁及其特点。专家应该了解这些威胁的传播途径以及它们可能造成的影响或损害。威胁评估技能最好通过实践演练获得，这些演练能使你接触到这些威胁。你应该在进入职场之前掌握这一技能，因为它至关重要。

漏洞评估

与威胁评估密切相关的是漏洞评估技能。漏洞评估是任何网络安全人员工作基本定义的一部分。该技能用于主动寻找计算机系统和网络中可能存在的威胁。网络安全专家需要了解如何识别漏洞并确定其被利用的可能性。有多种工具和技术可以用来检测漏洞。希望从事该领域工作的人员应学习如何使用这些工具，并了解如何实施一些技术。一个常用的漏洞评估工具是 Nmap，它可以扫描网络以识别连接的设备，并扫描这些设备以识别可能被利用的开放端口。然而，Nmap 使用命令行界面，因此你需要学习如何通过命令行发出不同的扫描命令。代码审查是一种常见的识别漏洞的技术，专家可以判断系统中使用的代码是否容易受到攻击。例如，网络安全专业人员应该能够判断登录页面的代码是否容易受到 SQL 注入或跨站脚本攻击。他们可以通过验证所有输入在处理之前是否已进行验证来做到这一点。

日志收集与分析

网络安全专家需要能够找到历史数据，以帮助揭示更多关于网络安全事件（如黑客攻击）的信息。此外，他们还需要能够在必要时收集计算机、网络或系统的操作信息，例如，如果系统上有可疑行为，且所有者希望了解其原因。日志收集涉及设置自动化数据收集系统，记录系统或网络上的活动时间戳。一些系统自带内置日志模块，而另一些系统则需要第三方应用程序来实现这一功能。网络安全专业人员应该了解可以用于日志数据收集和分析的工具。例如，Wireshark 是一个用于网络连接的良好日志工具。它还可以用来分析收集到的日志。你可以查看所有设备的 IP 地址，它们在网络中进行通信的端口，以及通信的来源和目的地等信息。

主动分析

网络安全专业人员应该能够进行主动分析，而不依赖于数据日志或任何辅助工具。有些攻击，例如社交工程，可能很难通过软件工具进行分析。网络安全专业人员需要知道应该提问什么问题或调查哪些系统。如果发生了社交工程攻击，很可能攻击者通过电子邮件或社交媒体与目标建立了联系。因此，可以要求受害者分享可疑的电子邮件或社交媒体互动。如果工作站被黑客攻击，用户可以被要求诚实地告诉他们访问过的网站或点击过的链接。网络安全专家的直觉可以帮助收集许多工具无法获取的信息。

事件响应

网络安全专业人员需要随时准备应对诸如入侵或可疑网络活动等事件。在应对事件时，他们应该专注于阻止威胁、减轻影响并恢复受影响的系统。在这种情况下，他们的另一个重要角色是安抚整个组织。接下来，我们将介绍他们需要具备的一些技能，以便能够做到这一点。

灾难恢复

组织应当制定灾难恢复计划，以便在发生安全灾难时使用。这些计划需要经常审查和更新。此外，在实际灾难发生时，还需正确实施这些计划。网络安全专业人士应具备执行这些任务的技能。灾难恢复有助于组织在遭受攻击后保持稳定，因此备受关注。为了确保灾难不会影响业务运营，专业人员通常采取一些常见的灾难恢复技术，如启用备用站点和从备份中恢复数据。因此，网络安全专业人士应至少能在必要时执行这些功能。

取证

网络攻击留下了许多线索，可以用来恢复被盗的物品或将罪犯绳之以法。虽然有专门的网络取证专家，但从事此类工作的其他专业人士也应该具备一定的取证知识。学习在攻击发生后如何保存数字数据至关重要，以免丢失一些证据。其他员工可能不了解这一点，因此网络安全工作人员在攻击发生后有责任指导他们，告诉他们可以做什么或不能做什么。例如，如果员工未被告知，他们可能会删除包含入侵证据的程序，或篡改一些本可以用于调查的记录。

渗透测试技能

对于那些在获得正式职位之前仍想获得短期合同的人来说，渗透测试是一项网络安全专家会觉得有价值的技能。由于它是网络安全行业中的一个细分领域，渗透测试得到了高度认可，因此可以轻松帮助你找到工作。渗透测试课程教授专业人士如何使用恶意黑客采用的相同工具和技术，找到计算机系统中的弱点和漏洞。这也符合那句俗话，“捉贼先想贼心”。渗透测试能培养你具备黑客思维，使你能够在计算环境和网络中搜寻任何可以被利用的漏洞。让我们来看看网络安全专家需要具备的一些基本渗透测试技能。

情报收集

侦察是任何攻击中的关键部分。黑客花费大量时间寻找能够帮助或引导他们进行攻击的信息。网络安全专业人士应该具备同样的心态，收集可以最终用于攻击组织 IT 基础设施的数据。这些情报收集技术包括端口扫描、操作系统指纹识别、数据挖掘、检查员工的社交媒体帖子以及垃圾桶翻找。情报收集会产生可以用于保护所使用系统的情报，或者警告用户他们通过发布某些信息而暴露自己所面临的危险。例如，网络安全专业人员可能会通过垃圾桶翻找来寻找用户不当丢弃的敏感数据。他或她可能会发现印刷版的电子邮件通信、写在便签上的密码，或某个系统的用户名列表。这些敏感信息每天都会被丢弃到垃圾桶中，而这些信息并没有以安全的方式被处理。黑客可以轻松地找到这些信息，而无需突破组织的防线，并利用它们进行攻击。

事件报告

网络安全职业中不太光鲜的一部分是编写关于攻击事件或扫描结果的详细报告，这些扫描或事件已经在组织中进行。你必须学会如何向非技术性观众正确且清晰地呈现发现的结果。这并不是一项难以掌握的技能，但从事这一职业的人应该具备它。

克制

渗透测试员和恶意黑客之间唯一的区别是他们站在哪一方的法律之下。渗透测试员可能会变成恶意黑客。例如，一位受银行雇佣的渗透测试员可能会发现一个漏洞，通过该漏洞他们可以进行资金转账而不会触发警报。滥用这一权力和知识的诱惑是巨大的。然而，你需要在使用你的特权访问权限或强大工具时保持克制。如果没有克制，你将会追逐利用给定访问权限进行网络攻击并删除证据的短期利益。最终被发现只是时间问题。

安全架构技能

网络安全不仅仅关注威胁、漏洞和攻击——它还包括构建能够防止攻击发生的强大系统。网络安全的最终目标应该是可持续的解决方案，这些解决方案能始终为合法用户提供服务。许多系统的安全架构侧重于强有力的安全控制，旨在防止攻击，或增加黑客的额外负担，从而降低他们进行攻击的效果。我们来看看一些网络安全专家应该具备的安全架构技能。

身份与访问管理

身份和访问管理是计算机系统每天都会执行的常规任务。用户必须进行身份验证才能访问其计算机、网络、ERP 系统和应用程序。这些系统和网络具有身份验证模块，若被篡改，可能会使恶意人员获得访问权限。此外，某些情况下，系统可能配置不当，导致用户拥有过多权限。最后，一些设置可能会允许使用访客帐户来执行敏感操作。网络安全的部分工作就是确保身份和访问管理正确执行，避免将组织暴露于更多的威胁之下。网络安全专家需要掌握多种身份和访问管理系统。例如，许多组织有管理连接到特定域的计算机的域控制器。网络安全专家应该知道如何访问域控制器并执行一些操作，如添加或删除用户权限。

网络配置

网络在组织中是不可或缺的，每当提到安全问题时，它们总是会成为焦点。网络安全专家应当熟悉诸如子网划分、网络分段和隔离等网络技能。此外，他们还应该知道如何设置防火墙和入侵检测系统。理想情况下，他们应能够进行网络中的基本设置和维护任务。他们还应该熟悉组织网络的布局，并能在必要时对其进行修改。

系统强化

主机、服务器和应用程序不应成为攻击者轻易妥协的“活靶子”。它们应该经过强化，以抵御黑客攻击，使得黑客在突破组织安全之前受到很大的阻碍。强化可以通过多种方式进行，网络安全专家需要了解其中的大部分方法。这包括应用多个安全层来防止黑客获取访问权限。

例如，一个组织可能会使用 ERP 系统来处理日常任务，并保护敏感的用户信息。这个 ERP 系统可能运行在本地服务器上。为了入侵这个应用程序，黑客可能会采取多条路径，其中之一是通过攻击服务器。网络安全专业人士可以安装入侵防御系统和防火墙来防止这种情况发生。黑客也可能选择通过暴力破解攻击应用程序的登录界面来入侵。网络安全专业人士可以实施机制，防止在短时间内进行多次登录尝试。最后，黑客可能会尝试使用社交工程手段，试图让使用 ERP 系统的员工提供密码。网络安全专业人士可以实施双重身份验证，并对员工进行钓鱼攻击的培训。通过这些手段，ERP 系统将得到加固，因此被黑客攻击的可能性非常小。网络安全职业包括许多类似的功能，因此该领域的专家需要了解如何加固不同的系统。

根据当前的职业经验和技能选择要学习的技能

网络安全常常受到技能短缺的影响，因此组织通常会寻找初学者和专家来填补安全职位。对于那些已经从事其他职业的人来说，他们所拥有的一些技能和经验可能在网络安全的某些细分领域中派上用场。对于那些刚开始从事网络安全职业的人来说，有一些技能能够推动他们的职业发展。对于初学者来说，职业的起步应该集中在获取那些能够迅速让你找到工作的技能。幸运的是，网络安全行业充满了许多入门级职位，组织正在寻找行业中的初学者来填补这些职位。该行业也对来自其他领域的经验丰富的专业人士非常友好。招聘人员难以找到高度经验丰富的专业人士的一个主要原因是，因为他们几乎总是在市场上出现时立即被雇佣。因此，开始你的职业生涯并加入这个备受追捧的群体永远不会太晚。本节帮助求职者根据他们当前的职业技能和经验确定应该掌握哪些技能。以下是一些技能的细分，按它们对初学者或经验丰富的专业人士进入职场的友好度和易用性进行分类。

道德黑客技能

也被称为渗透测试，道德黑客为学习者提供了市场需求强烈的技能，这些技能总是受到人力资源经理的青睐。此课程最吸引那些刚入职的初学者。培训内容以实践为主，对于那些有较强技术背景的学习者来说可能更容易掌握。所学的技能内容广泛，能够在职业生涯中给予你巨大的推动。虽然一些有经验的人也可能觉得这个课程有吸引力，但它可能不是最好的选择，因为它将你置于网络安全职业领域的入门级岗位。然而，已经在 IT 领域的专业人士，如 IT 人员，参加此课程后将获得很多优势。他们有机会在其他组织中获得晋升或更高薪资的职位。

应用安全技能

应用安全意味着所有过程和检查都到位，以确保应用程序的安全性。由于 ERP 系统和其他定制业务解决方案的广泛应用，应用安全正变得越来越重要。应用安全技能培训通常适用于初学者和 IT 行业的入门级员工。在参加此课程之前，初学者需要熟悉应用程序开发。已经在就业市场上的入门级员工应积极参与应用程序开发。学习应用安全可以显著提高你在网络安全行业获得更高薪资职位的机会。经验丰富的专业人士可能不会认为此课程有利，因为它会将他们降级到入门级职位，并且对于非技术学习者来说可能是一项艰难的学习挑战。

云安全技能

云技术并非过时的技术，因此它已经吸引了具备正确网络安全思维的员工。由于云操作具有技术性，领域内大多数经验丰富的人员都非常精通技术。因此，云安全技能最吸引的是已经在云计算行业的专业人士，包括云架构师和云应用开发人员。经验丰富的人员将能够在自己的工作领域获得更高级的技能，从而在需求和薪酬方面具有一些优势。尽管初学者可能仍然希望通过这个课程进入网络安全领域，但他们将面临陡峭的学习曲线，且仅凭一张云安全认证可能无法获得长期工作。

DevSecOps 技能

DevOps 是一个软件开发术语，指的是开发与 IT 运维的整合。它旨在确保组织中的业务单元作为一个团队运作，打破部门作为独立单位的个人主义观点。DevOps 的目标是让各部门协同运行，这通常涉及一些业务操作的整合和数据共享。然而，DevOps 也给组织带来了更多的风险，因为一个部门的风险会传播到整个组织中。DevSecOps 确保在开发过程中能够缓解诸如应用程序漏洞等风险。因此，企业级应用的安全控制会在开发阶段就得到实施。DevSecOps 主要适用于经验丰富的 DevOps 专业人员。接受必要的培训可以提升专业人员的职业生涯，使他们能够晋升到更高的职位，例如项目经理。

威胁和漏洞评估技能

威胁和漏洞评估技能用于识别组织中的威胁和弱点，并提出解决方法。威胁和漏洞评估技能既适用于市场中的初学者，也适用于专业人士，但仅限于技术领域。通过参加必要的课程，初学者可以进入网络安全行业，找到稳定的工作。对于专业人士来说，这些技能将大大推动他们的职业发展。越来越多的组织正在为掌握网络安全知识的人设立高层职位，这些职位包括首席信息安全官（CISO）和首席技术官（CTO）。拥有威胁和漏洞评估技能使你更接近这些职位，甚至可能被任命为这些职位。

信息安全管理技能

信息安全管理技能专注于对涉及信息收集、处理和存储过程的顶层管理，以确保信息得到充分的安全保障。通过这样的课程获得的技能对于已经从事 IT 领域工作的你来说，将有助于你职业生涯的发展。不幸的是，初学者可能不会从这类课程中受益，因为他们不太可能被赋予管理职位。而有经验的专业人员，如果花时间获取信息安全管理（ISM）所需的培训和认证，将更有可能获得与安全相关的高级管理职位。这些职位包括首席信息安全官（CISO）和首席技术官（CTO）。

网络安全诉讼支持技能

为了帮助组织在遭遇诉讼或提起诉讼时采取法律行动，法律职业已成为组织中必不可少的部分。然而，普通律师可能缺乏足够的网络安全知识，因此他们可能需要进行一些培训，才能具备处理网络安全案件的必要技能。这些技能对于现有法律领域的专业人士最为有益，尤其是那些希望拓展能代表的客户类型的人。对于初学者来说，这门课程并不友好，因为他们缺乏必要的法律和网络安全基础知识。

法规合规与审计技能

各种国家和地区已通过多项法律和法规来治理网络空间。有时，组织很难判断自己是否符合所有相关法规。例如，美国有一项 COPTA 法案，禁止组织收集 13 岁以下用户的信息。欧盟通过的 GDPR 规定要求组织告知用户其收集、处理、共享和存储个人数据的方式。此外，还有许多其他的法规。如果不遵守这些法规，会产生一系列后果。因此，网络安全行业对那些熟悉合规规则的审计员非常欢迎，以确保组织完全符合所有适用的法规。法规合规与审计培训通常针对已有审计经验的专业人士，也可能吸引那些已经参加过审计课程的网络安全初学者。

总结

本章广泛讨论了在网络安全领域建立强大职业的议题。它首先介绍了当今就业市场中的一般网络安全职位。所列出的职位虽然不全面，但包括渗透测试员、网络安全顾问、网络安全经理、网络安全分析师、网络安全工程师、首席信息安全官（CISO）、首席安全官（CSO）、计算机系统管理员、密码学家、计算机取证专家、网络安全工程师、信息保障技术员、数据安全分析员、IT 安全合规分析员和系统安全专家。这些职位在就业市场中需求量大，且随着其他许多网络安全职位的需求增加而越来越受到青睐。

接着我们讨论了你可以选择学习的技能，以便能被考虑担任任何列出的网络安全职位。值得注意的是，掌握这些技能几乎能确保你找到工作，因为市场上缺乏网络安全专业人员。造成这种短缺的原因包括求职者偏向于大公司、技能差距的扩大，以及许多组织中这些职位的高人员流动率。尽管这些因素让人力资源经理在填补这些职位时头疼不已，但它们也足以激励人们去学习网络安全技能。我们列出了你应该学习的推荐网络安全技能。这些包括风险管理、网络、情境意识和工具包等基础技能。接下来的类别是安全分析师技能，包括威胁评估、漏洞评估、日志收集与分析、主动分析、事件响应、灾难恢复和取证。接下来，我们讨论了你可以获得的渗透测试技能，包括情报收集、事件报告和克制。最后，推荐的安全架构技能包括身份和访问管理、网络配置和系统加固。

本章的最后一部分讨论了个人根据其专业经验和技能可以选择的最可行技能。由于有许多技能可以考虑，因此列出的技能反映了撰写本书时的市场需求。我们看到的一些推荐技能包括道德黑客，它适合网络安全初学者，因为它的学习曲线较陡，而且提供入门级职位；应用安全，同样适合初学者，因为它的学习曲线和职位仅限于入门级薪资；云安全，适合初学者以及 IT 领域的现有专业人员；DevSecOps，适合现有的 DevOps 专业人员；威胁/漏洞评估，被认为适合 IT 领域的初学者和专业人员；信息安全管理和网络安全诉讼支持，分别被认为适合 IT 和法律领域的现有专业人员；以及合规性和审计，被认为对现有审计领域的专业人员最具吸引力。

因此，本章为你提供了足够的指导，帮助你选择一个适合你的网络安全职位。在下一章中，我们将分析不同类型的黑客，以及他们的思维方式和社交技能。

深入阅读

以下资源可以帮助你深入了解本章所涉及的内容：

• 网络安全职位、角色与要求：www.charteroak.edu/cybersecurity/cybersecurity-jobs-roles-requirements.php

• insights.dice.com/cybersecurity-skills/

• IT 团队需要的 10 项关键安全技能：www.cio.com/article/3228965/10-critical-security-skills-every-it-team-needs.html

• 必须学习的 5 个网络安全课程和认证：www.cbronline.com/opinion/top-5-cybersecurity-courses

• 2019 年最受欢迎的 8 项网络安全技能：techgenix.com/in-demand-cybersecurity-skills/

• 2017 年最受欢迎的网络安全技能：techspective.net/2017/02/28/demand-cyber-security-skills-2017/

• 最火热的 20 项安全技能与能力：www.bankinfosecurity.com/20-hottest-security-skills-competencies-a-2024

第五章：攻击者心态

在过去的十年里，网络犯罪有了加速增长。与网络安全和网络攻击相关的成本也急剧增加，组织必须支付更多的费用来确保其基础设施的安全。领先的网络安全公司 McAfee 报告称，2017 年网络犯罪的成本达到了 6000 亿美元。单次攻击的估计成本为 500 万美元，同年因停机和生产力损失而损失了 275 万美元。2016 年，保护组织的成本估计为 810 亿美元。随着网络安全解决方案成本的增加，保护组织的总成本也在上升。因此，全球经济正在因网络犯罪而损失大量资金。这些资金本可以用于更具生产力的用途，但它们要么落入网络犯罪分子之手，要么被用于网络安全解决方案的支出。

因此，从心理学角度看待黑客是至关重要的，这样才能理解是什么驱使他们，并思考可以采取什么措施来阻止他们。本章将探讨黑客的分类、特征及其思维方式。最终，我们将揭示黑客的驱动力，以下主题将会在本章中讨论：

• 黑客的分类

• 黑客的特征

• 黑客的思维方式

• 可以学到什么

黑客的分类

要想深入理解为什么网络犯罪案件如此之多，以及为什么它们可能会持续增加，理解犯罪者的心理至关重要。网络犯罪分子具备技术能力，能够渗透系统和网络，窃取数据、资金，或破坏系统的完整性。以下是主要的黑客分类：

• 黑帽黑客：这些是恶意黑客，他们有目的地渗透系统和网络，进行财务或个人利益的犯罪行为。

• 白帽黑客：他们是义务黑客，试图发现漏洞，以防止黑帽黑客利用这些漏洞攻击系统，从而采取相应的防护措施。

• 灰帽黑客：他们是曾经是黑帽黑客但已经改过自新，转行成为安全顾问的黑客。

• 黑客行动主义者：这些是一些合作的黑客团体，通常进行黑客攻击，以表达政治立场，推动社会变革，比如争取言论自由。

• 网络恐怖分子：这些是使用黑客技能，进行针对生命损失、破坏关键基础设施、造成重大身体伤害以及散播恐吓手段以威胁群体的黑客。

可以假设，灰帽和白帽黑客不会使用他们的技能来实施网络攻击；如果他们真的这么做了，攻击的目的是帮助受害者了解漏洞并采取措施来缓解这些漏洞。黑帽黑客会针对个人和组织，如果他们认为可以从中获得经济利益的话。黑客活动分子（黑客激进分子）则可能会攻击政府机构或具有重大社会影响的企业，以传达某种信息。网络恐怖分子则会攻击关键基础设施，如核能设施。

黑客的特征

要理解驱使黑客进行几乎不可能完成的犯罪的心理，了解他们的特征至关重要。大多数黑客的特征相似；然而，这不应成为自满的原因。组织必须致力于探索新的使用场景，并找出是否存在更多的潜在风险。大多数网络犯罪分子共同的特征将在接下来的部分中列出。

他们很有耐心

黑客攻击是一个过程，而不仅仅是一次性的行为。已知黑客会花时间先研究他们的目标。他们会观察目标系统的运行方式、安全性、使用者以及活跃时间。一旦完成侦查，他们会扫描系统，识别其技术规格，并查找可能存在的漏洞。只有在确认存在漏洞后，黑客才会尝试突破系统，盗取数据和金钱，或对其进行破坏。这些阶段可以在其他目标上复制，比如网络或用户。显然，每个阶段都需要时间，这也是为什么黑客必须保持耐心。如果在不了解现有安全系统的情况下进行攻击，攻击可能会失败，且组织可能会进一步加强系统安全。此外，黑客在学习如何入侵时也表现出耐心。资深黑客通常会研究编程语言，以便能够阅读代码或反向工程程序，找出漏洞所在。要成为能够分析不同语言编写的代码的专家，必须花费大量时间学习编程。黑客将时间投入在这方面，以为他们的网络犯罪活动做准备。

他们很坚定

目前，网络犯罪是一场追赶游戏，网络犯罪分子似乎总是占据上风。由于网络安全工具的复杂性，许多旧有的黑客技术和工具今天已不再有效。几年前可以通过 SQL 注入等漏洞利用的系统，现已被修复并完全安全。然而，黑客攻击依然在上升，这意味着黑客们不断创造新的技术和工具，而网络安全公司并未意识到这些变化。他们还在积极寻找新的漏洞加以利用。这充分证明了黑客的决心。黑客们也开始攻击那些预计拥有最先进安全防护的大公司。然而，正如过去的事件所表明的，这还不足以阻止黑客。举例来说，Facebook 在 2018 年被黑客入侵，50 万用户的个人数据被盗。对于很多人来说，Facebook 拥有如此多的安全特性，尝试攻击它似乎是浪费时间。但黑客们已经证明了他们的决心，目标无论多么庞大，他们都会付诸行动。

他们冷血无情

黑客从事犯罪活动，完全不关心受害者。例如，2016 年的 WannaCry 勒索病毒攻击导致医院内许多病人死亡，因为支撑关键流程和服务的计算机被加密。对于黑客而言，这根本不是问题，尽管 WannaCry 有一个杀毒开关，但他们决定让勒索病毒继续加密更多的计算机，哪怕这些计算机是用于生命维持的设备。另一群黑客则通过语音钓鱼攻击老年人，拨打电话进行诈骗，其中包括：

• 假冒孙子孙女急需用钱

• 假冒执法人员，告诉老年人他们因犯罪被通缉，然后威胁如果不支付罚款就逮捕他们

• 假冒银行要求提供如 ATM 密码等凭证

• 假冒美国国税局要求支付款项

在所有这些事件中，老年人被迫配合并将钱汇给黑客。黑客通过电话去窃取脆弱且年迈的人的财物，展现了他们的冷酷无情。黑客往往在得到他们想要的东西之前，对目标毫不手软。

他们是冒险者

打击网络犯罪的力度不断加大，黑客一旦被抓住，面临的将是多年监禁。然而，黑客攻击依然在进行。一些网络犯罪分子以化名为人所知，并且经常在他们进行的黑客攻击后留下自己的签名。一个很好的例子是黑客 Higinio Ochoa，他在 2012 年被联邦调查局（FBI）逮捕，因为他在黑客攻击后留下了一条笨拙的消息。像每次攻击后一样，Ochoa 通过一条消息将其签名贴在女朋友的腹部，并将其上传到 Twitter 上。然而，Ochoa 忘记从图像中删除元信息，FBI 利用这些信息追踪并逮捕了他。Ochoa 曾盗取 FBI 的数据，但仍然胆敢挑衅这个以追踪所有类型犯罪并且成功率极高的机构。这一事件显示了黑客的冒险精神。他们不怕违法，甚至会向执法人员表明自己就是犯罪的元凶。

网络犯罪中日益增长的趋势是社会工程学，在这种方式下，用户被诱骗提供敏感信息，甚至将钱转给黑客。随着组织增加网络安全预算以购买更有效的工具和安全服务，直接攻击系统和网络的渠道在减少。然而，黑客正在利用其他途径进入高度安全的组织，他们通过社会工程学手段进行攻击。已有多起黑客事件报道，黑客仅仅通过胁迫用户向他们汇款或提供密码。一种越来越常见的技术是商业电子邮件欺骗，黑客伪造高层员工的电子邮件，指示初级员工将钱或密码发送到指定的账户或电子邮件地址。胁迫手段之所以如此有效，是因为黑客正在利用组织内部通讯渠道的漏洞。高层员工指挥初级员工并打破协议已经变得司空见惯。因此，当初级员工收到伪造的电子邮件，要求将钱汇到海外账户时，他们会屈服，因为这正是高层员工平时的做法。黑客在胁迫技巧上也达到了极致，以至于目标很难说“不”。黑客会在发送消息之前完善他们将告诉目标的故事。如果是电话，他们会根据目标的反应知道该说什么。有些社会工程师甚至会在目标面前亲自现身，以此来赢得他们的信任。因此，胁迫仅仅是黑客所掌握的众多重要技巧之一。他们非常具有胁迫性。

他们非常小心

网络犯罪分子的痕迹几乎从不被追踪到。他们也几乎从不被逮捕或定罪。网络犯罪网络很少被摧毁。所有这些都因为网络犯罪分子在进行恶意活动时非常谨慎。从攻击的规划阶段开始，网络犯罪分子就会开始采取谨慎措施，使用使得消息难以追踪的通讯工具和技术。加密、自毁邮件、伪造邮件和暗网通讯工具是常用的手段。在攻击过程中，黑客还会掩盖他们的痕迹。他们会使用通过其他 VPN 和代理路由的 VPN 的 IP 地址。数据流动的方式使得追踪黑客的来源和被窃取的数据流向变得非常困难。此外，黑客会有条不紊地操作，每个人都知道该做什么和什么时候做。从目标直接窃取的资金不会直接存入黑客的银行账户，因为这会让他们容易被追踪。相反，他们会使用在海外银行开设的幽灵账户，这些银行的限制较少。或者，通过洗钱计划，将从网络犯罪中获得的资金洗净，直到无法追溯到犯罪事件。随着隐私控制和匿名交易功能的加密货币的出现，黑客通过将资金转化为加密货币并随后提取，或利用加密货币购买资产并随后变现，使得洗钱变得更加容易。

FBI 成功抓捕了一些网络犯罪分子，但仅仅是那些在不幸情况下被抓到的小部分。例如，FBI 据说曾在这些网站上列出自己伪造的恶意软件，只为了逮捕那些购买恶意软件的人。对此，市场中的买家和卖家在交易时变得更加谨慎。即使黑客被捕，执法机构很难逮捕另一个黑客，因为他们并不使用真实姓名，而且如果他们怀疑有人泄密，就会迅速切断通讯。目前，网络犯罪作为一个地下经济体正在蓬勃发展，经济体中的参与者已经采取了适当的措施来保护其存在。因此，网络犯罪分子将继续以极高的谨慎行事，以保护自己和他人。由于黑客采取了高度的保密措施，黑客网络很难被打破。例如，已知有一些暗网网站可以购买高效的恶意软件。然而，并不是所有人都能购买。大多数这些市场采用邀请制，即使是这样，市场中的黑客也不敢透露任何可能被用来捣毁他们的信息。

他们是偏离常规的

网络犯罪分子参与反社会行为，这些行为违法并导致他人痛苦。例如，通过获取老年人银行账户的凭证，盗取他们所有的退休储蓄，并将所有款项取出。没有任何社会会期望自己的成员做出这种行为。网络犯罪分子还藐视法律。他们会参与欺诈、盗窃、资源破坏和身份盗窃等犯罪。无论如何，网络犯罪分子都不是典型人群。他们已经麻木，毫不留情地偷窃，毫无惧怕地破坏规则。因此，黑客往往会偏离常规，尽管知道这样做是错误的，他们仍然会准备进行恶意行为。

黑客的社交特征

在了解了黑客的心理结构后，接下来可以看看他们的特征。这些特征有助于解释是什么影响了他们的犯罪心理，使他们以这样的方式行事。黑客的社交特征如下：

缺乏社交技能

黑客通常比较孤僻和内向。他们的社交生活几乎完全围绕着黑客活动，这也解释了他们为什么无足轻重且容易冒险。如果黑客有一个稳定的家庭和几个需要抚养的依赖人，他们就不太可能参与网络犯罪，因为他们会害怕被捕后让家人失去养家糊口的人。缺乏社交技能也带来了另一个问题，黑客在攻击时没有灵魂，因此更加无情。他们不会考虑攻击目标的另一面，比如那些依赖于他们试图攻击的组织的人。他们会毫无感情地做出这些事情。

他们有自卑情结

在许多类型的犯罪中，一些肇事者是具有自卑情结的人，因此通过伤害他人或损坏资产来补偿这一情况。自卑情结是指个体缺乏自尊心，怀疑自己的能力，并觉得自己不符合某些标准。这样的人会感到软弱，因此为了补偿这一点，他们会试图做些事情来证明自己是强大的。一些黑客具有这些社会特征，这使得他们非常危险。如果黑客觉得世界把他或她视为软弱者，他就会准备通过黑客攻击来证明自己并不是。有时这种感觉会影响到组织中的员工，最终他们会成为内部威胁。例如，一个经常受到老板持续压力和高度批评的员工，因为从不交付或者表现不好，可能会被逼到极限，并决定反击，以证明自己是强大的。有自卑情结的黑客倾向于进行可能造成严重损害的网络攻击，因为他们试图向他人展示自己的力量。这些黑客也不担心他们行动的后果，因为他们的主要目标是向那些曾经对他们不敬或看不起他们能力的人传达一个信息。

他们是激进的

这主要适用于网络恐怖分子和网络活动人士。网络活动人士是激进的，会竭尽所能地改革他们不喜欢的事物。例如，网络活动人士可能会反对因存在限制言论自由的法律而逮捕有影响力的记者。他们可能会准备通过对政府机构和高级政府官员发动一系列攻击来迫使这些法律废除。网络恐怖分子借鉴于他们所属恐怖组织的理念，大多数理念都来自激进的观点。例如，来自基地组织等组织的网络恐怖分子可能反对西方人干涉地方战争，并最终破坏西方国家的基础设施，以宣扬他们不受欢迎且必须离开的信息。其他网络犯罪分子将根据自己的激进观点采取行动。激进主义帮助网络犯罪分子逃避他们所做事情的负面影响的内疚感。例如，如果网络恐怖主义导致核能发电厂的破坏，进而导致这种工厂的工人死亡，肇事者将被他们的激进信仰所保护，从而逃避杀害无辜人员的内疚感。

他们是叛逆的

犯罪本身就是对法律和社会伦理的反叛。因此，网络犯罪是这种反叛的延伸，只不过犯罪是通过计算机网络或计算设备进行的。网络犯罪分子大胆地挑战法律，并且在这样做时往往形成团体。他们可能会组成有组织的黑客团体或网络犯罪支持结构。这些团体或结构将志同道合的人聚集在一起，并且可能非常有效，因为所有成员都已经不顾法律、道德和伦理。他们还拥有可以用来对抗他们所反抗的个人、机构或组织的工具、技术和技能。反叛有多种原因，但在技术高超的人转向黑客行为和网络犯罪的情况下，主要原因是经济需求。在某种程度上，社会存在不平衡，财富集中在少数人手中。一些人通过反叛，希望他们的行为能够促使财富重新分配，打破少数人掌握财富的局面。在其他情况下，人们出于贫困和压迫而转向网络犯罪，作为一种反叛。有些国家的公民生活在压迫政府之下，反抗这些政府的唯一方式就是反叛。人们可能会选择加入已经反叛的人群，贡献力量反对压迫，通过黑客攻击压迫政府中的人物，并摧毁一些对政府有利的重要基础设施。例如，黑客可能会进行黑客活动，导致该国的经济破坏，从而迫使压迫政府下台。因此，有时候黑客是由极端环境所造就的，这些环境迫使他们反叛，希望能够有所改变。然而，他们希望看到的改变的实现方式，最终模糊了他们想要实现的好与为了实现这一目标不得不做的坏之间的界限。

他们缺乏社交支持

有人指出，网络犯罪分子缺乏社交技巧。因此，他们无法与能为他们提供社交支持的人建立联系。黑客往往倾向于孤僻，独自行动。当他们经历困难时，没有人可以求助。相反，他们会选择将愤怒或沮丧发泄到他人身上，通过黑客攻击来报复。在这种低谷时期，黑客对他们的目标缺乏任何悔意。如果他们抢夺老年人辛辛苦苦储存的所有积蓄，他们也不会感到任何愧疚。如果黑客破坏价值数十亿美元的基础设施，他们依旧毫无触动。因此，社交支持的缺乏，有时是极端网络犯罪案件的根源，很多人因此遭受攻击，甚至丧命，或者最脆弱的人群遭受攻击。

值得注意的是，所讨论的社交特征在黑客之间可能会有所不同。例如，某些人可能有社交生活，但由于受到压迫，他们可能决定加入黑客主义团体，以支持反抗压迫者的起义。在了解了影响黑客决策并塑造他们思维的社交倾向后，我们现在可以探讨他们是如何思考的。

黑客是如何思考的（动机）

现在我们已经了解了黑客的特征和社交技巧，让我们来谈谈眼下的重点——黑客的心理，或者更准确地说，黑客是如何思考的。以下是一些黑客的思维，这些思维促使普通人走向网络犯罪的道路：

赚钱（经济利益）

随着组织对单次网络犯罪攻击的成本越来越关注，网络犯罪分子正处于职业生涯的高峰期，他们赚的钱比以往任何时候都要多。黑客显然是有利可图的，黑客事件也证明了这一点。商业内幕杂志在 2015 年声称，黑客的平均月收入为 80,000 美元。黑客像做生意一样，有供应商和客户与卖方互动，而卖方在这种情况下就是黑客。黑客不必直接参与黑客攻击就能赚钱，因为在这个行业中有很多其他方式可以获得可持续的收入。首先，他们可以制作并销售漏洞给其他黑客。有些漏洞工具包是出租的，其他黑客可以在约定的时间段内使用。某些黑客拥有僵尸网络。僵尸网络是由许多被恶意软件感染的计算机组成的网络，这些计算机可以被用来强制参与攻击。僵尸网络用于 DDoS 攻击，通过发送超过目标所能承受的流量，使目标无法处理所有合法请求。随着物联网（IoT）的到来，许多连接到互联网的小型设备发现缺乏基本的安全功能，因此它们不断被恶意软件感染，变成了僵尸网络，其中一些被用来攻击知名目标。拥有这种恶意软件的黑客会接到其他黑客的租用请求，租期到期后工具会收费。

最后，黑客还通过网络攻击赚钱。网络攻击的种类繁多，每种攻击为黑客带来的收益方式也各不相同。勒索病毒攻击通过受害者支付解密费用为黑客带来收益。钓鱼攻击为了从用户那里获取凭证，只有在黑客窃取了数据或资金后，才会为黑客带来收益。个人数据正被特别针对，因为它在地下网络犯罪市场上能带来更多的收益。曾有公开的帖子列出了被盗的个人数据。一位黑客发布了以下内容：

• 莫泽里州一家医疗组织的 48,000 条记录，售价 10 万美元

• 美国中西部的一家医疗组织的 210,000 条记录，售价为$200,000。

• 佐治亚州一家医院的 397,000 条记录，售价为$400,000。

媒体机构随后与黑客跟进，黑客并未透露医疗组织的名称，但声称他们已被提供购买窃取数据的机会，而不是让其泄露出去，但他们拒绝了这个机会。黑客称已经有一条记录被购买。据称，这些记录包含曾访问过医院的患者的姓名、社会安全号码、出生日期、实际地址和保险信息。

因此，销售窃取的数据是另一种获取收入的方式。根据黑客的说法，勒索被入侵公司以购买回被窃取的记录似乎也是另一种收入来源。

另一种黑客赚钱的方法是向其他黑客提供混淆服务。恶意软件作者可以编写高效的恶意软件，但可能会被杀毒软件扫描器检测到。有专业的恶意软件作者熟悉杀毒软件程序，因此被雇佣来混淆这些程序，以免被检测到。这些专家按照每位寻求服务的恶意软件作者支付一定金额。最后，黑客向其他黑客提供他们的黑客服务，并从黑客攻击的收益中获取佣金。

贪婪

网络犯罪提供快速的回报，因为黑客可以从一次攻击中赚取数百万美元。在几天内赚取数百万的诱惑吸引了更多人，包括高智商的专业人士，投身网络犯罪。这与今天的黑客无需知道如何编码有关，因为他们可以租用黑客工具。正如之前提到的，有专家黑客租赁利用套件。还有其他人租赁僵尸网络用于发动分布式拒绝服务（DDoS）攻击。因此，新手黑客认为由于现成的工具，今天开始起步会很容易。现有的黑客已经在赚钱，并且出于贪婪不愿停止。由于贪婪，黑客将继续开发新的黑客工具以维持他们的收入来源。贪婪也激励他们继续寻找系统中可以利用的漏洞。黑客知道，对他人未知的新漏洞可能很快转化为数百万美元，因此他们准备在多个组织使用的系统中进行扫描，以找到有漏洞的系统。贪婪也是网络钓鱼的动机，黑客会制作权威公司的克隆，编写与权威公司完全相同的网络钓鱼邮件，或使用公司高管的假电子邮件地址用于黑客攻击。黑客贪婪于金钱，愿意采取一切手段创建成功的网络攻击工具或技术。

政治权力

有一些基于政治信仰的网络犯罪，一些黑客希望反对或推动这些信仰。多个国家曾有报道称存在由国家支持的黑客组织。这些国家为黑客组织提供执行攻击所需的一切资源。这些攻击旨在传递一个信息，即某一国在网络空间中的优越性。例如，针对美国的黑客事件就多次被归咎于某些亚洲国家的国家支持的黑客组织。美国的许多公司都成为了这些攻击者的受害者。据说，某个国家特别针对这些公司进行黑客攻击，目的是窃取它们的机密资料。这样，这些公司生产的产品就能被轻易复制，如果它们用于通信目的，黑客也会知道如何破解这些产品。那些出于政治动机发起网络攻击的黑客对目标来说可能是巨大的威胁，因为这些黑客获得了来自高层政治人物的支持。在国家支持的黑客组织中，攻击者通常被训练成像军队一样的行为模式，并且会接受高层指挥的攻击命令。这类黑客的动机并不主要是贪婪或金钱，而是出于对自己国家的虚幻的爱国主义情感。

除了国家支持的黑客组织，还有黑客激进分子（hacktivists），他们是一些希望推动某种社会或政治变革的黑客。黑客激进分子通常会攻击政府或特定的组织。当黑客激进分子反对政府时，他们的行动确实具有政治性质，黑客们会努力让他们的声音被听到。

宗教极端主义

然而，有人声称这些文本背后并不是 ISIS，而是另一个国家。然而，这并不能否认一个外部实体已经获得了美国军官家庭成员的联系方式，并继续向他们发送威胁性消息的事实。宗教极端主义是网络攻击的一个动机，恐怖组织一直在激化加入这些组织的人员，利用各种手段攻击特定的人或国家。宗教极端组织因其技术进步和在网络空间中的存在而成为新闻焦点。诸如 ISIS 之类的组织通过互联网宣传其理念并招募新成员。这些恐怖组织的领导人在暗网上进行秘密通信。最后，恐怖组织一直在转向网络攻击。尽管恐怖组织中的步兵进行身体上的攻击以推广他们对自己宗教激进解释的理解，但现在恐怖分子已经有其他团队进行网络攻击。这可能源于一些组织（例如 ISIS）向所有人开放大门，称任何人都有机会支持该组织的理想。2017 年，支持 ISIS 的黑客黑进了 800 个学校网站。当访问者尝试加载这些页面时，他们将被重定向到包含 ISIS 宣传内容的视频。调查显示，这些学校网站是由一个名为 SchoolDesk 的公司开发的，该公司可能遭到了攻击，并推送更新到学校网站的代码，以将用户重定向到 ISIS 宣传视频。2018 年 5 月，据称的 ISIS 黑客开始向美国军事人员的妻子发送威胁他们生命及其孩子生命的短信。

好奇心

有些聪明人偶尔想试试看某些代码到底能做什么。尽管这不是他们的动机，他们最终无意中侵入了组织。例如，计算机科学学生可能会被教授 SQL 注入的知识。一个好奇的学生可能想尝试一下他们学到的东西。尽管许多当前的网站已经考虑到安全因素以防止这类攻击，但是没有维护的旧网站可能就没有那么受保护。因此，学生可以尝试黑进一个旧网站，并最终利用 SQL 注入语句来破坏它。这些黑客可能是无辜的，但他们仍然可能造成损害。更危险的是，好奇心可能导致一个人在发现可以侵入安全较差的基于 Web 的系统后成为网络犯罪分子。

从黑客心理学中可以学到什么？

从上述讨论来看，黑客行为可以从心理学角度更好地理解。文中所展示的黑客特征表明，保持健康的社交生活有助于减少网络犯罪。那些缺乏社交生活或喜欢过孤立生活的人，可以进行定期检查，以确保他们不会陷入网络犯罪。有人说，黑客既有耐心又有决心。这两个特征对组织的网络安全策略有着深远的影响。由于黑客不会轻易放弃，他们也会花时间在组织中寻找漏洞，因此，组织采用网络韧性而非网络防御是明智之举。与网络防御不同，网络韧性确保组织能有效抵御攻击者的侵害，并且即使发生攻击，业务流程也不会受到不利影响。还讨论到黑客具有强迫性，这意味着员工容易成为攻击目标。因此，组织必须投资于培训项目，教员工如何保护自己免受黑客侵害。同时，组织必须制定清晰的流程，规范凭证的共享方式，以及资金转移的授权方式。黑客在攻击时往往非常小心，这也影响了组织应该如何监控其系统和网络。网络中任何异常活动的小细节都不应忽视，因为黑客可能正在行动。此外，组织还应投资入侵防御系统，以防止一些可能被攻击者用来进行扫描等活动。根据攻击者的思维方式，可以得出结论，他们的主要动机是金钱，因此所有可以被窃取并转化为金钱的资源应该得到高度保护。存储个人数据的组织应采取额外的安全措施，例如加密其数据库。此外，由于一些黑客事件具有政治动机，其他国家的政府必须主动跟踪攻击者，并寻求外交解决办法。

总结

本章重点讨论了黑客的驱动力，并探讨了他们的心理构成和思维模式。在心理构成部分，我们分析了定义大多数黑客的特征。这些特征包括耐心、决心、麻木、冒险精神、胁迫、小心谨慎、蔑视、缺乏社交技巧、激进主义和叛逆等。大多数这些特征有助于描述攻击者的特征，并可用于为组织应对黑客事件做好准备。耐心和决心表明黑客愿意为达成目的付出多大的努力。麻木性排除了将宽恕作为应对黑客事件的对策。冒险精神表明黑客不惧怕法律追捕，因为他们几乎总能逃脱。胁迫和小心谨慎表明黑客在攻击时的精心策划，能够在目标察觉到之前，充分掌握攻击的主动权。这些特征也表明，黑客攻击后恢复已被窃取的内容可能非常困难，因此应更加关注如何从一开始就保护组织免受攻击。激进主义和叛逆也有助于理解黑客作为缺乏悔意且内心驱动进行攻击的人。接下来，本章探讨了黑客的思维方式，并指出他们的动机包括财务收益、贪婪、政治、宗教极端主义和好奇心。最后，本章讨论了从黑客心理学中可以获得的启示。

展望未来，我们将在下一章讨论安全的三大支柱。这将帮助你了解如何提升组织的安全基础设施，从而避免数据泄露事件的发生。

深入阅读

以下是可以用来深入了解本章内容的资源：

• blog.wallix.com/the-psychology-of-the-cyber-criminal

• www.ripublication.com/irph/ijict_spl/ijictv4n3spl_06.pdf

• blog.avast.com/psychology-of-cybercrime

• pdfs.semanticscholar.org/3302/e173939ae434ad30f91d4c60d69f5e4a05e3.pdf

• www.donau-uni.ac.at/de/department/gpa/informatik/DanubeUniversityHackersStudy.pdf

• www.sans.org/reading-room/whitepapers/incident/paper/36077

第六章：理解反应性、主动性和操作性安全

随着网络攻击次数的增加以及受害者报告的巨大损失，网络安全正变得越来越重要。然而，在许多组织中，网络安全的实施往往是因应威胁或攻击而采取的措施。组织可以根据财务能力和面临的威胁程度选择采取反应性、主动性和操作性网络防御，或是这三者的组合。本章将介绍这三种网络安全实施方式，帮助你选择最适合公司的一种。

在本章中，我们将涵盖以下主题：

• 主动网络防御

• 反应性网络安全

• 操作性安全

• 安全三大支柱的重要性

主动网络防御

主动网络防御侧重于预见攻击，并在攻击发起时主动保护目标（计算机、系统和网络）。其目的是通过攻击向量的威胁干扰攻击或攻击准备工作，从而使攻击向量的效果减弱，甚至轻松击退攻击。主动网络防御可以说是网络安全实施的最佳方式，尽管许多组织并未给予足够关注。这种方式预见到即将到来的攻击，并准备好一系列防御系统和策略来干扰这些攻击或使其无效。因此，公司资产很少面临风险，因为威胁没有接触到它们。尽管如此，许多组织仍然选择保持反应性或采用操作性网络安全，原因有很多，接下来我们将详细说明。

中小型企业

中小型企业（SMEs）在财务方面通常资源有限，因此不容易采纳主动安全防护，因为其维护成本较高。可以理解的是，它们不希望分配资源以至于影响到其他业务的运作。

中小型企业也倾向于为了业务运作而推迟某些网络安全措施的实施。由于主动网络安全防护涉及的内容较为复杂，且常常需要立即采取行动以防止可能的攻击，因此中小型企业可能会觉得它麻烦且不方便。它们希望网络安全策略能够适应自己的时间表，而不是反过来。

中小型企业也以寻求专业网络安全帮助较慢而著称。如果它们能找到评价较好的现成安全系统，通常会优先采用这些系统。然而，在不断变化的网络安全形势中，像 Facebook 这样的科技巨头也成为了受害者，仅仅部署安全系统而不理解威胁形势及其需要覆盖的范围已经不再安全。

最后，中小企业长期以来对网络攻击采取反应性措施，因此会回避主动安全策略。只有在他们成为攻击的受害者之后，他们才会加强自己的安全防范。

大型组织

大型公司通常认为自己太大，无法通过主动安全策略有效管理。由于主动安全覆盖整个组织，因此有许多领域是无法涵盖的。例如，在某些攻击发生之前，所有员工可能并未接受相应的培训。

此外，大型公司通常会关注自己的声誉。主动安全增加了额外的监视手段，可能最终揭示组织面临的威胁。此外，一些措施，例如要求所有员工参加某种培训的紧急通知，可能会以负面形式呈现，表明公司正受到攻击。

令人担忧的攻击趋势

赛门铁克（Symantec），一家领先的网络安全产品公司，发布了一份报告，介绍了对目标效果最为显著的先进网络攻击技术。具体如下：

• 在被攻击的计算机上部署合法软件：为了避免被杀毒程序发现并依然能够监控被攻击的计算机，网络攻击者会安装看似合法的软件。在攻击所造成的恶意软件被移除后，杀毒工具通常不会删除这些合法软件，从而让攻击者继续掌控该计算机。

• 利用公司资源转移被盗资产：为了在攻击后继续存在，网络犯罪分子会利用公司资源在不引起怀疑的情况下转移任何被盗的知识产权。因此，他们不会直接将信息资产上传到自己的服务器，而是通过伪造的通信将数据发送到他们控制的被入侵的电子邮件。

• 在受害者的网络或服务器中构建更多攻击工具：一些网络攻击者不使用预包装的攻击工具，而是在受害者的网络中自行组装攻击工具。对于那些具有防火墙的组织，这种方法特别有效，因为防火墙能够阻止恶意软件工具进入组织网络。

• 使用公司账户进行定向钓鱼攻击员工：另一个被发现的战术是，黑客使用被入侵的公司电子邮件来攻击其他员工。这比伪造的电子邮件攻击成功率更高。

这些战术只是众多无法轻易被反应性或运营性安全措施阻止的攻击方式中的一部分。这些攻击是专门设计来打破这两种传统安全策略的。主动安全能够识别这些以及许多其他杰出的攻击，并致力于使它们对组织无效或降低其效果。以下是主动安全重点关注的几个关键领域：

• 资产管理：在这种安全方法中，必须了解组织中的所有设备。因此，应有一份更新的设备登记册，列出所有连接到网络的设备，并提供足够的细节，以确定它们的用户或功能。

• 软件清单：为了防止恶意或不需要的程序被安装，主动安全措施包括对用户可以在其计算机和移动设备上运行的软件进行清单管理，以及对服务器中的软件进行清单管理。

• 硬件和软件配置：设备和软件的配置应经过验证，并根据需要更新，以确保不会使公司面临威胁。

• 漏洞评估：应了解组织面临的威胁。此外，还需要确定这些威胁的风险和影响。

• 恶意软件安全：应有能够提供病毒防护的工具，以保护组织免受恶意软件的侵害。

• 员工培训：由于攻击者通过网络钓鱼和社交工程攻击员工，主动防御包括培训员工识别常见的网络钓鱼或社交工程攻击，以及如何防御网络攻击。

实施主动安全

如你所见，尽管主动安全是一个有效的方法，但对于许多组织来说，它可能不是首选。然而，随着网络攻击动态的变化，主动安全或许将在未来几年成为首选方法。在本节中，我们将深入探讨实施主动安全的各个方面。以下是制定主动安全策略时需要考虑的一些因素。

漏洞评估

这包括扫描组织的网络、设备和系统，发现其漏洞。这些扫描最好同时在组织的外部和内部网络中进行，以便提供全面的报告。然后必须采取措施解决已识别的威胁，防止可能的利用。

渗透测试

这包括授权对公司内部和外部 IT 基础设施进行渗透测试，进一步识别黑客可能利用的漏洞来攻击公司。渗透测试采取实际攻击的形式，因此可以视为黑客尝试突破组织的方式，从而可以识别如何防止他们成功。渗透测试通常包括以下内容：

• 网络侦察：检测指定范围内的所有计算机，确定这些计算机的操作系统和服务。此外，还需要获取 DNS 记录，进一步识别网络上运行的系统。

• 枚举：下一步是确定每台计算机的操作系统和服务版本。服务也可以进行探测，以帮助确定其配置。

• 利用：识别网络上运行的服务中的任何缺陷和漏洞。随后，使用利用工具和技术攻击这些服务。例如，防火墙可能正在运行一个无法处理超过某个限制的流量的服务。因此，可能会使用一个僵尸网络通过超出其限制的流量淹没防火墙。

• 验证：在成功利用漏洞后，漏洞会被验证并优先考虑减轻措施。

社会工程学评估

这旨在确保员工准备好应对社会工程学攻击，不会屈服于网络犯罪分子使用的把戏和伎俩。

Web 应用程序安全评估

这个评估侧重于应用程序中通常被黑客利用的漏洞。组织必须测试网络应用程序的威胁以及成功入侵后的影响。在发现威胁后，应修补应用程序或将其下线，以防止黑客将其作为攻击面。此外，还应确定成功入侵的影响，帮助组织进一步增强其安全层。例如，成功突破登录界面后的影响可以通过仅暴露不太重要的数据来减轻。敏感数据可以通过加密等技术移到一个更高安全级别的层级中。

总结来说，主动安全包括所有可以防止攻击首先发生的技术。这种方法由那些预见到潜在负面情况且无法冒险损害声誉的公司采用。

反应性网络安全

可能并不总是能够预见即将到来的攻击。此外，对于一些公司来说，如果组织很少遭到攻击，保持如此多的威胁监控工具运行可能会很昂贵。反应性安全是一种方法，它不是预见网络安全事件，而是在这些事件发生后对过去或当前的威胁做出反应。因此，只有当一个组织被黑客攻击并遭到入侵时，反应性安全才会启动。采用这种方法时，受害组织会评估威胁及网络攻击所带来的影响。通过这些信息，安全措施会被安装，以防止未来类似的攻击。

反应式安全策略对许多商业高管来说具有财务和商业意义，这也是为什么许多组织仍然困于此策略的原因。高管们通常专注于减少开支和最大化利润。此外，商业需求、威胁以及许多其他因素在不断变化。因此，部署基于未来可能发生的威胁假设的主动安全措施变得相当昂贵。现实是，威胁会变化，商业也会发生变化。例如，依赖本地托管网站进行销售的企业可能会选择采用云应用。云端的安全由服务提供商提供，因此公司几乎无需关注安全问题。如果他们有一个主动安全策略，可能会感到困惑，因为为了预测和保护网站所购买的昂贵工具或服务将不再需要。采用反应式安全策略时，企业不会感到困扰，因为该策略能够适应这些变化。

为了实现资源的最小浪费，许多组织考虑采用这一安全策略。由于它通常是在网络安全事件发生后再进行处理，因此更为传统。业务处于主导地位，决定安全基础设施的部署。由于 IT 领导者通常难以计算网络安全投资的回报，这一策略为管理层提供了更清晰的支出图景。所需金额是根据组织所面临的攻击来确定的。该策略对管理层来说也较为简单易懂。它具有因果关系。发生网络安全事件就需要投入 IT 安全资金。这比主动策略更容易为商业高管理解，因为主动策略是在看不见的、可能永远不会发生的攻击上进行投资。

实施反应式安全策略

由于该策略是基于发生攻击后才会启动响应，因此必须有一个高效的监控系统。此外，由于攻击的发生可能导致服务中断，因此该策略还必须具备高效的备份和灾难恢复功能。为了防止类似攻击的再次发生，组织需要了解造成之前攻击的原因。因此，这一策略必须包括取证调查。以下是这些组件如何在组织中实施的过程。

监控

与其采用主动防御来防止攻击发生，组织通常会使用高效的监控工具，时刻关注计算机、系统和网络上的可疑活动。当检测到可疑行为或攻击时，系统会发出警报，以便采取适当的响应措施。例如，组织可能会在其网络上安装入侵检测系统，监控侦察扫描、非法流量、恶意软件以及其他类型的威胁。当系统检测到威胁时，可能会通知 IT 部门或集成的安全工具来应对这些威胁。

响应

响应的类型取决于威胁和攻击的程度。如果攻击仍在进行中，响应将专注于停止攻击。例如，如果大量非法流量正指向某个服务器，IT 部门可能会选择将该服务器下线或重新配置其 IP 地址，从而避免攻击到达。如果攻击已经入侵系统，IT 团队可能会更改访问凭据并终止所有会话，从而将攻击者驱逐出系统。对于已发生的攻击，响应将采取不同的方式。IT 团队必须防止重复攻击或恶意软件在受害者系统中的蔓延。因此，如果某个服务器成为目标，可能会将其从网络中断开并进行物理隔离。如果系统遭遇了暴力破解攻击且登录系统被破坏，登录模块可能会被暂时移除，以防止进一步的攻击。采取的响应措施会影响攻击的后果。然而，组织仍然需要确保其客户不受不良影响，因此会采取以下措施。

灾难恢复

被动安全策略在很大程度上依赖于组织在攻击后恢复的能力。因此，灾难恢复计划是该策略的关键组成部分。灾难恢复的优先级可能会根据组织和攻击类型的不同而有所不同。灾难恢复中有五个主要的关注点：计算机、硬件、网络、软件和数据。它们在这里进行了详细说明：

• 计算机指的是网络中的工作站和服务器。在发生攻击后，需要对其进行检查，以确定是否受到影响。企业防病毒系统可以用于发起同时扫描，帮助完成这项工作。硬件指的是组织中任何计算硬件，例如网络路由器、桌面、消防墙和计算机外设。网络安全事件仍然包括这些硬件的物理盗窃或破坏。因此，如果发生了物理攻击，就需要确定所有硬件是否仍然完好，并更换任何已被破坏或盗窃的敏感硬件。例如，如果路由器被盗或毁坏，应安装替换设备。类似地，如果承载敏感系统的服务器被破坏或盗窃，也应进行替换。

• 网络包括网络中的所有连接方式。例如，如果无线网络被攻破，最好更改其 SSID 或密码，从而迫使黑客退出。如果与服务提供商的连接遭到破坏，应启用备用服务提供商。这将确保组织不会一直处于离线状态。

• 软件包括操作系统和通常在组织中运行的应用程序。一些攻击者可能拥有可以攻击特定版本软件的工具。因此，当发生攻击时，组织应考虑更新到最新的操作系统版本。这些版本将包含补丁，防止类似的攻击再次发生。此外，一些黑客可能会错误配置某些软件。例如，他们可能重新配置路由器来破坏通信。因此，在这种情况下，软件需要配置为正确的设置。在攻击软件感染恶意软件的情况下，IT 团队可以卸载它并提供替代方案，以确保组织的正常运行。

• 数据可以说是最重要的数字资产，因此应在灾难恢复中优先考虑。如果关键任务数据被修改或盗窃，IT 团队应恢复最新的备份，以回滚所做的更改或使需要数据的用户能够访问。由于数据的脆弱性，IT 团队还必须确保在恢复之前，相关系统不含恶意软件或后门，防止攻击者通过这些手段获取未经授权的数据访问权限。

法医调查

反应性安全策略旨在确保攻击不会重复发生。因此，必须充分了解其原因，并识别任何促成攻击成功的因素。例如，系统泄露可能仅仅是因为系统管理员使用了默认密码。法医调查将揭示该攻击是突破了登录控制并且是由于使用了默认凭证而发生的。组织将获得完整的情况，并实施更好的安全控制措施，以防止同样的攻击再次发生。例如，在这种情况下，组织可能会选择实施双因素认证，并制定禁止系统管理员使用默认密码的安全政策。在法医调查结束时，组织应当了解它必须采取的所有缓解措施来保障自身安全。

在某些情况下，法医调查与追索工作相结合。例如，如果钱款被盗，法医工作可能包括追踪资金流向，找出钱款的去向。实际上曾有一些真实案例中，网络犯罪分子盗取了资金，而法医调查员则成功追踪并追回了被盗的款项。Ubiquity Networks 就是其中一个例子，40,000,000 美元通过社会工程学手段被盗取，而法医调查员成功追踪并追回了 8,000,000 美元。除了资金，法医调查还可以恢复数据。大部分被盗的数据最终会出现在暗网市场上。法医调查员可以在暗网市场上搜寻某些类型数据的新列表。然后，他们可以伪装成买家，从黑客手中将数据取回，避免数据被卖给其他人。

总结来说，组织实施主动安全并不总是经济上可行的。大多数组织由于其简便性并且对企业高管有吸引力，采用的是反应性网络安全策略。反应性方法仅在发现重大威胁或发生攻击时采取行动。该方法旨在阻止攻击并防止公司资产遭受过度损失。该策略涵盖计算机、硬件、软件、网络和数据。其四个关键步骤为：监控、响应、灾难恢复和法医调查。这些步骤协同工作，确保组织能够在网络攻击中以最小的业务影响生还，并识别并缓解安全攻击的原因，以防止未来的攻击。

操作安全概述

操作安全通常被视为操作风险与网络安全的汇聚点。它是主动安全和被动安全之间的中间地带。这种网络安全方法解决了组织通常面临的业务和安全需求的冲突。商业高管希望从上至下管理网络安全，以便它与其他业务流程保持一致。然而，他们缺乏将网络安全与业务流程连接起来的技术知识。例如，他们可能了解防火墙和防病毒程序的基础知识，但他们无法了解这些工具如何与他们的业务流程和员工相连接。对于高管来说，这只是一个拥有网络安全工具的问题。

然而，现实情况要复杂得多。网络安全不仅仅是拥有两三种安全工具，而是保护数据的机密性、完整性和可用性。商业高管显然缺乏所有必要的安全工具或措施的知识，以保护信息的 CIA 三要素。他们只知道一些自己熟悉的工具，并认为网络安全的投入仅仅围绕这些工具展开。

网络安全是复杂且高度技术性的，因为它必须涉及整个组织。它包括组织内部的人员、流程、设备和服务；所有的商业操作都是网络安全的一部分。

运维安全方法将组织的流程与网络安全结合在一起。因此，这种方法可以防范可能威胁企业的操作风险。组织每天面临许多操作性网络安全风险。例如，传统的 IT 风险，包括未经授权的数据访问、拒绝服务攻击和社会工程学攻击。此外，法律风险来自于围绕 IT 操作的法规，如数据的收集、存储和共享。第三，来自供应商和供应商的第三方风险。这些只是组织面临的众多操作风险中的一部分，必须加以处理，以防止数据丢失、诉讼和声誉风险。操作安全策略通过巧妙的实施计划涵盖所有这些风险，接下来我们将讨论这一点。

实施操作安全

操作安全分为三道防线：风险管理、网络安全管理和审计：

• 防御的第一道防线是风险管理。 在这一环节中，处理影响企业运营的各种风险。在这一层次，关键关注点是风险分析和管理。必须识别企业各个领域的不同风险。对于这些风险，每个风险的关键风险指标都必须确立。然后，必须确定每个风险发生的概率。接下来是评估每个风险发生的严重性。利用这些信息，可以将运营风险按优先级排序或在矩阵中列出，以确定解决它们的优先顺序。

• 防御的第二道防线是网络安全管理。 这包括所有涉及保护组织免受第一道防线所识别的运营风险的过程。第二道防线从安全政策开始。这些政策有助于减少将风险引入企业的可能性。接下来是关键风险指标的定义。这些定义帮助 IT 团队在风险事件发生时进行警报。定义关键风险指标后，接下来是网络安全标准。这些标准概述了执行不同网络安全策略，以减轻或防止已定义的风险发生。第二道防线以网络安全管理工具结束，这些工具用于查看组织的网络安全状况。

• 操作安全的最后一道防线是审计。 审计有两种类型：内部审计和外部审计。这道防线确保所有其他防线已正确实施。它还帮助识别安全策略中的薄弱环节。

三大安全支柱的意义

各组织有不同的需求、风险暴露和资源获取能力。然而，网络安全是一个跨领域的问题，任何组织都可能成为目标或受害者。本章讨论了组织可以在其内部部署的三种安全策略。虽然这些策略可以独立运作，但当它们交织在一起时，效果最佳。它们本质上是互补的，可以为组织提供来自多个方面的保护。

主动安全策略确保极少有攻击能够成功侵入组织。它专注于预测并中和威胁，强化攻击面，以便攻击者很难渗透进组织的网络或系统。反应性安全策略与主动安全相对。反应性安全仅在威胁发生时做出响应。因此，相比于网络安全，更多的时间和资源会投入到核心业务目标中。反应性安全确保无论何时发生攻击，组织都能够恢复，并识别根本原因，封堵漏洞以防止未来的攻击。此外，反应性安全还包括可能对被盗资产进行追踪和恢复。运营安全策略与人员和流程协作。它识别在业务运营过程中可能遇到的风险，并制定安全解决方案以防止这些风险带来不利影响。此外，它还确保组织定期进行审计，以发现安全策略中的任何弱点。

当这三种安全策略结合在一起时，它们就像支柱一样，形成强大的防御力抵御攻击。它们还提供多层次的安全防护，其中主动安全防御能够防止大多数攻击的发生，运营安全保障业务运作不受攻击干扰，而反应性安全确保企业足够有韧性以应对攻击并建立未来防御措施。考虑安全策略时，企业的需求、对网络安全威胁的暴露程度以及可用资源是重要的因素。根据这三项因素，每种策略的适用性在不同组织中会有所不同。

安全操作与持续监控

安全监控是网络安全中的一个重要过程。安全监控为任何组织提供了从企业网络、应用程序、终端设备和用户活动中检测和分析事件的能力。通常，安全操作与持续监控（SOC）包括三个要素：人员、流程和技术。

技术帮助驱动资产的监控，如网络、应用程序、终端设备、服务器、Web 应用程序，并通过自动关联和分析生成警报：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/5777a937-3ba5-4086-a16e-9a190c3675fa.jpg

来自微软 SOC 的照片

人员组成部分在 SOC 中侧重于手动验证这些警报并进行分类。

流程组成部分主要负责分析警报/日志，识别威胁并向修复团队提供详细信息，或将其标记为假阳性：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/17de0f20-92a3-44b2-b802-cb7e20183b65.png

SOC 还必须将其目标与组织的业务目标和愿景对齐。SOC 需要建立其监控策略以满足业务需求。通常，SOC 是一个全天候、七天运营的系统，这是有意设计的，目的是让 SOC 分析员、适当的流程和检测技术能够通过处理来自内部公司资源的数据，并将其与来自各种外部来源的已知威胁信息进行关联，缩短从检测到攻击发生之间的时间差。通过丰富且可操作的威胁情报、先进的分析能力、数据背景化处理和正确的技能，SOC 还可以主动采取措施来阻止和遏制攻击。SOC 始终依赖于情报，例如恶意软件数据、妥协指标、攻击信息以及安全供应商和应用程序供应商提供的威胁与漏洞报告。现代 SOC 需要拥抱安全自动化和机器学习，以达到最高的成熟度。除了 SIEM 的核心技术、威胁情报馈送和各种数据馈送外，SOC 还可以利用入侵检测工具、杀毒集成、DLP 馈送、工作流和报告工具等技术。SOC 可以通过三种不同的方式实现：自有 SOC 或自管理 SOC、共同管理 SOC 以及由第三方完全管理的 SOC。

自有 SOC（自管理 SOC）

自有 SOC 是由公司内部管理的安全监控，使用公司自身的专业人才或经过培训的资源。自有 SOC 在完全由组织控制的场所或设施中运行。在这种情况下，组织完全承担选择自己的 SIEM 工具、管理该工具和运行操作的责任，同时也负责培训分析员，确保其保持最新的技术和知识。

共同管理 SOC

当你无法拥有一个自主管理的 SOC 时，第二个选择是拥有一个共同管理的 SOC。在共同管理 SOC 模型的场景中，你将与另一个服务提供商合作，分担工作量、技术或运营负担。在这种模型中，你可以通过将部分责任交给 SOC 服务供应商来优化运营，例如你可以选择监控白班，并让供应商管理夜班，或者你可以让供应商拥有 SIEM 并由你方资源管理运营，或者你可以拥有 SIEM 并将运营外包给供应商。在共同管理 SOC 的方式下，你有机会通过对供应商应用服务水平协议来实现更高的灵活性，并在比完全拥有 SOC 所需的时间更短的时间内启动 SOC；你几乎可以直接进入成熟的 SOC 运营模式。另一个对你有利的因素是，如果你失去了自己的资源，或者在供应商管理的分析师的情况下，你永远不必担心失去人才，因为他们会保持人才池。如果你选择一个拥有训练有素且经验丰富的分析师池的服务供应商，这将自动有利于你的安全运营。另一方面，如果你选择共同管理 SIEM，你可以共同分担许可、维护和运营的费用。这在一定程度上减轻了你的业务负担，但并非完全解除，因为你可能仍然需要负责事件响应和分析，与供应商之间共享资源，管理你方的治理，负责你方业务的风险管理，监控与供应商的 SLA，以及监控供应商的服务质量，以确保检测和运营质量不受影响。以下图表展示了共同管理 SOC 的层次结构：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/067eadcb-4275-4e8a-93f1-33e56f0c7de8.png

完全管理的 SOC

完全托管的 SOC 已成为业内几年来的热门话题。该运营模式使您能够将整个 SOC 过程外包或转交给第三方供应商，您可以全面访问其经过培训的资源、SIEM 和检测技术以及成熟的流程。您的 SOC 能够迅速从零提升到一百。组织通常会将所有遥测数据、可视化数据和日志发送到供应商管理的 SOC 数据中心，在那里，托管安全服务提供商（MSSP）将分析这些数据，找出安全事件/事件。与其他两种模型相比，MSSP 的好处更大，因为作为组织，您几乎可以立即获得一个成熟的 SOC。可以预期从 MSSP 获得基于结果的结果，提供高度准确的检测和响应，采用先进的检测和响应技术。MSSP 拥有一支经验丰富且技术娴熟的团队，负责监控、分析和调查。完全托管的 SOC 还带来了可扩展性和危机管理的好处，您无需担心是否需要因任何原因监控更多设备或应用程序，或是否发生重大事件，可能需要额外的资源来帮助应对这种情况。MSSP 通常与提供高度丰富且可操作的威胁数据的机构和供应商建立了合作关系，这些数据与您的业务相关，对高级检测能力至关重要。拥有完全托管的 SOC 的另一个好处是行业级别的可见性和威胁数据共享；如果另一个客户出现类似类型的攻击，攻击信息和威胁情报几乎可以立即作为建议提供给您，并在检测基础设施中使用。总体而言，MSSP 供应商将拥有访问大型数据中心的权限，您可以利用这些数据中心进行存储和保留。唯一您可能仍需拥有的部分是您的 SOC 管理和在发生攻击时的威胁修复。目前，MSSP 模式是最受欢迎的 SOC 模式。

要了解 Microsoft 如何操作 SOC，请查看 www.microsoft.com/security/blog/2019/02/21/lessons-learned-from-the-microsoft-soc-part-1-organization/。要了解 Google 如何操作 SOC，请访问 medium.com/google-cloud/google-cloud-platform-security-operations-center-soc-data-lake-4b31e011f622。要了解 FireEye 如何帮助构建 SOC，请访问 www.fireeye.com/services/mandiant-cyber-defense-center-development.html。

主动与被动安全

网络攻击的范围和复杂性今天正在不断上升。最近的所有攻击都成功绕过了现有的安全解决方案，无论是传统的还是先进的。这些攻击之所以成功，是因为它们能够隐藏在我们网络和基础设施的合法领域中。我们当前的安全解决方案是基于扫描已知问题、过滤或丢弃坏信息，甚至尝试监控身份和用户习惯来检测的，但这些方法无法有效阻止攻击。主要原因是这些解决方案仍然侧重于响应安全事件，处理发生的安全问题，并规划如何从中恢复。换句话说：一种反应式的安全响应。反应式响应虽然有效，但并不能在足够的层面上应对如今的高级攻击。我们需要将重点转向一种主动的安全响应。行业已经从反应式安全响应转向主动安全响应。这是安全框架和方法论的范式转变，涉及我们如何预测、分析和应对威胁。与反应式安全响应不同，主动方法提供了对攻击基础设施更全面、更深入的可见性。简单来说，主动方法从攻击者的视角审视攻击面，尝试预测攻击并采取适当的措施加以防范。

按照逻辑，反应式安全响应模型的思维方式是，“如果发生攻击，系统和安全分析人员会做出响应。” 它是通过已知的攻击参数和方法设置一个陷阱，等待监控和检测系统对此做出反应。在反应式方式中，重点始终放在形成强大的外围防御，阻止那些试图突破网络的攻击。这种安全方式是局部的，面向特定的业务单元及其活动；它没有利用其他企业或行业垂直领域中类似性质的攻击。反应式安全无法提供威胁格局的 360 度视角，但反应式安全操作的方式总是更简单、反应更快，且运营成本较低。通过从杀毒检测系统、漏洞扫描器和数据泄露防护（DLP）系统获取的数据流，反应式安全的监控可以进一步增强。此模型的缺点是，它总是在漏洞或妥协发生后才对安全检测做出反应。

在这里，主动的安全监控和响应方式占据了主导地位。这是一种以情报驱动的模型，系统通过来自多个内部和外部源的可操作情报数据进行丰富，并与现有的实时监控系统相配合。这种主动的方法能够洞察整个威胁领域及网络攻击链的所有阶段，而不仅仅是集中在攻击链的一个或部分阶段。主动安全的一个关键方面是威胁狩猎，它通过寻找网络行为中的异常或任何异常模式、系统中的已知恶意文件，或者可以从已知攻击中找到的注册表项，帮助分析师获得更多关于网络和系统的洞察。作为分析师，你还可以在网络中查找已知的妥协指标（IOCs），以发现任何妥协的迹象。威胁狩猎是一个持续的过程，始终会根据从威胁情报来源获得的新信息进行调整。威胁狩猎还可以通过自动化方式进行，通过观察网络行为、系统异常、某些事件的时间线分析，以及网络和系统一段时间内的基准数据来进行。

威胁情报系统及其重要性

每个组织都非常担心自己所持有的数据以及如何确保其安全。数据敏感性已达历史新高。在我们努力保护数据安全并积极检测任何威胁时，必须具备适当且有效的威胁情报。威胁情报可以通过获取关于各种系统、流程、网络、应用程序、外围防御机制及其他 IT 资产的特定威胁信息（情报）来实现。这些数据随后会被收集、分析和丰富，以提供积极的、可操作的威胁情报。威胁情报如此重要的原因之一是，因为当前一代的威胁极为复杂，且难以被检测到。我们必须获取非常具体的信息，并从任何威胁情报源中进行搜索，寻找可能的妥协迹象，并获得可操作的内容。为了走在先进威胁的前面，确保我们的分析和关联系统能够获取适当的威胁数据至关重要。

任何有效且成熟的威胁情报系统必须能够实时收集和分类威胁信息，以便为 SIEM（安全信息和事件管理）和事件响应系统提供可操作的威胁情报，帮助它们分析并关联收集的威胁信息与它们正在监控的安全警报和事件。这些来自威胁情报系统的威胁警报还将帮助 SOC（安全运营中心）专业人员创建自定义签名以进一步检测。威胁情报系统收集与事件、日志、安全漏洞以及近期和历史攻击数据相关的各种信息。这包括来自组织的安全设备和网络设备的检测数据，以及来自外部威胁源的情报。你还可以设置蜜罐系统来收集攻击信息并将其作为威胁数据使用。数据收集需要专注且有意义，适用于打算使用这些数据的组织，因为每个业务都有不同的需求和基础设施类型。威胁情报的收集和馈送需要适应每个业务。无关的情报数据将导致错误的假设，因此漏掉攻击或泄露的风险更大。为了使威胁情报有效，情报数据的收集必须以集中方式进行，因为系统从多个位置和设备收集威胁和漏洞信息，以便关联数据。你必须从内部和外部来源收集数据，因为它们结合起来将提供关于你所在行业或组织的威胁和攻击向量的更详细信息。同时，也要关注收集有关任何正在进行的全球性攻击及其攻击向量、相关的缓解指令和检测参数的信息，这些信息可以来自政府 CERT、NIST、ENISA 等机构，以及行业来源，如 Cisco、Symantec、McAfee、Microsoft 和 RSA。你还可以关注开源威胁情报，如 OSINT、SANS 互联网风暴中心和开放威胁交换（Open Threat Exchange）。所有这些收集到的威胁信息需要根据威胁类型、对业务实体和职能的重要性进行适当分类和分隔。例如，可以根据业务单元的地理位置、使用的业务应用程序和 IT 基础设施来分类。地理位置对于确定威胁的来源至关重要，这样你可以优先关注那些可能受到影响的业务地点；这也有助于判断是否是针对你组织的定向攻击，或者可能是针对某个国家的攻击。这种情况可以帮助你定位受影响最严重的业务功能、应用程序或单元，并为提前或及时修复提供空间，以免为时已晚。它还将帮助你定义适当的缓解和检测策略，使你能够专注于有效利用资源，因为无论组织的规模如何，资源总是有限的。

一个成功且成熟的威胁情报系统必须能够生成并分发关于所有发现及相关调查的报告，帮助其他参与安全保护、调查和监控过程的人员，在各级操作、工程和战略决策过程中开展必要的工作。这些报告可以通过实时方法生成，或通过发布在线建议书的方式。安全威胁情报建议书还可能通过威胁交换机制，如 STIX 或 Traffic Light Protocol，与同行业的其他组织共享，让每个人都能利用这些信息，提前应对攻击。

数字取证与实时事件响应与 SIEM 的结合

正如我们在过去几年目睹的网络攻击激增，我们深信预防和监控只是应对网络安全攻击的初步步骤。我们应该做的是发展更多的能力，向威胁狩猎、内部威胁情报以及强有力的数字取证调查支持的事件响应能力迈进。

目前，行业中的大多数组织已经将 SIEM 作为其主要的中央监控平台。传统上，我们一直将 SIEM 用作接收来自网络其他部分的信息的平台，如本章前面所提到的，以便进行关联分析并识别威胁和安全事件。实质上，SIEM 一直像一个只听不说的设备。在今天的网络安全情境下，SIEM 应在整个过程中扮演更大的角色，发声并协同采取行动。SIEM 可以承担的一个突出任务是与数字取证平台集成，实时接收更丰富和更战术性的信息。数字证据极为易变，这加快了任何安全事件的响应时间。数字证据在网络安全事件中的脆弱和关键特性迫使我们以完全自动化的方式处理问题。响应事件时，传统的证据获取方法，如克隆磁盘，已不再有效，无法跟上攻击所需的时间；攻击在你意识到之前就已成功。

这就要求我们以自动化的方式从可疑设备收集数字证据，并且应当在为时已晚之前完成。我们需要将这些遥测数据与 SIEM 集成，以触发对终端的证据收集，就像安防摄像头在运动传感器的帮助下开始录像一样。这为我们提供了关于发生事件的详细信息，并且收集的证据更加准确，且是在正确的时间收集的：事件发生的时间，而不是事后。捕捉到一个受损机器在黑客获得外壳访问权限后立刻的状态——提供初步分析并为深入调查做好准备——将帮助我们扭转局面，打败坏人。事实上，这仅仅是开始，我们还应该开发能够自动分析收集到的证据并用威胁情报进行丰富的系统/平台，使其变得更快、更准确。

开始了解安全自动化和编排

让我们从为什么需要安全自动化与编排（SA&O）开始。随着单点安全解决方案的迅速增长，大多数 IT 团队发现自己陷入困境，因为这导致了对安全环境的监控效果不佳，以及事件响应管理不力。应对那些未能协同工作的众多解决方案不仅浪费了时间和资源，而且还给组织的预算带来了沉重压力。在这种情况下，SA&O 扮演了救援角色，它通过使点对点解决方案协同工作，节省了组织宝贵的时间，从而为事件响应行动的集中编排铺平了道路。说实话，这一领域存在着巨大的技能短缺，因此这一部分成为了书中的重点内容。在我们继续了解需要学习的内容之前，了解这些术语的含义也是非常重要的。

安全编排是一种连接和整合不同安全系统和流程的方法。编排作为安全操作的连接层，帮助节省了在不同工具之间跳转以拼凑信息的时间，从而实现更快速、更高效和更准确的响应。

安全自动化是指在信息或网络安全系统中自动化处理任务。你可以在单一产品或系统中自动化多个任务，但为了在其他产品、工具或系统之间自动化许多任务或安全流程，就需要安全编排。

安全自动化自动处理最繁琐和耗时的任务，一旦你将工具进行编排，你可以利用精简的操作手册或工作流来自动化整个过程。这意味着，安全问题一旦出现，你的工作流就会立即启动，工具之间的数据相关性、深入调查、警报升级、响应支持等工作也会同步进行，正如下图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/3e383ff2-f273-47f0-81ab-6cd41dcaca58.png

自动化和编排可以使安全团队优先处理和管理效率，同时应对从检测工具和 SIEM 工具中传来的耗时的警报响应。学习如何使用自动化编排非常重要，特别是在调查和修复事件时。我们见过 CISO 到一级安全分析师都认为一切都可以自动化，这种想法虽然有道理，但他们也认为所有工作可以一次性完成！如果没有适当的文档支持，自动化和编排的好处将大打折扣。即使是最雄心勃勃的专家，自动化每一个事件以及你事件响应工作流中的每个步骤，也如同试图煮沸大海一样不现实。在你成为企业安全团队的一部分时，尤其如此，因为通常涉及多个跨职能团队，涉及多种不同的技术，最有效的方式是先走路再跑。

在过去的几年里，安全自动化和编排已成为网络安全行业的热门话题。所以在这一部分，我们将分享一些技巧，帮助你迈出利用自动化和编排的第一步。

自动化并不像听起来那么简单，你需要知道何时使用它，以及如何遵循工作流，才能取得成功。

一旦你确定了安全自动化和编排的安全用例，你就可以产生可衡量的影响。以下是三个帮助你识别安全自动化和编排的优秀用例的建议。

步骤 1——从小做起

拥有一个较小的任务或操作手册将有助于你学习 SA&O。拥有一个小型的操作手册/演示实验室，并设置有限的自动化任务，通常能提供一条很好的学习路径。一个例子是检查 IP 在多个声誉服务中的评分，并计算加权声誉分数。另一个例子可能是创建或更新一个票务系统。这里的关键概念是自动化更大工作流中的关键部分，从而提高工作效率，避免上下文切换，以及避免在多个界面之间复制粘贴。

为了帮助你入门，你可以问自己以下问题，你的答案将形成一张地图，基本上就是在告诉你*“从这里开始”*：

• 你的主要商业驱动因素和优先事项是什么？

• 现在驱动你战略的是什么？是风险管理的需求、整体增长、更强的投资回报率，还是遵守 GDPR 等监管问题？

• 哪些指标是重要的？例如，是否是调查的事件数量增加？响应时间和 MTTR 改善？成本管理？

第 2 步 – 学习分析（事件）

一旦你熟悉了 SA&O，你就可以进入下一步。检查工作流的操作计划将帮助你掌握更复杂的场景。

这是一个例子。由于钓鱼攻击仍然是许多网络攻击的首要入侵点，学习如何检查可疑的钓鱼邮件将非常有用。你可以通过自动化重复的操作，例如从威胁情报服务获取声誉数据并丰富事件，然后将工作人员插入工作流中，以便他们可以做出关闭或升级的决策，而不是一次又一次重复相同的步骤。

随着时间的推移，越是从小处着手，逐步推进到更复杂的自动化，你将学会完全自动化这个过程。这种方法的好处在于，它允许你将始终处于高需求状态的分析人员集中于更复杂的问题。

作为初学者，学习常见的事件总是很好的。尝试掌握前五个事件，熟悉相关厂商并进行分析。找出这些事件是否需要从威胁情报源、火墙、邮件服务器和网络设备的集中凭证存储中收集信息并采取措施。更复杂的用例将涉及更多的系统以及更多的团队，这将引导我们进入下一步。

第 3 步 – 学会明智地监控

你投入时间学习分析的越多，越能快速达到最后一步，在这一阶段，你需要找出如何将这些分析步骤自动化。接下来，定义一组可以用于衡量这些步骤的指标也非常重要，这些指标有助于在 SOC 内构建报告。一种常见的指标是平均修复时间（MTTR），它是桌面支持的服务级别指标，衡量从报告事件到事件解决所经历的平均时间。通过安全自动化和编排获得的效率提高，应该使该指标下降。

当然，持续改进将为你的技能集增值。如果自动化意味着在几分钟而非几小时或几天内调查事件，你可以快速计算这些成本，甚至评估分析人员将额外时间集中在其他可能需要自动化或无法自动化的更关键工作的好处。很快，你将能够在整个组织中应用你的新最佳实践和流程，获得最终的编排和自动化效益。

三种常见的安全编排、自动化和响应用例

精通用例将帮助你积累大量经验，因此这里有三个关键用例供你关注。

钓鱼邮件

钓鱼邮件已经成为近年来组织面临的最关键问题之一。一些最近的高调数据泄露事件就是由于精心设计的钓鱼邮件所导致的。安全编排、自动化和响应非常适合通过提取邮件中的文物，然后对这些文物进行额外增强，如果必要的话，隔离恶意邮件及其任何恶意负载，来自动化地处理和检查可疑的钓鱼邮件。

恶意网络流量

关于恶意流量的警报可以直接接收，或通过 SIEM 转发。无论哪种方式，如果你学会如何自动化和编排与这些类型事件相关的行动，你可以节省大量时间。

一旦日志被接收，分析员会使用数据增强工具，如威胁情报、声誉服务和 IT 资产清单，以及工具如nslookup和whois。分析员随后判断这些指标是否显得具有恶意，如果是，则开始隔离并进一步调查。如果使用自动化和编排，这个过程将自动完成。使用相同的自动化手段，搜索整个组织内相同指标的其他实例，然后警报分析员任何新增的发现也会变得更加容易。自动化或半自动化的隔离也是可能的；例如，通过防火墙或代理阻止 IP 地址或 URL，或在进一步调查之前将主机隔离，如下所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/1864f482-dcc5-42be-9f09-df77dbc9036c.png

图 1：whois 搜索的示例结果

接下来，我们将探讨漏洞管理以及它如何增强监控工作。

漏洞管理

安全编排自动化并不打算作为漏洞管理平台，并且永远不会取代今天强大的漏洞管理系统，但有些方面可以帮助我们。它们可以用来确保安全团队了解任何新的漏洞。自动化可以用来查询漏洞数据库，获取有关漏洞的更多信息，查询 Active Directory 或 CMDB 以获取资产信息，或查询 SIEM 或 EDR 以获取事件信息。根据漏洞、主机或事件信息，案件可以自动升级或重新分配，或者主机甚至可以在执行适当的缓解任务之前暂时隔离。

总结

本章内容讲解了为什么你需要学习操作安全。我们涵盖了主动安全、被动安全和操作安全的含义，这些支柱的意义，以及什么是安全运营中心，为什么你需要理解它。

本章主要聚焦于网络安全的操作和技术层面，下一章将阐述人类因素的重要性，比如如果你想选择任何职业，如何在你的领域选择导师。我们将探讨人际网络的作用，因为安全从来不是单靠个人实现的，你将需要信息和人脉来获取重要的资讯、指导，甚至是找到工作。

进一步阅读

查阅以下资源，了解本章所涉及的更多内容：

• www.symantec.com/connect/blogs/top-5-priorities-proactive-cybersecurity

• www.fortynorthsecurity.com/

• www.stickman.com.au/reactive-cyber-security-approach-put-business/

• www.netfortris.com/blog/proactive-vs.-reactive-whats-your-network-security-strategy

• www.openaccessgovernment.org/reactive-mentality-on-cybersecurity/60036/

• www.ready.gov/business/implementation/IT

• www.disasterrecovery.org/

• www.accenture.com/t20170803T055319Z__w__/us-en/_acnmedia/PDF-7/Accenture-Cyber-Risk-Convergence-Of-Operational-Risk-And-Cyber-Security.pdf

第七章：建立人脉、导师指导与跟随学习

为了确保你在职业生涯中顺利起步并不断进步，有三个关键的流程是你可以遵循的。它们分别是导师指导、跟随学习和建立人脉。导师指导是一种一对一的关系，导师是经验丰富的专业人士，可以为你提供及时的建议、激励和方向。跟随学习指的是以专业的态度进入工作场所，观察导师的工作。这让你通过亲眼看到正常工作日中实际发生的情况，深入了解你打算从事的职业。最后，建立人脉是指与行业内外的其他人建立职业联系。建立人脉可以帮助你在发展职业或从一个职业转向另一个职业时，获得他人的信息、指导和支持。本章将通过以下主题讨论这三项要素在职业生涯中的重要性：

• 导师指导

• 建立人脉

• 跟随学习

导师指导

导师指导在你的教育和职业生涯中都非常重要。独自完成一件事情总是让人兴奋，这样你可以将所有的成功归功于自己。单独找到一份工作是一个重要的成就，单独规划自己的职业发展也看似是一个重要的成就。然而，现实往往与预期有所不同。你可能拥有最好的想法，但却不知道如何付诸实践。你在职业发展的计划可能并不完全如你所愿地实现。你可能认为只要花几小时在招聘网站上申请自己符合条件的职位，就能顺利找到工作，但事实却并非如此。这就是为什么你需要导师来为你提供指导，并监督你所采取的每一步。导师指导是一种一对一的关系，你寻求更有经验的专业人士的持续支持和建议，帮助你度过职业发展的任何阶段。以下是导师在职业生活中必不可少的原因的详细列表：

他们提供知识和智慧

如本章后续所述，最好的导师通常是那些在自己领域有着丰富经验的专业人士。他们通常拥有大量的知识，刚刚开始职业生涯的人会从中受益。例如，一位导师可以告诉你该学习哪些编程语言和框架。对于初学者来说，最好的编程语言和框架是那些在市场上能赚最多钱的。但在该领域工作多年的程序员知道，市场上被炒得火热的语言和框架往往并不是最可靠的。因此，他们可能会建议你关注其他的语言和框架。其他许多职业也是如此。除此之外，你还可以利用他们的知识财富。当你面临困境或需要做出艰难选择时，可以向导师请教，他们将帮助你做出最佳决策。

他们会给出关于你应该改进的地方的见解

导师擅长识别你可能忽视的缺点。这些缺点可能出现在你的项目、决策、执行或计划中。你可能会低估这些缺点，认为它们对个人或职业发展不会产生重大影响。导师会直言不讳地告诉你，必须改正那些存在缺陷的地方。这就是你如何得到提升的方式。导师的建设性批评通常帮助人们实现大多数目标，因为他们已经消除了那些阻碍他们成功的缺点。如果没有导师，你只能依赖自我批评，而有时自我批评是具有误导性的，它让你觉得自己比实际情况要好或更差。导师会给你真实的自我反馈，并告诉你如何改进。

他们会给予鼓励

你的职业道路可能不会像你想象的或计划的那样顺利。有时候你会面临挑战，甚至处于想要放弃的边缘。在没有任何动力的情况下，你可能会决定放弃，休息一下，或放弃成功。导师会给予鼓励，帮助你继续前行。励志企业家奥普拉·温弗瑞曾定义导师为*“让你看到自己内心希望的人。”*导师在你职业生涯中的主要关注点是确保你达成目标，当你快要放弃时，他们会帮助你重新振作。因此，导师几乎不会让你停下来，当你面临最具挑战的障碍时，他们会鼓励你继续前行，并指导你该如何做到这一点。

导师设定界限并确保纪律

掌控自己的人生或职业是一项巨大的责任，你必须全力以赴。然而，你自然会试图给自己一个休息的机会，或者选择一条最不费力的成功道路。你还会遇到许多干扰。这些干扰、过度休息或寻找捷径，可能会延误你的成功。这就是为什么导师有着严格的纪律性，并设立界限，明确你可以做什么和不能做什么。这些规则有助于培养坚实的职业道德、毫不动摇的专注力，并帮助你正确地设定优先事项。

导师提供不加过滤的意见

你会有很多想法，这些想法在你和他人看来都非常可行。然而，导师从不同的角度来看待这些想法。根据他们从不同角度的观察，导师能给出关于你的想法可行性的诚实意见。导师可以帮助你识别具有长期潜力的想法，以便你采取行动。例如，如果你因为有一些薪资吸引的职位空缺而想学习一个成本较高的新框架，导师可能会建议你是否应该承诺学习这种语言。这可能只是一个短暂的趋势，学习了一年的框架后，可能会有新的框架发布，导致你失业。这些见解可能在你的决策中缺失，因此，在做出决定之前，你应该咨询导师。

他们是值得信赖的顾问

在处理敏感项目时，特别是那些涉及专有信息的项目，很难信任除了自己以外的任何人。将这种信息，甚至是想法，分享给错误的人可能导致你计划制作的产品被复制。因此，当你不得不请求另一方为你提供新想法或对你正在做的工作提出新见解时，会面临一些挑战。导师作为第三方，不涉及你的想法，他们会乐于分享关于敏感项目的建议。然而，你仍然需要谨慎，避免向他人泄露过多。导师几乎不会出卖你的想法，也不会偷窃你与他们保密分享的专有信息。

他们可以成为优秀的连接者

正如本章稍后将讨论的，职业关系具有巨大的价值。导师通常愿意为你提供与行业专业人士的联系，这些人可以为你正在做的事情或你希望实现的目标提供支持。导师可以带你参加活动，介绍机会，或将你与一些知名的专业人士联系起来，否则你可能永远也无法见到他们。

他们拥有丰富的经验，你可以从中学习

导师通常拥有大量经验，你可以从中学习。他们曾经历过与你相同的境地，他们做过明智的决定，他们犯过错误，并从经验中汲取教训。有了导师，你不必经历他们曾经经历过的挑战，或犯他们曾经犯过的错误。他们会与你分享他们的故事和错误，帮助你避免重蹈覆辙。他们还会与你分享他们做出的明智决策或牺牲，以实现一些重要目标。

导师会因你的成功而感到满意

导师与许多其他专业人士不同，他们并不仅仅为了丰富自己而进入您的生活。 导师是自由的； 因此，他们不受您的财务收益的驱动。 导师从看到您成功中获得满足感。 因此，他们将愿意支持您并将您与您行业的专业人士联系起来。 一些在几次尝试后最终成功的人希望通过指导来帮助他人成功。

拥有导师带来的好处列表很长。 您可能拥有最好的想法或计划，但在执行过程中，您可能需要有人曾经做过类似事情以给您提供关于避免错误和在每个阶段做出决策的见解。 您可能因为没有其他人指导而在每个想法或项目上遇到困难。 在看过拥有导师的重要性后，您应该了解如何选择一个，并且以下部分提供了如何做到这一点的建议。

如何选择导师

导师是许多人成功背后的原因。 但是，并非每位导师都会带领您走向成功，这就是为什么在接近他们之前，您应该考虑一些事情。 以下是您应该寻找的内容：

兼容性

您应该寻找一位您可以舒适地合作而无需劳累的导师。 您与潜在导师的最初几次互动应该被用作衡量您是否与他们兼容的机会。 如果存在不适感或理念冲突，则最好不要进一步发展导师关系。 如果导师是由公司分配的，您可以要求更换他们。

要评估您与导师的兼容性，您应该查看他们的世界观、理念和哲学。 他们的观点或理念可能与您的不同，但应该是合理的。 您应该避免那些在观点上表现出极端主义迹象的人，因为他们可能最终会奴役您的个性以追随一条严格的道路。 您还应该避免与您有明显差异可能妨碍您两人合作的导师。 您不应该试图强行推动导师关系：跟随您的直觉。 当您觉得可能会与导师陷入长期冲突时，最好与他们断绝联系。

导师的优点和缺点

你将会寻找值得效仿的人，这就是为什么你应该关注他们的优点和缺点。导师如果有太多缺点，可能会对你产生负面影响。花费过多精力去适应导师的缺点从来都不是一件好事。然而，你也应该考虑到没有人是完美的，几个缺点是可以接受的。在评估导师时，你应该关注一些重要的品质，比如他们的同理心、诚实、守时、敬业以及倾听能力。尤其是倾听能力非常重要，因为你与导师互动的大部分时间将是你向他们呈现挑战。如果导师从不倾听，最好能向他们指出这一点，或者与他们断绝导师关系。

对比

之前我们提到过，你应该寻找一个与你兼容的导师。然而，你应该明白，你需要一个能让你走出舒适区的导师。你的导师不应该仅仅是基于你最好的朋友的特质。你需要一个与你有所不同的人，这样才能鼓励你走出舒适区。例如，如果你不擅长守时，你需要一个对时间非常严格的导师，因为这样会促使你开始尝试守时。因此，你应该开放心态，愿意接受一个思维或行为方式不同的导师，只要他们的特质能够帮助你走出舒适区。你也应该愿意接受来自不同行业的导师。如果你是一个网页开发者，一个足球教练依然可以成为你的导师。这样的人与行业内的人有着不同的人生观，他们会从不同的角度看待你的挑战，而不是另一个程序员。

专业知识

在导师关系中，头衔或工作经验并不重要，专业知识才是关键。最好的导师是那些经历过不同挑战，或有过你可以从中学习的多次经验的人。你不能仅仅因为某人拥有一个高职位，就认为他们会是一个优秀的导师。他们可能是在没有经历重大困难的情况下，或者是被有影响力的人提拔上来的。你会更好地从一位退伍军人或者克服了许多生活挑战、才能走到今天的人的经验中受益。这些经验对你来说会非常有帮助，你将从中学习。

信任

我们曾提到导师是值得信赖的，能够保守机密，但你也需要做好自己的部分，寻找一个值得信赖的导师。大多数情况下，你会和导师分享一些机密信息。因此，如果你能信任他们，那将是最好的。信任必须是双向的，你应该像导师信任你一样信任他们。为了避免陷入将敏感信息透露给错误的人这种不希望发生的情况，最好慢慢建立与你导师的关系。你应该花时间制定一些与导师互动的基本规则，经过几次交流后，你会了解到导师是否值得信赖。导师也会发现你足够值得信赖，从而愿意与您分享他们个人的隐私信息。

在寻找导师时需要考虑的这些因素，将帮助你找到一个值得信赖、可靠，并且最适合帮助你成长的人。一旦你和导师建立了良好的关系，你必须充分利用这一机会，推动自己的职业发展，或者更接近实现人生目标。当你找到一个好导师后，你应该保持好奇心，准备走出舒适区；你应该诚实，欣赏反馈或建设性的批评，并确保你们之间有相互尊重。下一部分将探讨你职业生涯中另一个重要的方面：人际网络建设。

人际网络建设

人际网络是建立关系的过程，帮助你在职业生涯中获得信息、指导和支持。人际网络已被证明有助于加速职业发展的进程，帮助你为自己的技能争取更好的薪酬，发展职业流动性，并从工作生活中获得更多满足感。人际网络可以看作是社会资本。你在网络中的联系人越多，你拥有的社会资本就越多。这些资本可以用来获取信息、机会、曝光、更多的人际网络以及职业生涯中的长期支持。拥有社会资本，你也能更快速地推进和发展职业生涯。有效的人际网络必须考虑到一些因素，以确保你能够从中获得最大化的社会资本。两个最重要的因素是网络规模和组成。网络规模涉及你拥有的联系人数量，这些联系人决定了你从网络中能够接触到的机会。然而，单纯的网络规模不足以为你提供足够的社会资本来发展职业，因为你可能拥有很多低层次的联系人。这就是为什么网络组成是你网络中最重要的因素。网络组成指的是构成你网络的人的类型。确保你的网络有来自不同社交环境、不同人口群体和不同组织职位的联系人非常重要。社交环境或背景包括工作中的同事、家庭成员和社区等。建立一个由不同社交环境混合组成的网络是一个好选择，这能提高你获得机会并与他们共享机会的几率。拥有来自不同人口群体的联系人对你开辟远方的职业机会也起着重要作用。你所在的地方可能有很多具备与你相同技能的人，但在海外，可能急需拥有这类技能的人。一个多元化的人口群体网络有助于你获得这类机会，从而加速你的职业发展。最后，拥有不同组织职位的联系人对你的人际网络也很重要。如果你只有拥有高层管理职位的联系人，你可以获得晋升或高薪工作的机会。如果你有一些低层次职位的联系人，你可以获得很多转交给你的机会并申请。拥有初级、中级和高级职位的联系人也有其好处。

人际网络对你的职业成长至关重要，确保你在一段时间内建立起声誉良好的关系。以下是人际网络的一些好处：

工作机会

网络中的联系人有助于启动或发展你的职业生涯。这些联系人可能是人力资源人员、在有职位空缺的组织中工作的人，或是组织中的高层管理人员。这些联系人可以帮助你更容易地找到工作，减少竞争。根据一项统计，80%的工作岗位并没有在招聘网站上发布。因此，仅仅依赖于像Indeed这样的网站申请工作，远不如拥有能在职位空缺时通知你的联系人有效。当其他求职者在争夺招聘网站上发布的 20%岗位时，你通过在相关组织工作的联系人获得的职位会让你有更大的成功机会。网络也可以帮助你获得那些不在你所在地区的工作。如前所述，某些地方可能会缺乏某种技能的人才，因此他们愿意雇佣并给予来自海外的人员更多的报酬。例如，可能有一个非营利组织在非洲的偏远地区工作，找不到一名擅长某个框架的可靠本地开发人员。如果你在该国有联系人，他们可能会为你提供这份工作，并附带一些福利。最后，网络中的联系人还可以在你获得该组织面试机会时，作为良好的推荐人。这显著提高了你被录用的机会。

职业建议和支持

在特定行业有多年经验的网络联系人，是你获得宝贵职业建议和支持的来源。他们可以在你职业生涯的各个阶段给你建议，并在你成长时支持你。如果没有这些建议，你可能会走上一条潜在的危险职业道路，这条路可能不会带给你更好的机会。例如，由于没有来自经验人士的建议，你可能犯错，继续呆在一家公司里，该公司不断压榨你，且没有公平的薪酬，直到你意识到自己需要更换雇主。你还可能呆在一个成长有限的行业，而一位有类似经历的联系人能够提供是否应尝试职业转换的建议。在没有人提供意见的情况下，很容易陷入没有前景的职业生涯，而错过其他机会。你的专业网络可以通过明智的职业建议和支持，帮助避免这种情况的发生。

建立信心

扩展你的网络需要认识新的人并与他们进行交流，从而建立专业关系。每次你接触一个新人，建立一条新的联系时，你都会走出自己的舒适区。这有助于你获得信心，并发展对你生活有益的重要社交技能。你越多地参加活动或去其他地方认识专业人士，建立你的网络，你的信心就会越强。最终，你会变得毫不费力地接触任何人，并与他们建立起专业关系。

建立个人关系

一些最强大且持久的关系正是源于你的职业联系人。建立网络的主要目的是找到能帮助你职业成长的专业人士。然而，有时这些职业关系会发展成更深的关系。这是因为不可避免地，你会遇到一个和你有相同目标并且几乎有相同思维模式的联系人，这会让原本的职业关系转变为个人关系。这样的关系通常会维持很长一段时间。

资源获取

你的社交网络可以作为许多职业资源的来源。每一个联系人，如果充分利用，都可能提供一些有价值的信息。有些联系人掌握着你申请的公司的内部信息，另一些则能帮助你润色简历。还有一些是人力资源或高管，他们可以提供公司内的机会。最后，还有些联系人会定期向你发送与你资历匹配的职位空缺信息，甚至可能将你与能帮助你找到工作的专业人士联系起来。简而言之，你的网络可以提供大量资源，这些资源可以帮助你职业发展和成功。

探索

你可能因为没有探索某些路径而限制了自己的潜力。然而，很多人没有发挥出自己全部潜力，是因为他们没有发现自己能擅长的事物。通过一个职业网络，你能接触到不同类型的人，这些人能开阔你的思维，帮助你发现那些你最初没有考虑过的职业选项。例如，一个在某公司做 9-5 工作的网页开发者，可能会发现自己能作为自由职业者接一些项目，获得额外收入，甚至可以接到两份工作，最终辞掉 9-5 的工作。因此，职业网络作为一个免费的思想交流平台，能让你发现并探索新点子。如果没有这个网络，你或许永远不会了解到这些想法。

建立职业网络的建议

在了解了职业网络的好处之后，接下来需要讨论如何建立一个能够带来这些好处的职业网络。并非每一个职业网络都会具备这些优势，特别是如果它不是经过深思熟虑地建立的。值得注意的是，能够结识新专业人士的社交活动有很多种方式。这些方式包括面对面见面、参加行业活动、通过社交媒体网络如 LinkedIn 建立联系，或者在公共场所遇见。这些只是你可以与他人作为专业人士互动并将他们加入你的网络的一些地方。以下是建立网络时应遵循的一些建议。

建立真实的人际关系

强大的专业网络是建立在真实关系基础上的。网络建立并非仅仅是接近陌生人，进行简短对话，并告诉他们你想将他们加入到你的专业网络中。这很可能会导致一个表面的网络，无法带来任何成果。当你处于希望拓展网络的场景时，你必须首先与目标对象建立真正的关系。你应该倾听他们的言论，参与他们的讨论，回应他们的分享，了解他们的兴趣和目标。最好把自己当作是在建立一段终身的友谊，而不仅仅是通过利用陌生人来积累社会资本。你可以邀请与你互动的人参加其他活动，或提出展示与你的产品匹配的东西。如果他们与你的联系不是表面的，他们更有可能对你开放，提供建议、支持、资源和链接，从而加强你们的职业关系。

提供帮助

你应该建立一种关系，使你不被视为一个只想获得而不愿意付出的人。向你希望建立联系的其他人展示支持和慷慨是很重要的。你可以向陌生人询问他们正在从事的项目，如果你有相关的技能可以帮助他们，你应该提出提供帮助。即使你没有相关技能，你也可以推荐一个能帮忙的人。因此，准备好向他人提供帮助，就像你准备好向他人请求帮助一样。在请求帮助或提供帮助的过程中，你可以建立起有意义的专业关系。

多样化你的活动

事件提供了与分享相同兴趣的新朋友建立联系的最佳场所之一。例如，参加开发者活动将帮助你与其他开发者建立联系。你也可以尝试参加一些来自其他领域的专业人士聚集的活动。此外，你还可以通过争取成为讲者，而非仅仅是参与者，来增加认识更多人的机会。例如，如果你掌握了一些开发者可能受益的信息，你可以提出在开发者会议的开始或结束时做一个简短的演讲。作为讲者出现在活动中，能提升你在他人面前的可信度，并让更多人认识你。这将有助于你在活动结束后与他人开始对话，他们可能会成为你网络中的联系人。如果其他与会者喜欢你的演讲，他们可能还会主动邀请你加入他们的网络。总之，尝试参加你之前没有考虑过的活动，并争取在活动中成为讲者之一。

保持联系

沟通是任何关系中的关键。因此，你应该记得不时与网络中的联系人保持联系。这对于增强你的人际关系，甚至可能扩展你的人脉非常重要。你可以定期向他们问好，并在他们愿意参加时，提议在即将举行的活动中与他们聚会。社交媒体也是保持联系的另一种方式。你应该尽量将联系人添加为 LinkedIn 上的连接。在 LinkedIn 上，你可以定期给他们发消息、点赞他们的帖子，或者认可他们的技能。这能让你对他们保持相关性，并且他们也会记住你，以防有机会能对你有所帮助。

跟随学习

当你从校园直接开始职业生涯时，你可以选择不等到正式入职，而是选择跟随学习。然而，跟随学习并不限于加入职场的人。那些已经有了职业生涯的人也可以进行跟随学习，可能是为了了解更多关于一个组织的信息，或者获取关于他们想转行的职业的见解。跟随学习让已经从事职业的人在做出大胆的职业转变前，能够测试另一个职业选择是否适合自己。跟随学习是一个职业发展过程，在这个过程中，你会跟随一位专业人士到工作场所，并观察他们的工作内容。

对于刚进入市场、还未加入职场的求职者，跟随学习让他们能够更多了解潜在的公司。通过跟随学习，能了解很多关于公司的信息。例如，当你在某个公司的场所时，你可以了解这个组织的文化。你能看到员工是如何被对待的、每个员工的专注程度、员工之间的关系，以及整个组织的工作氛围。通过观察一个组织中的文化差异，你对自己希望进入的职场环境有了更多了解。例如，通过跟随学习，你能够观察到穿着随意的员工与那些在严格要求穿着西装打领带的公司中的员工之间的区别。以下是不同类型的跟随学习的详细介绍：

定期简报

这是一种旨在帮助你更好了解员工执行特定任务的跟踪方式。因此，你只有在员工执行特定活动时才会进行跟踪。例如，一名刚刚毕业的工程学学生可以去工地，只在进行重要任务时进行观察。定期简报能帮助你更好地理解这些行业中重要角色的职责。与其他类型的跟踪不同，定期简报需要大量的计划和时机，以确保主持人在正确的时间和地点让你观察到正在执行的特定任务。

观察

这种跟踪方式仅仅是观察主持人或其他员工在正常工作日的工作内容。这种职业跟踪是被动的，你通常不能尝试执行你所观察到的任务。观察可以通过参加会议，或者简单地观察主持人和其他员工的工作来进行。观察很简单，可以让你了解组织的文化、工作伦理和工作氛围。

实践操作

在这种情况下，你会在实际工作场所执行一些任务。这包括观察然后进行实践操作。例如，你可以观察某个组织如何清洁电脑，然后拿起吹风机，重复清洁的过程。实践操作的职业跟踪风险较大，因为没有经验的人在执行任务时可能会犯错，这些错误可能会对组织造成财务影响。因此，能够提供这种机会的组织并不多。大多数组织会有严格的规定，以确保当你被允许执行任务时，万一发生意外，财务影响不会很大。

准备职业跟踪

职业跟踪提供了一种学习经验，你应该好好利用。以下是一些你应该为职业跟踪活动做准备的方法。

提前准备问题

职业跟踪让你与那些你未来可能从事的职业领域中的人互动。因此，提前准备一些问题是很重要的，这些问题有助于更好地了解主持人或其他员工的工作内容，同时也能帮助你发现一些在进入职场之前需要培养的技能。

记笔记

从职业跟踪活动中可以学到很多东西，而且很难记住所有内容。因此，带上一个笔记本来记录工作场所中说过或做过的重要事项是很有用的。

选择合适的时间

如上所述，一种类型的工作影随包括定期的简报，在特定的时间和地点观察某个特定任务。因此，选择合适的时间进行这种工作影随活动是至关重要的。还有一些组织是季节性的，因此，您还应确保在最合适的时间进行，既可以选择工作量较少、员工能够更自由互动的时候，也可以选择工作量较大的时候，这样您可以看到员工们在高峰状态下工作的表现。

感恩

在参加完工作影随活动后，向组织和接待人表示感恩是非常重要的。因此，建议在参观结束时写一张感谢信，感谢提供了了解该组织某一领域工作的机会。信中还可以提到未来通过实习等机会加入该组织的前景。

总结

本章介绍了职业成长与发展的三个重要过程。导师制度作为一种建立在人与行业内具有丰富经验的专业人士之间的关系，已被详细讨论，这些导师能够提供职业成长和发展的指导。本章探讨了导师在个人生活中的重要性。列出的几个原因包括导师是知识来源、提供改进建议、给予鼓励、培养生活中的纪律性、提供意见和建议。本章还探讨了选择导师的最佳方式，强调应关注兼容性、优缺点、对比、专业知识和信任。

网络建设也被作为一种建立关系的方式，帮助你获取信息、指导和支持。它被描述为获取社会资本的一种途径，这些资本可以用来发展你的职业生涯。网络建设的好处包括获取工作机会、获得职业建议和支持、提升自信、发展个人关系、获取资源以及发现新的发展路径。本章提供了一些网络建设的建议，其中包括建立真诚的关系、主动提供帮助、参加多种活动以及与网络保持联系。

最后，本章介绍了影随，这是通过跟随一位专业人士到工作场所，观察其工作内容，从而发展职业生涯的一种方法。强调的几种影随类型包括定期简报、观察和实际操作体验。为了最大化工作影随的收获，您可以采取一些方法，例如准备提问、做笔记、选择最合适的时间以及表达感恩之情。

接下来，我们将在下一章讨论如何设置实验室环境并进行渗透测试。这将为你提供网络安全实验室搭建的实操经验，并通过了解与该领域相关的各种技术来进行自我评估。

深入阅读

以下是可以用来进一步了解本章内容的资源：

1. career.oregonstate.edu/students/networking

2. www.elmhurst.edu/academics/career-education/mentoring-and-shadowing/

3. www.inc.com/john-rampton/10-reasons-why-a-mentor-is-a-must.html

4. www.td.org/insights/understanding-the-value-of-networking-for-job-and-career-development

5. www.topresume.com/career-advice/importance-of-networking-for-career-success

6. www.summitsearchgroup.com/why-having-a-mentor-is-so-important-for-your-career/

7. www.unl.edu/mentoring/why-mentoring-important

8. www.thebalancecareers.com/what-is-job-shadowing-2062024

9. www.livecareer.com/career/advice/jobs/job-shadowing

10. www.businessinsider.com/7-career-benefits-of-a-strong-network-2013-2?IR=T

11. www.thebalancecareers.com/job-shadowing-is-effective-on-the-job-training-1919285

第八章：网络安全实验室

传统的教学方法已被观察到对网络安全培训效果不佳。理论方法仅提供了网络安全的某些方面的细节，但很少能让学习者掌握实际技能。因此，必须通过实践经验，帮助学员将所学的原则应用于实际环境中。实践培训能够更高效地学习技能，让学员更好地理解所有细节的重要性。例如，防火墙配置中的一个漏洞可能会导致网络安全漏洞。

IT 行业快速发展，要求人们迅速获取新知识。在你的网络安全职业生涯中，你很可能会不断学习新技能，以适应市场新趋势。因此，了解获取新技能或提升现有技能的途径至关重要。网络安全培训的一个优势是，你不必进入大学就能学习。互联网上有多个平台，提供免费的学习机会或仅需支付少量费用。

然而，在线培训也有一些需要注意的事项。其中之一就是，你的选择将极大地影响最终结果。因此，选择错误的学习平台会对你不利。此外，你对学习的投入也会影响你掌握新技能的速度和效果。如果你专注且勤奋，你将迅速获取新知识和技能。因此，如果你发现自己难以长时间集中注意力，选择导师主导的培训会更为合适。本章将概述三种受欢迎的培训选项，你可以根据个人偏好和能力进行选择。

• 导师主导培训（ILT）

• 虚拟导师主导培训（VILT）

• 自学

ILT

ILT 通常被称为传统的学习方法。这种方法要求导师亲自出席，并与学员互动，目的是教授学员新技能或提升导师已经具备的技能。技术的发展使得 ILT 变得非常便捷。ILT 适用于那些涉及复杂主题、需要专家亲身经验的培训。

在 ILT 中，培训通过培训小组的形式进行。学员们可以在同一物理空间内共同工作，并且互相帮助解决问题。学生之间的合作往往在这种培训方法的成功中起到关键作用。学员可以通过分享挑战、经验、技巧和窍门进行互动，从而让培训过程更轻松或更有趣。最终效果是，由于学生之间的协作，复杂的主题变得更容易理解。

这种类型的培训的缺点包括可访问性有限，因为学生通常必须出门到达培训地点。此外，他们必须以相同的步调进行。这种方法也很昂贵，大部分费用无法避免。这种培训的覆盖范围也有限，因为教练和学生必须亲自见面。但是，机构也提供短期集训课程，这些课程是可以定期在不同地点轮换的较短培训活动。这提高了培训项目的覆盖范围和可访问性。

VILT

这是通过互联网提供的 ILT 的延伸。在 VILT 中，有在线虚拟教师主导的课程。学生和教师都不必前往参加课程，因为他们可以在任何地方参与，只要他们有稳定的互联网连接。提供这种培训的机构有不租用学生学习的房间的优势。这种学习模式更加灵活，因为学生可以在课前和课后进行其他任务。课程的时间安排也更加高效，并且将在预定的时间开始和结束。培训的质量也可以很高，因为机构可以从任何地方雇佣有资格的人员，只要他们有可靠的互联网连接。

然而，VILT 也带来了一系列挑战。首先，它是虚拟的，因此对学习者有自律要求。学生在进行培训时必须避免手机等干扰。对于学生来说，没有实际监督，他们在培训过程中很容易被环境中的其他事物分散注意力。一些估计显示，VILT 的注意力持续时间为 25%。这意味着许多学生在培训期间会分神。与教师互动的空间也有限。每个会话中学生数量较多，减少了每个学生发表意见或向教师提问的机会。教师也无法与学生建立联系。因为教师了解学生是否理解所教内容的方式之一是观察他们的身体语言。VILT 不能为教师观察学生的非语言沟通提供最佳媒介。最后，这种培训的实用性也有局限性。学生通过 PDF、视频剪辑或手册收到资源。然而，这些资源并不总是针对不同屏幕尺寸进行优化，对一些学生来说实际跟进培训可能会感到不舒服。

自学

这是学习者跟随基于文本或视频的培训模块并按照自己的节奏学习的地方。这需要学习者在时间管理和完成课程中的挑战方面具备自律精神。

这种学习方式的好处有很多，既包括灵活性，也包括成本效益。在这种培训方式下，学生不必跟随其他学生或培训师的进度。学习较快的学生能够快速完成，而学习较慢的学生可以有机会将学习时间拉长，从而充分掌握所教的内容。这种学习方式还具有成本效益。提供自学模块的机构通常会以较低的价格甚至免费的方式提供这些模块。例如，你可以通过观看并使用免费的 YouTube 教程来学习很多技能。一门可能需要花费数千美元在大学里上学的课程，可能在这里只需不到 1,000 美元。

自学和评估模块由于能够让人们根据自己的节奏和方便性进行学习，越来越受到欢迎。由于这些学习平台，网络安全领域的专家人数也在增加。行业对专业人才短缺的反应非常迅速。预测显示，2020 年将缺少 150 万网络安全人员，但这种缺口可能会得到缓解。

进行自学和评估的最佳方法之一是通过在线网络安全实验室。这些实验室让你接触到你必须应对的真实世界威胁。互联网提供了广泛的实验室供你进行。然而，其中一些实验室是收费的。

本章重点介绍了便宜的替代方案，你可以在这些方案中设置并免费使用安全实验室。它探索了旨在提升你掌握不同类型威胁及其解决方案的实验室。

自学网络安全实验室

我们将讨论几个网络安全专业人士可以用来学习的在线平台。将介绍的部分工具是实时的，使用时需要目标网站的授权。因此，务必小心，避免在高度敏感或严密防护的网站上进行测试。最终目标是学习更多的网络安全知识，因此要关注每个练习结束时给出的结果或报告。

跨站脚本（XSS）实验室

首先，一个你可以进行的简单安全实验是 XSS 攻击，可以在pentest-tools.com/website-vulnerability-scanning/xss-scanner-online找到：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/cd33a0a0-0091-4fa0-b71f-7d4ea095e9fd.png

图 1：XSS 扫描器的登陆页面

XSS 在线扫描器是一个免费的在线工具，用于检测网站上的 XSS 攻击和漏洞。在 XSS 攻击中，黑客将恶意的 JavaScript 代码注入到可信的网站中。该脚本可以用来以多种方式危害受影响的网站及其访问者，例如读取敏感页面内容、注入恶意脚本、窃取 Cookies 以及篡改网站内容。

安全实验室非常简单，因为你只需要提供一个待扫描的网站 URL。扫描器将通过提供的网站，尝试识别所有可能存在 XSS 攻击漏洞的页面，比如联系表单和搜索框。然后，工具会对每个潜在易受攻击的页面进行 XSS 攻击。扫描器会根据发现的 XSS 漏洞提供网站整个范围的报告。

XSS 扫描器支持轻度扫描和全面扫描。轻度扫描不太全面，最多可扫描 20 个 URL，且最大扫描时间为两分钟。全面扫描更为彻底，最多可支持 500 个 URL，扫描时间为 30 分钟。

执行扫描时，用户需要提供三个参数：

• 待扫描的 web 应用程序的 URL

• 扫描类型

• 确认他们有授权扫描目标应用程序

需要注意的是，扫描器会生成 HTTP 请求，这些请求可能会被服务器端标记为攻击，尽管它们并不具有危害性。这也是为什么你应该主要在授权目标上使用 XSS 扫描器，以避免因安全违规而遭到起诉。该工具会提供一份详细的报告，列出已识别的 XSS 漏洞或攻击。然后，这些报告可以用于在攻击者利用漏洞之前修复它们。

安全套接字层（SSL）配置实验室

这是 Wormly 提供的一个网络安全实验室，你可以通过www.wormly.com/test_ssl进行访问。它允许你对 web 服务器的 SSL 配置进行深入分析。这是一个重要的测试，因为配置错误的 SSL 可能会引入安全漏洞，黑客可以利用这些漏洞窃取存储、发送或接收的服务器数据，或用于执行拒绝服务（DoS）攻击。此外，配置错误的 SSL web 服务器可能会导致网站速度变慢，从而影响用户体验。

在这个实验室中，网络安全专家可以识别 web 服务器中的安全配置弱点或错误。需要注意的是，SSL 证书对于确保 web 客户端和 web 服务器之间的通信安全至关重要。SSL 证书确保通过加密，所有在 web 服务器和浏览器之间交换的数据都能够保持私密和安全：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/134ba6b7-d675-4c49-9f0f-e2a26d68fa85.png

图 2：Wormly SSL 服务器测试工具用户界面

Wormly 提供了一个简化的界面，你可以在其中输入需要扫描 SSL 服务器的 web 应用程序的 URL 或公网 IP 地址。然后，你可以点击“开始 SSL 测试”按钮来启动测试。

该工具提供了关于正在使用的 SSL 证书的重要信息，例如有效期和信任等级。报告还包括安全信息，如当前使用的加密算法是否强大、公共密钥大小、使用的安全协议及其版本、性能信息（如 SSL 握手大小、TLS 无状态恢复、SSL 会话缓存等）。这些信息使你能够识别 SSL 配置中的任何弱点，以便在犯罪分子利用这些漏洞之前采取适当措施进行修复。网络安全专家将轻松解读并修复该工具所标出的错误。

Acunetix 漏洞扫描器

这是一款安全审计工具，可以在www.acunetix.com/vulnerability-scanner找到。它被网络安全专家用于识别托管在云端的 Web 应用程序中的漏洞。过去十年中，Web 应用程序的使用量大幅增加。同时，犯罪分子正在利用互联网协议中的漏洞进行破坏，并通过盗取机密信息在黑市上获利。因此，这款工具为网站管理员或网络安全专家提供了一个免费的基于云的系统，用户可以用它来检测 Web 应用程序中最常见的两种漏洞。该工具的免费版本功能有限，较付费版本有所欠缺，但仍能提供有价值的信息，用于加固 Web 应用程序。

该工具提供了一个带控制面板的界面，用户可以选择扫描类型、扫描的漏洞、报告、设置和目标系统。在用户提供所需信息后，系统将进行扫描并生成详细的报告，列出检测到的漏洞。该安全工具还会建议用户可以采取的适当行动来修补这些漏洞。

Acunetix 是一款有用的安全工具，可以检测超过 4,500 个 Web 应用程序漏洞。此外，它还可以扫描开源和定制构建的应用程序，发现可能被利用的安全漏洞，从而危及 Web 应用程序的安全性。Acunetix 在线扫描器还可以扫描外围服务器的弱点，并提供适当的改进措施建议，以修复这些漏洞。因此，这款安全工具是检测和修复 Web 应用程序安全漏洞的有效工具。

Sucuri

Sucuri 是另一个免费的在线恶意软件扫描工具，可以在sitecheck.sucuri.net/查看。它是一个安全扫描器，网络安全专业人员可以用来查找网站中的漏洞。该系统提供了一个界面，用户可以在其中输入要扫描的网站的 URL。然后，安全工具会扫描这些网站，查找已知的恶意软件、黑名单状态、错误和过时的软件。

Sucuri 系统还可以用于确保给定的 Web 应用程序是干净的、快速的且受保护的。如果检测到恶意软件，相关的安全专家将能够删除它，从而确保应用程序的性能和安全性不受影响。该安全工具还可以检测到过时的软件，如内容管理系统，这些系统通常是安全漏洞的来源。因此，可以更新软件到安全版本，以减少暴露于安全风险中的可能性。

Valhalla

Valhalla 是一个综合性的在线网络安全实验室。您可以访问其网站：halls-of-valhalla.org/beta/challenges。该网站允许用户参与各种与安全相关的挑战以获得积分。网站提供的挑战包括 SQL 注入、调试、加密、XSS 和侦察。在侦察中，用户需要收集有关给定目标的情报。侦察在渗透测试中扮演着重要角色，而渗透测试是网络安全职业的核心部分。

渗透测试的目标是发现给定系统中的安全漏洞，以便进行修复，从而减少暴露于安全风险中的可能性。为了使这一过程成功，您必须对目标有足够的情报。因此，情报收集是渗透测试中的一个重要步骤，Valhalla 安全实验室将提供多种服务，让您在情报收集方面获得实践经验。侦察挑战有三项任务供您完成，并检查您的答案是否正确。其他网络安全实验室也有类似的三项实验室布局。在所有的挑战中，网站提供了提示和支持，用户可以利用这些资源完成任务。用户还可以访问已成功完成的解决方案，从中学习。以下截图显示了 Valhalla 的用户界面：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/4d379bf6-345d-4bdf-b3fa-395b66116dc7.png

图 3：Valhalla 用户界面

用户需要访问 Valhalla 网站并选择他们想要挑战的类别。接着，用户会选择挑战的难度级别并开始进行挑战。例如，用户可能需要收集适当的情报，以便找出系统中某个账户的登录凭证。通过这些信息，用户将获得系统访问权限，并继续收集更多情报，从而获得访问机密信息的权限。

F-Secure 路由器检查器

这是一个网络安全实验室，帮助你检查路由器是否被网络犯罪分子劫持。它可以在www.f-secure.com/en/web/home_global/router-checker找到。今天常见的威胁之一是 DNS 劫持；其中一种实施方式是通过未经授权的路由器配置修改，使得第三方能够监控、控制或重定向通过路由器传输的流量。这个安全实验室教你如何轻松检查路由器是否已成为 DNS 劫持的受害者。这些知识可以帮助受害者在任何重大损害发生之前，及时制止攻击。例如，在路由器的 DNS 被劫持的情况下，使用该工具进行快速测试可以检测到攻击，并建议适当的应对措施。这可以防止用户被重定向到假冒的真实网站，如在线银行，在那里他们的记录或登录凭证可能被窃取并用于访问他们的银行账户。该工具还很重要，因为它能够检测到路由器中的漏洞或配置错误，这些问题可能被犯罪分子利用来危害用户。

F-Secure 路由器检查器提供如下截图所示的界面，允许用户分析路由器设置中的漏洞。因此，用户需要访问 F-Secure 网站，然后选择“在线工具”，将被引导到路由器检查工具页面。只要他们连接到互联网，就只需要点击“检查您的路由器”按钮开始分析。几分钟后，将显示一份报告，报告中包含有关路由器健康状况的相关信息，并给出适当的修复建议。该工具还提供其他设备的更多测试，但这些需要订阅费用，因此可能不适合用于学习目的。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/e52410d1-7169-4acc-a31e-dbbb84b5cc48.png

图 4：F-Secure 路由器检查器工具

现在，让我们在下一节中探索 Hacking-Lab，以进一步强化我们的知识基础。

Hacking-Lab

Hacking-Lab 可以通过 www.hacking-lab.com/Remote_Sec_Lab/ 访问。Hacking-Lab 是一个免费的在线道德黑客实验室，提供一个虚拟平台，您可以在上面进行渗透测试。该工具还包括多个计算机网络和安全挑战，您可以尝试这些挑战，从而在各种网络和安全方面积累实际经验。Hacking-Lab 的目标是提高信息安全领域的伦理意识。通过网络安全竞赛来实现这一目标，竞赛测试网络安全的关键方面，如取证、密码学、逆向工程和网络防御。该工具免费提供，旨在创造一个通过为网络安全专业人员提供相关知识和技能来增强网络保护的环境。该工具还被全球多个大学授权用于教育目的，目的是培养能够满足当前商业环境需求的年轻网络人才，并鼓励学习者从事网络安全职业。

以下截图显示了 Hacking-Lab 的仪表板；还可以看到一个“安全事件”部分，列出了您可以参加的事件，如免费黑客挑战。大多数这些事件是在线进行的，因此您无需任何特殊软件即可进行网络安全挑战。要使用实验室，您只需注册 Hacking-Lab 帐户，然后注册正在进行的免费黑客挑战活动。通过这些挑战，您可以学到很多东西，因为它们模拟了犯罪分子如何利用应用程序中的漏洞来破坏其安全性。因此，您可以获得如何识别应用程序中安全漏洞的实际经验，并了解可以采取的措施，如系统加固，以最小化暴露于各种安全风险的可能性：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/43c57dd9-26ce-4386-b2d1-3fb4edaacb3c.png

图 5：Hacking-Lab 控制面板

现在您已经了解了 Hacking-Lab，让我们将重点转向 Root Me 密码生成器。

Root Me 密码生成器

Root Me 密码生成器可以访问 www.root-me.org/spip.php?page=outils&inc=password&lang=en。到目前为止，弱密码仍然是组织数据和系统安全的主要威胁。Root Me 密码生成器是一种安全工具，用于生成用户密码，用户可以使用这些密码访问他们的账户。以下截图展示了密码生成器的用户界面。用户需要输入多个字段，例如密码长度和附加字符，然后点击“生成密码”按钮。该工具将使用暴力破解尝试猜测给定用户账户的正确密码。这个工具非常重要，因为在进行渗透测试时，通常会尝试访问使用弱密码的账户。因此，该工具将用于识别弱密码并制定有效的密码策略，以确保用户选择无法通过常见密码破解工具破解的密码：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/48dd33e3-a0e7-4b2d-986d-4dbcf9587866.png

图 6：Root Me 密码生成器用户界面

在接下来的部分，我们将探讨 CTF365 的要点。

CTF365

CTF365 可以访问 ctf365.com/。CTF365 是一个网络安全培训的游戏化工具，提供了众多现实生活中的游戏，玩家需要为他们的系统（例如虚拟专用服务器）构建防御，以防止攻击。同时，玩家还尝试攻击网络中其他人开发的系统。这个工具非常有用，因为它模拟了现实生活中网络安全的情形。安全专业人员需要构建并保护那些不断受到犯罪分子攻击的计算机系统，这些攻击者试图破坏、修改或窃取系统中的数据。CTF365 采用了一种有趣、富有挑战性且社区驱动的方法，帮助安全专业人员掌握他们在当前信息安全领域中所需的技能。

根据该安全培训工具的开发者所述，最佳的学习方式是通过实际应用。游戏化在这方面表现优异，它通过增加学习者的参与度、提高记忆率和加快学习曲线速度来增强学习效果。该工具对非盈利的信息安全会议免费开放。个人使用和培训也可享受 30 天的试用期。要参与其中，所需的仅仅是安装 OpenVPN 来使用该安全工具。此外，你还需要两个重要文件：你的 VPN 用户名和密码文件以及配置文件。将这两个文件复制到以下位置：C:\Program files\OpenVPN\config\。然后，在 Windows 中搜索 OpenVPN GUI，右键点击它并选择以管理员身份运行。工具启动后，你应该右键点击 OpenVPN GUI 图标并选择连接。这将允许你连接到 CTF365，构建必要的系统及其防御进行实践，同时尝试攻击社区中其他人开发的系统。

Mozilla Observatory

你可以访问 Mozilla Observatory 网站：observatory.mozilla.org/。Mozilla Observatory 是一个免费的开源网站安全扫描器，基于 Python 代码库开发。Mozilla 声称该工具已经帮助超过 125,000 名安全专业人士以安全的方式配置他们的网站。因此，这对于网络安全爱好者来说是一个很好的学习途径。要使用该工具，你只需将网站的 URL 或域名复制并粘贴到 Observatory 中，然后点击“Scan Me”按钮。扫描将开始，网站的安全报告将随之呈现。报告包括诸如 OWASP 头部安全性和 TSL 最佳实践等重要安全元素。该工具还能够执行来自 SSL Labs、High-Tech Bridge 和 HSTS preload 的第三方测试。此外，该安全工具还提供了指向优质资源的链接，这些资源可以用于修复识别出的安全问题。

该报告对网页开发者和安全管理员非常有用，因为它能够帮助他们识别网站中的漏洞，从而提高网站的安全性。该工具的一个大优点是，用户还可以在一定时间间隔后安排自动安全扫描。这有助于网站的监控，因为如果网站出现新的安全问题，用户会收到通知。

免费在线培训提供者

网络安全是一个小众领域，且可用资源有限，这一点是可以理解的。因此，找到适合有兴趣进入该领域的新人才的培训课程非常困难。然而，确实有一些培训机构提供免费的网络安全培训，面向年轻而充满热情的思维。我们将在接下来的章节中讨论这些培训提供者。

IT 硕士学位和查尔斯·斯图尔特大学

考虑免费的大学短期课程：如果您考虑注册硕士学位，为什么不在“注册前试用”？注册这些基于网络短期课程，比如在 Charles Sturt University (CSU) 提供的课程，可以让您了解 IT 硕士学位如何创建一个协作学习环境，还有机会与其他学生互动和建立网络。通过课程考试将获得成就证书，并且可能还能获得硕士学位的学分。

Erdal Ozkaya 博士也是 CSU 的讲师，已经提供了许多免费短期课程。网站上总有新的课程可供查看，请自行访问网站。您可以访问 CSU 网站 www.itmasters.edu.au/about-it-masters/free-short-courses/：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/f48075fa-2ef9-48e6-9cbe-31bece9a2622.png

图 7：Charles Sturt University 网站的登陆页面

这个免费短期课程通常为期四周，基于在线进行，您将每周进行评估。在此结束时，您将进行一次最终在线考试，如果通过考试，将获得证书：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/07eb1a70-9bf4-4300-9775-96feb7ceeeda.png

图 8：授予 Charles Sturt University 学生的成就证书示例

Microsoft Learn

要在职业生涯中进步并获得您的顶级位置所需的技能并不容易。现在有一种更具回报的实践学习方法，可以帮助您更快实现目标。您可以赚取积分、等级并取得更多成就！您可以在 docs.microsoft.com/en-us/learn/ 找到更多信息：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/ddb88ad0-54b3-4bcb-ba59-9aea98e427d2.png

图 9：在 Microsoft Learn 上关于 Windows 安全与取证的讲座截图

edX

在 edX，您可以找到人文领域的在线课程，包括古典文化、语言和文学的研究。这些课程来自世界各地的主要大学，并且是免费提供的；您只需选择要注册的课程。您可以在 www.edx.org 找到 edX：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/bcd54550-8265-4905-9c9a-ec82231c4729.png

图 10：edX 的登陆页面截图

Khan Academy

Khan Academy 提供练习题、教学视频和个性化学习仪表板，使学习者能够在课堂内外以自己的步调学习。他们提供数学、科学、计算机编程、历史、艺术史、经济学等课程。您可以在 www.khanacademy.org/ 找到 Khan Academy：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/869c97aa-777d-46fe-b0fe-dc905043d8cb.png

图 11：在 Khan Academy 上的网络安全 101 课程的截图

网络安全：攻击与防御策略

这是 Packt Publishing 的一本书样本，可以帮助您进入网络安全的下一个级别：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/85c59a26-f27f-4a13-b7a9-205a88c01410.png

图 12：Packt Publishing 出版的《网络安全：攻击与防御策略》封面

本书使用网络安全攻击链的实践方法，解释攻击的不同阶段，包括每个阶段背后的理论，并通过情景和示例将理论付诸实践。

构建自己的测试实验室

一切从拥有合适的硬件开始，至少要支持虚拟化。如果你有 Windows 8 或 10 专业版，那么你可以直接使用内置的 Hyper-V。为此，你需要学习如何安装虚拟机（VM）和虚拟机管理程序，通常是在 Microsoft Hyper-V、Oracle VirtualBox 或 VMware（Fusion 和 Workstation 不是免费的）中完成：

• 如何在 Windows 10 中安装 Hyper-V：blogs.technet.microsoft.com/canitpro/2015/09/08/step-by-step-enabling-hyper-v-for-use-on-windows-10/

• 如何安装 Oracle VirtualBox：docs.oracle.com/cd/E26217_01/E26796/html/qs-create-vm.html

完成这些操作后，你需要开始设置网络。以下链接将帮助你入门。

上述链接也可以帮助你设置网络。对于攻击机器，你可以设置一个 Kali 盒子，或从 OffensiveSecurity 下载一个预构建的镜像，下载链接为www.offensive-security.com/kali-linux-vmware-virtualbox-image-download/。

要了解更多关于防火墙的信息，请访问 pfSense 官网，pfsense.org/download/。此外，你还可以参考互联网上的指南，或一些书籍，它们将帮助你安装其他机器，从而扩展你的实验室环境（Packt Publishing 出版了许多有关此主题的优秀书籍）。

例如，你可以安装一个 Ubuntu 虚拟机，并将其设置为 DNS 服务器。之后，你可以安装一个 CentOS 虚拟机，并将其用作 Web 服务器，安装合适的 Apache（或 Nginx）、MySQL 和 PHP/Perl/Python（LAMP 堆栈）软件。你也可以选择使用网站上列出的预构建镜像，或者在新部署的虚拟机上安装一些应用程序。以下链接将为你提供可以在实验室中部署的即用型虚拟机镜像：

• Metasploitable3：一个基于 Windows 的易受攻击环境，带有 CTF 风格的标志；可以在github.com/rapid7/metasploitable3找到。

• Metasploitable2：一个基于 Linux 的易受攻击环境；可以在community.rapid7.com/docs/DOC-1875找到。

• PentesterLab 练习：PentesterLab 提供预配置的虚拟机镜像和课程，教你如何进行漏洞利用。有免费和付费的练习；可以在pentesterlab.com/exercises/找到。

• Kioptrix 虚拟机：这些是脆弱的、即开即用的虚拟机；可以在www.kioptrix.com/blog/test-page/找到。

• Vulnhub：这些是脆弱的、即开即用的虚拟机；可以在www.vulnhub.com/找到。

• OWASP Multillidae：一个脆弱的 web 应用程序；可以在www.owasp.org/index.php/OWASP_Mutillidae_2_Project找到。

• OWASP WebGoat：一个脆弱的 web 应用程序；可以在www.owasp.org/index.php/Category:OWASP_WebGoat_Project找到。

• OWASP SecurityShepherd：一个用于练习 web 和移动应用安全的培训环境；可以在github.com/OWASP/SecurityShepherd找到。

• OWASP GoatDroid：该项目提供 Android 安全开发培训；可以在github.com/jackMannino/OWASP-GoatDroid-Project找到。

• SuperSecureBank：一个代表虚构银行的脆弱 web 应用程序；可以在github.com/SecurityInnovation/SuperSecureBank找到。

摘要

本章介绍了通过网络安全实验室进行培训的途径。首先，我们对在线学习方法进行了交叉检验，讨论了 ILT、VILT 和自学。接着，我们探索了自学的好处，并分析了它为何在网络安全行业中获得广泛接受。这种学习方法也有助于解决网络安全领域技术人才短缺的问题。此外，网上有许多可用的网络安全实验室，包括免费和付费的，但本章重点讨论了任何人都可以免费进行的实验室。第一个实验是 XSS 演练，用于检查一个网站是否存在容易受到 XSS 攻击的组件。接下来的实验是 SSL 测试，用于检查网站是否在 SSL 配置错误的服务器上运行。第三个测试是基于云的漏洞扫描，可以用于检测超过 4500 个 web 应用程序中的漏洞。

第四个实验室是一个恶意软件扫描工具，用于检测网站是否存在已知恶意软件、过时的软件或其他安全问题。第五个工具更加全面，它提供一个平台，用户可以尝试解决一系列网络安全挑战。第六个实验室是一个网络安全工具，网络安全专业人员可以用它来检查路由器是否成为 DNS 劫持的受害者。第七个实验室是另一个全面的实验室，用户可以从攻击者的角度参与一系列挑战，利用虚拟目标的漏洞。第八个实验室专注于密码安全，并让学习者有机会尝试生成用户可能在系统中创建和使用的密码。在这里，你可以检查多个参数并提供密码中可能包含的某些字符，工具会生成高度可能的密码。

第九个实验室是一个游戏化的网络安全培训平台，用户可以在其中创建系统并防御攻击。同时，他们也可以攻击其他用户在平台上创建的系统。最后一个实验室是 Mozilla 的一个工具，叫做 Mozilla Observatory。该工具是一个网站安全扫描器，可以生成关于网站漏洞的详细报告。这些实验室是网络安全爱好者继续学习并评估自己技能的可靠途径。有些实验室可能不会太吸引人，因为它们主要包含自动化测试。然而，生成的报告非常重要。你应该尝试了解实验室报告中包含的细节如何影响网站。

最后，还有许多其他的网络安全培训平台，你可以使用它们来提升自己的知识。有些最好的平台收取高额费用，允许你进行模拟测试，但尝试这些收费平台可能是值得的。不过，你至少应该考虑做一些免费的实验室，以预览这些收费工具可能带来的体验。网络安全是一个非常复杂的领域，在这个领域的职业生涯总是充满了新的学习机会。因此，你应该积极主动地尝试任何你遇到的安全实验室。

在下一章中，我们将详细探讨一些知识检查和认证，它们对于启动网络安全职业生涯至关重要。

进一步阅读

以下资源列表可以用来深入了解本章的主题：

• security.stackexchange.com/questions/147337/are-there-free-online-penetration-testing-labs-that-i-can-safely-hack-with-my-co.

• www.fraunhofer.de/en/research/fields-of-research/communication-knowledge/it-security/cybersecurity-training-labs.html。

• www.tripwire.com/state-of-security/security-data-protection/cyber-security/cybersecurity-skills-training-medium-best-instructor-led-training-king/。

• www.cybintsolutions.com/hands-on-skills-in-cyber-security-education/。

• www.researchgate.net/publication/254034726_Online_assessment_for_hands-on_cyber_security_training_in_a_virtual_lab。

• 通过战争游戏学习安全概念：overthewire.org/wargames。

• 由社区贡献者创建的 Hack.me 迷你挑战：hack.me/explore/。

• 运行你自己的 CTF：github.com/facebook/fbctf/blob/master/README.md。

• Hack This Site，提供 Web 应用程序培训：www.hackthissite.org。

第九章：知识检查与认证

随着电子学习（eLearning）逐渐超过传统课堂教学，许多人不需要进入教室就能获得重要技能。一些组织选择提供免费培训课程，特别是在网络安全领域，以增加能够可靠应对网络犯罪的专业人士数量。此外，许多威胁专门针对组织中的用户。组织通过将员工注册到在线课程中，而不是传统的研讨会，来教授基本概念，从而应对这些网络犯罪。在线学习网络安全技能非常方便，尤其是对于那些有志于进入该领域的人。电子学习平台充满了令人惊叹的知识来源。虽然有一些人担心这些平台提供的培训质量不高，或者某些平台没有涵盖某些课程的所有要求，但也有一些受许可的学习平台可以提供培训，并且能够颁发认证证书，证明学习者通过了一个公认的平台，并且满足了所有评估要求，最终获得了证书。本章将探讨获取认证的必要性，以及如何选择适合的学习平台和认证课程。它将讨论以下内容：

• 获取认证的需求

• 选择认证和认证机构

• 认证，展示你的知识

获取认证的需求

在当前的市场环境中，无论你是受雇于公司还是作为自由职业者，认证都可能对你的职业生涯产生影响。以下是你应该努力获得认证的一些原因。

它们向雇主展示你具有主动性

在就业市场上，拥有大学学位已经成为常态。大多数学位课程并不会完全专注于某一领域。然而，参加网络安全认证课程可以让你在人群中脱颖而出。尽管完成学位课程依然有其价值，但拥有某一特定领域的认证将让你具备额外的优势。认证通常提供与特定职位高度相关的技能。例如，如果你参加了渗透测试课程，你将获得对所有安全分析师职位都非常相关的技能。因此，拥有认证是非常有价值的。这向雇主展示了你主动提升特定领域技能的能力，从而让你更具竞争力，适合你申请的职位。

他们反映了你在特定领域的能力

在就业市场上，人们对招聘那些在纸面上有高资格但实际技能较差的候选人感到担忧。学位往往具有误导性，因为学生可能通过了那些较为简单、与工作关系不大的课程，但在最重要的课程上失败。此外，学位课程中的评估往往不够全面。它们没有让学习者面临挑战性情境，也没有充分考察他们的能力。学位证书并不能反映候选人的强项或弱点。相反，认证课程往往更为严格，学习者必须通过多个评估来证明自己具备该课程所要求的技能。一些认证课程还会提供有关学习者在特定模块中表现的详细信息。它们向雇主保证所教授的技能已经过全面评估，你在所有领域都表现出色。因此，雇主在录用你时会有更少的顾虑。

它们为你提供了特定工作所需的知识

网络安全领域对变化反应非常迅速。新的威胁会带来新的技能需求，公司也会开始寻找具备这些技能的专家。学位课程往往改变缓慢，因此大学很难仅因为出现新的威胁而调整课程。幸运的是，认证课程相对灵活，许多供应商会根据市场需求评估技能要求，并相应调整他们的培训内容。尽早获得一些认证，你就能在需求量大的岗位上找到工作，并获得不错的薪水。学位课程并不旨在为学习者提供如此快速的培训，以利用市场上出现的技能空缺。

它们可以帮助你启动网络安全职业生涯

认证课程的优势在于它们不依赖于你的本科学位。虽然拥有相关的 IT 学位是有益的，但并不总是那么重要，也不是限制那些可以参加认证课程的人的条件。因此，如果你想完全转行，参加认证课程会更有利。它们可以节省你重返大学、花四年时间获得学位的成本和时间。

它们能增强客户的信心

这同样适用于那些在正式公司之外工作的专业人士，例如提供咨询或审计服务的独立承包人。客户可以理解地不愿意将敏感数据和系统交给这些人。成为你领域的认证专家能让客户对你的能力充满信心。他们相信你是专业的，因此可以信任你处理所有必要的数据和系统。

它们能帮助你进行市场推广

认证证明你在某一领域拥有比一般学位持有者更多的技能。在职场中，认证可以促使人力资源考虑你晋升到更高的职位，或者提高你的薪酬水平以匹配市场工资。对于那些在正式雇主之外工作的自由职业者或临时工来说，认证也会对你有利，因为它显示了你比其他自由职业者或临时工更有技能。你获得认证的知名机构名称也可能成为你的优势。如果雇主发现你在多个领域拥有认证，他们可能会忽视其他申请者。

选择认证和供应商

在决定参加某个认证课程并选择供应商之前，有一些因素是你需要考虑的，我们现在来看看这些因素。

供应商的声誉

在电子学习领域有一定时间历史的供应商，往往受到许多组织的认可。相反，初创公司通常会受到质疑。因此，选择那些知名或已经提供培训多年供应商的认证会更为明智。

课程的时长

认证是在成功完成课程后颁发的。大多数课程持续几个月，通常是三到四个月。然而，一些供应商将课程时长延长，学员的学习周期可能长达六个月，而其他供应商则将其限制在四个月内。评估课程时长非常重要，以确保你不会被那些收费较高、课程时长过长的课程所利用。

来自前学员的反馈

一些供应商拥有完善的反馈机制，学员可以在其中留下关于教师和课程整体质量的反馈。有些教师的水平确实不高，而有些课程的深度也不足。花时间查看学员在网站、Google 评论和社交媒体页面上的反馈，可能会为你节省一些以后可能遇到的烦恼。

学员支持

一些在线学习平台结构较差，学习者只是被提供材料，并在一定时间后进行自动化测试。因此，在选择课程时，了解学习者获得支持的程度非常重要。

认证的可信度

认证应该由有资质的教育机构提供。然而，一些网站提供自己的认证，这些认证在任何地方都不被认可。因此，在注册课程之前，检查提供课程的公司是否有相关资质是非常重要的。

就业市场的需求

就业市场决定了你应该具备的技能。理想情况下，学习者应选择能够通向需求较大的职业的课程。例如，网络攻击的增加使得市场对渗透测试人员的需求大增。获得渗透测试认证能让你在就业市场中占据先机。

有效的网络安全需要全员参与

问一个路人什么是网络安全，你可能会得到一个与最近的大数据泄露相关的回答。很难忽视主流新闻媒体不断告诉我们，私人信息中的“私人”只是个笑话，任何一个曾经在网上表单中输入过自己最喜欢颜色的人都无法免受黑市商人、不道德政府、网络激进分子和你能想象到的其他威胁的侵害。再深问一步，你的随机路人可能会告诉你他们为保持在线安全所做的一切——以及他们没有做的一切。至少，你可能会得出这样的结论：公众对网络安全问题的意识已大幅提升。意识，毫无疑问，是加强安全的重要一步，无论是在企业环境中，还是在个人环境中。但仅有意识是不够的。

作为数字化、联网社会的成员，我们不应该只是意识到自己的问题。相反，我们应该去解决它们。然而，我们往往没有这样做，而是选择接受不好的结果，而不是解决其根本原因。

当你考虑到安全问题常常看起来难以克服时，这完全可以理解。即使只是为了保护我们自己的个人信息，我们作为个体能做些什么呢？失败的点太多，许多因素超出了一个人的控制。

所以，与其单打独斗地使用基础工具并依赖他人的有限帮助，最合乎逻辑的选择是转移我们的注意力，拥抱一种新的标准：网络安全文化。换句话说，我们需要集体努力，分享有价值的安全知识、策略、最佳实践等，和其他数字公民共同努力。如果我们想要有效的网络安全，每个人都必须参与其中。

这对我有什么好处？

说懒惰是人类天性的一个关键因素有一定道理，但这个借口过于简单和武断。问题不是我们不愿意履行应有的谨慎，而是我们没有得到足够的动机。“这对我有什么好处？” 是网络安全的一个基本无声问题——这是我们必须关注的问题。

当我们指责普通用户没有定期更改他们在众多网站和系统上的多个密码时，我们似乎没有去理解他们为什么没有做到这一点。只有当为时已晚，当用户的身份被盗时，他们才会意识到这种安全行为的重要性。

那么，为什么他们没有更早地采取这种做法呢？很多时候，他们仅仅是被告知该做什么，而没有真正理解为什么需要这样做。也许他们在网上阅读过一篇简短的*《十大用户安全指南》*文章，或者同事在午餐休息时匆匆提到了一些个人安全提示。也许他们的雇主发了一封关于安全的邮件，但用户并没有认真对待。虽然这些行为提供了一个不错的开端，但它们并不充分。单纯的表面评论并不能培养足够或全面的网络安全文化。

那么，培养这种文化的关键就在于实质性内容。激发他人主动参与的最实质性方式之一就是让他们与这种情况产生共鸣。人们常常陷入思维陷阱，过于抽象地看待自己的计算机使用，就好像他们在线上的行为与实际的现实世界后果毫无关系。为了让他们理解自己数字行为的严重性，我们需要让他们摆脱这种过时的思维模式。

当普通的计算机用户离开家去上班时，他们会锁好前门。那么，当他们离开办公桌去吃午餐时呢？他们是否会将工作站留 unlocked 以便任何路过的人都能使用？就像物理门一样，我们随时都在打开网络门——而当这些门通向个人或敏感信息时，我们必须在背后锁上它们，以确保这些信息的安全。

网络世界中的并非所有事物都有现实世界的对应物，这给培养安全意识氛围带来了独特的挑战。回到密码的例子，普通的房主可能不会每个月去找锁匠更换前门的锁。

然而，如果你能够向用户传达这样一个观点：时间是任何黑客进行暴力破解密码尝试的关键因素，定期更改密码的重要性就变得更加明显。在这种情况下，*“对我有什么好处？”*的答案很简单：你始终领先于那些不断完善攻击方法的攻击者，你的关键信息也会保持安全。

持续监控的文化

有效的网络安全文化有许多维度，但其中最重要的一项就是持续监控。对于我们所有用户来说，能够监控自己的在线行为是否被滥用至关重要。不幸的是，很多人容易觉得自己的在线足迹过于广泛，而且其中许多是无法控制的。这就是为什么保持网站账户、密码和电子邮件地址清单会很有帮助。

像KeePass和LastPass这样的密码管理器使这一过程变得更加轻松，同时使用加密技术保持清单的机密性。你还可以将电子邮件作为所有其他账户活动的中心。许多网站和服务提供在关键账户配置更改时发送电子邮件提醒的选项。你越快获得这些变化的信息，就能越快确认——或者否认——其有效性并采取适当的行动。

这可能意味着能够立刻发现黑客已经更改了你的在线银行账户密码，而不是等到下次登录时才发现——那时账户已经被大额提款。

需要为强大的网络安全文化作出贡献的不仅仅是终端用户——企业也有很多跟进的工作。就像用户一样，持续监控至关重要。无论数据是在传输过程中还是处于静态状态，关注数据的安全是一种积极的安全方法，而这种方法在企业界通常严重不足。

我们听说的许多数据泄露事件直到数月甚至数年后才被发现。攻击者早已从服务器上窃取数据，以至于很难确切知道究竟盗取了什么。这是你绝对不希望你的企业处于的状况，因此拥有像安全信息与事件管理（SIEM）这样的解决方案至关重要，能够让你的网络安全人员及时了解任何可疑活动的发生。毕竟，是组织中的人传播并维护你的文化，而不是自动化的机器和软件。没有比通过培训和认证更好的方式来确保强大安全文化的增长与发展。参加大师级课程并获得认证，如 CertNexsus（Logical Operations）提供的CyberSec First Responder: 威胁检测与响应证书，将使你的团队准备好应对任何威胁。

不要再等一周或一个月才开始改变你周围的文化。今天就采取行动，无论是追求证书、升级安全软件和工具，还是仅仅改变那些长期未更改的密码。每个人在创造网络安全文化上投入的努力越多，我们共同的数字未来就会越光明。

大多数人对网络安全的常见认知围绕着数据泄露。然而，大多数人未能理解这些泄露为何会发生。虽然在影响了近 50,000,000 名用户的 Facebook 数据泄露事件中，所有网民都愤怒不已，但没有人愿意深入探讨这些攻击的根本原因。这一知识空白成为网络犯罪分子滋生的温床。因此，从整体上弥补这一空白，才能有效应对网络安全挑战。

在下一部分，我们将讨论网络安全专业人员需要的各种认证，以提高技能并保持领先地位。

CompTIA Security+

这项由 CompTIA 提供的认证实际上是安全专业人员的一个良好起点。它为个人提供了一个机会，深入了解安全基础设施、身份管理、风险评估与缓解，同时也包含了相当数量的加密知识。对于从事系统管理员和 IT 基础设施服务的人员来说，这可能是一个不错的起步。它可能为你从现有角色过渡到更专注于安全的角色提供了重叠的技能。该认证的一个最佳特点是它是厂商中立的，这意味着它涵盖了通用安全概念的技能，而不专注于任何特定产品。许多人将其视为入门级认证，但如果你至少有几年 IT 经验，它也同样有用。CompTIA Security+认证也已通过美国国防部指令 8140/8570.01-M 的要求。有很多选择可以完成这个认证，但你也可以选择自学完成，然后参加考试。

CompTIA PenTest+

这项来自 CompTIA 的认证提供了实践、基于表现的以及选择题的测试，确保每位考生具备在系统上执行任务所需的技能、知识和能力。PenTest+考试还包括用于计划、界定范围和管理弱点的管理技能，而不仅仅是利用这些弱点。你将获得渗透测试、漏洞评估和管理技能；该考试符合 ISO17024 标准，并获得 ANSI 认证。

CompTIA 网络安全分析师（CySA+）

这是 CompTIA 提供的另一项认证，旨在帮助个人获得网络和设备行为分析的技能，以便他们能够预防和检测网络安全威胁。CySA+被认为是中级网络安全分析师认证。此认证专注于教授你入侵检测与响应技能，并覆盖一些高级持久性威胁的内容。你将能够获得关于如何对来自不同来源的威胁数据进行数据分析，并解读分析结果以识别你的业务和组织中的威胁、风险和漏洞的技能。在完成培训后，你还将掌握使用各种威胁检测工具的技能。此认证同样符合美国国防部指令 8570.01-M 的要求。

CompTIA 高级安全专家（CASP+）

CASP+是希望继续深入技术领域而非单纯管理的技术专业人员的理想认证。CASP+验证了在风险管理、企业安全操作与架构、研究与协作以及企业安全整合等方面的高级能力。

欲了解更多详情，请访问：certification.comptia.org/certifications/comptia-advanced-security-practitioner。

这里是 CompTIA 网络安全职业路径：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/02b63412-26ce-4fd2-a315-79ce98962b87.png

EC-Council，认证道德黑客（CEH）

这是过去十年间网络安全领域中少数非常受欢迎的认证之一。我从未看到任何想要进入网络安全领域的专业人士，或只是想理解攻击者视角的人，对此认证的热情有所下降。该认证由 EC-Council 提供，他们还提供一系列其他安全专业人员的认证。此认证专注于*“白帽黑客”*——这一概念定义了你如何使用与坏人相同的技术，主动发现并防止攻击。它教你如何像攻击者一样思考，了解实际攻击是如何执行的，以及使用了什么手段。此认证还让你了解黑客技术，包括足迹跟踪、侦察、扫描网络漏洞、枚举以及了解特洛伊木马、蠕虫和病毒的内部工作机制。它还教你如何使用嗅探器，如何进行 DoS 和 DDoS 攻击，以及在进行威胁评估时如何使用社会工程学。除了专注于基于网络的和社会工程学攻击外，CEH 还引入了 Web 黑客攻击的概念，如何攻击 Web 服务器以及在防止此类攻击时你可能会遇到什么问题，SQL 注入攻击，以及如何对企业应用程序执行这些攻击，主动查找漏洞。最后但同样重要的是，这还包括如何避开 IDS、防火墙和蜜罐。要最好地获得此认证，建议参加为期五天的培训课程，并强烈推荐采用课堂教学模式，以便你能够通过团队合作获得更多经验，并有机会使用培训师设置的实验室，获得第一手的实践经验。

EC-Council，计算机黑客取证调查员（CHFI）

EC-Council 还为希望从事数字取证领域职业的个人提供了另一项认证：计算机黑客取证调查员，通常被称为CHFI。随着网络攻击的增加，数字取证调查员的需求处于高峰期，这项认证使你能够迅速成为帮助行业在数据泄露后场景中寻找证据的数字取证调查员之一。正如我们在前面章节中提到的，数字取证调查是识别证据并对其进行分析的过程，以创建报告，使得这些发现能够支持法律程序起诉犯罪分子，同时你也可以利用这些信息来防止未来的攻击。CHFI 认证将使你接触到计算机调查和分析技术的概念和流程，以确定相关的法律证据。这些证据可能是与广泛的计算机犯罪或其他形式的数字滥用有关的，包括商业机密盗窃、知识产权盗窃或破坏，以及欺诈行为。在 CHFI 认证和培训过程中，你将学习使用各种方法从涉及数字犯罪的计算机系统中发现数据，或者在某些情况下恢复已删除、加密或损坏的文件。

EC-Council 网络安全职业路径

以下是 EC-Council 推荐的职业路径：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/2d1784b7-91ff-4643-9d1b-c732864542ab.png

若想了解更多关于 EC-Council 认证的完整列表，请访问其官网：www.eccouncil.org/。

注册信息系统安全专家（CISSP）

注册信息系统安全专家，简称CISSP，是由国际信息系统安全认证联盟（(ISC)²）授予的认证。这是专业人士必须拥有的认证之一，并且在安全领域中备受推崇。CISSP 涉及与信息安全相关的各种主题。作为这项认证过程的一部分，你需要学习八个安全领域：

• 安全与风险管理

• 资产安全

• 安全架构与工程

• 通信与网络安全

• 身份与访问管理（IAM）

• 安全评估与测试

• 安全操作

• 软件开发安全

与其他认证不同的是，CISSP 要求考生在其八个领域中的两个或更多领域具有至少五年的全职工作经验，而其他认证可能无需此类安全经验。但如果考生拥有四年制大学学位或硕士学位，他们可以获得一年经验的豁免。这是否意味着没有所需经验的考生无法获得此认证？并非如此，即便没有经验，他们也可以参加此认证考试，但通过 CISSP 考试后，他们将获得（ISC）²的助理认证，并且该认证有效期最长为六年。在这六年内，考生需要积累所需的经验，并将其提交给（ISC）²进行认证，最终获得 CISSP 认证。一旦（ISC）²接受了专业经验要求，认证将转为 CISSP 资格。你可以通过附近的培训机构、在线提供商或独立学习来备考，阅读市场上各种书籍。

认证云安全专业人员（CCSP）

如果你已经在从事云技术工作，并且希望从云安全的角度提升你的职业生涯，那么这项认证就是你应该开始的认证。它是由（ISC）²和云安全联盟（CSA）联合设计的，旨在通过提供所需的知识和技能，帮助云安全专业人士提升技能，涵盖云安全设计、实施、架构、运营、控制和合规性等话题。这个专业认证将帮助考生学习以下六个领域，重点关注云安全：

• 架构概念和设计要求

• 云数据安全

• 云平台和基础设施安全

• 云应用安全

• 运营

• 法律和合规性

你需要具备一定的基础经验：至少五年的信息技术工作经验，其中三年必须在信息安全领域，且至少一年在 CCSP 的六个领域之一。没有足够经验的考生，可以通过成功通过 CCSP 考试成为（ISC）²的助理。

（ISC）²的助理将在六年内积累五年的所需经验。或者，你也可以没有任何经验地参加认证考试，但通过 CCSP 考试后，你将获得（ISC）²的助理认证，该认证有效期最长为六年。五年后，获得经验，你可以申请 CCSP 认证：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/f54c2d6f-2b1c-46f7-b5b5-d198cb7c375e.png

信息系统审计师认证（CISA）

注册信息系统审计师（CISA）是由信息系统审计与控制协会（ISACA）提供的 IT 认证，这是一家知名机构。如果你想将 IT 审计作为职业发展方向，CISA 是你应该努力争取的认证。CISA 将教你审计、安全和信息系统控制领域的技能。这个认证在全球范围内被广泛接受，已经成为安全审计认证的事实标准。如果你已经从事信息系统审计工作，拥有安全领域的经验，或者担任 IT 顾问、隐私官或信息安全官，这个认证对你的经验和技能非常有价值。要获得该认证，必须具备至少五年的信息安全工作经验，其中至少三年是从事信息安全管理工作的经验。这个证书将帮助你了解五个领域，并获得全面深入的知识：

• 领域 1：信息系统审计过程

• 领域 2：IT 治理与管理

• 领域 3：信息系统获取、开发与实施

• 领域 4：信息系统运营、维护与服务管理

• 领域 5：信息资产保护

注册信息安全经理（CISM）

注册信息安全经理也是由 ISACA 提供的认证。这项认证主要面向负责管理和治理组织信息安全系统的 IT 专业人员。此认证将帮助你掌握管理安全风险、安全项目开发以及如何管理安全治理、事件管理和响应相关活动所需的技能。与 CISA 类似，CISM 也要求至少五年的安全工作经验，其中三年必须是在信息安全管理方面的经验。你还可以在考试通过后，在五年内提供相关证据。CISM 的重点是以下五个领域：

• 领域 1：信息安全治理

• 领域 2：信息风险管理

• 领域 3：信息安全项目开发

• 领域 4：信息安全项目管理

• 领域 5：事件管理与响应

哪个(ISC)²认证最适合你？

你随时可以访问(ISC)²官网获取最新信息：www.isc2.org/certifications/ultimate-guides

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/66f3011f-35b7-448e-94e5-0b37ae3ff2bf.png

全球信息保障认证（GIAC）认证

GIAC 是全球最大的认证机构之一，提供许多备受推崇且深具技术性的网络安全认证。GIAC 主要由 SANS 研究所成立，旨在为全球专业人士提供高质量的安全培训。GIAC 下有许多旗舰认证，以下列举了一些（你可以在 www.giac.org/certifications/categories 查找其余认证）：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/62cce33c-26e7-4d83-a1cc-787f5009f18d.png

GIAC 信息安全基础（GISF）

GISF 将为你提供机会，学习并展示关键的信息安全概念，理解信息和信息资产面临的威胁与风险。此认证还将帮助你学习如何识别可用于保护信息和信息资产的最佳实践。该认证可视为 GIAC 的入门级认证。你需要学习以下主题：

• AAA 与访问控制

• 应用安全

• 计算机数学

• 密码学算法与攻击

• 密码学基础

• 密码学历史

• 网络寻址与协议

• 网络攻击

• 网络通信基础

• 网络安全技术

• 风险管理原则与安全政策

• 系统安全

GIAC 安全基础认证（GSEC）

GSEC 是一项入门级认证，它将使你能够在网络安全的基本概念和术语之外，发展更多技能。你需要学习以下主题以获得 GSEC 认证：

• 访问控制与密码管理

• 主动防御

• 应急计划

• 关键控制

• 密码学

• 密码学算法与部署

• 密码学应用

• 深度防御

• 可防御的网络架构

• 端点安全

• 强制执行 Windows 安全政策

• 事件处理与响应

• IT 风险管理

• Linux 安全：结构、权限与访问

• Linux 服务：加固与安全

• Linux：监控与攻击检测

• Linux：安全工具

• 日志管理与 SIEM

• 恶意代码与漏洞缓解

• 网络设备安全

• 网络安全设备

• 网络与协议

• 保护 Windows 网络服务

• 安全政策

• 威胁狩猎

• 虚拟化与云安全

• 漏洞扫描与渗透测试

• 网络通信安全

• Windows 访问控制

• Windows 作为服务

• Windows 自动化、审计和取证

• Windows 安全基础设施

• 无线网络安全

GIAC 认证的周界保护分析师（GPPA）

GPPA 为你提供了一个机会，学习保护现代边界所需的技能，现代边界不仅仅是公司防火墙和外围设备，因为现在有云资产，移动设备的使用也带来了挑战。这个认证解决了这些挑战，同时仍然让你学习传统的保护方法，你将获得设计、配置和监控路由器、防火墙以及其他外围防御系统的能力。该认证将覆盖以下主题：

• 高级边界保护

• 云安全

• 创建与审计规则库

• 主机级检测和数据丢失防护（DLP）

• IPv6 和 ICMPv6

• 日志收集与分析

• 基于网络的入侵检测与防御 (NIPS/NIDS)

• 数据包分片

• 边界概念和 IP 基础

• 路由器安全和网络访问控制

• 主机和服务的安全

• 静态和有状态数据包过滤

• TCP/IP 协议

• VPN 基础及实现

• 漏洞评估和审计

• 无线设计与安全

GIAC 认证入侵分析师（GCIA）

GCIA 是最受推崇和认可的安全专业人员认证之一，适合那些希望继续在安全事件处理领域发展的人员。对于有经验的网络安全专家，这项认证同样非常有价值。尝试 GCIA 认证将要求你了解安全事件及如何在网络攻击发生时或发生后处理这些事件。为了参加认证考试，你需要掌握以下主题：

• 高级分析和网络取证

• 高级 IDS 概念

• 应用协议

• TCP/IP 和链路层概念

• DNS、IP 头和分片、IPv6、TCP、UDP 和 ICMP 的概念

• IDS 基础和网络架构

• IDS 规则

• 网络流量分析

• 数据包工程

• SiLK 及其他流量分析工具

• Wireshark 基础

SANS 认证

SANS 是全球最大的资讯安全培训来源之一。它通过多种方式提供培训：现场和虚拟课堂、在线自学、带直播讲解的网络课程、与本地导师的指导学习，或是通过 Simulcast 让你最远的同事也能参与的私人企业培训。

由于 SANS 有许多培训选项，我建议你访问他们的网站，找到适合你需求的课程：www.sans.org/courses/：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/8ee8980f-fa0e-4f3b-9b92-b46070967117.png

为了让你的工作更轻松，SANS 创建了一份路线图，你可以在www.sans.org/cyber-security-skills-roadmap找到它：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/e5e45eef-13ef-4177-b5f8-c6b8db94ff6b.png

思科认证

思科提供业界顶尖的认证，它也是启动你安全职业生涯的绝佳途径，尤其是如果你希望专注于网络安全领域的话。思科认证主要分为四个大类，第一个是入门级认证，即CCENT，第二个是助理级认证，包括CCNA和CCDA系列认证，第三个是专业级认证，涵盖CCNP和CCDP系列，最后是专家级认证，涵盖CCIE和CCDE系列。对于那些希望深入了解网络设计、架构和安全的更专业的从业者，思科认证还提供了CCAr（认证架构师）级别的认证。思科认证的最大优势在于，他们将每个级别分成了九个不同的类别，这使得你能够轻松选择适合你职业生涯和具体技术领域的路径：路由与交换、设计、工业网络、网络安全、服务提供商、服务提供商操作、存储网络、语音、数据中心和无线。这样的划分也很有道理，因为网络这一学科非常庞大，你无法在一项认证中学习所有内容。当然，如果你有足够的时间和资源（我知道现实中很少有人拥有一系列这些认证），你也可以选择在所有九个类别中都获得认证，只是你必须逐一通过它们，并在其中积累专业知识。我们来看看这些认证中的一些（其他的可以在www.cisco.com/c/en/us/training-events/training-certifications/certifications.html上找到）。

思科认证入门网络技术员（CCENT）

这是一个入门级的基础认证。通过这个认证，你将学习网络的基本概念，如何执行网络支持等工作，以及如何实施、操作和故障排除一个小型企业或分支网络。你还将学习网络安全的基础知识。这个认证无疑为你打开了网络领域的职业大门，如果你正在寻找相关职业的话。这也是其他思科认证的基础，例如 CCNA。因为这是一个非常基础的认证类型，我认为任何在 IT 领域的人都可以尝试：

• 服务质量（QoS）的基本理解。

• 一个关于虚拟化和云服务的模块。

• 接触与 WAN、接入层和核心层相关的网络可编程性。

• 学习网络层 1-3 的基础元素。理解这些层次对核心路由和交换非常重要。

• 了解防火墙、无线控制器和接入点的基本原理。

• 学习 IPv6 和基础网络安全。

• 可以访问实验室，在实验课程期间提供使用案例的配置命令。

CCNA 路由与交换

CCNA 路由与交换是 IT 网络世界中另一个备受推崇的认证，几乎所有网络工程师在其网络职业生涯的起步阶段都拥有此认证。如果您计划成为其中之一，您可以期望学习如何实施、操作和配置企业网络，了解 IPv4 和 IPv6 网络以及 LAN 交换机和 IP 路由器的工作原理和配置方法。您还将了解有关广域网和网络安全威胁的知识。最后但同样重要的是，它还教授您如何排除网络故障以及与路由和交换相关的网络设备。除了您可能已经作为 CCENT 的一部分涵盖的主题外，您还将学习一些额外的技能：

• 您将能够管理具有多个交换机、VLAN、干线和生成树的中型局域网

• 掌握故障排除 IP 连接

• 与配置和故障排除增强内部网关路由协议（EIGRP）、开放最短路径优先（OSPF）在 IPv4 和 IPv6 环境中相关的技能

• 您将能够通过定义其特性、功能和组件来构建广域网

Offensive Security 认证专业人士（OSCP）/ Offensive Security’s Penetration Testing with Kali Linux（PwK）

这是您可以参加的最佳网络安全培训课程之一。 Offensive Security 的培训课程侧重于攻击性安全，特别是渗透测试领域。由于信息安全领域的专业化非常多，最适合您的课程取决于您的兴趣所在。

Offensive Security 的Kali Linux 渗透测试（PwK）课程侧重于全球渗透测试人员使用的现代技术，因此对您来说是一个很好的起点。

突破周界（CTP）专注于利用开发、Web 应用程序和广域网攻击，这对于渗透测试人员也非常有用；然而，PwK 教授您成为优秀渗透测试人员所需的核心技能。 CTP 还要求具有不同进攻技术的高级知识，因此不建议初学者。如果您认为自己具备所需知识，请随时尝试以下 CTP 课程注册挑战：www.fc4.me/。

除了 PwK 和 CTP 外，他们还有一门专门针对无线渗透测试的课程，名为 Offensive Security Wireless Attacks（WiFu）。

在注册课程之前，我们建议您浏览每个课程大纲，选择符合您兴趣的课程。每门课程都提供在线的大纲，您可以查看涵盖的主题：www.offensive-security.com/information-security-certifications/oscp-offensive-security-certified-professional/。以下截图展示了部分可用课程：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/f988c495-83b1-4cbb-ae52-69f116c3e0ed.png

Offensive Security 的 Kali Linux 渗透测试（PwK）

OSCP 是信息安全专业人员最受认可和尊敬的认证之一。要获得认证，您必须完成 Offensive Security 的 PwK 课程，并通过 24 小时的实操考试。为了获得实操经验，每位学员都会获得访问虚拟渗透测试实验室的权限，在实验室中可以练习课程中学到的技巧。OSCP 考试包括一个包含不同配置和操作系统的虚拟网络。考试开始时，学员将收到关于隔离考试网络的考试和连接指示，而他们对该网络没有任何先前的了解或接触。

CertNexus 网络安全应急响应员（CFR）

通过一种理解攻击结构的方式，网络安全应急响应员（CFR）网络安全认证确保个人掌握在攻击发生前、过程中和之后，能够为组织提供所需的高风险技能。

网络安全应急响应员是抵御网络攻击的第一道防线，网络攻击可能会给组织带来宝贵的时间和金钱损失。网络安全应急响应员培训和认证项目将帮助安全专业人员成为应对网络攻击的第一响应者，教学内容包括分析威胁、设计安全的计算和网络环境、主动防御网络以及应对/调查网络安全事件：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/2912182c-0f84-4555-9df0-d1e83a1715a0.png

要了解更多关于认证的信息，请访问certnexus.com/cybersec-first-responder-cfr-continuing-education-program/。

还有一个名为 CyberSafe 的终端用户培训课程。但这个课程更多面向终端用户。

NIST 网络安全框架

美国商务部的国家标准与技术研究院（NIST）响应总统行政命令《改善关键基础设施网络安全》，创建了 NIST 网络安全框架。该框架是在与行业合作的基础上制定的，为组织提供更好管理和降低网络安全风险的指导。NIST 网络安全框架核心部分提出了行业认为对管理网络安全风险有帮助的关键网络安全成果。核心部分包含四个元素：功能、类别、子类别和信息参考。下图展示了 NIST 网络安全框架的五个阶段：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/cbrsec-bgd/img/554750f6-67bc-4fea-808b-11dc900a4f73.png

NIST 网络安全框架

识别

识别功能中的活动是有效利用框架的基础。了解业务背景、支持关键功能的资源以及相关的网络安全风险，使组织能够集中精力并优先考虑其工作，与其风险管理策略和业务需求保持一致。

结果类别如下：

• 资产管理

• 业务环境

• 治理

• 风险评估

• 风险管理策略

以下是一些相关的网络安全课程：

• EC-Council 认证道德黑客

• CompTIA 网络安全分析师

• 注册信息系统审计师

• 注册信息安全经理

• 注册信息系统安全专业人员

保护

保护功能支持限制或减少潜在网络安全事件的影响。

结果类别如下：

• 访问控制

• 意识与培训

• 数据安全

• 信息保护过程和程序

• 维护

• 保护技术

以下是一些相关的网络安全课程：

• CompTIA 安全+

• CompTIA 高级安全从业者

• CompTIA 网络安全分析师

• 思科安全

• EC-Council 认证安全分析师

检测

检测功能支持及时发现网络安全事件。

结果类别如下：

• 异常与事件

• 安全持续监控

• 检测过程

以下是一些相关的网络安全课程：

• CompTIA 网络安全分析师

• 思科安全课程

响应

响应功能支持应对潜在网络安全事件的能力，以减少其影响。

结果类别如下：

• 恢复规划

• 改进

• 通讯

以下是一些相关的网络安全课程：

• EC-Council 计算机黑客取证调查员

• 网络安全首次响应者：威胁检测与响应

• 思科安全

恢复

恢复功能支持及时恢复正常操作，以减少网络安全事件的影响。

结果类别如下：

• 恢复规划

• 改进

• 通讯

以下是一些相关的网络安全课程：

• 注册信息安全经理

• 注册信息系统安全专业人员

• CompTIA 高级安全从业者

总结

本章重点讨论了知识检查，特别是与认证相关的内容。现在有许多开放的电子学习平台，所有平台都提供具有竞争力的课程，并在每个课程成功完成后颁发认证。

认证将为学习者提供在就业市场上的一些优势，而仅拥有学位的申请者则无法获得这些优势。认证向雇主展示你具备主动性，证明你在某个特定领域具有高超的技能，帮助你掌握市场需求技能，推销你的技能，并为那些没有 IT 学位的人开启网络安全职业生涯。选择认证和认证提供商时，必须谨慎。在选择课程之前，你应该评估提供商的声誉、认证的可信度、课程的时长、以前学习者的反馈、学习者所获得的支持程度以及市场需求。

在下一章中，我们将探讨可以公开和商业化消费的各种安全情报资源，以增强组织的安全性。

进一步阅读

查看以下资源，了解本章所涉及的更多信息：

• www.trushieldinc.com/top-3-reasons-you-need-cyber-security-awareness-training/

• altimetersolutions.com/importance-of-cybersecurity-certifications/

• hirevergence.com/importance-of-cybersecurity-certifications/

• www.whitedust.net/the-importance-of-cybersecurity-certification-training/