安全学习以广度为基础,且伴随着一切新技术的产生而迅速更新。作为安全从业者,从硬件安全、无线通信安全到系统安全、Web安全以及密码学、社会工程学等方方面面都需要有所涉及有所了解,思路眼界须得开阔,必要时数学、物理、语言、人格心理等等都要拿来作为工具。所以,又需要勇于学习,时刻坚持好奇心和新鲜感,切忌出于对新领域的恐惧而止步不前。
在广泛学习的基础上又要有所深究,尤其是作为初学者,容易浅尝辄止,满足于入门级做出的小成果。在最初的阶段,我们能够无目的地广泛接触了解各类安全知识、安全技术,也能够允许效率低下、问题重重,可是在学习一段时间之后要试着找到自我的兴趣点,以此为重心展开下一阶段的学习,否则就会事倍功半,付出努力而无所回报。
其次,必须要重视基础理论知识,学会举一反三。安全行业以实战为重,学习者往往容易陷入误区,过分轻视理论学习。可是,理论学习正是坚持深度的基础,仅有对于如操作系统、编译原理以及计算机网络等等有了清晰的认知和理解才能在实战中拥有更多的创新意识和主动权。
在有了扎实的基础之后,自我动手开发适合实际的工具也就容易起来。网络上有很多大名鼎鼎的、开源的各类工具、木马等可供使用,下载之后甚至有图形化界面,操作极其简单。但这类工具或有些年头、或存在后门,在实战中毫无价值,除了练习学习之外再无他用。学习者能够利用它们的源码和实现原理尝试开发适合实际情景的只属于自我的安全工具,并在使用中不断完善,切忌拿来主义,满足于做一个“脚本小子”。
此外,除了工具等自我动手,各类环境搭建、软件安装、基础功能使用等也要重视起来。这类工作看似简单,与实际的安全工作无关,但在具体操作中往往会遇到各类意想不到的问题。在解决这些问题的过程中,我们能够锻炼搜索资料的本事,也积累了经验,对环境和软件的配置、运行过程及原理等有了更深的认识。值得注意的是,无论这类工作耗费了多大的精力,也要打起精神来将更多的注意力集中在之后的漏洞复现、工具使用等工作上,切忌本末倒置。
同时,要时刻关注安全行业相关动态。要利用好网络资源,经过论坛(如看雪、freebuf等)、公众号(如腾讯玄武实验室等)、漏洞安全公告(如CVE、微软官网等)等等渠道了解新的技术、安全事件,并从中不断学习。
以上提到的事项,都应当有对应的积累总结。安全从业者必须要善于积累,并且是有条理有目的地积累,方便在需要使用时直接拿来而无需浪费时间在一次又一次无意义的重复学习和搜集中。积累要具有个人特色,不要复制粘贴或浮于表面,要内含自我的经验教训和实战总结,须是可复现可利用的干货。
安全学习道阻且长,但想要入门却相当容易,动动手指上网搜索,从随便一个小工具入手就能够开启安全学习之路。所以,绝不要畏难或是有任何心理负担,放弃与否是以后的事,此刻只管开始。