今天是2023.1.14,我入职了自毕业后的第二家公司也有一个月左右了。毕业前一直在熟悉乙方的玩法,毕业后开始熟悉甲方的玩法,最近有很多不一样的想法💡一直在脑海中浮现,所以就顺便一起记录一下这几年的经历和心路历程。
纪念一下我在Agora6F漂亮的风景工位(感谢俺亲爱的mentor阵哥哈哈)
工作
- 大概是去年九月份左右,我阅读到了一些新闻,标题字数不多但是特征足够,《到2027年我国网络安全人才缺口达327万》,亦或者是《网络安全成为国家安全策略》之后朋友圈的前辈们也在讨论这个话题,褒贬不一,各有各的看法,很多人尤其是应届生的内心应该是五味杂陈的。我从19年开始在乙方实习,22年考研失利后三月份再次去了一家做零信任的乙方初创实习(突然想起腼腆的二爷哈哈),所以认为互联网更多是穷孩子和梦想家(仅我认为而已)的争夺之地,离开这个行业我难以做任何事情,实际本质上还是互联网学习成本低,大部分非核心岗位不看重出身,只看重实际解决问题能力而已,这一点很明显体现在很多时候我在记录工作成果时,leader会问一句,你的目的是什么。虽然可能会听起来比较冒犯,但是很快我意识到了这个问题可以延伸到你在做什么,你想做什么,最后结果对于团队和公司有什么价值,是的,作为甲方安全团队,核心关注点应该是降低公司安全成本,1000w的攻击成本或许可以被500w的防护支出所防护住,那就500w就是值得的。如果对外输出影响能力足够强大,甚至是可以作为非业务侧为公司反向赚钱。尤其是数据保护方面,很多甲方还是十分看重方案提供方的安全能力的,这也是我对资深甲方安全团队的的一些评价标准。在保护业务运转的同时也能反向给予甲方客户信心,增加客户选择自身公司的可能性
- 安全的封闭性都在逐渐增加,包括到现在,尤其是在16年乌云关闭后,对外信息的严重不对称到达了顶点。虽然很多人都在说安全这两年开始变火了,资本开始不断涌入,但是我认为是在走下坡路,有很多原因但是不方便直接叙述。同样的,资本涌入的同时,扩大市场的同时,监管力度并没有得到同步增强,这也间接导致了各种公众信息泄漏,厂家被勒索,安全产品互抄,甲方安全或者运维人员的意识放松(实在很难想象….我实习做项目就经常会进到一些单位内网,而且方式都比较简单)等问题,但是没有普通人可以去推动监管,因为没有话语权,毕竟连TK表达想法都需要想办法创建多个账号避免被封,但是仍然有真正在为行业发热的人在默默的推动这些的发展。
- 毕业后的第四个月,我也迎来了我的寒冬,1024当天离开了Agora,但是不知道为何,其实心里没有任何情绪甚至感觉挺有意思的,因为裁员补偿重新找工作这一系列是我没有经历过的,实习一直是主动跟老板提要走,感觉是反向离职哈哈,拿完n+1后很快重新转换自己的思维,以社招的身份开始写简历,总结自己这段时间的工作,大概是一个月内,主要是社招面试难度并没有我预期的难,所以offer陆陆续续也发了下来(车企和字节给我的面试感受极为不适),然后入职了现在的公司。这半年时间做的事情不是很多,因为是甲方,更多的时候是在写脚本做排查跟新需求,所以这段时间混了一些水cve,阅读实现完了go安全开发这本书,熟悉了一下windows下的api和一些域环境攻防,再有就是阅读应急响应手册(推荐意大利的猫应急响应手册,很多不错的case用于扩展知识面),有点后悔没有跟进Grafana和jwt(这个现在还在我的文档里),不过看到了甲方安全合规是如何玩耍的了,而且十点半上班还能下午五点半打球实在很爽了,这段经历就当成美好的回忆了。
技术能力与技术焦虑
行业的天花板太高我没法接触到,很难定义技术能力的高低,我只能记录一下我认知中的技术。
传统攻防现在会很吃开发或者是运维能力。因为安全厂商这些年的积累和某些政策倒逼甲方提升自身安全能力,直接导致应用层对抗层出不穷,尤其是近几年的安全厂商,已经细分到了每条不同赛道上甚至是每个需求上,比如各类Webshell检测,容器检测等,虽然他们不一定做得很完善,但是也已经有一定趋势了,这也是我一直在关注和追求的点。有做供应链安全的比如墨菲sec,有做语义waf的长亭科技,做内存安全的安芯网盾,做威胁情报的后起之秀微步在线(我对这家公司印象很好),主机+容器安全的青藤云(印象也不错)等等,API安全的话就挺一言难尽的。
在我实习的时候,这些安全产品并没有特别完善,比如青藤云20年才举办webshell检测比赛,当时出现的各类样本属实让我长了见识,原来还能这么玩!但是现在就的确有点小卷了,一个是安全圈子封闭,新的样本不容易看到,二个是产品的迭代速度太快,很多刚发现的小点子马上就会进入到特征库。所以现在对于高价值目标的实际渗透(非src测逻辑或者是捡漏测常规漏洞),大概率是和这些安全产品对抗+各类组件0day+各种非技术方式,外网首先要考虑waf,厂商sdl的实施程度等,内网就得考虑windows域,蜜罐,态势感知,流量设备等。但是这也是乐趣所在,人和人的对抗是很有意思的
现在或者未来的安全人才大概率是开发佬或者是网络佬来降维打击…….因为我已经体验过很多次了,最近一次就是之前提过一嘴aliyun-cms-grafana插件问题,后面细跟的时候发现已经有开发者提过issue了,而且他给出了完整的修复方案和替换措施,可能在他的眼里,这只是日常一个小case。所以这也是我的不足之处,未来的长期目标就是提升开发能力,深入开发先当个优秀的码农再来谈安全,如果我还在大学里,我肯定不会很早去实习,cs的408实践是很重要的,理论搭配实践maybe会更适合在校的学生提升核心竞争力
关于技术焦虑,确实,不管是渗透还是安全开发,亦或者是更深入的红队,二进制选手,都不是普通人可以做的,但是在普通技术人员身上只能算得上是一门手艺,可替代性太强,熟能生巧后就是熟能生厌,再后就是纯体力活,依靠花费时间出卖自己的体力劳动获取对应报酬,本质和木匠师傅无差。这也是我在思考的问题,我22岁现在,应该还算年轻,但是已经不想在所谓的互联网高薪蜜罐中继续呆下去,一是体验过后也就那样,当初考研也是为了可以在年轻的时候可以接触更多的领域,一个是想拥有事业,是的,工作只是工作,不是事业……..所以闲暇之余除了码代码,也一直在不断了解安全市场的实际需求和问题,包括是服务大市场,还是专精一个细分群体市场,亦或者是走类似目标就是被收购的初创路线。运气很好遇到了几个有同样想法并且爱折腾的小伙伴,但是现实和理想碰撞的声音是很刺耳的,尤其是最近在和几个甲方爸爸们了解需求的时候,我听完后直接心里犯嘀咕这都啥啊……….,售前和需求实现对我一个小IT民工来说有点小难,不过我们还是很有信心把这件事情做好的,毕竟年轻嘛,脸皮厚是正常的,大不了吃亏后重来。
说到底,如何解决技术焦虑,就是如何看待自己现在或者是未来规划中自己拥有的能力,如果只是为了上班混口饭,那没事,如果是想做点好玩的事情,可能就需要其他的“技术”了。如何量化能力高低,就是看解决同样的安全问题我们和别人付出的成本差距是多少,转化成乙方视角,也可以看同等问题,客户需要付出多少才能解决他们遇到的安全问题。所以还是得给自己制造紧张感,毕竟还有更多的人在前面,我还是很想去追赶这些优秀的人的,所以需要提升自己在行业的影响力…..
我的后期大概率是深入系统或者网络,视精力而定,先把一件事做好,我现在还是认为这两大哥才是最本质的安全攻防,web安全,云安全(上云貌似还早得很),安全开发啥的都这两大哥的实例化的一个对象罢了,当然web3也是机会(但我不确定是机会还是诱惑蜜罐,苦恼于信息渠道太窄,持续观望吧还是)。顺便逼迫一下自己下个Q把之前的东西都重新记录完整!
生活
上海是我目前感受到文化最开放和包容的城市,没有之一,之前预想可能发生的坏事情都没有发生,反而都是前辈们给予照顾,基本没啥事情,大学路的小酒馆真的是美妙,就是太贵了消费不起。七月份开始工作后还没体验过深夜加班做应急哈哈,还有很nice的小伙伴,附一张小基友照,只是可惜了海南和坡县之旅。
