网络安全技术人员如何避开内卷
以下内容转载于下述公众号文章,与君共勉之!
不知道什么时候开始,内卷这个词突然间就火了起来,铺天盖地的讨论,大概意思是“指同行间竞相付出更多努力以争夺有限资源,从而导致个体’收益努力比’下降的现象”。进而这种“没有发展的增长”变成了全民狂欢,更有甚者,直接在任何一个管他是否良性竞争的环境也会说内卷,巴不得世界上没有任何竞争,全天下都躺平,这才叫不内卷。
内卷倒是真实存在的,我并不否认这一点,拿咱们网络安全行业举例,似乎这些方面很多现象比较明显。比如安全服务领域,人才匮乏,每次大型安全事件安保,就凭空出现一堆不知道从哪冒出来的上万人,“物美价廉”,便宜听话吃苦耐劳,大家不关注是否好用,有人头就算,生生地把这个行业拖进了泥塘。在网络安全领域,服务外包是非常成熟的市场,几个人组成一个团队,早期创世团队直接上,质量有保障,慢慢地生意越接越多,疯狂地加人,在收入面前,一切品控都变得不那么重要:相比其他厂商只要成绩不垫底就行。那批刚进来的人也很好奇和害怕,“就我这技术如此菜的人,也能为宇宙xxx服务,是不是哪里不太对”,再过一段时间学了一些工具的使用方法,反而坦然了,坦然地说“这个行业太内卷了,客户就这么几个,服务人数这么多,我们赚钱就更难了”。
如果大家把精力花在了写控标参数,写你自己都知道没人看的材料,增加一堆你知道根本没有竞争优势的技术功能点,只是为了进行拼凑堆砌,那可不就内卷了吗?因为这种做法可以预见的是,材料的字数越来越多,一个产品不应该具备的功能越来越多,商务的成本越来越高,大家的重点不在于技术和产品,而在于形式化的流程,于是大家越来越累。大家都知道这不对,但是又无法从里面挣脱出来,因为谁先撒手谁死亡。这像极了武侠小说中,两位绝世高手原本只想友善地进行切磋,轻轻一碰掌,起初势均力敌,用了二成功力,然后其中一位大侠心中暗笑,增加了一成功力,另一位大侠心中不以为然,在对方的基础上又增加了一成功力……如此往复,头上冒了青烟,血脉贲张,豆大的汗珠往下落,这时候谁也撒不了手了,撤手是死不撤手也是死,两人话都说不出来,心底暗骂“就是这老匹夫偷偷加了那一成功力,现在骑虎难下,想我一世大侠英名,今日怕是命丧于此了”。
一个想要征服大海的人,不会认为学习开船很痛苦;一个想要探索火星的人,不会认为研究物理很枯燥;一个想要登顶NBA冠军的人,不会认为每天练习体能是浪费时间。做开创性的事情怎么会无趣呢?你日复一日年复一年,做些别人已经做过了的事情,或者别人已经做得非常好的事情,你就会看到,由于没有太大的难度,于是大家都选择了这样一个看起来很容易切入的领域,因为大家都想赚“快钱”和“轻松的钱”,因此你能看到身边的竞争对手越来越多,比你努力一点点优势就出来了,于是你就又开始感叹内卷丛生。你不敢也不愿意看见别人当你睡觉的时候在图书馆看书,当你泡吧的时候别人在电脑面前编码。别人想着星辰大海,你想着酒池肉林,所以面对着同样的学习或者研究,你已经疲惫不堪,但你要是抬头看着别人那边,依然是灯火通明地在挑灯夜战。你理解不了,但是也无法形容这种情况的好坏,你感叹自己技不如人,正在准备转身离开,突然看到“内卷”这样一根救命稻草,喜极而泣,拉着身边的一群人高呼万岁。
无意义的优化和比拼叫内卷,比如我上面说的材料越写越厚,这变成了一个核心技能,写的人知道在编,看的人也知道在编,最后作为留底的纸质打印出来比人还高,还要准备一个屋子的角落把它存下来;还比如你下班比我晚,我就比你更晚,两个人在那耗着刷短视频。这些实在是一种资源的极大浪费,但是不产生任何价值。
今年我面试了一些人,感触很深。很多人会对自己的能力比较有自信,认为之前的工作挑战性不太大,自己总能够比较好的完成交代的任务。随着沟通的深入,你就会发现大家大多会对目标比较迷惑。一个人掌握数据操作,大概率就是增删改查,来来回回工作了很多年。页面一改再改,过了几年又改回了最初的设计,就这些事花不了几年,有个两三年你就是非常权威的专家。如果一如既往地等待领导交代的任务,你就会发现除了例行地经验输出,你没有了自己的成长,只是在一味消耗经验。既然这样,你如何避免在新来的人也花了两三年时间快速成长为了能够替换你的角色,但是他的成本比你低一半呢?这个现实确实非常残酷,所以跟我说35岁就不做具体研发的人比比皆是,大家很早就开始给自己规划了“养老”的生活。
什么样的场景会发生内卷?就是做了好像对社会对人类也没有太大意义的,不做也没有什么损失。最典型的场景就是为了拼凑产品体系而决定研发的一堆产品。这很大原因是因为大家都不愿意去找属于自己的细分领域,容易随大流,人云亦云。事实上,每个人都有属于自己非常独特的能力和价值,在属于你的领域你可以为所欲为,轻松干掉其他人。你不需要让自己的劣势跑到其他人的优势领域去pk,而是要找到自己的优势领域。
我也是很后来才发现我有一种能力是比别人强很多的,在此之前,我只能说我做的还不错。无论是华为的职业生涯,亦或是360的职业生涯,我都能合格地完成分配的任务,但是你说有多优秀好像也不是,关键是我做起来还感觉挺费劲的。但是在这些伟大的公司,你就能看见身边那批顶尖的人才,他们的输出就跟呼吸一样简单,他们有些人能很容易地挖掘核弹级别的漏洞,他们有些人能很轻松的完成某个重要目标的渗透,还有一些人也能在48小时内完成你这辈子都无法造成的艺术性高质量的代码。越到后来你就感觉压力很大,因为你智商拼不过别人,你学历拼不过别人,居然最后连直觉都拼不过别人,他们好像不需要努力似的,泡着妞玩着游戏喝着酒,通过肌肉记忆把球就给投进了。你还在刷各种视频和书籍,绞尽脑汁倾尽全力去尝试跟上大家的节奏。我并不怕吃苦,但是我挺害怕你做了所有的尝试,花了十倍于人家的精力,最后居然还是拼不过的时候的那种绝望。当时如果有内卷这个词,我也想要去欢呼啊。
我也去学过挖漏洞也刷了一些CVE,我也去学过渗透也进了很多目标,我也尝试去做算法开发,一系列下来我就是很累,倒也有输出,但感觉永远赶不上大家的节奏,他们笑我也笑,只是我不知道他们在笑什么,我陪着笑而已。我知道这不是属于我的节奏,但是老天啊,属于我的节奏在哪里呢?没有一个人能给我答案,我自己也不知道。我当时尝试给国内影响力最大的XCON投议题,被拒绝后感觉特别难受,总感觉自己差人一等(估计呆神flashsky等大神他们现在都不知道曾经有这么一个想要进入网络安全行业的徘徊者)。
我很感谢有那些经历,否则我后来就不会找到自己的方向。在第一次创业的时候,pangolin是我的代表作,当时只是小试牛刀,但是想不到反响有这么大。突然一下好像大家就都在用,也都认识了有一个作者叫zwell,这种感觉很神奇。我后来回想为什么会这样,因为当时做的时候感觉其实特别简单,我把所有互联网上能收集的SQL注入的文章全部下载分类,然后把它们全部实现到一个工具中去。漏洞不是我发现的,文章也不是我写的,我只是一个整理者和一个复现者和一个集成者,但是大家为什么会反馈这么强烈。大家跟我说没有人全部集成过,没有工具让流程体验这么好过,也没有界面这么酷炫过。。。。。。
我都惊呆了,就这?好像没有任何难度啊?我这不就是在作弊吗?做了一个似乎谁都能做的事情啊!你们对好工具的体验点是不是有点低?我又说,那照你们这么说,那我做一个fofa平台你们也会觉得很好用咯?我再做一个goby你们也会觉得很好用咯?后来我就上瘾了,啊,做这些破事还有钱赚?还能得到大家的尊重?还能跟这些大神坐在一起吃饭?
突然我就有了信心,还有比这更简单的事情吗?没人在乎我挖不到漏洞了,没人在乎我不懂渗透了,也没人在乎我开发代码的丑陋以及效率低下。只是我没有想明白为什么这么容易的事情没人做,非得等到我来摘果子。后来在公司的经营过程中,我就发现了一件了不得的事情,比如打开Kali,随便找一个工具,我能在很短时间内找到一堆可以改进的点和做出彩的地方,无论是nmap还是burp还是awvs等等。如果我的目标是超越nmap,那么我就能很快列出几十项改进的具体点,而且我很有信心能够让大家更喜欢使用。但是似乎这些别人看不到,你告诉他也看不到,这就好比你在黑暗的夜里带了一个红外夜视仪,你能看到远处有一个动物跑了过来,只是身边的朋友等到这个猛兽到了眼前一米处,他也都毫无察觉。
这个感觉很奇特,我用红外夜视仪还是不恰当,因为这是一种与生俱来的直觉,这种直觉只有你有,别人完全看不见。我再回想一下就发现,以前我之所以没有这种感觉,感觉没有竞争力,实在是因为我跑进了别人的直觉范围之内,他们也看到我就如同被囚禁的野兽一样没有目标地横冲直撞,直到精疲力尽,最新放弃抵抗选择认命。
于是我开始注意去观察身边的人,有个答案还是很积极的:每个人都有自己的优势直觉范围,别人看不见你却异常清晰。当别人惊奇地问你是怎么知道一件事的,你也很好奇地说,这不是显而易见吗?有人善于做底层研究,有人善于做上层业务逻辑,有人擅长做前端展现,有人擅长做大数据的分析。有人平时沉默寡言,但是遇到技术讨论却眉飞色舞;也有人听到技术头晕脑胀,但是跟人聊起政治却是酒逢知己千杯少。正是这些不同的人的不同直觉和兴趣,才组成了这个五彩斑斓的精彩世界。有时候一些安全人员跟我开玩笑说是fofa的忠实用户,是我们的小迷弟,哪有这么多小迷弟,只是大家还在找自己的方向而已,在你们的优势领域,你们吊打我多少回都是可以的。
所以,网络安全这个领域,技术人员要脱离内卷的最好方式就是找到一个你的优势领域,在那里你的直觉会比别人好很多,你愿意长期投入时间,投入精力的那个方向。但是不要习惯了重复造轮子,而是要站在巨人的肩膀,先去学习和吸收前面那些探索者那些前辈们的经验精髓,他们因为其他原因没有再继续了,可能因为没有时间没有精力甚至是因为没有了生命,你接过他们的大旗,在此基础上完成新的突破和成就。一代又一代,周而复始,推动行业的不断发展和进步。
事情根本做不完,哪来的时间内卷?
如果真要说内卷,我想起了一个俗不可耐却很有意思的笑话,大意是:两个亿万富翁在路上走着,路中间有一堆牛粪,其中A富翁开玩笑地对B富翁说“如果你吃了这堆牛粪,我就给你一个亿”,他打定主意对方不会去吃。B富翁想,吃一堆牛粪就有一个亿,赌个气气一气A富翁,拿他一个亿让他不要这么嚣张,于是就真吃了。于是A不得已给了B一个亿。他们两个沉默地往前走,一个为损失了一个亿后悔,一个为吃了一堆牛粪而懊恼。走着走着,又看见一堆牛粪,这时B富翁调侃说“如果你吃了这堆牛粪,我也给你一个亿”。A一听气不打一出来,刚好还能把钱拿回来,于是马上把牛粪吃了,于是B富翁把一个亿又还了回去。大家哈哈一笑,相视无言,又往前走。走啊走啊,越想越不是个事,两个人什么都没干,谁也没有赚到钱,但是,每个人都吃了一堆牛粪。。。。。。
祝愿各位网络安全行业的技术人员们,大家都不要盯着牛粪,都找到行业发展的大方向,结合自己的直觉优势,立志做最好的输出,去征服属于你的星辰大海。