信息安全未来的发展

我其实非常好奇，现在国内的安全企业（乙方），一般是怎么交付的；
1 、做咨询
2 、做成品（卖软硬件）
3 、做服务（卖软硬件的后续服务）
4 、待补充...

只会和其他 cs 方向一样越来越卡学历

我理解的企业安全现状 很严峻 很多企业没有安全团队 或舍不得在安全上投入 （优先发展业务去了 生存是第一要务）
未来业务的安全 我感觉可能会依赖 to b 的安全服务 比如 青藤云这样的公司

航道的问题 我不了解 web 可能热一点

现在这个社会不就是活到老学到老么

拼多多 flanker

会绕 WAF：
五年前=大神
这年头=面试门槛
会免杀：
五年前=大牛
这年头=面试门槛
有 CISP/PTE 等
五年前=巨佬
这年头=面试门槛

一个普通安服都要求有红队思维、精通外部打点、web 撕口、横向移动、防溯源；可见有多卷。
卷起来是上面有指标、有要求。
前几年一盘散沙是因为客户都是肥头大耳的暴发户不懂安全只需要安全感。

如今国内的安全不是安全，是贩卖恐惧，一个漏洞能变十几个标题和衍生案例铺天盖地的公众号新闻板块推送最后反手一贴
"***安全产品已经能够识别并且防御此类威胁，深耕行业潜心研究多年，您值得信赖！“

殊不知只是把国外某巨佬丢到 github 的 poc 随便改改+注释+打包成 exe<**漏洞专版检测工具 v1.0 内部版.exe>+复现文章内部先走一遍流程，没问题后公众号开始刷屏转发其他小弟弟开始白嫖工具，然后批量提取规则打包到安全产品更新包里。拼的不是技术，是手速。


安全产品逐步趋向于互相“借鉴学习”，其实撕破脸皮都是 github 复制粘贴居多。Gov 政策红利、等保硬指标都在推动这个行业加速成熟。大胆预测行业红利期已经到了后期，5 年左右还能挣到钱。之后就是无限竞争无限拔高门槛。最后形成两派割据的局势。企业派(启明、天融信、360 等等等)开源派(独立研究员博客、github 不多逼逼亮代码巨佬、qq 群分享+撕逼的娱乐圈黑阔小学生等等等等)
其实卷起来是好事儿，最好门槛条件卡死。因为这个行业浑水摸鱼的垃圾也越来越多，拧干点儿水份也好。

类论基础：

TCP/IP 学透
HTML+JavaScript+php+java+python 读得懂、改的动
B/S 架构+C/S 架构整明白

经验积累：
大量阅读漏洞复现文章、跟着动手本地做复现
大量阅读代码审计文章、记住重点自己尝试审计
大量阅读 hackerone 挖掘 SRC 公开案例、记住重点自己尝试挖掘
大量实战(SRC 挖掘(学习还能赚钱)、CTF(玩玩就好))+笔记(好记性不如烂笔头)

安全分支这么多，想集中精力在一个点上并且精准输出高质量成果以达到最大化效益的目的？

学代码审计、做代码审计。其他都是弟弟。

毕竟安全的饭，就是开发的锅。

@User9901 太现实了，之前公司的安服就是这么干的

很明显，现在安全行业也开始卷了，卡学历的时期马上也要来临。
传统的渗透测试越来越吃不开，各种设备一上，想打进去基本上靠 0day 和钓鱼。
所以肯定要考虑自己的知识面，不能局限于渗透测试那几步，更应该聚焦于安全“内功”，说白了就是各种基础。

现在只会一个方向很难吃得开，Web 狗也得学二进制，做渗透的也得会逆向，唯有各种基础是不变的。

我擦，连安全这个每年没多少钱的行业也要开始卷了么。

渗透工程师和甲方价值其实取决于具体企业价值值多少，安全是小众行业，真能打的干嘛要去上班，一个人一台电脑就可以去“创业”了，根本不用担心，至于漏洞多少，不一定是安全提升了，担心这些虚无的东西时候，塞班倒闭之后，产生了 ios 和安卓，市场变得更广阔了，技术在进步你在进步吗？

@SlipStupig 那如果早早选择了一个有前景的方向和 苦练塞班，塞班岗位没了再入门 Android 比更好吗。

@echo1937 你说的三点都有

@User9901 前辈说的很让人有启发，代码审计确实是很好的方向。才入职场，主管很佛系只是管自己的，没人给指路。

@echome 你有预测未来的能力吗？你如何得知你选的一定是有前景的方向？想着这些有的没的，不如看看你自己到底会什么

各行各业都卷，在现在这个大趋势下，要不提升自己水平，增强自己的竞争力。
要不就躺平，无欲则刚。

开发技术确实在不断进步，比如现在的桌面客户端应用是 ELECTRON 的天下了。做安全的也要积极拥抱变化。话说，二十年前能搞懂微软 COM/OLE 的人，现在看 ELECTRON 也轻轻松松吧。而且安全的步伐天生滞后于开发（建设），倒也不必那么焦虑。

个人感觉有几个方向：代码审计、安全测试、安全管理；

@jobs0 对，已经开始做代码审计方向的东西了。