如何学习这么多的安全文章(理论篇)

2022-03-29 15:24:43 浏览数 (1)

1 关于阅读困境

伴随着自媒体的崛起,安全相关的博客、微信公众号、短视频…不胜枚举。网络安全热潮的不断升温,带来了非常多的安全内容分享。相较以前安全知识的匮乏,现在无疑是很幸福的,但同时又会因为文章太多、“需要”关注的太多,与有限的精力和时间产生诸多矛盾,给人带来了一些烦恼,比如:

  • 周围人都在学,不学点新的东西心里产生焦虑?
  • paper太多,不知道看哪些对自己帮助比较大?
  • 看不过来就都收藏或下载,一直收集却很少看?
  • 读完之后,似乎知道怎么做,但是一动手就懵?
  • 过了一段时间,回想看过的内容基本都忘得差不多?

因此,学会主动走出知识的焦虑,提升学习的效率,至关重要。本文介绍的方法不仅适用于安全,而是可以应对生活与工作中阅读的方方面面。起初是因为学习安全而去寻找的方法,故文章还是以安全为题。简单来说,主要介绍在匆匆的节奏中端正心态,主动获取优质安全知识并转化为己用,通过不断实践加深认识获得新的体验,打造自己的知识体系。

2 学习安全文章

2.1 选择合适的文章

  • 重点关注当下,聚焦解决问题

要学习的东西实在太多,心态不好的可能还会出现焦虑。要求高一点的人,可能会定时定量完成阅读任务,却发现可能只是惯性,对自身知识和价值的提升似乎作用不大,但可怕的是时间流逝了。

不过我们需要明白一个道理:知识太多,就算是不吃不喝不睡,每天用满二十四个小时,也还是学不完。那是不是就不用主动去学了呢?这明显是另一个极端,做法同样不可取。最好的办法是围绕解决当下的问题,包括工作中遇到的难题、不清楚的知识点等。比如在做白盒安全测试项目时,不太清楚引入什么工具和方案比较好、检测能力和检测原理,那就应该去查资料和找实践案例。即使是面对自己计划看完的ATT-CK资料,也应该暂时搁在一边,回到并聚焦到亟需解决的问题上。

  • 质量高于数量,挑选优质资源

前些年某安全社区的兴起,推动了国内安全技术分享氛围的提升,公开漏洞的挖掘姿势、利用方法、知识库学的不亦乐乎;这些年国家的重视,等保、实战演习、关保、供应链安全的浪潮不断涌来,又恰逢借助新媒介打造个人IP的新起,写安全文章分享的人也越来越多。与此同时,又有人说:这些文章抄来抄去的没啥内容,那些文章翻来覆去的就是写了一个知识点拖拉冗长…确实存在这些情况,翻阅自己关注的微信公众号就大几十个,有的更新还比较频繁,光是看公众号文章就看不过来。还有一些博客、安全社区与论坛的文章,难免让人产生学不过来的焦虑。此时只有将这些号分成三六九等,与之投入的时间和精力也做区分,才有可能获得较大的收益。并非所有关注的文章都需要看完,重点关注有用(与当前或可预见的未来紧密联系)、优质的内容,其他的像刷新闻过一眼甚至不管即可。

如何挑选优质资源呢?比如行业大佬推荐、周围认可的人推荐,但是也可能大家对好的定义不一样,段位不一样,所以别人的好未必是自己认为的好,故应该自己花时间进行筛选。

如何像刷新闻一样来看安全技术文章呢?可以关注一些聚合类的安全媒介,他们会收集互联网公开的优质文章,不过这类网站不多。此外也可以编写简单的爬虫对优质资源进行监控,每天推送一次到邮箱,通过查看标题来判断是否打开看。比如这样:

  • 余力储备未来,关注热点技术

新技术、新方向层出不穷,应接不暇。今年伊始,几家互联网大厂就因为数据安全、安全合规问题导致业务受到影响,一些知名APP也因为隐私问题导致被下架,数据安全、安全合规、隐私成了比较热的方向;云原生安全、供应链安全的话题越来越多,专业书籍的出版、相对应的专业社区不断活跃在安全从业者面前…总之安全技术的新方向也比较多,身在互联网时代,时刻保持学习是最基本的。所以建议结合自己的工作内容(现在用到的、将来可能用到的技术),融入自己的兴趣点(想了解和研究的技术方向),选择热点的安全技术进行关注并持续跟进积累,为未来做一些准备。

这里尤其是想强调兴趣点,保持对技术的好奇,尤为关键。有时候想想自己的工作,真的好像没啥意思。每个月固定的薪水,每天可能还有很多累人的活儿,有时候都很倦怠了,觉得没啥可以期盼的、没有一点新意。但是将注意力集中并保持在兴趣点上时,变得纯粹一些,将会发现:任何研究一丝微小的进步,又会令人欣喜。

2.2 保存优质的文章

这里主要是推荐工具,快速保存并且保持原文格式,对于后期回顾阅读比较友好。

看到好的文章,难免忍不住会想着保存下来。以前试过收藏在浏览器的文件夹;浏览器上另存为pdf;用爬虫把大量文章爬下来,保存为html;…这些都不错,但是这里主要想推荐印象笔记的浏览器插件- -简藏,收藏网页特别方便,提升了效率。至于其他的就没再使用,估计也还有很好用的。(不帮打广告,更没有收广告费)

但是也不能一味的收藏,也千万别养成喜欢收藏不看不用的习惯。尝试提高收藏的门槛,若是看到一篇文章很好很想收藏的时候,先别急。岔开去干点其他事情,跳出这股新鲜劲儿,回过头再看是不是真的需要。

2.3 吸收文章的内容

  • 同类文章整合,补全知识体系

每个人写同一个内容,最后写好的文章可能都不一样,比如详细程度、原理介绍、实现思路、利用技巧等。所以应该以“拆书”的方式进行学习,首先需要将同类文章进行聚合,来源包括专业书籍、公众号、论坛、安全社区、安全媒介、安全大会分享材料等,进行一轮初筛后把中意的内容全都整理起来;其次是逐个阅读,从最贴近自己想要的内容开始,在读的过程中摘抄或记录,不断补充知识要点、扩充,按照自己的想法整理成章(比如画脑图或写读书笔记),最终得到的结果会更加全面。这个方法并不适用于所有的场景,特别是在时间紧的时候。还有一个“度”,不要尝试一次性多收集点再来分析,持续不断的进行补充更好。

  • 多思考多记录,常常温故知新

看了就清楚了吗?如果只是看了,别人的知识大概率还是别人的,知识转换率很低。边看边记就掌握了吗?会比只看不记好一点,至少有笔记在,回头再学习的成本少一些。边看,边记,边思考,三者结合效果更好。也就是把别人的内容,按照自己的思路整理下来,转化为自己的,但也只停留在理论上的转化。

温故知新,常常翻阅自己做的笔记可能做不到。但是在遇到相关问题的时候,一定要查阅之前的积累,从中汲取思路并完善,才能让沉睡的知识活起来。另外随着经验、认知的不断积累,联动这些“老知识点”,也会得到新的启发。

  • 实践才出真知,思考总结升华

前面介绍了从不知道到知道的学习过程,但知道和做到还有很大的差距,通常知道并不代表真正的知道,知道也绝不对等于能做好。往往就差实践,一定要在自己的环境中实操和应用,不断联想唤醒之前的积累,拿出来用,不断解决遇到的问题直到达成目标,最终就会得到一份最佳实践,让理论得到证实或修正。然而,在做的过程中记录、写作是个不错的方式。

3 优质资源推荐

3.1 学习方法书籍

学习“为了提升学习效率”的书籍或其他资料,然后将学习方法迁移到安全专业上来,也能很有成效。在过去一年多的时间里,对提升效率的书籍进行“拆书”,觉得在好书上有不错收获,故进行推荐。

  • 《费曼学习法》
  • 《卡片笔记写作法》

3.2 安全资源方面

网上有很多的网络安全相关资源,很多大咖或者SRC的公众号都不错,这里推荐自己常看的两个国内资源:

  • sec-wiki:收集互联网上优质的文章,,而且是持续的,每周进行更新(难能可贵)
  • vipread:安全行业会议PPT,有时候做专题研究或者写PPT的时候,对思路和画图很有帮助

4 下节内容预告

因为一直在研究软件安全方向(包括SDL、DevSecOps、开源软件安全治理、供应链攻击防御等),故在下一章节中将介绍:SDL相关文章的学习与简单应用。

0 人点赞