长亭百川云 - 文章详情

小议:甲方企业安全岗位供需和安全职业发展路径(修订版)

小议安全

78

2024-07-13

更正部分信息,重新发布,探讨安全职业发展,这次来聊聊这个话题!

本文共有3600余字,分为6个段落,预计需用时12分钟。

一、招聘吐(hao)槽(nan)

这是一件因吐槽而引起的文章,为什么要吐?无他、太难了!!!君不见现在为了招人用尽奇招,技术文章后面必跟招聘广告已成标配不说,还要真人曝光奔赴直播现场,只为求得一员。

一方面反映出安全行业人才缺口极大,但另外一方面又有大量的简历和候选人被过滤掉,想来这里面是不是出现了某种偏差?

为啥?最直观的感受是发出去的JD,收到的简历中70%以上都是渗透类,然后里面90%又都是web安全类的简历,实习生也是如此,70% - 80%都是web安全方向的,安全其他方向岗位的不在一个级别上。

但这点其实是和企业安全岗位供需不匹配的,安全已经不是一个人的安全了,各个方向都是精彩纷呈!一次群里吐槽后,有了这篇文章。

SO...带着一众大佬还有腾讯安平lake总的寄(tiao)语(kan),小议下甲方安全职业发展,因为我主要工作经历在甲方,所以仅从甲方角度来谈,高度和格局有限,内容仅供参考,不服欢迎来辩

二、甲方安全的变迁

记得参加第一份正式安全工作是在2004年,安全还处在很容易与网管划等号的时代,了解一点的会说:“杀毒的吧!”,不懂的会说:“在哪个商场当保安啊,很辛苦吧!”。

现在安全已经有了翻天覆地的变化,不管是安全变为国家战略,还是国家安全周、首都安全日等宣传,上至企业,下至百姓让更多人对安全有了更深入的认识,回家再也不会被人问在哪个商场上班了,要求千里取QQ也日益少见。

而安全行业本身在公司的重要性也在不断提高,从网管兼安全,到归属运维,再到和运维平级,再到出现CSO、CISO,而分工也越来越专业化,有了更精细的部门岗位划分,以及出现了较明确的职业发展路径。这些说明行业已经走向成熟化了,这是一个重要的标志!

这个过程和企业业务的发展其实是强关联的,而且随着企业业务形态的变化,安全的关注重点也在不断的变化,例如:

  • 终端/网络安全:2000年左右终端/网络安全是关注重点,尤其是CIH、冲击波、震荡波等蠕虫爆发,以及大量终端漏洞被工具化抓肉鸡,让企业对安全有了初步直观认识,但多数公司安全是网管兼职状态,甲方少有全职安全团队;

  • web安全:在2000年后web2.0的发展,一批互联网公司兴起,由于业务依托web服务直接暴露在公网中,瘫痪业务挂黑页让互联网企业经营直接受到危害,一些先行的大互联网公司组建了全职安全团队;

  • 业务安全:在web2.0发展的同时,电商、网游也是互联网第一波红利行业,带动了最早的一批职业黑产,比如外挂、私服、刷单,业务安全这个领域也有了细分,甲方也有了独立业务安全部门,专注在特定领域;

  • 移动安全:2013随着4G的发布移动时代迎来了大发展,业务纷纷转向移动端也带来了重新打包,仿冒,外挂等黑产,也催生了移动安全市场;

  • 云安全:移动时代的同时对企业市场还有个重大影响是云化,业务云端迁移的过程也给甲方安全带来了很多变化,公私有云的融合带来安全架构变化,比如内部安全被弱化;

  • 安全合规:2011年CSDN等一系列网站密码泄露让社工库成了必备“工具”,随后国内外一系列事件,到2017年网安法、18年GDPR颁布、数据和隐私安全成了合规热点,甲方可有可无的合规岗位变的越发重要,也催生了全知科技这样的先行者;

  • 其他:还有很多如IOT安全、内容安全等,这些不再独立列举了,能简单回顾下安全关注的发展过程就好。

那么这些给安全职业发展带来的是什么?即业务类型越来越多变,安全也越来越复杂,需求和分工越来越专业化

三、甲方职业发展

如果用前文的关注点来分析,你会发现安全岗位是在逐渐细分的,例如:

  • 为了解决web安全问题:细分为以黑盒为主的渗透测试、白盒为主的代码审计,评审为主的SDL工程师等;

  • 为了解决业务安全问题:细分为外挂防护的逆向工程师,关注账号业务的业务风控,建立模型的算法工程师,抓捕为主的黑产打击;

  • 为了解决移动安全问题:细分为移动安全测试,移动安全加固等;

  • 为了解决安全合规问题:有等保/27001方向的合规工程师,数据安全方向的数据安全,隐私方向的隐私安全等;

  • 此外还有,安全产品、安全开发、安全SRC运营等细分的安全职业

如果从大的归类上,甲方安全需求会有以下几个大类:

  • 基础安全类

  • 合规/数据安全类

  • 业务安全类

  • 安全开发类

  • 安全管理类

上述大类下根据公司规模体量,又会进一步拆分出小部门,越大型公司安全投入越多的,越会细分来提高专业性。

这样安全从“兼职安全”到“独立安全”再到“安全细分”,在成熟的甲方公司,安全职业发展上也独立出了明确的职业路径,类似这样:

大体上甲方安全最终都会走上技术序列和管理序列,两个序列越往后互换的难度和成本越高,两类序列在很多互联网公司中多数已实现待遇类似,管理和技术只是工作偏重点不同的方向去划分,相对的要求和区别在于:

  • 技术序列:越往上要求技术越精通,越要有技术前瞻性;

  • 管理序列:越往上要求对业务理解越深入,越要有统筹规划能力;

所以如果从发展路线上来看,不同岗位不同的路径,都是有良好的发展前景。但现实情况是,很多人都挤在了web安全这条路上,从长远发展路径上看,这会让走这条路的竞争更激烈。那么为什么会这样,以及如何选择可以价值最大化?

四、供需问题

从现状上来说,目前安全职业供需很不均衡,学校和行业自身的引导上也存在偏科问题,大部分学校的人才培养、社会的宣传都集中在渗透方向或是web安全上。

比如CTF类的比赛,SRC的挖洞奖励,虽然本意都是激励漏洞挖掘,但因为web安全低门槛易实战的特点,导致大量人才都集中到这上面了,其他方向的人寥寥无几,但是从上面章节内容可以看出,企业安全对各个领域都有广泛的需求,而且随着行业发展,专精化的特点,供需问题会越发突出,所以可能web类安全在未来行业进一步成熟会率先饱和。

为什么会这样?

  • web安全业务应用广泛,架构上安全考虑不多,存在的问题较多,也容易造成严重的后果,所以需求最大;

  • web安全上手门槛较低(专精不低),3-6个月的培训班出来即可干活,也有很多场景可以随时练手;

  • 容易获得成就感,不管是CTF比赛、SRC漏洞奖励、白帽沙龙这些都很容易获得极大物质和精神成就感,以及他可以,我也可以的的状态;

  • 其他方向不容易有场景,也就是说想深入提升不容易;

  • 甲方对安全的理解,现在还存在很多一个人的安全团队,这类公司高层很难对安全有深入理解,更不会考虑到资源的安排,web安全多数也是最紧迫的安全需求,这点也是现实情况。

关注和思考

  • 首先php之类的语言在企业业务中快速被淘汰中,java类的框架安全性也在不断增强和完善,安全文化进一步的提升后,web安全漏洞已经相对比以前少了很多,从owasp top10 近10年排名也可以看出,未来web安全会越来越健壮;

  • 易上手,快速入行也会存在竞争激烈的问题,单一的web攻击利用不会带来特别高的独特价值,如果走这条路需要不断扩充自己的能力,比如代码审计,工具开发能力,SDL等,实际上也可以看到web安全时代大佬们,已经在其他领域开始了更深入的发展;

  • 其他方向入手门槛高,从另外一方面来说其实也是提高了竞争门槛,形成了差异化竞争;

  • 未来5年后随着行业进一步细分,不同安全行业领域互换的成本会增大,企业更倾向在该领域有长时间发展的人,而非中途转过来的,文首截图部分其实可以看到一些公司安全已经开始行动了,安全其他领域缺口越来越大,开始扩充培养方式。

归纳下,可以着眼考虑下安全行业长远发展趋势,以及自身对技术的定位和特点,不用局限在眼前的利益上或易于入门上。

例如通过快速上门,掌握了一些web安全知识,可以用扫描器来找一些漏洞,但是没有java等编程语言基础,也不擅长去深入挖掘web漏洞,自身感觉会快进入一个平台期,如果这样就不如换个赛道。

当然了本文绝非贬低web安全带来的价值,实际上web安全长期都会是企业安全必不可少的岗位,只是考虑是否是自己的最佳选择?

五、最后要说什么?

  • 甲方企业的安全建设不是由单一岗位推动,而是一个群力的合作,每个领域都需要专业的人才;

  • 甲方安全职业发展路径已经越来越专业化,分工越来越明确,专业能力要求越来越高;

  • 新入行的同学,不要把目光只聚集在web安全上,从长远的发展来看其他各个方向并不会差,差异化能力很重要;

  • 如果在甲方安全长期发展,应该多挑战安全场景,去解决企业安全问题,丰富自己的能力,有解决问题能力的人,未来会走的更远;

  • 技术和管理线各有各的挑战和发展,结合自身特点和规划来选择和发展。

六、活动

另外今天晚上4月23日,我在Freebuf有招聘直播,欢迎扫码预约,来直播间和我交(bian)流(lun),还可以拿限定奖品,或是招聘直推

https://live.freebuf.com/detail/0c1b102816084c7092180e4d8395ad35/?code=45b600a3f8000fa20401eb1654f7530e

招聘详细岗位介绍、分析等见下述文章:

招聘 | 完美世界集团信息安全部招聘,加入我们,有你才完美~

硬核安全招聘,有干货有福利,还有顶配iPhone等你拿

安全硬核招聘的总结与兑奖

heyi@pwrd.com 欢迎直投,推荐入职送最新最贵的手机!也可以加我微信,微信投递效果一样。

希望本文对你能有所价值,欢迎关注、在看、转发、置顶一波流!不胜感激!

扫描二维码

关注原创干货

小议安全

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2