35岁之后记得重新布局自己-优快云博客

本文链接：https://blog.youkuaiyun.com/2401_84760719/article/details/149940288

作为网络安全从业者，行业内一直流传着35岁的传论，那么大龄安全工程师该如何跨过这道坎？我离35岁也不远了，思考后和大家一起聊一聊~

从目前我接触到的同事，他们的发展大概分为这三条路：

一、钻研技术，成为安全技术专家
二、带团队，成为管理者，慢慢偏离一线技术
三、成为某业务领域的专家，主导安全业务流程设计

那么从我接触的同事获取到的经验和大家逐个聊一下，该如何走好这三条路！

在这里插入图片描述

安全技术专家路线

网络安全工程师大都有一股韧劲：爱刨根问底！技术专家这类人大多痴迷于漏洞和防御，就像痴迷于一场攻防游戏。把自己发现的每个漏洞看成宝贝一样，一直努力让系统更安全，防护更高效，不允许有一丝隐患。在应急响应期间，总能通宵达旦地分析日志，在修复完所有高危漏洞后，看着告警清零的那种成就感。

他们不屑于成为管理者，他们往往也是公司里面待得最久的人，管理他的领导可能连渗透测试工具都不太会用。但这并不影响他们专心研究防护策略，其实很多安全大牛的薪资比安全总监还高。

我认为成为安全技术专家不仅要你在某领域（比如威胁情报或逆向分析）独当一面，还要对整个安全工程流程熟悉，能够具备安全架构设计、快速定位攻击源的工程能力。

在这里插入图片描述

安全管理者路线

我相信大部分安全工程师多少都想过做管理，他们认为管理者就能调配团队资源，分配任务，可以不用亲自写检测规则。但是，不用写规则并不意味着不用熬夜追事件！

到了管理岗位，特别是35岁左右的老兵，经常自嘲说自己的渗透脚本写不溜了，这是大部分安全Leader的真实写照。大家清楚，一旦走上管理岗，那就和报告越走越近，和命令行越走越远了。虽然他还得关注最新的APT威胁动向，但很可能已经无法深究漏洞链的具体细节。

网络安全的管理者基本都是从一线出来的，当然也有从审计岗转的。管理者往往要处理很多部门扯皮和跨团队协调，这导致事情像碎片化攻击一样中断。如果坚持写检测脚本，那么每天的会议打断会让你debug半天都进不了状态。做技术的转管理顺路，但做管理的再回头做逆向分析就难了。这意味着安全底子对管理很重要，我们看到大部分Leader都是团队里分析功底最强的同事。

在这里插入图片描述

什么样的安全工程师适合转管理

我碰到过一个同事，超爱研究0day漏洞，但对内审流程提不起兴趣，不擅长跨部门沟通，做事像防火墙规则一样严谨，很少出漏报。

我碰到过另一个同事，处理事件神速，对恶意代码特狂热，技术不错，但脾气像没修好的WAF一样暴躁，跟运维讨论时总是不欢而散。

明显能看出这两人都不适合转管理，那么什么样的安全工程师适合管团队呢？

沟通能力

管理管的是整个SOC（安全运营中心），如果你不会在入侵事故会上解释风险，那就做不好协调。没沟通，团队就像没加白名单的系统，一盘散沙。
情绪控制

职场politics，安全圈见得多。但员工心理怎么想？能批评误报误操作，但要懂尊重。因为作为Leader，上面也有CISO盯着你。情绪不稳就容易在绩效评估中偏袒，就像错放了一个高风险漏洞。
责任心

一旦带团队，你要为整个安全事件响应负责，考虑团队资源、每个成员技能值，还要把成果汇报给高层，为团队争取预算。每当你下班时，发现Leader还开着EDR监控，周末补丁日总能看到他坐镇指挥。

插一句，不少公司因为Leader加班到深夜，搞得团队跟着熬“安全值守”，导致无效内耗。作为管理者，该想想你的团队是不是这样，别让防御变成形式主义。
赏罚分明

说起来容易，但对新晋Leader特难。拿绩效举例，让你选出差评的哥们扣钱，会不好意思吧？选不出弱鸡选手，说明平时没摸清每个人水平。打了差评，可能得罪一人；不打差评，整个团队士气就崩了。

在这里插入图片描述

安全业务专家路线

其实我更愿转为安全咨询师，安全也是分行业的，无论金融还是医疗，都有一批安全人转向业务专家。他们理解企业合规要求和各部门风险点。摸清战略后，他们收集需求，把业务风险转化落地方案。他们懂安全技术，知道哪项审计能速成，哪项是“异想天开”。不光在内部，他们还能参与制定行业标准，甚至当“独立顾问”——要知道这类咨询是按小时收费的金字塔尖活儿。