论⾼级攻防团队建设⽅法论之思想的重要性(上)
The following article is from 雷神众测 Author micropoor
No.1
声明
⽂章较⻓,故分为多季来连载,转载请标注来源
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。
雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
No.2
前⾔
本质可能发⽣转变,它可以由质变到量变,体系可以被打破,随时间的推移,它可以被推倒重塑,唯有思想将永垂不朽。
问题的背后是本质,本质的串联是体系,体系的整合是思想。
⽂章将会围绕“三个是什么?”来展开,分别是
1:问题的背后是什么?(上)
2:本质的背后是什么?
3:问题的背后是什么?
引⾔:创业公司老板或者整体团队负责⼈都有⼀个特点
如果这个⼈是销售出身:注重与⼈打交道
如果这个⼈是技术出身:注重与事打交道
像销售⼀样去思考,像技术⼀样去⾏动。
——Micropoor
No.3
⼀:问题的背后是什么?
1:团队技术模型与招聘管理
顾名思义,⾼级攻防团队的建设,表⾯核⼼为“攻”,问题的背后是“⼈才”的管理。如何打造出⼀⽀能对抗“有组织,有纪律”的团队?⼀定是分⼯合理,责任明确,多个⼦部⻔联动的团队。⾄少⼀名主管,三名负责⼈,由于在招聘过程中会涉及到⼤量的技术模型重合,与⼈员沉淀,考虑到投⼊产出⽐平衡等,故其中负责⼈(⼀)主要团队技术模型为:“当下吃饱饭”,(不考虑部⻔编制,不考虑部⻔技术⼈员模型重复以及沉淀,只对部⻔当下KPI负责,负责⾯试⼀⾯)负责⼈(⼆,三)技术模型为:未来更美好(需要考虑到⼈员技能重合,考虑部⻔技术闭合,项⽬⽣命周期技能模型闭合,考虑⼈员沉淀等,有权拒绝重复性质⼈员进⼊,负责⾯试⼆⾯)。也就是说,每个负责⼈的责任不同,但⽅向相⼀致,⼀个是当下,⼀个是未来。主管需要考虑⼦部⻔与⼦部⻔之间的业务联动,技术闭合,利益共同体,⼈员的整体学习⽅法模型,整体⽅向,战略规划等。部⻔主管,⼀定要有放权的勇⽓,兜底的能⼒。
2:⼈员的学习与晋升
古⼈把⼀个职业的发展分为7个阶段:
奴:⾃愿和靠⼈监督的⼈
徒:能⼒不⾜,肯⾃愿学习的⼈
⼯:⽼⽼实实,按规矩做事的⼈
匠:精通⼀⻔技艺或⼿艺的⼈
师:掌握了规律,⼜能将其传授给他⼈的⼈
家:有固定的信念,让别⼈⽣活的更好的⼈
圣:精通事理,通达万物的⼈
同样⽹络安全学习也有10个阶段划:
问:⾃愿或靠⼈监督的⼈
学:能⼒不⾜,肯⾃愿学习的⼈
动:⽼⽼实实,按课本或教学实践的⼈
记:记录每次实践或学习⼼得体会并总结的⼈
体系:建⽴适合⾃⼰的体系,并能把知识碎⽚化结合到⾃我体系的⼈
问:体系建⽴后,重新归纳更新知识,并体系重新结构化的⼈
分享:掌握了规律,⼜能将其传授给他⼈的⼈
带团队:有固定的信念,带领团队或集体形成合⼒的⼈
授业:可以传授道理、教授学业、解答疑难问题,指路⼈。
育才:培养出⽐⾃⼰优秀和强⼤的⼈
以上为⼈员技术能⼒晋升阶段,⽽提升整体⼈员,⼜要从主动学习与被动学习,个⼈学习与团队学习⽅法建模。
爱德加·戴尔提出了⼀套学习模型:模型主要分别为被动学习与主动学习的⼀个过程。
同时提出,学习效果在30%以下的⼏种传统⽅式,都是个⼈学习或被动学习;⽽学习效果在50%以上的,都是团队学习、主动学习和参与式学习。
3:引⼊
需要“⼼流理论”引⼊团队管理,根据契克森⽶哈伊的说法,就是个体完全地沉浸于体验本身,⽽体验本身就是最好的奖赏和动机。在⼼流状态中,我们的感觉和体验合⼆为⼀,即“⾏为和觉察融为⼀体”。在⼼流状态中,享受着巅峰体验,同时也做出了巅峰表现:既感受到了快乐,⼜展现出最好的状态。运动员把这种情形称为“在状态”。⽆论在⼼流的境界⾥做什么,踢球也好,雕刻也好,写诗也好,学习也好,对于正在进⾏的事情采取的是⼀种全神贯注的态度,没有任何⼈或事可以打扰我们或是使我们分⼼。在这种最佳状态下,能够更有效地学习、成⻓、进步并且向未来的⽬标迈进。
拥有清晰的⽬标是⼼流体验的前提。虽然⽬标有时会有所改变,但部⻔⾏进的⽅向是不能错的。当全⼼全⼒投⼊去实现⽬标,不为任何其他的诱惑所动摇时,才能获得⼼流体验。同时,当下以及未来的益处在这种状态下合⼆为⼀:遥远的⽬标不但不是阻⼒,反⽽可以帮助感受正在经历的意义。⼼流体验所带来的是更⾼层次的幸福,它把“⼀分耕耘,⼀分收获”变成了“现在的快乐即未来的成果”。“⼀分耕耘,⼀分收获”的说法代表我们必须承受极度的压⼒,⽆论是身体上还是⼼理上的,才能发挥100%的潜⼒,实现⾄⾼的⽬标;但在⼼流体验中,痛苦本身并不是巅峰表现的最⾼境界;相反,有⼀个区域是在过难和过易之间,在这个区间内,不但可以发挥出最⼤的潜⼒,还可以享受过程中的快乐。如果想要达到这个境界,任务的挑战要难易适度。
如果任务难度⼤⽽技能不⾜时,会感到焦虑;相反,如果技能⾼超⽽任务太简单时,就会感到乏味。只有当难度和技能匹配时,⼼流体验才有可能出现。有两种不同的情况会影响拥有⼼流体验:⼀是有压⼒的环境,因为这样会带来焦虑;⼆是没有挑战性的环境,因为这样会使⼈觉得⽆聊、厌倦。
好的部⻔可以营造出⼀个传播幸福的⼯作环境。⼀些外在条件可以帮助员⼯在⼯作中找到更多的意义:第⼀,这份⼯作必须能够激发员⼯的才华和潜⼒;第⼆,雇员应该获得更⼤的发挥空间,在部⻔的运作中扮演更重要的⻆⾊,⽽不只是旁观者;第三,雇员应该感受到他们的业绩是有意义的。
⼀旦事物的本质抓住,那么就可以降维打击,以渗透的本质为例:
目标资产信息搜集的程度,决定渗透过程的复杂程度。
⽬标主机信息搜集的深度,决定后渗透权限持续把控。
渗透的本质是信息搜集,⽽信息搜集整理为后续的情报跟进提供了强⼤的保证。
以上是第⼀⼩节”论本质“的重要性,理论与实战结合参考:
渗透,持续渗透,后渗透的本质
渗透的本质是信息搜集
⼩结:问题的背后是本质,技术团队不仅仅是由技术主导,⽽这背后隐藏了资源分配,资源倾斜,学习⽓氛,沟通,协同,⼈员能⼒晋升,团队技术模型与闭合等⼀系列问题。透过问题看本质。本质适⽤于”独狼“⾏动,可快速提⾼个⼈实战能⼒以及思想,但它并不适合”狼群“作战,也就是说团队协作并不适合"本质"⽅法论。
No.4
招聘启事
雷神众测SRC运营(实习生)
————————
工作地点:杭州(总部)、广州、成都、上海、北京
【职责描述】
1. 负责SRC的微博、微信公众号等线上新媒体的运营工作,保持用户活跃度,提高站点访问量;
2. 负责白帽子提交漏洞的漏洞审核、Rank评级、漏洞修复处理等相关沟通工作,促进审核人员与白帽子之间友好协作沟通;
3. 参与策划、组织和落实针对白帽子的线下活动,如沙龙、发布会、技术交流论坛等;
4. 积极参与雷神众测的品牌推广工作,协助技术人员输出优质的技术文章;
5. 积极参与公司媒体、行业内相关媒体及其他市场资源的工作沟通工作。
【任职要求】
1. 责任心强,性格活泼,具备良好的人际交往能力;
2. 对网络安全感兴趣,对行业有基本了解;
3. 良好的文案写作能力和活动组织协调能力。
雷神众测白帽运营(实习生)
————————
工作地点:杭州(总部)、广州、成都、上海、北京
【岗位职责】
1.准确了解白帽子爱好,发掘白帽子需求
2.负责各类周边、礼物的挑选与采购
3.对黑客文化有深刻认知
4.维护白帽关系
【任职要求】
1.具有良好的审美眼光
2.具备定制礼品礼物经验
3.较强的沟通以及协调能力
4.为人正直,具备良好的职业道德,能吃苦耐劳,具有良好的团队合作精神
【加分项】
1、具备美术功底、懂得设计美化等
2、有互联网运营经验
简历投递至 strategy@dbappsecurity.com.cn
设计师
————————
【职位描述】
负责设计公司日常宣传图片、软文等与设计相关工作,负责产品品牌设计。
【职位要求】
1、从事平面设计相关工作1年以上,熟悉印刷工艺;具有敏锐的观察力及审美能力,及优异的创意设计能力;有 VI 设计、广告设计、画册设计等专长;
2、有良好的美术功底,审美能力和创意,色彩感强;精通photoshop/illustrator/coreldrew/等设计制作软件;
3、有品牌传播、产品设计或新媒体视觉工作经历;
【关于岗位的其他信息】
企业名称:杭州安恒信息技术股份有限公司
办公地点:杭州市滨江区安恒大厦19楼
学历要求:本科及以上
工作年限:1年及以上,条件优秀者可放宽
简历投递至 strategy@dbappsecurity.com.cn
安全招聘
————————
公司:安恒信息
岗位:Web安全 安全研究员
部门:安服战略支援部
薪资:13-30K
工作年限:1年+
工作地点:杭州(总部)、广州、成都、上海、北京
工作环境:一座大厦,健身场所,医师,帅哥,美女,高级食堂…
【岗位职责】
1.定期面向部门、全公司技术分享;
2.前沿攻防技术研究、跟踪国内外安全领域的安全动态、漏洞披露并落地沉淀;
3.负责完成部门渗透测试、红蓝对抗业务;
4.负责自动化平台建设
5.负责针对常见WAF产品规则进行测试并落地bypass方案
【岗位要求】
1.至少1年安全领域工作经验;
2.熟悉HTTP协议相关技术
3.拥有大型产品、CMS、厂商漏洞挖掘案例;
4.熟练掌握php、java、asp.net代码审计基础(一种或多种)
5.精通Web Fuzz模糊测试漏洞挖掘技术
6.精通OWASP TOP 10安全漏洞原理并熟悉漏洞利用方法
7.有过独立分析漏洞的经验,熟悉各种Web调试技巧
8.熟悉常见编程语言中的至少一种(Asp.net、Python、php、java)
【加分项】
1.具备良好的英语文档阅读能力;
2.曾参加过技术沙龙担任嘉宾进行技术分享;
3.具有CISSP、CISA、CSSLP、ISO27001、ITIL、PMP、COBIT、Security+、CISP、OSCP等安全相关资质者;
4.具有大型SRC漏洞提交经验、获得年度表彰、大型CTF夺得名次者;
5.开发过安全相关的开源项目;
6.具备良好的人际沟通、协调能力、分析和解决问题的能力者优先;
7.个人技术博客;
8.在优质社区投稿过文章;
岗位:安全红队武器自动化工程师
薪资:13-30K
工作年限:2年+
工作地点:杭州(总部)
【岗位职责】
1.负责红蓝对抗中的武器化落地与研究;
2.平台化建设;
3.安全研究落地。
【岗位要求】
1.熟练使用Python、java、c/c++等至少一门语言作为主要开发语言;
2.熟练使用Django、flask 等常用web开发框架、以及熟练使用mysql、mongoDB、redis等数据存储方案;
3:熟悉域安全以及内网横向渗透、常见web等漏洞原理;
4.对安全技术有浓厚的兴趣及热情,有主观研究和学习的动力;
5.具备正向价值观、良好的团队协作能力和较强的问题解决能力,善于沟通、乐于分享。
【加分项】
1.有高并发tcp服务、分布式等相关经验者优先;
2.在github上有开源安全产品优先;
3:有过安全开发经验、独自分析过相关开源安全工具、以及参与开发过相关后渗透框架等优先;
4.在freebuf、安全客、先知等安全平台分享过相关技术文章优先;
5.具备良好的英语文档阅读能力。
简历投递至 strategy@dbappsecurity.com.cn
安全服务工程师/渗透测试工程师
工作地点:新疆
1、掌握渗透测试原理和渗透测试流程,具备2年以上渗透测试工作经验,能够独立完成渗透测试方案和测试报告;
2、熟悉风险评估、安全评估;
3、熟练掌握各类渗透工具,如Sqlmap、Burpsuite、AWVS、Appscan、Nmap、Metasploit、Kali等;
4、熟练掌握Web渗透手法,如SQL注入、XSS、文件上传等攻击技术;
5、至少熟悉一种编程语言(php/java/python),能够独立编写poc者优先;
6、具有良好的沟通能力和文档编写能力,动手能力强;
7、对工作有热情,耐心、责任心强,具备沟通能力和良好的团队意识;
8、加分项:有安全开发经验/可进行代码审计工作;
9、加分项:有安全和网络相关证书,如CISSP、CISA、CISP 、CCNP、CCIE等认证者;
岗位职责:
1、参与安全服务项目实施,其中包括渗透测试与安全评估,代码审计,安全培训,应急响应;
2、独立完成安全服务项目报告编写,输出安全服务实施报告;
简历投递至 strategy@dbappsecurity.com.cn
专注渗透测试技术
全球最新网络攻击技术
END