本文最后修改时间:2019-04-03 17:39

继续教育

译者:@Snowming

一个我总是被读者问到的问题是:我现在该做什么?他们说: 我已经读了所有的The hacker playbook书籍,参加了各种培训课程,还参加了一系列会议……接下来我应该做什么呢?基于此,我可以给你最好的建议是,你应该开始从小项目开始做起,为安全社区做贡献。这是真正测试你的技能和提高水平的最好方法。

一些可能有用的想法:

  1. 建立一个博客和你自己的 Github 帐户:你应该写一下你所有的经历和所学。虽然你向世界分享了它,但它真的对你个人成长更有帮助。强迫自己把你正所学的写进博客将帮助你提高写作水平,更好地解释漏洞/使漏洞以易于理解的方式被展现,并确保你充分了解所学的内容。
  2. 你的简历应该是你的 Github 帐户:我总是告诉我的学生你的 Github 帐户(或博客)应该能够有自己的一席之地。不管它是只是关于很多小型安全项目(比如让工具更高效)还是你自己做的安全项目,你应该在 Github 上声明你所做的工作。
  3. 在当地会议上发言:演讲可能极其令人畏惧,但如果你的简历上有你的演讲经历,你会远远优秀于同圈子中的其他人。你能找到可以演讲的地方吗?我会建议你从你当地的聚会开始(meetup.com),找到团体并积极参与。这些团体通常很小,但每个人都非常友好。如果你在南加利福尼亚地区,那正好,我创立并经营着LETHAL(meetup.com/LETHAL),这是一个由社区驱动的免费安全组,不同成员每月出席一次。无论如何,参与其中!
  4. 漏洞赏金计划:无论你是处于进攻还是防守的一方,赏金计划可以真正帮助你提高你的游戏水平。像 HackerOne,BugCrowd, SynAck, 补天等漏洞赏金项目程序可以免费注册。通过这样,你不止可以赚到不错的收入,也可以合法地破解他们的网站。(当然,这仍然在他们的计划范围内)。
  5. 参加 CTF:我知道很难有足够的时间去做我提到的以上所有事。但我总是告诉我的学生,做安全不是工作--它是一种生活方式。去 CTFTime.org,挑选一些CTF,在周末参与 CTF,黑掉他们的网站。相信我,你在 CTF 的周末中能学到的比你上过任何班级的还要多。
  6. 与朋友一起建立一个实验室:除非你复制一个极度类似企业环境的测试实验室,否则你很难练习真实的脚本。没有这个测试环境,你就不会真正理解在所有攻击工具成功运行的背后发生了什么。因此,必须建立一个包含 VLAN,Active Directory,服务器,GPO,用户和计算机,Linux 环境,Puppet,Jenkins 以及所有常用工具的完整的实验室。
  7. 向坏人学习:对于红队来说,这是最重要的一点。我们的作战不应该是理论上的,而是复制另一个真正的攻击。密切关注最新的 APT 报告,并确保 你足够了解对手和了解如何改变他们的攻击。
  8. 订阅 The Hacker Playbook:了解最新的 The Hacker Playbook 新闻。请在此订阅http://thehackerplaybook.com/subscribe/ 。
  9. 培训:如果你正在寻找一些培训,请联系我们 http://thehackerplaybook.com/training/