下载掌阅APP,畅读海量书库
立即打开
网络安全资格认证可以证明持有者在特定领域的专业技能和知识水平。用人单位通常会倾向于选择拥有专业认证的候选人,因为这可以降低培训成本和提高工作效率。首先,从理论知识学习开始,比如参加培训课程、自学教材、参加考试模拟等;其次,有靶场、实验室等切合组织现实的攻防环境,这样才能更好地结合理论和实践;最后,参加各种认证机构组织的专业考试,因为这些认证可以帮助个人在职业生涯中获得更好的职位、更高的薪水和更多的职业机会。
网络安全建设的核心要素是网络安全人才!归根结底,网络安全的竞争是人才的竞争,这已经成了行业的共识。
安全培训是一项长期工作,从员工入职就应该开始执行。为了做好安全培训工作,很多组织已经建立自己的内部安全门户网站,通过安全门户建立安全知识库和安全考试平台。这里会要求全员按自己的工作角色选择不同的培训内容,除了全员的安全意识培训,研发等岗位还应进行专门的安全开发培训,严格一点还应进行考试。通过数据安全小游戏、数据合规开发规范视频,利用生动的方式以及贴合员工日常工作的场景,引起普通办公用户及业务开发人员的共鸣。
目前,我国安全人才培养比较滞后,缺口相当大。高校和科研院所培养的网络安全人才粗粒度地分为基础研究型人才和高水平应用型人才两大类。高校里很多安全专业都是新开的,师资力量有待提高,每年培养的人才仅有数万,但对于上百万的需求相差较大。
因为需求的旺盛,这几年,国内安全公司和一些安全厂商都有对应的培训,安全培训机构也如雨后春笋般发展起来。现在,市场上普遍存在的培训问题有:理论多,知识旧,以自身产品为主,但因为可以发证,仍然有很多的支持者。未来大有发展机会的实训教学,是指在专业能力提升的基础之上,构建实训平台以仿真业务场景,让学习者对真实业务场景进行安全实训,更好、更快地熟悉项目实战知识与技能。
网络安全靶场是一个虚拟平台,通过虚实结合的方式,快速地组建网络环境,为培训、模拟、竞赛等提供实验环境。它是为了满足政企单位、科研组织、大型集团等对网络安全仿真环境构建的需求,提供的近似实战的网络安全试验平台。要从一个漏洞点,最后打到目标并拔旗,这个过程需要模拟的地方很多。传统的靶场主要是针对OWASP的TOP 10攻击,围绕Web应用展开,这显然对于多样化的攻击是不够的。如图3-15所示,如果把每次攻防比作一次战斗,从情报战、城防战、巷战到肉搏战的完整沙盘演练过程,才是一个良好靶场应该提供的多样化训练场景。
图3-15 靶场模拟路径
这个过程涉及各种防御、诱捕和反制措施。从情报战中的信息收集开始,到攻防战中的突破防火墙边界,再到巷战渗透进入内网,最后发展为激烈的肉搏战,每一次都是双方智力和体力的生死对决。这种紧张刺激的对抗过程在生产网络中是无法进行的,而简单的实验室模拟又无法满足需求。因此,为了还原真实攻击,我们需要使用高级的靶场工具,尽可能还原攻击过程,通过流量分析、日志记录和攻击溯源等手段来反制攻击。这对于组织来说,作为蓝队(即防御方),参与培训、培养人才,掌握防御思路和体系是非常重要的。
3.7.2.1 场景化
靶场贵在尽可能真实地模拟实战。动,就是活靶子;不动,就是死靶子。电影《狙击手通古斯》中有这样一个故事,通古斯神枪手谢苗将空罐子挂在树枝上,放进流动的河里,女兵们的基本操作就打不中了,而他却依然百发百中,这就是靶场训练出来的和猎场训练出来的不同。当然,今天有很多开源软件提供了安全设备和靶场练习的功能,在促进数字化发展的同时,为信息安全提供了强大支持。
3.7.2.2 靶场供应商
这里提供了一些国内外知名的靶场供应商,但并不代表它们是你的最佳选项,具体还要看你的需求、预算和其他因素。
1.WebGoat
WebGoat是OWASP组织研制出的用于进行Web漏洞实验的应用平台,用来检测Web应用中存在的安全漏洞。WebGoat运行在带有Java虚拟机的平台上。
在WebGoat的Without password挑战中,你需要绕过身份验证来尝试登录应用程序。在用户名输入admin,密码字段尝试输入文本:'or'1'='1'--。将会注入一个SQL语句,在执行该SQL语句时会返回一个值为true的条件,使应用程序相信你已经通过了身份验证,如图3-16所示。
当前,WebGoat提供的训练课程有30多个,其中包括跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话Cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、Web服务、Open Authentication失效、危险的HTML注释等。
2.更多靶场
Vulfocus就是一个不错的靶场。它本质上是一个漏洞集成平台,集成了大量CVE漏洞环境,使用起来方便。Vulfocus可本地部署安装,也可以直接使用线上环境。因为CVE漏洞环境是Docker镜像,每次重新启动漏洞环境都会还原,大多是Boot2Root,也就是从启动虚机到获取操作系统的root权限和查看flag,特别适合各种实验。
Cyberbit是一个SaaS模式的网络安全靶场。它是一个基于云的网络安全模拟和训练平台,可用于培训网络安全专业人员和测试安全防御系统。用户开通就能使用,可以节省大量时间和成本。它的Cyberbit Cloud Range于2019年上线。另外,美国Circadence公司也上线了基于Project Ares战神项目的网络安全靶场,名为CyRaaS。
3.7.2.3 竞技CTF
夺旗赛(Capture The Flag,CTF)指的是网络安全技术人员之间进行技术竞技的一种形式。CTF起源于1996年DEFCON全球黑客大会,代替了之前黑客通过互相发起真实攻击进行技术比拼的方式。CTF为团队赛,通常以三人为限,团队中每个人在各种类别的题目中至少要精通一类,三人优势互补,取得团队的胜利。
图3-16 WebGoat练习
参赛团队通过攻防对抗、程序分析等形式,率先从主办方给到的比赛环境中得到一串具有一定格式的字符串或其他内容,并提交给主办方,从而获得分数。
Web是CTF的主要题型,题目涉及许多常见的Web漏洞,如XSS、文件包含、代码执行、SQL注入等。因为Web环境比较容易模拟,裸露的靶场很容易被攻破,但是在现实攻防下通过WAF、RASP、DBF等工具严防死守,攻方就没有那么容易了。
此外,从事Web安全渗透的居多,从事二进制漏洞挖掘的人偏少,但各种黑客大赛(如Pwn2Own)基本以二进制漏洞挖掘为主,因此政企可吸纳此类人才。Angr提供了很多CTF比赛案例,适合做二进制漏洞挖掘工作的人参考学习。
3.7.2.4 攻防兼备
在攻防兼备(Attack with Defense,AWD)比赛中,防守方需要使用自己的防御手段阻止攻击者获取自己的Flag,同时也要通过攻击手段获取攻击方的Flag。因此,防守方在AW D比赛中也需要具备攻击能力,并且需要具备较强的技术水平和丰富的经验,才能对攻击者发起有效攻击,并保护自己的网络不受攻击。防守方可以搭建多个诱饵系统,将攻击流量引导到虚拟机或者容器中,并让其留下攻击痕迹,或者以一些误导性的文件让对方下载,获取攻击方的攻击手段、攻击来源、攻击工具、操作系统、浏览器等信息。
当然,防守方也可以通过在诱导性文件中插入恶意代码获取攻击方数字证书的签名信息,但在未经授权的情况下取得是非法的,这里不建议开展类似的行为。
证书对于安全从业人员是很受欢迎的。技能证书可以在一定程度上体现网络安全工作者的技能水平,对求职和就业有很大帮助。因此,很多网络安全从业者一般会考取注册信息安全专业人员(Certified Information Security Professional,CISP)认证、渗透测试工程师(CISP-PTE)证书、注册信息安全专业人员-大数据安全分析师(CISP-BDSA)证书、云安全工程师(CISP-CSE)证书、工业控制系统安全工程师(CISP-ICSSE)证书、网络与信息安全应急人员(CCSRP)证书、国家注册应急响应工程师(CISP-IRE)证书、信息安全保障人员(CISAW)证书、云计算安全知识认证(CCSK)证书、信息系统安全专业认证(Certification for Information System Security Professional,CISSP)、OSCP Security+等。
3.7.3.1 CISP
CISP是安全行业最为权威的安全资格认证,由中国信息安全测评中心CNITSEC统一授权组织,中国信息安全测评中心授权培训机构具体培训实施。CISP分为注册信息安全工程师(CISE)、注册信息安全管理人员(CISO)等。表3-2为CISP的分类。
表3-2 CISP的分类
其中,CISP-PTE专注于培养、考核高级实用型网络安全渗透测试安全人才,是业界首个理论与实践相结合的网络安全专项技能水平注册考试。
3.7.3.2 CISSP
CISSP是国际信息系统安全从业人员的权威认证,旨在验证持证人员是否具备网络安全管理和领导能力。CISSP认证项目面向从事商业环境安全体系构建、设计、管理或控制的专业人员,对从业人员的技术及知识积累进行测试。