安全服务工程师(乙方)

网络采集2018-11-05 11:33:04 287
版权声明:本站部分内容来自网络转载,如有版权问题,请联系我们。

职位描述:
  1. 负责安全服务项目中的实施部分,包括:漏洞扫描、渗透测试、安全基线检查、代码审计、应急响应等;
  2. 爆发高危漏洞后时行漏洞的分析应急;
  3. 对公司安全产品的后端支持;
  4. 掌握专业文档编写技巧;
  5. 关注行业态势和热点。
  6. write by:sec_qiaoy

职位要求:
  1. 有较强学习能力,能快速学习新的技术;
  2. 熟悉风险评估、应急响应、渗透测试、安全加固等安全服务;
  3. 熟悉常见黑客攻防方法;
  4. 掌握一门编程语言;
  5. 具有良好的语言表达能力、文档组织能力。
  6. write by:sec_qiaoy

学习路线:
  • 3周
    安全概念和资讯
    前期安全知识的补充学习。
    1. 熟悉基本的安全术语和概念(SQL注入、上传漏洞、XSS、CSRF、一句话木马、渗透测试、应急响应、风险评估、等级保护等);
    2. 阅读OWASP TOP 10 从漏洞分类和漏洞成因寻找安全漏洞的切入点 Link ;
    3. 阅读经典的网络安全相关书籍 Link ;
    4. 安全资讯来源:Secwiki、Reddit、Twitter、Weibo、Wooyun、Freebuf、91ri等。
    5. write by:sec_qiaoy


  • 2周
    安全工具使用
    熟悉常用的安全测试工具和自家的产品。
    1. 综合漏洞扫描工具的安装使用:Nessus、X-scan、Nexpose等;
    2. Web漏洞扫描的工具的安装使用和漏洞验证:AppScan、AWVS、WebInspect等;
    3. 辅助工具的安装和使用:Nmap、Burp Suite、Sqlmap、wireshark、iptables等;
    4. 辅助脚本的收集和修改:各种漏洞利用的Exploit、定制化高的扫描脚本、字典等;
    5. 自家安全设备策略部署和使用。
    6. write by:sec_qiaoy
  • 3周
    渗透测试
    熟悉渗透测试报告的格式和内容。
    1. 渗透测试流程:《渗透测试授权书》规定渗透时间和范围、《渗透测试免责书》描述渗透测试可能带来的危害、规定时间实施渗透测试,输出《渗透测试报告》,指导甲方进行漏洞修复;
    2. 大多数情况下,渗透测试质量中技术能力占40%,报告书写占60%,必须熟练掌握各种word、exel基本功能;
    3. 具体的技术细节、工具使用可参考老美的PTES渗透测试指南 Link
    4. write by:sec_qiaoy
  • 3周
    安全基线检查
    学习安全业务与系统操作。
    1. 不同的客户,不同的业务系统,有不同的安全基线文档,大致分类无外乎几种:从账户、授权、补丁、日志、冗余端口和服务等层面对主机系统、中间件和数据库进行配置[检查];
    2. 阅读外网流出的各家厂商的安全基线检查内容,如:运营商-移动 Link ;
    3. 掌握不同版本的配置方法和配置项,可自行安装系统、中间件、数据库进行实操。
    4. write by:sec_qiaoy
  • 5周
    应急响应
    学习渗透实战,并了解应急响应流程。
    1. 应急响应流程可分为两类:实时性应急响应和入侵后应急响应;
    2. 实时性应急响应:大多为DDOS攻击,首要进行流量分析,若流量打满,能做的就是反查攻击IP,逆向渗透;若网络设备会话数被打满或者主机系统的CPU、内存、会话数被打满,可通过交换机做端口镜像,使用wireshark、tcpdump进行抓包,分析流量特征,确认攻击类型,在网络设备或安全设备上做相应阻断策略;
    3. 攻击后应急响应:通过分析恶意文件和日志,查找入侵来源IP和入侵者所利用的漏洞,提出漏洞修补方案,并逆向追踪入侵者;
    4. 应急响应对工程师的要求较为复杂,需多熟悉不同操作系统、应用、中间件、数据库特性,且能熟练使用编程语言或者vim等编辑器对较大的日志进行数据整理,还需要日常多多积累各种攻击特征和防护策略;
    5. 多阅读网上已有的应急响应的文档,学习逆向分析思路。
    6. write by:sec_qiaoy
  • 5周
    代码审计
    学习代码审计流程和实战。
    1. 熟悉代码审计工具的安装使用,可参考SecWiki上的文章 Link ;
    2. 根据工具报告验证问题是否为误报,并跟踪分析;
    3. 参看各大资讯平台、论坛、旧杂志的文章,学习白盒分析思路;
    4. Exploit编写。
    5. write by:sec_qiaoy
  • 3周
    安全边界建设
    学习安全边界检查工作的流程和内容。
    1. 安全边界检查的工作重点可总结为:根据是各个信息区域否需要外网接入、是否需要访问内部核心网络等行为特点,将信息安全系统划分为边界接入域、网络基础设施域、计算机安全域、运维管理域,并对现有网络是否有按照该标准做相应的安全域划分,或判断其划分是否合理;
    2. 可参考规范:IATF Link
    3. write by:sec_qiaoy
  • 3周
    安全规范
    学习国标和行业规范。
    1. 除去技术细节了,尚有不少风险评估和等级保护测评的工作,直接读规范有助对项目全局的把控;
    write by:sec_qiaoy


本站一切资源来源于网络采集,仅用作交流学习,请勿用作商业或违法行为!如造成任何后果,本站概不负责!如有任何问题或者意见,请联系网站管理员:jzroot#gmail.com