网络安全行业从业指南
次性付费进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:460500587
微信公众号:计算机与网络安全
ID:Computer-network
先从甲乙方说起,乙方分为2B和2C两类,这里主要说2B的部分,因为2C中的大部分更适合归入互联网行业。IDC的报告称2018年中国企业安全市场约200亿RMB,相对于互联网、游戏等其他领域而言显然是个很小的市场,所以安全公司不会像互联网领域的创业公司一样遍地开花,会受到整个市场容量的限制,对于乙方,如果不是360,那就是启明、绿盟、天融信这类公司了(名字太多不一一列举,如果您所在公司营业额很高而未出现在此列请不要生气,这里并无意去关注具体的公司)。有人会说以后乙方可能还会有BAT的安全团队,没错,但从做的事情而言,即便阿里云安全成了乙方安全,但实际上做的事情对于从业者而言还是甲方做的那些事情,因此在这里就不把他们归入乙方了(此前,这些甲方为了做2B的业务也招募了一些在传统乙方做售前和销售的人员)。对于乙方做的事情,从厂商角度看可能会有一系列的产品和服务的创新,但对于从业者而言其实跟以前差不太多,至少在可见的时期内还看到不到质的变化。如果您一定要在乙方寻求点不同的体验,那就去互联网安全公司的非传统安全业务,或者去传统安全公司的互联网业务线。再看甲方,应该是比较乐观的,这是一个跟企业安全市场盘子无关的领域,随着企业开始重视安全,甲方会有更多的安全职位,并且安全职位会多样化,这里应该是一个比较广阔的空间。甲方、乙方之外是学术研究领域。
如果您尚在考虑要不要进入这个行业,这里提供几点参考。据观察,10多年以来在同一个公司同一个级别上的工程师,大多数安全比运维和开发的工资高,但CTO大多来自运维和开发,鲜有从安全晋升来的。原因不难理解,安全在不少场合都不是必需品。好或者不好因人而异,事实上身边还是有很多安全技能很高的人表示如果再给一次选择的机会,可能不会选择安全,这其中包括耳熟能详的大牛们。有一个方法可以自测一下,如果您内心深处都没有偶尔想入侵一下,黑一下,一探安全究竟的时候,建议您还是考虑其他行业,您在这个行业能发力的可能性不大。
从从业者的构成看,可以分为黑客圈、安全圈和安全圈的外围。黑客圈无论您喜欢叫他白帽子还是什么,总之就是以攻防技能为主线的人。安全圈跟黑客圈交集很大,也包括那些在安全行业的主要力量但却不是白帽子或黑帽子出身的人,这两类人构成了安全行业的核心,即本质上安全行业是由理解网络攻防的人为核心构成的。外围是什么呢,随着安全需求的多样化,安全会引入大量跟攻防不直接相关的人,比如做业务安全数据分析,运维Hadoop集群或做BI的开发,或者做安全产品开发,这些人本质上不是跟安全行业强绑定的,例如有的人做安全产品的UI开发,换做去其他行业也一样做UI,做业务安全数据分析的去非安全的业务部门一样做数据分析,不是严格意义上安全行业的人。只有以攻防为主线,和以安全咨询体系为主线的人才是跟安全行业绑定的,这些人需要考虑终生投产比和基因决定理论对自身的影响,而外围从理论上讲跨行业更容易些。在当前时间点看,安全圈是一个很小的圈子,不是远小于,是远远小于运维和开发圈,江湖味道更浓,有时候也颇具文人相轻的味道。不过好的一面是互联网公司之间安全团队的交流越来越多,除了直接敌对公司外,大部分人都朝着更加开放的沟通和分享文化迈进。说了这么多,如果您想进入安全行业,并且成为中流砥柱,那么知识结构和背景技能应该和攻防技术强相关,这条线不保证您容易成为高管,但从统计学角度能保证您不偏离行业的核心。
下面谈一下安全管理的趋势,因为这个会影响从业者的价值观和学习方向。有如下几个趋势:
(1)企业安全管理最终都会向互联网公司学习。未来大多数公司都会复制自己业务到互联网,也就是大多数企业都会拥有互联网的属性。从现在看,互联网公司的安全管理方法论是领先传统公司整整一个时代的,完全不在一个量级上。您还在做传统的安全吗?夸张一点说您就快不属于这个行业了。
(2)向云迁移。云是一种趋势,虽然不认为短期内马上会有非常多的公司将自己的业务迁移到公有云上,或者从头打造私有云。但是云计算折射出的IT管理方式、技术架构却会越来越成为安全管理的风向标,例如分布式IDC管理、虚拟化、SDN、海量运维生态、业务伸缩、大数据、高度自动化、敏捷发布……等很多带着时代标签的东西,安全管理体系的设计和产品化落地需要越来越多地围绕这些特性标签展开工作,如果您没有这方面的经验,也会逐渐落后。
(3)倾向于以技术和产品(工具自动化)解决问题,而不再是以前宣扬的七分管理三分技术。看近些年的IT技术发展,本质上由Google、Facebook为代表的这些互联网公司带动,除了技术架构,像运维管理、研发生命周期管理、安全管理都在成为其他公司的教科书,安全的最高境界是让您身处于保护之中而不感觉那些繁琐措施和流程的存在,以技术、自动化、机器学习、人工智能为导向解决问题的价值观已超越流程制度的落后方式,这也是过去那些理论标准越来越显得发虚的原因。
从这些趋势看,如果您是体系架构型、技术复合型人才(俗称全栈工程师),特定技术方向专攻型人才以后会受市场青睐,而“务虚型”人才的市场价值可能不太乐观。随着2000年后安氏把基于资产威胁脆弱性风险评估方法论带入中国,精通各类安全标准的顾问身价一度比会安全技术的工程师高,但现在这些东西包括IT治理的理论已经远不如以前风光,您说您会ISO27001,随便找个聪明点的刚毕业的本科生,做一年也就会了。但如果您说“我有10万台服务器的安全管理经验”,对方可能会表示“小伙子,来我们这上班吧!”。让会攻防的人学习ISO27001、20000之类的东西,这就是可替代性。很多同学看到这些也许会觉得哀怨,甚至咨询圈的老人会列举一大堆“价值”和“空间”,就像《浪潮之巅》所说的,这些都是时代的趋势,不是以个人意志为转移的,哪怕是公司想拒绝它都如同螳臂挡车。为什么在互联网公司技术专家的报酬可以比管理人员高,取决于您解决问题所对应的价值层次,实际上也是时代演进的产物,也许现在更缺能解决实际问题的人。从就业的角度讲,这种趋势为技术从业者提供了更广阔的前景和空间。
对于乙方,比较有价值的地方是研究部门、安全服务、攻防强相关产品研发。对于甲方,除了大互联网(门户、搜索、广告、电商、网游、社交、支付、移动APP……)、金融、电信行业之外,其他(就目前来讲)可能不是甲方安全从业的好的选择,毕竟形式上重视安全和本质上重视安全还是两回事。现实生活中的人员分布也可以佐证这一点,国内比较懂安全的人绝大部分都在互联网公司,第一梯队BAT、第二梯队BAT之外的知名互联网公司(有些兄弟单拉出来绝不比BAT的差,这里主要是笼统的比较),第三梯队可能在金融和电信业有一些,再剩下来可能没有太懂安全的人了,因为懂安全的早就被上述公司挖光了……甲方安全建设的多样性也使得分工越来越细:网络与基础架构安全,业务与应用安全,风控……,例如SRC运营就是一个相当垂直的细分职能,尽管在互联网公司做安全您可能会有优越感,但如果长时间做很细的一块儿也可能导致没有成为领域专家却“偏科”得很厉害。T字形人才通常比较受欢迎,最好是甲方乙方都呆过,那样所有的套路您都会了,无死角。
价值一方面跟人才市场的供求关系有关,一方面也跟学习成本高低、获取技能的难易度有关,例如您会一种Web开发语言,JavaScript,HTTP协议,常用的SQL DML语句就能开始玩Web安全了,但如果您想玩溢出,相比之下还是需要花更多的时间学习更多东西才能越过这个门槛,而读懂ISO27001则容易的多(这里无意于表达Web和二进制谁更牛叉,谁更值钱这样的无聊问题,只是举个抽象的例子),如果您觉得因为钱多而把自己的目标设定为要走大牛的路,而忽视了自己的兴趣,fail的可能性比较大。另外,技巧永远不能代替技术,过分迷恋于技巧对长足的发展没有好处。
第一代安全从业者的技能基本以OS和网络安全为主,1.5到第二代以广义的Web Service等应用安全为主,如果一定要说第三代,移动安全可能还算是当下比较热门,关注者比较多,相对前沿。而从VC的角度看,移动互联网可能都不再是热点,早已开始布局更下一代的东西了,也许是类似于人工智能这样的领域。PC端和Web安全虽然研究者众多,议题众多,方法论很多,大多数行业内的从业者每天围绕这些工作,但这些应该即将归入红海,不再属于前沿的、时代浪潮之上的东西。反过来说一个蓝筹但不再新兴的市场,其对安全的需求还是有一个很高的保有量,所以有很多事情可以长期做但也许之后就不再是什么有新鲜感的东西了。第一代的人起步的时候,那时候IT基础设置和应用复杂度都远不如现在,所以那时候都是把安全建设放在网络和系统层面的。而后来随着IT在社会生活中实用化的程度越来越高,业务越来越多的依赖于IT,I的多样性和T的复杂度成倍提升,使得安全的需求也越来越广。单个从业者的技能不太可能通吃全部,大一点的机构开始把业务安全独立出来,分工越来越细,人研究的内容则越来越专,安全团队中开始加入开发和运维,甚至还涉及硬件领域,也许以后的安全团队就是一个什么人都有的兵器库。对个人来说一方面您到底需要多前沿的铺垫才能不落后,另一方面则要考虑将自身定位收缩于哪些点才可能挖到最深。视野一定是尽可能的宽泛,是一个“放”字,但落到实践一定是个“收”字,以如今的技术复杂度您不可能样样都精通,只能挑几个。
对于从业者的前景,其实在过去相当长的时间里,由于乙方公司的净利润很低以及甲方安全不是产生收入的部门,从业者的前景一度比较暗淡。直到后来有了360这样的公司,有了BAT的崛起,才使得技术从业者的待遇得到了极大的改善。斯诺登事件曝光之后,国家层面开始重视网络安全,以华为这样的企业建立安全能力中心为代表,2014年安全人才需求开始井喷,供求比大幅失衡,国内资深从业者的工资已经赶超了美国的工程师,在当下看是一片利好,但有时候也说不清这到底是价值回归还是有点泡沫成分,但短期内一定是人才供不应求,长期供不应求也很难说,因为现在越来越多的高校也开始培养安全方向的人,供给量会变大,安全会从小众变成大众学科。当然,无论什么时候,这个行业的精英一定是跟兴趣和天赋挂钩的,有时候确实需要一点“歪门邪道”的天赋。
关于创业,如果您原先是做安全产品研发,能带一支完整的团队出来,做的产品属于下一代类型或者干脆就是市场空白,不妨尝试一下,其他的类型认为创业的成功率应该比较低。
最后,如果您有条件的话,多接触技术大牛和资深从业者,适当关注一下安全以外的新技术趋势。这时可能会有聪明的同学提问,说的这些是不是可以概括为最优解应该是去互联网公司做安全?其实不然,甲方乙方在不同阶段有不同的需求,没有哪里一定最好之说,哪怕是BAT对有些人来说也是瓶颈之地,所以还是看具体场景。
有几个方面是值得关注的:
(1)从传统的乙方专业安全公司到大型互联网甲方的视角转换问题。
(2)纯安全技术和业务的结合点。
(3)安全研究如何转化为实际的价值。
乙方安全公司是甲方获取安全人才的重要渠道,主要基于他们在安全垂直领域的积累,但不同之处是甲方和乙方思路、方法论、KPI导向都存在较大差异。现在的市场已经不是过去乙方明显强于甲方的时代,如果带着原来乙方的交付思路和做事风格去直接落地,恐怕是没法软着陆的。乙方往往追求的是通用型的解决方案,广而不深,重于安全而轻于业务,为了交付验收更多地追求可用性而不是检出率,为了避免线上系统的变更风险很多有实际意义的功能不会开启,而甲方追求的是最终“能睡好觉”,更看重结果,看重对业务面的影响。即便是去“忽悠”,甲方和乙方安全工作者忽悠的方式也是完全不同的。
乙方眼中的安全体系虽然比较系统,但更多是基于咨询视角,不是由甲方的实际业务场景抽象而来的,如果拿乙方的模型直接去套甲方现实中的工作,可能在安全工作的“分类”和“比重”两个层面都无法一一对应。
乙方解决方案更多的体现为理论上可行,而不是实操上可行。在互联网行业,理论上可行的方案如何转化为有性价比的、可实现的安全方案需要在各种维度进行考量,而不是在网关上放一个硬件盒子或改一行代码那么简单。乙方眼中的正确解不一定是甲方眼中的合理解,是否正确合理并不是简单的由“是否能修补漏洞本身”这个命题决定的,而需要综合考虑以下问题:对现有系统的改动成本,对架构的变更影响,与现有安全系统的结合程度,以后对同类问题解决的扩展性等。
传统的建设思路和互联网行业也风格迥异。单点型安全措施如何转化为系统化、平台化的、治本型的防御手段需要建立在了解具体的业务类型之上,中高端职位的招聘要求上往往都有一条叫做“沟通能力–推动安全策略落地”,那到底什么样的人才有真正的推动能力?EQ高善用人际关系算?这只是野路子的一个分支罢了,并不是真正意义上能力,能上得了厅堂的推动能力是您很熟悉互联网公司的运维和开发,熟悉所有场景的风险缓解措施对业务面的影响,并且知道当安全给运维和开发带来阻碍时,运维和开发在新的安全机制下对应的自我改善措施是什么,在推动安全策略时就能无往而不利。比如当安全拦截设备降低系统的并发能力的时候,您了解哪些是比影响到用户的每个请求应答时长难以改善的,哪些是吞吐量可以通过堆机制改善并发用户总容量的,如果您只有一个解,往往相当于给运维和开发出了没有选择的难题,而你又不能提供对应的解决方案,那结果自然是僵持不下。
乙方的同学如果想在甲方平滑过渡,就需要学习上述各种能力,同样,甲方的同学也应根据乙方同学的特点为他们寻找更好的环境适应渠道。
在安全大会和媒体上曝光量最多的是安全漏洞和单点型安全新技术,从互联网营销的角度,没有任何专业知识的普通网民可以把网络安全等价于“黑客”“漏洞”等惹眼球的名词,但对安全从业者来说却不是。站在镁光灯下炫技的技术跟现实环境中的安全设计之间是存在较大鸿沟的。尽管从历史上来看是攻击技术促进了防御技术的发展,但一个很现实的问题是实际上大多数人都是安全工作者,而非职业入侵者,所以研究的成果如何转化是很有挑战的问题,例如Google的3篇map-reduce、bigtable、GFS论文带动了整个行业的技术发展,安全方面也开源了Native Client沙箱(Google的一个sandbox项目)这样的项目,国内的安全研究者是否也能往这个方向稍微转一转:提出问题,同时提供一个更好的解决方案。从利益的角度看,一个好的解决方案往往是一个商机。
在大型企业,安全研究应该如何贴近业务产生价值是一个系统性方法论。
当前安全从业环境持续火热,公司高层对招募高端安全人才的价值,安全圈内的大佬们对安全工作价值的定位和认知,广大从业者对自己的定位和发展方向都会在意识形态上产生新一轮大清洗。在企业内部如何消化并用好已经招募的安全人才也是对管理者很有挑战的问题。
微信公众号:计算机与网络安全
ID:Computer-network