今天，我要劝退一些人···

大家好，我是轩辕之风。

熟悉我的朋友都知道，轩辕是做网络安全行业的，之前也写过不少的系列文章和学习路线。

但今天，我可能要劝退了！！！

那天我逛知乎的时候，看了这么一个问题：

回答区一个匿名答主一下戳中了要害，我也忍不住回答了一下。

以下是我的回答。

为什么？别整那些个虚的，最直接就是因为这行不挣钱！！！

别看那些XX大神年薪几百万，这样的大神能有几个？

为什么不挣钱，是因为安全公司本身就不挣钱，下面的员工去哪挣钱呢？

网络安全市场，国内的安全公司主要是这么几种玩法：

1、C端安全市场

也就是传统的安全软件，早期安全软件靠收费挣钱，后来某数字公司的免费玩法改变了游戏规则，通过C端客户端+流量变现。但这一模式撑起的市场规模有限，数字公司多年来一直吃老本，股价一跌再跌就能看出来了，虽然数字公司掌门人多次谋求新出路，但目前为止仍然道阻且长。

2、B端安全市场

近10年来，一大波安全公司先后成立，一个重要的原因就是得益于B端安全市场迎来的增长。随着互联网的蓬勃发展，一大波企业对安全防护的需求也在增长，主要的安全防护产品有WAF、IDS、IPS、数据库防护、防DDoS、移动APP加固、数据防泄漏DLP等等。

这个市场的核心要义是守护客户的业务安全，客户是甲方，安全公司是乙方。

3、G端+JG安全市场

安全公司大量涌现的另一个重要原因就是G端+JG安全市场的发展。国家层面对网络安全的重视提到了前所未有的高度，GA、JG、公安、科研单位、研究院、大型国企等对安全的建设成了一项重要工作来抓。一大波传播安全行业从业者感觉到了机会到来，纷纷下海，自立门户，一时间，一大批安全小公司纷纷涌现。

这个赛道上的主要业务是态势感知、威胁情报、APT攻击发现与分析、网络流量安全检测等等，业务围绕的核心主要是与境内外敌对势力做斗争，守护国家网络空间安全。

为啥不挣钱？

接下来说一下，为啥不挣钱。

无论是B端还是G端，安全公司主要的运作模式就是：安全服务+卖产品。

安全服务这个东西就很悬，除了一些行业已经标准的服务（比如漏扫）可以收费以外，安全服务说的难听点就是甲方白嫖。

但老白嫖，安全公司怎么挣钱，所以安全公司还得招一帮人吭哧吭哧开发一堆产品出来，卖给甲方。

但实际上，这些所谓的“产品”，大部分公司都是基于开源软件改一改，然后加一套自己的规则库，封装一下取一个响亮的名字，XX安全态势感知系统、XX大数据威胁检测、XX全流量安全分析···然后就可以卖个几百万了。

这个赛道的安全公司里面一定有两套班子：

一套安全服务班子，这一波人搞安全分析，样本分析，流量溯源，网络渗透。

一套软件开发班子，这一波人就是传统的前后端开发，可能稍微有一点安全的知识。

安全服务的人想：你们产品做得稀烂，都是我们天天在客户那里驻场，分析，客户才采购的产品。

软件开发的人想：公司挣得钱都是靠我们产品卖出来的，但是出风头的都是你们，感谢信都是感谢你们。

你别看一套产品卖几百万，但这样的产品一年能卖几套呢？你还得算研发的人力成本，甚至还有安全服务、后期技术支持的成本，这样算下来，真挣不了几个钱。

而且，这一行还有个特点就是，竞争对手众多，而产品自身又很难有特别突出之处，安全攻击就那些类型，检测算法也就那么几种，所以你无法形成对竞争对手产品绝对的碾压，最多就是在使用体验性，某个细小功能的实用性上有一些优势。

别看那些安全公司扯一些人工智能，深度学习的检测技术，都扯淡的，外行人看着高端，到底是人工智能还是人工智障，谁用谁知道。

另一方面，甲方客户出于多方考虑，也不会总是采购一家的产品，需要“雨露均沾”，所以别想着自己做大了可以垄断。

所以，这行真不挣钱。

网络安全这个圈子现在变得特别浮躁，顶层的大牛特别像娱乐圈，忙着参加各种大会，微博上指点江山。

中间的一波人入场时间早，深知在技术上已不可能有太大作为，找几个人基于开源软件搞点东西，依靠资源人脉，开始卖产品想着法的挣钱。你别看好多公司都搞了所谓的“安全研究中心”，真正静下心来研究安全技术没几个人，这玩意投入产出比太低。

而那些所谓的产品，用我一个甲方的朋友的话说：我们买来基本都放那吃灰，偶尔去看一下，一看几万条告警，你TM让我们怎么看？

他说的不是一家公司的产品，而是行业内的普遍现象，其中不乏大家耳熟能详的一些安全大厂。

网络安全市场虽然有所增长，但并不像什么O2O、共享经济之类的可以依靠人口红利疯狂增长。这个行业的风格是稳，混口饭吃不难，但想做到特别大规模，那可太难了。不信你看看网络安全市场的几个巨头：360、奇安信、启明星辰，在互联网厂商面前根本不够看，另外你看有多少资本愿意投资这个领域？为啥不愿意投，资本是逐利的，这块没肉吃，当然懒得投了。

除了专门的安全公司，各大互联网大厂自身也有自己的安全团队，稍微有点规模的公司都有自己的SRC，也就是应急响应中心。这个部门，一言难尽，没出事时，老板：养了这帮闲人。出了事时：养了这帮废物。

-----------分割线-----------

说了这么多，回到我们安全从业人员自身，如果你是对计算机攻击技术、安全技术、漏洞攻击这些非常痴迷，那没问题，你可以去干，如果天赋不是特别差，有兴趣驱动，在这行也能混的不错。甚至如果足够牛逼，成为行业泰斗，被安全公司挖去当头牌，那就算是极大的成功了，但这样的机会实在太少。

反之，如果你仅仅是当做一份普通的工作，找碗饭吃，我劝你还是去互联网吧，那里的天地远比在安全公司广阔得多。

< END >

程序员摸鱼基地成立了！

纯洁的微笑读者交流群（摸鱼、白嫖技术课程为主），又不定时开放了，感兴趣的朋友，可以下方公号内回复：999