信息安全卡尔达舍夫量表

卡尔达舍夫量表是一种根据文明能够使用的能量来衡量技术进步水平的方法。 我发现自己想知道这样的量表是否可以应用于我们这些从事信息安全工作的人。为此，我广泛研究了我在 Twitter、LinkedIn、Discord、Slack 等平台上的情况，并尝试根据他们对信息安全领域的贡献如何对其进行分类。

级别 1

级别 1 正在积极尝试打入该领域或仍然是新手——也许只是从全日制教育毕业或作为职业转变进入。他们从现有资源（课程、书籍、视频、导师等）中学习，几乎永远不会贡献任何新的东西。

这一阶段的目标是对他们的研究领域有一个很好的基本了解——要么找到他们的第一份工作，要么胜任他们已经获得的初级职位。

一旦进入某个职位，那些接触过更丰富、更多样化经验的人通常会比没有接触过的人成长得更快。

级别 2

级别 2 对他们的领域有扎实的背景知识，这使他们能够扩展自己的思维。如果一个级别1 被教导 A = B 和 B = C；级别 2 有足够的经验和意识来得出结论 A = C。这可能不是一个很好的例子，但如果你曾经提出一个新想法并问自己为什么以前没有想到它，那么这个可能是您的知识增长的一个例子，允许您形成以前遥不可及的链接。

这个过程允许级别 2 开始独立扩展他们自己的知识——挑战假设，提出并测试他们自己的想法，构建各种脚本或工具集，并将他们自己的曲折添加到现有方法中。其输出可能会被其他人发布和消费，这通常代表他们对该领域的第一次有意义的贡献。

级别 3

级别 3 是优秀的实践者，他们具有极强的落地能力，具有出色的解决问题的能力。他们通过投入大量时间和精力进行安全研究（独立或建立在其他级别 3 和 4 的研究基础上），从而将自己与级别 2 区分开来。

这方面的两个例子是 Will Schroeder、Andy Robbins 和 Lee Christensen 的“An ACE Up the Sleeve”和“Certified Pre-Owned”白皮书。这些是特殊的，因为它们暴露了在其发布之前没有人关注的新攻击面，这对我们如何查看、测试和审计围绕这些组件的安全控制产生了深远的影响。

级别 4

级别 4 是纯粹的天赋安全研究人员，比如360的Zhiyi Zhang等。他们多数据时间都用于发现各头部企业0day类的漏洞，并将其报告给相关供应商，并和从事同类工作的其他人差距明显。并会创造一些全新攻击方式，成熟的工具等。

原文始发于微信公众号（军机故阁）：信息安全卡尔达舍夫量表