白帽黑客成长独白:301消失的那几年

      白帽黑客成长独白:301消失的那几年无评论

  前言

  大家好,我是众安天下的杨蔚,首先非常高兴能够参与本次阿里巴巴安全峰会跟大家一起讨论安全人才的话题,非常感谢永信至诚的盛情邀请,同时也希望通过本次不到30分钟的时间跟大家分享下我个人的一些经历以及对安全人才相关的看法及建议。

  关于我

  首先,请允许我介绍下我个人及我的团队,我叫杨蔚,90后,在安全行业ID叫“301”,现在是众安天下的负责人,除了连续创业者的身份,我也是一名白帽子,之前是乌云网合伙人之一,乌云众测负责人,业余运营了安全自媒体平台叫“301在路上”,希望自己经历的很多事情分享给大家,传递自己的一些观点、经验及安全知识,希望帮助更多人,少走弯路。

  大家看过这个议题,肯定会有不少朋友会提出一些疑问,为什么会选择一个比较特别的议题名称“消失的那几年”,我将从四个方面同大家分享下这个特别的议题内容。

  首先,我会针对“消失的那几年”的定义和背景做一些分享介绍,并且也会针对这几年做的事情和自己成长经历中走过的一些弯路跟大家分享。

  经过了几年的磨砺,自己也总结了一些有关安全人才成长的一些方法,希望能给在场和不在场的朋友们一些帮助。

  最后,也会从自己的角度给出针对未来安全新人在信息安全路上成长过程中的一些总结与建议。

  第一、消失的那几年哪去了?

  其实,针对消失的那几年,我个人的定义是从两个方面去考虑的,首先,在近十年前的高考失利后,放弃了学业离开亲朋好友自己开始做起网络工作室,关在自己的网络世界里,后来因为经营不善缘故,工作室关闭了,一心想往网络安全的我又一次失败后,当时脸皮也比较薄,所以后来在亲朋好友的视野中消失了近3年,主要是不想大家看到自己当时落魄的状态。

  而消失的那几年真正的愿景就是一心想挤进“安全圈”,当然这样的经历背景,也是我所接触到的众多白帽子都有过的成长轨迹。

  后来,利用大量的业余的时间精力来弥补之前丢掉的一切,通过互联网安全社区学习到不少安全知识,并且认识了不少志同道合的朋友,虽然一直想踏入安全领域,反复受挫未能正式进入这个圈子,但是很高兴的经历了多年的弯路后,总算正式进入这个圈子领域,开始做自己想做的事情,并且通过各种方式去弥补之前本不应该“消失的那几年”。

  而在这几年里,我经常会在路上,所以,运营的公众号平台名称就叫301在路上。当然,由于工作性质的问题,身边的合作伙伴和团队的同学都经常开玩笑说:“301,什么时候来北京出差。”

  当然,这也是大部分人的声音,因为工作时间非常忙,时间很有限,原来团队的同学基本每个月只能见到我几天时间。所以,一直很忙碌。

  第二、这几年做到事情

  作为安全新人的我,第一份真正意义的安全工作是来自国内知名安全咨询公司谷安天下,CEO李华提供的渗透测试方向安全顾问的职位,作为新人的自己也除了吃饭睡觉以外的时间基本上疯狂投入在学习安全行业知识及拓展安全人脉资源上。所以,在安全学习上,自己这几年花费的时间和工作要求上会对自己更为严格。

  通过快速成长的前两年,后来有幸以合伙人身份加入乌云团队,负责乌云企业方向的商业运营、技术服务及创新业务。同时,我也自封了一个头衔“乌云首席服务官”,致力服务于企业与白帽子,也利用了几乎个人所有空余的时间把大家熟知的“乌云众测”做到该领域国内第一,也帮助了数百家企业和很多白帽子实现了绝大多数人认为不可能的一些事情。而我现在新的团队未来的方向还主要是希望给更多的企业和白帽子人才提供安全帮助,提供深度的一站式顾问服务。

  经历了这几年,在工作和生活当中,自己也接触了非常多的企业和安全人才,绝大部分人对于白帽子这个群体而言,更多的声音是不信任和不理解。所以,在这个信息不对称的时代,能够坚守原则做一名真正的白帽子确实不易。

  我个人特别喜欢暴走大事件主编王尼玛说过的一句话:“你之所以看不到黑暗,是因为有人竭尽全力把黑暗挡在你看不到的地方。”如果这样解释,希望更多人能够看到和理解这个特殊的群体。

  第三、快速成长秘笈与手册

  我之前在公众号平台写过不少关于安全人才的文章,也吸引了不少安全新人及学生的关注,并且通过我的个人微信找我沟通,我记得印象最深的一天,大概有近300人加我微信,基本上是为了同一个话题《安全人才如何入门、快速学习》。

  其中,从对比在场的各位同仁的经验和视野上,我个人还是一名安全新人,也不断在学习成长中。但是,作为一名不合格的安全技术从业者,我个人也很难通过从不到30分钟的时间里,给大家分享多深的安全知识,本次更主要是通过本次的分享机会,我讲分享一些自己之前在安全学习上的一些方法和技巧。

  1)养成健康心态

  安全人才应该保持安全健康的心态,安全行业的诱惑力极大,在成长的过程中必然会经历种种诱惑,要成为一名合格的安全人才,必然要选择一条正道,并且保持健康积极的心态,这样才能把安全工作做得更好。在安全路上,一旦选择的黑路,路走错了,未来的路就会被堵上了。

  2)学会换位思考

  做任何事情都应该换位思考,勤思考,换位思考才能从本质上解决安全信任问题。任何一件事情都有两面性。如果选择去做一件事情,即便是这次错了,换位思考下,为什么会做错,找准本质问题和方法,这算是新的收获。最需要考虑的一个问题,切勿活在自己的世界里,“自嗨”。

  3)学会自我驱动

  在学习知识成长的路上,会非常枯燥,要学会自我驱动,主动去获取新知识,只有主动学习,自我驱动学习,才能真正意义上的提升自己能力。人懒,则死。不无道理,所以,信息安全从业人员必须养成自我驱动的习惯。

  4)学习方法效率

  无论做人还是做事都要学会取长补短。同样的事情,如何寻找更快速完成的方法,为人处世的方法论。提升效率最好的方式,学会把任何事情画出思维导图,锻炼自己的思维逻辑能力。在研究学习方法的过程中,务必保持头脑清醒,不受外部因素的干扰,当自己重复做某件事情的同时,不断去思考每一步是否还可以比原来做得更好,更快。

  5)自信不自负

  安全行业本质解决的是信任问题,在讨论这个话题的时候,我们自然免不了考虑自信的问题。如果自身对自己即将要去做的事情上都处于质疑态度,自然很难去把事情做好。自信是建立在自身的确有准备基础上的,而自负就是过高估计自己,这样做事往往失败。能自信而不自负,是非常好的一种品格。

  6)懂得“合理试错”

  很多人都在谈论试错这个话题,而对于301看来,试错这个话题的前提需要考虑“合理”这个因素。只有不断思考,不断总结判断才能少走弯路,避免低级错误的产生。最终使得试错的成本降到最低,达到理想的状态。很多问题需要不断实践才能更好的去证明,所以通过不断的去试错,以保障结果准确,但前提是合理。脱离“合理”为前提的试错,都属于对自己不负责任。

  7)专业技能提升

  安全行业各个分支技术领域涵盖的内容太多,我们本次单纯从某个技术方向讨论。但是从本质的角度上看,安全行业是个专业性很强的领域,想必其他技术领域门槛极高。对于每个人擅长的领域、爱好的方向不一样,而每个人需要考虑的是如何通过自身技术专业领域的提升,来不断提升自己的核心竞争力。无论是从安全技术领域,还是安全相关的其他领域,专业技能打牢才是真正的“铁饭碗”。没有落后的技术,只有不思进取的人。

  8)行业知识储备

  除了安全技术领域的知识以外,需要不断的去学习各行业领域的知识,特别是企业相关的业务知识,技术人员需要通过更好的去了解企业业务,才能把技术转化为生产力。如何快速去了解学习某个行业、技术领域或企业的相关背景情况。要懂得不断积累沉淀行业知识,要学会技术能力与行业知识融合。

  最后:安全建议与总结

  最后,所有的顶级安全人才都是从安全新人经历到安全大神的这条路,而每个人的力量是有限的,虽然自己还没有达到很多前辈的安全水平,我也希望通过自己有限的能力给到一些需要帮助的安全新人一些安全建议与观点。

  “原地踏步,就是退步”

  原地踏步就是退步,顾名思义,现在互联网发展迅猛,互联网安全技术及业务也飞速发展,作为安全从业者如果抱着“差不多”的心态是很难在这个行业领域立足,并且发展很好。

  相反,也存在不少好高骛远,眼高手低的安全从业者浮躁的混圈子,而针对新人来讲,我更建议安全人才多花一些时间在学习新知识上,不断扩充自己的知识储备,原地踏步,真的就是退步。

  “最大的对手是自己”

  绝大多数安全新人,包括我自己也曾经经常会问一些比较低级的问题,并且也会保持非健康的安全心理,总会觉得学习安全很难,坚持学习很难,觉得社会竞争太激烈。往往在消极的过程中缺忘记一点“绝大多数新人最大的竞争对手不是别人,也不是安全路上的艰难,最大的竞争对手是自己。” 安全新人自身的心态没有端正好,对自己没有足够的信心去学习,谈不上在为了信息安全理想道路上去“打怪升级”。

  “真正懂你的人,不是自己,而是竞争对手。”

  每个人都很容易看到别人的弱点,看到自己的优势,特别是自己在某些方面的优势更为明显的情况下,每个人都很难看到自己的弱点。相反,无论是在学业还是在工作生活当中,你会发现跟自己竞争关系的角色,比自己更了解自己。这块在商业领域竞争过程中,会体现的淋漓尽致,因为你的对手会花更多的时间研究自己。

  “执行力是成功的第一生产力”

  另外,执行力也极为重要,执行力是成功的第一生产力。很多聪明人为什么会失败或者容易走弯路的一部分原因其实是输在执行力上,作为经常犯错的过来人,自己在执行力上还很欠缺,输在实践和时间上。现在,觉得真的想做一件事情,只要觉得某件事情值得去做,就开始执行/实践。提升执行力,是真正做好事情的第一步,也是最重要的一步。

  “多数失败,死在“快”的路上”

  这个观点,很多人会有一些无解。为什么我会这样讲,我发现有不少人,当然自己也犯过这样的错误,核心的问题是输在执行力上,往往错失很多机会,根本的问题是死在“快”准备去做事情的路上,见不到明天的太阳。

  “大部分人:什么是竞争力?”

  “简单的事情做到极致,就是核心竞争力。”

  看到很多人做事情对自己,对工作细节要求极高,而看到别人如此努力,而让我陷入了沉思,所以昨天晚上很晚才睡。在此期间,我也思考了很多问题,也使得我更喜欢看不同领域最优秀的企业做事情的方法。当然,我也习惯把相关问题放到自己所从事的行业领域当中来,通过对比安全行业的一些事情,在此也会发现在互联网安全领域,存在很多新的机会。简单、基础的事情,大多数人都不喜欢去做,也不愿意去做,相反把简单、基础的事情做到极致,也是核心竞争力,所以为什么会有人把一些事情做好,做成功。

  “意欲取之,必先予之。”

  做任何事情都不要先想着自己受益,往往从自身利益角度出发,很难持续让一件事情的价值持续发展。先考虑付出,自然会得到汇报。所以,先考虑如何帮助他人实现自我价值,才能真正实现自己团队的价值。这也是我团队的企业文化。

  “安全是一种能力,技术转化为生产力”

  安全是一种能力,它可以体现在工作和生活的方方面面,但是如何把技术转化为生产力,这也是所有安全从业者需要思考的问题,未来安全产业对这块人才的需求远远比某个技术领域更为重要,因为这群人,需要走在产业的最前沿。

  “在对的时间里,跟对的人,一起做对的事情”

  在对的时间里跟对的人,一起做对的事情,这是绝大多数人向往的状态。但是,从安全新人的角度看,整个社会更应该给安全新人认可、包容和机会,去让大家去实现自我价值。

  聚天下英才而用之,帮助更多企业和安全人才实现价值,是我现在团队需要去做的事情,也是未来我们团队需要去做的事情。帮助他人实现价值的方式很多,但是需要更多优秀的安全人才,加入我们的队伍。以人为本,众安天下。301在路上。

  时间有限,本次分享的内容就到这里,后续有机会的话,我们再谈。(PPT找时间发出来)

发表评论