据我和朋友们观察,10 多年依赖在同一个公司同一个级别上的工程师,大多数安全比运维和开发的工资高,但 CTO 大多来自运维和开发,鲜有从安全晋升来的
本质上,安全行业是由理解网络攻防的人为核心构成的。只有以攻防为主线,和以安全咨询体系为主线的人才是和安全行业绑定的
安全管理的趋势:
- 企业安全管理最终都会向互联网公司学习
- 云是一种趋势
- 倾向于以技术和产品(工具自动化)解决问题
如果你是体系架构型、技术复合型人才(俗称全栈工程师)、特定技术方向专攻型人才以后会受市场青睐
甲方安全建设的多样性使得分工越来越细,但如果长时间做很细的一块儿也可能导致没有成为领域专家却“偏科”得很厉害,T 字形人才通常比较受欢迎,最好是甲方乙方都待过,所有的套路你都会了,无死角
价值一方面跟人才市场的供求关系有关,一方面也跟学习成本高低、获取技能的难易度有关。另外,技巧永远不能代替技术,过分迷恋于技巧对长足的发展没有好处
而后来随着 IT 在社会生活中实用化的程度越来越高,业务越来越多的依赖于IT,I 的多样性和 T 的复杂度成倍提升,使得安全的需求也越来越广。单个从业者的技能不大可能通吃全部,大点的机构开始把业务安全独立出来,分工越来越细,人研究的内容则越来越专。安全团队中开始加入开发和运维,基至还涉及硬件领域,也许以后的安全团队就是一个什么人都有的兵器库,对个人来说一方面你到底需要多前沿的铺垫才能不落后,另一方面则要考虑将自身定位收缩于
哪些点才可能挖到最深。视野一定是尽可能的宽泛,是一个”放”宇,但落到实践一定是一个“收”字,以如今的技术复杂度你不可能样样精通,只能挑几个
关于创业、如果你原先是做安全产品研发,能带一支完整的团队出来,做的产品属于下一代类型或者干脆就是市场空白,不妨尝试一下,其他的类型我认为创业的成功率应该比较低
如果有条件的话,多接触技术大牛和资深从业者,适当关注一下安全以外的
新技术趋势
近年值得关注的几个方面:
- 从传统的乙方专业安全公司到大型互联网甲方的视角转换问题
- 纯安全技术和业务的结合点
- 安全研究如何转化为实际的价值
乙方往往追求的是通用型的解决方案,广而不深,重于安全而轻于业务,为了交付验收更多地追求可用性而不是检出率,为了避免线上系统的变更风险很多有实际意义的功能不会开启
沟通能力一推动安全策略落地:并不是真正意义上的能力,能上得了厅堂的推动能力是你很熟悉互联网公司的运维和开发,熟悉所有场景的风险缓解措施对业务面的影响,并且知道当安全给运维和开发带来阻碍时,运维和开发在新的安全机制下对应的自我改善措施是什么,在推动安全策略时就能无往而不利。比如当安全拦截设备降低系统的并发能力的时候,你了解哪些是比影响到用户的每个请求应答时长难以改善的,哪些是吞吐量可以通过堆机制改善并发用户总容量的,如果你只有一个解,往往相当于给运维和开发出了没有选择的难题,而你又不能提供对应的解决方案,那结果自然是僵持不下
Google 的三篇大数据论文带动了整个行业的技术发展,安全方面也开源了 Native Client 沙箱,国内的安全研究者是否也能往这个方向稍微转一转:提出问题,同时提供一个更好的解决方案