2022年终总结:突破与成长的一年

又到了年末,回顾这一年,经历了不少,也收获了很多。作为一名安全工程师,今年在技术上有了不少突破,同时也更清晰地认识到了自己的不足。

技术成长

今年主要在以下几个方面有了深入:

  1. 容器安全

    • 深入研究了Docker和K8s的安全机制
    • 完成了几个容器逃逸漏洞的分析复现
    • 参与编写了公司容器安全基线

  2. 渗透测试

    • 重点突破了Web应用安全测试
    • 掌握了几个不错的自动化工具
    • 完成了3个重要项目的渗透测试

  3. 安全架构

    • 设计并实施了一套完整的堡垒机方案
    • 优化了公司的WAF规则配置
    • 建立了比较完善的资产管理系统

踩过的坑

说实话今年也踩了不少坑:

  1. 一开始在做安全架构时,过分追求"完美"方案,结果方案太重太复杂,实施起来困难重重。后来明白了,安全和业务的平衡才是关键。

  2. 在做渗透测试时,有次太依赖工具了,错过了一些需要手工测试才能发现的漏洞。这件事让我重新思考了自动化与手工测试的平衡。

明年的计划

展望2023年,给自己定了几个目标:

  1. 技术深化

    • 深入研究云原生安全
    • 提升代码审计能力
    • 学习AI安全相关知识

  2. 实践目标

    • 至少完成一个开源工具的开发
    • 争取找到一个高危漏洞
    • 写8-10篇技术博客分享

  3. 能力拓展

    • 考个CISSP证书
    • 学习一下威胁情报分析
    • 提升下应急响应能力

一些思考

这一年最大的感悟是:技术确实重要,但思维方式可能更重要。安全不是单纯的技术问题,而是要考虑业务、考虑效率、考虑成本。

明年打算在深入技术的同时,也要多看看安全架构和管理方面的东西。毕竟越往后走,越发现安全工作是个系统工程。

最后,明年除了技术上的提升,还要保持学习的激情。这个圈子里,技术更新太快,不学习就会被淘汰。好在遇到了不少志同道合的朋友,一起学习、一起进步。

希望明年这个时候再写总结的时候,能看到一个更强大的自己。

写这篇总结的时候,翻看了下今年的项目记录和学习笔记,还挺感慨的。继续加油吧!