网络安全专业在当前需求大,但大学教育侧重理论。渗透测试岗位在乙方公司需求高,但存在低水平人员过剩问题。行业更看重技术能力,实战经验比学历更重要。企业倾向于招聘有实战经验的人才,渗透测试工作可能变得重复且有可替代性。安全行业应关注安全体系建设,防御和自动化检测能力是关键。
网络安全在 CS 的分支目前来说是一个不错的专业(方向),可预见的几年内缺口都还是很大,现在来说找工作不成多大问题(早些年比较难)。
至于大学,题主可以去看看一些 CTF 比较强的大学,这些可以在一些知名的 CTF 比赛中看看哪些学校的队伍排名比较前。
学历的话,目前网络安全行业还不是特别看中学历,主要是能力,不过现在的趋势也是向高学历走,或许以后学历不好的会不好找。简单的供需关系,就像现在的软件开发行业一样,一开始行业缺人,所以不看学历,只看能力,但近几年软件行业人员饱和了,招人的标准就会水涨船高,自然就会卡学历,不过学历也确实能说明一些问题,可以理解。
至于工作,建议能去互联网公司安全团队就去,实在去不了或者想去乙方的,尽量选择研究岗或者是蓝军,不建议驻场和安服, 理由看下面。
对网络安全感兴趣,也做过渗透测试,那么网络安全专业的确很适合您,国家社会现在都很重视网络安全行业人才的培养,网安专业的队伍也会逐渐壮大起来。但是从现在来看,网安进入大学校园时间并不久,教师团队也不是很硬核,所以大学期间其实主要学习的是理论知识,锻炼技术的机会少之又少,所以我说它不是一个“好”专业,因为针对就业来说,它确实存在“缺乏实战经验”这一弊端。
现阶段学习网络安全的同学,确实有一小部分不好就业,但要考虑到这部分同学是否存在学习时不够自觉,练习不认真,技术不过关,难以适应职场环境等原因。
我们可以换位思考,如果咱们是用人单位,想要招聘网安相关人才,是不是也希望可以直接找到高质人才,理论技术相结合,能够快速适应职场,伸展拳脚的人呢?各大企业都知道,在高校毕业生中找到这样的人才无异于大海捞针,因为大多数学生会觉得自己专业对口就可以就业,而忽略了实战经验和相关技术,抱着满腹经纶去找工作却到处碰壁。这是因为网络安全行业比较特殊,它更注重的是从业者的自身技术能力,而不是学历和专业等外在的东西。所以企业更倾向于到各个专业的培训机构去定向招聘人才,高质高效,对他们来说也更加便捷可靠,因此他们也愿意以高薪聘请。
所以什么样的大学,学历,才能找到一份专业对口又体面的工作呢?
大学,学历,尽力就好,前面说过,网安行业很特殊,就业率和薪资标准与学历并不是完全成正比,最重要的是技术要过关。所以建议同学如果想要学习网络安全,就要将“学校理论”和“实战经验”相互结合的去学习,可以报个班,首先课程大纲完全不需要自己费心考虑,其次,除了跟着专业的老师去系统的学习理论知识以外,还可以有一些更加实用的实践操作,学习中遇到任何问题也可以获取及时的回应,有良好的学习环境和学习氛围,还可以确保学习思路的清晰。相对于自学,一个好的培训机构会让人更加容易坚持,学到的知识也更加扎实,在专业技能方面的实际操练也能让我们在求职就业之时出类拔萃,卓尔不群。
近一两年都在宣传安全人才缺口多大多大,首先我对这个数字比较存疑,但缺口大是真的,现在这个行业还处于鱼龙混杂的阶段
渗透测试这个岗位在现在乙方来说还是很缺的,但是这其中有很多问题。
首先就是靠谱的渗透大佬其实就那么多,但是对乙方来说这个岗位的缺口很大,所以充斥大量水平非常低的人,关键有些人还没有自知之明。 我当初在一家乙方安全公司实习的时候,跟我一起入职的就有两个大专的,只培训了三个月就入职的,很多基本的漏洞原理都还没搞清楚。 据我了解这个情况各大乙方安全公司都有。
第二是渗透岗位其实做得真的没意思,可能题主现在觉得渗透,挖洞好有意思,但是工作了情况就不一样了,有种每天都在做重复劳动的感觉。 首先大多数渗透测试的项目都是简单让你找找漏洞,然后出报告就完事了,根本不能让你深入,甲方爸爸不允许。 然后就是你渗透的系统可能你前不久才搞过,只是说又要检查了,所以又要搞一次(特指政府的项目)。 做过几个项目之后就会觉得大多数的系统都差不多,提升全靠自己,说实话,挖src学的东西比这多多了。 而低门槛和高重复性的特点也意味着极大的可替代性,以后水平低的渗透测试人员可能会大量被淘汰。
乙方大量需要渗透测试人员的原因是市场的需要,而近两年市场突然激增的渗透测试项目大部分是国家政策对各单位的安全要求来的。 而国家对这些单位检查的方式就是通过黑盒扫描器对单位和企业的网络服务进行扫描,如果出现漏洞了就要通报批评,罚款之类的处罚。企业和单位为了通过检查,就会委托乙方安全公司去做渗透测试等的安全服务(买产品的另外说)。做渗透测试的首先项目多,第二时间紧,所以很多系统基本就是上扫描器扫一波,再手工简单看看就出漏洞报告了,有些时间确实紧得不行的,直接上扫描器就出报告了,出了报告甲方就按照你报告的漏洞以及修复建议去修复,再复测漏洞,这样就完了。 不知道看出问题没有? 这个过程中乙方给甲方是通过一种很片面、很无奈的方式在赋予安全能力,这虽然能在一定程度在提高甲方的安全,但是更多的是走一个过场,如果甲方业务简单,那可能也足够了,但是按照互联网现在的发展来说,已经很少再有业务那么简单的企业存在了,今天互联网公司的业务每天都在变,确定定期的做渗透测试、代码审计就可以解决安全问题?而且系统那么多,怎么做得完? 要配多少人? 投入产出比怎么算? 一般安全团队是不能给公司带来盈利的部门,公司养的起嘛?
然后就是最重要的,渗透测试这个岗位或者说攻防在安全行业的定位问题,也是我想说的。 安全行业从业者应该把精力回归到安全的本质上,安全行业存在的意义在于让网络变得更安全,但是现在安全圈对安全体系建设这块的关注还是太少,安全圈的主要关注点还是在漏洞和攻击手法上。 研究漏洞和攻击手法确实很有意思,外人和媒体看着也觉得很炫酷,也是大多数人入坑安全的原因,但是怎么把这些攻击能力转化到安全建设中关注的人就比较少了,很多入坑安全的新人因为没有引导也很少思考相关的问题。 安全行业需要的是防御和检测攻击的技能,这点不能本末倒置,所以在学习攻防的过程中,应该多点思考一下这类型的攻击应该怎么在不影响业务的前提下批量、自动化、高效率的检测,应该怎么防御,怎么检测这些攻击流量,怎么溯源,再提升一点,可以给出一个怎样的解决方案来解决这类问题,当然这门槛就比较高了,但这些才是企业和行业真正需要的东西。
当然,强调防御不是说攻防能力不重要,攻防能力也是衡量企业安全做得怎样的一个指标,如果连黑客的攻击手法都不知道,防御就自然就只是纸上谈兵,所以如果甲方安全团队没有对攻防理解比较深的人,说他们企业安全做得怎样那是值得怀疑的。
先这样吧,其他的想到再补充,憋这些文字断断续续憋了几个小时,果然还是不擅长写作。
推荐几本书:
《白帽子讲Web安全》,相信这本书题主也看过,这本书的精华不在技术上,而更多在思想上。
《互联网企业安全高级指南》,我奉为神书的一本书,我企业安全相关的启蒙书,不过很多东西可能需要在甲方安全团队工作过才能有比较深的体会。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
