困境求生：网安从业者可以提前储备哪些能力、资源和副业？

国内知名安全专家曾言，自2022年以来，安全行业整体增长放缓，利润转亏，现金流吃紧，估值回调，投融资活跃度显著下降。可见，国内网安行业经历十年高速发展，现已进入调整期，企业经营逻辑也从“成长优先”转变为了“现金流优先”。因此，在生存基础上谋发展，降本增效成为了很多企业的共同话题。

安在新媒体创始人张耀疆在密集走访了各大创业代表之后，也发出了同样的感慨：“确实感受到了大环境的低迷，以及大周期波谷所带来的普遍影响。从现实来看，前阵子融到资的厂商虽有余力却多远虑，至于未见起色的厂商，在现阶段那真是如坐针毡。不得不感叹，之前十年整个网安业高歌猛进的势头，在今天算是告一段落了。再往后，广筑墙、多积粮、不称王方为正道。”

而在经济下行的大环境之下，想要降本增效的不止安全厂商，各行各业都是举步维艰。顺着这层思考，不难想象，企业只要谈及“降本”，被长时间定性为“成本中心”的网络安全部门就一定首当其冲。正如安在新媒体去年推出的《2023企业安全建设水平抽样调查报告》中显示，有近11.3%的企业安全能力“基本空白”；60.49%的企业安全部门人员数量不足10人。同时在安全预算方面，仅有10%的企业投入的安全预算符合最佳投入比。

此外，安在新媒体今年发布的《2024中国网络安全产品用户调查报告》显示，2024年有超过38.6%的企业在年度中缩减了安全预算，另有43.6%的企业安全预算保持持平，仅有17.8%的企业表示预算会有所增加。

更不要说外部环境还存在安全事件频发、合规政策严苛、国际形势严峻、安全人才严重短缺等情况。怪不得国内外都有安全专家断言：将会有大量的人才离开安全行业。

做好专业能力的储备

然而，尽管工作越来越困难，职责也越来越复杂，但还是有不少CISO表示愿意坚持下去。根据ESG和信息系统安全协会（ISSA）的网络安全专业人员发布的一项研究：the Life and Times of Cybersecurity Professionals v6，其中79%的受访者表示，虽然安全大环境低迷，同时安全工作也比其他行业工作累得多，但其更像是信仰。这些安全人员中，有人表示，在面对安全行业老生常谈的倦怠问题时，由于安全人员需要面对更多的责任问题和沟通挑战，所以他们更能有效地管理压力、职业规划和工作期望。

另有安全人员表示，他们可能会将职业满意度归因于“企业管理层对网络安全的承诺”，因为在安全人员看来，组织能够重视他们的信仰，就是对他们而言最好的回报。就像国内某知名安全专家说的那样：“正如大多数安全人员之所以会选择这行，是因为对‘能找到漏洞’‘能守护好系统’这些行为本身有着义无反顾的精神。从根本而言，没人愿意自己被称为‘成本中心’，是因为社会需要，所以他们才愿意担起责任。”

那为了不辜负这些会为信仰奋斗到底的“孤勇者”，在接下去或许会日益严峻的环境中，我们又该建议安全人员做好哪些专业能力的储备呢？

owasp广东负责人刘志诚表示，安全从业人员不防在架构或某一技术领域深度学习，例如成为isc2的架构师，也可以去考取云或数据的认证等；当然，如果安全人员更多考虑的是管理方向，那不防也可以学一下项目管理，读一些MBA或工程硕士。

而某跨国企业CSO赵锐则指出，无论在什么时候，任何人都应该有基础的金融知识和财富管理能力，在面临失业时这方面的能力更为重要。如果财富管理的好，提前退休，就不担心失业了。

资源积累

在掌握了足够多的能力储备后，对于安全人员来说，其他重要的资源积累也需及时跟进。这就好比计算机的硬件和软件，专业能力储备是硬件，人脉资源、行业信息、工作渠道等就是软件，有时好的软件应用更能凸显出安全人员的硬实力，因为其能为安全人员开拓出更适合的舞台，让安全人员可以更加得心应手地展现自己。

拿人脉资源举例，安全人员可以通过参加行业会议和研讨会来扩大自己的交际圈，这也是结识同行、了解行业趋势和建立人脉关系的绝佳机会。通过参加这些活动，安全人员可以与来自不同公司和背景的专业人士交流，分享经验，探讨问题，并可能发现潜在的合作伙伴或职业机会。

其次，安全人员也可加入网络安全相关的专业组织和社区，像国外安全圈会推荐ISSA、ISC²等安全社会，而在国内，安在新媒体就是一个不错的平台，其内包含着大量的安全从业人员和业内顶级大佬，更有各种何时的CSO/CISO培训课程供业内人士选择。这些个组织和社区通常会举办线上或线下的活动，提供学习资源和职业发展机会。此外，它们还可能设有专门的论坛或社交媒体群组，供成员分享经验、讨论问题和寻求帮助。

当然，社交媒体也是建立人脉关系的另一个重要工具。安全人员可以关注网络安全领域的知名博主、专家或公司，参与他们的讨论和分享。总之，就是要与业内同行保持定期联系，了解安全同僚们的最新动态和职业发展情况。这种持续的互动有助于加深彼此的了解和信任，为未来的合作打下基础。

在此，刘志诚建议道，人脉推荐需要顺理成章，不能刻意为之，可以多参加一些行业的会议，多进行一些会议或公众号，安全专业媒体的分享。“为人想要获得就先要付出，公益的分享和输出既是助人，也是个人能力的提升与总结，而在这样的过程中自然会产生行业关系的链接，所谓资源积累也就水到渠成了。”

而赵锐就说得比较直白了，他表示：“人脉是相互的，别人帮助你，你也要帮助别人，人品和日常的积累很重要，这样关键时刻才有人愿意帮助你。”

副业选择

有人不禁要问，是否有了能力储备和资源积累，安全人员就能高枕无忧了？答案是……也不一定。毕竟这是个变换无常的时代，谁也不知道明天又会多出怎样的发展和趋势，很多时候，连企业存亡都只在这一瞬之间，更何况其中的某个部门呢？因此，为了更好的生存、生活下去，除了本职工作以外，安全人员也可以在副业上有所拓展。

结合国内外安全专家们的建议，有以下几条副业选择：

1、安全咨询与评估：提供外部的安全咨询和评估服务，帮助其他公司或组织识别、分析和解决网络安全问题。这可以包括漏洞扫描、渗透测试、风险评估等服务。

2、培训与教育：开设网络安全培训课程或工作坊，向个人或企业提供网络安全意识和技能培训。随着网络安全意识的提高，这一领域的需求也在不断增加。

3、撰写安全文章与书籍：利用自己的专业知识和经验，撰写网络安全相关的文章、博客或书籍，分享给更广泛的受众。这不仅可以提高个人知名度，还可以带来一定的稿费收入。

4、开发安全工具与插件：开发实用的网络安全工具、插件或软件，并在开源平台或商业市场上发布和销售。这不仅可以满足市场需求，还可以为开发者带来一定的经济回报。

5、参与安全研究与项目：参与网络安全相关的研究项目或开源项目，为社区贡献自己的智慧和力量。这不仅可以提升个人技能，还可以结识更多的同行和专家。

6、提供漏洞赏金服务：为漏洞发现者提供赏金服务，即向发现漏洞并提交给企业的个人或团队支付一定的奖金。这可以激励更多的人参与漏洞发现和报告，从而帮助企业及时发现并修复潜在的安全风险。

7、安全产品代理与推广：代理或推广优质的网络安全产品，例如防火墙、入侵检测系统、加密软件等。通过向客户介绍这些产品的特点和优势，帮助他们提升网络安全防护能力，并从中获得一定的推广佣金。

8、参与安全竞赛与挑战赛：参加网络安全竞赛或挑战赛，如CTF（Capture The Flag）比赛，不仅可以锻炼自己的技能水平，还可以通过比赛获得奖金和荣誉。对于表现优秀的选手，还可能获得企业的青睐和合作机会。

9、提供应急响应服务：在网络安全事件发生时，提供应急响应服务，包括事件调查、危机处理、数据恢复等。这要求具备较高的应急处理能力和丰富的实践经验。

在选择副业时，网络安全人员应结合自己的实际情况和兴趣进行考虑。同时，要确保副业活动不会与主职工作产生冲突或影响工作效率。此外，还需要遵守相关法律法规和行业规范，确保副业活动的合法性和合规性。

赵锐对此提出，副业的选择有很多，要基于自己的能力、爱好和家族资源，比如理财、薅羊毛、出书、演讲、威客等，都是可以选择的副业。

而刘志诚则言简意赅，他并不建议安全人员考虑什么副业，他认为，只有在个人专业领域的精进，对自己的能力和认知持续投资，才会是最好的投资回报。

人工智能和商业技能

当然，也有资深安全专家指出，在目前经济下行的环境下，安全人员可以更多地利用好网络上的知识库资源，更新自己对新兴领域的认知，不要局限于网络安全，而应该更多地了解不同领域之间的联系，以寻求更广阔的就业空间，这不局限于上班，更可能是一种“自媒体”或者“数字游民”的状态。

该名专家表示，这些新兴领域包括人工智能、Web3和区块链等技术原理和应用，这几个领域是有可能让安全人员实现上面这种状态的。特别是目前火热的人工智能，图片、视频、音乐的创作，让安全人员可以结合已有行业知识，结合网络安全知识，在特定的领域形成一定的竞争优势。

从现实来看，人工智能确实是一种新型的生产力，随着以大模型为基础的AI不断创新，为社会带来生产力的巨大提升，生产力的提升曲线必将超越社会就业容纳空间曲线，导致失业人数剧增。因此，安全人员不能单纯只考虑上班养活自己，而更多是想办法在副业上逐步实现收入增长。比如可以考虑以下方法：

1. 选择：利用好人工智能，可以为打造自己的个人IP提供强大的支持，而个人IP打响后，也能拓展圈子的人脉资源。

2.开局：如果你正在阅读安在的新闻，那么你应该知道安在诸子云就是实现个人IP的一个重要途径。提升自己，将经验通过文章，演讲的方式分享出来，让业内更多人认识你。

3.破圈：不仅让安全圈子认识你，更应该跨越安全圈子，让更多跨界精英也认识到你，这可以提高你的圈子人脉质量。

4.经营：个人IP需要持久经营，形成自己的人设，并且不断增进自己的跨界融合的知识层次，持续做好宣传工作。

5.盈利：通过更多的副业开拓，让你开始实现知识对财富的转化。

此外，温哥华采矿和金属信息共享与分析中心（ISAC）的CISO Rob Labbé指出，由于大部分安全负责人都是技术出身，所以他们往往会忽略职场上的商业技能，其包括商业战略、沟通、财务决策和公关技能。“我正在改变组织一直以来的安全政策，个人观点，安全政策应该和组织战略相统一，这样业务部门才愿意参与进来。此外，安全负责人在和供应商交流时，要明白对方的财务驱动原因，这样才能制定出更好的合同。”

Labbé提到了全新的MBA课程，该课程非常重视商业内容，如公司结构、治理、监管环境和预算编制等。SEI的CERT项目负责人Greg Touhill对此表示，经过在此课程上的学习，学生们可以从全新的商业角度定位自己公司的价值，此角度不但具备“风险思考”，还在商业战略上有了更具象化的分析。如此，安全负责人才能创建出更适合组织的预算提案。

当然，Labbé也表示，虽然培训和认证对安全人员来说是一条很好的途径，但它们并不是万能的，“没有人能成为CISSP领域里的专家。”因此，除了不断学习外，Labbé建议，安全负责人还可以多接触“比自己更聪明、技术比自己更牛”的人群。

“至于其他的一些建议。安全人员可以试着跳出舒适区，多接触组织内部其他的部门，看看他们为公司战略做了哪些工作；安全人员也可以多关注AI和云技术，这是未来趋势中两个最关键且最被需要的技术领域；对于技术导向的CISO来说，写博客或在各安全会议上发言可以帮助他们磨炼自己的书面能力和口头表达能力；最后也是最重要的一点，安全负责人千万不要等到最新的技术趋势已经定型，已经发布了相应的学位课程，才后知后觉地去学习，安全负责人一定要保持好奇心，常常阅读书籍和文章，争取在这些技术还未成为趋势前就有所了解，这样才不会让个人竞争力落后于他人。”

编者说

能力储备、资源积累、副业选择，其实说到底，这些都是对安全人员在综合素质上的造就，安全团队只有在综合能力上有所建设，才能在接下去日益复杂的环境中，成功抵御我们所无法预估的风险和威胁，企业才能基于这层层安全保障得到长足的发展。

而自始至终只有一点是不变的，那就是对安全人员来说，安全是“因为喜欢所以才充满激情，因为充满激情所以才敢于挑战”。对于安全行业，笔者希望越来越多的人才能参与其中，一起共筑安全行业的美好未来。而只有每个人都能对安全抱有情怀，那安全行业的飞速发展必定会让更多人见证到，同时各行各业的安全建设也一定会在社会、在国家、在国际上展现出不同凡响的成绩和辉煌。