分享一些网络安全行业内幕
神秘又小众的行业,网络安全
。从业十三年,说点皮上的毛。
一、有渗透能力的公司如果被拒绝合作,可能会派渗透去搞点损招,比如去对方的主页挂个图,敲打一下。
二、zf和国企客户中了勒索病毒
,名义上是不能直接支付赎金的,只能去找安全公司处理,而很多安全公司根本不会搞解密和数据恢复,只会给出一个恰好比赎金数额略高一丢的报价,双方心知肚明。
三、安全行业有一个细分领域叫安全服务
,几乎是这个行业里最垃圾的一块市场,行业鄙视链的最末端,因为这个活儿最水,但凡擅长点其他安全业务的公司都懒得干,明知道钱少事多出力不讨好还要去赚这个钱,但凡有点逼格的公司都觉得这玩意儿太low。
当然业内确实有几家会干安服的高水平公司。但是因为安服这玩意儿门槛低,所以基本上是个公司都敢说自己会干,这种公司的套路本质就是毫无技术含量的低端劳务派遣,把常规的几项安全服务变着法地细分和包装,起一些花哨名字配上云里雾里的方案,打包整体报价再给个最终大折扣,然后在甲方当地雇一些实习生去驻场打卡坐班,不定期编各种报表糊弄糊弄甲方,用最低的人力成本报最低的价,派最水的员工造最假的文档(我初次见识这个玩法大概是2019年左右在北京和江苏,现在山东也有了,**都喜欢叫“安全服务运营”,**这样起名多少有点玩概念擦边的意思,因为这并不是真正的“安全运营服务”)。出了小问题使劲捂着,大问题就甩锅,说防护检测
类软硬件的种类和性能不够、厂家配合不力云云,引导甲方增加采购,自己顺便还能表演一下设备上架的本事。
如果把造安全软件和设备的公司看成兵工厂,安服对于这种兵工厂公司来说只是捎带手的业务,但是钱少事多蚊子肉,人家懒得干,当然也不排除有些业绩捉急的销售架着公司去干。所以那些只会干安服的公司就会去码人头放空枪当雇佣兵,纯粹的劳务派遣,甚至用雇佣兵形容都是抬举,他们就是看门保安的水平。
2016年前后,安全业内突然冒出很多这种野鸡公司,大致范围与同年放出的乙级射秘
资质高度重合。前身基本都是系统集成商
或者设备代理商,这种公司受制于行业特性、技术能力、经营年限和区域限制等,发展至今通常至少具备如下特征之一:
(1).安全服务资质码得比较齐全,毕竟没有能拿出手的核心技术和安全产品,只能凑服务资质;
(2).规模五十人左右,人员流动大,可能有对安服项目略知一二的项目经理,但是绝对没有对某个安全领域特别精专的大牛;
(3).除了安全服务,还喜欢主动承接系统集成和软件开发业务,来者不拒,这在正经安全公司看来是十分不耻的;
(4).十有八九是小城市起家,反正公司总部绝对不在大厂扎堆的大城市,顶多去大城市租个写字间,但是既不会也无力主动做大;
(5).手里有几个靠老关系维护下来的zf客户,但是在金融、能源、交通这些安全核心市场或者其他安全敏感行业没有拿得出手的合作客户和案例;
(解释一下,这些重点行业的有效合作起码得是央企国企的省级分公司及以上、大型民企的安全运营、安全软硬件技术服务或者其他集群式安全
业务,参加国家级HW、CTF大赛或者上述重点行业攻防演练拿到前几名,业内的几个国内外重点漏洞库报送和接收数量上榜。能做到这些的未必一定是大公司,有些小公司可能也有角度非常刁钻的实力,所以达到这些级别才足以说明你是在技术能力被认可的基础上,甲方接受了你的商务运作。而且这个行业规模小,只要水平够高,即使民间团队也有被点名参加的机会,甚至不怎么需要商务运作。这些级别以下的案例水分太多,业内默认不算,比如你去银行市路支行帮人家检查了一下防火墙策略,去矿**井换了一套通风电机,就对外宣称你有金融和能源行业的安全服务和安全集成案例,我说你放屁是真的在夸你)
(6).喜欢在小城市新区或者与某些二线院所合作成立分公司,这些分公司基本就只挂个牌,用来蹭小微企业优惠政策,或者用来给安服项目结束就被辞退的员工签劳务合同;
(7).如果有射秘资质的话,乙级,2015-2017年间获得(射秘资质现在可能还是个敏感话题,暂时不细说);
(8).某些安服业务(比如密评
和等保)需要专项资质,这种公司往往没有,所以只能花钱租借,利润被人家抽大头;
(9).喜欢对号入座233…
在安全软硬件上,不排除存在某些小团队搞出了大发明的可能。但是安服这玩意儿,想保险一些还是信那几个大厂吧,小地方来的野鸡公司可能完全意识不到自己其实是个骗子,打着网络安全的幌子,干着劳务派遣的营生。这种公司就是安全行业的搅屎棍子,给其他业内同行招黑。
四、安全软硬件
那些东西是怎么研发出来的?这里面的路子五花八门,早期那几个做出好东西的公司基本都隐退、转型或者飞升了,但是江湖上还有很多当年的传言,比如入侵防御
这种产品,就是某个典型“研发”套路的成功案例。这里面很多事我即使知道也没法细说,否则难免要点人家的名。
五、其他的想到了再说吧,或者在评论里如果出现兴趣度比较高的话题,我就把我知道的摘出来聊聊,欢迎点赞收藏评论追更。
这个行业在外行眼里小众又神秘,其实就和押镖差不多。安全公司相当于镖局,有些镖局在某些方面非常精专,甚至在黑方都打出了一定的震慑力,十分令人敬佩;有些镖局靠运气好会甩锅没出大差错,但是迟早翻车;还有些镖局直接拿着保费去找山贼分成买平安,当了业界毒瘤。
望广大甲方擦亮眼睛,安全工作出现差池,搞不好真的会丢了自己的乌纱帽子。白手套戴起来方便摘下来难,今天递你一副白手套,明天就拿着脏手套来要挟你,更不要被野鸡公司蒙蔽了双眼,祝长治久安。
神秘又小众的行业,网络安全
。从业十三年,说点皮上的毛。
一、有渗透能力的公司如果被拒绝合作,可能会派渗透去搞点损招,比如去对方的主页挂个图,敲打一下。
二、zf和国企客户中了勒索病毒
,名义上是不能直接支付赎金的,只能去找安全公司处理,而很多安全公司根本不会搞解密和数据恢复,只会给出一个恰好比赎金数额略高一丢的报价,双方心知肚明。
三、安全行业有一个细分领域叫安全服务
,几乎是这个行业里最垃圾的一块市场,行业鄙视链的最末端,因为这个活儿最水,但凡擅长点其他安全业务的公司都懒得干,明知道钱少事多出力不讨好还要去赚这个钱,但凡有点逼格的公司都觉得这玩意儿太low。
当然业内确实有几家会干安服的高水平公司。但是因为安服这玩意儿门槛低,所以基本上是个公司都敢说自己会干,这种公司的套路本质就是毫无技术含量的低端劳务派遣,把常规的几项安全服务变着法地细分和包装,起一些花哨名字配上云里雾里的方案,打包整体报价再给个最终大折扣,然后在甲方当地雇一些实习生去驻场打卡坐班,不定期编各种报表糊弄糊弄甲方,用最低的人力成本报最低的价,派最水的员工造最假的文档(我初次见识这个玩法大概是2019年左右在北京和江苏,现在山东也有了,**都喜欢叫“安全服务运营”,**这样起名多少有点玩概念擦边的意思,因为这并不是真正的“安全运营服务”)。出了小问题使劲捂着,大问题就甩锅,说防护检测
类软硬件的种类和性能不够、厂家配合不力云云,引导甲方增加采购,自己顺便还能表演一下设备上架的本事。
如果把造安全软件和设备的公司看成兵工厂,安服对于这种兵工厂公司来说只是捎带手的业务,但是钱少事多蚊子肉,人家懒得干,当然也不排除有些业绩捉急的销售架着公司去干。所以那些只会干安服的公司就会去码人头放空枪当雇佣兵,纯粹的劳务派遣,甚至用雇佣兵形容都是抬举,他们就是看门保安的水平。
2016年前后,安全业内突然冒出很多这种野鸡公司,大致范围与同年放出的乙级射秘
资质高度重合。前身基本都是系统集成商
或者设备代理商,这种公司受制于行业特性、技术能力、经营年限和区域限制等,发展至今通常至少具备如下特征之一:
(1).安全服务资质码得比较齐全,毕竟没有能拿出手的核心技术和安全产品,只能凑服务资质;
(2).规模五十人左右,人员流动大,可能有对安服项目略知一二的项目经理,但是绝对没有对某个安全领域特别精专的大牛;
(3).除了安全服务,还喜欢主动承接系统集成和软件开发业务,来者不拒,这在正经安全公司看来是十分不耻的;
(4).十有八九是小城市起家,反正公司总部绝对不在大厂扎堆的大城市,顶多去大城市租个写字间,但是既不会也无力主动做大;
(5).手里有几个靠老关系维护下来的zf客户,但是在金融、能源、交通这些安全核心市场或者其他安全敏感行业没有拿得出手的合作客户和案例;
(解释一下,这些重点行业的有效合作起码得是央企国企的省级分公司及以上、大型民企的安全运营、安全软硬件技术服务或者其他集群式安全
业务,参加国家级HW、CTF大赛或者上述重点行业攻防演练拿到前几名,业内的几个国内外重点漏洞库报送和接收数量上榜。能做到这些的未必一定是大公司,有些小公司可能也有角度非常刁钻的实力,所以达到这些级别才足以说明你是在技术能力被认可的基础上,甲方接受了你的商务运作。而且这个行业规模小,只要水平够高,即使民间团队也有被点名参加的机会,甚至不怎么需要商务运作。这些级别以下的案例水分太多,业内默认不算,比如你去银行市路支行帮人家检查了一下防火墙策略,去矿**井换了一套通风电机,就对外宣称你有金融和能源行业的安全服务和安全集成案例,我说你放屁是真的在夸你)
(6).喜欢在小城市新区或者与某些二线院所合作成立分公司,这些分公司基本就只挂个牌,用来蹭小微企业优惠政策,或者用来给安服项目结束就被辞退的员工签劳务合同;
(7).如果有射秘资质的话,乙级,2015-2017年间获得(射秘资质现在可能还是个敏感话题,暂时不细说);
(8).某些安服业务(比如密评
和等保)需要专项资质,这种公司往往没有,所以只能花钱租借,利润被人家抽大头;
(9).喜欢对号入座233…
在安全软硬件上,不排除存在某些小团队搞出了大发明的可能。但是安服这玩意儿,想保险一些还是信那几个大厂吧,小地方来的野鸡公司可能完全意识不到自己其实是个骗子,打着网络安全的幌子,干着劳务派遣的营生。这种公司就是安全行业的搅屎棍子,给其他业内同行招黑。
四、安全软硬件
那些东西是怎么研发出来的?这里面的路子五花八门,早期那几个做出好东西的公司基本都隐退、转型或者飞升了,但是江湖上还有很多当年的传言,比如入侵防御
这种产品,就是某个典型“研发”套路的成功案例。这里面很多事我即使知道也没法细说,否则难免要点人家的名。
五、其他的想到了再说吧,或者在评论里如果出现兴趣度比较高的话题,我就把我知道的摘出来聊聊,欢迎点赞收藏评论追更。
这个行业在外行眼里小众又神秘,其实就和押镖差不多。安全公司相当于镖局,有些镖局在某些方面非常精专,甚至在黑方都打出了一定的震慑力,十分令人敬佩;有些镖局靠运气好会甩锅没出大差错,但是迟早翻车;还有些镖局直接拿着保费去找山贼分成买平安,当了业界毒瘤。
望广大甲方擦亮眼睛,安全工作出现差池,搞不好真的会丢了自己的乌纱帽子。白手套戴起来方便摘下来难,今天递你一副白手套,明天就拿着脏手套来要挟你,更不要被野鸡公司蒙蔽了双眼,祝长治久安。