自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。14位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会2022.11月回顾及盘点。
安在征文活动11月主题:考场,战场与职场
在累计21天的征文星球打卡中,9位笔会专家共计打卡119次。网络安全行业在近年来颇为火热,其高昂的薪资待遇让不少人瞠目结舌,也动了进军网安行业的雄心。实际上,当前网络安全行业人才匮乏,供不应求,其核心原因在于网络安全岗位对于综合性能力的要求极高。对此,9位专家针对网络安全岗位所需技能,网络安全职业成长路线及网络安全人的社会价值展开了细致讨论。
在此摘选个中优秀观点,向各位分享。
►网络安全职业成功的第一站是岗位的成功,涉及到网络安全专业体系的复杂度,会有不同的专业领域。例如,攻防实战领域是比较热门的,无论是白帽黑客的漏洞挖掘、渗透测试还是破解、反编译、跟踪调试等系列ATT&CK攻击技术实战。也有建立安全防御基础设施三分之一天下的密码技术体系的技术研究,从身份认证、证书公钥、区块链到可信计算、隐私计算,同样具有广阔天地。还有以管理促进技术的ISO27001安全管理体系的审计与合规检测等,都可以走出同样精彩的道路。►网安是一门职业,可以细分很多领域,就我知道的有应用安全、安全运营或者运维,有合规、数据安全、隐私保护等,每个领域可能又有细分,虽然有所谓10000个小时的定律,但每个人是不可能将每个领域都做成专家的。所以大概有两种思路,一种是追求知识的广度,这种情况下各种知识都懂一点,但是都不精通;一种是追求知识的深度,专精某个细分领域,力求在该领域成为专家。►信息安全的职业方向主要有:攻击和防御,例如红蓝对抗,白帽,安全测试等;安全运营,这一岗位的需求量非常大,因为企业部署的安全设备需要持续维护策略才能正常运行,现在也有很多企业原则外包的方式;信息安全管理,如信息安全体系建设,信息安全官等,需要丰富的经验和全面技能,从技术到管理,从编写材料到汇报,以及抗压能力,安全意味着责任。以上是主要的几个方向,还有一些如安全风险评估、等级保护、应急响应、隐私保护等篇幅原因不再展开。►数据合规。随着近两年安全领域法律法规的持续完善,数据安全和个人隐私对于企业业务连续性越发重要。数据合规岗位不仅需要了解国家政策和监管要求,也需要实现各类安全监管技术补齐业务发展不足。体系建设。信息安全结构性要求既有技术的,也有管理的;既有攻击,又有防御;既有单点防御,也有整体弹性。体系建设岗需要掌握网络安全产品的应用方案,也需要改进各项安全防御对策。应用安全。信息系统的安全问题最终是通过技术改进和软硬件研发来完成的,管理方式不是终极状态。应用安全岗通过熟知安全编码技术和漏洞防护技巧,在研发流程中更好地落地安全技术应用。运营分析。网络安全事件分类繁多,处置流程复杂。通过总结各类事件的趋势规律,可以更好地消解安全风险。运营分析岗需要具备良好的数据挖掘分析能力,总结攻防规律和数据泄露特征,更好地改进安全流程。业务风控。业务面对的风险除了漏洞攻击和数据泄露,也面对占便宜、薅羊毛等问题。此中问题,不仅包括单纯的拦截处置,也包括如何挖掘对业务的有利面。业务风控岗通过业务防御与技术应用来降低各类资损的发生。产品研发。安全问题本身也是系统性问题,通过系统性工程和产品研发提供各类安全工具,提高了安全效率。产品研发岗位所需的技能除了编程开发,也需要具备安全技术的应用能力。当然,具备必要的安全岗位技能只是开展一段职业工作的开始,而要更深入地发展自己的兴趣和事业,就像游戏的冲关晋级,需要点亮更多的综合技能。►安全管理主要负责解读和推动满足法规和监管要求落地相关的工作,是甲方机构的必备岗位之一,毕竟满足法规和监管要求是安全的主要驱动力之一。安全测试是对安全要求落地效果的检测和验证,随着近几年网络攻防演练和CTF比赛的密集开展,甲方机构对安全测试人员也越来越重视。在安全开发方向甲方通常会借助乙方的力量建设和部署安全产品,自有安全开发人员主要负责项目管理等事宜。甲方在通过安全管理明确了内外部安全要求,建立了安全测试的流程和机制,部署了安全产品之后发现安全要求的真正落地还是依赖于业务应用开发人员。如果安全人员不参与到应用的前期建设环节,如立项、需求、架构、设计和开发等环节,是很难从根源上规避安全风险的。从组织机构方面来讲,安全开发人员可以分布在单独的安全团队中,也可以分布在业务应用开发团队中,也可以兼而有之。►在专攻网络安全途径之前,需要入门级的IT技能和经验,这是个毋庸置疑的事实,也是敲门砖,招聘网络安全专业人员的HR一直寻求的也是实践经验和技术能力相结合的人才。尽管担心经济衰退,但IT行业已经在过去证明了其对经济衰退的抵抗力。因此,想入行的人如果充满热情,那么现在仍然是开始从事此类工作的好时机。任何网络安全职业的基础是拥有强大的IT网络基础知识及IT和网络领域工作的经验,加上一些更专业的安全资格认证。
►职业成功是个逐层递进的关系,相对于马斯洛需求的五个层次,我把网络安全领域职业成功分解成三个层次。首先是岗位的成功,从职场小白到组织骨干,在岗位上要有扎实的业绩。其次是组织的成功,岗位是对本职工作的要求,到了一定阶段,要不满足于岗位的限制,从组织的维度看待网络安全对组织的威胁和机会,协同组织内不同部门,共同应对风险,抓住机遇,有了这个领域的成功,无论是晋升为公司管理层的一员,还是承担无管理职衔的领导者,本质上都实现了组织级的成功。然后是在网络安全行业的成功,对行业的发展创新、洞察意见以及人才培养等,具备独特的见解和体系化的思想,受到行业的普遍认可,达到了行业成功的层次。无论是作为网络安全行业的创业者,还是组织的CSO,甚或是某领域的资深专家,都具备行业领导者和传道者的美誉。►一般来说追求广度的人会擅长沟通,未来之路可能是走向管理方向的,比如安全负责人或者安全总监之类。对于这类人来说,我觉得安全的管理人员与其他行业的管理人员实际上差别不大,无非就是讲究管理的平衡,归根到底还是人员管理、钱财物等。同时对于管理人员,特别是高端管理人员,百万年薪真的不是梦。还有追求深度的人会喜欢钻研技术,未来之路可能是走专家方向,比如目标是安全实验室的资深研究员等。这类人员是真正的专家,虽然我们目前存在就业年龄的限制,但是我觉得对于资深专家,只要行业一直存在,他们就一定会有职业发展之路。因为他们就代表了行业的最高水平,不管在什么公司都会受到欢迎。而且对于安全专家而言,特别是攻防方面的专家,入可以当顾问,出可以当白帽,实际上工作自由度是非常大的。►理解公司的业务。围绕公司的业务发展需求开展网络安全工作,更容易获得业务部门和研发部门的支持。传统的结构式网络防御更多建立在网络攻防对抗和系统功能缺失的基础之上,进行网络能力和应用功能的补充。然而,Web应用、移动应用和后端技术的不足会在技术创新周期内随着技术应用的技术不断革新,新的攻击向量出现,旧的攻击向量也会消解。一层不变的防护技术难以满足新技术的应用,尤其新业务的持续创新和需求迭代,已有的网络安全会落后于新技术在业务中的应用。如云计算和容器等热点技术加快了业务迭代,也明显凸显传统数据中心安全应用的不足,新的网络安全应用需要更早地与公司业务结合。满足复杂性需求。不同类型的业务通常具有不同的复杂度需求。单纯的终端安全防护在办公终端、服务器、移动终端以及物联网设备面对的系统环境、设备功耗和功能需求是完全不同的。同样是数据防泄漏,办公网会更多面对即时通讯工具和邮件系统的数据外发泄露,然而服务器却要面对木马隐蔽通信和跨网络安全域下的代理自动绕过等数据传输问题,其他设备场景下的数据泄露就更为复杂。同一类安全问题具象表现也需要因地制宜地寻找不同的安全解决方案。
►敬业从爱岗敬业的角度一般会谈对岗位对企业的忠诚度,对职业的尊重与敬仰。这里拿过来重新诠释,被用来指代在行业中受到普遍认可需要对行业的创业和发展做出了自己的贡献,真正实现职业的尊敬、认可与融入。看到这个词,笔者想到的是稻盛和夫老先生的敬天爱人,而成功的最高阶段,是对网络安全职业的崇敬与奉献。如果前两个阶段的成功主要源于输入,无论是对专业知识的硬能力,还是对职业知识的软能力,在学、练、总结、思考、持续优化的过程中实现自我成长。那么第三个阶段的成功主要源于输出,对行业的思考、总结,创新向行业从业者的回馈,通过分享、共享、探讨,实现行业的繁荣与发展。这个阶段需要跨越行业的界限,站在网络安全行业的外面,以第三者的视角观察体会网络安全行业,从而发现不同的风景以及忽略的细节。Security有证券的含义,也是金融领域在大航海时代规避海运奉献的金融创新,如果去了解金融行业的历史,发现其中共通之处。当个人信息涉及到个人权利保护,当重要数据涉及到国家安全和社会稳定时,就会越来越多地从法律合规的视角看待安全的风险与责任,思考是否从法律的视角和维度关注安全。►一代人终将老去,但总有人正年轻。人到中年,正是在事业上爬坡越坎的时期,没有了毛头小子的争强好胜无谓冲动,更有中年人该有的稳健与厚重,知识和经验,阅历和内涵,站起来是一座山,躺下去是一座桥。责任、担当、义务、职责、操守、奋进都是应该具有的样子与秉信。在不同的考场,努力尽心不留空白,始终应该对得起初心与坚守;在随处可遇且没有硝烟的战场上,即便是过河卒子,也要左右冲杀奋力搏击、一往无前!因为我们身后有需要赡养的父母和以我为傲的孩子,有老有小不应看作压力,反倒是我们前行的动力与精神支柱。人生不是赛场,理想不容退场!于我而言,三尺讲台育桃李,一只粉笔写春秋,秉持教育要为社会负责,培养年轻人,能够让他们看到未来!►一旦员工离职,应该快速离开办公区域,不允许通过任何理由返回办公地点,虽然从情理上有点不尽人意,不过从安全的角度是必须的。在离开之前,企业需要回收员工持有的门卡、钥匙、出入证等身份证件,停用工作中所有的访问权限,回收各类办公终端及文档文件,确保不会出现信息泄露或潜在的破坏可能。在离职时,与员工面谈是必要的,恰当的会谈可以平复离职人员的心情,达成一段愉快的合作关系,起码不会在媒体上做出对企业抹黑和毁坏声誉的行为。每位员工都需要被认真对待,他们既是企业命运共同体的一份子,也是企业发展中的风险要素。在整个职场生命周期中应建立合理有效的控制措施,可以是行政管理类的,也可以是技术管控类的,持续动态平衡每位员工的贡献和风险。从信任到不信任,从外控到内控,全面掌控员工的行为意识,通过企业文化来感化员工不会行使恶意行为,通过技术流程来避免员工不会引发无意风险。►安全的最高目标是对业务保驾护航,所以专注某个业务方向对于安全开发人员的职业生涯发展来说是非常有利的。一方面需要了解业务的目标、业务对象的敏感级别并对不同的业务对象分类施策,协助业务找到既能满足监管要求和风险防护要求又能通向业务目标的道路,而不是一味单方面地提出安全要求;另一方面了解业务的背景知识有助于在双方沟通过程中减少上下文同步和对齐的成本,直达业务核心安全问题,快速形成安全评估结论。”懂业务“是安全开发人员从关注安全自身到关注业务发展的进阶标志,也是安全开发人员提升在业务应用开发人员心目中的良好形象的关键所在,毕竟双方对业务方面的风险防护更容易达成一致。►许多人注意到这是一个高薪、高潜力和迫切需要人才的行业,然而他们发现差距在于具有专业知识的经验和丰富的问题应对能力。网络安全行业已证明自己具有令人难以置信的适应性,笔者毫不怀疑该行业将创造出更多的工作角色。一些新人可以从以下三个方面入手:1、做一些基础性的研究。网络安全是大多数企业的基本要求,但其中有大量不同的工作角色。这些角色并不总是相似的,虽然可以在整个职业生涯中跨学科移动,但当开始时,就需要了解你所希望定位的领域。大多数人认为网络安全中的角色是渗透测试员或白帽子,找到漏洞或者善意地闯入计算机系统证明自己的能力,但是有些人的作用与此相反,比如建立强大的防御能力而不是试图找到漏洞。分析威胁、编写策略、提供培训甚至审核现有系统流程的人员也扮演着不同的角色。2、与一些行业资深的人沟通学习。记住,很多成功的人都是乐于分享的,一旦你对你的目标工作有了一个想法,就找一个可以和你交谈的前辈或者行业领军人,这可以像在社交媒体上找到具有该职位的人并询问他们是否愿意与您交谈一样简单,也许还可以找到可以给你职业生涯给到很好建议的大咖。问问这些人,他们的一天是怎样度过的?找出他们面临的挑战。考虑一下他们所走的职业道路以及是否能够效仿?有了这些初步的答案,就可能会更好地了解这是否真的适合自己。不仅如此,还可以深入了解可能需要哪些技能、认证资质,甚至好的初创公司或正需要网络安全岗位的公司有哪些职位是适合自己的。3、仅在必须或想要时才获得认证。认证是否越多越好呢?网络安全行业有很多认证证书,但是“没有任何认证可以保证你有一份工作。”“没有一项认证与所有职业角色都有关系。”有一些角色,比如渗透测试,认证是高度相关的;而其他的,比如威胁情报,拥有的认证则要少得多,通常不像经验那样必须或被重视。兴趣使然,并保证你真正能学习到你想要的知识,就请参加你所感兴趣的课程或认证,利用各种学习的机会,因为学习会让你兴奋,当然请务必确保在你的预算之内。
本月共发出9篇以“考场,战场与职场”为主题的专家文章,在此附上链接,供诸位参考。
根据征文活动规则,综合每日打卡、投稿及文章阅读量折合积分后,现将参与者总积分表公示↓
在此恭喜刘志诚以95分夺得第一,获得诸子笔会2022的11月月奖,奖金1000元!同时所有发表征文的笔会专家也都将获得200元稿费。
11月已过,12月伊始,最后一轮的征文再次开始了!12月主题为“回顾与展望,无题”。
由于个人原因,王振东、黄鹏华、王元铭三位老师退出诸子笔会,目前在线的作者还有9名。由于本届笔会采用候补机制,有退出,就有新进,欢迎有意参与笔会活动并做后续挑战者报名!(有意者请扫描下方二维码加入)
戳原文阅读查看往期征文合集齐心抗疫 与你同在
你怎么这么好看