平台成就伟人。朱元璋告诉我们,一个县出来的人就可以管理天下。仓鼠和厕鼠的最大的不同是所处的环境不一样。
- 选择一个高增长行业。回顾自己这些年的工作,如果只选一条建议,就这条。
- 应该选择时间会成为朋友的行业,有十年工作经验而非一年经验工作十年。
- 理解网络安全行业现状。
- 例子:回顾收入增长,2017年在蘑菇街涨薪108%,平均每年涨薪30%,且持续十多年。如果是传统行业,或者不赚钱的公司,是完全不可能的。
- 平台的重要性:仓鼠和厕鼠
- 进入头部公司。公司在快发发展,再无能的人能力也能随着得到飞速提升。公司赚钱了,你才能有不断的涨薪。选择指数增长的公司而非线性增长的公司。
入职后
- 理解规则能让我更好的生存
- 试用期
- 如何快速了解公司、业务以及团队
- 辅导新人快速落地
- 焦虑来源于不确定性(目标/路径/资源);与主管对焦,不要随意否定当前事情,你不了解过往;师兄是这个组织中真正在帮你的人,照着师兄少说多做。
- 试用期转正答辩
- 面试官常见问题:价值、影响、未来发展。反直觉细节问题、目标清晰、问题解决结果、事情多寡、独特价值、同类产品差异、未来思考。
- 试用期常见问题:事情不匹配;多件事情并行,不聚焦;自己在其中并没有发挥独特价值;便执行;事业狭窄,不了解内外部同类产品情况;缺少未来思考;
- 如何设定网络安全目标
- 目标来自哪里
- 如何设定
- 追求过程还是追求结果
- OKR和KPI
- 对焦目标
- 做好事情
- 做正确的事情,用正确的方法
- 构建个人技术优势。在大多数公司,如果想拉开和同事的差距,必须得建立起自己的个人优势,也就是我有而他没有,同时这个优势能更好的让我完成工作。
- 克服大多数人的性格问题:
- 懒惰
- 注意力涣散
- 目光短浅,缺乏远见
- 及时满足,缺乏耐心(不愿意投入底层技术研究,总想找到速成术)
- 避难趋易
- 缺乏耐心,急于求成(追去短期多巴胺刺激)
- 缺乏自律
- 信息获取浅薄
- 害怕风险,厌恶不确定性
- 例子:在工作那会,绝大部分安全从业人员都不会开发工作,都只会安全攻击技术,由于我是研发出身,导致我同时拥有安全和开发两个技能,在后面的安全想法落地为工具产品、漏洞的发现和修复、安全机制流程建设等方面都赢得了巨大优势,做事情的难度变的很低,一点点的努力就能有不错的结果。现在,安全和开发已经成为安全从业者必备的技能了,这时候我们要思考,新的技术优势是什么?
- 克服大多数人的性格问题:
- 找到长期工作动力。工作是我们一生中除了睡觉外花费时间最多的事情,如果每天上班像上坟,不敢想象后果会是怎么样。你是否有一个信念让你持续奋斗下去
- 做自己喜欢的事情,迟早会赚比较多的钱。做喜欢的事情意味着你会投入比他人更多的时间,学习的动力更强,自然会更加擅长,达到一定高度后就能创造独特价值,就会获得对应收入。
- 燕雀安知鸿鹄之志。
- 英雄者,胸怀大志,腹有良策,有包藏宇宙之心,吞吐天地之志也。
- 大丈夫处世,碌碌无为,与朽木腐草何异。
- 当一个人心中有着更高的山峰想去攀登时,他就不会在意脚下的泥潭,他才可能用最平静的方式,去面对一般人难以忍受的痛苦。
- 例子:我的工作动力来源于两部分,早期源于兴趣驱动工作,自己对网络安全的热爱使得自己能够每天凌晨睡觉持续一两年。后来成为管理者之后,工作动力源于未来我要创立自己的企业,所有的杂事都是未来要面对的,因此面对这些事情我并不会觉得厌烦。
- 有信仰的人最可怕。
- 做一个靠谱和值得信任的人。
- 赢得同事的信任。帮助同事。真正的专家不是摆出来的,而是在实际困难中体现出来的。
- 赢得老板的信任。
- 把领导当做你的客户。在以前,我总觉得把事情做好,其它都不重要。但现实情况是,在如今的企业组织中,领导的权利和责任都很大,领导的管理范围比较大,这就导致在他有限的精力下,他会关注他视角下重要的事情,他并不能像上帝一样看清所有事情。而他又是几乎唯一那个对你的绩效、奖金、晋升等有直接决策权的人,你告诉我,你是领导你如何决定?
- 解决部门(领导)的痛点问题。站在部门的视角,看看有哪些痛点问题,在这些事情上做出成绩,你所做的事情对部门的贡献决定了你的价值程度。
- 例子:在网商银行四年,由于我有安全架构师的身份,让我可以更多从部门视角看待风险和事情,继而决定资源投入那些事情上。这是四年高绩效的基础,也是能得到领导的信任的前提。
- 解决部门(领导)的痛点问题。站在部门的视角,看看有哪些痛点问题,在这些事情上做出成绩,你所做的事情对部门的贡献决定了你的价值程度。
- 每一次沟通展现你的专业性。对于绝大部分人来说,并不会经常和领导沟通,从领导的视角没办法对你的印象是全面客观的。因此每一次和领导的沟通,都需要细致、专业。长此以外,方能赢得领导信任。
- 例子:一次是刚来蚂蚁没多久,参与HW时协作各方解决风险时有几次和其它安全域的领导交互。后来我们一个参与晋升P8的同学去答辩,那个领导刚好是评委,他为参与晋升的同学,我为什么没来参与晋升?
- 例子:另外一次是作为我直属领导的备份,有过少量几次给集团领导汇报和交流。后来支付宝寻找CISO人选,我就被集团多个领导推荐过来。所有人都觉得我和集团领导关系好,殊不知我们之间就那有限的几次交流。
- 事事有结论,敢于承担错误,错误不犯第二次。
- 把领导当做你的客户。在以前,我总觉得把事情做好,其它都不重要。但现实情况是,在如今的企业组织中,领导的权利和责任都很大,领导的管理范围比较大,这就导致在他有限的精力下,他会关注他视角下重要的事情,他并不能像上帝一样看清所有事情。而他又是几乎唯一那个对你的绩效、奖金、晋升等有直接决策权的人,你告诉我,你是领导你如何决定?
- 找到痛点问题,敢于挑战高目标,并去做到极致。
- 第一性原理:物理学是铁律,其它都是建议
- 找到重点已经比多数人优秀了
- 什么是重要的事情:能带来很大的好处或坏处、影响面广、延续性强
- 并不存在每件事都很重要
- 并不需要同时处理多件事,也不用让每件事都做到最好
- 做正确的事情而非容易的事情
- 每件事情从完成到完美,先做到某个细分的最好,先做好60分,再努力100分
- 充分利用有限的资源,赋予无限的创意思维,即使只有一两点的与众不同,也可以取得巨大成功
- 例子:在当年,开源很火爆,导致GitHub敏感信息泄漏的问题比较突出,当时已经有好几个开源工具能扫描发现这个问题。但我却发现,他们有一个非常根本的问题没解决好:发现时效。大部分要几分钟甚至十几分钟,这个时间攻击者可能都已经发现这个风险并利用完了。于是自己研究了下GitHub的API频率和搜索匹配机制,很快就写出来了GSIL,并拿着漏洞平台上的企业做测试和调优,几乎可以做到秒级别的发现,拿着这一个漏洞类型发现了国内外各家企业大量代码泄漏风险,每个月稳定一万多收入。在这个例子中,我的挖洞技术并不比那些白帽子好,我的研发技术并不比那些工程师好,但我能发现里面的机会点,并不断使用反馈优化每个细节做到最好。
- 例子:0day防御一直是安全行业的难题,当我们希望能攻坚这个问题时,非常多的人第一反应是不可能。当我们基于RASP实现了针对应用的底层命令执行、文件访问、网络访问、JNI、字节码、序列化等行为进行刻画,实现从原来基于攻击特征转变为了只运行应用执行预期内的行为,在大范围覆盖后,真的能免疫之前那些fastjson、log4j的通杀漏洞。绝大部分人听到这个事情后,第一反应是成本非常高吧,但实际这是我们半个同学完成的事情。
- 如何跟进事情
- 如何复盘
- 做好时间管理。规划好你的日程。当事情复杂程度超过了个人能力时,用清单管理关键节点
- 要事优先
- 以终为始
- 能力越大,责任就越多,但不一定代表你获得就最多
- 消除模糊和未知
- 哪些语法知识让你觉得难
- 哪些事情让你觉得焦虑
- 贵人
- 让自己变得有价值,如此才能让自己遇到更多有价值的人和事
- 沟通协作
- 事实、观点、立场、信仰
- 先理解别人,再被人理解,从倾听开始
- 说服别人应该用利益而非理性。
- 让一下;小心开水烫;
- 吃不完,给你们一些;换季,吃水果补充水分
- 便宜点,质量你看;便宜点,实惠多带朋友来买;
- 不要冰,不然差评;不能喝凉的,给到给好评;
- 清华北大的家长往这边走走
- 沟通要永远关注自己真正的目的
- 沟通的最大问题,我们总想当然的认为已经沟通了。
- 沟通时,我们总是会下意识的以祖先面对危险时最原始的应对方式,暴力对抗或转身而逃,而不是采取机智的说服和友善的关注来解决问题。
- 如果面对关键问题去逃避,后续工作和生活都会一团糟。
- 成功对话的关键在于自由坦诚的交流,双方愿意表达自己的看法、分享自己的感受、说出自己的猜测,即使表达的是充满争议或不受欢迎的,他们仍然愿意积极分享。
- 用大家熟知的比喻去解释一些复杂的问题
- 比如停车场停车和充电速度问题
- 感性的东西会让我们感受到真情流露,感同身受,会有更好的结果
- 信任的速度
- 不要让别人的不专业影响你。给别人提要求,去帮助别人变更好。
- 换位思考,知道别人在想什么
- 思考、感受他人内心所想,并以此为逻辑起点展开自己的推论和行动
- 拥有其相关经历的,想象当时经历时是什么感受
- 没有经历过的可以临时体验下
- 无法体验的就找有经验的人帮助
- 读史书应该把自己想象成书中人,会怎么做。现实中遇到事情时,历史的人会怎么做。
- 如果我是他,我会怎么样
- 像个外人一样观察自己
- 观察身边某个人喜欢什么
- 全局分析、客观事实、感性直觉、乐观思考、保守行事、创新思维
- 不要把希望寄托在他人身上
- 不确定性中也有确定性
- 不要说在吗?一句话清楚你是谁,背景是什么,你需要做什么。
- 总结汇报
- 每一次汇报是工作过程中少数几次获得他人认可的机会,需要做到最好。
- 月报、半年/年度总结
- 具像化
- 重要与紧急
- 死亡日历
- 绩效与奖金
- 绩效的评估与沟通
- 如何持续拿到好的绩效
- 正确看待工资、奖金、红包、股票以及晋升
- 晋升的经验与教训
- 公司是逐利的,在层级划分上没有可能是为了让所有人更容易去晋升。
- 行业增长放缓与个人晋升诉求之间的矛盾
- 个人和公司不一致的晋升目标
- 超预期结果与下一层级的能力是晋升的基础条件
- 低层级需要有可行路径,高层级需要关注岗位匹配度
- 往往内部晋升比跳槽晋升更难
- 一些晋升答辩经验
- 35岁还没有到P8怎么办?
- 平衡工作与生活
- 让自己始终处在舒适区边缘
- 工作时注意留点时间休息,比如下午三四点,避免下班后觉得没有全在工作没有个人时间,导致熬夜
- 做好随时被裁又不用工作的准备
- 持续沉淀、总结与改进。
- 信息可沉淀为知识
- 听 < 阅读 < 看 < 演示 < 讨论 < 实践 < 教授给他人
- 学会把别人的思考变成自己的
- 能不能用简单的话去把所学习的东西介绍清楚
- 理解了本质才能更容易去打比方
- 获取一手知识
- 知识点关联成知识体系
- 自己实践中领悟出来的道理才是自己的
- 你时间、精力、金钱投入在哪里,你未来就会成为什么样的人。我们总是高估短期能力,低谷长期能力。
- 管理者职责、领导力、评价
- 快速发展拿到结果是解决一切问题的办法
- 管理者主要职责
- 团队是管理者行为的折射
- 管理者评价维度
- 复杂的东西简单化
- 全流程优化让事情能变得更好,全流程损耗就是大部分普通人走向平庸的做法
- 影响力建设
- 营销影响力
- 共鸣
- 专注
- 灌输(细节)
- 决策
- 兼听则明,偏信则暗
- 每次做选择的时候,多花点事情思考。思考的时间要和事情的重要性成正比。
- 锻炼:假设自己在历史某个时刻,结合当时的信息进行趋势判断。作为水浒传中的宋江,在当时你是否会选择招安
- 复杂的事情出问题的概率会更大
- 经验的作用是在一堆看似正确的观点中找到最优解,能明确估算每个因素的占比
- 向前追溯原因,向后追寻结果。想的更远,通过对一个现象的连续追问其产生的结果,以探寻它对未来可能造成的深远影响
- 演讲
- 问一个大家关心的问题
- 令人震惊的事实
- 给人叙述故事的方式
- 避免使用口头语:这个、那个、嗯、额等
- 规划
- 如何能预估更久远的事情(诸葛亮草庐三分天下;预测刘表马上要死;)
- 招聘
- 职业类型与角色
- 如何选择适合自己的方向
- 如何获得HC
- 如何定义JD
- 如何判断一个人是否匹配招聘岗位
- 如何客观评价一个人
- 成就他人
- 团队文化
- 共识
- 氛围
- 影响力
- 裁员
- 跳槽
- 竞业:最长 12 个月,按月支付离职前基本工资的 50%,要扣税。违反需支付离职前 12 个月年度总收入的两倍。
- 创业
- 大丈夫生居天地之间,岂能郁郁久居人下。
- 大丈夫之志,应如长江东奔大海,何苦怀恋于温柔之乡。
- 平台型企业本质是通过协调各方能力,将闲置的货/车与需求链接
- 大部分的创意价值并不大
- 智取生辰纲,赤发鬼刘唐提出的
- 阿里/蚂蚁对创业者的经验与教训
- 找到了一个时代风口
- 值得长期奋斗的目标;客户第一价值观;侠客文化;
- 平等的个体(花名/称呼/工位/差旅等),内网畅所欲言;期权与公司利益绑定,真的能与员工共享财富;HR 能够制衡主管权利;
- 问题:被KPI绑架以及末位淘汰机制,过于追求短期业绩结果,无意义的大范围加班,缺乏长期视角;高管与一线同学毫无连接,战略无法下达;无能者身居高位,牢控关键地盘,无视关键问题,不敢决策;管理者权利过大,奖惩不明,服务老板者众;缺乏沉淀的快速变化;尊称盛行;外部入职与内部晋升机制要求不一样,导致外部入职更加容易,导致薪资倒挂;招到不合适的人;躺平者众多;留人靠晋升;伪造数据(口径游戏/营销驱动);大量无价值业务与人员;
- 提前退休
- 我们父母这一辈的大多数人是一辈子没有休息过,无法退休,得工作到老。
- 总被灌输年轻的时候要努力工作,退休后再去享受。但殊不知,我这还才三十,就已经玩不动了,不敢想自己六十的时候是什么样的。
- 人并不是一定需要工作的。