职场“首七”，似乎是不太好听的一个名字，无奈七年的职场生涯都快忘了当年是怎样写抒情散文的了，也想不出更好的题目，就这样吧。夜深了，记忆突然回到7年前的那个夏天。那年成都很热，北京也很热。我们几个刚刚走出象牙塔的年轻人，怀揣梦想，登上了从双流机场开往首都机场的航班，我记得那是2015年的6月27日。虽然这条航线我已经飞了太多次，但这一次却显得那么不同，不再是学校放假飞回北京中转高铁回家，而是踏上了我的职业生涯。时光荏苒，转瞬七年已逝，在这不长不短的悠悠七载岁月里，学会了一些，也忘记了一些；得到了一些，也失去了一些。匆匆回首，不能忘记来时的路，瞠目远眺，也不敢一丝一毫放松懈怠。如今作为安全圈子里面不知名的小菜鸟，在这七年光景到来的时刻，就想着啰嗦点什么，算是告慰自己这七年的光阴吧。

2015年的夏天，我提着行李箱，从望江校区打车去双流机场，当我走出校门的那一刻，我开启了自己的职业生涯，进入了自己所学专业的这个行业-信息安全。当时对信息安全的理解就是攻防，攻击就是WEB渗透，防守就是WAF和各种入侵检测类的的盒子产品例如IDS/IPS/UTM，哦对了，还有防病毒。因为对安全的热爱，我校招选择了一家安全公司，在当时也是领航信息安全了，可能会有很多同仁在那里待过，应该知道说的那家。我进入了入侵检测产品线，主要从事该类型产品的测试工作。入职一段时间后，我觉得这不是我想要的“白帽黑客”人生，于是选择离开去了一家创业公司，在哪里，我接触了情报，开始玩渗透，挖漏洞，我觉得终于成为真正的“白帽黑客”。如今回想点点滴滴，常常感慨于当年的青涩与稚嫩，想来想去，还是受到“dark cloud”平台的影响，觉得那才是真的安全吧。在创业公司一年后有机会去了当时最渴望进入的公司某数字公司，不过是某数字企业安全，当时也不懂，觉得就是一个品牌嘛，一个做个人安全，一个做企业安全，没啥区别，稀里糊涂开启了我安全行业“首七”的第二个阶段。总的来说这“首七”中的前两年，我通过跳槽，真正进入了我畅享的“安全”世界，虽然因为青涩，走过了一些弯路，但如今回想起来，每一段都是宝贵的财富。前两年的职场经历，让我了解更多的安全公司，认识了很多优秀的领导、同事，了解了更多的安全领域的方向和内涵。但依然没有改变我对攻防技术的喜爱与痴迷。

2017年的ISC结束后，我入职了某数字企业安全，当然现在改名了，已经分家并独立上市了，我相信大家都知道是哪家，不表也罢。在这里，一下子进入了渗透的海洋，什么SQL注入、XSS、RCE、XXE，CSRF、SSRF、上传包含、路径穿越巴拉巴拉诸如此类，挖的不亦乐乎，疯狂的收割各种shell。后来，又接触到了内网渗透，尤其是域渗透，什么NTLM、kerberos，委派、凭据提权、哈希传递、金票银票、白加黑、注册表、万能钥匙又是打来打去，玩的开开心心。到后来几乎把ATT&CK上覆盖70%左右的东西都带着团队兄弟们玩了一遍。这一段就是我之前博客，那个还叫做《挖洞的土拨鼠》时代的最高产的岁月了。原来也做过产品安全，安全建设，后来也做了应急响应，安全运营，威胁狩猎，喊着“未知攻，焉知防”的口号开始边打边建设，什么事件处理流程、漏洞管理体系、USECASE、SOP不一而足。在各位大佬前辈、领导、同事，各位著名黑客和安全从业大佬的不吝赐教下，茁壮成长，甚至也开始到各种大会上做做speaker，吹吹牛皮，开始圈内social。

这一阶段，人生也仿佛和职场一样，行驶进了快车道，我成了家，回到了成都，买房定居，还养了一条聪明可爱的边牧。我回到了学校里，走在望江校区的街道上，仲夏赏荷花绽放，深秋观银杏落叶，执佳人手，携爱犬漫步在我曾经最熟悉，在最轻松惬意的日子里走过的每一处街角。醉意当下，畅想未来，意气风发。我可以代表公司去校园里面招聘，可以去和大佬们聊天喝茶，我都快以为我自己也是那些大佬其中的一员了，也许人就是那么容易飘吧。

转眼时间就到了2021，也就是去年，家中有些变故，自己也面临职场的危机。我重新回到了北京开始打拼，到去年年底，我在乙方安全公司干了整整7年（从2015年初我实习开始计算）。于是我来到甲方（真正的甲方，不是在安全公司做内部甲方），开始看看真的甲方到底如何做安全。真的不一样，在安全公司，即使是甲方安全角色的部门，因为自身公司身份的特殊性，加上自身公司业务的特殊性，导致安全投入的成本非常虚高（数字高，产品自用连带测试实际成本很低，投入的人员和技术能力真的很多）。而在真正的甲方，公司的主营业务不是安全，公司是需要利润的，是需要向股东负责的，在这里，安全就不是一种情怀式的建设，一场技术狂热者的比拼了，而是一种风险控制。企业被打穿了是一种风险，企业为了做安全影响业务开展效率更是风险，为股东负责才是真的企业安全。于是有限的资源投入，有限的人员和编制，有限的技术投入，大部分是采购，信息化与安全建设水平很基础，这就是真正大部分甲方企业的现状。当然互联网公司，尤其是头部生态型互联网公司，他们甚至本身就已经成为安全能力和服务的提供者了，他们的财大气粗也足以支撑他们堪比专业安全公司能力的安全团队，甚至有过之而无不及。在甲方这里，基本的安全工作都步履蹒跚，何谈红蓝对抗、何谈安全能力提升呢，攻防真的是未来我一辈子的饭碗吗？这几日，某知名出行公司的罚款事件猛然惊醒我如醍醐灌顶，这才是真的企业面临的现实大风险啊。心有疑窦，便徘徊踟蹰；心有定数，方勇往直前。

说到这里，就得回顾一下当下正在进行的国家级大型实网实兵攻防演练了。回首过往，我才发现自己在2016年就已经参与其中了，当时作为蓝队成员参加的，而后每年以不同的身份参与其中，一直到去年我成为了某地区级大型实网实兵攻防演练的裁判，多年下来也算是略知一二吧，但今年已经不在深度参与其中了，更多的是以旁观者的身份去看，跳出来或许看的更清楚，这类攻防已经成了资源的比拼、0Day的比拼，武器自动化程度的比拼，安全研究团队能力的比拼，基础设施能力的比拼，说白了就是钱的比拼。想想自己不及格的天赋，浅薄的攻防技术能力，而立之年的年岁，未来家庭生活的需要，自己在攻防这条路上似乎遇到了瓶颈，如鲠在喉。

峰回路转，积善之家必有余庆，想来自己是个有福的人，在从乙方来到甲方之际，遇到了安全新赛道新领域的新大佬，以及能够激励我不断前进，激起我进取心的新同事。他们的优秀，坚持和目标感，以及新赛道的选择让我有了下一个学习的领域，激起了我学习的欲望。天不生仲尼，万古如长夜，新的领域的领路人和同路人值得尊敬。当然我不会放弃做了这么多年的攻防技术工作，直到现在我也还在从事着于此有关的工作，只不过我会以空杯心态，从零开始，重新学习新的知识。

想到此，也筹备这重新打开我的博客，重新更新，记录自己新方向新征途的点点滴滴，可能简单、可能基础，但谁不是从简单的基础知识学起的呢，此外作为一名“白帽子黑客”，最重要的还是共享精神，也借此希望能够一同激励更多的像我一样的小白学习者，来一起学习，一起分享。

2022年7月29日深夜，于一隅之地，写下这篇杂文，不伦不类，无内涵无文采，啰里啰嗦，无病呻吟。聊以自慰。