招聘

2019-05-30

大家好,我是 myh0st,大家对我可能不太熟悉,我算一个纯科班出身的安全从业者,从大二起接触安全到现在也有七八个年头了,最开始做的工作是渗透测试,其中包含了最常见的 web 安全,工作之后接触了很长时间的内网安全相关技术,随后给自己定了一个目标就是要到一个甲方从事安全建设方面的工作,从一个攻击者转变为一个防御者。

很多人以为信安之路是一个公司,其实我们只是互联网上一群志同道合对技术有狂热的追求,喜欢学习、交流和分享的一群人,我算是信安之路的创始人也是目前信安之路的小编,这些只是业余生活中的一部分,我目前的主业是在拉勾网做安全建设,算是拉勾的安全负责人,到目前为止,我在拉勾刚满一周年。

回想一年前我刚进拉勾的时候,我还是一个完全没有甲方工作经验的人,当时我所在的安全组是属于运维中心下的一个小组,进入拉勾之后,可以说是从零开始做安全,由于当时组织架构刚做调整,之前的安全人员基本都走了,当然安全建设的资料也可以说几乎没有,在当时是非常有挑战的工作,过去的一整年我一直处于不断学习,不断实践的过程,白天在公司上班干活,下了班回家补充安全知识,思考去了公司做什么,怎么做,经常失眠,压力虽大,但是收获颇丰,过去一年是我工作以来成长最快的一年。

在拉勾工作了三个月转正的时候,我写了一篇总结 《原创 我在拉勾三个月的工作总结》,现在看当时的我着实挺弱,对于甲方的整个安全没有一个整体的把控,不清楚当时公司面临的最大威胁是什么,事情没有一个紧急程度排序和一个整体的安全规划,眼里可能只有渗透测试、内网安全这些与之前工作紧密相关的事情。后来接管了公司的反爬虫项目之后,发现业务上还是有很多事情可以做,拉勾面临的爬虫威胁是如此之大,业务安全对于甲方而言是可以直接影响业务的,也是需要重点关注的。

我们经常在网上看一些一个人的安全部建设经验,大家的做事风格几乎都是在构建一些系统,将一些安全日志收集起来进行分析,但是这些事情对于公司的整体安全又有多大的帮助呢?公司所面临的安全痛点是什么?很多时候,安全在甲方的地位略低,比如在运维下面,那么我们做安全的能看到的大多数是运维安全方面的问题,公司层面面临的风险很多时候是看不到的,没人提出来,领导层也不会重视,只有业务上出现安全问题导致严重损失的时候,领导可能才意识到安全的重要性。所以安全团队在甲方的地位决定了安全能发挥的作用,这也是我为什么要将安全从运维中心独立出来的原因。

我有很长一段时间都在思考安全的价值,因为在我们不熟了一堆开源安全系统之后,没有发现任何的威胁报警,那么我们可能会认为安全好像没啥用,又没人来攻击你,领导也看不到你搞这些有啥用,自己也会怀疑是不是真的没用。其实每一个公司都会面临很多的安全威胁,你没有发现威胁说明你对公司的整体安全还不是很了解,比如:拉勾的运维在权限隔离、资产集中管控、自动化运维,边界严格管控、公网端口监控、变更管理方面都做的很好,从而在运维方面的安全问题很少,就算黑客进入内网也很难切入生产网威胁用户数据,直接从边界突破进入生产网也几乎不可能,因为没有多余的端口存在,除非你有 0day,我在的这段时间找的应用安全问题无非一些越权、xss 这样的问题。在办公网安全方面,重要的是办公网的接入方式,IT 的小伙伴也很给力,虽然没有做到使用动态口令进行认证,目前使用账户和随机密码的方式,已经足以应对那些简单的 wifi 破解的攻击,安全很多时候做的好不好其实是跟公司的基础建设有很大关系的,安全无法脱离其他部门而独立解决问题,大部分的情况都是需要与其他部门协作,提出问题,由兄弟部门进行整改。

作为安全负责人,安全技能只是一部分,一个人能干的事情很少,建设安全团队也是非常重要的能力,在过去的一年我一直沉浸在技术的海洋,对于这一块花的时间很少,以至于到现在还是一个人孤军奋战,有很大一部分原因是自己都没有想明白要招什么样的人,我一直都在思考这个问题,由于名额有限,想的比较多,一直没有做好准备,为小伙伴负责,担心让信任我的小伙伴失望,经过一年的洗礼以及不断成长,我现在已经做好准备,我会尽我所能帮助小伙伴成长,对得起大家的信任,开启招人通道,希望可以找到志同道合的人一起共事,那么我们需要什么样的同事呢?

1、在安全技术方面突出,可以秒杀我,或者在开发方面能力突出,秒杀我(我是搞渗透出身,大学学了很多开发方面的知识,毕业后以使用 python 写自动化脚本为主,没有写过平台,所以在开发方面秒杀我还是很容易的)

2、热爱安全技术,有自己的职业目标和规划并为之努力学习相关知识(比如未来想成为安全方面的架构师或者安全负责人)

3、写过爬虫,对于市面上的爬虫技术有深入的研究,有反爬虫经验最好

4、大学是计算机相关专业(虽然你目前安全技能或者开发技能不是很突出,但是有基础,肯下功夫,我愿意给你时间帮你成长)

5、自己开发过任意平台(比如使用 Django 开发过 xx 管理系统包括 前端、后端、数据库 等开源项目)

6、熟悉 elk 架构,有基于 elk 做数据分析的能力(比如:kibana 的可视化、基于 es 的聚合查询等)

7、对安全建设有自己的理解,喜欢做创新有挑战的事情,有强大的自驱能力

以上的要求是我理想中的同事,你可能只满足其中的一条或者若干条,我都希望你可以尝试与我联系,交流过后,即使不能成为同事,我相信,经过交流之后,我们都会有所成长,三人行必有我师,这是我的态度。

我也想成为一个优秀的安全负责人,不只是技术上的提升,更多的是视野上的提升,比如:管理书籍,理解领导理解下属;产品运营,理解公司业务和发展;安全书籍,自己的优势专业不能忘,图中安全技术相关的书籍好像不多,我对于安全技术的学习途径目前很少通过书籍来获取来,我收集了非常多的安全会议的 PPT ,每一位分享者的 PPT 中都包含了作者的思考和总结,大部分都是实际经验的展示,所以相比书籍我更喜欢看大佬们分享的 PPT。

如果你是一个有追求的人,也想成为一个优秀的安全架构师或者安全负责人,拉勾是一个非常好的学习和练习平台,当然我的资料也都可以与你共享,共同学习和交流安全方面的技术,而且这里有很多优秀的小伙伴,与优秀的人一起工作,我们会变得越来越优秀。

最后,如果你正在思考要不要换工作,请不要犹豫,请把简历发送到:myh0st#foxmail.com或者添加微信 myh0st直接与我沟通,拉勾安全中心欢迎你,我在拉勾等你。

工作地点:北京 拉勾网络技术有限公司

楼主残忍的关闭了评论