此前笔者微信交流群里,有个朋友在微信上咨询我这个问题,让我帮他解下惑,这个朋友的问题,如下:
说真的,笔者一向不喜欢回答这类的问题,因为也没有什么标准答案,笔者也没啥能力去给任何人指点未来的路该如何走,针对这个朋友的疑惑,笔者仅以这十几年来的一些亲身经历来简单聊聊安全之路。
笔者此前从事过多个平台的安全研究工作,包括Windows/Linux/OSX/Android/IOS/IOT等,所以对安全的方方面面多少了解一些,同时笔者在逛一些安全网站或论坛,还有在一些群里的时候,经常会有一些人问类似的问题:1.我是该学移动安全,还是该学PC安全呢?2.我是从WEB安全入手,还是直接学习二进制安全呢?3.我是该学Linux内核,还是学习Windows内核呢?4.做安全还有前途吗?是不是要转行了5.做逆向还有啥前途?还是赶紧转行吧6.安全现在细分领域太多了,我究竟要从事安全的哪个方向?7.未来全是AI自动化了,不需要深入安全研究了......其实这就跟一些开发人员,经常会问,我该学哪门语言?是学C++好,还是学Python好,还是应该去学最近几年很火的Rust,同样还有是做前端开发更有前途,还是做后台开发发展更好等等这些问题。
笔者不想去讨论这些辩论题式的问题,该学哪个好,或者说学哪个更有前途之类的,这个其实是没有什么标准答案的,笔者也无法用标准答案来解答这些问题。
不管是移动安全,还是PC安全,不管是WEB安全、还是二进制安全,不管是安全攻防,还是渗透测试,这些都只是一门技术,也就是笔者一直说的,就是一门手艺,任何一门技术或手艺只要沉下心来去深入的学习和研究,找个工作,混口饭吃应该是不太难的,难的就是啥都只懂一点点皮毛,啥都会又好像啥都不会,就像你说学习了十几门不同的编程语言,但门门都只会写Hello World,其实没啥用,不如先去精通一门语言,其他语言都是相通的,花点时间学习下语法就行了。
学习安全技术也是一样的,可以先精通一个方向再说,在精通了一个方向的前提下,有时间再去学习和研究更多的方向,做到一精百通,这样你就不用担心找不到工作了,不管别人跟你深入聊技术,还是跟你扯淡,你都不用担心,如果你啥都会,又啥都只会一点点的话,没有深入研究过一个方向,在目前这个形势下,找工作可能就比较难了,所以与其去迷茫,不如沉下心来去多多学习,找准一个自己喜欢的方向,先深入学习研究一下。
至于说哪个方向更有前途,或者说更有“钱”途,就跟别人问我如何快速发财一样,我想说的是,快速发财的门道都写在刑法里面了,如果你想通过做安全快速发财,笔者真没办法教你如何快速发财致富。
不管是PC安全也好,移动安全也呗,其实基础都是二进制安全能力,只是平台和架构不同吧了,当你精通了一门之后,再去研究另外一门其实也很容易,没啥难度,基础的东西从来没有变过,变的只是上层的平台和架构,只要你把安全基础能力打好了,再去搞上层是很容易的事情,就跟你精通了C++,想去学习了解其他语言,就会发现原来这么简单。就这位朋友的疑惑,笔者先来谈一谈笔者的一些亲身安全经历吧,笔者在2013年开始研究移动安全了,当时还在腾讯,记得2013年的时候,腾讯的整体战略就是“全面转移动端”,其线下几十款产品全部开始转向移动APP端的研发,笔者也是在那一年,开始研究移动安全,当时笔者从网上购买了大量的移动开发相关的书籍,包含安卓系统和IOS系统,每天下班之后就在家里学习移动开发技术,用了差不多一年的时间,熟练掌握了安卓和IOS的开发技术,然后就开始研究移动端的逆向安全技术。
后面因为腾讯的整体战略发生了改变,3Q大战之后不久,安全已经不在是腾讯的核心战略之一,笔者也就离开了腾讯,后面又发生了一些事,就不展开了。
2014年笔者又回到腾讯开始做移动安全相关的工作,主要的工作就是APP的安全审计、渗透测试和APP加固等,说真的那两年也是笔者最痛苦的两年时光,APP的安全审计、渗透测试工作对笔者来说真的很枯燥无味,也不是笔者想做的,所以后面在找工作的时候,笔者一定是去找做自己想做的事的工作,不然太痛苦了,当时腾讯的所有应用都已经全面转向移动端了,有差不多二十几款APP需要审计,每个月各产品线基本都要出一个新的版本就会转到笔者这边进行APP的源代码安全审计和渗透测试之类的,其实就是对照着Android和IOS的APP审计CheckList表一项一项的对着分析和测试,每天的工作基本就像机器人一样,重复又重复,没啥意义可言,没有啥新的东西可以研究,每天都是重复机械的去完成CheckList表的检测就可以了。
APP的加固工作也不是笔者想做的,整天需要解决的就是与Android系统不同版本的各种兼容性问题,Android系统只要一升级,就需要兼容。
当时笔者发现一些病毒木马也提交过来进行加固处理,当时国内做APP加固的,除了外面专业做加固的几家企业,一些互联网公司里面基本上都有做加固的团队,当时阿里、腾讯都有做加固的团队,不知道现在这些团队还在吗?可以说当时做安卓逆向和加固,还是很火的,现在就没当年那么火了,这是时代的发展必然趋势。
现在还在招安卓逆向的,大多数还是一些互联网大企业,这些互联网企业主要是为了保障自己的APP的一些安全问题,同时还有一些小的搞“黑或灰”产的企业,招一些搞安卓逆向分析的,通过逆向破解一些大厂的APP协议做一些插件或流氓推广之类的,还有一类招安卓逆向的就是之前一部分安全企业招安卓APK病毒分析的,这需要安全企业有这项业务,当时一些安全企业是有做安卓手机安全软件的,现在好像做的比较少了,基本很少单独招安卓病毒平木马逆向的,所以如果现在还在说移动端已来,PC已死的人,其实是不太懂现在真正的安全市场的。
现在大部分安全企业应该还是招Windows/Linux两大平台的,毕竟To B企业,大家更关注的是企业的数据安全问题,还管是PC还是服务器,主流的平台还是以Windows/Linux两大平台为主,还有现在主流的一些安全问题,不管是勒索病毒平攻击、APT窃密攻击,还是各种黑灰产大多数还是以PC安全为主,当然移动端也有一些黑灰产,还有主机服务器安全也是Windows和Linux为主,其外还有一块就是Mac平台的办公电脑的安全,也是黑产攻击的重点目标之一,这些都是以PC端安全为主,所以说PC端安全不行了,其实是对当前企业安全面临各种实际的安全问题不太了解。
国外还有一些厂商在做安卓的安全,需要对安卓病毒进行逆向分析,不过现在招安卓病毒逆向的应该不太多了,做安卓逆向更多的还是去一些互联网大厂或者做一些与企业APP业务安全相关的工作,主要就是跟称动端那些做黑灰产的进行对抗、做一些风控管理等,这一块技术都是相通的,只要你会逆向移动端的APP,能解密各种加壳混淆,基本就没啥问题了,其他的都很容易。
笔者在之前面试的时候,有一位浙大非常优秀同学在面试最后问了笔者一个问题,我觉得问的挺好的,他问我,应该怎么样选择,是在互联网公司做安全,还是应该在安全企业里面做安全?问我是如何选择的?
在互联网公司做安全可能收入会比一些安全企业做安全的收入要高一些,因为互联网公司大多数都不是靠安全来赚钱的,都是靠自身的其他业务以及流量来赚钱的,这些互联网公司也确实赚钱,所以开的工资可能会高一
...(已截断)
---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-285407.htm
[原创]以亲身安全经历聊聊安全方向、价值与未来
211 浏览
24 回复
iamasbcx
请教下 安卓开发是学哪门语言,类似PC端的C++ 。
Java
请教下 安卓开发是学哪门语言,类似PC端的C++ 。
Java
ai时代的到来,关于大模型相关的攻防,是否也会是一条新赛道呢?
各行各业安全都很重要但是安全部门不是可以赚钱部门,从事安全的人大部分也不是最赚钱的,如果把安全看做一种业务,他当然是最有说服力的,但是在真实世界这很难被当作一种筹码,在安全行业赚钱,要在商业高度发达和自由的环境,所以我选择新加坡,欢迎相关行业朋友来交流。
写的很好,给作者点赞,每个人都有自己的路要走,生存只是最基本的,不要忘了初心,都曾想着改变世界,结果都被现实修理,哈哈哈
安全有35岁危机吗?
安安静静做忠于自己得爱好,都会有一份不错得生活和工作的。
如果对恶意软件分析感兴趣的,可以加入笔者的全球安全分析与研究专业群
怎么进群呀
怎么进群呀
你加下好友吗,
你的分享对大家帮助很大,非常感谢!
经济下行阶段,安全的重要性明显要更弱了,在互联网企业,安全部门始终是成本部门,更像是一个保安,预算紧缩,要裁撤的时候第一个就会想到安全部门。
没出事的时候,养着安全部门有什么用? 真出了事的时候, 到底养着安全部门有什么用?
说回来,确实,年轻就是最大的资本
0几年注册的看雪,机缘巧合入行做了逆向,那时候总觉得技术牛逼才是真的牛逼, 工作和业余时间全都倾注在逆向上,收入低工作时间长,也从不觉得辛苦觉得累
换工作的时候,如果不是逆向的方向也绝对不考虑,对安全行业是一腔热血。
感觉那时候的自己有点像武侠小说中一个初出茅庐的外门弟子,充满着对江湖的向往,对宗门的崇拜,对武学的痴迷。
但是随时工作经历和社会阅历的成长,机缘巧合之下也转到了业务研发, 也不再拘泥于逆向的工作,感觉做研发也挺不错
这个行业正经上班的,说起来都是苦哈哈的打工人,和其他打工人也没什么区别, 有门路捞偏门的,既有财富自由的, 也有坐班房的
只能说不管什么时候,都应该做自己感兴趣的事情,就不会后悔。努力很重要,运气/气运也很重要。
在选择之前,问问自己是不是真的热爱。
在两难抉择之间,我一般会选择更难的那一个。
回顾过去安全行业最火热的也是2000年-2010年这黄金十年吧,也是中国经济发展最快的十年,在10-20进入到移动互联网时代之后,泡沫越吹越大,都是围绕流量的生意, 认识的很多从业者现在都转行了,还有几人坚守本心不得而知,说到底安全也只是一份工作。
AI时代已来,不知道现在新入行的年轻人是否还会去用纸笔手写汇编代码。
论坛很久没来了,有感而发
祝大家都能找到属于自己的天地
没出事的时候,养着安全部门有什么用? 真出了事的时候, 到底养着安全部门有什么用?
说回来,确实,年轻就是最大的资本
0几年注册的看雪,机缘巧合入行做了逆向,那时候总觉得技术牛逼才是真的牛逼, 工作和业余时间全都倾注在逆向上,收入低工作时间长,也从不觉得辛苦觉得累
换工作的时候,如果不是逆向的方向也绝对不考虑,对安全行业是一腔热血。
感觉那时候的自己有点像武侠小说中一个初出茅庐的外门弟子,充满着对江湖的向往,对宗门的崇拜,对武学的痴迷。
但是随时工作经历和社会阅历的成长,机缘巧合之下也转到了业务研发, 也不再拘泥于逆向的工作,感觉做研发也挺不错
这个行业正经上班的,说起来都是苦哈哈的打工人,和其他打工人也没什么区别, 有门路捞偏门的,既有财富自由的, 也有坐班房的
只能说不管什么时候,都应该做自己感兴趣的事情,就不会后悔。努力很重要,运气/气运也很重要。
在选择之前,问问自己是不是真的热爱。
在两难抉择之间,我一般会选择更难的那一个。
回顾过去安全行业最火热的也是2000年-2010年这黄金十年吧,也是中国经济发展最快的十年,在10-20进入到移动互联网时代之后,泡沫越吹越大,都是围绕流量的生意, 认识的很多从业者现在都转行了,还有几人坚守本心不得而知,说到底安全也只是一份工作。
AI时代已来,不知道现在新入行的年轻人是否还会去用纸笔手写汇编代码。
论坛很久没来了,有感而发
祝大家都能找到属于自己的天地
还是很认可, 别人给的,别人的眼光.... ______很空泛______...
重要的是, 你自己给自己, 不迎合他人, 不求着别人..... 求自己,说到,做到...你可以过上平静的日子 + 热爱的事情.
重要的是, 你自己给自己, 不迎合他人, 不求着别人..... 求自己,说到,做到...你可以过上平静的日子 + 热爱的事情.
首先很同意楼主的说法点赞。其次破点冷水,楼主资历好大厂也是多家横跳,摸索出属于自己的安全道路。当下是非常卷的时代,对于一线大厂学历985,211仅仅是入门门槛,甲方招聘卡211也是常态,如果起步就有进大厂门票,年轻是最大的优势,学历好工作资历好,可以去尝试失败,比如美团 阿里 腾讯 字节,一年一跳也不是问题,最后选择自己安全道路去稳定专精发展。普本或大专及更低学历?只能在中小厂,技术好的通常也能去安全头部大厂试错,注意这几年如果试错失败,大几率空窗期找不到工作,部分人还是要适应发展。
最后于 2025-2-10 09:32
被一半人生编辑
,原因:
最后于 2025-2-10 09:32
被一半人生编辑
,原因:
膜
请教下 安卓开发是学哪门语言,类似PC端的C++ 。
大佬说的没错,字字珠玑;选择哪个方向都不重要,重要的是执行力和对技术的孜孜探索