一篇外网对网络行业的感悟

    最近在外网看到了一篇关于国外网络安全行业的分析，看得出国外网络安全行业也遭受了经济衰退的影响，初级甚至中级渗透在可预见的未来难以找到工作，企业往往寻找具有多年经验和高级认证的专业人士。渗透测试和其他安全职位经常要求广泛的技术技能和软技能，包括多种编程语言、系统配置知识、以及与客户沟通的能力。不过国外（美国）薪资水平还是真的高呀，平均竟然能拿100K的水平。

原文内容

大家好！所以，这将是一个不同类型的帖子。出于很多原因，我试图通过我的博客和 Twitter 帐户保持个人关注。不难找出我是谁。我在LinkedIn上有我的Twitter帐户和这个博客的链接（我知道，这是一个恶心的地方），但我不会闪现它。

我不知道我以前是否在我的博客上说过这句话（我肯定在Twitter上说过），但我不是渗透测试者。尽管安全对我来说非常有趣，但这不是我的日常工作。在离职之前，我担任过很短的时间。我为什么离开？我稍后会谈到这一点。

我已经很久没有做安全工作了。我想我第一次 git 克隆东西是在 2018 年。直到 2020 年，我才拿到我的 OSCP，我失败了两次。我是一名 Linux 管理员，大部分时间都在 IT 部门工作。在从事 IT 工作之前，我曾在美国武装部队工作（不从事 IT）。所以这一切对我来说都是非常新鲜的。

我不是一个好的程序员，甚至不是那么擅长 Linux。我仍然需要对我的大部分工作进行手册页。我一直在说为什么这不能工作“chmod web.txt 777”。哦，是的，文件路径在权限之后。

我为什么要谈论这个？好吧，因为即使我不是全职从事安全工作，我仍然可以玩恶意软件开发、攻击路径和其他很酷的东西。我只是没有得到报酬。问题是，我也不对此负责。

五年前，当我开始这一切时，我真的很想从事安全工作。就像，真的很想在里面工作。小心你的愿望。我不是渗透测试者，我希望有人在我尝试成为渗透测试者之前告诉我。

就业市场

哦，我的上帝，那里有 300 万个网络安全工作岗位尚未填补！我们都听说过。

看看这些统计数据的来源。很多时候，它来自一个做什么的组织？提供网络安全培训！很奇怪吧？

我们也听到了关于什么是网络入门级工作的争论。

“他们想要 5 年的经验和 OSCP 来担任入门级职位！”

这是事实。您可以通过多种方式在渗透测试中获得入门级职位。就像一个真正的入门级职位。但你必须有一些经验。入门级并不意味着没有经验。这意味着一些经验。这在 HackTheBox 或 TryHackMe 上是没有的。Web 开发人员、系统管理员或 .Net 程序员很有可能被挖入内部团队。这将是与候选人已经成立的公司的横向移动。

没有您的 OSCP 或任何证书是现在的热门？想进入渗透测试吗？您可能需要 CS 学位，并且您必须在实习后转向带薪工作。

获得 OSCP 并立即在安永进行面试的日子已经一去不复返了。

与团队融洽相处，并过渡到安全部门。团队将了解您的优势和劣势，因此他们不会因为雇用了无法在 Nim 中编写新 PoolParty POC 的人而感到恼火或受骗。

此外，大多数安全人员都有自负，觉得有必要将他们的技术优势注入到在线的每个人身上。亲自与可以代表您与招聘经理交谈的中级操作员交谈会有所不同。

因为我们是关于就业市场的话题。现在是 2024 年。你见过裁员吗？但是，当每家科技公司都在裁员时，人们是如何渴望有才华的网络人才的呢？

对于网络人来说，就业市场是热门的，但拥有 10 年网络应用程序渗透测试经验、面向客户的咨询经验、CVE 并在会议上发表过演讲的网络人士。他们找家不会有问题。

对于关闭实时保护以运行其 MSF 有效负载的人来说，市场并不热门。

对于网络应用程序的人来说，市场也很热门。为什么？因为如果你在 Web 应用程序上值得一看，你就是在做漏洞赏金，赚到咨询公司愿意提供的 4-5 倍。

完全披露我获得了 120k 成为 Web 应用程序人员的机会。我没有接受。作为系统管理员，我做得更多。

我不了解全球就业市场，这只是我在美国看到的。在其他国家/地区可能会有所不同。我和欧盟的很多人谈过，所以他们似乎有一些机会。但谁知道呢。我确实知道，英国的渗透测试人员的收入远远低于美国。

顺便说一句，你有没有注意到现在有多少“培训”网站？这几乎就像人们教黑客比实际做黑客赚的钱多。每次我转身时，我都会看到一个新的 EDR 规避、恶意软件开发、REAL HACKER 培训课程弹出。奇怪吧？

顾问资格的

所以，你想成为渗透测试者吗？你以为你要坐在你的 Kali 盒子前开始 psexec-ing 到 DA？好。你做过启动会议吗？你有没有被拖入销售电话？你有没有被期望带来客户？

欢迎来到咨询界。您会发现的大多数渗透测试工作都在咨询领域。肮脏、肮脏的咨询世界是一个地狱洞，渗透测试人员发现自己身处其中，没有可预见的出路。

在一些公司，安全是次要的，而不是钱。客户支付多少费用？这决定了努力的程度。我相信转身和燃烧是我听到的一句话。

实际上，我曾经被告知“他们没有付那么多钱，所以随便做吧。听起来很合法吧？

很多时候，您会从与客户的互动中走出来，支付了 20k 被告知关闭 LLMNR。

在这个世界里，客户为无线渗透测试支付 15k，操作员运行 Wifite，没有握手就走开了。听起来不错，对吧？

所有的咨询公司都是这样的吗？不，当然不是。有一些非常好的人实际上花时间与客户合作，并在数月甚至数年内保护他们的网络。

如果你在咨询公司面试，要知道你要做什么。向他们询问计费时间、每次参与的操作员数量、报告要求等。还要向他们询问研究、培训和开发时间。他们如何对待这个问题？

显然，如果你不是在客户参与，你不只是坐在那里看Netflix，但你在做什么？您是否正在编辑其他人的报告，开发内部TTP？或者您是否在没有停机的情况下从一个客户转到另一个客户？

当你被困在订婚时会发生什么？你知道有些东西是可以利用的，但你无法弄清楚？这种情况经常发生在我身上，但公司不想向另一个运营商收取费用，所以没有人会看我的攻击。客户受苦了。

内部团队总是更好。通常没有那么多报告，如果有报告，可以由整个团队处理。或者，如果团队速度足够快，请配备一名技术作家！

初级渗透测试人员需要了解他们对咨询公司的看法。在商业世界中，如果你不给公司带来资金，你就会让公司付出代价。渗透测试人员不会带来金钱，销售人员会带来。

渗透测试仪是该公司的产品。他们将渗透测试在指定的时间内出售给客户。如果你超过那段时间，你不会让客户花更多的钱，你会让公司花更多的钱。

作为渗透测试人员，您可以与拥有同样多技能但价格较低的人互换。在这个就业市场中，有很多高技能的运营商在 Rapid7 给他们靴子后迫切希望获得抵押贷款。认为他们不会花 90k 找到一份工作，这样他们就不会收回他们的房子吗？是的，好的。

不幸的是，由于进攻性安全培训的兴起，那里的“黑客”比以往任何时候都多。初级甚至中级渗透测试人员会发现现在很难找到工作，而且可能在可预见的未来。我的预测是，这只会变得更加困难，我们将看到拥有网络证书的人试图进入其他IT领域，如云、系统管理或Web应用程序开发。

薪水

认为你会赚 150k？再想一想。高级渗透测试人员将赚到非常多的钱。当我还是渗透测试员时，我赚了 120k。这比我当时作为系统管理员的收入少了 5k，但我接受了这份工作，因为我想从事安全工作。

是的，你没看错。我减薪进入安全行业。

如果您获得报价，它将在 85 到 120k 之间。这是事实。听起来不错，但作为 Azure 管理员，你可以赚更多的钱。当我从安全过渡到系统管理员时，我又赚了 40k。我不必处理报告、客户或计费时间。

我已经通过私信告诉了几位安全人员，有几个人说他们正在认真考虑离开安全部门，因为他们每周工作超过 40 小时，而且赚的钱不多。

当我作为渗透测试人员工作时，我每周工作 60-65 小时。我觉得好像这是在默默地期待的，就像团队中的其他人一样。这就是现实。你不会朝九晚五地工作。安全将是你的生命。当您不参与订婚时，您将被要求通过新的热门课程来升级。

您将有望获得最新的 OffSec 证书，开发新颖的 AMSI 旁路，等等。这都是下班后。有没有注意到有多少美国安全人员在午夜后发推文？有没有注意到有多少美国安全人员倾向于在周六下午工作？

技能

你能用 C、C#、python、perl、ruby、nim 和 rust 编程吗？你能用 bash、perl、Powershell 和 VBscript 编写脚本吗？是的，我也不是。对于许多渗透测试公司，您需要了解编程。他们甚至会给你一个编程挑战（也许是 2 个）。

渗透测试真的需要编程吗？有点看情况。您应该了解编程的基础知识，尤其是 C# 和 C 中的 WinAPI。您是否需要分析漏洞并在必要时重写它？是的，你会的。无论漏洞被编码为什么。

渗透测试人员应成为从 .Net 编程到 Cisco 交换机配置再到 Java 反序列化等各个方面的专家。你知道哪些 BitLocker 绕过？您是否曾经设置过流氓 AP？你知道如何为网络钓鱼设置DMARC和SPF吗？

这是一些东西。你有没有建立过基础设施来做战争拨号？这是我接到的一项实际任务。如果您不知道那是什么，请查找它。这是他们在 80 年代做的事情，我被要求在 2021 年这样做。

这些只是技术技能。当你掌握软技能时，你也会有很多事情需要满足你的期望。当试图向 CISO 解释您的植入物被检测到并导致冲突消除是预期行为时，如何保持沉默？

在技能方面，您将被期望熟记于心，或者能够在大约 30 分钟内学会它。快！运行 secretsdump.py 的语法是什么？

订婚

当你进入安全领域时，没有人会告诉你一些事情。你在 OffSec 实验室学到的所有很酷的东西，甚至你自己做过，你可能无法真正做到。

告别基于 Powershell 的攻击。当我还是渗透测试师时，他们是不允许的。为什么？因为它“可能”被检测到。我基于 PowerSploit 进行的整个培训？不得不另辟蹊径。

这是另一件事，有兴奋剂植入物吗？认为您要将 EXE 放在目标上吗？再想一想。当我还是渗透测试者时，我不被允许将任何东西放到磁盘上。为什么？因为我“可能”忘记了他们，也因为他们“可能”被发现。

那个 BYVOD AV 杀手怎么样？哈哈。好。你真的认为你的经理会让你在客户目标上杀死 AV？不会发生锣。我更改了一个注册表项以打开 RDP 以横向移动到 SQL 服务器，每个人都崩溃了。

显然，真正的 APT 可以使用一些策略来破坏客户端的环境，因此对手模拟和对手操作之间的界限会根据您的 TTP 来回移动。

在某些情况下，更改计划任务的参数以获取远程代码执行是可以接受的。在其他情况下，你真的可能会破坏一些东西。

例如，一些公司将对分段的客户端网络进行模拟勒索软件攻击。但是，如果你正在测试一个生产环境，你确实要小心你所做的改变。

我要说的是，你将无法在客户端网络上实现全自动。许多参加渗透测试的人不明白这一点，并认为他们在 CRTO 考试中所做的会减少芥末。你的公司将是限制性的，比你想象的要严格得多。

EDR的现实

人们没有考虑的另一件事是 EDR 的现实。EDR、SIEM，无论你想怎么称呼它，在客户端网络中都变得越来越普遍。

由于人工智能，基于行为的检测将在未来 10 年内接管。越过这些防线只会变得更加困难。总会有办法吗？当然，但无论行业是否愿意承认，在运营商停止寻找进入的方法后，许多公司将开始每年或每季度进行一次渗透测试。

想象一下，向一家公司支付 40k 的红队参与费用，却被告知运营商无法跳出他们的初始输入框（客户提供）。首席信息安全官是高管。他们希望看到价值。而 4 万美元的 Nessus 扫描并不能提供很多东西。事实上，被告知操作员无法跳出盒子是倾倒渗透测试的更多理由。

这要追溯到该行业最近的裁员。认为我错了？没关系。也许我是。只有我的 2 美分。

我明白了

看，我明白了。我们都想得到 pwn 的报酬。问题在于，黑客业务与OffSec Proving Grounds或HackTheBox Certified Anything网络有很大不同。

如果黑客是你的梦想，那就去做吧！只要为它将要发生的事情做好准备。我不是想让初级甚至中级的渗透测试人员气馁。但是，如果我知道在黑客的现实世界中会是什么样子，我可能会继续做一个系统管理员，然后去考我的RedHat认证工程师证书（这是过去5年的工作！

如果你对 Web 应用程序感兴趣，那么漏洞赏金的竞争越来越激烈，但你仍然是自己的老板，许多人专门从事 2-3 次攻击（XSS、注入等）。

有了这个，我就交给你了！去帮我把一个EXE放到客户端网络上的磁盘上吧！