一亩三分地

 找回密码 注册账号

扫描二维码登录本站

微信公众号
扫码关注公众号
留学申请公众号
扫码关注留学申请公众号
查看: 3430|回复: 71
收起左侧

[其他] 趁着cybersecurity awareness month聊聊信息安全行业

    [复制链接] |只看干货 |工作信息, 码农类general, 求职(非面经), instacart
我的人缘0

升级   57.5%


分享帖子到朋友圈
sadaharuw | 显示全部楼层 |阅读模式
本楼: 👍   100% (15)
 
 
0% (0)   👎
全局: 👍   100% (43)
 
 
0% (0)    👎

2019(7-9月)-CS硕士+3-5年 | 内推|BayArea 码农类General全职@Instacart

注册一亩三分地论坛,查看更多干货!

您需要 登录 才可以下载或查看,没有帐号?注册账号

x
地里谈信息安全的帖子好像不是很多,来开个帖子跟大家交流一下
楼主背景 - 本科研究生都是information security,毕业就开始做security engineer,5年多从业经验,目前在送菜的胡萝卜家搬砖。
帖子里讲的都是楼主自己有限经验,不同意见大家友好交流。下面是几个楼主经常被问到的问题 -

Q - Security engineer到底是干啥的?
A - 安全下面有很多不同的方向,每个方向的侧重点不一样,一般来说分下面几个大类

  • Incident Response - 有点像和security相关的on-call。比如说公司系统出了异常,可能跟security有关系,就要做investigation。 前阵子chowbus那个账号泄漏就算是incident response的范围(不是很清楚chowbus有没有security team)做incident response的话有时候压力会比较大,毕竟可能会是又紧急又严重的问题,有时候会牵涉到Legal/HR/PR。Incident Response里面一般有两种position,analyst & engineer。Analyst 就是主要做investigation,engineer的话没有incident的时候会做关于detection & response的项目。

  • Application Security - 主要focus是代码里面vulnerability, 有兴趣的可以看看OWASP top 10。

  • Offensive Security - 简单的说就是我黑我自己。有个direction是penetration testing,就是黑自己公司的application,有的是分在offensive security里有的是分在applocation security里。

  • Security Engineering - 有的大公司自己内部会develop一些security solution或者feature。一般来说这些engineer会花比较多的时间写代码。

  • Infrastructure Security - 主要focus是公司自己的server/database 之类的,现在用cloud service的也比较多,比如说AWS,GCP。保护自己的AWS,GCP

  • IT Security - 主要是公司laptop的安全啦,员工账号安全啦

  • Compliance - 有很多security & privacy 相关的法律,比如说GDPR,***A,HIPPA,有的公司会专门有compliance team来弄这些。

  • Security Awareness - 包括security training,engagement,communication。有的会给自己员工发钓鱼邮件。 每年10月是National Cybersecurity Awareness Month, 很多公司会趁着这个机会搞活动。


大公司分的就更细一点,可能一个产品就有一个security team。楼主目前做过的方向有security engineering, incident response 和security awareness。
另外也有independent researcher,专门做bug bounty的,找安全漏洞拿赏金,很多公司都有bug bounty program。

Q - 一个公司security team有多少个人?
A - 看公司size,从几个人到几百个人不等。楼主自己喜欢人少的,因为干得活的种类就比较多,好玩。

Q - 听说安全要考证书,到底有没有用?
A - 楼主手里大概有四五个证书,包括CISSP。一般来说证书都是加分项,但是很少有职位说必须有哪个哪个证书的

Q - 我不是学安全的,能不能做安全啊?
A - 当然啦!很多人都是从sys admin,network eng,developer转到security的。楼主认识的还有文学专业HR专业出身的,

Q - 做安全的中国人多不多?
楼主开始上班以来碰到的不是很多,希望地里做安全的小伙伴出来嚎一嗓子,团结就是力量

专门做安全产品的公司情况会不一样,比如说Crowdstrike,Proofpoint,会有专门的research team。

先写这么多,插播个广告,我司security team有好几个opening,有兴趣的小伙伴可以找我内推。别的职位的内推也可以。




. From 1point 3acres bbs

评分

参与人数 28大米 +100 收起 理由
pipichao + 1 赞一个
Jerry_37 + 10
青0515 + 2 给你点个赞!
fndu + 1 很有用的信息!
tutuabm + 2 很有用的信息!
mihenry3379 + 1 给你点个赞!
wyang9311 + 3 很有用的信息!
杜对赌对嘟嘟 + 2 信息安全+1
rkevin2014 + 3 很有用的信息!
E0111 + 1 赞一个

查看全部评分


上一篇:Offer 比较 GM vs local startup
下一篇:Offer比较Bloomberg NYC vs Uber Seattle
我的人缘0

升级   89.43%

kow 2020-10-23 12:15:46 | 显示全部楼层
本楼: 👍   100% (9)
 
 
0% (0)   👎
全局: 👍   92% (357)
 
 
7% (29)    👎
安全从业人员来给楼主点个赞,安全行业的妹子更少了。
来补充一点吧:我司(panw)的security researcher职位,日常负责安全产品的开发和维护,研究工作会涉及漏洞分析和利用、恶意软件的分析和检测,研究一些挖掘漏洞的方法,然后刷刷CVE,发表些文章,投投会议。

做安全的华人挺多的,看看每个月各大厂商的致谢榜就知道了。

补充内容 (2020-10-23 15:33):
借楼插个广告吧,有很强安全背景的同学可以发简历到panrefer#gmail.com,可以帮忙内推我司

评分

参与人数 1大米 +3 收起 理由
rkevin2014 + 3 很有用的信息!

查看全部评分

回复

使用道具 举报

我的人缘0

升级   24%

本楼: 👍   100% (3)
 
 
0% (0)   👎
全局: 👍   100% (10)
 
 
0% (0)    👎
在二线大厂干了两年的security engineer飘过。给楼主的总结点个赞,非常准确到位。作为security engineer,平时的工作还是以design和coding为主。组里做的项目特别多,os,network,application security都在做。相比其他岗,job security的感觉真是非常强哈哈哈哈。最近全公司hire freeze了,只有security org在招人。这个方向的人才确实不多,我们二线公司更是难招。这个方向需要cs的底子特别牢,networking,os,security得吃的透透的。所以招人就会遇到,满足条件的大佬看不上我们公司,其他一些candidate基础薄弱,我们怕它handle不来。害。

评分

参与人数 1大米 +3 收起 理由
rkevin2014 + 3 很有用的信息!

查看全部评分

回复

使用道具 举报

我的人缘0

升级   24.45%

本楼: 👍   100% (3)
 
 
0% (0)   👎
全局: 👍   99% (513)
 
 
0% (4)    👎
(只有我一个人关心钱多不多吗?和sde比咋样?)
回复

使用道具 举报

我的人缘0

升级   45.14%

本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   100% (26)
 
 
0% (0)    👎
多谢楼主分享,我是new grad,毕业要return回公司做security infra,实习的时候了解到组里会开发一些安全相关的service和tool。我自己之前一直是做后端的,本来也计划在后端这块一直做下去,人生第一份工作要做安全完全是命运的安排… 请问下楼主安全这块前景怎么样啊?如果工作一两年想在转回后端的话 之前的经验会打折吗?
回复

使用道具 举报

我的人缘0

升级   45.43%

本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   100% (182)
 
 
0% (0)    👎
赞一个...请问楼主可推new grad么?暑假在亚麻实习 项目data depersonalization/compliance相关的....也算是沾了一点security的边~
回复

使用道具 举报

我的人缘0

升级   30%

本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   100% (12)
 
 
0% (0)    👎
求问楼主信息安全专业现在算是敏感专业嘛?签证会有被拒的风险嘛?
回复

使用道具 举报

我的人缘0

升级   51%

GY-叽歪 2020-10-23 13:01:24 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   100% (25)
 
 
0% (0)    👎
楼主,求内推
回复

使用道具 举报

我的人缘0

升级   34.57%

本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   97% (903)
 
 
2% (22)    👎
本帖最后由 barkonstone 于 2020-10-23 13:03 编辑

请问楼主对fuzz testing有了解吗 最近公司在做这方面探索,我负责研究这块
回复

使用道具 举报

我的人缘0

升级   51%

GY-叽歪 2020-10-23 13:03:15 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   100% (25)
 
 
0% (0)    👎
楼主说的很对, 我在国内也做了好几年安全,国内现在安全重视程度越来越高了
回复

使用道具 举报

我的人缘0

升级   57.5%

 楼主| sadaharuw 2020-10-23 13:15:33 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   100% (43)
 
 
0% (0)    👎
kow 发表于 2020-10-23 12:15
安全从业人员来给楼主点个赞,安全行业的妹子更少了。
来补充一点吧:我司(panw)的security researcher ...

赞赞赞!感谢补充!我没在专门做安全的公司工作过,我司应该算是甲方?掏钱买安全产品的。
回复

使用道具 举报

我的人缘0

升级   57.5%

 楼主| sadaharuw 2020-10-23 13:24:44 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   100% (43)
 
 
0% (0)    👎
MikePrince 发表于 2020-10-23 12:55
求问楼主信息安全专业现在算是敏感专业嘛?签证会有被拒的风险嘛?

应该算是敏感专业吧。我读书和工作前几年的回国签证没有被check过,前年回国的时候被check了六周,但是那阵子好像很多人都被check了,不管什么专业。
不和gov沾边的公司应该还行,像波音这种比较sensitive的就只招citizen,湾区这些公司应该还好,H1B也是照样招的
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册账号

本版积分规则

隐私提醒:
■拉群请前往同学同事飞友|拉群结伴版块,其他版块拉群,帖子会被自动删除
■论坛不能删帖,为防止被骚扰甚至人肉,不要公开留微信等联系方式,请以论坛私信方式发送。
■特定版块可以超级匿名:https://tools.1point3acres.com/thread
■其他版块匿名方法:http://www.1point3acres.com/bbs/thread-405991-1-1.html

手机版|||一亩三分地

Powered by Discuz! X3

© 2001-2013 Comsenz Inc. Design By HUXTeam

Some icons made by Freepik from flaticon.com

快速回复 返回顶部 返回列表