诸子笔会2023 | 刘顺:那些年读过的网络安全专业书
自2023年4月起,“诸子笔会2023第一季”正式拉开帷幕。10位专家作者组成新一届“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取万元高额奖金以为,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
那些年读过的网络安全专业书
文 | 刘顺
刘顺
网络安全专家/CISSP/CDOP/诸子云百家智库安全专家/CSA云安全联盟专家/TTSP智库安全专家/网安加社区特聘安全专家。12年网络安全从业经验,曾就职于汽车制造、互联网、科技等类型企业,曾担任安全负责人、资深安全工程师、高级安全架构师等职位,在网络安全与隐私保护方面具有丰富的管理与实践经验。
被称为“硅谷钢铁侠”的埃隆·马斯克(Elon Musk)有次被问到:“假如重返二十岁,你会给年轻的自己什么建议?”他当时回复了三点,其中第二点就是多读书。给出这点建议并不是因为年少时读书少,恰恰是因为马斯克从小对读书就如饥似渴,小时候便读完了学校和邻近图书馆的所有书,更是靠着读书实现了造火箭的梦想。
无论传奇人物还是自己身边优秀的人,很多都是“读书狂魔”。笔者很后悔自己没有早早养成良好的读书习惯,仅仅是靠着自我要求尽可能地让自己多读一些。本期诸子笔会的主题是“读书”,借此机会,翻阅书架以及“微信读书”“豆瓣”等APP,汇总整理了一些网络安全专业书,尽可能按照职业发展顺序把这些书串一串,仅供参考。
如果您是2012年以前接触网络安全,《黑客X档案》应该不会陌生,作为当时国内发行量最大的网络安全(电脑黑客)类杂志,可能是很多人安全的入门和启蒙。
从web安全入门网络安全技术是个不错的选择,相信很多人应该都读过道哥(吴翰清)的《白帽子讲web安全》,一本很经典的web安全书籍,可以让我们理解安全的本质,分别从客户端和服务端学习常见的web安全漏洞,本书最后章节也介绍了互联网公司的安全运营。
作者:吴翰清
出版:电子工业出版社
为加深对常见web安全漏洞的理解,大家可以去读一读关于某漏洞的专业书,比如《XSS跨站脚本 攻击剖析与防御》(邱永华著)、《SQL注入攻击与防御》(Justin Clarke著、施宏斌译),可以让我们更深入、更全面地了解XSS、SQL注入漏洞。
作者:邱永华出版:人民邮电出版社
作者:Justin Clarke(施宏斌译)出版:清华大学出版社
入门Web安全之后,也许我们已经开始从事网络安全工作,对于很多非网络安全学科毕业的人来说,刚开始对网络安全的理解可能是片面的。网络安全不仅仅是管理防火墙、不仅仅是挖漏洞、也不仅仅是管好办公终端的权限。为了看清网络安全的全貌,可以读一读ISO27001体系类书籍,从14个信息安全领域全面认知安全体系。
网络安全的核心是攻防对抗,因此我们有必要读一些关于漏洞和攻防类的书籍,比如大家都很熟悉的《黑客大曝光》(Stuart McClure等著、赵军等译)。本书从1999年发布第一版,被奉为安全届的“武林秘籍”,作者以“知己知彼”的视角让读者了解黑客的世界,了解黑客的思考和行动。本书以黑客攻击的过程展开各章节的内容,包括踩点、扫描、查点、访问、攻击终端主机、基础设施、应用程序和数据。
作者:Stuart McClure等(赵军等译)出版:清华大学出版社
Metasploit可谓是渗透神器,首本中文原创Metasploit渗透测试著作是《Metasploit渗透测试魔鬼训练营》,清华大学的诸葛建伟等著。Metasploit具备强大功能和集成渗透测试能力,本书从实践出发带读者完成一次渗透测试之旅,包括初识Metasploit、搭建环境、搜集情报、web渗透、网络服务渗透攻击、客户端渗透攻击、社会工程、移动环境渗透、夺旗竞赛实战。
作者:诸葛建伟等
出版:机械工业出版社
《黑客攻防技术宝典》第二版,Dafydd Stuttard、Marcus Pinto著,石华耀译,出版于2012年,也是比较经典的攻防类技术书籍,介绍了Web渗透测试的方法,全面地介绍了如何利用各类Web安全漏洞。
当您具备一定的网络安全工作经验后,应该为所在企业从整体上做好网络安全建设规划,这时候应该阅读参考一些企业安全体系建设类的书籍。
首先推荐的是《互联网企业安全高级指南》,由赵彦、江虎、胡乾威编著。这本书系统而全面地讲述了互联网企业的安全建设,互联网企业的安全建设经验一直是首选参考,长期以来,此类书籍非常少。很多安全类书籍更偏向于各种攻防细节、攻击技巧,缺乏从企业安全整体架构的视角,也很难在企业实际场景下落地。
对于企业网络安全从业者而言,我们不仅需要了解攻防技巧,同时需要了解可落地、低成本、行之有效的最佳实践。作者大佬们凭借在甲方和乙方十多年摸爬滚打的实际经验,梳理出了这样一套满满都是经验的互联网企业安全建设最佳实践,可以帮助网络安全从业者拓宽思路、完善视野。不同阶段安全建设重点、如何在企业内推动安全落地、安全与业务如何相处,这些常见的问题都可以在书里找到答案。基础安全、网络安全、入侵检测、漏洞扫描、移动安全、代码审计、办公安全、安全管理、业务风控、隐私保护、纵深防御等内容一一俱全。当初拿到这本书之后,笔者可谓是如获珍宝,一口气读完。
对于金融行业网络安全从业者,额外推荐一本《企业安全建设指南:金融行业安全架构与技术实践》,由聂君、李燕、何扬军著作。我个人曾先后就职于互联网、科技、金融等多个行业,能够深刻地体会到金融行业因行业特性、强监管要求等原因,在网络安全建设,尤其是在安全合规、安全管理方面具备的一些特殊性。比如与监管的约束保护关系、科技风险管理、科技外包管理、业务连续性管理、二三道防线内控审计等,这些金融行业特有的安全建设经验均可以在这本书里找到答案。
同类型的安全书籍还有《互联网安全建设从0到1》林鹏著(机械工业出版社)、《大型互联网企业安全架构》石祖文著(电子工业出版社)、《企业信息安全建设之道》黄乐著(机械工业出版社),都是作者多年经验的产物,值得学习阅读。《企业安全建设入门:基于开源软件打造企业网络安全》刘焱著(机械工业出版社),由于企业网络安全工作经常面临缺乏资金投入的困难,刘焱(兜哥)的这本书结合自己经验,梳理了很多开源的安全产品,可以指导我们用开源软件构建企业安全体系。
通过企业安全体系建设类书籍的阅读,完成企业网络安全整体建设规划后,您应该要大刀阔斧地在安全各领域落地实施了。以下是按安全领域维度推荐的一些比较好的书籍,供参考。
首先,应用安全方面,研发安全体系建设推荐《DevSecOps实战》周纪海、周一帆、马松等著,2022年1月份出版。通过描述一家大型互联网企业和一家大型传统银行的DevSecOps转型过程,向读者介绍了如何将DevSecOps落地实践。
系统安全架构方面的书籍较少,推荐《Google系统架构解密:构建安全可靠的系统》希瑟 • 阿德金斯等著,周雨阳、刘志颖译,从安全设计的原则等方面介绍如何构建安全的应用系统。
在应用Web安全方面,此时您应该要深入源代码开展代码安全审计工作,推荐代表性书籍《java代码审计》徐炎主编。由浅入深、全面、系统地介绍了java代码审计的流程,以及java web漏洞产生的原理,使我们可以更快地了解掌握java代码审计的技巧。
API安全方面,推荐一本专业书籍《API安全技术与实战》,由钱君生、杨明、韦巍编著。这本书从API安全漏洞、API安全设计、API访问控制、API与SDL、API与DevSecOps、API与数据隐私等方面,全方位地讲解了API的安全知识。
数据安全方面,随着数据安全的火热,可能陆续有相关书籍出版,推荐《数据安全架构设计与实战》郑云文著。本书结合网络安全相关的理论、技术、方法、案例,系统全面地介绍了数据安全保护技术设计与实现中的知识和经验,有理论支撑能落地,对数据安全相关的法律、法规、标准等合规性要求也进行了梳理,对数据安全架构设计与实现非常有帮助。
作者:郑云文
出版:机械工业出版社
云安全建设方面,推荐《云安全 安全即服务》周凯著。作者结合自己在云计算和安全领域的多年经验,详细讲解了安全即服务的五个重点发展领域:云扫描、云清洗、云防护云SIEM、云IAM。针对每个领域,从实际需求.实现原理技术架构,常用工具等角度送行了详细阐述,让我们容易对云安全有清晰的理解。
安全开发方面,推荐《白帽子安全开发实战》赵海锋著。学习如何使用Go/Lua开发渗透测试工具与安全防御系统,包括扫描器、后门、嗅探器、流量分析、蜜罐等。
移动安全方面,需要了解一些逆向相关知识,推荐《Android应用安全防护和逆向分析》姜维著(机械工业出版社),《IOS应用逆向与安全之道》罗巍著。
如果您的企业涉及物联网,物联网安全方面,推荐一本入门书籍《物联网安全》布莱恩·罗素等著,李伟译。这本书介绍了物联网攻击现状、物联网漏洞,物联网设备的安全设计、安全开发方法、物联网安全运维、物联网安全应急、物联网与隐私等方面的内容。
业务安全与机器学习方面,推荐《风控要略:互联网业务反欺诈之路》马传雷等著。从洞察黑产、体系构建、实战教程、新的战场四个部门描述了互联网业务反欺诈体系。另一本是《机器学习互联网业务安全实践》王帅等著(中国工信出版集团 电子工业出版社),本书从机器学习技术原来入手介绍了机器学习基础知识,介绍了互联网业务安全涉及的业务场景,以及机器学习在这些业务安全场景中的应用。
Web安全与机器学习的结合上,推荐刘焱的机器学习三部曲,分别是《web安全机器学习入门》、《web安全深度学习实战》、《Web安全之强化学习与GAN》。
攻防对抗方面,可以读一读奇安信安服团队出版的《红蓝对抗:构建实战化网络安全防御体系》。这本书从什么是实战攻防演练到如何分别站在红队(防守方)、蓝队(攻击方)和紫队(组织方)视角开展演练工作都进行了详细介绍,第一部分介绍红蓝实战攻防演练的基本概念、发展现状、演变趋势及常暴露的薄弱环节等。第二~四部分分别介绍蓝队视角下的防御体系突破、红队视角下的防御体系构建、紫队视角下的实战攻防演练组织。描述了在不同视角下各阶段如何具体开展相关工作,并提供必备能力、重点策略、风险规避措施等实践干货,以及剖析了多个经典案例。
网络安全风险涉及IT的各个领域,网络安全从业人员不仅需要掌握以上安全专业知识,为了更好地管控风险,网络安全从业人员还需要了解、入门IT各领域,包括网络协议、开发编码、操作系统、容器等。以下书籍比较适合安全从业人员阅读学习,供参考。
■ 《Java核心技术·卷Ⅰ:基础知识》凯S.霍斯特曼著/周立新等译/机械工业出版社
■ 《Java编程思想》埃克尔著/陈昊鹏译/机械工业出版社
■ 《Python核心编程》丘恩著/人民邮电出版社
■ 《JavaScript高级程序设计》扎卡斯著/李松峰等译/人民邮电出版社
■ 《PHP和MySQL WEB开发》LukeWellingLauraThomson著/武欣等译/机械工业出版社
■ 《有趣的二进制 软件安全与逆向分析》爱甲健二著/周自恒译/中国工信出版集团、人民邮电出版社
■《鸟哥的Linux私房菜基础学习篇》鸟哥著/中国工信出版集团、人民邮电出版社
■ 《Linux就该这么学》刘遄著/人民邮电出版社出版
■ 《Linux内核设计与实现》Robert Love著/陈莉君等译/机械工业出版社
■ 《Spring Boot实战》克雷格·沃斯著/丁雪丰译/人民邮电出版社
■ 《Android 第一行代码》郭霖著/人民邮电出版社
■ 《Docker技术入门与实战》杨保华等著/机械工业出版社
■《第一本Docker书》James Turnbull著/李兆海等译/人民邮电出版社
■ 《Kubernetes权威指南》龚正等著/电子工业出版社
您还读过或了解哪些比较好的网络安全专业书,欢迎评论推荐~
推荐阅读
2023诸子笔会第一季
杨文斌
推荐阅读
2022第二届诸子笔会
推荐阅读
2021首届诸子笔会