从2024年1月1日开始到今天,基本没有真正放下自己休息过一天。可能很多人会说是卷,其实真正的原因是压力。不仅仅是生活压力还有行业压力。
今年这个行业让很多人开始感到了迷茫,不仅是股市的低迷,更多的来自于各大公司不断的因为经营压力的大量裁员,公司整合,毕业生的冲击。在狭义的网络安全领域中,70%的技术人员执着于纯粹的攻防技术,其实网络安全攻防入门很简单,但是走向顶峰却是异常的艰难曲折。这几年,不管是各种比赛还是攻防对抗演练,让很多人陷入了自己的海市蜃楼。真正从这些工作中走向技术顶峰的却是千里挑一甚至是万里挑一。而这些活动也更多的让网络安全和业务越走越远。算起来从1993年从事IT,真正接触网络安全领域应该是在2001年。不知道能不能算是老人,但是我本身并不属于网络安全圈。可能是因为我没有拿过站,没有爬过库甚至没有发布过漏洞的缘故吧,不过这样也挺好。至少在人生发展中我不会把自己陷入迷茫,我是如何解困的,在这和大家做一个简单的分享。
实际上,网络安全或者信息安全领域从业人员到底应该如何发展。早期网络安全领域不讨论业务问题的根本是早期的业务与信息化之间并不讨论强依赖关系,或者说,信息系统都没了,对于业务的影响是有限的甚至是0,这时候,网络安全在形成攻防对抗的时候并不会或者无需更多的关注业务的持续性问题。解决问题的手段更多的以产品化为主,真正依赖于安全技术的服务市场和咨询市场并没有形成。这使得我们的网络安全咨询仅仅在2005-2010年之间形成体系后一蹶不振,一个不去与业务融合,不去讨论不可复制性的咨询活动注定是失败的,更有甚至还有模板化咨询、生成式算法咨询等等产物将网络安全咨询产业彻底打入了冷宫。2010年前做安全服务的大多数是从IT运维服务转型,在融入安全服务的过程中,能够理解IT基础知识和业务的基本属性。然而现在更多做安全服务的是从攻防出身,刻意强调“暴露”和“漏洞”问题,而不去讨论如何合理解决这些暴露和漏洞,最终在影响被夸大以及昂贵的修复成本导致甲方逐渐对网络安全失去了信心,支撑网络安全工作的仅仅是立法和合规要求。这就使得这个市场表面在扩大,实际上和数字化产业的发展而言,很难形成正比。
随着信息化的演进和发展,尤其是数字化的提出,网络安全从单一的攻防对抗与业务持续性之间产生了本质的冲突。业务与数字化之间形成了强依赖关系;薄弱的基础设施和非工程化的建设下,我们的数字化体系其实是千疮百孔。这时候这个行业本应是一个知识密集型产业,实际上现在正在向劳动密集型和商务型产业快速膨胀。云技术使得业务的集中化实际上压缩了网络安全市场的发展,一方面技术的要求越来越高,另一方面人力资源的需求却在急速下降。这时候网络安全从业人员该何去何从呢?
在一个组织中,真正具有话语权的部门是哪一个?不是IT部门,更不是网络安全部门而是业务部门。作为为IT部门和网络安全部门提供高端技术支撑的网络安全从业人员如果不能从业务视角去建立工作规划,这些人员最终将成为矛盾部门的导火索或者某一方势力的枪手。那么这些人员该如何更好的站在这个圈子里面呢?勇敢的去了解业务、理解业务,从业务视角去公立的提供咨询。什么是了解业务,一个组织利益是建立在业务基础之上,在组织业务中,哪些是核心业务,哪些是支撑业务,哪些是辅助业务,对业务的了解越多,和业务部门沟通的能力也就越强;理解业务是从两个视角,一个是业务的实现视角,业务流程和业务责任;另外一个视角是从构成业务的IT逻辑视角。从IT角度而言,更多的时候我们讨论的安全问题是依赖于IT构成关系的抽象化表达。比如业务功能如何表现,业务逻辑如何通过代码调度,数据如何实现业务活动等等问题,因为在传统理解的网络安全工作是围绕着这些问题来展开的。但是更多的时候,当业务流程本身存在缺陷,或者业务在通过IT表达的时候刻意留出特权账号和特权功能时,我们该如何应对?换个角度来说,当我们的网络安全从业人员放下产品化安全的思考,降低攻防对抗的眼界,更多的从业务角度深入理解网络安全工作的时候,你会发现上帝为你打开了一扇窗户。
任何职业都有自己生命周期,做技术的黄金年龄35-45岁,一旦过了这个年龄,很多人的技术就已经到达了瓶颈,很难再有大的突破;但是做业务和咨询却是越老越妖。技术每个月都可能产生新的变更,而业务三五十年都很难发生大的变化,最多改变的是业务的表现形式;而网络安全领域有一个最大的优势就是这个行业可以涉及所有行业和领域,这是任何一个专业都不可企及的优势。理想的网络安全公司应该是我只做一个行业,比如:运营商、金融、政府、交通或者医疗。长期在一个行业的沉淀能够使自己的公司及员工更加了解和掌握的这个行业和领域。但现实中很难找到这样的公司,比如:长期沉淀于电力的南瑞,长期扎根在石油的瑞飞。在这样的场景下,我们更应该脱离开网络安全的束缚去理解业务特征。同样网络安全涉及众多的技术领域,比如:网络技术、主机/操作系统技术、数据安全、ICT供应链、物联网、人工智能等等,不可能存在万精油,但各个技术之间又是相互关联相互辅助,因此专注于一个领域或两个领域,让自己不要迷失在各种概念和欲望中时,前面的路自然也就通了。
实际上网络安全领域是最容易转行,因为一个真正的网络安全从业人员需要具备的技术和能力远非我们看到的这么多。首先从个人经历而言,建议每一个做网络安全的都能了解一些哲学知识,他会为后续各个知识域的融合起到重要作用;其次,如果能够长期扎根于一个行业,建议能够多读读这个行业的业务知识资料和专业知识,比如:运营商卡业务涉及到业务支撑网、信令网和网管网,那么一个卡流程是如何在各个网元中形成交互和调度的,这是分析卡业务故障和入侵的重要知识保障;第三,能够学习一些法律知识,一方面是为了保护自己,另一方面也是为用户建立需求提供一种依据,你对法律掌握的能力越强,为今后步入法务行业打下的基础也就越厚;第四,抓住一个领域深入学习,而不是跟着概念的屁股跑,任何一个新生概念最终需要回归的基础技术之上,比如:数据安全。而数据安全所需要的基础知识又为未来数据要素、数字化产业、物联网、智慧产业、人工智能、大数据提供必要的支撑。第五,能够掌握一些商务能力,一方面能够从财务角度分析项目的收益和实施成本管理;一方面能够通过甲方的立项、付款流程的了解为需求方提供合理的立项方式和付款途径;为未来创业打好基础。
不管是疫情三年,还是网络安全最火的疫情前,实际上作为一个自由人从来不会为自己的生计过多担忧的一个重要因素就是做自己,规划自己,不贪,不随波逐流。以上内容只是个人体会,并不一定适合每一个网络安全从业人员。希望此文能够给陷入迷茫的同行提供一些参考和帮助。
原文始发于微信公众号(老烦的草根安全观):网络安全从业人员何去何从
