去互聯網公司了,寫點小感悟
寫在前面。感謝啟明的xiya、宋磊、進哥。感謝創宇的王總和宋探姐。沒有他們,我可能永遠走不到今天這個崗位,那是在我技術最差的時候。他們收留了我,讓我走進的安全世界的大門。
寫這篇文章的目的非常簡單,很多安全從業人員想去互聯網公司,覺得待遇高諸如各方面因素。但從我在互聯網公司工作不到兩周的時間我認為,互聯網公司的工作並不是適合於所有人的。
- 互聯網甲方適合什麼樣的人
- 對於單點技術不願意鑽的過於深入的人(大廠實驗室除外),大多數問題還是圍繞著業務層安全漏洞,風控執行的。公司需要的還是工程化能力和解決能力強的人,而不是研究性人才。只有少部分BAT大廠的安全研究實驗室或者紅方攻擊團隊才能比較靜下心來研究單點的技術。舉個例子,你供職於某SRC而你偏偏要去研究瀏覽器的內核安全問題,大部分安全部門是工作是業務強相關的(除非你們做瀏覽器)。
- 溝通能力需要非常強,瑣事非常多,但又很重要,要權衡好業務和安全的關係。不分青紅皂白追求絕對的安全絕對會死的很慘,要講究方法。
- 不適合不喜歡加班,不喜歡安全工作挑戰的同學。
- 互聯網甲方安全工作具體做什麼
在我看來可以分為兩大類:平台化工作和運營工作。
- 為何要平台化:
互聯網公司和傳統公司最大的區別主要在兩類。一是節奏快,說干就干,業務開發迭代快。二是,為了適應技術挑戰以及部分政治正確的因素,喜歡用新技術。
互聯網安全公司問題的本質是:快~
迭代快程序員趕需求壓根沒考慮安全,並不是他們不懂。
技術更新快,不知道新技術有什麼樣的安全問題。
公司發展速度快人數多,安全制度和管理跟不上發展速度。
那麼問題來了,假設我們公司有3條研發業務線。平均每個部門每周3-5次介面的變更。伺服器變更基本就沒停過。如果我們不使用平台化的方法,一個企業要招多少個安全人才,如果不自動化的話一個業務線一個不過分吧,再加上盯埠和日誌審計的人。如果天天對著變更資產nmap的工作,我相信很多人幹不了2-3個月就會心態爆炸,真的是比搬磚還枯燥的工作。那麼我們應該怎麼辦?平台化、自動化。平台化和自動化的本質是為了提升效率,增強業務線的安全體驗,讓安全能更好的浸潤業務線。
- 平台化的最終目的:
讓不懂安全的人在Web頁面點點點就能知道安全問題,讓安全工程師喝著茶盯著郵件就能知道安全問題入侵,知道誰在刷單。平台化的目的本,當然這話說的有點誇張,但這是平台化大家追求的最終目地,其實運營工程師是最辛苦的。從事這部分的工作的安全工程師有個別名叫做安全開發工程師。
- 什麼是安全運營:
所有自動化不了的,但又很必要的工作就叫做安全運營。比如SRC的漏洞提上來,我們要負責,要跟進修復,要排期複測。
推進SDL,我需要人力去用一些平台化工具去掃描,去代碼審計,盯著監控安全監控報警平台處理問題。
准入系統的工程師要關注入離職許可權管理,網路變更需要更新網路策略啥的。
購買第三方產品要接洽廠家,談合同等等。
過等保,過ISO27000需要大量的文檔合規性工作,跨部門溝通協調。
- 大家最關心的互聯網甲方的技能點(大廠能力要求)
- 應屆生
應屆生校招很重要,實習平台很重要,甲乙方思路非常不一樣。對於校招生,我認為想勝任互聯網大廠的安全工作並獨擋一面是非常困難的,但如果基礎好能進入大廠實習和工作提升速度是火箭級別的。做好日常的安全學習,原來知道創宇的技能點,包括知乎上各種帖子適用於應屆生,能進一個好的平台,擁有好的視野是特別重要的。
- 社招人員(必備能力)
- 絕活(擇其一看企業需求,體現你在安全能力上的深度):
指在某個領域你一定要比面試你的面試官經驗豐富。
比如應用安全,我能手市面上常見和不常見的XSS PAYLOAD,遊覽器內核的編碼,解析引擎等等等。
我繞WAF很強,對資料庫編碼有非常獨特的認識和見解。
業務邏輯安全問題,我能寫出大多數業務邏輯安全問題的demo。
移動安全我能逆向,能脫殼,能動態調試,而不是用drozer或者mobsb掃一掃。
應急響應是否做過複雜的安全事件,是不是敢跟面試官說,基本上百分之95的安全事件到我手裡都能直接止損並查清楚原因。
2. 一門編碼能力(必須能開發系統):
諸如YSRC的巡風,包括企業內部的HIDS。必須擁有一定的研發能力,對於乙方過去的同學推薦是。Django+Jquery+Bootstrap,因為現在也在用。開發的大多數除了掃描器等需要高並發,大多數系統還是管理平台為主,對於流量並發需求沒那麼大,以實現功能為主。當然如果有高並發能力當然最好。反正編碼是基礎,根據需求可能要求做語言的再學習和切換。
3. 想明白為何要去互聯網大廠:
這是我面百度終面發揮最不好的地方,拋去鍍金因素。其實互聯網公司的時薪並不是太高,除非是核心技術大牛。而且壓力大,要想清楚,坦誠講做技術除非做到像TK教主達到笑傲江湖令狐沖級別的,很難憑純技術獲得財務自由,要想清楚,做好職業規劃。
4. 人脈:
自己不可能什麼都懂,人脈就很重要,當你具備編碼的基礎之後。很多事兒是思路上的問題,而不是代碼寫不出來。思路別人點你一下,瞬間感覺茅塞頓開,瞬間一個特別牛逼的平台系統有了思路。
- 最後
寫文章只是為了幫助身邊更多的同事朋友,由於互聯網從業時間不長,可能視野有一些狹隘,希望看到我文章的同行與朋友多包容多指正。
推薦閱讀:
※網易丁磊緣何甩開新浪和搜狐,撐起400億美金市值?
※坤鵬論:比特幣瘋了,你堅決不能瘋!
※跟上司搶功勞的下場是什麼?你有哪些故事分享?
※全網多領域機器翻譯首上線——新譯智能翻譯更新上線
※各大頭條分分發力後,知乎該如何留住原創作者?