為什麼從事信息安全行業一定要去大公司？

12-30

對於安全行業的從業者去大公司更有利於增長技能、知識和眼界是相對的，這裡僅僅是描述一些大公司的相對優勢。

首先，組織大能覆蓋的安全目標（戰略）更廣，小型企業的安全（實踐上而非理論層面）通常只能涵蓋ISO27001的一小部分，而大型企業能覆蓋27001的全部甚至超出。

其次，規模效應帶來的工作多樣性。假設安全再IT投入中所佔比重恆定，例如10%TCO，對於一個小型企業而言花一小部分錢用於購買基礎的安全設備以及招聘2-3名專職安全工程師，實際上他們乾的活大多是漏洞管理和應急，很少能夠上升到系統化的層次，而對於一個規模大10倍甚至100倍或更多的企業而言，是不是招30個工程師都來做修漏洞和指導別人修漏洞的事呢？顯然不是的，此時用5個工程師去修漏洞就夠了，剩下25個可以做很多其他的事情，例如系統化策略，工具自動化，從單環節延伸到全生命周期，甚至做提升ROI和創造收益的事情（以一個運維的例子來說明，假如公司有2台伺服器，一個SA兼職一下DBA就夠了，但如果是2000台，我們是不是需要1000個運維人員？當然不是，100個都不需要，也許1SA+1dba+1組bakup，就是4人，假設業務較複雜，可能還引入了netops，devops之類的角色，撐死算10個人吧，如果你此時有20個左右的headcount作為TCO的預算，那麼剩下的人就是研究例如運維自動化，支撐工具，完善監控預警，更深層次的devops等，此時的工作範疇已遠遠超出原先在server和db上敲命令的工作），安全也是一個道理，規模大了之後所做的事情會遠遠超出修補漏洞和應急，這時候你所能接觸到的安全工作的「全景」會比原來大得多。

第三，業務規模大之後會引發更多技術和技術管理面的挑戰。簡單的例子就是你原來修補1台伺服器上的一個漏洞，而現在你要修補1000台甚至10000台伺服器上的同一個漏洞，這個時候當然不可能one by one的去ssh然後update，而是一鍵搞定，很多時候你就是在研究如何一鍵搞定而不是在考慮怎麼給某個cve去patch，當然真正的海量IDC和複雜業務交付下的挑戰遠不止這些，大數據去做SIEM這類東西其實算不上「高新技術」，但是他只有在較大的規模下才有真正的落地價值。再拿SDL舉個例子，在小型企業可能完全不需要所謂的全生命周期，代碼審計也許拿個記事本就能做完，大不了再「滲透測試」一下？做的再好一點網上下個安全編程規範扔給碼農就已經是錦上添花了。但是在數百條業務線，每天繼續集成和頻繁發布的情況下你怎麼搞？儘管國內大的IT公司不少，但是真正需要全生命周期做，甚至真的需要用fuzz作為日常一部分的公司真的沒有幾家，這些挑戰因環境而不同，在小型企業根本接觸不到，即使你自己很好學很超前也沒有使用場景，只能落得個自娛自樂。

第四，小公司依靠技術通常能解決大部分問題，而大公司確實是需要「管理」這件事情的。很多安全目標的達成並不是只靠調試技巧或者XSS的奇淫技巧就能搞的定的，而是需要系統化的建設思路和方法論，這一點有經驗者一定深有體會。

第五，大的公司才有更大更實際重視安全的可能性。「有錢」的公司往往比「沒錢」的公司更重視安全，因為安全是一種奢侈品。

以上也跟行業有很大的關係，具體可以參考我寫的《信息安全行業從業指南2.0》

小公司實在是沒錢做安全…

趙彥講的其實已經理論到位了，我跟你聊幾個故事吧。

我在一家上市公司，公司有對信息安全做量化風險評估，換句話說就是計算安全幫公司省了多少錢，然後下了個指標：利潤的10%拿來做安全成本。公司的安全照顧IT項目的整個生命周期，戰略擁抱創新，主動變革，但是以風險導向，絕不把新功能做成靶子。公司有專門團隊持續做安全教育安全培訓，安全事故上報通道深入人心。

我們拓展業務的時候也會直接收購公司，對比大小公司最能直接體現差距。

我們收購了一些公司的時候，他們是遠遠達不到我們的安全標準的，比如說，某公司A，網站上有22個漏洞，包括一個可以執行delete的注入，這1點就涉及代碼安全web安全架構伺服器配置資料庫許可權數據修改入侵檢測六個問題點，他說，我把單引號轉義掉了，你看可以了吧，我再非授權查詢了一次截圖並告訴他，不行，你得聽我的，而且不是堵了這個漏洞就可以，從安全建設立項開始就得改。但他又說，這個網站找人開發完後就沒人管了，有多少地方有輸入他也不知道，要不把許可權給你你來改？最後我們達成一致，做一個緩解和監控方案，同時著手把網站關掉。

然後我們要改流程做安全建設，公司有些現成的成熟的解決方案，價值8位數，給他們用，他們的態度是：精神上支持安全，物質上沒錢，凡是需要買設備的就算只要出5位數也沒預算做。最後我們達成一致是，核心的併入統一管理，然後不花錢先做，花錢的來年找錢做。

你說他不想做安全嗎？也不是，比起那些積極忽略安全的他好多了，他也知道客戶隱私是機密信息及寶貴財產，他是沒利潤，沒人力，安全成本高於利潤時這件事確實就不該做。但是我們不一樣，市場上的持續競爭力最貴，股價所承載的民眾期望最貴，所以安全這種事，必須要做到預防這個級別。

曾有做到響應這個級別的知名互聯網公司找我，聊過之後發現他們的業務可以挑戰安全，面試官無力進一步提升安全地位，我以為這樣的公司也是不夠「大」的。

說句題外話，怎麼改變行業的這個「積極忽略安全」的現狀一直是我認真考慮的問題，尤其是很多人只花錢在完整性、可用性上，但「攻陷」的年代早已過去了，人們早已找到更有效率的途徑，從竊取「保密性」上賺取利潤。

之前幾家創業型公司的CEO 來跟我談安全，想挖我過去給他們做安全，工資還開得非常非常高，比BAT還高...

當聊到他們只注重支付環節安全的問題，而對用戶資料安全問題和我給他們提的員工安全守則建議不放在心上時就都不想去了,就像是跟一個暴發戶在聊天。

還有個做招聘的,我庫都給他脫了,他還覺得這幾個XSS對用戶數據造不成威脅，現在還到處都是這家公司廣告也是醉了

因為無用武之地。

即使我再努力刷推特，收集了好多一手安全資訊，收集了多少技術文章，當我發給市場部讓他們做預警，發給研發讓他們研究技術，從來都是石沉大海，所有的東西都是我在看我在學，但是他們一直嚷著要響應要響應，這就是我的公司，這就是小公司，心比天高。

我擅長的是web安全，作為乙方公司，在我給產品提出修改意見後，我幾乎是無用處了，領導總覺得我不作為，這就是我的公司，小公司。

我也很想去大的公司學習發展，但是礙於不願意出省，也就這樣了。

現在傳統的信息安全建設採取的加秘技術，沒有確保商業機密的保護範圍，這樣的產品用起來對用戶來說是非常麻煩的，增加了很多的工作量，不採取加秘技術呢，信息又不夠安全，這也是很多國企央企不願建設的原因，

國內的安全現狀,實在是唉....安全方面一直做的是對國外的,近段時間接觸接觸國內不少公司的安全,實在是感覺觀念差距太大

趙彥的幾篇文章針對性都很強，尤其是在安全圈子了待了幾年，準備換工作的。謝謝大神