V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
0xMxx
V2EX  ›  职场话题

浅谈网安十年感受

  •  1
     
  •   0xMxx · 2023-12-11 14:18:20 +08:00 · 5863 次点击
    这是一个创建于 381 天前的主题,其中的信息可能已经有所发展或是发生改变。

    毕业十周年之际,随便发发牢骚,记录下当下的感受。十年前误打误撞入了网安的门,随便聊两句,可能同行但每个人接触不同,感受也不会完全相同,我不是科班毕业,也不合适透露具体信息,只谈谈自己的一些认识给大家参考。

    1.我个人认为最重要的一个理念:零信任原则。第一次见到这个概念的时候我也不太当回事,经历了一些事情后才认识到其重要性。也算是完成了从理性到感性,再到理性的认识。其实就一点,防范来自内部的风险,好比 vx 里的亲戚朋友、身边的同事等等,所有的信息都需要 double check 。再比如,现在新出的防火墙和以前的已经不一样了,以前的只能防范来自外部的流量,现在的很多都已经能发现内部风险。这几年电诈之所以从亚洲蔓延到欧洲,社会工程学的技术栈也在“产业”实践中补全,并且还在持续迭代,原因也是在此。制度的漏洞、人性的弱点一旦被技术抓住,就很难再摆脱,千疮百孔、防无可防。技术迭代,变个花样可以又来一波,很难清除。

    2.新技术伴随的风险。这两年涌现出很多的新技术,AI 、IOT 、卫星通信等等,各方资本投入很大,但在投入还没有获得足够回报之前,技术面是不会认真考量安全议题的。投产和挣钱才是第一位的,所以各位投资的时候也要考虑一下,爆个雷能不能扛得住。安全与发展在很多时候其实是矛盾的,一个是踩刹车、一个是加油门,一个是降熵、一个是增熵。musk 的 starlink 用的是不是 docker ?没研究过,不过大概差不多,其安全性的考量有进程白名单吗?有封装底层系统吗?再比如,IOT 设备实际上就是一台低性能计算机,一旦成为脆弱点被突破,那整个内部网络都将面临安全威胁。还有最近已经开始出现大模型数据被污染的情况,AI 编程的程序还是要多留个心眼。

    3.我想做啥?网安不只是 bug hunting 。bounty hunter 是最闪耀的明星,但大多数工作都是平凡的,流量分析、安全审计、溯源取证,接触各种协议算法 Kerberos 、TLS 、ECC ,接触各种设备路由器、IOT 设备、防火墙,看各种网络拓扑、配置。我其实做开发的时间有限,分析、研究和解决问题才是工作的主基调。我没干过运维、也没干过前端,但具备的经验和能力,足以我直接上手调试一个 react+nodejs+golang 的项目,并惊讶于 webpack 的出现,直接模糊了前后端的界限。界限模糊实际已经是大的趋势了,IC 行业被 IT 行业用 TCP/IP 直接反超并甩开几十年的情况也很难再发生了,IC 行业拥抱 IP 化和 virtualization 后貌似又行了。技术在不断的发展、竞争、融合,搞技术的人打不过就加入,不丢人。 匆匆十年,青涩少年也熬成了郁郁中年,房贷要还、娃要养,平时加班无暇顾家,薪水只够糊口。这个阶段,饱尝了现实中的各种“非专业歧视”、学历鄙视、冒名顶替等不公,既不会自怨自艾、也不会曲意逢迎。但内心还是会一种渴望,想跳出圈子找到一条路,养活家人又证明自己。所以现在打算从头开始,先逐字逐句的读“Mastering Ethereum”,主要是出于对 crytographic 的喜爱,由于是非科班的,学的一些感受和理解会记录和分享。

    啰啰嗦嗦写那么多,估计也没人看。最后以中译版“Snow Crash”的的一句话结尾——“世界上充满了动力和能量,只需从中略微揩点油,一个人就能走得很远。”

    35 条回复    2023-12-12 13:55:06 +08:00
    estk
        1
    estk  
       2023-12-11 14:25:09 +08:00 via iPhone   ❤️ 2
    我以为网安是群里抓那些发敏感信息的
    ryuutanyou
        2
    ryuutanyou  
       2023-12-11 14:30:52 +08:00
    国内这个行业,怎么说呢,几个大厂年年亏损,前几年鼓吹行业缺多少多少人,潮水退去,发现都是在裸泳。
    linshuizhaoying
        3
    linshuizhaoying  
       2023-12-11 14:45:54 +08:00   ❤️ 1
    很早之前学的就是信息安全。。怕饿死,当时就转成前端了。。
    Ericality
        4
    Ericality  
       2023-12-11 14:51:08 +08:00   ❤️ 1
    一直对网安感兴趣 当时研究生也是有 cyber security 的 offer
    但是生存的压力让我选择还是在后端的路上走了下去
    c9792536451
        5
    c9792536451  
       2023-12-11 14:51:43 +08:00   ❤️ 1
    上一个网安是 program think
    BadFox
        6
    BadFox  
       2023-12-11 15:01:30 +08:00
    入行三年,关于第 1 部分只有一点点模糊的领悟,楼主能够深入谈一下吗?我预感会对我有很大价值。
    asm
        7
    asm  
       2023-12-11 15:06:27 +08:00
    感谢分享。俺这个底层的安全分析人员,看到这种大的技术战线,还是很有意义的。
    fengjianxinghun
        8
    fengjianxinghun  
       2023-12-11 15:13:18 +08:00 via iPhone   ❤️ 1
    我莱总结,除了挖大厂漏洞其他糊口都难,全行业亏损,不得已只能指望虚拟币养家。
    joyhub2140
        9
    joyhub2140  
       2023-12-11 15:19:14 +08:00
    信息安全一定要找大平台,大靠山。。。除了实力,还很讲背景和关系,要不然早晚转运维或开发。。。
    ynxh
        10
    ynxh  
       2023-12-11 15:27:33 +08:00
    网安就业难,大学很多类似专业,一个班不超过 5 个人能在这个方向就业。主要是需要掌握的东西太多了。。不像开发,入门真的快
    DarklForest
        11
    DarklForest  
       2023-12-11 16:56:46 +08:00
    十年网安无人问 一朝骇客天下知
    final7genesis
        12
    final7genesis  
       2023-12-11 17:24:34 +08:00
    意思是想转向研究加密货币吗
    qiaobeier
        13
    qiaobeier  
       2023-12-11 17:26:21 +08:00
    @estk 你那是网警😆
    Asugar
        14
    Asugar  
       2023-12-11 17:51:23 +08:00
    政策合规驱动
    fdrag0n
        15
    fdrag0n  
       2023-12-11 19:35:50 +08:00
    网安有饭吃纯粹是政策驱动,如果老板发现不要网安的成本低于处罚的成本那么网安就是伪概念
    0xMxx
        16
    0xMxx  
    OP
       2023-12-11 19:38:29 +08:00
    @BadFox 说实话我也只是亲身感受,然后结合字面的意思来理解。如果从一名防火墙厂商的角度出发,就是以前 trust 到 untrust 是直接放行的,现在要进行审计,为啥呢?因为里面会有开盲盒般的惊喜。然后举一反三,你就会有很多的例子,还比如域。总而言之,就是之前某些特殊权限的角色在安全角度,需要用一个普通甚至不受欢迎的角色来对待。
    0xMxx
        17
    0xMxx  
    OP
       2023-12-11 19:40:42 +08:00
    @fengjianxinghun 惭愧,搞了十年技术,勉强糊口。
    0xMxx
        18
    0xMxx  
    OP
       2023-12-11 19:41:46 +08:00
    @fdrag0n 不创造价值
    0xMxx
        19
    0xMxx  
    OP
       2023-12-11 19:42:44 +08:00
    @asm 太杂了就和我一样,看起来就是没本事
    0xMxx
        20
    0xMxx  
    OP
       2023-12-11 19:46:46 +08:00
    @final7genesis 开个小窗跟上技术的发展吧,也是从安全的角度去看待和学习。相比加密币,更关注共识机制、验证节点这些技术。
    0xMxx
        21
    0xMxx  
    OP
       2023-12-11 19:47:35 +08:00
    @DarklForest 感谢肯定
    0xMxx
        22
    0xMxx  
    OP
       2023-12-11 19:48:42 +08:00
    @joyhub2140 我这简历太差,进不了大厂。
    snoy
        23
    snoy  
       2023-12-11 20:45:56 +08:00
    现在不是流行搞零信任架构吗?这算是一个方向吧。不过确实需要掌握的东西很多,看了下 coupang 的招聘,网络工程师的活全干了,以太坊说真的,可能是昙花一现。
    ddoyou
        24
    ddoyou  
       2023-12-11 21:39:20 +08:00
    非科班大专仔,入网安也有 8 年了。点进来以为 OP 会讲些行业前景态势,但还是围绕的 0 信任和新技术。OP 入行 10 年,应该是网安法前就入行的了,那时候的网安是什么情况?后来在网安等保之后,合规市场养活了多少大中小厂,说实话这些厂商有哪些产品,是真正有核心技术和门槛的?现在潮水退去,行业的态势也很明显了。作为一个后辈,对 OP 的建议是,不要把自己的人生局限于网安。
    zgzhang
        25
    zgzhang  
       2023-12-11 22:10:52 +08:00
    同样做了十年安全,可能也会接近失业,服务过很多互联网企业,最大的感触是安全没有银弹,自己也没有多重要,安全也没多重要,只有自己的人生、家人才重要
    roycestevie6761
        26
    roycestevie6761  
       2023-12-11 22:18:49 +08:00
    @ddoyou 大部分产品肯定都是没有核心技术的,靠人多都能堆上去。”不要把自己的人生局限于网安“,这句话啥意思,有什么高见吗
    0xMxx
        27
    0xMxx  
    OP
       2023-12-11 22:37:24 +08:00
    @ddoyou 我现在也是开始了解下外部的环境,学门手艺混口饭吃,我也知道网安没平台、没资源干不了。
    0xMxx
        28
    0xMxx  
    OP
       2023-12-11 22:38:25 +08:00
    @zgzhang 感同身受,一起努力。
    ddoyou
        29
    ddoyou  
       2023-12-11 22:39:33 +08:00
    @roycestevie6761 网安现在状态就是,没有核心技术,一个新产品出来后,各家都能抄。基本没有技术门槛。项目成不成,决定因素是商务。网安法带起来的合规市场,政府是大头。今年在财政紧张的情况下,回款难没预算成了常态。安网的收入来源:政府合规项目锐减。
    网安法后带来膨胀的大中小厂数十万从业人员,也会因为这情况开源节流(裁员)。行业大洗牌正式开始;举一个例子,持续多年国护,网安一哥有近千人围绕这个业务转的,一但明年真的不搞了,这帮人面临的是什么。并不是这帮人技术不行,其实就是市场变了。
    0xMxx
        30
    0xMxx  
    OP
       2023-12-11 22:41:02 +08:00
    @snoy 感谢老哥回复!
    OutOfMemoryError
        31
    OutOfMemoryError  
       2023-12-11 22:46:23 +08:00
    @qiaobeier #13 有没有网络国安的概念?
    qiaobeier
        32
    qiaobeier  
       2023-12-11 23:04:07 +08:00
    @OutOfMemoryError 我们又不是阮晓寰,用不到,真的用不到😆
    princeofwales
        33
    princeofwales  
       2023-12-12 08:37:08 +08:00
    我怎么感觉前两年网安行业都活得很滋润,监管部门是不是来个检查,一般都会带着几个网安行业的厂商,或者明里暗里搞推荐。市里检查了区里再来检查一遍,省里还时不时来个护网什么的。等保、密评,多少厂商指望着这些吃饭
    fengjianxinghun
        34
    fengjianxinghun  
       2023-12-12 10:09:29 +08:00 via iPhone
    @princeofwales 别靠感觉看上市公司财报,现在是全行业巨亏+大裁员马上启动
    WoneFrank
        35
    WoneFrank  
       2023-12-12 13:55:06 +08:00
    国内的网络安全只能说是一坨大便。
    1 、产品卖不卖的出去大部分时间看的是关系硬不硬,回扣给的多不多。某信某服人和产品当糖豆卖,就价格战,就搅屎棍。100w 的项目,90w 的回扣,10w 的成本,外送 5,6 只点鼠标的猴子一年。
    2 、网安的主要客户大致这几类:1) zf 2)国企 3)金融 zf 就不说了,狗头保命。头部国企只有被人按在地上摩擦过的,挨过打了疼了,才会认真做。金融还行吧毕竟不差钱,就是每年 tm 搞那个竞测很恶心。其他?参照 1 。
    3 、攻防演练,早就变味了。以前安服,红队,漏洞这是三份钱。现在倒好,一个攻防演练让你把安服做了,外网打了,内网撸了,漏洞交了。十几家一起卷,原来 100w 的项目如今 30w 搞定效果还杠杠的。
    4 、厂商互相抄,换皮,炒概念,白嫖。目前这环境,对于不想跪舔领导,一直踏踏实实搞安全搞技术的人来说,打工是没希望的,投入产出比太不平衡了。

    但安全和其他行业不同,它的魅力就在于,技术能力和财富自由的概率是正相关的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5369 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 05:55 · PVG 13:55 · LAX 21:55 · JFK 00:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.