ISC2北京分会十周年-会员专访-孙龙

孙龙，国内首批CAISP认证专家，工信部NITS信息技术信息安全高级人才、ISC2北京分会会员、OWASP北京区核心会员、曾参编起草多个网络安全团体标准，拥有多项网安领域发明专利和软著，多个网络安全认证证书（CAISP、NITS、CISP、CISP-DSG、PMP、ISO27001等），多次率队参与国内“网鼎杯”、“陇剑杯”、“强网杯”、国HW等大型网安活动并获得靠前名次，目前专注于甲方安全体系建设，对数据安全、漏洞挖掘、SDL有独到见解。

访谈问题1：您为什么进入网络安全这一行业？

从业网络安全的契机始于某网安论坛中的一篇漏洞分享，一个连渗透工具都不需要的逻辑漏洞竟然可以造成超乎想象的危害，对当时从未接触过网络安全的我造成很大的冲击，继而对这种渗透思维产生了兴趣，开始主动了解网络安全，随着从脚本小子，到攻防夺旗，再到安全建设，我开始喜欢上网络安全这种敌攻我守的实践场景。

在不断学习与实践的过程中，个人的视角也逐步拓宽。从最初的执着于漏洞挖掘，到现在致力于将所有所学技术在网络安全进行实践，主动研究如何构建防御体系、加强安全策略，以及如何进行有效的风险评估，我发现，网络安全不仅仅是为了找出问题，更重要的是建立一个全面的防护机制，以应对日益复杂的网络威胁。

总的来说，我进入网络安全行业的初衷，是因为对这一领域的好奇与热爱，而现在，我则希望通过不断学习和实践，将自己的知识与技能转化为实际的安全防护，维护网络环境的安全与稳定。

访谈问题2：为什么要获取CISSP认证？

就目前网络安全行业，CISSP认证被广泛认可，获取CISSP认证可以获得更高的职业竞争力，另外关于CISSP认证所涵盖的信息安全知识广度可以拓宽个人在多个安全领域的知识面，包括风险管理、资产安全、安全架构和工程、通信与网络安全等，为面向企业安全的实践工作提供全面的知识体系支撑。

除此之外CISSP认证还会提供业界安全大咖的技术讨论平台，加入ISC2组织，瞻仰大佬们关于安全领域的安全解决方案，共同学习，共同进步。

访谈问题3：CISSP认证对您的职业生涯有何帮助？

1、拓宽了知识面，CISSP认证覆盖信息安全的多个领域，有助我更加深入理解企业安全建设的相关知识，也提供了丰富的实践案例做参考，

2、自证了安全知识储备，CISSP认证目前属于安全行业含金量TOP级别认证，获得CISSP认证也说明了自身安全储备；

3、提供了更丰富的安全讨论、技术分享、专家共识机会，丰富安全阅历，有更多机会结识业界大咖。

访谈问题4：您的日常工作是怎样的？

目前从事甲方安全工作，专注于数据安全、安全合规、应用安全等内容，其实在一个架构完整且实时迭代的安全团队，当前的安全工作主要在布控、情报分析、流程优化等内容中，除此之外会比较关心AI、云安全、供应链安全等内容挑选合适项目在企业内部进行实践。

访谈问题5：您能说说职业生涯最精彩的故事吗，或者回顾您的职业历程比较深刻的感受？

比较精彩的就是在某次攻防项目中，项目尾声阶段被临时委托担任风险处置领队角色，甲方基本已经被红队攻击打穿，现场的情况可谓是一片狼藉，机房人员毫无安全意识，防火墙都是串联在交换机上并没有配置策略，攻防期间无人关注，所有的端口全部开放，所有的远程访问方式都是远程桌面，甚至可以在服务器根目录找到DB文件备份......

经过简单排查，一半以上的服务器、个人PC均被红队撕开了口子，在距离项目结束只有不到一周的情况下，亡羊补牢的风险加固已经收益甚微，所以破釜沉舟，协同小队成员在关键节点部署蜜罐，并做出如下部署：

蜜罐添加一些日志管理假接口，服务器tmp目录放一些虚假日志文件，夹杂密网IP、NGINX接口，留下漏洞特征诱导攻击队使用自用云服务器扫描蜜罐（需要借助第三方服务才能进行利用的漏洞特征）；

边缘资产服务器备份back.zip里边塞假源码诱导攻击方访问钓鱼站点、蜜罐接口；

部署后一天，迟迟没有收成，钓鱼没成功......

在项目结束前一天，红队终于上钩了，可能是对甲方的网络环境已经松懈，反倒是直接用cs服务器进行蜜罐扫描，而那台cs服务器存在目录遍历漏洞，其中存有攻击者的攻击日志，有一条日志暴露了攻击者的teamserver密码，登录攻击者teamserver，找到被攻击主机的外网地址......

定位成功。

访谈问题6：加入ISC2北京分会是一个怎样的契机？对您有何积极影响？

加入ISC2北京分会是因为之前在看到过ISC2一些技术讨论和线下沙龙话题比较有利于最佳实践，加上安全的圈子其实很小，很多志同道合的大咖们沟通之下发现都在ISC北京分会中，所以申请了入会。

ISC2北京分会是一个可以专心讨论技术解决方安全的一个组织，主要专注于企业实践和比较前沿的技术、情报分享，对我的影响就是可以畅所欲言的去请教各个领域的安全痛点，丰富自身的同时希望自己的一些经验可以为其他人提供帮助。

访谈问题7：您闲暇时间有什么爱好？

比较喜欢书法，IT技术本身是快节奏，所以空闲时间会写字来松弛一下状态，平静的状态有助于更稳定的思考。

访谈问题8：您对网络安全从业人员有何建议？

当前大环境严峻，安全自然很难独善其身，所以面对当下的场景，推荐网安人员需要具备自己强项的部分让自己崭露头角，接着在从事这段工作的时间里，让自己的强项部分不落后，增加自己的知识的宽度，解锁新技能，即涉及安全的工作中能用到的都需要有所接触或者了解，以适应市场的需求和挑战。

访谈问题9：有没有推荐的书/读物？

1、《无声的耳语：社会工程的心理学与应用》（Ghost in the Wires: My Adventures as the World's Most Wanted Hacker）- Kevin D. Mitnick

推荐原因：虽然这本书更偏向自传，但Mitnick通过自己的经历揭示了社会工程的威力，以及如何利用人性弱点进行攻击。这本书不仅有趣，而且提供了关于安全和社会工程的重要教训。

2、《社会工程：揭秘现代攻击的艺术》（The Art of Deception: Controlling the Human Element of Security）- Kevin D. Mitnick

推荐原因：这是Mitnick的另一部经典作品，深入探讨了社交工程的技巧和策略。书中包含多个真实案例，帮助读者理解如何识别和防范社会工程攻击。非常适合安全从业者和普通大众阅读。

-----------------------------

关于协会：

ISC2成立于1989年，是全球知名的网络、信息、软件与基础设施安全认证会员制非盈利组织，是为信息安全专业人士职业生涯提供教育及认证服务的全球性机构，总部位于美国。ISC2以其一流的信息安全人才教育与培养计划，以及“权威标准”安全认证而享誉全球。ISC2在全球信息安全领域的公信力与美誉度无可比拟。

ISC2北京分会成立于2014年11月1日，专注信息安全，旨在建立北京及周边地区的一个安全技术交流的网络，促进分会会员之间的信息传递、经验交流、技术讨论和个人职业发展。

更多内容请关注ISC2北京分会公众号：ISC2BJ

（入会说明：关注ISC2北京分会公众号，获取入会申请表并填写提交）