利益相关:应届安全行业从业者,传统乙方安全公司和互联网甲方安全团队都实习过,说下我粗浅的看法供题主参考,不对的地方还请各位大佬指出。
先回答题主的问题:网络安全在 CS 的分支目前来说是一个不错的专业(方向),可预见的几年内缺口都还是很大,现在来说找工作不成多大问题(早些年比较难)。
至于大学,题主可以去看看一些 CTF 比较强的大学,这些可以在一些知名的 CTF 比赛中看看哪些学校的队伍排名比较前。
学历的话,目前网络安全行业还不是特别看中学历,主要是能力,不过现在的趋势也是向高学历走,或许以后学历不好的会不好找。简单的供需关系,就像现在的软件开发行业一样,一开始行业缺人,所以不看学历,只看能力,但近几年软件行业人员饱和了,招人的标准就会水涨船高,自然就会卡学历,不过学历也确实能说明一些问题,可以理解。
至于工作,建议能去互联网公司安全团队就去,实在去不了或者想去乙方的,尽量选择研究岗或者是蓝军,不建议驻场和安服, 理由看下面。
——————-分割线—————–
近一两年都在宣传安全人才缺口多大多大,首先我对这个数字比较存疑,但缺口大是真的,现在这个行业还处于鱼龙混杂的阶段。
看题主的提问感觉应该是还没有工作或实习经验,对安全相关岗位到底是做什么的还不是很清楚,而且了解的更多偏向于乙方安全公司(给其他企业提供安全服务的公司)。
题主说到的渗透测试这个岗位在现在乙方来说还是很缺的,但是这其中有很多问题。
首先就是靠谱的渗透大佬其实就那么多,但是对乙方来说这个岗位的缺口很大,所以充斥大量水平非常低的人,关键有些人还没有自知之明。 我当初在一家乙方安全公司实习的时候,跟我一起入职的就有两个大专的,只培训了三个月就入职的,很多基本的漏洞原理都还没搞清楚。 据我了解这个情况各大乙方安全公司都有。
第二是渗透岗位其实做得真的没意思,可能题主现在觉得渗透,挖洞好有意思,但是工作了情况就不一样了,有种每天都在做重复劳动的感觉。 首先大多数渗透测试的项目都是简单让你找找漏洞,然后出报告就完事了,根本不能让你深入,甲方爸爸不允许。 然后就是你渗透的系统可能你前不久才搞过,只是说又要检查了,所以又要搞一次(特指政府的项目)。 做过几个项目之后就会觉得大多数的系统都差不多,提升全靠自己,说实话,挖src学的东西比这多多了。 而低门槛和高重复性的特点也意味着极大的可替代性,以后水平低的渗透测试人员可能会大量被淘汰。
乙方大量需要渗透测试人员的原因是市场的需要,而近两年市场突然激增的渗透测试项目大部分是国家政策对各单位的安全要求来的。 而国家对这些单位检查的方式就是通过黑盒扫描器对单位和企业的网络服务进行扫描,如果出现漏洞了就要通报批评,罚款之类的处罚。企业和单位为了通过检查,就会委托乙方安全公司去做渗透测试等的安全服务(买产品的另外说)。做渗透测试的首先项目多,第二时间紧,所以很多系统基本就是上扫描器扫一波,再手工简单看看就出漏洞报告了,有些时间确实紧得不行的,直接上扫描器就出报告了,出了报告甲方就按照你报告的漏洞以及修复建议去修复,再复测漏洞,这样就完了。 不知道看出问题没有? 这个过程中乙方给甲方是通过一种很片面、很无奈的方式在赋予安全能力,这虽然能在一定程度在提高甲方的安全,但是更多的是走一个过场,如果甲方业务简单,那可能也足够了,但是按照互联网现在的发展来说,已经很少再有业务那么简单的企业存在了,今天互联网公司的业务每天都在变,确定定期的做渗透测试、代码审计就可以解决安全问题?而且系统那么多,怎么做得完? 要配多少人? 投入产出比怎么算? 一般安全团队是不能给公司带来盈利的部门,公司养的起嘛?
然后就是最重要的,渗透测试这个岗位或者说攻防在安全行业的定位问题,也是我想说的。 安全行业从业者应该把精力回归到安全的本质上,安全行业存在的意义在于让网络变得更安全,但是现在安全圈对安全体系建设这块的关注还是太少,安全圈的主要关注点还是在漏洞和攻击手法上。 研究漏洞和攻击手法确实很有意思,外人和媒体看着也觉得很炫酷,也是大多数人入坑安全的原因,但是怎么把这些攻击能力转化到安全建设中关注的人就比较少了,很多入坑安全的新人因为没有引导也很少思考相关的问题。 安全行业需要的是防御和检测攻击的技能,这点不能本末倒置,所以在学习攻防的过程中,应该多点思考一下这类型的攻击应该怎么在不影响业务的前提下批量、自动化、高效率的检测,应该怎么防御,怎么检测这些攻击流量,怎么溯源,再提升一点,可以给出一个怎样的解决方案来解决这类问题,当然这门槛就比较高了,但这些才是企业和行业真正需要的东西。
当然,强调防御不是说攻防能力不重要,攻防能力也是衡量企业安全做得怎样的一个指标,如果连黑客的攻击手法都不知道,防御就自然就只是纸上谈兵,所以如果甲方安全团队没有对攻防理解比较深的人,说他们企业安全做得怎样那是值得怀疑的。
先这样吧,其他的想到再补充,憋这些文字断断续续憋了几个小时,果然还是不擅长写作。
推荐几本书:
《白帽子讲Web安全》,相信这本书题主也看过,这本书的精华不在技术上,而更多在思想上。
《互联网企业安全高级指南》,我奉为神书的一本书,我企业安全相关的启蒙书,不过很多东西可能需要在甲方安全团队工作过才能有比较深的体会。
《企业安全建设指南:金融行业安全架构与技术实践》,这本是新书,我还没看过,打算入手,也可以推荐给题主。
原文链接:https://www.zhihu.com/question/318839687
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/17603
