一、缘起
俗话说“师傅领进门,修行在个人”。这句话在网安圈子尤为贴切。
凡是选择以网络安全作为职业方向的人,其自主学习能力何其优秀,自不必多言。
不过,这句谚语的重点在后半句,由此常常容易使人忽视了前半句的重要性。学习最忌一个人闭门造车,再怎么勤于钻研,倘若与外界缺乏交流,无论是对学习效率还是学习动力而言,影响都极为负面。
子曰:“盖有不知而作之者,我无是也。多闻,择其善者而从之,多见而识之,知之次也。”
此乃两千多年前就流淌于国人血液中的智慧。
而星盟安全团队的Ex队长也是这样认为的。
六年前,他敏锐地注意到,中国有志于网安行业的伙伴之中,有很多是来自那些网络安全专业尚未形成完善课程体系、甚而完全没有相关课程的高校,他们迫切需要一个良好的学习环境来促进自己的技能提升和专业成长。
眼界宽广的人能看到症结所在,聪明的人能给出妥当解决问题的方法,而能成事者,则往往善于将想法落地,他们会想——“为什么不能是我来做这件事”、“如果由我来做,又该如何去做好这事”。
于是,Ex队长与九哥以及其他创始人当即决定汇聚有志之士,共同打造一个平台,让所有成员都能在这里学习新知识、相互激励、共同奋斗。
这个平台,便是如今已集结有100多名队员的星盟安全团队。
二、茁长
"一个人或许可以走得很快,但一群人才能走得更远。"——这句格言是他们的愿景,也基本可以概括他们眼下所践行之事。
要想实现这个目标、壮大团队,首先就得要让别人认识到自己的存在。这件事说简单也简单,说难也难。
但至少对星盟安全团队来说,并不算一个特别难迈的门槛。——得益于他们面向所有网安爱好者、初学者,所无偿制作、免费公开发布的一系列公益课程。
推出这些公开课,是希望能够为网络安全爱好者以及初学者提供启蒙教育,并帮助他们构建系统的知识体系。课程内容相当广泛,涵盖传统CTF比赛中常见的Web、Misc、Pwn、Re、Crypto等方向,同时也有CVE漏洞分析、路由器安全以及各种二进制漏洞利用手法等领域相关的教学视频。
这一类公益课程,现在都还在持续更新。
事实上,很多人就是通过这些课程认识到的星盟安全团队,并且大都还表示,在他们所能免费获取到的资源里边,星盟安全团队是属于质量最高的一档。
他人的肯定无疑最能鼓舞人心。
这方面的负责人Rt1Text师傅说,他们为了制作高质量的课程,在优秀讲师选拔、制作流程和审核机制标准化、理论与实践相结合等方面,都进行过诸多考量,并对其中各个环节不断优化,就是为了能给学习者带来深度与广度兼备的学习体验。
与此同时,星盟安全团队在各类赛事、会议上的精彩表现也引起了大家的注意。自团队创立起,取得过诸如2019年D^3CTF网络安全大赛决赛 第2名、2019中关村信息安全专项赛决赛 第2名、2023 羊城杯 第2名、2024 AVSS 决赛 第4名等等不胜枚举的好成绩,也曾在BlackHat USA 2022和GeekCon 2024 Singapore大会上发表演讲。
随着公益课程的推广、在CTF赛事上名气的打响,越来越多的伙伴认识、关注到了这支有实力有心气有追求的团队。目前星盟安全团队吸纳进来的正式队和预备队已经各有大约50人。
三、履践
发展壮大过程也并非完全一帆风顺。xshhc师傅跟我们透露,星盟安全团队作为一个联合性的网络安全战队,队伍成员大都来自各个高校,在每年的研究生入学考试备考期间及毕业季,无可避免地会遭遇一些挑战——高水平成员因学业或职业发展需要而退役,以及在短期内后备高水平人才的相对匮乏。
团队理解退役成员可能因日常繁忙而难以频繁参与活动,不会对他们过多强求。在保持适度的与老成员的感情联络及技术交流的同时,为解决部分老成员沉寂和新成员加入的总体实力更新断代问题,Ex队长他们另外采取了一系列积极措施。例如,团队内部会定期由经验丰富的老成员策划并执行培训活动,通过这些活动巩固新成员的专业基础,提升他们的技术水平,确保团队整体实力的持续提升与稳定发展。
那都有些什么培训活动呢?
xshhc师傅这里举了几个例子,比如每周的漏洞复现活动,以实际操作加深对安全漏洞的理解;不定期组织团队会议,分享最新网络安全动态和技术心得;以及实施Real World训练计划,通过模拟真实环境来增强团队的实战能力。
通过这些举措,星盟安全团队确保了人才储备的连续性和稳定性,前述的挑战已得到有效的应对和解决。
谈及于此,便涉及到了这样一个团队最为核心,也是团队成员最为关心的问题——加入这个团队后,我能有什么收获?
经henry师傅的说明我们得知,星盟安全团队为不同学习阶段的成员提供了一系列体系化的培养方案,致力于在网络安全的学习旅程中,助力每位成员展现其独特的才华与潜力。
具体而言,团队结构主要分为预备队与主力队两个层次。新加入的成员首先进入预备队,这里的成员技术水平相近,便于相互之间的无障碍交流与讨论。预备队群组中的讨论氛围活跃,成员们能够自由地分享知识、经验和见解。为帮助新成员更快地融入团队,团队会定期组织线上见面会,让新成员有机会相互了解,建立联系。
在技能培养方面,团队为每个专业方向设立了学习小组,并指派技术过硬、责任心强的老成员担任组长,负责小组成员的能力提升。培养活动内容丰富多样,包括但不限于比赛题目的复现、知识分享会、问题解答Q&A等。通过大约三个月的系统培养,新成员在技术能力上能够取得显著的进步。
至于主力队,则由团队中技术能力突出、能独立解决问题的成员组成。对于这些成员,团队同样注重他们的能力提升。我们会定期举办技术茶话会,邀请已退役并具备较强实战能力的老成员以及行业内的专业人士进行技术分享。这些活动旨在帮助成员了解前沿的技术应用,激发他们的兴趣和探索精神,进一步推动团队整体技术水平的提升。
通过这样的培养体系,星盟安全团队确保了每位成员都能在技术成长的道路上不断前进,实现个人价值的同时,也为团队的发展贡献力量。
关于这点,ha1vk师傅特别有发言权,他接着就跟我们讲述了他本人以前的一些亲身经历。
当初他刚加入团队那会儿,作为一名新手,面临着知识与技能的双重挑战。在专业技能提升的过程中,堆相关漏洞的学习尤为艰难。尽管他曾深入研究堆的结构并阅读了源码解析,但仍感到困惑重重。
不过,好在有团队资深成员的悉心指导,随着时间的推移,通过参与竞赛以及细致研读赛后的writeup,他逐步加深了对原理的理解,并且能够独立复现相关技术。
“记得首次参加线下强网杯赛事时,由于缺乏对RW题目的经验,内心不免感到焦虑。但赛事结束后,我并未气馁,而是开始系统地研究RW题目,并最终成功攻克了它们。我坚信在团队的支持与鼓励下,任何难题都能通过集体的智慧得到解决。”
四、传习
Harry0597师傅总结道,在CTF竞赛乃至整个网络安全领域的学习过程中,个人兴趣和自我驱动力是至关重要的支撑点。我们星盟安全团队在培养成员方面,采取了一种以自学为基础,辅以定期的竞赛、交流、培训和学习指导等活动的综合学习方式。
具体到CTF竞赛内容的学习,团队内部建立了每周周报的机制,以此为基础,定期组织组会活动,以促进团队内具有相同研究方向的成员之间的交流与互助。这种方式不仅有助于知识的共享,也激发了成员间的协作精神。
对于成员的升学与就业发展,团队同样重视并定期开展相关话题的茶话会活动。在这些活动中,我们会邀请经验丰富、表现优秀的成员进行分享、提出建议、提供指导和答疑解惑,以帮助其他成员更好地规划自己的职业道路。
在日常训练方面,团队组织成员参与赛事训练,并在报名、参与赛事后,开展以讲解、答疑、总结为主题的复盘活动。这些活动旨在深化成员对赛事内容的理解,提升实战能力,并从经验中学习与成长。
此外,针对某一具体专题的学习与分享,团队会邀请队内外在该领域有深入研究的优秀师傅进行专题分享,以丰富成员的知识结构,拓宽视野。
在娱乐和团队建设方面,星盟安全团队在节假日会不定期举办一些团建活动,如线上KTV、游戏比赛、野外烧烤、城市徒步(City Walk)、柔术训练、真人CS、真人卡丁车比赛等。这些活动旨在加强团队成员间的凝聚力,同时为成员提供放松和享受生活的机会。
由此,队员们能在这个团体里真切收获到知识技能以及归属感。我们了解到,无论是退役老将还是入行新人,都普遍对这支队伍怀抱深厚感情。
五、星盟
那么,要加入这样的团队,门槛是否会很高呢?
其实也不然。
负责招新的悠悠师傅说,星盟安全团队对于预备队员的技术要求并不苛刻,仅需对常见漏洞的成因及其简单的利用方法有所了解即可。他们更注重对新成员的培养,致力于通过团队的培养使其成长为独当一面的技术能手,而不仅仅是筛选已经技术精湛的成员。
星盟安全团队认为,技术实力固然重要,但同理心、良好的道德品质、团队精神同样不可或缺。因此,在面试过程中,除了技术能力的考核外,他们同样还会评估候选人的同理心、道德品质与团队精神等个人品格。维持组织一定程度的纯洁性,才能更好地依循“独行快,众行远”的理念——这恰是他们原先建立这支团队的乐于分享、互帮互助的初心的又一处印证。
自星盟安全团队成立以来,他们一直致力于发布内容丰富、主题多样的公开课,同时积极参与国内外各类网络安全竞赛,并在各大网络安全论坛中保持着高度的活跃度。为更好地促进知识分享和技术交流,星盟安全团队特别建立了萌新解惑群,以此替有意愿入队的萌新与团队师傅之间搭建直接沟通的桥梁,让每一位萌新都能切身感受到这支团队浓厚的交流氛围和扎实的技术功底,对其有兴趣的伙伴不妨前去了解一下。
在文末,我们让星盟安全团队最后再跟大家说几句话:
“星盟安全团队不仅是一个技术爱好者的社区,更是一个充满温暖和支持的大家庭。我们尊重与珍视每一位成员,并乐意与成员在技术的道路上相互支持、共同成长。我们期待与更多志同道合的伙伴携手,一起探索技术的无限可能!”
球分享
球点赞
球在看
点击阅读原文查看更多