網(wǎng)絡(luò)安全安全港灣網(wǎng)絡(luò)安全工程師實(shí)習(xí)生實(shí)習(xí)報(bào)告一、摘要2023年7月1日至2023年8月31日，我在安全港灣擔(dān)任網(wǎng)絡(luò)安全工程師實(shí)習(xí)生，負(fù)責(zé)協(xié)助完成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和漏洞掃描工作。通過參與10個(gè)項(xiàng)目的安全測(cè)試，累計(jì)發(fā)現(xiàn)并報(bào)告高危漏洞32個(gè)，中危漏洞87個(gè)，低危漏洞215個(gè)，平均每個(gè)項(xiàng)目識(shí)別出15個(gè)以上漏洞。應(yīng)用Nessus和BurpSuite等工具進(jìn)行滲透測(cè)試，修復(fù)率達(dá)92%。提煉出“分層防御自動(dòng)化掃描人工復(fù)核”漏洞管理流程，將漏洞響應(yīng)周期縮短至48小時(shí)內(nèi)。期間掌握了OWASPTop10風(fēng)險(xiǎn)評(píng)估模型和SIEM日志分析技術(shù)，可復(fù)用漏洞驗(yàn)證腳本覆蓋率達(dá)80%。二、實(shí)習(xí)內(nèi)容及過程2023年7月1日到8月31日，我在安全港灣實(shí)習(xí)，崗位是網(wǎng)絡(luò)安全工程師。來這兒主要是想看看真實(shí)環(huán)境里安全工作怎么開展，跟學(xué)校里學(xué)的比有啥不一樣。單位不大，但挺專注做風(fēng)險(xiǎn)評(píng)估和滲透測(cè)試的，客戶以中小企業(yè)為主，搞些定制化安全方案。我跟著師傅做了仨項(xiàng)目，主要是漏洞掃描和報(bào)告編寫。7月10號(hào)開始接手第一個(gè)項(xiàng)目，客戶是家電商企，系統(tǒng)比較老舊。用Nessus掃了一輪，發(fā)現(xiàn)40多個(gè)高危漏洞，其中幾個(gè)是SSRF和SQL注入，挺嚇人的。當(dāng)時(shí)我對(duì)這類漏洞處置沒啥經(jīng)驗(yàn)，師傅就帶著我查OWASP文檔，怎么復(fù)現(xiàn)，怎么寫PoC。我花了兩周時(shí)間才把報(bào)告里的高危項(xiàng)捋清楚，最后提交給客戶的時(shí)候，他們那邊技術(shù)小哥直說細(xì)節(jié)到位。第二個(gè)項(xiàng)目是8月5號(hào)開始的，對(duì)象是個(gè)金融客戶，要求嚴(yán)，數(shù)據(jù)多。這回我主動(dòng)想試試BurpSuite，抓到幾個(gè)CSRF沒處理對(duì)。踩坑了，發(fā)現(xiàn)一個(gè)會(huì)跳轉(zhuǎn)外網(wǎng)的請(qǐng)求，差點(diǎn)沒發(fā)現(xiàn)。師傅說滲透測(cè)試不能光靠工具，得配合邏輯思維。我就琢磨怎么把工具結(jié)果跟業(yè)務(wù)場(chǎng)景結(jié)合，最后把漏洞影響搞明白了，報(bào)告得分比上回高。實(shí)習(xí)里最頭疼的是8月15號(hào)那會(huì)兒，有個(gè)系統(tǒng)日志分析需求，客戶說數(shù)據(jù)量太大，SIEM跑不動(dòng)。我試著用Python腳本分塊處理，但效率太低。后來去請(qǐng)教了同事，才知道得用Elasticsearch這類工具，分詞索引搞得好，查詢才快。學(xué)到了不少，雖然最后沒完全搞定，但明白了大數(shù)據(jù)時(shí)代工具選型的重要性。整個(gè)實(shí)習(xí)期間，我把師傅教的方法都記在小本本上。比如風(fēng)險(xiǎn)評(píng)估那套流程，怎么從資產(chǎn)價(jià)值、威脅概率這些維度打分，怎么根據(jù)分?jǐn)?shù)定修復(fù)優(yōu)先級(jí)。還有漏洞驗(yàn)證那套，先自動(dòng)驗(yàn)證，不放心就手動(dòng)再過一遍，用powertweak這種工具輔助。收獲最大的還是心態(tài)轉(zhuǎn)變，以前覺得漏洞就是打補(bǔ)丁，現(xiàn)在知道得考慮業(yè)務(wù)影響，怎么降低風(fēng)險(xiǎn)，而不是一刀切。遇到的困難主要是兩個(gè)。一是時(shí)間太趕，客戶催得急，但安全工作得穩(wěn)，怎么平衡效率和質(zhì)量是個(gè)難題。有回差點(diǎn)沒檢查出個(gè)邏輯漏洞，后來師傅教我用checklist，按部就班走，才沒出事。二是單位培訓(xùn)機(jī)制不咋地，好多東西都是現(xiàn)學(xué)現(xiàn)問，得自己上網(wǎng)扒拉資料。比如那個(gè)Elasticsearch的問題，要是早有培訓(xùn)就好了。我建議單位搞點(diǎn)標(biāo)準(zhǔn)化流程文檔，特別是漏洞處置和應(yīng)急響應(yīng)那塊，現(xiàn)在靠口述或者郵件，容易出錯(cuò)。還有可以搞個(gè)內(nèi)部知識(shí)庫，大家寫的技術(shù)分享都能放進(jìn)去，新來的也能快速上手。崗位匹配度上，我覺得我可以做的更好，比如對(duì)業(yè)務(wù)理解上，要是實(shí)習(xí)前多了解點(diǎn)行業(yè)知識(shí)就好了。這段經(jīng)歷讓我更確定想干安全了，但也知道得持續(xù)學(xué)，現(xiàn)在安全這行變化太快，不學(xué)就跟不上。三、總結(jié)與體會(huì)這8周在安全港灣的經(jīng)歷，像是在學(xué)校理論之外，硬生生給我塞進(jìn)了一堂生動(dòng)的實(shí)踐課。7月1號(hào)剛來的時(shí)候，對(duì)APT攻擊、零日漏洞這些詞，還停留在概念層面，覺得離自己挺遠(yuǎn)的。8月31號(hào)走的時(shí)候，親手用Nessus掃描出過127個(gè)具體漏洞，用BurpSuite復(fù)現(xiàn)過3個(gè)SQL注入，這些不再是書本上的數(shù)字，是實(shí)實(shí)在在的發(fā)現(xiàn)。這種從無到有，把知識(shí)變成生產(chǎn)力，感覺挺奇妙的，也是實(shí)習(xí)最大的價(jià)值閉環(huán)。實(shí)習(xí)讓我對(duì)職業(yè)規(guī)劃有了更具體的想法。以前覺得做安全就是跟漏洞斗，現(xiàn)在明白得跟時(shí)間、業(yè)務(wù)、成本斗。比如8月15號(hào)那會(huì)兒，金融客戶系統(tǒng)日志堆成山，SIEM處理不了，我就意識(shí)到光會(huì)工具遠(yuǎn)遠(yuǎn)不夠，得懂?dāng)?shù)據(jù)結(jié)構(gòu)，懂分布式處理，甚至得懂點(diǎn)算法。這直接影響了我下學(xué)期選課，肯定會(huì)加兩門Python和網(wǎng)絡(luò)編程相關(guān)的課，感覺這方向比單純啃書本要實(shí)在得多。明年考個(gè)CISSP或者CEH證書，目標(biāo)也更明確了，就是要把實(shí)習(xí)里暴露出的短板補(bǔ)上。看著師傅們處理真實(shí)世界的攻防，我感受到安全這行真的變化快，昨天剛學(xué)的某個(gè)防御策略，可能明天就被繞過了。像7月20號(hào)遇到的那次內(nèi)部員工賬號(hào)泄露事件，處理過程讓我明白，技術(shù)永遠(yuǎn)不是萬能的，得結(jié)合組織架構(gòu)、權(quán)限管理這些非技術(shù)因素。行業(yè)趨勢(shì)上，我覺得云安全、數(shù)據(jù)安全這塊兒肯定越來越火，公司那幾個(gè)上云的典型客戶，安全需求就特別多。如果有機(jī)會(huì)，我希望能往這個(gè)方向深挖。心態(tài)上最大的轉(zhuǎn)變，就是從“學(xué)知識(shí)”變成了“扛事兒”。8月28號(hào)那個(gè)晚上，客戶系統(tǒng)突然報(bào)了個(gè)疑似CC攻擊，雖然最后判斷是誤報(bào)，但當(dāng)時(shí)真是手心冒汗。以前做實(shí)驗(yàn)，失敗重開就行，現(xiàn)在不一樣，客戶在生產(chǎn)環(huán)境，一點(diǎn)馬虎不得。這種責(zé)任感，還有跟客戶、技術(shù)小哥溝通協(xié)調(diào)時(shí)磨煉出的抗壓能力，是學(xué)校給不了，只有實(shí)習(xí)才能教的。雖然有時(shí)候覺得挺累的，但想到自己的操作能幫客戶少出點(diǎn)問題，心里還是挺踏實(shí)的。這段經(jīng)歷讓我真真切切覺得自己離一個(gè)真正的網(wǎng)絡(luò)安全工程師近了一步，路還長(zhǎng)，但方向?qū)α?，步子就能邁得穩(wěn)。四、致謝感謝安全港灣提供這次實(shí)習(xí)機(jī)會(huì)，讓我接觸到了真實(shí)的安全項(xiàng)目