CMU Heinz MSISPM 介绍

avatar 484431
RingFa1l
3834
29
马上毕业了又遇到打听ISPM项目的后辈,想到当初自己也是手握好几份offer充满好奇欣喜和纠结,到处发post提问,翻遍各个搜索引擎看烂了每一篇有关这个冷门项目的分享,然后时常因为可能是作者无意间提到的小细节耿耿于怀,把或许是实际上对自己没什么影响的点作为选择衡量的重要因素。虽然接下来的描述可能或多或少依然会带入我的主观感受,但是希望尽可能全面地介绍下这个项目以及我经历过的CMU和信息安全有关的课程~

首先MSISPM项目全称Master of Science, Information Security Policy and Management,是CMU Heinz college下面的项目。虽然可能在学院里走来走去随处都是国人和印度人,因为mism和bida占了多数,但是ispm项目因为是信息安全专业加上没啥人听说,所以主要还是美国人,不过不用担心录取的时候肯定会考虑到diversity所以各个国家都有零零散散的几个~项目一共两年8月开学5月毕业一共要修192学分,平均每个学期48但是也可以某个学期多选几门之后少选几门。组成是必修课,security选修和其他选修。总的来说选修没什么限制,只要多多少少和安全沾点儿边都可以算是security的。唯一的限制应该是课程号第三位需要是6以上的,比如大名鼎鼎的15513就不行因为不是研究生的课程。但如果想上csapp也可以选择18613,一般著名课程都会开本科版本和研究生版本,内容其实是一样的。另外我本来想去上ini学院的introduction to security课,但是问了advisor Randy说因为和必修的heinz的introduction to security重复了(其实并没有,ini的硬核多了==)所以说别选,但是我个人感觉如果选了最后也还是会算学分的(没有尝试了后来)。最后可能Heinz也知道自己课水所以标准是48学分一学期,大部分学院里的课是半个学期的6分课,ini或者其他工院都是36一学期,没有什么6分的课,所以如果想拉满快来Heinz然后选4门别的学院的课hhh

开学前会有一些必修课可以通过考试免修,比如python,经济学之类的,基本上是看几天ppt就能过,可以省下不少学分去选自己想选的课。必修课感觉分为信息安全的技术课,安全政策管理课,以及一些笼统的信息系统或者基础课。没有什么好到呱呱叫的技术课,如果本身就熟悉cybersecurity可能会觉得学不到啥x,大多都是在写paper(顺便安利大家用overleaf写作业,格式处理比较方便~)。policy啊governance啊是真的无感,但是可以多多少少了解下信安常用的framework比如nist什么的,然后继续锻炼编作业的能力(不是。最后信息系统就是一堆mism之类的也会来上的必修,有些云里雾里不知道最后讲了个啥,有些浅显易懂的道理能这样讲讲那样讲讲,有些还挺有意思,有些也比较煎熬,不过都见仁见智,自己的体验和别人描述肯定会有差别。基础课有writing啊speaking啊,锻炼下挺好,实际用处大不大就还是看情况啦~

下面说一些值得讨论或者吐槽的课~
heinz的选修:
95-883 Ethical Penetration Testing 大家公认的唯一heinz好课?第一个作业是互相社工hh(然后窝沉寂多年的羞耻博客就被翻出来了x),后面都是渗透主机的lab,其实主要还是工具的利用,大部分是metasploit扫出陈年老洞然后提权或者横向移动,就上课讲的技术一个个试过去差不多。终究还是个6分的课没法过于深入吧,但是依然会有和日站一样卡住的时候,最后可能发现只是自己眼瞎没看到flag:)最后组队日一个网段,我们队在俩大佬带领下直接横冲直撞拿下了所有flag嘿嘿x。课程中途还有个bonus是写一个给heinz难用的stepfoward环境里的虚拟机传字符,还是挺有意思~写好了之后可以往里穿工具之类的。
95-759 Malicious Code Analysis 也还可以~比reverse更high level一点并且包括了更多知识面。每周一个三四个问题的作业,每两周一个lab,相比其他mini的6分课还是可以也挺有意思。最后组队present一个自选topic,需要带demo,我们组讲恶意PyPi包居然整了个最高分x,最后还有个自己找时间做的exam,内容属实挺丰富~
95-884 Network Defenses 各种firewall/Wireshark/splunk之类的网络分析工具使用,有时间有学分可以去选ini的aia,大概是扩展版。
95-889 Applied Threat Analysis 听说不错,下半学期上,上完有机会来更ing
95-810 Blockchain Fundamentals 不咋推荐。。上课来来回回地讲区块链基本知识,最后只有一个project但是最后直接给了成绩,分数和feedback都不给呜呜。project可以是超长paper或者实际做出来的东西,但是如果只听课大概是不知道咋写代码的x

硬核课:
18-613 Foundations of Computer Systems 15213/15513同个系列,开在ece下面,感觉没有必要多说,推荐就完事了,不过上之前补一补c吧如果不熟的话QvQ。如果觉得不够有意思,可以去和各路神仙卷每个lab的排行榜hhh,然后也可以给自己起奇奇怪怪的名字之类的(才不是窝x
14-819 Introduction to Software Reverse-Engineering 超有意思的逆向~每次作业都好有成就感!虽然更多时候是瞎蒙不知怎的就出来的。从看汇编到静态调试,动态调试,patch,脱壳,还有instrument之类的,都是上手实践的快乐。最后的project是从头开始全面地分析一个malware,搞笑的是分析过程中一直遇到乱码,最后用gbk解码才发现居然是中文,笑死。所以是一个来自祖国的malware,甚至其中的c2功能命名都是拼音首字母,属实是加密通话了hhhhh,最后直接拿了满分,好耶,可能分析的比老师还透彻吧(没有。这课还有期中和期末考试,其中全是看汇编,包括没学过的古早汇编qaq,期末是24小时的小lab,紧张刺激x
14-735 Secure Coding PWN题并不是很难,应该没有常见ctf的难,往往只是一个知识点,只要对着hint找课件或者课本看都能找出漏洞。Group的题会有一些难度,经验就是刚开课做survey的时候填自己啥都不会,这样有很大概率会给你匹配一个大佬队友(实测有效),只要队友够大佬,group题就变成了大佬的单方面教学活动(捂脸,甚至自己参与感都降低了x。然后会有一个自主组队的break it/build it,但是我们这年好像创新来着结果我们被创了:)要demo没demo要test没test,连问问题都挑着回,ddl一个接着一个。最后我们组凭借暴力brute force把大多数组都break了,然鹅本来说好的之后会公开所有report最终也毫无音讯==出成绩后campuswire上一点动静都无了orz发post也没人回。平时谁在上面发个所有人可见的问题,大佬回复的总是比TA还积极x
14-828 Browser Security 每节课前写一篇paper的读后感,最后养成了速读paper根据Abstract自己yy内容并有理有据地总结评价的神功(不是。有一个贯穿始终的project,最终成果也是一篇ieee format的paper(看上去。秘诀就是选cookie(指网页cookie)然后presentation用看起来好吃的cookie图片引诱prof就可以满分嗯。总的来说包含的内容还挺丰富的,从website security比如CSP,CORS到browser security比如sandbox之类的,讲课基本上也是介绍paper内容,后面有好多guest lecture。

其他:
想精通底层可以去选16学分的OS,prof会贴心的建议你别选,然后头铁的同学就成了过了这课的heinz第一人,还拿了A,orzzzzz
还有个ece的network security应该也挺好的,反正比heinz这课高到不知道哪里去,但是和讨厌的必修时间冲了哭
ini的aia和forensics
静态分析之类的也有一门课来着

课程就是这样,找工作方面还是得靠自己,感觉时运>>>>>能力>学校,哭。大厂都freeze作为ng是真的没办法,哪怕defer的一年好说歹说也是一年full time experience。小厂对于infosec的工作要么就是要clearance要么就不sponsor visa,难顶啊。学校的career fair也讲道理帮助不大,上次参加了一个info session一说需要citizen或者green card人就都走光了。但是转sde的话或许会好点儿,总而言之安全岗也可能会考code,还是保持刷题吧。

小破堡生活平平淡淡,中餐还是比较丰富,tepper门口的外卖也是真的敬业。

来之前想哇我要来CMU啦我的未来一片光明,我要选一堆硬核课我要去成为PPP(CMU的ctf team)的中流砥柱我要拿funding去各种conference。。。最终逐渐回到了社恐本质变得怠惰,往往纠结再三还是去群里问啥课比较水呀,ppp的周五meeting最终只最开始去了一次,也再也没认真看过ctf,也没有机会去心心念念的defcon或者blackhat。哇。每天只是在焦虑为什么没面试为什么没offer啊咋办呀。又菜又懒是这样的,想着要介绍介绍专业结果又变成了自怨自艾的碎碎念呜呜,再写要自闭了orz

就酱。走过路过可以加个米蟹蟹!欢迎留言问题~
  • 18
29条回复