🎉 黑五感恩回馈!VIP、蓝莓大促销,抢购开始!🦃 点击查看详情
查看: 17942|回复: 84
收起左侧

趁着cybersecurity awareness month聊聊信息安全行业

    |只看干货
sadaharuw | 显示全部楼层 |阅读模式
本楼: 👍   100% (19)
 
 
0% (0)   👎
全局: 👍   100% (52)
 
 
0% (0)    👎

注册一亩三分地论坛,查看更多干货!

您需要 登录 才可以下载或查看附件。没有帐号?注册账号

x
地里谈信息安全的帖子好像不是很多,来开个帖子跟大家交流一下
楼主背景 - 本科研究生都是information security,毕业就开始做security engineer,5年多从业经验,目前在送菜的胡萝卜家搬砖。
帖子里讲的都是楼主自己有限经验,不同意见大家友好交流。下面是几个楼主经常被问到的问题 -

Q - Security engineer到底是干啥的?
A - 安全下面有很多不同的方向,每个方向的侧重点不一样,一般来说分下面几个大类

  • Incident Response - 有点像和security相关的on-call。比如说公司系统出了异常,可能跟security有关系,就要做investigation。 前阵子chowbus那个账号泄漏就算是incident response的范围(不是很清楚chowbus有没有security team)做incident response的话有时候压力会比较大,毕竟可能会是又紧急又严重的问题,有时候会牵涉到Legal/HR/PR。Incident Response里面一般有两种position,analyst & engineer。Analyst 就是主要做investigation,engineer的话没有incident的时候会做关于detection & response的项目。

  • Application Security - 主要focus是代码里面vulnerability, 有兴趣的可以看看OWASP top 10。

  • Offensive Security - 简单的说就是我黑我自己。有个direction是penetration testing,就是黑自己公司的application,有的是分在offensive security里有的是分在applocation security里。

  • Security Engineering - 有的大公司自己内部会develop一些security solution或者feature。一般来说这些engineer会花比较多的时间写代码。

  • Infrastructure Security - 主要focus是公司自己的server/database 之类的,现在用cloud service的也比较多,比如说AWS,GCP。保护自己的AWS,GCP

  • IT Security - 主要是公司laptop的安全啦,员工账号安全啦

  • Compliance - 有很多security & privacy 相关的法律,比如说GDPR,***A,HIPPA,有的公司会专门有compliance team来弄这些。

  • Security Awareness - 包括security training,engagement,communication。有的会给自己员工发钓鱼邮件。 每年10月是National Cybersecurity Awareness Month, 很多公司会趁着这个机会搞活动。


大公司分的就更细一点,可能一个产品就有一个security team。楼主目前做过的方向有security engineering, incident response 和security awareness。
另外也有independent researcher,专门做bug bounty的,找安全漏洞拿赏金,很多公司都有bug bounty program。

Q - 一个公司security team有多少个人?
A - 看公司size,从几个人到几百个人不等。楼主自己喜欢人少的,因为干得活的种类就比较多,好玩。

Q - 听说安全要考证书,到底有没有用?
A - 楼主手里大概有四五个证书,包括CISSP。一般来说证书都是加分项,但是很少有职位说必须有哪个哪个证书的

Q - 我不是学安全的,能不能做安全啊?
A - 当然啦!很多人都是从sys admin,network eng,developer转到security的。楼主认识的还有文学专业HR专业出身的,

Q - 做安全的中国人多不多?
楼主开始上班以来碰到的不是很多,希望地里做安全的小伙伴出来嚎一嗓子,团结就是力量

专门做安全产品的公司情况会不一样,比如说Crowdstrike,Proofpoint,会有专门的research team。

先写这么多,插播个广告,我司security team有好几个opening,有兴趣的小伙伴可以找我内推。别的职位的内推也可以。






评分

参与人数 33大米 +132 收起 理由
yanyanlr + 25
Dustin12138 + 1 赞一个
concessions + 2 给你点个赞!
JinYYY + 2 很有用的信息!
gn00927711 + 2 给你点个赞!
pipichao + 1 赞一个
Jerry_37 + 10
青0515 + 2 给你点个赞!

查看全部评分

kow 2020-10-23 12:15:46 | 显示全部楼层
本楼: 👍   100% (9)
 
 
0% (0)   👎
全局: 👍   94% (505)
 
 
5% (29)    👎
安全从业人员来给楼主点个赞,安全行业的妹子更少了。
来补充一点吧:我司(panw)的security researcher职位,日常负责安全产品的开发和维护,研究工作会涉及漏洞分析和利用、恶意软件的分析和检测,研究一些挖掘漏洞的方法,然后刷刷CVE,发表些文章,投投会议。

做安全的华人挺多的,看看每个月各大厂商的致谢榜就知道了。

补充内容 (2020-10-23 15:33):
借楼插个广告吧,有很强安全背景的同学可以发简历到panrefer#gmail.com,可以帮忙内推我司

补充内容 (2021-08-12 12:52 +8:00):
我的组目前有一个opening,有security background的小伙伴欢迎来投简历

评分

参与人数 2大米 +28 收起 理由
yanyanlr + 25
rkevin2014 + 3 很有用的信息!

查看全部评分

回复

使用道具 举报

MrDoggie 2020-10-26 03:21:57 来自APP | 显示全部楼层
本楼: 👍   100% (4)
 
 
0% (0)   👎
全局: 👍   100% (52)
 
 
0% (0)    👎
在二线大厂干了两年的security engineer飘过。给楼主的总结点个赞,非常准确到位。作为security engineer,平时的工作还是以design和coding为主。组里做的项目特别多,os,network,application security都在做。相比其他岗,job security的感觉真是非常强哈哈哈哈。最近全公司hire freeze了,只有security org在招人。这个方向的人才确实不多,我们二线公司更是难招。这个方向需要cs的底子特别牢,networking,os,security得吃的透透的。所以招人就会遇到,满足条件的大佬看不上我们公司,其他一些candidate基础薄弱,我们怕它handle不来。害。

评分

参与人数 2大米 +5 收起 理由
yoci畅 + 2 欢迎分享你知道的情况,会给更多积分奖励!
rkevin2014 + 3 很有用的信息!

查看全部评分

回复

使用道具 举报

skz1996 2020-10-26 16:38:33 | 显示全部楼层
本楼: 👍   100% (3)
 
 
0% (0)   👎
全局: 👍   90% (268)
 
 
9% (29)    👎
顶一下楼主, I'm a security engineer @ Uber ^. ^
安全行业可是算是CS业界的hidden gem了, 特别是最近几年的崛起.
因为不好招人算是个niche position,所以pay可以比普通Software Engineer还高.
Job Security也超好,安全组一般都是最后被裁的.
回复

使用道具 举报

lwx40115 2020-10-23 11:34:50 来自APP | 显示全部楼层
本楼: 👍   100% (1)
 
 
0% (0)   👎
全局: 👍   100% (37)
 
 
0% (0)    👎
多谢楼主分享,我是new grad,毕业要return回公司做security infra,实习的时候了解到组里会开发一些安全相关的service和tool。我自己之前一直是做后端的,本来也计划在后端这块一直做下去,人生第一份工作要做安全完全是命运的安排… 请问下楼主安全这块前景怎么样啊?如果工作一两年想在转回后端的话 之前的经验会打折吗?
回复

使用道具 举报

xzd1996 2020-10-23 11:45:24 来自APP | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   96% (394)
 
 
3% (13)    👎
赞一个...请问楼主可推new grad么?暑假在亚麻实习 项目data depersonalization/compliance相关的....也算是沾了一点security的边~
回复

使用道具 举报

MikePrince 2020-10-23 12:55:55 来自APP | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   100% (13)
 
 
0% (0)    👎
求问楼主信息安全专业现在算是敏感专业嘛?签证会有被拒的风险嘛?
回复

使用道具 举报

GY-叽歪 2020-10-23 13:01:24 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   100% (28)
 
 
0% (0)    👎
楼主,求内推
回复

使用道具 举报

barkonstone 2020-10-23 13:01:54 来自APP | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   96% (2373)
 
 
3% (86)    👎
本帖最后由 barkonstone 于 2020-10-23 13:03 编辑

请问楼主对fuzz testing有了解吗 最近公司在做这方面探索,我负责研究这块
回复

使用道具 举报

GY-叽歪 2020-10-23 13:03:15 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   100% (28)
 
 
0% (0)    👎
楼主说的很对, 我在国内也做了好几年安全,国内现在安全重视程度越来越高了
回复

使用道具 举报

 楼主| sadaharuw 2020-10-23 13:15:33 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   100% (52)
 
 
0% (0)    👎
kow 发表于 2020-10-23 12:15
安全从业人员来给楼主点个赞,安全行业的妹子更少了。
来补充一点吧:我司(panw)的security researcher ...

赞赞赞!感谢补充!我没在专门做安全的公司工作过,我司应该算是甲方?掏钱买安全产品的。

评分

参与人数 2大米 +27 收起 理由
yanyanlr + 25
concessions + 2 给你点个赞!

查看全部评分

回复

使用道具 举报

 楼主| sadaharuw 2020-10-23 13:24:44 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   100% (52)
 
 
0% (0)    👎
MikePrince 发表于 2020-10-23 12:55
求问楼主信息安全专业现在算是敏感专业嘛?签证会有被拒的风险嘛?

应该算是敏感专业吧。我读书和工作前几年的回国签证没有被check过,前年回国的时候被check了六周,但是那阵子好像很多人都被check了,不管什么专业。
不和gov沾边的公司应该还行,像波音这种比较sensitive的就只招citizen,湾区这些公司应该还好,H1B也是照样招的

评分

参与人数 1大米 +2 收起 理由
concessions + 2 给你点个赞!

查看全部评分

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册账号
隐私提醒:
  • ☑ 禁止发布广告,拉群,贴个人联系方式:找人请去🔗同学同事飞友,拉群请去🔗拉群结伴,广告请去🔗跳蚤市场,和 🔗租房广告|找室友
  • ☑ 论坛内容在发帖 30 分钟内可以编辑,过后则不能删帖。为防止被骚扰甚至人肉,不要公开留微信等联系方式,如有需求请以论坛私信方式发送。
  • ☑ 干货版块可免费使用 🔗超级匿名:面经(美国面经、中国面经、数科面经、PM面经),抖包袱(美国、中国)和录取汇报、定位选校版
  • ☑ 查阅全站 🔗各种匿名方法

本版积分规则

>
快速回复 返回顶部 返回列表