知識星球來自:freebuf 專欄,作者:redhatd
連結:https://www.freebuf.com/column/195618.html
0x1 前言
本文章不談技術,筆者也算才換了工作,主要講一些找工作 團隊 企業的一些坑點。希望大家少走彎路。
觀點不一定全部正確,僅僅收集與個人總結。
0x2 關於找工作
由於很多職場老司機都有自己的面試經,我這就不過多討論了。主要針對剛工作不久或應屆畢業生。
遊戲規則:
1:學歷學校歧視一直都存在,985,211這類應屆畢業生競爭會佔有明顯優勢。(為什麼呢?因為HR不想用有限的時間看無限的簡歷,一份工作的背後可能有太多的簡歷投遞)
2:乙方安全公司相對好一些,更看重能力,如果有參加CTF 有過名次或寫過什麼小工具,白帽子發表過漏洞、發表過什麼文章,會比較有優勢 (簡歷都多少存在一些水分和包裝這不奇怪,但牛13不能吹得太大,面試前預估下別人問什麼樣的問題做好準備。其實很多技術崗位的人員最開始欠缺的是溝通能力)。
3:收到面試邀請 如果不瞭解一些公司 可以有辦法瞭解,一、《國家企業信用資訊公示系統》都可以查到該公司的基本情況。二、找網頁公司關鍵字名稱,或者同行群。這是兩個相對靠譜的瞭解辦法。自己覺得不靠譜的公司不建議去 除非你自己沒得選擇。(成立時間太短可能不適合,也可以看到公司地址估計規模,營業執照會有公司營業範圍 營業範圍跟實際不符可能是黑產或違法)
4:面試主要還是實事求是,一般面試流程 是HR面試-技術負責人面試,有些大公司會有2-3次面試情況即 面試-覆試-再試。也不用大驚小怪。一般單位3-5個工作日沒回覆基本就沒戲了,也別在一個單位上耗費時間。(目前中國優勢還是人多)
5:勞動法的基礎保障 試用期最長不超過半年 一般單位試用期在1-3個月(都說看具體表現,視情況而定其實這個主要看跟領導關係以及個人表現)。
轉正後不買五險社保的單位涉嫌違法,可到當地勞動監察大隊舉報。社保可以用自己身份證號在社保局查閱參保情況,詳細諮詢社保局不贅述。(也有單位試用期就買保險的僅限部分大公司)
6:公司老闆的決定,決定以後公司的發展方向,如果安全不是公司的主營業務,入職需慎重,可能因為營收或轉型問題解散安全部門。但多業務公司也可以抱團取暖,說到底具體還是看老闆,以安全為主營業務的公司相對靠譜。
7:有內部人員推薦、或者獵頭引薦工作相對入職成功率會高很多、但是對於人脈幾乎為零的應屆生、可能性較低。
0x2 甲方坑點
就一般情況而言在乙方獃慣的技術人員,來到甲方之前就應該會發現很多坑。沒有人脈關係和人際交往手段的技術人員不建議去甲方。
也由於甲方大部分人並不瞭解安全技術和當前環境,經常存在以下坑點:
1:不瞭解業內情況,一開始招了不合適的人,後續工作幾乎無法開展
(技術比較全面的人適合在甲方,技術單而專一精的不適合。技術不全面可能導致很多工作無法開展。)
2:關註不到細節(高中低危定級、利用難度),更註重宣傳、人際關係。
3:多數情況能力不決定待遇,文憑是個大門檻,入職前也可能過獨木橋,多人競爭一個崗位。
4:甲方養老適宜地,還想提升自己的人不適宜獃。人都是有惰性的,如果還有沒有考核、沒有薪資激勵機制,固定死工資只會使人懶惰。
5:平時覺得不會受到駭客關註,看不到攻擊便認為沒有攻擊,對安全的理解停留在很久以前,缺乏對攻擊面廣度的理解,不肯做出相應措施,當出現安全事件時,又覺得安全人員不稱職
6:關註合規,以及看得見的部分,忽略真實問題的解決。(差不多意思 錶面功夫要到位)
7:傾向使用驗證方式和修複建議都不很正確的方案,因為提到的點多、修複耗時耗力,顯得全面。
8:計算KPI時,將漏洞上報數量作為主要判斷依據,導致越不專業,誤報率越高的人員,KPI越高(缺乏漏洞驗證環節)
9:部分問題的危害程度、描述、驗證方式存在多樣性,被誤解、責怪
0x3 甲方安全建設方面的誤區
甲方一般認為的安全:
領導如果沒有提及物理安全、人員安全、檔案安全,全面完整的縱深防禦體系 (資訊中心完全不懂安全領導還是比較少了。畢竟洗腦的廠家太多了)
1:iptables規則,基線和主機加固,裝防毒軟體防火牆
2: 隔離內外網,硬體防火牆等裝置的規則配置、license使用,:功能啟用,開源及商業版的WAF、IPS、IDS、UTM
3:員工上網行為管理,統一監控,蜜罐、流量審計。。。
4:找出各種高、中、低危漏洞
5:DDOS和CC、弱口令社工庫暴力破解
6:推行SDL,跑Fortify等工具進行程式碼審計,減少程式碼漏洞
7:看日誌(有些會刪日誌),亡羊補牢
作為甲方,要全面防禦的威脅還包括:
特別現在工具boy 大爆炸的情況下
1:一旦出現一條“安全預警:國內超過300臺juniper網路裝置受後門影響”,馬上會有很多熊孩子整個IP段試一遍
2:剛弄個XSS字元過濾,駭客就給你按照XSS Attacks – Exploiting XSS Filter一個個試一遍哪些沒過濾
3:剛買了輛高階汽車,還沒開始註意到遠端操作,實際上熊孩子們看到個汽車遠端入侵的演示,整個IP段試了一遍
以下為漏洞流水賬:
任意地址讀漏洞、HTTP頭註入漏洞、檔案目錄遍歷、無線滲透、域滲透、UAF and Kernel Pwn、Linux堆上限溢位漏洞利用、宏病毒程式碼三大隱身術、打碼平臺、記憶體破壞漏洞利用、從資訊洩露到ssrf、隨機數安全、流量劫持、模糊測試、hook技術、應用替換,App劫持病毒、Powershell惡意程式碼的N種姿勢、上限溢位保護和繞過、透過cmd上傳檔案、TFTP反射放大攻擊、DLL劫持、利用XSLT繼續擊垮XML、中間人攻擊、後門、彩虹表、鏈路劫持、Joomla 物件註入漏洞、劫持GPS定位&劫持WIFI定位、遠端Car Hacking、NodeJs後門程式、二維碼漏洞攻擊、Redis漏洞攻擊、逆向和反編譯、Javascript快取投毒學習與實戰、DNS隧道技術繞防火牆、zip格式處理邏輯漏洞、大範圍掛馬、利用被入侵的路由器邁入內網、Memcached記憶體註射、Android應用加殼和脫殼、簡訊攔截木馬、拒絕服務漏洞、網路釣魚、ARP欺騙、利用Weblogic進行入侵、利用業務安全漏洞薅羊毛、OLAP DML 註入攻擊、僵屍網路、爬蟲技術實戰、密碼找回邏輯漏洞、php物件註入、編寫簡易木馬程式、發掘和利用ntpd漏洞、常見的HTTPS攻擊方法、IPS BYPASS、點選劫持、Shellshock漏洞、OpenSSL“心臟出血”漏洞。。
0x4 安全行業 HR如何識別正確的安全人
國內很多安全人員的普遍性格和形象:
1:極客(怪蜀黍) ,措辭以及圖片思想比較真(wei)誠(suo)
2:暱稱特徵:如:h4ck3r wh0 r00t (詳細見 1337 語言 1-2級加密),當然也不是說暱稱不這樣就不行。
3:性格:追求極致,容易極端,情緒化,某些方向發展比較深入技術也愛較真,想法多(精神病人思維廣 弱智兒童快樂多) ,情商嘛 此處省略一萬字。
安全行業招聘的特點
HR這個崗位理解存在參差不齊,招聘思路也是千差萬別。一般人力資源都要看設計崗位模型 崗位職責 招聘成本開始。當然中小公司很多HR都半路出家,不是人力資源 行政管理專業出身,自己也沒有話語權,甚至招聘要求都是抄別人的,安全技術人員有什麼好壞之分也不瞭解。也就沒什麼好說的了,這種面試一般儘量迎合別人就行。(有個套路廣為流傳:hr招程式員出奇招,用新恆結衣和廣末涼子的頭像,這招太惡毒了)
特別需要說的:
1:思想獨特:一定不要用招聘其他崗位人員的想法去招安全人員,駭客之所以能黑進來,就是因為想法跟正常人不太一樣,因此,能在駭客之前發現問題並修複的人平時想法也跟正常人不太一樣。
2:學歷問題:這點需要單獨說一下,目前在中國大陸攻防(找漏洞or修複漏洞)技術厲害的,普遍學歷比較低,而且沒幾個有CISSP,CCIE等高大上的證書,大部分不是科班出身。主要原因還是興趣,大部分會在初中和高中開始自學安全類的知識,自然學習重心會從學業向安全技術傾斜。學歷自然就不怎麼樣了。
雖然也有學霸技術 學歷都強的,但是這個機率嘛………………
3:簡歷內容:對於大部分的甲方來說,真正需要的更多的是全方位的人才,對於安全的理解有整體視角、並且能夠協調好與各個部門之間關係的人,而不是在某幾個點上特別深入精通人才;比如在技術上對主要漏洞的改寫更為全面的,相比在某些細分領域取得過重大成就的,會適用得多。
但是與其他行業顯著不同的是:很靠譜的,執行過涉密任務的,可能工作經歷上不都會寫過多或什麼都不寫。
4:同行挖角:有同是安全行業公司工作經驗的安全技術人員,這個是相對完全不懂行的HR招聘最好的物件。有專案經驗,理解他人感受、人品、作風、溝通沒有問題、都是可用的。
5:人才奇缺:實在招不到人的情況可以從內部研發部門培養。原因有幾個:
一、安全部的工作內容本身很容易跟研發部發生衝突,在研發每天想著怎麼建設時,安全每天在想著如何找到哪裡出漏洞了,增加工作量,研發改好之後,安全又想出了繞過方式,繼續增加工作量。。。研發部門出身可以一定程度減少這種死迴圈衝突。思考得更多。
二、關註點相似度高,轉型成本低,見效快。
三、能站在研發角度考慮整改和修複的方式,減少不切實際的修複方案。
比如 要徹底解決問題,又讓換架構,放棄拼接。於是研發的開發時間變成了原有的150%,而如果用WAF進行攔截,只需要加幾條規則。
很多即使從業10年以上的安全人員,包括BAT背景的,想法也仍然太偏安全或運維,可能會要求研發透過耗時耗力的方式解決安全問題,成本高昂,一定要註意。
6:識別風險:什麼樣的人不能要?
一、各種大師
國外或外企安全工程師:大部分從事的不是國內企業真正需要的工作內容,只有很少的一部分會接觸到攻防對抗,雖然職位名稱都有security,但是有些實際更多是運維和專案經理。
程式碼審計大師:業內很少有技術厲害的會說自己擅長程式碼審計,這類人員還容易把公司原始碼帶走外洩。
日誌分析大師:安全服務,更多需要的是防禦攻擊,使其發生不了,而不是從日誌裡找出我們被攻擊了。
二、疑似黑產或與職業性格不符的
不能提供《無犯罪記錄證明》仍然要接觸企業核心資產的人員。 (有時候碰到的就是做黑產的。)
很能說,沒有接觸過《保密協議》,《補充保密協議》,關鍵崗位沒有簽過《關鍵崗位人員資訊保安保密協議》,性格上不像經歷過保密教育那樣微博不敢發、論壇不敢逛,但是仍然號稱受到重用的。
三、完全不認識同行或沒與同行合作過的。
入職後一方面容易招不到人,另一方面技術還是崇尚強者,不一定領導要技術要多好,至少各個方面要略知一二,不然日後來了優秀的人才也留不住;另一方面,很多0day資源只在少數人手中流傳。
如果要借某些行業的資源如資質或技術人員、 用於投標或其他。在對方公司有個高層管理朋友和沒有朋友價格真是兩回事。
四、只會一兩種漏洞的
這種型別的人特別多,以前是可以,如果不能學會檢測其他型別的攻擊或自身學習能力較差,儘量不要聘用。
0x5 什麼樣的人適合安全團隊?
1:性格 前面的性格說過一些。但是安全是一個成本部門,費力不討好。比如有30個漏洞,你修複了29了有一個漏洞沒有修複,還是導致了伺服器被入侵,千里之堤毀於蟻穴正是如此。 因此性格上格需要有一些強迫症,是能夠不斷追求極致的,避免找不全。
還有一種人得過且過的,會更傾向於為了防止發生故障被領導責罰,在資料洩漏後才去修複漏洞,甚至刪除日誌掩蓋被攻擊的事實。性格所致,要改正並非一朝一夕,需要慎重選擇。
低調、不炫耀,服從公司管理也是必備條件。
2:年齡與工作經驗
在其它行業,從業年限可能是越長越好。安全是相對的,有些崗位比如應急響應人員,從業年限長的操作起來更熟練,更低故障率。
但是在當前的背景下,由於漏洞頻出,硬體,系統,中介軟體日新月異,是否能快速掌握新技能,學習能力是否對技術有狂熱的追求也是很關鍵的一點。
會新技術比經驗豐富重要很多。有些從業年限不長,但是擁有成熟的解決方案、業內最佳實踐、資訊保安專業外語比較精通、故障、返工、修複後繞過率比較低的年輕人,也是很不錯的選擇。
0x6 結束
