职场“首七”,似乎是不太好听的一个名字,无奈七年的职场生涯都快忘了当年是怎样写抒情散文的了,也想不出更好的题目,就这样吧。夜深了,记忆突然回到7年前的那个夏天。那年成都很热,北京也很热。我们几个刚刚走出象牙塔的年轻人,怀揣梦想,登上了从双流机场开往首都机场的航班,我记得那是2015年的6月27日。虽然这条航线我已经飞了太多次,但这一次却显得那么不同,不再是学校放假飞回北京中转高铁回家,而是踏上了我的职业生涯。时光荏苒,转瞬七年已逝,在这不长不短的悠悠七载岁月里,学会了一些,也忘记了一些;得到了一些,也失去了一些。匆匆回首,不能忘记来时的路,瞠目远眺,也不敢一丝一毫放松懈怠。如今作为安全圈子里面不知名的小菜鸟,在这七年光景到来的时刻,就想着啰嗦点什么,算是告慰自己这七年的光阴吧。
2015年的夏天,我提着行李箱,从望江校区打车去双流机场,当我走出校门的那一刻,我开启了自己的职业生涯,进入了自己所学专业的这个行业-信息安全。当时对信息安全的理解就是攻防,攻击就是WEB渗透,防守就是WAF和各种入侵检测类的的盒子产品例如IDS/IPS/UTM,哦对了,还有防病毒。因为对安全的热爱,我校招选择了一家安全公司,在当时也是领航信息安全了,可能会有很多同仁在那里待过,应该知道说的那家。我进入了入侵检测产品线,主要从事该类型产品的测试工作。入职一段时间后,我觉得这不是我想要的“白帽黑客”人生,于是选择离开去了一家创业公司,在哪里,我接触了情报,开始玩渗透,挖漏洞,我觉得终于成为真正的“白帽黑客”。如今回想点点滴滴,常常感慨于当年的青涩与稚嫩,想来想去,还是受到“dark cloud”平台的影响,觉得那才是真的安全吧。在创业公司一年后有机会去了当时最渴望进入的公司某数字公司,不过是某数字企业安全,当时也不懂,觉得就是一个品牌嘛,一个做个人安全,一个做企业安全,没啥区别,稀里糊涂开启了我安全行业“首七”的第二个阶段。总的来说这“首七”中的前两年,我通过跳槽,真正进入了我畅享的“安全”世界,虽然因为青涩,走过了一些弯路,但如今回想起来,每一段都是宝贵的财富。前两年的职场经历,让我了解更多的安全公司,认识了很多优秀的领导、同事,了解了更多的安全领域的方向和内涵。但依然没有改变我对攻防技术的喜爱与痴迷。
2017年的ISC结束后,我入职了某数字企业安全,当然现在改名了,已经分家并独立上市了,我相信大家都知道是哪家,不表也罢。在这里,一下子进入了渗透的海洋,什么SQL注入、XSS、RCE、XXE,CSRF、SSRF、上传包含、路径穿越巴拉巴拉诸如此类,挖的不亦乐乎,疯狂的收割各种shell。后来,又接触到了内网渗透,尤其是域渗透,什么NTLM、kerberos,委派、凭据提权、哈希传递、金票银票、白加黑、注册表、万能钥匙又是打来打去,玩的开开心心。到后来几乎把ATT&CK上覆盖70%左右的东西都带着团队兄弟们玩了一遍。这一段就是我之前博客,那个还叫做《挖洞的土拨鼠》时代的最高产的岁月了。原来也做过产品安全,安全建设,后来也做了应急响应,安全运营,威胁狩猎,喊着“未知攻,焉知防”的口号开始边打边建设,什么事件处理流程、漏洞管理体系、USECASE、SOP不一而足。在各位大佬前辈、领导、同事,各位著名黑客和安全从业大佬的不吝赐教下,茁壮成长,甚至也开始到各种大会上做做speaker,吹吹牛皮,开始圈内social。
这一阶段,人生也仿佛和职场一样,行驶进了快车道,我成了家,回到了成都,买房定居,还养了一条聪明可爱的边牧。我回到了学校里,走在望江校区的街道上,仲夏赏荷花绽放,深秋观银杏落叶,执佳人手,携爱犬漫步在我曾经最熟悉,在最轻松惬意的日子里走过的每一处街角。醉意当下,畅想未来,意气风发。我可以代表公司去校园里面招聘,可以去和大佬们聊天喝茶,我都快以为我自己也是那些大佬其中的一员了,也许人就是那么容易飘吧。
转眼时间就到了2021,也就是去年,家中有些变故,自己也面临职场的危机。我重新回到了北京开始打拼,到去年年底,我在乙方安全公司干了整整7年(从2015年初我实习开始计算)。于是我来到甲方(真正的甲方,不是在安全公司做内部甲方),开始看看真的甲方到底如何做安全。真的不一样,在安全公司,即使是甲方安全角色的部门,因为自身公司身份的特殊性,加上自身公司业务的特殊性,导致安全投入的成本非常虚高(数字高,产品自用连带测试实际成本很低,投入的人员和技术能力真的很多)。而在真正的甲方,公司的主营业务不是安全,公司是需要利润的,是需要向股东负责的,在这里,安全就不是一种情怀式的建设,一场技术狂热者的比拼了,而是一种风险控制。企业被打穿了是一种风险,企业为了做安全影响业务开展效率更是风险,为股东负责才是真的企业安全。于是有限的资源投入,有限的人员和编制,有限的技术投入,大部分是采购,信息化与安全建设水平很基础,这就是真正大部分甲方企业的现状。当然互联网公司,尤其是头部生态型互联网公司,他们甚至本身就已经成为安全能力和服务的提供者了,他们的财大气粗也足以支撑他们堪比专业安全公司能力的安全团队,甚至有过之而无不及。在甲方这里,基本的安全工作都步履蹒跚,何谈红蓝对抗、何谈安全能力提升呢,攻防真的是未来我一辈子的饭碗吗?这几日,某知名出行公司的罚款事件猛然惊醒我如醍醐灌顶,这才是真的企业面临的现实大风险啊。心有疑窦,便徘徊踟蹰;心有定数,方勇往直前。
说到这里,就得回顾一下当下正在进行的国家级大型实网实兵攻防演练了。回首过往,我才发现自己在2016年就已经参与其中了,当时作为蓝队成员参加的,而后每年以不同的身份参与其中,一直到去年我成为了某地区级大型实网实兵攻防演练的裁判,多年下来也算是略知一二吧,但今年已经不在深度参与其中了,更多的是以旁观者的身份去看,跳出来或许看的更清楚,这类攻防已经成了资源的比拼、0Day的比拼,武器自动化程度的比拼,安全研究团队能力的比拼,基础设施能力的比拼,说白了就是钱的比拼。想想自己不及格的天赋,浅薄的攻防技术能力,而立之年的年岁,未来家庭生活的需要,自己在攻防这条路上似乎遇到了瓶颈,如鲠在喉。
峰回路转,积善之家必有余庆,想来自己是个有福的人,在从乙方来到甲方之际,遇到了安全新赛道新领域的新大佬,以及能够激励我不断前进,激起我进取心的新同事。他们的优秀,坚持和目标感,以及新赛道的选择让我有了下一个学习的领域,激起了我学习的欲望。天不生仲尼,万古如长夜,新的领域的领路人和同路人值得尊敬。当然我不会放弃做了这么多年的攻防技术工作,直到现在我也还在从事着于此有关的工作,只不过我会以空杯心态,从零开始,重新学习新的知识。
想到此,也筹备这重新打开我的博客,重新更新,记录自己新方向新征途的点点滴滴,可能简单、可能基础,但谁不是从简单的基础知识学起的呢,此外作为一名“白帽子黑客”,最重要的还是共享精神,也借此希望能够一同激励更多的像我一样的小白学习者,来一起学习,一起分享。
2022年7月29日深夜,于一隅之地,写下这篇杂文,不伦不类,无内涵无文采,啰里啰嗦,无病呻吟。聊以自慰。