网络安全领域没有真正的"初级"岗位

网络安全领域没有真正的"初级"岗位

我会说自己是那种尽可能多阅读网络安全不同主题的人，从最初接触这个领域到现在一直如此。在浏览了许多不同的博客/论坛后，我发现出现最多的问题仍然是：如何在网络安全领域找到入门级工作、需要学习哪些技能、以及进入该领域需要采取哪些步骤。

因此，在本文中，我希望能分享一些自己在这个问题上的经验和观点（尽管我自己远非专家），希望能帮助其他人理解，网络安全领域的初级人员实际上根本不是典型的"初级"。

那么我是什么意思呢？

首先，我们都知道在大多数领域中入门级角色是什么样子。在软件开发中，初级开发人员在指导下编写小功能。在IT支持中，初级人员处理密码重置和一线故障排除等任务。但网络安全是不同的。网络安全的"初级"被认为是已经具备其他领域（如编程、网络甚至IT支持/服务台）初级知识的人。是的，我知道有些人直接跳入了安全领域，甚至进入了像渗透测试这样要求很高的角色，并取得了成功。但对大多数人来说，情况并非如此。

我这样说是因为安全通常不是你开始的地方。安全是你在其他领域打下基础后到达的地方。

如果我们以综合格斗为例，更具体地说是像丹尼尔·科米尔这样的人，我们看到在成为UFC世界冠军之前，他并没有直接训练打击或降服技，他是一名世界级的摔跤手。摔跤是他的基础，是首先让他能够踏入综合格斗的基础。他之所以成功，不是因为他跳过了基础直接学习花哨的东西，而是因为多年 drilling 基础给了他优势，最终使他成为最优秀的选手之一。

网络安全的工作方式也是如此。如果你想保护系统，你需要知道系统如何工作。如果你想保护网络，你需要彻底理解网络。如果你想攻破应用程序，你最好知道它们是如何构建的。没有这个基础，网络安全就变成了只是滥发不同的工具和命令。例如，一个真正的渗透测试人员不会从运行他们能找到的每个扫描器开始。他们从分析目标开始，理解其逻辑，并识别设计决策出错的地方。这不是你可以用Burp Suite或Metasploit等工具伪造的东西。

在整个行业中情况也是如此。治理、政策和框架很重要，但它们不是安全的核心。只有在你已经了解它们要保护的环境时，它们才有意义。例如，如果你不了解那些控制措施设计用来防御的系统，你就无法在现实世界中应用NIST、ISO或CIS基准。

这就是许多人犯错的地方，今天很多人觉得如果从安全以外的领域开始就是在浪费时间。他们没有意识到的是，这通常是一件因祸得福的事情，因为他们正在学习的技能几乎肯定会在他们后来的网络安全职业生涯中发挥作用，使其更加顺利和有趣。根据我自己的经验，即使是作为今天的渗透测试人员，我发现自己会在不同场景中感到不确定。例如，当我在AD环境中工作并遇到困难时，我不禁想，如果有服务台的背景，我就会掌握我所缺少的知识。或者当我在测试Web应用程序并碰壁时，我最初的想法是"如果我多做了几年开发人员，这就会容易得多"。我想这感觉有点像恶性循环。

现在，这并不是说直接进入安全领域是不可能的。正如我所说，有人这样做，但这通常是有代价的。你最终会在工作中死记硬背基础知识，这会拖慢你和你的团队。适应时间更长，压力更大， burnout 的风险非常真实。当然这不是保证的，但相信我，这是非常真实的。

就个人而言，我也觉得如果人们早知道这些事情，中途退出网络安全的人会更少。我这样说是因为网络安全已经是一个极其艰难的领域，除此之外，没有坚实的基础会让它变得更加困难，这导致人们认为自己不够聪明，不适合这个领域，或者他们开始将网络安全视为那些"令人精疲力尽"的领域之一，而实际上，他们只是跳过了之前的层次。

所以，如果你曾经见过有人在没有太多先验知识的情况下进入这个领域，通常不是因为他们跳过了基础知识并侥幸成功。而是因为他们坚持了足够长的时间，坚持和一致性迫使他们在此过程中学习了这些基础知识。毫无疑问，这是一条更艰难的道路，但一旦这些部分契合，成功就变得不可避免，因为没有什么比长期的努力更有效。

另一个需要注意的重要点是，这并不意味着你必须经过4-5年的学校教育或在IT领域工作十年才能进入安全领域。你需要的大部分知识都可以免费获得，不同的是，它不会像教育或学位课程那样整齐有序地打包提供。你必须建立自己的结构和纪律来将这些部分组合起来，在我看来，这可以通过许多不同的学习路径和认证来解决，因为你有一个非常清晰的从A到Z的路径可以遵循。

虽然这可以帮助你覆盖很多内容，但同样重要的是要认识到网络安全本身不仅仅是记忆工具或技术步骤。有一个常见的误解认为网络安全全是"技术性的"，这离真相再远不过了。如果你这样想，你会大吃一惊。这种心态常常误导人们认为只要掌握了技术方面，他们就万事大吉了，而实际上，这个领域还需要解决问题、沟通、理解业务需求和看到大局的能力。但由于这是一个更大的话题，我将留到另一篇文章中讨论。现在，只要记住网络安全肯定远不止是技术性的。

总结这篇文章，我想说永远不要追求任何"捷径"。如果你想在网络安全领域工作，你必须付出努力去理解IT、操作系统、网络、编程、数据库等基础知识。在尝试保护事物之前，先了解它们是如何工作的。因为归根结底，安全不是什么魔法或神秘事物，它只是你已有知识的延伸。