想要避免成为工具人或者脚本小子,你需要注意学习初期和工作初期的选择。
首先,在学习初期,打好基础最重要,避免成为脚本小子。
你可能发现很多人仅仅会写个Python然后会用工具,积累一点经验就可以找到一份还不错的工作,但是他们可能只能做一最简单的安服工作。
现在集成化的脚本工具特别多,使用门槛也在逐渐降低,很多连网站建设都不会的人随便拿着个扫描器去扫网站目录,技术断层严重,网络安全的目的是以攻促防,发现漏洞只是其中的一步,能够做到定位漏洞,描述漏洞危害,利用方式,漏洞修复建议却很难。技术水平不扎实,很难有一个好的发展前景。
比如,做渗透测试,提到SQL注入就需要需要懂TSQL语言,提到CSRF,就会涉及到《计算机网络》的应用层协议HTTP,如果要去审计代码,那JavaWeb开发就必须掌握,否则连Servlet都理解不了。因此渗透前期需要有网络基础、编程基础、数据库基础、操作系统等基本技能。首先就应该从html、css、js、编程语言、协议包分析、网络互联原理、数据库语法等进入,等基础知识掌握牢固以后,再去进行渗透测试的深入学习。
因此,你需要远离浮躁的环境。很多人最初都有一颗通往技术的心,但是却沉不下心来持续性的学习。不断地突破瓶颈,在技术提升的阶段,每一个人都会经历自己的迷茫期,自己会了很多,但是去更深入研究的话,会是一个全新的世界,会又是一番苦战。如果你退缩的话,那也就停留在脚本小子阶段了。
那么,在网安工作中,如何避免成为工具人。
由于目前业内招聘渗透岗比较多,也比较急缺,因此入行时,可以先做渗透这类工程岗位。
后期,如果你有较强的编码或者研究的功底,又积累了更多的经验,最好转向安全研发或者安全研究等薪资更高或者更细分的岗位。例如以下几种:
云计算产品安全分析师。随着互联网的快速发展,越来越多企业开始重视网络安全,云计算产品安全分析师缺口大,待遇高。云计算产品安全分析师靠的是解决问题的能力,像老中医一样越老越吃香,升职快,安全工作对接的一般是企业领导人和部门高管,更容易获得领导的认可。相比于一些it岗位,还会涉及到非常难的数学问题。
安全开发工程师。工作内容主要是设计安全产品和实现,对安全产品的易用性改进和Web研发技术优化;开发安全辅助工具或平台;负责安全平台的设计与开发;了解安全领域最新攻击与防护技术,不断完善产品。薪资也相对较高。
网络安全等级保护测评师。主要做等级保护测评、风险评估、信息安全建设与整改咨询等。编写项目的工作规范及流程、实施方案; 对客户公司进行网络安全等级保护测评、网络安全咨询、信息安全风险评估、操作系统及数据库方面的安全加固等;根据客户需求设计网络安全解决方案,按照文档规范整理编写技术支持文档,为客户提供等级保护、信息安全咨询介绍和培训等。