今年是我工作变化比较大的一年,所以我想写篇文章回忆一下我从业安全的这4年。权当个人纪录,请关注我的朋友担待~
我2018年来360实习,2019年毕业以安全开发的身份进入360,来了以后需求不多转型做了漏洞挖掘,可以说当时的我对漏洞一窍不通,比不上很多同学大学期间就打过ctf,有src经验,可以说刚开始背着转正压力还得入门漏洞再到挖出漏洞是很痛苦的事情,我相信每个挖漏洞的同学都深有同感,也算是努力+幸运,在正式入职的第二个月就挖到了第一个被认可的漏洞,然后在工作半年登上了MSRC 2019 Q4 Security Researcher Leaderboard,位列第11,在工作一年登上了Blackhat Europe,在毕业一年内完成了MSRC Top Security Researcher和Blackhat的双击,从内心说当时并没有觉得有什么独特地方,总觉得自己技术实力不够,可能也是因为优秀的同学比较多,比如我们同组的413x和root,在安卓漏洞和虚拟化漏洞方面赫赫有名,在我理解怎么挖掘漏洞这个过程中,他们让我少走了弯路,很感谢他们。
现在回过头来看,能在工作初期有这样的成果还是值得认可自己,所以后来让我理解到新同学的培养中要以肯定和鼓励式帮助为主,这样才能培养出能帮到自己和团队的人。
后来我想大家也都清楚,微软在2020年把提权漏洞的奖金大幅度降低,从2w美刀一个内核漏洞到2k,加上国内漏洞挖掘氛围转变,以pr效应转向为公司带来实际收入,国内外不少朋友转型,想做漏洞的,可能会换挖掘方向,比如协议,不想做漏洞的,比如和我同年在win32k比较火的一个老外转型去做了数据安全,国内的大佬们也有投身于安全运营,产品开发,内部红蓝对抗等,总之那年是比较有变化的一年。
我个人因为当时只挖提权漏洞,此时赏金大幅缩水,拉长时间去看待工作成长的话,觉得性价比已经不够,转型协议漏洞挖掘时间成本大+公司环境问题,所以综合种种毅然决定从事安全研发工作,也切合我大学的理想:做一款安全产品。
在转型后我负责了360的0day漏洞雷达系统,该系统基于虚拟化,驱动,客户端三块形成了终端的检测系统,整体就是做edr的思路,在我负责该项目后发现了几十起漏洞样本/攻击,并且在千万级的机器上把检测方案降到了几乎0误报的效果,我想做安全产品,安全运营的同学应该能理解几千万机器几乎0误报是多么重要的一个事情,我在推特发过一些典型漏洞样本案例,但是很多的漏洞样本都没有公开细节。我比较满意的是和IBM合作的Patch Tuesday -> Exploit Wednesday: Pwning Windows Ancillary Function Driver for WinSock (afd.sys) in 24 Hours ,
该篇文章应该是今年在windows安全方向比较突出的案例,该样本我相信能检测到的厂商不多。
我在这份工作中熟悉了主防/EDR的开发模式,检测方法,也熟悉了安全运营,提高了对于样本的分析能力。我的综合素质进行了不少的提高。
更重要的是为了做出一流的检测方案,在攻击侧我学习了内网渗透技术,分析了不到百的APT攻击案例,hvv攻击案例,att&ck的技术点从陌生到现在已经不说无比熟悉也知道哪些是哪些。
在防御侧学习了很多微软的检测思路,在成熟的产品里落地了很多检测方案并且效果不错,最主要的是让我更加明白怎么去做更好的检测方案和产品,认知能力得到了提高。
在软实力方面,在这个项目中我请了很多人帮我的忙,大多也不认识,所以我练成了厚脸皮+不懂就问能力,也同时拥有了owner项目经验,协同同事合作经验,资源协调经验,汇报经验,不够但是足够我进入下一个阶段。
在经过学习,思考和验证的过程中,我理解到在攻防世界中,检测侧更需要的是全面的检测点,低误报的数据,高效的运营处置。单纯的规则+告警并不是良策,更多的是不仅要有规则+告警,还要有终端云端一体化的关联聚合分析引擎,高效的能够发现处置安全攻击。
攻击侧,自动化模拟攻击是企业逐渐必备的一个事情。
所以关于未来,我会以入侵和反入侵的整体方向去发展,朝着以攻防视角去开发高效检测恶意攻击的安全产品方向前进,以期找到自己的北极星。
最后,我想总结一下我的一些个人工作经验,看是否能帮助到别人,也再次提醒自己。
针对个人要持续学习+思考,做安全更多的是做认知,在工作中要切合公司的发展方向去深入工作,团结好伙伴,背朝大树好乘凉,群众的智慧胜于一切,要能为老板解决问题,成为老板可信任的人,要争做一流多解决困难问题,保持谦虚,认识到自己的不足,多向优秀的人请教,如果当遇不平,大胆往外去看,安全能力一流的人哪里都需要就看你想去做什么,最后离不好的人远一点。
最后的最后想感谢我的老板PJF对我的指点,让我对安全的认知不断提高,认知才可能是人最重要的事情之一,感谢部门的各位哥哥对我的帮助,让我在职场成长中得到不少帮助,逐渐能够负担起更多的业务。希望大家一切顺利~
我的联系方式:
推特Xiaoliang Liu(@flame36987044)
微信:
原文始发于微信公众号(xiaoliangliu):我从业安全的这4年
