1. 持续的事件压力和实时响应

网络安全团队经常处于待命状态，因为勒索软件攻击或数据泄露等事件需要立即引起注意。高级持续性威胁 (APT) 也可能几个月都无法被发现，需要分析师仔细梳理日志以识别渗透点，尤其是在潜在的实时攻击期间压力很大的情况下。因此，SOC 和事件响应团队通常在严格的 SLA（服务级别协议）下运作，以响应时间，这增加了每个警报的紧迫性。由于制定了多个规则和用例，大型组织或客户中的警报很频繁。

我不知疲倦地处理了数千条警报，其中 96% 都是误报，这很累人，而且经常要反复触发类似的警报。在某些情况下，您可以进行微调，但由于组织性质及其提供的产品或服务，大多数情况都无法进行微调。

2. 需要不断更新知识

网络安全具有高度动态性，要求专业人员随时了解漏洞（例如 CVE）、漏洞利用技术和防御策略。新的框架和工具（例如 MITRE ATT&CK、Caldera）或特定的 SIEM 和 EDR 更新意味着必须进行持续培训。威胁情报平台 (TIP) 提供新的入侵指标 (IoC)，这要求专业人员定期重新配置和调整检测机制。

我个人不相信认证，因为大多数认证要么是 CTF 题，要么是多项选择题，分析师们只能死记硬背才能通过考试。现实中的黑客和认证考试不一样。虽然你确实需要不断学习，但我并不是认证的粉丝，尽管我并不完全反对它。

3. 孤立和有限的交流

由于安全操作的敏感性，SOC 团队或威胁猎手通常在隔离、受限的环境中工作，以避免内部泄密并确保数据保护。例如，从事内部威胁检测工具工作的分析师可能不会公开讨论其工作细节，甚至不会与其他部门讨论，从而形成一个孤立的环境。FIPS-199 等数据分类规则进一步限制了对某些资源的访问，从而加强了这种隔离。

SOC 分析师通常每天要面对数百到数千条警报，尤其是在处理未优化且会产生过多噪音的 SIEM 配置时。如果没有 SOAR（安全编排、自动化和响应）等自动化工具，高误报率和长时间的警报分类很快就会导致分析师疲劳。定期轮换（如红蓝队演习）有助于缓解这种情况，但持续的需求仍然会导致倦怠。

5. 预算和资源限制

安全预算通常受到限制，限制了采用高级 XDR 解决方案或专用威胁情报平台等工具。例如，一家公司可能不会同时为 DLP（数据丢失防护）解决方案和 EDR（端点检测和响应）工具分配资金，从而迫使安全团队在保护措施上做出权衡。漏洞管理程序通常会受到资源限制的影响，导致某些系统无法修补。

对于肩负如此重要责任（确保组织安全）的网络安全人员来说，我们的薪水肯定不高。至于购买工具，预算也会造成安全方面的缺口，因为组织并不总是能负担得起最好的工具（并不是说有最好的工具），但拥有多种工具肯定有助于更好地保护组织。

6. 缺乏对安全成功的认可和可见性

有效的网络安全通常会导致“看不见”的后果，即没有发生任何事故。尽管事故是在幕后预防的，但这可能导致人们认为网络安全“过于谨慎”或成本过高。许多公司只重视事后安全，导致被动而非主动的安全投资。

在我之前的职位上，尽管我的团队负责确保产品的安全，但认可往往归于开发人员和产品团队。

我们每个人都被分配到一个特定的产品，因此任何开发变更都不能投入生产，除非我从安全角度亲自审查和批准。

由于没有得到认可，与我有过互动的来自不同团队的大多数员工都不知道安全团队是什么以及他们做什么。

所以你的认可就此消失——在垃圾堆里！

7. 按需和不规律的工作时间

安全团队必须能够立即做出响应，尤其是对于可能随时发生的涉及数据泄露或零日漏洞的高严重性事件。例如，可能会发布针对 Log4Shell 等零日漏洞的紧急补丁，要求所有人员在标准工作时间之外应用修复程序。这还可能涉及与托管服务的供应商进行协调以及跨时区协调。

这意味着你的周末永远不能保证是空闲的。任何违规迹象，甚至是违规可能性，都可能需要立即关注。对于 SOC 团队来说，周末值班轮流贯穿整个安全层级，因此每个人都轮流待命，随时准备在需要时做出响应。

8.“进攻方优势”与防守漏洞的挑战

在网络安全领域，防御者的任务很艰巨。攻击者可以搜索并利用任何薄弱环节，而防御者必须保护每一个可能的切入点。即使在最安全的环境中，新的攻击技术（如“离地攻击”或 LOLBins）也在不断涌现。在这些攻击中，黑客使用系统中已安装的合法工具，这有助于他们绕过许多用于检测陌生软件或代码的传统防御措施。

为了解决这种不平衡问题，安全团队使用了零信任之类的框架，该框架的工作原理是假设没有持续验证，任何用户或软件都无法被信任。但即使有了这些保护措施，攻击者仍然有可能找到一个被忽略的漏洞，并利用它来入侵。

结论

从事网络安全工作不仅仅需要技术知识；它需要应变能力和战略思维来处理高压力事件、有限资源和不断演变的威胁。进攻方（红队）和防御方（蓝队）都需要敏锐的调查思维，并具备分析日志、数据和事件以检测和了解漏洞或漏洞的技能。

这项工作回报丰厚，但需要做好应对复杂且往往隐藏的挑战的准备。要取得成功，您需要能够应对这些要求并保持专注，即使在情况紧张且资源紧张的情况下也是如此。

原文始发于微信公众号（KK安全说）：安全的岗位薪资的构成