诸子笔会2022 | 肖文棣:网安这碗饭
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
网安这碗饭
文 | 肖文棣
肖文棣
晨星资讯安全架构师
晨星资讯安全架构师,负责应用安全设计、管理和评审等工作,OWASP中国广东分会负责人,华中科技大学软件工程专业工程硕士学位。
百万年薪不是梦,圆梦还要有真功。这是一句来自某安全大咖说的话,但是实际上,网安有多少人可以达到这个梦?或者说是不是网安人追求的都是这个梦?网安这碗饭究竟是什么?
有人说网安这碗饭是职场、考场和战场,但是实际上是不是这样的?每个人心中都有一个哈姆雷特,对于网安人来说每个人也是不一样的,不可一概而论。
职场
网安是一门职业,可以细分很多领域,就我知道的有应用安全、安全运营或者运维,有合规、数据安全、隐私保护等,每个领域可能又有细分,虽然有所谓10000个小时的定律,但每个人是不可能将每个领域都做成专家的。所以大概有两种思路,一种是追求知识的广度,这种情况下各种知识都懂一点,但是都不精通;一种是追求知识的深度,专精某个细分领域,力求在该领域成为专家。
一般来说追求广度的人会擅长沟通,未来之路可能是走向管理方向的,比如安全负责人或者安全总监之类。对于这类人来说,我觉得安全的管理人员与其他行业的管理人员实际上差别不大,无非就是讲究管理的平衡,归根到底还是人员管理、钱财物等。同时对于管理人员,特别是高端管理人员,百万年薪真的不是梦。
还有追求深度的人会喜欢钻研技术,未来之路可能是走专家方向,比如目标是安全实验室的资深研究员等。这类人员是真正的专家,虽然我们目前存在就业年龄的限制,但是我觉得对于资深专家,只要行业一直存在,他们就一定会有职业发展之路。因为他们就代表了行业的最高水平,不管在什么公司都会受到欢迎。而且对于安全专家而言,特别是攻防方面的专家,入可以当顾问,出可以当白帽,实际上工作自由度是非常大的。
大家看那些顶尖安全会议上发言的人员,哪个是管理人员?大部分都是真正的安全专家。同时对于这些专家来说,收入也是颇菲的,年薪百万同样不是梦想,甚至一个专家发现一个超级的漏洞,从一些大公司拿到的奖金都非常高。
从职位的分布来说,管理岗位是很稀缺的,所以竞争会非常激烈,还会涉及很多人际关系,高层的管理岗位不乏勾心斗角,这个时候人活得可能会比较累。安全的管理岗位还害怕背锅,动不动就说自己是背锅侠。而技术岗位是自身修炼的,修炼成功了,做出突出成绩了,你就是专家,这和你的公司没有关系,而是你自身的硬技能。两者比较,相信聪明的你知道怎么选了吧。
考场
为什么说安全是考场,我通过个人的经历给大家说一下我的见解。
我算是半路出家做的安全,之前是开发人员,历任开发组长、开发经理、架构师等岗位,最后转行做安全架构师。所以我对于安全是有点一头雾水的,最开始顶多就知道一些黑客故事,也曾经幻想当黑客。现在偶然因为组织架构变动冲进来安全这个行业,所以我觉得学习很重要,那么怎么学习呢,考证就是很好的学习。
我认识安全圈的一个牛人,真是考证狂魔,安全相关的证书都考取了,真的很佩服。我最先考取的安全认证是CSA的CCSK,当时系统参加了CSA组织的线下培训工作,然后考取了这个认证。在CCSK的学习过程中让我系统学习了云安全的相关知识,对我后来AWS的学习也是很有帮助的。
接着考的认证是CISSP。我个人觉得这个认证非常关键和有用,我同样也参加了线下的培训。CISSP将安全分成8个领域进行系统教学,通过对CISSP的系统学习,我感觉自己对安全的理解成体系了,可以说清楚安全是什么,安全应该包括哪些内容。
实际上网上很多资料很零散,没有成系统,所以对于一个新入门的人员,就应该考虑进行系统学习,同时通过考证来证明自己的能力。这个对于自己未来的发展是非常重要的。
对于安全是考场的说法,我的理解是安全本身是考场,考验你自身的能力。在安全这个领域你会面对很多挑战,你可以认为他们都是一次又一次的考试,并且你会通过一次又一次的考试来证明你的能力。
同时为了应对这些考试你要不断地学习,考证有时候就是一种很好的学习。我们不能以考证作为目的,而应该考虑考证的过程,特别是学习的过程,这个非常重要。
战场
网络空间是国家的第五主权空间,网络安全涉及国家安全,在这个层面上,说网络安全是战场是一点都不过分。
同时网络安全也涉及企业的核心利益,如果企业受到网络安全攻击,可能蒙受巨大的经济损失,比如勒索病毒。还有因为网络安全出现重大事故而遭受巨大罚款的,根据现在的《网络安全法》《数据保护法》和《个人信息保护法》,罚款的上限是5000万人民币或者企业全球营业额的5%。所以网络安全不是小事,而是大事,对于企业来说,网络安全也是战场。
对于关键基础设施和重大企业,国家定期组织攻防演练行动,攻防演练也要按照战时的标准来要求。对于攻防双方,此时就是战场上的较量。
孙子说,兵者,诡道也。所以战场上的手段是让人防不胜防的。比如钓鱼邮件,每个人都会收到钓鱼邮件,如果一个不慎可能就会给我们的防线带来缺口。还有供应链攻击,也许你本身没有问题,但不代表你的供应商、你的上下游没有问题。所以作为网安人员更要打起十二分的精神,平时多流汗,战时少流血,要依托公司每个人的参与,才能共同打赢这场安全战争。
网络安全为人民,网络安全靠人民。所以网安人员要牢牢依靠人民战争的利器,才能让自己在网络战争中不至于孤身作战,而可以得到源源不断的支持,这个观念非常重要,每个网安人员都应该有这个观念。
安全是为业务保驾护航的,毛之不存皮将焉附,业务不存在,安全做得再好也是没有价值的。安全不是高高在上的橡皮章,而应该是业务的左右手,是业务的专家顾问,能够帮助业务更好地成长。这才是安全之道,也是我认为网安人员应该做到的。
战场上孤勇者只能是悲壮的,只有天时、地利、人和,有源源不断的支持,才能在战争中笑到最后。
总结
安全这碗饭,我们要端好、端正了。网安人员的角色要定位清楚,打铁还要自身硬,千磨万击还坚韧,任尔东西南北风,我自岿然不动。
【11月主题:考场,战场与职场】
【10月主题:过与不及】
【9月主题:查漏补缺】
【8月主题:红与蓝】
刘志诚 张永宏 王忠惠 孙琦
肖文棣 孙瑜 杨文斌 陈圣 回顾
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣
朱文义 杨文斌 孙琦 陈圣 回顾
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在