上一篇随笔的最后提到面对不确定性的时候需要有策略性思考,今天就写一点“策略”相关的。
在几年前互联网行业大环境比较好的时候,安全部门的事情是比较好做的。譬如某家公司的安全实验室搞出了“大新闻”,随后行业里面一大片安全实验室矩阵式出现。后来者甚至都不需要有长期的规划,只需按照先行者的模式复制,就有可能短期内获得成功:别人挖二进制漏洞PR、我挖web漏洞PR,甚至于实验室名字都跟随别人续上。
然而客观环境是一直在变的,这些团队大多都已经发现过往的打法套路行不通了,于是在生存压力下只能尝试各种转型。
所以当我们在做一个事情的时候,一定要有策略性思考:
1、想清楚我们的长期目标是什么。成立实验室的目标是挖漏洞打影响力吗?显然这只是一种技术性套路,并不是一个长期的、伟大的目标。
2、理解别人成功的原因是什么。是会挖漏洞吗,是会写PR文章吗,是被公司重视吗,是赶上好时代了吗?可能这都是肤浅的表面原因。
3、客观环境会有哪些变化,我们要尽可能的想好如何应对这些潜在的变化才能保证长期目标的实现。在面对困难的时候也一定要保持乐观,悲观者或许正确、但是成功一定属于乐观者。
4、不断自我学习和修正目标/打法,不要把事情固定成一个模式、并且自我陶醉的称之为“确定性的打法”。更不应该认为自己“天赋有限”放弃学习,一旦有了这种心态很快就会失败。
最后:把安全实验室这个作为例子来水文字,是因为我自己也没做好这件事情。