安全行业找工作,单位、团队组建,HR有哪些问题?
安全行业找工作,单位、团队组建,HR有哪些问题?
0x1 前言
本文章不谈技术,春节笔者也算才换了工作,主要讲一些找工作 团队 企业的一些坑点。希望大家少走弯路。
观点不一定全部正确,仅仅收集与个人总结。
0x2 关于找工作
由于很多职场老司机都有自己的面试经,我这就不过多讨论了。主要针对刚工作不久或应届毕业生。
游戏规则:
1:学历学校歧视一直都存在,985,211这类应届毕业生竞争会占有明显优势。(为什么呢?因为HR不想用有限的时间看无限的简历,一份工作的背后可能有太多的简历投递)
2:乙方安全公司相对好一些,更看重能力,如果有参加CTF 有过名次或写过什么小工具,白帽子发表过漏洞、发表过什么文章,会比较有优势 (简历都多少存在一些水分和包装这不奇怪,但牛13不能吹得太大,面试前预估下别人问什么样的问题做好准备。其实很多技术岗位的人员最开始欠缺的是沟通能力)。
3:收到面试邀请 如果不了解一些公司 可以有办法了解,一、《国家企业信用信息公示系统》都可以查到该公司的基本情况。二、找网页公司关键字名称,或者同行群。这是两个相对靠谱的了解办法。自己觉得不靠谱的公司不建议去 除非你自己没得选择。(成立时间太短可能不适合,也可以看到公司地址估计规模,营业执照会有公司营业范围 营业范围跟实际不符可能是黑产或违法)
4:面试主要还是实事求是,一般面试流程 是HR面试-技术负责人面试,有些大公司会有2-3次面试情况即 面试-复试-再试。也不用大惊小怪。一般单位3-5个工作日没回复基本就没戏了,也别在一个单位上耗费时间。(目前中国优势还是人多)
5:劳动法的基础保障 试用期最长不超过半年 一般单位试用期在1-3个月(都说看具体表现,视情况而定其实这个主要看跟领导关系以及个人表现)。
转正后不买五险社保的单位涉嫌违法,可到当地劳动监察大队举报。社保可以用自己身份证号在社保局查阅参保情况,详细咨询社保局不赘述。(也有单位试用期就买保险的仅限部分大公司)
6:公司老板的决定,决定以后公司的发展方向,如果安全不是公司的主营业务,入职需慎重,可能因为营收或转型问题解散安全部门。但多业务公司也可以抱团取暖,说到底具体还是看老板,以安全为主营业务的公司相对靠谱。
7:有内部人员推荐、或者猎头引荐工作相对入职成功率会高很多、但是对于人脉几乎为零的应届生、可能性较低。
0x2 甲方坑点
就一般情况而言在乙方呆惯的技术人员,来到甲方之前就应该会发现很多坑。没有人脉关系和人际交往手段的技术人员不建议去甲方。
也由于甲方大部分人并不了解安全技术和当前环境,经常存在以下坑点:
1:不了解业内情况,一开始招了不合适的人,后续工作几乎无法开展
(技术比较全面的人适合在甲方,技术单而专一精的不适合。技术不全面可能导致很多工作无法开展。)
2:关注不到细节(高中低危定级、利用难度),更注重宣传、人际关系。
3:多数情况能力不决定待遇,文凭是个大门槛,入职前也可能过独木桥,多人竞争一个岗位。
4:甲方养老适宜地,还想提升自己的人不适宜呆。人都是有惰性的,如果还有没有考核、没有薪资激励机制,固定死工资只会使人懒惰。
5:平时觉得不会受到黑客关注,看不到攻击便认为没有攻击,对安全的理解停留在很久以前,缺乏对攻击面广度的理解,不肯做出相应措施,当出现安全事件时,又觉得安全人员不称职
6:关注合规,以及看得见的部分,忽略真实问题的解决。(差不多意思 表面功夫要到位)
7:倾向使用验证方式和修复建议都不很正确的方案,因为提到的点多、修复耗时耗力,显得全面。
8:计算KPI时,将漏洞上报数量作为主要判断依据,导致越不专业,误报率越高的人员,KPI越高(缺乏漏洞验证环节)
9:部分问题的危害程度、描述、验证方式存在多样性,被误解、责怪
0x3甲方安全建设方面的误区
甲方一般认为的安全:
领导如果没有提及物理安全、人员安全、档案安全,全面完整的纵深防御体系 (信息中心完全不懂安全领导还是比较少了。毕竟洗脑的厂家太多了)
1:iptables规则,基线和主机加固,装杀毒软件防火墙
2: 隔离内外网,硬件防火墙等设备的规则配置、license使用,:功能启用,开源及商业版的WAF、IPS、IDS、UTM
3:员工上网行为管理,统一监控,蜜罐、流量审计。。。
4:找出各种高、中、低危漏洞
5:DDOS和CC、弱口令社工库暴力破解
6:推行SDL,跑Fortify等工具进行代码审计,减少代码漏洞
7:看日志(有些会删日志),亡羊补牢
作为甲方,要全面防御的威胁还包括:
特别现在工具boy 大爆炸的情况下
1:一旦出现一条“安全预警:国内超过300台juniper网络设备受后门影响”,马上会有很多熊孩子整个IP段试一遍
2:刚弄个XSS字符过滤,黑客就给你按照XSS Attacks - Exploiting XSS Filter一个个试一遍哪些没过滤
3:刚买了辆高端汽车,还没开始注意到远程操作,实际上熊孩子们看到个汽车远程入侵的演示,整个IP段试了一遍
以下为漏洞流水账:
任意地址读漏洞、HTTP头注入漏洞、文件目录遍历、无线渗透、域渗透、UAF and Kernel Pwn、Linux堆溢出漏洞利用、宏病毒代码三大隐身术、打码平台、内存破坏漏洞利用、从信息泄露到ssrf、随机数安全、流量劫持、模糊测试、hook技术、应用替换,App劫持病毒、Powershell恶意代码的N种姿势、溢出保护和绕过、通过cmd上传文件、TFTP反射放大攻击、DLL劫持、利用XSLT继续击垮XML、中间人攻击、后门、彩虹表、链路劫持、Joomla 对象注入漏洞、劫持GPS定位&劫持WIFI定位、远程Car Hacking、NodeJs后门程序、二维码漏洞攻击、Redis漏洞攻击、逆向和反编译、Javascript缓存投毒学习与实战、DNS隧道技术绕防火墙、zip格式处理逻辑漏洞、大范围挂马、利用被入侵的路由器迈入内网、Memcached内存注射、Android应用加壳和脱壳、短信拦截木马、拒绝服务漏洞、网络钓鱼、ARP欺骗、利用Weblogic进行入侵、利用业务安全漏洞薅羊毛、OLAP DML 注入攻击、僵尸网络、爬虫技术实战、密码找回逻辑漏洞、php对象注入、编写简易木马程序、发掘和利用ntpd漏洞、常见的HTTPS攻击方法、IPS BYPASS、点击劫持、Shellshock漏洞、OpenSSL“心脏出血”漏洞。。
0x4 安全行业 HR如何识别正确的安全人
国内很多安全人员的普遍性格和形象:
1:极客(怪蜀黍) ,措辞以及图片思想比较真(wei)诚(suo)
2:昵称特征:如:h4ck3r wh0 r00t (详细见 1337 语言 1-2级加密),当然也不是说昵称不这样就不行。
3:性格:追求极致,容易极端,情绪化,某些方向发展比较深入技术也爱较真,想法多(精神病人思维广 弱智儿童快乐多) ,情商嘛 此处省略一万字。
安全行业招聘的特点
HR这个岗位理解存在参差不齐,招聘思路也是千差万别。一般人力资源都要看设计岗位模型 岗位职责 招聘成本开始。当然中小公司很多HR都半路出家,不是人力资源 行政管理专业出身,自己也没有话语权,甚至招聘要求都是抄别人的,安全技术人员有什么好坏之分也不了解。也就没什么好说的了,这种面试一般尽量迎合别人就行。(有个套路广为流传:hr招程序员出奇招,用新恒结衣和广末凉子的头像,这招太恶毒了)
特别需要说的:
1:思想独特:一定不要用招聘其他岗位人员的想法去招安全人员,黑客之所以能黑进来,就是因为想法跟正常人不太一样,因此,能在黑客之前发现问题并修复的人平时想法也跟正常人不太一样。
2:学历问题:这点需要单独说一下,目前在中国大陆攻防(找漏洞or修复漏洞)技术厉害的,普遍学历比较低,而且没几个有CISSP,CCIE等高大上的证书,大部分不是科班出身。主要原因还是兴趣,大部分会在初中和高中开始自学安全类的知识,自然学习重心会从学业向安全技术倾斜。学历自然就不怎么样了。
虽然也有学霸技术 学历都强的,但是这个概率嘛………………
3:简历内容:对于大部分的甲方来说,真正需要的更多的是全方位的人才,对于安全的理解有整体视角、并且能够协调好与各个部门之间关系的人,而不是在某几个点上特别深入精通人才;比如在技术上对主要漏洞的覆盖更为全面的,相比在某些细分领域取得过重大成就的,会适用得多。
但是与其他行业显著不同的是:很靠谱的,执行过涉密任务的,可能工作经历上不都会写过多或什么都不写。
4:同行挖角:有同是安全行业公司工作经验的安全技术人员,这个是相对完全不懂行的HR招聘最好的对象。有项目经验,理解他人感受、人品、作风、沟通没有问题、都是可用的。
5:人才奇缺:实在招不到人的情况可以从内部研发部门培养。原因有几个:
一、安全部的工作内容本身很容易跟研发部发生冲突,在研发每天想着怎么建设时,安全每天在想着如何找到哪里出漏洞了,增加工作量,研发改好之后,安全又想出了绕过方式,继续增加工作量。。。研发部门出身可以一定程度减少这种死循环冲突。思考得更多。
二、关注点相似度高,转型成本低,见效快。
三、能站在研发角度考虑整改和修复的方式,减少不切实际的修复方案。
比如 要彻底解决问题,又让换架构,放弃拼接。于是研发的开发时间变成了原有的150%,而如果用WAF进行拦截,只需要加几条规则。
很多即使从业10年以上的安全人员,包括BAT背景的,想法也仍然太偏安全或运维,可能会要求研发通过耗时耗力的方式解决安全问题,成本高昂,一定要注意。
6:识别风险:什么样的人不能要?
一、各种大师
国外或外企安全工程师:大部分从事的不是国内企业真正需要的工作内容,只有很少的一部分会接触到攻防对抗,虽然职位名称都有security,但是有些实际更多是运维和项目经理。
代码审计大师:业内很少有技术厉害的会说自己擅长代码审计,这类人员还容易把公司源码带走外泄。
日志分析大师:安全服务,更多需要的是防御攻击,使其发生不了,而不是从日志里找出我们被攻击了。
二、疑似黑产或与职业性格不符的
不能提供《无犯罪记录证明》仍然要接触企业核心资产的人员。 (有时候碰到的就是做黑产的。)
很能说,没有接触过《保密协议》,《补充保密协议》,关键岗位没有签过《关键岗位人员信息安全保密协议》,性格上不像经历过保密教育那样微博不敢发、论坛不敢逛,但是仍然号称受到重用的。
三、完全不认识同行或没与同行合作过的。
入职后一方面容易招不到人,另一方面技术还是崇尚强者,不一定领导要技术要多好,至少各个方面要略知一二,不然日后来了优秀的人才也留不住;另一方面,很多0day资源只在少数人手中流传。
如果要借某些行业的资源如资质或技术人员、 用于投标或其他。在对方公司有个高层管理朋友和没有朋友价格真是两回事。
四、只会一两种漏洞的
这种类型的人特别多,以前是可以,如果不能学会检测其他类型的攻击或自身学习能力较差,尽量不要聘用。
0x5 什么样的人适合安全团队?
1:性格 前面的性格说过一些。但是安全是一个成本部门,费力不讨好。比如有30个漏洞,你修复了29了有一个漏洞没有修复,还是导致了服务器被入侵,千里之堤毁于蚁穴正是如此。 因此性格上格需要有一些强迫症,是能够不断追求极致的,避免找不全。
还有一种人得过且过的,会更倾向于为了防止发生故障被领导责罚,在数据泄漏后才去修复漏洞,甚至删除日志掩盖被攻击的事实。性格所致,要改正并非一朝一夕,需要慎重选择。
低调、不炫耀,服从公司管理也是必备条件。
2:年龄与工作经验
在其它行业,从业年限可能是越长越好。安全是相对的,有些岗位比如应急响应人员,从业年限长的操作起来更熟练,更低故障率。
但是在当前的背景下,由于漏洞频出,硬件,系统,中间件日新月异,是否能快速掌握新技能,学习能力是否对技术有狂热的追求也是很关键的一点。
会新技术比经验丰富重要很多。有些从业年限不长,但是拥有成熟的解决方案、业内最佳实践、信息安全专业外语比较精通、故障、返工、修复后绕过率比较低的年轻人,也是很不错的选择。
0x6 结束
有些流水账, 想到哪写到哪,希望对各位有些帮助。