毕业十周年之际,随便发发牢骚,记录下当下的感受。十年前误打误撞入了网安的门,随便聊两句,可能同行但每个人接触不同,感受也不会完全相同,我不是科班毕业,也不合适透露具体信息,只谈谈自己的一些认识给大家参考。
1.我个人认为最重要的一个理念:零信任原则。第一次见到这个概念的时候我也不太当回事,经历了一些事情后才认识到其重要性。也算是完成了从理性到感性,再到理性的认识。其实就一点,防范来自内部的风险,好比 vx 里的亲戚朋友、身边的同事等等,所有的信息都需要 double check 。再比如,现在新出的防火墙和以前的已经不一样了,以前的只能防范来自外部的流量,现在的很多都已经能发现内部风险。这几年电诈之所以从亚洲蔓延到欧洲,社会工程学的技术栈也在“产业”实践中补全,并且还在持续迭代,原因也是在此。制度的漏洞、人性的弱点一旦被技术抓住,就很难再摆脱,千疮百孔、防无可防。技术迭代,变个花样可以又来一波,很难清除。
2.新技术伴随的风险。这两年涌现出很多的新技术,AI 、IOT 、卫星通信等等,各方资本投入很大,但在投入还没有获得足够回报之前,技术面是不会认真考量安全议题的。投产和挣钱才是第一位的,所以各位投资的时候也要考虑一下,爆个雷能不能扛得住。安全与发展在很多时候其实是矛盾的,一个是踩刹车、一个是加油门,一个是降熵、一个是增熵。musk 的 starlink 用的是不是 docker ?没研究过,不过大概差不多,其安全性的考量有进程白名单吗?有封装底层系统吗?再比如,IOT 设备实际上就是一台低性能计算机,一旦成为脆弱点被突破,那整个内部网络都将面临安全威胁。还有最近已经开始出现大模型数据被污染的情况,AI 编程的程序还是要多留个心眼。
3.我想做啥?网安不只是 bug hunting 。bounty hunter 是最闪耀的明星,但大多数工作都是平凡的,流量分析、安全审计、溯源取证,接触各种协议算法 Kerberos 、TLS 、ECC ,接触各种设备路由器、IOT 设备、防火墙,看各种网络拓扑、配置。我其实做开发的时间有限,分析、研究和解决问题才是工作的主基调。我没干过运维、也没干过前端,但具备的经验和能力,足以我直接上手调试一个 react+nodejs+golang 的项目,并惊讶于 webpack 的出现,直接模糊了前后端的界限。界限模糊实际已经是大的趋势了,IC 行业被 IT 行业用 TCP/IP 直接反超并甩开几十年的情况也很难再发生了,IC 行业拥抱 IP 化和 virtualization 后貌似又行了。技术在不断的发展、竞争、融合,搞技术的人打不过就加入,不丢人。 匆匆十年,青涩少年也熬成了郁郁中年,房贷要还、娃要养,平时加班无暇顾家,薪水只够糊口。这个阶段,饱尝了现实中的各种“非专业歧视”、学历鄙视、冒名顶替等不公,既不会自怨自艾、也不会曲意逢迎。但内心还是会一种渴望,想跳出圈子找到一条路,养活家人又证明自己。所以现在打算从头开始,先逐字逐句的读“Mastering Ethereum”,主要是出于对 crytographic 的喜爱,由于是非科班的,学的一些感受和理解会记录和分享。
啰啰嗦嗦写那么多,估计也没人看。最后以中译版“Snow Crash”的的一句话结尾——“世界上充满了动力和能量,只需从中略微揩点油,一个人就能走得很远。”
1
estk 2023-12-11 14:25:09 +08:00 via iPhone 2
我以为网安是群里抓那些发敏感信息的
|
2
ryuutanyou 2023-12-11 14:30:52 +08:00
国内这个行业,怎么说呢,几个大厂年年亏损,前几年鼓吹行业缺多少多少人,潮水退去,发现都是在裸泳。
|
3
linshuizhaoying 2023-12-11 14:45:54 +08:00 1
很早之前学的就是信息安全。。怕饿死,当时就转成前端了。。
|
4
Ericality 2023-12-11 14:51:08 +08:00 1
一直对网安感兴趣 当时研究生也是有 cyber security 的 offer
但是生存的压力让我选择还是在后端的路上走了下去 |
5
c9792536451 2023-12-11 14:51:43 +08:00 1
上一个网安是 program think
|
6
BadFox 2023-12-11 15:01:30 +08:00
入行三年,关于第 1 部分只有一点点模糊的领悟,楼主能够深入谈一下吗?我预感会对我有很大价值。
|
7
asm 2023-12-11 15:06:27 +08:00
感谢分享。俺这个底层的安全分析人员,看到这种大的技术战线,还是很有意义的。
|
8
fengjianxinghun 2023-12-11 15:13:18 +08:00 via iPhone 1
我莱总结,除了挖大厂漏洞其他糊口都难,全行业亏损,不得已只能指望虚拟币养家。
|
9
joyhub2140 2023-12-11 15:19:14 +08:00
信息安全一定要找大平台,大靠山。。。除了实力,还很讲背景和关系,要不然早晚转运维或开发。。。
|
10
ynxh 2023-12-11 15:27:33 +08:00
网安就业难,大学很多类似专业,一个班不超过 5 个人能在这个方向就业。主要是需要掌握的东西太多了。。不像开发,入门真的快
|
11
DarklForest 2023-12-11 16:56:46 +08:00
十年网安无人问 一朝骇客天下知
|
12
final7genesis 2023-12-11 17:24:34 +08:00
意思是想转向研究加密货币吗
|
14
Asugar 2023-12-11 17:51:23 +08:00
政策合规驱动
|
15
fdrag0n 2023-12-11 19:35:50 +08:00
网安有饭吃纯粹是政策驱动,如果老板发现不要网安的成本低于处罚的成本那么网安就是伪概念
|
16
0xMxx OP @BadFox 说实话我也只是亲身感受,然后结合字面的意思来理解。如果从一名防火墙厂商的角度出发,就是以前 trust 到 untrust 是直接放行的,现在要进行审计,为啥呢?因为里面会有开盲盒般的惊喜。然后举一反三,你就会有很多的例子,还比如域。总而言之,就是之前某些特殊权限的角色在安全角度,需要用一个普通甚至不受欢迎的角色来对待。
|
17
0xMxx OP @fengjianxinghun 惭愧,搞了十年技术,勉强糊口。
|
20
0xMxx OP @final7genesis 开个小窗跟上技术的发展吧,也是从安全的角度去看待和学习。相比加密币,更关注共识机制、验证节点这些技术。
|
21
0xMxx OP @DarklForest 感谢肯定
|
22
0xMxx OP @joyhub2140 我这简历太差,进不了大厂。
|
23
snoy 2023-12-11 20:45:56 +08:00
现在不是流行搞零信任架构吗?这算是一个方向吧。不过确实需要掌握的东西很多,看了下 coupang 的招聘,网络工程师的活全干了,以太坊说真的,可能是昙花一现。
|
24
ddoyou 2023-12-11 21:39:20 +08:00
非科班大专仔,入网安也有 8 年了。点进来以为 OP 会讲些行业前景态势,但还是围绕的 0 信任和新技术。OP 入行 10 年,应该是网安法前就入行的了,那时候的网安是什么情况?后来在网安等保之后,合规市场养活了多少大中小厂,说实话这些厂商有哪些产品,是真正有核心技术和门槛的?现在潮水退去,行业的态势也很明显了。作为一个后辈,对 OP 的建议是,不要把自己的人生局限于网安。
|
25
zgzhang 2023-12-11 22:10:52 +08:00
同样做了十年安全,可能也会接近失业,服务过很多互联网企业,最大的感触是安全没有银弹,自己也没有多重要,安全也没多重要,只有自己的人生、家人才重要
|
26
roycestevie6761 2023-12-11 22:18:49 +08:00
@ddoyou 大部分产品肯定都是没有核心技术的,靠人多都能堆上去。”不要把自己的人生局限于网安“,这句话啥意思,有什么高见吗
|
29
ddoyou 2023-12-11 22:39:33 +08:00
@roycestevie6761 网安现在状态就是,没有核心技术,一个新产品出来后,各家都能抄。基本没有技术门槛。项目成不成,决定因素是商务。网安法带起来的合规市场,政府是大头。今年在财政紧张的情况下,回款难没预算成了常态。安网的收入来源:政府合规项目锐减。
网安法后带来膨胀的大中小厂数十万从业人员,也会因为这情况开源节流(裁员)。行业大洗牌正式开始;举一个例子,持续多年国护,网安一哥有近千人围绕这个业务转的,一但明年真的不搞了,这帮人面临的是什么。并不是这帮人技术不行,其实就是市场变了。 |
31
OutOfMemoryError 2023-12-11 22:46:23 +08:00
@qiaobeier #13 有没有网络国安的概念?
|
32
qiaobeier 2023-12-11 23:04:07 +08:00
@OutOfMemoryError 我们又不是阮晓寰,用不到,真的用不到😆
|
33
princeofwales 2023-12-12 08:37:08 +08:00
我怎么感觉前两年网安行业都活得很滋润,监管部门是不是来个检查,一般都会带着几个网安行业的厂商,或者明里暗里搞推荐。市里检查了区里再来检查一遍,省里还时不时来个护网什么的。等保、密评,多少厂商指望着这些吃饭
|
34
fengjianxinghun 2023-12-12 10:09:29 +08:00 via iPhone
@princeofwales 别靠感觉看上市公司财报,现在是全行业巨亏+大裁员马上启动
|
35
WoneFrank 2023-12-12 13:55:06 +08:00
国内的网络安全只能说是一坨大便。
1 、产品卖不卖的出去大部分时间看的是关系硬不硬,回扣给的多不多。某信某服人和产品当糖豆卖,就价格战,就搅屎棍。100w 的项目,90w 的回扣,10w 的成本,外送 5,6 只点鼠标的猴子一年。 2 、网安的主要客户大致这几类:1) zf 2)国企 3)金融 zf 就不说了,狗头保命。头部国企只有被人按在地上摩擦过的,挨过打了疼了,才会认真做。金融还行吧毕竟不差钱,就是每年 tm 搞那个竞测很恶心。其他?参照 1 。 3 、攻防演练,早就变味了。以前安服,红队,漏洞这是三份钱。现在倒好,一个攻防演练让你把安服做了,外网打了,内网撸了,漏洞交了。十几家一起卷,原来 100w 的项目如今 30w 搞定效果还杠杠的。 4 、厂商互相抄,换皮,炒概念,白嫖。目前这环境,对于不想跪舔领导,一直踏踏实实搞安全搞技术的人来说,打工是没希望的,投入产出比太不平衡了。 但安全和其他行业不同,它的魅力就在于,技术能力和财富自由的概率是正相关的。 |