<bdo id="2b3yk"><code id="2b3yk"></code></bdo>

  • <output id="2b3yk"><sup id="2b3yk"></sup></output>
    <output id="2b3yk"><ruby id="2b3yk"></ruby></output>
  • <code id="2b3yk"><delect id="2b3yk"></delect></code>

  • 安全行業找工作,單位、團隊組建,HR有哪些問題?

    本文章不談技術,春節筆者也算才換了工作,主要講一些工作 團隊 企業的一些坑點。希望大家少走彎路。干貨無大道理。

    0×1  前言

    本文章不談技術,春節筆者也算才換了工作,主要講一些找工作 團隊 企業的一些坑點。希望大家少走彎路。

    觀點不一定全部正確,僅僅收集與個人總結。

    0×2 關于找工作

    由于很多職場老司機都有自己的面試經,我這就不過多討論了。主要針對剛工作不久或應屆畢業生。

    游戲規則:

    1:學歷學校歧視一直都存在,985,211這類應屆畢業生競爭會占有明顯優勢。(為什么呢?因為HR不想用有限的時間看無限的簡歷,一份工作的背后可能有太多的簡歷投遞)

    2:乙方安全公司相對好一些,更看重能力,如果有參加CTF 有過名次或寫過什么小工具,白帽子發表過漏洞、發表過什么文章,會比較有優勢 (簡歷都多少存在一些水分和包裝這不奇怪,但牛13不能吹得太大,面試前預估下別人問什么樣的問題做好準備。其實很多技術崗位的人員最開始欠缺的是溝通能力)。

    3:收到面試邀請 如果不了解一些公司  可以有辦法了解,一、《國家企業信用信息公示系統都可以查到該公司的基本情況。二、找網頁公司關鍵字名稱,或者同行群。這是兩個相對靠譜的了解辦法。自己覺得不靠譜的公司不建議去 除非你自己沒得選擇。(成立時間太短可能不適合,也可以看到公司地址估計規模,營業執照會有公司營業范圍  營業范圍跟實際不符可能是黑產或違法)

    image.png

    4:面試主要還是實事求是,一般面試流程 是HR面試-技術負責人面試,有些大公司會有2-3次面試情況即  面試-復試-再試。也不用大驚小怪。一般單位3-5個工作日沒回復基本就沒戲了,也別在一個單位上耗費時間。(目前中國優勢還是人多)

    5:勞動法的基礎保障   試用期最長不超過半年 一般單位試用期在1-3個月(都說看具體表現,視情況而定其實這個主要看跟領導關系以及個人表現)。

    轉正后不買五險社保的單位涉嫌違法,可到當地勞動監察大隊舉報。社保可以用自己身份證號在社保局查閱參保情況,詳細咨詢社保局不贅述。(也有單位試用期就買保險的僅限部分大公司)

    6:公司老板的決定,決定以后公司的發展方向,如果安全不是公司的主營業務,入職需慎重,可能因為營收或轉型問題解散安全部門。但多業務公司也可以抱團取暖,說到底具體還是看老板,以安全為主營業務的公司相對靠譜。

    7:有內部人員推薦、或者獵頭引薦工作相對入職成功率會高很多、但是對于人脈幾乎為零的應屆生、可能性較低。

    0×2 甲方坑點

    就一般情況而言在乙方呆慣的技術人員,來到甲方之前就應該會發現很多坑。沒有人脈關系和人際交往手段的技術人員不建議去甲方。

    也由于甲方大部分人并不了解安全技術和當前環境,經常存在以下坑點:

    1:不了解業內情況,一開始招了不合適的人,后續工作幾乎無法開展

    技術比較全面的人適合在甲方,技術單而專一精的不適合。技術不全面可能導致很多工作無法開展。

    2:關注不到細節(高中低危定級、利用難度),更注重宣傳、人際關系。

    3:多數情況能力不決定待遇,文憑是個大門檻,入職前也可能過獨木橋,多人競爭一個崗位。

    4:甲方養老適宜地,還想提升自己的人不適宜呆。人都是有惰性的,如果還有沒有考核、沒有薪資激勵機制,固定死工資只會使人懶惰。

    5:平時覺得不會受到黑客關注,看不到攻擊便認為沒有攻擊,對安全的理解停留在很久以前,缺乏對攻擊面廣度的理解,不肯做出相應措施,當出現安全事件時,又覺得安全人員不稱職

    6:關注合規,以及看得見的部分,忽略真實問題的解決。(差不多意思 表面功夫要到位)

    7:傾向使用驗證方式和修復建議都不很正確的方案,因為提到的點多、修復耗時耗力,顯得全面。

    8:計算KPI時,將漏洞上報數量作為主要判斷依據,導致越不專業,誤報率越高的人員,KPI越高(缺乏漏洞驗證環節)

    9:部分問題的危害程度、描述、驗證方式存在多樣性,被誤解、責怪

    0×3甲方安全建設方面的誤區

    甲方一般認為的安全:

    領導如果沒有提及物理安全、人員安全、檔案安全,全面完整的縱深防御體系 (信息中心完全不懂安全領導還是比較少了。畢竟洗腦的廠家太多了)

    1:iptables規則,基線和主機加固,裝殺毒軟件防火墻

    2: 隔離內外網,硬件防火墻等設備的規則配置、license使用,:功能啟用,開源及商業版的WAF、IPS、IDS、UTM

    3:員工上網行為管理,統一監控,蜜罐、流量審計。。。

    4:找出各種高、中、低危漏洞

    5:DDOS和CC、弱口令社工庫暴力破解

    6:推行SDL,跑Fortify等工具進行代碼審計,減少代碼漏洞

    7:看日志(有些會刪日志),亡羊補牢

    作為甲方,要全面防御的威脅還包括:

    特別現在工具boy 大爆炸的情況下

    1:一旦出現一條“安全預警:國內超過300臺juniper網絡設備受后門影響”,馬上會有很多熊孩子整個IP段試一遍

    2:剛弄個XSS字符過濾,黑客就給你按照XSS Attacks – Exploiting XSS Filter一個個試一遍哪些沒過濾

    3:剛買了輛高端汽車,還沒開始注意到遠程操作,實際上熊孩子們看到個汽車遠程入侵的演示,整個IP段試了一遍

    以下為漏洞流水賬:

    任意地址讀漏洞、HTTP頭注入漏洞、文件目錄遍歷、無線滲透、域滲透、UAF and Kernel Pwn、Linux堆溢出漏洞利用、宏病毒代碼三大隱身術、打碼平臺、內存破壞漏洞利用、從信息泄露到ssrf、隨機數安全、流量劫持、模糊測試、hook技術、應用替換,App劫持病毒、Powershell惡意代碼的N種姿勢、溢出保護和繞過、通過cmd上傳文件、TFTP反射放大攻擊、DLL劫持、利用XSLT繼續擊垮XML、中間人攻擊、后門、彩虹表、鏈路劫持、Joomla 對象注入漏洞、劫持GPS定位&劫持WIFI定位、遠程Car Hacking、NodeJs后門程序、二維碼漏洞攻擊、Redis漏洞攻擊、逆向和反編譯、Javascript緩存投毒學習與實戰、DNS隧道技術繞防火墻、zip格式處理邏輯漏洞、大范圍掛馬、利用被入侵的路由器邁入內網、Memcached內存注射、Android應用加殼和脫殼、短信攔截木馬、拒絕服務漏洞、網絡釣魚、ARP欺騙、利用Weblogic進行入侵、利用業務安全漏洞薅羊毛、OLAP DML 注入攻擊、僵尸網絡、爬蟲技術實戰、密碼找回邏輯漏洞、php對象注入、編寫簡易木馬程序、發掘和利用ntpd漏洞、常見的HTTPS攻擊方法、IPS BYPASS、點擊劫持、Shellshock漏洞、OpenSSL“心臟出血”漏洞。。

    0×4 安全行業 HR如何識別正確的安全人

    國內很多安全人員的普遍性格和形象:

    1:極客(怪蜀黍) ,措辭以及圖片思想比較真(wei)誠(suo)

    image.pngimage.png

    image.png

    2:昵稱特征:如:h4ck3r wh0 r00t  (詳細見 1337 語言 1-2級加密),當然也不是說昵稱不這樣就不行。

    3:性格:追求極致,容易極端,情緒化,某些方向發展比較深入技術也愛較真,想法多(精神病人思維廣 弱智兒童快樂多) ,情商嘛 此處省略一萬字。

    安全行業招聘的特點

    HR這個崗位理解存在參差不齊,招聘思路也是千差萬別。一般人力資源都要看設計崗位模型 崗位職責 招聘成本開始。當然中小公司很多HR都半路出家,不是人力資源 行政管理專業出身,自己也沒有話語權,甚至招聘要求都是抄別人的,安全技術人員有什么好壞之分也不了解。也就沒什么好說的了,這種面試一般盡量迎合別人就行。(有個套路廣為流傳:hr招程序員出奇招,用新恒結衣和廣末涼子的頭像,這招太惡毒了

    特別需要說的:

    1:思想獨特:一定不要用招聘其他崗位人員的想法去招安全人員,黑客之所以能黑進來,就是因為想法跟正常人不太一樣,因此,能在黑客之前發現問題并修復的人平時想法也跟正常人不太一樣。

    2:學歷問題:這點需要單獨說一下,目前在中國大陸攻防(找漏洞or修復漏洞)技術厲害的,普遍學歷比較低,而且沒幾個有CISSP,CCIE等高大上的證書,大部分不是科班出身。主要原因還是興趣,大部分會在初中和高中開始自學安全類的知識,自然學習重心會從學業向安全技術傾斜。學歷自然就不怎么樣了。

    雖然也有學霸技術 學歷都強的,但是這個概率嘛………………

    3:簡歷內容:對于大部分的甲方來說,真正需要的更多的是全方位的人才,對于安全的理解有整體視角、并且能夠協調好與各個部門之間關系的人,而不是在某幾個點上特別深入精通人才;比如在技術上對主要漏洞的覆蓋更為全面的,相比在某些細分領域取得過重大成就的,會適用得多。

    但是與其他行業顯著不同的是:很靠譜的,執行過涉密任務的,可能工作經歷上不都會寫過多或什么都不寫。

    4:同行挖角:有同是安全行業公司工作經驗的安全技術人員,這個是相對完全不懂行的HR招聘最好的對象。有項目經驗,理解他人感受、人品、作風、溝通沒有問題、都是可用的。

    5:人才奇缺:實在招不到人的情況可以從內部研發部門培養。原因有幾個:

    一、安全部的工作內容本身很容易跟研發部發生沖突,在研發每天想著怎么建設時,安全每天在想著如何找到哪里出漏洞了,增加工作量,研發改好之后,安全又想出了繞過方式,繼續增加工作量。。。研發部門出身可以一定程度減少這種死循環沖突。思考得更多。

    二、關注點相似度高,轉型成本低,見效快。

    三、能站在研發角度考慮整改和修復的方式,減少不切實際的修復方案。

    比如 要徹底解決問題,又讓換架構,放棄拼接。于是研發的開發時間變成了原有的150%,而如果用WAF進行攔截,只需要加幾條規則。

    很多即使從業10年以上的安全人員,包括BAT背景的,想法也仍然太偏安全或運維,可能會要求研發通過耗時耗力的方式解決安全問題,成本高昂,一定要注意。

    6:識別風險:什么樣的人不能要?

    一、各種大師

    國外或外企安全工程師:大部分從事的不是國內企業真正需要的工作內容,只有很少的一部分會接觸到攻防對抗,雖然職位名稱都有security,但是有些實際更多是運維和項目經理。

    代碼審計大師:業內很少有技術厲害的會說自己擅長代碼審計,這類人員還容易把公司源碼帶走外泄。

    日志分析大師:安全服務,更多需要的是防御攻擊,使其發生不了,而不是從日志里找出我們被攻擊了。

    二、疑似黑產或與職業性格不符的

    不能提供《無犯罪記錄證明》仍然要接觸企業核心資產的人員。 (有時候碰到的就是做黑產的。

    很能說,沒有接觸過《保密協議》,《補充保密協議》,關鍵崗位沒有簽過《關鍵崗位人員信息安全保密協議》,性格上不像經歷過保密教育那樣微博不敢發、論壇不敢逛,但是仍然號稱受到重用的。

    三、完全不認識同行或沒與同行合作過的。

    入職后一方面容易招不到人,另一方面技術還是崇尚強者,不一定領導要技術要多好,至少各個方面要略知一二,不然日后來了優秀的人才也留不住;另一方面,很多0day資源只在少數人手中流傳。

    如果要借某些行業的資源如資質或技術人員、 用于投標或其他。在對方公司有個高層管理朋友和沒有朋友價格真是兩回事。

    四、只會一兩種漏洞的

    這種類型的人特別多,以前是可以,如果不能學會檢測其他類型的攻擊或自身學習能力較差,盡量不要聘用。

    0×5  什么樣的人適合安全團隊?

    1:性格  前面的性格說過一些。但是安全是一個成本部門,費力不討好。比如有30個漏洞,你修復了29了有一個漏洞沒有修復,還是導致了服務器被入侵,千里之堤毀于蟻穴正是如此。 因此性格上格需要有一些強迫癥,是能夠不斷追求極致的,避免找不全。

    還有一種人得過且過的,會更傾向于為了防止發生故障被領導責罰,在數據泄漏后才去修復漏洞,甚至刪除日志掩蓋被攻擊的事實。性格所致,要改正并非一朝一夕,需要慎重選擇。

    低調、不炫耀,服從公司管理也是必備條件。

    2:年齡與工作經驗

    在其它行業,從業年限可能是越長越好。安全是相對的,有些崗位比如應急響應人員,從業年限長的操作起來更熟練,更低故障率。

    但是在當前的背景下,由于漏洞頻出,硬件,系統,中間件日新月異,是否能快速掌握新技能,學習能力是否對技術有狂熱的追求也是很關鍵的一點。

    會新技術比經驗豐富重要很多。有些從業年限不長,但是擁有成熟的解決方案、業內最佳實踐、信息安全專業外語比較精通、故障、返工、修復后繞過率比較低的年輕人,也是很不錯的選擇。

    0×6 結束

    有些流水賬,  想到哪寫到哪,希望對各位有些幫助。

    3

    發表評論

    已有 2 條評論

    取消
    Loading...
    css.php 宁夏卫视在线直播观看