甲方招人不易,各大公司用尽奇招,出卖技术带招聘,顶着大油头上招聘直播,软硬兼施请小姐姐为招聘代言...这背后都是什么情况?这次来聊聊这个话题
一、招聘吐(hao)槽(nan)
这是一件因吐槽而引起的文章,为什么要吐?无他、太难了!!!君不见现在各大公司招人用尽奇招,技术文章后面必跟招聘广告已成标配不说,大佬们顶着油亮又稀缺的发型奔赴直播现场,只为求得一员。
一方面反映出安全行业人才缺口极大,但另外一方面又有大量的简历和候选人被过滤掉,想来这里面是不是出现了某种认知偏差?
为啥?最直观的感受是发出去的JD,收到的简历中70%以上都是渗透类,然后里面90%又都是web安全类的简历,实习生也是如此,70% - 80%都是web安全方向的,安全其他方向的完全不在一个数量级上。
安全各个方向都是精彩纷呈啊!然后一次群里吐槽后,萌生了这篇文章。
SO...带着一众大佬还有腾讯安平lake总的寄(tiao)语(kan),小议下安全职业,因为我主要工作经历在甲方,所以仅从甲方角度来谈,另外高度和格局有限,内容仅供参考,不服来辩!
二、甲方安全的变迁
记得参加第一份正式安全工作是在2004年,安全还处在很容易与网管划等号的时代,了解一点的会说:“杀毒的吧!”,不懂的会说:“在哪个商场当保安啊,很辛苦吧!”。
现在安全已经有了翻天覆地的变化,不管是安全变为国家战略,还是国家安全周、首都安全日等宣传,让更多人对安全有了更深入的认识。
安全行业本身在公司的重要性也在不断提高,从网管兼安全,到归属运维,再到平级,再到出现CSO、CISO,而分工也越来越专业化,有了更精细的部门岗位划分,以及出现了较明确的职业发展路径。
这个过程和企业业务的发展其实是强关联的,而且随着企业业务形态的变化,安全的关注重点也在不断的变化,例如:
终端/网络安全:2000年左右终端/网络安全是关注重点,尤其是CHI、冲击波、震荡波等蠕虫爆发,以及大量终端漏洞被工具化抓肉鸡,让企业对安全有了初步直观认识,但多数公司安全是网管兼职状态,甲方少有全职安全团队;
web安全:在2000年后web2.0的发展,一批互联网公司兴起,由于业务依托web服务直接暴露在公网中,瘫痪业务挂黑页让互联网企业经营直接受到危害,一些先行的大互联网公司组建了全职安全团队;
业务安全:在web2.0发展的同时,电商、网游也是互联网第一波红利行业,带动了最早的一批职业黑产,比如外挂、私服、刷单,业务安全这个领域也有了细分,甲方也有了独立业务安全部门,专注在特定领域;
移动安全:2013随着4G的发布移动时代迎来了大发展,业务纷纷转向移动端也带来了重新打包,仿冒,外挂等黑产,也催生了移动安全市场;
云安全:移动时代的同时对企业市场还有个重大影响是云化,业务云端迁移的过程也给甲方安全带来了很多变化,公私有云的融合带来安全架构变化,比如内部安全被弱化;
安全合规:2011年CSDN等一系列网站密码泄露让社工库成了必备“工具”,随后国内外一系列事件,到2017年网安法、18年GDPR颁布、数据和隐私安全成了合规热点,甲方可有可无的合规岗位变的越发重要,也催生了全知科技这样的先行者;
其他:还有很多如IOT安全、内容安全等,这些不再独立列举了,能简单回顾下安全关注的发展过程就好。
那么这些给安全职业发展带来的是什么?即业务类型越来越多变,安全也越来越复杂,分工和需求都越来越专业化。
三、甲方职业发展
如果用前文的关注点来分析,会发现安全岗位在逐渐细分,例如:
为了解决web安全问题:细分为以黑盒为主的渗透测试、白盒为主的代码审计,评审为主的SDL工程师等;
为了解决业务安全问题:细分为外挂防护的逆向工程师,关注账号业务的业务风控,建立模型的算法工程师,抓捕为主的黑产打击;
为了解决移动安全问题:细分为移动安全测试,移动安全加固等;
为了解决安全合规问题:有等保/27001方向的合规工程师,数据安全方向的数据安全,隐私方向的隐私安全等;
此外还有,安全产品、安全开发、安全SRC运营等细分的安全职业
如果从大的归类上,甲方安全需求会有以下几个大类:
基础安全类
合规/数据安全类
业务安全类
安全开发类
安全管理类
上述大类下根据公司规模体量,又会进一步拆分出小部门,越大型公司安全投入越多的,越会细分来提高专业性。
安全从“兼职安全”到“独立安全”再到“安全细分”,甲方安全职业发展上也有了明确的职业路径,类似这样:
大体上甲方安全最终都会走上技术序列和管理序列,两个序列越往后互换的难度和成本越高,两类序列在很多互联网公司中多数已实现待遇类似,管理和技术只是工作偏重点不同的方向去划分,相对的要求在于:
技术序列:越往上要求技术越精通,越要有技术前瞻性;
管理序列:越往上要求对业务理解越深入,越要有统筹规划能力;
所以如果从发展路线上来看,不同岗位不同的路径,都是有良好的发展前景。但现实情况是,很多人都挤在了web安全这条路上,从长远发展路径上看,这会让走这条路的竞争更激烈,所以接下来谈谈选择?
四、供需问题
目前安全职业供需很不均衡,行业的引导上也存在偏科问题,大部分学校的人才培养、社会的宣传都集中在渗透方向或是web安全上。
比如CTF类的比赛,SRC的挖洞奖励,虽然本意都是激励漏洞挖掘,但因为web安全低门槛易实战的特点,导致大量人才都集中到这上面了,其他方向的人寥寥无几,但是从上面章节内容可以看出,企业安全对各个领域都有广泛的需求,而且随着行业发展,专精化的特点,供需问题会越发突出。
为什么会出现这种问题?
web安全业务应用广泛,架构上安全考虑不多,存在的问题较多,也容易造成严重的后果,所以需求最大;
web安全上手门槛较低(专精不低),3-6个月的培训班出来即可干活,也有很多场景可以随时练手;
容易获得成就感,不管是CTF比赛、SRC漏洞奖励、白帽沙龙这些都很容易获得极大物质和精神成就感,以及他可以,我也可以的的状态;
甲方对安全的理解,现在还存在很多一个人的安全团队,这类公司高层很难对安全有深入理解,更不会考虑到资源的安排,web安全多数也是最紧迫的安全需求。
应考虑的问题
php之类的语言在企业业务中快速淘汰,java类的框架安全性增强,web安全漏洞已经相对比以前少了很多,从owasp top10 近10年排名也可以看出,未来web安全会越来越健壮;
易上手快速入行也会存在竞争激烈的问题,实际上web安全时代大佬们,已经在其他领域开始了更深入的发展;
未来5年后行业进一步细分,不同安全行业领域互换的成本会增大,企业更倾向在该领域有长时间发展的人,而非中途转过来的,文首截图部分其实可以看到一些公司安全已经开始行动了;
简单的说,可以着眼考虑下安全行业长远发展趋势,不要局限在眼前的利益上,当然了本文绝非贬低web安全带来的价值,实际上web安全长期都会是企业安全必不可少的岗位,但这是是否是你的最佳选择?
五、最后要说什么?
甲方企业的安全建设不是由单一岗位推动,而是一个群力的合作,每个领域都需要专业的人才;
甲方安全职业发展路径已经越来越专业化,分工越来越明确,专业能力要求越来越高;
新入行的同学,不要把目光只聚集在web安全上,从长远的发展来看其他各个方向并不会差;
如果在甲方安全长期发展,应该多挑战安全场景,去解决企业安全问题,丰富自己的能力,有解决问题能力的人,未来会走的更远;
技术和管理线各有各的挑战和发展,结合自身特点和规划来选择和发展。
六、活动
容易吗?晚上开会完,赶这篇文章在公司写到凌晨1:00,只为了赶在活动前做些宣传......
4月23日,完美世界freebuf安全招聘直播现场,请扫码预约,欢迎来直播间和我交(bian)流(lun),拿限定奖品!
https://live.freebuf.com/detail/0c1b102816084c7092180e4d8395ad35/?code=45b600a3f8000fa20401eb1654f7530e
声明:本文来自小议安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
