为什么在网络安全这个行业里,有人永远处于原地踏步

0x01 前言

在网络安全行业里,我们喜欢将BUG成为漏洞,殊不知,人身上也有“漏洞”,这个漏洞就叫 —— 自我欺骗。

0x02 思考

现在是2020年,再过几个月就要步入2021年了,但是回过头看,网络安全这个行业延伸发展的也很久了,最少也得有十几年了。这么长的时间里,网络安全行业也繁衍出了很多分类,例如Web安全、二进制安全、物联网安全等等... 想入门这个行业的人也越来越多,有的是为了高额的薪水,有的则是觉得网络安全的代名词黑客看起来很酷。酷是肯定的,现在很多自媒体将网络安全这个行业过度夸张,例如:黑客xxx在几秒内攻破iOS系统。几个字轻描淡写带过,却从不告诉人们这几秒钟的成果背后付出了多少努力,这让很多人对网路安全行业产生误解:这么简单吗?就这?我上我也行!
有句话是这么说的,长江后浪推前浪,前浪死在沙滩上。可是在行业里,却是反过来的:长江后浪推前浪,后浪死在沙滩上。这是普遍现象,很多入门网络安全行业的人,觉得这方面的技术知识简单,应付了事,或者他们的目的只是在外行人面前显摆自己的皮毛知识... 为什么会出现这些问题,或许真的应该思考一下了...

0x03 问题的根源

目前我正在运营着一个民间网络安全团队,很不幸,这个问题同样降临到了头上,我无能为力,试图解决,但是无果。
团队成员绝大部分有着这种问题,也就是本文开头所提到的人身上的漏洞 —— 自我欺骗。团队成员或多或少已经在岗位上就业,觉得自己学有所成了,岗位就业也没那么难,漏洞名词都听得懂,别人分享的东西也能半知半解,永远处于:膜拜对方的状态,身边的人在往上爬,而自己还在原地踏步,自我欺骗,告诉自己这已经足够了。
我的这个团队主要方向是Web安全(漏洞复现、最新安全技术跟进)以及安全工具方面(团队成长起来的原因也是因为有了安全平台,平台里带了安全工具),在前期,我基本上包揽了很多事,梳理团队组织结构,反复思考确定团队发展计划,甚至我为了给部分人做榜样,一直在持续维护团队内部平台。但是很遗憾,多多少少处于无动于衷的态度。大家随之将这个人自身的漏洞升级,演变成了喜欢说一堆不切实际的目标却从不动手。例如约定好要开发CTF Tools,结果项目只是创建了仓库并且只有2个commit,以及说好了协作开发AWD框架,最后也是只有项目发起人在提交代码。可是这些问题,最后大家都会归功于一句话:需求不明确,不知道怎么动手。
我陷入了沉思,我在想:有考虑过自身真实水平吗?如果觉得需要达到的目标与自身不符,就不要夸下海口。有句话说得很好,千万不要在晚上做决定。同样的,如果自己的能力无法满足野心,也不要好高骛远,而是应当静下心来学习...

0x04 结尾

也没什么好总结的,就这样的吧。