去年的时候,我曾经在团队内部分享了一个“网络安全人才迁徙图”,被圈子里的同行广为传播。几乎所有行业的安全人士都表示:国内网络安全行业人才资源情况并不乐观——有着10年以上网络安全行业经验的核心安全人才,只有很小一部分,遗憾的是,却没有更多的新鲜血液补充进来。

  我们来简单回顾下近年来网络安全行业的人才是怎么流动的。

  

  ▲安全人才迁移路线图

  我们发现有着10年经验以上的“老鸟”,基本有以下几种去路:

  ■一部分跑去做黑产了,赚得多但是风险高,说不定哪一天就“进去了”;

  ■一部分跑去国外了,因为国外条件比较好,比如现如今FireEye、Palo Alto这些世界知名安全公司,他们的主要技术负责人如技术VP、CTO、首席科学家等,都是华人;

  ■一部分离开传统安全公司,加入BAT这样的互联网巨头企业担任安全相关要职;

  ■ 还有很少一部分依然坚持在创业做安全公司,但是普遍都很辛苦。

  老的人才在流失,新的人才培养跟不上,这是国内当前网络安全人才市场的显著特征。我们发现,当前网络安全实力最强的还是美国,其次可能是新加坡这样的国家。究其原因,像美国、新加坡这样的国家,他们特别重视网络安全人才的培养,而且首先国家就会为网络安全服务买单,这让行业、人才有了前进的动力。

  但是在国内,网络安全行业并没有太多体系化的人才建设,这导致国内网络安全人才市场出现青黄不接的状况,一方面人才在不断流失,一方面即便出现一些好的苗子,立马就被BAT这样级别的巨头互联网公司高薪收走,安全行业人才现在越来越少。

  安全行业洗牌在即

  我认为2014年才是中国网络安全行业的元年。在这一年里,网信办成立,第一次国家网络安全宣传周的大力推广普及......我们需要感谢斯诺登,因为他的出现,中国才逐渐看到了与世界的差距。同时也让国家看到了网络空间安全的重要性,目前网络空间安全已经成为国家的首要战略之一。

  而从整个互联网环境来说,随着“互联网+”大战略的继续推进,越来越多的行业、资产、隐私信息将被放在互联网上、放在云上。这个时候,安全的重要性也逐渐体现出来了。腾讯副总裁马斌就不止一次在公开的演讲中表示,只有“安全的互联网+”才是真正的“互联网+”,安全就是“互联网+”的基石。

  需求在进化,行业也需要跟着进化。安全行业里的企业,如果还抱着传统的思维继续下去,等待着的只有淘汰。

  ●●●

  我们把以往的传统网络安全企业称为“盒子的搬运工”,为什么呢?因为在以往,传统安全企业往往服务的对象是国家政府机构以及央企。在以往,“合规性”的需求往往大于真正对安全能力的需求。以往传统安全企业更加注重销售体系、渠道的建设,所以安全产品或者服务的购买,往往更侧重于销售关系而并非产品性能、实用性。

  我经常拿病人生病来举例:以往的网络安全产业就像是一个人生病了,安全企业就卖给病人一个听诊器和说明书,让病人自己来判断病情;若是病人需要继续研究病理,那可能这些企业还能卖给病人B超机、CT机,甚至说最后发现要动过手术,就卖给你一把手术刀。这样做的结果就是,你可能并不能治好自己的病,买一堆仪器也只能放在那里。

  但是现在情况不一样了,现在的网络安全企业更应该像是一个三甲医院,它为你提供了各种诊疗设备,还为你准备了各个科室,以及各类专家医师。作为一个病人你只需要把自己交给这家医院,其他的问题你再也不需要考虑了。

  ●●●

  当国家、 行业对于网络安全有着明确的需求的今天到来,安全企业如果还依然担任“盒子的搬运工”这一角色,是治不了网络安全这个病的。而从长远来看,当智慧城市、 互联网+以及其他传统业态纷纷向云靠拢,传统安全企业所提供的硬件设备,也并不能完全满足于保障客户线上业务安全持续运行的需求。我认为,未来的网络安全问题,更多是集中在云上,所以我们需要以安全云的形式,来解决即将到来的云安全问题。

  在这个过程中,很多云安全企业会逐渐崛起,包括BAT这样体量的互联网企业,也在逐渐强化云安全领域的投入(不管是自建团队,还是对外收购、投资云安全团队),而以卖“盒子”为主要业务的传统安全企业开始出现疲软。它们下一步将面临的只有两个选择——被淘汰,或者转型。

  未来网络安全产业,人才实力的竞争

  我们大胆抛出一个观点——网络安全人才格局,决定了网络安全行业未来格局。

  当国家、行业对于网络安全的需求从“合规性”转变为对“实用性”的需求的今天,谁拥有真正的实力,谁就能为客户解决问题。这就意味着,网络安全公司市场格局的竞争,到最后可能就变成了网络安全人才实力的竞争。

  目前来看,行业内对漏洞攻防方面的人才需求最为迫切,有着多年实战经验的网络安全人才尤其成为行业内的抢手货。前面我们简单介绍了一下当前国内网络安全人才的一个分布情况,我们会发现一个有趣的现象——目前国内最活跃的网络安全团队,并非存在于以往传统的安全企业,反而更多出现在阿里、腾讯、百度、360、知道创宇以及更多提供SaaS安全服务的互联网安全公司中。

  ●●●

  为什么传统安全行业核心人才,都纷纷选择出走?

  以往传统安全行业核心安全人才不断出走,正是因为传统安全企业历史以来一直都以关系型销售为导向为客户提供服务,“盒子”好坏也许并非是决定业务好坏的关键。所以这些安全人才并不能最大化发挥自己的能力、收入方面也并不乐观。当BAT等巨头崛起之时,它们对安全有着真正的实用性需求,需要有真正的安全能力接入,来保障自身庞大业务体系的安全运行。这个时候,这些核心安全人才,可以去BAT等企业大展抱负,而个人收入也是倍数增长。而另外也有部分的安全人才,选择加入知道创宇这样的新兴安全企业,同样可以让自己的价值放大。

  核心安全人才的流失意味着核心能力的流失。传统安全企业在全新的市场需求下,逐渐丧失服务客户的能力,把机会让给了有能力的团队。目前网络安全产业的格局基本形成——随着360、百度、腾讯、阿里(后简称3BAT)自身安全业务的不断发展,传统网络安全企业正在遭受来自于新兴互联网企业的强力挑战。这些巨头不仅自身实力强悍,并不断通过收购、投资有着真正技术实力的安全企业,来扩大市场的割据,让传统安全企业更加没有生存的空间。

  ●●●

  在未来“互联网+”的大环境下,安全企业的能力还需要得到进化,才能满足时代的需求。一方面自身拥有安全领域的顶尖技术,还需要能够接入互联网巨头的大数据作为培育云安全攻防能力的土壤,两者强强结合才能够成为是最强。我们看到当前业界3BAT已经在开始疯狂的战略布局,各自拉拢对产业生态布局有利的第三方企业结盟或者并购,3BAT的战线已经形成,安全产业市场格局基本已定。

  另外,基于SaaS服务的创业型安全公司或者创业团队开始逐渐成为当前行业的一股新兴力量。这些企业往往可以集结很多业界的优秀人才加入,试图能够在全新的市场需求下寻求一个突破口。面对他们的是一个很大的机遇,但是同样挑战也十分艰巨——一方面面临着3BAT的行业竞争、人才抢夺,生存空间同样受到挤压;另一方面,这些新兴的团队虽然在技术实力上或许比传统安全企业还优秀,但是未来的行业格局下,是否能够战胜“互联网巨头+实干型安全公司”的战略组合,还是个未知数。

  最后,一些个性化的网络安全需求也逐渐成为培育行业发展的沃土。比如渗透测试,仅仅这一个需求就已经刺激行业在2015年崛起了不少的众测平台。但是我认为这块市场未来的发展空间还需要进一步考证,毕竟众测这种特殊的安全解决方案将面临着一个最大的挑战——你如何让你的客户放心地给予你进行渗透测试的权限?

  文章转自CSDN《程序员》杂志

  作者:杨冀龙

  

  知道创宇公司首席技术官,创始人之一。是中国民间著名白帽黑客团队“安全焦点”核心成员,参与编写了安全技术畅销书《网络渗透技术》,被记录中国互联网发展史的畅销书《沸腾十五年》评为中国新一代黑客领军人物之一。2015年杨冀龙被兰州大学聘请为荣誉教授。