35歲剛剛進(jìn)入職業(yè)上升期，薪酬年年漲……吸引 IT 人才進(jìn)入信息安全市場(chǎng)的，不僅僅是超過(guò)足球運(yùn)動(dòng)員的職業(yè)壽命預(yù)期和持續(xù)成長(zhǎng)的刺激挑戰(zhàn)，還包括類似極限運(yùn)動(dòng)的 “酷勁”。

[[312535]]

2020 年全球企業(yè)面臨的安全威脅呈現(xiàn)組織化、復(fù)雜化、武器化、智能化、常態(tài)化趨勢(shì)，而企業(yè)則面臨缺規(guī)劃、缺預(yù)算、缺人才、缺運(yùn)營(yíng)的四個(gè) “大坑”，其中又以人才短缺問(wèn)題最為嚴(yán)重。

未來(lái)幾年信息安全是 IT 市場(chǎng)為數(shù)不多的能保持 20% 以上高增長(zhǎng)的，35 歲也不裁員的 “潛力股”，對(duì)資本和各領(lǐng)域優(yōu)秀人才都有著極強(qiáng)的吸引力。

但是，信息安全人才市場(chǎng)的人才荒還在延續(xù)，同時(shí)，這個(gè)行業(yè)的人才流失問(wèn)題也相當(dāng)嚴(yán)重。這兩個(gè)問(wèn)題的疊加使得信息安全人才短缺的問(wèn)題更加嚴(yán)重，同時(shí)也說(shuō)明很多信息安全企業(yè)的人力資源部門對(duì)新興安全技術(shù)人才的職業(yè)特點(diǎn)、職業(yè)滿意度和訴求缺乏理解，對(duì)安全人才的職業(yè)規(guī)劃和發(fā)展也缺乏有效引導(dǎo)和激勵(lì)。

此外，對(duì)于網(wǎng)絡(luò)安全行業(yè)從業(yè)者或有志進(jìn)入這個(gè)行業(yè)的優(yōu)秀人才來(lái)說(shuō)，選擇什么樣的安全職場(chǎng)發(fā)展路徑也是一件頗為頭疼的事情，如果你翻出 NIST 網(wǎng)絡(luò)安全人才發(fā)展框架，一定會(huì)被里面的數(shù)十種安全崗位和 500+ 的技能庫(kù)繞暈。

我們不妨跳出短期人生小目標(biāo)的困擾、不談薪酬待遇的一城一池，從安全細(xì)分市場(chǎng)/崗位的成長(zhǎng)性以及崗位滿意度兩個(gè)緯度來(lái)標(biāo)定或規(guī)劃我們的職業(yè)發(fā)展方向。

熱點(diǎn)趨勢(shì)方面，可以參考安全牛的《2020年十大網(wǎng)絡(luò)安全趨勢(shì)》一文。

安全崗位滿意度方面，我們可以參考下面這個(gè)Exabeam的安全行業(yè)崗位滿意度調(diào)查結(jié)果(調(diào)查樣本來(lái)自481位安全從業(yè)人士)。

搞安全不是請(qǐng)客吃飯，安全從業(yè)人員對(duì)安全職業(yè)很滿意(很看重)的要素：

安全崗位的滿意度指數(shù)：冰火兩重天

很酷的網(wǎng)絡(luò)安全崗位TOP20

雖然安全市場(chǎng)規(guī)模高速增長(zhǎng)，人才炙手可熱，但職場(chǎng)規(guī)劃也要未雨綢繆，提前布局。安全職場(chǎng)是一個(gè)高速旋轉(zhuǎn)的摩天輪，如果你不懂得及早離開(kāi)舒適區(qū)，挑戰(zhàn) “酷職業(yè)”，最后可能 “哭” 的機(jī)會(huì)都沒(méi)有。

基于市場(chǎng) “錢景” 與成長(zhǎng)性、職業(yè)吸引力和崗位滿意度三大緯度，我們大致可以鎖定一些值得留意的，市場(chǎng)、雇主和員工都青睞的 “酷崗位”。以下安全牛根據(jù)多份安全職場(chǎng)調(diào)查報(bào)告，以及SANS研究所推薦名單，為大家推薦下面這個(gè)安全行業(yè) “酷崗位” TOP20 名單：

“酷崗位”TOP20

• 威脅獵手
• 系統(tǒng)、網(wǎng)絡(luò)和/或 Web 滲透測(cè)試員
• 網(wǎng)絡(luò)/終端取證分析師
• 事件響應(yīng)員
• 網(wǎng)絡(luò)和安全架構(gòu)師
• 惡意軟件分析師
• 軟件測(cè)試工程師
• 網(wǎng)絡(luò)安全分析師/工程師
• 媒體搜證分析師/司法計(jì)算機(jī)犯罪調(diào)查員
• CISO/ISO 或安全總監(jiān)
• 安全運(yùn)營(yíng)中心分析師
• 漏洞研究員/漏洞利用程序開(kāi)發(fā)者
• 安全審計(jì)和風(fēng)險(xiǎn)管理專家
• 安全軟件開(kāi)發(fā)者
• 移動(dòng)安全經(jīng)理
• 應(yīng)用程序滲透測(cè)試員
• 災(zāi)難恢復(fù)/業(yè)務(wù)連續(xù)性分析師/經(jīng)理
• 技術(shù)總監(jiān)和副CISO
• 入侵分析師
• 物聯(lián)網(wǎng)/關(guān)鍵基礎(chǔ)設(shè)施安全總監(jiān)

以下我們挑選部分崗位進(jìn)行介紹和點(diǎn)評(píng)：

威脅獵手

每天都能感受狩獵的刺激!每個(gè)案例都是如此獨(dú)特!

工作職責(zé)描述

分析攻擊者如何滲透基礎(chǔ)設(shè)施，識(shí)別已經(jīng)被入侵的系統(tǒng)/網(wǎng)絡(luò)。調(diào)查復(fù)雜攻擊留下的痕跡需要取證專家不僅精通最新取證、響應(yīng)和逆向工程技術(shù)，還要熟悉最新的漏洞利用方法。

酷點(diǎn)

“事件響應(yīng)與威脅捕捉團(tuán)隊(duì)，是識(shí)別和觀察惡意軟件指標(biāo)與行為模式的關(guān)鍵，可以產(chǎn)生準(zhǔn)確的威脅情報(bào)，用以檢測(cè)當(dāng)前和未來(lái)的入侵。”

價(jià)值亮點(diǎn)

威脅捕手在公司與黑客/惡意軟件之間增加了一個(gè)重要的安全防御維度。

過(guò)去兩年間，在安全運(yùn)營(yíng)中引入了威脅追捕職能的公司企業(yè)，入侵到檢測(cè)的耗時(shí)從數(shù)月縮短到了數(shù)周。成功捕捉威脅的關(guān)鍵在于終端&網(wǎng)絡(luò)分析技術(shù)與威脅情報(bào)的融合。

系統(tǒng)、網(wǎng)絡(luò)和/或 Web 滲透測(cè)試員

在安全防御實(shí)戰(zhàn)化的今天，企業(yè)內(nèi)部的 “白帽子” 滲透測(cè)試專業(yè)人士是企業(yè)培養(yǎng) “攻擊性思維” 和主動(dòng)式防御的關(guān)鍵環(huán)節(jié)。

工作職責(zé)描述

找出目標(biāo)系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序中的安全漏洞，幫助企業(yè)鞏固安全。通過(guò)識(shí)別出哪些漏洞可被利用而導(dǎo)致業(yè)務(wù)風(fēng)險(xiǎn)，滲透測(cè)試員能提供最緊迫問(wèn)題的重要洞見(jiàn)，并對(duì)如何排序安全資源給出合理建議。

酷點(diǎn)

“通過(guò)像壞人一樣思考和行動(dòng)來(lái)幫助鞏固安全。”

“沒(méi)有什么比突破那些 ‘萬(wàn)無(wú)一失的安全防線’ 更有成就感了。憑借你的技術(shù)和創(chuàng)造性解決問(wèn)題的能力，闖入并找到漏洞，搶在亡羊之前補(bǔ)牢。”

價(jià)值亮點(diǎn)

“你才是那個(gè)企業(yè)網(wǎng)絡(luò)安全與否的終極確認(rèn)者。你需要用過(guò)人的智商、毅力和創(chuàng)造力來(lái)突破企業(yè)網(wǎng)絡(luò)安全的每一道防線，找出可利用漏洞的位置，以便能夠在壞人染指之前自補(bǔ)。道德黑客/滲透測(cè)試人員是當(dāng)下炙手可熱的頂級(jí)網(wǎng)絡(luò)安全人才。”

CISO/ISO 或安全總監(jiān)

領(lǐng)導(dǎo)安全運(yùn)營(yíng)仍然是信息安全領(lǐng)域中最重要、最酷的工作。

工作職責(zé)描述

當(dāng)今首席信息安全官的職責(zé)不再與以往相同。盡管仍然是技術(shù)人員，今天的 CISO/ISO 必須擁有商業(yè)洞察力、溝通技巧和面向過(guò)程的思維方式。他們需將法律、監(jiān)管和企業(yè)自身要求與風(fēng)險(xiǎn)承受、預(yù)算限制和技術(shù)采納結(jié)合起來(lái)。

酷點(diǎn)

“官大一級(jí)壓死人。”

這些人決定在哪里修建 “瞭望塔”，園區(qū)設(shè)置多少巡查員，哪里可以安全生火野炊，以及要遵從哪些交戰(zhàn)規(guī)則。

價(jià)值亮點(diǎn)

“你可以極富創(chuàng)意地影響公司的整體安全，為提升公司安全做出直接貢獻(xiàn)。你是企業(yè)安全的頂級(jí)玩家，CEO 唯一信任的人。”

“這一職位通常向高層報(bào)告，能夠看到并影響大局。你的工作伙伴包括實(shí)體安全部門、IT 部門、業(yè)務(wù)部門，甚至國(guó)家安全和相關(guān)司法機(jī)構(gòu)。”

“你就是大老板，可以決定誰(shuí)做什么、誰(shuí)得到什么，激勵(lì)你的手下，然后與他們分享成果。你每天都在產(chǎn)生切實(shí)的影響。”

安全軟件開(kāi)發(fā)者

很酷的頭銜，目前還屬于極為珍稀的 “物種”，如果說(shuō) DevOps 和敏捷化是少數(shù)頭部企業(yè)才能玩轉(zhuǎn)的法拉利賽車，那么優(yōu)秀的 DevSecOps 安全開(kāi)發(fā)者就意味著你需要給法拉利裝上防彈鋼板和全新引擎，不降低其圈速，而且把引擎的壽命從 400 公里提高到 40 萬(wàn)公里，難度可想而知。

工作職責(zé)描述

注重安全的軟件開(kāi)發(fā)者，在安全軟件開(kāi)發(fā)方面超越所有開(kāi)發(fā)人員，實(shí)現(xiàn)不含邏輯設(shè)計(jì)漏洞和技術(shù)實(shí)現(xiàn)缺陷的安全編程技術(shù)。此類專家最終負(fù)責(zé)確保客戶軟件沒(méi)有可被攻擊者利用的漏洞。

酷點(diǎn)

“你得確保東西能夠有效運(yùn)行，而且在壓力下不會(huì)崩潰。”

“需要高超的編程造詣，堪稱真正的高級(jí)開(kāi)發(fā)者。”

價(jià)值亮點(diǎn)

再好的安全架構(gòu)或策略都 “遭不住” 編寫(xiě)糟糕、滿是漏洞的不安全軟件。如果在最初開(kāi)發(fā)的時(shí)候就注重產(chǎn)品的安全，又何須事后返回去添加安全措施。

代碼級(jí)安全是應(yīng)用安全的根本所在。這些人是撐起當(dāng)今軟件世界的中流砥柱。