千万别学网络安全专业(络安全行业,我可能要劝退了网

教育 2022年4月3日19:20:39评论6361字数 2204阅读7分20秒阅读模式

熟悉我的朋友都知道,轩辕是做网络安全行业的,之前也写过不少的系列文章和学习路线。

但今天,我可能要劝退了!!!

那天我逛知乎的时候,看了这么一个问题:

千万别学网络安全专业(络安全行业,我可能要劝退了网

回答区一个匿名答主一下戳中了要害,我也忍不住回答了一下。

以下是我的回答。


为什么?别整那些个虚的,最直接就是因为这行不挣钱!!!

别看那些XX大神年薪几百万,这样的大神能有几个?

为什么不挣钱,是因为安全公司本身就不挣钱,下面的员工去哪挣钱呢?

网络安全市场,国内的安全公司主要是这么几种玩法:

1、C端安全市场

也就是传统的安全软件,早期安全软件靠收费挣钱,后来某数字公司的免费玩法改变了游戏规则,通过C端客户端+流量变现。但这一模式撑起的市场规模有限,数字公司多年来一直吃老本,股价一跌再跌就能看出来了,虽然数字公司掌门人多次谋求新出路,但目前为止仍然道阻且长。

2、B端安全市场

近10年来,一大波安全公司先后成立,一个重要的原因就是得益于B端安全市场迎来的增长。随着互联网的蓬勃发展,一大波企业对安全防护的需求也在增长,主要的安全防护产品有WAF、IDS、IPS、数据库防护、防DDoS、移动APP加固、数据防泄漏DLP等等。

这个市场的核心要义是守护客户的业务安全,客户是甲方,安全公司是乙方。

3、G端+JG安全市场

安全公司大量涌现的另一个重要原因就是G端+JG安全市场的发展。国家层面对网络安全的重视提到了前所未有的高度,GA、JG、公安、科研单位、研究院、大型国企等对安全的建设成了一项重要工作来抓。一大波传播安全行业从业者感觉到了机会到来,纷纷下海,自立门户,一时间,一大批安全小公司纷纷涌现。

这个赛道上的主要业务是态势感知、威胁情报、APT攻击发现与分析、网络流量安全检测等等,业务围绕的核心主要是与境内外敌对势力做斗争,守护国家网络空间安全。

为啥不挣钱?

接下来说一下,为啥不挣钱。

无论是B端还是G端,安全公司主要的运作模式就是:安全服务+卖产品

安全服务这个东西就很悬,除了一些行业已经标准的服务(比如漏扫)可以收费以外,安全服务说的难听点就是甲方白嫖。

但老白嫖,安全公司怎么挣钱,所以安全公司还得招一帮人吭哧吭哧开发一堆产品出来,卖给甲方。

但实际上,这些所谓的“产品”,大部分公司都是基于开源软件改一改,然后加一套自己的规则库,封装一下取一个响亮的名字,XX安全态势感知系统、XX大数据威胁检测、XX全流量安全分析···然后就可以卖个几百万了。

这个赛道的安全公司里面一定有两套班子:

一套安全服务班子,这一波人搞安全分析,样本分析,流量溯源,网络渗透。

一套软件开发班子,这一波人就是传统的前后端开发,可能稍微有一点安全的知识。

安全服务的人想:你们产品做得稀烂,都是我们天天在客户那里驻场,分析,客户才采购的产品。

软件开发的人想:公司挣得钱都是靠我们产品卖出来的,但是出风头的都是你们,感谢信都是感谢你们。

你别看一套产品卖几百万,但这样的产品一年能卖几套呢?你还得算研发的人力成本,甚至还有安全服务、后期技术支持的成本,这样算下来,真挣不了几个钱。

而且,这一行还有个特点就是,竞争对手众多,而产品自身又很难有特别突出之处,安全攻击就那些类型,检测算法也就那么几种,所以你无法形成对竞争对手产品绝对的碾压,最多就是在使用体验性,某个细小功能的实用性上有一些优势。

别看那些安全公司扯一些人工智能,深度学习的检测技术,都扯淡的,外行人看着高端,到底是人工智能还是人工智障,谁用谁知道。

另一方面,甲方客户出于多方考虑,也不会总是采购一家的产品,需要“雨露均沾”,所以别想着自己做大了可以垄断。

所以,这行真不挣钱。

网络安全这个圈子现在变得特别浮躁,顶层的大牛特别像娱乐圈,忙着参加各种大会,微博上指点江山。

中间的一波人入场时间早,深知在技术上已不可能有太大作为,找几个人基于开源软件搞点东西,依靠资源人脉,开始卖产品想着法的挣钱。你别看好多公司都搞了所谓的“安全研究中心”,真正静下心来研究安全技术没几个人,这玩意投入产出比太低。

而那些所谓的产品,用我一个甲方的朋友的话说:我们买来基本都放那吃灰,偶尔去看一下,一看几万条告警,你TM让我们怎么看?

他说的不是一家公司的产品,而是行业内的普遍现象,其中不乏大家耳熟能详的一些安全大厂。

网络安全市场虽然有所增长,但并不像什么O2O、共享经济之类的可以依靠人口红利疯狂增长。这个行业的风格是稳,混口饭吃不难,但想做到特别大规模,那可太难了。不信你看看网络安全市场的几个巨头:360、奇安信、启明星辰,在互联网厂商面前根本不够看,另外你看有多少资本愿意投资这个领域?为啥不愿意投,资本是逐利的,这块没肉吃,当然懒得投了。

除了专门的安全公司,各大互联网大厂自身也有自己的安全团队,稍微有点规模的公司都有自己的SRC,也就是应急响应中心。这个部门,一言难尽,没出事时,老板:养了这帮闲人。出了事时:养了这帮废物。

-----------分割线-----------

说了这么多,回到我们安全从业人员自身,如果你是对计算机攻击技术、安全技术、漏洞攻击这些非常痴迷,那没问题,你可以去干,如果天赋不是特别差,有兴趣驱动,在这行也能混的不错。甚至如果足够牛逼,成为行业泰斗,被安全公司挖去当头牌,那就算是极大的成功了,但这样的机会实在太少。

反之,如果你仅仅是当做一份普通的工作,找碗饭吃,我劝你还是去互联网吧,那里的天地远比在安全公司广阔得多。

相关文章
继续阅读
  • 免责声明:以上内容源自网络,用户自发贡献,如有违规内容请告知,一经查实,本站将立刻删除。
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

确定