这就是为什么我不建议进入网络安全领域

作者：Sathyaprakash Sahoo

是的，你没看错！

但请不要误会，我不建议人们从事网络安全职业。我从事这个行业已经很长时间了，具体来说，从高中开始。这就是在网络安全等领域的唯一优势——“早点开始”。

种一棵树最好的时间是二十年前，其次是现在。

尽早开始可以让你有机会塑造自己的职业道路，并充分利用自己的机会。与 22-25 岁才开始的人相比，15-18 岁的人通过开始从事该领域的职业道路可以学到更多东西并取得更大的成就。年轻人在全身心投入职业生涯之前有更多的时间学习和尝试，而不像那些感到压力要立即找到工作的人。

当人们将网络安全视为一种职业时，他们通常会参考不切实际的电影和电视剧，这些电影和电视剧展示了与网络罪犯的惊心动魄的追逐以及保护敏感数据的满足感。是的，这看起来很酷，但只在电影里 :)

1. 这个行业的吸引力

首先让我们来了解一下为什么这么多人对网络安全感兴趣。

这是一个充满机遇的行业。对熟练专业人员的需求空前高涨，薪资竞争力十足，而成为数字监护人的想法无疑具有吸引力。人们经常说，这是一个充满目标、令人兴奋且有机会产生真正影响的职业。

我最近在 Statista 上看到了一些关于网络安全市场未来的有趣数据。根据统计数据，该行业有望实现显著增长，预计年增长率(CAGR 2024-2029) 为 7.92%。到 2029 年，市场规模预计将达到2719 亿美元。想想这个快速扩张的领域中的潜在机会，真是令人兴奋。

然而，虽然网络安全的吸引力是显而易见的——高需求、丰厚的薪水以及保护数据免受恶意威胁的崇高事业——但这个行业还有没有被广泛宣传的一面。

Udemy/YouTube 等平台上有无数课程，经常宣扬成为网络安全专家的梦想，让这个梦想看起来触手可及、令人兴奋。然而，这些课程中有许多只是触及皮毛，让人对这个领域的真正含义一知半解。

但现实是——

网络安全职业的日常生活可能与人们想象的完全不同。它并不总是追踪黑客或设计坚不可摧的系统。大部分工作都是精心细致的，包括数小时的监控、分析日志和更新安全协议。这些任务虽然至关重要，但可能会让人感到重复和精神疲惫。

压力是这个领域的永恒伴侣。风险极高，防止数据泄露并在发生数据泄露时迅速做出反应的压力可能令人难以承受。

一个错误，一个被忽视的漏洞，其后果可能是灾难性的——不仅对组织，而且对你的职业生涯也是如此。

就业市场又增加了一层复杂性。作为一名新人，进入网络安全领域可能极具挑战性。

这个行业非常关键，组织需要兼具技术敏锐度和实践经验，而如果没有多年的从业经验，很难获得这些经验。许多新进入者因激烈的竞争和陡峭的学习曲线而感到沮丧。

我从一家中大型电子商务公司的职位描述中截取了这张截图。这是安全工程师的典型中高级（3 年经验）职位描述。公司通常更愿意雇用经验丰富的专业人士而不是该领域的应届毕业生，他们的期望也相应较高，如上图所示。

2. 情感上的伤害

除了技术挑战之外，还有一种通常不被讨论的情感压力。网络安全专业人员经常身处前线，面对不断变化的威胁形势。持续的警惕可能导致倦怠，而在高度专业化的领域工作所带来的孤立感可能很难控制。

此外，你的工作成果往往是看不见的。当事情进展顺利时，没有人会注意到。只有当事情出错时，你才会突然成为众人瞩目的焦点——而且不是好事。

3.学习曲线

网络安全领域新人面临的一大挑战是学习时间的把握。许多人在大学二、三年级就开始探索这个领域，相信自己只需几个月就能掌握它。

然而，网络安全并不是一项可以快速掌握的技能。它需要对操作系统、网络、Web 应用程序和编程有基本的了解。理想情况下，人们应该尽早开始学习过程——最好是在高中。这种早期开始并不意味着马上开始黑客攻击，而是要扎实掌握基础知识，比如了解操作系统在内核层面的工作原理、网络如何运作以及各种技术堆栈的基础知识。

在没有这些基础知识的情况下直接进入网络安全领域，往往会成为一个脚本小子——依赖现有工具而没有真正理解底层原理的人。

网络安全学习曲线类似于一个 5 阶段过程。

• 初始学习：第一次尝试学习一项新技能。

• 持续学习：在不同环境中保留和调整技能。

• 学习停滞期：学习者的知识水平已经达到最大值，无法进一步提高。

• 学习细化：完善现有技能，更有效地使用它们，并将其应用于新的环境中。

• 学习巩固：通过过度学习掌握所有以前获得的技能和知识。

4. 认证困境

网络安全认证为这一复杂局面增加了另一层压力。许多专业人士发现自己面临着高昂的认证考试费用，这可能是一个沉重的经济负担。虽然并非每个雇主都要求这些认证，但越来越多的人偏爱持有这些认证的候选人。OSCP、CompTIA Security+、CISSP、CISA、CISM、GPEN 等认证被视为候选人承诺和专业知识的指标。它们可以提高您的信誉，让您在竞争激烈的就业市场中脱颖而出。然而，重要的是要记住，虽然认证可以打开大门，但它们不能替代实践经验和对该领域的深刻理解。

5. 多样化的专业化

网络安全不是一个单一的领域；它包含各种专业，每个专业都有自己的重点和技能。一些主流领域包括：

漏洞评估和渗透测试 (VAPT)：识别和利用系统中的安全漏洞。

• 事件响应：管理和减轻安全漏洞的后果。

• 安全工程：设计和实施安全系统和网络。

• 威胁情报：分析和了解潜在和新出现的威胁。

• 取证：调查和分析网络犯罪以收集证据。

• 合规性和风险管理：确保安全实践符合监管要求并管理风险。

• 安全操作：监控并防御系统免受持续攻击。

• 安全架构：开发框架和架构来支持整个组织的安全。

• 云安全：保护云环境中的数据和系统。

• 应用程序安全：确保软件和应用程序免受威胁和漏洞的侵害。

• 硬件安全：保护物理设备及其固件免遭篡改和攻击。

• 物联网 (IoT) 安全：保护构成物联网生态系统的连接设备和网络。

• 汽车安全：保护汽车系统和联网车辆免受网络威胁。

• Web3 安全：解决分散式和基于区块链的应用程序中的安全挑战。

每个领域都需要不同的技能，并侧重于网络安全的不同方面。选择符合你的兴趣和优势的专业至关重要，因为每个领域都可能与其他领域有很大不同。

6. 就业市场——技能差距

与专注于数据结构和算法 (DSA) 和编程的传统软件开发工程师 (SDE) 不同，网络安全专业人员必须具备广泛而深入的技能。仅仅知道如何编写代码是不够的；

• 你需要知道如何操作一段代码

• 如何破解代码

• 更重要的是，您需要知道如何使该代码按照其预期行为运行。

该职位需要各个领域的专业知识，从道德黑客和事件响应到漏洞评估和安全编码实践。

这种广泛的技能要求通常意味着，虽然普通的 SDE 可以通过专注于编程挑战来磨练他们的技能，但网络安全专业人员需要成为万事通。他们必须精通安全战略的全局和技术实施的细节。

7. 看不见的路

这并不是说网络安全不是一个有回报的职业——它绝对可以。但你必须睁大眼睛去看待它。这个行业有自己的挑战，并不适合每个人。如果你能在压力下茁壮成长，对解决问题充满热情，并能承受精神压力，你可能会发现它非常有成就感。但如果你纯粹是为了刺激或薪水而被它吸引，你可能需要重新考虑。

网络安全是一个需要坚韧、适应能力和对这门手艺的热爱的领域。它不是为了荣耀，而是为了勇气。所以，在深入之前，先问问自己：你准备好面对屏幕背后的现实了吗？