Strive for lofty goals

理解网络安全行业现状

行业处于起步阶段@2019

现代网络安全行业发展的时间相对较短,许多企业由于资源投入和建设时间限制,导致安全建设的广度和深度还有挺大提升空间。甚至一些国内大厂的安全水平可能并不如我们所想象的那样高。很多企业的安全水平仅能够对抗一些初级白帽子级别的攻击,而面对专业的黑客团伙持续定向攻击,大多数企业则无法有效防御。在HW以及各家SRC的数据中能反应出目前的安全状况。

从业人员薪酬起步高上限也高

由于安全行业起步较晚,安全人才供不应求,导致安全从业者的薪资水平不断攀升。在所有行业中,互联网行业被公认为薪资最高的领域之一,而在技术类岗位中,安全工程师的薪资水平更是普遍高于其他技术人才,与当前发展迅猛的AI行业能一较高下。优秀的信息安全本科毕业生可以获得每月2万到3.5万的起薪(当然这里可能受到行业内部竞争的因素影响,一些公司采用入职即巅峰的招聘策略,后续薪资增长有限)。努力工作三四年后,薪资可能达到每月4万到6万。成为安全团队的管理者后,年薪可达数百万水平。有幸见过很多优秀的人才,年纪不到40月薪40万,也见过31岁海外安全公司年薪80万美金,还有一些更加超出想象的,年薪千万的。随着越来越多的学校开设信息安全相关专业,越来越多的培训机构提供信息安全课程,以及越来越多的人选择学习或转行从事信息安全工作,整体安全人才供需状况将会得到改善。

从业人员良莠不齐

安全行业的迅速发展带来了一些利好,例如吸引了更多人加入安全领域、整体安全水位明显提升。然而,这也带来了一些明显的不利因素,比如人员紧缺和急需填补的岗位。这导致了许多能力参差不齐的人涌入行业,他们的明显特征是在技术细节方面无法进行深入交流。当你谈论技术细节时,他们只会谈论行业热点;当你谈论行业热点时,他们只会谈论合规套话;当你谈论监管合规时,他们只会谈论行业八卦。更甚者,他们可能只是照搬理论而并未深入理解就拿来卖弄。尽管这么说可能会得罪一部分人,但这是目前存在的现实。有人会问,难道入职后他们的真实水平不会暴露吗?在老板非技术人士前提下,很难察觉到。主要原因是前面提到的安全水位很难衡量,而实际的安全风险通常是小概率事件。在许多情况下,运气成为了实现目标的关键因素。

安全水位难衡量

很多情况下,我们可以通过结果来判断安全建设的水平,但在安全领域,这种判断变得困难。许多团队的绩效指标是”零安全事故”,也就是不出现任何安全问题。这种指标导致了吹嘘拍马的人混的风生水起。然而,随着实战红蓝演练的普及以及国家级别实战攻防演练的规模和范围扩大,逐渐借助模拟实战的方式来评估防护和应急的效果。这种趋势在一定程度上有助于改善上述情况。

安全建设驱动因素转变中

在早期,安全是个奢侈品。仅在金融、电商、游戏等少数行业存在,它们都面临着黑灰产的威胁,对安全有天然的需求,属于实际业务安全威胁驱动安全建设。在前些年,陆续各类安全法律、法规、标准出台,许多企业开始了满足合规要求而进行安全建设,甚至有些企业会购买大量安全产品,但只是为了应付监管检查而不真正使用这些产品来提升安全水位。随着乌云等公共漏洞报告平台的兴起,各家企业的安全建设又上了一个台阶,这种模式属于白帽子安全漏洞驱动。在最近几年的行业中,由于国家攻防演练的普及,行业风气逐渐变得更加务实,并且逐渐演变为由实际风险驱动的安全。

安全圈子文化氛围浓厚

安全领域是一个小圈子,圈内的事件传播非常迅速。例如,哪家企业的数据库泄露了、哪家企业遭受了薅羊毛行为、哪个安全专业人士被抓等负面新闻,圈内人很容易得知。同样,在这个小圈子里,人们可以快速了解行业中的新技术、新方向和新政策,也能轻松获悉每家公司的安全建设情况。你可以了解到阿里安全与公安部门合作的强大手段,了解腾讯的安全响应中心如何运作得如此出色,还可以与百度的安全专家讨论如何将机器学习应用于安全产品。在安全圈内,这些交流都非常容易实现。此外,众多安全会议的举办也使你能够学习到每家公司的经验,无需自己摸索。这些都是小圈子的好处。

当然,小圈子也存在明显的弊端。总有一些人追求所谓的“圈子文化”,他们经常参加各种安全会议,主动结识圈内人(这里并不是指SRC运营同学,他们的工作本来就是去结识不同公司的人)。往往以自己认识谁、和谁熟为荣,不断形成各种更小的圈子(往往都是同一批人),很难看到开放、包容和共享。

学历相对不重要@2019

安全圈内存在许多没有学历或学历较低的牛人。这些人可能年龄较小,工作经验也不长,但他们通常是出于兴趣驱动,早期就投入了大量时间和精力在安全领域。因此,他们在安全方面取得了显著的成就。当他们的长处特别突出时,往往能够突破企业对学历的一些要求限制。例如,在岗位学历要求为本科学历时,候选人出色的安全能力可以降低对学历的要求。

然而,我们也必须正确认识低学历对工作的影响。在当前安全行业逐渐细分、安全建设越来越深入的趋势下,安全从业者不再只需要擅长挖掘漏洞。随着越来越多的院校开设信息安全专业,越来越多的人进入安全行业。未来企业在招聘安全人才时,学历要求肯定会像其他行业一样成为基本筛选要求,以降低招聘成本。因此,我建议低学历的候选人可以尽早通过自考等方式系统学习英语、数学、计算机基础等学科,并获得国家认可的成人教育学历。这样,学历问题的影响就不再成为问题。

Strive for lofty goals
Loading