职业感悟：从面试中看安全人员发展趋势 |

   安全，未知攻焉知防。

   我把安全人员定义为成攻防两派人，安全甲乙方我都待过，回顾总结面试过的人，很明显的一个趋势是安全人员在慢慢转学院理论派。

   现在不少大学开始开设网络安全课程，我没上过大学，之前跟一些学生了解过，大多高中毕业生抱着期待和激动的心情去大学上课，却发现大学里面教的都是理论和基础，最后扼杀了学生的兴趣，这很能理解，学校不可能去教怎么入侵，这里面有法律风险。这时候整个安全环境就开始变化了，网上出来的文章也开始偏学院理论，找资料更少了，不像安全早期的时候，没有学校，技术得靠自己去琢磨和实战，搞渗透和挖漏洞，连续几个通宵都没问题。

   我面试渗透的时候经常会问面试者有没有搞过未授权的入侵，来甲方面试的应届生大部分是没有做过的，只有在实验室里面搭建的环境下测试过某些漏洞。另外一个问题是，如果让你来入侵（注意是未授权入侵）我们公司，你有什么比较高效的思路？第二个问题我会再去挑战细节的东西，这两个问题可以刷掉大部分的应届生，没经验的人扛不住细节挑战。

   我时不时会跟公司团队的人说，搞安全不能太中规中矩，不然做到最后就废了，思路会被局限掉。那些牛逼的安全人员往往都是实战派，*************************************，挖漏洞的手里大多攒着0day，安全真正有意思的在这群人身上，理论派基本混不进这个圈子，我曾经说过，*********************************，也是基于对这个圈子的了解得出来的结论。
 
   还是那句话，未知攻焉知防，最好的防御一定是最懂的攻击的人设计的，因为安全是个木桶原理，攻只要找一个点，而防却要全面，只有站在攻的角度才能更全的知道该怎么防。

  
   安全商业化，未来肯定会越来越受关注，越来越值钱，但也肯定会越来越多泡沫和口水。我个人还是比较怀恋以前的氛围，不是任何帽子任何客，只为了自己的兴趣去做喜欢的事情。