一、如果再选一次专业
早上多按了两个喇叭被交警叔叔教育了才想起来今天高考,想起来自己当年机缘巧合选了信息安全专业,心里浮现了一个问题“如果我知道当前网安的发展,再选一次专业,我会选网络安全吗?”
回答这个问题之前,我回顾了一下我在这个行业中的求学和职业之路,我是13年高考,考的不高不低,一通瞎研究后选了【西电(西安电子科技大学)】,按我当时的全省排名可以去西电比较好的学院,又一通瞎研究后选了【通信工程学院】,当时【信息安全专业】好像每年是通信工程学院招生的最低分,我的排名也基本只能够上这个学院的最低分的专业,最后有惊无险,我是西电信息安全专业在湖北省招的最低分(不好意思,高攀了哈哈),所以几乎是命运的指引,让我从事了网络安全这个行业。
入学后我才知道西电网安在全国网安专业里很强,特别是学网安的氛围,有很好的老师、很好的信息安全协会(五星推荐!!)、很好的学长、很好的一群搞技术的同学,读到大三的时候,国家开始重视网络安全,网安比较强的学校开始设立专门的网络安全学院,西电当然也当仁不让在其中,从几个跟网安相关的专业中,选拔了39个人,组成【西电-网络与信息安全学院-信息安全专业】的第一批学生,于是我就成了第一批西电网安学院的毕业生。
毕业后自然而然进了网安行业,从最早挖洞、写代码,到后来做安全产品,再到后来做红队、帮甲方做安全建设、做总防,每个方向可能都不够深,但是视野应该还算广,同时我跟大家一样是打工人,所以我想我的答案应该比较贴近学弟们的真实发展。
如果让我再选一次,我的答案很明确:我会比当年更加坚定的选择网络安全专业!!下面我会从门槛、乐趣、行业、个人的角度说说我的观点
二、门槛:入门适中,但天花板很高
网络安全本身一个多技术混杂的学科,除了学安全本身外,还得学计算机网络、学代码,学运维,搞代码一种语言远远不够,php、python、golang、c&c++、js等等不说精通吧,至少都得写过且看得懂其他人的代码。在数字化这个领域,学网络安全可能比其他的更复杂,要学的东西更多。安全本身也有很多内容,从大体是进攻(渗透、挖洞)和防御(研究检测、响应),个人的安全技术水平跟安全周边的这些技能的水平也密不可分。
听起来这只说明了网络安全行业学的很多,门槛好像很高的样子?实际上你也可以不懂代码、网络、运维或者略懂,但是安全本身做的不错,比如懂各种漏洞、原理、修复方案,知道各种常用的CVE payload以及何时用,不知道就现搜也行,以及会用各种攻击&防守工具,不追求原理的话就硬背,也能有立足之地。再实在搞不了技术,那么在了解安全基础的情况下,去做安全产品经理、去做安全售前,也非常不错,所以我认为入门门槛绝不算高,适中的范畴。
那么网安行业个人可发展的天花板就很高了,如此多的技术面,够一个人活到老学到老的,举个例子,你精通PHP,有挖漏洞的思路,那么你挖PHP应用的漏洞一定很不错,这就能让你有不少CVE编号,得到不小的成就感,其他语言一通百通,你进一步可以扩展去精通其他语言,成为一个全语言挖洞高手。挖洞挖够了,可以搞搞渗透、红队,除了攻击手法,你要去学计算机网络、各种协议、各种操作系统上的机制。再搞够了,你可以去搞搞安全产品,写写检测规则、检测方案,分析恶意活动的特征,如何又准又不误报。再进一步,还有安全与场景结合,比如大模型火爆,那么有大模型安全,新能源火爆,那么有车联网安全。怎么样,够了吗?当然,你精通其中的任何一个方向,都够你成为行业专家,所以天花板真的很高!
三、乐趣:很有趣,你会爱上它
做网络安全,给人的第一印象就是“黑客”,潜藏在阴影里的猎手,战场上的刺客,身边人会觉得你很酷。安全的攻防又很像一场真实的战争,你攻他防,紧张刺激,不论是作为攻击手的你绕过层层防御成功拿下目标,还是作为守护者的你将对方拒之门外,你都会获得巨大的满足感,就像玩网络游戏,这种巨大的满足感又会让你产生进一步深入探索的兴趣,沉迷其中,进而会让你热爱网络安全技术,追求黑客精神。
网安本质上来自于攻防,攻防来自于漏洞,漏洞是发现别人写的程序的缺陷,所以你其实并没有一个定死的路去找缺陷,虽然漏洞类型有限,但是程序千差万别、环境千差万别、缺陷的组合利用方式千差万别,你本质上是在跟写应用程序或操作系统的人在对抗,人与人的对抗,永远充满了变数,充满了未知、充满了乐趣。
做网络安全的人,都会有这么一个时刻,研究某项技术或做某次攻击做到深夜,然后在黑暗中灵光一闪,成功了!进而心中无比满足、无比喜悦,其实这就是支撑我们继续走下去的动力,继续热爱网络安全的原因。
四、行业:它只会越来越重要
前段时间有篇文章讲网安的毕业生前景广泛、收入高,拿了N年前的毕业收入数据证明,我还调侃了下,行业一片哀嚎,无良媒体还在前景好收入高呢,与行业当前发展大相径庭,但是我来推荐这个行业,是否自相矛盾呢?其实不然,我推荐的原因是网安行业的长期发展够稳定,并不是当下收入高前景好。
朋友问我安全行业怎么样的时候,我一般会答“行业不景气,但总能有一口饭吃”,我这里其实说的是网安行业的乙方,实际还有大量甲方也是需要网安人才的,可以说每个上规模的企业,都离不开网安。更进一步,只要人类离不开数字化,那么网络安全这个行业就会永远存在,网安行业依附于数字化,数字化也离不开网安,为什么数字化一定离不开网安?
网络世界实际上更像黑暗森林,数据是你的财产,但是无时无刻都有人打你财产的主意,对你发起攻击。类比现实世界,我们知道是警察和法律保护我们的个人安全,那么网络世界中有吗?不好意思,网络世界本质上没有警察和法律,我们网警和网安法是现实中的,发现违法采用的是现实中的控制手段,网络世界中没有强制控制手段,因为网络世界不存在身份,攻击者在网络世界里可以随意攻击,一个ip被封禁了就换一个继续呗。我为什么要讲这些呢?因为明白了这些,我们才能知道,网安其实是企业数据财产的防弹衣,一切威胁只能靠这件防弹衣抵挡,从现实来说人身安全需求是人类底层需求,是必备的,那么网安之于数字化也是一样,数字化存在的一天,网安也存在。
在中国,随着数字化的深入,网络安全已经提升到国家安全的范畴,因此只要你网安技术不错,总能有一口饭吃,不至于让你饿死,网安也能紧紧踩住时代发展热点,如上面说的新能源汽车可以对应车联网安全、AI大模型可以对应大模型安全,还有云的出现对应云安全、容器技术的出现对应容器安全等等,你技术好,探索精神强,不仅有饭吃,还能喝汤吃肉。
五、个人:搞钱路子多
最后我们回到个人身上,前面分析了那么多,最终我们还是得回归现实,能不能挣钱?我现在的观点是:行业不景气,刚入行主业可能挣得没那么多,但是靠你的技术额外收入渠道很多。主业我就不介绍了,重点说说额外收入,也比较好理解,当然,重点学习网络安全法,远离不良产业
`1.比赛奖金``2.挖洞奖金``3.红队单子``4.技术培训收入``5.各种代打(DDDD)`
做网络安全,不会让你最后去跑滴滴(无意冒犯),技术傍身,以上收入很多时候可以超过主业收入,你是一个自由的技术追求者,你可以永远钻研技术。
六、我热爱它
最后随便唠唠,说起网络安全,有时候我们会扯上国家安全、社会责任、家国情怀之类的。
其实回想一下,我们年轻的时候,最开始的时候,对网安的感情没那么复杂,也没那么高尚,本质上是因为网安的特点决定它像打游戏一样有趣,没有固定的路线,未知、探索、人与人的对抗,以及满足感和成就感相对其他行业来得快、延迟不高。我永远记得熬夜挖洞、熬夜搞站、熬夜搞懂某个技术原理的日子,永远记得自己的第一个shell、第一个CVE、第一个技术方案,而后慢慢明白了黑客精神,知其然知其所以然的探索精神,只是单纯的满足和快乐,我热爱网安,仅此而已。