[collect]信息安全行业从业指南2.0

本文最后更新于2016年11月29日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!

=Start=

缘由:

身为信息安全行业从业人员,多了解了解前辈的指导性总结肯定是没错的。每天少看点和工作/专业不相关的内容和网站,多琢磨琢磨文章中提到的内容对自己的成长会更有实际意义些。

正文:

为了减少篇幅有些东西就略过不写了,可以参考我以前写的《信息安全从业参考》《信息安全的职业生涯》《CSO的生存艺术》等老文章,或者我记得在安言的论坛上有人对我写的话题展开和补充并重新成文,具体记不太清了,但应该也是可以参考的。

我个人没有能力去预言安全产业的发展,但职业毕竟是个跟产业相关性比较大的话题,所以也适当援引一些个人观点吧。从甲乙方说起,乙方分为2B和2C两类,这里主要说2B的部分,因为2C中的大部分更适合归入互联网行业。IDC的报告称2018年中国企业安全市场约200亿RMB,相对于互联网,游戏等其他领域而言显然是个很小的市场,所以安全公司不会像互联网领域的创业公司一样遍地开花,会受到整个市场容量的限制,对于乙方如果不是360,那就是启明绿盟天融信这类公司了(名字太多不一一列举,如果你所在公司营业额很高而未出现在此列请不要生气,这里并无意去关注具体的公司)。有人会说以后乙方可能还会有BAT诸如阿里云这些,没错,但从做的事情而言,即便阿里云成了乙方,阿里云安全成了乙方安全,但实际上做的事情对于从业者而言还是甲方做的那些事情,因此在这里就不把他们归入乙方了。对于乙方做的事情,从厂商角度看可能会有一系列的产品和服务的创新,但对于从业者而言其实跟以前差不太多,至少在可见的时期内还是以前文章里写的那些,还看到不到质的变化。如果你一定要在乙方寻求点不同的体验,那就去所谓的互联网安全公司的非传统安全业务或者去传统安全公司的互联网业务线。撇开乙方看甲方,应该是比较乐观的,这是一个跟企业安全市场盘子无关的领域,随着企业开始重视安全,甲方会有更多的安全职位,并且安全职位会多样化,这里应该是一个比较广阔的空间。甲方乙方之外是学术研究领域,对那片土地不是很了解,本文就仅限于工业界吧。欢迎学术界和高校院墙之内的同学们补充。(至于黑产和国家队,本文就不打算写了,毕竟大部分人不会走这条路,我只知道那也是一个很神奇又有点奇葩的世界,如果你有潜质,仅这一句话就能把你引向那里)

先退几步,如果你尚在考虑要不要进入这个行业,我可以提供几点参考。据我和朋友们观察,10多年以来在同一个公司同一个级别上的工程师,大多是安全比运维和开发的工资高,但CTO大多来自运维和开发,鲜有从安全晋升来的。原因不难理解,安全在不少场合都不是必需品。好或者不好因人而异,事实上身边还是有很多安全技能很高的人表示如果再给一次选择的机会,可能不会选择安全,这其中包括你们耳熟能详的大牛们。有一个方法可以自测一下,如果你内心深处都没有偶尔想入侵一下,黑一下,一探安全究竟的时候,我建议你还是考虑其他安全以外的行业,你在这个行业能发力的可能性不大。

从从业者的构成看,我认为可以分为黑客圈,安全圈和安全圈的外围。黑客圈无论你喜欢叫他白帽子还是什么总之就是以攻防技能为主线并以此出卖自己知识的人,安全圈跟黑客圈交集很大,也包括那些在安全行业的主要力量但却不是白帽子或黑帽子出身的人,这两者构成了安全行业的核心,即本质上安全行业是由理解网络攻防的人为核心构成的,外围是什么呢,随着安全需求的多样化,安全会引入大量跟攻防不直接相关的人,比如做业务安全数据分析,运维hadoop集群或做BI的开发,或者做安全产品开发,这些人本质上不是跟安全行业强绑定的,例如有的人做安全产品的UI开发,换做去其他行业也一样做UI,做业务安全数据分析的去非安全的业务部门一样做数据分析,不是严格意义上安全行业的人。只有以攻防为主线,和以安全咨询体系为主线的人才是跟安全行业绑定的,这些人需要考虑终生投产比和基因决定理论的影响,其他的外围看官们理论上跨行业更容易些。在当前时间点看,安全圈是一个很小的圈子,不是远小于,是远远小于运维和开发圈,江湖味道更浓,有时候也颇具文人相轻的味道,不过好的一面是互联网公司之间安全团队的交流越来越平,除了直接敌对公司外,大部分人都朝着更加开放的互联网沟通和分享文化迈进。说了这么多,如果你想进入安全行业,并且成为中流砥柱,那么知识结构和背景技能应该和攻防技术强相关,这条线不保证你容易成为高管,但从统计学角度能保证你不偏离行业的核心。

插几句谈一下安全管理的趋势,因为这个会影响从业者的价值观和学习方向。我个人认为的几个趋势:

1.企业安全管理最终都会向互联网公司学习–未来大多数公司都会复制自己业务到互联网,也就是大多数企业都会拥有互联网的属性。从现在看,互联网公司的安全管理方法论是领先传统公司整整一个时代的,完全不在一个量级上。你还在做传统的安全吗?夸张一点说你就快不属于这个行业了

2.向云迁移–云是一种趋势,虽然我不认为短期内马上会有非常多的公司将自己的业务迁移到公有云上,或者从头打造私有云。但是云计算折射出的IT管理方式,技术架构却会越来越成为安全管理的风向标,例如分布式IDC管理,虚拟化,SDN,海量运维生态,业务伸缩,大数据,高度自动化,敏捷发布……等很多带着时代标签的东西,安全管理体系的设计和产品化落地需要越来越多的围绕这些特性标签展开工作,如果你没有这方面的经验,也会逐渐out

3.倾向于以技术和产品(工具自动化)解决问题,而不再是以前宣扬的七分管理三分技术。看近些年的IT技术发展,本质上由Google、Facebook为代表的这些互联网公司带动,除了技术架构,像运维管理、研发生命周期管理、安全管理都在成为其他公司的教科书,安全的最高境界是让你身处于保护之中而不感觉那些繁琐措施和流程的存在,以技术、自动化、机器学习、人工智能为导向解决问题的价值观已超越流程制度的落后方式,也是过去那些理论标准越来越显得发虚的原因。

从这些趋势看,如果你是体系架构型,技术复合型(俗称全栈工程师),特定技术方向专攻型以后会受市场青睐,而“务虚型“的市场价值可能不太乐观。随着2000年后安氏把基于资产威胁脆弱性风险评估方法论带入中国,精通各类安全标准的顾问身价一度比会安全技术的工程师高,但现在这些东西包括IT治理的理论已经远不如以前风光,你说你会ISO27001,随便找个聪明点的刚毕业的本科生,做一年也就会了。但如果你说”我有10万台服务器的安全管理经验“,对方可能会表示”小伙子,来我们这上班吧!“。让会攻防的人学习ISO27001、20000之类的东西,跟让务虚型学习技术,前者的成功率会比较高,而后者的成功率会很低,这就是可替代性。很多同学看到这些也许会觉得哀怨,甚至咨询圈的老人会列举一大堆”价值“和”空间“,是的我相信Accenture、Thoughtworks他们有很多我没提到的前景,我说这些并非因为我呆过360,出身绿盟,我也不是唯技术论者,就像浪潮之巅所说的,这些都是时代的趋势,不是以个人意志为转移的,哪怕是公司想拒绝他都如同螳臂挡车。为什么在互联网公司技术专家的报酬可以比管理人员高,取决于你解决问题所对应的价值层次,实际上也是时代演进的产物,也许现在更缺能解决实际问题的人。从就业的角度讲,这种趋势为技术从业者提供了更广阔的前景和空间。

对于乙方,比较有价值的地方是研究部门、安全服务、攻防强相关产品研发。对于甲方,除了大互联网(门户、搜索、广告、电商、网游、社交、支付、移动APP……)、金融、电信行业之外,其他就目前来讲可能不是甲方安全从业的好的选择,毕竟形式上重视安全和本质上重视安全还是两回事。现实生活中的人员分布也可以佐证这一点,国内比较懂安全的人绝大部分都在互联网公司,第一梯队3BAT、第二梯队BAT之外的知名互联网公司(有些兄弟单拉出来绝不比BAT的差,这里主要是笼统的比较),第三梯队可能在金融和电信业有一些,再剩下来可能没有太懂安全的人了,因为懂安全的早就被上述挖光了……(当然,如果看官您恰巧是某个大牛,又恰好很例外不在上述行业中请勿生气,我会尽可能在该文的下一修订版本中注明”xxx是个例外,目前在yyy就职”)。甲方安全建设的多样性也使得分工越来越细:网络与基础架构安全,业务与应用安全,风控……,例如SRC运营就是一个相当垂直的细分职能,尽管在互联网公司做安全你可能会有优越感,但如果长时间做很细的一块儿也可能导致没有成为领域专家却“偏科”的很厉害。T字形人才通常比较受欢迎,最好是甲方乙方都呆过,那样所有的套路你都会了,无死角。

价值一方面跟人才市场的供求关系有关,一方面也跟学习成本高低、获取技能的难易度有关,例如你会一种web开发语言,javascript,http协议,常用的SQL DML语句就能开始玩web安全了,但如果你想玩溢出,相比之下还是需要花更多的时间学习更多东西才能越过这个门槛,而读懂ISO27001则容易的多(这里无意于表达web和二进制谁更牛叉谁更值钱这样的无聊问题,只是举个抽象的例子),如果你觉得因为钱多而把自己的目标设定为要走袁哥的路,而忽视了自己的兴趣,fail的可能性比较大。另外,技巧永远不能代替技术,过分迷恋于技巧对长足的发展没有好处。

第一代安全从业者的技能基本以OS和网络安全为主,1.5到第二代以广义的web service等应用安全为主,如果一定要说第三代,移动安全可能还算是当下比较热门,关注者比较多,相对前沿的领域,而从VC的角度看移动互联网可能都不再是热点,早已开始布局更下一代的东西了,也许是类似于人工智能这样的领域。PC端和web安全虽然研究者众多,议题众多,方法论很多,大多数行业内的从业者每天围绕这些工作,但这些应该即将归入红海,不再属于前沿的、时代浪潮之上的东西,反过来说一个蓝筹但不再新兴的市场,其对安全的需求还是有一个很高的保有量,所以有很多事情可以长期做但也许之后就不在是什么有新鲜感的东西了。第一代的人起步的时候,那时候IT基础设置和应用复杂度都远不如现在,所以那时候都是把安全建设放在网络和系统层面的,而后来随着IT在社会生活中实用化的程度越来越高,业务越来越多的依赖于IT,I的多样性和T的复杂度成倍提升,使得安全的需求也越来越广,单个从业者的技能不太可能通吃全部,大一点的机构开始把业务安全独立出来,分工越来越细,人研究的内容则越来越专,安全团队中开始加入开发和运维,甚至还涉及到硬件领域,也许以后的安全团队就是一个什么人都有的兵器库。对个人来说一方面你到底需要多前沿的铺垫才能不out,另一方面则要考虑将自身定位收缩于哪些点才可能挖到最深,视野一定是尽可能的宽泛,是一个“放”字,但落到实践一定是个“收”字,以如今的技术复杂度你不可能样样都精通,只能挑几个。

对于从业者的前景,其实在过去相当长的时间里,由于乙方公司的净利润很低以及甲方安全不是产生收入的部门,所以从业者的前景一度比较暗淡,直到后来有了360这样的公司,有了BAT的崛起,才使得技术从业者的待遇得到了极大的改善。斯诺登曝光之后,国家层面开始重视信息安全,以华为这样的企业建立安全能力中心为代表,今年安全人才需求开始井喷,供求比大幅失衡,国内资深从业者的工资已经赶超了美国的工程师,在当下看是一片利好,但有时候也说不清这到底是价值回归还是有点泡沫成分,没人能说得准,但短期内一定是人才供不应求,但是不是长期供不应求也很难说,因为现在越来越多的高校也开始培养安全方向的人,供给量会变大,安全会从小众变成大众学科,当然,无论什么时候这个行业的精英一定是跟兴趣和天赋挂钩的,有时候确实需要一点“歪门邪道”的天赋。

关于创业,如果你原先是做安全产品研发,能带一支完整的团队出来,做的产品属于下一代类型或者干脆就是市场空白,不妨尝试一下,其他的类型我认为创业的成功率应该比较低。

最后,如果你有条件的话,多接触技术大牛和视野型的资深从业者,适当关注一下安全以外的新技术趋势。通篇下来可能会有聪明的同学提问说的这些是不是可以概括为最优解应该是去互联网公司做安全?其实不然,甲方乙方,身处不同的阶段有不同的需求,没有哪里一定最好之说,哪怕是3BAT对有些人来说也是瓶颈之地,所以还是看具体场景。

关于作者

赵彦,ID:ayazero,weibo.com/ayaz3ro

前奇虎360企业安全技术总监、久游网安全总监、绿盟科技资深安全专家、聚位网络CTO

任何问题可以Mailto:ayaz3ro#qq.com

原文链接:
更多参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/3024.html

《[collect]信息安全行业从业指南2.0》上有43条评论


  1. 自动化资产发现和管理是确保操作连续性、可靠性和安全性的第一步。缺了这一步,就不可能知道存在哪些设备,在什么时候设备做了哪些变更,以及怎样将设备重置回“已知安全”状态。规划维护项目、部署防御机制和进行有效事件响应与缓解工作,同样需要自动化资产发现的有力支持。

    资产管理在工控网络中的角色定位
    http://www.aqniu.com/learn/22032.html

  2. 各种安全相关思维导图整理收集
    https://www.leavesongs.com/
    https://github.com/phith0n/Mind-Map
    http://www.srxh1314.com/mind-map.html

    运维安全
    渗透的艺术
    渗透测试
    浏览器安全思维导图
    情报收集脑图
    密码找回逻辑漏洞
    安全运维脑图
    企业安全防御思维导图
    代码审计的溢出脑图
    业务安全top10
    xss virus 1.0
    XSS脑图
    XSS2
    XML安全汇总
    Web应用安全
    SSRF脑图
    SQLmap脑图
    PHP代码审计脑图
    Nmap 思维导图
    Linux Security Coaching
    入门二进制漏洞分析脑图
    nmap渗透测试指南
    Meterpreter Cheat Sheet
    JavaWeb应用安全
    金融安全脑图
    GIT学习脑图
    入侵感知体系
    Python代码审计脑图
    WIKI渗透测试流程图
    互联网企业安全建设

  3. Starting in InfoSec – 101
    http://blog.mazinahmed.net/2017/08/starting-in-infosec-101.html

    1- Start on the base of programming (开始基础的编程学习)
    2- Have a good knowledge in Linux/Unix (对Linux/Unix有一定了解)
    3- Understand networking basics (理解网络基础相关知识)
    4- Basic knowledge of System Administration (具备系统管理员的基础知识)
    5- Learning common web-application security vulnerabilities (学习常见的Web应用安全漏洞的知识)
    6- Practice, Practice, and Practice (实践、实践、实践)
    7- English is world’s language of communication. Learn it to learn to read resources. (学会用英语进行沟通、交流、阅读资料)
    8- Read, Read, and Read (不断阅读)
    9- There is no Bullet-Proof Resource or Advise that will make you a good hacker (在成为一名优秀黑客的道路上没有银弹)
    10- Practice in CTFs and Bug Bounty Programs (在CTF和Bug赏金计划中进行实践)

  4. 爱奇艺业务安全风控体系的建设实践
    https://mp.weixin.qq.com/s/2gcNY0LmgxpYT1K6uDaWtg

    以下总结了各种业务会遇到的风险:
    01.会员:撞库盗号,账号分享,批量注册
    02.视频:盗播盗看,广告屏蔽,刷量作弊
    03.活动:薅羊毛
    04.直播:挂站人气,恶意图文
    05.电商:恶意下单,订单欺诈
    06.支付:盗号盗卡,洗钱,恶意下单,恶意提现
    07.其他:钓鱼邮件,恶意爆破,短信轰炸

  5. 搭建风控系统道路上踩过的坑(1)- 信息采集
    https://www.secpulse.com/archives/65859.html
    搭建风控系统道路上踩过的坑(2)-风险分析
    https://www.secpulse.com/archives/65901.html
    搭建风控系统道路上踩过的坑(3)-阻断风险
    https://www.secpulse.com/archives/65916.html

    业务风控主要做四件事:
    1、拿到足够多的数据
    2、做足够灵活的分析平台去分析数据
    3、产出风险事件进行阻拦风险
    4、量化风险拦截的价值和不断分析案例进行策略优化

  6. 行业风口上的安全人员职业规划
    https://mp.weixin.qq.com/s/icRTSbxjT-1Jf216u6F_pg

    形势1:大公司分工越来越细,除了安全负责人以外不需要面面俱到,而是需要在某个领域深挖的人,市场上的高P职位除了安全负责人自己是外行需要一个内行做贴身顾问外,绝大多数职位都是细分领域专家,要求你什么都懂的基本都是安全负责人职位,当然你也可以从这里倒推招聘者是安全专家,还是资源分配者,还是一个彻彻底底的外行。
    形势2:什么都懂一点的人会是中小企业的需求。

    大厂的模式也不是十全十美的,这种模式下往往会培养出拧螺丝钉的人,譬如某厂的安全人员的特点是除了自己负责的领域外基本什么都不懂,想培养成为Leader都很吃力。以前还有过一出喜剧:某大厂领导看到某厂人员在安全大会演讲,以为是个高P,欲挖角,结果简历拿回来一看居然只是个低级别的工程师,遂罢。其实这跟某厂的培养模式是相关的,只培养极细分领域,由于某些领域不太被关注,所以深挖很容易博得眼球,但是毕竟价值有限,所以也不会给高职级和高待遇。

    应聘者需要做的只是厚积薄发,迎合市场需求。

  7. 不是吐槽!阿里安全资深专家杭特辣评国内安全圈6大“怪现状”
    https://mp.weixin.qq.com/s/eayCCAnfBW8LNEhDn5A0nw

    重视“攻”, 轻视“防”
    重视“攻防”, 轻视“数据”
    重视“单点、破坏”, 轻视“体系、建设”
    重视“技术”, 轻视“业务”
    重视“反向能力”, 轻视“正向能力”
    重视“人肉”, 轻视“自动化”

    总结
    网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。

  8. 这两年经常有人问类似“做安全研究挖不到漏洞怎么办”这样的问题,这里统一答复一下。
    https://m.weibo.cn/status/4226250534965659

    早年没有信息安全专业,搞漏洞研究的全都是因为爱好这个,自己主动来搞的。不适合干这个,搞不出来的,自然也就还干本行去了。所以早年没有人抱怨为什么研究不出东西。

    现在信息安全专业开设的越来越多,有些同学看别人搞漏洞研究,自己也想搞。搞不出来,就四处找人问为什么自己搞不出来,怎么才能搞出来。

    首先,必须要先泼一瓢冷水:由于性格、能力等多方面原因,无论是不是学信息安全专业的,世界上大部分人都不适合做漏洞研究,就像大部分人都不适合做职业运动员一样。

    你们琢磨一下漏洞是什么?漏洞是程序员犯的错误。那些著名大公司软件的漏洞是什么?是一些面试好多轮才能入职的名校毕业的程序员犯的错误。而且这些公司里还有很多面试好多轮才能入职的名校毕业的人在做安全。他们都没查出来,才能留下来让你去发现。

    我曾给微软中国的 QA 做过培训,和他们连续接触了数天。这些人体现出来的平均水平肯定在国内安全行业(不特指漏洞研究)之上,其中有几个还相当出色。

    所以,挖不到漏洞是正常的,挖到才不正常。信息安全工作有很多方向,学信息安全,不一定非要都做漏洞研究。

    ==
    对研究对象的整体架构和实现细节充分理解后,挖洞才是水到渠成的事情。如果在不理解实现细节一开始就奔着漏洞去,最后都会碰壁而产生挫败感。个人认为研究清楚软件的整体架构和实现细节远比挖几个洞有成就感,对个人的技能提升也更有帮助,漏洞应该是软件实现架构有充分理解后的副产品。

  9. 安全圈乱象杂谈
    http://riusksk.me/2018/04/30/%E5%AE%89%E5%85%A8%E5%9C%88%E4%B9%B1%E8%B1%A1%E6%9D%82%E8%B0%88/

    玩名词概念
    会议式社交
    炒作营销
    快餐式的付费知识

    对于技术而言,那都是常年积累的过程,非一两小时言语所有传授;
    对于知识而言,个人思考所得的才叫知识,而非单纯地从别人口中得到;
    对于学习而言,学以致用才是目的,而非纯理论学习。

    我不反对知识付费,但是系统性学习比碎片化学习更重要!
    我不反对碎片化学习,但别妄想能靠它实现知识速成!

  10. 重要、危险、现实,安全如何缔造价值
    https://www.sec-un.org/%E9%87%8D%E8%A6%81%E3%80%81%E5%8D%B1%E9%99%A9%E3%80%81%E7%8E%B0%E5%AE%9E%EF%BC%8C%E5%AE%89%E5%85%A8%E5%A6%82%E4%BD%95%E7%BC%94%E9%80%A0%E4%BB%B7%E5%80%BC/

    Gartner分析师们以一向擅长的分析模型,展开了这次讨论,企业安全问题需求被划分成了三个大类:
    什么是重要的?
    什么是危险的?
    什么是真实的?

    与需求相对应的,是解决问题的语境,又被拆分成三大类:
    创造价值
    应急事件
    技术转型

    由此,形成了以下3×3的待填空表格:对于安全赋能的过程来说,待办事项是什么?

    安全人员常自嘲“背锅侠”角色,工作做的好看不出,出问题立刻被发现。因此,做好安全工作,绝对不仅仅是技术牛优先,不仅是能挖掘漏洞、修复漏洞、了解技术架构是否扎实、代码是否存在问题……更多的,应该要关心“粮食和蔬菜”,如何和业务、运营部门打交道,以更优化的沟通技巧,求同存异,以业务驱动危险,为企业创造价值为先,大到思考安全策略的制定,小到一个账户创建流程的优化,这才是企业做好安全的前提。

  11. 浅谈互联网安全从业者的自我保护
    https://mp.weixin.qq.com/s/r1aM_fKXiumDrcm1rt5Bsw

    试问:每个人工作和生活过程中接触安全行业相关联的东西是否合法合规?安全从业者如何保护自己?是否真正实现了自我安全?回顾到这些年安全领域发生的大大小小的各类事件,想必大家已经见怪不怪了,但是为什么还会持续有类似的问题出现?核心的问题是什么?很少看到有人公开讨论这个话题,希望本文的一些思考能对信息安全从业者给出一些参考的建议。

    没有网络安全就没有国家安全,安全人才的价值体现更应该在合理、合法,满足法律合规的情况下进行的。

    1、没有授权的前提下,不要触碰各类网站(包含企业网站),特别是国家事务、国防建设、尖端科学,政府相关网站,不要触碰ZF与国家背景企业的网站。
    2、不要在不明确业务边界和责任边界的前提下,突破原有的系统权限和数据权限。
    3、不要持有公民信息,不要搭建社工库,云盘、电脑、手机不要存储公民信息数据。
    4、项目授权范围内做的相关工作,获取到的项目文件、商业文件、公民数据、“shell”等结果及时删除和清除。
    5、写技术文章的过程中,不要过于披露涉及漏洞与通用型问题细节,不要提供工具!!文章内容该模糊化的地方,要做二次处理避免被二次利用。
    6、不要做漏洞、数据交易,不要在不了解对方背景情况下给“犯罪分子”提供技术思路。
    7、多学习法律、不要过度炫技,低调求发展。

  12. 从杀软之殇谈产品
    https://mp.weixin.qq.com/s/nNTWukfJTfRo9lrCeWI1xg

    凡是面向系统的产品,自系统厂商打算自己做时,就没你啥事了,无论是现今的PC,还是未来的移动端,均是如此。
    凡是面向业务的产品,自业务打算自己做时,就没你啥事了。
    面向人的产品,产品要解决的需求形态可能长期存在,但产品终会被更高效、更低成本的产品替代。

    安全人员的生存之道——居安思危!!!

    聚焦自己的核心能力,不做/少做没有强技术壁垒的工作/任务。

  13. 安全学术研究者群体分析
    https://mp.weixin.qq.com/s/TkFFORXP3H7IubOfyTrRDQ

    安全领域中牛人都刷顶会,而统计近年来在四大顶会(CCS/S&P/Usenix Sec./NDSS)中论文作者和所属机构可以说是评价“一流专业”最直接的量化指标,毕竟在全球安全研究人员的眼里,顶会的质量和论文水平都得到了一致认可,国内外很多研究者都在统计和分析这个数字和分布,其中有两个较好的统计网站:

    http://csrankings.org/#/index?sec&world
    http://s3.eurecom.fr/~balzarot/notes/top4_2018/graphs.html

    关于为什么分享这两个网站,主要有如下几方面原因:
    如何找到一位好导师(本科生找导师)?好团队?
    研究最新的研究热点、高质量论文;
    寻找同研究方向的大牛;

  14. 安全招聘
    https://feei.cn/security-recruit

    1 安全招聘现状
    1.1 薪酬最高
    1.2 良莠不齐
    1.3 圈子文化
    2 安全从业人员的必要素质
    2.1 攻防渗透和软件开发
    2.2 兴趣驱动
    2.3 适应能力
    3 安全面试和笔试
    3.1 面试流程
    3.2 面试题目
    3.3 笔试题目
    4 招聘渠道
    4.1 公司内部推荐
    4.2 安全行业招聘网站
    5 好的简历
    一切的前提是有真才实干。
    整体要简洁明了,逻辑结构清晰。要能体现出知识、技能、经历、天赋、人脉。

  15. 大型公司安全技术岗位面试杂谈
    https://mp.weixin.qq.com/s/3PLHMxcgGwdaOjj6Y_s00A

    为啥要写这篇文章
    去年和今年过了几个大厂 offer,感觉面试还是非常有规律可循的。其次我有幸在现在公司担任的几次面试官,我发现很多候选人在写简历和面试的时候不知道面试官想考察啥。所以写一片文章说说自己的看法。

    大厂安全技术岗位的结构化面试思路
    1、简历初筛:
    2、面试流程:

    1、高效淘汰多余候选人的方法(出现在 1 轮面试居多):
    2、做过的项目细节(可能出现在 1 轮,也可能出现在 2 轮)
    3、挑战性问题的处理思路(一般出现在 2-3 轮面试中):
    4、行业深度认知和个人规划(一般会出现在部门经理面或者总监面)
    5、职业稳定性,基本信息确认(一般会出现在 HR 面):

    一、非双非背景(985、211)的同学的解决方案:
    核心解决问题的方法论:
    1、在原有工作中优秀脱颖而出,尽可能的快速学习,把每份工作做到工作要求的百分之 150%。
    2、积累人脉,提升认知差距,大厂是怎么做的,我的技术方案放在海量环境中会有怎样的问题,怎么解决。
    3、选择知名度最高的公司接受自己,尽可能冲淡学历和背景带给自己的不利优势,同时在能选择内推的条件下不要去投简历,否则极有可能挂在简历初筛。

    二、进不了顶级互联网大厂的理想部门怎么办?
    提升软硬实力而非工资本身。
    1、硬实力包括:技术深度、技术选型,开发能力等书本和技术上能学到的知识,多跟大厂在职人员沟通多参加行业峰会,修正自己的技能树。
    2、提升软实力:认知能力,总结能力,沟通能力。

发表评论

电子邮件地址不会被公开。 必填项已用*标注