首页
社区
课程
招聘
[原创]以亲身安全经历聊聊安全方向、价值与未来
发表于: 2025-2-5 07:45 7854

[原创]以亲身安全经历聊聊安全方向、价值与未来

2025-2-5 07:45
7854

此前笔者微信交流群里,有个朋友在微信上咨询我这个问题,让我帮他解下惑,这个朋友的问题,如下:

说真的,笔者一向不喜欢回答这类的问题,因为也没有什么标准答案,笔者也没啥能力去给任何人指点未来的路该如何走,针对这个朋友的疑惑,笔者仅以这十几年来的一些亲身经历来简单聊聊安全之路。
笔者此前从事过多个平台的安全研究工作,包括Windows/Linux/OSX/Android/IOS/IOT等,所以对安全的方方面面多少了解一些,同时笔者在逛一些安全网站或论坛,还有在一些群里的时候,经常会有一些人问类似的问题:1.我是该学移动安全,还是该学PC安全呢?2.我是从WEB安全入手,还是直接学习二进制安全呢?3.我是该学Linux内核,还是学习Windows内核呢?4.做安全还有前途吗?是不是要转行了5.做逆向还有啥前途?还是赶紧转行吧6.安全现在细分领域太多了,我究竟要从事安全的哪个方向?7.未来全是AI自动化了,不需要深入安全研究了......其实这就跟一些开发人员,经常会问,我该学哪门语言?是学C++好,还是学Python好,还是应该去学最近几年很火的Rust,同样还有是做前端开发更有前途,还是做后台开发发展更好等等这些问题。
笔者不想去讨论这些辩论题式的问题,该学哪个好,或者说学哪个更有前途之类的,这个其实是没有什么标准答案的,笔者也无法用标准答案来解答这些问题。
不管是移动安全,还是PC安全,不管是WEB安全、还是二进制安全,不管是安全攻防,还是渗透测试,这些都只是一门技术,也就是笔者一直说的,就是一门手艺,任何一门技术或手艺只要沉下心来去深入的学习和研究,找个工作,混口饭吃应该是不太难的,难的就是啥都只懂一点点皮毛,啥都会又好像啥都不会,就像你说学习了十几门不同的编程语言,但门门都只会写Hello World,其实没啥用,不如先去精通一门语言,其他语言都是相通的,花点时间学习下语法就行了。
学习安全技术也是一样的,可以先精通一个方向再说,在精通了一个方向的前提下,有时间再去学习和研究更多的方向,做到一精百通,这样你就不用担心找不到工作了,不管别人跟你深入聊技术,还是跟你扯淡,你都不用担心,如果你啥都会,又啥都只会一点点的话,没有深入研究过一个方向,在目前这个形势下,找工作可能就比较难了,所以与其去迷茫,不如沉下心来去多多学习,找准一个自己喜欢的方向,先深入学习研究一下。
至于说哪个方向更有前途,或者说更有“钱”途,就跟别人问我如何快速发财一样,我想说的是,快速发财的门道都写在刑法里面了,如果你想通过做安全快速发财,笔者真没办法教你如何快速发财致富。
不管是PC安全也好,移动安全也呗,其实基础都是二进制安全能力,只是平台和架构不同吧了,当你精通了一门之后,再去研究另外一门其实也很容易,没啥难度,基础的东西从来没有变过,变的只是上层的平台和架构,只要你把安全基础能力打好了,再去搞上层是很容易的事情,就跟你精通了C++,想去学习了解其他语言,就会发现原来这么简单。

就这位朋友的疑惑,笔者先来谈一谈笔者的一些亲身安全经历吧,笔者在2013年开始研究移动安全了,当时还在腾讯,记得2013年的时候,腾讯的整体战略就是“全面转移动端”,其线下几十款产品全部开始转向移动APP端的研发,笔者也是在那一年,开始研究移动安全,当时笔者从网上购买了大量的移动开发相关的书籍,包含安卓系统和IOS系统,每天下班之后就在家里学习移动开发技术,用了差不多一年的时间,熟练掌握了安卓和IOS的开发技术,然后就开始研究移动端的逆向安全技术。
后面因为腾讯的整体战略发生了改变,3Q大战之后不久,安全已经不在是腾讯的核心战略之一,笔者也就离开了腾讯,后面又发生了一些事,就不展开了。
2014年笔者又回到腾讯开始做移动安全相关的工作,主要的工作就是APP的安全审计、渗透测试和APP加固等,说真的那两年也是笔者最痛苦的两年时光,APP的安全审计、渗透测试工作对笔者来说真的很枯燥无味,也不是笔者想做的,所以后面在找工作的时候,笔者一定是去找做自己想做的事的工作,不然太痛苦了,当时腾讯的所有应用都已经全面转向移动端了,有差不多二十几款APP需要审计,每个月各产品线基本都要出一个新的版本就会转到笔者这边进行APP的源代码安全审计和渗透测试之类的,其实就是对照着Android和IOS的APP审计CheckList表一项一项的对着分析和测试,每天的工作基本就像机器人一样,重复又重复,没啥意义可言,没有啥新的东西可以研究,每天都是重复机械的去完成CheckList表的检测就可以了。
APP的加固工作也不是笔者想做的,整天需要解决的就是与Android系统不同版本的各种兼容性问题,Android系统只要一升级,就需要兼容。
当时笔者发现一些病毒木马也提交过来进行加固处理,当时国内做APP加固的,除了外面专业做加固的几家企业,一些互联网公司里面基本上都有做加固的团队,当时阿里、腾讯都有做加固的团队,不知道现在这些团队还在吗?可以说当时做安卓逆向和加固,还是很火的,现在就没当年那么火了,这是时代的发展必然趋势。
现在还在招安卓逆向的,大多数还是一些互联网大企业,这些互联网企业主要是为了保障自己的APP的一些安全问题,同时还有一些小的搞“黑或灰”产的企业,招一些搞安卓逆向分析的,通过逆向破解一些大厂的APP协议做一些插件或流氓推广之类的,还有一类招安卓逆向的就是之前一部分安全企业招安卓APK病毒分析的,这需要安全企业有这项业务,当时一些安全企业是有做安卓手机安全软件的,现在好像做的比较少了,基本很少单独招安卓病毒平木马逆向的,所以如果现在还在说移动端已来,PC已死的人,其实是不太懂现在真正的安全市场的。
现在大部分安全企业应该还是招Windows/Linux两大平台的,毕竟To B企业,大家更关注的是企业的数据安全问题,还管是PC还是服务器,主流的平台还是以Windows/Linux两大平台为主,还有现在主流的一些安全问题,不管是勒索病毒平攻击、APT窃密攻击,还是各种黑灰产大多数还是以PC安全为主,当然移动端也有一些黑灰产,还有主机服务器安全也是Windows和Linux为主,其外还有一块就是Mac平台的办公电脑的安全,也是黑产攻击的重点目标之一,这些都是以PC端安全为主,所以说PC端安全不行了,其实是对当前企业安全面临各种实际的安全问题不太了解。
国外还有一些厂商在做安卓的安全,需要对安卓病毒进行逆向分析,不过现在招安卓病毒逆向的应该不太多了,做安卓逆向更多的还是去一些互联网大厂或者做一些与企业APP业务安全相关的工作,主要就是跟称动端那些做黑灰产的进行对抗、做一些风控管理等,这一块技术都是相通的,只要你会逆向移动端的APP,能解密各种加壳混淆,基本就没啥问题了,其他的都很容易。
笔者在之前面试的时候,有一位浙大非常优秀同学在面试最后问了笔者一个问题,我觉得问的挺好的,他问我,应该怎么样选择,是在互联网公司做安全,还是应该在安全企业里面做安全?问我是如何选择的?
在互联网公司做安全可能收入会比一些安全企业做安全的收入要高一些,因为互联网公司大多数都不是靠安全来赚钱的,都是靠自身的其他业务以及流量来赚钱的,这些互联网公司也确实赚钱,所以开的工资可能会高一些,但是如果这些互联网公司的业务遇到风险或增长遇到了问题,要减少成本,可能最先开刀的也是拿安全部门开刀了,可以发现最近几年一些互联网公司也在不断的缩减安全这块的成本,主要还是因为这些互联网企业没有之前的高速增长,人口红利也快吃到头了,现在竞争大,流量的争抢也白日化,所以只能缩减像安全这块的一些成本部门了。
在专业的安全企业,因为核心的收入就是安全,所以就算是大环境不好的情况下,也不会轻易拿安全部门来开刀,可能会缩减一些边缘部门,任何一家企业都不会轻易拿自己的核心部门人员开刀,除非是企业真的遇到了很大的困难,或者企业未来的战略己经不打算做安全这块了,或者确实安全这块的增长减少了,已经无法支撑了,只能通过降本增效的方式来缩减成本了,不然一般都会先优化边缘部门,保留核心部门的战斗力,等待机会,这其实跟互联网公司是一样的,只是互联网公司的核心部门不是安全部门,安全企业的核心部门就是安全部门,这也许就是本质的区别吧,所以笔者说要去一家企业,一定要去它的最核心的部门,如果你的能力与公司的核心方向不一样了,你在这家公司也没办法走的太远。
还有一些互联网大厂,会招一些安全研究人员,进行业务安全的保障,例如风控、企业内部安全事件的处理与监控等,俗称为信息安全部,像美团、拼多多、字节、阿里、腾讯等大企业,主要做业务安全,紧贴业务,还有就是企业内部安全的保障,在企业内部进行一些安全攻防演练,提升企业内部的安全防护,保障用户的数据。
所以不管你是去互联网公司做安全也好,到专业的安全公司做安全也好,都是你自己的选择,没有对与错,只要适合自己的职业发展就好了,或者说你只要觉得赚到钱就好了,做啥不重要都可以的,完全个人选择,总之,符合自己的职业规划,做自己想做的事就好了。
国内安全企业要走的路还很长,国外有很多做了几十年的安全企业,国内这样的安全企业太少了,我一直坚信,未来国内的安全还是有机会的,但是未来做安全,跟以前做安全可能模式会不太一样,基于SaaS平台订阅模式的安全产品和服务,会成为安全未来的主流,能企业提供专业的安全服务,是未来做好安全的核心能力,这个就不展开讲了,要讲又是一个很大的话题,笔者此前很多文章中都有提到,而且也不一定所有人都能理解,认知水平的差异不同,对一些事物的理解可能会存在很大的偏差。

笔者曾写过一篇文章叫《做安全有什么用,价值何在》,里面有详细的谈到了在专业的安全公司和非安全类公司,做安全的价值分别是什么?这里我想提出的是另外一个观点,做安全就一定要收费,只有收费才能体现安全的价值,免费的安全,不持久,也不专业!
此前笔者收到了Any.Run沙箱的邮件,提示笔者订阅费用要增加了,这几年Any.Run发展确实非常迅速,在行业也积累了一定的知名度,最主要是它积累了很多最新的样本和威胁情报,这些样本都是全球各地的安全从业人员或厂商给他上传的,然后再通过他的沙箱生产出相关的威胁情报,这几年Any.Run也在不断的改进自己的沙箱能力,不断推出新的功能,积累了大量的最新恶意软件的威胁情报,于是推出了Search和Hunter的订阅服务,随着Any.Run样本数据的不断增加,订阅费用也自然而然的随之提高了,这也是为了未来能提供更好的服务。
几十年前国内To C安全市场还是不错的,国内的安全软件能力与国外的安全软件的能力并没有相差太远,后面随着某企业的加入,搞出了免费杀毒之后,破坏了整个市场,同时导致国内安全产业在后面的十几年基本停止了发展,很多以前的安全研究人员转行去做其他产业,有些甚至去做起了黑灰产,把安全变了成一种流量的模式,这种模式的后果就是专业安全人员的大量流失以及国内安全产品的能力逐步与国外安全产品能力拉大,这个就不细说了,参考笔者之前的文章就行了。
目前大家只能做To B安全,主要原因还是因为大多数头部企业或大企业还是愿意为安全买单的,因为他们认为安全是有价值的,同时他们也意识到了安全的真正价值,不是靠流量赚钱,而且给客户提供实实在在的安全能力,保障企业的核心数据,持续不断的帮助客户输出价值,这才是真正的做安全的价值。
免费不仅仅是损害了安全市场,同时也损害了客户的利益,因为免费导致大部分安全企业无法持续生存,导致大量的优秀安全产品最后“流产”,而如果客户购买了这些已经“流产”的产品,后期就没有办法得到很好的服务,客户也无法感知到安全效果和安全价值,这也是对客户的不负责任的表现。
因为如果不赚钱,任何企业都无法生存,同时作为一个专业的安全企业,不靠安全来赚钱,想去靠其他产业赚钱来养安全研究人员,这条路也是走不远的,专业的安全企业一定要靠安全赚钱,这才是安全企业的正道之路,也是安全企业发展的长久之计。
一家安全企业只能靠安全赚到了钱,才能持续运营好自己的安全产品,不断给客户输出安全价值,形成良性循环,如果安全企业不赚钱,就养不起优秀的安全人员,那优秀的安全人员就会流失,导致安全产品的“流产”,安全产品没有持续的运营,安全能力上不去,最后安全产品的差距与其他同类型的安全产品会越来越大。
任何安全产品都需要持续不断的更新改进,才能体现出它真正的价值,因为黑客组织也在不断的开发新的攻击武器、研究新的攻击技术,如果安全产品停止的更新运营,是根本没办法应对这些新的攻击武器和攻击技术的。
如果你的安全产品和安全服务,足够优秀,为啥不让你的客户为你的优秀的产品和服务买单呢?只有付费才能体现你的价值,才能更长远的发展,通过付费,不断给你的客户输出安全价值,跟你的客户一起成长,才是安全企业要做的,而不是总想着免费啥的,要明白一点,我们是专业做安全的,不是一些互联网公司做流量的。
此前看到一篇文章,讲安全从业者讨薪啥的,看到大家都在转发,请尊重每一位网络安全行业从业者,这背后原因究竟是什么,安全从业者难道真的要靠讨薪来生存了?那么做安全的价值又体现在哪里呢?

笔者一直说,国内安全还有很长的路要走,未来十几年国内专业的安全企业会迎来一个新的发展时期,专业的安全企业,只要能不断提升自己的专业安全能力,不断积累自己的安全能力,扎根自己的核心业务,再去扩展与核心业务相关联的其他安全业务,未来一定会越做越好,同时一些大的安全企业,由于在一些细分领域安全能力不足,无法与其他专业的安全企业竞争,很多安全业务会被细分领域的安全企业吞掉,然后慢慢收缩,甚到关闭,未来可能会慢慢的转行或者去做其他业务了。
国内的To C市场被免费搞乱了,导致现在国内的安全企业只能做To B市场,同时国内的To B市场的环境也跟以前完全不一样了,以前靠卖盒子的时代已经结束了,现在大多数To B企业都以SaaS平台产品服务为主,这也是安全的未来,未来安全企业之间的竞争也会日趋白热化,未来谁能安全能力更强,谁就占领更多的市场。
国内现在大的安全企业有一个比较大的问题,就是同质化太严重了,导致内卷也严重,比方说你有EDR,我也有EDR,你搞XDR,我也来搞XDR,你说AI安全,我也说AI安全,你说你有GPT,我也有我的大模型,那大家都搞一样的,如何才能比别人做的好呢?如何才能做的比别人更有竞争力呢?目前的安全市场需求,不像之前态势感知了,各种大屏幕展示比较火的时候,大家也是一拥而上的,全都做UI,做大屏展示,一个比一个炫酷,而且内在确没有啥数据,也能卖到钱,现在不行了,国内安全企业的产品形状就是你有的,我也有,却没有一个亮点,没有核心竞争力,所以也没有市场,客户不想买单。
在当今这个社会,别人不会在乎你有什么,你会什么,大家都只关注你能带他带来什么价值,你有什么亮点能吸引他的注意,你的产品和服务有没有核心竞争力,比别的产品和服务更有优势,所以这也许是安全企业需要思考的,能不能做出亮点?培养和加强自己的核心竞争力,而不是去比谁的产品更多,谁的产品覆盖更全,什么都做,又什么都不太懂,不专业,不管是企业,还是个人,拥有自己的核心能力才能走的更远,未来才能发展的更好。


[注意]看雪招聘,专注安全领域的专业人才平台!

收藏
免费 27
支持
分享
最新回复 (19)
雪    币: 3947
活跃值: (5074)
能力值: ( LV13,RANK:437 )
在线值:
发帖
回帖
粉丝
2
2025-2-5 09:21
1
雪    币: 206
活跃值: (900)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
年轻就是最大的资本
2025-2-5 10:08
0
雪    币: 2440
活跃值: (262)
能力值: ( LV9,RANK:150 )
在线值:
发帖
回帖
粉丝
4
顶一下
2025-2-5 13:35
0
雪    币: 1141
活跃值: (1877)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
年轻就是最大的资本
2025-2-5 13:37
0
雪    币: 1372
活跃值: (5548)
能力值: ( LV13,RANK:240 )
在线值:
发帖
回帖
粉丝
6
年轻就是最大的资本
2025-2-5 15:40
0
雪    币: 203
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
7
年轻就是最大的资本
2025-2-6 14:03
0
雪    币: 238
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
年轻就是最大的资本,拥有不断试错的成本,安全是一个长跑赛道要静下心来一门心思钻进去。
2025-2-7 15:26
0
雪    币: 615
活跃值: (675)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
9
下一个安全风口,自动驾驶带起来的车机安全,如何把自动驾驶汽车变成杀人的机器??? 好吧,语言有点负面吓人了,哈哈
2025-2-7 20:44
0
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
7^3
10
      25+半路出家,在基建行业埋头8年,除了一身检查得出的小毛病和检查不出毛病的疼痛,什么也没得到。山穷水复之中,惊觉唯一还残存有兴趣的点依旧是那张隐藏在显示器和猫背后那张巨大而又不可见的网络。

      bbs论坛的兴衰,不充值甚至不登录就无法查看最简单的信息,权限和耗电量都越来越大的移动app…直到忽然一天,姓名电话户口被别人信手拈来,毫无隐私又好似毫无价值,我才终于发现,网络不再是那个网络,但我却还是那个愿意被驯养的羔羊。说到TX就不得不提到TK老师了,他也常说先去做,做的下去坚持的了再说别的。可惜这是个极其不安定的环境,即使个人信息安全问再严重,但生存如果都有问题,相信给他100块就愿意大街裸奔的人还是存在的,那些直播带货的本质不是这样么?

       普通人也正如楼主所说,不求甚解,只看到所谓大公司裁员、小公司缩水,就极尽所能劝诫、反对和阻碍身边的人进行网络学习,尽管他们自己每天也沉溺于app上的营销卖课和短剧。有时真的搞得人不得不抑郁,可我还是愿意穷极一生去学习,去发现,不仅因为无名的热忱,也因为坚信人与人之间最美好的东西,会在这个时代借助网络继续升华。这之中所有的黑暗与代价,如果是为了包括我在内的大多数人的幸福,我也愿意尽我所能地去承受。

       感谢各路江湖大佬武林高手费时览阅,听一个生瓜蛋子的莫名发言。既然都说到这了,顺便劳驾问一嘴:杭州或深圳有没有了解的需要安服仔的公司,线上兼职也行,本人学历不高,年龄不太大,主要优势是聪颖好学能举一反三,之前是和通信线路与机房打交道的

       给大伙拜个晚年啦
2025-2-7 23:35
1
雪    币: 1717
活跃值: (1949)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
感谢大佬分享经验,挺好的
2025-2-8 10:46
0
雪    币: 775
活跃值: (2332)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
12
大佬说的没错,字字珠玑;选择哪个方向都不重要,重要的是执行力和对技术的孜孜探索
2025-2-9 15:22
0
雪    币: 4302
活跃值: (4213)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
请教下 安卓开发是学哪门语言,类似PC端的C++  。
2025-2-9 17:34
0
雪    币: 3049
活跃值: (3938)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
14
iamasbcx 请教下 安卓开发是学哪门语言,类似PC端的C++ 。
Java
2025-2-9 17:45
0
雪    币: 2482
活跃值: (13034)
能力值: ( LV12,RANK:312 )
在线值:
发帖
回帖
粉丝
15

首先很同意楼主的说法点赞。

其次破点冷水,楼主资历好大厂也是多家横跳,摸索出属于自己的安全道路。

当下是非常卷的时代,对于一线大厂学历985,211仅仅是入门门槛,甲方招聘卡211也是常态,如果起步就有进大厂门票,年轻是最大的优势,学历好工作资历好,可以去尝试失败,比如美团 阿里 腾讯 字节,一年一跳也不是问题,最后选择自己安全道路去稳定专精发展。

普本或大专及更低学历?只能在中小厂,技术好的通常也能去安全头部大厂试错,注意这几年如果试错失败,大几率空窗期找不到工作,部分人还是要适应发展。

最后于 6天前 被一半人生编辑 ,原因:
6天前
1
雪    币: 31
活跃值: (3380)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
还是很认可, 别人给的,别人的眼光.... ______很空泛______...
重要的是,  你自己给自己,  不迎合他人, 不求着别人.....  求自己,说到,做到...你可以过上平静的日子 + 热爱的事情.
5天前
0
雪    币: 801
活跃值: (2733)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
17
经济下行阶段,安全的重要性明显要更弱了,在互联网企业,安全部门始终是成本部门,更像是一个保安,预算紧缩,要裁撤的时候第一个就会想到安全部门。
没出事的时候,养着安全部门有什么用? 真出了事的时候, 到底养着安全部门有什么用?  

说回来,确实,年轻就是最大的资本   
0几年注册的看雪,机缘巧合入行做了逆向,那时候总觉得技术牛逼才是真的牛逼, 工作和业余时间全都倾注在逆向上,收入低工作时间长,也从不觉得辛苦觉得累
换工作的时候,如果不是逆向的方向也绝对不考虑,对安全行业是一腔热血。

感觉那时候的自己有点像武侠小说中一个初出茅庐的外门弟子,充满着对江湖的向往,对宗门的崇拜,对武学的痴迷。

但是随时工作经历和社会阅历的成长,机缘巧合之下也转到了业务研发, 也不再拘泥于逆向的工作,感觉做研发也挺不错
这个行业正经上班的,说起来都是苦哈哈的打工人,和其他打工人也没什么区别, 有门路捞偏门的,既有财富自由的, 也有坐班房的
只能说不管什么时候,都应该做自己感兴趣的事情,就不会后悔。努力很重要,运气/气运也很重要。
在选择之前,问问自己是不是真的热爱。
在两难抉择之间,我一般会选择更难的那一个。

回顾过去安全行业最火热的也是2000年-2010年这黄金十年吧,也是中国经济发展最快的十年,在10-20进入到移动互联网时代之后,泡沫越吹越大,都是围绕流量的生意, 认识的很多从业者现在都转行了,还有几人坚守本心不得而知,说到底安全也只是一份工作。

AI时代已来,不知道现在新入行的年轻人是否还会去用纸笔手写汇编代码。

论坛很久没来了,有感而发

祝大家都能找到属于自己的天地
5天前
5
雪    币: 0
活跃值: (35)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
你的分享对大家帮助很大,非常感谢!
5天前
0
雪    币: 13
活跃值: (81)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
你加下好友吗,
4天前
0
雪    币: 230
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
20
如果对恶意软件分析感兴趣的,可以加入笔者的全球安全分析与研究专业群
怎么进群呀
3天前
0
游客
登录 | 注册 方可回帖
返回