安全行业的细分领域众多,因为安全是以一种状态的形式存在,比如:因为运维人员的存在而衍生的运维安全、因为应用软件的存在而衍生的应用安全、因为公司员工的存在而衍生的人员安全、因为集中办公而存在的网络安全和物理安全、因为合作伙伴的存在而衍生的第三方安全、因为业务数据的存在而衍生的数据安全、因为营销推广的存在而衍生的业务安全等。
在做职业选择的时候,往往是根据自身的基础而选择适当的岗位,既要有基础又得了解安全有哪些岗位、有哪些设置有安全岗位的公司、胜任这些岗位又需要什么样的能力、想要获得这样的能力又需要怎么去学习成长等等一系列的问题。
本次专题就是针对安全行业的人才如何选择职业、选择职业之后如何成长,其中还会包含一些信安之路的核心成员分享的职业心得和成长的心路历程供大家参考。
安全从业人员需求
根据公司的属性可以分为甲方和乙方,出钱的就是甲方,而收钱按照需求干活的就是乙方,比如 360 做企业安全,相对以企业而言,360 就是乙方提供服务和设备的,360 内部安全团队负责 360 公司内部安全的就属于甲方安全,自己花钱养活自己人搞安全就是甲方。
甲方和乙方的关系是,因为有甲方的存在且比较多的情况下,才衍生出乙方公司来满足多个甲方的需求,乙方从甲方获得回报,从而实现盈利。如果所有甲方公司都能养活自己的安全团队,完成安全上所有的任务,那么也就不太需要乙方的存在,显然这是不可能的,所以安全人员在乙方公司的数量巨大,而甲方安全从业人员则非常稀少。
还有一种企业就专门培养安全人才的,录制教学视频、培训考安全证书、研究安全技术提高知名度、举办 CTF 比赛并且做 CTF 类培训等培训类公司,这也是一部分安全人才所选择的岗位。
具体行业内有哪些岗位,我们可以从大甲方或者大乙方公司的招聘岗位出发,比如像 BAT TMD 等大甲方或者像 360、绿盟等大乙方,大甲方安全部门人数较多,对于安全领域的细分程度高,大乙方做的产品多,安全领域涉足面比较广,人数众多,任何一个小的细分领域都会有非常多的人。
小甲方的岗位设置则相对简单些,一般人数不超过 10 个,每个人都要负责多个领域,比如一个人的安全部,则需要负责安全合规的事情、渗透测试的事情、应急响应的事情、购买外部服务的事情、开发内部安全工具和平台的事情,如果多几个人的话,可以适当分解一下,想要覆盖一两个领域,需要的人才是知识面广,人际交往无压力,可以跨部门合作等。
安全技能的成长路径
学习安全技能是建立在你有一定的计算机基础的前提下的,一个电脑都没接触过的人谈何学习安全技术。如今安全行业的发展速度很快,而且在国家领导都重视安全的情况下,选择安全相关的专业的学生也越来越多,未来安全行业的人才竞争也会越来越大,所以学历是一个比较大的门槛。
大学期间是一个基础积累的过程,也是面临工作的一个缓冲期,在这个时期,我们要做的是计算机相关基础的学习,比如:网页编写(html、div+css、JavaScript 等)、c 语言学习、网站开发(java、PHP、.net 等)、安卓或 IOS 开发、操作系统原理、网络协议学习(TCP/IP、HTTP 等)、数据库学习(mysql、mssql、oracle 等)、汇编语言的学习等;还有一个重要的事情就是选择自己的方向,主要是二进制方向、web 安全方向、移动安全方向,这几个方向对于基础要求侧重点不一样,比如:二进制方向要求 c/c++ 开发能力以及汇编语言的、web 安全方向则需要对于 web 相关的技术有较深的理解、移动安全方向的话需要对于移动开发的能力有一定的要求;在大学期间学习的知识比较广,都会涉猎一些,最终还是要看自己喜欢那个方面,侧重于去学习哪个方面,然后将该方向的基础学扎实。
选择二进制方向的小伙伴,未来的发展路径可能是病毒分析、系统漏洞挖掘、软件逆向破解、研究威胁情报等;选择 web 安全的小伙伴路子会比较宽,未来可以去做渗透测试、代码审计、红蓝对抗、应急响应等;选择移动安全方向的路子基本上就是移动安全啦,由于移动端分两大平台 IOS 和 安卓,所以需要选择一个擅长的平台进行研究。
无论选择哪一个方向,只要是从事安全行业,都需要的一个共同技能,就是攻防的思维,拥有破局观,不按常理出牌才能找出安全漏洞,让我怎么做,我偏要往反的方向走,这也是黑客思维,也是我们安全人员所必需的。
二进制安全和移动安全相对门槛较高,便底层,研究的人数也比较少,而 web 安全方向是选择人数最多,也是门槛最低的领域,只要跟着视频教程学一下操作,然后掌握一类漏洞的测试方法,那么就有可能找出在网络上存在的安全漏洞,这也是为什么有大量的人员从事这个领域的原因。
目前信安之路的小白成长计划就是带领一群人在这个领域上有所成长,web 安全是基础,也是漏洞最多的方向,学习这个领域可以快速提升黑客的思维,突破各种限制达到最终目标。有了 web 安全的基础就很容易跨到渗透测试这个领域,在国内的渗透测试服务,大部分的情况都是在对 web 应用进行测试,因为企业的边界可以访问的基本都是 web 应用,开放的端口服务很少。而红蓝对抗是近两年比较火的,是最贴合当前黑客的领域,因为黑客在攻击某个目标的时候,不会只用 web 应用的漏洞,而是为达目标不择手段,为了抗衡黑客的攻击,就需要了解黑客的行为,然后针对性的去防御,做安全建设,然后模拟黑客的真实攻击来验证安全建设防御的效果,找出防御的弱点进行强化。
由于本人对二进制领域和移动安全领域知之甚少就不再多说,剩下的就由各位信安之路的小伙伴来说吧。对了还有安全开发的方向,这个方向其实跟开发比较接近,对于安全能力的要求不高,能够实现安全产品经理提供的需求即可,由于通常安全平台是内部使用的,所以基本上能用就行,还有一些乙方的安全开发,开发的安全产品是要售卖的,那么对于开发能力的要求就比较高了,同样对于安全的能力要求没有对于开发的能力要求高,所以这里没做太多的讨论。
信安之路小伙伴的个人职业思考
