网络安全听起来光鲜亮丽,仿佛站在科技最前沿、肩负守护国家与民众安全的英雄使命。但当你真正入行之后,现实却给了你一记响亮的耳光:
- 赚钱了吗?
可能赚得不错,但未必比其他行业轻松;这背后往往隐含着巨大的技术压力与责任考验。 - 头发还剩多少?
行业的长夜加班,理发师早已劝你:“别剃光头了,保留一丝理想的余温吧。” - 有对象了吗?
代码与日志往往比人情味浓,爱情在这里似乎被安全策略取代。 - 找到理想工作了吗?
理想与现实的差距常常让人哭笑不得。
【补充说明】作为长期在一线打拼的安全专家,我见证了太多新人怀着满腔热血入行,最终却被“脚本小子”标签所困扰。技术的深度与宽度决定了你能否摆脱浮躁,走上真正的安全研究之路。
如今,行业缺口固然巨大,但关键缺少的是能深入底层、持续创新的人才。大多数新人在入行前誓言拒绝做“脚本小子”,但现实却往往让他们屈服于日常琐碎的自动化运维与简单漏洞扫描。那为什么仍有如此多人义无反顾?
- 薪资神话:
各种“高薪就业、前景无限”的宣传,看似诱人,实则暗藏重重考验与不确定性。 - 培训机构收割:
一批又一批的韭菜被高价培训课程收割,学到的知识往往浮于表面,缺乏真正的实战沉淀。 - KOL推荐:
“大佬推荐”的课程、安利不断,卖课的收益竟然有时比实战攻防来得丰厚,这也反映出行业浮躁的一面。
【补充说明】在我多年工作经验中,真正能够深入研究漏洞、构建高效防御体系的人少之又少。只有在实际攻防对抗中历经磨练,才能真正理解技术背后的风险与机遇。
外行人的刻板印象
- "你们是不是黑客?"
不是,我们是被迫当“打工人”的安全工程师。 - "是不是看监控的?"
也不全然如此,毕竟我们不仅盯日志、流量和预警,更要不断深入分析和预判攻击路径。
- "打螺丝的工资 = 造火箭的技术"
- "安全人太多,岗位太少"
- "企业预算减少,安全团队频遭裁员"
不少公司直接裁掉整个安全部门,裁员比例有时高达30%以上。裁员时的优先级往往是
-
年龄大的(30+或35+的人,似乎已被视作“高龄风险”)
-
没项目的(长期无事可做的安全团队,显得毫无存在感)
-
没后台的(没有“关系背景”的技术人员,似乎更容易被淘汰)
-
啥也不会的(眼高手低、基本功不扎实的人,早已成为裁员黑名单中的常客)
【补充说明】裁员现象折射出行业内卷的深层次问题。企业在追求短期成本优化时,往往忽略了对安全长远投入的必要性。而年轻、便宜、能加班的人则成为了市场上的“香饽饽”,但他们是否具备足够的抗压和长远发展的能力,仍需时间验证。
内卷原因
-
学历门槛提高:从过去“不看文凭”到如今基本要求本科及以上,甚至全日制学历,这种转变使得人才竞争更加激烈。
-
技术要求提高:仅会简单漏洞扫描已远远不够,必须掌握漏洞挖掘、应急响应、甚至跨平台代码审计等全栈技能。
-
跨行转入:网络安全的广阔前景吸引了各种背景的人士,从医学生到厨师,从外卖小哥到艺考生,入行门槛看似低,但真正能脱颖而出的却寥寥无几。
【补充说明】内卷不仅仅是数字游戏,更是能力与沉淀的较量。真正的安全专家是经过不断实践、不断磨砺而成长的,而不是靠刷脚本、复制粘贴就能混日子的。
企业虽离不开安全,但他们的生存法则却常常是“先活下去,再谈安全”:
- “没有安全事件 = 这个部门没用”
- “发生安全事件 = 这个部门没用”
安全厂商的产品和服务价格不菲,但一旦设备到期,企业往往宁愿选择续费或外包,而非深耕内部安全体系。渗透测试团队不仅需要做漏洞挖掘,还要兼顾安全运营、应急响应等多重任务。
【补充说明】在我看来,未来企业对安全投入将更加谨慎且理性。真正能从根本上构建安全体系的,必然是那些在技术上不断突破和创新,同时在管理上能整合多方资源的安全团队。
不同岗位之间并非孤立,而是相辅相成。优秀的红队可以不断挑战蓝队的防线,而蓝队的完善反过来又促使红队技术不断进步。每个岗位都需要跨领域知识和实战经验,这也是我们多年实践中深刻体会到的真理。
【补充说明】在大城市岗位较多,但小城市的安全需求也在悄然增长;外包岗位与原厂岗位的比例提醒我们,选择原厂更能获得系统性的技术沉淀。
-
物联网安全
-
车联网安全 -
Web安全 -
APP安全 -
小程序安全 -
云安全 -
大数据安全 -
内网安全 -
应急响应 -
红蓝对抗
不同方向要求各异,基础必须掌握的是常见漏洞(如OWASP Top10)、代码审计、系统加固以及应急响应等。进一步则需根据方向补充掌握主机安全、云平台安全、大数据安全、车联网防护、物联网安全等知识。
【补充说明】技术更新迅速,只有不断学习、不断实践,才能真正适应不断演变的威胁环境。基础扎实,再加上针对性深耕,才是走出“脚本小子”阴影的唯一道路。
一句话:卷但这“卷”并非盲目加班,而是要在以下几方面精益求精:
-
技能专精:选择一门技术,深耕到专家级别,其他技能作为辅助支持。
-
证书加持:公司报销的证书考试,多考多积累,为自己加分。CISSP、CEH、CISM等认证虽非万能,但能证明你的专业能力。
-
人脉建设:与领导、客户、同事保持良好关系,有时“关系”比技术更能决定命运。
-
信息动态:时刻关注网络安全领域最新动态与招聘信息,避免因信息闭塞而措手不及。
【补充说明】30、35岁不仅是年龄的界限,更是转型与晋升的关键节点。年轻人固然有活力,但长期积累的经验和深厚的技术沉淀才是你在内卷中立足的底气。规划好自己的技能升级和管理层次,才能在行业激烈竞争中稳步前行。
-
思维训练:8.2应急响应8.3安全运营8.4渗透测试8.5HW【补充说明】技术方向没有捷径,只有通过不断的实验、失败与总结,才能真正掌握实战技巧。理论与实践相结合,才是你在未来攻防战场上立于不败之地的保障。 -
紫队、蓝队、红队各有分工;蓝队需要做好资产加固、威胁分析与应急响应,而红队则专注于信息收集、免杀、社工及代码审计技术 -
攻防对抗体系: -
建立完整的POC技能库,从信息收集到内网、域、工作组渗透,逐步完善攻防能力 -
信息收集与实战演练: -
不仅要熟练使用Wireshark、SIEM等工具,还要具备撰写报告的能力,确保技术与文档并重。 -
监测与响应: -
工具与人工结合的排查,真正做到一问便知、一查即解。 -
熟悉各种操作系统(Linux、Windows)入侵排查方法,具备病毒勒索自救方案。 -
流程标准化: -
实践能力: - 若技术不过关,再好的思维也无济于事;必须建立自己的技能库,持续更新研究成果。
- 培养逻辑思维,熟悉WAF绕过技巧等。
- 技术储备:
-
内网资产: -
台账管理: -
是否有台账(是/否) -
是否记录得清楚(高/中/低) -
保存方式(专人保管、加密存储、访问控制) -
资产类型: -
服务器、数据库、终端设备 -
内网个人电脑: -
安全漏洞: -
系统版本(Win7占比>80%) -
未修复补丁(高危漏洞列表) -
安全策略: -
防火墙规则(出入站策略是否最小化) -
密码策略(弱口令/默认密码/重复密码) -
管理架构: -
域控(AD)或工作组(分散管理风险) -
安全检查频率(每月/季度/从未) -
安全设备: -
设备覆盖: -
防火墙(状态:已部署/未部署) -
IPS/IDS(策略优化:是否存在any规则) -
流量探针(监测范围:仅核心区域/全部区域) -
是否存在安全漏洞 -
联动能力: -
设备间信息共享(如SIEM集成) -
业务: -
邮箱安全: -
弱口令(存在/不存在) -
Nday漏洞(如Exchange漏洞) -
SMB/FTP等服务: -
未授权访问(是/否) -
弱口令(是/否) -
Nday漏洞
-
其他业务: -
Nday漏洞
-
网络架构: -
维护管理: -
专人维护(离职交接文档完整性) -
路由器/交换机: -
口令强度(弱口令/重复口令) -
修改周期(定期/从未)
-
互联网资产: -
资产梳理: -
未登记资产(如影子IT) -
敏感信息泄露(GitHub、网盘) -
业务安全: -
Web应用漏洞(SQL注入、XSS) -
小程序安全 -
APP安全 -
云安全 -
安全设备: -
设备漏洞: -
WAF/防火墙存在已知漏洞(如CVE列表)
-
安全意识: -
培训机制: -
定期培训(频率:季度/年度/无) -
钓鱼演练(点击率统计) -
钓鱼防御: -
邮件附件(如简历.zip检测) -
客服钓鱼(伪造工单识别) -
制度与执行: -
规章制度: -
安全流程(严格/松散) -
部门协作: -
跨部门协调能力(高效/低效) -
安全检查: -
渗透测试(内网/外网频率) -
漏洞扫描(自动化覆盖率)
在往后的网络安全生涯中,技术、管理与人文关怀缺一不可。面对内卷、裁员和市场不断升级的挑战,我们需要:
- 保持持续学习和实战演练,
不断更新自己的技能库。 - 构建跨部门、跨团队的协同机制,
让红蓝对抗相互促进。 - 理性看待市场宣传和虚浮数据,
以实战为依据,构建真正的安全防御体系。 - 规划好职业发展路径,
在技能和人脉两方面齐头并进,迎接未来更多的不确定性和挑战。
【补充说明】网络安全从业者不仅需要面对技术上的高压,更要时刻保持清醒的头脑。只有不断充实自己、沉淀经验,才能在这场永无止境的攻防战中立于不败之地。
在此,衷心祝愿每一位在网络安全领域辛勤耕耘的从业者:
- 愿你们在未来的职业道路上披荆斩棘,勇往直前,技术日臻成熟;
- 愿你们每一次攻防量都获得增长,每一次实践都带来新的启迪;
- 愿你们的努力不仅能数字守护世界的安全,也震惊自己赢得事业上的辉煌;
- 愿你们在追求卓越的路上,不忘初心,与家人朋友共享平安与幸福。
祝愿大家在网络安全上一条充满挑战与机遇的道路上,前程似锦、事业有成、心想事成!
原文始发于微信公众号(一个努力的学渣):网络安全行业:从光环到现实的冷思考
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论