网络安全悖论：免费为何代价太大

好吧，好吧，好吧。看看这只猫从网络空间拖出来了什么。网络安全行业正在上演一场连胡迪尼都感到自豪的魔术：同时抬高顾问费，并让市场充斥着眼花缭乱的新手。一个包裹在谜团中的悖论，带有讽刺意味。你可能认为这是值得庆祝的事情，但请冷静下来。这场小小的马戏表演可能只是让我们陷入一场壮观的失败，让人想起让 IT 老手夜不能寐的外包惨败。所以，让我们揭开这场数字戏剧的帷幕，看看我们是否能在为时已晚之前发现其中的花招。网络安全社区曾经以友情和共同目标为荣。然而，这种精神已经被价格和感知价值方面的逐底竞争所侵蚀。通过提供免费或极低成本的培训和服务，该行业无意中传递出这样的信息：这些技能和努力几乎没有内在价值。

网络安全领域影响力文化的兴起

网络安全专业知识的贬值因行业内“影响者文化”的兴起而进一步加剧。近年来，越来越多的人专注于打造个人品牌并成为网络安全领域的影响者。虽然其中一些声音提供了宝贵的见解，但该领域已经充斥着渴望分享自己想法的人，无论他们实际的专业知识或经验如何。

自称专家的人越来越多，导致网络安全信息领域出现大量噪音（请参阅Alyssa Miller的文章“信息安全明星与影响者”） 。社交媒体平台和在线论坛充斥着质量参差不齐的建议、技巧和“培训”。不幸的是，数量往往淹没了质量，学习者很难从单纯的猜测或过于简单的解释中辨别出有价值的信息。

大量免费或低成本内容造成了一种错误印象，即高质量的网络安全教育应该很容易获得且价格低廉。因此，像SANS Institute 、 CISA （网络安全和基础设施安全局）和Cybrary这样的知名培训提供商，虽然提供全面、经过审查和最新的课程，但通常被认为价格过高。

现实情况是，开发和维护高质量、最新的网络安全培训需要大量资源和专业知识。然而，许多有抱负的网络安全专业人士在面临数千美元的课程费用时，选择了更便宜或免费的替代方案。这种选择虽然从财务角度可以理解，但往往会导致知识和技能方面的差距，这可能会在现实世界的网络安全场景中造成严重后果。

这种趋势形成了一种恶性循环。随着越来越多的人转向免费或廉价资源，对高质量培训项目的资金支持却越来越少。这可能会导致网络安全教育的整体质量下降，而此时对熟练专业人员的需求却处于最高水平。

此外，对个人品牌和影响力的关注可能会分散人们对网络安全核心使命的注意力：保护系统、数据和人员。当目标变成聚集追随者而不是发展深厚的专业知识时，整个行业都会受到影响。

外包回旋镖：历史的技术教训被忽视

这种情况诡异地呼应了《太空堡垒卡拉狄加》系列重拍版中的一句名言：“这一切都发生过。这一切都会再次发生。 ”事实上，我们已经看到类似的模式在其他科技领域上演，最明显的是在 21 世纪初的外包热潮中。

在那段时期，许多美国公司纷纷将软件开发外包给印度等国家，因为印度的劳动力成本明显较低。虽然这一策略在短期内似乎经济上是合理的，但它对美国科技行业产生了深远的影响——请阅读 Kalyan Chakraborty 和 William Remington 撰写的这篇研究文章“ IT 服务离岸外包对美国经济的影响”，了解更多详情：

工作岗位离岸外包：大量美国服务业工作岗位，尤其是 IT 行业，被转移到海外。到 2015 年，估计有 340 万个美国服务业工作岗位将被外包。这种转变是由外包带来的成本节约推动的，外包使公司能够降低软件和服务价格、提高生产力并投资于新技术和商业理念。

通过将初级职位外包，美国公司无意中造成了国内人才渠道的缺口。应届毕业生发现越来越难以获得职业发展所需的经验。15 年后，美国现在面临着经验丰富的高级开发人员和技术经理短缺的问题，而这些专业人士在十五年前就可以通过这些初级职位磨练自己。

讽刺的是，外包潮流现在正对印度等早期采用者不利。随着企业寻求更廉价的劳动力来源或转向自动化，印度技术工人发现自己面临着与美国同行多年前相同的挑战。

这与网络安全现状的相似之处显而易见，也令人担忧。通过低估网络安全中的人为因素——无论是通过免费培训、最低的服务价格，还是过度依赖人工智能——我们有可能在这个关键领域造成类似的人才缺口。

网络安全行业必须从这些历史教训中汲取教训。虽然创新和成本效益很重要，但不应以牺牲人才和专业知识的培养为代价。网络威胁的复杂性和不断演变性要求劳动力不仅要熟练，还要不断发展和适应。

随着我们不断前进，在利用新技术和重视人类专业知识之间取得平衡至关重要。只有认可并适当补偿网络安全专业人员的技能和努力，我们才能确保对未来数字威胁进行强大而有效的防御。

这些行业趋势的周期性提醒我们，短期收益往往会导致长期挑战。在我们探索网络安全的未来时，让我们努力打破这一循环，建立一个重视创新和人类专业知识的可持续模式。

概括

网络安全行业面临着一个严峻的挑战：免费但往往低于标准的培训和过度饱和的信息环境导致专业知识和服务贬值。这种趋势让人想起过去的外包错误，有可能削弱该领域应对不断演变的数字威胁的有效性。为了保障网络安全的未来，利益相关者必须：

 Recognize the true value of expert knowledge and quality training

 Critically evaluate information sources and invest in reputable education

 Prioritize building a skilled workforce over personal brand promotion

通过解决这些关键问题，该行业可以保持其完整性，改善其人才库，并增强其在日益复杂的威胁环境中保护我们的数字基础设施的能力。

致谢

我想承认ThreatGEN的创始人和我之间一直在讨论免费培训和低成本服务如何破坏网络安全。Clint Bodungen 、 Aaron Shbeeb和Matthew Anderson对此深有体会。Jeff Whitney和Gary Leibowitz作为董事会成员正在帮助对抗这种盛行的“免费心态”。

我还要感谢我最好的朋友帕特里克·安德森，他从另一个角度经历了这一切——IT 外包流程和实施。帕特里克和我以及埃迪·蒂普顿在 1999 年至 2003 年初期间是 Systems Evolution Incorporated 的合伙人，我们与 EDS、埃森哲和其他大型咨询公司合作进行在岸外包。后来，在 Systems Evolution（当时是一家上市公司）的发展过程中，我们收购了 Duration Software，这是德克萨斯州最大的定制软件开发商。克里斯·蒙哥马利、里奇·斯坦勒、弗兰克·普雷瓦特和斯科特·弗里森等人了解外包的后期阶段，因为我们正在与离岸浪潮竞争。

最后，我透露，我使用了 Anthropic 的Claude来完善我的想法，并使用 Perplexity 的搜索引擎来查找支持我的想法的参考资料。

以下是 LinkedIn 上原始文章的链接。