港真：网络安全没有门槛， 初级岗位前途未卜

经常听到有人抱怨网络安全领域存在所谓的"门槛"。针对这个话题的讨论大多让人痛苦地发现——业内很少有人了解大局、正在发生什么以及为什么会发生。大部分人不去关注问题的核心，反而在社交媒体上浪费口舌，通过站队捍卫自己的立场。一些大V表示，年轻人被故意和恶意剥夺了获得第一份工作的机会（似乎CISO 和招聘者正在密谋将他们拒之门外），而另一些人甚至说，那些找不到写着要求"5年+工作经验"的初级从业人员只是缺乏天赋或敬业精神。本文无论如何都不会偏袒争论中的任何一方，相反地，本文将仔细研究通常所说的"门槛"，剖析行业的实际情况、出现这种情况的原因，以及我们该如何应对。

关于网络安全"门槛"的讨论如此之多有两个原因：一是安全人才供需不匹配，二是缺乏业务和更广泛的宏观经济背景。

安全人才供需不匹配

我们之所以听到网络安全"门槛"的说法，主要原因是想入行的初级人员的数量远远超过了市场需求，而这又是由多个独立又相关联地因素造成的。

过去十年来，有关所谓"网络安全人才短缺"的报道，让大众认为安全行业有数百万个人才缺口，因此对初级从业人员的需求很大，这很难评！随着威胁数量的增加，我们确实需要更多的网络安全人才，但问题在于，市场需求并不是那些培训机构说了算的，也不是我们自己觉得企业开始关注网络安全而决定的。要使市场真正需要更多的人才，还是需要企业愿意雇佣更多的人才。虽然我们有很多有抱负的安全人员在找工作，也有很多培训机构乐于向他们收取数千美元的培训费用，但 机构声称市场上有四百万、五百万个工作岗位缺口简直是天方夜谭 。

取而代之的是被误导的一代人。训练营、大学和社交媒体的大V们夸下海口——经过几个月的培训或获得安全学位后，就能拿到6位数的薪水。结果不仅没有丰厚的薪水，甚至都没有公司愿意聘用这些渴望并愿意为提高世界的安全性而努力的初级人员。如果找出并羞辱这些大V们就能解决这个问题，那就太好了，但实际情况往往要复杂得多。

缺乏商业和更广泛的宏观经济背景

当我们深入研究这个问题时就会发现，网络安全并不特别——工程、产品管理和风险投资等其他技术领域也在努力培养强大的人才梯队。安全领域的不同之处在于，与其他学科的人员不同，大多数安全从业人员无法了解更广泛的业务和宏观经济背景。由于缺乏这样的背景，许多人不得不依赖于自己的认知，并试图用自己的认知来解释正在发生的事情。

遗憾的是，由于人们对网络安全的业务方面缺乏广泛了解，太多人认为 CISO 和管理层通过恶意的方式（如人为设置障碍、制造不合理期望等）"阻止"他们进入安全行业。由于社交媒体天然容易放大彼此的观点，因此，认为安全存在"门槛"问题的观点已被普遍接受为事实。而且，一旦有足够多的人相信某件事情是真的，那大部分人觉得它就是真的，即使它是假的。

高风险高影响的安全工作

招聘网络安全专业人员很难，原因有很多，最主要的一点是：安全职位风险高、影响大。

由于安全团队超负荷工作，同行之间通常很少有机会相互检查工作，同时又要能在几乎没人带的情况下独立工作。要做到这一点，需要丰富的经验和可靠的判断力。

一旦犯错，其影响可能大得惊人。现实情况是CISO经常在安全事件发生后被解雇，但大多安全事件的发生并不是因为某些宏大的战略失误，而是因为控制失灵、错误配置等小问题。可能多年前遗留的一个看似微不足道的漏洞，会成为安全事件的根源，而责任人可能早已经离职。

更糟糕的是，安全领域的反馈回路可能长得令人难以置信，这意味着可能需要数年时间才能弄清某个人的工作能力如何。在客户成功、用户体验设计、质量保证等其他岗位上，管理层几乎可以实时地跟踪员工的表现；而在安全领域，许多今天看起来不错的决策可能会在几年后成为事故的根源。运气也很重要。就像很难说清某家公司没有被攻破，是因为它工具牛逼，还是因为运气好一样，弄清某个安全人员在保护组织安全方面发挥了怎样的作用同样也很难。

由于招聘失误的代价非常高昂，因此CISO有更愿意去聘用那些有经验、有专业技能，并且已经证明他们的判断是正确的人。反之，他们不愿意聘用初级人才，因为他们缺乏工作经历，被认为风险更大，更有可能犯下安全专家不会犯的错误。虽然工作经历丰富不能保证判断力一定优秀，但缺乏经验肯定会被作为判断力的先决条件。

安全团队规模小，后果严重

与信息技术（IT）和人力资源（HR）类似，安全也是职能部门。这意味着安全团队的规模很小，不像销售或工程团队那样与收入成线性关系。且安全被视为成本部门，因此CISO很难增加人手。业务逻辑很简单：“既然增加更多的安全人员并不能帮助我们赚更多的钱，那么只要我们的安全措施足够好，就应该没问题了。而且，既然我们在过去 12 个月中没有发生大规模的入侵事件，这就意味着我们已经做得很好了。为什么还要花更多的钱？”

据观察：对于CISO来说，为一些新工具申请预算比为一个新员工申请预算要容易得多。即使CISO成功获得了额外预算，他们也不能完全自由地聘用任何他们想要的人。CISO本身就是企业聘用的，因此他们要做出对公司最有利的决定，这通常意味着要聘用经验丰富、能够快速上手的人。

从商业角度来看，这种方法是完全合理的。公司的存在是为了创造利润，而不是为了提高下一代安全人员（或其他任何人）的技能。聘用安全团队是为了保护企业创造和保持这些利润的能力。因此，领导层希望CISO能以最低的成本招聘到最有能力保护公司的人员。

更糟糕的是，安全团队缺乏必要的系统和流程来帮助新人取得成功。由于安全团队规模较小，他们经常被工作压得喘不过气来，几乎没人有额外的精力来培训新人。这不是安全行业独有的现象，这也是初创企业无力聘请初级开发人员的原因——大公司拥有吸收和指导新人才的系统，而初创企业则不同，它们需要利用仅有的资源快速行动，没有人培训初级工程师，也没有让他们取得成功的系统和流程。

另一个值得讨论的问题是，拥有多年工作经验的人通常能得到的报酬水平，和招聘启事中对初级职位要求的 5-10 年工作经验中的一样。我认为，那些在网上大骂这些招聘启事荒谬的人完全有权利这样做（他们也绝对应该这样做！）。但是，了解为什么会出现这种情况也很重要。因为安全被视为成本部门，所以CISO们经常为获得扩大团队的预算而苦苦挣扎，即使成功被批下来了，往往也不够用。CISO非常清楚，以公司的招聘预算很难招到高级人才，但他们也知道他们没有雇用初级人才的条件，所以他们往往决定利用现有的一切资源"搏一搏"——在预算内去找一个经验尽可能丰富的人。所有这些都与"门槛"或不愿考虑来自不同背景的人无关，这都是一个更大问题的二度和三度后果。

一位 Reddit 用户对此总结得非常好。

Source: Code-07 on Reddit

“很抱歉你没有得到那份工作。

话虽如此，在我看来，网络安全是一个门槛不那么高的行业，有很多可迁移的技能可以让你在这个行业取得成功。

许多公司只有少数安全人员的预算，因此想要拥有10年以上经验的人员。这是个问题，但不是高门槛，而是无法有效地培训人员。

更成熟的组织可能更深入地了解成功之路，也能支付更高薪水，因此岗位竞争可能非常激烈。

例如，如果我要在GRC招聘一个职位，我会对有安全审计和风控背景的人更感兴趣。”

安全工作需要前置知识

安全工作要求人们具备必要的知识。简单地说，如果不深入了解保护对象的基本工作原理，就很难确保其安全。

不同的安全从业人员对先决知识有不同的看法。什么被视为"基础"，通常取决于个人的背景和职业生涯所处的阶段。业内人士认为，初级安全从业人员应了解身份和访问管理、云安全、网络、软件工程、安全治理、运营技术（OT）、物联网（IoT）、灾难恢复、物理安全、采购、业务、人事、政策、预算等方面的基础知识。另一方面，那些希望进入安全行业的人往往将这些要求视为"门槛"，并认为技能是可以迁移的，非传统背景的人也值得关注其潜力，而且并不是所有从事网络安全工作所需的技能都需要在入职第一天就掌握。

我认为这两种说法都有道理。在所有这些争论中，缺少的是这些要求背后的原因。

CISO不愿意聘用初级人才的原因还是在于风险。让一个没有软件工程背景的人去确保代码安全的风险有多大？非常高。他们的判断力可信吗？这要看情况，但如果应用安全工程师自己不会写代码，他们所做的只是从一些工具中获取缺陷，然后交给软件工程师去修复，那么他们并没有增加多少价值。或者说，一个没有 IT 工作经验的人有多大可能立即有效地了解如何保护内部员工的安全，而不对他们的工作效率造成负面影响？我认为这种可能性相对较低。

初级安全工作确实需要基础知识，但这并不是一份要求繁多的清单，而是要了解人们试图保护的对象是什么。对于应用程序安全来说就是代码；对于云安全来说就是云配置和部署；对于网络安全来说就是网络和防火墙；对于身份安全则是身份和访问管理......这样的例子不胜枚举。如果没有这些基本技能，从业人员只会操作工具和点击按钮，却不能真正理解他们在做什么，以及为什么要这样做。此外，虽然深入了解自己将要接触最多的安全领域至关重要，但同样重要的是，要了解行业细分是如何运作的，以及所有这些是如何结合在一起的。这是一个很高的要求。

与此同时，不同背景的人肯定有很大的空间做出贡献，并在安全领域找到适合自己的位置。

网络安全并不特别。在许多其他的商业和技术领域，已经或一直很难找到初级职位。

产品管理

程序员可以专注于编程，数据分析师可以专注于分析数据，设计师可以专注于设计，律师可以专注于法律，而产品经理则必须掌握软件工程、设计、数据分析、法律、合规、经济学等广泛的技能。虽然产品经理（类似于安全从业人员）可以在任何行业工作，也可以从一个市场转到另一个市场，但拥有特定领域的专业知识却无比重要。比如说，一个人不需要知道如何承保抵押贷款，就可以在一家抵押贷款技术公司管理产品，或确保其环境的安全。但是，对该领域的深入了解可以帮助产品负责人确保他们专注于正确的产品需求，同样也可以让安全从业人员预测到攻击者对其组织可能使用的攻击手段或诈骗方式。

产品管理和安全有许多相似之处。这两个职位都具有令人难以置信的高风险和高影响，因此在这两种情况下，大多公司都不愿意冒险。在产品领域，聘用了解自己在做什么的人极其重要，因为在为时已晚之前，很难区分好的产品经理和坏的产品经理。产品领域的反馈回路和安全领域一样长。黑莓（BlackBerry）曾有许多高薪聘请的产品经理，他们做出的决策看似很好，但最终却事与愿违；Blockbuster 和许多其他公司也是如此，这些公司的名字如今已成为警世案例。此外，与安全领域类似，产品团队的规模也小得惊人（每 10-20 名工程师就有一名产品经理）。

为了获得offer，产品经理需要掌握多种技能，并在业务战略、软件工程、设计、数据分析、市场营销和销售等领域有很深的造诣。无论从哪里开始职业生涯，他们都必须精通所有其他领域。这个要求很高，但就是这样。人们对他们的期望高得令人难以置信——就像对安全从业人员的期望一样高，甚至可以说是不合理。

所有这些因素都使得，如果不事先积累数年的经验并在软件工程、设计、客户成功等特定领域建立终身职业生涯，几乎不可能获得产品经理职位。即便如此，也是远远不够的，因为产品经理的人才供给远大于市场需求。在某些情况下，商科毕业生可以在大公司实习，然后获得初级产品经理的职位，但从总体上看，这种情况并不常见。"打入"产品管理行业是出了名的难；我认识一些人，他们为实现自己的目标努力了好几年。尽管如此复杂，你却从未听说过产品领域有什么"门槛"——人们理解公司为什么要规避风险，并专注于想方设法进入公司。我还记得很多年前读《 破解产品经理面试 》这样的书时的情景，为了得到产品部门的工作，我花了几个小时建立人际关系网络（顺便说一下，我花了一年多的时间才得到这份工作）。

还有一点值得一提——大量的新手训练营承诺，只要参加三个月的兼职课程或获得一些在线证书，就能找到一份6位数的工作。不用说，就像我们在安全领域看到的一样，这些学校实际是培养出大量失望和怨恨的希望者，他们很难找到理想工作。

风险投资

有一个领域比产品管理领域更难找工作，那就是风险投资。虽然每个人都听说风险投资公司对技术发展方向的影响有多大，但很少有人知道，如果没有相关经验，几乎不可能 进入风险投资行业。大型风险投资公司为 MBA 毕业生和年轻、有激情的专业人士提供了两年的联合项目，但是：1）大型风险投资公司很少；2）这些项目都需经过严格筛选。

风险投资领域竞争如此激烈有几个原因。其中最主要的原因是人才供需不匹配。有数以万计甚至数十万计的人梦想成为投资者，帮助挑选下一个谷歌或 Meta。与此同时，风险投资公司却只有几千家。更糟的是大多数风险投资公司都相当精简：虽然少数像 a16z 和红杉这样的公司规模有几百人，但绝大多数都是 1-20 人的团队。因为风险投资公司只能获得基金规模的 2% 来支付他们的开支。例如，一个 2500 万美元的基金每年将有 50 万美元用于支付每个人的工资、旅行和会议费用、办公室租金等。这也是为什么风险投资公司一方面有动力保持小团队，另一方面又有强烈的理由募集更多资金（更大的基金意味着更多的费用）。

风险投资的反馈环路是最长的，因为需要十年甚至更长的时间才能看某间公司是否真正成功。当然，人们可以通过一些信号来评估成功与否，但最终的标准——实际回报——需要几十年才能实现。所有这些和许多其他因素使得风险投资领域非常保守和规避风险。

软件工程

最令人惊讶的可能是，软件工程领域的初级职位也变得几乎难以获得。这种情况以前并不存在，但市场已经发生了变化，企业雇佣和培训应届生的意愿也随之发生了变化。

Source: Freddie Carthy on X

“在做了10年的工程师（其中包括2年经理）之后，我很想说，我终于有资格胜任我看到的一些初级开发人员的角色。”

在资金便宜的时候，企业愿意雇用初级工程师，并花六个月到一年的时间帮助他们成为有生产力的贡献者。在高利率的今天，这种情况已不复存在，几乎没有公司愿意雇用和培训初级软件工程师。

应对新世界的经济现实

为找工作而苦恼的不仅仅是软件工程师。TrueUp 一直在追踪科技初创公司、科技独角兽公司和上市科技公司公开招聘的科技职位总数，情况不容乐观。与 2021 年高峰期相比，科技行业的工作岗位减少了 50%，这是一个巨大的差距。

Source: TrueUp

这就引出了一个问题：安全工作是否能免受更广泛的宏观经济影响？我不这么认为。虽然安全团队受预算削减的影响可能较小，因为没有人愿意为漏洞负责，但我们不一定会看到公司大规模招聘初级安全从业人员。CISO不会凭空制定预算——因为安全被视为成本部门，安全团队的每一个招聘决定通常都会受到严格审查。当CISO们被要求为增加一个新的全职员工提出业务论证时，他们知道自己根本没有时间去培训初级人员。他们需要的是能够立即投入工作的人员，而不需要任何额外的资源或支持。

很少有初级安全从业人员能够完全理解这一点。这看起来很简单：他们努力学习，以便将来有机会作出贡献。他们是对的——应该这样做，但事情不止这么简单。安全团队需要准备好接纳和培训初级安全从业人员，而当他们勉强应付已经不堪重负的工作时，这就很难做到了。

我认为，随着金钱不再是免费的，相关的初级人才将更难被聘用。公司都希望能从所花的钱中获得最高的回报，而聘用经验丰富的专业人员是实现这一目标的途径之一。换句话说，在资本效率时代，企业有动力精益运营，而这就需要能够在没有额外指导和管理的情况下完成工作的人才。

自动化对安全工作市场的影响

让许多安全从业人员对其职业前景感到担忧的一个因素是——生成式AI。这个担心是有道理的。

生成式AI是一种自动化的形式，而自动化对于安全领域来说并不陌生，我认为自动化是大多数安全解决方案的核心。可以这样想：没有人解决不了的安全问题。从分流和研判告警到修复错误配置，再到在合适的时间通知对的人……所有这些工作最好都由经验丰富的安全从业人员来完成。问题是市场并没有那么多资深从业者，即使有，企业也肯定不愿意花那么多钱去聘请他们。此外，大量的数据要求我们有能力做出大规模的明智决策，而人类在这方面并不擅长，这就是为什么每个安全解决方案都是自动化解决方案。

我们一直在一点点减少确保组织环境安全所需的人工任务。我们开发了大量自动化检测工具，在安全编排、自动化和响应（SOAR）产品的帮助下，通过剧本摆脱了大量重复性工作（尽管没有供应商承诺的那么多）。然而，尽管我们在安全自动化方面做出了种种尝试，但我们在这方面始终做得不够好——检测工具会产生大量误报，而所有误报都需要人工排查；SOAR 平台要求人们同时掌握两种难以掌握的技能，即剧本创建和事件响应。由于大多数公司都缺乏这种罕见（且昂贵）的人才组合，因此安全自动化工具的前景尚未完全实现。

尽管有剧本和安全工具，公司仍会雇用少量初级安全人员，让他们在学习技能的同时，人工完成一些基本的（通常是重复性的）工作。如今，随着生成式AI的兴起，这种情况已不复存在。大量初创企业开始将以前由初级专业人员完成的工作自动化。例如，安全团队很快就能购买AI agent，而不是雇佣一线 SOC 分析师。生成式AI究竟能在多大程度上实现其承诺，我们拭目以待，但工作世界已经发生了翻天覆地的变化。ChatGPT 在撰写文案方面并不完美，但它比许多初级作家都要强。虽然它在编写代码方面并不出色，但在为简单的用例编写简单的代码方面却很出色，而这些用例以前都是交给初级工程师处理的。而且，虽然大模型无法取代安全人员，但他们肯定可以完成初级安全人员目前正在做的工作。

人员留存率过低

近年来，人们在工作岗位上的平均工作年限不断减少，导致公司雇佣新人才的动力也越来越小。由于人们只在雇主那里工作 1.5-2 年，而初级员工可能需要一整年的时间才能提高工作效率并开始创造价值，因此对公司来说，这个等式没有太大意义。

特别是在安全领域，对中高级人才的需求很大，而对初级人才的需求却很少。理论上，公司雇佣新入行的人员并帮助他们成长，从而培养出忠诚的员工。但实际上，一旦安全从业人员有了几年的工作经验，他们就会为了更好的薪酬待遇或新的挑战而离开，这几乎不可避免。因此，雇用初级人才的企业可能会发现自己处于不利地位：他们不得不为培训新的安全从业人员付出代价，却只能眼睁睁地看着他们在中高级水平上开始工作几个月后离开。

工程师与运维之间的巨大鸿沟

我看到，工程师和运维的经验差距在不断拉大，这在就业市场上表现得最为明显。

安全工程是软件工程与网络安全专业知识的结合，需求量非常大。拥有几年工作经验的安全工程师不难获得工作机会，也很容易谈成天价薪酬。技术岗位数量的整体下降和高利率对安全工程师市场的影响似乎为零。与此同时，找一份运维（如 SOC 分析师、IT 分析师等）的工作简直就是一场噩梦。就业市场竞争异常激烈，工资低，要求高。

预计这种分歧只会越来越严重。具有网络安全专业知识和热情的软件工程师确实非常短缺。而且没有任何经验和认证的人想进入这个行业，也导致出现供过于求。这两者都很重要，但两者的市场基础却截然不同，招聘方式也不同。安全工程师是建设者，因此他们的聘用方式与软件工程师类似——通过展示自己的工程技能、作品集等。对于运维角色，没有可以分析或推理的作品集，因此招聘者会采用其他更无形的方式来评估，如认证、与行业的联系、可迁移的技能等。这样一来，招聘者就很难识别人才，有抱负的安全从业人员也很难展示自己的能力。

认清网络安全的现实

这听起来可能令人沮丧，但我认为无论做什么都无法改变核心问题：安全是一个成本部门，很难获得足够的资源。资源的缺乏又继续导致 CISO 试图尽其所能，并希望一些拥有 10 年以上安全经验的独角兽能申请到支付最低工资的工作。这并不是因为 CISO 们痴心妄想，而是因为他们别无选择。他们没有资源来培训新入行的人员，因此只能雇用他们负担得起的最资深的人员。这一现实的副作用是，那些没有网络安全经验的人（更不用说那些来自不同背景的人）更难进入到安全行业。

向其他行业学习

复杂的问题需要系统的解决方案。尽管人们普遍对安全现状持悲观态度，但我认为我们在行业发展方面做得很好。在王晨曦等人的领导下，我们曾努力在 RSA 大会和黑帽大会上取消"展台美女"，我们也真的做到了。某活动要求供应商相互集成，停止建立信息屏障，我们一直自信地在朝着这个方向前进。作为一个行业，我们仍有很多不足的地方，很多事情确实可以通过自我提升了解问题所在，共同找出解决方案，安全领域缺乏多样性就是一个很好的例子。不幸的是，"门槛"问题并不是其中之一，造成这一问题的原因并不是因为 CISO，而是因为复杂的商业和经济现实。要杜绝这一现象，就必须要正视现实。

这并不意味着我们无能为力。虽然我们无法改变现实，但我们可以让它变得更好。首要的是研究其他存在类似问题的行业，并向他们学习。安全行业喜欢造轮子，并觉得我们是第一个解决问题的人，但环顾四周，借鉴其他领域可行的方法，取其精华，去其糟粕，这样做效率更高。以下是一些例子：

从软件工程中学习

对于软件工程师来说，找到第一份工作绝非易事。然而在许多公司，招聘者已经学会不对特定语言和框架的知识进行筛选，而是考察一个人解决问题的能力。

遗憾的是，安全行业尚未认识到这一点。大多数公司都在考察一个人对不同安全工具的熟练程度，而不是考察他是否有能力分析和解决复杂问题。这极具有讽刺意味，因为：1）事物总是在不断变化的，所以学习能力应该比一个人现在知道什么更重要；2）攻击者之所以能够成功，是因为他们在创造性地思考问题，而我们无法指望通过无意识地操作安全工具来阻止他们。此外，工具只是工具。我们需要的是懂安全的人，他们在工作中使用哪种特定的工具并不重要。

从产品管理中学习

尽管经过近二十年的努力，产品经理已经变得更加普及，但问题依然存在（不像以前那么严重了）。这在很大程度上要归功于产品助理（APM）角色的兴起。硅谷产品组在本世纪初推广了这一计划， Google 是第一个实施这一计划的公司。现在， Uber 、 Salesforce 、 Atlassian、 Shopify、Instacart、 Yahoo、 Meta、 X、 Dropbox 等 其他的公司也在使用该策略 。不同公司的 APM 结构各不相同，但不变的是，这些计划能够让有抱负的 PM 获得经验，这对他们日后在产品领域找到工作至关重要。

实施 APM 的公司都清楚地认识到一点：培养初级人才需要大量投资。不仅运营项目本身需要花钱，而且还要牺牲其他全职员工的工作效率，因为他们现在必须为 APM 提供支持，抽出时间指导他们，回答他们的问题，提供他们学习（和工作）有用的相关知识等等。

如果说只有硅谷等领先的科技生态系统从 APM 等项目中获益，那是不公平的。加拿大的产品管理社区已经证明，即使缺乏资源，也有可能产生影响。在加拿大安大略省，一群产品领导者认识到，除了前面提到的成功美国公司以外，资源往往过于紧张，无法有效地构建 APM 计划，以充分授权和培训产品角色的入门者。2017 年，多伦多一群专注于产品的组织聚集在一起，以解决这一问题。多年来，他们已经举办了几届 APM Canada "，这是一个产品领导者互相学习 APM 的集体，其中 20 家公司新增了 40 名初级 PM。通过为期 6 个月的 APM课程深度培训，使 APM 们能够应对产品世界向他们抛出的挑战。

APM Connect 计划现在由Product Calgary负责。正如他们的网站所解释的那样，"APM Connect 是一个遍布加拿大各地的全远程项目，它将结构化课程与实践经验相结合，主要面向准APM（产品小白/转岗）。通过职业培训为这一小部分有自驱力的的候选人提供机会"。换句话说，APM Connect 通过培训帮助准APM们快速上手，让初级产品人员的招聘变得更加容易。

如果安全行业也有一个类似的计划，我们能否从中受益？答案是有可能的。如果CISO能够分担一部分初级人员入职的艰巨工作，他们就更有可能提倡让更多的初级人员入职。考虑到网络安全作为一门学科的广泛性，如果安全领域有这样的计划，参与者可以接触到不同的实践领域，如网络、云安全、端点安全、第三方风险等，然后再选择他们最感兴趣的领域。这样的机会很多，但需要有人去做（并为此付出代价）。

向风险投资学习

如上所述，风险投资行业是出了名地难进。但网络安全领域可以从风险投资领域学到一些东西。

大多数风险投资公司的助理职位都是两到三年的轮换项目，让对风险投资充满热情的年轻人负责寻找交易、社区建设和其他工作，目的是帮助他们了解风险投资公司的工作，同时让投资者更容易发现和支持有潜力的创始人。我们并不指望这些人在这几年结束后会被长期聘用，但这种短期的轮换足以启动一个人的职业生涯。风险投资公司这样做并不是做慈善：他们知道年轻人足智多谋，有动力努力工作，以实现自己的晋升和职业发展目标。

尽管存在这些多年轮换模式，但在风险投资领域寻找机会（甚至被此类项目录取）仍然非常困难。这正是 Laconia Venture Cooperative 和 Included VC等计划的用武之地。它们的性质大相径庭，但都朝着同一个目标努力——帮助来自不同背景的人进入风投领域。Laconia的实习让更多的研究员可以了解 Laconia VC 的投资实践和知识。Included VC 由 Notion Capital 联合创办，得到了众多风险投资公司网络的支持，提供了一个非常深入的风险投资实践课程，毕业后，近 90% 积极申请进入风险投资行业的人都获得了成功。这两个项目都可以免费参加。

如果安全行业也有一个类似的机制，我们会从中受益吗？Maybe。如果我们能让数十位资深CISO投入时间和精力，帮助下一代进入这个行业，会怎么样？如果我们知道年轻人在寻找安全工作时的首要障碍是找到第一个职位，那么也许有机会通过其他方式帮助他们积累经验，比如通过奖学金？如果我们能将这个问题的解决方案与帮助保护中小型企业、医院、学校或竞选活动的机会结合起来，我们就能找到一石数鸟的方法。

如果越来越多的公司只招聘高级人才，那么初级人才怎么可能找到工作？如果初级人才没有职业阶梯，高级人才从何而来？而且，如果没有"基础"工作可以让初级人才做，他们又能做什么呢？当然，很多人会说，我们现在可以专注于"更高价值"的工作，但实际上，要弄清楚什么是"更高价值的初级工作"并不那么容易。聘用更少的初级人才是短视的，而且不利于我们行业的未来发展。但是在当今的商业世界里，每个人都有为自己的股东争取最大短期回报的动机。当大家都在玩短期游戏时，作为一个行业的集体，我们最终将面临 又一个公地悲剧（又称共有财悲剧，指个人可以开放地获取资源，不受共享的社会结构、正式规则、收费或征税限制取得和耗用，并根据自身利益独立行动，违背其他使用者的共同利益，在与可用资源相关的使用者过多之情况下，通过不协调的行动导致资源枯竭）。

解决棘手的问题很难。就像生活中的许多事情一样，没有捷径可走，或许是我们没有找对地方。讨论"门槛"是件好事，它让人们关注到这件事，让人意识到了不公平。现实情况是，阻碍初级安全从业人员进入该行业的障碍是系统性的，只有当我们全面看待这些障碍时，才有可能拆除系统性障碍。

希望通过更好地了解问题，我们可以更好地集思广益，找到潜在的解决方案。CISO 不是怪物，求职者也并不懒惰，"门槛"也不是真正的问题。我相信，通过将社交媒体上那些理所应当的愤怒迁移到集体解决问题上来，化悲痛为力量，我们将有更好的机会建立一个愿意、准备好并能够让下一代从业者有机会解决亟待解决的问题的行业。

原文链接：

https://ventureinsecurity.net/p/lets-get-real-there-is-no-such-thing